Laaja verkkohyökkäyssarja selvitetty – Epäiltynä 19-vuotias mies
Lounais-Suomen poliisilaitoksen kybertutkintaryhmä on selvittänyt laajan verkkohyökkäysten sarjan. Verkkohyökkäykset tapahtuivat loppuvuodesta 2016 ja alkuvuodesta 2017.
Pääepäiltynä tekoihin on 19 -vuotias Varsinais-suomalainen mies. Kaikkiaan verkkohyökkäyksiä on tehty yli sata. Näistä huomattava osa on kohdistunut Salon kaupungin ja Salon seudun koulutuskuntayhtymän palvelimiin. Verkkohyökkäyksillä kuormitetaan palvelinta ylimääräisellä verkkoliikenteellä niin paljon, että palvelmien toiminta estyy.
Käytännössä tämä on estänyt Salon kaupungin työntekijöiden työntekoa ja myös kaupungin asiakkaiden yhteydenottoyrityksiä. Esimerkiksi kouluissa käytössä olevan Wilma -järjestelmän toiminta on estynyt teon johdosta lukuisia kertoja.
Teosta on aiheutunut satojen tuhansien eurojen vahingot. Asia siirtyy poliisilta syyteharkintaan.
Lähde: Poliisi
Ja ketä voidaan syyttää palvelinten tukkeutumisesta? ATK-henkilöstöä joka ei osaa kertoa punakynää heilutteleville talouspääliköille että ensimmäiset kolme sivua pitää olla HTML-muodossa. Silloin ne tallentuvat koneiden cache-tiedostoihin ja eri operaattoeiden proxeihin. Ja itse servereille tulee minimaalisen vähän kyselyitä siihen nähden että ladattaisiin koko sivu. Cache palvelimet vain kyselevät check-summia jotka ovat bittejä verrattuina tietokantapohjaisiin megojen kokoisiin sivuihin. Näin hyökkääjien koneissa saattaa pyöriä tuhansia pyyntöjä sekunnissa kun se näkyy serverillä kymmeninä-satoina.
Toinen virhe mikä poikkeuksetta tehdään on se että www-serveri ja sen takana olevat tietokanta/arkistointi/muut serverit alimitoitetaan. Jos serveri on oikein mitoitettu, se pystyy vastaamaan jokaiseseen kyselyyn mikä internetistä tulee. Pahin virhe on asentaa jokin viertuaali-ohjelmisto yhteen serveriin ja muodostaa siihen esim. kymmenen virtuaalista serveriä joista jokaisella on omat taskinsa. Silloin fyysisen serverin yksi väylä ja yhdet kovalevyt kuormittuvat 10 virtuaalisen serverin tehdessä töitä. Ja kun ohjelmisto jakaa prosessoria ja muistia etukäteen sovitulla tavalla, on mahdollista tukkia yhden yksittäisen serverin palvelut sitä pikkuisen kuormittamalla, jolloin se automaattisesti lamaannuttaa yhdeksän muun serverin täysin, koska kaikilla on VAIN yksi yhteinen väylä.
Toki saa syyttää hakkereitakin ja näitä tietoverkkojen kuormittajia. Mutta suurempi vastuu on nillä henkilöillä jotka ovat speksaneet ja rakentaneet ko. ympäristön. Ja sillä talouspääliköllä joka on punakynällään säästänyt kunnollisesta konfiguraatiosta luoden mahdollisuuden tällaiseen tilanteeseen.
Nämä punakynä-talousjohtajat ovat myös jostain syystä saaneet päähänsä että ”de-duplikoitu levyvarmistus” täyttäisi varmuuskpioiden vaatimukset. Mistähän tällainen aivopieru on tullut tai muodostunut? Kun aikoinaan varmuuskopio-ohjelmistojen agentit olivat windows-ympäristöissä niin hitaita että nauha-asemat eivät saaneet tarpeeksi nopeasti dataa (siksi koska windows ripottelee blockkinsa kovaleyille aina sinne missä luku/kirjoituspää sattuu olemaan = täysi sekmelska) niin ohjelmistovalmistajat keksivät että data talletetaan väliaikaisesti levylle jotta se saadaan peräkkäisikis blokeiksi. Tällöin se on nopeampi lukea ja kirjoittaa nauhoille jotka eivät enää pysähtele. Tästä sitten mentiin eteenpäin ja väen väkisin keksittiin ”levyvarmistus”, joka nykypäivänä ei ole mikään muu kuin Replikointi !! Ennen vanhaan replikoitiin jonkun ajanhetken tilanne toisille levyille siltä varalta että tietokantoihin pitää palauttaa joku taulu nopeasti tai että jonkun kotihakemistosta hukkuu yksittäisiä tiedostoja. Nyt tuota replikointia käytetään varmuuskopiona. Ja nämä kaksi asiaa ovat täysin eri asioita.
Missähän vaiheessa johtoporras lakkasi kuntelemasta atk-henkilökuntaa ja muodosti asioista ihan omat mielipiteensä? Varmaan samaan aikaan kun varmuuskopiota jonka talleaikaa pidennettiin, ruvettiin pitämään sähköisenä arkistointina.
On pelkkää sattumaa että mitään suurempaa ei ole tapahtunut pörssiyhtiöille tai valtiohallinnollemme, pk-sektorista puhumattakaan. Mutta se päivä tulee. Ja silloin meillä on levyillä vain blockkeja joiden tietokanta on hukkunut. Ja se oli sitten siinä. Konkurssiaalto.