- COMP.SEC.100
- 20. Verkon tietoturva
- 20.2 Turvaamisen tavoitteet ja hyökkäysmallit
Turvaamisen tavoitteet ja hyökkäysmallit¶
Haluamme eri toiminnoissamme hyödyntää tietoverkkoja mahdollisimman laajasti, joten tarvitsemme turvallista tiedonsiirtoa. Mutta mitä turvallisuus todella tarkoittaa? Tässä luvussa määritellään yhteisten tietoturvatavoitteiden perusteet verkottuneessa tiedonsiirrossa. Lisäksi tarkastellaan hyökkääjien toimia, jotka pyrkivät jatkuvasti uhkaamaan ja heikentämään turvallisuutta.
Verkkojärjestelmien turvatavoitteet¶
Turvallisten tietoverkkojen suunnittelussa pyritään useisiin toisiaan tukeviin tietoturvatavoitteisiin. “CIA”-malliin tiivistettyinä ne ovat samat kuin aiemminkin tässä materiaalissa: luottamuksellisuus, eheys ja saatavuus. Soveltamalla näitä verkkojärjestelmiin ja käyttämällä sähköpostia esimerkkinä, luottamuksellisuus tarkoittaa, että vain lähettäjä ja vastaanottaja saavat tietää viestin sisällön. Oikeastaan kenenkään asiattoman ei pitäisi edes olla tietoinen siitä, että viesti kulki lähettäjältä vastaanottajalle. Vastaavasti sen lisäksi, että viestin tulee perille muuttumattomana, eheys edellyttää että sähköpostin vastaanottaja havaitsee kaikki siirron tapahtumat sellaisinaan (esim. välittävien palvelinten nimet ja aikaleimat). Saatavuus tarkoittaa, ettei viestin kulku esty eikä viivästy.
Kuten muussakin tietoturvassa, CIA-mallin lisäksi on määritelty muitakin tavoitteita. Sähköpostiesimerkkiä jatkaen aitous eli autenttisuus tarkoittaa, että vastaanottaja voi tietää, että väitetty lähettäjä todella lähetti viestin. Kiistämättömyys lisää aitouteen sen, että vastaanottaja voi todistaa muillekin, että viesti tuli tietyltä lähettäjältä. Toisaalta voidaan tavoitella anonyymiutta, jossa viestin lähettäjää ei ole mahdollista jäljittää. Tämä on hyödyllisempää muissa kuin sähköpostin tapauksessa ja silloin voidaan tavoitella myös vastaanottajan nimettömyyttä. Pitemmälle menevät yksityisyyden suojaan liittyvät tavoitteet, esim. linkittämättömyys, jäävät tämän luvun ulkopuolelle.
Turvatavoitteiden saavuttamiseksi tarvitaan kryptografiaa, jota on kuvattu erikseen teorian ja käytännön tasolla. Ennen kuin alamme sovelta sitä tietoverkkoon, mallinnetaan mahdollisia hyökkäyksiä.
Hyökkäysmallit¶
Hyökkäysmalleilla pyritään ennakolta selvittämään hyökkääjän mahdollista toimintaa, jotta voitaisiin ennakoida ja suunnitella vastatoimia verkkojärjestelmien turvaamiseksi.
Dolev–Yao-hyökkääjämalli kuvaa äärimmäisen vahvaa hyökkääjää, jolla on täysi hallinta verkosta: hän voi tarkkailla kaikkea liikennettä, lukea viestejä, estää tai viivästyttää niitä sekä luoda uusia viestejä käytettävissä olevilla avaimilla. Mallia käytetään erityisesti suojausprotokollien analysoinnissa, koska se edustaa pahinta mahdollista tilannetta.
Todellisuudessa hyökkääjien kyvyt vaihtelevat. Aktiiviset hyökkääjät voivat muokata ja häiritä liikennettä, kun taas passiiviset ainoastaan kuuntelevat sitä. Salakuuntelija voi kerätä esimerkiksi suojaamattomia salasanoja tai maksutietoja, ja jopa salattua liikennettä voidaan joskus analysoida tilastollisesti arkaluonteisen tiedon päättelemiseksi. Hyökkäykset voivat kohdistua myös tiedonsiirtoon, kuten väliintulohyökkäyksissä (MITM), joissa hyökkääjä asettuu osapuolten väliin. Lisäksi yhteyksiä voidaan häiritä väärennetyillä paketeilla tai palvelunestohyökkäyksillä.
Hyökkäyksen vaikutus riippuu sen kohteesta ja laajuudesta. Yksittäiseen käyttäjään kohdistuva hyökkäys on yleensä rajallinen, kun taas esimerkiksi verkkopalvelun tarjoajaan kohdistuva voi häiritä laajoja järjestelmiä. Erityisen tehokkaita ovat hajautetut hyökkäykset, joissa hyödynnetään useita laitteita (esim. bottiverkko), jolloin hyökkäyksen vaikutus kasvaa merkittävästi ja voi kohdistua jopa kokonaisiin palveluihin tai infrastruktuureihin.