Hakukoneet ja tietoturva

Binary handprint

Miten yritys voi itse selvittää mitä sen järjestelmistä on näkyvillä julkisessa tietoverkossa? Entä miten yleiskäyttöiset ja erikoistuneet hakukoneet toimivat ja miten ne eroavat toisistaan?

Perusohjeet yrityksen suojautumiselle tietoverkossa voidaan tiivistää muutamaan lauseeseen:

  • vaihda kaikkien järjestelmien oletussalasanat
  • varmuuskopioi ja päivitä kaikki järjestelmäsi säännöllisesti
  • käytä salattuja yhteyksiä sekä monitoroi ja suodata liikennettä mahdollisuuksien mukaan
  • salli pääsy sisäverkon ulkopuolelta vain niihin järjestelmiisi joihin se on ehdottoman välttämätöntä.

Viimeisen ohjeen merkitystä suojautumisessa ei voi ylikorostaa. Erilaiset hakukoneet keräävät jatkuvasti tietoa verkossa olevista sivustoista ja palveluista. Niiden tarjoamilla palveluilla kuka tahansa, mukaan lukien verkkorikolliset, voivat helposti löytää kaiken verkossa vapaasti olevan tiedon ja käyttää sitä omaksi hyödykseen. On huolestuttavaa että useissa sekä maailmalla että Suomessa tehdyissä selvityksissä löydetään jatkuvasti mm. runsaasti suojaamattomia verkossa olevia automaatiolaitteita (ks. esim. Viestintävirasto).

Omien tietoverkossa näkyvien järjestelmien tutkiminen on sallittua, samoin kuin hakukoneiden tekemien tulosten selaaminen. Pitää kuitenkin aina muistaa, että muiden omistuksessa olevien järjestelmien tarkempi analysointi on yleensä laitonta. Jos esimerkiksi hakutuloksista paljastuneeseen web-kameraan kirjaudutaan oletussalasanalla ja käyttäjätunnuksella luvatta, on kyse laittomasta toiminnasta.

Kun haetaan tietoa verkossa olevista järjestelmistä, on tärkeää ymmärtää, miten erityyppiset hakukoneet keräävät tietonsa ja mitä ne tallettavat tietokantaansa. Yleiskäyttöisen hakukoneen, kuten esimerkiksi Googlen, indeksointirobotit etsivät ja analysoivat taukoamatta julkisesti saatavilla olevia verkkosivuja. Indeksointirobotit aloittavat etsinnän edellisessä indeksoinnissa kerätystä luotettavaksi arvioidusta verkko-osoiteluettelosta. Robotit etsivät verkkosivuilta linkkejä uusille sivuille sekä tutkivat sivustoille tehtyjä muutoksia. Robotit seuraavat löytämiään linkkejä ja vierailevat uusilla sivustoilla.

Sivustojen luotettavuus analysoidaan sekä niiden tarjoaman sisällön, että niille tulevien linkkien määrän perusteella. Kerätyt tiedot talletetaan Googlen valtavaan hakemistoon, jonka koko on Googlen oman ilmoituksen mukaan yli 100 miljoonaa gigatavua. Googlen hakualgoritmi analysoi käyttäjän tekemän kyselyn käyttäen yli 200 eri signaalia löytääkseen parhaiten hakuun sopivat vastaukset hakemistosta. Lisätietoa Googlen toiminnasta löytyy esimerkiksi Googlen sivulta.

Toisin kuin yleiskäyttöiset hakukoneet, erikoistuneet hakukoneet keskittyvät johonkin tiettyyn aihepiiriin. Yksi tunnetuimmista erikoistuneista hakukoneista on Shodan. Shodan kerää tietoa julkiseen internetiin kytkeytyneistä laitteista, olivat ne sitten verkkosivustoja tarjoavia uutispalvelimia, teollisuusautomaatiojärjestelmiä tai leivänpaahtimia.

Shodanin omat indeksointirobotit hakevat ja päivittävät jatkuvasti Shodanin tietokantaa internettiin kytketyistä laitteista. Shodanin indeksointirobottien algoritmi poikkeaa kuitenkin huomattavasti yleiskäyttöisten hakukoneiden robottien käyttämästä: se perustuu satunnaisuuteen. Ensin arvotaan satunnainen verkko-osoite (IPv4 tai IPv6) ja sen jälkeen valitaan satunnainen porttinumero siitä joukosta, jotka Shodan osaa käsitellä. Tämän jälkeen indeksointirobotti ottaa yhteyttä valitulla verkko-osoitteen ja portinnumeron yhdistelmällä. Jos laite löytyy eli vastaa kyselyyn, sen tuottama vastaus (banneri) ja muut yhteyteen liittyvät tiedot analysoidaan ja tulokset talletetaan Shodanin tietokantaan. Tietokantaan tallennutettuihin tietoihin, kuuluu mm. maantieteellinen sijainti, laitteen verkkonimi ja käyttöjärjestelmä sekä versio.

Blogikirjoituksen seuraavassa osassa käydään tarkemmin läpi Shodan-hakukoneen käyttöä.

Lisätietoa Shodanin toiminnasta löytyy Shodanin kehittäjän John Matherlyn kirjoittamasta kirjasta ”Complete Guide to Shodan”.

 

Juha Pärssinen, erikoistutkija

Sami Noponen, tutkija

Tämä kirjoitus on tehty osana EU FP7 -rahoitteista ECOSSIAN-hanketta.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s