Suomen kybervaste Timo Kiravuo Aalto-yliopisto Sähkötekniikan korkeakoulu Tietoliikenne- ja tietoverkkotekniikan laitos timo.kiravuo@aalto.fi
Sisältö Tapahtuneita kyberhyökkäyksiä Yhteiskunnan digitaalinen infrastruktuuri Kyberaseiden arkkitehtuuri Suomen kyberpuolustus Suomen kybervaste
Mitä "kyber" tarkoittaa Historia: Kybernetiikka: säätötekniikka Nykyään: Kyber- : tieto- ja tietokonejärjestelmiin liittyvä (Kyberturvallisuusstrategia 2013) Kyber- : digitaalisiin järjestelmiin liittyvä (prof. Jukka Manner 2012) Kattaa myös automaation ja sulautetut järjestelmät
Kyberhäirintä Pronssisoturi-patsaan siirtäminen Tallinnassa 2007 Etelä-Ossetian sota 2008 Murtoja WWW-sivustoille Palveluestohyökkäyksiä (DDoS) Vaikutus: vähäinen Potentiaali: vastustajan resurssien sitominen ja huomion hajauttaminen, vrt. kevyt ratsuväki Sivuvaikutus: NATO Cooperative Cyber Defence Centre of Excellence (CCD COE) Tallinnaan
Kybertiedustelu: Advanced Persistent Threat "Titan Rain" -vakoiluhyökkäys 2003- USA-laisia tietojärjestelmiä, mm. puolustusteollisuutta vastaan Advanced: käytetään laajaa palettia keinoja, perinteisestä tiedustelusta räätälöityihin hyökkäysohjelmiin Persistent: hyökkäys kestää kunnes tavoite on saavutettu, jopa vuosia Threat: uhka on otettava vakavasti, hyökkääjällä keinot ja motivaatio APT tukee strategisia tavoitteita
Kybertiedustelu: NSA National Security Agency (USA) Massiivinen verkkotiedusteluoperaatio paljastui kesällä 2013 Pääsy USA-laisten palveluyritysten asiakkaiden tietoihin Facebook, Google, Apple... Takaportteja salausohjelmistoihin ja -standardeihin Huono satunnaislukugeneraattori Oletussalausalgoritmi "null" standardeissa Muutoksia ohjelmakoodiin
Kyberhyökkäys: Stuxnet Täsmähyökkäysohjelmisto, itsekopioiva mato Kohde: Iranin Natanzin uraaninrikastuslaitos Tavoite: hidastaa Iranin ydinohjelmaa Suorittaja: USA Israelin avustamana Vaikutus: Iranin ydinohjelman hidastaminen usealla vuodella; kineettisen hyökkäyksen välttäminen Lähi- Idässä Operaatio, jolla selkeä strateginen tavoite
Stuxnetin tekniikka Huolellisesti suunniteltu ja testattu Aktivoituu vain oikeassa ympäristössä Hyödyntää tunnettuja Windows-haavoittuvuuksia päästäkseen rikastamon sentrifugien ohjausjärjestelmään Ohjaa kontrollerit käyttäytymään tavalla, joka rikkoo laitteiston Kertoo ohjausjärjestelmälle sentrifugeja ajettavan normaaliparametrien mukaan (rootkit -toiminnallisuus) Saatiin kohdeverkkon USB-muistitikulla
Fyysiset kyberjärjestelmät Käytössä laaja kirjo erilaisia järjestelmiä, 1980-luvulta alkaen Fyysistä laitetta ohjaa usein ohjelmoitava logiikka Kytketty Ethernet-verkkoon tai kenttäväylään Näitä ohjaa tietokone (Windows, Unix, VMS tms.) SCADA (Supervisory Control and Data Acquisition) Yleensä kytketty lähiverkkoon ja mahd. Internetiin Ohjaavat liikennettä, sähköverkkoa, teollisuutta jne. [SAS29]
SCADA-järjestelmä [NIST SP 800-82]
Arvio Stuxnetin projektiryhmästä 22-30 henkilöä Lähde: Kaspersky
Stuxnet-perhe Vakoiluohjelmat Flame, Duqu ja Gauss Modulaarisia ohjelmistoja, jotka käyttävät osittain samaa koodialustaa Pystyvät lataamaan uusia komponentteja verkon ylitse USA:lla on koodikirjasto, josta se voi koota haluamansa toiminnallisuuden Oletusarvoisesti viruksentorjuntaohjelmat eivät havaitse uusia versioita
Kybertiedustelu: Rocra, Red October Vakoiluohjelma Levitetään kohdistettuina sähköpostiviesteinä Spear phishing Kohdistettu julkishallintoon ja teollisuuteen Leviää kohdeverkossa, ei julkisen Internetin ylitse Vakoilee "kaikkea mahdollista" Tiedostot Näyttö ja näppäimistö Kohdekoneeseen liitetyt puhelimet Sähköposti ja webbiselaimen tiedot Tekijä tuntematon
Yhteiskunnan digitaalinen infrastruktuuri Moderni yhteiskunta perustuu digitaalisiin järjestelmiin Sotilasjärjestelmät kohtuullisen suojattuja Tempest, EMP, ELSO... Siviilijärjestelmät ovat paljon huonommin suojattuja, mutta vaikutukseltaan merkittäviä Asymmetrisessä tilanteessa tarjoavat heikolle hyökkääjälle mahdollisuuksia Sota on politiikan ja diplomatian jatkamista väkivallan keinoin Jos poliittiset tavoitteet voidaan saavuttaa kohdistamalla kyberhyökkäys siviili-infrastruktuuriin, aseellinen konflikti käy tarpeettomaksi Kohde ei välttämättä edes tule tietoiseksi hyökkäyksestä Sodan käsite hämärtyy ja on määriteltävä uudelleen
Kohteena oleva infrastruktuuri Kriittisiä kyberjärjestelmiä Edellisistä riippuvia Sähkö Tietoliikenne ja viestintä Polttoaineet ja energia Vesihuolto Finanssisektori Liikenne Kemian teollisuus [YTS] ja [Lewis06] Puolustusteollisuus Posti ja rahti Elintarviketuotanto ja - jakelu Yleinen turvallisuus ja järjestys Terveydenhuolto Valtion johtaminen
Kriittisen infrastruktuurin seitsemän ikävää haastetta (Seven wicked problems) Fyysinen laajuus (vastness) Epäselvät hallintosuhteet (command) Tiedon jakaminen (information sharing) Relevantin tiedon määrä (knowledge) Osa-alueet riippuvat toisistaan (interdependencies) Analyysityökalujen puute (inadequate tools) Konfliktin osapuolten epäsuhta (asymmetric conflict) Lewis06
Vahinkoa tavoittelevat osapuolet Uhkaaja Motivaatio Tavoite Valtio taloudellinen, vaikutusvalta vastustajan toimien estäminen, informaation kerääminen Rikollisuus taloudellinen tiedolla tai vahingolla uhkaaminen Yritykset taloudellinen kilpailijan häiritseminen, informaation kerääminen Terroristit Muut poliittisesti aktiiviset tahot (hacktivismi) yhteiskuntajärjestyksen muuttaminen valta yleinen epäjärjestys, vastustajien vahingoittaminen vastustajan saaminen huonoon valoon, informaatio Utelias ihminen kokeilunhalu painella nappuloita ja katsoa mitä tapahtuu Työntekijä oma etu, kosto taloudellista hyötyä, vahinkoa organisaatiolle
Kyberasejärjestelmän arkkitehtuuri Modulaarinen, osista koottava suorituskyky Rinnakkaiset prosessit: Teknisten komponenttien kehitys Tiedustelu ja kohteiden valinta Operaatiot ja komponenttien paljastuminen
Modulaarinen kyberase Dropper-paketti Ohjausjärjestelmä - aseen toimintojen hallinta ja kohdistaminen - raportointi hallintapalvelimille - lisämodulien nouto, asennus ja käynnistys Hallintapalvelimet Murtautumismodulit - haavoittuvuudet Lavetti Mobiliteetti & asennus Kiistettävä yhteys Kyberase Taistelukärjet - tiedustelu - sabotaasi - yms. Operaation johto
Ehdotus kohteessa toimivan kyberaseen arkkitehtuuriksi 1. vaiheen kuljetusalusta, "dropper" Saadaan ohjelmakoodi kohteeseen USB-tikku, sähköposti, asennusvarmenteiden väärentäminen 2. vaiheen kuljetusalusta Eteneminen kohdeverkossa, jos tarpeen Virus, mato Tunnettuja ja uusia murtokeinoja "exploit" Hyökkäyskuorma, "payload" Tiedustelujärjestelmä Tiedon keruu Vahingoittaminen yms. Häivejärjestelmä Vaihtuva salaus Naamioituminen hyötyohjelmaksi Rootkit (systeemiohjelmien muokkaaminen) Itsensä poistaminen toiminnan päätyttyä Ohjausjärjestelmä, "command & control" Yhteys kohteesta välipalvelimien kautta ohjauskeskukseen Tietoliikenteen piilottaminen eri keinoin Tai autonominen toiminta Tähtäysjärjestelmä Tunnistaa oikean kohteen Tunnistaa väärät kohteet Passiivisuus lisää häivearvoa Käyttö Tunnista ja valitse kohde Huomioi aikataulu ja ulkoiset tekijät, kuten havaittavuus Tiedustele ja suunnittele miten ohjelmakoodi saadaan kohteeseen Valitse kirjastosta sopiva hyökkäys tai hyökkäykset Kokoa ase/hyökkäys komponenteista Toteuta
Kyberoperaatiot Module library Weapons assembly -platform components -payloads Internet Dropper Plausible deniability I C&C Operations center Controller Entry host Actual target
Mitä Suomen Internetistä löytyy? 3700 laitetta 60% laitteista on olemassa tunnettu haavoittuvuus Kevät 2013 553 Building automation 97 Industrial devices 2818 141 44 Heavy duty industrial devices SCADA/large infrastructures Seppo Tiilikainen, Aalto
Automaatio ja tietoturva Tietoturva: suojaa tietoa väärinkäytöksiltä Yleisratkaisu: estä pääsy lukemaan tietoa, Jos lukeminen sallittua, estä tiedon muuttaminen Automaatio toteuttaa prosessia Yleisratkaisu: prosessin on toimittava ja oltava ohjattavissa kaikissa tilanteissa Turvallisuus suojaa ihmisiä ja laitteita vahingoilta Automaation tietotekninen turvallisuus perustuu järjestelmien saavuttamattomuuteen Erillään Internetistä
Shodan http://www.shodanhq.com/ Hakukone palvelimien protokollatiedolle Mahdollistaa kohteen tunnistamisen sen palveluiden perusteella Esim:
Kansallinen hakukone KATSE Aallossa toteutetaan Shodania vastaava toiminnallisuus Suomen verkon kartoittamiseksi Haluamme että tieto pysyy Suomen sisällä Tukee viranomaistoimintaa Palaute järjestelmien omistajille Rajoituksena rikoslain 38. luku ja tietomurto Saamme ottaa yhteyttä verkossa olevaan koneeseen Emme saa kokeilla tunnettuja oletussalasanoja tai haavoittuvuuksia Pyrimme vastaamaan kansallisen kyberturvallisuuden yhteen ydinkysymykseen: "Miten haavoittuva Suomi on?"
Kybervaste Valtioneuvosto KRP tutkii rikoksia PV ei toimivaltaa rauhan aikana HVK ennakoiva varautuja Kohde CERT-FI keskeinen viestijä Yksityiset firmat: osaamista maksavalle
Suomen kyberpuolustus ja -turvallisuus Kyberturvallisuusstrategia 2013 ja aiempi julkishallinnon linjaus jakaa vastuut hallinnonaloittain Viestintäviraston CERT-FI -toiminto kerää ja jakaa tietoa ja toimii aktiivisesti tietoturvaongelmien ratkaisemisessa Huoltovarmuuskeskus ohjaa oman toimialansa yrityksiä kehittämään turvallisuuttaan ja rahoittaa osan CERT-FI:n toiminnasta N. 80% kriittisestä infrastruktuurista on yksityisen sektorin hallinnassa Poliisi selvittää rikoksia ja priorisoi rikoksen vakavuuden mukaan Puolustusvoimat suojaa omat järjestelmänsä ja kehittää sotilaallisia kyberkykyjä, ei näe itseään toimijana rauhan aikana Viranomaisilla on omaa analyysikapasitettia, mutta merkittävä osa hyökkäyksien teknisestä analyysikyvystä on yksityisellä sektorilla Käytännössä em. tahot tekevät aktiivista yhteistyötä, paljolti ad-hoc-pohjalta Kyberturvallisuusstrategiassa määriteltyä organisaatiota ei ole vielä testattu tositoimissa
Pohdintaa: Puolustuksellinen kyberdoktriini Miltä osin yhteiskunnan kriittinen infrastruktuuri on laillisen sodankäynnin kohde? Entä jos "plausible deniability" -mahdollisuus on korkea? Puolustaja ei voi olettaa hyökkääjän noudattavan sääntöjä Ovatko sotaa käyvän maan tietojärjestelmät kolmannessa maassa laillinen kohde? Alueellisen puolustuksen konsepti Siviilisektori hoitaa tämän? Vrt. väestönsuojelu. Onko kyberpelote mielekäs konsepti? Vastaiskun kohdistamisen ongelma Ei taattua vaikutusta, vrt. ydinase Vaikutus perustuu satunnaisiin aukkoihin puolustuksessa
Pohdintaa; Kyberaseiden merkitys Kyberaseiden sotilaallinen merkitys on vasta avautumassa Kyberaseet eivät miehitä eivätkä pidä kohteita Täsmäkohteissa voi korvata kineettisen hyökkäyksen Käyttö yhdessä konventionaalisen hyökkäyksen kanssa tukevassa roolissa Analogia: kevyt ratsuväki tai sissit: tiedustelee, häiritsee ja kuluttaa vastustajaa, suorittaa erikoistehtäviä, mutta ei voita suuria taisteluita
Kyberoperaatiot Tiedustelu ja iskut Iskujen kohdistaminen edellyttää tiedustelua Vastustajan verkon sammuttaminen sokaisee toimijan Doktriini saattaa korostaa tiedustelukykyä enemmän kuin iskukykyä Miten arvioidaan ja mitataan operaation tulos? Kohde katosi, onko se tuhottu vai kiristettiinkö palomuuria? Oliko tuloksena toiminnan estäminen vai hidastaminen
Yhteenveto Moderni yhteiskunta on riippuvainen digitaalisista järjestelmistä Mikä tahansa näistä voi olla hyökkäyksen kohde Kyberoperaatiot ovat jo käynnissä Kybertoiminta on kustannustehokasta ja mahdollistaa syyllisyyden peittämisen Varsinainen kybersota ei ole todennäköinen Kyberoperaatiot, etenkin tiedustelu, hyvin todennäköisiä Perinteiseen sodankäyntiin tulee rinnalle kyberulottuvuus
Lähteet 1 [YTS] Yhteiskunnan turvallisuusstartegia, 2010, Puolustusministeriö [SAS29] Teollisuusautomaation tietoturva, 2005, Suomen Automaatioseura ry. [NIST SP 800-82] Guide to Industrial Control Systems (ICS) Security, SP 800-82, 2011, National Institute of Standards and Technology [Lewis06] Lewis, Ted G., Critical Infrastructure Protection in Homeland Security: Defending a Networked Nation, 2006, Wiley-Interscience [Martino11] Martino, Richard A., Leveraging Traditional Battle Damage Assessment Procedures to Measure Effects from a Computer Network Attack (opinnäyte), 2011, Air Force Institute of Technology
Lähteet 2 [Zetter12] Zetter, Kim, Popular Surveillance Cameras Open to Hackers, Researcher Says, http://www.wired.com/threatlevel/ 2012/05/cctv-hack/, noudettu 16.5.2012 [ReadGuard] The Problem With "Cyberwar", RearGuard Podcast, http://www.rearguardsecurity.com/episodes/4-transcript.html, noudettu 12.5.2012 [Leyden08] Leyden, John, Polish teen derails tram after hacking train network, The Register, http://www.theregister.co.uk/ 2008/01/11/tram_hack /, noudettu 16.5.2012 [Laakso11] Laakso, Henri, Boeing 747:n moottoreita voi ohjata matkustajan viihdejärjestelmän avulla, MikroPC, http:// www.mikropc.net/kaikki_uutiset/boeing+747n+moottoreita+voi +ohjata+matkustajan+viihdejarjestelman+avulla/a721826, noudettu 16.5.2012