Yrityskäyttäjän työaseman haavoittuvia asiakasohjelmia voidaan hyödyntää muutoin hyvin suojatussa yritysverkossa, varoittaa tietoturvatutkija ja kirjailija Petko D. Petkov. Tietoturvapiireissä pdp-nimellä tunnettu mies vieraili Suomessa hiljattain Louhi Networksin Web-tietoturva 2008 -seminaarissa Helsingissä. Asiantuntijaseminaarissa käsiteltiin ajankohtaisia tietoturvariskejä erityisesti Web-sovellusten ja liiketoiminnallisten riskien näkökulmasta.
Verkkorikolliset käyttävät niin sanottuja pyyntöväärennyshaavoittuvuuksia, joita on sekä Skype-nettipuheluohjelmistossa, mediasoittimissa että sosiaalisilla yhteisösivustoilla. Kyseessähän on haavoittuvuustyyppi Cross-site Request Forgery (XSRF tai CSRF).
Hienostuneimmissa hyökkäyksissä tietovarkauden uhrin odotetaan esimerkiksi käyttävän kodin laajakaistayhteyttä yhteyden muodostamiseen työpaikan verkkoon. Kun kotireititin kärsii ns. selainkäskytysaukosta hyökkäys saadaankin kohdistettua uhrin selaimeen, selosti Petkov.
Kohde profiloidaan etukäteen
Web 2.0 -palvelut mahdollistavat myös huomaamattomasti tehtävän uhrin tarkan profiloinnin. Pelkästään henkilökohtaisen blogin RSS-syötteen tilaamalla voi tulevasta uhrista kerätä hiljaisesti tietoja matkustustottumuksia myöten. Verkkoblogissa julkaistut valokuvat saattavat metatietona sisältää jopa kuvauspaikan koordinaatit.
Palvelujen riskeistä tulisi kertoa jo työntekijöiden peruskoulutuksessa. Osaammehan esimerkiksi lomamatkalla luontevasti varoa lompakkovarkaita, vertaa Petkov.
Miehen löytää blogaamasta Gnucitizen-blogiin osoitteessa Gnucitizen.org/categories/blog/.
