Pirullisen helppo palvelunestohyökkäys

Vii­me päi­vi­nä on uu­ti­soi­tu pal­ve­lun­es­to­hyök­käyk­sis­tä niin suo­ma­lai­sia verk­ko­pank­ke­ja kuin iso­ja pe­li­pal­ve­lu­ja vas­taan. DDoS on help­po ja hal­pa hyök­kää­jäl­le, mut­ta vai­kea pa­la uh­ril­le.Kuva: felixtriller.de: Networking Switch. c b 2.0

Jouluna monet yrittivät päästä uudella Sonyn tai Microsoftin valmistamalla pelikonsolillaan pelaamaan Internetissä, mutta Lizard Squad -niminen joukko oli tehnyt yhdistämisen mahdottomaksi. Lizard Squadin käyttämää, teknisesti varsin simppeliä, kikkaa kutsutaan hajautetuksi palvelunestohyökkäykseksi (Distributed Denial of Service, DDoS). Samanlaisten hyökkäysten kohteena ovat viime päivinä olleet myös monet suomalaisten käyttämät verkkopankit, viimeisimpänä Danske Bank1.

Palvelunestohyökkäys on onnistuessaan varsin näkyvä, sillä se nimensä mukaisesti estää pääsyn johonkin verkkopalveluun, kuten verkkopankkiin, sen oikeilta käyttäjiltä. Toisin kuin iltapäivälehdissä maalaillaan, viime päivien hyökkäysten takaa tuskin löytyy ammattirikollisia saatikka valtiollisia toimijoita. Näyttävyydestään huolimatta suurienkin verkkopalvelujen kaataminen onnistuu yksittäiseltä harrastelijaltakin.

Miten palvelunestohyökkäys toimii

Tavallisessa palvelunestohyökkäyksessä ideana on, että hyökkääjä tavalla tai toisella ottaa käyttöönsä mahdollisimman paljon jotakin uhrin rajallista resurssia, yleensä Internet-kaistaa. Tällöin resurssia ei riitä palvelun varsinaisille käyttäjille, jolloin he eivät voi asioitaan luonnollisestikaan hoitaa. Hyökkäystä kuvataan usein vertaamalla sitä siihen, että hyökkääjä seisoisi ruokakaupan oven edessä, estäen asiakkaita pääsemästä ostoksille. Tällaiset hyökkäykset ovat helposti torjuttavissa estämällä hyökkäjän pääsy palveluun.

Hajautetussa palvelunestossa hyökkääjän käytössä on useita laitteita ja yhteyksiä, jolloin liikennemäärä on suurempi eikä yksittäisen yhteyden estäminen vaikuta juurikaan. Tavallisesti laitteet ovat saastuneita tietokoneita ympäri maailmaa, ja hyökkääjä voi komentaa näitä käymään jonkin sivuston kimppuun. Kauppavertauskuvassa hyökkääjä komentaa käskyvallassaan olevia satoja zombeja marssimaan kauppaan ja näin estämään tavallisten asiakkaiden sisäänpääsyn. Kauppiaan on kuitenkin vaikeaa erottaa zombeja maksavista asiakkaista, eikä kävijöitä voi alkaa mielivaltaisestikaan käännyttämään.

Saastuneista koneista koostuvat bottiverkot voivat olla hyvin suuriakin, jopa miljoonien koneiden laajuisia. Tällaiset verkot pystyvät aiheuttamaan liikennettä kymmeniä, jopa satoja gigabittejä2 sekunnissa. Vertailun vuoksi Suomen suurimman Internet-solmupisteen FICIX:in kautta kulkee keskimäärin noin 24 gigabittiä liikennettä sekunnissa suuntaansa. Yleensä bottiverkot toki ovat pienempiä, eikä koko verkkoa välttämättä valjasteta yksittäisen kohteen pommittamiseen.

Kuinka hyökkäys tehdään

Ensimmäisenä tarvitaan syy hyökätä, eli hyökkäyksen kohde. Pelipalveluja vastaan hyökännyt Lizard Squad on kertonut omaksi motivaatiokseen osoittaa palvelujen haavoittuvuuden. Verkkopankkihyökkäyksissä tarkoituksena saattaa olla rahan kiristäminen uhrilta3. Poliittiset ja jopa sotilaallisetkin tarkoitukset ovat myös mahdollisia, vaikka viime aikojen hyökkäyksissä näistä tuskin on ollut kyse.

Seuraavaksi hankitaan aseistus: jos taidot tai motivaatio eivät riitä oman bottiverkon kyhäämiseen, on sellaisia myös vuokrattavissa verkon pimeältä puolelta. Jotkin tahot myyvät jopa suoranaista palvelunestohyökkäyspalvelua, jolloin inhokkisivuston kaataminen ei vaadi niinkään teknistä osaamista kuin kukkaronnyörien hellittämistä. Hinta vaihtelee hyökkäyksen tehon ja keston mukaan, ja nyt nähnyjen verkkopankkihyökkäysten hinnaksi arvioisin noin tuhatta euroa4 per päivä.

Sitten poistetaan varmistin ja annetaan soida. Iskun aikana hyökkääjä voi käytännössä nojata taaksepäin ja ihailla aikaansaannostaan. Hyökkäystä voidaan jatkaa periaatteessa loputtomasti ilman suurempaa vaivannäköä.

Hyökkäyksen torjuminen

Hajautettu palvelunestohyökkäys on niin kutsuttu raa’an voiman hyökkäys, eikä siltä ole kovinkaan helppoa suojautua. Joskus saattaa riittää, että uhri hankkii niin paljon lisää Internet-kaistaa, että hyökkäyksen teho ei riitä haittaamaan palvelua, mutta riittävän paksun nettiletkun hankkiminen käy jossain vaiheessa joko taloudellisesti tai teknisesti mahdottomaksi.

Aivan alkeellisimmissa hyökkäyksissä on mahdollista tunnistaa haitallinen liikenne ja suodattaa se pois, mutta mitä taitavampi ja tehokkaampi isku on, sitä vaikeammaksi suodattaminenkin käy. Suodattamisessa on myös haittansa: Esimerkiksi Osuuspankki on torjunut hyökkäystä suodattamalla Suomen ulkopuolelta tulevaa Internet-liikennettä5, ja näin saanut kotimaassa verkkopankin toimimaan. Sen sijaan pankin ulkomailla olevat asiakkaat ovat pulassa, kun suodatusjärjestelmä estää myös heidän pääsynsä palveluihin.

Varmuudella hyökkäys saadaan loppumaan vain hyökkääjä eliminoimalla, mutta tämä on yleensä varsin vaikeaa kahdesta syystä. Ensinnäkin varsinaisen hyökkääjän jäljille on hankalaa päästä, sillä liikennettä generoivat zombikoneet eivät kerro, kuka niitä komentaa. Toisekseen hajautetun luonteensa takia bottiverkkojen pysäyttäminen vaatii huomattavia resursseja ja kansainvälistä yhteistyötä. Monet suuret verkot ovat toimineet jopa vuosia, vaikka viranomaiset ja muut toimijat ympäri maailman ovat olleet niiden kimpussa.

Merkitys tulevaisuudessa

Uskon, että vastaavanlaisia hajautettuja palvelunestohyökkäyksiä tullaan näkemään jatkossa tihenevään tahtiin ja entistä kriittisempiin kohteisiin. Vaikka vahinkojen käsinkosketeltavuus kasvaa, on trendillä myös hyväkin puoli: yritykset, päättäjät ja ihmiset ylipäätään saavat konkreettisen todistuksen suuren ja mahtavan Internetin haavoittuvuudesta, jopa kuolevaisuudesta.

Se lyhyt kausi, kun Internet-palvelu riittää itsessään, on tulossa päätökseen. Tulevaisuudessa palvelu kuin palvelu on rakennettava siten, että toiminta pystyy jatkumaan myös netittömyyden aikana. Ironista kyllä, kuivimmin jaloin tulevat kävelemään ne, jotka ovat tähänkin asti laahanneet kehityksen perässä.


1) Kirjoituksen julkaisuhetkellä Danske Bank ei ole kertonut syytä verkkopankkinsa toimintahäiriöön.
2) Joidenkin verkkojen väitetään pääsevän jopa terabittien hyökkäystehoon, mutta luotettavaa vahvistusta asiaan en löytänyt.
3) Kiristysviestejä on julkaistu mm. pankkien Facebook-sivuilla, mutta ei ole varmaa, että viestien ja hyökkäysten takana olisi sama taho.
4) Ainakin ne sivustot, jotka nopeasti löysin, halusivat maksunsa Bitcoineina. Euromääräinen arvio on tehty kurssilla 1 BTC = 200 EUR.
5) Keino on sinänsä varsin hyvä, sillä haittaliikenne tulee suurimmaksi osaksi ulkomailta.

4 thoughts on “Pirullisen helppo palvelunestohyökkäys”

  1. @Anonyymi:

    Artikkeli hävisi luonnoskansioon. Tällä hetkellä aikani ei riitä kotiteatterin kanssa taisteluun, ja nykymuodossaan artikkeli antaisi virheellisen kuvan valmistajan osallisuudesta.

    Palautan artikkelin, sopivasti muokattuna, luettavaksi, kunhan löydän jostain aikaa ja muita resursseja asian jatkoselvittelyä varten.

    1. Hyvä kuulla 🙂 Toivottavasti aikaa ja intoa kirjoittelulle riittää jatkossakin. Kriittinen näkökulmasi on tällä alalla mielestäni tervettullutta vaihtelua ainaisen "hypetyksen" keskelle.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.