Kategoria: Hakkerointi

Verkkopalveluusi hyökätään päivittäin?

Tiesitkö, että julkiseen verkkopalveluusi hyökätään todennäköisesti päivittäin?

Mikäli sinulla on Internetiin julkisesti näkyvillä oleva verkkopalvelu, kuten esimerkiksi verkkosivut, tiedostopalvelin tai etäyhteyspalvelu, niin sitä yritetään todennäköisesti murtaa päivittäin.

Hyökkääjä on saattanut ottaa erityisesti sinun palvelusi kohteekseen tai sitten hän vain etsii Internetistä sattumanvaraisia kohteita ja yrittää tehdä niihin automaattisia hyökkäyksiä.

etsittyja_ohjelmistoja

Sattumanvaraisissa hyökkäyksissä verkkopalvelustasi etsitään yleensä jotain tiettyä sovellusta tai avointa tietoliikenneporttia, johon hyökkäyks sitten kohdistetaan. Yllä olevassa kuvassa on esimerkki siitä, kuinka hyökkääjä on etsinyt palvelimelta phpMyAdmin -sovelluksen tiettyjä versioita.

Mikäli etsit hakukoneella tietoa sovelluksen versionumerosta 2.5.7 niin huomaat, että kyseisestä versiosta on löydetty tietoturvahaavoittuvuus. Jos hyökkääjä löytää palvelimeltasi kyseisen version, niin hän voi helposti jatkaa automaattista hyökkäystä eteenpäin.

testatut_salasanat

Toisessa kuvassa on esimerkki eräästä lokitiedosta, joka on otettu SSH-etäyhteyspalvelusta. Kyseinen palvelu oli testimielessä oletusasetuksilla avoinna verkkoon noin 1,5 vuorokauden ajan. Sinä aikana palveluun yritettiin kirjautua yli 300 kertaa eri käyttäjätunnuksilla. Kuvasta huomaa hyvin sen, että kyseessä on ns. sanakirjahyökkäys, jossa yritetään arvata käyttäjätunnus-salasana pareja.

Tällaiset automaattiset hyökkäykset ovat siitä pelottavia, että niitä voidaan toteuttaa useita erittäin lyhyessä ajassa. Tästä johtuen on erittäin tärkeää, että verkkopalvelusi tietoturva on ajan tasalla. Muista pitää palvelut aina päivitettyinä ja sulje turhat avonaiset palvelut pois julkisesta verkosta. SSH-esimerkistä huomaa myös sen, että salasanojen monimutkaisuuteen* kannattaa kiinnittää huomiota.

Huomioi myös se, että automaattisia hyökkäyksiä tekevä taho ei välttämättä välitä siitä onko kohteena yritys vai kotikäyttäjä. Itse asiassa edellä mainitussa SSH-esimerkissä palvelu oli käynnissä normaalilla kotikoneella, johon siis hyökättiin 1,5 vuorokauden aikana yli 300 kertaa!

*Vinkki: Mikäli salasanojen hallinta tuottaa tuskaa, niin tutustu KeePass-ohjelmaan!

Sähköpostin väärentäminen

Kun puhutaan sähköpostin väärentämisestä, niin usein sillä tarkoitetaan sähköpostin lähettäjätietojen väärentämistä. Toisin sanoen viesti näyttää tulleen eri paikasta, kuin mistä se oikeasti on tullut. Esimerkiksi käyttäjälle näkyy, että viestin lähettäjä on Yritys X vaikka todellisuudessa viestin lähetti Huijari Y.

Teknisesti sähköpostin lähettäjätietojen väärentäminen ei ole haastava asia. Itse asiassa riittää, että sähköpostiohjelmalle kerrotaan lähettäjän sähköpostiosoite, oli se sitten oikein tai ei. Tarvittavat työkalutkin saattaavat jopa löytyä tavallisen käyttäjän koneelta.

vaarennetty_sahkoposti

Yllä olevassa kuvassa on esimerkki väärennetystä lähettäjästä. Olen saanut viestin käyttäjältä, jonka sähköpostiosoitteen loppu on vaaraosoite.abcd. Viestin mukana on tullut myös liitetiedosto tiedotPDF.pdf.

Mikään ei estä muuttamasta sähköpostiosoitteeksi jotain uskottavampaa ja samalla selostamaan itse viestissä jotain liitetiedostosta. Luonnollisesti jos lähettäjä ja selostus on tarpeeksi kiinnostava, niin liitetiedosto tulee avattua sen enempää ajattelematta. Ja kaikkihan me tiedämme, että ”epäilyttäviä liitetiedostoja” ei saa avata!

Väärennetyn sähköpostin jäljittäminen

Väärennetystä sähköpostista, kuten oikeistakin, jää jälkiä vastaanottajan sähköpostijärjestelmään. Tutkimalla viestin alkuperäisiä lähetystietoja voidaan havaita mitä kautta viesti on meille saapunut. Tiedot ei välttämättä paljasta oikeaa lähettäjää (esim roskapostittajaa, hakkeria tms), mutta tiedot kertovat ainakin mitä kautta viesti saapui. Mikäli on syytä epäillä että lähetetty viesti ei ole asianmukainen, niin kannattaa ottaa yhteyttä alkuperäistiedoista paljastuvaan tahoon. Voi olla että hekään eivät ole olleet tietoisia, että heidän palveluitaan käytetään vääriin tarkoituksiin.

Sähköpostiviestin alkuperäistietojen tulkitseminen ei ole välttämättä se yksinkertaisin asia, mutta tavallinen käyttäjä saa ne toki näkyville melko helposti. Esimerkiksi Gmailissa ne löytyvät yksittäisen sähköpostiviestin toimintavalikon kohdasta ”Show original / Näytä alkuperäinen”. Vastaavasti Outlookin Webmailista alkuperäistiedot saa esille avaamalla viestin omaan ikkunaansa ja valitsemalla kohdan ”Message details / Viestin tiedot”

vaarennetty_lahettaja

Jotkut sähköpostipalvelut sisältävät tietoturvaominaisuuksia, jotka varoittavat poikkeuksista alkuperäistiedoissa. Esimerkiksi Gmailissa tulee erillinen keltainen varoitusteksti (kuva yllä vuodelta 2013), jos viestin väitetään tulevan Gmailista, mutta ei oikeasti tule.

Kadonnut vierailijakortti on tietoturvauhka?

Mitä vääriin käsiin päätynyt vierailijakortti voi aiheuttaa yrityksellesi?

Löysin taannoin bensa-asemalta erään isohkon tunnetun yrityksen vierailijakortin. Tällaisten korttien yleisenä tarkoituksena on viestittää muille yrityksen tiloissa liikkuville, että kyseessä on vierailija. Edistyneimmissä korteissa voi olla mukana myös kulkuoikeuksiin viittaavaa tietoa, esimerkiksi korttia näyttämällä pääsee automaattisesti tietyistä ovista läpi jne.

Löytynyt kortti sisälsi seuraavaa tietoa:

  • Firman nimi ja logo
  • Vierailijan koko nimi
  • Vierailijan edustama yritys
  • Vierailijan isännän nimi
  • Päivämäärä
  • Jokin ID-numero
  • Viivakoodi

Näiden tietojen lisäksi itse kortti on erityisellä tavalla muotoiltu ja sen pystyy kiinnittämään asusteeseen helposti.

Mitä vierailijakortti kertoo yrityksen turvallisuudesta?

Ensimmäiseksi voisi ajatella, että tätä korttia ei olisi kannattanut kadottaa, sillä kortti mahdollistaa yrityksen tiloissa liikkumisen ”vierailijana” sekä helpottaa sosiaalista hakkerointia. Mutta asian voi ajatella myös toisin:

  • Erityinen muotoilu ja kiinnittämiskeino viittaavat siihen, että kortteja tehdään usein ja automaattisesti. Vierailut ovat siis arkipäivää yrityksessä.
  • Korttiin on merkitty päivämäärä isoilla numeroilla. Kauempaakin jo näkee, koska kortti on voimassa ja koska ei.
  • Epäselvissä tilanteissa asian voi tarkistaa vierailijakorttiin merkityltä yrityksen edustajalta (isännän nimi).
  • ID-luku ja viivakoodi eivät kerro ulkopuoliselle mitään, mutta sisäisesti niillä on jokin merkitys. Se voi olla esim kortin aitouden tarkistukseen liittyvää tietoa.

Kortti mainostaa löytäjälleen, että tässä yrityksessä on todella ajateltu vierailijoista aiheutuvia riskejä.

Miten sinun yrityksessäsi otetaan vierailijat vastaan, missä tiloissa he saavat liikkua ja tunnistavatko muut työntekijät vierailijan?

Entä mitä vieraat saavat tehdä tai nähdä tiloissasi? Lue lisää esimerkiksi siitä, miten valokuvaaminen vaarantaa tietoturvan tai mitä kaikkea vierailijat voivat nähdä, jos yrityksessäsi ei noudateta puhtaan pöydän periaatetta.

Näitä kysymyksiä kannattaa pohtia, sillä kaikkia tietoturvahyökkäyksiä ei tehdä tietotekniikan avulla!

Sosiaalinen hakkerointi käytännössä

Selvitetään aluksi mitä sosiaalinen hakkerointi tarkoittaa, jonka jälkeen käsitellään itse esimerkkitapaus. Näin esimerkkitapauksen kokonaiskuva hahmottuu paremmin.

Mitä on sosiaalinen hakkerointi?

Hakkeroinnilla (/krakkeroinnilla) tarkoitetaan yleisesti esimerkiksi tietojärjestelmien heikkouksien hyödyntämistä luvattoman pääsyn hankkimiseksi.

Sosiaalisessa hakkeroinnissa on tarkoituksena saada kohteena oleva ihminen esimerkiksi luovuttamaan tietoja hyökkääjälle, joita kohde ei yleensä kolmansille osapuolille luovuttaisi. Tyyppiesimerkkinä tästä on vaikkapa esiintyä työntekijänä, joka on kadottanut salasanansa, ja soittaa it-tukeen uuden salasanan saamiseksi. Mikäli hyökkääjä on tarpeeksi uskottava, saattaa hän saada huijattua it-tuesta itselleen pääsyn järjestelmiin, joihin hänellä ei normaalisti olisi pääsyä.

Sosiaalinen hakkerointi etenee yleensä siten, että ensin kerätään taustatietoa kohteesta, sitten keksitään jonkinlainen taustatarina johon nojaudutaan ja lopuksi pyritään toteuttamaan ”hakkerointi”, sekä hankkimaan halutut tiedot hyökkäyksen kohteelta.

 

Käytännön esimerkki sosiaalisesta hakkeroinnista

Helsingin sanomat uutisoi 1.7.2012 rikollisista, jotka ovat tyhjentäneet yritysten tilejä kaappaamalla puhelinliittymiä.

HS:n uutisen mukaan rikolliset etenivät seuraavalla tavalla:

  1. Rikolliset valitsivat tietyt yritykset ja selvittivät niistä tarkempia tietoja.
  2. Rikolliset laativat väärennetyn hallituksen kokouksen pöytäkirjan, jossa yrityksen tilin käyttöoikeudet päätetään siirtää henkilölle X.
  3. Rikolliset ilmoittavat teleoperaattorille, että yrityksen hallituksen puheenjohtajan sim-kortti on rikki/kadonnut.
  4. Teleoperaattoria pyydetään ohjaamaan hallituksen puheenjohtajan puhelut toiseen numeroon. Numero on tietysti rikollisten käytössä.
  5. Henkilö X menee pankkiin nostamaan rahoja yrityksen tililtä.
  6. Pankkivirkailija tarkistaa pöytäkirjan (tai muun vastaavan dokumentin) ja tekee varmistussoiton yritysen hallituksen puheenjohtajalle.
  7. Koska puhelu siirtyy rikollisten numeroon, niin heidän on helppo vahvistaa dokumentin aitous.
  8. Rikollinen saa rahat…ainakin osassa tapauksista. Uutisen mukaan parhaimmillaan jopa kymmeniä tuhansia euroja.

Rikolliset siis toteuttivat ensin taustatietojen tarkistusta (yrityksen nimi, puheenjohtaja jne), joiden perusteella he laativat taustatarinat (pöytäkirjat). Itse hakkerointi on tässä tapauksessa pankkivirkailijan luottamuksen hankkimista ja sen vahvistamista puheluun (kohta 7.) vastaamalla.

Pankit ja operaattorit ovat sen verran isoja toimijoita, että asiakkaan näkökulmasta heihin ei voi oikein muuta kuin luottaa. Pienemmille yrityksille luottamuspula voi kuitenkin aiheuttaa sellaisen kolhun liiketoimintaan, että koko toiminta voi loppua.

Oli kyseessä sitten iso tai pieni yritys, tulisi sosiaaliseen hakkerointii varautua edes jotenkin. Tunnetusti ihminen on tietoturvan heikoin kohta. Aihe on kuitenkin hankala, koska ihmiseen ei voi asentaa esimerkiksi palomuuria, joka estää asiattomat kyselyt ihmismieleen.

Sen sijaan jos ihminen pystyy tunnistamaan hankalan tilanteen, pystyy hän todennäköisesti toimimaan siinä myös paremmin. Kouluttaminen ja tietoturvatietoisuuden lisääminen ovat siis olennaisessa osassa sosiaalisen hakkeroinnin torjunnassa.

Salasanan murtaminen

Puhuttaessa salasanan murtamisesta viitataan usein kahteen erilaiseen murtamiskeinoon: sanakirjahyökkäys ja ns. brute-force -hyökkäys. Ohessa on kuvattuna molemmat hyökkäystyypit.

Sanakirjahyökkäys

Kun ihminen on unohtanut salasanansa johonkin järjestelmään, niin hän luonnollisesti testaa eri salasanoja eri järjestyksessä. Jossain vaiheessa hän saattaa muistaa oikean salasanan ja saa pääsyn järjestelmään.

Tietokone voidaan valjastaa tekemään tämä sama operaatio huomattavasti nopeammassa ajassa. Termi sanakirjahyökkäys saa nimensä siitä, että murto-ohjelmalle annetaan lista sanoista, joita hyökkäyksessä testataan. Ohjelma käy läpi koko listan (esim sanakirjan) ja testaa olisiko joku niistä sanoista oikea salasana.

Brute force -hyökkäys

Sanakirjahyökkäyksessä salasanoja arvattiin tietyn listan perusteella, mutta tässä hyökkäyksessä ei ole mitään listoja. Tämän hyökkäyksen ideana on yksinkertaisesti kokeilla kaikki mahdolliset merkkijonot läpi, kunnes oikea salasana löytyy. Siitä syystä hyökkäys on saanut nimen brute force = raaka voima.

Kun salasanoja tallennetaan esim web-palveluiden tietokantoihin, niin tallennusta ei saisi tehdä selkokielisenä. Jos tietokanta saadaan varastettua, niin kaikki selkokieliset salasanat paljastuu heti siitä vain lukemalla. Salasanat voidaan tallentaa tietokantaan myös salattuna. Yleensä salausvaiheessa salasanasta lasketaan ns. tiiviste, joka sitten tallennetaan palvelun tietokantaan. Tiivistealgoritmejä ovat esimerkiksi MD5 ja SHA-1

Kun web-palveluun kirjaudutaan, niin järjestelmä laskee annetusta salasanasta tiivisteen ja vertaa sitä tietokannassa olevaan. Mikäli tiivisteet täsmäävät annetaan käyttäjän kirjautua sisään.

Salasanan isoilla ja pienillä kirjaimilla on tiivistettä laskiessa olennainen merkitys. Isot kirjaimet tuottavat eri tiivisteitä kuin pienet. Esimerkkinä vaikkapa sanat ”peura” ja ”PEURA”:

peura MD5 tiiviste on: 058348972c0277e4f1c33811f7b59e61
PEURA MD5 tiiviste on eri: d98a9053fee787ba347b84c70101b2b5

Kuvitellaan että palvelusta Y olisi varastettu MD5-salattu salasanatietokanta. Hyökkääjä näkee vain erilaisia MD5 tiivisteitä. Hän haluaa tietää mitä tiivisteet tarkoittavat, joten ne tarvitsee murtaa. Hyökkääjä päättää laskea brute force tekniikalla eri merkkijonojen MD5-tiivisteitä, kunnes oikea merkkijono löytyy. Käytetään siis ”raakaa voimaa” asian ratkaisemiseksi! Jos tietokannasta löytyy tiiviste 058348972c0277e4f1c33811f7b59e61 niin hyökkääjä tietää, että kyseinen salasana = peura. Tehokkaat tietokoneet mahdollistavat sen, että hyökkääjä voi laskea erittäin lyhyessä ajassa paljon MD5-tiivisteitä.

Huom! Mitä pidempi ja monimutkaisempi salasana on kyseessä, sitä kauemmin sen murtaminen kestää, koska hyökkääjä joutuu laskemaan niin monia eri tiivisteitä salasanasta.