Voiko tietoturvan pettäminen tuhota koko yrityksen?

Viimeisen puolen vuoden aikana internetissä ja alan lehdissä on juteltu paljon ns. varmenneskandaalista. Ensin maaliskuussa 2011 rikollinen taho pääsi käsiksi tietoturvayritys Comodon tytäryhtiön SSL-varmennetietoihin[1] ja myöhemmin syksyllä sama tapahtui yritykselle nimeltä Diginotar[2].

Rikolliset onnistuivat luomaan väärennettyjä SSL-varmenteita, joita sitten esimerkiksi Google, Yahoo, Skype ja Mozilla saivat käyttöönsä[1]. Käytännössä tämä tarkoittaa sitä, että kyseisten palveluiden tietoturvallinen https-yhteys ei todellisuudessa olekaan ollut niin turvallinen.

1 CERT-FI: Vääriä SSL-varmenteita luotu käyttäen varastettuja käyttäjätietoja

2 CERT-FI: Väärennetty SSL-varmenne luotu Googlen osoitteille

 

Asiasta syntyi tapahtuketju, jonka seurauksena Diginotarin varmenteisiin ei enää luotettu ja kyseisen yrityksen varmenteet poistettiin myös eri käyttöjärjestelmistä ja nettiselaimista. Toisin sanoen, yrityksen luottamus on täysin kadonnut ja sitä voidaan pitää lähes kuolemantuomiona nykymaailmassa.

Kysymys: Mieti onko omassa yrityksessäsi jotain tietoa, jonka menettäminen johtaisi vastaavanlaiseen katastrofiin?

Kysymys: Miten olet suojannut liiketoiminnallesi tärkeät tiedot?

Kysymys: Onko yrityksessäsi mietitty, miten liiketoimintaa jatketaan vakavan tietomurron jälkeen?

Tieto on valtaa

Tiistaina 2.8.2011 tietoturvayritys McAfee julkaisi koko (IT-)maailmaa kohtauttaneen uutisen/raportin, jossa väitetään paljastuneen tähän mennessä maailman suurin tietomurtojen sarja. Kyseinen ”Operation: Shady RAT” -raportti on luettavissa McAfeen blogista.

Jokaisen asiasta kiinnostuneen kannattaa lukea yllä mainittu McAfeen Dmitri Alperovitchin julkaisema blogiviesti. Alla oleva teksti on referoitu/suomennettu kyseisestä artikkelista ja jaettu osiin, jotta aihetta olisi helpompi käsitellä eri näkökulmista.

Toinen tietoturvayritys Symantec on myös julkaissut aiheeseen liittyvän oman blogiviestinsä 4.8.2011. Siinä kerrotaan hieman tarkemmin käytetyistä hyökkäyksistä

 

Uutinen lyhyesti:

McAfee pääsi  käsiksi erääseen tietomurroissa käytettyyn ns ohjauspalvelimeen (Command & Control server). Palvelimella olevat lokitiedot paljastavat, että ainakin vuodesta 2006 eteenpäin rikollinen taho on pystynyt tunkeutumaan ainakin 72 eri toimijan järjestelmiin. Uhreja voi olla useita lisää, mutta lokitietojen perusteella vain 72 pystyttiin varmasti todentamaan. Huomioitavaa on myös se, että kyseinen rikollinen toiminta on voinut alkaa jo vuosia aikaisemmin, mutta todisteita on vasta vuodesta 2006 eteenpäin.

Erikoista tiedoissa on se, että murrot eivät ole kohdistuneet pelkästään teollisuuteen tai valtioihin, sillä kohdelistalla ovat mm Olympiakomitea sekä Antidoping -järjestö WADA.

Hyökkäysten pituudet myös vaihtelivat: osassa järjestelmiä viihdyttiin vain kuukausia kun taas eräässä oltiin sisällä jopa 28 kuukautta uhrin huomaamatta.

 

Ovatko kehittyneet tietomurrot ja -hyökkäykset uhka kaikille yrityksille?

Uutisen bloggaajalta (McAfeen Dmitri Alperovitch) kysytään tätä asiaa usein. Vastaus on selkeä Kyllä. Kaikkien pitäisi olla huolissaan. Ei pidä ajatella että tällaisia tietomurtoja tehdään vain valtioita, sotateollisuutta ja megayrityksiä (Esim Google) vastaan.

Niiden teollisuuden alojen yritykset, joissa liikkuu tarpeeksi rahaa, kallista informaatiota tai salaisuuksia, ovat kaikki hyviä kohteita. Dmitri uskookin että  esimerkiksi maailman 2000 suurinta yritystä voidaan luetella kahteen kastiin; niihin jotka tietävät joutuneensa tietomurron kohteeksi ja niihin jotka eivät vielä tiedä sitä.

 

Onko nykyajan hyökkäykset kehittyneempiä ja onko niiden määrä selvästi noussut?

Tätä kysymystä kuulee usein, varsinkin kun viimeisen puolen vuoden aikana paljastui paljon tietomurtoja, kuten tapaukset RSA, Lockheed Martin ja Sony. Tämäkin on bloggaajan mielestä ironinen kysymys, koska samantyyppisiä murtoja on ollut jo vuosia ja hyökkäystavat eivät olleet mitenkään erityisen kehittyneitä.

 

Hyökkäysten motivaationa raha?

Kehittyneissä ja kohdistetuissa hyökkäyksissä ei pyritä tekemään kiusaa tai saamaan suoraa taloudellista hyötyä. Kohteena on yksinkertaisesti informaatio. Haluttavaa tietoa ovat esimerkiksi valtion salaisuudet, ohjelmien lähdekoodit ja bugitiedot, sähköpostiarkistot, suunnitelmat ja sopimukset. Näiden avulla hyökkääjä voi saavuttaa myös taloudellista hyötyä. Esimerkiksi varastettujen tuotesuunnitelmien avulla voidaan tuottaa kilpaileva tuote jo ennen kuin alkuperäistä tuotetta on edes markkinoilla. Lähdekoodien ja bugitietojen avulla saadaan tietoon ohjelmistojen heikkouksia ja niiden avulla voidaan tuottaa lisää hyökkäysmenetelmiä.

Tietovarkaudet voivat johtaa jopa niin pitkälle, että valtioiden talous tai turvallisuus kärsii. Mitä jos esimerkik joltain varastetaan maanpuolustukseen liittyviä strategioita tai tuotetietoja?

 

Miten hyökkäykset toteutettiin?

Hyökkäyksissä onnistuttiin käyttämällä erittäin tehokasta yhdistelmää: haavoittunut järjestelmä + pahaa aavistamaton käyttäjä. Hyökkäykset olivat siis erittäin hyvin kohdistettu sellaisiin käyttäjiin, joilla oli tarpeeksi valtaa ja käyttöoikeuksia yritysten järjestelmissä. Heille lähetettiin haittaohjelman sisältävä sähköpostiviesti. Kun henkilö lukee sähköpostin, niin haittaohjelma pesiytyy koneelle ja ottaa yhteyttä ulkopuoliseen ohjauspalvelimeen (Command & Control server). Ohjauspalvelimen kautta hyökkääjät pääsevät ongelmitta uhrin koneelle ja voivat tehdä siellä mitä haluavat, esimerkiksi varastaa tietoja heti tai yrittää tunkeutua syvemmälle yrityksen sisäverkkoon ja sen koneisiin.

Tässä vielä eriteltynä eri vuosina tehtyjen hyökkäysten määrät ja esimerkkejä uhreista:

  • 2006: 8, Energiayhtiö, valtion laitoksia
  • 2007: 29, mm USA:n puolustusteknologian valmistajia.
  • 2008: 36, esim YK
  • 2009: 38, esim WADA
  • 2010: 17, Kanadan valtiotason laitos
  • 2011: 9

Hyökkäysten väheneminen kohti vuotta 2011 saattaa johtua esimerkiksi siitä, että rikolliset ottivat käyttöönsä uusia komentopalvelimia, jolloin paljastuneen palvelimen työmäärä väheni. Toisaalta yritykset ovat ottaneet käyttöönsä myös kehittyneempiä tietoturvaratkaisuja, jotka ovat varmasti vähentäneet onnistuneita hyökkäyksiä.

 

Miksi raportti julkaistiin?

Dmitri sanoo, että tavalliset ihmiset ja yritykset eivät edes saa tietoonsa kaikkia mahdollisia tapauksia, koska yritykset eivät halua kertoa niistä julkisuuteen. McAfee haluaakin parantaa julkista tietoutta ja siksi julkaisivat myös tämän Operation: Shady RAT -raportin.

Loppuhuomatuksena mainitaan myös se, että tällaisen laajan tietomurtojen sarjan paljastuminen saattaa ihmetyttää tai jopa järkyttää henkilöitä, jotka eivät ole asiaan perehtyneitä. Pitää kuitenkin muistaa, että samantyyppisiä murtoja tapahtuu jatkuvasti ja tämä ei ole mitenkään uutta.

MITM hyökkäys käytännössä

Jotta Man in the Middle hyökkäyksen käytännön toteutus olisi helpommin ymmärrettävissä, niin tässä on ensin lueteltuna aiheeseen liittyviä käsitteitä.

IP-osoite

Laitteen yksilöllinen osoite verkossa. Verrattavissa esimerkiksi matkapuhelimien puhelinnumeroon.

MAC-osoite

Esimerkiksi jokaisella verkkokortilla on oma yksilöllinen MAC-osoite, jolla laite tunnistetaan tietoliikenneverkossa. Tämä osoite tunnetaan myös ns fyysisenä osoitteena.

ARP

Tällä termillä tarkoitetaan yleensä ARP-protokollaa (Address Resolution Protocol). Protokollan tavoitteena on selvittää mistä IP-osoitteesta tietty MAC-osoite löytyy. Verkossa keskustelevat koneet lähettävät toisilleen ARP-paketteja, jotka kertovat koneiden sijainteja.

ARP-taulu

Käyttöjärjestelmä ylläpitää ns ARP-taulua, johon se tallentaa edellä mainitut MAC ja IP osoiteparit. ARP-taulu on siis kuin osoitekirja.

arp_table_windows

Kuvassa on esimerkki ARP-taulusta. Tietty Internet-osoite on yhdistetty tiettyyn Fyysiseen osoitteeseen. Aina kun käyttäjän koneelta (IP osoite: 192.168.1.100) lähtee paketteja laitteelle192.168.1.254 (esim WLAN-modeemi), niin ne tiedetään lähettää oikeaan fyysiseen (MAC) osoitteeseen 00-04-ed-xx-xx-xx. WLAN modeemi sitten ohjaa tiedot muualle verkkoon. Vastaavasti kun joku haluaa keskustella .100 koneen kanssa, niin paketit tulevat ensin .254 laitteen kautta.

ARP Spoofing ja ARP Poisoning

Spoofing on suomeksi ”huijaus” ja Poisoning tarkoittaa ”myrkytys”. MITM-hyökkäyksessä näillä termeillä tarkoitetaan operaatiota, jossa hyökkääjä väärentää (huijaa/myrkyttää) uhrikoneen ARP-taulun. Myrkytys tapahtuu siten, että hyökkääjä lähettää ARP-pakettina virheellistä tietoa jonkin koneen sijainnista. Uhrikone tallentaa virheellisen tiedon ARP-tauluunsa (kts kuva alla).

arp_table_spoofed

Kuvassa on ARP-taulu sen jälkeen, kun uhrikoneelle on suoritettu ARP-huijaus (MITM-hyökkäys!). Nyt kun 192.168.1.100 lähettää paketin modeemille 192.168.1.254 niin se ei menekäään enää fyysisesti osoitteeseen 00-04-ed-…. vaan ohjautuu hyökkääjän laitteelle 00-11-22-33-44-55. Hyökkääjä voi muokata pakettia matkalla ja lähettää sen sitten eteenpäin verkkoon.

Vastaavasti kun joku lähettää paketin .100 koneelle, niin hyökkääjä voi muokata sitä ensin ja laittaa väärennetyn tiedon eteenpäin koneelle .100.

SSL-salauksen kiertäminen

Verkkosivujen tietoturvasta puhuttaessa usein viitataan myös SSL-salaukseen (https-protokolla). Aina painotetaan sitä, että salaamattomille sivustoille ei saisi antaa arkaluontoista informaatiota, kuten henkilö- tai pankkitunnuksia. Internetin eri palveluja käyttäessä oppii nopeasti tuntemaan, mitkä sivustot ovat oletuksena salattuja ja mitkä eivät. Esimerkiksi nettipankin sivustoon luotetaan todennäköisesti sen kummempaa ihmettelemättä. Onhan sen oltava salattu!

Koska käyttäjä todennäköisesti oletuksena luottaa valitsemiinsa palveluihin, voi hyökkääjä käyttää tätä ihmismielen heikkoutta hyväkseen.

MITM-hyökkäyksen avulla on mahdollista riisua salaus pois halutusta verkkopalvelusta. Riisuminen tapahtuu siis vain käyttäjän laitteen päästä. Itse palvelulle ei tietenkään voida tehdä mitään, eli emme voi poistaa esimerkiksi verkkopankin SSL-salausta pankin päästä.

Esimerkki: Käyttäjä on tottunut siihen, että vaikkapa GMail on toteutettu SSL-salauksella. Näin ollen hän menee sivustolle aina sen enempää tietoturvaa (salausta) ajattelematta. Mikäli käyttäjän kone onkin joutunut MITM -hyökkäyksen kohteeksi, voi sokea luottamus kyseiseen verkkosivustoon koitua kohtalokkaaksi.

gmail_sslTässä kuvassa (vuodelta 2011) on esitettynä kaksi erillistä osoiteriviä (Firefox-selaimesta). Ylemmässä on normaali GMail+SSL -salaus. Alemmassa osoiterivissä on GMail hyökkäyksen jälkeen. Ero on siis vain kosmeettinen eikä sitä välttämättä huomaa, ellei erikseen aina tarkista osoiteriviä!

Man In The Middle hyökkäys teoriassa

Niin sanottu Man In The Middle (MITM) -hyökkäys on erittäin vaarallinen, mutta silti ehkä hieman tiedostamaton uhka eri langattomissa ja langallisisa lähiverkoissa.

Keskusteluasi salakuunnellaan?

Man In The Middle on vapaasti (ja huonosti) suomennettuna ”Mies välissä”. Toisaalta suomennos kertoo asiasta kaiken oleellisen. Hyökkäyksen ideana on asettua kahden kohteen välille ja salakuunnella niiden välistä keskustelua. MITM mahdollistaa myös keskustelun väärentämisen ilman, että osallistujan sitä välttämättä edes huomaavat. Ohessa muutama erittäin laadukas kuva, joiden tarkoituksena on havainnollistaa mitä hyökkäyksessä tapahtuu.

MITM kirjeen lähettäminen

Kun lähetellään kirjeitä niin perusajatus on se, että toinen lähettää kirjeen ja toinen vastaanottaa sen. Todellisuudessahan välissä on esimerkiksi postilaitos tai kuriiri tms.

man in the middle esimerkkiJos tähän perusajatukseen sisällytetään MITM-hyökkäys, niin silloin joku kolmas osapuoli esim. varastaa kirjeen ennen kuin posti ehtii vastaanottamaan tai toimittamaan sen perille. Varas lukee kirjeen tai muuttaa sitä haluamallaan tavalla. Sen jälkeen varas lähettää kirjeen alkuperäiselle vastaanottajalle, joka ei välttämättä edes tajua tulleensa huijatuksi.

MITM tietoliikenteessä

Tietoliikenteessä hyökkäyksen idea on täysin sama. Esimerkkikuvassa on seuraavat roolit:

  • A on kone, jolta selataan Internetiä
  • B on reititin/modeemi, joka muodostaa yhteyden ulkoverkkoon
  • C on hyökkääjä

man in the middle tietoliikenteessäEsimerkkikuvassa hyökkääjä on suorittanut MITM-hyökkäyksen ja lopputulos on se, että A luulee keskustelevansa suoraan modeemin kautta Internettiin, mutta todellisuudessa kaikki liikenne kiertää hyökkääjän C kautta. C voi mielensä mukaan muokata tai salakuunnella liikennettä.