Tietoturvaloukkausten analysointi hunajapurkkijärjestelmän avulla

Abstract

Tutkielmassa vertailtiin tietoturvaloukkausten ja niiden yritysten tunnistamiseen kehitettyjä ohjelmistoja, joita käytetään parantamaan organisaatioiden tietoturvallisuutta. Tutkittiin, miten tietojärjestelmiin pyritään murtautumaan ja mitä murtautujat pyrkivät murretussa tietojärjestelmässä tekemään. Hunajapurkki on tähän tarkoitukseen suunniteltu, mielenkiintoinen, toisaalta myös hieman ristiriitainen työkalu, mikä voidaan toteuttaa suojaamaan tuotantojärjestelmiä tai toimimaan erillisenä tutkimuksen apuvälineenä. Hunajapurkki ottaa vastaan verkkohyökkäyksiä ja mahdollistaa murtautujan toiminnan tietojärjestelmässä siinä laajuudessa, kuin se halutaan mahdollistaa. Hunajapurkkeja käytettäessä nousee esille kuitenkin myös lainsäädännölliset ja eettiset ongelmat, minkä lisäksi se voi muodostaa teknisen riskin tuotantojärjestelmille. Väärin toimiva hunajapurkkijärjestelmä voi pahimmassa tapauksessa mahdollistaa pääsyn organisaation tietoverkkoon tai päätyä osaksi palvelunestohyökkäyksiä. Kun hunajapurkkia käytetään, sen toiminta ja valvonta on suunniteltava tarkkaan, myös lainsäädäntö ja eettiset seikat huomioiden. Tutkimus jakautui kahteen osaan: teoriaosiossa perehdyttiin hyökkäyksentunnistusjärjestelmiin, pääasiassa hunajapurkkijärjestelmiin – niiden teknisiin vaatimuksiin ja vaadittavaan osaamiseen, laillisuusnäkökulmiin sekä mahdollisiin ongelmiin järjestelmän käytössä. Kokeellisessa osassa asennettiin oma avoimeen lähdekoodiin perustuva, ns. keskitason vuorovaikutuksen hunajapurkkijärjestelmä. Sen avulla kerättiin mittava tutkimusaineisto, mistä päästiin tutkimaan hyökkääjien lähteitä ja heidän toimiaan järjestelmässä. Kerätty aineisto antoi mielenkiintoisen näkymän verkkohyökkäysten todellisuuteen: saatiin kartoitettua hyökkäysten määriä ja maantieteellisiä lähteitä, käytössä olleita murtautumismenetelmiä, murtautumiseen käytettyjä sanakirjoja sekä murtautujien järjestelmään syöttämiä komentoja. Tutkimuksessa paljastui hieman yllättäen, että murtautujat eivät juuri tavoitelleet murretun tietokoneen sisältöä, vaan tärkein tavoite oli yrittää saastuttaa se haittaohjelmin. Tässä tutkimuksessa tehdyt havainnot antavat pohjaa jatkotutkimuksille, esimerkiksi havaittujen automaattisten murtautumismenetelmien tai hunajapurkkiin ladattujen haittaohjelmien tutkimiseen.

This study compared software used to recognize security breaches and their attempts to improve organizations information security. It was examined how attackers try out to hack into system and what commands they execute after a successful login attempt. A honeypot system, as a main topic, is one of the most interesting but also controversial systems in field of network security. The main purposes of the system are to improve security of production systems and explore commands operated by the hackers. The system is ready for network attacks and allows black hat hackers to break in the system and tracks all commands given by the hacker. There are some legislative and ethical issues but also technical risks facing to the production systems. A faulty or misconfigured honeypot may offer a non-limited access to organization’s network or generate a large amount of unwanted network traffic. If the honeypot system is deployed, the operation and monitoring should be planned carefully, including legislative and ethic requirements. The study is divided into two parts: a literature review concentrates to intrusion detection and protection systems, especially the honeypot systems, their technical and knowledge requirements, legislative perspectives and possible issues in production use. In a research part, a medium interaction, an open source honeypot system was deployed. The system gathered a significant amount of research data which enabled a great possibility to investigate sources of network attacks and hacker's actions in the system. The research gave an interesting view to reality of network attacks: attack sources, attack methods, username password dictionaries and input commands were resolved. It was discovered that hackers were not interested in computer itself, the main goal was to infect the system with malware programs. This study and the results enables a good basis for further researches, e.g. malware code or automated breaking method analysis.