VERKKOHYÖKKÄYSINFORMAATION KESKITETTY ANALYSOINTI

TEKNILLINEN KORKEAKOULU Sähkö- ja tietoliikennetekniikan osasto Arsi Heinonen VERKKOHYÖKKÄYSINFORMAATION KESKITETTY ANALYSOINTI Diplomityö, joka on jätetty opinnäytteenä tarkastettavaksi diplomi-insinöörin tutkintoa varten Espoossa 28. marraskuuta Valvoja: Ohjaaja: Professori Teemupekka Virtanen DI Timo Lehtimäki

HELSINKI UNIVERSITY OF TECHNOLOGY Author: Title: Arsi Heinonen Centralized analyses of information of the network attack ABSTRACT OF MASTER S THESIS Date: 28.11.2003 Pages: 90+9 Department: Professorship: Supervisor: Instructor: Department of Electrical and Communications Engineering T 110 Telecommunication Software and Applications (data networks) Professor Teemupekka Virtanen M.Sc. (Tech.) Timo Lehtimäki This master thesis concentrates in conducting research on requirements and potentials of centralized analyses of the network attack information. The emphasis is to determine what kind of attack information is required for making efficient centralized analyses and how this information can be obtained. These thesis contain constructed and partly implemented prototype system for the purposes of centralized analyses of attack information. The target of this research is to discover a new improved method to form a view of information security situation, and also to detect and analyze new occurrences. To establish a level of the future demand for centralized analyses on the network attack information an investigation on trends and future threats forms a part of this thesis. According to this research especially the network worms will cause an increased demand for the centralized analyses of attack information. As a result of the research it is established that an efficient centralized analyzing system can be implemented and it significantly assists in forming a view of information security situation and detecting the new occurrences of attack. The level of information required to make efficient centralized analyses is determined in this theses but obtaining this kind of information is likely to be problematic in practice Key words: Language: Information of network attack, Information security, Network Attack, Detection, Centralized, Analyzing, Gathering Finnish

TEKNILLINEN KORKEAKOULU DIPLOMITYÖN TIIVISTELMÄ Tekijä: Arsi Heinonen Työn nimi: Verkkohyökkäysinformaation keskitetty analysointi Päivämäärä: 28.11.2003 Sivumäärä: 90+9 Osasto: Professuuri: Työn valvoja: Työn ohjaaja: Sähkö- ja tietoliikennetekniikan osasto T 110 Tietoliikenneohjelmistot Prof. Teemupekka Virtanen DI Timo Lehtimäki Diplomityössä tutkitaan keskitetyn hyökkäysinformaation analysoinnin vaatimuksia ja mahdollisuuksia. Työssä painotutaan tutkimaan, mitä hyökkäysinformaatiota tehokas keskitetty analysointi vaatii ja kuinka vaatimusten mukaista hyökkäysinformaatiota olisi mahdollista saada. Osana työtä suunnitellaan ja osittain toteutetaan prototyyppi keskitettyä analysointia varten. Tutkimuksen tarkoituksena on löytää uusi, nykyisiä parempi menetelmä muodostaa tilannekuva tietoturvatilanteesta, sekä havaita ja analysoida uusia ilmiöitä. Työssä tutkitaan myös tämän hetken hyökkäystrendejä sekä tulevaisuuden uhkia keskitetyn hyökkäysinformaation analysoinnin tarpeiden kartoittamiseksi. Tutkimuksen mukaan erityisesti verkkomadot asettavat tulevaisuudessa tarpeita keskitetylle analysoinnille, jotta uusia ilmiöitä voidaan havaita niiden varhaisessa vaiheessa. Tutkimuksen tuloksena voidaan todeta, että tehokas keskitetty hyökkäysinformaation analysointijärjestelmä on toteutettavissa ja että sen avulla voidaan merkittävästi tehostaa uusien ilmiöiden havaitsemista ja tietoturvatilanteen tilannekuvan muodostamista. Diplomityössä määritetään tehokkaan keskitetyn analysoinnin vaatima hyökkäysinformaatio, mutta käytännössä ongelmia aiheutuu kuitenkin vaatimusten mukaisen hyökkäysinformaation saamisesta. Avainsanat: Kieli: Verkkohyökkäysinformaatio, tietoturva, verkkohyökkäys, havaitseminen, keskitetty, analysointi, kerääminen Suomi

ALKUSANAT Suurimmat kiitokset diplomityön ohjaajalle, Timo Lehtimäelle, joka erittäin kiireellisenäkin ehti paneutumaan ja kommentoimaan työtäni. Erittäin lämpimät kiitokset työni valvojalle, professori Teemupekka Virtaselle, joka rakentavasti ja ohjaavasti kommentoi ja ohjasi diplomityötä oikeaa suuntaan. Kiitokset Viestintävirastolle oikeudesta käyttää työaikaani diplomityön tekemiseen. Kiitokset Viestintäviraston CERT-FI ryhmälle ja muulle henkilöstölle kannustuksesta ja saamastani tuesta. Kauneimmat kiitokset kuuluvat kuitenkin vaimolleni Paulalle, joka paitsi hoitamalla kahta pientä lastamme antoi minulle mahdollisuuden diplomityön tekoon, myös jatkuvalla kannustuksella myötävaikutti työn edistymiseen ja auttoi suuresti työn kieliasun tarkistamisessa. Espoo, 28. marraskuuta 2003 Arsi Heinonen

SISÄLLYSLUETTELO Abstract Tiivistelmä Alkusanat Sisällysluettelo Lyhenteitä ii iii iv v viii 1 JOHDANTO 1 1.1 Työn taustatietoa... 2 1.1.1 CERT-FI... 2 1.2 Ongelman kuvaus... 3 1.3 Diplomityön rakenne... 4 2 VERKKOTURVALLISUUS 5 2.1 Protokollat... 5 2.1.1 IP-protokolla... 6 2.1.2 ICMP-protokolla... 7 2.1.3 TCP-protokolla... 7 2.1.4 UDP-protokolla... 8 2.1.5 Sovellusprotokollat... 9 2.2 Tietoturvallisuus... 9 2.2.1 Tietoturva käsitteenä... 9 2.2.2 Tietoturvauhkien luonne... 10 2.3 Tietoturvahyökkäykset... 11 2.3.1 Tietojärjestelmiin tunkeutumiset... 11 2.3.2 Haittaohjelmistohyökkäykset... 13 2.3.3 Palvelunestohyökkäykset... 14 2.3.4 Verkkohyökkäysmenetelmiä... 15 2.4 Palomuurit ja IDS-järjestelmät... 17 2.4.1 Verkkopalomuurit... 17

2.4.2 Henkilökohtaiset palomuurit... 18 2.4.3 IDS-järjestelmät... 18 2.5 Verkkohyökkäysten nykytila ja trendit... 19 2.5.1 Verkkoturvallisuuteen vaikuttaneita tekijöitä... 20 2.5.2 Nykypäivän hyökkäystyökalujen kehittyneisyys... 22 2.5.3 Hyökkääjien toimintatavoissa havaitut muutokset... 23 2.5.4 Viimeaikaisia suuntauksia makrotason hyökkäyksissä... 24 2.5.5 Makrotason hyökkäykset tulevaisuudessa... 28 3 HYÖKKÄYSINFORMAATION ANALYSOINTI 32 3.1 Hyökkäysinformaation kerääminen... 33 3.1.1 Tapahtumakirjanpito... 33 3.1.2 Syslog... 34 3.2 Hyökkäysinformaation analysointi... 34 3.2.1 Protokolla-analyysi ja protokollaotsaketietojen analysointi... 34 3.2.2 Hyötydatan analysointi... 37 3.2.3 Tilastolliset menetelmät... 38 3.3 Hyökkäysinformaation keskitetty analysointi... 39 3.3.1 Korrelointi... 39 3.4 CERT-FI:n tarpeet keskitetylle hyökkäysinformaation analysoinnille... 42 4 OLEMASSAOLEVAT KESKITETYT HYÖKKÄYSINFORMAATION KÄSITTELYJÄRJESTELMÄT 44 4.1 AusCERT ProbeLogger... 44 4.2 DShield... 46 4.3 Kaupallinen verkkoturvan monitorointi... 47 5 KESKITETYN HYÖKKÄYSINFORMAATION ANALYSOINTIJÄRJESTELMÄN VAATIMUKSET 48 5.1 Keskitetyn hyökkäysinformaation analysointijärjestelmän vaatimukset...48 5.1.1 Toiminnalliset vaatimukset... 48 5.1.2 Tekniset vaatimukset... 49 5.1.3 Vaatimukset CERT-FI:n näkökulmasta... 50 5.1.4 Vaatimukset tiedon luovuttajan näkökulmasta... 50 6 HYÖKKÄYSINFORMAATIO KESKITETYSSÄ ANALYSOINNISSA 51 6.1 Tehokkaan analysoinnin vaatimat informaatio... 51 6.2 Hyökkäysinformaation kerääminen... 53 6.3 Eri laitteiden ja ohjelmistojen tuottama hyökkäysinformaatio... 54

6.3.1 Verkkopalomuurit ja pakettisuodattimet... 54 6.3.2 Henkilökohtaiset palomuurit... 57 6.3.3 IDS Järjestelmät... 58 6.3.4 Yhteenveto eri laitteiden ja ohjelmistojen tuottamasta hyökkäysinformaatiosta... 59 7 KESKITETTY HYÖKKÄYSINFORMAATION ANALYSOINTIJÄRJESTELMÄ61 7.1 Järjestelmän yleiskuvaus... 61 7.1.1 Arkkitehtuurikuvaus... 61 7.1.2 Implementaatio... 62 7.1.3 Hyökkäysinformaation siirtäminen... 64 7.2 Tietokantajärjestelmä... 65 7.3 Luovutetun hyökkäysinformaation käsittelyjärjestelmä... 66 7.3.1 Esikäsittelijän toiminta... 66 7.3.2 Formaattikanta... 68 7.4 Keskitetty analysointi... 69 7.4.1 Hyökkäystietovarasto... 70 7.4.2 Lähdekorrelaatiomoduli... 71 7.4.3 Porttiskannausmoduli... 72 7.4.4 Tilastoanalyysi... 73 7.4.5 Otsakeanalyysimoduli... 73 7.4.6 Korrelointi... 74 7.5 Raportointimoduli... 75 7.6 Palauteautomaatti... 76 8 JÄRJESTELMÄN ARVIONTI JA JATKOKEHITYSTARPEET 78 8.1 Järjestelmän arviointi ja rajoitukset... 78 8.1.1 Lokiformaatit ja niiden käsittely... 78 8.1.2 Tiedon luovuttaminen... 78 8.1.3 Hyökkäysten havaitseminen ja analysointi... 79 8.1.4 Raportointi... 80 8.1.5 Ylläpito... 80 8.1.6 Yhteenveto... 80 8.2 Jatkokehitystarpeet... 81 9 JOHTOPÄÄTÖKSET 83

LYHENTEITÄ BSD CPAN CERT CERT-FI CVE DNS Berkeley Software Distribution, eräs Unix-käyttöjärjestelmän versio. Comprehensive Perl Archive Network, kokoelma valmiita vapaasti käytettäviä Perl-ohjelmamoduleita. Computer Emergency Response Team, tietoturvaloukkausten ennaltaehkäisyyn, havainnoinnin ja loukkaustilanteista toipumiseen erikoistunut ryhmä. Computer Emergency Response Team FICORA, Viestintäviraston CERT-ryhmä, Suomen kansallinen CERT-toimija. Kts. luku 1.1.1. Common Vulnerabilities and Exposures, de facto nimeämisstandardi ohjelmistojen ja laitteiden tietoturvahaavoittuvuuksille. Domain Name System, nimipalvelu, joka muuntaa koneiden osoitteet IP-numeroiksi (esim. www.tml.hut.fi -> 130.233.47.37). DoS Denial of Service, palvelunestohyökkäys, kts. luku 2.3.3. DDoS FBI FTP HTTP ICMP IDS IETF Distributed Denial of Service, hajautettu palvelunestohyökkäys, kts. luku 2.3.3. Federal Bureau of Investigation, Yhdysvaltojen liittovaltion poliisiviranomainen. File Trasnfer Protocol, tiedoston siirtoon tarkoitettu sovellustason protokolla HyperText Transfer Protocol, erityisesti Hypertext dokumenttien, kuten WWW-sivujen, siirtoon tarkoitettu sovellustason protokolla. Internet Control Message Protocol, IP:n hallintaprotokolla, kts. luku 2.1.2. Intrusion Detection System, tunkeutumisenhavaitsemisjärjestelmä. Internet Engineering Task Force, Internetin standardointielin.

IP Internet Protocol, Internetin liikennöintiprotokolla, kts. luku 2.1.1. ISO OSI PERL RFC SSL SQL TCP TTL UDP WHOIS WWW XML International Organization for Standardization, kansainvälinen standardointielin. Open System Interconnection, avoimien järjestelmien yhteenliittäminen. Practical Extraction and Report Language, tulkattava ohjelmointikieli. Request For Comments, IETF:n julkaisema dokumenttisarja. Secure Socket Layer, yhteyden salaamiseen ja/tai osapuolien todentamiseen käytetty protokolla. Structured Query Language, relaatiotietokannan rakenteellinen kuvauskieli. Transmission Control Protocol, yhteydellinen protokolla datapakettien luotettavaan siirtoon IP:n päällä, kts. luku 2.1.3. Time To Live, IP-protokollaotsakeen arvo, mikä kertoo kuinka monen reitittimen kautta IP-paketti voi vielä kulkea. User Datagram Protocol, yhteydetön ja epäluotettava protokolla datapakettien siirtoon IP:n päällä, kts luku 2.1.4. Verkkotietojen tietokanta, jossa säilytetään tietoja mm. kenelle tietty verkko-osoite on rekisteröity. World Wide Web, Internetin suosituin palvelu. Extensible Markup Language, rakenteellinen kuvauskieli.

LUKU 1 JOHDANTO Suomalaisen tietoyhteiskunnan kehitys, kilpailukyky ja yksityisyyden suoja ovat suuresti riippuvaisia kyvystämme suojata kansallista tietopääomaamme. Toimintaympäristössämme nopea teknologinen kehitys, tietoteknisten välineiden laaja käyttö sekä verkottuneisuus ovat tuoneet mukanaan uusia tietoon liittyviä riskejä ja uhkakuvia. [2] Nyky-yhteiskunnassa tiedon arvo kasvaa ja luottamuksellisen tiedon määrä jatkuvasti lisääntyy informaatio on monien yritysten ja organisaatioiden tärkeintä pääomaa. Luottamuksellisten tietojen salassa pysyminen voi olla yrityksen koko liiketoiminnan jatkuvuuden edellytys. Samanaikaisesti, paitsi yritysten, myös monilla tavoin koko yhteiskunnan toiminta on tullut yhä riippuvaisemmaksi tietojärjestelmistä ja tietoverkoista: jos tiedon saatavuus tai tietojärjestelmien tai -verkkojen käytettävyys ja toiminta häiriintyy, seurauksena on mittavat taloudelliset vahingot ja pahimmassa tapauksessa jopa yhteiskunnan välttämättömien toimintojen lamaantuminen. Monimutkaiset järjestelmät, kuten modernit tietojärjestelmät sovelluksineen, synnyttävät monia turvallisuusriskejä. Samalla kun niiden kompleksisuus kasvaa, on tietoverkkojen kiivas kasvu aiheuttamassa omat ongelmansa tietoturvallisuudelle: yhä enemmän tietojärjestelmiä, kotitietokoneista yhteiskunnan kannalta kriittisiin tietojärjestelmiin, on yhdistetty Internetiin, missä ne ovat paitsi alttiina verkon kautta tehtäville hyökkäyksille, myös riippuvaisia Internetin toiminnasta. Internetin suosio on merkinnyt sekä hyökkäyskohteiden että -alustojen kiivasta lisääntymistä, mutta vääjäämättä myös keskitason ylläpitäjän osaamistason nopeaa putoamista. Erityisesti viime aikoina on paljon keskustelua herättänyt automaattisesti ja lumivyörymäisesti tietoverkkoja pitkin levinneet hyökkäykset, jotka ovat aiheuttaneet koko Internetin toiminnalle vakavan uhan.

2 LUKU 1. JOHDANTO Tässä diplomityössä tutkitaan tietojärjestelmiin kohdistuvista verkkohyökkäyksissä syntyvän informaation keskitettyä analysointia. Diplomityössä tutkitaan hyökkäysinformaation keskitetyn analysoinnin tarpeita ja mahdollisuuksia. Työssä painotutaan tutkimaan, mitä hyökkäysinformaatiota tehokas keskitetty analysointi vaatii ja minkälaista hyökkäysinformaatiota voidaan olemassa olevista järjestelmistä saada. Osana diplomityötä suunniteltiin ja osittain toteutettiin keskitetysti hyökkäysinformaatiota analysoiva järjestelmä. Diplomityössä suunniteltava järjestelmä on tarkoitettu CERT-FI:n käyttöön ja sen toimintaa tukemaan. 1.1 Työn taustatietoa Tietoturvan kehittämisessä tulee huomioida kaikki sen eri osa-alueet: tietoturvatekniikoiden kehittämisen ja yleisen tietoturvatietoisuuden lisäämisen lisäksi tietoturvauhkien havainnoinnin ja tilannekuvan ylläpitäminen tulisi olla osa tietoturvakehitystä puolustautumista ja puolustautumismenetelmien kehitystä ohjaavana tekijänähän ovat tavallisesti olemassa olevat uhat. Tietoturvaloukkausten muuttuessa järjestäytyneemmäksi, nähdään myös niiden torjunnalle tarpeita kehittyä nykyistä tiiviimmäksi eri osapuolten väliseksi yhteistyöksi. Yhdeksi yhteistyön mahdollisuudeksi on nähty hyökkäysinformaation luovuttaminen tietoturvauhkien havainnointia ja keskitettyä analysointia varten kansallisella tasolla toimivalle taholle. 1.1.1 CERT-FI Suomessa kansallinen CERT-toiminta 1 alkoi vuoden 2002 alussa Viestintävirastoon kuuluvan CERT-FI ryhmä toimesta. CERT-toiminnan [60] yleisten päämäärien mukaisesti CERT-FI:n tavoitteena on tietojärjestelmiin kohdistuvien tietoturvaloukkausten ennaltaehkäisy ja torjunta mahdollisimman objektiivisesti ja tehokkaasti. CERT-FI:n tavoitteena on lisäksi yleinen tietoyhteiskunnan turvallisuuden edistäminen. Diplomityön tekijä työskentelee tietoturvatehtävissä CERT-FI ryhmässä. Tässä diplomityössä tehdyn tutkimuksen tarkoituksena on seuraavien CERT-FI:n [5] tehtävien ja toimintojen edistäminen: Toteuttaa valtakunnallista tapahtumaseurantaa, dokumentointia ja tilastointia Muodostaa ja ylläpitää tilannekuvaa informaatiouhkista ja tiedottaa havainnoistaan 1 CERT-lyhenne tulee sanoista Computer Emergency Response Team.

3 LUKU 1. JOHDANTO Antaa suosituksia, neuvontaa ja ohjeistuksia tietoturvallisuuden kehittämiseksi Jakaa ennalta ehkäisevää tietoutta tietoturvaloukkauksista Seurata ja analysoida informaatiouhkiin liittyvää kansainvälistä ja muuta kehitystä 1.2 Ongelman kuvaus CERT-FI:lle saapuva hyökkäystapausten lukumäärä on todellisiin tapauksiin nähden vähäinen, mikä aiheuttaa ongelmia CERT-FI:lle sen tehtävien hoitamisessa. Tietoturvahyökkäysten valtakunnallinen tapahtumaseuranta ja tilastointi, informaatiouhkien tilannekuvan muodostaminen ja ylläpito sekä informaatiouhkiin liittyvän kehityksen seuranta ja niiden analysointi vaativat hyökkäysinformaatiota, josta voidaan tehdä tarvittavat johtopäätökset. Yksi hyökkäysinformaation luovuttamista rajoittava ongelma on helppokäyttöisen luovutuskanavan puuttuminen. Internetin käytettävyyden kannalta automaattisesti leviävistä verkkomadoista on tulossa erittäin merkittävä uhka. Historia on moneen kertaan osoittanut, ettei pelkillä ennakoivilla toimenpiteillä voida estää laajojen matoepidemioiden syntymistä. Niiden havaitseminen, analysointi ja reagointi mahdollisimman varhaisessa vaiheessa pienentää matoepidemioiden aiheuttamaa suurta uhkaa koko Internetin infrastruktuurille. Vaikka matoepidemiaan voidaan joissakin tapauksissa reagoida tehokkaastikin 2, ei CERT-FI:llä ole nykyisin riittäviä menetelmiä havaita vakavia matoepidemioita niiden varhaisessa leviämisvaiheessa. Internetiin on kytkettynä valtava määrä järjestelmiä, jotka hyökkääjät ovat murtaneet ja joista järjestelmän ylläpitäjän tietämättä tehdään edelleen verkon muihin järjestelmiin laajamittaisia hyökkäyksiä. Ongelmana on, ettei tunkeutumisen kohteeksi joutuneen järjestelmän ylläpitäjälle tehdä ilmoitusta, vaikka tästä järjestelmästä havaitaan tapahtuvan hyökkäyksiä. Näin hyökkääjät voivat rauhassa kerätä valtavan määrän järjestelmiä asymmetrisiin hyökkäyksiin, joilla voidaan aiheuttaa vakavia vahinkoja myös niille, jotka huolehtivat omasta tietoturvallisuudestaan. Hyökkäysten automatisoituessa hyökkäysinformaation määrä on rajusti kasvanut. Poikkeuksellisten ilmiöiden ja kohdistettujen hyökkäysten havaitseminen verkon taustakohinasta on tullut vaikeammaksi. Laajojenkin hyökkäysten havaitsemista taustakohinasta 2 Esimerkiksi suodattamalla haittaliikennettä runkoverkkotasolla

4 LUKU 1. JOHDANTO voidaan vaikeuttaa hajauttamalla hyökkäys eri osoiteavaruuksiin tai suorittamalla se hyvin hitaasti. Laajamittaisten hajautettujen hyökkäysten havaitseminen sekä matoepidemioiden havaitseminen ja leviämisen analysointi epidemian varhaisessa vaiheessa onnistuu vain, jos analysoitavaa hyökkäysinformaatiota on riittävästi. Suuren hyökkäysinformaatiomäärän analysointi asettaa omat vaatimuksensa analysoitavalle hyökkäysinformaatiolle: analysointi pitää pystyä korkeasti automatisoimaan ja sen täytyy olla tehokasta ja nopeaa. Mitä enemmän hyökkäysinformaatiota keskitetysti analysoida, sitä hedelmällisemmäksi analysointi tulee, mutta toisaalta sitä tehokkaampi tarkoitusta varten suunniteltu ja toteutettu järjestelmä tarvitaan. 1.3 Diplomityön rakenne Diplomityön ensimmäisessä luvussa käsitellään diplomityön taustoja. Toisessa luvussa perehdytään diplomityöhön liittyvään teoriaan ja syihin, joiden takia keskitetty analysointi nähdään tarpeelliseksi. Kolmannessa luvussa tutkitaan tarkemmin hyökkäysinformaation keräämistä, analysointiin liittyvää teoriaa ja CERT-FI:n tarpeita keskitetylle analysoinnille. Neljännessä luvussa analysoidaan olemassa olevia keskitettyjä hyökkäysinformaation analysointijärjestelmiä. Viidennessä luvussa esitellään keskitetyn hyökkäysinformaation analysointijärjestelmän yksityiskohtaiset vaatimukset. Kuudennessa luvussa tutkitaan, mitä tietoja tarvitaan tehokkaaseen keskitettyyn analysointiin ja kuinka eri laitteista ja ohjelmistoista saatava hyökkäysinformaatio täyttää nämä vaatimukset. Seitsemännessä luvussa perehdytään järjestelmän tekniseen suunnitteluun ja prototyypin toteutukseen. Kahdeksannessa luvussa arvioidaan kuinka järjestelmän suunnittelu ja toteutus on onnistunut, sekä kuvataan järjestelmän jatkokehitystarpeita. Yhdeksännessä luvussa esitellään diplomityössä tehdyt johtopäätökset keskitetystä hyökkäysinformaation analysoinnista.

LUKU 2 VERKKOTURVALLISUUS Tässä luvussa esitellään verkkoturvallisuuteen liittyvää yleistä teoriaa: tietoliikennettä, tietoturvaa yleisesti, tietoturvahyökkäyksiä ja verkkohyökkäyksiin liittyviä suojauslaitteita ja ohjelmistoja. Lopuksi tutkitaan tämän hetken verkkohyökkäysten suuntauksia ja analysoidaan tulevaisuuden uhkia, keskittyen makrotason ongelmiin. Luvun tarkoituksena on antaa lukijalle riittävät tiedot myöhempiä lukuja varten sekä kartoittaa syitä, minkä takia hyökkäysten havainnointia ja analysointia pitää kehittää. 2.1 Protokollat Internet verkko [39] muodostuu erilaisista yhteen liitetyistä verkoista ja verkkoryppäistä, joita on yhdistetty maailmanlaajuisilla runkoverkoilla. Yhteistä kaikille Internet verkon muodostamille verkoille on TCP/IP -verkkoprotokollaperhe. TCP/IP on kerroksellinen protokollaperhe, jossa jokaisen kerroksen protokollilla on tarkoin määritellyt tehtävät. Neljästä protokollakerroksesta ylimmän, sovelluskerroksen, avulla eri valmistajien tekemät ohjelmistot voivat kommunikoida verkon yli käyttämällä alempien protokollakerrosten tarjoamia palveluita tiedon siirtoon. Sovelluskerroksen alapuolella on siirtokerros, jonka yleisimmät protokollat ovat TCP ja UDP. Seuraava kerros on verkkokerros, jonka protokollia ovat IP ja ICMP. Protokollapinon alin kerros on paikallisverkkokerros. Kuvassa 2.1 on esitelty TCP/IP-protokollaperheen arkkitehtuuri ja kuinka sen eri kerrokset sijoittuvat ISO OSI-standardin kerroksille.

LUKU 2. VERKKOTURVALLISUUS 6 ISO:n OSI-mallin mukaiset kerrokset Sovelluskerros Esitystapakerros Istuntokerros TCP/IP-protokollaperheen mukaiset kerrokset Sovelluskerros Kerrokseen kuuluvia protokollia HTTP, FTP, SMTP Kuljetuskerros TCP-kerros TCP, UDP Verkkokerros IP-kerros IP, ICMP Siirtokerros Paikallisverkkokerros Ethernet Kuva 2.1 TCP/IP arkkitehtuurin mukainen protokollapino verrattuna ISO-standardin Osimallin mukaiseen protokollapinoon, sekä esimerkkejä eri kerroksille kuuluvista protokollista. 2.1.1 IP-protokolla Kaikki Internetissä kulkeva liikenne siirtyy IP-protokollan (Internet Protocol) [45] avulla. IP on Internetin perusta; Sen tehtävänä on datapakettien reitittäminen erilaisten verkkojen läpi lähettäjän ja vastaanottajan välillä ja se määrittää täsmällisen formaatin, IP-paketin, Internetissä siirrettävälle datalle. Lisäksi IP-protokolla sisältää joukon määritelmiä, joiden mukaan isäntäkoneet ja reitittimet käsittelevät IP-paketteja, esimerkiksi paketin pilkkominen tarvittaessa tai paketin hylkääminen. IP on yhteydetön ja epäluotettava protokolla, joka ei sisällä mitään datan virheenkorjaus- tai havaitsemismekanismia. Koska jokainen IP-paketti käsitellään itsenäisesti muista paketeista riippumatta, voivat samaan yhteyteen kuuluvat paketit kulkea eri reittejä ja saapua eri järjestyksessä kuin ne on lähetetty. Matkalla IP-paketit voivat myös hukkua tai monistua. IP-osoitteita käytetään paketin reititykseen lähde- ja kohdelaitteen välillä. Jokainen paketti sisältää vastaanottajan osoitteen lisäksi lähettäjän IP-osoitteen. IP-otsakkeessa on lisäksi protokollakenttä, minkä avulla identifioidaan ylemmän tason protokolla, jota IPpaketti on välittämässä. versio IHL Palvelun tyyppi Kokonaispituus Tunnistusnumero Liput Lohkon sijanti Kuva 2.2 IP-protokollan otsake Lähdeosoite Kohdeosoite Optiot

LUKU 2. VERKKOTURVALLISUUS 7 2.1.2 ICMP-protokolla ICMP (Internet Control Message Protocol) [46] on Internetin ohjaus- ja virheviestejä välittävä protokolla. Kuten kaikki muu liikenne, myös ICMP-viestit kulkevat Internetin läpi IP-paketeissa. ICMP on kuitenkin verkkokerroksella toimiva protokolla, jonka viestejä ei lähetetä millekään sovellusohjelmalle, vaan kohdejärjestelmä käsittelee ICMP-viestit IP-kerroksella. ICMP-viestit kuljetetaan IP-paketin kapseloituna IPpaketin sisään. Kuvassa 2.4 on esitelty ICMP-viestin otsikkokentät. ICMP-viestejä on erilaisia eri käyttötarkoituksiin. ICMP-viestin tarkoitusta ja formaattia kuvataan tyyppikentän arvolla. Tiettyjen tyyppikenttien arvojen kanssa käytetään lisäksi koodikenttää selvittämään tarkemmin ICMP-viestin lähettämisen syytä. ICMP antaa reitittimille mahdollisuuden lähettää virhe- ja ohjausviestejä toisille reitittimille ja isäntäkoneille. ICMP-virheviesti lähetetään esimerkiksi silloin, kun vastaanottaja on irrottautunut verkosta tai muusta syystä sitä ei tavoiteta 3. ICMP-ohjausviesti voidaan lähettää esimerkiksi reitittimen ruuhkautuessa pahoin. ICMP-kaiutusviestejä (echo request and reply) voidaan käyttää kohteiden tai verkon saavutettavuuden testaukseen. Tyyppi Koodi Tarkistussumma Muut viestiin liittyvät tiedot Kuva 2.3: ICMP-viestin otsake 2.1.3 TCP-protokolla TCP (Transmission Control Protocol) [44] on luotettava ja yhteydellinen kuljetuskerroksen protokolla. Luotettavuudella tarkoitetaan onnistuneen datasiirron kuittaamista - vastaanottaja lähettää virheettömästi saapuneesta datasta ns. ACK-viestin. Virheellisesti vastaanotetuista tai verkkoon hukkuneista paketeista ei saada kuittausviestiä, jolloin paketti lähetetään uudelleen. TCP tarkastelee siirretyn datan virheettömyyttä yksinkertaisen tarkistussumman avulla. TCP:n yhteydellisyydellä tarkoitetaan ennen varsinaista datasiirtoa muodostettavaa ja siirron jälkeen purettavaa asiakkaan ja palvelimen välistä TCP-yhteyttä. TCP yhteys muodostetaan kolmivaiheisella kättelynä, jonka tarkoituksena on varmistaa, että molemmat osapuolet ovat valmiita tiedonsiirtoon. Yhteys muodostetaan ja sen tilaa ohjataan TCP-otsakkeen ohjausbittien avulla. 3 Tällöin lähetetään ns. vastaanottaja tavoittamattomissa (destination unreachable) -viesti

LUKU 2. VERKKOTURVALLISUUS 8 TCP tarjoaa ylemmän tason palveluille datan järjestyksen säilyttävän ja puskuroidun kommunikointiväylän. Se jakaa lähetetyn datan paketteihin ja siirtää paketit protokollapinossa alaspäin IP:lle. Jokainen palvelimen tarjoama TCP-protokollaa käyttävä palvelu käyttää omaa TCP porttia, jonka kautta kaikki liikennöinti tapahtuu. Käytetyimmille palveluille portit ovat kiinteät ja määritetyt. Suurin osa nykyisistä Internet palveluista on toteutettu TCP yhteyksien avulla ja valtaosa Internet liikenteestä on TCP-liikennettä [37]. Kuvassa 2.2 on esitelty TCP-protokollan otsikkokentät. Lähdeportti Kohdeportti Jaksonumero ACK-numero Offset Varattu Ohjausbitit Ikkuna Tarkistussumma Kiirreellisen datan osoitin Optiot Kuva 2.4 TCP-otsakkeen kentät 2.1.4 UDP-protokolla UDP (User Datagram Protocol) [47] on epäluotettava, yhteydetön kuljetuskerroksen protokolla. TCP:n tavoin se jakaa lähetetyn datan paketteihin ja siirtää paketit protokollapinossa alaspäin IP:lle, mutta UDP ei tarjoa lainkaan luotettavuutta ylemmän kerroksen sovelluksille: se ei tarkastele pakettien perille pääsyä, virheettömyyttä tai saapumista järjestyksessä. Kommunikoivien osapuolten välille ei muodosteta yhteyttä ennen UDP-liikennöinin aloittamista ja datapakettien lähettämistä. Mikäli UDP-viesti saapuu palvelimen porttiin, minkä takana ei ole palvelua tai jos palvelu ei vastaanota kyseistä pakettia, tulisi datan lähettäjälle saapua ICMP virheviesti. Yksinkertaisuudestaan johtuen UDP on TCP:tä nopeampi ja kevyempi. Sitä käytetäänkin lähinnä nopeutta ja reaaliaikaisuutta vaativassa verkkoliikenteessä, esimerkiksi videokuvan siirrossa, jossa yksittäisen paketin hukkumista ei edes huomata. Kuvassa 2.3 esitellään UDPprotokollan otsake. Lähdeportti Pituus Kohdeportti Tarkistussumma Kuva 2.5 UDP-otsake

LUKU 2. VERKKOTURVALLISUUS 9 2.1.5 Sovellusprotokollat Sovellustason protokollien avulla eri valmistajien tekemät sovellukset pystyvät kommunikoimaan verkon yli. Sovellustason protokollat toimivat rajapintana ohjelmistoille ja ne käyttävät alempien kerrosten protokollien tarjoamia palveluita yhteyden muodostamiseen ja datansiirtoon. Yleisesti käytettyjä sovellusprotokollia on lukuisia, joista voidaan mainita tiedoston siirtoon tarkoitettu FTP-protokolla (File Transfer Protocol), sähköpostien välitykseen käytettävä SMTP-protokolla (Simple Mail Transfer Protocol) ja WWW-sivujen välityksessä käytettävä HTTP-protokolla(HyperText Transfer Protocol). 2.2 Tietoturvallisuus 2.2.1 Tietoturva käsitteenä Turvallisuus on tietojärjestelmien yhteydessä laaja ja vaikeasti määriteltävä käsite [9]. Tietoturvallisuus määritelmänä koostuu kaikista niistä toimenpiteistä ja menetelmistä, joilla pienennetään tietojen käsittelyyn liittyviä riskejä [9,17]. Tietoturvallisuus voidaan jakaa tietojärjestelmien turvallisuuteen (computer security) ja tietoliikenneturvallisuuteen (communication security) [20]. Ensin mainittu tarkoittaa tietojärjestelmän sisältävän tiedon ja tietojärjestelmän toiminnan turvaamista. Tietoliikenteen turvallisuudella tarkoitetaan tiedon suojaamista tiedon siirtyessä kahden fyysisesti erillisen paikan välillä sekä tiedonsiirtojärjestelmien toiminnan turvaamista. Tietoturvahyökkäyksillä uhataan jotain seuraavista tiedon tai niitä käsittelevien järjestelmien ominaisuuksia: Luottamuksellisuus (confidentiality). Luottamuksellisuudella tarkoitetaan salassa pidettävien tietojen pysymistä tietoon oikeudettomien tahojen tietämättömänä. Luottamuksellisuus suojaa tiedon omistusoikeutta ja yksityisyyttä. Eheys (integrity). Eheydellä tarkoitetaan tiedon tilan säilymistä muuttumattomana ilman muuttamiseen oikeutetun tahon tarkoituksellista tiedon tilan muuttamista. Tiedon eheys suojaa informaatiota oikeudettomalta muokkaamiselta, lisäämiseltä ja poistamiselta.

LUKU 2. VERKKOTURVALLISUUS 10 Informaation saatavuus ja järjestelmien käytettävyys (availability). Informaatioon saatavuudella tarkoitetaan tietojen häiriötöntä saatavilla ja käytettävissä olemista tietojen käyttöön oikeutetuille tahoille. Järjestelmän käytettävyydellä varmistetaan, että tietojärjestelmät ja verkkoresurssit ovat vain ja ainoastaan oikeutettujen tahojen saatavilla ja käytettävissä. Edellä mainittujen luottamuksellisuuden, eheyden ja saatavuuden sekä käytettävyyden turvaaminen vaativat hyvin monenlaisia tietoturvatoimenpiteitä; Esimerkiksi suojautumistoimenpiteitä onnettomuuksia, teknisiä ongelmia ja luvallisten käyttäjien tahattomia toimia vastaan. Tässä diplomityössä keskitytään kuitenkin ainoastaan pahantahtoisiin tietoturvahyökkäyksiin, eikä muita tietoturvauhkia tai niiltä suojaavia toimenpiteitä käsitellä työssä tämän enempää. 2.2.2 Tietoturvauhkien luonne Tietoturvauhka on jotain vahingollista, mikä voi tapahtua ja johtaa tällöin tietoturvallisuuden pettämiseen [1,81]. Muista turvallisuusuhkista poiketen tietoturvauhkilla on seuraavia erityispiirteitä: Dynaamisuus. Tietoturvauhkat ovat luonteeltaan erittäin nopeasti muuttuvia. Tietojärjestelmiin voi kohdistua yllättäen uusia, täysin eri tyyppisiä suojautumiskeinoja vaativia uhkia, esimerkiksi uuden ohjelmistohaavoittuvuuden tai hyväksikäyttömenetelmän seurauksena. Kansainvälisyys. Internetin synnyttämät tietoturvauhkat ovat luonteeltaan yleensä aina kansainvälisiä, eikä valtioiden rajoilla ole suurta merkitystä. Uhka kuitenkin toteutuu paikallisena ilmentymänä, joten kansainvälisiä uhkia vastaan tarvitaan kansallisia toimenpiteitä [2]. Riskien hallinta. Tietoturvauhkien hallitseminen on vaikeampaa kuin perinteisten turvallisuusuhkien hallinta. Tietojärjestelmäintegraation seurauksena pienen riskin toteutuminen voi synnyttää uuden suuremman riskin. Asymmetrisyys. Verkottumisen johdosta hyökkääjän on mahdollista, useimmiten myös helposti ja edullisesti, valjastaa valtavat resurssit hyökkäyskäyttöön. Näin on syntynyt tietoturvauhkia, joilta puolustautuminen on erittäin hankalaa ja kallista. Esimerkkinä voidaan mainita hajautetut palveluestohyökkäykset, joita käsitellään tarkemmin luvussa 2.3.3.

LUKU 2. VERKKOTURVALLISUUS 11 Automaattisuus ja lumivyöryilmiöt. Hyökkäykset voivat edetä tietoverkoissa nopeasti, automaattisesti ja itsenäisesti lumivyöryjen tapaan. Tällaiset hyökkäykset ovat synnyttäneet erittäin nopeasti leviäviä uhkia, jotka toteutuessa aiheuttavat ongelmia koko Internetin infrastruktuurille ja joilla on erittäin laajat vaikutukset. Lisäksi informaatioavaruudessa rikosten tekijöiden kiinnijäämisriski on erittäin pieni ja ennaltaehkäisevä rikostorjunta on vaikeasti toteutettavissa.[8] 2.3 Tietoturvahyökkäykset Seuraavaksi tarkastellaan yleisiä verkkohyökkäyksiä: tietojärjestelmiin tunkeutumisia, haittaohjelmahyökkäyksiä ja palvelunestohyökkäyksiä. On kuitenkin huomattava, että vaikka hyökkäykset voidaan jakaa edellä mainittuihin päätyyppeihin, hyökkäykset voivat myös kiinteästi liittyä toisiinsa: esimerkiksi tunkeutumisessa voidaan käyttää apuna haittaohjelmistohyökkäystä ja sen havaitsemista voidaan vaikeuttaa DoS-hyökkäyksellä, haittaohjelmistohyökkäyksellä saadaan aikaiseksi palvelunestotilanteita ja niin edelleen. 2.3.1 Tietojärjestelmiin tunkeutumiset Tunkeutumisella tarkoitetaan laitonta tai ei toivottua sisään menoa tietojärjestelmään [4], mihin liittyy tietoturvapolitiikan loukkaaminen tai tietojärjestelmän suojauksen murtaminen. Tunkeutumista edustaa myös järjestelmään pääsyn seurauksena oleva tahallinen tapahtuma, joka murtaa tietokoneiden, verkkojen tai niissä olevien tietojen eheyden, luottamuksellisuuden tai saatavuuden. Tietojärjestelmään tunkeutumiseen kuuluu seuraavat vaiheet [53]: 1. Tiedonkeruuvaihe 2. Suunnitteluvaihe 3. Skannausvaihe 4. Murtautumisvaihe 5. Ylläpitäjän oikeuksien hankkiminen 6. Hyväksikäyttövaihe 7. Jälkien peittäminen Tiedonkeruuvaiheessa pyritään keräämään kohteesta mahdollisimman kattavasti yleisluonteista tietoa käymällä läpi paitsi julkisia tietolähteitä, myös suorittamalla laitonta

LUKU 2. VERKKOTURVALLISUUS 12 tiedonkeruuta muutoin kuin skannaamalla 4. Toisessa vaiheessa analysoidaan kerätty tietoaineisto ja tehdään huolellinen suunnitelma seuraavia vaiheita varten. Kahden ensimmäisen vaiheen tarkoituksena on saada mahdollisimman tarkkaa yleistietoa kohteesta: esimerkiksi organisaation toimintatavoista ja heikkouksista sekä organisaatiossa käytetystä tekniikasta. Kolmannessa vaiheessa suoritetaan kerättyjen tietojen perusteella verkon kautta tapahtuva tiedustelu eli skannaus, mitä kuvataan tarkemmin kappaleessa 2.2.4. Skannausvaiheen tuloksena on tieto kohteen haavoittuvuuksista, ts. millä keinoilla järjestelmään murtautuminen on mahdollista. Neljännessä vaiheessa suoritetaan varsinainen järjestelmään murtautuminen, jonka seurauksena hyökkääjä saavuttaa alemman tason käyttöoikeudet tietojärjestelmään. Sitä seuraa välitön ylläpitäjän oikeuksien hankita, jonka jälkeen järjestelmä on haltuunotettu ja valmiina hyväksikäytettäväksi. Viimeisessä vaiheessa tapahtuva jälkien peittäminen on tyypillisesti järjestelmän tapahtumatietojen hävittämistä tai muuttamista. Käytännössä tietojärjestelmään tunkeutumisprosessiin sisältyy vain osa edellä esitetyistä vaiheista - nyrkkisääntönä voidaan sanoa, että mitä heikommin järjestelmä on suojattu, sitä useampi vaiheista voidaan jättää pois. Kohdennetut tunkeutumiset vs. sattumanvaraisesti valitut kohteet Kohdennetuissa hyökkäyksissä kohde on tarkkaan valittu hyökkääjän motiivin perusteella esimerkiksi kohteen tietosisällön perusteella. Kohdistetuilla hyökkäyksillä tavoitellaan taloudellista tai muuta merkittävää hyötyä tai halutaan aiheuttaa mahdollisimman paljon vahinkoa kohteelle. Kohdennetuissa tunkeutumisissa noudatetaan tavallisesti hyvinkin tarkasti edellä esitettyä tunkeutumisprosessia huomioiden erityisesti kolmen ensimmäisen ja viimeisen vaiheen merkitys. Kohdistettuja hyökkäyksiä tekeviä yhdistää korkea taitotaso ja vahva motivaatio. Valtaosa tunkeutumisista [3,8] tehdään satunnaisiin kohteisiin. Satunnaisen tunkeutumisen kohde on mikä tahansa helposti haltuunotettava, hyvällä verkkoyhteydellä ja riittävällä levytilalla varustettu tietojärjestelmä. Kohteeseen tunkeutumisen motiivina on järjestelmän käyttö hyökkääjän omiin tarkoituksiin: levytilan käyttö, hyökkääjän oman verkkoidentiteettin salaaminen uusia hyökkäyksiä varten tai haltuunotetun tietojärjestelmän valjastaminen asymmetriseen hyökkäykseen. Satunnaiset tunkeutumiset noudattavat huonosti edellä kuvattua tunkeutumisprosessia ensimmäinen, toinen ja usein myös viimeinen vaihe jätetään suorittamatta. Tyypillisesti skannaus kohdistuu satunnaisesti valittuun laajaan osoiteavaruuteen ja automaattisilla työkaluilla murretaan kaikki skannauksen perusteella haavoittuvat järjestelmät. Satunnaisiin kohteisiin hyök- 4 Engl. scanning

LUKU 2. VERKKOTURVALLISUUS 13 käävien taitotaso on tyypillisesti heikko. Taulukossa 2.1 on vertailtu valittuun ja satunnaiseen kohteeseen tehtyjä hyökkäyksiä. Onnistuneet kohdistetut tunkeutumiset eivät tavallisesti näy millään tavalla organisaation ulkopuolelle, lukuun ottamatta WWW-sivustoille tarkoituksella jätettyjä viestejä. Satunnaisista kohteista haltuunotetut tietojärjestelmät voidaan usein helposti havaita myös organisaation ulkopuolella, kun niistä suoritetaan laajamittaista skannausta. Esimerkiksi laajoja DDoS-verkkoja (kappale 2.3.3) rakennettaessa ja ylläpidettäessä haltuunotetut koneet valjastetaan etsimään uusia haavoittuvia koneita. Usein hyökkääjän toiminta satunnaisesti valitussa haltuunotetussa kohteessa muistuttaakin seuraavassa kappaleessa esiteltävää verkkomatoa - yritetään kiivaasti saada haltuun lisää uusia tietojärjestelmiä. Taulukko 2.1: Satunnaisen ja valitun hyökkäyskohteen vertailua eri kriteereillä [3,33]. Satunnainen kohde Valittu kohde hyökkäysten automaatioaste erittäin korkea matala <-> korkea haavoittuvuus-spesifisyys erittäin korkea matala <-> korkea muiden kriteerien vaikutus vähäinen erittäin suuri 2.3.2 Haittaohjelmistohyökkäykset Haittaohjelmistoilla tarkoitetaan kohdejärjestelmässä suoritettavia ohjelmia, mitkä aiheuttavat tietojärjestelmissä ei-toivottuja tapahtumia. Haittaohjelmilla voidaan vaarantaa tiedon luottamuksellisuus, eheys tai saatavuus tahi aiheuttaa ongelmia tietojärjestelmän käytettävyydelle. Haittaohjelmat voidaan jakaa Troijan hevosiin, viruksiin ja matoihin [24]: Troijan hevoset ovat ohjelmia, joihin on naamioitu vahingollisia ominaisuuksia, esimerkiksi takaportin avaaminen järjestelmään tunkeutumista varten. Troijan hevoset ovat haittaohjelmista vanhimpia [36], mutta siitä huolimatta edelleen suosittuja (katso kappale 2.6.4). Virukset ovat haittaohjelmia, joilla on kyky monistaa itseään esimerkiksi tietojärjestelmän muihin tiedostoihin. Madot ovat virusten kaltaisia, mutta ne kykenevät itsensä monistamisen lisäksi myös leviämään automaattisesti.

LUKU 2. VERKKOTURVALLISUUS 14 Tällä hetkellä haittaohjelmista yleisimpiä ovat sähköpostimadot, jotka kykenevät lähettämään itsensä sähköpostilla saastuneesta työasemasta automaattisesti eteenpäin. Työaseman saastuttaakseen sähköpostimato vaatii kuitenkin ihmisen toimenpiteitä: sähköposti on haettava postipalvelimelta työasemalle ja usein myös viesti ja matoohjelman sisältävä liitetiedosto on avattava. Verkkomadot ovat täysin automaattisesti ja itsenäisesti ilman ihmisen vuorovaikutusta verkon kautta leviäviä haittaohjelmia, jotka saastuttavat pääasiassa palvelimia. Itsenäisestä ja automaattisesta toimintaperiaatteesta johtuen ne kykenevät leviämään erittäin nopeasti. Niiden suosion odotetaan lähitulevaisuudessa päättävän sähköpostimatojen valtakauden [31]. Tässä diplomityössä madolla tarkoitetaan verkkomatoa. 2.3.3 Palvelunestohyökkäykset Palvelunestohyökkäyksessä eli DoS-hyökkäyksessä hyökkääjä ei tavallisesti tavoittele pääsyä kohteeseen vaan pyrkii hidastamaan, vaikeuttamaan tai estämään kohteensa toimintaa [16]. Palvelunestohyökkäykset voidaan jaotella kolmeen eri luokkaan [6,40]: Kaistan kuluttamisessa hyökkääjä kuluttaa kohteen verkkoresursseja yksinkertaisesti lähettämällä kohteeseen valtavan määrän turhia paketteja (esimerkiksi ICMP-viestejä). Kaistan kulutukseen kohdistettuja DoS-hyökkäyksiä on vaikea jäljittää, koska niissä käytettyjen pakettien lähdeosoitteet ovat helposti väärennettävissä. Kohteen resurssien kuluttamisessa hyökkääjä ylikuormittaa kohdejärjestelmän resursseja toistuvilla pyynnöillä, joihin vastaaminen vaatii monikertaisesti resursseja verrattuna pyynnön tekemiseen. Haavoittuvuuden hyväksikäytössä hyökkääjä hyväksikäyttää ohjelmistohaavoittuvuutta tai muuta heikkoutta saadakseen kohdejärjestelmä toiminnan pysähtymään tai oleellisesti heikentymään. Palvelunestohyökkäys voidaan suorittaa joko verkon kautta tai kohdejärjestelmään kirjautuneena. Verkon kautta tehtävät DoS-hyökkäykset ovat kuitenkin suositumpia, erityisesti kaistan kuluttamiseen kohdistetut hyökkäykset [40]. Hajautetut palvelunestohyökkäykset Hajautetut palvelunestohyökkäykset (DDoS) [15] ovat asymmetrisiä hyökkäyksiä, joissa haittavaikutusta vahvistetaan hyökkäämällä useista lähdejärjestelmistä yhtäaikai-

LUKU 2. VERKKOTURVALLISUUS 15 sesti samaan kohteeseen. DDoS-hyökkäyksissä joko järjestelmän tai verkon resurssit kulutetaan ylivaltaa käyttämällä; Moderneissa DDoS-hyökkäyksissä voi olla valjastettu satoja ja jopa tuhansia tietojärjestelmiä. Voimakkaita, useista eri lähteistä tulevia DDoS-hyökkäyksiä on usein vaikea torjua organisaation omilla menetelmillä. 2.3.4 Verkkohyökkäysmenetelmiä Edellisessä kappaleessa esitetyt tietoturvahyökkäykset suoritetaan erilaisia hyökkäysmenetelmiä soveltamalla. Tässä kappaleessa kuvataan diplomityön kannalta olennaisia verkkohyökkäysmenetelmiä, eikä tarkoituksena ole esittää kaiken kattavaa listaa hyökkäysmenetelmistä. Skannaus Skannauksella (scanning) tarkoitetaan verkon kautta suoritettavaa tiedustelutoimenpidettä [5,21]. Skannaukset voidaan jakaa verkko-, portti- ja haavoittuvuusskannauksiin. Verkkoskannauksilla pyritään kartoittamaan kohdeverkon rakennetta ja hyökkääjälle saavutettavissa olevia kohteita. Verkkoskannaukset ovat usein ensimmäinen tiedustelutoimenpide kohdistetuissa hyökkäyksissä. Verkkoskannauksia voidaan tehdä esimerkiksi lähettämällä verkon eri osoitteisiin ICMP-viestejä. Porttiskannauksilla tehdään lisätiedusteluja kun saavutettavissa olevat kohteet on löydetty. Porttiskannereilla kartoitetaan kohteen tarjoamia palveluita tutkimalla, onko palvelun käyttämä portti avoinna. Porttiskannauksessa kohteen avoimet TCP- ja UDP-portit selvitetään lähettämällä kohdeportteihin kyselyitä ja tutkimalla vasteita. Haavoittuvuusskannauksilla etsitään kohdejärjestelmistä julkisesti tunnettuja haavoittuvuuksia [7]. Haavoittuvuusskannerilla yritetään selvittää kohdejärjestelmän ja sen sovellusten versiotietoja, joita verrataan haavoittuvuusskannerin tietokannassa oleviin haavoittuvien ohjelmistojen versiotietoihin. Haavoittuvuusskanneri voi sisältää myös murto-ohjelmia, joita käyttämällä voidaan päätellä kohteen haavoittuvuus. Heikkojen asetusten hyväksikäyttö Sovellukset ja käyttöjärjestelmät asennetaan usein oletusasetuksin, joita ei ole valittu turvallisuuden mukaan vaan oletusarvoisesti usein määritelty mahdollisimman sallivik-

LUKU 2. VERKKOTURVALLISUUS 16 si, mutta samalla myös turvattomiksi helppokäyttöisyyden takaamiseksi. SANS Institute luokittelee [10] oletusasetuksien käytön tämän hetken pahimmaksi tietoturvauhkaksi. Tietoturvallisesti heikot asetukset sallivat esimerkiksi kirjautumisen järjestelmään tai pääsyn järjestelmän levyjakoon ilman todennusta. Yhdeksi WWW-palvelinten vakavimmaksi haavoittuvuudeksi luokitellaan oletusarvoisesti palvelinohjelmiston mukana asennettavat esittely- ja testiohjelmat [10]. Monet tietoturvaominaisuudet ovat käyttäjän tietämättä pois päältä, mikä johtaa käyttäjän turvallisuuden väärään luottamukseen. Slapper-madon leviämisen mahdollistavista syistä tehty tutkimus [13] osoitti käytännön kautta kuinka vakavan tietoturvaongelman aiheuttavat käyttöjärjestelmän asennuksen yhteydessä asennettavat ylimääräiset palvelut, mitkä oletusarvoisesti myös aktivoituvat käyttöjärjestelmän käynnistyksen yhteydessä. Paitsi turhaan, myös ylläpitäjän täysin tietämättä, asennetut ja aktivoidut palvelut jäävät luonnollisesti ylläpitämättä eikä niitä konfiguroida turvalliseksi. Ohjelmistohaavoittuvuuksien hyväksikäyttö Joidenkin arvioiden mukaan [11] jopa 95% ohjelmista on laadultaan ala-arvoisia. Kun ohjelmiston ohjelmointivirheet johtavat sen tietoturvan heikentymiseen puhutaan ohjelmistohaavoittuvuudesta. Hyökkääjä voi käyttää ohjelmistohaavoittuvuuksia hyväksi niin tietojärjestelmiin tunkeutumisessa kuin haittaohjelma- tai palveluestohyökkäyksissä. Suurin osa viimeaikoina julkaistuista [76,33] vakavista ohjelmistohaavoittuvuuksista on ollut erilaisia puskuriylivuotohaavoittuvuuksia 5. Yleisesti vallalla olevan käsityksen mukaisesti ohjelmistojen tietoturva kehittyy ja järjestelmät pidetään tietoturvallisina seuraavaa toimintaprosessia noudattamalla: 1. Ohjelmoijat tekevät virheitä ja tuottavat haavoittuvuuksia sisältäviä ohjelmistoja. 2. Alan asiantuntijat löytävät jatkuvasti ohjelmistoista haavoittuvuuksia ja ilmoittavat niistä valmistajalle. 3. Valmistaja tekee ohjelmistoon korjausversion, haavoittuvuus ja korjaus julkaistaan. 4. Järjestelmän ylläpito asentaa välittömästi korjausversion. Käytännössä edellä esitetty teoreettinen malli ei kuitenkaan toimi, vaan hyökkääjällä on useita mahdollisuuksia ohjelmistohaavoittuvuuksien hyväksikäyttöön: hyökkääjät voi- 5 Puskuriylivuotohaavoittuvuus mahdollistaa muistin ylikirjoittamisen esimerkiksi syöttämällä ohjelmalle pidempi syöte kuin sen varaama muistitila.

LUKU 2. VERKKOTURVALLISUUS 17 vat käyttää julkaisemattomia haavoittuvuuksia ja haavoittuvuudet julkaistaan monesti ennen kuin niihin on edes saatavilla korjausversio (ohjelmiston korjaus ja erityisesti korjatun version testaaminen vie monesti jopa kuukausia). Vaikka haavoittuvuus on julkinen ja korjaus on saatavilla, ei haavoittuvuuksia paikata saman tien. Käytännössä korjaukset asennetaan sitten, kun ylläpito muilta kiireiltä sen ehtii tekemään, usein vasta kuukausien päästä [13, 31]. 2.4 Palomuurit ja IDS-järjestelmät Verkkohyökkäyksiltä suojautumiseen ja havaitsemiseen tarkoitetuista laitteista ja ohjelmistoista tunnetuimpia ovat erilaiset palomuurit, IDS-järjestelmät, virustorjuntaohjelmistot ja etenkin tiedon siirrossa käytetyt salausmenetelmät. Seuraavaksi esitellään tämän diplomityön kannalta oleellisimmat tietoturvalaitteet ja ohjelmistot, joita ovat palomuurit ja IDS-järjestelmät. 2.4.1 Verkkopalomuurit Palomuuri on verkkolaite, jolla erotetaan eri tietoturvapolitiikkaa noudattavat verkot toisistaan, esimerkiksi organisaation sisäverkko Internetistä. Palomuuri erottaa verkot toisistaan suodattamalla sen kautta kulkevaa liikennettä määritellyn politiikan mukaisesti ja kirjaa tapahtumia lokitietoihin. Palomuurin tehtäviä voidaan verrata organisaation perinteiseen kulunvalvontaan - valvotaan organisaatioon sisäänpääsyä ja pidetään kirjaa tapahtumista [26]. Fyysisesti palomuurina voi toimia erillinen tarkoitusta varten rakennettu laite, reitittimen konfiguroitu suodatussäännöstö tai ohjelmallisesti toteutettu osa tietokoneen IP-pinoa. Palomuurit voidaan jakaa kahteen kategoriaan: tilattomiin pakettisuodattimiin ja tilallisiin välityspalvelimiin [18]. Näistä ensimmäinen suodattaa liikennettä lähde- ja kohdeosoitteiden sekä porttinumeroiden, käytetyn protokollan ja mahdollisesti muiden protokollaotsaketietojen perusteella tutkimalla jokaisen IP-paketin erikseen[19]. Tilalliset palomuurit pitävät kirjaa avoimista yhteyksistä ja pystyvät suodattamaan yhteyksiin kuuluvat paketit. Ne myös estävät suorien yhteyksien muodostamisen kahden kommunikoivan osapuolen välille: ulospäin otettu yhteys katkeaa välityspalvelimeen, mikä välittää sallitut yhteydet eteenpäin. Ulko- ja sisäverkon erottavan palomuurin yleisin käyttötapa on jakaa verkko kahteen vyöhykkeeseen. Toiseen, niin sanottuun demilitarisoituun vyöhykkeeseen sijoitetaan kaikki ulkoverkkoon tarjottavat palvelut ja estetään kaikki yhteydenotot ulkoverkosta

LUKU 2. VERKKOTURVALLISUUS 18 varsinaisen sisäverkon muodostamaan vyöhykkeeseen. Lisäksi verkkopalomuureja voidaan käyttää sisäverkon jakamiseen osiin. Vaikka verkkopalomuurit ovat merkittävä tekijä verkkohyökkäyksiltä suojaavaa puolustuskokonaisuutta, se ei yksin ratkaise verkon turvallisuusongelmia [21,55]. Ylimalkainen luottamus verkkopalomuureihin johtaa valitettavan usein muiden tietoturvaosaalueiden laiminlyönteihin ja puolustuksen syvyyden menettämiseen. 2.4.2 Henkilökohtaiset palomuurit Henkilökohtaiset palomuurit [23] ovat ohjelmistopohjaisia palomuureja, joiden tarkoituksena on suojata työasemia tai palvelimia. Periaatteessa henkilökohtaisen palomuurin toiminta on verkkopalomuurin kaltaista - suodatetaan luvaton liikenne ja kirjataan tapahtumat ylös lokitietoihin. Erityisesti kiinteän Internet yhteyden omaaville kotikäyttäjille henkilökohtainen palomuuri on tarpeellinen suojausohjelmisto [52]. Organisaatiot voivat lisätä puolustuksen syvyyttä ja suojautua sisäisiltä uhkilta käyttämällä verkkopalomuurin lisäksi työasemissa henkilökohtaisia palomuureja. Organisaatioissa henkilökohtaisen palomuurin käyttöä rajoittaa kuitenkin käyttö- ja ylläpitokustannukset keskitettyyn verkkopalomuuriratkaisuun verrattuna. 2.4.3 IDS-järjestelmät Siinä, missä palomuurin toimenkuvaa voidaan verrata perinteiseen kulunvalvontaan, voidaan tunkeutumishavaitsemisjärjestelmiä eli IDS-järjestelmiä verrata perinteisiin hälytysjärjestelmiin. Vaikka IDS-järjestelmät eivät ole ainoita teknisiä järjestelmiä, joiden avulla hyökkäyksiä voidaan havaita [27], ainoastaan ne ovat juuri havaitsemistarkoitusta varten suunniteltu. Tunkeutumishavaitsemisjärjestelmät voidaan jakaa verkkopohjaisiin ja isäntäkonepohjaisiin järjestelmiin, joista ensin mainittu tutkii verkkoliikennettä ja jälkimmäinen isäntäkoneeseen kohdistuvia tapahtumia. Verkkopohjaisen IDS-järjestelmän toimintaprosessi koostuu viidestä eri vaiheesta: datan sieppaamisesta, analysoinnista, luokittelusta, raportoinnista ja reagoinnista. Nämä viisi vaihetta muodostavat iteratiivisen vesiputousmallin kuvan 2.5 mukaisesti. Reagointi on IDS-järjestelmän kulminaatiovaihe ja järjestelmän ylläpito ja parantaminen perustuu jatkuvaan iterointiin. Tunkeutumisen havaitseminen perustuu edelleen paljolti tunnettujen hyökkäysten puumerkkien etsimiseen, vaikka älykkäämpien havaitsemismenetelmien kehittäminen on ollut jo jonkin aikaa kehityksen kohteena [27,70]. Puumerkkitunnistamista ja sen rajoitteita on tarkemmin esitelty kappaleessa 3.2.2.

LUKU 2. VERKKOTURVALLISUUS 19 datan sieppaus analysointi luokittelu raportointi Iterointi reagointi Kuva 2.6: Yleispätevä, iteratiivinen tunkeutumisen havaitsemisprosessi [28] 2.5 Verkkohyökkäysten nykytila ja trendit Verkkohyökkäysten määrä on kasvanut rajusti riippumatta mittaustavasta. Lähes tulkoonkaan kattavia hyökkäysmääriä kuvaavia tilastoja ei ole saatavilla, koska vain hyvin pieni osa hyökkäyksistä havaitaan ja hyvin pieni osa ilmoitetaan viranomaisille tai muille hyökkäyksiä tilastoiville tahoille. Kasvutrendiä kuvaa kuitenkin hyvin kuvassa 2.7 näkyvät CERT/CC:n [43] tilastoimat tietoturvaloukkaukset. Tulevaisuutta ajatellen näköpiirissä ei ole mitään, mikä tulisi ainakaan lähitulevaisuudessa muuttamaan merkittävästi kasvunopeutta tai -suuntaa. Vaikka rajuun tilastolliseen kasvuun vaikuttaa todellisen kasvun lisäksi myös hyökkäysten havainnoinnin ja raportoinnin aktivoituminen, on taustalla monia muita merkittävämpiä tekijöitä, mitkä vaikuttavat paitsi hyökkäysten määrään myös hyökkäystyyppien ja suuntausten kehitykseen. Tässä luvussa tutkitaan verkkoturvallisuuteen vaikuttaneita tekijöitä, nykyisten hyökkäysmenetelmien kehittyneisyyttä ja hyökkääjien toimintatavoissa havaittuja muutoksia, esitellään havaintoja viimeaikaisista makrotason ongelmista sekä analysoidaan verkkohyökkäysten tulevaisuutta.