Ohjelmistosodankäynti

Wikipedia
Loikkaa: valikkoon, hakuun

Ohjelmistosodankäynti on ohjelmistojen käyttämistä sodankäynnin tavoitteisiin, sodankäynnin keinona (vrt. johtamissodankäynti tai ympäristösodankäynti).

Ohjelmistosodankäynti terminä voi tarkoittaa:

  • ohjelmistojen sodankäyntiä (virusohjelma ja virustorjuntaohjelma) ja
  • ohjelmistojen käyttöä sodankäynnin tavoitteisiin (vrt. kivääri, psv jne)

Ohjelmistosodankäynnin merkitystä korostaa ensin se, että lähes kaikki nykyaikaiset aseet ja asejärjestelmät sisältävät tietokoneen ja ohjelmiston. Vaikuttamalla ohjelmistoihin voidaan siis vaikuttaa lähes kaikkiin nykyaikaisen sodankäynnin merkittäviin järjestelmiin.

Ohjelmistosodankäyntiä korostaa myös se, että aseen tai järjestelmän ohjelmisto kuvaa täydellisesti sen toiminnan. Saamalla ohjelmisto tiedusteltavaksi, voidaan selvittää kyseisen aseen täydellinen toiminta, sen suorityskyky ja siihen tehoavat vastatoimet.

Ohjelmistosodankäynnin keinoja ovat muun muassa ohjelmistojen sieppaaminen ja tutkiminen, takaportit, virukset, madot, Troijan hevoset, tahalliset ohjelmointivirheet, HPM ja palvelunestohyökkäykset.

Hyökkäyksellisiä ohjelmistosodankäynnin keinoja[muokkaa | muokkaa wikitekstiä]

Hyökkäyksellisiä ohjelmistosodankäynnin keinoja ovat mm:

Ohjelmointivirheet: Ohjelmistot ovat monimutkaisia kokonaisuuksia, joihin usein jää virheitä. Toiminnan estävät tai väärän toiminnan aiheuttavat virheet yleensä poistetaan, mutta on myös virheitä, jotka eivät näy toiminnassa, mutta jotka virheet löytänyt pystyy hyödyntämään esimerkiksi järjestelmään tunkeutumisessa.

Looginen pommi toimii samalla tavalla kuin Troijan hevonen alla: Käynnistää viruksen, madon tai tekee jonkin salaisen tehtävän. Tavallisesti loogisen pommin on asettanut ohjelmoija tai järjestelmäkehittäjä.

Takaovi tai takaportti on käytöltään loogisen pommin tyyppinen. Se on ohjelman kehittäjän jättämä salainen ohjelmistotie takaisin järjestelmään ohi tietoturvatoimien. Myös laitepohjainen ratkaisu on mahdollinen. Toisin kuin looginen pommi, takaovi on lähinnä turvallisuusepäkohta, joka sallii asiattomien pääsyn ohjelmaan ja tietokoneeseen. Takaportteja käytetään myös ohjelmistosuunnittelun normaalina työkaluna mahdollistamaan pääsy käsiksi esimerkiksi pahasti "kaatuneeseen" ohjelmaan.

Tietokonevirus, ohjelmakoodin osa, joka käynnistettynä monistaa itsensä isäntäjärjestelmään ja leviää sen kautta levykkeiden, makrojen tai tiedonsiirron, jopa virallisten kaupallisten ohjelmien mukana edelleen sekä tekee sen ohjelmoijan suunnittelemat toimenpiteet isäntäkoneisiin, esimerkiksi järjestelmäresurssien kuluttaminen, tietojen tuhoaminen, tietojen lähettäminen...

Ohjelmistomato on itsenäinen ohjelma, jonka toiminta ei ole riippuvainen isäntäohjelman tai muiden ohjelmien käynnistymisestä. Sen päävaikutus tulee sen leviämiseen liittyvistä seurauksista, järjestelmäresurssien kulumisesta.

Troijan hevonen on "viaton" ohjelma tai ohjelman pätkä, joka tekee toiminteen, jota käyttäjän ei tiedä. Tavallisesti se tekee jonkin yksinkertaisen hyödyllisen toiminteen, mutta samalla käynnistää viruksen tai madon. Se voi myös tehdä tiedonhakua, tietojen tuhoamista tai vastaavaa, jättämättä mitään jälkiä.

Salasanan haistelija on verkossa toimiva ohjelma, jopa mikropiiri, joka seuraa uuden yhteyden muodostumista, tallentaa uuden yhteyden ensimmäiset paketit ja lähettää ne ohjelman asentaneelle. Yleensä ensimmäiset yhteyspaketit sisältävät yhteyden avaavan salasanan. Toinen tapa on asettaa kyseinen ohjelma murtauduttuun tietokoneeseen niin, että se tallentaa ensimmäiset näppäimistöpainallukset ja lähettää ne Internet- yhteyden mukana ohjelman asentaneelle. Periaate toimii myös lähiverkossa niin, että ohjelma tallentaa jonkun tietokoneen kaiken liikenteen ja lähettää sen ohjelman asentaneelle. Valtiollisella tasolla salasanan haistelija voi olla myös näppäimistöön asennettu mikropiiri, joka lähettää näppäimistöpainallukset radioteitse lähellä tai kauempanakin olevalle vastaanottajalle.

Salasanan murtajat: Ohjelmat, jotka automaattisesti murtavat salasanoja esimerkiksi kokeilemalla. Yksinkertaisin tapa on salata suuri elektroninen sanakirja salakirjoitusohjelmalla, jolla salasanat luodaan ja sitten verrata salakirjoitettuja salasanoja sanakirjalla luotuihin. Tällä tavalla paljastuvat "puhtaat" salasanana käytetyt sanat kuten "kettu", "loistava" tai "hakkeri". Seuraava taso arvata salasanoja on kerätä mahdollisimman paljon tietoa kohdeyksilöstä, kuten lasten nimet ja harrastukset, ja arvata näiden perusteella todennäköisiä salasanoja. Kolmas tapa on kerätä jotain kautta mahdollisimman paljon tietoa íhmisten tavasta muodostaa salasanoja ja kehittää niiden kautta osin automaattisia ohjelmia salasanojen kokeiluun.

Verkkoturvallisuusohjelmat. Kuten SATAN (Security Analysis Tool for Auditing Networks) tutkivat verkon koneen ominaisuudet ja mahdolliset turvallisuusaukot. Nämä ovat tärkeitä tietoja verkkoturvallisuudesta vastaaville ja mahdollisille murtautujille. Molemmat ovat ko. ohjelmien tärkeitä käyttäjäryhmiä. Muita vastaavia tuotteita ovat mm Internet Scanner 5.0 for Windows NT, NetSonar, PingWare.

Palvelunestohyökkäys (Denial of Service, DoS) on tapa, jolla pyritään lamauttamaan toisen sivuston toimintakyvyn.

Muu vihamielinen ohjelmakoodi on laitteeseen sijoitettu ohjelmallinen ominaisuus, joka tekee jotain sellaista, jota ostaja ei haluasi sen tekevän eikä tiedä sen sitä tekevän. Esimerkiksi sijoittaa sanoman sisään tietoa salaamiseen käytetystä avaimesta tai laitteen paikkatietoa sen oman GPS:n kautta.

Sosiaalinen tiedustelu (Social engineering) on ihmisten väliseen toimintaan perustuvaa tiedustelua, esimerkiksi esiintymistä puhelimessa firman ATK-tuen henkilönä ja salasanojen pyytäminen "viralliseen" käyttöön verkon käyttäjiltä.

Jätteiden tutkiminen: Jätteiden sekaan jää usein ohjelmistolistauksia, muistiin merkittyjä salasanoja tai muuta ohjelmistosodankäynnissä käyttökelpoista tietoa.

Vihamielinen mikropiiri (chipping) on laitteeseen sijoitettu mikropiiri, joka tekee jotain sellaista, jota ostaja ei haluasi sen tekevän eikä tiedä sen sitä tekevän. Mikropiiri voi lähettää hakeutumissignaalia jäljitystä tai täsmäaseen hakeutumista varten, seurata ja nauhoittaa näppäimistön käyttöä (salasanat) tai sulkea, tuhota tai muuten vaikuttaa laitteeseen ulkoisen signaalin, ajoituksen tai laitteen tietoliikenteen käytön (sisällön) perusteella. Kylmän sodan aikana USA toimitti em. tavalla käsiteltyjä mikropiirejä Neuvostoliiton länttä vakoilevan ja hyödyntävän tiedusteluorganisaation käsiin (ks. alla lähteet). Seurauksena oli, että Neuvostoliitto menetti luottamuksen kaikkiin niihin järjestelmiinsä, joihin se oli sijoittanut lännen tehokkaimpia mikropiirejä.

Suurtehomikroaaltoase (HPM) on alun perin rakennettu elektroniikan tuhoamiseen lyhyellä etäisyydellä. Sen rakenteesta (mikroaaltoalueen lyhyt pulssi) johtuen se toimii myös häirintäsignaalina suojattomia tietokonejärjestelmiä vastaan tuhoamisetäisyyttä huomattavasti pidemmillä matkoilla. "Ylimääräinen" pulssi sotkee tietokonejärjestelmän monimutkaisen pulsseihin perustuvan ajoituksen ja tiedonsiirron. Yksittäinen pulssi on aikaansaatavissa salkkukokoa olevalla elektroniikan ja räjähdetekniikan yhdistelmällä. Venäjällä väitetään olevan käytössä 100.000 näitä salkkuluokan aseita. Ei-ydinase EMP on HPM:n tapainen suurtehopulssi, jonka taajuusalue on alempi (HF, VHF). HPM- pulsseja voidaan aikaansaada esimerkiksi räjähteiden avulla sekä suurtehogeneraattoreilla.

Periaatteessa nykyajan yhteiskunnan tietotekniikan perusta, mikropiirit, käyttöjärjestelmät ja tietoliikennelaitteet ovat suunnittelultaan salaisia, niiden vientiä kontrolloidaan ja niiden tiedetään sisältävän dokumentoimattomia toiminteita, joten perusteita luotettavalle toiminnallisuudelle ei ole olemassa. Asiasta on varoittanut muun muassa professori Arto Karila.

Miljoonia transistoreja sisältävä mikropiirin on alun perin noin neliösentin pinta-alan ja millimetrin osien paksuinen elektroninen komponentti. Sen kätkeminen on mahdollista siis hyvin pieneen tilaan. Nykyaikainen piirilevy saattaa sisältää kymmenenkin päällekkäistä tasoa, joiden välillä mikropiirien väliset kytkennät kulkevat.

Eräitä todettuja ohjelmistoriskejä 1990-luvulta[muokkaa | muokkaa wikitekstiä]

Vuonna 1990 AT&T:n kaukoverkon 114 tietokonetta pimenivät yhdeksäksi tunniksi USA:ssa. Ko. aikana 148 miljoonasta kaukopuhelusta vain 50% pääsi läpi. Hotellit menettivät asiakkaita, samoin autovuokraamot ja lentoyhtiöt. Kokonaistappiot olivat 60 - 75 miljoonaa dollaria.

Yhdysvaltojen laki ei sallinut ennen vuotta 2000 yli 40 bittisiä salausalgoritmeja sisältävien ohjelmistojen vientiä ulkomaille. Lotus neuvotteli sopimuksen NSA:n kanssa siitä, että se voi viedä ulkomaille ohjelmistoja, joiden 64 bitin salausavain sisälsi 24 bitin lisäosan, jonka avain oli luovutettu NSA:lle. Tämän seurauksena NSA pystyi tarvittaessa avaamaan Lotuksen salauksen, mutta muille salaus oli edelleen 64-bittinen. Avaimen siirtäminen NSA:lle ei kuitenkaan ollut salaisuus, vaan siitä tiedotettiin laajasti. Jotkut hallitukset kuitenkin vastustivat Lotuksen sopimusta, koska se saattoi ne NSA:ta heikompaan asemaan. Erityisesti Ruotsissa asiasta nousi kohu, koska Lotus Notes oli käytössä muun muassa useilla valtion virkamiehillä ja kansanedustajilla.

Tietokoneohjatut päätelaitteet esimerkiksi fax, ISDN- puhelin, kännykkä, modeemi, tietokoneessa oleva puhelintoiminne (fax, puheposti ym) mahdollistavat teknisesti näiden laitteiden kauko-ohjuksen jos sellainen toiminne kyseisiin laitteisiin halutaan rakentaa sisälle. Ja jos niissä sellainen on, tämän ohjauksen tietävä voi käynnistää esimerkiksi kännykän tai ISDN- puhelimen ja kytkeä mikrofonin päälle ilman, että laitteen varsinainen haltija huomaa mitään. Englannissa käytössä olevassa System X- puhelinjärjestelmän ISDN- osassa on tämä "puute". System X- järjestelmää on myyty mm Kiinaan ja Venäjälle.

Hakkeri mursi Windows NT:n suojaukset 7. syyskuuta 1998 ja ilmoitti asiasta Microsoftille.

Internetselain Navigatorin turvallisuuspuute sallii potentiaalisesti palvelimen lukea tietoa selaimen käyttäjän kiintolevyltä.

Lokakuu 21. 1998: Microsoftin Windows NT sallii sisäpiiriläisen ohittaa kaikki turvaominaisuudet ja hankkia tietoa järjestelmän sisältä.

Syyskuu 1998: Microsoftin ActiveX Internet teknologia oli vakava riski toiminnalle Internetissä kuten saksalainen hakkerikerho Chaos Computer Club osoitti suorassa lähetyksessä syksyllä 1998 Saksan televisiossa. Käyttämällä ko. ohjelmaa hakkerit osoittivat pystyvänsä "juoksuttamaan" rahaa miljoonista pankkitileistä vain vapauttamalla konnamaisen ohjelman Internetiin. Microsoftin edustaja totesi tapahtumasta: "Ei ole mahdollista taata Internetin turvallisuutta." Microsoft on korjannut vian, niin että koneen rikollinen haltuunotto ei ole enää mahdollista.

Syyskuu 1998: Linuxin verkkoversio on turvaton. Network File System serverit, jotka käyttävät Linuxia, ovat haavoittuvia hakkerille. Vian löysi USA:n CERT- (Computer Emergency Response Team) organisaatio.

"Back Orifice" - virustyyppinen ohjelma mahdollistaa sen, että hakkeri voi ottaa täydelliseen hallintaan Internetiin yhteydessä olevan Windows95/98 - pohjaisen koneen ilman että koneen haltija huomaa mitään. Mahdollisuuden julkaisi "DefCon IV"- hakkerikonferenssi Las Vegas'issa elokuussa 1998. Hakkeri voi skannata Internetiä ja etsiä koneita, joita voisi ottaa haltuun. Kun hakkeri saa koneen ohjaukseensa, hän voi monitoroida sen toimintaa, siepata salasanoja ja sisään kirjoittautumisprosesseja, tuhota tiedostoja jne. Ongelmaan löytyi korjaus muutamassa kuukaudessa.

OKO pankin tietoturva-asiantuntija Ilkka Keso luettelee Data Security'96 seminaariesitelmässään kolmetoista "vahingollista tietoturvayllätystä". Ne mahdollistavat tietoverkko- tai ojelmistosodankäynnin toteutuksen, mutta eivät välttämättä ole kaikki tarkoituksellisia. Vihamielisen vaikuttamisen ja ohjelmointivirheen erottaa vain aikomus, jonka todistaminen taas on erittäin vaikeaa.

Tai Helsingin Sanomat huhtikuussa 2002: Reikäinen Outlook houkuttelee matoja. Toinen toisiaan ovelammat sähköpostivirukset tukkivat verkkoliikenteen ja tunkevat itsensä sähköpostin käyttäjien koneille.

Ohjelmistohaavoittuvuudet[muokkaa | muokkaa wikitekstiä]

CERT-FI:n mukaan (lokakuu 2004) palomuurin läpäisyyn käytetään selain- ja soitinohjelmien sekä tietokantojen haavoittuvuuksia, Kotikäyttäjien osalta myös Windows:n haavoittuvuuksia. Tietovarkauksien suhteellinen osuus on lisääntynyt ja epäsosiaalinen toiminta tietoverkoissa on siirtynyt selvästi ammattimaiseen ja rahan ansaitsemisen suuntaan. Uusimmat uhkat ovat kotitietokoneiden kaappaus roskapostin levitykseen, palvelunestohyökkäyksiin ja taloudellisten tietojen hankintaan. Jälkimmäiseen käytetään esimerkiksi täysin oikeilta näyttäviä pankin sivustoja, joiden kautta verkon käyttäjää houkutellaan luovuttamaan luottokorttitiedot, tunnussanat jne.

Puolustuksellisia ohjelmistosodankäynnin keinoja[muokkaa | muokkaa wikitekstiä]

Tietoturva on puolustuksellisen ohjelmistosodankäynnin ydinkysymyksiä, samoin salaus.

Katso myös:

Hyökkäyksellinen tietoturvayksikkö, ns. Red Team, on myös puolustuksellinen ohjelmistosodankäynnin keino siinä mielessä, että omaa tietoturvaa vastaan käytettynä se osoittaa organisaation tietoturvan puutteet ja todellisen tason.

Suhteellinen etu ohjelmistosodankäynnissä[muokkaa | muokkaa wikitekstiä]

Suhteellisen edun mukaan ohjelmistosodankäynnissä on kolme oleellista aluetta:

  • paremmat ohjelmat
  • parempi kyky hyökätä vastustajan ohjelmistoja vastaan ja
  • parempi kyky suojata ohjelmistoja vastustajan hyökkäykseltä.

Reverse engineering[muokkaa | muokkaa wikitekstiä]

Ohjelmistosodankäynnin tärkeitä solmuja ovat ohjelmat, jotka tekevät ohjelmia siis kääntäjät.

Merkittävä ohjelmistosodankäynnin keino on konekielisen ohjelmiston takaisinmallinnus konekielisestä korkeamman tason kielelle, jolloin ohjelmiston logiikkaa on oleellisesti helpompi selvittää. Kommunistimaiden väitettiin olleen hyviä tässä kylmän sodan aikana. Takaisinkäännöstä käytetään kaupallisesti muun muassa selvittämään mahdollisia patenttirikkomuksia ohjelmistoteollisuudessa.

Lähteet[muokkaa | muokkaa wikitekstiä]