Ads 468x60px

torstai 13. syyskuuta 2012

Mitä keinoja palvelunestohyökkäyksiä vastaan?


Viimeaikoina myös Suomessa on saatu otsikoita hajautettujen palvelunestohyökkäysten (DDoS) kohdistumisesta kotimaisiin verkkopalveluihin, jotka tähän asti ovat saaneet olla suhteellisen rauhassa jo pelkästään sen seikan johdosta että täällä on vielä verrattain vähän kiinnostavia hyökkäyskohteita kansainvälisille verkkorikollisille. Lisäksi kielimuurin ja poliittisen neutraaliuden takia haktivismi –tyyppisten palvelunestohyökkäysten riski on suhteellisen pieni.

Toisaalta, palvelunestohyökkäysten uutisointi lähtee usein kulkemaan omia polkujaan verkkomedioissa ja foorumeilla, kuten Helsingin Sanomien [1] tapauksen yhteydessä spekuloitu Poliisin ja Rajavartiolaitoksen sivujen ongelmat ja niiden liittyminen samaan hyökkäysaaltoon, jotka myöhemmin kerrottiin aiheutuneen kuituverkon ongelmista. Myös paljon huomiota saanut GoDaddy –palvelun virallinen lausunto kertoo ettei alkuviikon laajat ongelmat olisi aiheutuneetkaan DDoS-hyökkäyksestä [2], vaan sisäisestä tietoliikenneongelmasta. Selvää on tietysti se että kaikkeen uutisointiin ja nettikirjoitteluihin kannattaa myös tässä asiassa suhtautua riittävällä lähdekritiikillä, ja miettiä myös kunkin kohteeksi joutuneen organisaation intressejä kertoa ongelmien perimmäisiä syitä. Täysin luotettavaa tilastoa DDoS-hyökkäysten yleisyydestä ja syistä on siis vaikea koota, mutta suhteellisen kiistattomasti voidaan sanoa että niiden riski myös Suomessa on nousussa jo pelkästään niihin käytettyjen bottiverkkojen kasvusta johtuen ja niiden helpomman saatavuuden, jopa Botnet-as-a-Service –tyyppisten palveluiden yleistyessä.

Mitä mahdollisuuksia organisaatioilla sitten olisi suojautua tämän tyyppisten hyökkäysten varalta? Teknisiä ratkaisuja DDoS-hyökkäysten torjuntaan on ollut saatavilla jo jonkin aikaa, mutta niissä toimintaperiaate on usein suuren liikennekuorman kestävyys ja rautaa rajalle –periaate, jolla suojataan organisaation Internet-reunapalomuuria ja sen takaista web-palvelua tukehtumiselta. Raskaan teknisen laiteympäristön ja palvelun ylläpitäminen useimmiten tarkoittaa myös merkittäviä kustannuksia.

Tässä vaiheessa organisaation kannattaa siis miettiä saavutetaanko tällaisella ratkaisulla riittävää hyötyä kustannuksiin nähden. Usein hyöty on suoraa verrannollinen siihen mitä menetyksiä verkkopalvelun alhaalla olo aiheuttaa organisaatiolle suhteessa aikaan. Liiketoiminnasta riippuen tämä voi vaihdella merkittävästi. Verkkolehden kaatuminen saattaa aiheuttaa menetettyjä mainostuloja, ylimääräistä ylläpito ja selvitystyötä, yleisen maineen huononemista tms. Toisaalta lehteä voidaan tämän johdosta ostaa enemmän paperiversiona, joten ehkäpä hieman tulojen kasvuakin karrikoidusti ajatellen? Täysin erilainen tilanne on taas esimerkiksi uhkapelisivustoilla ja muilla suureen rahaliikenteeseen perustuvilla web-palveluilla, jolloin palvelunestohyökkäyksellä saatetaan aiheuttaa merkittäviä taloudellisia menetyksiä palvelun alasajolla tai kiristämällä omistajia sen uhalla, mistä löytyy jo monia esimerkkitapauksia kasinomaailmasta [3]. Näissä tapauksissa uhkapelisivuston on useimmiten helpompi maksaa suhteessa pienempi kiristyssumma rikollisille, verrattuna menetyksiin alhaalla olevan palvelun myötä. Käytännön tarve palvelunestohyökkäykseltä suojautumiseen edellyttää siis aina riskianalyysiä ja liiketoimintaan liittyvien uhkien analysointia. Tämän perusteella voidaan määrittää järkevä budjetti ja työkalut suojautumiseen.

Toisaalta pitää muistaa myös se että palvelunestohyökkäys saattaa olla vain tapa peitellä sitä edeltänyttä varsinaista hyökkäysyritystä, jonka pääasiallisena tavoitteena on hyökkääjän omien jälkien peittäminen kaatamalla palvelu ja sen mukana hävittää mahdolliset muistijäljet ja lokitiedot forensiikkaa varten. Siitä syystä mikäli palvelunestohyökkäyksen kohteeksi joudutaan, kannattaa kiinnittää erityistä huomiota sen mahdollisen motiivin selvittämiseen ja etsiä jälkiä muista verkkohyökkäyksistä tai murron yrityksistä.

Yksi mahdollinen ratkaisu hajautettujen palvelunestohyökkäysten torjuntaan, mikäli budjetti on rajallinen, on esimerkiksi käyttää geolokaatioon perustuvaa IP-osoitteiden suodatusta organisaation Internet-reunareitittimellä. Tässä vaihtoehdossa esimerkiksi suomalaisen, ja pääasiassa suomalaisille käyttäjille suunnatun organisaation intressi voisi olla estää kaikki Suomen ulkopuolelta tuleva liikenne lähdeosoitteen perusteella verkkopalveluun hetkeksi, mikäli hajautettu palvelunestohyökkäys havaitaan. Lopputulos tällä olisi tietysti se että estettäisiin myös joitakin laillisia yhteyksiä palveluun (esimerkiksi ulkomailla asuvat tai matkailevat, globaalien yritysten toimistoverkko- tai  VPN-liikenne joka kierrätetään Suomen ulkopuolta yms.) mutta todennäköisesti suurimmalle osalle käyttäjistä palvelu olisi edelleen saatavissa, ja sen elintoiminnot olisi turvattu ja mahdollisten aikaisempien murtoyritysten jäljet helpommin selvitettävissä. Mikäli tätä ratkaisua haluttaisiin kehittää vielä pidemmälle, on yksi vaihtoehto Internet-reitittimen pääsylistaa kontrolloiva skripti joka perustuu esim. Netflow-dataan ja epänormaalin liikennekuvan tunnistamiseen, jolla saataisiin automatisoitua hyökkäyksenestotoiminnallisuutta palvelulle.

Huomioitava on myös että IP-osoitteiden geolokaatiotiedot eivät aina ole ajantasaisia ja paikkansapitäviä, mutta periaatetasolla tämä ratkaisu toteuttaisi kuitenkin vielä sen että palvelu olisi tavoitettavissa suurimmalle osalle kohderyhmästä. Kokonaisuutena tämä tapa olisi kuitenkin huomattavasti edullisempi järeämpiin teknisiin ratkaisuihin verrattuna, ja se kannattaakin olla reservissä manuaalisena hätäratkaisuna organisaatioissa, mikäli sen toimintatapa vain on palvelutyyppiin sopiva. Toisaalta myös DoS-hyökkäystavat kehittyvät jatkuvasti, joista yksi esimerkki on hidasta http-yhteyttä simuloiva hyökkäystekniikka [4].

Lisää tietoa DoS/DDoS hyökkäysten mahdollisista riskeistä ja suojautumiskeinoista KPMG:n tietoturvatiimiltä.

-Toni S

1 kommentti:

Anssi Porttikivi kirjoitti...

KPMG/Telewaren keräämiä linkkjeä aiheesta: delicious.com/teleware/ddos

Lähetä kommentti