Suomi massiivisen verkkohyökkäyksen kohteena

Itä-Euroopasta tullut verkkohyökkäys lamautti tiedonvälitystä iltapäivällä. Lehdistä Taloussanomien, Ilta-Sanomien ja Helsingin Sanomien verkkosivut kaatuivat. Myös poliisin ja rajavartiolaitoksen verkkopalvelut ovat hidastelleet. Sivustojen ongelmista on kaksi eri selitystä.

11.9.2012 14:18 | Päivitetty 11.9.2012 18:23

Iltapäivällä kello yhden jälkeen Sanoman verkkopalvelut joutuivat laajan palvelunestohyökkäyksen kohteeksi. Ainakin Ilta-Sanomien, Taloussanomien ja Helsingin Sanomien verkkosivut lakkasivat vastaamasta.

–  Meille on tullut useita ilmoituksia eri organisaatioilta www-palveluiden toimimattomuudesta, vanhempi tietoturva-asiantuntija Kauto Huopio Viestintävirastosta kertoi Ilta-Sanomille.

Huopion mukaan laajaa verkkohyökkäystä muistuttavaa aktiviteettia on käynnissä useilla sivustoilla.

Huopion mukaan viranomaiset eivät osaa vielä kertoa asiasta enempää.

F-Securen Mikko Hyppönen kertoo, että kyse on poikkeuksellisen laajasta palvelunestohyökkäyksestä.

– Kyseessä on palvelunesto- eli denial of service -hyökkäys, jolla palvelin ruuhkautetaan siten, ettei se vastaa. Eräänlainen tietoliikenneruuhka siis.

Hyökkääjän motiiveista Hyppönen ei osaa sanoa.

– Aina hyökkäyksille ei tarvita edes motiivia, esimerkiksi Anonymous saattaa hyökätä ihan läpällä. Joskus palvelunestohyökkäyksiä käytetään kiristykseen, mutta siitä tässä ei ole kyse, Hyppönen sanoi. 

Myös poliisin, rajavartiolaitoksen ja eduskunnan sivut hidastelivat iltapäivällä. Poliisihallitus kertoo poliisin sivujen hitaan toiminnan syyksi syyksi internet-operaatorin kuituvian. Hallinnon tietotekniikkakeskus HALTIKin mukaan ongelma saadaan korjattua arvion mukaan tänään illalla.

Alustavien analyysien mukaan verkkohyökkäys tuli Itä-Euroopasta. Hyökkäyksen laajuus viittaa niin sanottuun bottiverkkoon, eli suureen määrään tietokoneita, joita hyökkääjä pystyy hallitsemaan verkon kautta ja valjastamaan hyökkäyksiinsä.

Hyökkäyksessä kaksi hyvin poikkeuksellista piirrettä

Tietoturvayhtiö Stonesoftin asiantuntija Olli-Pekka Niemi kertoo, että Sanoman lehtien verkkopalvelut kaatanut hyökkäys oli hyvin poikkeuksellinen.

– Yleensä palvelunestohyökkäykset kestävät pitkään, tunteja tai jopa päiviä. Tämä kesti noin tunnin, eli oli poikkeuksellisen lyhyt.

Haktivistien eri verkkoaktivistien hyökkäykset ovat paitsi pidempiä, niistä myös otetaan vastuu. Yleensä jokin ryhmä tai tekijä ilmoittautuu varsin nopeasti iskun tekijäksi. Nyt ilmoittautuneita ei ole.

Hyökkäyksessä oli toinenkin erityispiirre: se vaikutti tulevan yhdeltä maantieteelliseltä alueelta, Ukrainasta.

Tavallisesti palvelunestohyökkäyksessä kohdetta pommitetaan monelta taholta, sillä hyökkäyksissä käytetyt, virusten saastuttamien tietokoneiden verkot levittäytyvät moneen maahan.

Niemen mukaan tietoliikennepaketit ovat kuitenkin väärennettävissä. Tämä tarkoittaa sitä, että paitsi itse hyökkääjä, myös hyökkäykseen osallistuneet tietokoneet saattavat olla aivan muualla kuin Ukrainassa.

– Tämä on hyvin mielenkiintoinen kysymys. Yleensä hyökkäykset tosiaan tulevat hajautetummin ympäri maailmaa.

On teknisesti mahdollista, että jokin taho on lavastanut hyökkäyksen tulevan Ukrainasta. Toisaalta Niemen mukaan on myös mahdollista, että hyökkääjätaho on vuokrannut tai muuten valjastanut käyttöönsä Ukrainassa sijaitsevan, virusten saastuttamista koneista rakentuvan botnet-verkon.

Hyökkäyksen motiiveja saattaa olla useita. Niemi pitää hyökkäyksen kestoa parhaana vihjeenä sen syystä.

– Kyseessä saattoi olla koe, koska hyökkäys oli niin lyhyt. Niillä etsitään, missä on haavoittuvia paikkoja, joita käytetään myöhemmin hyväksi.

Seuraa ja lue artikkeliin liittyviä aiheita

Osion tuoreimmat

Luitko jo nämä?