Turvaamisen tavoitteet ja hyökkäysmallit

Haluamme eri toiminnoissamme käyttää laajasti tietoverkkoja, joten tarvitsemme tiedonsiirron turvallisuutta. Mutta mitä turvallisuus todella tarkoittaa? Tässä luvussa määritellään yhteisten tietoturvatavoitteiden perusteet verkkottuneessa tiedonsiirrossa. Lisäksi tarkastellaan hyökkääjien valmiuksia, asemaa ja valtuuksia, jotka pyrkivät jatkuvasti uhkaamaan ja heikentämään turvallisuustavoitteita.

Verkkojärjestelmien turvatavoitteet

Turvallisten tietoverkkojen suunnittelussa pyritään useisiin toisiaan tukeviin tietoturvatavoitteisiin. Yleisimmin käytetyt keskeiset turvallisuustavoitteet on tiivistetty CIA-malliin: luottamuksellisuus (confidentiality), eheys (integrity) ja saatavuus (availability). Tietoturvallisuudessa CIA-periaate on yksi keskeisimpiä määrittelyjä, joiden avulla kuvataan, selvitetään ja varmistetaan turvallisuuden olemassaoloa.

Luottamuksellisuus varmistaa, että epäluotettavat osapuolet eivät voi päätellä arkaluonteisia tietoja viestinnästä. Esimerkiksi luottamuksellisessa sähköpostiviestintäjärjestelmässä vain sähköpostin lähettäjä ja vastaanottaja tietävät sähköpostin sisällön, ei kukaan viestintäpolulla (esim. reitittimet tai sähköpostin tarjoajat). Kenenkään muun ei pitäisi edes olla tietoinen siitä, että sähköposti lähetettiin lähettäjältä vastaanottajalle.

Eheys varmistaa, että epäluotettavat osapuolet eivät voi muuttaa tietoja vastaanottajan huomaamatta. Kuten sähköpostiesimerkissä, eheys takaa, että kaikki sähköpostin siirron tapahtumat (esim. sähköpostin lähettämisen, tai matkalla sähköpostin välittävien palvelinten välillä) vastaanottaja havaitsee sellaisenaan.

Saatavuus varmistaa, että kaikki palvelun nimetyt käyttäjät voivat käyttää tietoja ja palveluita silloin kun ne ovat kyseisessä palvelussa määritelty saataviksi. Sähköpostiesimerkissä palvelunestohyökkäyksen (DoS, Denial of Service) toteuttava hyökkääjä voisi pyrkiä uhkaamaan sähköpostipalvelimien saatavuutta sähköpostiviestinnän estämiseksi tai sen viivyttämiseksi.

CIA-mallin kolmen keskeisimmän tietoturvatavoitteen lisäksi on määritelty muutamia lisätietoturvatavoitteita, jotka eivät kuitenkaan kaikki ole toteutettavissa jokaisessa mahdollisessa sovellustapauksessa. Aitous (authenticity) varmistetaan, jos vastaanottaja voi luotettavasti määrittää viestin alkuperän lähettäjälle. Esimerkiksi sähköposti on aito, jos vastaanottaja voi varmistaa, että todennettu lähettäjä todella lähetti tämän sähköpostin. Kiistämättömyys (non-repudiation) lisää aitoutta niin, että voimme todistaa aitouden mielivaltaisille kolmansille osapuolille, eli sallia julkisen todentamisen. Sähköpostiesimerkissä kiistämättömyys sallii sähköpostin vastaanottajan todistaa muille, että sähköpostiviesti tulee tietyltä lähettäjältä. Anonyymiys (anonymity) tarkoittaa sitä, että kommunikointitapahtumaa ei ole mahdollista jäljittää sen toteuttaneisiin osapuoliin (lähettäjän nimettömyys) ja/tai vastaanottajalle (vastaanottajan nimettömyys). Esimerkiksi jos hyökkääjä lähettää väärennetyn sähköpostin, jota ei voida luotettavasti jäljittää todelliseen lähettäjään (esim. hyökkääjän oikeaan henkilöllisyyteen), se on anonyymi. Lisäksi yksityisyyden suojaan liittyvät takuut, esim. linkittämättömyys, menevät tämän luvun soveltamisalan ulkopuolelle.

Turvallisuustavoitteiden saavuttamiseksi on luotettava vahvasti salaustekniikoihin, kuten symmetrisiin ja asymmetrisiin (julkisten avainten) salausmenetelmiin ja allekirjoituksiin, salaus- ja estosalaimiin, sekä hajautukseen ja digitaaliseen allekirjoitukseen. Näitä on kuvattu sovelletun kryptografian tietoalueella. Ennen kuin selvitämme, kuinka voimme käyttää näitä tekniikoita ja suojata tietoverkkoja, käsitellään hyökkäysmalleja, joiden avulla pyritään tunnistamaan mahdolliset verkkojärjestelmiä vastaan tapahtuvat hyökkäykset.

Hyökkääjämallit

Hyökkääjämallit ovat keskeisimpiä mekanismeja, joilla pyritään ymmärtämään tietoverkkojärjestelmien suojauksia. Ne määrittävät hyökkääjien kyvyt suorittaa hyökkäyksiä ja heidän mahdolliset pääsymekanisminsa verkkoon. Näillä pyritään ennakolta selvittämään hyökkääjän mahdollisia toimia hyökkäyksen toteuttamiseksi, jotta voidaan ennakoida ja suunnitella vastatoimia verkkojärjestelmien turvaamiseksi.

Dolev-Yao -hyökkääjämallia käytetään usein analysoitaessa suojausprotokollia tutkimuskirjallisuudessa. Dolev-Yao-malli olettaa, että hyökkääjällä on täydellinen hallinta koko verkon yli ja samanaikaiset hyökkäykset samoihin protokolliin myös useamman hyökkääjän toimiesta ovat mahdollista. Dolev-Yao-malli kuvaa pahinta mahdollista hyökkääjää, joka näkee kaiken verkkoviestinnän, jolle kaikkien viestien lukeminen on sallittu, joka voi estää tai viivästyttää minkä tahansa viestin lähettämistä, kopioida viestejä tai muuten syntetisoida kaikki viestit, joihin hyökkääjällä on asiaankuuluvat salausavaimet (jos sellaisia on).

Kontekstista riippuen todellisilla hyökkääjillä voi olla enemmän tai vähemmän hyökkäysmahdollisuuksia. Voimme esimerkiksi tehdä eron aktiivisten ja passiivisten hyökkäysten/hyökkääjien välillä. Aktiiviset hyökkääjät, kuten Dolev-Yao, voivat manipuloida tietopaketteja. Sitä vastoin passiiviset hyökkääjät (salakuuntelijat) havainnoivat, mutta eivät muuta viestintää tai tiedonsiirtopaketteja. Salakuuntelija voi esimerkiksi kaapata verkkoliikenteen käyttämällä pakettien hakutyökaluja luottamuksellisten tietojen saamiseen. Esimerkiksi salasanojen ja luottokorttitietojen poiminta viesteistä mikäli viestinä on suojaamatonta/salaamatonta. Vaikka viestintä olisikin salattua, hyökkääjät saattavat kyetä hyödyntämään tilastollisia hyökkäysmalleja arkaluonteisen viestintäsisällön päättelemiseksi. Lisäksi teemme eron hyökkäysten toteutuksien välillä. Paras esimerkki tiedonsiirtoa häiritsevästä hyökkäyksestä on väliintulohyökkäys (MITM, Man-in-the-Middle), jossa hyökkääjä asettuu kahden kommunikoivan osapuolen välille havaitakseen viestintätapahtumat. Sitä vastoin passiiviset tiedonsiirtotiehen kohdistuvat hyökkääjät eivät voi reaaliajassa nähdä eivätkä suoraan manipuloida osapuolten välistä viestintää. Silti myös nämä hyökkääjät voivat aiheuttaa vakavaa haittaa esimerkiksi toteuttamalla erilaisia spoofing hyökkäyksiä, kuten lähettämällä väärennettyjä TCP-paketteja, joiden tarkoituksena on lopettaa osapuolten välisiä TCP-liikenneyhteyksiä. Samoin hyökkääjät voivat toteuttaa väärennettyjä protokollapaketteja pyrkiäkseen haittaamaan tiedonsiirtoyhteyksiä tai toteuttaakseen palvelunestohyökkäyksiä (DoS).

Lisäksi hyökkäyksen toteutus ja kohdistaminen vaikuttaa siihen, miten hyökkäys haittaa tiedonsiirtoa tai verkon toimintaa. On selvää, että yksittäiseen verkon käyttäjään kohdistettu hyökkäys on vähemmän haitallinen kuin esimerkiksi kokonaista verkkopalvun tarjoajaa (ISP, Internet Service Provider) vastaan tehty hyökkäys. Yksittäinen käyttäjä voi hyödyntää suhteellisen pientä kaistanleveyttään hyökkäysten käynnistämiseen, kun taas Internet -palveluntarjoaja voi yleensä myös seurata tietovirtoja ja tarvittaessa muuttaa niitä sekä käyttää paljon suurempia tiedonsiirron kaistanleveyksiä liikennöinnissä. Mikäli hyökkääjä yhdistää monien yksittäisten käyttäjien/laitteiden voiman (esim. botnetin muodossa), niiden kokonaisteho sekä vaikutus moninkertaistuu. Näin hyökkääjät voivat lamauttaa tai saada hallinnan internetpalveluihin, verkon laitteisiin tai järjestelmiin.

Kysymys 1

Mikä on CIA-mallin tehtävä tietoturvaa tavoiteltaessa?

Varmistaa, ettei hyökkääjä pääse verkon tietoihin käsiksi.

Estää hyökkääjän yritykset kirjautua palvelimille.

Auttaa varmistamaan ja selvittämään tietoturvan tilaa ja olemassa oloa.

Auttaa puolustautujaa saamaan hyökkääjä kiinni ja selvittämään hyökkääjä.

Varmistaa viranomaismääräysten mukainen turvallisuustaso yrityksissä.

Opastaa verkon ylläpitäjää estämään hyökkäykset.

Palautusta lähetetään...