Verkkotunnukseen liittyvät nimipalvelutiedot ovat avainasemassa

Tuore nimipalvelutietojen muokkaustapaus on esimerkki siitä, että verkkotunnuksen omistamiseen liittyvien tietojen suojaaminen on tärkeää. Jos verkkotunnuksen rekisteröijän järjestelmiin murtaudutaan, käyttäjällä on kuitenkin varsin vähän keinoja tietojensa varjelemiseksi. Rekisteröintipalveluihin voi liittyä esimerkiksi tietojen lukitsemismahdollisuus, jolloin tietoja voi muuttaa vain kyseisen rekisteriyrityksen kautta.

Verkkotunnukseen liittyvistä tiedoista tärkeimpiä ovat seuraavat:

  • Verkkotunnuksen omistajan henkilö- tai yritystiedot sekä tietojen muokkaamiseen tarvittavat käyttäjätunnukset ja salasanat. Tunnusten haltija voi tehdä haluamiansa muutoksia verkkotunnukseen liittyviin tietoihin. Tunnusten avulla voi myös valtuuttaa verkkotunnuksen siirtämisen toiselle haltijalle tai toiselle rekisteriyritykselle. Joissakin tapauksissa on hyödyllistä käyttää rekisteriyrityksen mahdollisesti tarjoamaa tietojen lukitusmahdollisuutta, jolloin verkkotunnukseen ei voi tehdä muutoksia muuten kuin rekisteriyrityksen palvelun kautta. Jos yritys tarjoaa mahdollisuuden kirjautumisen tai muutosten varmistamiseen esimerkiksi tekstiviestinä lähetettävän koodin avulla, se kannattaa ottaa käyttöön.
  • Verkkotunnukselle rekisteröidyt nimipalvelimet. Verkkotunnukseen liittyviä teknisiä tietoja ylläpidetään joko omilla, teleyrityksen tarjoamilla tai rekisteröintiyrityksen ylläpitämillä nimipalvelimilla. Jälkimmäisessä tapauksessa rekisteröintiyrityksen verkkopalvelussa on mahdollisuus myös nimipalvelutietojen muokkaamiseen. Nimipalvelimet määritetään verkkotunnukselle asetettavilla NS-tietueilla (name server). Ne määritetään palvelimen nimen perusteella, esimerkiksi ns.operaattori.com ja ns2.operaattori.com. Palvelimia on määritettävä vähintään kaksi, mutta niitä voi olla myös useampia. Yksi palvelimista on ns. master-palvelin, johon tietojen muutokset tehdään, ja josta ne siirtyvät muille palvelimille. Tuoreessa nimipalvelukaappauksessa muutettiin juuri verkkotunnusten NS-tietueita rekisteröintiyrityksen kautta.
  • Master-nimipalvelimelle asetettavat verkkotunnukseen liittyvät tekniset tiedot. Varsinaiset verkkoliikenteeseen vaikuttavat tiedot sijaitsevat edellä mainituilla nimipalvelimilla. Niistä tärkeimpiä ovat A-tietueet (address), joiden avulla palvelimen nimiin liitetään IP-osoitteita. IP-osoite on numero, joka tavallisesti ilmoitetaan neljän pisteellä toisistaan erotetun numeron avulla. Esimerkiksi www.cert.fi-palvelimen IP-osoite on 87.239.126.114. Tieto löytyy cert.fi-verkkotunnuksen nimipalvelimilta, joita on kolme (dns1.ficora.fi, dns2.ficora.fi ja ns-secondary.funet.fi). Selain ja työaseman nimenselvitysjärjestelmä löytävät nämä palvelimet ja hakevat osoitetiedon automaattisesti. Samoilta nimipalvelimilta löytyvät myös verkkotunnukseen liittyvät MX-tietueet (mail exchanger), jotka kertovat, että mitkä palvelimet ottavat verkkotunnukselle osoitetun sähköpostin vastaan. Kaappaamalla nimipalvelun hallintaansa sivullinen voi siis ohjata sekä käyttäjien selaimet sekä verkkotunnuksen sähköpostin haluamilleen palvelimille.

Nimipalvelukaappauksesta käyttäjälle aiheutuvat riskit

Jos käyttäjä harhautetaan muutettujen nimipalvelutietojan avulla murtautujan hallitsemalle www-palvelimelle, häntä voidaan huijata monella tavoin. Murtautujan sivusto voi olla tehty matkimaan alkuperäistä sivua, ja sen avulla voidaan esimerkiksi kerätä palveluun kirjautuessa syötettäviä käyttäjätunnuksia ja salasanoja tai maksuvälinetietoja. Sivustolta voidaan myös tarjota käyttäjälle sisältöä, jonka tarkoituksena on murtaa työaseman suojaus ja asentaa sille haittaohjelmia, joita myöhemmin voidaan edelleen käyttää tietojen urkkimiseen, roskapostin lähettämiseen tai etäohjattujen palvelunestohyökkäysten suorittamiseen. Jos verkkotunnuksen sähköposti on ohjattu murtautujan palvelimelle, luottamukselliset viestit voivat joutua sivullisen käsiin.

Murtautumisessa käytettyjä osoitteita

Tuoreessa tapauksessa verkkotunnukseen liittyviä tietoja oli muutettu Melbourne IT -nimisen rekisteröintiyrityksen järjestelmässä käyttämällä verkkotunnusten jälleenmyyjän tunnuksia. Usean eri verkkotunnuksen nimipalvelimet (eli NS-tietueet) oli muutettu. Käytettyjä nimipalvelinten nimiä ovat ainakin seuraavat:
  • ns1.syrianelectronicarmy.com
  • ns2.syrianelectronicarmy.com
Niiden IP-osoitteena on ollut:
  • 141.105.64.37
Sama IP-osoite on esiintynyt myös eri palvelujen muutettuna osoitteena (esimerkiksi sharethis.com).

Nimipalvelumuutosten havaitseminen

Tavalliselle käyttäjälle nimipalvelutietojen muutoksen havaitseminen on melko vaikeaa, varsinkaan jos ei tiedä, että minkälaisia osoitteiden pitäisi normaalitilanteessa olla. Paras merkki siitä, että on mahdollisesti eksynyt väärälle palvelimelle, onkin mahdollisesti oudolta tai epätavalliselta näyttävä sisältö.

Tapahtuneesta toipuminen

Nimipalvelutiedot on korjattu rekisterinpitäjän toimesta juurinimipalvelimille heti kun tapahtunut havaittiin. Tietoihin liittyy kuitenkin vanhenemisaika (TTL, time to live). Nimenselvitysmekanismi toimii siten, että kerran juurinimipalvelimilta haettua tietoa pidetään oikeana, jos se on kyseistä aikaa tuoreempi. Tieto tallennetaan välimuistiin (cache), josta se noudetaan sitä seuraavan kerran tarvittaessa. Tämän vuoksi kerran noudettu väärä tieto voi säilyä eri palvelinten ja laitteiden välimuistissa pitkänkin aikaa. TTL-arvot vaihtelevat, ja ne voidaan asettaa vaikka jokaiselle tiedolle erikseen. Verkkotunnukseen liittyvien nimipalvelinten NS-tietueet säilyvät välimuistissa enintään kaksi vuorokautta. Väärien tietojen ujuttaminen laitteiden välimuistiin on eräs tietomurtotekniikka, ja siitä käytetään englanninkielistä nimitystä cache poisoning.

Internetin käyttäjän näkökulmasta nimenselvitykseen osallistuvat ainakin työaseman oma nimenselvityskirjasto ja operaattorin tarjoamat resolver-nimipalvelimet. Kyseisten palvelinten IP-osoitteet näkyvät työaseman verkkoasetuksissa ja yleensä ne asentuvat automaattisesti DHCP-palvelun avulla samalla kun työasema saa oman IP-osoitteensa. Yritysverkoissa resolver-nimipalvelimena voi näkyä yrityksen oma palvelin tai reititin, joka voi ohjata nimipalvelukyselyt edelleen operaattorin palvelimelle. Lisäksi tieto voi olla http proxy -välimuistipalvelimella, jos sellainen on käytössä.
Jotta korjattu osoitetieto saataisiin leviämään käyttäjille, täytyy resolver-palvelinten välimuisti tyhjentää. Toimenpidettä ei yleensä tehdä operaattorin palvelimilla muuten kuin erityistilanteissa.

Asiasanat: Tietoturva , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248