Tulostusversio

1/2008

Tietoturvauhat muutoksen kourissa

Teksti: Kauto Huopio ja Johanna Kinnari
Kuvat: Eric Leraillez

Nykyisin verkosta organisaatioon kohdistuvat uhat ovat vakavampia kuin ennen. Tämä johtuu muun muassa verkkorikollisuuden ammattimaistumisesta ja hyökkäysten muuttumisesta kohdistetummiksi ja räätälöidymmiksi. Vaikka suomalaiset verkot eivät aiheuta uhkaa muulle verkottuneelle maailmalle, muu maailma uhkaa suomalaisia verkkoja siinä missä muitakin.

Haittaohjelmien kehitys on viime vuosina keskittynyt tiiviisti kahden asian ympärille: roskapostin levitykseen ja sähköisten identiteettien kaappaamiseen käyttäjien tietojärjestelmistä.

Verkkoidentiteetit alamaailman kauppatavaraa

Verkkoidentiteetit ovat tietoja, joilla käyttäjä voidaan tunnistaa sähköisissä palveluissa. Yleisimpiä haittaohjelmien kaappaamia verkkoidentiteettejä ovat sähköpostiosoite, käyttäjätunnus- ja salasana -parit erilaisiin palveluihin sekä luottokorttitiedot.

Tyypillinen verkkoidentiteettejä kaappaava haittaohjelma liittää itsensä osaksi selainohjelmistoa. Haittaohjelma näkee kaikki käyttäjän www-sivustolle syöttämät tiedot salaamattomana, vaikka yhteys selainohjelmistosta esimerkiksi verkkokauppaan olisi salattu. Verkkoidentiteettejä kaappaavat haittaohjelmat eivät ole tähän asti olleet erityisen tarkkoja kaappaamistaan tiedoista, kaikki www-lomakkeille syötetyt tiedot ovat kelvanneet.

Haittaohjelma viestii keräämänsä tiedot eteenpäin käyttäen selainohjelmistoa tietojen välitykseen. Työaseman palomuuriohjelmisto ei osaa epäillä mitään, koska palomuurin kannalta haittaohjelman aiheuttama liikenne näyttää normaalilta www-selailulta. Tämäntyyppistä identiteettikaappausta kutsutaan usein man in the browser -hyökkäykseksi.

Erilaisten virtuaalimaailmojen, verkkopelien ja yhteisösivustojen kiinnostavuus identiteettivarkauksien näkökulmasta on jyrkässä kasvussa. Identiteettitietojen lisäksi hyökkääjiä kiinnostaa näissä maailmoissa liikkuva oikea valuutta ja sen mukana tulevat mahdollisuudet huijata rahaa tai toteuttaa rahanpesutoimia. Erilaisia huijaus- ja hyökkäystapoja on jo nähty näissä ympyröissä. On kannattavaa harkita, mitä tietoja itsestään paljastaa verkossa ja miettiä, kuinka kattavan tietopaketin itsestä saisi kasattua vaikka yhdistelemällä tietoja eri paikoista.

Hyökkäysten takana ovat useimmiten rahan ansaitsemistarkoituksessa toimivat rikolliset tahot. Verkkorikolliset ovat hyvin toisiinsa verkostoituneita tahoja, jotka juoksevat tiedon ja rahan perässä.

Suomessa edellytykset identiteettitietojen laajaan väärinkäyttöön ovat olemassa, mutta tähän saakka rikollisilla ei ole ollut ilmeisesti riittävästi resursseja keräämiensä tietojen laajamittaiseen hyväksikäyttöön Suomessa tai heillä ei ole erityistä kiinnostusta suomalaisten tietoihin. Tilanne on kuitenkin muuttumassa, ja identiteettitietojen hyväksikäyttö on saamassa jalansijaa verkkomaailmassa myös meillä.

Kaaviokuva man in the browser -hyökkäyksestä

Man in the browser -hyökkäyksessä haittaohjelma liittää itsensä osaksi selainohjelmistoa ja välittää sen avulla käyttäjän tietoja eteenpäin.

 

Man in the network -hyökkäyksiä myös Suomeen?

Eräs identiteettejä kaappaavan hyökkäyksen muoto on nimeltään man in the network. Tässä hyökkäystyypissä käyttäjä ohjataan joko selainohjelmistoa tai työaseman nimipalveluasetuksia muuttamalla oikean www-palvelun sijaan hyökkääjän omalle palvelimelle. Tämä palvelin toimii liikenteen välittäjänä oikeaan kohdepalveluun.

Yhteyden ohjaus väärään palvelimeen tehdään joko selainliitännäisellä haittaohjelmalla tai muuttamalla haittaohjelman avulla käyttäjän tietokoneen nimipalveluasetuksia. Man in the network -hyökkäyksen kohteeksi joutunut käyttäjä ei huomaa välttämättä mitään erikoista kirjautuessaan sisään palveluun.

Selainliitännäisen haittaohjelman tapauksessa selain voi näyttää kaikkien turvatekijöiden olevan kunnossa. Nimipalvelimien uudelleenohjaustapauksessa hyökkäys on varsin yksinkertainen toteuttaa, jos käyttäjä kirjautuu verkkopalveluun pelkällä verkkotunnuksella, esimerkiksi www.kauppa.fi.

Kun käyttäjä kirjautuu haittaohjelmalla saastuneella työasemalla verkkopalveluun, yhteys näyttää katkeavan sisäänkirjautumisen jälkeen. Käyttäjä näkee selaimessaan virallisen näköisen ilmoituksen huoltokatkosta verkkopalvelun järjestelmästä. Todellisuudessa yhteys jäi edelleen auki hyökkääjän palvelimelta verkkopalveluun päin, ja hyökkääjä voi tehdä palvelussa omia toimenpiteitään.

Identiteettikaappareiden kannalta houkuttelevien verkkopalveluiden ylläpitäjien on syytä olla jatkuvasti valppaana hyökkäysmenetelmien kehittyessä.

 

Kaaviokuva man in the network -hyökkäyksestä

Man in the network -hyökkäyksessä käyttäjä ohjataan oikean www-palvelun sijaan hyökkääjän omalle palvelimelle, joka välittää liikenteen oikeaan kohdepalveluun.

 

Roskaposti – ei vain mainoksia

Roskapostittajat ovat testailleet erilaisten tiedostomuotojen, kuten esimerkiksi kuva-, ääni- ja pdf-tiedostojen käyttöä roskapostiviestinnässään ohittaakseen roskapostisuodatukset paremmin. Todennäköistä on, että eri tiedostomuotojen käyttö laajenee vielä entisestään.

Roskapostin käyttötavat ovat muuttuneet ja laajentuneet edullisesta tuotteiden markkinoinnista paljon laajemmille markkinoille. On hyvin todennäköistä, että roskapostittaminen tulee laajenemaan sähköpostiviestinnän ulkopuolelle. Uusia aluevaltauksia tulevat olemaan pikaviestiohjelmat, ja myös erilaisten virtuaalimaailmojen käyttö tähän tarkoitukseen on mahdollista.

Roskapostiviestinnän avulla yritetään myös edelleen vaikuttaa osakemarkkinoihin ja pörssikursseihin. Roskapostittajat ostavat edullisia osakkeita ja kehottavat viesteissään muita ostamaan samoja osakkeita. Osakekurssin noustessa roskapostittajat myyvät osakkeensa ja hyötyvät siitä taloudellisesti.

Roskapostittajat ja haittaohjelmakirjoittajat ovat yhdistäneet voimansa, minkä seurauksena roskapostin ohella pyritään levittämään erilaisia haittaohjelmia. Viestien mukana käyttäjä vastaanottaa haittaohjelmia sisältäviä liitetiedostoja. Vaihtoehtoisesti viesteihin voi olla sisällytetty linkkejä, jotka johdattavat haittaohjelmia sisältäville www-sivuille.

Muun hyökkäystoiminnan tavoin roskapostittaminen on muuttunut kohdistetummaksi toiminnaksi, jolloin vastaanottajat seulotaan tarkemmin tietyn viestinnän kohderyhmään sopivaksi.

Drive-by download -ilmiöltä vaikea suojautua

Drive-by download -ilmiössä haitalliset ohjelmistot asentuvat tietokoneelle ilman käyttäjän myötävaikutusta ja käyttäjän sitä tiedostamatta. Pelkkä www-sivustolla vierailu riittää saastuttamaan käyttäjän tietokoneen. Jotta haittaohjelma asentuisi tietokoneelle, se käyttää hyväkseen jotakin ohjelmistohaavoittuvuutta tai pyytää käyttäjää asentamaan itsensä koneelle ilmoittamalla olevansa jokin tarvittava komponentti.

Haittaohjelmia on jaossa useimmiten pahaa-aavistamattomien käyttäjien murretuilla www-sivuilla. Linkkejä haittaohjelmia sisältäville sivuille jaetaan roskapostien mukana. Sivuille voi päätyä myös suoraan tai hakutoiminnon avulla.

Ongelmallista ilmiössä on, että täysin haavoittumattoman tietokoneen omaaminen on hankalaa. Kaikista ohjelmistoista löytyy ajoittain haavoittuvuuksia eikä niihin ole heti saatavilla korjausta. Kun korjaus saadaan valmiiksi, kestää aikansa, ennen kuin käyttäjät asentavat sen koneilleen. Hyvin monet ohjelmat käsittelevät www-sivujen sisältöä, joten myös mahdollisia ilmiön kohteena olevia haavoittuvia ohjelmistoja on useita. Selainohjelmiston itsensä lisäksi tällaisia ohjelmistoja ovat muun muassa Adobe Reader sekä erilaiset mediatiedostojen käsittelyyn tarkoitetut ohjelmistot, esimerkiksi Apple Quicktime.

Verkossa on yhä enemmän niin sanottuja ansoitettuja www-sivuja. Googlen tietoturvaryhmän näkemyksen mukaan haitallista koodia sisältävien sivujen määrä on selvässä kasvussa. 

Haittaohjelmia sisältäville sivuille ohjaavia sähköpostiviestejä on ollut liikkeellä myös suomenkielisinä versioina ja niiden määrä on kasvussa. Hyvin usein haittaohjelman tarkoituksena on valjastaa pahaa-aavistamattoman käyttäjän tietokone osaksi kaapattujen koneiden muodostamaa bottiverkkoa.

Täydellistä suojautumismenetelmää tätä ilmiötä vastaan ei ole olemassa. Virustorjuntaohjelmistot tunnistavat vain tunnetut haittaohjelmat. Tietokoneelle asennettujen ohjelmistojen ja komponenttien turvataso täytyy pyrkiä pitämään mahdollisimman korkeana ja ajan tasalla. Käyttäjän kannattaa harkita, mitä www-sivuja selailee, eikä selailtavien sivustojen luotettavuuteen kannata suoraan luottaa. Sähköpostiviestien mukana tulevia linkkejä ei pidä seurata, koska niiden myötä voi joutua haittaohjelmasivustolle. Kuitenkin, näiden ohjeiden noudattamisesta huolimatta tietokone voi joutua tartunnan kohteeksi.

Vihamieliset nimipalvelimet tuore uhka

Domain Name System (DNS) on internetin nimipalvelujärjestelmä, joka muuntaa verkkotunnuksia IP-osoitteiksi. Internetin laitteet kommunikoivat keskenään numeeristen osoitteiden avulla, joiden muistaminen olisi ihmisille toivotonta. Nimipalvelua voidaan pitää internetin puhelinluettelona. Nimipalvelun toinen tärkeä tehtävä on sähköpostien reititys.

DNS-järjestelmässä on monia ominaisuuksia, joita voidaan käyttää hyväksi verkkohyökkäyksissä. Uusimman tutkimuksen mukaan internetissä on liki 17 miljoonaa suojaamatonta nimipalvelinta, joita voidaan käyttää palvelunestohyökkäyksessä hyökkäysliikenteen vahvistamiseen (DNS Amplification Attack). Myös suomalaisia suojaamattomia nimipalvelimia on käytetty hyökkäyksissä mukana.

Tavallisten internetkäyttäjien kannalta vakavampi ja varsin tuore uhka piilee niin sanotuissa vihamielisissä nimipalvelimissa. Osa bottiverkoissa mukana olevista tietokoneista toimii harhaanjohtavia vastauksia antavina nimipalvelimina. Palvelin voi antaa esimerkiksi www.pankki.fi -verkkotunnuksen kyselylle hyökkääjän oman tietokoneen IP-osoitteen. Tuoreimman tutkimustiedon mukaan tällaisia vihamielisiä nimipalvelimia voi olla internetissä jopa kymmeniä tuhansia.

3G sisältää IP-verkon uhat

3G-laajakaistapalvelut löivät itsensä läpi vuoden 2007 syksyllä. 3G-laajakaistayhteyden takaa löytyy yhä useammin puhelimen sijasta kodin kiinteä tai kannettava tietokone. Tämä muuttaa merkittävästi teleyrityksen 3G-verkkoon liittyvän IP-verkon tietoturvatilannetta: jatkossa siihen kohdistuu yhä selvemmin samoja uhkia kuin perinteiseen internet-palveluntarjoajan verkkoon.

Verkko-operaattorin tulisi pystyä paikallistamaan ja eristämään haittaohjelmalla saastuneen tietokoneen käyttäjän mobiililaajakaistaliittymä samoin kuten esimerkiksi kiinteän internetverkon ADSL-liittymän käyttäjä. 3G-verkkojen IP-palvelujen palvelualustoissa ei ole välttämättä huomioitu tietoturvatoimintojen toteutusta viimeistä piirtoa myöten.

Niin sanottujen älypuhelinten tietoturvatilanne on ollut hyvin pitkään varsin vakaa. Esimerkiksi Symbian-käyttöjärjestelmällä varustettuihin puhelimiin on kirjoitettu haittaohjelmia, mutta ne ovat olleet levinneisyydeltään hyvin rajallisia. Merkittävä leviämistä hidastava tekijä on haittaohjelman asentumiseen vaadittava käyttäjän hyväksyntä. Matotyyppiseen automaattiseen leviämiseen kykenevää mobiilihaittaohjelmaa ei ole toistaiseksi nähty.

Symbian-alustan tietoturvakehitys on omalta osaltaan tehnyt mobiilipäätelaitteiden haittaohjelmakehityksen haasteellisemmaksi. Loppukäyttäjän kannalta suurempi riski liittyy älypuhelimeen varastoituun tietoon ja sen katoamiseen esimerkiksi varkaustapauksessa. Puhelinten etälukitustoimintoon kannattaa tutustua. Jos tällainen toiminto on aktivoitu, puhelimen omistaja voi lukita kadonneen puhelimen tekstiviestillä.

Vertaisverkot bottien komentokanavana

Botit ovat haitallisia ohjelmia, jotka asentuvat käyttäjän tietokoneelle ja sallivat tietokoneen luvattoman käytön kauko-ohjattuna. Bottiverkkoja ja bottiohjelmalla saastuneita tietokoneita tullaan todennäköisesti käyttämään hyväksi entistä laajemmilla menetelmillä.

Bottiohjelmien avulla voidaan toteuttaa muun muassa phishing-hyökkäyksiä suoraan käyttäjän koneella. Bottiohjelmat voivat tiedustella ja ilmoittaa hyökkääjälle, minkä yrityksen verkossa saastunut tietokone sijaitsee. Tietyssä yrityksessä kauko-ohjauksessa oleva tietokone voi kiinnostaa tahoja, jotka haluavat kerätä tietoa organisaatiosta tai kohdistaa hyökkäyksen tähän tiettyyn organisaatioon. Saastuneen tietokoneen käyttäjä ei tiedä tietojärjestelmällään tehdyistä toimista mitään.

Bottiverkkojen komentamiseen on usein käytetty Internet Relay Chat (IRC) -kanavia. Tartuttuaan tietokoneeseen botit liittyvät tietylle IRC-kanavalle odottamaan komentoja. Hyökkääjä pystyy kontrolloimaan samaan bottiverkkoon liitettyjä botteja keskitetysti IRC-kanavan kautta. Komentoliikenne on salaamatonta. Yksi bottiverkko voi sisältää tuhansia tai jopa kymmeniä tuhansia saastuneita tietokoneita. Pienehköllä bottiverkolla voi aiheuttaa isojakin hyökkäyksiä.

IRC-pohjaisen bottiverkon alasajo on suhteellisen helppoa, koska vain keskitetty komentokanava on ensisijaisesti saatava pois verkosta. IRC-kanavien asemesta bottiverkkojen komentomekanismina onkin alettu käyttämään laajemmassa määrin vertaisverkko- eli peer-to-peer-protokollaa, jolloin komentomekanismi on sisällytetty bottiverkkoon itseensä. Tällöin komentokanava ei enää ole keskitetty, kuten IRC-käytettäessä komentamiseen IRC-kanavaa ja siksi bottiverkon seuranta ja poistaminen verkosta on paljon vaikeampaa. Tällaisten bottiverkkojen liikenne on yleensä salattua.

Verkko-operaattorit uhkana

Kaikki internetiin palveluita tuottavat yritykset eivät toimi rehellisillä periaatteilla. Suoraviivaisinta haitallisiin palveluihin liittyvää toimintaa ylläpidetään niin kutsuttujen bulletproof-hosting-palveluntarjoajien verkoissa. Näiden palveluntarjoajien käytössä olevista verkkoavaruuksista ei ole löydettävissä luultavasti yhtäkään laillisilla toimintaperiaatteilla toteutettua palvelua.

Tunnetuin tämäntyyppinen palveluntarjoaja lähialueillamme oli pietarilainen RBN eli Russian Business Network. Se katosi yllättäen verkosta viime vuoden lopulla. RBN:n verkkoon oli keskittynyt muun muassa huomattava määrä haittaohjelmien ohjelmakomponenttien levityspalvelimia ja tietoa keräävien haittaohjelmien tietovirtojen keräilypalvelimia. Tämän hetken käsityksen mukaan RBN:n verkossa toteutetut palvelut ovat nyt hajautettu useisiin pieniin palvelukeskuksiin ympäri maailmaa.

Yllättävää kyllä, Yhdysvalloista on tunnistettavissa useita vastaavantyyppisiä rikolliseen toimintaan suuntautuneita palveluntarjoajia. Osa näistä toimijoista on jatkanut toimintaansa jo vuosia.

Suomalainen malli esikuvana

Tulevaisuuden uhkien ennustaminen nopealla aikataululla muuttuvassa verkkomaailmassa on vaikeaa. Jo pelkästään haittaohjelmissa on siirrytty vielä muutama vuosi sitten vallalla olleista laajoista verkkomatoepidemioista lähinnä www-sivujen kautta tarttuviin, useimmiten bottityyppisiin "Sveitsin linkkuveitsiin”. Niillä voidaan toteuttaa laaja skaala erilaisia hyökkäystoimia.

Erilaisten tietoturvauhkien viidakossa maailmalta saadut positiiviset signaalit ovat Suomen kannalta lohduttavia: Suomalaisten verkkojen muille verkoille aiheuttamat uhat ovat huomattavan pieniä, vaikka laajakaistaliittymien määrä on ollut jatkuvasti tasaisessa kasvussa. Tähän suotuisaan kehitykseen ovat vaikuttaneet teleyritysten, tietoturvayhtiöiden ja tietoturvaviranomaisten sujuva yhteistyö sekä kansallinen lainsäädäntö ja tietoturvamääräykset. Suomalainen malli toimii myös esikuvana kansainvälisissä yhteyksissä, esimerkiksi EU:n piirissä.

------

[KIRJOITTAJAT]

Kauto Huopio ja Johanna Kinnari työskentelevät vanhempina tietoturva-asiantuntijoina Viestintäviraston CERT-FI-yksikössä.

Lue myös

Tietoturva: Verkkosota on armeijalle uhka »
Tietoturva: Ohjelma laittaa verkkorikokset kuriin »
Tietoturva: Poikkihallinnollisuudesta tehoa »
Profiili: Poliisi »
Profiili: Verkkorikollisen jäljitys on hankalaa »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.