Perjantain suuren verkkohyökkäyksen hurja tausta: Hakkerit valjastivat kodinkoneita aseikseen

Kuluttaja ei välttämättä huomaa laitteensa saastumista. Tietoturvan parantaminen lähtee oletussalasanojen vaihtamisesta.

Ulkomaat
Sormi osoittaa kannettavan tietokoneen ruutua.
Ralf Hirschberger / EPA

Useita suosittuja internetsivustoja perjantaina häirinnyt verkkohyökkäys tehtiin osittain kodinelektroniikan avulla, hyökkäyksen kohteena ollut nimipalveluyhtiö Dyn kertoo.

Laajan hyökkäyksen vuoksi esimerkiksi Twitteriä, Netflixiä, Spotifyta ja Airbnb:tä sekä useiden amerikkalaislehtien verkkosivuja oli perjantaina ajoittain mahdotonta tai vaikeaa käyttää. Hyökkäys havaittiin ensimmäisenä Yhdysvaltain itärannikolla, mutta se vaikutti myös Euroopassa.

Hajautettu palvelunestohyökkäys toistui useita kertoja perjantain aikana. Nyt hyökkäys on ohi. Dynin mukaan sen palvelimia pommitettiin miljoonista eri ip-osoitteista, mikä tekee hyökkäyksestä yhden kaikkien aikojen suurimmista.

Tietoturvayhtiö Flashpointin mukaan hyökkäyksessä käytettiin Mirai-haittaohjelmaa. Haittaohjelma etsi sellaisia internetiin liitettyjä kodinkoneita, joita suojelivat lähinnä ainoastaan tehdasasetteiset käyttäjänimet ja salasanat, sanoo kyberasiantuntija Brian Krebs.

Lisäksi on paljastunut, että valtaosa saastuneista laitteista on sisältänyt kiinalaisen teknologiayhtiö XiongMain komponentteja. Yhtiö myy niitä eteenpäin yrityksille, jotka sitten käyttävät komponentteja omissa laitteissaan.

Reitittimet ja kamerat yleisiä

Internetiin liitettyjen kodinkoneiden käyttäminen aseena on huolestuttava merkki.

Niitä alkaa olla verkossa todella paljon, ja niiden tietoturvan taso on valitettavan heikko.

Aleksi Tarhonen, tietoturva-asiantuntija, Viestintäviraston kyberturvallisuuskeskuksesta

Asiantuntijat ovat jo jonkin aikaa varoitelleet tietoturvauhista, joita niin kutsutun esineiden internetin (internet of things, IoT) eli verkkoon kytkettyjen laitteiden läpilyönnistä seuraa.

Tietoturva-asiantuntija Aleksi Tarhonen Viestintäviraston Kyberturvallisuuskeskuksesta sanoo, että Suomessa yleisimpiä internetiin yhdistettyjä kotien laitteita ovat reitittimet ja kamerat, esimerkiksi turvakamerat.

– Niitä alkaa olla verkossa todella paljon, ja niiden tietoturvan taso on valitettavan heikko.

Haittaohjelma voi olla huomaamaton

Käyttäjä ei välttämättä huomaa mitenkään, että hänen reitittimensä tai vaikkapa tulostimensa on saastunut. Toiminnan hidastuminen tai laitteen kaatuminen voi olla merkki haittaohjelmasta. Toimintaperiaatteeltaan kodinelektroniikan haittaohjelmat ovat yksinkertaisia.

– Kun yksi tällainen laite saastuu, se alkaa heti skannata verkkoa ja etsiä muita vastaavia laitteita, joita se voisi saastuttaa. Koska näissä laitteissa on hyvin usein yksinkertaiset oletussalasanat, haittaohjelman rakenteen ei tarvitse olla kovin monimutkainen. Sen tarvitsee vain löytää haavoittuva laite, syöttää siihen oletussalasanat ja sen jälkeen ladata laitteeseen haittaohjelma. Sitten sama kuvio toistuu taas.

Ja laitteesta on tullut osa bottiverkkoa, joka voidaan komentaa pommittamaan vaikkapa jotain yhdysvaltalaista palvelinta.

Vaihda oletussalasana

Tarhosen mukaan on tärkeää, että käyttäjä vaihtaa laitteensa oletussalasanan, jos se vain on mahdollista. Lisäksi valmistaja saattaa toimittaa tietoturvapäivityksiä, jotka kannattaa asentaa.

Jos laite on jo saastunut, pelkkä uudelleen käynnistäminen voi tuhota yksinkertaisen laitteen muistiin asennetun haittaohjelman. Laite säilyy silti haavoittuvana ja voi saastua helposti uudelleen.

Tarhonen kehottaa myös miettimään, tarvitseeko kotiverkossa käytettävän laitteen olla suorassa yhteydessä internetiin.

Kohteena "internetin puhelinluettelo"

Perjantain hyökkäyksessä oli kodinelektroniikan käyttämisen lisäksi toinenkin poikkeuksellinen piirre: kohteena ei ollut yksittäinen sivusto tai verkkopalvelu, vaan nimipalvelujärjestelmä. Tarhonen kuvailee, että nimipalvelujärjestelmä on ikään kuin internetin puhelinluettelo.

– Kun kirjoitat selaimeen verkkosivun osoitteen, nimipalvelujärjestelmä kertoo, mikä ip-osoite kuuluu tälle osoitteelle ja sitä kautta ohjaa tietokoneen sinne.

Hyökkäyksen kohteeksi joutunut Dyn on yksi yhtiöistä, jotka pitävät yllä tätä internetin perusrakennetta.

– Hyökkäys oli merkittävä, koska se kohdistui juuri tällaiseen kriittiseen pisteeseen internetin toimivuuden kannalta.

Palvelunestohyökkäyksen tekijä ei ole toistaiseksi tiedossa. Yhdysvaltain keskusrikospoliisi FBI on aloittanut siitä tutkinnan.