Ads 468x60px

maanantai 25. helmikuuta 2013

Elämme suurien tietoturvahyökkäysten aikaa

Yhdysvaltalainen tietoturva-alan yritys Mandiant julkaisi 18.2.2013 paljon media huomiota saaneen raportin suuresta ja organisoidusta tietomurroista.

Miksi Mandiant julkaisi raportin?
Mandiant haluaa nostaa tietoisuutta ja ”aseistaa” tietoturva-alan ihmisiä. Ensimmäistä kertaa julkaistaan raportti jossa todistetaan että APT-tyyliset hyökkäykset ovat ihan oikeasti olemassa ja että niitä tehdään isolla mittakaavalla. 

Mandiant on seurannut hyökkääjien toimintaa vuodesta 2006 lähtien, julkaisemalla raportin he ampuvat itseään jalkaan. Nyt hyökkääjät tietävät että joku on seurannut heidän toimiaan. Aivan varmasti he muuttavat toimintamalliansa ja kaivautuvat vielä syvemmälle Internetin syövereihin.


Miten Mandiant huomasi hyökkäykset?
Hyökkääjät eivät väärentäneet sähköpostien lähettäjän kenttää (erittäin helppo toimenpide).
Sähköpostin liitetiedosta eli haittaohjelmasta voidaan selvittää mihin ne yrittävät ottaa yhteyttä eli missä hyökkääjään komentopalvelimet sijaitsevat.

 Osa kohteista oli epäileviä ja varmistivat hyökkääjältä onko sähköpostin liite turvallinen. Tämä ei olisi mahdollista jos lähettäjä kenttä olisi väärennetty. Hyökkääjän varmistaessa että liite ei ole vaarallinen kohde avasi liitteen ja tartutti koneensa.

Useita DNS rekisteröitiin jotta niiden kautta voitaisiin lähettää sähköpostia. DNS-osoitteet imitoivat uutisorganisaatioita, teknologiayrityksiä sekä antivirus-yrityksiä. Näin nopeasti vilkaisemalla sähköposti osoitteet näyttävät valideilta.

KPMG tietoturvatarkastuksissa lähetämme kohdennettuja hyökkäys-sähköposteja (spearfishing).
Toimitamme asiakkaalle raportissa statistiikkaa hyökkäyksen onnistumisesta. Kyseisellä testauksella testaamme useita asioita:
  1. Klikkaavatko vastaanottajat tökerösti tehtyjen sähköpostiviestien linkkejä? (kyllä klikkaavat)
  2. Onko päätelaitteissa sellaisia haavoittuvuuksia, joita on mahdollista käyttää hyväksi jos/kun käyttäjä klikkaa linkkiä? (yleensä on)
  3. Estääkö työaseman/verkon suojaus (virustorjunta, IPS, proxy, palomuuri tms.) työasemasta ulospäin avautuvat yhteiden muodostamisen? (noin puolessa tapauksissa estää ja puolessa ei estä)
Kyseisellä testauksella voidaan osoittaa, että useimpiin organisaatioihin voi helposti murtautua ja että verkon palomuurit ja virustorjunnat eivät yleensä estä tätä. Kyseisen testauksen avulla havaitaan useimmat ongelmat, joita Mandiantin raportinkin mukaan oli käytetty ja on mahdollista parantaa suojauksia niin, että suuri osa hyökkäyksista ei olisi onnistunut.

Kuka teki hyökkäykset?
APT1 on raportin mukaan osa Kiinan tasavallan kansan vapautusarmeijan yksikköä 61398. Yksikköä ei nähtävästi ole virallisesti olemassa. Yksikön olemassaolosta löytyy viitteitä Internetistä. Varmasti voidaan vain sanoa että raportin APT1-yksikkö on suuren luokan operaatio jonka toimintaan on sijoitettu huomattavia summia rahaa.

APT1-yksikkö on toiminut jo pitkän aikaa, ainakin vuodesta 2006. Yksikön entisistä työtekijöiden CV:stä on saatu lisää todistusaineistoa yksikön olemassa olosta. Eräs yksikön operatiivi ei panostanut peitehenkilöllisyytensä luomiseen riittävästi. Hyvin todennäköisesti hänen henkilöllisyytensä pystytään kytkemään hyökkäyksiin. Häneen liittyviä tietoa on yritetty poistaa Internetistä mutta ne löytyvät edelleen Internetin välimuistista.


Poimittuja faktoja hyökkäyksistä
  • Suurin osa hyökkäyksistä kohdistui englantia puhuviin maihin.
  • Yhteyksiä kohteisiin pystyttiin ylläpitämään keskimäärin vuoden verran.
  • Kohteista vietiin suuria määriä informaatiota.
  • 80% kohteista sijaitsi Yhdysvalloissa, yksi kohde sijaitsi Norjassa.
  • Hyökkäykset kohdistuivat useisiin eri yritysaloihin tässä suurimmat kohteet:
    IT, avaruusteknologia, julkishallinto, tietoliikenne, tutkimus ja tiede sekä energia.
  • Täällä Madiantin julkaisema video hakkerien toiminnasta

Mitä varastettiin
Raportin mukaan hyökkääjät varastivat hyvin suuria määriä dataa. Hyökkääjät saivat todennäköisesti haltuunsa satoja teratavuja informaatiota.  Tämän data määrän säilyttäminen ja analysointi vaatii runsaasti resursseja.

Vertauksena jos tallettaisimme 200Tt dataa A4-paperille. Kuinka monta paperiarkkia se veisi?
Olettaen että yhdelle arkille voisi tallettaa 1 Kt verran dataa ja että arkin paksuus on 0,25mm.
Paperipinosta tulisi niin korkea että se voisi kiertää maapallon ympäri 1,25 kertaa (50 0000 km).


Miksi hyökkäyksiä ei pystytty torjumaan?

Hyökkäykset tehtiin hyvin perinteisellä tavalla, lähettämällä kohteelle sähköpostin liitetiedosto.
Ne toimivat paremmin seuraavista syistä.
  1. Sähköpostit olivat tarkalleen kohdennettu yritykseen ja kyseiseen henkilöön. Tämä edellyttää kohteen taustaselvitystä jotta viestistä saadaan riittävän vakuuttava.
  2. Haittaohjelmat tunnistetaan haittaohjelmientunnistus-järjestelmissä (IDS/IPS) niiden sormenjäljen eli allekirjoituksen perusteella. Liitteenä olevista haittaohjelmista suurin osa oli hyökkääjän itse tekemiä. Järjestelmillä ei siis ollut tietoa niistä jolloin niistä ei välttämättä ole mitään apua.
Huolestuttavampaa on se, että KPMG:n tekemien auditointien mukaan useimpiin organisaatioihin pystyy vastaavalla tavalla murtautumaan ilman, että tekee edes kohdennettuja viestejä tai modifioi käytettyjä haittakoodeja.

Mikä toimii ns. normaaleissa tietoverkko hyökkäyksissä puolustuskeinoina ei toimi APT-tyylisissä hyökkäyksissä. 

Investoivatko yritykset vain uusiin ja hienoihin järjestelmiin ja luottavat niiden torjuvan kaikki hyökkäykset?
Esimerkkinä: Ostimme juuri uuden IDS/IPS-järjestelmän. Nyt olemme turvassa!

Miksi yritykset jotka pelkäävät olevansa hyökkäyksen uhan alla blokkaa kaikkea liikennettä Kiinasta?
Tämä ratkaisu auta ollenkaan koska hyökkäykset tulevat hyppykoneitten kautta useista muista maista.


Miten puolustautua tällaiselta hyökkäykseltä
  • Henkilöstön koulutus on avain asemassa. Henkilöstön tiedostaessa ongelman hyökkäyksen onnistuminen on jo huomattavasti hankalampaa.
  • Pysähdy hetkeksi ja ajattele mitä sinä tekisit jos saisi sähköpostiisi hyvin vakuuttavan oloisen viestin? Poistaisitko viestin vai Ilmoittaisitko siitä?
  • Suojaudu nyt edes niiltä hyökkäyksiltä, jotka eivät ole nimenomaan omaa organisaatiotasi vastaan organisoituja
DLP-järjestelmä (dataloss prevention) oikein konfiguroituna olisi todennäköisesti huomannut hyökkäyksen. DLP-järjestelmä tarkkailee suurien datamäärien siirtoa verkossa eli järjestelmä olisi huomannut kun varastettua dataa siirretään hyökkääjien palvelimille. DLP-järjestelmän havainnointia voi yrtittää vaikeuttaa pilkkomalla datan osiin ja hajauttamalla siirron useisiin kohde palvelimiin.

Suomessa DLP tekniikan käyttä vaatii "Lex-Nokian" mukaisen toimenpiteiden toteuttamista mikäli tekniikkaa käytetään liikenteen sisällön analysointiin siten, että etsitään meneekö ulos esim. Hetu- tai luottokorttitietoja. Tämä siksi, että ko. teitojen vuotaminen ulos yrityksestä ei aiheuta uhkaa verkolle ja lain 20§ ei siksi sovellu. Kyllä, olemme käyneet tästä pitkän keskustelun Tietosuojavaltuutetun toimiston eri asiantuntijoiden kanssa... Suomessakin on kuitenkin käytössä useita DLP-toteutuksia, joilla tehdään juuri yllämainittua, mutta "Lex-Nokian" mukaisia ilmoituksia ei ole tehty. Suomessa siis rikotaan lakia tältä osin.


Yhteenveto:

Hyökkääjät lähettivät sähköpostia massoittain joka varmasti nosti huomiota kohdeyrityksissä.
He olisivat voineet lähettää viestejä huomattavasti vähemmän ja selkeästi pienentää kiinnijäämisen riskiä.
Jos he olisivat operoineet näin, niin voi olla että heitä ei olisi vieläkään huomattu?

APT on täällä ja pysyy. Tietoturvayritysten tuotteet ovat heikoilla tässä taistelussa.
Mitä yritykselle tapahtuu kun se joutuu ison hyökkäyksen uhriksi?  

Toisaalta suureen osaan yrityksistä pystyy auditointiemme mukaan murtaitumaan ilman sen suurempaa hyökkäysten kohdentamista. Tehtävään on siten ihan perusasioissakin.

Päivitys 25.2.2013 klo 14:45:

Marketplacen Kiinan vastaava Rob Schmitz kertoi twitter-viestissään soittaneensa Mandiantin videossa puhuttuun numeroon. Numeroon vastasi eläkkeellä oleva maanviljelijä, hänellä ei ollut mitään tietoa että hänen numeroansa on käytetty hakkeroinnissa. Maanviljelijän mukaan hänellä on ollut sama numero käytössään 4-5 vuotta. Tämä pitää paikkansa koska Rob Scmitz soitti väärään numeroon. Videolla kohdassa 43 sekuntia kertoja mainitsee väärän puhelinnumeron. Oikea numero päättyy ... 7229 kun videolla kerrotaan väärä numero ... 7729. Robin varmistus twitter viesti




1 kommentti:

mikk0j kirjoitti...

Mukavaa pohdiskelua ja hyviä käytännönohjeita. Me like.

Mandianttia ei taida olla tutkitun suomessa vielä juurikaan, joten siitäkin syystä ihan kantaa-ottavia ajatuksia.

Näkemys tietoturva-alan ihmisten
"aseistamisesta" ei oikein loksahda, ehkäpä enemmänkin tuo oli sittenkin suunnattu niille päätöksentekijöille jotka vastaavat tietoturva-alan ihmisten budjetista. Toki, olihan siinä hieman teknistä tietoakin tarjolla.

Mandiant teki, tai ainakin olisi pitänyt tehdä tuo koko hoito rahasta. Näin jenkkiläisellä
ajattelulla mietittynä. Toisaalta, onko raportissa todellisuudessa mitään sellaista johon
tietoturva-alan ammattilainen ei olisi jo kiinnittänyt kanaviensa kautta huomiota? Ei oikein.

Eli asiat oli tiedossa, Mandiantille ja #APT uhkille mainosta, Kiinaan kohdistuvaa pelkoa ja
kykyä USAlle panostaa budjetoinnissa varautumiseen.

Keino tehdä rahaa, eikös? Ainakin pitäisi olla :)

Mikäli hyökkääjät eivät olisi tienneet että tiedusteluun kuuluu vastatiedustelu (jota Mandiant ei siis tehnyt), ei heitä voisi valtiollisiksi toimijoiksi luetella. Ehkä jossain muualla, muttei Kiinassa. Kybersodankäyntiin ja kaikkeen muuhunkin sodankäyntiin kuuluu TTP:n muuttaminen olosuhteiden muuttuessa ja taktisen asetelman
kyllästyessä. En ole varma oliko tässä tarvetta oikeasti muuttaa TTP:tä vieläkään vaan vaiko "tömistellä maata jotta saadaan käärme esille". Ihan taktiikan perusteita.

Kiinalla on yksi pisimmistä perinteistä strategisen ajattelun puitteissa ja sitä ei tulisi aliarvioida. Olisi typerää asettaa noinkin helposti saataville "kruunun jalokivi" ja sen jälkeen muuttaa TTP:tä edelleen nykyisen elinympäristön pysyessä samana = 'me olemme
compromised'. Mandiant on saattanut saada osan tahi esille tuodun luumupuun haltuunsa,
mutteivät missään nimessä päärynäpuuta. Päärynä snapsit tulee vielä tehdä ja niiden vaikutus on ihan riittävä.

Faktat ovat aika kehnot kun niitä tarkastelee. Yhteyksien ylläpitäminen 'swarmeilla' ei ole mikään vaikeus, sen sijaan hämmästyttää Kiinalaisten teknologinen kyvyttömyys. Onko TODELLAKIn taktinen ajattelu noin alkeellisella
tasolla, jotta jäädään kiinni tietojen varastamisesta noinkin yksinkertaisesti?

Toki tiedämme, että asejärjestelmän payloadin kuljettaminen maaliin ja tasking on yksi vaikeimmista tehtävistä, mutta itse toiminnot - ihmetyttää, joka taasen saa epäilemään tuota Mandiantin kohteen validisuutta.

Lähetä kommentti