Tietoturva-arjen kysymyksiä ja vastauksia kirjan perusteella
Ohje: Valitse nimikoimaton tehtävä alla olevasta luettelosta. Nimikoi se eli kirjoita nimesi sen alkuun numeron jälkeen. Tämän voit tehdä jo ennen kuin edes saat kirjaa haltuusi. Laadi 100-150 sanan mittainen vastaus määräaikaasi mennessä tehtävän alle. Merkitse tehtävän numero Moodlessa olevaan taulukkoon, jossa kirja- ja pj-vuorot jaetaan. Jos käytät myös jotain muuta kuin omaa ja kirjan tietämystä, merkitse lähdeviite.
Jeffrey Carr, Lewis Shepherd: Inside Cyber Warfare, 2009
Verkosta on saatavilla näytteenä kirjan ensimmäinen luku, jossa kybersodan ongelmaa kartoitetaan. Käsitteen suomennoksena pitäisi käyttää tietoverkkosodankäyntiä, mutta kelvatkoon kybersota lyhyytensä ansiosta tässä yhteydessä. Kirjoittaja varoittaa, että kirjan jäsentely on sekava ja se pätee jo ensimmäiseen lukuun. Kirjassa on käsitelty runsaasti tapauksia ja teorian kehittelyn osuus on melko pieni. Kirjavastauksia varten on tarpeen etsiä erityisesti juuri teoriajaksoja yleistyksineen, hypoteeseineen, johtopäätöksineen ynnä muineen. Ensimmäisen luvun perusteella on tehty kolme ensimmäistä kysymystä.
1. Arttu N. (2012-s). Miten kirjassa määritellään käsitteet kybersota, -rikollisuus, -vakoilu ja mitä sanotaan niiden yhteydestä toisiinsa? Mainitse lyhyesti esimerkkejä.
Cyberwarfare eli vapaasti suomennettuna verkkosodankäynti. Kirjassa mainitaan että verkkosodankäynnille ei ole tällä hetkellä olemassa mitään yleistä kansainvälistä määritelmää, mutta kuitenkin McAfeen vuoden 2008 virtuaalisen rikollisuusraportin mukaan on olemassa kuitenkin yli 120 valtiota jotka käyttävät internettiä poliittisiin, sotilallisiin ja taloudellisiin vakoilutarkotuksiin. 1900- ja 2000-luvulla verkkosodankäynnin esimerkkejä esitetään kirjassa Kiinasta, Israelista, Venäjältä, Iranista ja Pohjois-Koreasta. Esimerkkinä verkkosodankäynnistä voidaan käyttää kirjassa esiintyvää heinäkuun neljäntenä 2009 tapahtunutta lievää DDos-hyökkäystä, jonka kohteena oli Valkoisen talon ja eräät muut valtion nettisivut Yhdysvalloissa . Myöhemmässä vaiheessa kohteena oli myös Etelä-Korean valtion nettisivuja sekä joitain yksittäisten henkilöiden nettisivuja. Pääepäiltynä näissä DDoS-hyökkäyksissä oli Pohjois-Korea, mutta syyllisyydestä ei ollut vielä tietoa kun kirja julkaistiin. Kansanedustaja Pieter Hoekstra on yrittänyt painostaa teon jälkeen Yhdysvaltoja tekemään verkkohyökkäyksiä Pohjois-Koreaan.
Cybercrime eli verkossa tapahtuva rikollisuus rajataan kirjassa erilleen verkkosodankäynnistä, lainvalvonnan kohteeksi ja erityisesti siis poliisi tehtäväkentälle. Asiat kytkee kuitenkin toisiinsa se, että ns. normaalissa verkkorikollisuudessa yleensä omaksi hyödyksi kehitetyttyjä haittaohjelmia käytetään mahdollisesti myöhemmin verkkosodankäynnissä. Vuonna 2009 Gartner Researchin tekemän raportin mukaan taloudelliset petokset olivat kasvaneet 47% vuodesta 2007 vuoteen 2008, johon sisältyi 687 luvatonta datarikkomusta. Chris Hoofnagle arvioi verkossa tapahtuvan rikollisuuden olevan 10 miljardin kokoinen rikollisuuden ala. Verkossa tapahtuvan rikollisuuden tarkkaa laajuutta ei kuitenkaan tiedetä.
Cyber espionage eli verkossa tapahtuva vakoilu on määrittelyltään kokonaisvaltaisempi kuin verkkosodankäynnin alla tehdyt yksittäiset hyökkäykset. Kirjan mukaan Kiina on johtava valtio verkossa tapahtuvan vakoilun osalta ja suorittaa verkkovakoilua eniten globaalissa näkökulmassa. Joulukuussa 2007 Jonathan Evans Englannin MI5-palvelusta ilmoitti että 300 englantilaista yritystä on hyökkäyksen kohteena ja hyökkäyksen tekijänä olivat kiinalaiset organisaatiot. Verkossa tapahtuva vakoilu on pääosin eri valtioiden suorittamaa ja päätavoitteena on saada tietoa vieraan valtion laitoksista tai yrityksistä, jotka tekevät yhteistyötä valtion kanssa. Kun verkossa tapahtuvaa rikollisuutta pidettiin kirjan mukaan haittaohjelmien rakentamisen laboratoriona ja näitä samoja ohjelmia käytetään myös verkkosodankäynnissä niin on myös mahdollista, että samoja haittaohjelmia käytetään verkkovakoilussa.
Verkossa tapahtuva rikollisuus on pääosin yksilöllisen hyödyn saavuttamiseksi, kun verkkosodankäynti ja verkkovakoilu on valtioiden suorittamaa organisoitua toimintaa, jonka avulla pystytään saamaan tietoa vieraan valtion toimista tai aiheuttamaan suoraa haittaa toisen valtion internetsivuille, verkkoyhteyksille tai vastaaville.
2. Mikko Koivisto (2011-k). Millaisen skenaarion kirjoittajat esittävät luvussa 1 kybersodan seurauksiksi yhteiskunnan kriittisille rakenteille? Miten hyvin he perustelevat skenaarion todennäköisyyttä?
Inside Cyber warfare -kirjassa esitetään uhkakuva, jossa 70% USA:n ydinvoimalaitosten ytimistä on joko osittain tai kokonaan sulanut. Tästä seurauksena sähköverkko ylikuormittui eikä sähköä riittänyt kaupunkialueilla. Rikollistoiminta lisääntyi eikä poliisi pystynyt vastaamaan kaikkiin hätäpuheluihin. Suoraan uhkakuvaan liittyviä kuolemia on kymmeniä tuhansia ja säteilyn aiheuttamat epäsuorat kuolemat satojatuhansia.
Skenaarion toteutukseksi kirjoittaja maalailee käytettävän Cornflicker D -bot-verkkoa, johon kuuluu 30 miljoonaa konetta. Näillä aiheutetaan palvelunestohyökkäys ydinvoimaloihin. Ydinvoimaloiden sisäisiin palomuureihin päästiin käsiksi palvelimiin piilotetulla ohjelmistolla. Hyödyntämällä sosiaalisia verkostoja ylläpitäjät saatiin asentamaan puhelimeen sovellus, jonka avulla hyökkääjät pääsivät sisäverkkoon käsiksi.
Vaikka hyökkäys tapahtuikin, siihen ei olemassa olevalla turvapolitiikalla pystytty varautumaan. Pakollinen G3 eli Gates, Guards, Guns ei estä tietoturvapuutteita.
Mielestäni skenaario on mahdollinen, tosin näinkin pitkäaikaisen valmistautumisen aikana pitäisi tunkeutumisia havaita.
3. Antti Niemelä (2011-k). Mitkä seikat tekevät Afrikasta vaarallisen lähitulevaisuudessa?
Kirjan mukaan Afrikan IT-expertit arvioivat, että 80% maanosan tietokoneista ovat saastuneita. Syy tartuntojen laajaan levinneisyyteen ovat köyhyys ja sen mukanaan tuomat ongelmat. Hyvin suurella osalla väestöstä ei ole varaa hankkia maksullista virusturvaa. Ilmaisversiotkaan eivät korjaa ongelmaa täysin, koska niiden ajantasalla pitäminen vaatii jatkuvaa päivittämistä, joka Afrikan yhteysnopeuksilla on hyvinkin vaivalloista. Sama ongelma koskee käyttöjärjestelmiä, jotka monasti ovat piraattiversioita. Piraattiversiot itsessään voivat sisältää takaovia, troijalaisia yms. haittaohjelmia. Käyttöjärjestelmän päivittäminen vaatii usein suuriakin tiedonsiirtomääriä, jotka eivät ole hitailla yhteyksillä "järkeviä". Tässä viittaus sanaan järkevä ei tarkoita, etteikö päivittäminen olisi fiksua, vaan enemmänkin menetelmään, jolla se toteutetaan. Ongelmallista on myös Microsoft Windows:n piraattiversioiden sulkeminen päivityksien ulkopuolelle, jolloin nopeallakaan yhteydellä ei voida saavuttaa riittävän turvallista käyttöjärjestelmää.
Haittaohjelmat siis pääsevät hyvinkin vapaasti leviämään koneelta toiselle Afrikassa. Se, mikä tekee Afrikasta mahdollisesti uhan tulevaisuudessa, on maanosan liittäminen muuhun maailmaan nopeilla kuituyhteyksillä. Tällöin saastuneita koneita voidaan käyttää osana suurta bot-nettiä ja toteuttaa hyvinkin laajoja hyökkäyksiä yksittäisiä organisaatioita tai jopa yksittäisen maan palveluita vastaan. Kirjassa arvellaankin, että 10 miljoonan bot-netillä voidaan hyvinkin lamauttaa yhden länsimaan tietoliikenneyhteydet. Ongelman ratkaisemiseen kirjan kirjoittaja ehdottaa Microsoftin piraattiversioita koskevan päivittämisen rajoituksen poistamista tai mahdollisesti Windows-käyttöjärjestelmien vaihtamista Linux-versioihin.
4. Eemil Vaisanen (2011-k). Millaisia ovat valtiollinen ja ei-valtiollinen kybersota ja niiden välimuodot? (Luku 2)
Luku käsittelee sodan siirtymistä tietoliikenneverkkoihin ja haktivismin mukanaan tuomaa ilmiötä, jonka seurauksena valtioiden väliset konflliktit heijastuvat myös tietoverkkoihin erilaisten ei-valtiollisten tahojen suorittamina hyökkäyksinä. Haktivismin ilmenemistä tarkastellaan kahden eri kansainvälisen konfliktin näkökulmasta. Molemmille tapauksille on yhtenäistä, että hakkeriryhmät jakavat hyökkäyksiin tarvittavia työkaluja, ohjeita ja kertovat sopivista kohteista muille käyttäjille, joilla usein on huomattavasti heikommat tekniset taidot, mutta sitäkin vahvempi halu osallistua kybersotaan. Valtioiden intressinä on usein suojella tai katsoa läpi sormien tällaista toimintaa, sillä valtio ei ole siitä suoranaisesti vastuussa, mutta hyötyy sen tuomista strategisista eduista.
Vuonna 2008 syttyneen Venäjän-Georgian sodan sekä Viron patsaskiistan yhteydessä Venäjällä muodostui organisoituja nationalistisia hakkeriryhmittymiä, jotka tekivät pääasiassa hajautettuja palvelunestohyökkäyksiä (DDoS) kohdemaan verkkopalveluja kohtaan. Erityisesti Georgian sodan yhteydessä useat Kremliä lähellä olevat nuorisojärjestöt, kuten Naši, ilmoittivat osallistuvansa kybersotaan "taistelemaan Venäjän vihollisia vastaan".
Venäjän lisäksi kirjassa käsitellään Israelin ja Palestiinan välistä konfliktia ja sen synnyttämiä kybersodankäynnin ilmiöitä, jotka muistuttavat paljon Venäjällä ilmennyttä nationalistista haktivismia. Useat Israelin valtion ja israelilaisten yritysten verkkosivut joutuivat hyökkäysten kohteeksi. Muslimihakkereiden hyökkäykset erosivat kuitenkin venäläisten vastaavista siinä, että DDoS-hyökkäysten sijaan sivustoja turmeltiin hakkerien graffitein ja domaineja ohjattiin alkuperäisen sivuston sijaan hakkereiden graffitisivuille. Israelilaiset ovat ryhtyneet vastatoimiin sekä valtiollisella että haktivismin tasoilla. Valtio värvää maahanmuuttajia ja vieraiden kielten osaajista levittämään israelilaismielisiä kommentteja blogeihin ja keskustelupalstoille. Israelilaiset opiskelijat ovat lisäksi kehittäneet "vapaaehtoisen bot-netin", johon isänmaalliset israelilaiset voivat osallistua asentamalla tietokoneelleen Patriot-nimisen ohjelman. Ohjelmaa käytetään keskitetysti johdettujen DDoS-hyökkäysten tekemiseen, eikä käyttäjä itse pysty ohjaamaan Patriotin toimintaa.
5. Jussi Kaatiala (2011-s). Luku 3 pohtii kybersodan määritelmää lailliselta kannalta. Mikä merkitystä sillä on, että jokin toiminta nimetään sodaksi ja jotakin toista ei, ja mitä ongelmia kybertyyppinen sota tässä aiheuttaa? (Tähän liittyy myös luku 4.)
Sotatilassa noudatetaan kansainvälisiä sotatilaa ja siihen ajautumista koskevia säännöstöjä ja lakeja. Ei-sotatilassa hyökkäykset pyritään selvittämään kansainvälistä oikeutta käsittelevien sopimusten kautta ja hyökkäykseen osallistuneet rikolliset saatetaan valtioiden yhteistyöllä oikeuden eteen.
Kyberhyökkäyksen torjunnassa voidaan käyttää ns. passiivisia tai aktiivisia puolustuskeinoja. Passiiviset puolustuskeinot ovat hyökkäyksen kohteeksi joutuneen organisaation sisällä tehtäviä toimenpiteitä, kuten liikenteen rajoittaminen tai palvelujen uudelleenjärjestely. Aktiiviset puolustuskeinot kattavat organisaation ulkopuolelle (esimerkisi hyökkääjän järjestelmiin) kohdistuvat toimenpiteet.
Kybersodankäynnissä hyökkäykset voivat olla joko valtion hallinnon tai valtion alueella olevien itsenäisten toimijoiden organisoimia. Useissa operaatioissa (mm. vuoden 2008 Etelä-Koreaa vastaan kohdistunut kyberhyökkäys) valtiot eivät myönnä suoraan organisoineensa kyberhyökkäystä. Keskeinen ongelma on, onko valtio toiminut aktiivsesti ja riittävällä laajuudella hyökkäyksen tekijöitä kohtaan, vai onko se sallinut mahdollisesti valtiolle edullisen hyökkäyksen tapahtumisen. Jos valtion ei katsota toimineen riittävän laajasti hyökkäyksen estämiseksi tai jopa sallineen sen, voidaan kybersodan julistaminen nähdä Jus ad bellumin, eli sodan julistamisen oikeuttavan säännöstön mukaan oikeutettuna.
Sodan julistuksen jälkeen aktiivisten puolustuskeinojen käyttö toisen valtion alueelle voidaan perustella lailliseksi toimenpiteeksi ja siirrytään oikeutetun sodan, Jus in bellon, piiriin. Jus in bello määrittelee mm. sotatoimien laajuuden ja käytettävän voiman. Hyökkäyksessä tulisi lamauttaa vain vaaraa aiheuttavat osat ja minimoida muut tuhot. Aktiivisten puolustusten käytössä tulisi pyrkiä tunnistamaan hyökkääjän alkuperä, käytetyt järjestelmät ja niiden merkitys hyökkääjämaan talous- ja muulle elämälle ylimääräisten tuhojen välttämiseksi. Tämä asettaa kyberhyökkäysten tarkan analysoinnin vaikeuden vuoksi suuren haasteen järjestelmäasiantuntijoille hyökkäystilanteen torjunnassa. Käyttääkö aktiivisia puolustuskeinoja paremman puolustuksen saavuttamiseksi puutteellisen tiedon pohjalta? Onko hyökkääjän alkuperä tarpeeksi hyvin selvitetty? Liian laajojen aktiivisten puolustuskeinojen käyttö saattaa lamauttaa kriittisiä järjestelmiä kohdemaassa ja rikkoa Jus in bello -säännöstöä.
6. Joonas Koivunen (2011-s). Sodankäynnin oleellinen osa on tiedustelu. Millä tavoin tämä ilmenee kybersodassa?
Tiedustelu, eli erilainen tietojen keruu on tärkeää kaikenlaisessa sodankäynnissä, lähtien järjestäytyneen rikollisuuden torjunnasta aina kybersotaan ja tosielämän sodankäyntiin. Tiedustelutietoa tarvitaan pyrittäessä ennakoimaan ja siten rajoittamaan itseen kohdistuvia hyökkäyksiä, ja samoin hyökkäystilanteessa.
Ennakoimiseen kirja tarjoaa kolme lähestymistapaa; passiivisen tarkkailun, aktiivisen "perinteisiin tiedustelumenetelmiin" pohjautuvan ja kolmannen, tutkimustiedosta mallinnetun ennakkovaroitusjärjestelmän. Passiivisessa tarkkailussa painotetaan Internetin erinäisten keskustelualueiden valvontaa. Tämä on raskasta ja tuottaa yksinään hyvin harvoin mitään tuloksia, mutta joskus kuitenkin vahinkoja tapahtuu hyökkääjän leirissä ja niistä voidaan saada paljon irti. Aktiivisempia menetelmiä ovat vakoilu ja soluttautumiset erilaisiin organisaatioihin. Kirjassa listataan tälläisiksi kohteiksi yleisesti hakkeri-alamaailma ja poliittiset järjestöt, kuten esimerkiksi eri maiden kansallismieliset nuorisojärjestöt. Kumpikaan lähestymistavoista ei yksinään ole riittävä vaan molempia tarvitaan, puhumattakaan kaiken saadun tiedon analysoinnin tärkeydestä.
Kolmantena lähestymistapana on Project Grey Goose - tutkimuksessa saatujen tietojen pohjalta kehitetty tapahtumamalli, jolla voidaan selittää tutkimuksessa läpikäytyjä tapauksia. Tässä mallissa hyökkäys koostuu korkeintaan viidestä vaiheesta; olemassaolevat jännitteet, hyökkääjän tiedustelutoiminta, jännitteiden laukeaminen, kyberliikekannallepano, kyberhyökkäys. Mallilla voidaan selittää niin poliittisisia kuin rikollisisia eli rahallisista lähtökohdista tehtyjä hyökkäyksiä; tietyt välivaiheet vain jäävät pois. Esimerkiksi "olemassaolevat jännitteet", "jännitteiden laukeaminen", "kyberliikekannallepano" eivät välttämättä ole olennaisia rikollisen hyökkäyksen yhteydessä, vaikka hyökkääjät saattavatkin hyötyä senhetkisistä tapahtumista. [vrt. kysymys 11.]
Olemassaolevat jännitteet sisältää mitä tahansa ajankohtaisia ongelmia asiaa pohtivan puollustajan ja mahdollisen hyökkääjän välillä. Georgian kyberhyökkäysten tapauksessa kyseessä olivat Venäjän ja Georgian väliset jännitteet (NL:n hajoaminen, Georgian itsenäistyminen, jne.). Hyökkääjän tiedustelutoiminta -vaiheen aikana hyökkääjä kartoittaa esimerksi SQL-injektiohyökkäykselle alttiit sivustot, käytössä olevat ja haavoittuvaiset palvelinohjelmistot. Lisäksi alkaa hyökkäystyökalujen valmistelu. Jännitteiden laukeamisella kuvataa tapahtumaa, joka sysää kaiken liikkeelle; tapahtuu salamurha, mellakoita tai Tanskassa julkaistaan profeetta Muhammedista pilapiirrustuksia. Kyberliikekannallepanolla tarkoitetaan joukkojen julkista yllytystä hyökkäämään, aikaisemmin valmisteltujen yksinkertaisempien työkalujen jakamista suurelle yleisölle. Tämä tapahtuu yleisillä ja suljetuilla keskustelualueilla. Tässä vaiheessa saatetaan myös suorittaa viimeisiä valmistelutoimenpiteitä kuten rekisteröidä uusia domain-nimiä. Viimeisessä vaiheessa eli kyberhyökkäyksessä suuri yleisö käyttää heille jaettuja työkaluja, kun samalla pienempi yhteisö tekee ylikuormituksen alla oleviin kohteisiin tarkempia ja tarkoituksenmukaisempia iskuja, kuten tietovarkauksia tai sabotointia.
Kybersodassa yksi lähestymistapa ei riitä. Passiivinen tarkkailu tai lähteiden jäljittämisyritykset yksinään voivat johtaa täysin vääriin lopputuloksiin, koska hyökkääjä ei todennäköisesti näytä hyökkäävän koti-ADSL -yhteytensä ylitse vaan hallitsee hyökkäysalustojaan yhden tai useamman välityspalvelimen kautta. Yhdessä muiden lähestymistapojen kanssa voidaan pystyä muodostamaan tieto siitä, kuka on hyökkäyksen takana tai mitä hyökkäyksellä halutaan saavuttaa, kenties jopa ennen itse hyökkäystä.
Ylläkuvattu aktiivinen tiedustelumenetelmä on hyödyllinen myös hyökkääjälle. Muuten hyökkääjän on toteutettava tiedustelutoimintansa mallin tiedustelutoiminta -vaiheen selityksen mukaisesti eli selvitettävä mistä komponenteista (ohjelmistot ja niiden versiot, käyttöjärjestelmät, laitteet) turvakerrokset halutun kohteen ympärillä rakentuvat. Kun tarvittavat tiedot on hankittu, voidaan suunnitella, toteuttaa ja testata tarvittavat hyökkäystyökalut.
7. Juhana Jaakkola (2012-k). Mikä on sosiaalisten www-palveluiden merkitys kybersotamaisen toiminnan yhteydessä?
Kirja käsittää sosiaalisiksi palveluiksi sosiaalisen median, keskustelufoorumit, blogit ja seitit. Luku 6 aloittaa heti suoralla vastauksella kysymykseen: sosiaaliset palvelut ovat välttämättömiä hakkereiden ja verkossa toimivien tahojen työkaluja. Sosiaaliset palvelut ovat tukitoimintoja, joissa "rekrytoidaan", koulutetaan, koordinoidaan ja kerätään taloudellista tukea. Niitä käytetään siis varsinaisten kybersodan "hyökkäystoimien" valmisteluun, esimerkiksi niissä kerätään vapaaehtoisia ja etsitään haavoittuvuuksia. Ne ovat näytelleet merkittävää roolia esimerkisi Georgian sodan aikaisessa kyberaktivismissa, ollen merkittävä kokoontumis- ja tiedonlevityspaikka venäläisille aktivisteille. Tyypillisesti jokaisella aktivistiryhmittymällä, esimerkiksi kansallismielisillä tai uskonnollisilla, on oma sosiaalisten palveluiden verkko, joita käytetään em. toimintoihin. Sosiaalisia palveluita voidaan käyttää myös "sodanlietsontaan" pilkkaamalla ja halventamalla vastapuolta.
Sosiaalisia verkkoja voidaan kirjan mukaan käyttää myös tiedon keräämiseen. Tietoja keräävät niin valtiolliset tiedustelupalvelut kuin rikolliset ja aktivistitkin. Hyvä puoli niissä on aktivistien kannalta, että niissä voidaan toimia anonyymisti, ja pienellä kiinnijäämisen riskillä. Erityisesti sotilashenkilökunnan ja hallitusten työntekijöiden tilit esim. MySpace:ssa ovat kiinnostuksen kohteena. Kirja mukaan tällaiset tilit ovat aiheuttaneet ongelmia varomattoman tiedonlevityksen takia. Kirjan mukaan tiedon keräämistä tehdään yhä enemmän erilaisten automaattisten toimintojen kautta, kuten roboteilla. Roboteilla voidaan simuloida oikeita henkilöitä ja heidän sosiaalista verkostoaan sosiaalisessa mediassa, ja niillä voidaan joko kerätä tietoa tai yrittää kadottaa oikeita henkilöitä virtuaalisten joukkoon. Automatisoituja tilejä voidaan käyttää yhdenlaiseen palvelunestohyökkäykseen, yrittämällä kirjautua sisään kaikilla tunnuksilla yhtä aikaa. Näitä palveluita voi myös ostaa cyber-rikollisilta.
8. Juho Blankenstein (2011-s). Miksi luvun 7 otsikko on ”Follow the Money”?
Luvussa puututaan modernin sodankäynnin ongelmiin, joita ei ennen ollut edes olemassa. Kybersodankäynnistä johtuen vihollisten tunnistaminen tai edes heidän kansalaisuuksien määrittäminen on ensisilmäykseltä mahdotonta. Netissä käytävät taistelut aiheuttavat kuitenkin hyökkääjälle pakollisia kustannuksia. Otsikon nimi tulee tästä ideasta, eli joku on maksanut hyökkääjän tarvitsemat tietoliikenne-, ohjelmisto- ja sivujen ylläpitokustannukset. Hyökkääjän tunnistamiseksi seurataan, kuka on maksanut nämä kulut.
Henkilön rekisteröidessä internet- domainin rekisteröinnistä jää WHOIS- informaatiota. Kaikki palveluntarjoajat eivät kuitenkaan vaadi asiakkailtaan oikeaa nimeä ja osa varmistaa rekisteröinnissä vain osan hakemuksen tiedoista. Mikäli käyttäjällä on iso virtuaalinen jalanjälki, henkilö on helppo löytää internetistä. ICANN- organisaation arvion mukaan noin viisi prosenttia domaineista on rekisteröity väärillä tunnistetiedoilla.
Luvussa on analysoitu stopgeorgia.ru-sivustoon liittyvää sivuverkostoa, jonka sivustot on rekisteröity todennäköisesti väärillä nimillä. Verkoston tarkoituksena oli lamauttaa Georgian hallinnon internet-sivut tarjoamalla ohjeita ja työkaluja aloitteleville krakkereille.
9. Oiva Moisio (2012-k). Mitä keinoja luku 9 esittää hyökkäysten tekijöiden löytämiseksi?
Luvussa todetaan aluksi, että on olemassa useita avoimen lähteen työkaluja, joita voidaan käyttää tietohyökkäyksen alkuperän selvittämisessä. Näihin työkaluihin kuuluvat BGP:n (border gateway protocol) reititysinformaatio, DNS, pimeiden verkkojen monitorointi (darknet), mustan listan osoitteet ja Internetin domain-rekisteröintitiedot.
BGP:n informaation saamiseen on useita työkaluja ja vapaita palveluita. BGP säilyttää verkon lähdeosoitteet tallessa reitittimellä ja tämän ansiosta voidaan jossain määrin tunnistaa tai jopa löytää kyberhyökkäyksen lähde. Vastaavasti DNS:ää voidaan käyttää tunnistamaan hyökkäyksen lähteen ip-osoite, jos hyökkääjä on esimerkiksi web-palvelin, sähköposti-palvelin tai reititin, jolla on oma DNS-nimi. Kolmas tapa löytää hyvällä tuurilla hyökkääjän ip-osoite ovat mustat listat. Eri organisaatiot ovat keränneet tätä informaatiota ja sitä on hyödyllistä käyttää hyökkääjän tai hyökkäyksen alkuperän tunnistamiseen. Yksi tehokkaimmista tavoista löytää hyökkääjän ip-osoite on traceroute, joka löytää ainakin suurinpiirtein kaikki paketin kulkemat palvelimet/reitittimet. Mutta traceroute yksinään ei riitä tunnistamaan hyökkäyksen alkuperää vaan on katsottava hyökkäyksen aikajanaa (eli milloin mahdollinen hyökkäys on ollut ajankohtainen).
Verkkoja, joissa ei pitäisi olla minkäänlaista normaalia liikennettä, kutsutaan mustiksi verkoksi. Musta verkko voi olla esimerkiksi ydinvoimalaitoksen verkko. Näitä verkkoja monitoroimalla saadaan tietoa, mistä käsin niitä skannataan heikkouksien löytämiseksi. Luvussa 9 löydettiinkin useampi keskittynyt paikka (esimerkkinä Norja ja Ruotsi). Viimeinen työkalu on verkon domain-nimien WHOIS-tieto, jota tutkimalla saadaan tietoon, kuka on rekisteröinyt juuri sen tietyn domain-nimen. Vaikka on täysin mahdollista, että hyökkääjä käyttää varastettua identiteettiä rekisteröimään haluamansa domain-nimen, niin kuitenkin tästä informaatiosta saadaan yksi johtolanka alkuperaisen hyökkääjän löytämiseen.
10. Miten haittaohjelmista voi tehdä halutulla tavalla haitallisia?
11. Miika Järvinen (2012-s). Voiko kyberhyökkäyksistä saada aavistuksen jo vähän ennen iskua?
Kyberhyökkäyksiä on hyvin vaikea ennustaa, eivätkä nykyiset järjestelmät pysty havaitsemaan mahdollista hyökkäystä luotettavasti etukäteen. Pääosa nykyisistä torjuntajärjestelmistä havaitsevat hyökkäyksen vasta, kun se on jo käynnissä, jolloin on usein liian myöhäistä. Kirjoittajat esittävät kuitenkin ratkaisuksi analyyttistä kehysjärjestelmää kyberhyökkäysten ennustamiseen ja hyökkääjän tunnistamiseen. [vrt. kysymys 6]
Kuten perinteisemmät hyökkäykset, myös kyberhyökkäykset noudattavat samankaltaista kaavaa, joka ilmenee kokemuksen perusteella ennen mahdollista hyökkäystä. Kirjoittajat jakavat kyberhyökkäyksen vaiheet viiteen osaan: osapuolten välisiin viimeaikaisiin jännitteisiin, kybertiedusteluun, käynnistävään kohtaamiseen tai tapahtumaan, kybermobilisointiin ja kyberhyökkäykseen. Kyberhyökkäysten rakenne riippuu kuitenkin hyökkäyksen motiivista, ja kirjoittajien mukaan vain poliittisesti latautuneet monimutkaiset hyökkäykset noudattavat viisiportaista asteikkoa. Esimerkiksi poliittiset tapahtumat saattavat tuohduttaa nörttimiliisin hyökkäykseen kolmen viimeisen vaiheen syklissä. Kyberrikollisuudessa taas todennäköisesti hyökkäyksessä on vain kaksi vaihetta, tiedustelu ja hyökkäys. Viisiportaisen asteikon läpikäyvät hyökkäykset ovat yleensä myös suuria ja hyvin organisoituja, jolloin erityisesti niiltä pitäisi pystyä suojautumaan. Yleensä kuitenkin viimeistään mobilisointivaiheessa tietoja tulevasta hyökkäyksestä alkaa tihkua, kun uusia hyökkääjiä kutsutaan aseisiin.
Kyberhyökkäyksiä varten kirjoittajat ehdottavat kybermaailmaa koskevan valmiustilajärjestelmän käyttöönottoa. Valmiustilaa nostetaan tapahtumien kehittyessä, jolloin hyökkäyksen tapahtuessa ollaan valmiita ottamaan se vastaan. Kyberhyökkäysten torjunta edellyttää mahdollisten hyökkääjien profilointia ja luokittelua etukäteen, jolloin kybermaailma lähestyy omaa Kylmää sotaansa.