Mustalla taustalla koodeja ja numeroita

Tietoturvaa harmauteen

Jenny Heino

Käytämme päivästämme merkittävän ajan yhteydessä internettiin. Työmme, tai opintomme, saattavat vaatia jatkuvaa etäyhteyttä tai toistuvaa tiedonhakua. Vapaa-ajallamme vahtaamme puhelimeen ilmestyviä viestejä ja sosiaalista mediaa. Kaiken aikaa bitit viuhuvat käsittämätöntä vauhtia meidän ja kenties maapallon toisella puolella sijaitsevan etäkoneen välillä. Tämänkin sivun lataamiseksi sinun laitteesi vaihtoi etäkoneen kanssa arviolta noin neljä miljoonaa bittiä, eli ykköstä ja nollaa.

Miten tuon kaltaisesta ykkösten ja nollien loputtomasta virrasta voi tunnistaa, että yhteys onkin pahantahtoinen? Miten voi välttää pahantahtoisten verkkoyhteyksien päätymisen omalle laitteelle? Tämän ongelman ratkaistakseen monet hankkivat verkkonsa eteen sitä tarkastelevia tietoturvalaitteita, esimerkiksi palomuureja, jotka osaavat pysäyttää liikenteen seasta löytyvät hyökkäysyritykset.

Suojaajan näkökulmasta verkkoliikenteestä on usein helppo tunnistaa kahdenlaisia yhteyksiä: selvästi hyväntahtoiset ja selvästi pahantahtoiset. Suurin osa verkkoliikenteestä on hyväntahtoista – ainoastaan hyvin harvoin löytyy joukosta yhteyksiä, jotka oikeasti pyrkivät tuottamaan haittaa vastaanottajalleen. Mutta hyvän ja pahan liikenteen välissä on harmaa alue, josta ei välttämättä voi nopeasti sanoa onko kyseessä hyökkäys vai mahdollisesti ainoastaan rikkinäistä liikennettä lähettävä, huonosti toteutettu ohjelmisto. Yllättävän usein myös mainostajat hyödyntävät hyökkäyksistä tuttuja tekniikoita yrittäessään väistellä jatkuvasti yleistyviä mainostenestokeinoja, eli ad blockereita.

Tällä harmaalla alueella voi olla hyvin merkityksellistä mikä laite liikennettä lähettää ja mikä sitä vastaanottaa. Liikenne, joka on yhdelle ohjelmalle täysin normaalia, saattaa aiheuttaa toisen ohjelman kaatumisen. Tälläinen ero käytöksessä voi esimerkiksi olla kahden eri selaimen välillä – liikenne, mikä on täysin vaaratonta Firefoxille, saattaakin aiheuttaa Chromen kaatumisen. Tässä esimerkissä liikenne pitäisi siis osata pysäyttää, jos sitä vastaanottamassa on Chrome, mutta sen voi huoletta sallia, jos vastaanottajana onkin Firefox.

Tutkijat ovat esittäneet monia erilaisia keinoja tunnistaa verkkoliikenteestä, mitkä ohjelmat liikennettä lähettävät. Erityisen mielenkiintoisia ovat niin sanotut sormenjälkialgoritmit, jotka osaavat melko tarkasti erottaa esimerkiksi eri selaimet toisistaan. Tämä antaa tietoturvatutkijoille arvokasta lisätietoa kyseisestä yhteydestä.

Huomionarvoista kuitenkin on, että mikäli hyväntahtoiset osapuolet voivat verkkoliikenteestä tunnistaa keskustelevat ohjelmat, samoin voivat sitä sivusta tarkkailevat hyökkääjät. Hyökkääjän on merkittävästi helpompi valmistella kohdennetu hyökkäys, mikäli hän tietää kohteella olevan käytössä vanha, haavoittuva ohjelmisto. Tietoturvan kannalta olisikin suotavinta, että suojaava laite pystyisi hyödyntämään tunnistuksessa keinoja, joita hyökkääjä ei voi käyttää. Tämän toteutuminen vaatii usein yhteistyötä suojaavalta ja suojattavalta laitteelta: kun suojattu laite luottaa suojaajaan, voi se antaa tälle lisätietoa, johon hyökkääjä ei pääse käsiksi. Näin taataan suojaajalle parempi näkyvyys liikenteeseen ilman, että sama tieto on pahantahtoisten osapuolten saatavilla.

Jenny Heino

Kirjoittaja on osa-aikainen tohtorikoulutettava, joka toimii pääaikaisesti tietoturvatutkijana tietoturvayhtiö Forcepoint LLC:llä. Hän tutkii väitöskirjassaan keinoja lähdeohjelmiston tunnistamiseksi verkkoliikenteestä.