https://www.popvakuutus.fi/asiakaspalvelu/yhteistyokumppaneiden-edut?utm_source=autostadium&utm_medium=banner&utm_campaign=autovakuutus_autostadium_jatkuva&utm_content=autovakuutus_0418

Palomuurit ja muu suojautuminen internet-hyökkäyksiltä

P

pokkus

Vieras
Voisi tuo OP saada pikkuhiljaa tuon verkkopankkinsa kuntoon... Nämä on aina vähän sellaisia, että onkohan kaikki tili- ja velkatiedot varmasti oikein kun verkkopankki saadaan taas pystyyn...
 
pokkus sanoi:
Voisi tuo OP saada pikkuhiljaa tuon verkkopankkinsa kuntoon... Nämä on aina vähän sellaisia, että onkohan kaikki tili- ja velkatiedot varmasti oikein kun verkkopankki saadaan taas pystyyn...
Ja mä olen täällä monta päivää ihmetellyt, että mikä siellä muka mättää. Mulla kaikki on toiminut normaalisti. Ainakin niinä hetkinä kun olen pankissa käynyt. Mutta tili- ym. tiedot on sullakin varmasti OK. Eiköhän noissa ole varmistuksen varmistuksen varmistukset päällä.
 
Eikös tuo ole ollut vain DoS-hyökkäys? Ei sellaisella tilitiedot tai muutkaan vaarannu mitenkään. "Linjat" vain menevät tukkoon.
 
RoccoScientist sanoi:
Eikös tuo ole ollut vain DoS-hyökkäys? Ei sellaisella tilitiedot tai muutkaan vaarannu mitenkään. "Linjat" vain menevät tukkoon.

Jep, joku porukka todennäköisesti yrittää kiristää pankilta rahaa, mutta pankki ei suostu maksamaan. Tätähän ei tietysti missään kerrota... mutta joku muu motivaatio täytyy olla kuin kiusanteko kun juuri pankki on valittu kohteeksi.
 
Sande sanoi:
Jep, joku porukka todennäköisesti yrittää kiristää pankilta rahaa, mutta pankki ei suostu maksamaan. Tätähän ei tietysti missään kerrota... mutta joku muu motivaatio täytyy olla kuin kiusanteko kun juuri pankki on valittu kohteeksi.

Muistaakseni OP on maininnut asiasta. Tosin ei tiedetty onko uhkaus todellinen.
 
Jep,  Dos tai DDos hyökkäyksellä viitataan nimenomaan palvelunestohyökkäykseen. Tosin hyökkäykset eivät (kuten tällä kertaa) aina välttämättä täytä verkon kapasiteettia, vaan saattavat esim. hitaasti kuluttaa palvelim(i)en tai muun ketjussa olevan komponentin resurssit loppuun. Näin voidaan tehdä esim. avaamalla merkittävä määrä yhteysyrityksiä palveluun ja jättämällä sitten yhteyden avaaminen puolitiehen, jolloin palvelin jää odottamaan "kättelyn" jatkumista jne jne jne.

Nämä hyökkäykset eivät yksinään vaaranna kenenkään tietoja, mutta niitä voidaan käyttää kätkemään vaikka varsinainen tietojen keruuseen tähtäävä toinen samanaikainen hyökkäys. Eli aiheutetaan vahinkoa Dos:lla jolloin puolustava osapuoli ohjaa resurssit sen torjuntaan -> samaan aikaan muut osat palvelusta saavat vähemmän huomiota ja niiden kimppuun voidaan hyökätä vapaammin.

Tietoturva on melkoista kissa vs. hiiri leikkiä nykyisin. Ja samaan syssyyn haittaliikenteen erottaminen oikeasta on myös vaikeaa, koska palvelua voidaan kuormittaa myös oikealla/sallitulla liikenteellä esim. ohjaamalla tuhansia kaapattuja tietokoneita vaan avaamaan selainyhteys samaan aikaan ko. palveluun. Miten tunnistat aidot asiakkaat vs. pahikset? Monasti aloitetaan sulkemalla ulkomaiset yhteydet pois jne jne.

Mutta joo, ei ole kivaa ja etenkin kun nyt epäillään suomalaisten pentujen olevan asialla.

//Juha
 
^Ja valitettavan usein yritykset heräävät vasta siinä vaiheessa, kun kikkareet ovat osuneet jo tuulettimeen tai köntsät on housussa. Työkaluja ja ratkaisuja näiden torjumiseen olisi. Toki on myös huonoja sellaisia, joilla ei tee käytännössä mitään.
 
sku sanoi:
^Ja valitettavan usein yritykset heräävät vasta siinä vaiheessa, kun kikkareet ovat osuneet jo tuulettimeen tai köntsät on housussa. Työkaluja ja ratkaisuja näiden torjumiseen olisi. Toki on myös huonoja sellaisia, joilla ei tee käytännössä mitään.

Palvelunestohyökkäyksien estäminen ei ole kovinkaan helppoa. Kenties helpoin tapa on ylimitoittaa palvelu... mutta se on aika kallis tapa. Vastaavalla hyökkäyksellä joitakin vuosia sitten ajettiin pari Internetin Root Serveriä kyykkyyn. Jos puolustautuminen olisi helppoa, näin ei olisi käynyt.
 
Vähän riippuu hyökkäyksestä. Mutta esim. Arbor Networksilla on noiden estoon hyvät työkalut enterprise reunalla.. toki sitten suotavaa olla oikea uplink provideri joka pystyy tarjoamaan Arborin Pravail APS:lle sopivaa automaattista käden jatketta, jos reunalla alkaa kaista ahdistaa. Suomessa isot operaattorit käyttää kaikki Arboria verkoissaan, mutta yksikään ei ole tuota cloud-jatketta siihen vielä tuotteistanut.

Ongelma on osin siinä, että nuo laitteet ovat pirun kalliita ja investointi pitää tehdä etukäteen eli ostat tavallaan helv*tin kalliin vakuutuksen.

//Juha
 
Ymmärsinkö oikein, että tuossa OP:n tapauksessa kyseessä olisi joku suomalaisporukka? Kumma homma kyllä...
 
^^ Tunnut tietävän tekniikasta, mutta voitko valottaa jos hyökättävään kohteeseen lähetetään vaikkapa miljoona yhtäaikaista html-sivun pyyntöä, kuinka erotetaan oikeat pyydöt "vääristä"?

Operaattori voi tietysti alkaa suodattamaan IP:n perusteella pois ulkomaalaista liikennettä ja keventää näin kuormaa ja serverihotellin ylläpito voi valjastaa lisää laskutehoa edustalle jos hyökkäys pitkittyy.
 
Sande sanoi:
^^ Tunnut tietävän tekniikasta, mutta voitko valottaa jos hyökättävään kohteeseen lähetetään vaikkapa miljoona yhtäaikaista html-sivun pyyntöä, kuinka erotetaan oikeat pyydöt "vääristä"?

Eikö toisaalta ole niin, että vastauksia tällaisiin "miten estät"-kysymyksiin ei kannata julkisesti esittää? ;)

pokkus sanoi:
Ymmärsinkö oikein, että tuossa OP:n tapauksessa kyseessä olisi joku suomalaisporukka? Kumma homma kyllä...

Ainakin F-Securen Hyppösen mukaan näin on: http://www.iltalehti.fi/uutiset/2015010418972557_uu.shtml

Motiiveista ei tosiaan tiedä, mutta eihän näihin periaatteessa tarvitse muuta motiivia kuin "koska voitiin". Vallantunne on varmaan ihan kiva, kun pistää kokonaisen pankin nettipuolen juntturaan kaappaamiensa koneiden avulla. Lisäksi vaikka tämä nyt on varmasti aiheuttanut kaikenlaista harmia käyttäjille, on tästä ilmeisesti ollut se hyöty, että nyt tiedetään OP:n lyöneen ilmeisesti laimin automaattien pitämisen erossa netistä:

'Hyppöstä ihmetyttää se, että OP:ta kohtaan tehty hyökkäys on levinnyt myös internetin ulkopuolelle.

"Miten ihmeessä pankkiautomaateillakin on ollut ongelmia?" Hyppönen kysyy.

Hänen mukaansa hyökkäykset osoittavat, ettei pankkiautomaattiverkkoa ole eriytetty riittävän hyvin internetistä.'

http://www.hs.fi/kotimaa/a1420177663687?ref=hs-art-artikkeli
 
Sande sanoi:
^^ Tunnut tietävän tekniikasta, mutta voitko valottaa jos hyökättävään kohteeseen lähetetään vaikkapa miljoona yhtäaikaista html-sivun pyyntöä, kuinka erotetaan oikeat pyydöt "vääristä"?

Operaattori voi tietysti alkaa suodattamaan IP:n perusteella pois ulkomaalaista liikennettä ja keventää näin kuormaa ja serverihotellin ylläpito voi valjastaa lisää laskutehoa edustalle jos hyökkäys pitkittyy.

Joo,  tietoliikenne on ollut ammattina rapiat 13 vuotta ja pääosa siitä teknisenä asiantuntijana. Syksyllä siirryin myynnin puolelle, mutta edelliset 4 vuotta meni nimenomaan tietoturvan puolella asiantuntijana erilaisia palomuureja, ddos-suojaa yms laitteita maahantuovassa yrityksessä. Ja siinä hommassa tuli sertifioitua itsensä noihin osaajaksi jne..

Mutta itse tekniikkaan.. tietysti syvintä teknistä ydintä valmistajat eivät kerro, se kun on koko homman ydin. Mutta aika moni valmistaja kerää havaituista hyökkäyksistä IP:t talteen ja raportoi ne omaan pilvipalveluun. Tästä muodostetaan tietokanta joka pusketaan sitten muiden laitteisiin. Tuo toimii ensimmäisenä karkeana filtterinä.

Lisäksi liikenteelle tehdään esim. lennossa pakettianalyysia jolla pyritään tunnistamaan sovellustason hyökkäyksiä etsimällä tietynlaisia rakenteita liikennevirrasta. Tässä erottaudutaan normaalista IPS-toiminteesta siinä, että ns. paikallisesti suoritettavat uhat ei kiinnosta vaan etsitään pelkästään verkon avulla aiheutettavia ongelmia.

Liikenteestä kerätään myös statistiikkaa, jolloin palvelimen/palvelun kuorman kasvaessa esim. vaikka 70% kuluneen 30sek aikana aletaan liikennettä rajoittaa, koska kyseessä on tod.näk. hyökkäys. Prosentit ja aikamääre on säädettävissä palvelukohtaisesti.

Samaten seurataan myös muodostuvia yhteyksiä/yhteysyrityksiä palveluun. Jos yhtyeksiä alkaa jäämään vajaaksi ja niiden vajaana olevien kestoa pitkitetään lähettämällä pitkillä aikaväleillä yksittäisiä paketteja (pyritään siis varaamaan palvelun koko tilataulu), niin se havaitaan ja nämä yhteydet katkotaan.

Tuossa nyt muutamia esimerkkejä siitä, mitä moderni DDos-suojain tekee. Lisäksi on lukuisia muita paljon monimutkaisempia tekniikoita mitä tuohon liittyy.

Hauska puoli tuossa on muuten se, että monasti nuo hyökkäykset eivät enää kohdistu itse palveluun. Palvelimissa ja kuormantasaajissa kun voi olla mielettömästi voimaa. Sen sijaan esimerkiksi palomuureista loppuu tilataulut paljon nopeammin kesken, koska niissä on muutenkin jo koko yrityksen ja ehkä useiden palveluiden taulut seurattavana. Kohtuullisen isonkin muurin muutaman miljoonan yhteyden kokoinen tilataulu on suhteellisen nopea saada täyteen ja samalla laittaa muurilta kuppi nurin. Siinä on sitten koko verkko alhaalla.

Asioista kertomisen suhteen, niin periaatteessa ei kannata hiiskua noista. Mutta tuo lähinnä yksittäisen yrityksen kannalta.. eli mitä harvempi tietää mitä laitteita verkossa on, sen parempi. Yleisenä keskusteluna esim. tällaisella viestillä ei ole turvan kannalta merkitystä.

Teinipennut jotka tajuamatta tekojaan noita palveluita kaatavat eivät tästä hyötyneet mitään. Yllä olevan ohjalta eivät osaa yrittää mitään muuta. Monasti nämä etsivät internetin valmiilta foorumeilta työkaluja joilla rakentavat oman hyökköysverkon ja sitten alkavat räiskiä. Tosin eivät ymmärrä, että monasti ko. verkot ovat sitten heidän tietämättään myös työkalut jakaneen henkilön käytössä. Ei kukaan niitä kilkuttimia huvikseen jaa :)

Sitten taas kokeneet ja pätevät hakkerit osasto on toinen juttu. Kyseiset tyypit tietävät asioista niin paljon, että lähinnä nauraisivat minun pienille sepostuksilleni. Tällainen nopea yleistys ei tarjoa ko. tyypeille yhtään mitään uutta.

Tietoturvassa on oikeasti paljonkyse prosesseista, siitä ettei suututa vääriä tahoja verkossa tai muuten omilla toimillaan sekä siitä, että on yksinkertaisesti vaikeampi kohde kuin valtaosa muista yrityksistä. Kyllä nuo sikailijatkin mieluummin valitsevat sen helpomman kohteen kuin vaikean. Jos taas osaava taho päättää juuri sinun verkkosi "korkata", niin riippumatta siitä mitä suojauksia on paikalla se todennäköisesti onnistuu jos hyökkääjällä on tarpeeksi resursseja (esim. valtiolliset toimijat).

Herra Hyppösestä muuten.. kaverilla toki on kovaa tietämystä alalta ja aikanaan ollutkin varmati ihan huippuosaaja. Mutta miehen rooli on jo vuosia ollut eräänlaisen evankelistan tontti, joten käytännön tekemisestä heppu on jo aika pahasti irtautunut.. valitettavasti tuo paistaa välillä pahasti läpi. Samaten usein tuntuu näissä isommissa jutuissa, että F-Secure saattaa olla mukana selvittämässä noita keissejä, jolloin Henkka tekee peliliikkeitä ja ohjaa huomiota haluttuun suuntaan. Eli kannattaa nielaista herran kommentit varustettuna ripauksella suolaa..

//Juha
 
Joo, useinhan näissä on takana jotkut suuremmat asiat. Joko testataan tekniikkaa isompaa rysäystä varten tai sitten aiheutetaan hämminkiä, jonka suojissa sitten voidaan tehdä muita juttuja. Vähän kuin jos pankin konttorin eteen järjestäisi mielenosoituksen ja samaan aikaan sitten takaoven kautta tyhjentäisi holvin, kun kaikki olisivat etuovella vartioimassa, ettei huligaanit tule sisään.

Palvelunestohyökkäyksiä ei voida käytännössä estää koskaan täydellisesti. Ei nyt eikä tulevaisuudessa, niin kauan kun joku palvelu on verkossa. Jos varsinainen palvelu olisikin betonoitu, niin voidaan sitten tappaa vaikka nimipalvelu. Eikä noita palveluita ikinä saada 100% aukottomiksi. Pankkien ja vakuutusyhtiöiden järjestelmät ovat sellaisia heinähäkkejä, että menee vielä 100 vuotta ennen kuin ne on tässä päivässä (2010-luvulla). Siellä on vielä käsittämätön määrä 70- ja 80- luvun koodia, jossa ei intterentin ddossesista tiedetä mitään.

Hyppösestä samaa mieltä... ja koko F-Securesta. Ihme että se on noinkin hyvin pärjännyt. Työasemien vakiointeja kun olen ollut tekemässä useammallekin isolle firmalle, niin aina oli kauhistus, jos asiakkaan virustorjunta oli F-Secure. Sitä ei ikinä tahdottu saada kunnolla konffattua tai etähallittua. Tilanne voi tänä päivänä olla toinen, mutta vielä 5-6 vuotta sitten homma oli aika lailla näin.
 
Ajatellaanpa asiaa ns. tavallista tietokoneen käyttäjän kannalta, joka ei ymmärrä tekniikasta muuta kuin, että käyttöjärjestelmää pitää päivittää ja virustorjunta-/palomuuriohjelma (versiota "Internet Security" ) täytyy pitää olla ajan tasalla. Miten hän voi em. perusasioiden olettamastaan kunnossa olosta huolimatta varmistaa, ettei hänen tietokoneeseensa kaikesta huolimatta ole murtauduttu ja mahdollisesti käytetä sitä palvelunestohyökkäyksen apuvälineenä?
 
^Eipä oikeastaan mitään muuta. Tuollainen palvelunestohyökkäyksissä käytetty softa voi tarttua lähes mistä tahansa. Ei tarvitse käydä edes missään "aikuisviihdesivulla".

Jos oma kona alkaa tuntumaan tahmaiselta ja eritoten jos verkkoliikennettä alkaa olemaan epäilyttävän paljon, niin kone pitäisi sitten skannata erikseen. Toisaalta mikä on "epäilyttävää" ja huomaako sitä, onkin jo toinen juttu. Ensinnäkin nämä ohjelmat osaavat piilottaa itsensä aika hyvin ja liikennettäkin pitäisi analysoida sieltä DSL-modeemin päästä. Toisekseen se saastunut komponentti voikin olla se modeemi, joka on hyökkääjän kannalta vielä parempi kohde.

Josta päästään siihen, että ne modeemien hallintasalasanat on syytä vaihtaa, eikä käyttää sitä oletusta. Joka yleensä on "admin". Ja DSL-modeemista voi myös estää hallintasoftaan pääsyn WAN-portista, jollei ole pakonomaista tarvetta hallita omaa modeemiaan internetin yli.
 
Joo, ikävä kyllä kotikäyttäjän taistelumahdollisuudet on aika pienet. Tärkeimmät on pitää ne palomuurit ja virustutkat jne ajantasalla sekä se ettei käyttäisi konetta pääkäyttäjänä.

Toki väärillä sivuilla mörhöilyä on myös syytä välttää. Jos aikuisviihdettä tai muuta vastaavaa haluaa selailla, kannattaisi sitä varten olla erillinen kone mitä ei pidä verkossa samaan aikaan muiden koneiden kanssa. Näin mahdolliset vahingot rajautuvat koneeseen millä ei ole muuta käyttöä.

//Juha
 
Juhalta asiantuntevaa tekstiä. Näinhän se menee. En tiedä miten esim. tässä tapauksessa palvelutoimittajan infra on toteutettu. Vähän vaikuttaa siltä, että kaikki ei ole nyt niin kuin pitäisi. Jos ei ole kunnon työkaluja, niin helvetin vaikeeta se ddos:n torjuminen/estäminen on.
 
Entäpä, jos tietokoneen käyttöjärjestelmä on Windowsin asemesta vaikkapa Linux Ubuntu, jonka melkein jokainen tavallinen käyttäjä kykenee nykyisin asentamaan vanhaan tietokoneeseensa. Siihen ei liene tarvetta asentaa mitään virustorjuntaohjelmaa ja miten mahtaa olla sen palomuurin laita tai tilanne perusasennuksen jälkeen? Onko laite turvallinen "sinällään" mitään erikoisempia lisäasetuksia? Uskaltaako sillä käyttää huoletta nettipankkia?
 
Op:n palvelimet on Tiedolla. Veikkaan, että fyysisesti pk-seudun viidessä konesalissa hajautettuina. Niihin (konesaleihin) tulee internet-yhteydet ainakin kahdelta ISP:ltä. Mutta tarpeeksi kun pommittaa, niin meneehän se kyykkyyn.

Sitten toinen juttu on se, että kuinka paljon noissa teknisissä toteutuksissa on varauduttu laajamittaiseen DOS-hyökkäykseen. Täällä eletään vähän (tai aika paljon) lintukodossa: ei meillä tämmöstä tapahdu. Ihan sama kuin silloin kun Estonia upposi. Siljalta tms. kysyttiin, että onko tällainen mahdollista Suomessa. Ja siihen varustamon edustaja sanomaan että ei. Miten niin ei? Jos laivaan tulee keulaportin täydeltä vettä, niin kyllä se uppoaa, vaikka olisi perässä Ruotsin lippu.

Ja ennen kuin tässä aletaan Tietoa haukkumaan (vaikka kilpailija onkin), niin pitää muistaa että palveluntarjoaja tuottaa sitä palvelua mistä on sovittu sovitulla hinnalla. Jos halutaan jotain muuta, pitää asiakkaan se ostaa ja tilata. Ja maksaa.
 
Kyllä se Linuxikin tarvii jonkinverran huomiota tietoturvan suhteen. Suurin virhe on jättää järjestelmänvalvojien salasanat vaihtamatta, tai käyttää liian yksinkertaista/lyhyttä salasanaa. Linuxissa tapahtuu jonkinverran semmoisia asioita "konepellin alla" mitä ei helpon asennuksen vuoksi näytetä käyttäjälle. En tiedä onko esimerkiksi Ubuntussa mikä tilanne.

Oman koneen "näkyvyyden" netin ulkomaailmalle voi testata erilaisilla palveluilla netissä, jotka skannaavat onko koneesi näkyvillä miten internetiin ja siten alttiina erilaisille haitakkeille. Siltikin vaikka välissä olisi minkälainen kuluttajatason purkki tai wlanmodeemi, saadaan sekin kyykytettyä jos vain jollakulla nettikiusaajalla dos-hyökkyksen muodossa siihen on viitseliäisyyttä.
 
ConD ja mremonen ovat asialinjalla.

Tiedon suhteen siellä sattaa dos-suojaa tehdä tilatauluja ylläpitävät suojaimet eräältä Israelilaiselta toimijalta, jotka ovat lähes yhtä haavoittuvia kuin palomuuritkin...

Linuxin osalta se on jopa vaarallisempi osaamattomissa käsissä kuin winkkari.

//Juha
 
mremonen sanoi:
Palveluntarjoaja tuottaa sitä palvelua mistä on sovittu sovitulla hinnalla. Jos halutaan jotain muuta, pitää asiakkaan se ostaa ja tilata. Ja maksaa.

Tämä. Eihän me tommosta tarvita... Tai otetaan toi, kun se on halvempi.
 
Mediasta luettuna ja kuultuna palvelunestohyökkäykset tapahtuvat lukuisten internetissä olevien tietokoneiden avulla, mikäli koneisiin on saatu ujutettua "hyökkäysohjelma". Maallikkona tuntuisi siltä, ettei hyökkäysohjelma kuormita nimeksikään tietokoneen resursseja, koska se vain "roikkuu nettipankin ovella". Näin ollen puusta katsoen luulisi, että käynnissä olevaa hyökkäysohjelmaa on käyttäjän vaikea huomata?

Onko kyse siitä,  ettei tietokoneiden omistajat ota asiaa riittävällä vakavuudella ja päivitä koneensa käyttöjärjestelmää sekä virustorjunta-/palomuuriohjelmaa tai käyttävät kustannussyistä virustorjuntaan ilmaisohjelmia, jotka mahdollisesti eivät suojaa konetta riittävän hyvin? Sen seurauksena koneisiin asentuu haitakkeita ja lopputuloksen saamme lukea mediasta vaikkapa pankkien toimimattomuutena.
 
Ja tuo mremosen kommentti aikaisemmin. Monissa pankki-infroissa on semmosia rytöläjiä, että oksat pois. Ja minähän en nyt mistään mitään tiedä, mutta parin kymmenen vuoden IT-uralla arkkitehtinä toimineena voisi sanoa, että jos kaikki munat laitetaan yhteen koriin, niin ei välttämättä ole fiksu homma. Infran suunnittelu on aika epäonnistunut, jos myös pankkiautomaatit on saatu nurin tällä tavalla. Sitä ei oikeasti voi mikään muu selittää. Minulla on oma arvaukseni, mutta jääköön detaljit tuohon munien laittamiseen ja tietoliikenneongelmiin. Se kertoo itse asiassa jo aika paljon, jos otetaan Juhan aiempi kommentti huomioon.

Edit. Ja onhan tämäkin aika sairas suuntaus:

http://www.theguardian.com/technology/2014/dec/31/lizard-squad-ddos-service-playstation-xbox-lizardstresser