Palvelunestohyökkäykset ovat yleistyneet koronan aikana

Mikä on palvelunestohyökkäys ja miksi niitä tehdään?

Palvelunestohyökkäys on verkkohyökkäys, jossa hyökkäyksen tekijä pyrkii aiheuttamaan hyökkäyksen kohteena olevan tietojärjestelmän kuten verkkosivun toimintaan häiriöitä, pahimmillaan jopa estämään kohteen käytön. Palvelunestohyökkäys kestää tyypillisesti muutamia minuutteja, mutta joissain tapauksissa hyökkäys voi olla pidempikestoisempi.

Palvelunestohyökkäykset voi jakaa karkeasti kolmeen eri tyyppiin: volyymiin-, protokollaan ja sovellukseen perustuviin hyökkäyksiin.

Volymetrisissä eli volyymiin perustuvissa palvelunestohyökkäyksissä määrällä on väliä. Volymetrinen palvelunestohyökkäys muodostuu, kun hyökkääjä komentaa hallussaan olevan bottiarmeijan (esim. kaapatut, haittaohjelman saastuttamat ja huonosti suojatut IoT-laitteet) hyökkäämään kohteeseen. Kohteena voi olla esimerkiksi yritykselle tärkeät verkkokaupan edustapalvelimet. Palvelunestotilanne muodostuu, kun kohteena oleva palvelin ei pysty enää prosessoimaan sille kohdistettua suurta liikennemäärää.

Mikäli palveluestohyökkäys onnistuu tavoitteessaan, kohteena oleva palvelu/verkko ei ole käytössä tai sen käyttö hidastuu merkittävästi. Havainnollistava esimerkki voisi olla vaikka kaksikaistainen moottoritie, jonne tulee kymmenkaistaisen moottoritien päivittäinen automäärä kerralla. Äkillisesti syntyneen ruuhkan takia kaikki autot eivät pääse perille odotetussa ajassa. Sama pätee myös verkkomaailmassa – jos lähetetty paketti ei pääse perille tai palvelin ei pysty prosessoimaan sille vastausta, palvelu ei ole silloin saavutettavissa.

Valtaosa palvelunestohyökkäyksistä on nykyisin hajautettuja. Hajautus tarkoittaa, että hyökkäyksen tekemiseen osallistuu useita laitteita, monesti vähintään kymmeniä tai satoja, mutta useimmiten tuhansia tai jopa satoja tuhansia. Palvelunestohyökkäystä varten tekijä pyrkii saastuttamaan tai murtamaan käyttötarkoitukseen soveltuvia haavoittuvia laitteita, kuten IoT-laitteita osaksi bottiverkkoa, jota käskyttämällä laitteet saa hyökkäämään haluttuun kohteeseen lähettämällä hyökkäykseen soveltuvaa verkkoliikennettä.

Yhä yleistyvänä trendinä palvelunestohyökkäyksiä myydään palveluna, mikä on osittain myös laskenut rimaa palvelunestohyökkäyksien tekemiselle. Kuka tahansa voi tilata kohdistetun palveluestohyökkäyksen netin kautta jopa muutamilla kymmenillä dollareilla.

Palvelunestohyökkäyksiä tehdään useista motiiveista. Yleisimpiä syitä ovat mm. politiikka, aktivismi (hacktivism), kiusanteko monenkirjavista syistä ja yhä useammin myös palvelunestohyökkäyksillä uhkailu ja kiristäminen rikollisena ansaintakeinona.

Miten palvelunestohyökkäyksiltä suojaudutaan?

Palvelunestohyökkäyksiltä voi suojautua useilla eri menetelmillä ja teknologioilla. Tarkoituksenmukaisin on kerroksellinen puolustus, jossa torjuntaan osallistuvat useat järjestelmät, kuten volymetristen palvelunestohyökkäysten torjuntaan erikoistuneet järjestelmät, palomuurit ja kuormantasaajat. Myös sovelluspalvelimilla hyödynnetään palvelunestohyökkäysten torjuntaan soveltuvia teknologioita.

Yleisin tapa suojautua volymetrisiltä palvelunestohyökkäyksiltä on reitittää liikenne uudelleen kulkemaan pakettipesurien lävitse, mikä suodattaa haitallisen liikenteen pois rehellisen liikenteen seasta. Näin saadaan liikenteen kuormaa pienennettyä oikealle tasolle, jotta palvelut pysyvät toiminnassa. Mikäli suojaus onnistuu ja toimii, palveluestohyökkäyksen vaikutukset eivät näy tavallisille palvelun käyttäjille ollenkaan.

Palvelunestohyökkäykset Elisan näkökulmasta

Elisan tietoverkkoihin kohdistui viimeisen vuoden aikana kymmeniä tuhansia korkean luokan palvelunestohyökkäyshälytyksiä. Lähes kaikki nämä torjutaan automatiikalla verkkotasolla. Päivätasolla tämä tekee kymmeniä korkean luokan hälytyksiä.

Palvelunestohyökkäysten keskimääräinen volyymi on ollut tasaisessa kasvussa viime vuosien aikana. Koronaepidemian alussa nähtiin myös selvä piikki palvelunestohyökkäysten volyymin kasvussa. Elisaan kohdistuneita palveluestohyökkäyksiä kuvaavassa taulukossa nähdään selvä lineaarinen kasvu vuoden 2020 aikana keskimääräisissä lukumäärissä.

2020 vuoden loppupuolella törmäsimme myös Elisalla yleistyvään trendiin, jossa palvelunestohyökkäyksien avulla pyrittiin kiristämään lunnaita.
Ison palvelunestohyökkäyksen volyymi on noin 10–100 gigabittiä. Maailmalla on nähty yli terabitin hyökkäyksiä, jolloin kohteena ovat olleet isot kansalliset instituutiot ja suuret teknologiayhtiöt.

Kuinka kuluttajana voit vaikuttaa asiaan?

Palvelunestohyökkäyksissä käytettävän bottiarmeijan massa koostuu kuluttajille suunnatuista laitteista. Yksittäinen bottiarmeijan kuuluva laite voi esimerkiksi olla internettiin liitetty jääkaappi, tietokone, tabletti, puhelin, valvontakamera tai viihde-elektroniikkaa. Käytännössä mitä tahansa internettiin liitettyä laitetta voidaan käyttää hyväksi palvelunestohyökkäyksissä.

Jos laitteiden tietoturvasta ei huolehdita asianmukaisesti, saattaa se hyvin todennäköisesti päätyä hyökkäyksen kohteeksi ja liitettäväksi erilaisiin palvelunestohyökkäyksiin käytettäviin bottiverkostoihin.

Huolehtimalla laitteen ajantasaisista päivityksistä, vaihtamalla laitteiden oletussalasanat ja käyttämällä riittävän vahvoja salasanoja yksittäinen kuluttaja pääsee jo pitkälle laitteiden suojauksessa ja tietoturvan varmistamisessa.