Palvelunestohyökkäykset ovat internetin arkipäivää

Kun tietoon tai palveluun pääsy vaikeutuu tai estyy kokonaan, puhutaan palvelunestohyökkäyksestä. Motiivina hyökkäykselle voi olla kiusanteko, maineen luominen, haktivismi tai taloudellisen hyödyn tavoittelu kiristämällä tai ohjaamalla palvelun käyttäjät kilpailijan palveluiden pariin. Olemme koonneet ohjeet palvelunestohyökkäyksiin varautumiseksi ja niiden torjumiseksi.

Palvelunesto vaikeuttaa tai estää pääsyn tietoon

Tietoturvallisuuden katsotaan usein koostuvan kolmesta tavoitteesta: tietojen luottamuksellisuudesta, eheydestä ja saatavuudesta. Palvelunestohyökkäyksellä (englanniksi denial of service, DoS) vaikutetaan tietojen saatavuuteen: tietojen käyttöön oikeutetut henkilöt eivät hyökkäyksen seurauksena pysty käyttämään niitä ollenkaan tai niiden käyttö vaikeutuu.

Hyökkäyksiin käytetään usein kaapattuja tietokoneita, heikosti suojattuja laitteita tai väärin määriteltyjä palvelimia, jotka välittävät väärennettyä liikennettä. Kun hyökkäysliikenteen lähteitä on useita, kyseessä on hajautettu palvelunestohyökkäys (englanniksi distributed denial of service, DDoS).

Palvelunestohyökkäys ei kuitenkaan tarkoita murtautumista palveluun eikä se vaikuta muihin tietoturvallisuuden keskeisiin mittareihin: tietojen luottamuksellisuuteen ja eheyteen.

Jos palvelussa on tietynlainen ohjelmistohaavoittuvuus, palvelu voidaan saattaa palvelunestohyökkäykseltä näyttävällä liikenteellä tilaan, jossa myös tietojen luottamuksellisuus tai eheys voi vaarantua. Palvelunestohyökkäykseltä näyttävässä tilanteessa on siis tarkastettava myös palvelinten lokitiedot ja sisältö tunkeutumisten varalta. Palvelunestohyökkäyksiä tiedetään myös käytetyn hämäyksenä, jotta palvelua suojelevien henkilöiden huomio saadaan kiinnitettyä pois päähyökkäyksestä.

Aatteita, bitcoineja tai "for the lulz"

Palvelunestohyökkäysten takana voi olla mm. kiusanteko, julkisuushakuisuus, haktivismi tai muut poliittiset motiivit. Sopivalla hyökkäyksellä kilpailijan verkkokauppaan voisi myös ohjata potentiaaliset asiakkaat tekemään ostoksensa muualla.

Viime vuosina on yleistynyt myös hajautetuilla palvelunestohyökkäyksillä kiristäminen: näytehyökkäyksen jälkeen organisaatio on saanut yhteydenoton, jossa on uhattu rankemmalla hyökkäyksellä, ellei Bitcoin-maksua kuulu. Hyökkäysten takana olevia ryhmittymiä ovat mm. Armada Collective ja DD4BC (DDoS for Bitcoin), mutta todennäköisesti liikkeellä on myös muita näiden nimien varjolla toimivia joukkoja. Aina kiristäjien esittämä uhkaus ei edes toteudu.

Joskus palvelunestohyökkäyksille ei voi osoittaa muuta järkevää motiivia kuin "tehtiin se, koska se oli mahdollista". Hyökkääminen onkin teknisessä mielessä varsin helppoa.

Työkaluna bottiverkko tai verkkomato — myös avaimet käteen -palveluna

Internetissä palvelunestohyökkäykset ovat varsin helppoja toteuttaa ja vaikeita estää, sillä verkkoliikenteen lähdeosoite on helppo väärentää. Jos hyökkäyksen kohteena olevan palvelun on tarkoitus olla avoin kelle tahansa missä päin tahansa maailmaa, palvelu ei voi suoralta kädeltä tietää, onko sen saaman liikenteen lähdeosoite väärennetty vai aito.

Tavallisimmin hajautettu palvelunestohyökkäys tehdään bottiverkon eli etähallittavalla haittaohjelmalla haltuun otettujen tietokoneiden verkoston avulla. Bottiverkkoa ohjaava komentopalvelin käskee murrettuja tietokoneita, kotireitittimiä tai jopa maalämpöpumppuja osallistumaan palvelunestohyökkäykseen käyttäjien sitä tietämättä.

Hyökkäyksessä voidaan toisinaan käyttää myös itsestään verkossa leviävää haittaohjelmaa eli matoa, joka tietokoneeseen tartuttuaan ottaa yhteyksiä kohdejärjestelmään. Madon levitessä kasvaa myös kohteeseen tuleva kuormitus. Ohjelma ei tarvitse erillistä komentoyhteyttä, eikä hyökkäystä edes voi pysäyttää poistamatta verkkomatoa tartunnan saaneista tietokoneista.

Verkkorikoksissa tarvittavaa osaamista ja välineitä voi nykyään ostaa myös palveluna erityisesti ns. pimeästä verkosta (dark web). Vuokrahyökkäys ei tee suurtakaan lovea lompakkoon, sillä hinnat voivat olla niinkin alhaisia kuin 6 dollaria. Incapsulan tutkimuksen mukaan palvelunestohyökkäysten tuntitaksa on keskimäärin $38.

Tarkemmin erityyppisistä palvelunestohyökkäyksistä ja niiltä suojautumisesta on kerrottu ohjeessamme "Palvelunestohyökkäyksiltä suojautuminen".

Teleyritykset suodattavat pahuuden pois

Suomessa teleyritykset tekevät hyvää työtä estämällä sellaisen väärennetyn verkkoliikenteen, joka väittää tulevansa teleyrityksen itsensä hallinnoimasta verkosta, mutta joka saapuu toisesta verkosta tulevaa tietoliikennekaapelia pitkin. Joissakin muissa maissa tällaista "osoitehygieniaa" harjoitetaan vähemmän tai ei ollenkaan.

Suodatuksella voidaan pienentää myös avoimien, haavoittuvien palveluiden aiheuttamaa riskiä. Esimerkiksi vuonna 2013 Chargen (Character Generator) -protokollan käyttö yleistyi verkkorikollisten työkaluna, sillä Chargen-protokollan UDP-toteutus mahdollistaa lähdeosoitteen väärentämisen ja sen avulla voi kasvattaa hyökkäyksen tehon jopa 200–1000-kertaiseksi. Lisääntyneiden hyökkäysten takia Viestintävirasto antoi suosituksen suomalaisilta internet-operaattoreilta sekä -palveluntarjoajilta kerättyjen näkemysten perusteella Chargen-protokollan UDP-toteutuksen sisään tulevan ja ulospäin menevän liikenteen suodatuksen käyttöönotosta. Positiivisena vaikutuksena oli silloin lähes päivittäin havaittujen Chargen-hyökkäysten katoaminen.

Erityisesti volumetristen palvelunestohyökkäysten suodattamiseen tarvitaan usein operaattorin apua. Tilanteessa, jossa palvelunestohyökkäyksen kohteena olevan organisaation internet-yhdyskäytävä on saatu tukkoon, jää ainoaksi vaihtoehdoksi suodattaa liikenne jo operaattorin verkossa. Operaattoreiden tarjoamien niin kutsuttujen pesuri-palveluiden käyttöönotto on kuitenkin syytä sopia operaattorin kanssa etukäteen, koska hyökkäyksen ollessa jo käynnissä on sallitun liikenteen tunnistaminen vaikeaa.

Viestintävirasto tiedottaa ja skannaa

Vuoden 2013 loppuun ajoittuneiden NTP-peilaushyökkäysten johdosta Viestintävirasto alkoi kartoittaa puutteellisesti määriteltyjä suomalaisia aikapalvelimia. Saatujen tulosten pohjalta verkkojen ja palveluiden ylläpitäjille lähetettiin tietoja ilmiöstä, sekä ohjeita oman aikapalvelimen suojaamiseksi. Ilmiön vakavuudesta johtuen myös monet muutkin tahot kartoittivat puutteellisesti määriteltyjä aikapalvelimia internetissä. Suomalaisten puutteellisesti määriteltyjen aikapalvelimien määrä onkin laskenut merkittävästi.

Myös jatkossa Viestintäviraston Kyberturvallisuuskeskus aikoo kartoittaa verkosta avoimia palveluita, joita on mahdollista hyödyntää palvelunestohyökkäysten osana.

Joskus ohjelmistovirhe, esimerkiksi puutteellinen syötteentarkistus, altistaa verkkolaitteet tai sovellukset palvelunestohyökkäykselle. Kyberturvallisuuskeskuksen haavoittuvuustiedotteissa (sähköposti, RSS tai www-sivut) kerrotaan myös tällaisista ongelmista.

Palvelunestohyökkäyksistä kannattaa ilmoittaa Viestintävirastolle, sillä tiedossa voi olla muita vastaavia hyökkäyksiä, joista saadun tiedon perusteella hyökkäyksen lähde voidaan paljastaa. Yhteistyössä internetoperaattoreiden sekä muiden maiden CERT-toimijoiden kanssa voidaan myös muun muassa poistaa verkosta palvelunestohyökkäykseen osallistuneita bottiverkon koneita.

Lisätietoa


Päivityshistoria

Asiasanat: Tietoturva , Bottiverkko , Palvelunestohyökkäys , Reititys , Riskienhallinta , Viat ja häiriöt , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248