Kanta-Häme

Isot nettihyökkäykset entistä isompia

Datamäärän avulla tehtävien tietoturvahyökkäysten voimakkuus on kasvanut merkittävästi kuluvan vuoden aikana, arvioi Viestintäviraston kyberturvallisuuskeskuksen johtava asiantuntija Kauto Huopio.

– Volyymihyökkäyksissä on tapahtunut tämän vuoden aikana dekadiluokan (kymmenkertainen) hyppäys, Huopio kertoo.

Internetpalveluja saadaan nurin esimerkiksi kohdistamalla niihin liian voimakas tietoliikenne kaappaamalla joukko huonosti suojattuja verkkolaitteita.

– Gigabitin sekuntinopeudella toimiva liittymä on yrityksellekin todella nopea. Jos siihen kohdistetaan vaikkapa 500 gigabittiä hyökkäysvoimaa, kuten on nähty, se aiheuttaa haasteita jo teleoperaattoritasollakin, jopa kansainvälisissä runkoyhteyksissä.

Toissa perjantaina sattuneeseen laajaan palvelunestohyökkäykseen osallistui noin 100 000 saastunutta laitetta. Asiasta kertoi keskiviikkona Dyn-yhtiö, johon hyökkäys kohdistui.

Hyökkäys pudotti verkosta tilapäisesti esimerkiksi Twitterin, GitHubin, New York Timesin sekä Boston Globen sivustot.

Internet-laitteita valmistavan Ciscon arvion mukaan verkossa on kiinni arviolta 17 miljardia eri laitetta, joten kyse on vielä pienestä joukosta.

– Hyökkäyksessä käytetty Mirai-haittaohjelmisto on vieläpä nirso, kertoo F-Securen tutkimusjohtaja Mikko Hyppönen.

– Mirai ei koko aikaa etsi internetistä uusia laitteita. Sille kelpaavat käytännössä yhden valmistajan piirisarjaa käyttävät laitteet ja niistäkin vain ne, jotka ovat kiinni julkisessa verkossa ilman palomuureja, ja edelleen niistäkin vain ne, joiden salasanat ovat tyyppiä ”admin” tai ”user”. Kyseessä ovat kaikkein helpoimmat kohteet, ja silti mukaan saadaan 100 000 konetta, Hyppönen kertoo.

Huopion mukaan internetin hajautettu perusrakenne tekee siitä onneksi varsin kestävän hyökkäyksiä vastaan. Mirai-hyökkäys suunnattiin kuitenkin tiettyä verkon avainteknologiaa, nimipalvelimia, vastaan. Nimipalvelin on laite, joka kertoo mikä numeerinen internet-osoite vastaa käyttäjän kirjoittamaa nettiosoitetta.

Käytännössä kun käyttäjä kirjoittaa selaimen osoitekenttään vaikkapa www.twitter.com, selain hakee nimipalvelimelta numerosarjan, jonka avulla se löytää Twitterin sivuille.

– Nimipalvelu on internetin puhelinluettelo. Kun laitetaan useidenkin eri palveluiden puhelinluettelo samaan infrastruktuuriin, voi tulla aika näyttäviä seurauksia, Huopio havainnollistaa.

– Tässä tapauksessa ei murtauduttu organisaatioiden sisälle, vaan ainoastaan verkkopalvelut estyivät. Jos kyseessä on aikakriittinen palvelu, vaikkapa pankkisektorilla, pitäisi siihen tulevaisuudessa kiinnittää enemmän huomiota.

Suurimpia kohteita ovat niin kutsutut juurinimipalvelimet, joissa on säilöttynä esimerkiksi jokainen .fi-päätteinen nettiosoite. Ne ovat Huopion mukaan kuitenkin jo nyt hyvin hajautettuja kriittisyytensä vuoksi.

Hyökkäys olikin tehokas oppitunti niille yrityksille, jotka olivat ostaneet palveluita vain Dynilta.

– Jos ostaa palvelut kolmelta yritykseltä, ja kaksi palvelinta menee nurin, se ei näkyisi yhtään missään. Nyt Twitter oli nurin, mutta Pornhub toimi loistavasti, Hyppönen naureskelee.

Hän arvioi, että pornosivustoille on jo aiemmin hyökätty enemmän, joten ne ovat ehtineet oppia asian kantapään kautta.

Kauto Huopio sanoo olevansa varma, että hyökkäys ei jää viimeiseksi tämäntyyppiseksi ta- paukseksi. Mikko Hyppönen pitää vieläkin laajemman skaalan hyökkäystä teknisesti mahdollisena, mutta motiivia moiseen on vaikea löytää.

– Tämän hyökkäyksen takana oli mitä ilmeisimmin teinejä, jotka vain kokeilivat mitä tapahtuisi. Teinipojat eivät halua kaataa internetiä, sillä he rakastavat sitä. Verkkorikolliset taas tekevät kaiken rahansa netissä, ja valtioiden kannalta netin suurin hyöty on kansalaisten seuranta ja vieraiden valtioiden vakoilu, Hyppönen perustelee.

Hyppösen mukaan potentiaalinen suuren skaalan hyökkäyksen tekijä voisi olla vaikkapa islamilainen valtio Isis, mutta sen tekninen osaaminen on ollut länttä kohtaan tunnettua vihaa heikompaa, kiitos Yhdysvaltain armeijan.

– USA tappaa Isiksen hakkereita tehokkaasti.

Hyppönen pitää kuitenkin varsin mahdollisena, että esimerkiksi presidentinvaalipäivänä koetaan jonkin tahon palvelunestohyökkäyksiä joko Yhdysvalloissa tai maailmanlaajuisesti.