Palvelunestohyökkäykset – Uhat siirtyvät verkosta arkeen

Palvelunestohyökkäykset – Uhat siirtyvät verkosta arkeen

Vuoden vaihteen jälkeen mediassa on ollut paljon keskustelua pankkisektoria ja rahaliikennettä laajasti vaivanneista palvelunestohyökkäyksistä. Hyökkäyksien aiheuttajia spekuloitaessa, eri tahojen kommenteissa ovat vilahdelleet teinipojat, valtiolliset toimijat, kiristys, rahaliikenteen turvallisuus ja monet muut asiat. Selvää on tietysti se, että kaikkeen uutisointiin ja nettikirjoitteluun kannattaa suhtautua riittävällä lähdekritiikillä, ja miettiä kunkin kohteeksi joutuneen organisaation intressejä kertoa ongelmien perimmäisistä syistä.

Mistä tässä koko mediamylläkässä on sitten oikein kyse? Pitäisikö meidän kansalaisten olla huolissamme? Mitä pankkien ja yritysten tulisi tehdä?

Mistä palvelunestohyökkäyksissä on kyse?

Yksinkertaisuudessaan hajautetuissa palvelunestohyökkäyksissä (DDoS) on kyse siitä, että eri puolilta maailmaa lähetetään paljon liikennettä ja yhteydenottopyyntöjä tiettyyn kohteeseen, esimerkiksi verkkopankin etusivulle.

Täysin luotettavaa tilastoa DDoS-hyökkäysten yleisyydestä ja syistä on vaikeaa koota. Suhteellisen kiistattomasti voidaan kuitenkin sanoa, että näiden hyökkäysten riski on noussut myös Suomessa jo pelkästään niihin käytettyjen bottiverkkojen kasvusta ja niiden helpommasta saatavuudesta johtuen. Bottiverkko muodostuu suuresta määrästä yksittäisten käyttäjien huonosti suojattuja tietokoneita. Näitä tietokoneita käytetään lähettämään liikennettä valittuun kohteeseen.

Pitäisikö palvelunestohyökkäyksistä huolestua?

Kyllä ja ei. Lähtökohtaisesti ei, koska palvelunestohyökkäykset aiheuttavat vain ruuhkan palveluun, jolloin sitä ei voida käyttää. Se ei siis tarkoita sitä, että esimerkiksi pankin järjestelmiin olisi murtauduttu. Tilanne ei kuitenkaan välttämättä ole näin yksinkertainen eikä siihen ole syytä suhtautua liian kepeästi:

  • Palvelunestohyökkäyksen tapahtuessa on muistettava, että se saattaa olla tapa peitellä hyökkäystä edeltänyttä varsinaista tietomurtoa. Tällöin pääasiallisena tavoitteena on hyökkääjän omien jälkien peittäminen kaatamalla palvelu ja hävittämällä sen mukana mahdolliset muistijäljet ja lokitiedot. Tästä syystä palvelunestohyökkäyksen kohteeksi jouduttuaan, kannattaa kiinnittää erityistä huomiota hyökkäyksen mahdollisen motiivin selvittämiseen, ja etsiä jälkiä muista verkkohyökkäyksistä tai murron yrityksistä.
  • Toinen huolenaihe liittyy hyökkäyksissä käytettäviin murrettuihin yksittäisten käyttäjien koneisiin, joista hyökkäyksessä käytetty bottiverkko muodostuu. Koska käyttäjien (ei siis pankin) järjestelmiin on murtauduttu, voidaan näitä koneita käyttää muuhunkin, kuin lähettämään liikennettä valittuun kohteeseen. Yksittäisen käyttäjän maksutapahtumia voidaan esimerkiksi manipuloida käyttäjän asioidessa verkkopankissa ohjaamalla hänen rahojaan hyökkääjän valitsemalle tilille. Murrettujen koneiden määrän kasvaessa tuhansiksi, voivat myös hyökkäysten vaikutukset kasvaa merkittäviksi.

Suurin huolenaihe on kuitenkin mielestäni siinä, että vaikka finanssisektorin järjestelmät ovat yleensä kriittisen infrastruktuurin järjestelmistä parhaiten suojattuja, silti niillekin pystytään aiheuttamaan näin suurta ja pitkäkestoista haittaa ilmeisesti muutamien ei-ammattimaisten toimijoiden toimesta.

Miten suomalainen yhteiskunta kestäisi paremmin organisoituja ammattimaisia hyökkäyksiä, kun yhteiskunnan parhaiten suojatut järjestelmät ovat nekin näin hataralla pohjalla? Vastaus tähän kysymykseen valitettavasti on: ”Erittäin huonosti.” Ja tästä on syytä olla huolissaan.

Tulevaisuuden uhat eivät ole vain fyysisessä maailmassa – Mitä pitäisi tehdä?

Hyvin tiivistetysti ja yksinkertaistettuna:

  • Pankkien tulisi varmistaa, että niiden IT-arkkitehtuuri estää palvelunestohyökkäyksille altistumisen tai ainakin minimoi ja rajaa niiden vaikutukset. Varmenneliikenteen tulee käyttää eri reittejä ja laitteita kuin hyökkäyksille tyypillisesti alttiit kohteet kuten verkkopankit ja www-sivut.
  • Yksityisten käyttäjien tulisi suojata omat koneensa asiallisesti, jotta niitä ei voida käyttää osana tämän tyyppisiä hyökkäyksiä.
  • Yksityisten asiakkaiden tulisi käyttää pankissa maksutapahtumien varmennusta esimerkiksi tekstiviestillä tai jollakin muulla tavalla, joka ei ole riippuvainen käyttäjän koneen suojauksesta. Myös pankkien tulisi tarjota tätä mahdollisuutta aktiivisesti asiakkailleen.
  • Muiden kriittisen infrastruktuurin yritysten, kuten energia-, vedenjakelu- ja kaupanalan yritysten tulisi varmistaa omien järjestelmiensä suojausten toimivuus, sillä tyypillisesti ne ovat olleet huonommin suojattuja sekä vähemmän säänneltyjä ja valvottuja verrattuna pankkien järjestelmiin.
  • Yhteiskunnan tulisi ymmärtää kyberturvallisuuden merkitys ja siihen tulisi panostaa huomattavasti nykyistä enemmän.

Tulevaisuuden uhat eivät ole vain fyysisessä maailmassa, vaan niitä piilee myös kybermaailmassa. Kybermaailman hyökkäysten ja uhkien vaikutukset näkyvät kuitenkin jo nyt siinä fyysisessä maailmassa ja palveluissa, joita me päivittäin käytämme, ja joiden toiminnasta olemme koko ajan entistä riippuvaisempia.

DDoS-hyökkäyksiltä suojautumista käsitellään myös Hacking Thourgh Complexity -blogissa:
Mitä keinoja palvelunestohyökkäyksiä vastaan?
Palvelunestohyökkäykset vaarantavat koko Internetin toimintaa
Pankkitroijalainen tyhjentää tilejä Suomessakin – ja näin se toimii

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Kuva: Littlefishyjes / Flickr (Picture has been cropped)