Lue uutinen mobiilisivustolla

Haluatko olla zombie?

25.5.2001 14:38 Palvelunestohyökkäykset ovat tutkimuksen mukaan yleistymässä. Samalla dos (denial of service, palvelunesto) muuttaa muotoaan. Vaikka tavallisella internet-käyttäjällä ei ainakaan vielä ole suurta vaaraa joutua hyökkäyksen kohteeksi, krakkeri voi käyttää häntä hyökkäyksensä välikappaleena. Yrityksille ja julkishallinnolle palvelunestosta on jo tullut iso ongelma.

Palvelunestohyökkäyksiä on totuttu pitämään lähinnä yritysten ongelmana. Keväällä 2000 monet suuret palvelut, muiden muassa Yahoo, CNN ja eBay, saivatkin tuta kaatumisen dos-hyökkäyksen seurauksena.

Alkuviikosta julkaistiin Kalifornian yliopiston tutkijoiden raportti, joka osoitti, että palvelunestohyökkäyksiä tehdään paljon ja että niitä on odotettavissa yhä enemmän.

Tutkimuksessa havaittiin nelisentuhatta dos-hyökkäystä viikon aikana. Yleensä hyökkääjä tyytyi pommittamaan kohdettaan kerran, mutta joutuipa yksi kone viikon aikana yli sadan erillisen hyökkäyksen kohteeksi.

Yhdessä hyökkäyksessä palvelupyyntöjä voi olla tähtitieteellinen määrä. Laajimmassa tapauksessa, joka kalifornialaistutkimuksessa havaittiin, palvelimelle syydettiin yli 600 000 datapakettia sekunnissa.

Dos-hyökkäyksiä siis tehdään paljon, ja koska niistä yleensä haetaan jonkinlaista haastetta, ne suunnataan kaikkien tuntemiin kohteisiin. Siksi otsikoissa on ollut lähinnä suurten yritysten kokemia hyökkäyksiä.

Yleisestä yksityiseen

Totuus dos-hyökkäyksistä kuitenkin on monimuotoinen. Yritysten, valtioiden ja hallitusten lisäksi yksittäisiä ihmisiäkin vastaan tehdään palvelunestohyökkäyksiä, pienemmässä mittakaavassa tosin.

Yksityisten pommittelussa lienee yleensä kyse henkilökohtaisten kaunojen selvittelemisestä eikä se tietenkään laajuudeltaan vastaa yrityksiin ja viranomaistahoihin suunnattuja hyökkäyksiä. Lähinnä henkilökohtainen hyökkäys voi kohdata niitä, joilla on nopea, koko ajan auki oleva internet-yhteys, kuten esimerkiksi kaapelimodeemi. Niin, ja tietysti tuttavapiirissä pitää olla jostakin asiasta suivaantunut datanörtti.

Yhdysvalloissa on totuttu siihen, että poliittiset ääriliikkeet ja kaiken maailman latvakakkoset osoittavat mieltään hallitusta ja sen toimia tai isoja korporaatioita vastaan. Isoon maahan mahtuu monenlaista väkeä, aina hulluja myöten. Myös internetissä on pätenyt se, että hallitusta ja sen edustamaa järjestelmää kritisoidaan. Viimeksi tiistaina Valkoisen talon saitti pommitettiin nurin.

Tiistaina kuitenkin kaadettiin myös internet-tietoturvaan erikoistunut tiedotussaitti Cert.org, joka toimii miljoonien internetin käyttäjien virustietotoimistona. Yhteisen hyvän asialla olleen palvelun kaataminen tuntuu herättäneen keskustelua palvelunestohyökkäyksistä, mikä onkin ihan hyvä asia.

CERT:n (Computer Emergency Response Team) kaltainen tietoturvaorganisaatio on krakkereille houkutteleva kohde. Arvostetun tahon kyykyttäminen on mannaa virtuaalivandaaleille. CERT:n mukaan taannoinen hyökkäys on myös osoitus siitä, että dos-hyökkäykset ovat lisääntyvä ja ainakin periaatteessa kaikkia netin käyttäjiä koskeva uhka.

Palvelunestohyökkäyksien muuttuminen henkilökohtaisiksi mielenilmauksiksi suuressa mittakaavassa onkin kai enää vain ajan kysymys. Suuri syy dos-tykityksen lisääntymiseen on se, että työkalut sellaisen toteuttamiseen on helposti löydettävissä internetistä. Aivan kuten virusten kirjoittelu, palvelunestohyökkäyksen toteutus on nyt entistä helpompaa.

Dos ja ddos

Palvelunestohyökkäyksellä pyritään lamauttamaan internet-sivusto lähettämällä palvelimelle suuri määrä palvelupyyntöjä lyhyessä ajassa. Palvelin ei pysty erottelemaan oikeita pyyntöjä dos-pyynnöistä, vaan yrittää käsitellä kaikki sisään päin saapuvat datapaketit.

Kun paketteja tulee enemmän kuin mitä palvelin pystyy käsittelemään, palvelu kaatuu, jolloin oikealla asialla olevat käyttäjät eivät pääse sitä käyttämään.

Yleensä itse hyökkäys kestää vain joitakin tunteja, mutta sen seuraukset saattavatkin sitten kestää pitkään. Tilanteen korjaaminen ja palvelun palauttaminen vie oman aikansa.

Cert.orgin hyökkäys oli itse asiassa jatkuva iskujen sarja, joka kesti kaikkiaan kolmisenkymmentä tuntia. Hyökkäykset olivat hajautettuja eli ne tulivat yksittäin eri koneista eri puolilta internet-avaruutta. Tällaista dos-hyökkäystä kutsutaan nimellä ddos (distributed denial of service attack), ja sen toteuttaminen vaatii jo jonkinlaista suunnittelu- ja organisointihalua.

Zombie ja pommitussuma

Ddos-hyökkäykselle tunnusomaista on se, että sen toteuttamisessa käytetään hyväksi pahaa-aavistamattomien kolmansien osapuolien tietokoneiden ip-osoitteita. Jos ison yrityksen sivuille murtautuminen onkin varsin työlästä, palvelun kaataminen dos-hyökkäyksellä ei suuren suuria ponnistuksia vaadi.

Krakkeri murtautuu ensin viattoman nettisurffaajan koneelle ja ottaa sen haltuunsa. Nyt kone on niin sanottu zombie, välikappale, jonka avulla vandaali peittää omat jälkensä. Lopuksi krakkeri asentaa zombie-koneelle ohjelman, joka alkaa lähettää palvelupyyntöjä kohteeseen. Hyökkäys on käynnissä.

Internet-liikenne jättää kyllä jälkensä ja dos-hyökkääjäkin on jäljitettävissä ip-osoitteen perusteella, mutta koska hyökkäykseen syyllistynyt kone ei ole oikean hyökkääjän vaan viattoman välikappaleen, tihulainen pääsee kuin koira veräjästä.

Mikä avuksi?

Palvelunestohyökkäyksiltä on kiusallisen vaikea suojautua eikä käynnissä olevaa hyökkäystäkään hevin keskeytetä. Internet-palveluun on vaikea tehdä niin tehokasta suodatinta, että se tietäisi aina, mitkä palvelupyynnöt ovat asiallisia ja mitkä on tarkoitettu vain kuormittamaan palvelimia.

Suodattimia kyllä on, mutta niille on kerrottava, mistä ip-osoitteista tulevia pyyntöjä on kartettava. Internetissä on tätä varten sivustoja, joille päivitetään listoja palvelupyyntöpommituksia tehneistä ip-osoitteista. Krakkerit ovat kuitenkin tästä tietoisia ja siksi he pyrkivät haalimaan aina uusia zombieita, joilla on taas eri ip-osoite kuin edellisellä.

Parempi olisi keskittyä koko tietoturvan parantamiseen eri osatekijöiden päivittämisen asemesta. Suodattimet toimivat osana kokonaisuutta, johon kuuluu eri osasia tehokkaasta palomuurista ids (intrusion detection system) -ohjelmistoon.

Niin varmaa järjestelmää ei kenelläkään ole varaa pystyttää, etteikö sille rakennettu palvelu olisi kaadettavissa palvelunestohyökkäykseltä jos oikein yrittää. Ehkä siksikin moni on tietoisesti valinnut olla ottamatta asiasta turhia paineita.

Moni yritys keräilee hyökkäyksen jälkeen kokoon palvelunsa palaset ja pystyttää sivustonsa uudelleen kaikessa hiljaisuudessa toivoen, ettei kukaan ehtinyt huomata mitään.

Kotikäyttäjän kannattaa ehkä imuroida koneelleen virustorjunta- ja palomuuriohjelma, joka seuraa tulevaa ja lähtevää dataa ja hälyttää kun jotakin epäilyttävää tapahtuu. Näin voi ainakin välttyä siltä, että tulee hyväksikäytetyksi ja muuttuu zombieksi.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Bankia pyytää Espanjan valtiolta 19:ää miljardia euroa
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Rivitalo palaa Vahdossa