Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Tietoturva nyt! > 2007 > Toukokuu

Toukokuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

31.05.2007

Suojautuminen hyökkäyksiltä kannattaa

Internetissä tarjottavien palvelujen suojaamiseksi voi tehdä paljonkin. Aina ei täydelliseen suojaukseen edes kannata pyrkiä, mutta jos esimerkiksi yrityksen liiketoiminta perustuu sen tarjoamiin sähköisiin asiointipalveluihin, väärinkäytöksiltä suojautumiseen kannattaa panostaa.


Kapasiteettia tarpeen mukaan

Yksinkertainen, joskaan ei aina halpa, tapa suojautua palvelunestohyökkäyksiltä on järjestelmien ja verkkoyhteyksien reipas ylimitoittaminen niin, että vain kaikkein suurimmilla hyökkäyksillä on vaikutusta palvelutasoon. Järjestelmän osien tulee kuitenkin olla ominaisuuksiltaan tasapainossa. Jos palvelinten tai palomuurin kapasiteetti on pieni tietoliikenneyhteyksien nopeuteen verrattuna, liittymän nopeuden keinotekoinen rajaaminen teleyrityksen päässä voi säästää monelta harmilta.

Palvelimille ei pitäisi normaalitilanteessakaan päästää muuta kuin palvelun toteuttamisen ja ylläpitämisen kannalta tarpeellista liikennettä. Ylimääräinen tulee suodattaa pois.

Erottele jyvät akanoista

Suojautua voi myös pyrkimällä erottelemaan vihamieliset yhteydet palveluiden normaalikäyttäjistä. Hajautettujen hyökkäysten torjuminen pelkästään IP-osoitteiden perusteella ei useinkaan ole tehokasta, koska hyökkääjä voi käyttää suurta määrää osoitteita.

Protokollan vastaiset yhteydet voidaan kuitenkin usein tunnistaa, jolloin niiden pääsy palvelimia kuormittamaan on mahdollista estää. Tämä edellyttää joko varta vasten verkko- tai sovellusliikenteen suodattamiseen tarkoitettuja laitteita tai ainakin siihen soveltuvia ominaisuuksia esimerkiksi palomuurilta.

Suodatustapoja on voitava luoda ja muuttaa tilanteen mukaan niin, että kulloinkin kyseessä olevan hyökkäyksen erityispiirteisiin voidaan tarpeen mukaan reagoida.

Hajauta hallitusti

Hyökkäysten vaikutuksia voi pienentää myös se, että palvelu ei ole vain yhden koneen ja osoitteen varassa. Palvelinten kesken kuormaa tasaavat ja yhteyksien määrää rajoittavat laitteet voivat pitää palvelun toiminnassa, vaikka sen käyttäminen hyökkäyksen aikana hidastuisikin. Hajauttamiseen voidaan käyttää myös nimipalvelusta samalla nimellä löytyviä eri IP-osoitteissa toimivia palvelimia.

Todella laajalti käytetyt ja suositut palvelut, kuten hakukoneet, on hajautettu maantieteellisesti niin, että samaa palvelua tarjotaan eri puolilla maailmaa olevilta palvelimilta. Käyttäjien yhteydet ohjataan verkon kannalta otollisimmassa paikassa olevalle palvelimelle. Yksinkertainen tapa jakaa kuormaa on kopioida suosittua tietosisältöä eri palvelimille ja ohjata käyttäjät hakemaan tietoa eri paikoista esimerkiksi www-sivulla olevan linkkilistan avulla. Monia suosittuja ohjelmistoja jaetaankin peilaamalla (mirror) jaettavat tiedostot eri palvelimille.

Varaudu hyökkäyksiin ennalta

Palvelunestohyökkäyksen tehokas torjuminen voi vaatia sellaista asiantuntemusta ja laitteistoa, jota ei normaalisti ole käytettävissä. Jos palvelun toimivuus on yritykselle tärkeää, on poikkeustilanteisiin varautuminen otettava huomioon jo palvelun toteutusta suunniteltaessa - vähintään on tiedettävä, että mistä ja minkälaisella aikataululla asiantuntija-apua on saatavilla.

31.05.2007

Palvelunestohyökkäyksiä on monta lajia

Esto on tilanne, jossa palvelun normaali toiminta on estynyt vian, ylikuormituksen tai häirinnän vuoksi. Palvelunestohyökkäys on tietojärjestelmän toiminnan tahallista häiritsemistä. Hajautetussa palvelunestohyökkäyksessä hyökkäyksen lähteitä on useita.

CERT-FI:lle on vuosien saatossa raportoitu useita eri tavoin toteutettuja palvelunestohyökkäyksiä. Valikoima on laaja, mutta yhteisiäkin nimittäjiä löytyy.


Työkaluna vertaisverkko, botnet tai verkkomato

Tavallisimmin hajautettu palvelunestohyökkäys tehdään botnetin eli etähallittavalla haittaohjelmalla haltuun otettujen tietokoneiden verkoston avulla. Botnet-hyökkäyksessä hyökkääjän ohjauspalvelimelta komennetaan tavallisten internet-käyttäjien tietokoneet osallistumaan hyökkäykseen. Hyökkäykseen voi osallistua tuhansia murrettuja tietokoneita niiden käyttäjien siitä tietämättä.

Hyökkäyksessä voidaan käyttää myös itsestään verkossa leviävää haittaohjelmaa, eli matoa, joka tietokoneeseen tartuttuaan ottaa yhteyksiä kohdejärjestelmään. Madon levitessä kasvaa myös kohteeseen tuleva kuormitus. Ohjelma ei tarvitse erillistä komentoyhteyttä, eikä hyökkäystä edes voi pysäyttää poistamatta sitä tartunnan saaneista tietokoneista.

Viime aikoina ovat yleistyneet hyökkäykset, joissa hyödynnetään tiedostonjakoon käytettäviä vertaisverkkoja, kuten Direct Connect -verkkoja. Vertaisverkkosovellusten suunnittelussa ei ole riittävästi huomioitu väärinkäytösten mahdollisuutta, ja vasta viime aikoina ohjelmistoihin on lisätty niitä torjuvia ominaisuuksia. Yleisesti käytettyjä vertaisverkon asiakasohjelmistoja ovat DC++ ja Linuxdc++. Käyttäjät löytävät toisensa hub-palvelinten kautta, suosittuja palvelinohjelmistoja on useita, esimerkiksi Verlihub, YnHub ja PtokaX. Direct Connectin lisäksi myös muita vertaisverkkoprotokollia on mahdollista käyttää hyökkäyksiin.

Verkkoprotokollien väärinkäyttämistä

Varsin yleinen tapa kohteena olevan palvelun verkkoyhteyden kuormittamiseksi on niin sanottu SYN flood. Tällaisessa hyökkäyksessä väärinkäytetään yhteydellisen TCP-protokollan kolmivaiheista kättelyä. Kohteena olevaan osoitteeseen lähetetään paljon TCP-protokollan yhteydenmuodostuspaketteja (SYN), joihin kohdepalvelin vastaa. Tässä vaiheessa ensimmäisen koneen tulisi viimeistellä kättely, jolloin koneiden välille muodostuu looginen yhteys. Hyökkäyksessä kättely kuitenkin jätetään tahallaan viimeistelemättä ja kohdepalvelin jää turhaan odottelemaan yhteyden valmistumista. Puoliksi muodostuneet yhteydet varaavat resursseja palvelimelta, palomuurilta ja muiltakin verkkolaitteilta. SYN-pakettien lähettäjän IP-osoite voi olla väärennetty, sillä hyökkääjähän ei ole edes kiinnostunut vastauspaketeista. SYN flood ei tavallisesti näy sovellustason lokeissa.

Kohdetta on myös kuormitettu lähettämällä verkkoon ICMP ECHO REQUEST -paketteja ("ping") , joissa on lähettäjäksi väärennetty hyökkäyksen kohteena olevan koneen IP-osoite. Kaikki paketin vastaanottaneet koneet lähettävät ICMP ECHO REPLY -vastauksensa tähän osoitteeseen. Kohteen kannalta paketit näyttävät tulevan eri osoitteista, jolloin hyökkäyksen torjuminen IP-osoitteen perusteella ei onnistu. Hyökkääjän osoitetta paketeissa ei näy.

Myös nimipalvelimia on käytetty vastaavalla tavalla lähettämällä niille DNS-kyselyjä, joiden lähettäjäksi on väärennetty hyökkäyksen kohde, jolle palvelimet sitten lähettävät vastauksensa. Kyselyihin käytetään UDP-protokollaa, joka ICMP:n tapaan ei vaadi molemmilta yhteyden osapuolilta varmistusta yhteyttä muodostettaessa.

Sovellusten toiminnan häiritsemistä

Joidenkin verkkopalvelun toimintaa on häiritty syöttämällä niille sovellusprotokollaan kuulumatonta liikennettä. Esimerkiksi joidenkin vertaisverkkojen avulla toteuttujen hyökkäysten yhteydessä www-palvelun käyttämään TCP-porttiin 80 on ohjattu HTTP:n sijasta Direct Connect -liikennettä, joka on saattanut lamaannutta www-palvelimen toiminnan.

Joissakin tapauksissa sovelluksen toimintaa on häiritty edellä kuvattua kolmivaiheista kättelyä vastaavalla tavalla, mutta sovellusprotokollan puitteissa. Esimerkiksi sähköpostipalvelimia on kuormitettu avaamalla suuri määrä SMTP-yhteyksiä, joiden kautta ei kuitenkaan lähetetä mitään.

Helpoimmin ymmärrettävä palvelunestotilanne on, kun palvelua rasitetaan raskaalla käytöllä. Sähköpostipalvelimia on toistuvasti kuormitettu lähettämällä niiden kautta viestejä olemattomille vastaanottajille tai lähettämällä paljon suurikokoisia, pakattuja liitetiedostoja, jotka ovat kuormittaneet vastaanottajan virusskanneria.

Palvelu saattaa myös olla alitehoinen. Jos esimerkiksi www-sivu rakennetaan palvelimella jokaiselle käyttäjälle erikseen, voidaan palvelin saada jumiin suhteellisen pienelläkin määrällä yhteyksiä. Samoin on vaara, mikäli www-sivun tuottamiseen liittyy raskaita tietokantahakuja tai muita järjestelmää kuormittavia tapahtumia. Yksinkertaisimmillaan palvelunestohyökkäykseen on pyritty kehottamalla ihmisiä ottamaan yhtä aikaa toistuvia yhteyksiä kohteena olevaan palveluun. Tällainen hyökkäys ei ole välttämättä kovin tehokas. Monet suositut palvelut ovat kuitenkin tukkiutuneet ilman varsinaista hyökkäystarkoitustakin kun käyttäjiä onkin yhtäkkiä tullut odottamattoman paljon. Jo pelkästään www-osoitteen ilmoittaminen vilkkailla keskustelufoorumeilla tai chat-kanavilla voi aiheuttaa yllättävän kuormituspiikin.

Ohjelmistohaavoittuvuudet voivat altistaa

Hyökkäys voi perustua myös kohteena olevan järjestelmän heikkouteen, esimerkiksi sovellukselle annettavan syötteen käsittelyssä piilevään ohjelmointivirheeseen. Ohjelmistohaavoittuvuuksista kertoessamme pyrimme tuomaan esille, milloin virhe ohjelmistossa voi altistaa palvelunestohyökkäykselle.

Yhteyksien määrä yli sietokyvyn

Hyökkäystekniikasta riippumatta palvelu kuin palvelu saadaan lamautettua, mikäli sen verkkoyhteys saadaan tukittua. CERT-FI on vuosien varrella käsitellyt lukuisia tapauksia, joissa verkkoyhteys on saturoitunut, koska kohteeseen suuntautuva liikenne on kasvanut suuremmaksi kuin verkon on suunniteltu kestävän. Hyökkäysliikenteen määrästä riippuen häiriöstä on kärsinyt kohteena oleva yksittäinen palvelu, koko palveluntuotantoverkko, teleyrityksen asiakasliittymä tai jopa teleyrityksen runkoverkko.

25.05.2007

ENISA on julkaissut tiedonannon liittyen Eestin palvelunestohyökkäyksiin

Euroopan verkko- ja tietoturvavirasto ENISA on julkaissut tiedonannon liittyen Eestin palvelunestohyökkäyksiin. Tiedonanto löytyy täältä.

24.05.2007

Verkkoliikenteen määrä notkahti viime yönä


Viime yönä havaittiin kansainvälisessä verkkoliikenteessä poikkeuksellinen ilmiö. Useimpien operaattorien ja kansainvälisten internetin liityntäpisteiden liikennemäärissä havaittiin notkahdus kello 03.00 kunkin operaattorin paikallista aikaa. Notkahduksen syynä saattaa olla eilen Windows Update -jakeluun tullut päivitys (KB927891), jota edellyttää työaseman uudelleenkäynnistystä.

22.05.2007

Lehdistötilaisuus ja ylimääräinen tietoturvakatsaus

Viestintävirasto järjesti tiistaina 22.5. lehdistötilaisuuden, jonka aiheena olivat palvelunestohyökkäykset. Samalla CERT-FI julkaisi myös ylimääräisen tietoturvakatsauksen 1B/2007.

16.05.2007

Palvelunestohyökkäyksiin on syytä varautua

Viestintäviraston tietoon on viime aikoina tullut aikaisempaa enemmän palvelunestohyökkäyksiä. Tänään julkaistussa lehdistötiedotteessa todetaan, että hyökkäyksiä yhdistää toteutuksen hajautettu luonne, joka tekee hyökkäystä vastaan suojautumisesta vaikeampaa. Palvelunestohyökkäyksistä on kerrottu myös CERT-FI:n tietoturvallisuuden tilannekatsauksessa 1/2007.

Palvelunestohyökkäyksellä pyritään lamauttamaan verkon kautta tarjottava palvelu. Kyse ei ole tietomurrosta eikä tiedon luottamuksellisuus yleensä ole uhattuna. Hyökkääjä ei ole välttämättä lainkaan kiinnostunut kohdekoneen mahdollisesti sisältämistä tiedoista.

Jos epäilee joutuneensa palvelunestohyökkäyksen kohteeksi, kannattaa ottaa yhteyttä verkkopalvelujensa tarjoajaan ja selvittää tilannetta yhdessä heidän kanssaan, jotta voidaan varmistua siitä, ettei ole kysymys palvelun sisäisestä laiteviasta tai asetusvirheistä. Palvelimen, palomuurin tai muun verkkolaitteen lokitiedoista voi jo selvitä paljon, ja liikenteen analysointi kertoo lisää tapahtumien luonteesta. Jos epäily hyökkäyksestä näyttää osoittautuvan todeksi, kannattaa ottaa yhteyttä myös Viestintäviraston CERT-FI -yksikköön.

15.05.2007

Palvelunestohyökkäykset seurannassa

Yleisradion verkkopalveluja kohtaan suunnatussa palvelunestohyökkäyksessä ohjattiin p2p-tyyppisen DC++ -tiedostonjako-ohjelman liikennettä kuormittamaan osoitteessa www.yle.fi sijaitsevaa palvelinta. Yhteydet suuntautuivat TCP-porttiin 80 mutta erosivat selvästi HTTP-protokollan mukaisesta liikenteestä.

YLE:n lisäksi raportoitiin myös Suomi24-palveluun ja Eniron www-palveluihin kohdistuneesta hyökkäyksestä.

Poliisin ja Sisäasiainministeriön web-sivut www.poliisi.fi ja www.intermin.fi olivat lyhyen aikaa saavuttamattomissa vähän ennen kello 19:ää tiistai-iltana. CERT-FI:n saamien tietojen mukaan kyseessä oli kuitenkin suunniteltu huoltokatkos eikä palvelunestohyökkäys.

15.05.2007

Ylen verkkosivujen toiminnassa ongelmia

Yleisradion verkkosivujen (www.yle.fi) toiminnassa on ollut ongelmia. Sivut ovat olleet ajoittain saavuttamattomissa maanantaina 14.5. iltapäivällä ja myöhään illalla sekä edelleen tiistaina 15.5. aamupäivällä. Häiriöiden syyksi epäillään palvelunestohyökkäystä.

Tilannetta selvitetään edelleen, ja sivujen toimivuuden takaamiseksi on verkkoliikennettä sivustolle jouduttu rajoittamaan.

08.05.2007

Microsoft julkaisi toukokuun päivitykset

Microsoftin tänään julkaisemat seitsemän päivitystä korjaavat yhteensä 18 haavoittuvuutta Microsoftin Office-, Exchange- ja Internet Explorer -tuotteista. Päivitykset korjaavat myös DNS/RPC-haavoittuvuuden, jota on käytetty aktiivisesti hyväksi. Kaikkien seitsemän päivityksen korkein uhkaluokitus on Microsoftin mukaan kriittinen. CERT-FI suosittelee erityisesti päivitysten MS07-026, MS07-027 ja MS07-029 välitöntä asentamista.

07.05.2007

Microsoft julkaisee huomenna useita tärkeitä tietoturvapäivityksiä

Microsoft julkaisee huomisen illan aikana seitsemän päivitystä. Kaksi päivityksistä koskee Windows-käyttöjärjestelmää, kolme Office-ohjelmistoja, yksi Exchange-ohjelmistoa ja yksi CAPICOM-komponenttia sekä BizTalk-ohjelmistoa. Microsoft on merkinnyt useat päivityksistä kriittisiksi. Windows-käyttöjärjestelmän päivitykset vaativat ja Office-ohjelmistojen päivitykset saattavat vaatia järjestelmän uudelleenkäynnistyksen. CERT-FI tulee julkistamaan päivityksistä myös varoituksen.

CERT-FI suosittelee päivittämään haavoittuvat ohjelmistot ensi tilassa. Helpoin tapa päivitysten asentamiseen on automaattinen päivityspalvelu. Microsoftin päivityspalvelu löytyy osoitteesta:

http://update.microsoft.com

04.05.2007

Palvelunestohyökkäykset eestiläisiä kohteita vastaan jatkuvat

Eestin hallintoa vastaan suunnatut palvelunestohyökkäykset jatkuvat edelleen.
Hyökkäysliikenne koostuu ICMP Echo Request- ja TCP SYN -paketeista. Suurimman osan liikenteestä aiheuttaa saastuneiden koneiden verkot, botnetit, joita hyökkääjät komentavat. Osa liikenteestä on peräisin erilaisista komentosarjoista, joita on levitetty internetin keskustelupalstoilla.

CERT-FI pyytää suomalaisten verkkojen ylläpitäjiä ilmoittamaan CERT-FI:lle mahdollisesta allaolevaan verkkolohkoon suuntautuvasta liikenteestä, joka koostuu pääosin ICMP Echo Request- ja TCP SYN -paketeista.

AS 8240 / ASO Autonomous System
Inetnum 195.80.96.0 - 195.80.111.255
BGP Prefix 195.80.96.0/19

04.05.2007

PHP-ohjelmointikielen versiot 5.2.2 ja 4.4.7 on julkaistu

PHP on useilla www-sivustoilla käytössä oleva avoimen lähdekoodin ohjelmointikieli. PHP-ohjelmointikielestä on julkaistu uudet versiot 5.2.2 ja 4.4.7. Nämä versiot korjaavat lukuisia aiemmissa PHP-ohjelmointikielen versiossa ilmenneitä haavoittuvuuksia, joista muun muassa 10 on Month of PHP Bugs -kampanjassa julkaistuja.