Tietoturva nyt

Useat uutissivustot ovat joutuneet palvelunestohyökkäysten uhriksi joulupäivän jälkeen. Hyökkäyksissä on käytetty väärennettyjä lähdeosoitteita. Hyökkäysliikenne on saapunut Suomeen ulkomaisen operaattorin kautta. 

Tähän astisissa palvelunestohyökkäyksissä on ollut yhdistäviä piirteitä, joiden perusteella on mahdollista arvioida niiden olevan saman tekijän aikaansaannoksia. Erityisesti valittu hyökkäystekniikka ja hyökkäyksissä nähdyt liikennemäärät ovat olleet samankaltaisia kohteesta toiseen. Kohteena ovat olleet ainakin Ilta-Sanomien, Iltalehden, Nelosen, MTV3:n, YLE:n ja Nelosen uutissivustot sekä viimeksi uutispalvelu Ampparit.com. Sen sijaan Elisan ja suomalaisten lentokenttien lähtöselvityksen tietoliikenneongelmat eivät johtuneet palvelunestohyökkäyksestä. 

Hyökkäystekniikalle on tunnusomaista se, että hyökkäysliikenteen lähdeosoitteet ovat väärennettyjä. Kohdeverkon tilatietoisia verkkolaitteita pyritään kuormittamaan yli niiden suorityskyvyn avaamalla suuri määrä yhteyksiä samaan aikaan. Tällaisia laitteita ovat esimerkiksi palomuurit. Lisäksi kohteeseen suunnatut liikennemäärät ovat olleet enimmillään suurempia kuin kohdeverkkojen tietoliikenneyhteyden kapasiteetti. Kuluvan päivän aikana on Viestintävirastolle raportoitu myös palvelunestohyökkäysyrityksistä, jotka hyödyntävät nimipalvelujärjestelmiä.

CERT-FI on toimittanut yksilöivämpiä tietoja hyökkäysliikenteestä suomalaisille teleyrityksille, ICT-palveluntarjoajille ja huoltovarmuuskriittisille organisaatioille, jotta nämä pystyisivät suojaamaan omat verkkonsa ja tehostamaan hyökkäysyritysten havainnointia. Kaikkia asianomistajia on kehotettu tekemään poliisille rikosilmoitus.
Väärennettyjä lähdeosoitteita sisältävien yhteyksien suodattamisesta

Väärennettyjä osoitteita voidaan käyttää palvelunestohyökkäyksissä silloin, kun palvelunestohyökkäyksen tekijän internetoperaattori ei tee lähdeosoitteiden tarkistusta verkostaan lähtevälle liikenteelle. IETF:n Best Current Practices -dokumentit BCP 84 (RFC 3704) ja BCP 38 (RFC 2827) kuvaavat parhaita käytäntöjä lähdeosoitteiden väärentämisen estämiseksi. MIT ANA Spoofer -projektin julkaisemien tilastojen mukaan yli 80 % operaattoreista on ottanut käyttöön suositellut suodatukset. 

Suomalaisilla teleyrityksillä on oltava prosessit sekä tekninen valmius verkkoon kohdistuvan haitallisen liikenteen suodatukseen. Velvoite perustuu Viestintäviraston määräykseen 13 B/2011 M, tarkemmin sen 6 §:ään. Lisäksi saman määräyksen 7 §:n mukaan teleyrityksen on suodatettava asiakasliittymästään lähtevä tietoliikenne, jonka lähdeosoitteena on jokin muu kuin asiakasliittymälle osoitetut osoitteet.

Lähde: Viestintävirasto