Internetin taustakohina koputtelee palomuuria
10.6.2005 08:05 Porttiskannausten avulla rikolliset nuuhkivat, löytyykö internetiin liitetyistä tietokoneista suojaamattomia tietoliikenne portteja. Suurin osa palomuuriin koputtelusta on kuitenkin vain internetin taustakohinaa.
Tietoturvayhtiö JRComplexin toimitusjohtaja Jouni Rosenlöf luokittelee porttiskannauksen eri ryhmiin. Suuri osa on internetin normaalia tauskohinaa, joka tulee esimerkiksi hajonneista verkkolaitteista, jotka availevat yhteyksiä aivan kuin niistä skannattaisiin.
Toinen ulottuvuus ovat madot ja niiden tyyppiset ohjelmat. Verkossa on satojatuhansia koneita, joissa on haittaohjelmia ja jotka availevat yhteyksiä eteenpäin.
Askel harvinaisempaan suuntaan on se, että laajoista verkkoalueista etsitään aktiivisesti tiettyjä verkkopalveluita.
Pieni joukko tietää mitä hakee
Rosenlöf muistuttaa, että varsinaiset skannaukset pitää erottaa skriptipentujen amatööripuuhista. Verkossa on hänen mukaansa häviävän pieni joukko kolkuttelijoita, jotka tietävät mitä hakevat ja tekevät sen tarkoituksella.
- Yleensä ne, jotka jäävät kiinni, ovat nostaneet verkossa niin paljon melua, että se huomataan. Nämä ovat joko tyhmiä tai amatöörejä. Ne, jotka tietävät, mitä tekevät, käyttävät niin hienostuneita tekniikoita, etteivät tunkeutumisen havaitsemisjärjestelmätkään (IDS) välttämättä havaitse niitä, sillä järjestelmiä on harvoin viritetty niin tarkkaan, Rosenlöf sanoo.
Skannaajat pyrkivät saamaan skannauksen muistuttamaan normaalia taustakohinaa esimerkiksi ajallisella sekoittamisella ja lähdeosoitteiden sekoittamisella.
Ajallinen sekoittaminen on sitä, että paketteja lähetetään uudelleen hidastetusti vasta tunnin tai vuorokauden päästä. Lähdeosoitteita puolestaan vaihdetaan niin, ettei kohde pääse perille, mistä skannaukset tulevat.
- Jos porttiskannerit tuomitaan, tuomitaan väärät työvälineet. Suurin osa toiminnasta on matoja eikä hienostuneessa hyökkäyksessä käytetä skannereita vaan lähetettävät paketit rakennetaan erikseen perusosista, Rosenlöf sanoo.
Verkkomadot skannaavat
Soneran liittymien lisäpalveluiden liiketoiminnasta vastaavan Jussi Hirvelän mukaan ohjelmilla tehtävä porttiskannaus on vähentynyt. Nykyään skannausta tekevät enemmän verkkomadot.
Viime vuoteen verrattuna rauhallisempaan tilanteeseen vaikuttaa Hirvelän mielestä se, että ihmisten tietämys on lisääntynyt. Enää ei aleta hätäillä, jos palomuuriin tulee joku kolkutus.
- Suomessa tämäntyyppinen toiminta on vähentynyt, kun script-kid-nuoriso on ymmärtänyt, että skannauksesta on alettu jakaa rangaistuksia, Hirvelä sanoo.
Silti Hirvelän mielestä ei ole hyvä idea laittaa suojaamatonta eli ilman palomuurilla varustettua tietokonetta internet-verkkoon, sillä verkkomadot skannaavat jatkuvasti auki olevia koneita. Hän antaa pisteet tietoyhteiskuntahankkeille ja kuluttajavalistukselle siitä, että niin paljon suojaamattomia koneita ei enää ole.
Verkkomadot eivät juuri tuhoa koneiden tietoja vaan toiminta on keskittynyt siihen, että koneet saadaan niin kutsuttujen bot-verkojen osaksi, jolloin haltuunottaja voi käyttää niiden tietojenkäsittelykapasiteettia muun muassa roskapostitukseen ja verkkohyökkäyksiin.
Lokeissa valtavasti tietoa
- Yritysten ja organisaatioiden palomuuriohjelmien lokeihin kertyy tietoa verkkotapahtumista valtavat määrät päivässä, minkä vuoksi lokin seuraaminen ihmissilmin on mahdotonta, JRComplexin Jouni Rosenlöf sanoo.
- Jokaisen verkon ylläpitäjän pitäisi sen vuoksi porttiskannata verkkoaan aina päivitysten yhteydessä. Tämä on paljon nopeampi tapa löytää oletusarvoisesti aukijääneet palvelut kuin lukea näitä järjestelmän käyttöliittymän kautta.
Laaja porttiskannaus ulospäin on lainvastaista, mutta Rosenlöf kehottaa yritysten mikrotukihenkilöitä koputtelemaan nimenomaan omia verkkojaan.
Epäilyttävät kiinni automaattisesti
- Jos asiakkaillemme alkaa tulla epäilyttävän näköistä liikennettä, liittymä menee automaattisesti sulkuun. Emme tilastoi porttiskannauksia enkä osaa sanoa, onko määrä suurenemaan vai vähenemään päin. Laajakaista-asiakkaiden koneita kuitenkin korkataan edelleen huomattavassa määrin, Teleyhtiö Elisan tietoturvallisuuspäällikkö Erka Koivunen sanoo.
Koivusen resepti yrityksille ja yksityisasiakkaille on säätää palomuuri niin, ettei se anna mitään vastausta.
Ongelma tosin tulee niissä palveluissa, joita halutaan mainostaa maailmalle, kuten tcp-portin 80 kautta löytyvät www-sivut.
Koivunen pitää virheellisenä panostuksena sitä, jos yritetään käyttää mutkikkaita keinoja skannauksen estämiseen, sillä edistyneitä skannausyrityksiä tuskin edes huomataan.
Tämän sijasta kohteesta pitäisi hänen mielestään tehdä niin hyvin suojattu, että sitä vastaan voi vähän hyökätäkin.
Järjestelmät ajan tasalle
- Tärkeätä on pitää käyttöjärjestelmä ja ohjelmat niin ajan tasalla tietoturvapäivitysten suhteen, ettei palvelun tarjoaminen vahingoitu. Vastahyökkäyksiin en halua rohkaista ketään, sillä se on rikollista, vaikka sitä irc-kanavilla tehdäänkin, Koivunen sanoo.
Porttiskannauksessa käydään systemaattisesti läpi tcp- ja udp-portteja. Tcp-portteja on kaikkiaan noin 65 000 kappaletta, joista tosin vain osaan on liitetty palveluita.
Esimerkiksi http-muotoinen selainliikenne kulkee portin 80 kautta. Kenelläkään ei Koivusen mukaan ole tarvetta käydä läpi tällaista määrää portteja.
Vastuulliset operaattorit ylläpitävät Koivusen mukaan väärinkäyttöilmoituksia varten osoitteita, joihin voi kertoa havainnoistaan. Esimerkiksi Elisan osoite on muotoa abuse@elisa.fi.
Operaattoreilla on käytössään myös niin sanottuja darknet-alueita, jotka ovat allokoimattomia verkkoalueita. Näihin tulevaa liikennettä monitoroidaan ja jos havaitaan, että joku sinne liikennöi, asiaa aletaan tutkia.
Koivunen muistuttaa, että vaikka skannaus- ja hyökkäysvälineet ovat petollisen helppoja ottaa käyttöön, niiden käyttäjä voi syyllistyä räikeään rikokseen.
Antti Lagus toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. IPhoneen uusi alihankkija
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Suuri tietokantavarkaus johti luottokorttipetoksiin Britanniassa
27.05.2007 Cable & Wireless syyttää entistä johtajaansa tietokantavarkaudesta. Kannasta oli 100 000 asiakkaan tiedot.
Kolme vuotta sitten
Otto-automaatit pysyvät Tiedon valvonnassa
27.05.2009 Tietotekniikkatalo Tieto on saanut viiden vuoden jatkosopimuksen Otto-käteisautomaattiverkon tietojärjestelmien kehittämisestä ja ylläpidosta.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Facebookissa vihainen vastaanotto – IMF-johtaja pehmensi Kreikka-lausuntojaan 09:18
- Muhkean muovinen Nissan Juke 06:05
- Ainakin 2000 saa potkut RIMiltä 09:44
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- Suomi löysi taas Nokian älypuhelimet 06:01
- Autonvuokrauksessa hurjat eurohintaerot 06:09
- Haluatko menestyä? Unohda nämä koulun opit 16:35
- Lumia 900:n myynti alkoi: "Näyttää erittäin lupaavalta" 06:03
- » Taloussanomat.fi
