Tulostusversio

2/2014

Asiantuntijalta: Nimipalvelukaappaus on uhka internetille

Teksti: Ilari Karinen

Jos internetin toiminnan kannalta kriittisen nimipalvelujärjestelmän tietoturvaa ei paranneta, on vain ajan kysymys, koska verkkorikolliset alkavat hyödyntää sen heikkouksia.

Elokuussa 2013 Syrian Electronic Army -ryhmittymä onnistui saamaan käsiinsä tunnukset Melbourne IT -rekisteröijän verkkopalveluun. Tämän avulla ryhmittymä vaihtoi muun muassa New York Times -lehden verkkosivun nimipalvelutiedot. Näin käyttäjät, jotka kaappauksen aikana yrittivät avata New York Timesin verkkosivuja, ohjattiin hyökkääjien määrittämään osoitteeseen. Kaappauksesta aiheutui noin kuuden tunnin palvelukatkos.

Tihutöitä ilman tietomurtoa

Nimipalvelujärjestelmän väärinkäytökset ovat yleistyneet huolestuttavasti. Niistä on tullut haktivismiryhmittymien suosima menetelmä, jolla haetaan näkyvyyttä omalle asialle. Nimipalvelukaappauksissa on kyse eräänlaisesta verkkohyökkäyksestä, jossa kohteena olevan verkkosivun avaaminen ohjaakin käyttäjän hyökkääjän määrittämään osoitteeseen.

Isojen sivustojen tietoturvaan on yleensä panostettu paljon, ja niille murtautuminen voi olla hyvinkin vaikeaa. Nimipalvelinkaappauksen avulla hyökkääjä voi saada sivuston pois käytöstä, esittää oma sisältöään sen sijasta ja jakaa haitallista sisältöä sivulla vierailijoille joutumatta murtautumaan varsinaiseen kohteena olevaan palveluun.

Verkkohaktivismin lisäksi motiivina voi olla taloudellisen hyödyn tavoittelu, joskin viime vuosien tapausten taustalla ovat olleet lähinnä haktivistit. Mikäli nimipalvelujärjestelmän tietoturvaan ei kuitenkaan jatkossa kiinnitetä entistä enemmän huomiota, on vain ajan kysymys, koska verkkorikolliset alkavat hyödyntää järjestelmän heikkouksia ansaintatarkoituksessa.

Nimipalvelin hallitsee verkkotunnusten toimintaa

Internetin nimipalvelun avulla määritellään verkkotunnuksia ja palvelinten nimiä vastaavat IP-osoitteet ja näin ohjataan selaimella otettavat yhteydet tietylle palvelimelle. Lisäksi nimipalvelussa määritellään muun muassa verkkotunnuksen sähköpostipalvelimet. Nimipalvelun avulla siis käytännössä hallitaan verkkotunnuksen toimintaa.

Internetin yli tapahtuva tiedonsiirto perustuu sivustojen numeromuotoisiin IP-osoitteisiin. Nimipalvelujärjestelmän ansiosta käyttäjän ei tarvitse kuitenkaan muistaa IP-osoitetta, vaan sivuston lataaminen on mahdollista tietämällä vain sivuston käyttämä ”selväkielinen” verkkotunnus. Kun käyttäjä avaa selaimellaan jonkin osoitteen, tietokone lähettää tästä verkkotunnuksesta kyselyn nimipalvelimelle. Nimipalvelin tarkistaa kyseisen verkkotunnuksen IP-osoitteen ja lähettää tämän tiedon käyttäjän tietokoneelle.

Verkkotunnuksia ylläpitävät lukuisat eri rekisteröijät, jotka säilyttävät tunnusten tietoja ja tarjoavat asiakkailleen työkaluja tietojen hallinnointiin. Useissa tapauksissa, kuten yllä mainitussa New York Timesin tapauksessa, nimipalvelukaappaus on toteutettu näiden verkkotunnusten rekisteröijien kautta.

Käyttäjän vaikeaa havaita

Tavalliselle käyttäjälle nimipalvelutietojen muutoksen havaitseminen on melko vaikeaa, varsinkaan jos ei tiedä, minkälaisia osoitteiden pitäisi normaalitilanteessa olla. Paras merkki siitä, että on mahdollisesti eksynyt väärälle palvelimelle, onkin mahdollisesti oudolta tai epätavalliselta näyttävä sisältö.

Haktivistiryhmien toteuttamissa nimipalvelukaappauksissa on yleistä, että alkuperäinen sivusto on korvattu hyökkäyksestä kertovalla sivustolla, jossa ryhmittymä ilmoittaa tekemästään hyökkäyksestä. Näin ollen sivuston käyttäjä huomaa nopeasti, että avattu sivusto ei ole se, mitä hän haki.

Hyökkääjän käyttämä sivusto voi kuitenkin olla tehty matkimaan alkuperäistä sivua, ja sen avulla voidaan esimerkiksi kerätä palveluun kirjautuessa syötettäviä käyttäjätunnuksia ja salasanoja tai maksuvälinetietoja. Sivustolta voidaan myös tarjota käyttäjälle sisältöä, jonka tarkoituksena on murtaa työaseman suojaus ja asentaa sille haittaohjelmia, joita myöhemmin voidaan edelleen käyttää tietojen urkkimiseen, roskapostin lähettämiseen tai etäohjattujen palvelunestohyökkäysten suorittamiseen.

Nimipalvelukaappaus voi mahdollistaa myös verkkotunnuksen sähköpostin ohjaamisen hyökkääjän palvelimelle. Tämä voi altistaa käyttäjän tai yrityksen luottamuksellisten viestien joutumisen hyökkääjän käsiin.

Pidä huolta tunnuksista

Rekisteröijien lisäksi myös verkkotunnusten omistajat ovat vastuussa nimipalvelinjärjestelmän turvallisuudesta. Rekisteröijän tunnusten joutuminen vääriin käsiin voi johtaa verkkosivustojen tai sähköpostien ohjaamiseen hyökkääjän järjestelmiin.

Useat verkkotunnusten rekisteröijät tarjoavat myös työkaluja, joilla verkkotunnuksen haltija voi vähentää riskiä joutua nimipalvelukaappauksen uhriksi. Näistä merkittävimpiä ovat rekisteritietojen lukitusmahdollisuus, jolloin verkkotunnukseen ei voi tehdä muutoksia muutoin kuin rekisteriyrityksen palvelun kautta, sekä kirjautumisen tai muutosten varmistus esimerkiksi tekstiviestinä lähetettävän salasanan avulla.

Nimipalvelukaappauksen uhan takia verkkotunnuksen haltijan tuleekin tiedostaa nimipalvelujärjestelmän tietoturvariskit sekä huolehtia siitä, ettei väärinkäytöksiä pääse tapahtumaan esimerkiksi omien tunnusten kautta. Lisäksi on suositeltavaa hyödyntää kaikkia oman rekisteröijän tarjoamia tietoturvaa edistäviä palveluita.

----

[KIRJOITTAJA]

Ilari Karinen on tietoturva-asiantuntija Viestintäviraston Kyberturvallisuuskeskuksessa.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.