Tuntematon hakkeri keräsi puolen vuoden ajan tietoja avoimessa Internetissä sijainneista palvelimista nimeten hankkeensa Internet-väestönlaskennaksi (”Internet Census of 2012”). Hän käytti työhön bottiverkkoa, joka koostui 420 000 vallatusta reitittimestä ja muusta päätelaitteesta.
Hakkeri kävi verkkonsa avulla läpi koko netin perinteisen osoiteavaruuden. Hakkeri löysi ja skannasi 420 miljoonaa IP-osoitetta, joista vastattiin vakiomuotoisiin kyselyihin. Runsaasti erilaista skannaustietoa sisältävä tietomassa on julkaistu ja analysoitavissa.
– Vaikka se on koottu laittomasti, se antaa hyvän yleiskuvan siitä, miltä Internet näyttää hyökkääjän näkökulmasta, toteaa Pohjoismaiden suurin tietoturvakonsultoinnin asiantuntijayritys Nixu tiedotteessaan.
Suomessa runsaasti parannettavaa
Nixu poimi aineistoon sisältyneet liki 14 miljoonaa suomalaista IP-osoitetta omaksi aineistokseen, jonka se prosessoi ja analysoi. Tutkimuksen toteutti Nixun Security Intelligence and Research.
Nixun vanhempi tietoturvakonsultti Marko Ruotsalainen kertoo, että Suomea on pidetty haittaohjelmien suhteen yhtenä puhtaimmista verkoista maailmassa.
– Aineiston perusteella hyökkäysrajapinta onkin avoimien porttien osalta kohtuullisissa lukemissa, sillä niissä noin puolessa miljoonassa suomalaiskoneessa, jotka bottiverkko oli löytänyt ja onnistunut skannaamaan, vain noin 30 000:ssa oli liikaa avoimia portteja.
Suomalaisessa verkkoympäristössä on silti runsaasti parannettavaa.
– Verratessamme palvelimien ilmoittamia ohjelmaversioita Nixu Watson -haavoittuvuuksienhallintapalvelun tietokantaan kävi ilmi, että turhan monen palvelimen tietoturvapäivitykset ovat jääneet tekemättä, Ruotsalainen kertoo.
Hänen mukaansa aineistosta löytyi 693 ohjelmistojen eri versiota, joista löytyi yhteensä 985 tunnettua haavoittuvuutta. Eniten haavoittuvuuksia oli web-palvelimissa ja erityisesti suosituimpien web-palvelinohjelmistojen, Apachen ja PHP:n, vanhemmissa versioissa.
Kuka selaa tulostintasi?
Avoimeen verkkoon tarkoitettujen web-palvelujen ohella bottiverkko löysi suomalaisten IP-osoitteiden takaa runsaasti sellaisia web-pohjaisia palveluja ja -liittymiä, jotka eivät sinne kuuluisi, kuten teollisen Internetin valvomo-ohjelmistoja, etähallintajärjestelmiä ja verkkotulostimia. Ruotsalainen huomauttaa, että myös niiden piilottamiseen sivullisilta on tehokkaat keinot.
Hänen mukaansa erityisen hämmentävä oli verkossa näkyvien tulostimien suuri määrä, sillä niiden pitäisi sijaita palomuurien takana.
– Verkkoon kytkettyä tulostinta käytetään usein myös skannerina ja skannatut dokumentit ja tulosteet tallentuvat sen muistiin. Hyökkääjä saattaa siten saada haltuunsa jo pelkästä tulostimesta yritykselle kriittistä tietopääomaa – sen lisäksi että tulostin voi mahdollistaa tunkeutumisen syvemmälle yrityksen sisäverkkoon, Ruotsalainen selvittää.
Monessa muussakin verkkolaitteessa saattaa asennuksen jäljiltä olla valmistajan oletusarvoja, jotka voivat tarjota helpon sisäänpääsyn hyökkääjille.
– Viimeaikaisten NSA-paljastusten valossa nyt viimeistään olisi syytä herätä käyttämään etähallintayhteyksien salausta, Ruotsalainen sanoo.
