Ads 468x60px

torstai 28. maaliskuuta 2013

Palvelunestohyökkäykset vaarantavat koko Internetin toimintaa

DNS vuotaa

Tunnettu vapaaehtoisorganisaatio Spamhaus.org ylläpitää mustaa listaa roskapostittajista osana Internetin DNSBL-toimintaa. Huhujen mukaan eräs roskapostittaja hermostui maaliskuussa listalle joutumisestaan. Syytetty CyberBunker.com tosin kieltää osuutensa. (Heidän sivuilleen ei juuri nyt pääse ;-) Joka tapauksessa tällä viikolla Spamhausin nettiosoitteet joutuivat yllättäen massiivisen palvelunestohyökkäyksen kohteeksi. Hyökkäystekniikaksi identifioitiin DNS-heijastuksen käyttö. Kuva hyökkäyksen ideasta:


Kuva: Security Affairs, http://securityaffairs.co/wordpress/
Kieltämättä pirullisen nerokas idea on lähettää hyökkääjältä väärällä uhrin LÄHDEosoitteella (tyhmästi ja vaarallisesti konfiguroidusta operaattoriverkosta) PALJON DNS-kyselyjä lukuisiin julkisiin (tyhmästi ja vaarallisesti konfiguroituihin) DNS-palvelimiin, jotka kaikki sitten vastaavat yhdelle uhrille. Tempulla saadaan 36 tavun kyselyllä 3000 tavun vastauksia. Näin hyökkääjä saa satakertaisen vahvistuksen, eli voi suoltaa ulos 10 Mbit/s kyselytulvaa, ja uhri näkee 1 Gbit/s vastaustulvan. JOS hyökkääjä vuokraa pienenkin bottiverkon,  saadaan useamman sadan gigabitin vastaustulva per sekunti. Tällaisen verkon vuokra on halpa, parikymppia per päivä, dollareissa tai euroissa. Bitcoineissa vähemmän ;-) Kannattaa huomata, että eri syistä hyökkäys välttää melko tehokkaasti  pullonkaulat, eli koko liikennekuorma todellakin kasaantuu vasta uhrille.

Eurooppa (ja Suomikin) vuotaa

Spamhousin palveluntarjoaja CloudFlare torjui hyökkäyksen menestyksellisesti anycast-infrastruktuurillaan. Lopulta vihainen hyökkäys eskaloitui ja keskittyi Lontooseen, Amsterdamiin ja Frankfurtiin julkisiin liikennesolmuihin, ja hidasti suurimmillaan yhdestä pisteestä mitattuna 300 Gbit/s voluumillaan koko Euroopan liikennettä.

Kyseessä kuitenkin on jonkun pikkutekijän lähes olemattomilla resursseilla ja hetken mielijohteesta tekemä hyökkäys. Mitä tapahtuu, kun joku poliittinen, hyvin resurssoitu organisaatio tekee saman, vain sata kertaa pahempana?

Ongelma on, että vaikka lääkkeet infrastruktuurin korjaamiseen tässä tapauksessa ovat olemassa, niitä ei noin vain saada pakotettua potilaille. RFC 2827 on vuodelta 2000, mutta ilmeisesti hyökkääjän ja bottiverkon koneiden operaattoreilla homma ei ollut hanskassa. CERT-FI on tehnyt hyvää työtä avointen DNS-rekursoreiden karsimiseksi Suomesta, mutta niitä on maailmalla 22 miljoonaa.

Ja BTW, pienemmässä muodossa nämä saman tyyliset hyökkäykset ovat jatkuva riesa Suomessa, kun kaverin Mindcraft-servereitä kiusaavat kakarat puolivahingossa tukkivat operaattoriverkon runkoyhteyksiä.

HyvinvointiTIETOyhteiskunta vuotaa

Kuinka haavoittuva Internet loppujen lopuksi on? Päivän uutisissa mainitaan myös kohdistetusta sabotaasista valtamerien alla kulkevia runkokaapeleita vastaan. Tämä aiheutti merkittävää liikenteen hidastelua Pakistanissa ja Egyptissä.

Potentiaalisesti isoja ongelmia on myös  reititysprotokollaan BGP kohdistuvissa hyökkäyksissä. Pakistan kaappasi aikanaan vahingossa kaiken Youtube liikenteen BGP:llä mustaan aukkoon. Vaihtamalla muutamia rivejä reitittimen BGP-konfiguraatiossa he olisivat voineet kaapata paljon muutakin Internetin liikennettä mustaan aukkoon, ainakin hetkeksi. Venäjä käytti samoja  ideoita ja yritti väitetysti eristää koko Georgian Internetistä.

Yhdistämällä DDoS-hyökkäyksiä, merikaapeleihin kohdistuvaa sabotaasia, BGP-hyökkäyksiä ja vaikkapa DNS-juuripalvelimiin kohdistuvia hyökkäyksiä saataisiin ehkä oikein ajoitettuna aikaan tilanne, jossa suuri osa Internetistä saadaan lamaannutettua?

Internetin ja verkkojen katkottomaan toimintaan luottaminen on muodostunut lähes itsestäänselvyydeksi. Mikäli ihmisillä on riittävän pitkään joitakin palveluita jatkuvasti käytettävissä, niin pienikin katkos niiden saatavuuteen aiheuttaa välitöntä hädäntunnetta, eikä paljon lohduta se, että aikanaan on selvitty hyvin ilmankin niitä. Internetin toimintaan voisikin liittää termin "hyvinvointiTIETOyhteiskunta", jolla tarkoitetaan sitä, että netin katkottoman toiminnan oletetaan olevan perusoikeus ja itsestäänselvyys. Sen arvo huomataan vasta silloin kun sitä ei ole enää saatavilla. Internetin olemassaoloon perustuvat tällä hetkellä monien yritysten, ja myös valtioiden toiminnot, sekä yksityisten ihmisten elämä yhä enenevissä määrin. Tämä lisää myös sen haavoittuvuutta terrori- ja sodankäyntimielessä.

Näitä tapahtumia seuratessa kannattaakin miettiä mitä vaikutuksia netin totaalisella lamaantumisella voisi olla, jos sen kaikkia haavoittuvuuksia jossain vaiheessa joku haluaa hyväksikäyttää. Laitetaan se jatkuvuussuunnittelu kuntoon, kuten Mikko Hyppösellä tässä videossa. Samalla tulee hoidettua varautuminen niihin ihan omiinkin mokiin:

http://www.youtube.com/watch?feature=player_detailpage&v=cf3zxHuSM2Y#t=878s

Anssi Porttikivi ja Toni Sulankivi

maanantai 25. maaliskuuta 2013

Hello sailors! KPMG:n suosittu Tietoturvaristeily rantautuu tänä vuonna Tallinnaan!

Ohoi! KPMG järjestää tämänkin vuoden toukokuussa yhteistyökumppaniensa kanssa suositun Tietoturvaseminaarin. Seminaari on aiemmin pidetty laivalla, mutta tänä vuonna rantaudumme Tallinnaan ja itse seminaari pidetään Tallink City -hotellissa 23.-24.5.2013. 

Tietoturvallisuudessa on kuluneen vuoden aikana tapahtunut paljon ja edessä on monia muutoksia. Edellisen risteilyn jälkeen tietoisuuteemme on tullut useita erilaisia tietomurtoja, joista osa olisi ollut helposti estettävissä ja osa puolestaan on ollut teknisesti edistyksellisiä. Euroopan Unioni on julkaissut luonnoksen tietosuoja-asetuksesta ja Suomessa tietoturvavaatimusten joukko on vahvistunut KATAKRI-vaatimuksilla, suomalainen tietoturvaklusteri on perustettu edistämään suomalaista tietoturvaosaamista sekä valtionhallinto on laatinut kyberturvallisuuden strategian. Viranomaisnäkökulman seminaariin siivittää Viestintäviraston Erka Koivunen.

Tule mukaan verkostoitumaan ja keskustelemaan KPMG:n asiantuntijoiden ja kumppanien kanssa ajankohtaisista ja tulevista tietoturvallisuuden trendeistä, haasteista ja ratkaisuista!

Ilmoittaudu täällä: https://events.kpmg.fi/Default.aspx?tabid=903&TapahtumaID=38264

perjantai 22. maaliskuuta 2013

ICTexpo 2013 Live hack: Sisäänkirjautuminen – miten se turvaa konettasi

KPMG tietoturvatiimi esitti ICTexpo messujen Security -seminaarilavalla mitä asioita on otettu huomioon hyvässä tunnistautumisessa. Näistä asioista mainittiin ainakin, ettei tunnistustietoja välitettäisi selkokielisenä verkon yli, että kirjautumista ei pitäisi pystyä ohittamaan ja että kirjautumisen yhteydessä tulisi tehdä molemminpuolinen tunnistus.

Esittelimme käytännössä miten DMA (Direct Memory Access) hyökkäyksellä voidaan ohittaa Windows työaseman käyttäjän tunnistaminen. Hyökkäysmenetelmä on tunnistettu jo kauan sitten ja ensimmäisiä Proof of Concept -hyökkäyksiä on tavattu ainakin jo vuonna 2004. Vaikka kyse ei ole uudesta uhkasta, käytimme esityksessä kohdekoneena työasemaa, jossa päivitykset olivat ajan tasalla, haittaohjelmasuojaus oli kunnossa ja kiintolevy oli asianmukaisesti salattu.

DMA on edelleen käytössä sen vaaroista huolimatta. DMA mahdollistaa esimerkiksi huomattavasti suuremmat tiedonsiirtonopeudet ulkoisen laitteen ja tietokoneen välillä, koska se tarjoaa suoran yhteyden ulkoisen laitteen ja tietokoneen keskusmuistin välille. DMA on mahdollinen ainakin FireWire, Thunderbolt, Express Card, PCI ja PCI Express -liitännöissä.

DMA-hyökkäykseen käytetty laitteisto

Varsinainen hyökkäys perustuu juuri DMA:han ja sen kykyyn ylikirjoittaa muistiin suoritettavaa koodia. Esimerkiksi Windows käyttää salasanan tarkastamiseen koodia, joka on ladattuna tietokoneen muistiin ja siten se on muokattavissa, mikäli suora pääsy muistiin on sallittu. Hyökkäyksessä ei vaadittu mitään eksoottista laitteistoa, vaan kaksi FireWire-ohjainkorttia Express Card -väylään sekä FireWire-johto näiden väliin. Hyökkääjän asemassa toimivassa laitteessa oli Ubuntu-käyttöjärjestelmä lähes perusasetuksilla. Lisäksi siihen oli asennettuna hyökkäykseen käytetty sovellus: Inception.


DMA-hyökkäys menossa

Hyökkäystä on melko vaikeaa estää – etenkin mikäli halutaan edelleen hyödyntää DMA:ta. Toisaalta, jos DMA ei ole käytössä, sen ajurit voi poistaa käytöstä. Tämän jälkeen hyökkäys ei ole enää mahdollinen. Mac OSX:ssä puolestaan, mikäli käytössä on FileVault 2, niin DMA poistetaan käytöstä automaattisesti kun työasema lukitaan.

Yleisemmin käytössä oleva tekniikka kirjautumisen kiertämiseen perustuu siihen, että hyökkääjä muokkaa kiintolevyn sisältöä joko käynnistämällä tietokoneen toiselta medialta tai kytkemällä kiintolevyn toiseen tietokoneeseen. Nämä hyökkäykset ovat käytännössä perustuneet joko käyttäjän salasanan ylikirjoittamiseen SAM -taulusta (Security Accounts Manager) tai muuttamalla kirjautumisruudussa käytettävissä olevia sovelluksia. Käytännössä suoritettavat sovellukset ovat joko jokin helppokäyttöisyystoiminnoista tai näytönsäästäjä. Jos mikä tahansa näistä korvataan esimerkiksi cmd.exe -tiedostolla, voidaan järjestelmässä ajaa komentoja System -oikeuksilla. Kiintolevyn sisällön muokkaaminen ei kuitenkaan käytännössä onnistu, mikäli se on vahvasti salattu.

Toinen käytännön esimerkkimme koski Rubber Duck -laitetta ja sen hyödyntämistä Android-laitteen lukituskoodin automaattiseen avaamiseen. Rubber Duck on pieni, ohjelmoitava laite, joka näyttäytyy isäntäkoneelle USB-näppäimistönä. Laitteeseen voi ohjelmoida komento- ja näppäinpainallussarjoja, jotka suoritetaan kun se liitetään tietokoneeseen. Mitä tällä voidaan sitten saavuttaa? Esimerkiksi Windows 7 tai 8 koneissa voidaan varastaa tallennetut wlan-avaimet, ladata internetistä sovelluksia ja suorittaa niitä ja niin edelleen. Kaikki tapahtuu nopeasti ja automatisoidusti. Komentojen ajamisen lisäksi voidaan myös yrittää esimerkiksi arvata salasanoja automatisoidusti.


Androidin PIN-koodi avautuu

Android-laitteet, joissa on numerokoodiin perustuva lukitus, antavat yrittää pin-koodin avaamista 5 yrityksen sarjoissa, joiden välissä on 30 sekunnin tauko. Kun Rubber Duck -laitteeseen on ohjelmoitu vaaditut näppäinpainallukset, joilla voidaan yrittää kaikkia mahdollisia numerokoodeja, voidaan se liittää kohdelaitteeseen ja jäädä odottamaan tuloksia. Hyökkäys on hyvin helppo toteuttaa, eikä laitteistokaan ole kallis.

4-numeroinen koodi aukeaa viimeistään 16,6 tunnin yrittämisen jälkeen ja 5-numeroinen 166 tunnissa, 7-numeroiseen koodiin kuluu 2 vuotta ja 10-numeroiseen yli 1900 vuotta. Salaisen tai arvokkaan tiedon saamiseksi 16 tuntia on lyhyt aika, joten kannattaa käyttää tarpeeksi pitkiä koodeja
.
Puhujan näkökulmasta oli mukava huomata, että käytännön tietoturva – tai tässä tapauksessa ehkä turvattomuus – kiinnosti messuilla kävijöitä myös tietomurtotestaajan näkökannalta.

torstai 21. maaliskuuta 2013

Kriittisen infrastruktuurin ytimessä: sähköverkot ja automaatiojärjestelmät – miten on tietoturvan laita?

Yhteiskunnan kriittisen infrastruktuurin haavoittuvuus on jo pitkään tiedostettu, ja sekä maailmalla että Suomessa asia on saanut runsaasti julkisuutta. Viime päivinä ja viikkoina asiaa on käsitelty poikkeuksellisen paljon. Tällainen keskustelu on hyödyllistä, koska se saattaa erilaiset uhkakuvat suuremman yleisön tietoon, ja uhkiin toivottavasti myös reagoidaan entistä ripeämmin. Perinteisesti kriittisen infrastruktuurin riskejä on käsitelty (fyysisen ja toiminnallisen) turvallisuuden näkökulmasta. Tietoturva on esimerkiksi automaatio- ja sähköalalla uudempi asia, ja valitettavasti monessa suhteessa lapsenkengissään verrattuna perinteiseen IT-maailmaan.
Yle esitti maanantaina 11.3.2013 MOT-ohjelmassa jakson ”Suomi polvilleen 15 minuutissa”. Jakso on vielä jonkin aikaa katsottavissa Yle Areenassa. Ohjelman mukaan muutama asiansa osaava henkilö voi lamaannuttaa sähköverkon 15 minuutissa. Oikein kohdistettu täsmäisku muutamiin avainkohteisiin riittää. Tällaisen iskun takana voisi olla esimerkiksi terroristiryhmä tai erikoisjoukkoja tai ohjusiskua käyttävä valtiollinen toimija. Kynnys konventionaalisten aseiden käyttämiseen on kuitenkin huomattavan korkea. Kenties suurempi uhkakuva on tietokoneiden avulla toteutettava kyberisku.
Taloussanomien haastattelussa emeritusprofessori Jukka Kemppinen arvioi, että kyberiskulla on mahdollista lamauttaa verkko alle sekunnissa. Sähköverkkojen hallinta perustuu tänä päivänä yhä enemmän tietotekniikkaan. Tämä tehostaa toimintaa, mutta luo myös uudenlaisia uhkakuvia - joista suuri osa on hyvin todellisia.
Keskustelu sähköverkon haavoittuvuudesta - sekä perinteisten uhkakuvien että kyberhyökkäysten suhteen - sai hädin tuskin hengähdystauon, kun Aalto-yliopisto julkaisi uutisen tutkimuksestaan (eilen 20.3.). Tutkimuksessa kartoitettiin Suomessa sijaitsevia verkkoon kytkettyjä automaatiojärjestelmiä, joita löytyi lähes kolme tuhatta. Raportin mukaan todellinen lukumäärä on vielä suurempi, sillä tutkimukseen käytetty Shodan-hakukone (www.shodanhq.com) ei todennäköisesti ole vielä kartoittanut kaikkia suomalaisia IP-osoitteita.
Raportti sai ansaitsemaansa julkisuutta, kun siitä uutisoivat tänään (21.3.) muun muassa Helsingin Sanomat, Taloussanomat ja IT-viikko.
Kuten raportissakin todetaan, varmasti osa Shodanin löytämistä laitteista on verkossa hyvästä syystä, ja asianmukaisesti suojattuna. Valitettava tosiasia kuitenkin on, että verkkoon on kytketty laitteita, joiden ei missään nimessä siellä pitäisi olla. Osa näistä sisältää tunnettuja haavoittuvuuksia, tai puutteita pääsynhallinnassa. Jotkut eivät edes vaadi minkäänlaista autentikoitumista. Ne ovat verkossa ns. ovet selällään, ilman minkäänlaista pääsynhallintaa. Näissä tapauksissa järjestelmien omistajat/hallinnoivat tahot eivät välttämättä edes tiedä laitteiden näkyvän Internetissä. Tällaiset tulokset tuntuvat täysin käsittämättömiltä, mutta ikävä kyllä tilanne on usein juuri näin huono.
Kaiken lisäksi asia ei valitettavasti ole edes uunituore, vastaavia ongelmia on havaittu jo useamman vuoden ajan. Shodanin käyttöä ja löydöksiä esittelevät mm. muutamat DEF CON –hakkeritapahtuman videot (DEFCON 20 ja DEFCON 18). Shodan on tänään ollut huollon alla, mutta on sinänsä kenen tahansa käytettävissä. Mikäli hakukonetta haluaa kokeilla, on kuitenkin tärkeää muistaa sekä videoilla että Aallon raportissa korostettu seikka, ettei ole syytä edetä hakuja pidemmälle. KPMG:n näkemyksen mukaan myös haku kannattaa rajata vain niihin osoitteisiin, joihin haun tekijällä on oikeus hakuja tehdä. Järjestelmien syväluotaavammassa tutkimuksessa tai murtautumisen yrittämisessä siirrytään erittäin nopeasti rikollisen toiminnan puolelle. Eräs huolestuttava seikka on se, että Shodan sekä monet ammattitasoiset murto- ja hyökkäystyökalut ovat melko helppokäyttöisiä ja kenen tahansa saatavilla. Osaavat verkkorikolliset ovat oma ongelmansa, mutta myös asiaan vihkiytymätön voi saada aikaan pahaa jälkeä – usein vahingossa ja ymmärtämättä itse mitä on tehnyt.
Monien nyt verkossa näkyvien järjestelmien kehitys on aloitettu viime vuosituhannen puolella. Aikakaudella, jolloin esimerkiksi rakennusautomaation etäohjaus selaimen avulla oli uusi ja mahtava idea. No, idea sinänsä onkin nerokas. Valitettavasti tämä oli myös aikakautta, jolloin IT:n tietoturva oli vielä lapsenkengissään. Uusia asioita kehittävät insinöörit eivät yleensä ensimmäiseksi mieti, miten uutta tekniikkaa voidaan käyttää väärin. Tänä päivänä tietoturva-asiat ovat jatkuvasti tapetilla ja massiivisia tietomurtoja tapahtuu jos ei päivittäin, niin viikoittain. Tietoturvan huomiotta jättävät etäohjaustoteutukset voivat tuntua todella naiiveilta, tai absurdeilta ajatuksilta. Silti ne ovat - kuten tuore raportti osoittaa - huolestuttavan yleisiä.
Tridiumin Niagara Framework on laajasti käytetty tuote, joka mahdollistaa mm. rakennusautomaation etähallinnan. Esimerkiksi Washington Post uutisoi sen haavoittuvuuksista viime kesänä ja asia on herättänyt paljon huomiota Yhdysvalloissa. Seuraava tapaus ei liity Niagara Frameworkiin, mutta on esimerkki siitä, mihin rakennusautomaation puutteellinen tietoturva voi johtaa. KPMG:n asiantuntijat testasivat jo yli 5 vuotta sitten erään uuden KPMG:n rakennuksen automaatiojärjestelmien turvallisuuden ennen, kuin talo otettiin vastaan rakennuttajalta. Testaus päätyi rakennuksen täydelliseen hallintaan, joka kylläkin edellytti myös omien hallintasovellusten koodaamisen, jotta talotekniikan eri ohjauskomponenttien hallinta oli helppoa. Testauksessa myös havaittiin, että loisteputkivalaisimet eivät ole optimaalisia jättimäisen pistematriisinäytön rakentamisen kannalta. Niiden ohjaus on liian hidasta. Valoshow oli silti hieno. Talo otettiin käyttöön vasta korjaavien toimenpiteiden jälkeen.

Video valoshowsta:

Tänä päivänä automaatiojärjestelmät ovat yhä harvemmin ns. ”air gapin” eli totaalisen eristyksen suomassa suojassa. Silti suora yhteys Internetiin ei monissa tapauksissa ole perusteltua, puhumattakaan puutteellisesti suojatusta yhteydestä! Oikeaoppisista suojauksista ja verkon segmentoinneista (ulko-, sisä- ja prosessiverkkoihin) huolimatta taitava hyökkääjä saattaa päästä Internetistä aina prosessiverkkoon tai muihin suojattaviin kohteisiin saakka. 
Järjestelmien tietoturvassa voidaan oppia paljon IT-maailman kokemuksista ja alan parhaista käytännöistä. Silti kaikkia tuttuja suojauskeinoja ei voida käyttää automaatioympäristössä. Näiden järjestelmien, ja sitä myötä koko yhteiskunnan kriittisten toimintojen, suojaaminen vaatii uudentyyppistä osaamista. Perinteinen IT-maailman lähestymistapa tietoturvaan ei yksin riitä, se on kyettävä yhdistämään syvälliseen automaatiojärjestelmien erityispiirteiden ymmärrykseen.
On hienoa, että tietoisuus näistä asioista kasvaa koko ajan. Tietysti voidaan sanoa, että asioista kertominen julkisesti voi lisätä hyökkäysyrityksiä. Kuitenkaan ”security through obscurity” ei ole vuosikausiin ollut vakuuttava perusta tietoturvan rakentamiselle. Kriittisen infrastruktuurin, automaatiojärjestelmien ja sähköverkkojen tietoturva-aspektit ovat tärkeitä ja kiinnostavia, ja niitä tullaan varmasti käsittelemään jatkossakin tässä blogissa. Stay tuned!

Edit: lisätty video.

lauantai 16. maaliskuuta 2013

Ex-KPMG tietoturva-asiantuntijat kunnostautuvat maailmalla



Olemme siitä onnellisessa asemassa, että meille hakeutuu töihin paljon päteviä tietoturva-ammattilaisia. Valitettavasti osa heistä myöskin vaihtaa uusiin haasteisiin. On kuitenkin hauskaa huomata, että he tekevät hienoja asioita myös KPMG:n tietoturvayhteisön ulkopuolella.

Esimerkiksi leikkimielisen Queen of KPMG Hacknet palkinnon aikanaan saanut Jon Butler sai vähän aikaa sitten hieman tuntuvamman tunnustuksen, kun hän kuittasi 100 000 dollaria Pwn2Own kilpailussa Chrome exploitillaan. Hyökkäyksessä Jon käytti hyväksi löytämäänsä ennestään tuntematonta haavoittuvuutta, jonka avulla oli mahdollista suorittaa komentoja järjestelmäoikeuksin Chromen hiekkalaatikon ulkopuolella. Samalla kierrettiin täysin Windows 7 käyttöjärjestelmän Windows anti-exploit "sandbox" suojaus. Hacknetissä Jon esitteli Heap Spraying tekniikoita ja näköjään työ on jatkunut myös KPMG:n ulkopuolella.


Myöskin KPMG Hacknetissä kunnostautunut Andy Davies puolestaan esitteli kannettavien tietokoneiden telakointiasemien hakkerointia Black Hat Europessa. Esitellyssä prototyypissä oli single-board Raspberry Pi laite, jossa ajettiin Wireshark ohjelmistoa.