Palvelunestohyökkäys - SecMeter

Go to content

Palvelunestohyökkäys

Yritysturvallisuus > Kyberturvallisuus
Palvelunestohyökkäyksiä ei voida estää, mutta niiden kohteina olevien verkkopalveluiden jatkuvuus voidaan turvata.

Palvelunestohyökkäysten (Denial of Service, DoS) tavoitteena on kaataa hyökkäyksen kohteena oleva verkkopalvelu. Hyökkäyksen kohteena olevaa palvelinta voidaan käyttää apuna myös hyökkäyksissä muihin palvelimiin.

Hyökkäysten toteuttamisessa voidaan käyttää useita eri tekniikoita. Vuonna 1999 yleiseen tietoisuuteen tulivat helppokäyttöiset työkalut, kuten Trinoo ja Stacheldraht, joiden avulla on mahdollista toteuttaa verrattain vähäisellä tietämyksellä vaikeasti jäljitettäviä ja hankalasti estettävissä olevia, hajautettuja palvelunestohyökkäyksiä.

Digitalisaation edetessä yhteiskunnan tarjoamat infrastruktuuripalvelut, kuten esimerkiksi julkiset tunnistuspalvelut joutuvat yhä useammin toistuvien palvelunestohyökkäysten kohteeksi, koska niiden lamauttamisella voidaan saada aikaan huomattavan laajoja vaikutuksia.

Useat yritykset liittävät omia verkkopalveluitaan julkisen infrastruktuurin osaksi esimerkiksi julkisiin tunnistuspalveluihin, jolloin myös yritysten palvelut ovat täysin riippuvaisia julkisten tunnistuspalveluiden käytettävyydestä.

DDoS-hyökkäys (Distributed Denial of Service)
Hajautetussa palvelunestohyökkäyksessä hyökkääjä käyttää useita eri koneita pommittamaan palvelupyynnöillä kohteena olevaa tietojärjestelmää. Tätä varten hyökkääjä asentaa Bot-ohjelmia mahdollisimman moneen verkossa olevaan koneeseen ja ryhtyy näiden avulla pommittamaan palvelupyynnöin kohteena olevaa palvelinta. Lähes kaikki nykyiset palvelunestohyökkäyksistä ovat hajautettuja.

Hyökkäyksessä käytettyjä ohjelmia ovat mm:

  • Trinoo (Troj_Trinoo, Trinoo Win32, WinTrinoo, W32.DoS.Trinoo.ns, Trin00)
  • TFN (Tripe Flood Network)
  • TFN2K (Tribe Flood Network 2000)
  • Shaft
  • Stackheldraht

Ping of Dead-tekniikka palvelun estämisessä
Palvelunestohyökkäyksessä hyödynnetään erilaisia verkkoprotokollien heikkouksia. Ping -paketti (Packet Internet Groper) on näistä ehkä tunnetuin. Palvelimen on vastattava ping -pyyntöön. Lähettämällä riittävästi ping -pyyntöjä, jotka eivät löydä takaisin oikeaan osoitteeseen saadaan palvelin ylikuormitettua.

SYN flooding -tekniikka palvelun estämisessä
SYN flooding tapahtuu, kun palvelimen puoliavointen yhteydenmuodostuspyyntöjen määrä kasvaa liian suureksi estäen uuden yhteyden avaamisen. SYN flood -hyökkäys perustuu useisiin yhteydenottopyyntöihin, joissa jätetään lähettämättä kohteen odottama viimeinen ACK -viesti (ACK on TCP:ssä oleva lippu, joka osoittaa kuittausnumerosarjakentässä olevan arvon olevan käytössä).

Palvelin ei hyväksy uusia yhteydenottopyyntöjä ennen kuin loppuunsaattamattomien yhteyspyyntöjen elinikä (yleensä 75 s) on kulunut loppuun. Yhteydenottopyyntöjä toistamalla hyökkääjä voi estää palvelimen käytön haluamakseen ajaksi tai kaataa koko tietojärjestelmän.

Hyökkääjän on kuitenkin vaihdettava lähetettävien kehysten lähettäjän IP -osoite tavoittamattomaksi, mutta reititettävissä olevaksi, koska hyökkäyksen kohteena oleva palvelin lähettää vastauksensa (SYN/ACK) kyseiseen osoitteeseen. Muita tunnettuja palvelunestotekniikoita ovat mm.

  • Teardrop
  • Land
  • Latierra
  • Smurf
  • Papasmurf
  • RST- ja FIN
  • Targa

Palvelunestohyökkäyksiä on mahdollista toteuttaa myös ilman erityisiä tekniikoita esimerkiksi lähettämällä maailmalle miljoonia roskaposteja, joissa kehotetaan ihmisiä klikkaamaan viestissä olevia palveluun johtavia linkkejä. Riittävän usean henkilön samanaikainen käyttö voi kaataa palvelun.

Puolustaminen
Hajautetulta palvelunestohyökkäykseltä on vaikea puolustautua tehokkaasti, koska kaikki hyökkäykset tulevat yleensä eri puolilta verkkoa. Palvelunestohyökkäyksissä on myös tyypillistä, että hyökkääjä väärentää IP -osoitteensa. Puolustautuminen on kuitenkin tärkeätä, koska internet on yhä useammille yrityksille elintärkeä palveluiden jakelukanava.

Yhtäjaksoisen palvelunestohyökkäyksen vaikutus tietojärjestelmään vähenee nopeasti, kun yritys saa vastatoimet organisoiduiksi ja onnistuu suodattamaan riittävästi liikennettä. On järkeenkäypä ajatus, että myös hyökkääjä arvioi operaation vaikuttavuutta ja pitää taukoja, joiden aikana organisoi hyökkäykset uudelleen.

Pitkäkestoinen intervallihyökkäys on yrityksen näkökulmasta erittäin hankala. Yrityksen uskoessa, että hyökkäys on päättynyt, se alkaakin odottamatta, uudelleen organisoituna ja reititettynä.


TEHTÄVÄLISTA

Uusimmat ohjelmistopäivitykset
Useimmiten palvelunestohyökkäykseltä voidaan suojautua asentamalla uusimmat ohjelmistopäivitykset. TCP/IP -pinossa olevia toteutuskohtaisia vikoja käytetään hyväksi hyökkäyksissä Ping of Death, Teardrop, Land, Latierra ja Targa. Hyökkäykset pystytään melko tehokkaasti estämään päivittämällä korjaustiedosto.

Riittävä redundanssi
Palvelukapasiteetin ylimitoitus (riittävä redundanssi) on tehokas perusratkaisu.

Kuormitushuipun käsittely
Palvelimen (tilatietoisuus) tulee laskea kuormitushuipun aikana hallitusti palvelutasoa, eikä romahtaa kuormituksen aikana.

Varayhteydet
Hyökkäyksen kohteena oleviin palveluihin tulee voida avata nopeasti varayhteyksiä.

Teleoperaattorin suorittama haittaliikenteen suodatus
Yritys voi hankkia teleoperaattorilta pakettipesuripalvelun, jolla siivotaan haittaliikenne.

Suodatus
Suodatetaan hyökkääjän lähettämät paketit mahdollisimman kaukana kohteena olevasta verkkopalvelusta. Mikäli hyökkäystä ei kyetä tunnistamaan riittävän tarkasti saattaa samalla estyä myös verkkopalvelun luvallinen käyttö.

Ulkomaanliikenne voidaan estää poistamalla www reitittimeltä default-reitti, jolloin lähtevät IP-paketit eivät ohjaudu muualle kuin kotimaisiin verkkoihin.

Asetetaan internet-palveluntarjoajan osoitealueelle tietty tag, jolloin kyseinen osoiteavaruus ei näy internet-palveluntarjoajan kautta maailmalle, jolloin ip-paketit ohjautuvat verkkopalveluun vain kotimaasta.

Hajautettujen agenttien havaitseminen
Microsoftin tutkijat Yinglian Xie, Fang Hu ja Martin Abadi kehittivät ensimmäisinä ohjelmiston, jonka avulla on mahdollista saada selville proxy-palvelin, josta roskapostitus tai verkkohyökkäys tulee.

HostTracker-ohjelmiston avulla on mahdollista selvittää myös esimerkiksi palvelunestohyökkäyksessä käytetty bot-verkko. Ohjelmisto esiteltiin ensi kertaa 19.8.2009 Barcelonassa järjestetyssä SIGCOMM 2009-tietoliikennetapahtumassa. Lähde: (Technology Review 13.8.2009)

Hyökkäyksen kohteena olevan tietojärjestelmän ylläpitäjät eivät ole useinkaan tietoisia järjestelmään asentuneiden agentti-ohjelmien olemassaolosta. Aiemmin hajautetut hyökkäysagentit saattoivat sisältää ping -komentoa vastaavan ominaisuuden, jonka avulla tietojärjestelmien ylläpitäjät pystyivät selvittämään agenttien olemassaolon.

Uutta Trinoo -ohjelmaa on sen sijaan vaikea havaita. Se pyrkii liikennöimään erilaisin menetelmin kuten ICMP:n päällä (Internet Control Message Protocol). Trinoo ei sisällä vanhempien ohjelmien ping -vastaajaa.

Trinoo -ohjelma on kuitenkin mahdollista havaita passiivisella verkon tarkkailulla, koska protokollan paketit ovat base64 -enkoodattuja muodostaen Trinoolle ominaisen liikennetunnisteen.

Agenttien etsintään on saatavana useita työkaluja esim. RID (Remote Intrusion Detection) -ohjelma. Agentteja voidaan etsiä myös intrusion detection menetelmin. Tietojärjestelmät tulee myös ylläpitää niin, ettei tietomurto ole mahdollista.

Vuon jäljitys
Menetelmä pystyy jäljittämään hyökkääjän ainoastaan aliverkon tarkkuudella. Hyökkäyksen jäljittämiseksi voidaan katsoa reititin kerrallaan miltä linkiltä liikenne tulee ja tarkastella reititintä kyseisen linkin päässä. Menetelmä on työläs ja toimiva vain hyökkäyksen ollessa käynnissä. Menetelmä ei sovellu lyhytkestoisten hyökkäysten jäljittämiseen.

VALTORI PALVELUNESTOHYÖKKÄYKSEN KOHTEENA
Valtori ei ole onnistunut turvaamaan valtionhallinnon tietotekniikkapalveluiden häiriöttömyyttä ja jatkuvuutta. Valtorin tietoturva-arkkitehtuurissa on vakavia ongelmakohtia ja suoranaista osaamattomuutta.

Valtorin verkkopalveluihin kohdistui keskiviikkona 21.8.2019 ja torstaina 22.8.2019 laaja-alaisia palvelunestohyökkäyksiä, jotka häiritsivät tai rajoittivat mm. poliisi.fi, raja.fi, 112.fi, suomi.fi ja vero.fi palvelujen käyttöä. Häiriö esti mm. henkilöasiakkaiden tunnistautumisen VRK:n ja Kelan sähköisiin palveluihin. Valtori teki tapauksesta keskusrikospoliisille tutkintapyynnön, joka tuskin johtaa mihinkään. Lähteet: (valtori.fi tiedotteet 22.8.2019, yle.fi 22.8.2019, mtvuutiset.fi 22.8.2019)

VALTIONEUVOSTON VERKKOSIVUT PALVELUNESTÖHYÖKKÄYKSEN KOHTEENA
Valtorin mukaan palvelunestohyökkäys häiritsi valtioneuvoston verkkosivujen käytettävyyttä torstaina 11.10.2018. Verkkosivut saatiin toimimaan samana päivänä. Lähde: (twitter.com/valtioneuvosto 11.10.2018)

PALVELUNESTOHYÖKKÄYS KAATOI VALTORIN YLLÄPITÄMÄT SÄHKÖISET ASIOINTIPALVELUT
Valtorin ylläpitämien sähköisten asiointipalvelujen käytettävyys on huteralla pohjalla. Yrityksen sähköisten palveluiden liittäminen julkishallinnon ylläpitämään keskitettyyn Suomi.fi-tunnistautumispalveluun on merkittävä riski, koska palvelu on kyberrikollisten jatkuvien hyökkäysten kohteena.

Suomi.fi-sähköisen tunnistautumisen palvelu oli jälleen pois käytöstä tiistaina 25.9.2018 noin klo 13.00-16.30 välisen ajan. Syynä oli Valtorin palveluihin ulkomailta kohdistunut palvelunestohyökkäys. Esimerkiksi poliisin, Tullin, Kelan ja Verohallinnon asiointipalvelut ovat täysin riippuvaisia Suomi.fi-sähköisen tunnistamisen palvelusta. Lähteet: (valtori.fi 25.9.2018, yle.fi 25.9.2018, hs.fi 25.9.2018)

PALVELUNESTOHYÖKKÄYS KAATOI VALTORIN TUOTTAMAT SIVUSTOT
Valtion tieto- ja viestintätekniikkakeskuksen Valtorin tuottamat verkkosivustot eivät toimineet palvelunestohyökkäyksen johdosta. Valtionhallinnon viranomaisten ja ministeriöiden verkkosivustot mm. poliisin, Omakannan, Kelan ja Väestörekisterikeskuksen verkkopalvelut kaatuivat sunnuntaina 12.8.2018 noin kello 16.30.

Vuosien varrella Valtorin tuottamia palveluita vastaan on kohdistunut useita palvelunestohyökkäyksiä. Valtori tiedotti 12.8.2018 sivuillaan ongelmasta seuraavaa:



Kyberturvallisuuskeskus kertoi palvelunestohyökkäyksen tulleen ulkomailta. Valtorin toimitusjohtajan mukaan tapauksesta jätettiin tutkintapyyntö poliisille ja Valtorin varaavan jatkossa oikeuden kaiken ulkomailta tulevan liikenteen estämiseen tilapäisesti. Valtorin mukaan haitta olisi pieni, koska viranomaispalvelujen pääkäyttäjäkunta on Suomessa.

Lähteet: (valtori.fi 12.8.2018, 13.8.2018, TV1-uutiset 12.8.2018 klo 20.30, mtv3.fi 12.8.2018, 13.8.2018, yle.fi 12.8.2018, 13.8.2013, ksml.fi 12.8.2017, savonsanomat.fi 12.8.2018, is.fi 13.8.2018)

PALVELUNESTOHYÖKKÄYS KAATOI ETELÄ-SUOMEN MEDIAN VERKKOSIVUT
Etelä-Suomen Median lehtien verkkosivujen toiminta keskeytyi useiden tuntien ajaksi. Palvelunestohyökkäys käynnistyi perjantaina 22.9.2017 aamupäivällä. Iltapäivällä kello kahden aikaan sivut olivat jälleen toiminnassa. Liikennettä ohjautui palvelimelle kymmenistä tuhansista pääosin ulkomaisista ip-osoitteista. Lähde: (ksml.fi 22.9.2017)

KELAN KANTA-PALVELUT PALVELUNESTOHYÖKKÄYKSEN KOHTEENA
Kelan Kanta-palveluihin kohdistui kahden päivän ajan palvelunestohyökkäyksiä. Perjantai-iltana 2.6.2017 hyökkäys kesti noin kaksi ja puoli tuntia ja lauantaina 3.6.2017 hyökkäys alkoi aamupäivällä kello 11 päättyen kello 15 iltapäivällä.

Palvelunestohyökkäykset kohdistuivat Kanta.fi-, Omakanta- ja Kelain-palveluihin. Kelan mukaan hyökkäykset estivät omien sähköisten reseptien katselun palvelusta ja niiden apteekkien pääsyn palveluun, joilla ei ollut kiinteää tietoliikenneyhteyttä Kelaan.

Mannerheimintien Yliopiston apteekissa palvelu hidastui merkittävästi. Asiakasta ei voitu palvella ilman reseptistä tulostettua jäljennöstä. Jonot olivat pitkiä, eivätkä kaikki asiakkaat jääneet jonottamaan. Lähteet: (kanta.fi häiriötiedotteet 3.6.2017, hs.fi 3.6.2017, yle.fi 2.6.2017, 3.6.2017, mtv.fi 3.6.2017)

PALVELUNESTOHYÖKKÄYS JULKISIA TUNNISTUSPALVELUITA VASTAAN
Palvelunestohyökkäykset tunnistuspalveluita vastaan haittasivat kansalaisten ja yritysten asiointia julkisissa palveluissa. Kelan palveluissa käytetty Valtorin tuottama Vetuma-tunnistuspalvelu ja Verohallinnon tuottama Katso-tunnistuspalvelu olivat palvelunestohyökkäysten kohteina useita päiviä.

Kanta-palveluissa oli häiriöitä palvelunestohyökkäysten johdosta keskiviikkona 12.10.2016 ja lauantaina 15.10.2016. Kanta-palveluihin kuuluvat mm. sähköinen resepti, lääketietokanta, potilastiedon arkisto ja Omakanta-palvelu.
Vetuma-tunnistuspalvelu päättyi vuoden 2017 loppussa. Palvelun korvasi Väestörekisterikeskuksen tuottama Suomi.fi-tunnistuspalvelu. Lähteet: (yle.fi 15.10.2016, vero.fi Verohallinnon tiedote 15.10.2016, Valtori.fi)

VALTIONHALLINNON PALVELUNESTOHYÖKKÄYSTEN TEKIJÄKSI PALJASTUI TANSKALAINEN HENKILÖ
Poliisi epäilI, että kevään 2016 palvelunestohyökkäykset toteutti yksi ainut tanskalainen täysi-ikäinen nuori henkilö. Epäilty henkilö oli kiinniotettuna.

KRP tutki palvelunestohyökkäyksiä hyökkäyksiä yhdessä Tanskan ja Norjan poliisin sekä FBI:n kanssa. Tanskan poliisi onnistui lopulta jäljittämään tekijän Tanskaan. Tutkintaa johti Tanskan poliisi. Esitutkinnassa ilmeni myös, että tekijä oli syyllistynyt vastaaviin tekoihin Tanskassa ja Norjassa sekä todennäköisesti myös Yhdysvalloissa. Lähde: (yle.fi 29.8.2016)

PALVELUNESTOHYÖKKÄYKSET JATKUVAT VALTION VERKKOSIVUJEN JULKAISUALUSTAA KOHTAAN
Palvelunestohyökkäys häiritsi jälleen tiistai-iltana 10.5.2016 ja keskiviikkona 11.5.2016 useiden valtionhallinnon organisaatioiden verkkosivustojen käyttöä. Ministeriöiden verkkosivustot toimivat kuitenkin ajoittain. Palvelunestohyökkäys saatiin hallintaan illalla 11.5.2016 rajoittamalla ministeriöiden sivustoihin kohdistuvaa liikennettä. Verkkopalvelujen hitaus ja ajoittaiset katkokset koskivat seuraavia ministeriöitä ja virastoja:


  • valtioneuvoston kanslia VNK
  • valtiovarainministeriö VM
  • sosiaali- ja terveysministeriö STM
  • maa- ja metsätalousministeriö MMM
  • työ- ja elinkeinoministeriö TEM
  • Puolustusvoimat
  • Väestörekisterikeskus VRK
  • Rahoitusvakausvirasto

Lähde: (Valtori.fi tiedotteet 10.5.2016, 11.5. 2016, 12.5.2016)

PALVELUNESTOHYÖKKÄYKSIÄ LAITOSTEN KOTISIVUILLE
Kelan, puolustusministeriön ja eduskunnan kotisivut kaatuivat palvelunestohyökkäysten seurauksena.
Palvelunestohyökkäysten tekijäksi ilmoittautui hakkeriryhmä FinnSec Security. Twitter-tilillään hakkeriryhmä ilmoitti kotipaikakseen Moskovan ja tekojen motiiviksi Suomen kehnon tietoturvan ja kyberpuolustuksen.

Kelan kotisivuille kohdistunut palvelunestohyökkäys tapahtui sunnuntaina 20.3.2016 ja maanantaina 21.3.2016, puolustusministeriön kotisivuille tiistaina 22.3.2016 ja eduskunnan kotisivuille keskiviikkona 23.3.2016. Hyökkäykset eivät aiheuttaneet merkittävää haittaa laitosten operatiiviselle toiminnalle tai niiden asiakkaille.

  • Kela rajoitti hyökkäyksen aikana kotisivuille pääsyä ulkomailta ja esti kotisivujen haku-toiminnon.
  • Puolustusministeriö ohjasi verkkoliikenteen tilapäiselle ruuhkasivustolle.
  • Eduskunnan viestintä ilmoitti, ettei tietohallinto kommentoi asian yksityiskohtia.

Lähteet: (kela.fi ajankohtaista henkilöasiakkaille 23.3.2016, defmin.fi tiedotteet 22.3.2016, eduskunta.fi tiedotteet 23.3.2016, yle.fi 22.3.2016, 23.3.2016)

RUOTSIN KESKEISET UUTISMEDIAT PALVELUNESTOHYÖKKÄYSTEN KOHTEINA
Kyseessä oli tähän mennessä koordinoiduin Ruotsissa nähty palvelunestohyökkäys. Hyökkäyksen kohteeksi joutuivat mm. Dagens Nyheter, Expressen, Svenska Dagbladet, Aftonbladet, Dagens Industri, Sydsvenskan ja Helsingborgs Dagblad.

Palvelunestohyökkäys käynnistyi lauantai-iltana 19.3.2016 kello 20.30. Kohteena oli ensin Aftonbladetin verkkosivut. Tuntia myöhemmin hyökättiin useita muita uutismedioita vastaan. Kohteena olivat mm. Dagens Nyheter, Expressen, Svenska Dagbladet, Dagens Industri, Sydsvenskan ja Helsingborgs Dagblad.

Internetin solmukohdissa havaittiin huomattava kasvu Venäjän Internet-operaattoreiden dataliikenteessä. Katseet suuntautuivat Venäjän suuntaan. Ruotsin mediassa oli hieman aiemmin julkaistu mm. yksityiskohtaisia tietoja Venäjän vakoilutoiminnasta Ruotsissa.

Ennen palvelunestohyökkäystä Twitterissä esitettiin anonyymi uhkaus, jossa todettiin, että seuraavien päivien aikana hyökkäyksiä kohdistetaan Ruotsin hallitukseen ja ruotsalaiseen mediaan, joka levittää väärää propagandaa "The following days attacks against the Swedish goverment and media spreading false propaganda will be targetted". Ruotsin poliisi aloitti hyökkäyksistä rikostutkinnan ja myös säpo seurasi tutkintaa. Lähteet: (svd.se 20.3.2016, aftonbladet.se 20.3.2016, dn.se 20.3.2016, iltasanomat.fi 20.3.2016, hs.fi 20.3.2016)

PALVELUNESTOHYÖKKÄYS VALTION JULKAISUALUSTAA KOHTAAN
Valtion yhteiseen julkaisualustaan kohdistui palvelunestohyökkäys, joka aiheutti verkkopalveluihin häiriöitä ja käyttökatkoksia tiistai-illasta 23.2.2016 alkaen. Häiriöitä ja käyttökatkoksia ilmeni mm. seuraavien ministeriöiden ja virastojen verkkopalveluissa:

  • valtioneuvoston kanslia
  • valtiovarainministeriö
  • sosiaali- ja terveysministeriö
  • maa- ja metsätalousministeriö
  • Rahoitusvakausvirasto

Valtion yhteisestä julkaisualustasta vastaa valtion tieto- ja viestintätekniikkakeskus Valtori. Palvelunestohyökkäyksen aikana verkkosivustojen toiminta pyrittiin vakauttamaan rajaamalla tietoliikenne ainoastaan osaan sivustojen tarjoamista palveluista. Lähteet: (vnk.fi 24.2.2016 Tiedote 72/2016, valtori.fi uutiset 24.2.2016)

OP-POHJOLA-RYHMÄN PANKKIPALVELUIHIN KOHDISTUI PALVELUNESTOHYÖKKÄYS
OP-Pohjola-ryhmä tiedotti, että OPn pankkipalveluissa ilmeni ongelmia tietoliikennehäiriöiden takia. Häiriö havaittiin uudenvuoden aattona 31.12.2014 noin kello 16.30. Palvelut palautuivat kokonaisuudessaan asiakkaiden käyttöön puolen yön jälkeen. Häiriöiden syyksi paljastui palvelunestohyökkäys.

OP-Pohjola-ryhmän verkko-ongelmat jatkuivat kuitenkin vielä maanantaina 5.1.2015 jo kuudetta päivää. OP ryhtyi rajoittamaan ulkomailta suuntautuvaa verkkoliikennettä. Ulkomailta asioiville asiakkaille OP avasi 3.1.2015 kello 12.00 puhelinpäivystyspalvelun kiireisimpien pankkiasioiden hoitamiseksi.

Toimenpiteistä huolimatta häiriöt pankin verkkopalveluissa kuitenkin jatkuivat. Häiriökuormitusta ohjautui pankin verkkopalveluihin edelleen sekä ulkomailta että kotimaasta. Hyökkäyksessä käytettiin hyväksi bottiverkkoa.

Palvelunestohyökkäys tukki OPn tietoliikennejärjestelmät ja esti asiakkaiden asioinnin. Häiriön aikana verkkopalvelut eivät toimineet eivätkä käteisnostot onnistuneet automaateilta. Myös korttimaksaminen estyi monissa liikkeissä. Moni pankin asiakas ihmetteli, miksi pankin tietojärjestelmät on toteutettu niin, että palvelunestohyökkäys estää myös korttimaksamisen ja rahan noston automaateilta.

Korttimaksaminen ja automaattinostot estyivät palveluhyökkäyksen aikana, koska verkkopankki ja pankkikortteihin liittyvät järjestelmät käyttivät asiakkaan tilitietojen esimerkiksi katteen tarkistamiseen samoja järjestelmäkomponentteja.

OPn asiantuntijat selvittivät ja ratkoivat tilannetta viranomaisten ja operaattoreiden kanssa. Selvitystyöhön osallistuivat mm. Viestintäviraston Kyberturvallisuuskeskus ja OP-Pohjola-ryhmän verkkopalvelujen tuottaja Tieto.

OP-Pohjola-ryhmä teki tutkintapyynnön poliisille. KRP ryhtyi tutkimaan juttua. Palvelunestohyökkäystä tutkittiin törkeänä tietojärjestelmän häirintänä. Jutun tutkinnanjohtajana toimi KRP:n rikoskomisario Timo Piiroinen. Lähteet: (yle.fi 31.1.2014, 1.1.2015, 2.1.2015, 3.1.2015, op.fi uutishuone 31.1.2015, 1.1.2015, 2.1.2015, 3.1.2015)

Teoista epäiltyinä otettiin kiinni kaksi suomalaista 18- ja 20-vuotiasta nuorta miestä. Miehet otettiin kiinni Etelä-Suomessa. Toinen epäillyistä on syntynyt vuonna 1995 ja toinen 1997. Helsingin käräjäoikeus vangitsi miehet maaliskuussa 2015.

Poliisi pääsi epäiltyjen miesten jäljille omien tutkimusten kautta. Esitutkinta edellytti mittavaa tiedonhankintaa useista eri lähteistä, niin kotimaasta kuin ulkomailta. Tutkinnan aikana poliisi teki yhteistyötä mm. Kyberturvallisuuskeskuksen, Itä-Uudenmaan poliisin, pankkien, tietoturva-alan yritysten sekä ulkomaisten viranomaisten kanssa.

Epäillyillä ei ollut aiemmin merkittävää rikostaustaa. Nyt heitä epäiltiin törkeästä tietoliikenteen häirinnästä, kahdesta tietoliikenteen häirinnästä, törkeän kiristyksen yrityksestä, kahdesta kiristyksen yrityksestä, jotka liittyivät pankkien Facebook-sivuille jätettyihin viesteihin.

Edellä mainittujen rikosten lisäksi heitä epäiltiin maksuvälinepetoksesta, tietomurrosta ja vaaran aiheuttamisesta tietojenkäsittelylle. Kaikki epäilyt ajoittuvat alkuvuoteen. Lähteet: (poliisi.fi tiedotteet 31.3.2015, yle.fi 31.3.2015, hs.fi 31,3,2015)

DDOS PALVELUNESTOHYÖKKÄYS TRADEDOUBLERIN PALVELIMELLE
Tradedoubler on kansainvälinen affiliate-markkinointiin erikoistunut yritys. Keskiviikkona 2.7.2014 Suomen Tradedoublerin-verkkopalvelimeen kohdistui hajautettu palvelunestohyökkäys, jolloin palvelin ajettiin alas 16.46 - 20.10 väliseksi ajaksi.

Palvelimen sulkemisen seurauksena julkaisijoiden mainoksiin kohdistuva seuranta oli pois päältä ja julkaisijoiden mahdolliset mainostulot jäivät saamatta.

Yhtiö teki asiasta poliisille tutkintapyynnön ja tiedotti tapauksesta kumppaneilleen viisi päivää myöhemmin, jolloin kyberhyökkäykseen liittyneet ongelmat oli saatu korjattua. Lähde: (Tradedoubler tiedote 9.7.2014)

NATON VERKKOSIVUJA VASTAAN HYÖKÄTTIIN
Naton verkkosivut joutuivat sunnuntaina 16.3.2014 palvelunestohyökkäyksen kohteeksi. Hyökkäyksen tekijäksi ilmoittautui venäjämielinen Cyber berkut-niminen ryhmä.

Ryhmä kertoi verkkosivuillaan, että hyökkäys oli isänmaallisten ukrainalaisten tekemä. Teon motiiviksi ryhmä ilmoitti ärtymyksen Naton sekaantumiseen Ukrainan asioihin. Lähteet: (reuters.com 15.3.2014, iltalehti.fi 16.3.2014, yle.fi 16.3.2014)

HAKKERIT KAATOIVAT KREMLIN JA VENÄJÄN KESKUSPANKIN NETTIPALVELUT
Kremlin mukaan Venäjään kohdistuu parhaillaan voimakas DDoS -kyberhyökkäys. Tuntemattomat hyökkääjät iskivät perjantain 14.3.2014 kuluessa useaan kertaan Venäjän presidentin nettisivuja www.kremlin.ru, Venäjän keskuspankin sivuja www.cbr.ru ja Venäjän Channel One –sivustoa www.channelone.com vastaan. Asiasta tiedotti Kremlin lehdistöpalvelu.

Kremlin edustajan mukaan kyseessä oli voimakas kyberhyökkäys, joka jatkui edelleen. Kremlin lehdistöpalvelun mukaan Venäjän kyberturvallisuusasiantuntijat työskentelevät estääkseen uudet hyökkäykset nettisivustoille. Hyökkäyksen järjestämisestä epäiltiin Anonymous –hakkeriyhteisöä. Lähteet: (en.itar-tass.com/russia 14.3.2014, reuters.com 14.3.2014)

KAINUUN SANOMIEN MOBIILIPALVELUT PALVELUNESTOHYÖKKÄYKSEN KOHTEENA
Alma Aluemedian maakuntalehtien mobiilisivustot joutuivat palvelunestohyökkäyksen kohteeksi. Sivustot olivat poissa käytöstä 30.1.2014 ja asiaa tutkittiin. Kainuun Sanomien mobiilisivusto toimi kuitenkin jo puolen päivän aikaan. Lähde: (kainuunsanomat.fi 30.1.2014)

JOULUN JÄLKEEN USEISIIN VERKKOPALVELUIHIN KOHDISTETTIIN PALVELUNESTOHYÖKKÄYKSIÄ
Ylen nettisivut joutuivat hajautetun palvelunestohyökkäyksen kohteeksi torstaina 27.12.2012 kello 12.30 aikaan. Tämän jälkeen YLE:n nettisivut toimivat vain satunnaisesti. Hyökkäyksen jatkuessa vielä illalla kello 17.00 aikaan, oli YLE:n nettisivuille pääsy ulkomailta estynyt.

Hyökkäys kohdistui myös kello 14.15 Nelosen verkkosivuille, jolloin verkkosivut kaatuivat. Nelosen sivut toimivat jälleen kello neljän aikoihin iltapäivällä. Nelonen kuuluu Sanoma-konserniin.

MTV3 onnistui torjumaan sen verkkosivuihin kohdistuneen hyökkäyksen. MTV3:n sivuja vastaan hyökättiin noin puolen tunnin ajan. Lähteet: (yle.fi 27.12.2012, iltasanomat.fi 27.12.2012, nelonen.fi 27.12.2012)

SUOMALAISIA VERKKOLEHTIÄ VASTAAN HYÖKÄTTIIN JOULUNA
Ulkomailta suunnatut palvelunestohyökkäykset kaatoivat joulupäivänä 25.12.2012 useiden tuntien ajaksi hs.fi, iltasanomat.fi, taloussanomat.fi ja Sanoma-konsernin maakuntalehtien verkkosivut. Tapaninpäivänä 26.12.2012 palvelunestohyökkäys suuntautui iltalehti.fi -verkkosivuja vastaan. Iltalehden verkkopalvelu kaatui noin kello yhdentoista aikoihin ja toipui hyökkäyksestä kello 14.50. Lähteet: (yle.fi 25,12,2012, 26.12.2012, hs.fi 26.12.2012, iltalehti.fi 26.12.2012)

RUOTSI MASSIIVISTEN VERKKOHYÖKKÄYSTEN KOHTEENA
Anonymous -hakkeriverkosto (haktivistiverkosto) toteutti uhkauksensa kohdistaa Ruotsiin suurin koskaan tehty verkkohyökkäys. Yksittäiset hyökkäykset viranomaisten verkkopalveluja vastaan alkoivat jo maanantaina 1.10.2012.

Anonymous aloitti massiivisten verkkohyökkäysten sarjan perjantaina 5.10.2012 kello 14.30 Suomen aikaa. Hyökkäys alkoi noin tuntia ennen Anonymouksen ilmoittamasta kellonajasta. Massiivisten palveluestohyökkäysten kohteeksi joutuivat mm.

  • www.svea.se
  • www.polisen.se
  • www.socialstyrelsen.se
  • www.myndigheterna.se
  • www.forsvarsmakten.se
  • www.antipiratbyran.se
  • www.domstol.se
  • www.fra.se
  • www.sverige.se
  • www.sweden.se
  • www.kriminalvarden.se
  • www.riksbank.se
  • www.riksdagen.se
  • www.regeringen.se
  • www.sweden.gov.se
  • www.sakerhetspolisen.se
  • www.säpo.se
  • www.securityservice.se
  • www.aklagare.se

Hyökkäysten uskottiin olevan kosto poliisin suorittamalle kotietsinnälle PRQ:n palvelinkeskukseen, josta se takavarikoi kolme palvelinta mm. tiedostoja jakavan Tankafest -palvelimen. Poliisin suorittaman kotietsinnän taustalla olivat epäilyt tekijänoikeusrikoksista. Toisena syynä hyökkäyksille arveltiin olevan Wikileaks -palvelun perustajan Julian Assangen pidätysmääräys.

Samaan aikaan hakkeriverkostot hyökkäsivät toisiaan vastaan. Ruotsalainen "Oikea Anonymous" (Riktiga Anonymous) nimeä käyttävä hakkeriverkosto yritti estää hyökkäyksen aiheuttamia haittoja ja paljastaa Anonymouksen takana olevia henkilöitä.

”Oikea Anonymous” ei pyrkinyt estämään hyökkäyksiä, jotka kaatoivat verkkopalvelut, vaan estämään hyökkäyksen mahdollisesti aiheuttamia haittoja, joita syntyy, jos järjestelmiin murtaudutaan esimerkiksi SQL injektio -tekniikalla. Lähteet: (hs.fi 4.10.2012, 5.10.2012, yle.fi 5.10.2012, dn.se 5.10.2012)

SANOMA OY:N VERKKOPALVELUITA VASTAAN HYÖKÄTTIIN
Cert-F ilmoitti, että Sanoma Oy:tä vastaan oli käynnissä suunnattu palvelunestohyökkäys. Hyökkäyksen seurauksena Taloussanomien, Ilta-Sanomien ja Helsingin Sanomien verkkosivut eivät olleet käytettävissä. Hyökkäys alkoi iltapäivällä kello yhden aikoihin ja kesti noin tunnin ajan.

Kyseessä oli Distributed Denial of Service eli DDoS-hyökkäys. Hyökkäykset tulivat eri puolilta maailmaa sijaitsevilta bottiverkon zombie-tietokoneilta mm. Japanista, Venäjältä, Ukrainasta, Puolasta, Kiinasta, Hollannista, Yhdysvalloista ja Brasiliasta. Lähteet: (cert.fi tiedote 11.9.2012, iltasanomat.fi 11.9.2012, hs.fi 11.9.2012, kauppalehti.fi 11.9.2012)

MATKATOIMISTO KALEVA TRAVELIN VERKKOPALVELUT PALVELUNESTOHYÖKKÄYKSEN KOHTEENA
Suomen suurimman yksityisen matkatoimiston verkkosivusto www.kalevatravel.fi joutui palvelunestohyökkäyksen kohteeksi matkamessujen ensimmäisenä päivänä 21.1.2010 kello 10:00. Aika ajoin sivuille ei päässyt lainkaan.

Matkatoimisto vakuutti, että asiakkaiden tiedot eivät olleet missään vaiheessa vaarassa. Kaleva Travel teki asiasta rikosilmoituksen. Lähteet: (tiedote kalevatravel.fi 22.10.2010, ksml.fi 221.2010, kauppalehti.fi 221.2010)

VEIKKAUS OY:N PELIPALVELUT PALVELUNESTOHYÖKKÄYKSEN KOHTEENA
Veikkauksen nettipalvelu joutui lyhyen hajautetun palvelunestohyökkäyksen (DDos) kohteeksi lauantaina 15.8.2009 kello 16:30 - 18:00. Hyökkäys vaikeutti palveluiden käyttöä. Kauppalehden artikkelin mukaan kyseessä oli ensimmäinen kerta, kun Veikkauksen palveluita vastaan hyökättiin.

Veikkaus onnistui rajaamaan ongelman jo lauantai-iltana. Hyökkäykset kuitenkin jatkuivat edelleen, mutta eivät estäneet enää nettipalvelun käyttöä. Samana ajankohtana tapahtui hyökkäys myös Tanskan valtiollisen peliyhtiön Danske Spilin nettipalveluita vastaan. Lähteet: (Kauppalehti 17.8.2009, YLE.fi 17.8.2009)

YHTEISÖPALVELUIHIN KOHDISTUI MITTAVA PALVELUNESTOHYÖKKÄYS
Facebook, Twitter, Google Blogger ja YouTub joutuivat mittavan koordinoidun palvelunestohyökkäyksen kohteeksi 6.8.2009. Palvelunestohyökkäyksillä uskottiin olevan poliittinen motiivi.  Georgialainen bloggaaja oli blogikirjoituksessaan arvostellut Venäjän ja Georgian toimintaa maiden välisessä kriisissä.

Kiistanalaisen teorian mukaan palvelunestohyökkäyksessä ei käytetty bot-verkkoa, vaan se toteutettiin lähettämällä sähköpostiviestejä, jotka sisälsivät yhteisöpalveluihin johtavia linkkejä, jolloin samanaikaisten käyttäjien määrä ylitti palveluiden kuormituskyvyn. Lähde: (CNET 6.8.2009)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Asiakkaiden luottamus on voitettava joka päivä uudelleen.
Sääntö nro 2
Riittävän isolla vasaralla voi rikkoa mitä tahansa.
Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.

Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.

Back to content