Tulostusversio

2/2013

Kohdennettu hyökkäys ei ole tieteistarinaa

Teksti: Antti J. Lagus

Verkkorikolliset eivät pidä silmällä vain suuria teknologiafirmoja. Myös keskisuuri yritys saattaa joutua kohdennetun hyökkäyksen uhriksi.

Yrityksen myynnissä käsitellään päivittäin useita tarjouspyyntöjä. Myyjä ei epäile mitään, kun hän avaa tarjouspyynnön liitetiedoston. Lukuohjelman hieman hitaampi käynnistyminen tai uudelleen käynnistyminen kesken latauksen menee tavallisen tietokoneoikkuilun piikkiin.

Kun yrityksen ominaan pitämiä tietoja alkaa löytyä markkinoilta tai kilpailija alkaa voittaa tarjouskilpailuja pienellä marginaalilla, heräävät epäilykset tietomurrosta. Selviää, että yritykseen on tehty sähköpostin välityksellä kohdennettu hyökkäys.

”Hyökkäyksellä voi olla useita eri motiiveja. Keskimäärin kohteen kannalta on kyse rahanarvoisten tietojen menetyksestä. Kyse voi olla myös arkaluonteisten tietojen joutumisesta vääriin käsiin tai suoranaisesta vakoilusta. Joskus hyökkääjä pyrkii myös tekemään laitevahinkoja kohteessaan”, Viestintäviraston tietoturva-asiantuntija Juhani Eronen sanoo.

Hyökkäykset eivät ole mitään James Bond -tarinoita, sillä Erosen mukaan on viitteitä siitä, että myös keskisuuret yritykset kiinnostavat verkkorikollisia. Tyypillisessä hyökkäyksessä kohteesta kerätään ensin tietoja. Tässä käytetään esimerkiksi sosiaalisia verkkoja, kuten LinkedIniä tai Facebookia.

Sähköposti on yleisin väylä

Hyökkäyksen valmisteluissa pyritään selvittämään, millaista tekniikkaa kohteessa käytetään. Onko yrityksessä Windows XP vai Windows 7, mitä sovellusohjelmistoversioita yrityksessä käytetään, mitä IP-osoitteita yrityksellä on? Ohjelmistoversiot selvittämällä rikollinen valitsee sopivan, ohjelmistoversion haavoittuvuutta hyödyntävän hyökkäystavan.

Erosen mukaan yleisin hyökkäystapa on sähköpostilla.

”Ensin selvitetään, kuka yrityksessä ottaa vastaan esimerkiksi paljon tarjouspyyntöjä. Sähköpostiin sepitetään uskottava tarina, joka tähtää liitetiedoston avaamiseen. Kun liitetiedosto avataan, vastaanottajan koneelle kopioituu pieni ohjelma, jonka tarkoitus on ladata verkosta varsinaiset hyökkäysohjelmat.”

Käyttäjän koneelle piiloutuva etähallittava haittaohjelma (RAT, remote access trojan) hankkii hyökkääjälle väylän, jolla tämä voi ohjata konetta, saada listauksen tiedostoista tai jopa avata etätyöpöytäyhteyden.

Automaattikäynnistys pois päältä

Erosen mukaan kohdeorganisaation peli on pelattu viimeistään siinä vaiheessa, kun haittaohjelma pääsee keskeisille palvelimille, kuten Windows-ympäristöjen toimialueen hallintapalvelimelle (DC, domain controller). Niin sanotusti korkattu kone lähettää tiedostoja kohteesta poispäin. Joskus ohjelmat onkin havaittu vahingossa, kun on ihmetelty, miksi kone on niin hidas, tai on löydetty tuntemattomia hakemistoja tai tiedostoja.

Hyökkäysohjelmia on välitetty myös USB-tikkujen avulla. Eronen kertoo, että jopa tietoturva-alan konferensseissa on löytynyt tällaisia välineitä. USB-hyökkäyksessä pyritään käyttämään järjestelmäpiirrettä, joka käynnistää sovelluksen automaattisesti (autorun). Tämä ominaisuus voidaan ottaa helposti pois käytöstä.

Pelkkä tekniikka ei riitä

Kohdennettuun hyökkäykseen varautuminen ei juuri eroa muusta tietoturvatoiminnasta. Organisaation tietoturvapolitiikan pitää olla ajan tasalla, ja työntekijöiden tulee noudattaa sitä. Käytettyjen ohjelmistojen tulee olla ajantasaisia, jotta ne eivät tarjoa hyökkääjien käyttöön tunnettuja haavoittuvuuksia.

Organisaation palvelinten lokien pitää olla kunnossa, ja niitä pitää myös seurata. Lokeja on hyvä säästää riittävän kauan, jotta voidaan selvittää, milloin epäilyttävä liikenne on alkanut, sillä kaikkeen tutkimukseen tarvitaan havaintomateriaalia.

Hyökkäykset ovat kuitenkin niin hankalasti havaittavia, että Erosen mielestä pelkällä teknologialla niitä ei saada kiinni.

”Organisaation kannalta on tärkeätä selvittää, mitä on tapahtunut ja sitten jatkaa normaalia toimintaa. Tapausten selvittämiseen on usein hyvä hankkia asiantuntija-apua. CERT-FI voi auttaa epäilyjen vahvistamisessa ja tapauksen käsittelyn aloittamisessa”, Eronen neuvoo.

Lue myös

Pankit maalitauluna »
Gallup: Palvelunestohyökkäyksen vaikutuksia voi vähentää »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.