TUNKEUTUMISEN HAVAITSEMISJÄRJESTELMÄN HYÖDYT JA HAITAT YRITYSYMPÄRISTÖSSÄ

Transkriptio

1 TUNKEUTUMISEN HAVAITSEMISJÄRJESTELMÄN HYÖDYT JA HAITAT YRITYSYMPÄRISTÖSSÄ Juuso Lemivaara Opinnäytetyö Toukokuu 2013 Tietojenkäsittelyn koulutusohjelma Tietoverkkopalveluiden suuntautumisvaihtoehto

2 TIIVISTELMÄ Tampereen ammattikorkeakoulu Tietojenkäsittelyn koulutusohjelma Tietoverkkopalveluiden suuntautumisvaihto JUUSO LEMIVAARA: Tunkeutumisen havaitsemisjärjestelmän hyödyt ja haitat yritysympäristössä Opinnäytetyö 45 sivua Toukokuu 2013 Opinnäytetyö käsittelee tunkeutumisen havaitsemisjärjestelmien hyötyjä ja haittoja yrityksen käytössä. Opinnäytetyössä käydään läpi mitä velvoitteita, rajoitteita ja lakeja yrityksen verkon valvontaan liittyy ja millaisilla erilaisilla tunkeutumisen havaitsemisjärjestelmillä valvonta voidaan toteuttaa. Yleisesti tämänkaltaiset ohjelmistot ovat isäntätai verkkopohjaisia ja ne jaetaan passiivisiin tai aktiivisiin järjestelmiin sen mukaan edellyttääkö hyökkäyksiin reagointi ylläpitäjän aktiivisia toimenpiteitä. Järjestelmä voi tehdä päätöksen haitallisesta liikenteestä ennalta määrättyjen tunnisteiden ja sääntöjen perusteella, tai toiminta voidaan luokitella haitalliseksi myös tilastoa hyödyntäen etsimällä liikenteestä poikkeuksia. Opinnäytetyön tarkoituksena on esitellä erilaisten tunkeutumisen havaitsemisjärjestelmien hyötyjä ja haittoja yrityskäytössä sekä esitellä yleisesti niiden toimintaa. Työn tavoite taas on tarjota tietoa tunkeutumisen havaitsemisjärjestelmän käyttöönottoa harkitsevalle yritykselle ja verkon ylläpitäjille. Yrityskäytössä tunkeutumisen havaitsemisjärjestelmien suurimpia hyötyjä ovat selkeät todisteet väärinkäytösten sattuessa sekä verkkoliikenteen tapahtumien tallentaminen jälkikäteen tehtävää tarkastelua varten. Haittapuolia taas ovat melko monimutkainen käyttöönotto ja jatkuva aktiivisen ylläpidon tarve. Verkon valvonnan huono maine ja lainsäädäntö myös osaltaan rajoittavat tunkeutumisen havaitsemisjärjestelmien käyttöä. Tunkeutumisen havaitsemisjärjestelmät ovat toistaiseksi melko tuntemattomia ja niitä onkin tuotantokäytössä melko vähän. Korkeiden kustannusten lisäksi myös työläs käyttöönotto ja ylläpito ovat osaltaan hidastaneet tämänkaltaisten järjestelmien yleistymistä. Käytännössä tunkeutumisen havaitsemisjärjestelmän käyttöönottoa kannattaakin harkita vasta kun yrityksen tietoturva on ensin saatettu parhaalle mahdolliselle tasolle ilman sitä ja järjestelmän käytölle on olemassa perusteltu tarve. Asiasanat: tunkeutumisen havaitseminen, verkon valvonta, snort, ids

3 ABSTRACT Tampereen ammattikorkeakoulu Tampere University of Applied Sciences Degree programme of Business Information Systems Option of network services JUUSO LEMIVAARA: Benefits and disadvantages of intrusion detection systems in business environments Bachelor's thesis 45 pages May 2013 The thesis consists of the benefits and disadvantages of using intrusion detection systems in corporations. The thesis covers the obligations, regulations and laws that are connected to monitoring corporate networks and it also presents how to implement network monitoring with different kind of intrusion detection systems. Usually these kinds of systems are roughly divided into host-based and network-based systems, which are either active or passive according to the need of active actions by the administrator. The system can judge the unwanted traffic by predefined fingerprints and rules or by comparing the traffic to statistics and in that way find the anomalies. The purpose of thesis is to introduce the benefits and disadvantages of intrusion detection systems in corporations and also present them in general. The object of the thesis is to provide information to corporations and administrators that are considering purchasing an intrusion detection system. The most notable benefit of intrusion detection in corporations is the ability to collect network traffic data for later investigation and in this way provide clear evidence of misuse. Challenging deployment and need for constant administration are the disadvantages of intrusion detection systems. Poor reputation of network monitoring and legislation have also placed some limitations for using intrusion detection systems. So far intrusion detection systems have been quite unknown and in Finland only a few are in actual use. In addition to high expenses also the requirement of deployment and administration are probably the main reasons for the slow growth in number of these kind on systems. Practically purchasing an intrusion detection system should be taken into consideration after information security has already been increased to the best possible level and there should always exist an argued necessity for this kind of system. Key words: intrusion detection, network monitoring, snort, ids

4 4 SISÄLLYS 1 JOHDANTO VERKON VALVONTA Valvonnan säännöt Suomessa Teletunnistetiedot ja luottamuksellinen viestintä Tietosuoja ja viestintäsalaisuus Miten yritys saa valvoa ja rajoittaa verkon käyttöä? Verkon valvontaa koskevat lait Sähköisen viestinnän tietosuojalaki Henkilötietolaki Viestintäsalaisuuden loukkaus EU-direktiivit Työelämän tietosuojalait muissa pohjoismaissa TUNKEUTUMISEN HAVAITSEMISJÄRJESTELMÄT Yleisesti tunkeutumisen havaitsemisjärjestelmistä Historia Toiminta Erilaisia tunkeutumisen havaitsemisjärjestelmiä Isäntäpohjainen järjestelmä Verkkopohjainen järjestelmä Hajautettu järjestelmä Langattomien verkkojen valvonta Hunajapurkit Tunnisteisiin ja poikkeuksiin perustuvat järjestelmät Tunkeutumisen havaitsemisjärjestelmien heikkoudet HYÖDYT JA HAITAT YRITYSYMPÄRISTÖSSÄ Yrityksen näkökulma Velvollisuudet Salassapito Järjestelmää hankittaessa huomioitavat seikat Ylläpitäjän näkökulma Hyökkäyksen vakavuuden määrittäminen Ilmoittamiskynnys Aiheettomat ja huomaamatta jääneet hälytykset Sensoreiden sijoittaminen verkkoon ESIMERKKI TUNKEUTUMISEN HAVAITSEMISJÄRJESTELMÄSTÄ Snort IDS...29

5 Snortin historia ja nykytilanne Toimintaperiaate Pakettikaappari/dekooderi Esiprosessoriliitännäiset Havaitsemiskoneisto Ulostuloliitännäiset Säännöt ja tunnisteet Sääntöjen syntaksi Hälytysten vaimentaminen Apuohjelmat Sääntöjen päivitys Hälytysten monitorointi Sensoreiden suorityskyvyn seuranta Hälytysten käsittely Snortin käyttökokemuksia Testiasennus Snortin ylläpito Kehitysehdotukset POHDINTA...41 LÄHTEET...43

6 6 1 JOHDANTO Verkon laillinen valvonta on käsitteenä niin uusi että monilla Euroopan mailla ei ole edes ollut aihetta koskevaa lainsäädäntöä olemassa ennen 2000-lukua. Yleisesti verkon tekninen valvonta on yhdistetty salakuunteluun, tietojen urkkimiseen ja muihin negatiivisiin asioihin, joten tunnistetietoja käsitteleviä ohjelmistoja kohtaan on ymmärrettävästi paljon ennakkoluuloja. Suomessa verkon valvontaa koskeva sähköisen viestinnän tietosuojalaki eli Lex Nokia säädettiin vuonna Verkon valvontaan tarkoitettujen tunkeutumisen havaitsemisjärjestelmien historian katsotaan alkaneen jo 80-luvun alkupuolella, mutta yrityskäyttöön suunnatut ohjelmistot yleistyivät vasta hieman ennen vuosituhannen vaihdetta. Tunkeutumisen havaitsemisjärjestelmän tarkoitus on seurata verkon toiminnan kannalta ei-toivottuja tapahtumia ja raportoida niistä ylläpitäjälle. Suomessa tämänkaltaisia järjestelmiä on tiukan lainsäädännön vuoksi ollut käytössä todella vähän. Soneran ja Nokian paljon negatiivista julkisuutta saaneet luvattomat verkkotutkimukset ja Lex Nokian aiheuttama valtava kohu ovat saattaneet verkon teknisen valvonnan huonoon valoon todennäköisesti vielä useiden vuosien ajaksi. Ehkä viime aikoina tapahtuneiden lukuisten salasanavuotojen jälkeen yleinen mielipide valvontaohjelmistoja kohtaan ei ole enää niin jyrkän kielteinen, sillä tällaisissa tapauksissa tekijöiden selvittäminen ilman tunnistetietojen käsittelyä on käytännössä mahdotonta. Tässä opinnäytetyössä käytetään Snort-ohjelmistoa esimerkkinä tunkeutumisen havaitsemisjärjestelmästä. Snort on avoimen lähdekoodin ohjelmisto, jota on kehitetty vuodesta 1998 lähtien. Harrasteprojektina alkunsa saanut Snort on valittu useita kertoja yhdeksi parhaista ilmaisohjelmista ja Snortin suosion taustalla onkin varmasti yksinkertaisen toimintaperiaatteen ja helpon muokattavuuden lisäksi myös ohjelmiston ja sääntöjen maksuttomuus. Ohjelmisto on myös erittäin skaalautuva; Snort on riittävän helppokäyttöinen pienen kotiverkon valvontatarpeisiin, mutta sensoreita lisäämällä valvonta-aluetta voidaan kasvattaa käytännössä rajattomasti. Snortin ylläpitoa helpottamaan on saatavilla laaja valikoima maksuttomia ja maksullisia apuohjelmia, joista muutamia esitellään tässä opinnäytetyössä.

7 7 Työn toimeksiantajana on tamperelainen tietoturva-alan asiantuntijayritys Contrasec Oy. Alustavasti työn tarkoituksena oli tutustua ainoastaan Snortin ja sen apuohjelmien toimintaan, mutta työn edetessä toimeksiantajalta tuli toivomus kartoittaa tunkeutumisen havaitsemisjärjestelmien toimintaa laajemmassa mittakaavassa sekä punnita tarkemmin tämänkaltaisten ohjelmistojen hyötyjä ja haittoja yrityskäytössä. Selvitystyö keskittyi lähinnä verkkoliikennettä valvovan tunkeutumisen havaitsemisjärjestelmän ympärille, mutta opinnäytetyössä esitellään myös muiden vaihtoehtojen hyviä ja huonoja puolia. Opinnäytetyön tavoitteena on esitellä erilaisten tunkeutumisen havaitsemisjärjestelmien toimintaa sekä tarjota tietoa erilaisista vaihtoehdoista ja niiden käyttöön liittyvistä ongelmista järjestelmää hankkivalle yritykselle ja verkon ylläpitäjille.

8 8 2 VERKON VALVONTA 2.1. Valvonnan säännöt Suomessa Tämän luvun tarkoituksena on selvittää verkon valvonnan sääntöjä ja rajoituksia. Alussa käsitellään verkon valvonnan kannalta tärkeitä käsitteitä, kuten tunnistetietoja sekä luottamuksellista viestintää, ja luvun loppuosassa käydään läpi tarkemmin eri lakien vaikutuksia verkon valvontaan Teletunnistetiedot ja luottamuksellinen viestintä Teletunnistetiedot ovat viestintään liittyviä teknisiä tietoja. Puheluissa teletunnistetietoja ovat puhelun soittajan ja vastaanottajan numerot, soittoaika ja puhelun kesto, kun taas sähköpostiviesteissä tunnistetietoihin lasketaan lähettäjän ja vastaanottajan osoitteet, viestin lähetys- ja vastaanottoaika sekä viestin pituus. Sähköpostin tapauksessa otsikko rinnastetaan sisältöön, sillä se saattaa jo itsessään sisältää viestin. Sähköpostien ja tekstiviestien tapauksissa ei erotella avattuja ja avaamattomia viestejä ne ovat joka tapauksessa viestintäsalaisuuden suojan piirissä. Perinteisessä postiviestinnässä tunnistetiedot kulkevat suojaamattomina ja pakettien ulkonäön perusteella voidaan tehdä päätelmiä niiden sisällöstä. (Järvinen, 2010, ) Teleyrityksillä on oikeus käsitellä viestejä ja tunnistetietoja palveluidensa toiminnan varmistamiseksi. Tietoja saadaan käsitellä esimerkiksi palvelun teknisen kehityksen yhteydessä sekä vikojen ja väärinkäytösten selvityksessä. (Pesonen, 2012, 146.) Luottamuksellisella viestinnällä tarkoitetaan sitä, että vain viestinnän osapuolilla on oikeus lukea viestinnän sisältö, mutta halutessaan heillä on mahdollisuus paljastaa se myös ulkopuolisille. Viesti on luottamuksellinen jos sen vastaanottajat on erikseen rajattu toisin sanoen kaikki ei-yleiset viestit ovat luottamuksellisia. (Pesonen, 2012, 146.) Tietosuoja ja viestintäsalaisuus Ennen Internetin yleistymistä suurimmalla osalla työpaikoista oli helppoa sopia pelisäännöt joita työntekijän ja työnantajan tuli noudattaa. Työntekijä tuli aamulla töihin tiettyyn kellonaikaan mennessä, piti ruoka- ja kahvitaukonsa aikataulun mukaisesti ja

9 9 lähti sovittuun aikaan kotiinsa, joten työ- ja vapaa-aika oli selkeästi eroteltuna toisistaan. Nykyään tietokonetta käyttävän työntekijän ajankäytölle on hankala määritellä selkeitä rajoja, sillä työntekijä pystyy hoitamaan henkilökohtaisia asioitaan myös työajalla, kun taas työnantajan tarjoamat työsuhde-edut, kuten matkapuhelin tai kannettava tietokone, lähes velvoittavat hoitamaan töihin liittyviä asioita myös vapaaajalla. Edellä mainittujen seikkojen vuoksi yrityksen verkossa liikkuvasta liikenteestä on erittäin hankalaa erotella yksityisyyden suojan parissa olevaa tietoa. Sähköisen viestinnän tietosuojalaki (516/2004) ja työelämän tietosuojalaki (759/2004) sisältävät molemmat työntekijän yksityisyyden suojaan liittyviä määräyksiä. Edellä mainittujen lisäksi myös henkilötieto- ja rikoslaista löytyy työntekijän yksityisyydensuojaan liittyviä kohtia. (Järvinen, 2010, ) Miten yritys saa valvoa ja rajoittaa verkon käyttöä? Työnantajalla ei ole yleistä verkon valvontaoikeutta toiminnalle tulee aina olla peruste. Työnantaja saa valvoa verkkoa ja seurata tunnistetietoja vasta täytettyään laissa säädetyt velvoitteet ja ilmoitettuaan asiasta tietosuojavaltuutetulle. (Pesonen, 2012, 172.) Verkossa kulkevasta tiedosta kaikki ei ole luottamuksellista ja yrityksellä on oikeus valvoa ja rajoittaa tällaista liikennettä erilaisin keinoin. Yrityksen kannattaa määritellä työntekijöilleen verkon käyttöä käsittelevä ohjeistus, toisin sanoen verkkopolitiikka, josta selviää millainen toiminta verkossa on hyväksyttyä. Verkkopolitiikka voi yksinkertaisimmillaan olla kielto vierailla aikuisviihdesivustoilla, mutta äärimmilleen vietynä kieltää täysin sosiaalisen median käytön, verkkoselailun muilla kuin työhön liittyvillä sivuilla, sähköpostin käytön, pikaviestimet, VoIP (Voice over Internet Protocol) -puhelut jne. (Järvinen, 2010, 296.) Työnantajalla on oikeus asettaa verkkoon teknisiä rajoituksia, joiden avulla voidaan estää pääsy tietyille verkkosivuille. Teknisillä rajoituksilla tosin harvemmin on positiivisia vaikutuksia; pahimmillaan liian tiukaksi määritellyt rajat haittaavat työntekoa ja heikentävät työilmapiiriä. Yrityksen ei tarvitse ilmoittaa tarkalleen mitkä osoitteet on estetty, mutta rajoituksista kuitenkin on kerrottava yleisellä tasolla. Palomuurin avulla voidaan estää liikenne tiettyihin osoitteisiin, mutta yritys ei saa valvoa mistä kiellettyihin osoitteisiin pyritään ottamaan yhteys. Nettiselailu lasketaan Suomessa luottamukselliseksi viestinnäksi jota ei saa teknisesti valvoa tosin pitää muistaa että olan yli vilkuilua ei

10 10 lasketa tekniseksi valvonnaksi. Palomuurin avulla toteutetut rajoitukset toimivat tilanteissa, joissa halutaan että valtaosa käyttäjistä ei pääse käyttämään jotain tiettyä sivustoa. Palomuurin rajoitukset on helppo kiertää välityspalvelimen avulla, mutta myös välityspalvelinten käyttö voidaan kieltää yrityksen verkkopolitiikassa jolloin tällaisesta toiminnasta tulee rangaistavaa. (Järvinen, 2010, 297.) Yritys saa tilastoida verkon käyttöä siten, ettei työntekijöiden henkilöllisyyttä pystytä yhdistämään näihin tietoihin, mutta pienissä yrityksissä anonyymien tilastojen kerääminen on luonnollisesti hankalaa. Tiedostojen kopioimista voidaan myös seurata ja laitteille voidaan luoda rajoituksia kopioinnin estämiseksi; esimerkiksi USB-portit voidaan poistaa käytöstä ja optisten levyjen kirjoittaminen estää. Verkkokirjautumisia voidaan seurata ja epäonnistuneita kirjautumisia on suositeltavaakin seurata tietomurtojen varalta. (Järvinen, 2010, 297.) Yrityksen tietokoneelle tai muistitikulle tallennetut tiedostot eivät ole luottamuksellisen viestinnän alaisia. Työnantaja saa käsitellä tietokoneiden käyttöoikeuksia kuvaavia henkilötietoja, eli työnantaja saa käyttää hyväkseen työntekijän käyttäjätunnusta saadakseen haltuunsa yrityksen omistukseen kuuluvia asiakirjoja tai tiedostoja. Työntekijän henkilökohtaisiin tiedostoihin työnantaja ei saa kajota vaikka ne sijaitsisivatkin yrityksen omistamassa laitteessa. (Järvinen, 2010, 175.) 2.2. Verkon valvontaa koskevat lait Yksityiselämän suoja pitää sisällään henkilötietojen suojan, josta on säännöksiä muun muassa henkilötietolaissa, sähköisen viestinnän tietosuojalaissa ja työelämän tietosuojalaissa. Lisäksi useat EU-direktiivit käsittelevät henkilötietojen suojaa. (Pesonen, 2012, 13.) Sähköisen viestinnän tietosuojalaki Sähköisen viestinnän tietosuojalaki, eli Lex Nokia, on alun perin vuonna 2004 säädetty laki, joka sallii yhteisötilaajan valvoa verkkoaan väärinkäytösten havaitsemiseksi (Järvinen, 2010, 288). Yhteisötilaajalla tarkoitetaan yritystä tai yhteisöä, jonka viestintäverkossa käsitellään luottamuksellisia viestejä, tunnistetietoja tai paikkatietoja (Tietosuojaaiheista sanastoa). Vuonna 2009 lakiin tehtiin muutoksia, joiden myötä myös tunniste-

11 11 tietojen käsittelystä tuli hyväksyttävää tilanteissa, joissa väärinkäytösten selvittäminen sitä erityisesti vaatii (Järvinen, 2010, 291). Laki sai yleisöltä hyvin negatiivisen vastaanoton ja lahjoitusten avulla tehtiin jopa kolme lakimuutosta vastustavaa TV-mainosta, joita esitettiin MTV3-kanavalla helmikuussa 2009 (Urkintalaki.fi, 2009). Alkuperäinen sähköisen viestinnän tietosuojalaki velvoitti yrityksiä ja yhteisöjä huolehtimaan verkkojensa tietoturvasta, mutta ei antanut juurikaan keinoja tämän toteuttamiseen. Verkon liikenteen seuranta oli sallittua ainoastaan väärinkäytöstapausten yhteydessä ja roskapostin suodattamiseen tuli kysyä lupa jokaiselta työntekijältä erikseen. Vuonna 2006 lakiin alettiin suunnitella muutoksia ja neljän vuoden valmistelun jälkeen laki lopulta hyväksyttiin vuonna (Järvinen, 2010, ) Laki sai alun perin nimen Lex Sonera, koska 2000-luvun alussa selvisi, että Sonera oli laittomasti seurannut asiakkaidensa puheluita, sähköposteja ja jopa liikkumista tukiasematietojen perusteella. Toiminnan taustalla oli muun muassa halu selvittää kuka oli vuotanut yhtiön sisäisiä tietoja julkisuuteen. Vuonna 2009 tehtyjen muutosten yhteydessä laki ristittiin uudelleen Lex Nokiaksi kyseisen yrityksen sisäisten tutkimusten seurauksena. Nämä tutkimukset koskettivat epäilyjä yrityssalaisuuksien vuotamisesta kilpailijoille ja tekijöiden selvittämiseksi yrityksessä käsiteltiin luvatta tunnistetietoja. Soneran ja Nokian teleurkintatapausten saavutettua suurta mediahuomiota yleinen mielipide verkkojen valvontaa kohtaan on ollut ymmärrettävästi jyrkän kielteinen. (Järvinen, 2010, ) Vuonna 2009 tehdyt muutokset käsittelivät lähinnä väärinkäytösvalvonnan keinoja, jotka oli alkuperäisessä laissa jätetty epämääräisiksi. Lain 13. pykälä, eli Käsittely väärinkäytöstapauksissa, paisui alkuperäisistä 37 sanasta 1270 sanan mittaiseksi ja antoi selkeämmät valvontaoikeudet väärinkäytöksiä vastaan. Merkittävä muutos aikaisempaan oli oikeus valvoa liikennettä automaattisilla ohjelmilla ja näiden hälyttäessä ylläpidolla oli oikeus tutkia tapaukseen liittyviä tunnistetietoja ja puuttua väärinkäytöksiin. Kuitenkin tunnistetietoja saa käsitellä ainoastaan silloin kun se on välttämätöntä ongelman ratkaisemiseksi, viestin sisältöön ei saa koskea edes väärinkäytöstapauksissa. Ylläpito saa puuttua sisältöön ainoastaan tilanteessa, jossa viesti sisältää haittaohjelman jota ei automaattisesti pystytä poistamaan. Haittaohjelman saa silloin poistaa myös manuaalisesti, mutta asiasta on ilmoitettava sekä viestin lähettäjälle että vastaanottajalle. (Järvinen, 2010, )

12 12 Sähköisen viestinnän tietosuojalain mukaan viesti ja sen tunnistetiedot ovat luottamuksellisia. Luottamuksellisuutta ei ole määritelty laissa, vaan siinä viitataan perustuslakiin. Käytännössä tällä tarkoitetaan sitä, että viesti on suojattu muilta kuin viestinnän osapuolilta. (Pesonen, 2012, 159.) Yrityksellä on oikeus käsitellä tunnistetietoja selvittäessään verkon tai palveluiden luvatonta käyttöä sekä yrityssalaisuuksien vuotamista. Sähköisen viestinnän tietosuojalaki ei kuitenkaan oikeuta tutkimaan puheluiden tai lähdesuojan alaisten viestien tunnistetietoja. Ennen tunnistetietojen käsittelyä yrityksen on huolehdittava verkkonsa tietoturvasta ja toimitettava henkilöstölle verkon käyttöä koskevat ohjeet, joista käy ilmi sallittu ja kielletty toiminta. Tunnistetietoja käsittelevät henkilöt on erikseen nimettävä ja heidän tulee olla vastuussa kyseisen verkon ylläpidosta ja tietoturvasta. Tunnistetietojen käsittelystä on tiedotettava henkilöstölle etukäteen ja kaikki näiden tietojen perusteella tehdyt päätökset tulee saattaa myös henkilöstön tietoon. Käsittelystä on laadittava selvitys myös käyttäjälle, jonka tunnistetietoja on käsitelty jos se ei vaaranna tutkinnan tarkoitusta. Selvitystä tulee säilyttää kaksi vuotta. Tunnistetietojen manuaalisesta käsittelystä on toimitettava vuosittainen selvitys myös työtekijöiden edustajalle. (Pesonen, 2012, 174.) Yrityssalaisuuksien suojaamiseen sähköisen viestinnän tietosuojalaki ei lopulta juurikaan tarjoa keinoja; sähköpostiliikenteen luottamuksellisuus on ennallaan, eikä sähköpostiviestien sisältöä pystytä laillisesti lukemaan missään tapauksessa. Viestinnän tunnistetietoja voidaan käsitellä laillisesti, mutta viestien sisältöä ei pystytä tutkimaan ilman viestinnän osapuolien suostumusta. Sähköpostien sisältöjä pystyy lukemaan ainoastaan poliisi, mutta yrityssalaisuuksien vuotamiseen liittyvistä rikoksista mikään ei yllä telekuuntelulupaan. Ainoana keinona on takavarikoida epäillyn tietokone ja tutkia sen tiedostot. Poliisi ei pääse sähköposteihin käsiksi tässäkään tapauksessa jos niitä ei ole tallennettu tietokoneen kiintolevylle. (Järvinen, 2010, 295.) Henkilötietolaki Tietoverkon käyttämisestä jää aina jälkiä, jotka tallentuvat työasemalle, palvelimille ja verkon laitteiden lokeihin. Lokitiedoista käy ilmi liikenteen ajankohta sekä lähettäjän ja

13 13 vastaanottajan tiedot ja nämä tulkitaan luottamuksellisiksi tunnistautumistiedoiksi. Lokitietoja saavat käsitellä vain verkon tietoturvasta vastaavat henkilöt ja heitä sitoo vaitiolovelvollisuus. Jos lokitiedot voidaan yhdistää käyttäjään, ovat ne henkilötietoja joita tulisi käsitellä henkilötietolain mukaisesti. (Pesonen, 2012, 162.) Henkilötietolaki rajoittaa yksityistä henkilöä koskettavien tietojen tallennusta ja yritykset saavat kerätä yksittäistä ihmistä koskettavia tietoja kunnioittaen laissa määriteltyjä rajoituksia. Suomessa asiakastietojen käsittelyn valvonnasta on vastuussa tietosuojavaltuutettu, viestintäviraston vastuulla taas on sähköinen viestintä. (Pesonen, 2012, 15.) Jos henkilötietoja tallennetaan ja käsitellään tietokoneiden avulla, tulee toiminnasta tehdä ilmoitus tietosuojavaltuutetulle. Ilmoitus tulee tehdä vähintään 30 päivää ennen tietojen tallentamista, jotta tietosuojavaltuutettu ehtii arvioimaan onko toiminta lainmukaista. Pelkkä ilmoituksen tekeminen ei sinällään vielä oikeuta tietojen keräämiseen. (Pesonen, 2012, 29.) Viestintäsalaisuuden loukkaus Luottamuksellisen viestin oikeudeton lukeminen tulkitaan Suomessa viestintäsalaisuuden loukkaamiseksi. Viesti luottamuksellisuus koskee tallennettuja ja siirtovaiheessa olevia viestejä. Käytännössä viestintäsalaisuuden loukkaaminen vaatii aina aktiivisia toimenpiteitä, esimerkiksi toisen henkilön näytölle auki jääneen sähköpostin lukeminen ei ole kiellettyä. (Pesonen, 2012, 160.) EU-direktiivit Euroopan ihmisoikeussopimuksen mukaan henkilön yksityiselämän suoja ulottuu myös työpaikoille ja koskettaa myös sähköistä viestintää. Työnantaja voi kuitenkin vähentää tätä suojaa tiedottamalla asiasta työntekijälle siitä etukäteen. EU:n ihmisoikeustuomioistuimen mukaan verkon valvonta voi olla hyväksyttävää jos sille on olemassa perusteltu tavoite. (Pesonen, 2012, 167.) Sähköisen viestinnän direktiivi (2002/58/EY) edellyttää että viestintä ja tunnistamistiedot ovat luottamuksellisia. Direktiivi edellyttää myös että EU-maat huolehtivat viestinnän valvonnasta ja estävät liikenteen laittoman kaappauksen. (Pesonen, 2012, 145.)

14 14 EU:n henkilötietodirektiivin (95/46/EY) mukaan henkilötieto on mikä tahansa tieto joka viittaa luonnolliseen henkilöön. Esimerkiksi videovalvontajärjestelmään tallentuneet tiedot ovat henkilötietoja riippumatta siitä pystytäänkö henkilö tunnistamaan niistä vai ei. Henkilötietojen käsittelyä varten käyttäjältä on saatava peruutettavissa oleva vapaaehtoinen suostumus. (Pesonen, 2012, 17.) Työelämän tietosuojalait muissa pohjoismaissa Ruotsissa on keskusteltu pitkään työelämän tietosuojalaista, mutta sellaista ei ole säädetty vielä vuoteen 2012 mennessä. Tällä hetkellä työnantajalla on oikeus rajoittaa laitteidensa ja tietoliikenneyhteyksiensä käyttöä yksityisiin tarkoituksiin tai halutessaan kieltää tämänkaltainen toiminta kokonaan. Internetin käyttö muihin kuin työtarkoituksiin voidaan Ruotsissa tulkita työvelvoitteiden laiminlyömiseksi ja kieltoa uhmaavan työtekijän työsuhde voidaan päättää. Esimerkkinä tällaisesta menettelystä on tapaus jossa ruotsalainen tietoverkkopalveluyritys irtisanoi esimiesasemassa olevan työntekijänsä, joka oli ladannut työnantajansa tietokoneelle aikuisviihdettä ja käyttänyt konetta yksityisiin tarkoituksiin. Työntekijä nosti asiasta korvauskanteen vedoten perusteettomaan työsuhteen purkuun, mutta se hylättiin. (Pesonen, 2012, 170.) Norjassa työsähköpostin käyttöä säädellään tietosuojalailla. Työnantajalla on oikeus lukea työntekijän työhön liittyviä sähköposteja, mutta ei yksityisiä viestejä. Tämä on kuitenkin sallittua ainoastaan yritystoiminnan sitä vaatiessa tai väärinkäytöstapausten yhteydessä. Internetin käytön jatkuva valvominen on kiellettyä. Norjassa tietosuojalain noudattamista valvoo tietosuojavaltuutettu. (Pesonen, 2012, 170.) Tanskassa ei ole erillistä työelämän tietosuojalakia, mutta sähköiset viestit ovat kirjesalaisuuden piirissä, joten työnantajalla ei ole oikeutta tutkia niitä. Tanskassa on tietosuojalain lisäksi sähköisen viestinnän tietosuojalaki. (Pesonen, 2012, 171.)

15 15 3 TUNKEUTUMISEN HAVAITSEMISJÄRJESTELMÄT 3.1. Yleisesti tunkeutumisen havaitsemisjärjestelmistä Edellisessä luvussa käsiteltiin verkon valvontaan liittyviä rajoituksia. Tässä luvussa esitellään erilaisia tunkeutumisen havaitsemisjärjestelmiä, joiden avulla verkossa mahdollisesti esiintyvää haitallista toimintaa voidaan valvoa. Tunkeutumisen havaitsemisjärjestelmien tarkoituksena on havaita verkossa tapahtuvat tunkeutumisyritykset ja saattaa ne ylläpitäjän tietoon. Tunkeutumisen havaitseminen perustuu oletukseen, että tunkeilijan toiminta eroaa oleellisesti normaalista toiminnasta tai että tunkeilijan aikaansaama liikenne sisältää jonkun tunnistettavan piirteen, joka voidaan havaita Historia Tunkeutumisen havaitsemisjärjestelmien historian katsotaan alkaneen James Andersonin 80-luvun alussa julkaisemasta teknisestä dokumentista Computer Security Threat Monitoring and Surveillance (Anderson, 1980), jossa esitettiin, että seuraamalla käyttäjien kirjautumisyrityksiä voidaan saada tärkeää tietoa järjestelmien väärinkäytöksistä. Ensimmäinen varsinainen tunkeutumisen havaitsemisjärjestelmä julkaistiin vuonna Ensimmäinen prototyyppi Intrusion Detection Expert System (IDES) seurasi käyttäjien kirjautumistietoja ja vertasi niitä ennalta määriteltyihin sääntöihin. IDESia kehittämässä ollut Dr. Dorothy Denning julkaisi samana vuonna työnsä An Intrusion Detection Model, joka on toiminut useiden seuranneiden IDS (Intrusion Detection System) -tuotteiden pohjana. Ensimmäiset kaupalliset IDS-ratkaisut tulivat markkinoille 90-luvun alussa kun Haystack Labs toi markkinoille ensimmäisen verkkoasemakohtaisen valvontaratkaisun. Ensimmäiset verkkojen valvontaan suunnatut työkalut taas tulivat markkinoille 90-luvun puolivälissä. Vuosikymmenen loppupuolella myös suuremmat yhtiöt kuten ISS ja Cisco toivat omat tuotteensa markkinoille (Symantec (1), 2010). Samoihin aikoihin Martin Roesch alkoi kehittää harrastuksenaan pakettikaappariohjelmaa josta myöhemmin kehittyi yksi maailman suosituimmista IDS-ohjelmista, Snort (About Snort). Nykyään suosituimpia IDS/IPS-ohjelmistojen tarjoajia ovat muun muassa McAfee, Juniper, IBM, Sourcefire and TippingPoint (Kibirkstis, 2009).

16 Toiminta Tunkeutumisen havaitsemisjärjestelmät jaotellaan isäntä- ja verkkopohjaisiin järjestelmiin, jotka voivat olla joko aktiivisia tai passiivisia. Aktiivisia järjestelmiä kutsutaan tunkeutumisen estojärjestelmiksi ja ne lyhennetään yleensä muotoon IPS (Intrusion Prevention System) kun taas passiivisista järjestelmistä käytetään lyhennettä IDS (Intrusion Detection System). IDS/IPS-ohjelmistot etsivät merkkejä väärinkäytöksistä joko verkon toiminnasta kerättyjen tilastojen tai tunnisteita sisältävien ennalta määriteltyjen sääntöjen perusteella. (Viestintävirasto, 2007) Aktiivinen järjestelmä reagoi hälytyksiin ja pyrkii estämään haitallisen toiminnan esimerkiksi katkaisemalla yhteyden tai estämällä hyökkääjän IP-osoitteen palomuurista kun taas passiivisessa järjestelmässä reagointi on täysin ylläpitäjän vastuulla. IDS on ikään kuin murtohälytysjärjestelmän hiljainen hälytys; tunkeilijalle ei anneta vihjeitä siitä, että hänen toimintansa on havaittu jotta hän jättäisi enemmän jälkiä tunkeutumistekniikoistaan ja motiiveistaan. IPS taas on tietyllä tapaa murtohälytysjärjestelmä, jossa sireeni alkaa huutaa kun tunkeilija rikkoo ikkunan. Tässä tapauksessa tunkeilijalle tehdään selväksi järjestelmän olevan valvonnan alaisena ja että hänen toimintansa on huomattu. (About.com) IDS:n avulla voidaan kerätä tarkkaa tietoa erilaisista hyökkäystekniikoista ja hyödyntää kerättyä informaatiota havaitsemisjärjestelmän kehittämisessä. IDS-ohjelmistoa voidaan käyttää tunkeutumisen havaitsemisen ohella myös muihin verkon ylläpitoa helpottaviin tehtäviin. Sensoreiden avulla voidaan esimerkiksi seurata verkon liikennemääriä ja eri protokollien osuutta niihin. Tilastotietojen avulla voidaan tutkia onko verkkoliikenteessä piikkejä tai katkoksia ja etsiä tällaisten ongelmien aiheuttajia. (Viestintävirasto, 2007)

17 Erilaisia tunkeutumisen havaitsemisjärjestelmiä Isäntäpohjainen järjestelmä HIDS (Host-based Intrusion Detection System) eli isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä on ohjelmisto, joka valvoo yhden verkkoaseman toimintaa seuraamalla esimerkiksi kirjautumisyrityksiä sekä järjestelmän tiedostojen muutoksia etsien niistä merkkejä epätavallisesta tai luvattomasta toiminnasta. (ehow) HIDS-ohjelmistoja kannattaa käyttää kohteissa, jotka ovat haavoittuvia ulko- tai sisäpuolisille uhkille joko sisältönsä tai ohjelmistojensa takia. DMZ (demilitarized zone) -alueella sijaitsevat palvelimet kohtaavat suuren riskin tarjotessaan palveluita Internetiin, joten niiden toimintaa on suositeltavaa seurata isäntäpohjaisen tunkeilijan havaitsemisjärjestelmän avulla. (Northcutt & Novak, 2001, 210) Nykypäivänä virustorjuntaohjelmiin on lisätty HIDS-tyyppisiä ominaisuuksia ja ne osaavat valvoa tiedostojen muutoksia tai kysyvät erillisen valtuutuksen jos järjestelmän tiedostoihin yritetään tehdä muutoksia. Ohjelmistopalomuurit osaavat tunnistaa järjestelmää vastaan kohdistettuja porttiskannauksia ja varoittavat näistä. F-Securen Internet Security lupaa suojata kotikäyttäjää virusten lisäksi myös hakkerihyökkäyksiltä ja identiteettivarkauksilta. (F-Secure, 2012) HIDS:n hyviä puolia (ehow): Yksittäisten koneiden tapahtumien valvonta myös kytkinverkoissa. Toimii myös verkoissa joissa liikenne on salattua. Valvoo koneiden sisäisiä tapahtumia, eikä ainoastaan niiden välillä kulkevaa liikennettä. Havaitsee yksittäistä konetta koskettavat väärinkäytökset. Suojaa myös verkosta tulevilta uhkilta. Tuottaa vähemmän vääriä hälytyksiä kuin muut tunkeutumisen havaitsemisjärjestelmät.

18 18 HIDS:n huonoja puolia (Techotopia): Käyttää valvottavan kohteen paikallisia resursseja, eli vaikuttaa isäntäkoneen suorituskykyyn. Monitorointi on työlästä suurissa verkoissa. Ohjelmisto sijaitsee valvottavan kohteen yhteydessä, joten on mahdollista että hyökkääjä pääsee käsiksi valvontaohjelmistoon ja poistaa jälkensä. Ei valvo yleisesti verkkoliikennettä. Ylläpidon kannalta työläämpi esimerkiksi verkon liikennettä valvovaan järjestelmään verrattuna. Yksittäisen työaseman valvominen ei välttämättä ole mielekästä Verkkopohjainen järjestelmä NIDS (Network Intrusion Detection System) on tunkeilijan havaitsemisjärjestelmä, joka tutkii verkkoliikennettä etsien merkkejä väärinkäytöksistä ja poikkeuksista joko tilaston tai ennalta määriteltyjen sääntöjen perusteella. NIDS voi olla ohjelmisto ja kaupallisissa ratkaisuissa myös erillinen laite. NIDS koostuu yleensä sensorista, tietokannasta ja monitorointiohjelmistosta. Sensori kaappaa liikennettä ja hälyttää jos havaitsee siinä jotain poikkeavaa. Hälytykset kirjoitetaan tietokantaan, jota ylläpitäjä käy tarkastelemassa monitorointiohjelman avulla. (NIST, 2007) NIDS:n hyviä puolia (Techotopia): Helppo asennus joka ei yleensä vaadi isoja muutoksia olemassa olevaan verkkoon. Edullinen verrattuna järjestelmiin jotka tulee asentaa jokaiselle verkon laitteelle erikseen. Havaitsee suurimman osan hyökkäyksistä. Säilyttää tiedon hyökkäyksistä ja tietojen poistaminen hyökkääjän toimesta on vaikeaa.

19 19 Käyttöjärjestelmäriippumaton, valvoo vain liikennettä. Antaa kokonaisvaltaisen kuvan verkon tilanteesta. Oikein konfiguroituna näkymätön ulkopuolelle. NIDS:n huonoja puolia (Techotopia): Hälytysten seuraaminen ja analysointi on työlästä. Väärien hälytysten määrä saattaa heikentää uskoa järjestelmän toimivuuteen. Hälytyksiin reagointi on ylläpitäjän vastuulla. Yksittäisten koneiden sisällä tapahtuvat väärinkäytökset jäävät huomaamatta. Sensoreiden sijoittaminen on hankalaa kytkinverkoissa. Nopeiden yhteyksien valvonta vaatii sensoreilta korkeaa suorituskykyä Hajautettu järjestelmä DIDS (Distributed Intrusion Detection System) on hajautettu tunkeutujan havaitsemisjärjestelmä, jossa on useampia sensoreita. Käyttämällä HIDS- ja NIDS-sensoreita samaan aikaan saadaan hyökkäyksistä kerättyä huomattavasti enemmän tietoa. Sensorit voivat olla joko suoraan yhteydessä toisiinsa tai jakaa yhteisen tietokannan, josta niiden hälytyksiä voidaan monitoroida keskitetysti. Suurissa verkoissa hajautettu järjestelmä mahdollistaa ongelmien rajaamisen ja antaa selkeämmän kuvan hyökkäyksen laajuudesta kuin yhden sensorin järjestelmä. (Symantec (2), 2010) Langattomien verkkojen valvonta WIDS (Wireless Intrusion Detection System) on langattomien verkkojen valvontaan tarkoitettu tunkeutumisen havaitsemisjärjestelmä. Luvattomat työasemat ja tukiasemat asettavat suuren riskin sisäverkon tietoturvalle. Epähuomiossa väärään porttiin kytketty suojaamaton tukiasema saattaa avata pääsyn suoraan yrityksen palvelimille. (Tietokone, 2007) Kiinteän verkon kautta tehdyissä hyökkäyksissä tekijä on usein fyysisesti kaukana kohteestaan, mutta langattomiin verkkoihin hyökkääminen yleensä edellyttää, että hyökkää-

20 20 jä on verkon kantoalueella ja siksi jotkut WIDS-laitteet tukevat myös tunkeilijan paikallistamista verkosta. WIDS-laitteelle voidaan määrittää langattoman verkon turvallisuuspolitiikka ja luvallisten tukiasemien tiedot, jolloin se hälyttää havaitessaan luvattoman tukiaseman tai jos luvallisen tukiaseman asetuksia on muutettu. WIDS:n avulla voidaan havaita myös Netstumblerin tai vastaavien verkkojen skannaukseen käytettävien työkalujen käyttö. Tukiasemia vastaan kohdistetut DoS (Denial of Service) -hyökkäykset ja MAC-osoitteiden väärennökset pystytään estämään tai niistä pystytään ainakin lähettämään tieto ylläpitäjälle. (Symantec (3), 2010) Hunajapurkit Hunajapurkit ovat verkkoon tarkoituksella asetettuja ansoja, joilla ei ole mitään tekemistä tuotantoverkon kanssa. Hunajapurkki voi olla tiedosto, ohjelma, palvelin tai kokonainen verkko, jota valtuutetuilla käyttäjillä ei ole tarvetta käyttää. Jos joku kuitenkin käyttää jotain edellä mainituista kohteista, voidaan pitää varmana että kyse on väärinkäytöksestä. Hunajapurkkien avulla voidaan siis kerätä tietoa hyökkääjästä sekä hyökkäystekniikoista ja ohjata ulkopuolelta tulevia hyökkäyksiä arvottomiin kohteisiin. Honeynet, eli hunajaverkko koostuu yhdestä tai useammasta hämäysverkosta ja voi sisältää paljonkin koneita, joiden parissa hyökkääjä toivon mukaan kuluttaa aikansa sen sijaan, että varsinainen suojeltava sisäverkko vaarantuisi. (SANS) 3.3. Tunnisteisiin ja poikkeuksiin perustuvat järjestelmät Verkon poikkeuksia tutkivan (Anomaly-based) tilastollisen tunkeutumisen havaitsemisjärjestelmän käyttäminen edellyttää, että on olemassa kerätty otos verkon normaalista liikenteestä. Liikennettä verrataan tilastoon matemaattisin menetelmin ja esimerkiksi esiintymistodennäköisyyden perusteella tehdään päätelmät siitä onko liikenne normaalia vai poikkeavaa. Poikkeuksiin perustuvat järjestelmät ovat yleensä oppivia järjestelmiä, joten mitä kauemmin järjestelmä on ollut käytössä niin sitä varmemmin se osaa hälyttää asianmukaisesti epätavallisesta liikenteestä eli mahdollisista väärinkäytöksistä. Poikkeuksia etsivien järjestelmien erityisenä etuna on nollapäivän hyökkäyksien havaitseminen, jotka jäävät usein tunnisteisiin perustuvilta järjestelmiltä huomaamatta. Nollapäivän hyökkäyksillä tarkoitetaan ennalta tuntemattomia haavoittuvuuksia hyödyntäviä tunkeutumistekniikoita. Myös hitaasti etenevien hyökkäysten havaitseminen on poik-

21 21 keuksiin perustuvissa järjestelmissä todennäköisempää tunnisteisiin perustuviin verrattuna. Eduksi voidaan laskea myös helpommat ylläpitotoimet tunnisteisiin perustuviin järjestelmiin verrattuna, koska esimerkiksi sääntöjen ajantasaisuudesta ei tarvitse huolehtia. (Symantec (4), 2010) Poikkeuksiin perustuvat järjestelmät eivät osaa erotella liikenteen hyvän- tai pahantahtoisuutta, joten verkossa usein esiintyvää tavallista liikennettä voidaan käyttää vääriin tarkoituksiin. Jos jokin väärin konfiguroitu laite tuottaa verkkoon viallista liikennettä, saattaa jokin aiheellinen hälytys jäädä tämän vuoksi huomaamatta. (Symantec (4), 2010) Poikkeuksiin perustuvan järjestelmän käyttöönotto vaatii tilaston keräystä verkosta yleensä muutaman viikon ajalta ennen analysoinnin aloittamista. Heikkoutena on myös hälytysten epämääräisyys tunnisteisiin perustuvaan järjestelmään verrattuna niitä annetaan herkästi mutta ne eivät välttämättä sisällä kovin tarkkoja tietoja ongelmien aiheuttajista. (Symantec (4), 2010) Tunnisteisiin perustuva (Signature-based) järjestelmä vertaa liikennettä ennalta määriteltyihin sääntöihin. Säännöt sisältävät tunnisteita, joiden perusteella pyritään tunnistamaan liikenteestä yleisesti verkkohyökkäyksiin tai haittaohjelmiin viittaavaa toimintaa. Tunnisteisiin perustuvan järjestelmän heikkoutena on se, ettei järjestelmä tunnista sääntöihin määrittelemätöntä toimintaa eli tuntemattomat hyökkäykset saattavat jäädä järjestelmältä kokonaan huomaamatta. Poikkeuksiin perustuva järjestelmä tuottaa enemmän aiheettomia hälytyksiä kuin tunnisteisiin perustuva, mutta aiheellisten hälytysten kannalta tilanne on taas päinvastainen. Tunnisteisiin perustuva järjestelmä ei havaitse sääntöjen ulkopuolisia hyökkäyksiä ja tästä syystä se ei välttämättä osaa hälyttää kaikista väärinkäytöstapahtumista. (NIST, 2007) Tunnisteisiin perustuvien järjestelmien perimmäisenä ongelmana on, että niiden havaitsemat hyökkäykset ovat jo vanhoja. Uuden uhan ilmestyessä sen havaitsevan säännön kirjoittaminen, testaaminen ja julkaiseminen kestää nopeimmillaankin tunteja. IDS-ohjelmistojen sääntöjä ei välttämättä päivitetä kovin usein, joten pahimmillaan uuden tunnisteen lisääminen järjestelmään voi kestää jopa viikkoja. Tässä mielessä tunnisteisiin perustuva järjestelmä ei ole paras mahdollinen työkalu oikeasti vaarallista vihollista vastaan, vaikka se havaitsisikin suurimman osan epäilyttävästä liikenteestä. IDS-ohjelmistojen säännöt ovat myös hyökkääjän saatavilla, joten asiansa osaava tunkeilija todennä-

22 köisesti hyödyntää tekniikoita, jotka ovat hankalammin havaittavissa. (Northcutt & Novak, 2001, 425) 22 Virustorjuntaohjelmistot ja tunnisteisiin perustuvat tunkeilijan havaitsemisjärjestelmät toimivat melko samalla tavalla; molemmat valvovat kohteensa toimintaa ja vertaavat sitä niille asetettuihin ehtoihin. Virustorjuntaohjelmat havaitsevat kymmeniä tuhansia viruksia, kun taas IDS-ohjelmistoissa sääntöjä ei välttämättä tarvitse olla edes satoja. Molempien tehokkuus on kuitenkin riippuvainen tunnisteiden ajantasaisuudesta sillä mikä tahansa virus tai hyökkäys jää huomaamatta jos sitä valvova ohjelmisto ei ole sen olemassaolosta tietoinen. (Northcutt & Novak, 2001, 265) 3.4. Tunkeutumisen havaitsemisjärjestelmien heikkoudet IDS-laitteistojen heikkoudet ja rajoitukset kannattaa selvittää ennen järjestelmän käyttöönottoa. Ongelmia saattavat aiheuttaa kytkinverkkojen pienet yleislähetysalueet ja siten sensoreiden sijoittamisen hankaluus, salattu liikenne ja eristetyn valvontalaitteiston päivittäminen. Tunkeutumisen havaitsemisjärjestelmät ovat tärkeitä verkon valvontatyökaluja, mutta huolimattomasti ylläpidettynä ne aiheuttavat myös vakavan turvallisuusriskin. IDS-ohjelmistot ja krakkerien käyttämät salasananuuskimet toimivat teknisesti samalla tavalla vaikka niiden tavoitteet eroavatkin radikaalisti. Yksinkertaisimmillaan liikenteestä etsitään jotain tiettyä merkkijonoa ja hälytetään kun sellainen löytyy. Jos hyökkääjä pääsee käsiksi IDS-ohjelmistoon, on hänellä käytössään tehokas ja huomaamaton työkalu tietojen urkkimiseen verkosta. Hyökkääjä pystyy myös poistamaan jäljet toiminnastaan, jolloin hyökkäys saattaa jäädä kokonaan huomaamatta. Tästä syystä IDS-laitteisto tulee ehdottomasti sijoittaa valvottavan verkon ulkopuolelle ja parhaassa tapauksessa eristää täysin myös muista verkoista. (Northcutt & Novak, 2001, 185) IDS-ohjelmistojen havainnointikykyä voidaan heikentää ja niiltä on mahdollisuus myös piiloutua. Tunkeutumisen havaitsemisjärjestelmät sisältävät ohjelmointivirheitä ja haavoittuvuuksia aivan kuin kaikki muutkin ohjelmistot. Tällaiset haavoittuvuudet eivät korjaannu tunnisteiden päivittämisellä, koska virheet ovat itse ohjelman lähdekoodissa. Pahimmillaan IDS-ohjelmistoon kohdistettu hyökkäys antaa tunkeilijalle mahdollisuu-

23 23 den poistaa jäljet omasta toiminnastaan tai jopa käyttää IDS-ohjelmistoa apuna hyökkäyksessään. Tunkeutumisen havaitsemisjärjestelmää ei tulisi koskaan käyttää ainoana verkkoa suojaavana järjestelmänä, koska ne eivät välttämättä havaitse kaikkia hyökkäyksiä. Yleisesti IDS-ohjelmistoja käytetäänkin täydentämään muita suojausmenetelmiä. (CERT-FI, 2010) IDS-ohjelmistot eivät aikoinaan osanneet tutkia salattua liikennettä lainkaan, mutta nykyisin salatun liikenteen purkaminen on mahdollista syöttämällä salausavaimet myös IDS:lle. Salauksen purkaminen kuitenkin kuormittaa järjestelmää ja nostaa suorituskykyvaatimuksia. Nykyään on tarjolla myös kaupallisia tuotteita, joiden avulla SSL (Secure Sockets Layer) -salaus voidaan purkaa ennen kuin se ohjataan IDS/IPS-ohjelmiston tarkasteltavaksi (Reuters, 2010).

24 24 4 HYÖDYT JA HAITAT YRITYSYMPÄRISTÖSSÄ 4.1. Yrityksen näkökulma Yrityksen toiveena on saada ohjelmisto, joka hälyttää aina kun joku yrittää tunkeutua yrityksen verkkoon tai jos sisäverkossa ilmenee väärinkäytöksiä. Järjestelmän tulisi havaita kaikki haitallinen toiminta, mutta samalla antaa mahdollisimman vähän vääriä hälytyksiä. Ylläpidon tulisi vaatia vähän huomiota ja järjestelmän sekä sääntöjen päivittämisen tulisi olla mieluiten automaattista. Tietysti järjestelmän tulisi tämän lisäksi olla hankinta- ja ylläpitokustannuksiltaan mahdollisimman edullinen. Valitettavasti edellä mainittuihin vaatimuksiin vastaaminen ei ole kovinkaan yksinkertaista Velvollisuudet Ennen tunnistetietojen käsittelyä yrityksen tulee saattaa verkon ja palveluiden tietoturva asianmukaiselle tasolle. Tunnistetietojen käsittelystä on toimitettava maksullinen ennakkoilmoitus tietosuojavaltuutetulle, josta käy ilmi perusteet toiminnalle, tunnistetietojen käsittelystä vastaavat henkilöt sekä toiminnan käytännöt ja miten työntekijöitä on tiedotettu asiasta. Työntekijöille tulee toimittaa verkkopolitiikka, josta käy ilmi yrityksen verkossa sallittu ja kielletty toiminta. Yrityssalaisuuksien käsittelyä varten on laadittava erillinen ohjeistus, josta käy ilmi esimerkiksi onko tällaista tietoa sallittua lähettää edes yrityksen sisällä. Tunnistamistietoja käsittelevät henkilöt tulee nimetä etukäteen, ja heidän tulee vastata yrityksen verkon ylläpidosta ja tietoturvasta. Yrityksen tulee neuvotella työtekijöiden kanssa yhteistoimintamenettelyssä tunnistamistietojen käsittelystä ja väärinkäytösten seurannalle tulee laatia etukäteen käytännöt. Työntekijöille tulee tiedottaa kaikista päätöksistä, jotka tehdään tunnistamistietojen käsittelyn perusteella. Tunnistetietojen manuaalisesta käsittelystä tulee toimittaa vuosittainen selvitys työntekijöiden edustajalle sekä tietosuojavaltuutetulle. Työntekijän tunnistetietoja käsitellessä tulee hänelle toimittaa selvitys, josta käy ilmi peruste tunnistetietojen käsittelylle, käsittelyyn osallistuneet henkilöt, toiminnan ajankohta ja kesto sekä käsittelystä päättäneen henkilön nimi. Selvitystä tulee säilyttää kaksi vuotta ja se tulee aina toimittaa asianomaiselle, ellei selvityksen toimittaminen vaaranna tutkinnan tavoitetta. (Pesonen, 2012, )

25 Salassapito Yrityksessä kannattaa etukäteen harkita kuinka suureen ääneen tunkeilijan estojärjestelmästä puhutaan ja missä yhteyksissä. Verkon käyttäjille tulee tietysti ilmoittaa valvontaohjelmiston käytöstä, mutta salassapitosopimukseen kannattaa sisällyttää kohta, jossa kielletään kertomasta ulkopuolisille yrityksen käytössä olevista ohjelmistoista. Jos hyökkääjä tietää etukäteen että yrityksessä on IDS-ohjelmisto, saattaa hän generoida verkkoon liikennettä, joka pitää ylläpitäjät kiireisenä ja samalla vaivihkaa tehdä taustalla jotain muuta. Tavoitteellinen toiminta saattaa jäädä jopa kokonaan huomaamatta jos hämäysliikenne on taitavasti toteutettua. Palvelunestohyökkäyksiä voidaan tietoisesti kohdistaa myös ylläpitäjiä vastaan, joten valtava määrä hälytyksiä ilman selitettävää syytä saattaa olla yritys saada ylläpitäjät kiireiseksi tai lamaannuttaa IDS-laitteiston toiminta. (Northcutt & Novak, 2001, 414.) Järjestelmää hankittaessa huomioitavat seikat Kaupallista järjestelmää ostettaessa on hyvä tietää kuinka paljon järjestelmän päivittäminen maksaa ja kuinka usein sääntöihin tulee päivityksiä. Myös väärien hälytysten määrää on hyvä tiedustella etukäteen jos myyjä väittää että järjestelmä ei tuota lainkaan vääriä hälytyksiä niin on syytä harkita muita vaihtoehtoja. Kannattaa selvittää etukäteen myös millaisia liikennemääriä sensorien tulisi pystyä käsittelemään ja vastaako tuote tätä vaatimusta. (Symantec (5), 2010) 4.2. Ylläpitäjän näkökulma Millaisia ominaisuuksia ylläpitäjä haluaa tunkeutumisen havaitsemisjärjestelmältään? Todennäköisesti varmuutta ainakin siitä, että järjestelmä toimii halutulla tavalla ja sen antamiin hälytyksiin voidaan myös luottaa. Ajastettujen testisääntöjen, SNMP:n (Simple Network Management Protocol) ja muiden valvontatekniikoiden avulla itse järjestelmän toimintaa voidaan seurata melko vaivattomasti. Hälytysten tarkastelun kannalta on toivottavaa, että jo käsitellyt hälytykset voidaan merkitä tarkastetuiksi ja niihin voidaan tarvittaessa myös lisätä huomioita ongelmien mahdollisista aiheuttajista. Hälytysten monitoroinnissa tärkeintä on nähdä tarvittava informaatio helposti ja hälytysten suodattamisen tulee olla helppoa. Monitorointiohjelmiston tulee tarjota ylläpitäjälle kokonaisti-

26 26 lanteesta nopeasti tulkittava yleiskatsaus sekä tarvittaessa tarjota yksittäisen hälytyksen tiedot niin tarkasti kuin mahdollista. Monitorointiohjelmistojen tarjoamat riippuvuudet helpottavat ylläpitäjän toimintaa huomattavasti; on paljon nopeampaa listata napin painalluksella kaikki tietystä osoitteesta tulleet hälytykset sen sijaan, että hälytystietokannasta etsittäisiin manuaalisesti kaikki tuota osoitetta vastaavat hälytykset. (Northcutt & Novak, 2001, 206.) Hyökkäyksen vakavuuden määrittäminen Ylläpitäjän tulisi arvioida tilanteen vakavuutta aina hyökkäyksen kohteen näkökulmasta. Monitorointiohjelmaa tuijottaessa hälytysten tulvaan turtuu helposti ja pian usein esiintyviin hälytyksiin ei jaksa suhtautua kovinkaan vakavasti. Hälytykset kannattaa aina priorisoida vakavuuden mukaan ja IDS-säännöissä hälytyksen vakavuus on usein määritetty sen mukaan kuinka todennäköisiä väärät hälytykset ovat ja mitkä ovat riskit jos hyökkäys todella onnistuu. Kannattaa kuitenkin tiedostaa, että IDS ei tiedä mitä laitteistoja tai ohjelmistoja verkossa on käytössä, toisin sanoen hyökkäys joka on kohdistettu WWW-palvelinta vastaan aiheuttaa hälytyksen vaikka verkossa ei WWW-palvelinta olisikaan. Tästä syystä säännöt kannattaa käydä etukäteen läpi ja poistaa käytöstä tarpeettomat jotta aikaa ei kuluisi aiheettomien hälytysten tutkimiseen. Vakavuutta voidaan arvioida määrittelemällä uhkille tasot sen mukaan kuinka suurta osaa järjestelmän toiminnoista se koskettaa. Kriittisimmällä tasolla ovat palvelut, jotka vaikuttavat kaikkeen toimintaan, eli palomuurit, DNS (Domain Name System) -nimipalvelut sekä reitittimet. Tasoa alempana voivat olla sähköpostipalvelu, DMZ-palvelimet ja muut palvelut, jotka ovat kriittisiä, mutta eivät niin kriittisiä että verkon toiminta estyisi kokonaisuudessaan. Alimmalla tasolla ovat yksittäiset työasemat, jotka vaikuttavat ainoastaan yhden tai muutaman työntekijän toimintaan. (Northcutt & Novak, 2001, 206.) Ilmoittamiskynnys Ylläpitäjän ainaisena ongelmana on myös ilmoittamiskynnys, eli milloin hälytys tai hälytysten sarja saavuttaa sen rajan jolloin siitä tulisi ilmoittaa eteenpäin. Epäonnistumisen pelko nostaa rajaa usein liiankin korkealle. Verkossa esiintyvät väärät hälytykset nostavat ilmoittamiskynnystä varsinkin jos kaikkien hälytysten syytä ei tarkalleen pystytä tai ehditä määrittämään. (Northcutt & Novak, 2001, 261.)

27 Aiheettomat ja huomaamatta jääneet hälytykset Tunkeutumisen havaitsemisjärjestelmissä esiintyy yleensä erittäin paljon vääriä hälytyksiä jos niitä ei ole säädetty valvottavaan verkkoon sopiviksi. IDS-ohjelmistot hälyttävät oletuksena kaikesta epänormaalista toiminnasta ja ylläpitäjän vastuulle jää rajoittaa näitä hälytyksiä sen mukaan mitä hän haluaa verkossa valvoa. Termillä False Positive tarkoitetaan IDS:n aiheetonta hälytystä, kun taas termillä False Negative viitataan aiheelliseen hälytykseen, jota IDS ei kuitenkaan ole jostain syystä antanut. Väärät positiiviset ovat IDS:n toiminnan kannalta hyväksyttävämpiä kuin väärät negatiiviset verkon tapahtumista halutaan nähdä mieluummin liian paljon kuin liian vähän tietoa. Ylläpitäjä pystyy vähentämään väärien positiivisten määrää luomalla sääntöihin vaimennuksia, tai vaihtoehtoisesti hälytysten tarkastelua voidaan helpottaa lisäämällä suodattimia monitorointiohjelmistoon. (Northcutt & Novak, 2001, 107.) Periaatteessa oikein konfiguroidun verkon ei tulisi tuottaa lainkaan hälytyksiä, mutta käytännössä tällaiseen tilanteeseen tuskin koskaan päästään. Vääriä positiivisia käsitellessä tulisi kuitenkin aina pyrkiä ensisijaisesti selvittämään, miksi jokin laite tai ohjelmisto tuottaa sääntöjen vastaista liikennettä. Hälytysten määrää tulisi pyrkiä vähentämään säätämällä hälytysten lähteiden asetuksia. Sääntöjen vaimentaminen heikentää aina sensorien havainnointikykyä, joten sitä tulisi aina pääasiallisesti välttää. Jos järjestelmä kuitenkin edellyttää sääntöjen vaimentamista tulisi aina dokumentoida toimenpiteen tarve ja ajankohta, jotta vaimennusten hallinta olisi tulevaisuudessa käytännöllisempää. (Symantec (5), 2010) Sensoreiden sijoittaminen verkkoon Sensorit tulee sijoittaa verkkoon siten, että ne pystyvät käsittelemään mahdollisimman paljon oleellista liikennettä. Väärin sijoitettu sensori tuottaa joko liikaa tai liian vähän hälytyksiä todelliseen uhkaan nähden ja antaa ylläpitäjälle vääristyneen kuvan verkon tilasta. Sensorien sijoittaminen on aina verkkokohtaista, mutta jos käytössä on ainoastaan yksi sensori, kannattaa se sijoittaa palomuurin ulkopuolelle sillä näin saadaan eniten tietoa ulkopuolelta tulevista hyökkäyksistä. Yksinkertaisesti asia voidaan ilmaista niin, että