You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2008-23

Esa Lähteenmäki

Verkkopalvelun uhkakartoitus

1. Johdanto

Verkkopalvelulle on tärkeää tehdä uhkakartoitus ennen kuin palvelu julkaistaan käytettäväksi internettiin. Uhkakartoituksen merkitys korostuu, kun verkkopalvelussa käsitellään arkaluontoista materiaalia. Tästä hyvänä esimerkkinä on verkkopankki, kuten Osuuspankin verkkopankki osoitteessa http://www.osuuspankki.fi. Tässä työssä tehdään verkkopalvelun uhkakartoitus palvelun tuottajan näkökulmasta.

Uhkakartoituksen tavoitteena on löytää mahdollisimman kattavasti kaikki uhkatekijät sekä arvioida niiden todennäköisyys ja seurausten vakavuus. Kun uhat on tällä tavalla laitettu tärkeysjärjestykseen, voidaan suojautua ensisijaisesti juuri merkittävimpiä uhkia vastaan. [1]

Uhkakartoituksella on kaksi puolta, uhka-analyysi ja uhkamalli. Uhka-analyysi tarkastelee mitä ikävää järjestelmässä voi sattua, kun taas uhkamalli määrittelee uhat joihin varaudutaan.

2. Uhka-analyysi

Verkkopankille on erittäin tärkeää että tieto ei katoa, tuhoudu, muutu, tule tulkituksi väärin, korvaannu väärällä tiedolla, paljastu väärille tahoille tai tule käytetyksi luvatta. Näihin lähtökohtiin perustuen huomataan heti tiettyjä tärkeitä ominaisuuksia, jotka täytyy toteuttaa verkkopalvelussa ja erityisesti verkkopankin tapauksessa. Itsestään selvä vaatimus on tietenkin turvallinen tiedonsiirto asiakkaiden ja pankin välillä, mihin liittyy autentikointi ja salaus. Lisäksi tarvitaan luotettava tiedonsiirtoprotokolla, joka takaa etteivät paketit katoa tai monistu matkalla ja saapuvat perille oikeassa järjestyksessä ja muuttumattomina. Tähän tarkoitukseen luonnollinen valinta on tietenkin Transmission Control Protocol, eli TCP. [2] Seuraavaksi käsitellään yksityiskohtaisemmin uhkatekijöitä ja arvioidaan niiden todennäköisyyksiä, seurauksia sekä ratkaisukeinoja.

2.1 Fyysiset uhat palvelinta kohtaan

Näihin uhkiin kuuluu hyökkääjän fyysinen pääsy palvelimelle (periaatteessa rinnastettavissa tilanteeseen missä rosvo pääsee pankkiholvin sisälle) sekä palvelimen tai tietojen tuhoutuminen. Palvelin täytyy sijoittaa turvalliseen paikkaan ja pääsynvalvontaa täytyy myöskin harjoittaa. Tietokannasta pitää olla varmuuskopio eri paikassa kuin missä varsinainen palvelin sijaitsee. Varmuuskopiointi on suoritettava välittömästi kun asiakas esimerkiksi suorittaa tilisiirron. Näin vältytään menettämästä korvaamattomia tietoja onnettomuuden sattuessa. Nämä uhat eivät ehkä ole niitä kaikkein todennäköisimpiä, mutta silti ei ole syytä vähäksyä näitä uhkia.

2.2 Autentikointiin liittyvät ongelmat

Käytössä oleva kuusimerkkinen käyttäjätunnus sekä neljämerkkinen salasana eivät tuo kovin suurta turvallisuutta. Onneksi käytössä on myöskin avainlukulista, jossa on neljänumeroisia lukuja 100 kappaletta. Välittömästi sisäänkirjautumisen jälkeen asiakkaalta kysytään tiettyä lukua tältä listalta, jonka jälkeen asiakas pääsee vasta käyttämään verkkopankkia. Näin luodaan lisää turvallisuutta. Ohjeissa myöskin mainitaan, että käyttäjätunnus, salasana ja avainlukulista on syytä säilyttää erillään. On kuitenkin mahdollista että hyökkääjä on saanut haltuunsa kaikki kolme autentikointiin liittyvää tunnusta ja pääsee esimerkiksi tyhjentämään tilin. Jotta hyökkääjä saadaan kiinni ja tapahtumat peruutettua, pankin täytyy seurata autentikointitapahtumia sekä tilitapahtumia. Jokaisesta autentikoinnista (ja yrityksestä) ja tilitapahtumista täytyy pitää kirjaa ja tallentaa ne lokiin. Todennäköistä on että hyökkääjä koittaa tekeytyä joksikin toiseksi hyökätessään verkkopankkiin, jolloin autentikointi ja autentikointi-informaation salassapitäminen ovat tärkeitä.

2.3 Asiakkaan toimintaan liittyvät ongelmat

Asiakkaan virheelliseen toimintaan täytyy varautua muutenkin kuin autentikointi-informaation katoamisen tai anastamisen tapauksessa. Pankin täytyy varmistua siitä, että asiakkaan syöttämä informaatio on oikeaa, eikä esimerkiksi näppäilyvirheen seurauksena syntynyttä virheellistä informaatiota. Tämä tulee esille esimerkiksi tilisiirroissa (laskujen maksu). Mitä tehdään jos asiakas syöttää väärän tilinumeron tai summan? Verkkopankin palvelu voi kertoa tilinumeron tapauksessa kenelle se kuuluu, jolloin asiakas voi tarkistaa sen oikeellisuuden paremmin nimestä kuin pitkästä numerosarjasta. Lisäksi tilinumeroissa on tarkisteluku, joka tarkistamalla voidaan ilmoittaa virheellisestä tilinumerosta. Summan tapauksessa täytyy perustarkistukset tehdä tietenkin, eli että tilillä on varaa kyseisen summan verran. Muuten maksusumman syöttämisestä tilisiirtoon on vastuussa asiakas itse. Toki loki-tiedostosta voidaan tarkistaa summan arvo jälkikäteen, jos tarvetta sille on ja ehkä palauttaa/vähentää tiliä jos on tapahtunut väärän summan syöttö. Nämä kaikki ovat hyvin todennäköisiä uhkia.

On myös mahdollista että esimerkiksi mies ja vaimo jakavat saman tilin. Ongelmia voi syntyä, jos he käyttävät tiliä samaan aikaan. Ei kuitenkaan ole mielekästä lukita koko palvelua toiselta osapuolelta, kun toinen on kirjautuneena sisään palveluun. Tällöin voidaankin lukita pelkästään vaikka tilin saldo sen muuttamisen ajaksi, jolloin ei saldo pääse korvaantumaan väärällä molempien yrittäessä maksaa laskuja samaan aikaan. Tämä ei ole kovinkaan todennäköinen uhka.

Asiakkaan koneella voi myös olla jonkinlainen virus, joka saattaa kirjata näppäinpainallukset (ns. keylogger). Tällaisilta yksinkertaisilta viruksilta avainlukulistat tai kertakäyttösalasanat antavat tehokkaan suojan. Kehittyneemmät, tietylle pankkisivustolle räätälöidyt virukset saattavat kuitenkin tehdä käyttäjän näkymättömissä tilisiirtoja. On tärkeää pitää tietokoneen virustorjuntaohjelma ajan tasalla.[7] Tämä ei ole kovinkaan todennäköinen uhka.

2.4 Tulipalot, vesivahingot ja luonnonkatastrofit

Palvelin ja tietokanta tulee sijoittaa paikkaan, jossa on sammutusjärjestelmä tulipalon varalta, tai vähintäänkin siitä varoittava systeemi. Tietokannan varmuuskopio ei luonnollisestikkaan saa olla samassa tilassa, jotta mahdollisesta onnettomuudesta voitaisiin toipua. Palvelinhuoneessa ei ole järkeä käyttää vettä sammuttamaan tulipaloa, sillä jos itse tulipalo ei vahingoita laitteita niin vesi tekee sen. Sammutusjärjestelmäksi ei tästä syystä sovi siis vesi, vaan tulee käyttää esimerkiksi jonkinlaista kaasusammutusjärjestelmää. Vesiputkia ei myöskään sovi sijoittaa palvelimien läheisyyteen, ettei vuotanut vesi pääse tuhoamaan tietoa.

Suomi on onneksi sellaisessa maantieteellisessä kohdassa, ettei täällä ole vaaraa maanjäristyksistä, hurrikaaneista tai muista suurista luonnonkatastrofeista. Näin ollen on hyvinkin epätodennäköistä että kahdessa paikassa oleva tietokanta tuhoutuisi samaan aikaan. Täten yksi varmuuskopio on luultavasti riittävä verkkopankin tapauksessa. Isompikin määrä on mahdollinen, mutta mitä enemmän varmuuskopioita on ja mitä useammassa paikassa ne sijaitsevat, sitä helpompi hyökkääjän on päästä käsiksi johonkin näistä.

2.5 Hyökkääjien aiheuttamat uhat

On selvää, että verkkopankit houkuttelevat hyökkääjiä, koska he voivat rikastua onnistuneen tietomurron seurauksena. Toisaalta hyökkääjä voi tavoitella vain mahdollisimman suuren tuhon aiheuttamista, joka myöskin onnistuu murtautumalla verkkopankkiin. Keskeiseen rooliin turvallisuudessa asettuu tiedonsiirto asiakkaan ja palvelimen välillä. Osuuspankin verkkopankissa on käytössä TLS v1.0 128 bit ARC4 (1024 bit RSA/MD5). Transport Layer Security (TLS) on Secure Sockets Layerin (SSL) kehittyneempi versio, eli siis kryptoprotokolla. Tämä protokolla tarjoaa tarvittavan autentikoinnin ja avainten vaihdon, joita tarvitaan turvallisessa tiedonsiirrossa internetin yli. [3] Lisäturvan antamista varten verkkopankit hakevat sertifikaatin joltain sitä tarjoavalta luotettavalta ja tunnetulta yritykseltä. Osuuspankki on hakenut sertifikaatin [[http://www.verisign.com/][VeriSign]-nimiseltä amerikkalaiselta yritykseltä. Näin ollen asiakas voi varmistua siitä, että on todellakin yhteydessä verkkopankkiin eikä hyökkääjään, joka tekeytyy olevansa verkkopankki. [4] Verkkopankin palomuurin on oltava aikansa huippuluokkaa, jotta se pystyy torjumaan palvelimeen kohdistuvat hyökkäykset, kuten DDoS (Distributed Denial of Service) hyökkäyksen. [5] Palomuuria ja kryptoprotokollaa on syytä päivittää usein, sillä uusia tietoturva-aukkoja löytyy jatkuvasti.

Vähemmän valveutunut käyttäjä saattaa tietyissä tilanteissa joutua myös ns. välimies-hyökkäyksen kohteeksi, mikäli ei tarkista selaimen lukkosymbolia.[7]

2.6 Uhka sisältä

Verkkopankit ovat hyvin turvallisia nykyään ulkopuolisia uhkia vastaan. Yksi varteenotettava uhka tulee yrityksen itsensä sisältä, pankin omat työntekijät. Joku voi kokea että häntä on kohdeltu väärin tai hän on muuten vain tyytymätön ja haluaa kostaa tai hankkia henkilökohtaista etua. Tällaista hyökkäystä on vaikea torjua. Yksi mahdollisuus torjua tai rajoittaa tällaista murtoa on hyvin tarkka kulunvalvonta. Toinen tapa on koittaa pitää ne työntekijät, jotka pääsevät käsiksi arkaluontoiseen materiaaliin, tyytyväisinä. [6]

3. Uhkamalli

Kaikki tapaukset jotka mainittiin kappaleessa kaksi, on otettava huomioon tavalla tai toisella. Suurin keskittyminen on syytä suunnata palvelimen sekä tiedonsiirron turvallisuuteen. Palvelimen fyysinen turvallisuus on ratkaisevia tekijöitä sen sähköisen turvallisuuden kanssa. Tietokannoista ja tiedostoista, jotka ovat tärkeitä palvelulle, on syytä säilyttää kopioituina ainakin kerran toisessa paikassa kuin alkuperäiset käytössä olevat tietokannat ja tiedostot sijaitsevat. Kun on kyse näinkin tärkeistä tiedoista, yksi varmuuskopio ei varmaankaan riitä, vaan joudutaan tekemään useita. Varmuuskopioita on luultavimmin eri päiviltä tallessa, jolloin pystytään palauttamaan haluttu versio häiriön sattuessa, tai tarkistamaan minkälaisia muutoksia tietoihin on tullut.

On myös tärkeää huomata mahdolliset uhat yrityksen sisältä. Tämä seikka jää usein huomaamatta ja keskitytään vain tuntemattomaan uhkaan ulkoapäin, jolloin jäädään haavoittuvaiseksi sisältä tuleville hyökkäyksille.

Lähteet

Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r4 - 16 Nov 2009 - 23:22:10 - SanttuLakkala?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback