Internetin heikot kohdat Suomessa
LEHDISTÖTIEDOTE 17.10.2013
Internetin heikot kohdat Suomessa
Jättiaineiston analyysi paljastaa, että väärin konfiguroitu verkkotulostin, kryptaamaton hallintaprotokolla ja vanhentunut web-ohjelmistoversio ovat tyypillisiä aukkoja suomalaisessa verkon tietoturvassa.
Tuntematon hakkeri keräsi puolen vuoden ajan tietoja globaalissa avoimessa internetissä sijainneista palvelimista nimeten hankkeensa Internet-väestönlaskennaksi ('Internet Census of 2012'). Hän käytti työhön bottiverkkoa, joka koostui 420 000:sta vallatusta reitittimestä ja muusta päätelaitteesta.
Hakkeri kävi verkkonsa avulla läpi koko internetin perinteisen osoiteavaruuden. Sieltä se löysi ja skannasi 420 miljoonaa IP-osoitetta, joista vastattiin vakiomuotoisiin kyselyihin. Runsaasti erilaista skannaustietoa sisältävä tietomassa on julkaistu ja analysoitavissa. Vaikka se on koottu laittomasti, se antaa hyvän yleiskuvan siitä, miltä internet näyttää hyökkääjän näkökulmasta.
Suomi ei ole lintukoto
Nixu poimi tänä kesänä aineistoon sisältyneet liki 14 miljoonaa suomalaista IP-osoitetta omaksi aineistokseen, jonka se prosessoi ja analysoi. Tutkimuksen toteutti Nixun Security Intelligence and Research -tiimi (Nixu SIR).
Vanhempi tietoturvakonsultti Marko Ruotsalainen kertoo, että Suomea on pidetty haittaohjelmien suhteen yhtenä puhtaimmista verkoista maailmassa. Aineiston perusteella hyökkäysrajapinta onkin avoimien porttien osalta kohtuullisissa lukemissa, sillä niissä noin puolessa miljoonassa suomalaiskoneessa, jotka bottiverkko oli löytänyt ja onnistunut skannaamaan, vain noin 30 000:ssa oli liikaa avoimia portteja.
Suomalaisessa verkkoympäristössä on silti runsaasti parannettavaa.
"Verratessamme palvelimien ilmoittamia ohjelmaversioita Nixu Watson -haavoittuvuuksienhallintapalvelun tietokantaan kävi ilmi, että turhan monen palvelimen tietoturvapäivitykset ovat jääneet tekemättä," Ruotsalainen kertoo.
"Aineistosta löytyi 693 ohjelmistojen eri versiota, joista löytyi yhteensä 985 tunnettua haavoittuvuutta. Eniten haavoittuvuuksia oli web-palvelimissa ja erityisesti suosituimpien web-palvelinohjelmistojen, Apachen ja PHP:n, vanhemmissa versioissa."
Kuka selaa tulostintasi?
Avoimeen verkkoon tarkoitettujen web-palvelujen ohella bottiverkko löysi suomalaisten IP-osoitteiden takaa runsaasti sellaisia web-pohjaisia palveluja ja -liittymiä, jotka eivät sinne kuuluisi, kuten teollisen internetin valvomo-ohjelmistoja, etähallintajärjestelmiä ja verkkotulostimia. Ruotsalainen huomauttaa, että myös niiden piilottamiseen sivullisilta on tehokkaat keinot.
"Erityisen hämmentävä oli verkossa näkyvien tulostimien suuri lukumäärä, sillä niiden pitäisi ehdottomasti sijaita suojassa palomuurien takana. Verkkoon kytkettyä tulostinta käytetään usein myös skannerina ja skannatut dokumentit ja tulosteet tallentuvat sen muistiin. Hyökkääjä saattaa siten saada haltuunsa jo pelkästä tulostimesta yritykselle kriittistä tietopääomaa – sen lisäksi että tulostin voi mahdollistaa tunkeutumisen syvemmälle yrityksen sisäverkkoon."
Monessa muussakin verkkolaitteessa saattaa asennuksen jäljiltä olla valmistajan oletusarvoja, jotka voivat tarjota helpon sisäänpääsyn hyökkääjille.
"Viimeaikaisten NSA-paljastusten valossa nyt viimeistään olisi syytä herätä käyttämään etähallintayhteyksien salausta", Ruotsalainen vetää yhteen.
"Useimmat hyökkäyksille altistavat ongelmat liittyvät hallintaprotokolliin, web-käyttöliittymiin sekä haavoittuvuuksiin. Hyökkääjät esimerkiksi etsivät palveluja, jotka mahdollistavat sisäänkirjautumisen, joista he sitten yrittävät murtautua sisään salasanoja arvaamalla."
Koko tutkimuksen Analysis of the Internet Census data, The Finnish Cyber Landscape löydät täältä.
Lisätietoja:
Petri Kairinen
petri.kairinen [at] nixu.com
+358 40 832 1832