Palvelunestohyökkäykset Abuse-seminaari 2009 Kauto Huopio Vanhempi tietoturva-asiantuntija CERT-FI Sisältö Havaintoja nykytilanteesta Hyökkäysmenetelmistä Havaintoja uusimmista tapauksista Varautuminen Toiminta palvelunestohyökkäystilanteessa Keskustelua
Havaintoja nykytilanteesta Suomeen kohdistuneiden raportoitujen tapausten määrä pieni harva se päivä jotain dossataan Potentiaalisten kohteiden varautumistaso vaihtelee Operaattorien runkoverkkokapasiteetti nykyään tasolla, jossa keskimääräinen DOS (<1Gbit/s) ei juuri väräytä viisareita runkotasolla Erilaisten hyökkäysalustojen määrä ja kapasiteetti on riittävä lamauttamaan isonkin kohteen Hyökkäysalustoja monissa käsissä skriptikideistä kaupallisiin toimijoihin Hyökkäysmenetelmistä Perinteinen roskaliikennettä tuutin täydeltä hyökkäys on suhteellisen helposti torjuttavissa asiakasrajapinnassa ja havaittavissa myös helposti TCP SYN hyökkäys huomattavasti tehokkaampi HTTP GET / -hyökkäyksiä käytetty todennetusti tehokkaasti Yleinen hyökkäysalusta: BlackEnergy
BlackEnergy Helposti tuotteistettu Käyttää HTTP-komentokanavaa HTTP-botit ei usein listattuja bontnet-komentopalvelimien listoilla Pollausväli tyypillisesti 10-30 min BlackEnergy verkossa olevia ei saada selville ilman pääsyä komentopalvelimelle tai komentoverkkotunnuksen haltuunottoa tai operaattoritason suodatusta Arvio: muutamien satojen BlackEnergy -koneiden verkko riittää perussuojatun www-palvelun kaatamiseen Tehokkaita hyökkäysmenetelmiä HTTP GET hyökkäys tietokantaintensiivistä URL:ia kohti HTTP GET regexp-hyökkäys (ReDos) http://www.checkmarx.com/upload/documents/pdf/checkm arx_owasp_il_2009_redos.pdf Avoimien resolver-nimipalvelimien käyttö hyökkäyksessä Tuorein mittaus: 8%.fi-verkkotunnuksia palvelemista autoritatiivisista nimipalvelimista avoimia resolvereita entä muut?
Havaintoja uusimmista tapauksista Mitä nopeammin hyökkäyksen kohde ottaa yhteyttä omaan operaattoriinsa CERT-FI:hin sitä nopeammin toimenpiteisiin voidaan ryhtyä Eräässä tuoreimmassa tapauksessa hyökkäyksen aiheuttanut botnet-verkko oli selvillä alle tunnissa ilmoituksesta Etukäteisvarautuminen kannatti verkkoliikenteen rajoituksista sovittu etukäteen operaattorin kanssa Suomi ei erityisen suosittu botnet drone maa? Varautumisesta Viestintävirasto 13 A/2008 M 7 Haitallisen liikenteen havaitseminen ja suodattaminen asiakasliittymissä Teleyrityksen on seurattava ja tarpeen mukaan selvitettävä oman viestintäverkkonsa tapahtumia sellaisen liikenteen havaitsemiseksi, joka aiheuttaa vaaraa viestintäverkon tai palvelun tietoturvalle tai käytettävyydelle. Teleyrityksellä on oltava prosessit ja toimintamallit joiden mukaisesti asiakasliittymien liikennettä suodatetaan tilapäisesti tilanteissa, jotka aiheuttavat vaaraa viestintäverkon tai palvelun tietoturvalle tai käytettävyydelle.
Varautumisesta 8 Runkoverkon tietoturvallisuus Teleyrityksellä on oltava sisäiset ohjeet ja toimintamallit palvelunestohyökkäystilanteita ja muita viestintäverkon tai - palvelun tietoturvaa tai käytettävyyttä vaarantavia tilanteita varten. Teleyrityksellä on oltava valmiudet ryhtyä toimenpiteisiin palvelunestohyökkäyksiin liittyvän liikenteen rajoittamiseksi ja virheellisiä lähdeosoitteita sisältävän liikenteen jäljittämiseksi. Varautumisesta Asiakkaiden liikenteen hajautus - ohjeistus www-palvelut <-> VPN-terminoinnit, palveluverkkoyhteydet ja sisäverkon internet-käyttö Ulkomaanliikenteen rajoitukset jos asiakkaalla BGP-reititys, mahdollista myös asiakkaan käynnistämänä Aktiiviset työkalut/palvelut Pakettipesulat C&C liikenteen esto Keylogger-kohteiden eristäminen
Toiminta palveluestohyökkäystilanteessa Mitä mistä minne? Yhteydet asiakkaaseen, CERT-FI:hin, muihin yhteistyötahoihin Liikenteenrajoitustoimenpiteet Voiko esimerkiksi yrityksen www-sivusto olla tavoittamattomissa ulkomailta? Rajoittaako ulkomaanliikenne-esto myös kotimaanliikennettä? Tuleeko hyökkäävää liikennettä omasta verkosta? Muualta Suomesta? Yhteydenpito ISP-kentän kesken CERT-FI-ISP postituslista Jakautumassa FI-NSP / FI-HOSTING listoiksi ISP-kentän keskinäinen tietojenvaihto ja kohdennetut tilannekuvatiedotteet CERT-FI-BOF postituslista Tietoturva-alan yleinen keskustelufoorumi CERT-FI:n IRC-palvelin reaaliaikaiseen yhteydenpitoon alan toimijoiden kesken salattu yhteys, autentikoitu Kiinnostaako? Sähköpostia cert@ficora.fi!
Keskustelua Puhelin: +358 9 6966 510 Sähköposti: www: cert@ficora.fi www.cert.fi CERT-FI:n julkiset varoitukset voi lukea: Sähköpostitse hälytyspalveluna SMS-hälytyspalveluna (maksullinen) CERT-FI:n www-sivuilta RSS-uutispalveluna YLE:n teksti-tv:n sivulta 848