Massiivinen palvelunkieltohyökkäys – lue mistä oli kyse.

Perjantaina (21.10.2016) amerikkalainen yhtiö Dyn joutui massiivisen palvelukieltohyökkäyksen kohteeksi. Hyökkäys vaikutti moniin palveluihin, joita me suomalaisetkin käytämme (mm. Spotify, Twitter, SoundCloud, Shopify, PayPal, GitHub). Hyökkäyksiä oli yhteensä kolme, joista ensimmäinen häiritsi pääasiassa USA:n palveluita mutta jälkimmäiset myös Euroopan ja Aasian käyttämiä palveluita.

Keskustelimme Sovelton tietoturva-asiantuntija Jukka Vuolan kanssa viimeaikaisen kyberiskun taustoista.

Mistä palvelunkieltohyökkäyksessä oli kyse?

Hyökkäys kohdistui mm. internetin nimipalveluihin. DNS (Domain Name System) nimipalvelun tehtävänä on selvittää, mihin IP-osoitteeseen (selaimeen kirjoitettava) palvelimen nimi osoittaa. Näin kenenkään ei tarvitse opetella IP-osoitteita ulkoa, vaan käytetään palvelua kuvaavia nimiä. Nämä ovat helpompia muistaa ja niitä voidaan indeksoida sekä etsiä hakukoneiden avulla. Dyn-yhtiö tarjoaa tällaisia nimipalvelua monille vaihtuville IP-osoitteille, jolloin nimi voidaan aina dynaamisesti vaihtaa osoittamaan vaihtuneeseen IP-osoitteeseen ja nimenä annettu palvelu pysyy samana.

Kyseessä oli hajautettu palvelunkieltohyökkäys DDoS (Distributed Denial of Service).  DDoS:llä häiritään palvelujen saatavuutta jollakin tavoin. Hajautettu tarkoittaa sitä, että hyökkäys tulee hajautetusti eri puolilta internetiä, jolloin sen torjuminen on huomattavan vaikeaa. Tällaisissa hyökkäyksissä käytetään yleisesti – ja nytkin apuna botnet-verkkoa. ”Bot” on lyhenne robot-sanasta. Robotti puolestaan on eräänlainen keskitetty hallintapalvelu, jolla voidaan ohjata suurta määrää internetiin yhteydessä olevia murrettuja / haittakoodia sisältäviä laitteita. Nyt tällainen valtava konemäärä teki pääasiassa turhia palvelupyyntöjä nimipalveluille sellaisia määriä, että niiden kapasiteetti loppui hetkellisesti kesken. Tarkempia hyökkäyksen teknisiä yksityiskohtia  täällä. Käytetty botnet-verkko oli ns. Mirai-koodiin perustuva ohjelmisto. Merkittäväksi asian tekee se, että ohjelmiston lähdekoodi julkaistiin internetissä aikaisemmin tässä kuussa ja jo nyt ohjelmistoa käytettiin palvelunkieltohyökkäyksessä.

Mikään ryhmittymä ei ole toistaiseksi ottanut vastuuta tapahtuneesta, joten on arveltu, että asialla on ollut jokin nuorten henkilöiden tekemä kokeilu. Todennäköistä on, että palvelunkieltohyökkäyksiä nähdään jatkossakin – Mirai-ohjemisto on periaatteessa kenen tahansa saatavilla.

”Itse kukin meistä voi vaikeuttaa botnet-verkkojen muodostamista pitämällä laitteiden ohjelmistot ajan tasalla ja turhat palvelut poissa päältä. Ilman murretuja koneita ei ole botnet-verkkoja eikä siten DDoS-hyökkäyksiäkään”- Jukka Vuola

Digitaidot.fi sivustolla on puhuttu jo aiemmin kyberturvallisuudesta.