Romahtaako Internet? professori Hannu H. KARI Teknillinen korkeakoulu (TKK) Kari [at] tcs [dot] hut [dot] fi Hannu H. Kari/TKK/T-Os/TKT-lab Page 1/40
Maailma nykypäivänä Ihmisen ja luonnon aiheuttamia katastrofeja Esimerkiksi Tsunami 2004 Myyrmanni 2002 9/11 2001 Tsernobyl 1986 Hannu H. Kari/TKK/T-Os/TKT-lab Page 2/40
Maailma nykypäivänä Tiedonvälitys digitalisoitunut Internet, Radio/TV, GSM,... Reagointiaika lyhentynyt Maailma globailisoitunut Kyber-terroristit, organisoitunut rikollisuus, hakkerit, virukset, palvelunestohyökkäykset Kaikki toiminta perustuu toimivaan ja nopeaan tiedonsiirtoon, jonka edellytyksenä on toimivat tietoverkot Maan johto, puolustusvoimat, viranomaiset, suuri yleisö,... Hannu H. Kari/TKK/T-Os/TKT-lab Page 3/40
Ennustus 28.5.2004: Tulevaisuus ei näytä hyvältä! V. 2003: Roskan määrä kasvaa Virusten ja roskapostin määrän räjähdysmäinen kasvu V. 2004: Verkkojen toimintavarmuus luhistuu Hyökkäykset verkkoinfrastruktuureihin lisääntyvät V. 2005: Sisällön manipulointi lisääntyy Tietoverkkojen tiedon systemaattinen manipulointi ja vääristely V. 2006: Internet romahtaa Saastan määrä Internetissä ylittää sietokynnyksen Luottamus Internetistä saatavaan tietoon on olematon Vihamieliset hyökkäykset verkkoinfrastruktuuriin romahduttavat toimintavarmuuden Internetin käyttökelpoisuus liiketoimintaan loppuu Palataan 10...20 vuotta ajassa taaksepäin ja selviydyttävä ilman tietokoneita/-verkkoja Hannu H. Kari/TKK/T-Os/TKT-lab Page 4/40
Tietoverkkojen toimintavarmuuden merkitys Huoltovarmuuskeskus Nykyisin tärkeintä on yhteiskunnan perus(tieto)infrastruktuurin toimintavarmuuden varmistaminen on avainasia Uhkakuvat 2005: Riippuvuutemme globaalista verkostotaloudesta ja sen perustana olevasta tieto- ja viestintäteknologiasta lisääntyy jatkuvasti. Kansainvälistyneeseen, teknistyneeseen ja verkostoituneeseen yhteiskuntaan liittyvät uudenlaiset uhkat ovat lisääntyneet. Erityisen uhkatekijän tässä kehityksessä muodostavat tietoturvallisuus ja varautuminen informaatiouhkiin. Uusi tekniikka on tuonut mukanaan mm. tietokonevirukset, palvelunestohyökkäykset ja tietojärjestelmämurrot Hannu H. Kari/TKK/T-Os/TKT-lab Page 5/40
Sota vai rauha? Prikaatinkenraali Markku Koli/Puolustusvoimat Ei ole tiukkaa musta-valkoista kahtiajakoa sodan ja rauhan välillä Kriisejä on eri tasoisia ja eri vakavuusasteisia Yhteiskunnan tulee toimia kaikissa tilanteissa Viranomaiset ja siviilit tulee toimia yhdessä Rauha Sota Hannu H. Kari/TKK/T-Os/TKT-lab Page 6/40
Tulevaisuuden tarpeet Oikeaa tietoa oikeaan paikkaan oikea-aikaisesti = oikea-aikaisten päätöksien tekeminen ajankohtaisen ja luotettavan tiedon perusteella Tieto on varmasti oikein ja eheää on ajankohtaista on suojattu sivullisilta saadaan oikeaan aikaan Toimenpiteet perustuu oikeaan tietoon ja täydelliseen/riittävään tilannekuvaan komennot menevät perille oikeaan aikaan ja ehjinä Kaikilla tasoilla: Maan johto, siviiliviranomaiset, sotilasjohto, firmat ja suuri yleisö Hannu H. Kari/TKK/T-Os/TKT-lab Page 7/40
Uhkakuvat Sisältö/Informaatio Tietoturvaprotokollat (IPsec, TLS/SSL, Secure Shell,...) Tiedonsiirtoverkot Hannu H. Kari/TKK/T-Os/TKT-lab Page 8/40
Uhkakuvat Sisältö/Informaatio Tietoturvaprotokollat (IPsec, TLS/SSL, Secure Shell,...) Tiedonsiirtoverkot Hannu H. Kari/TKK/T-Os/TKT-lab Page 9/40
Internet Internet on alunperin suunniteltu kestämään ydinpommin iskun S D Hannu H. Kari/TKK/T-Os/TKT-lab Page 10/40
Internet Vioittuneet laitteet voidaan ohittaa uudelleenreitittämällä paketit S D Hannu H. Kari/TKK/T-Os/TKT-lab Page 11/40
Internet...Mutta yksi Myyrä voi tehdä pahaa aikaan uudelleenreitityksellä S D Hannu H. Kari/TKK/T-Os/TKT-lab Page 12/40
Internet... tai täyttämällä verkon roskalla... S D Hannu H. Kari/TKK/T-Os/TKT-lab Page 13/40
Internet...tai korruptoida ohimenevää dataa S D Hannu H. Kari/TKK/T-Os/TKT-lab Page 14/40
Uhkakuvat Ongelmia: Tietovuodot: Tiedon luvaton käyttö Tiedon eheydessä: Saadaan väärää tietoa Tehdään vääriä ratkaisuja Tiedon ajankohtaisuudessa: Saadaan oikeaa tietoa myöhässä Tieto on hyödytöntä Info-anemia: Tieto ei tule perille ollenkaan Epävarmuus, mitä on tapahtunut? Info-ähky: Saadaan liikaa tietoa Mikä on tärkeintä tietoa? Laitteet/henkilöt voivat kompromoitua Käyttäytyvät irrationaalisesti tai pahantahtoisesti Hannu H. Kari/TKK/T-Os/TKT-lab Page 15/40
Infrastruktuurin suojaaminen: Perinteiset virtuaaliverkot Internetoperaattori 1 Viranomaiset Internetoperaattori 2 Teleoperaattori A Mobiilioperaattori B Sovellukset TCP/UDP Sovellukset TCP/UDP Sovellukset TCP/UDP Teleprotokollat Mobiiliprotokollat IP IP IP IP IP VLAN-1 VLAN-2 VLAN-3 VLAN-x VLAN-y Kuitu Hannu H. Kari/TKK/T-Os/TKT-lab Page 16/40
Infrastruktuurin suojaaminen: Parannettu virtuaaliverkko Viranomaiset Internetoperaattori 1 Internetoperaattori 2 Teleoperaattori A Mobiilioperaattori B Sovellukset TCP/UDP Sovellukset TCP/UDP Sovellukset TCP/UDP Teleprotokollat Mobiiliprotokollat IPsec IPsec IPsec IPsec IPsec IP IP IP IP IP IPsec IPsec IPsec IPsec IPsec IP IP IP IP IP VLAN-1 VLAN-2 VLAN-3 VLAN-x VLAN-y Kuitu Hannu H. Kari/TKK/T-Os/TKT-lab Page 17/40
Infrastruktuurin suojaaminen: Perusajatus Operaattori X Asiakkaat SGW Operaattori SGW SGW SGW SGW Operaattori Y SGW Hannu H. Kari/TKK/T-Os/TKT-lab Page 18/40
Infrastruktuurin suojaaminen: Oman runkoverkon suojaus Operaattori SGW SGW Linkin suojaava pakettien autentikointi Polun suojaava pakettien autentikointi Hannu H. Kari/TKK/T-Os/TKT-lab Page 19/40
Infrastruktuurin suojaaminen: Toimenpiteet Pakettien autentikointi joka reitittimessä (huom. Ei tarvita salausta, vaan vain autentikointia!) Standardi IPsec-protokollan AH (Authenication header) ja ESP-0 (Encrypted Security Payload, no encryption) toiminnallisuudet toteuttavat vaadittavat ominaisuudet Autentikointi on nopeaa (pari kertaluokkaa nopeampaa kuin tiedon salaaminen/purkaminen) Avaintenhallinta Kukin operaattori hallitsee oman verkkonsa avaimet paikallisesti Operaattori ilmoittaa asiakkailleen tarvittavat avaimet palvelusopimusta tehtäessä Operaattorit vaihtavat keskenään tarvittavat avaimet liityntäsopimusta tehtäessä Hannu H. Kari/TKK/T-Os/TKT-lab Page 20/40
Infrastruktuurin suojaaminen: Jäljellejäävät ongelmat Hajautettu palvelunestohyökkäys Kukin yksittäinen datavirta on pieni, mutta yhdessä muodostavat sietämättömän kuorman Hakkerin kiinnisaaminen Miten saadaan maapallon toisella puolella olevan operaattorin verkossa olleen hakkerin tiedot (kuka käytti silloin ja silloin tätä IP-osoitetta?) Kompromoitujen solmujen hallinta Miten rajoittaa vihollisen käsiin joutuneiden solmujen aiheuttamia vahinkoja? Tekojen/tapahtumien jäljitettävyys Hannu H. Kari/TKK/T-Os/TKT-lab Page 21/40
Teknologian ongelmat Verkkoja ei oikeasti ole suunniteltu erikoistilanteisiin GSM-verkot Suuronnettomuuden sattuessa verkot eivät toimi pitkään aikaan Myyrmannin pommi-isku Luonnononnettomuudet voivat lamaannuttaa verkkoja Sähkönjakeluongelmat Internet Verkon toimintavarmuus voi romahtaa Virukset, palvelunestohyökkäykset Radioverkot Tahallinen radiohäirintä Tarvitaan Worst case -suunnittelua Hannu H. Kari/TKK/T-Os/TKT-lab Page 22/40
Monikanavaisuus Hannu H. Kari/TKK/T-Os/TKT-lab Page 23/40
Monikanavaisuus: Historia (kuva vuodelta 1998) no-access GPRS 3G WLAN user s travel path Hannu H. Kari/TKK/T-Os/TKT-lab Page 24/40
Monikanavaisuus Käännetään ajattelumaailma ylösalaisin Vanha ajattelumalli: Päätelaite hakee tietoa kulloinkin parasta kanavaa pitkin Uusi ajattelumalli Palvelut jakavat tietoa kaikkia kanavia pitkin, päätelaitteet poimivat paloja kulloinkin tarjollaolevista lähteistä Hannu H. Kari/TKK/T-Os/TKT-lab Page 25/40
Monikanavainen tiedonsiirto: Tänään Tieto Sotilasverkot TETRA/ VIRVE GSM Internet Radio/TV Viranomaiset Kansalaiset Hannu H. Kari/TKK/T-Os/TKT-lab Page 26/40
Monikanavainen tiedonsiirto: Tulevaisuudessa Tieto Sotilasverkot TETRA/ VIRVE GSM Internet Radio/TV IP Viranomaiset Kansalaiset Hannu H. Kari/TKK/T-Os/TKT-lab Page 27/40
Monikanavaisuuden edut Tehokkuus Parannetaan tavoitettavuutta Nopeutetaan tiedon perillemenoa Vikasietoisuus Häiriöalttius pienenee Vaikeampi häiritä Kustannustehokkuus Edullisempi, kun kaikkia verkkoja ei tarvitse rakentaa kaikkialle Turvallisempi Tiedon eheys ja luottamuksellisuus voidaan hoitaa samoilla menetelmillä kaikissa verkoissa Hallittavampi Sama tieto siirtyy kaikkialle Hannu H. Kari/TKK/T-Os/TKT-lab Page 28/40
Työkaluja Hannu H. Kari/TKK/T-Os/TKT-lab Page 29/40
Tavoite: Strukturoidun sähköisen dokumentin jakelu Mikä tahansa sisältö voidaan muuttaa rakenteelliseksi dokumentiksi Ladataan vain päivitetyt osat Lataus tehdään adaptiivisesti siirtokapasiteetin, kustannusten ja tilanteen mukaan Dokumentin ajankohtaisuuden tarkistus Päivitysilmoitukset Osa sisältöä voi olla salattu Digitaalisesti allekirjoitettu kokonaisuus, joka voidaan siirtää erillisenä CityEmergencySituation-2005/05/10 art 1 art2 art N Salattu/ rajoitettu pääsy Hannu H. Kari/TKK/T-Os/TKT-lab Page 30/40
Sisällön suojaaminen WWW-sivut, dokumentit Tietokoneen avatessa mitä tahansa dokumenttia, tulisi ensin tarkistaa dokumentin eheys Kuka sen on luonut (onko luotettava taho?) Koska dokumentti on tehty (onko ajankohtainen?) Onko dokumentti eheä (onko laittomia muutoksia?) Toteutus voi olla virustarkistusohjelman ohessa Samalla kun tarkistetaan mahdolliset virukset, voidaan tarkistaa tiedoston eheys Osa/kaikki tieto voidaan tarvittaessa salata ja antaa vain rajoitettu käyttöoikeus Hannu H. Kari/TKK/T-Os/TKT-lab Page 31/40
Sisällön suojaaminen Tiedostorakenteena voidaan käyttää XML-tietueita (havainnollistava esimerkki) <AUTH-DOCUMENT> <CREATOR> Matti Virtanen, Chief police, City of Espoo </CREATOR> <CERTIFICATE> xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx </CERTIFICATE> <CERTIFICATE-ORG> Väestörekisterikeskus: ca.vrk.fi </CERTIFICATE-ORG> <PUBLICKEY> xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx </PUBLICKEY> <FILENAME> ChemicalCloudDistributionEstimate.jpg </FILENAME> <DATA> yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy </DATA> <DATE> 2004-09-27 21.20.00 EET </DATE> <SIGNATURE> zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz </SIGNATURE> </AUTH-DOCUMENT> Hannu H. Kari/TKK/T-Os/TKT-lab Page 32/40
Visiot: Monikanavainen tiedon jakaminen Tieto Sotilasverkot TETRA/ VIRVE GSM Internet Radio/TV Informaatio Hannu H. Kari/TKK/T-Os/TKT-lab Page 33/40
Visiot: Monikanavainen tiedon jakaminen Tieto Sotilasverkot TETRA/ VIRVE GSM Internet Radio/TV Informaatio Hannu H. Kari/TKK/T-Os/TKT-lab Page 34/40
Visiot: Monikanavainen tiedon jakaminen Tieto Sotilasverkot TETRA/ VIRVE GSM Internet Radio/TV Informaatio Hannu H. Kari/TKK/T-Os/TKT-lab Page 35/40
Visiot: Monikanavainen tiedon jakaminen Tieto Sotilasverkot TETRA/ VIRVE GSM Internet Radio/TV Informaatio Hannu H. Kari/TKK/T-Os/TKT-lab Page 36/40
Visiot: Monikanavainen tiedon jakaminen Tieto Sotilasverkot TETRA/ VIRVE GSM Internet Radio/TV Informaatio Hannu H. Kari/TKK/T-Os/TKT-lab Page 37/40
Visiot: Monikanavainen tiedon jakaminen Tieto Sotilasverkot TETRA/ VIRVE GSM Internet Radio/TV Puuttuvien palojen rakentaminen paikallisesti Informaatio Hannu H. Kari/TKK/T-Os/TKT-lab Page 38/40
Visiot: Monikanavainen tiedon jakaminen Tieto Sotilasverkot TETRA/ VIRVE GSM Internet Radio/TV luotettava ja ajantasainen tieto Informaatio Hannu H. Kari/TKK/T-Os/TKT-lab Page 39/40
Yhteenveto Oikeaa tietoa oikeaan paikkaan oikea-aikaisesti Ja mahdollisimman tehokkaasti! Monikanavainen tiedonsiirto Nopeuttaa ja varmentaa tiedon perillemenon Säästää kustannuksia Tulevaisuudessa yhä useammat kanavat voivat siirtää samaa informaatiota ja eri kanavien tiedot voidaan automaattisesti yhdistellä päätelaitteessa Hannu H. Kari/TKK/T-Os/TKT-lab Page 40/40