Suomen-kybervaste
Suomen-kybervaste
Suomen-kybervaste
- No tags were found...
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Suomen</strong> <strong>kybervaste</strong><br />
Timo Kiravuo<br />
Aalto-yliopisto<br />
Sähkötekniikan korkeakoulu<br />
Tietoliikenne- ja tietoverkkotekniikan laitos<br />
timo.kiravuo@aalto.fi
Sisältö<br />
• Tapahtuneita kyberhyökkäyksiä<br />
• Yhteiskunnan digitaalinen infrastruktuuri<br />
• Kyberaseiden arkkitehtuuri<br />
• <strong>Suomen</strong> kyberpuolustus<br />
• <strong>Suomen</strong> <strong>kybervaste</strong>
Mitä "kyber" tarkoittaa<br />
• Historia:<br />
– Kybernetiikka: säätötekniikka<br />
• Nykyään:<br />
– Kyber- : tieto- ja tietokonejärjestelmiin liittyvä<br />
(Kyberturvallisuusstrategia 2013)<br />
– Kyber- : digitaalisiin järjestelmiin liittyvä (prof. Jukka Manner<br />
2012)<br />
• Kattaa myös automaation ja sulautetut järjestelmät
Kyberhäirintä<br />
• Pronssisoturi-patsaan siirtäminen Tallinnassa 2007<br />
• Etelä-Ossetian sota 2008<br />
• Murtoja WWW-sivustoille<br />
• Palveluestohyökkäyksiä (DDoS)<br />
• Vaikutus: vähäinen<br />
• Potentiaali: vastustajan resurssien sitominen ja huomion<br />
hajauttaminen, vrt. kevyt ratsuväki<br />
• Sivuvaikutus: NATO Cooperative Cyber Defence Centre<br />
of Excellence (CCD COE) Tallinnaan
Kybertiedustelu:<br />
Advanced Persistent Threat<br />
• "Titan Rain" -vakoiluhyökkäys 2003- USA-laisia<br />
tietojärjestelmiä, mm. puolustusteollisuutta vastaan<br />
• Advanced: käytetään laajaa palettia keinoja, perinteisestä<br />
tiedustelusta räätälöityihin hyökkäysohjelmiin<br />
• Persistent: hyökkäys kestää kunnes tavoite on saavutettu,<br />
jopa vuosia<br />
• Threat: uhka on otettava vakavasti, hyökkääjällä keinot ja<br />
motivaatio<br />
• APT tukee strategisia tavoitteita
Kybertiedustelu: NSA<br />
• National Security Agency (USA)<br />
• Massiivinen verkkotiedusteluoperaatio paljastui kesällä<br />
2013<br />
– Pääsy USA-laisten palveluyritysten asiakkaiden tietoihin<br />
• Facebook, Google, Apple...<br />
– Takaportteja salausohjelmistoihin ja -standardeihin<br />
• Huono satunnaislukugeneraattori<br />
• Oletussalausalgoritmi "null" standardeissa<br />
• Muutoksia ohjelmakoodiin
Kyberhyökkäys: Stuxnet<br />
• Täsmähyökkäysohjelmisto, itsekopioiva mato<br />
• Kohde: Iranin Natanzin uraaninrikastuslaitos<br />
• Tavoite: hidastaa Iranin ydinohjelmaa<br />
• Suorittaja: USA Israelin avustamana<br />
• Vaikutus: Iranin ydinohjelman hidastaminen usealla<br />
vuodella; kineettisen hyökkäyksen välttäminen Lähi-<br />
Idässä<br />
• Operaatio, jolla selkeä strateginen tavoite
Stuxnetin tekniikka<br />
• Huolellisesti suunniteltu ja testattu<br />
• Aktivoituu vain oikeassa ympäristössä<br />
• Hyödyntää tunnettuja Windows-haavoittuvuuksia<br />
päästäkseen rikastamon sentrifugien<br />
ohjausjärjestelmään<br />
• Ohjaa kontrollerit käyttäytymään tavalla, joka rikkoo<br />
laitteiston<br />
• Kertoo ohjausjärjestelmälle sentrifugeja ajettavan<br />
normaaliparametrien mukaan (rootkit -toiminnallisuus)<br />
• Saatiin kohdeverkkon USB-muistitikulla
Fyysiset kyberjärjestelmät<br />
• Käytössä laaja kirjo erilaisia järjestelmiä, 1980-luvulta<br />
alkaen<br />
• Fyysistä laitetta ohjaa usein ohjelmoitava logiikka<br />
– Kytketty Ethernet-verkkoon tai kenttäväylään<br />
• Näitä ohjaa tietokone (Windows, Unix, VMS tms.)<br />
– SCADA (Supervisory Control and Data Acquisition)<br />
– Yleensä kytketty lähiverkkoon ja mahd. Internetiin<br />
• Ohjaavat liikennettä, sähköverkkoa, teollisuutta jne.<br />
[SAS29]
SCADA-järjestelmä<br />
[NIST SP 800-82]
Arvio Stuxnetin projektiryhmästä<br />
• 22-30<br />
henkilöä<br />
• Lähde:<br />
Kaspersky
Stuxnet-perhe<br />
• Vakoiluohjelmat Flame, Duqu ja Gauss<br />
• Modulaarisia ohjelmistoja, jotka käyttävät osittain samaa<br />
koodialustaa<br />
• Pystyvät lataamaan uusia komponentteja verkon ylitse<br />
• USA:lla on koodikirjasto, josta se voi koota haluamansa<br />
toiminnallisuuden<br />
• Oletusarvoisesti viruksentorjuntaohjelmat eivät havaitse<br />
uusia versioita
Kybertiedustelu: Rocra, Red October<br />
• Vakoiluohjelma<br />
• Levitetään kohdistettuina sähköpostiviesteinä<br />
– Spear phishing<br />
• Kohdistettu julkishallintoon ja teollisuuteen<br />
• Leviää kohdeverkossa, ei julkisen Internetin ylitse<br />
• Vakoilee "kaikkea mahdollista"<br />
– Tiedostot<br />
– Näyttö ja näppäimistö<br />
– Kohdekoneeseen liitetyt puhelimet<br />
– Sähköposti ja webbiselaimen tiedot<br />
• Tekijä tuntematon
Yhteiskunnan digitaalinen infrastruktuuri<br />
• Moderni yhteiskunta perustuu digitaalisiin järjestelmiin<br />
• Sotilasjärjestelmät kohtuullisen suojattuja<br />
– Tempest, EMP, ELSO...<br />
• Siviilijärjestelmät ovat paljon huonommin suojattuja, mutta<br />
vaikutukseltaan merkittäviä<br />
– Asymmetrisessä tilanteessa tarjoavat heikolle hyökkääjälle<br />
mahdollisuuksia<br />
• Sota on politiikan ja diplomatian jatkamista väkivallan keinoin<br />
– Jos poliittiset tavoitteet voidaan saavuttaa kohdistamalla<br />
kyberhyökkäys siviili-infrastruktuuriin, aseellinen konflikti käy<br />
tarpeettomaksi<br />
– Kohde ei välttämättä edes tule tietoiseksi hyökkäyksestä<br />
– Sodan käsite hämärtyy ja on määriteltävä uudelleen
Kohteena oleva infrastruktuuri<br />
Kriittisiä kyberjärjestelmiä<br />
Edellisistä riippuvia<br />
• Sähkö<br />
• Tietoliikenne ja viestintä<br />
• Polttoaineet ja energia<br />
• Vesihuolto<br />
• Finanssisektori<br />
• Liikenne<br />
• Kemian teollisuus<br />
[YTS] ja [Lewis06] <br />
• Puolustusteollisuus<br />
• Posti ja rahti<br />
• Elintarviketuotanto ja -<br />
jakelu<br />
• Yleinen turvallisuus ja<br />
järjestys<br />
• Terveydenhuolto<br />
• Valtion johtaminen
Kriittisen infrastruktuurin seitsemän ikävää<br />
haastetta (Seven wicked problems)<br />
• Fyysinen laajuus (vastness)<br />
• Epäselvät hallintosuhteet (command)<br />
• Tiedon jakaminen (information sharing)<br />
• Relevantin tiedon määrä (knowledge)<br />
• Osa-alueet riippuvat toisistaan (interdependencies)<br />
• Analyysityökalujen puute (inadequate tools)<br />
• Konfliktin osapuolten epäsuhta (asymmetric conflict)<br />
Lewis06
Vahinkoa tavoittelevat osapuolet<br />
Uhkaaja Motivaatio Tavoite<br />
Valtio<br />
taloudellinen,<br />
vaikutusvalta<br />
vastustajan toimien estäminen,<br />
informaation kerääminen<br />
Rikollisuus taloudellinen tiedolla tai vahingolla uhkaaminen<br />
Yritykset taloudellinen kilpailijan häiritseminen,<br />
informaation kerääminen<br />
Terroristit<br />
Muut poliittisesti<br />
aktiiviset tahot<br />
(hacktivismi)<br />
yhteiskuntajärjestyksen<br />
muuttaminen<br />
valta<br />
yleinen epäjärjestys, vastustajien<br />
vahingoittaminen<br />
vastustajan saaminen huonoon<br />
valoon, informaatio<br />
Utelias ihminen kokeilunhalu painella nappuloita ja katsoa mitä<br />
tapahtuu<br />
Työntekijä oma etu, kosto taloudellista hyötyä, vahinkoa<br />
organisaatiolle
Kyberasejärjestelmän arkkitehtuuri<br />
• Modulaarinen, osista koottava suorituskyky<br />
• Rinnakkaiset prosessit:<br />
– Teknisten komponenttien kehitys<br />
– Tiedustelu ja kohteiden valinta<br />
– Operaatiot ja komponenttien paljastuminen
Modulaarinen kyberase<br />
Dropper-paketti<br />
Ohjausjärjestelmä<br />
- aseen toimintojen hallinta ja kohdistaminen<br />
- raportointi hallintapalvelimille<br />
- lisämodulien nouto, asennus ja käynnistys<br />
Hallintapalvelimet<br />
Murtautumismodulit<br />
- haavoittuvuudet<br />
Lavetti<br />
Mobiliteetti<br />
& asennus<br />
Kiistettävä<br />
yhteys<br />
Kyberase<br />
Taistelukärjet<br />
- tiedustelu<br />
- sabotaasi<br />
- yms.<br />
Operaation<br />
johto
Ehdotus kohteessa toimivan<br />
kyberaseen arkkitehtuuriksi<br />
• 1. vaiheen kuljetusalusta, "dropper"<br />
– Saadaan ohjelmakoodi kohteeseen<br />
– USB-tikku, sähköposti,<br />
asennusvarmenteiden väärentäminen<br />
• 2. vaiheen kuljetusalusta<br />
– Eteneminen kohdeverkossa, jos tarpeen<br />
– Virus, mato<br />
– Tunnettuja ja uusia murtokeinoja "exploit"<br />
• Hyökkäyskuorma, "payload"<br />
– Tiedustelujärjestelmä<br />
– Tiedon keruu<br />
– Vahingoittaminen<br />
– yms.<br />
• Häivejärjestelmä<br />
– Vaihtuva salaus<br />
– Naamioituminen hyötyohjelmaksi<br />
– Rootkit (systeemiohjelmien<br />
muokkaaminen)<br />
– Itsensä poistaminen toiminnan päätyttyä<br />
• Ohjausjärjestelmä, "command & control"<br />
– Yhteys kohteesta välipalvelimien kautta<br />
ohjauskeskukseen<br />
– Tietoliikenteen piilottaminen eri keinoin<br />
– Tai autonominen toiminta<br />
• Tähtäysjärjestelmä<br />
– Tunnistaa oikean kohteen<br />
– Tunnistaa väärät kohteet<br />
– Passiivisuus lisää häivearvoa<br />
• Käyttö<br />
– Tunnista ja valitse kohde<br />
– Huomioi aikataulu ja ulkoiset tekijät, kuten<br />
havaittavuus<br />
– Tiedustele ja suunnittele miten<br />
ohjelmakoodi saadaan kohteeseen<br />
– Valitse kirjastosta sopiva hyökkäys tai<br />
hyökkäykset<br />
– Kokoa ase/hyökkäys komponenteista<br />
– Toteuta
Kyberoperaatiot<br />
Module<br />
library<br />
Weapons assembly<br />
-platform components<br />
-payloads<br />
Internet<br />
Dropper<br />
Plausible<br />
deniability<br />
I<br />
C&C<br />
Operations<br />
center<br />
Controller<br />
Entry<br />
host<br />
Actual<br />
target
Mitä <strong>Suomen</strong> Internetistä löytyy<br />
• 3700 laitetta<br />
• 60% laitteista on olemassa tunnettu haavoittuvuus<br />
• Kevät 2013<br />
553<br />
Building automation<br />
97<br />
Industrial devices<br />
2818<br />
141<br />
44<br />
Heavy duty<br />
industrial devices<br />
SCADA/large<br />
infrastructures<br />
Seppo Tiilikainen, Aalto
Automaatio ja tietoturva<br />
• Tietoturva: suojaa tietoa väärinkäytöksiltä<br />
– Yleisratkaisu: estä pääsy lukemaan tietoa,<br />
– Jos lukeminen sallittua, estä tiedon muuttaminen<br />
• Automaatio toteuttaa prosessia<br />
– Yleisratkaisu: prosessin on toimittava ja oltava ohjattavissa<br />
kaikissa tilanteissa<br />
– Turvallisuus suojaa ihmisiä ja laitteita vahingoilta<br />
• Automaation tietotekninen turvallisuus perustuu<br />
järjestelmien saavuttamattomuuteen<br />
– Erillään Internetistä
Shodan<br />
• http://www.shodanhq.com/<br />
• Hakukone palvelimien protokollatiedolle<br />
• Mahdollistaa kohteen tunnistamisen sen palveluiden<br />
perusteella<br />
• Esim:
Kansallinen hakukone KATSE<br />
• Aallossa toteutetaan Shodania vastaava toiminnallisuus<br />
<strong>Suomen</strong> verkon kartoittamiseksi<br />
• Haluamme että tieto pysyy <strong>Suomen</strong> sisällä<br />
• Tukee viranomaistoimintaa<br />
• Palaute järjestelmien omistajille<br />
• Rajoituksena rikoslain 38. luku ja tietomurto<br />
– Saamme ottaa yhteyttä verkossa olevaan koneeseen<br />
– Emme saa kokeilla tunnettuja oletussalasanoja tai haavoittuvuuksia<br />
• Pyrimme vastaamaan kansallisen kyberturvallisuuden yhteen<br />
ydinkysymykseen:<br />
"Miten haavoittuva Suomi on"
Kybervaste<br />
Valtioneuvosto<br />
KRP<br />
tutkii rikoksia<br />
PV<br />
ei toimivaltaa<br />
rauhan aikana<br />
HVK<br />
ennakoiva varautuja<br />
Kohde<br />
CERT-FI<br />
keskeinen viestijä<br />
Yksityiset firmat:<br />
osaamista maksavalle
<strong>Suomen</strong> kyberpuolustus ja -turvallisuus<br />
• Kyberturvallisuusstrategia 2013 ja aiempi julkishallinnon linjaus jakaa vastuut<br />
hallinnonaloittain<br />
• Viestintäviraston CERT-FI -toiminto kerää ja jakaa tietoa ja toimii aktiivisesti<br />
tietoturvaongelmien ratkaisemisessa<br />
• Huoltovarmuuskeskus ohjaa oman toimialansa yrityksiä kehittämään<br />
turvallisuuttaan ja rahoittaa osan CERT-FI:n toiminnasta<br />
• N. 80% kriittisestä infrastruktuurista on yksityisen sektorin hallinnassa<br />
• Poliisi selvittää rikoksia ja priorisoi rikoksen vakavuuden mukaan<br />
• Puolustusvoimat suojaa omat järjestelmänsä ja kehittää sotilaallisia<br />
kyberkykyjä, ei näe itseään toimijana rauhan aikana<br />
• Viranomaisilla on omaa analyysikapasitettia, mutta merkittävä osa<br />
hyökkäyksien teknisestä analyysikyvystä on yksityisellä sektorilla<br />
• Käytännössä em. tahot tekevät aktiivista yhteistyötä, paljolti ad-hoc-pohjalta<br />
• Kyberturvallisuusstrategiassa määriteltyä organisaatiota ei ole vielä testattu<br />
tositoimissa
Pohdintaa:<br />
Puolustuksellinen kyberdoktriini<br />
• Miltä osin yhteiskunnan kriittinen infrastruktuuri on laillisen<br />
sodankäynnin kohde<br />
– Entä jos "plausible deniability" -mahdollisuus on korkea<br />
– Puolustaja ei voi olettaa hyökkääjän noudattavan sääntöjä<br />
• Ovatko sotaa käyvän maan tietojärjestelmät kolmannessa maassa<br />
laillinen kohde<br />
• Alueellisen puolustuksen konsepti<br />
– Siviilisektori hoitaa tämän Vrt. väestönsuojelu.<br />
• Onko kyberpelote mielekäs konsepti<br />
– Vastaiskun kohdistamisen ongelma<br />
– Ei taattua vaikutusta, vrt. ydinase<br />
– Vaikutus perustuu satunnaisiin aukkoihin puolustuksessa
Pohdintaa; Kyberaseiden merkitys<br />
• Kyberaseiden sotilaallinen merkitys on vasta<br />
avautumassa<br />
– Kyberaseet eivät miehitä eivätkä pidä kohteita<br />
– Täsmäkohteissa voi korvata kineettisen hyökkäyksen<br />
– Käyttö yhdessä konventionaalisen hyökkäyksen kanssa<br />
tukevassa roolissa<br />
• Analogia: kevyt ratsuväki tai sissit: tiedustelee, häiritsee<br />
ja kuluttaa vastustajaa, suorittaa erikoistehtäviä, mutta ei<br />
voita suuria taisteluita
Kyberoperaatiot<br />
• Tiedustelu ja iskut<br />
– Iskujen kohdistaminen edellyttää tiedustelua<br />
– Vastustajan verkon sammuttaminen sokaisee toimijan<br />
– Doktriini saattaa korostaa tiedustelukykyä enemmän kuin<br />
iskukykyä<br />
• Miten arvioidaan ja mitataan operaation tulos<br />
– Kohde katosi, onko se tuhottu vai kiristettiinkö palomuuria<br />
– Oliko tuloksena toiminnan estäminen vai hidastaminen
Yhteenveto<br />
• Moderni yhteiskunta on riippuvainen digitaalisista<br />
järjestelmistä<br />
– Mikä tahansa näistä voi olla hyökkäyksen kohde<br />
• Kyberoperaatiot ovat jo käynnissä<br />
• Kybertoiminta on kustannustehokasta ja mahdollistaa<br />
syyllisyyden peittämisen<br />
• Varsinainen kybersota ei ole todennäköinen<br />
• Kyberoperaatiot, etenkin tiedustelu, hyvin todennäköisiä<br />
• Perinteiseen sodankäyntiin tulee rinnalle kyberulottuvuus
Lähteet 1<br />
• [YTS] Yhteiskunnan turvallisuusstartegia, 2010,<br />
Puolustusministeriö<br />
• [SAS29] Teollisuusautomaation tietoturva, 2005, <strong>Suomen</strong><br />
Automaatioseura ry.<br />
• [NIST SP 800-82] Guide to Industrial Control Systems (ICS)<br />
Security, SP 800-82, 2011, National Institute of Standards<br />
and Technology<br />
• [Lewis06] Lewis, Ted G., Critical Infrastructure Protection in<br />
Homeland Security: Defending a Networked Nation, 2006,<br />
Wiley-Interscience<br />
• [Martino11] Martino, Richard A., Leveraging Traditional Battle<br />
Damage Assessment Procedures to Measure Effects from a<br />
Computer Network Attack (opinnäyte), 2011, Air Force<br />
Institute of Technology
Lähteet 2<br />
• [Zetter12] Zetter, Kim, Popular Surveillance Cameras Open to<br />
Hackers, Researcher Says, http://www.wired.com/threatlevel/<br />
2012/05/cctv-hack/ , noudettu 16.5.2012<br />
• [ReadGuard] The Problem With "Cyberwar", RearGuard Podcast,<br />
http://www.rearguardsecurity.com/episodes/4-transcript.html ,<br />
noudettu 12.5.2012<br />
• [Leyden08] Leyden, John, Polish teen derails tram after hacking<br />
train network, The Register, http://www.theregister.co.uk/<br />
2008/01/11/tram_hack /, noudettu 16.5.2012<br />
• [Laakso11] Laakso, Henri, Boeing 747:n moottoreita voi ohjata<br />
matkustajan viihdejärjestelmän avulla, MikroPC, http://<br />
www.mikropc.net/kaikki_uutiset/boeing+747n+moottoreita+voi<br />
+ohjata+matkustajan+viihdejarjestelman+avulla/a721826 , noudettu<br />
16.5.2012
Change language