Vuosia sitten tyypilliseen hakkerointiskenaarioon kuului yksinäinen hyökkääjä ja ehkä muutama kaveri, jotka työskentelivät myöhään yöllä Mountain Dew’n parissa ja etsivät julkisia IP-osoitteita. Kun he löysivät yhden, he luettelivat mainospalvelut (Web-palvelin, SQL-palvelin ja niin edelleen), murtautuivat sisään käyttämällä lukuisia haavoittuvuuksia ja tutkivat sitten vaarantunutta yritystä sydämensä kyllyydestä. Usein heidän tarkoituksensa oli tutkimusmatkailu. Jos he tekivät jotain laitonta, se oli tyypillisesti tilaisuuden tullen tehty spontaani rikos.
Voi, miten ajat ovatkaan muuttuneet.
Kuvaillessa tyypillistä hakkerointiskenaariota on nykyään aloitettava hyvissä ajoin ennen hakkerointia tai edes hakkerointia hyökkäyksen takana olevasta organisaatiosta. Nykyään hakkerointi on aina ja kaikkialla rikollisuutta, johon liittyy haittaohjelmien huutokauppamarkkinoita, rikollisjärjestöjä, vuokrattavia bottiverkkoja, valtiollisia toimijoita ja kybersodankäyntiä, joka on mennyt sekaisin.
Tässä ovat yhdeksän suurinta uhkaa, joita IT-tietoturva-ammattilaiset joutuvat nykyään kohtaamaan.
- Uhka nro 1: Kyberrikossyndikaatit
- Uhka nro 2: Pienten huijareiden toiminta – ja heitä tukevat rahanpesijat ja -kummit ja -kummit.
- Uhka nro 3: Hakkeriaktivistit
- Uhka nro 4: Henkisen omaisuuden varastaminen ja yritysvakoilu
- Uhka nro 5: Haittaohjelmien palkkasoturit
- Uhka nro 6: Botnets as a service
- Uhka nro 7: All-in-one-haittaohjelmat
- Uhka nro 8: Yhä useammin vaarantuva verkko
- Uhka nro 9: Kybersodankäynti
- Rikos ilman rangaistusta
Uhka nro 1: Kyberrikossyndikaatit
Vaikka yksinäisiä rikollisia päämiehiä on yhä olemassa, nykyään useimmat ilkeät hakkerointihyökkäykset ovat organisoitujen ryhmien, joista monet ovat ammattimaisia, tulosta. Perinteiset järjestäytyneet rikollisryhmät, jotka aiemmin pyörittivät huumeita, uhkapelejä, syyttäjälaitosta ja kiristystä, ovat heittäneet hattunsa verkkorahojen kaappauskehään, mutta kilpailu on kovaa, eikä sitä johda mafiosot vaan useat hyvin suuret ammattirikollisten ryhmät, jotka on suunnattu nimenomaan tietoverkkorikollisuuteen.
Monet menestyksekkäimmät järjestäytyneet tietoverkkorikollisuutta harjoittavat rikollisryhmät ovat yrityksiä, jotka johtavat suuria affiliate- eli tytäryhtiöiden ryhmiä, jotka toimivat pitkälti laillisten hajautettujen markkinointihierarkioiden tapaan. Itse asiassa nykypäivän kyberrikollisella on luultavasti enemmän yhteistä Avonin tai Mary Kayn edustajan kanssa kuin kumpikaan haluaa myöntää.
Pienet ryhmät, joissa on vain muutama jäsen, hakkeroivat edelleen, mutta yhä useammin tietoturva-ammattilaiset joutuvat kohtaamaan suuria yrityksiä, jotka ovat omistautuneet roistomaiselle käytökselle. Ajattele kokoaikaisia työntekijöitä, henkilöstöosastoja, projektinhallintaryhmiä ja ryhmänjohtajia. Ja kaikki tämä on rikollista, ei enää näytölle tulostettuja hauskoja viestejä tai muita teini-ikäisten tempauksia. Useimmat toimivat avoimesti, ja joillakin – kuten Russian Business Networkilla – on jopa oma Wikipedia-tietueensa. Saa tavallaan toivomaan mennyttä aikaa, eikö vain?
Erikoistuminen ja työnjako ovat näiden organisaatioiden ytimessä. Yksi päämies tai sisäpiiri johtaa kollektiivia. Kersantit ja alaosastot erikoistuvat eri aloihin, ja yksi haaraosasto on omistettu haittaohjelmien luomiselle, toinen markkinoinnille, kolmas jakelukanavan perustamiselle ja ylläpidolle ja kolmas vastaa bottiverkkojen luomisesta ja niiden vuokraamisesta muille pahantekijöille (ks. alla).
Ei ole mikään ihme, miksi yleiset tietoturvakäytännöt eivät yksinkertaisesti toimi nykypäivän haittaohjelmia vastaan, kun otetaan huomioon, että tietoverkkorikollisuus on kehittynyt monitasoiseksi, palvelusuuntautuneeksi teollisuudeksi, jonka räikeänä tavoitteena on huijata yrityksiltä ja ihmisiltä heidän rahojaan ja henkistä omaisuuttaan.
Uhka nro 2: Pienten huijareiden toiminta – ja heitä tukevat rahanpesijat ja -kummit ja -kummit.
Kaikki tietoverkkorikollisuutta tekevien järjestöt eivät suinkaan ole syndikaatteja tai yhtiöitä. Jotkut ovat luonteeltaan yksinkertaisesti yrittäjähenkisiä, pienyrityksiä, jotka tavoittelevat yhtä asiaa: rahaa.
Nämä pahantahtoiset äiti ja poppoo -operaatiot saattavat varastaa henkilöllisyyksiä ja salasanoja, tai ne saattavat aiheuttaa häijyjä uudelleenohjauksia saadakseen niitä. Loppujen lopuksi ne haluavat rahaa. Ne käynnistävät vilpillisiä luottokortti- tai pankkitapahtumia ja muuttavat laittomasti saamansa voitot paikalliseksi valuutaksi käyttämällä rahamyyjiä, sähköistä käteisrahan jakelua, verkkopankkitoimintaa tai jotain muuta rahanpesutapaa.
Rahanpesijöitä ei ole vaikea löytää. On kymmeniä tai satoja tahoja, jotka kilpailevat siitä, kuka saa suuren prosenttiosuuden laittomasti hankitusta ryöstösaaliista. Itseasiassa olisit yllättynyt siitä, miten kilpailullisesti ja julkisesti kaikki muut kerjäävät tukibisnestä nettirikollisten kanssa. He mainostavat “ei kysymyksiä”, “luodinkestävää” isännöintiä maissa, jotka ovat kaukana laillisten haasteiden ulottumattomissa, ja he tarjoavat julkisia ilmoitustauluja, ohjelmistotarjouksia, ympärivuorokautista puhelintukea, tarjousfoorumeita, tyytyväisiä asiakasreferenssejä, haittaohjelmien torjuntataitoja ja kaikkea sellaista palvelua, joka auttaa muita tulemaan paremmiksi nettirikollisiksi. Useat näistä ryhmistä tienaavat vuosittain kymmeniä miljoonia dollareita.
Monet näistä ryhmistä ja niiden takana olevista henkilöistä on tunnistettu (ja pidätetty) viime vuosina. Heidän sosiaalisen median profiileissaan näkyy onnellisia ihmisiä, joilla on isoja taloja, kalliita autoja ja tyytyväisiä perheitä ulkomailla lomailemassa. Jos he ovat vähääkään syyllisiä varastettuaan rahaa muilta, se ei näy.
Kuvittele naapuruston grillijuhlat, joissa he kertovat naapureille ja ystäville pyörittävänsä “Internet-markkinointiyritystä” – samalla kun he sosiaalisella manipuloinnilla hankkivat itselleen miljoonia tietoturva-ammattilaisten tyrmistykseksi, jotka ovat tehneet melkein kaiken mahdollisen suojellakseen käyttäjiä itseltään.
Uhka nro 3: Hakkeriaktivistit
Mikäli alkuaikoina hyväksikäyttökohteilla kerskuminen ei ollut harvinaista, nykypäivän kyberrikolliset pyrkivät lentämään tutkan alla — lukuun ottamatta kasvavia legioonia hakkeriaktivisteja.
IT-tietoturva-ammattilaiset joutuvat kamppailemaan yhä useampien poliittiseen aktivismiin vihkiytyneiden yksilöiden löyhien liittoutumien kanssa, kuten pahamaineinen Anonymous-ryhmä. Poliittisesti motivoituneita hakkereita on ollut olemassa siitä lähtien, kun hakkerointi syntyi. Suuri muutos on se, että sitä tehdään yhä enemmän avoimesti, ja yhteiskunta tunnustaa sen hyväksytyksi poliittisen aktivismin muodoksi.
Poliittiset hakkeriryhmät kommunikoivat usein, nimettöminä tai nimettöminä, avoimilla foorumeilla ja ilmoittavat kohteistaan ja hakkerointityökaluistaan etukäteen. Ne keräävät lisää jäseniä, vievät valituksensa tiedotusvälineisiin saadakseen julkista tukea ja käyttäytyvät hämmästyneinä, jos heidät pidätetään laittomista teoistaan. Heidän tarkoituksenaan on nolata uhri ja herättää siihen mahdollisimman paljon negatiivista mediahuomiota, olipa kyse sitten asiakastietojen hakkeroinnista, DDoS-hyökkäyksistä (Distributed Denial of Service) tai yksinkertaisesti siitä, että he aiheuttavat uhriksi joutuneelle yritykselle ylimääräistä riitaa.
Poliittinen hakkerointi pyrkii useimmiten aiheuttamaan uhrilleen rahallista tuskaa yrittäessään muuttaa uhrin käyttäytymistä. Yksilöt voivat olla sivullisia vahinkoja tässä taistelussa, ja riippumatta siitä, uskooko joku hakkerivistin poliittiseen aatteeseen, aikomus ja menetelmät pysyvät rikollisina.
Uhka nro 4: Henkisen omaisuuden varastaminen ja yritysvakoilu
Vähemmistö IT-tietoturva-ammattilaisista joutuu kamppailemaan suuren joukon pahantahtoisten hakkerien kanssa, jotka varastavat henkistä omaisuutta yrityksiltä tai harjoittavat suoranaista yritysvakoilua. Heidän menetelmänsä on murtautua yrityksen IT-varoihin, dumpata kaikki salasanat ja varastaa ajan mittaan gigatavuja luottamuksellista tietoa: patentteja, uusia tuoteideoita, sotilaallisia salaisuuksia, rahoitustietoja, liiketoimintasuunnitelmia ja niin edelleen. He välittävät arvokkaita tietoja asiakkailleen taloudellisen hyödyn saamiseksi ja pysyvät piilossa vaarantuneen yrityksen verkossa niin kauan kuin mahdollista.
Korjatakseen palkkionsa he salakuuntelevat tärkeitä sähköpostiviestejä, ryöstelevät tietokantoja ja pääsevät käsiksi niin moneen tietoon, että monet ovat alkaneet kehittää omia haitallisia hakukoneita ja kyselytyökaluja erottaakseen rehun kiinnostavammasta henkisestä omaisuudesta.
Tällaista hyökkääjää kutsutaan kehittyneeksi pysyväksi uhkaksi (Advanced Persistent Threat, APT) tai määrätietoiseksi inhimilliseksi vastustajaksi (Determine Human Adversary, DHA). Vain harvat suuret yritykset eivät ole onnistuneet vaarantamaan toimintaansa näiden kampanjoiden avulla.
Uhka nro 5: Haittaohjelmien palkkasoturit
Olipa tietoverkkorikoksen takana mikä tahansa aikomus tai ryhmä, jonkun on tehtävä haittaohjelmat. Aiemmin yksittäinen ohjelmoija teki haittaohjelmia omaan käyttöönsä tai ehkä myydäkseen niitä. Nykyään on olemassa tiimejä ja yrityksiä, jotka ovat omistautuneet pelkästään kirjoittamaan haittaohjelmia tiettyjen tietoturvapuolustusten ohittamiseksi, tiettyjen asiakkaiden kimppuun hyökkäämiseksi ja tiettyjen tavoitteiden saavuttamiseksi. Niitä myydään avoimilla markkinoilla tarjousfoorumeilla.
Usein haittaohjelmat ovat monivaiheisia ja komponenteista koostuvia. Pienemmän tynkäohjelman tehtävänä on uhrin tietokoneen alustava hyväksikäyttö, ja kun se on sijoitettu turvallisesti niin, että se selviää uudelleenkäynnistyksestä, se ottaa yhteyttä “emoaluksen” verkkopalvelimeen lisäohjeiden saamiseksi. Usein alkuperäinen tynkäohjelma lähettää DNS-kyselyjä etsiessään emoalusta, joka on usein itse vaarantunut tietokone, joka toimii väliaikaisesti emoaluksena. Nämä DNS-kyselyt lähetetään DNS-palvelimille, jotka ovat yhtä todennäköisesti viattomasti saastuneita uhritietokoneita. DNS-palvelimet liikkuvat tietokoneelta toiselle, aivan kuten emoaluksen verkkopalvelimet.
Kun DNS- ja emoaluksen palvelimeen on saatu yhteys, DNS- ja emoaluksen palvelin ohjaavat usein aloittavan stub-asiakkaan muihin DNS- ja emoaluksen palvelimiin. Tällä tavoin stub-asiakas ohjataan yhä uudelleen (usein yli kymmeniä kertoja) uusiin hyväksikäytettyihin tietokoneisiin, kunnes lopulta stub-ohjelma saa lopulliset ohjeensa ja pysyvämpi haittaohjelma asennetaan. Tämä asetelma tekee tietoturva-ammattilaisten erittäin vaikeaksi puolustautua heidän tuotteitaan vastaan.
Uhka nro 6: Botnets as a service
Botnetit eivät ole enää vain niiden luojia varten. Todennäköisesti ostettuaan botin luoneen haittaohjelman nykypäivän omistajat joko käyttävät bottiverkkoa itselleen tai vuokraavat sitä muille tuntitaksalla tai muulla mittarilla.
Menetelmä on tuttu. Jokainen haittaohjelman versio yrittää hyödyntää jopa kymmeniä tuhansia tietokoneita luodakseen yhden ainoan bottiverkon, joka toimii luojansa käskystä. Jokainen bottiverkon botti ottaa lopulta yhteyden takaisin komento- ja hallintapalvelimiinsa (C&C) saadakseen viimeisimmät ohjeensa. Näihin ohjeisiin kuuluu usein lunnasohjelman lähettäminen. Bot-verkoissa on löydetty satojatuhansia saastuneita tietokoneita.
Nyt kun aktiivisia bot-verkkoja on niin paljon (kymmeniä miljoonia saastuneita tietokoneita päivittäin), bot-verkkojen vuokraus on melko halpaa, mikä tarkoittaa sitäkin enemmän ongelmia tietoturva-ammattilaisille.
Haittaohjelmien torjujat yrittävät usein kaataa C&C-palvelimet tai ottaa ne haltuunsa, jotta he voivat ohjata niihin kytkeytyviä botteja desinfioimaan isäntätietokoneensa ja kuolemaan.
Uhka nro 7: All-in-one-haittaohjelmat
Hienostuneet haittaohjelmaohjelmat tarjoavat usein all-in-one-toiminnallisuutta. Ne eivät ainoastaan tartuta loppukäyttäjää, vaan myös murtautuvat verkkosivuille ja muokkaavat niitä auttaakseen tartuttamaan lisää uhreja. Näissä all-in-one-haittaohjelmissa on usein hallintakonsolit, jotta niiden omistajat ja luojat voivat seurata, mitä bottiverkko tekee, keitä ne tartuttavat ja mitkä niistä ovat menestyneimpiä.
Useimmat haittaohjelmat ovat troijalaisia hevosia. Tietokonevirukset ja madot ovat jo kauan sitten lakanneet olemasta suosituimpia haittaohjelmatyyppejä. Useimmissa tapauksissa loppukäyttäjä huijataan ajamaan troijalainen hevonen, jota mainostetaan välttämättömänä virustorjuntatarkistuksena, levyn defragmentointityökaluna tai muuna näennäisesti välttämättömänä tai harmittomana apuohjelmana. Käyttäjän normaaleja suojautumiskeinoja huijataan, koska useimmiten rogue executablea tarjoava verkkosivu on luotettava sivusto, jolla käyttäjä on käynyt monta kertaa. Pahikset ovat yksinkertaisesti vaarantaneet sivuston monin keinoin ja lisänneet sinne muutaman JavaScript-rivin, jotka ohjaavat käyttäjän selaimen Troijan hevosen ohjelmaan.
Uhka nro 8: Yhä useammin vaarantuva verkko
Periaatteellisimmillaan verkkosivusto on yksinkertaisesti tietokone, aivan kuten tavallinen loppukäyttäjän työasema. Verkkopäälliköt puolestaan ovat loppukäyttäjiä kuten kaikki muutkin. Ei ole yllättävää huomata, että laillinen verkko on täynnä haittaohjelmia sisältäviä JavaScriptin uudelleenohjauslinkkejä.
Verkkopalvelinloukkausten yleistyminen ei johdu pelkästään siitä, että webmasterien tietokoneita käytetään hyväksi. Useimmiten hyökkääjät löytävät verkkosivustosta heikkouden tai haavoittuvuuden, jonka avulla he voivat ohittaa ylläpitäjän todennuksen ja kirjoittaa haitallisia skriptejä.
Yleisiä verkkosivuston haavoittuvuuksia ovat esimerkiksi huonot salasanat, sivuston rajat ylittävät skriptihaavoittuvuudet, SQL-injektio, haavoittuvat ohjelmistot ja epävarmat käyttöoikeudet. Open Web Application Security Project Top 10 -luettelo on auktoriteetti, joka kertoo, miten useimmat verkkopalvelimet vaarantuvat.
Monesti se ei ole verkkopalvelin tai sen sovellusohjelmisto vaan jokin linkki tai mainos, joka hakkeroidaan. On yleistä, että bannerimainokset, joita yleiset mainostoimistot usein sijoittavat ja kierrättävät, päätyvät saastuneiksi. Koska monet pahantekijät esiintyvät laillisten yritysten liikemiehinä, joilla on yritysten pääkonttorit, käyntikortit ja kulukorvaustilit, ei ole aina helppoa erottaa laillisia mainoslähteitä pahantekijöistä, jotka alkavat usein mainostaa laillista tuotetta vaihtaakseen mainoksessa olevan linkin huijaustuotteeseen sen jälkeen, kun mainoskampanja on jo käynnissä. Eräässä mielenkiintoisemmassa väärinkäytöksessä hakkerit vaaransivat sarjakuvasyndikaatin niin, että jokainen sanomalehti, joka julkaisi uudelleen kyseisiä sarjakuvia, päätyi levittämään haittaohjelmaa. Enää ei voi luottaa edes sarjakuviin.
Toinen ongelma hakkeroitujen verkkosivustojen kanssa on se, että yhtä sivustoa isännöivät tietokoneet voivat usein isännöidä useita sivustoja, joskus satoja tai tuhansia. Yksi hakkeroitu verkkosivusto voi nopeasti johtaa tuhansiin muihin.
Mikäli tahansa sivusto hakkeroitiinkin, viatonta käyttäjää, joka on saattanut vierailla kyseisellä verkkosivustolla vuosia ongelmitta, kehotetaan eräänä päivänä asentamaan odottamaton ohjelma. Vaikka hän on yllättynyt, se, että kehotus tulee sivustolta, jonka hän tuntee ja johon hän luottaa, riittää saamaan hänet ajamaan ohjelman. Sen jälkeen peli on pelattu. Loppukäyttäjän tietokone (tai mobiililaite) on jälleen yksi hammasratas jonkun suuressa bottiverkossa.
Uhka nro 9: Kybersodankäynti
Kansallisten valtioiden kybersodankäyntiohjelmat ovat omaa luokkaansa, eivätkä useimmat tietoturva-ammattilaiset kohtaa niitä päivittäisissä rutiineissaan. Näillä salaisilla operaatioilla luodaan monimutkaisia, ammattimaisia kybersodankäyntiohjelmia, joiden tarkoituksena on valvoa vastustajia tai tuhota vastustajan toiminnot, mutta kuten Stuxnet ja Duqu osoittavat, näiden menetelmien seurauksilla voi olla seurauksia muillekin kuin vain aiotuille kohteille. Nyt meillä on jopa kansallisvaltioita, kuten Pohjois-Korea, jotka kaatavat ja hyväksikäyttävät Fortune 500 -yhtiön, koska se ei pitänyt tietystä elokuvasta.
Rikos ilman rangaistusta
Jotkut uhrit eivät koskaan toivu hyväksikäytöstä. Heidän luottotietonsa ovat ikuisesti arpeutuneet hakkerin vilpillisestä liiketoimesta, haittaohjelma käyttää uhrin osoitekirjaluetteloa lähettääkseen itsensä eteenpäin ystäville ja perheenjäsenille, henkisen omaisuuden varkauden uhrit käyttävät kymmeniä miljoonia dollareita korjaamiseen ja ennaltaehkäisyyn.
Pahinta on se, että melkein yksikään edellä mainittuja pahantahtoisia hyökkäyksiä käyttävistä ei pääse onnistuneesti oikeuteen. Internetin ammattirikolliset elävät suurella rahalla, koska internet ei ole hyvä tuottamaan oikeuskelpoisia todisteita. Vaikka se pystyisikin, epäillyt elävät uhrin oikeuskäytännön ulkopuolella. Suurin osa hakkeroinnista on oletusarvoisesti anonyymiä, ja jäljet häviävät ja peittyvät millisekunneissa. Tällä hetkellä elämme internetin “villin villin lännen” aikaa. Kun se kypsyy, rikollisten turvasatamat ehtyvät. Siihen asti tietoturva-ammattilaisilla on paljon työtä edessään.