5 MENETELMIÄ TURVALLISUUDEN ANALYSOIMISEKSI
5.2 Turvallisuusohjeinhan toteuttamisesta
5.2.4 Riskiä vähentävät valvontatoimenpiteet
Riskiä pyritään pienentämään erilaisten valvontatoimenpiteiden, kontrolli
en avulla. [Fites 1988] jakaa kontrollit ennakoiviin, havaitseviin ja korjaa
viin. Tämä vaikuttaa käytännössä liitävältä jaolta. Esimerkiksi jos ajatel
laan tietokoneeseen tunkeutumista, se voidaan estää vaatimalla tunnussanaa käyttäjältä. Väärinkäyttö havaitaan siitä, että konsolille tulostuu viesti vää
ristä yrityksistä. Tunkeutuminen korjataan estämällä lisäyritykset samas
ta lähteestä tai vaihtamalla salasanaa.
Baskerville ehdottaa toisenlaista jakoa kontrolleille:
Taulukko 5.4. [Baskerville1988]:n luokitus kontrolleille ja muutamia esimerkkejä.
välttäminen vastustuskyky lievennys
muuntelu käyttöjärjestelmän
kontrollit
varmuuskopio tilintarkastusloki
tuhoaminen varmennettu
sähkönsaanti
varmuuskopio vakuutus
paljastuminen salaus rajallinen käyttö-
kelpoisuusaika
Välttäminen (avoidance) pyrkii vähentämään riskin mahdollisimman pie
neksi. Vastustukyvyn nosto (tolerance) pyrkii vähentämään vaikutuksia niin, ettei vahinko johda järjestelmän täydelliseen murtumiseen. Lievennys (mitigation) pyrkii vähentämään riskin aiheuttamia kustannuksia (aikai
sella havaitsemisella tai nopealla toipumisella).
82
Valvontatoimenpiteiden tehokkuuden arviointi
[Lane1985] esittää tehokkaille valvontatoimenpiteille useita vaatimuksia.
Seuraavassa niistä tärkeimmät:
• taloudellisuus
• riippumattomuus toimenpiteen salaisuudesta
• jokaisella ihmisellä ja laitteella on täsmälleen niin paljon tietoa kuin työn tekemiseksi tarvitaan
• valvottavat ja valvontatoimenpiteet pidetään erillään
• mahdollisimman automaattinen; ei tarvita ihmistä
• virhetilanteissa oletuksen tulee olla turvallinen
• valvontamenettelyn tulee pysyä turvallisena (ihmisten hallitsemat jäijestelmät rappeutuvat ajan myötä)
• käyttäjien tulee hyväksyä menettely
• jokaisesta kontrollista on vastuussa yksi ihminen
• toiminnasta tulee pitää lokia.
6 TKKdSr TILANTEEN ANALYYSI JA TOIMENPIDE-EHDOTUKSIA
6.1 TKKN VERKKO
TKK:n ensisijainen lähiverkko on tällä hetkellä Ethernet. Käytössä on tä
män lisäksi myös monia muita ratkaisuja.
TKKrlla ei ole vuosiin tehty selviä periaatepäätöksiä tietoliikenneverkon suunnasta. Tämän vuoksi verkko on hyvin monimutkainen ja monimuotoi
nen. Tilanne myös muuttuu jatkuvasti. Yritän kuvata tilannetta sellaisena kuin se suurin piirtein on ollut keväällä 1989.
Vielä viisi vuotta sitten ainoa tapa kytkeä tietotokoneita ja päätteitä toisiinsa oli datavaihde. Käyttäjä pyytää istuntonsa aluksi datavaihdetta kytkemään hänet oikeaan koneeseen. Vuonna 1984 TKK:lla siirryttiin osittain IBM-ai- kaan - tavoitteena oli yksi ainoa kone, johon päätteet kytketään kiinteästi kalliilla koaksiaalikaapeleilla ja pääteohjaimilla. Samoihin aikoihin alet
tiin rakentaa myös päinvastaisella ajatuksella toimivaa pääteratkaisua:
yksi Ethemet-koaksiaalikaapeli kiertää rakennuksien päästä päähän. Sekä tietokoneet että päätteeet liitetään tähän yhteen ainoaan kaapeliin.
Tällä hetkellä voidaan sanoa, että kaikilla kolmella tietoliikenneratkaisul
la on vahva asema: mikään ratkaisu ei ole jäämässä pois käytöstä. Jokai
seen ratkaisuun on käytetty paljon rahaa, joten yhdestäkään ei tunnuta voita
van luopua. Lähiverkko on kuitenkin se, johon tullaan varmasti panosta
maan eniten. Sovelluksilta tämä kuitenkin edellyttää turvallisuustekijöiden parempaa huomioon ottamista.
Kolmen ratkaisun olemassaolo on johtanut monimutkaiseen ratkaisujen vä
listen muunnosten verkostoon. IBM-koneita pääsee käyttämään myös data
vaihteesta ja lähiverkon kautta. Tavalliset ASCII-päätteet voidaan kytkeä datavaihteeseen, suoraan kohdekoneeseen tai lähiverkon päätepalvelijaan (eli päätekeskittimeen). Missä tahansa verkon tietokoneessa kiinni oleva pääte pääsee lähiverkon avulla yhteyteen muiden verkossa olevien koneiden kanssa. Lähiverkko voi suurelta osin korvata datavaihteen.
84
IBM-koneet protokolla-muunnin
data
vaihde Ethernet
verkko
VAX 8350
UNIX-koneet
modee
mit
työasemat Kuva 6.1. Yksinkertaistettu Ethernet- verkko ja yhteydet päätelinjoihin.
IBM-koneita voidaan käyttää ASCII-päätteiltä verkon tai datavaihteen läpi.
Helpoimmin käyttö tapahtuu 7171-protokollamuuntimen läpi. ASCII-pääte on riittävän joustava emuloimaan IBM-päätettä.
IBM-päätteet eivät ole yhteensopivia muiden järjestelmän osien kanssa. Ne on kytketty suoraan keskuskoneeseen eivätkä ne tavallisesti sovellu muissa koneissa olevien ohjelmien käyttöön. Tämän lisäksi IBM:n 3270-päätteet ovat monin verroin ASCII-päätteitä kalliimpia. Päätteiden yhteensopimatto
muudesta ja kiinteistä linjoista on tosin etua siinä, että esimerkiksi hallin
non rekistereiden päätteet ovat paremmassa turvassa.32
Uusin ilmiö lähiverkon käytössä on pakolliset päätepalvelijat: tietokonetta voi käyttää vain verkon kautta. TKKm isoimmassa VAX-tietokoneessa (VMS-käyttöjärjestelmä) ainoa tapa käyttää konetta on kirjoittautua sisään päätepalvelijaan. Käyttäjien päätteet kytketään Digitalin LAT-päätepalveli- joihin. LAT-päätepalvelijaan kytkeydytään TKK:lla lähinnä datavaihteen kautta.33
Modeemit kytketään pääasiassa datavaihteeseen. Joitakin modeemeja on to
sin kytketty siten, että niillä pääsee vain tiettyihin koneisiin. Modeemia voi
32 Osan saavutetusta turvallisuudesta mitätöi se, että käytännössä opintosuoritusrekis
terin päätteet ovat PC-mikroja. Opiskelija voi teoriassa tehdä esimerkiksi pelioh
jelman, joka on Troijan hevonen (opintosuoritusrekisterin päätteellä on nähty pelatta
van pelejä).
33 Ei ole itsestään selvää, että reititin välittää LAT-protokollaa. Siksi protokollaa voi käyttää vain yhden segmentin sisäisenä. Sen käyttöä TKK:lla ei kannata suosia.
siis käyttää vain, jos on lupa johonkin näistä koneista. Nämä modeemit ovat laskentakeskuksen henkilökunnan käytössä, ja koneet ovat lähinnä lasken
takeskuksen ylläpitokoneita.
Datavaihteesta pääsee myös suoraan päätepalvelijoihin (yhteys ei näy kuvas
sa). Tätä kautta kuka tahansa pääsee mihin tahansa verkossa olevaan ko
neeseen. Kuka tahansa Helsingin verkkoryhmän alueella voi paikallispu
helun hinnalla päästä käyttämään lupaansa, joka on Tampereella tai jopa USA:ssa olevassa koneessa. Modeemin käyttö ei edellytä lupaa TKK:n tieto
koneissa.
UNIX-tietokoneita pääsee käyttämään sekä verkon että datavaihteen kautta.
UNDi-työasemia käytetään ensisijaisesti konsolilta (koneeseen liitetty kuva- putki-näppäimistö-hiiri -yhdistelmä). TKK:lla on tapana käyttää samoja ko
neita myös yhtä aikaa verkon kautta.
Macintosh-tietokoneet kytketään tavallisimmin omaan AppleTalk-verk- koonsa. Käytössä on Kinetics-välittimiä, jotka yhdistävät AppleTalk-seg- mentin tietokoneet Ethemet-verkkoon. Liitäntä on melko hidas, joten myös suoria Ethemet-liitäntöjä käytetään.
PC-tietokoneissa on käytössä monenlaisia verkkoratkaisuja. Vaikuttaa sil
tä, että PC:t on useimmiten kytketty suoraan osaston segmenttiin - siis käy
tännössä koko korkeakoulun runkokaapeliin.
Runkokaapelista vastaava laskentakeskus paheksuu mikrojen liittämistä keskus-Ethemet-kaapeliin. Ilmeisesti laskentakeskus (LK) kuitenkin pitää tilannetta hallittavissa, koska konfiguraatiotietojen mukaan LK:n henkilö
kunnan 3 Mac-tietokonetta ja 6 PC-tietokonetta on kytketty suoraan runko- kaapeliin. Osastoilla on kymmeniä PC-tietokoneita, joille on annettu Inter- net-numero. Macintosh-tietokoneita Kinetics-yhteydellä on vielä enemmän.
Koneiden nimien ja Intemet-osoitteiden yhdistämiseen on käytössä nimipal
velija. Erityisesti lähes kaikki UNIX-koneet käyttävät tätä palvelua omien tietokantojensa asemesta. Tunnistuspalvelijaa ei ole, joten verkko on täysin turvaton kaikkia matalan tason verkkohyökkäyksiä vastaan.
Osastojen lähiverkot
Merkittävimmät TKK:n rakennukset on kaapeloitu koaksiaalikaapelilla.
Rakennuksista on vedetty optinen kuitu päärakennukseen. Laskentakes
kuksen konehuoneen tietoliikennehuoneessa valokaapelit on yhdistetty opti
sella tähdellä.
FUNET, Otanet
явтт reititin
• silta X optinen tähti
valok.
modeemi
valo-
osasto-kaapelit verkot
yleinen osasto
konehuoneen tietokoneet
julkiset työ
asemat
LK:n PC:t, Macit TKO-laboratorion
segmentti Kuva 6.2. TKK:n Ethernetin osastojako.
Kaikki liikenne näkyy kaikkialla. Ainoa looginen erotus on tietojenkäsitte
lyopin laboratorion erottaminen omaksi segmentikseen. Tämä on tehty yh
dellä reitittimenä toimivalla keskisuurella tietokoneella (Sun-4), jossa on kaksi Ethemet-liitäntäkorttia.
Verkossa on jatkuvasti pieniä ongelmia. Esimerkiksi yhden osaston PC- luokka on ainakin kerran tukkinut runkoverkon virhetoimintansa vuoksi . Yhteydet ulkopuolelle
Otaniemen muut organisaatiot on yhdistetty TKK:lle optisen tähtimäisen Otanet-verkon avulla. Ylioppilaskunta ja Otaniemen teknologiakylä on yhdistetty korkeakoululle silloilla. Tämä ei erota verkkoja kovin hyvin.
Paikallinen liikenne tosin rajoittuu osittain omaan organisaatioon.
Ethernet-tyyppiset yhteydet Otaniemen ulkopuolelle hoidetaan VTKK:n tie
teellisen laskennan palvelutoimistossa fyysisesti sijaitsevien FUNET-pro- jektin yhteyksien avulla. VTKKrn ja TKK:n välillä on vain silta. LK on os
tamassa reititintä, joka tulee todennäköisesti tähän käyttöön.
Tärkeimmillä Suomen yliopistoilla on oma lähiverkko. Lähiverkot on yh
distetty FUNET-verkkoon lähes lähiverkkotasoisilla yhteyksillä (64 kbit/s - 2 Mbit/s).
Nordunet ja muu Internet reititin
# silta
FUNET128.214.6
Otanet
sillalliset organisaatiot,
esim.
HELSINKI, OULU reitittimilliset
organisaatiot, esim. TUT
reitittimilliset sillalliset Otaniemen Otaniemen organisaatiot, organisaatiot,
esim. VTT
Kuva 6.3. FUNET-verkko, joka yhdistää Suomen korkeakoulujen lähiverkot.
Useimmat korkeakoulut on yhdistetty FUNET-verkkoon silloilla. Esimer
kiksi jos TKK:n koneesta otetaan yhteyttä Helsingin yliopiston uhecs.helsin- ki.fi-koneeseen, TKK:n kone lähettää koko verkkoon broadcast-viestin pyy
täen konetta 128.214.4.1 vastaamaan (tämä Intemet-numero kysyjän on tie
dettävä tai kysyttävä nimipalvelijalta). Kaikki sillalla kytketyt organisaati
ot ja näiden kaikki koneet vastaanottavat viestin ja varmistavat, että ei itse ole tämä kone. Uhecs vastaanottaa sen (kuten oululaisetkin koneet) vastaten omalla Ethemet-numerollaan. Kun kysyjä saa osoitteen, yhteys voidaan aloittaa. Yhteydessä sillan yli käytetään siis samaa ARP-protokollaa Ether- net-osoitteen kysymiseen kuin lähiverkossakin. Tämä on tehotonta, virheal
tista ja turvatonta.
Yhteydet hoidettiin pitkään vielä nykyistä turvattomammin. TKK:n ja VTT:n välissä oli pitkään silta, mutta nyt se on vaihdettu reitittimeksi. Vielä jokin aikaa sitten koko Suomen verkko oli erotettu vain silloilla - käytän
nössä Suomessa oli vain yksi ainoa lähiverkkosegmentti.
Muut yhteydet
Lähiverkko-, pääteverkko-, modeemi- ja FUNET-yhteyksien lisäksi TKK:n tietokoneilla on vielä muutamia muita kommunikointitapoja.
88
BITNET (EARN)
IBM-ко neet
f
VMS- Il koneet J VMS-koneet
X.25-
T
yhteydet
2 soitto- modeemia
Г] f
J santra1
J yj NI X-ko nettaiyhteydet Suomen korkeakoulujen
IBM-koneisiin ja ulkomaille
Kuva 6.4. TKK:n BITNET-yhteydet, X.25-yhteydet ja soittomodeemit.
Alun perin IBM:n tukema EARN-projekti (European Academic Research Net
work) toi tullessaan oman verkkonsa. Yhteyksiä tähän verkkoon on kaikista isoista IBM-koneista ja lisäksi muutamista UNIX-koneista. Verkko sallii sähköpostin lähettämisen ja yksirivisten interaktiivisten viestien vaihdon.
Suomessa EARN-yhteydet ovat mahdollisia muutamiin muihin IBM-koneita käyttäviin korkeakoulukin ja maailmalle Eurooppaan ja USA:n vastaavaan Bitnet-verkkoon. EARN-verkolla on oma kiinteä linja Ruotsiin ja sitä kaut
ta Keski-Eurooppaan.
X.25-yhteydet on järjestetty kiijaston ja tutkijoiden VAX/VMS-tietokoneisiin.
Yhteydet on tarkoitettu ennen kaikkea kiijaston tietokantojen maksavien asiakkaiden käyttöön.
TKK on myös lupautunut hoitamaan Etelä-Suomen UUCP-yhteydet. Tämä on verkko, jossa välitetään vain sähköpostia ja sähkökonferenssiviestejä. Näi
tä yhteyksiä hoidetaan muutamia kertoja päivässä koneiden välisillä auto- maattimodeemisoitoilla. Näitä varten sähköpostin keskuskoneessa ’santras- sa’ on kaksi automaattisoittomodeemia.
6.2 MENETELMÄ TKKzN TURVALLISUUDEN ANALYSOIMISEKSI
TKK:n turvallisuuden analysoimiseksi käydään järjestelmällisesti läpi se, mitä TKKm tulee tarjota tietokoneiltaan ja se, mitkä uhat kohdistuvat tähän toimintaan. Tähän käytetään soveltaen edellisessä luvussa esitettyä turval- lisuusohjelmaa:
1. Etsitään ne palvelut, joita TKKm tulee tarjota sekä muut kohteet, joihin hyökkäys voi kohdistua.
2. Etsitään palveluihin kohdistuvat uhat.
3. Arvioidaan uhkien todennäköisyys ja merkitys TKKlle. Lasketaan riskit.
4. Tarkastellaan järjestelyjä, jotka vähentäisivät riskejä; aloitetaan pahimmista riskeistä.
5. Arvioidaan valvontatoimenpiteiden realistisuus nykyisessä tilanteessa.
6. Esitetään suositukset välittömästi toteutettaviksi toimenpiteiksi, suositukset jatkotoimenpiteiksi ja suunta jatkotutkimukselle.
Jokaisessa vaiheessa kohdennetaan käsittelyä edellisen vaiheen perusteella olennaisimpaan. Näin pyritään uuttamaan olennaisin tieto niin, että kaikki mahdollisuudet on kuitenkin otettu huomioon.
Kuten tehtävän määrittelyssä todettiin, tarkastelun ulkopuolelle jätetään fyy
siset uhat. Tarkastelussa keskitytään ihmisen tietokoneen avulla aikaan saamiin vahinkoihin. Käytännön pakosta joudutaan puuttumaan tietoliiken
teeseen kuulumattomiinkin asioihin, pääpaino on kuitenkin verkkoturvalli- suudessa.
6.3 SUOJATTAVAT JÄRJESTELMÄN OSAT
TKK:n järjestelmästä ei voi saada tarpeellista kuvaa, ellei tarkastella loogis
ta jakoa (palvelut) ja fyysistä jakoa (laitteistot). Tämän jaon ulkopuolelle jää muutamia vaikeasti luokiteltavia suureita.
Samalla kun seuraavissa taulukoissa on kuvattu suojattavaa järjestelmän osaa, on annettu lyhyt luonnehdinta sen luonteesta turvallisuuden kannalta.
6.3.1 Looginen palvelujako
Loogisessa jaossa järjestelmä jaetaan käyttäjän käyttötarpeiden mukaisesti eri palveluihin. Nämä palvelut ovat käytettävissä kirjoittautumalla tietoko
neeseen, nykyisin ensisijaisesti verkon välityksellä.
Taulukko 6.1. Looginen palvelujako.
opiskelijoiden harjoitustyöympäristö
• Opiskelijoiden on voitava tehdä harjoitustyönsä muut
tumattomassa ja melko toimivassa ympäristössä.
• Merkittäviä paivelukatkoksia ei saisi sattua
palautuspäivien lähistöllä eikä laboratoriotöiden aikana.
opiskelijoiden tieto
varasto
• Opiskelijoiden tietoja tulee suojata kohtuuttomia häiriöitä vastaan,
• Harjoitustöiden luonteeseen kuuluu, että toinen opiskelija ei saa nähdä toisen opiskelijan harjoitustyötä.
• Opiskelijat saattavat tehdä kiusaa toisilleen ja muille.
90
tutkimuksen tietokone- kapasiteetti
• Tutkijoiden työ on eräajoluonteista. Kohtuulliset häiriöt eivät ole vaarallisia.
• Tutkijoiden työt pidetään perinteisesti erillään opiskelijoiden töistä.
tutkijoiden tietovarasto • Tutkijoilla saattaa olla tietoja, joita he haluavat pitää piilossa muilta.
• Suoranainen vakoilukaan ei ole täysin mahdotonta.
hallinnon rekisterit • Hallinnon rekisterit tulee pitää suojassa muuntelua ja asiatonta katselua vastaan.
• Henkilökunnan valvonta on tarpeen.
ohjelmistot • Ohjelmistoja on voitava suojata laitonta kopiointia vastaan. Kopiointimahdollisuus voi vaarantaa koulun maineen luotettavana ohjelmistosopimusosapuolena.
tulostuspalvelut • Kenenkään ei tulisi voida tulostaa kohtuuttoman kalliita tulostuksia ilman jonkinlaista lupaa.
sähköpostipalvelut • Tavallisesti hyvin halpa, mutta sähköposti ulkomaille voi olla (reitistä riippuen) kalliskin
• Kenenkään ei tulisi voida lukea salaiseksi tarkoitettuja kirjeitä eikä lähettää nimettömiä kirjeitä.
sähkökonferenssi-palvelut
• Sähkökonferenssipalveluissa (news) tarvitaan mahdollisuus kontrolloida käyttöä.
• Nimettömien kirjeiden lähettämisen ei tulisi olla mahdollista.
interaktiiviset yhteydet ulospäin
• Niiltä osin kuin yhteydet ovat maksullisia tarvitaan kontrolli liiallisen ja asiattoman käytön varalta.
• Maksuttomillekin (käytännöllisesti katsoen) yhteyksille tarvitaan valvontaa ulospäin tapahtuvien
väärinkäyttöyritysten varalta.
FTP-yhteydet ulospäin (tiedostonsiirto)
• Ei voi tällä hetkellä aiheuttaa merkittäviä kustannuksia.
• Ei voi (periaatteessa) murtaa muiden koneiden suojauksia.
• Jos yhteydet kuormittuvat liikaa, kontrollia tarvitaan.
maksulliset
ulkopuolisille tarjottavat palvelut
• Esimerkiksi kirjaston tietokannan käytössä ilmaisen käytön tulee olla riittävän hankalaa ulkopuoliselle.
Toisaalta koulun omalle henkilökunnalle ja opiskelijoille tulee sallia joustava käyttö.
ylläpitopalvelut • Vain muutamat henkilöt hallitsevat tietokoneiden ylläpidon erikoistilanteet. Näillä tulee olla jonkinlaiset mahdollisuudet konsultoida osastoja ongelmien ilmetessä - mieluiten tulematta fyysisesti paikalle.
6.3.2 Fyysinen jako
Seuraavassa luetellaan TKK:lla turvallisuuden kannalta merkittävät fyysi
set tietokone- ja tietoliikenneresurssit.
Taulukko 6.2. Fyysinen palvelujako.
UNIX-palvelukoneet (yli 10 kappaletta)
Ylläpito on kevyttä, dynaamista ja pohjautuu voimakkaasti verkon hyväksikäyttöön.
Opetus- ja tutkimuskäytössä.
IBM-koneet (VM) Tutkijoiden ja hallinnon käytössä.
Sovelluspainotteinen ylläpito.
Verkkoliitäntä ei olennainen.
VMS-koneet (tutkijat) Ylläpito lähes järjestelmätoimittajan varassa. Sovellusten tarvitsijat vastaavat niistä itse.
Kolmannen osapuolen toimittama verkkotuki.
VMS-koneet (kirjaston tietokannat)
Vain kirjaston sovelluksia.
UNIX-työasemat (opiskelijat)
Ovat kiinni runkokaapelissa.
Opiskelijat voivat käytännössä saada superkäyttäjäoikeuksin haltuunsa.
UNIX-ylläpitokone Kiinni verkossa.
Dynaamisessa ylläpidossa, jossa voi sattua virheitä.
Paljon arvokasta tietoa, mm. lähdekielisiä ohjelmia ja turvallisuustietoa.
sähköpostin keskuskone
Soittomodeemeja.
Vähän lupia ja yllätyksellisiä tapahtumia.
julkiset PC-tietokoneet Kiinni runkokaapelissa yksinkertaisella välittimellä tai ilman välitintä.
Mac-tietokoneet Kiinni runkokaapelissa Kinetics-laitteen avulla tai suoraan.
keskus-Ethemet Liitäntöjä mahdoton valvoa Ei osastoitu.
yhteys FUNETein Välittimenä silta.
yhteys sillalla FUNETein yhdistettyihin
korkeakouluihin
Mahdollista esiintyä toisen organisaation tietokoneena.
yhteys reitittimellä FUNETiin yhdistettyihin organisaatioihin
Tavanomaiset interaktiivisen yhteyden
tunkeutumismahdollisuudet molempiin suuntiin.
yhteys FUNETin kautta Internet-verkkoon
Tavanomaiset interaktiivisen yhteyden
tunkeutumismahdollisuudet molempiin suuntiin.
välittimet Eivät aina hyvin varautuneita turvallisuusriskeihin (esimerkiksi valmistajan takaportteja).
Ylläpito verkon kautta; ei esimerkiksi erilliseltä konsolilta Ylläpitäjän salasana näkyy verkossa.
datavaihde Ei tunnettuja ongelmia.
Kinetics-laitteet Ei tarkemmin selvitetty.
IBM-päätteet (3270) Ei tunnettuja ongelmia.
LAT-päätekeskittimet Pakottavat tietokoneen kaiken pääteliikenteen näkymään verkossa.
Protokolla ei ole julkinen eikä sen turvallisuutta ole selvitetty.
pääte-PCt • Mahdollista ohjelmoida mikä tahansa Troijan hevonen.
• Myös virukset saattavat levittää päätetoimintojen Troijan hevosia.
Bitnet • Vain kohtuullisen hyvän ylläpidon koneissa.
• Ei salli pääteyhteyksiä.
X.25 • Turvallisuus riippuu ohjelmiston luotettavuudesta.
• Vain VMS-koneissa.
• Kallis.
solttomodeemit • Vain koneessa, jossa on hyvin vähän salasanoja tai yllätyksellistä toimintaa.
• Kallis.
modeemilinjat • Voidaan ottaa yhteyksiä TKK:n ulkopuolelle ilman lupaa missään TKK:n koneessa.
6.3.3 Muut suojattavat järjestelmän osat
Joitakin osa järjestelmää on vaikea luokitella palveluiksi. Nämä ovat seuraavat:
Taulukko 6.3. Muut järjestelmän osat.
työntekijät • TKK:n arvokkain omaisuus.
• Liiallinen valvonta vaarantaa viihtyisyyden.
hyvä maine • Välttämätön tietoliikennesopimuksissa.
• Välttämätön ohjelmistosopimuksissa.
opiskelijat • TKK:n on tarjottava miellyttävä ja motivoiva teknisesti edistynyt opiskeluympäristö.
ulkopuoliset • Suojattava TKK:lta tapahtuvilta hyökkäyksiltä.
• Suojattava TKK:n kautta tapahtuvilta hyökkäyksiltä.
6.4 UHAT
Suojattavien osien luettelo läpikäymällä on pyritty löytämään olennaisim
mat järjestelmää uhkaavat tapahtumat. Seuraavassa taulukossa on aluksi palveluihin kohdistuvia uhkia, sitten tiettyjen murtumisten aiheuttamia jat- kouhkia ja lopuksi muutamia alemman tason fyysisiä uhkia.
Taulukon oikeassa laidassa olevissa sarakkeissa analysoidaan riskiä vahingon tapahtumiselle. Asteikkoa käsitellään taulukon jälkeen.
Taulukko 6.4. TKK:n uhat ja niiden riskien arviointi.
help
pous vaiku
tus riski
opiskelijoiden koneen muuntelu +- 4— 4—
opiskelijoiden koneen kaatuminen 4— -
-toisen opiskelijan harjoitustyön katselu + 4- 4
-opiskelijoiden kiusanteko toistensa tiedostoissa + 4- 4
-opiskelijoiden kiusanteko tutkijoiden tiedostoissa - 4- 4
-tutkijoiden koneen muuntelu - 4- 4
-tutkijoiden koneen kaataminen - -
-tutkijoiden tietojen katselu - 4-4- 4
-hallinnon rekisterien katselu — 4-4- 4—
hallinnon rekisterien muuntelu — 4-4- 4—
ohjelmien laiton kopiointi ++ 4- 4-4
-tulostimien kohtuuton käyttö ++ 4— 4
-nimetön sähköposti ++ 4— 4
-toisten kirjeiden lukeminen 4- 4- 4
-nevvs-palveluiden häirintä asiattomilla viesteillä 4-4- —
-nimettömät nevvs-viestit 4-4- -
-hyökkäys muihin Otaniemen/Suomen/maailman organisaatioihin
4- 4-4- 4-4
-hyökkäys ulkopuolelta ulkopuolelle TKK:n koneiden kautta
4- 4-4- 4-4
-maksullisten palveluiden ilmainen käyttö 4— 4- 4
-ylläpitäjän oikeuksien asiaton käyttö 4-4- 4-4- 4-4 -ylläpitäjien oikeuksien murtaminen koko organisaatiossa - 4-4- 4
-viruksen tai madon leviäminen organisaatiossa 4- 4- 4
-X.25-yhteyden asiaton käyttö - 4- 4—
modeemilinjojen tukkiminen asiattomalla käytöllä 4-4- 4— 4
-soittomodeemin asiaton käyttö - 4- 4—
työntekijöiden viihtyvyyden lasku/irtisanoutumiset 4— 4-4- 4
-vaikeutuneet neuvottelut verkkojen saamiseksi 4— 4- 4
-verkkoyhteyksien katkaisu 4— 4-4- 4
-vaikeudet ohjelmalisenssien saamisessa 4— 4-4- 4 -työaseman muuntelu tallettamaan salasanoja 4— 4- 4
-ylläpidon huolimattomuus, joka päästää asiattoman käyttäjän sisään
+ 4- 4
-vale-login työasemassa tai päätteessä 4- 4- 4
-virhe valmisohjelmistossa - 4- 4—
muualla yleisesti tunnettu virhe valmisohjelmistossa, mitä ei ole huomattu korjata TKK:lla
+ 4-4- 4-+
virhe paikallisessa ohjelmistossa 4- 4- 4
-verkkopalvelija/välitin Troijan hevosena - 4- 4—
varmuuskopioiden tai laitteistojen varastaminen — 4— -työasemien/päätteiden fyysinen muuntelu salasanojen
tallettamiseksi
— 4- 4—
verkon/työaseman säteilyn kuuntelu - -
-verkkoon kytkeytyminen vakoiluasemalla 4- 4- 4
-PC:n/työaseman käyttö verkon kuuntelussa 4- 4- 4
-PC.rVtyöaseman käyttö verkon häirinnässä (myös vahingossa)
4- 4— 4—
PC:n tai työaseman käyttö verkkosuojauksien murtamiseen
- 4-4- 4
-nimipalvelijan häirintä 4— 4- 4
-Riskien arviointi on toisaalta hyvin subjektiivista, toisaalta se riippuu tämän hetkisestä tilanteesta. Monet arviot teon vaikutuksesta muuttuisivat, jos tur
vallisuustaso olisi edes kohtuullinen. Esimerkiksi tietokoneen yhteyksien satunnaista tukkimista ei voi pitää tällä hetkellä merkittävänä.
Kuten aiemmin todettiin (luku 5.2.3), liiallista tarkkuutta arvioissa on vältet
tävä. Tarkastelun pohjaksi on valittu Smith-Lim-matriisi sovellettuna. Kos
ka tässä tutkimuksessa tarkastellaan ihmisten tekemiä vahinkoja, tarkas
tellaan yleisen haavoittuvuuden tilalla teon helppoutta.
Taulukko 6.5. Riskin arviointi sovelletun Smith-Lim-matriisin avulla.
vaikutus
help
pous
Matriisista saatava riski korostaa hieman vaikutuksen osuutta. Riskejä on tarkasteltu uhkaluettelossa riippumattomasti. Siksi esimerkiksi tutkijoiden tiedoston katselulla katsotaan olevan suuremman riskin kuin tiedostojen muuntelulla. Todennäköisesti kuitenkin muuntelukontrollin tekeminen on helpompaa.
Sanallisesti helppous- ja vaikutusluokkia voidaan kuvata seuraavasti:
Taulukko 6.6. Vahinkojen helppouden luokittelu.
++ valitettavan helppoa
+ helpohkoa
+- keskinkertaista
- vaikeaa
— lähes mahdotonta
Taulukko 6.7. Vahinkojen seurausten luokittelu.
++ vakavia seurauksia + sattaa olla vakavia
seurauksia
+- ei vakavia seurauksia - ei merkittäviä
seurauksia
— korkeintaan ohi
menevää häiriötä
6.5 KONTROLLIEN SUUNNITTELU
Seuraavassa on tarkasteltu eri kohdealueita ja niihin suunniteltuja kontrol
leja. Ongelmia on käsitelty lähtien riskianalyysin perusteella pahimmista riskeistä.
6.5.1 Ulkomaailman erottaminen
TKK:n kaikista koneista voidaan tällä hetkellä tunkeutua tai yrittää tunkeu
tua ulkopuolisiin tietokoneisiin, myös ulkomaille. Harmia on aiheuttanut myös ulkopuolisten tunkeutuminen TKK:n koneiden kautta muihin organi
saatioihin. Osa Suomen korkeakouluista on erotettu vain sillalla.
TKK tulisi erottaa reitittimellä kaikista ulkopuolisista organisaatioista.
Myös TKK tulisi selkeästi sisäisesti osastoida reitittimellä. Tämän avulla saataisiin verkkoturvallisuuden kannalta selvät rajat, joita ei verkon viesti
en muuntelulla voi ylittää. Myös väärin toimivien Ethemet-liitäntöjen häiri
öt saataisiin rajoitettua.
Varsinaisten tunkeutumisyritysten estämiseen tämä ei riitä. Mahdollinen, mutta käyttöä hankaloittava keino olisi siirtää Internet-ÿhteys vain yhteen tietokoneeseen, jonka turvallisuudesta oltaisiin hyvin varmoja. Mikäli käyttäjä tarvitsee yhteyksiä, hänen on kirjoittauduttava tähän koneeseen.
Koneeseen olisi helppo saada lupia, mutta yhden koneen sisällä pysyminen ja vakaa ylläpito takaisivat varman tunnistettavuuden.
Intemet-liitäntäkone voisi sisältää suuren tiedostopalvelijan TKK:n tarpei
siin. Tämän koneen ylläpito voisi samalla valvoa maailman tapahtumia ja toisi ne koululle sopivasti suodatettuna34. Tutkijat keräilevät työhönsä tarvit
tavia tietoja suoraan mm. yhdysvaltalaisista tietokoneista. Monet tämänkin tutkimuksen tuoreimmat lähteet ovat löytyneet sähköpostissa tulleiden vihjei
den perusteella suoraan koneluettavassa muodossa ulkomaisista tiedostopal
velijoista. Ylläpito voisi käsitellä nämä pyynnöt, puskuroisi niitä paikalli
sesti levytilan puitteissa ja tietäisi uusimmat versiot. Esimerkiksi korkea
koulujen mikrotuki hoitaa tällaista palvelua PC-ohjelmien osalta ja LK:n opetuksen tukijaos UNIX-ohjelmien osalta (epävirallisesti). Keskitettyä pal
velua on kaivattu TKK:lla muistakin kuin turvallisuussyistä. Palvelu voisi samalla kattaa kaikki Suomen korkeakoulut.
Bitnetin (EARN) osalta erikoisiin turvallisuusjärjestelyihin ei tarvitse heti ryhtyä - vakavia riskejä ei ole. Bitnetin olemassaolo muissa UNIX-koneissa
34 Ulkopuolisten tietojen suodatuksella tässä ei tarkoiteta minkäänlaista sensuuria vaan turhan tiedon poistamista. Näiden palvelujen tarve vähitellen tunnustetaan , esimerkiksi UNIX Reviview -lehden elokuun 1989 numerossa kerrotaan kaupallisesta palvelusta, joka referoi USENET-uutiset.
kuin sähköpostin keskuskoneessa ei ole välttämättä perusteltua; vain harvat tarvitsevat sitä. Siksi Bitnet kannattaisi turhana unohtuneena verkkoratkai
suna purkaa niistä koneista, missä sillä ei ole käyttöä.35
Näillä ulospäin suuntautuvilla kontrolleilla pyritään takaamaan, ettei muita
Näillä ulospäin suuntautuvilla kontrolleilla pyritään takaamaan, ettei muita