Turvallisuutta kilpailemalla

Tietoturvan ja varsinkin teknisen tietoturvan alalla on harrastettu kilpailuhenkistä toimintaa kautta aikojen. Vaikka osa kilpailuista onkin suunnattu hyvinkin ammattimaisille toimijoille, on näistä kilpailuista ja haasteista sekä niiden metodeista opittavaa ja omaksuttavaa monella muullakin. Tässä blogikirjoituksessa käymme lyhyesti läpi muutamia tietoturva-alan kilpahenkisiä harrasteita ja niiden hyötyjä tietoturvan parantamisessa.

Haasteet / Puzzles

Yksinkertaisimmillaan haasteet ovat yksinkertaisia aivojumppia ja/tai raakaa "voimaa" tarvitsevia suhteellisen pieniä haasteita, joita on netti pullollaan. Tällaisista esimerkkejä ovat salasanojen murtaminen, sekoitetun koodin toiminnan selvittäminen, loogisen heikkouden löytäminen ja piilotetun tiedon löytäminen kuvatiedostoista. Yleensä pienempiä haasteita on useita ja ne yhdessä muodostavat kokonaisuuden. Tällaisesta on esimerkki hiljattain ratkennut Open Web Application Security Project -hankkeen (OWASP) kilpailu, josta lisää jäljempänä. Nixu on myös käyttänyt pienimuotoisia haasteita avuksi niin rekrytoinnissa kuin opiskelijatapahtuman ilmoittautumisessa.

Capture The Flag

Lipunryöstö lienee pelinä hyvinkin tuttu monelle lapsuudesta ja periaatteessa tietoturvamaailman CTF-kisa on hyvin samantyylinen. Monesti CTF:llä tarkoitetaan kilpailua, jossa tavoitteena on saada kohdejärjestelmästä haltuun etukäteen määritelty tiedosto tai vastaava (lippu, eli flag). Kilpailu voidaan käydä passiivista vastustajaa (järjestelmä) vastaan tai sitä voidaan pelata aktiivisena kilpailuna jossa useampi joukkue yrittää kaapata muiden lippuja (tai asettaa omia) ja samalla puolustaa omia järjestelmiään.

Red Team / Blue Team

Termit "keltainen valtio" tai "maaliosasto" lienevät tuttuja monelle armeijan käyneelle ja samalla omalla tavallaan synonyymejä punaiselle joukkueelle (Red Team). Punaisen joukkueen tarkoitus on muodostaa harjoituksessa mahdollisimman todenmukainen hyökkäys tai uhka kohdejärjestelmälle käyttämällä mahdollisimman autenttisia keinoja. Sinisen joukkueen (Blue Team) tehtävä on vastaavasti puolustaa omia järjestelmiään punaisia vastaan mahdollisimman tehokkaasti. Punaisen ja sinisen joukkueen tekemä harjoitus on tyypillisesti perinteistä tietoturvatarkastusta laajempi ja paremmin hyökkäystä kuvaava harjoitusmuoto, jossa voidaan samalla testata poikkeamatilanteiden käsittelyä (sininen joukkue) tai saada parempi käsitys hyökkääjän metodeista (punainen joukkue). Tämän tason harjoituksia järjestetään kaikissa mittaluokissa yksittäisten järjestelmien tai jopa valtioiden tasolla.

Punaisen joukkueen toimintaa voidaan hyödyntää myös siten, että puolustava yksikkö (verkonvalvonta, tietoturvakeskus ym.) ei ole tietoinen etukäteen harjoituksesta, jolloin voidaan testata varautumista ja poikkeamien havainnointia.

War Games

Sotapeleillä tarkoitetaan hyvin samantyyppistä toimintaa kuin mitä punaisella ja sinisellä joukkueella, tarkoituksena simuloida todellista poikkeamatilannetta. Harjoitukseen voidaan myös liittää muita aspekteja, kuten simuloituja tietoliikennelinkkien menettämistä, konesalien alasajoa ym.

Mitä näillä kaikilla sitten saavutetaan? Tähän voisi vastata vastakysymyksillä: Miksi sotaharjoituksia pidetään? Tai paloharjoituksia? Ensinnäkin tosielämää simuloivat ja haasteita tarjoavat harjoitukset ovat tehokkaampia opetusmetodeja kuin minkään PowerPoint-esityksen katseleminen. Ne ovat myös erittäin motivoivia ja paljastavat todella usein merkittäviä puutteita puolustuslinjassa tai testausmetodeissa ennen tositilannetta. Nixun tekemissä poikkeustilanneharjoituksissa on usein huomattu, että esimerkiksi tilanteen eskaloiminen, järjestelmien palauttaminen tai pelkästään jo eri osa-alueiden vastuut eivät tositilanteessa olekaan niin selvät kuin paperilla näyttäisi. Ja toisaalta vaikka verkon rajalla olisikin kaikki uusimmat laitteet (kuten IDS, IPS ja palomuurit), niiden tekemiä hälytyksiä ei osata tulkita (tai ne eivät tosiasiassa mene minnekään) ennen kuin on jo liian myöhäistä.

Kansainväliset kilpailut ovat myös hyviä mittareita omasta toiminnantasosta alalla. Nixulaisten menestyksestä OWASP EU -haasteessa voikin jo lukea Nixun sivuilta ja seuraavaksi osallistumme ensimmäisenä suomalaisena joukkueena maailmanlaajuiseen Cyberlympics-kilpailuun. Cyberlympicsin ensimmäinen kierros mittaa kykyä tehdä forensiikkaa ja ratkaista haasteita rajoitetussa ajassa, käytännössä kolmen tunnin aikana pitää ratkoa mahdollisimman monta haastetta, jotta lippu jatkokierroksille irtoaa. Myöhemmillä kierroksille, jonne pääsee vain muutama joukkue maanosaa kohti, mitataan ensin kykyä puolustaa tietoverkkoa (Blue Team) ja sitten kykyä hyökätä sitä vastaan (Red Team). Koko kilpailun finaali käydään CTF-formaatissa, jossa joukkueiden tehtävänä on paitsi yrittää puolustaa itseään myös saada haltuun muiden joukkueiden järjestelmiä.

Miten alkuun?

Mikäli aihe kiinnostaa, niin erilaisia haasteita on verkko tulvillaan:

Hack This Site on luvallinen kohde harjoittaa omia hakkerointikykyjään – www.hackthissite.org

Over the Wire sisältää useita haasteita eri tasoilla – www.overthewire.org/wargames

Matasana-salaushaaste – www.matasano.com/articles/crypto-challenges