KRAKKEROINTI ja tietokannat
Mitä krakkerointi on Krakkerointi tarkoittaa tietojärjestelmiin murtautumista ja niiden luvatonta käyttöä Yleisessä kielenkäytössä käytetään myös sanaa hakkerointi, mutta se ei ole oikea termi
Tietojärjestelmiin murtautuminen Tarvitaan joko järjestelmän toiminnan syvällistä ymmärtämistä, järjestelmää käyttävien varomattomuuden hyödyntämistä tai murtautuvia avustavia ohjelmia Tietojärjestelmään murtautuminen ja sen yrittäminen ovat rikoslain 38. luvun 6. pykälän mukaan rangaistavia tekoja
Murtautumisen motiiveja Harmittomampia motiiveja kuten omien näkemyksien esille tuominen, näyttämisen tarve, seikkailunhalu jne. Vakavampia motiiveja kuten raha, vakoilu, kiristys jne.
Esimerkki: motiivina raha 17.6.2005 Yhdysvalloissa murtauduttiin MasterCard Internationalin ja Visa Internationalin luottokorttimaksuja välittävän Card Systems Solutions -nimisen yrityksen tiedostoihin. Yhteensä saaliiksi saattoi joutua jopa 40 miljoonan kortin tiedot
Tietokannat lyhyesti Tietokannat ovat tietovarastoja eli kokoelmia tietoja jotka liittyvät toisiinsa Käytetään nykyisin lähes kaikenlaisessa tietojen tallentamisessa
Krakkerointi: yleiset tavat Huonot salasanat Käyttäjien varomattomuuden hyödyntäminen Troijan hevoset Takana kyttääminen Verkkohuijaus
Krakkerointi: turva-aukot Järjestelmien turva-aukkoja hyödynnettäessä tekijällä pitää olla hyvä tietämys järjestelmän toiminnasta Suojaudutaan päivittämällä järjestelmää aina uusien päivitysten ilmaantuessa
Krakkerointi: tietokantasovellukset Etenkin nettikäyttöliittymällä varustetut tietokantasovellukset ovat alttiina ns. SQL-injection hyökkäyksille Sovellukseen lisättävä erikoismerkkikäsittely, jotta syöttötietojen avulla ei päästä käsiksi järjestelmään
Esimerkki: SQL-injection Lisätään syöttötietoihin (GET tai POST) tietokantakäsittelyjä Pahimmassa tapauksessa komentoja kuten INSERT tai DROP TABLE voi saada ajettua
Esimerkki: SQL-injection www-lomake Käyttäjänimi Salasana Tietokantasovelluksen tietokantakysely: SELECT * FROM users WHERE username=‘Käyttäjänimi’ and password = ‘Salasana’ Tuloksena kyseisen käyttäjätunnuksen tiedot
Esimerkki: SQL-injection www-lomake ‘ or ‘’=‘ ‘ or ‘’=‘ Tietokantasovelluksen tietokantakysely: SELECT * FROM users WHERE username=‘’ or ‘’=‘’ and password = ‘’ or ‘’=‘’ Onnistuessaan krakkeri pääsee kirjautumaan users-taulun ensimmäisenä käyttäjänä sisään
Yhteenveto Yhteiskunnan verkottuessa tietokantojen krakkerointi helpottuu Suuret taloudelliset menetykset mahdollisia Järjestelmiä suunnitellessa kannattaa ottaa selville kyseiseen järjestelmään liittyvät tietoturvauhat
Lähteet http://www.wikipedia.org http://www.4guysfromrolla.com/webtech/061902-1.shtml http://www.unixwiz.net/techtips/sql-injection.html Tekijä: Samuli Reivilä