Stonesoftin löytö ei uhkaa kaikkia yrityksiä
Kuva: Matias Mäki
18.10.2010 14:22 Tietoturvayhtiö Stonesoft on löytänyt menetelmän, jolla voidaan kiertää yritysten tunkeutumisestojärjestelmiä. Muut järjestelmät ovat kuitenkin turvassa.
Tietoturvayhtiö Stonesoft paljastaa yksityiskohtia tietoturvauhasta, josta yhtiö tiedotti viime viikolla.
Stonesoftin uhka koskee niin sanottuja ips- (intrusion prevention system) ja ids- (intrusion detection system) järjestelmiä, eli suomeksi tunkeutumisenesto- ja -havaitsemisjärjestelmiä. Stonesoft on tutkimuksissaan löytänyt uusia keinoja, joilla useiden valmistajien ips- ja ids-järjestelmät voidaan kiertää.
Tietoturva-asiantuntijat ovat tienneet näistä evasion- eli suojauksenohitusmenetelmistä aiemminkin, mutta niitä on tutkittu verrattain vähän.
– Stonesoft on löytänyt kehittyneitä suojauksenohitusmenetelmiä, kertoo Stonesoftin markkinointijohtaja Klaus Majewski.
– Vanhat menetelmät ovat yhä toiminnassa, mutta nämä kehittyneemmät menetelmät pystyvät yhdistämään niitä.
Stonesoft on tutkinut uusia menetelmiä omassa testiympäristössään useiden valmistajien ips-järjestelmiä vastaan. Vaikka järjestelmät torjuisivat yksittäiset menetelmät, niin niiden yhdistelmiä vastaan ne ovat usein hyödyttömiä.
Yksi suojaus ei
yleensä riitä
Suojauksenohitusmenetelmät eivät sinällään ole vaarallisia, mutta niiden avulla voidaan naamioida varsinainen hyökkäyskoodi siten, etteivät yrityksien ips- ja ids-järjestelmät pysty havaitsemaan niitä.
Majewski vertaa suojauksenohitusmenetelmiä murtovarkaaseen, joka pyrkii pankin holviin.
– Suojauksenohitusmenetelmä on kuin naamiointi, jolla varas välttää turvakamerat ja hälyttimet. Varsinainen hyökkäys on työkalu, jolla yritetään murtaa pankkiholvi, Majewski sanoo.
Niinpä verkkorikolliset voivat ottaa työkaluiksi esimerkiksi jo tunnetut Conficker- ja Sasser-verkkomadot, jos yritys ei suojannut ips-järjestelmien takana olevia tietojärjestelmiään muilla tavoilla, esimerkiksi tietoturvapäivityksillä.
Stonesoftin löytämät menetelmät eivät uhkaa yksityisten ihmisten kotitietokoneita, eivätkä edes kaikkia yrityksiä, kertoo tietoturva-asiantuntija Jussi Eronen Suomen Cert-fi -tietoturvayksiköstä.
Usein yritykset käyttävät tietoturvan suojaamiseksi niin sanottua sipulipuolustusta.
– Yleensä verkkopuolustukseen on monenlaisia toteutustapoja, ja suojauksenohitusmenetelmät ovat vain yhtä tekniikkaa koskeva riski, kertoo Eronen.
– Yleensä puolustukseen kannattaisi käyttää niin sanottua sipulipuolustusta. Suojaus sisältää monta eri kerrosta ja monta tekniikkaa, jolloin yhden pettäessä muut ovat vielä tehokkaita.
Eronen arvioi, että pelkkään ips-suojaukseen on yrityksissä saatettu luottaa joissakin ääritapauksissa, jos järjestelmien päivittäminen on ollut hankalaa. Yrityksessä voi olla esimerkiksi järjestelmiä, joiden täytyy olla koko ajan toiminnassa, eikä niillä ole varajärjestelmiä, tai järjestelmät ovat niin vanhoja, ettei valmistaja enää julkista niihin päivityksiä.
Erosen mukaan varsinaista tilastotietoa vain ips-suojaukseen luottavien yritysten määrästä ei ole.
Perttu Pitkänen
perttu.pitkanen@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Leffateatterin paikannäyttäjä saalistaa piraatteja yölaseilla
27.05.2007 Malesiassa on keksitty uusi ase taisteluun elokuvapiratismia vastaan: yölasit, joilla käräytetään videokameralla elokuvateatterissa kuvaavia katsojia. Lasien käyttökoulutusta tarjoaa - mikäs muukaan - amerikkalainen elokuvayhtiöiden järjestö MPAA, joka on vienyt Malesiaan jopa dvd-vainukoiria.
Kolme vuotta sitten
Intel valottaa palvelinhirmun speksejä
27.05.2009 Intel julkisti eilen illalla uuden Intel Xeon -prosessorin, joka tulee tuotantoon myöhemmin tänä vuonna.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Muhkean muovinen Nissan Juke 06:05
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- Yle: Katainen torjuu ajatuksen valtion kaivosyhtiöstä 16:54
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- Unohda hameenhelmaindeksi – ensitreffit kertovat talouden tilan 16:19
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Facebookissa vihainen vastaanotto – IMF-johtaja pehmensi Kreikka-lausuntojaan 09:18
- » Taloussanomat.fi
Kommentit (9)
IDS ja IPS järjestelmät eivät ole ensisijaisia suojamekanismeja, vaan "palohälytin" silloin kun varsinaiset suojaukset pettävät.
Paljon tärkeämpää on eristää verkko kunnolla, ja pitää huoli siitä että ainoastaan pakolliset palvelut ovat päällä, ja ne ovat päivitettyjä ja oikein konffattuja.
Suurin osa tietoturvasta on yksinkertaista ja tylsää ylläpitotyötä.
IDS ja IPS ovat kuten Anti-Virus, hyvä lisä mutta itsessään riittämättömiä.
Esimerkinomaisesti, jos asiakasrekisteri ja vaikka toiminnanohjausjärjestelmät halutaan kunnolla suojata, niin silloin ei luoteta IDS:ään tai IPS:ään tai vastaaviin vaan toteutus lähtee varsinaisen verkko-infrastuktuurin oikeasta suunnittelusta jolloin ko. järjestelmiin ei esimerkiksi koskaan sallita suoraa yhteyttä julkisesta verkosta.
Eli tyypillisesti estetään palomuurilla kaikki suora liikenne julkisen verkon ja yrityksen em. järjestelmiä pyörittävien palvelinten välillä ja suorien yhteyksin sijaan järjestetään ko. järjestelmien käyttö hyvin suunnitelluilla ja vain tarpeelliset toiminnot sisältävillä www-sivuilla yrityksen intranet-palvelimen kautta johon voidaan harkitusti sallia esim. vpn-yhteys julkisesta verkosta ja sekin vain niille jotka sitä oikeasti työn puolesta tarvitsevat jne.
Ja ja agronyymi IDS... Mietitäänpä nyt hiukan koko agronyymiä I=Intrusion,selkeää, D=detection, HAVAINNOINTI, haloo, siis havaitsee tunkeutumisen vaan EI tee sille mitään, S=System, selkeää.
Varsinaisesta evasionista on siis hyötyä kun ohitetaan laite jonka tarkoitus olisi blokata se kakka trafiikki.
Olikohan tämä nyt niin tärkeä uutinen että MTV3 uutistenkin piti pönkittää stonen kurssia??
Toisin sanoen tarkkaa tietoa ei ole kellään. Kuka nyt avoimesti kertoisi, että meidän tietohallinto on aivan pihalla? Kuka kehtaisi kertoa, että se raha mitä ollaan sidottu tietoturvaan on mennyt täysin hukkaan? Tuskin monikaan rohkenee myöntää epäonnistumisensa tietohallinnossa. Joten on luonnollista ettei täsmälläistä tietoa olekaan saatavilla. Ja tämä luo mahdollisuuden uusille markkinointi ideoille. Tyhmintä firmoille onkin luovuttaa vieraisiin(ulkopuolisiin) käsiin tietohallintonsa. Voisi kysyä: luovutanko tietohallinnan samoihin käsiin joka huolehtii "pahimman" kilpailijan(mme) tietohallinnasta? Tämä on selvä luottamus kysymys.
Ei kai (ainakaan Suomessa) ole sellaista lafkaa joka suojaa verkkoaan esim. julkisen verkon puppua vastaan pelkällä IPS:llä???
Kai kaikilla sentään jonkin asteinen palomuuri on?
It is interesting to note that when NSS Labs tested IPS products, Stonesoft was one of the vendors who failed the test. Why is this interesting? In their advisory on AETs, Stonesoft said that the best defense against them was an offering comparable to their StoneGate network security solution.
Stonesoft wasn’t alone in the NSS Labs test that measured the effectiveness of evasion detection. TippingPoint and Juniper also failed. When it comes to the vendors who passed, Cisco, IBM, Sourcefire, and McAfee were the ones who came out on top. Cisco and McAfee detected the full range of evasion techniques tested.
So if Stonesoft failed a basic evasion test, how are they detecting several evasion techniques at once? In the NSS Labs test, Stonesoft missed thee of the five tests given. A sixth test was listed as TBD by NSS Labs.