 |
Muut verkkotunnukset myös meidän kautta
22 04 2017
Hyökkäyspinta-alan rajoittaminen suojaa myös tuntemattomilta uhilta
tietoturvaTästä asiasta on tullut sen verran kyselyjä, että laitan hiukan taustoja.
T. Valvonta
Shadow Brokers -nimellä toimiva hakkeriryhmä julkaisi hiljattain lisää Yhdysvaltain NSA-viranomaiselta varastetuksi väitettyjä hyökkäysohjelmia ja dokumentteja. Hyökkäysohjelmien joukossa oli liuta työkaluja, joiden avulla pystyttiin hyökkäämään myös moderneja Windows-kohdejärjestelmiä vastaan.
Pian työkalujen julkaisun jälkeen mediassa esitettiin epäilyjä, että kyseessä olisi ns. nollapäivähaavoittuvuuksia hyväksikäyttäviä työkaluja, eli ohjelmistoja, jotka käyttävät ennalta tuntemattomia haavoittuvuuksia ohjelmistoissa niiden suojausten ohittamiseen. Microsoft kiirehti kuitenkin huomauttamaan, että ainakin Windows-ympäristösta työkalujen käyttämät haavoittuvuudet oli korjattu jo maaliskuun päivityspaketissa.
Ajan tasalla olevat Windows-käyttöjärjestelmät eivät siis ole haavoittuvia nyt julkisuuteen vuotaneille hyökkäysmenetelmille. Tapaus osoittaa jälleen kerran, että ohjelmistojen ajan tasalla pitäminen on äärimmäisen tärkeä keino suojautua verkosta saapuvia uhkia vastaan. Julkaisemalla kyseiset työkalut Shadow Brokers on käytännössä antanut kyseiset hyökkäyskeinot myös verkkorikollisten käyttöön, jolloin on selvää, että niiden käyttö laittomissa tarkoituksissa lisääntyy.
Ajantasaisten päivitysten asentaminen nopealla aikataululla on tärkeää nimenomaan siksi, että hyökkäyskeinojen ja niiden torjuntamenetelmien kehityssykli on nopea. Vanhentuneetkin järjestelmät paljastavat julkisesti haavoittuvaa hyökkäyspinta-alaa kuitenkin vain niiden palveluiden kautta, jotka on asetettu toimimaan internetin yli. Hyökkäyspinta-alaa voi rajata tehokaasti poistamalla käytöstä sellaisia verkkopalveluita, joita ei käytetä, tai asettamalla ne toimimaan vain lähiverkossa tai luotetun VPN-yhteyden ylitse. Hyökkäyspinta-alan rajoittaminen siten, että turhia palveluita ei paljasteta internetiin, on tärkeimpiä keinoja tietojärjestelmän koventamisessa. Shadow Brokers -ryhmän julkaisemat työkalut hyödynsivät muun muassa SMB-palvelun haavoittuvuuksia – estämällä pääsy järjestelmien SMB-palveluun internetin yli voidaan tehokkaasti torjua haavoittuvuuksien hyväksikäyttöä nimenomaan tässä palvelussa.
Tarpeettomien palveluiden sulkeminen suojaa hyökkäyksiltä
Palveluiden rajaaminen sisäverkkoon ei kuitenkaan estä täysin niiden hyväksikäyttöä, sillä hyökkääjä voi päästä kohdeverkkoon jotakin muuta kautta ja hyväksikäyttää haavoittuvia palveluita verkon sisällä ns. lateraaliin liikkumiseen. Siksi sellaiset palvelut, joita ei käytetä, on syytä sulkea myös sisäverkossa jos niille ei ole todellista tarvetta. Ylipäänsä sisäverkon suojaamisessa on hyvä käyttää vyöhykeperiaatetta, jossa eri tarpeita varten luodaan toisistaan erillisiä verkkosegmenttejä, joiden välillä sallitaan vain tarkoin määritelty liikenne. Sisäverkon liikennettäkin on syytä tarkkailla. Koko sisäverkon kohteleminen täysin luotettuna alueena antaa hyökkääjille vapaat kädet toimia reunasuojauksen ohittamisen jälkeen. Ajatus vahvasta reunasuojauksesta ja vapaasta sisäverkosta on auttamatta vanhentunut, sillä hyökkääjien ensimmäisiä askeleita verkkoon pääsyn jälkeen on selvittää verkon rakenne, siinä olevat palvelut ja luoda sillanpääasemia muille verkon järjestelmille käyttämällä hyväkseen sisäverkkoliikenteen korkeampaa luottamusta.
Verkkohyökkäysten kohdistuminen suoraan käyttäjään erilaisten tietojenkalastelu- ja huijaushyökkäysten kautta ei ole siirtänyt verkkorikollisten intressiä pois teknisten järjestelmien murtamisesta. Käyttäjien hyvän tietoturvatietoisuuden lisäksi on tärkeää suunnitella ja suojata verkkoresurssit riittävän varmalla tavalla ja pitää huoli siitä, että viimeisimmät tietoturva- ja ohjelmistopäivitykset asennetaan viipymättä. Järjestelmät, joita ei syystä tai toisesta voida joko päivittää, tai joiden päivityksessä on selkeitä viiveitä, tulee eristää siten ettei niiden murtaminen päästä hyökkääjää vapaasti temmeltämään koko sisäverkossa. Todennäköisyys siihen, että ilman esteitä ikääntyvä järjestelmä murretaan, lähestyy ajan kuluessa sataa prosenttia. Verkon rakenteesta ja tiedonkäsittelytavoista riippuu, kuinka suuren ongelman tämä verkon omistajalle aiheuttaa.
Lisätietoja:
- https://arstechnica.com/security/2017/04/purported-shadow-brokers-0days-were-in-fact-killed-by-mysterious-patch/
- https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/
- http://securityaffairs.co/wordpress/55454/hacking/smb-zero-day-exploit.html
Päivityshistoria
- 18.04.2017 klo 10:50Julkaistu
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.