"Jos rymistelet, jahtaat haamuja": Hyökätyn paras valtti on maltti

Pahin virhe sinnikkään verkkohyökkäyksen havaitsemisen jälkeen on yrittää palauttaa status quo mahdollisimman nopeasti.

6.11.2013 22:41 | Päivitetty 6.11.2013 22:42

Cert-fi julkaisi muun muassa ulkoministeriön kärsimän tietomurron innoittamana asiakasmateriaaliaan kohdistetuista hyökkäyksistä. Viranomainen jakelee esityskalvojaan, joilla se on selittänyt ilmiötä kuluvan vuoden aikana eri tilaisuuksissa.

Kalvoissa (pdf) Cert-fi varoittaa toimimasta väärin, jos yritys tai organisaatio pelkää pahimman tapahtuneen.

– Älä hätiköi! Kiireinen rymistely tuhoaa todistusaineistoa ja paljastaa vastapuolelle aikeesi, jolloin jahtaat pelkkiä haamuja, kalvot varoittavat.

Uhrin pitää varmistaa, että todistusaineisto saadaan talteen. Helppoa sekään ei ole, sillä "vastassasi on muistinvaraisia ja häirinnän tunnistavia ohjelmistoja, salakirjoitusta, erikoisia ajureita ja muokattuja tiedostojärjestelmiä.

Kiinnostavia talteen otettavia tietoja ovat muun muassa verkko- ja järjestelmälokit, tunkeutujan käyttämät työkalut kuten haittaohjelmat, komentopalvelinten osoitteet ja user-agent- ja referer-tiedot.

Lisäksi Cert-fi julkaisi vahvasti retusoidun version (pdf) ensiapuohjeesta, jota normaalisti jaetaan vain kohdistetun hyökkäysten uhreille niiden erikseen sitä pyydettyä. Erikoisversiosta on poistettu tapausten selvittämisen kannalta taktisista syistä salassa pidettäväksi tarkoitetut tiedot, eli todellakin kaikki liha.

Osion tuoreimmat

Luitko jo nämä?