Etsi

Hakkeri tulee, oletko valmis

Tilanne tänään

Meillä on vain kahdenlaisia yrityksiä: niitä, joiden tietojärjestelmään on hyökätty ja niitä, joiden tietojärjestelmään ei ole vielä hyökätty.

Tosiasia on, että tämän päivän ammattimaiset hakkerit tulevat läpi vahvimmastakin puolustuksesta ja tekevät tekosensa ja poistuvat haluamansa kanssa ... usein täysin huomaamatta. Taidokas hakkeri siivoaa vielä jälkensä, jolloin tapauksen tutkinta saattaa osoittautua täysin hyödyttömäksi. Onhan niin, että jo 80-luvun puolivälissä Julian Assange kirjasti hakkerin manifestiinsa suurin piirtein ensimmäisten pykälien joukkoon kehotuksen hävittää jälkensä ja varmistaa, ettei lokeihin jää tietoa käynnistä. Tällä tavoin voidaan samassa kohteessa käydä mahdollisesti vuosien ajan yhä uudelleen ja uudelleen ilman, että uhri on edes tietoinen näistä käynneistä.

No mitä sitten tänään yrityksistä halutaan. Jopa sillä kaikkein pienimmälläkin mikroyrittäjällä on tietojärjestelmissään tietoa, jota voidaan käyttää joko yrittäjää itseään tai hänen asiakaskuntaansa vastaan. Minimissään luottotiedoiltaan puhdas yritys on jo sellaisenaan arvokas taholle, joka vaikkapa rahanpesun järjestämiseksi tarvitsee bulvaaneja varojen alkuperän hävittämiseen.

Mikä siis eteen?

Pitäisikö tässä sitten nostaa kädet ylös ja antaa hakkerien mellastaa halunsa mukaan, vai onko jotakin, jota voidaan tehdä?

Kaiken avain on tietomurtoon varautuminen ja tapausten tutkinnassa tarvittavien tapahtumatietojen järjestelmällinen keruu tavalla, johon innokkainkaan hakkeri ei pääse väliin. Jotta kerätyllä aineistolla on merkitystä, tulee tallennus toteuttaa oikeasta kohtaa, jolloin tallenne pysyy todistamiskelpoisena. Tällainen tallennuspaikka löytyy ISO/OSI mallin tasojen kaksi ja kolme välistä. Koska taso kaksi on fyysisen point-to-point -yhteyden taso, edellytetään tällaiseen väliinpääsemiseksi pääsyä po. fyysisen kaapelin ääreen. Koko ISO/OSI -pakka toimii siten, että yhteydet alhaalta ylös onnistuvat, mutta ylemmältä tasolta ei pääse manipuloimaan alemman tason toimintaa.

Tämä on helppo ymmärtää, kun ajattelee tuota fyysistä kaapelia. Jotta saan tämän haltuuni, minun täytyisi päästä kaapelin luo ja jonkinlaisella "reppuselällä" tai vastaavalla vippaskonstilla asettua kaapelin päiden väliin, jolloin toistensa sijaan kaapelin päät näkevät sijoittamani man-in-the-middle -virityksen ja näin avautuu mahdollisuus manipuloidan liikennettä. Kuten on helppo ymmärtää, että tällainen toiminta jättää fyysiseen maailmaan tutkittavissa olevia todisteita ja kiinni jäämisen riski on suuri.

Osoitteellisen L3-tason osalta hakkerin tehtävä on paljon helpompi. Tällä tasolla riittää, että saa harhautettua datapaketit kulkemaan eri reittiä, kuin mikä oli tarkoitus ja tällaiseen harhauttamiseen on julkaistuna lukemattomia työkaluja ja menetelmiä.

Kun meillä on vaikkapa suojeltavan palvelimen edestä kaikki tietoliikenne tallessa, voidaan kyberhyökkäyksen menetelmä paljastaa ja etsiä juuri tähän hyökkäystyyppiin sopivat vastatoimet. Kun on mitä tutkia, ongelman juurisyy on löydettävissä.

Miksi tällainen toimii?

Kyberrikollisuus on maailmanlaajuisesti valtava teollisuuden ala omine darknet -rakenteineen, verkkokauppoineen ja kauppatapoineen. Rikollisjoukon rahoittaja kustantaa haitakkeiden suunnittelun ja toteuttamisen ja erillinen suorittava joukkue järjestää hyökkäykset ja vastaavat verkkotilausten pohjalta. Näin haitakkeiden suunnittelijat eivät juuri milloinkaan jää kiinni, kuten ei myöskään toiminnan rahoittajat. Vain suorittavan portaan toimijoilla on yleensä mahdollista jäädä kiinni.

Rahoittajan kustantama yksittäinen zeroday- tai nollapäivähaitake on rahan arvoista tavaraa aina siihen saakka, kunnes se on tunnistettu ja siihen sopivat vastatoimet on jaeltu tietoturvalaitteistojen päivityksinä. Näin se aika, joka kestää haitakkeen käytön aloittamisesta siihen, kun se on torjuttu on kyberrikoillisen cash-cow.

Jos tietoliikennettä tallentamalla päästään selvittämään hyökkäyksen yksityiskohdat ja valitsemaan vastatoimet, voidaan tätä cash-cow aikaa lyhentää merkittävästi. Viimeisimmän tiedon mukaan uusi hyökkäystapa on keskimäärin 200 päivää käytettävissä hyökkäyksiin ennen sen vastatoimien käynnistymistä. Jos tässä päästään tallenteen avulla siihen, että tuon sijaan oikeat vastatoimet saadaan käyttöön vaikkapa vain 30 päivän kuluessa, muodostuu tästä rahoittajalle 170 päivän lovi haitakkeen ansaintamahdollisuuksiin. Tämä vähentää haitakkeella rikollisjärjestöön valuvan rahan määrää, joka puolestaan aikaa päälle heikentää haitakkeiden suunnittelun  laatua, jne. Positiivinen  spiraali toiminnan kannattamattomaksi saattamisessa on valmis.

Mitenkäs teillä on varauduttu tilanteeseen, jossa hakkeri on vieraillut verkossanne?

Pirkkalan Yrittäjien näkökulmia

Aki Pitkäjärvi
Aki Pitkäjärvi

Kirjoittaja toimii Pirkkalan Yrittäjät ry:n varapuheenjohtajana sekä verkkoviestinnästä vastaavana hallituksen jäsenenä.

Viimeisimmät kirjoitukset tässä blogissa

Näsimentor

OP

Radikaal Group

Rengas Center

Finanssi

Sunet

Tuki

Yrityshaku

Facebook

Liity

Suomen Yrittäjät

neuvontapalvelu