Panama

Panamavuodon jälkipyykkiä: onko sinun datasi turvassa?

Mikko Hämäläinen
13.04.2016
|
Mikko Hämäläinen

Huhtikuun alussa saksalainen sanomalehti Süddeutsche Zeitung paljasti, että journalistien käsiin oli valunut 11.5 miljoonaa panamalaisen lakifirman luottamuksellista dokumenttia. Hakkerit olivat kaivelleet tavaran esiin löyhän tietoturvan takana olleilta mailipalvelimilta, ja kun lappusissa vielä ilmeisesti oli todisteita suuren luokan veronkierrosta, oli globaali soppa valmis.

Miten panamalaisen lakiputkan salaiset dokumentit oikein löysivät tiensä luvattomille lukijoille? Tällä hetkellä vallitsevan teorian mukaan hakkerit pääsivät rellestämään järjestelmässä jomman kumman käytössä olleen sisällönhallintajärjestelmän, Drupalin tai WordPressin kautta.

Yritys käytti WordPressiä verkkosivuillaan ja Drupalia asiakasportaalissaan. Molemmat järjestelmät ovat omassa kastissaan maailman suosituimpien joukossa, kummallakin on toteutettu suuria globaaleja palveluita ja niiden tietoturva-asiat ovat yleisesti ottaen erittäin hyvällä tolalla. Mossack Fonseca kaatui kuitenkin jälkihuollon laiskuuteen: WordPressin reikä löytyy Slider Revolution pluginista, jonka versio oli vuoden 2013 alkuun päivätty 2.1.7. Drupalin puolella päivitykset oli jätetty tekemättä parin vuoden ajalta ja sivustosta löytyikin Drupalgeddonin mentävä reikä.

Mikä tahansa järjestelmä muuttuu reikäjuustoksi, jos sen ylläpidon laiminlyö järjestelmällisesti parin vuoden ajan. Avoin lähdekoodi ei missään nimessä tarkoita ilmaista, sillä tuotantojärjestelmän perään katsomiseen on syytä käyttää vähintään tunti tai pari työaikaa kuukaudessa. Sama koskee tietenkin myös kaupallisia tuotteita; eivät niidenkään päivitykset asenna lisenssimaksuista huolimatta itse itseään. Menetetyn maineen ja tietojärjestelmien rippeiden kokoon kursiminen tietomurron jälkeen vasta kallista onkin.

Mossack ei ollut meidän ylläpitoasiakkaamme. Jos olisi ollut, niin aukot olisi tukittu ajallaan.

PS. Druidin ylläpitopalvelu on edullinen tapa ylläpitää mielenrauhaa. Ota yhteyttä, niin kerron miten sellainen saadaan sinunkin turvaksesi!

 

Haluatko tietää lisää?

Ota yhteyttä