Ohjelmistosodankäynti

ITKP101
Jaana Romppainen, jakaromp, jakaromp@jyu.fi
8.11.2018

Ohjelmistosodankäynti on ohjelmistojen käyttämistä sodankäynnin tavoitteisiin, sodankäynnin keinona (vrt. johtamissodankäynti tai ympäristösodankäynti).


Ohjelmistosodankäynti terminä voi tarkoittaa:
  • ohjelmistojen sodankäyntiä (virusohjelma ja virustorjuntaohjelma) ja 
  • ohjelmistojen käyttöä sodankäynnin tavoitteisiin (vertaa perinteiseen kineettiseen vaikuttamiseen, kuten rynnäkkökivääreihin, panssarivaunuihin jne.) 

Ohjelmistosodankäynnin merkitystä korostaa ensin se, että lähes kaikki nykyaikaiset aseet ja asejärjestelmät sisältävät tietokoneen ja ohjelmiston. Vaikuttamalla ohjelmistoihin voidaan siis vaikuttaa lähes kaikkiin nykyaikaisen sodankäynnin merkittäviin järjestelmiin.

Ohjelmistosodankäyntiä korostaa myös se, että aseen tai järjestelmän ohjelmisto kuvaa täydellisesti sen toiminnan. Saamalla ohjelmisto tiedusteltavaksi, voidaan selvittää kyseisen aseen täydellinen toiminta, sen suorityskyky ja siihen tehoavat vastatoimet.

Ohjelmistosodankäynnin keinoja ovat muun muassa ohjelmistojen sieppaaminen ja tutkiminen, takaportit, virukset, madot, Troijan hevoset, tahalliset ohjelmointivirheet, HPM ja palvelunestohyökkäykset.


Hyökkäyksellisiä ohjelmistosodankäynnin keinoja

Hyökkäyksellisiä ohjelmistosodankäynnin keinoja ovat mm:

Ohjelmointivirheet: Ohjelmistot ovat monimutkaisia kokonaisuuksia, joihin usein jää virheitä. Toiminnan estävät tai väärän toiminnan aiheuttavat virheet yleensä poistetaan, mutta on myös virheitä, jotka eivät näy toiminnassa, mutta jotka virheet löytänyt pystyy hyödyntämään esimerkiksi järjestelmään tunkeutumisessa.

Looginen pommi toimii samalla tavalla kuin Troijan hevonen alla: käynnistää viruksen, madon tai tekee jonkin salaisen tehtävän. Tavallisesti loogisen pommin on asettanut ohjelmoija tai järjestelmäkehittäjä.

Takaovi tai takaportti on käytöltään loogisen pommin tyyppinen. Se on ohjelman kehittäjän jättämä salainen ohjelmistotie takaisin järjestelmään ohi tietoturvatoimien. Myös laitepohjainen ratkaisu on mahdollinen. Toisin kuin looginen pommi, takaovi on lähinnä turvallisuusepäkohta, joka sallii asiattomien pääsyn ohjelmaan ja tietokoneeseen. Takaportteja käytetään myös ohjelmistosuunnittelun normaalina työkaluna mahdollistamaan pääsy käsiksi esimerkiksi pahasti "kaatuneeseen" ohjelmaan.

Tietokonevirus, ohjelmakoodin osa, joka käynnistettynä monistaa itsensä isäntäjärjestelmään ja leviää sen kautta levykkeiden, makrojen tai tiedonsiirron, jopa virallisten kaupallisten ohjelmien mukana edelleen sekä tekee sen ohjelmoijan suunnittelemat toimenpiteet isäntäkoneisiin, esimerkiksi järjestelmäresurssien kuluttaminen, tietojen tuhoaminen, tietojen lähettäminen...

Ohjelmistomato on itsenäinen ohjelma, jonka toiminta ei ole riippuvainen isäntäohjelman tai muiden ohjelmien käynnistymisestä. Sen päävaikutus tulee sen leviämiseen liittyvistä seurauksista, järjestelmäresurssien kulumisesta.

Troijan hevonen on "viaton" ohjelma tai ohjelman pätkä, joka tekee toiminteen, jota käyttäjän ei tiedä. Tavallisesti se tekee jonkin yksinkertaisen hyödyllisen toiminteen, mutta samalla käynnistää

viruksen tai madon. Se voi myös tehdä tiedonhakua, tietojen tuhoamista tai vastaavaa, jättämättä mitään jälkiä.

Salasanan haistelija on verkossa toimiva ohjelma, jopa mikropiiri, joka seuraa uuden yhteyden muodostumista, tallentaa uuden yhteyden ensimmäiset paketit ja lähettää ne ohjelman asentaneelle. Yleensä ensimmäiset yhteyspaketit sisältävät yhteyden avaavan salasanan. Toinen tapa on asettaa kyseinen ohjelma murtauduttuun tietokoneeseen niin, että se tallentaa ensimmäiset näppäimistöpainallukset ja lähettää ne Internet- yhteyden mukana ohjelman asentaneelle. Periaate toimii myös lähiverkossa niin, että ohjelma tallentaa jonkun tietokoneen kaiken liikenteen ja lähettää sen ohjelman asentaneelle. Valtiollisella tasolla salasanan haistelija voi olla myös näppäimistöön asennettu mikropiiri, joka lähettää näppäimistöpainallukset radioteitse lähellä tai kauempanakin olevalle vastaanottajalle.

Salasanan murtajat: Ohjelmat, jotka automaattisesti murtavat salasanoja esimerkiksi kokeilemalla. Yksinkertaisin tapa on salata suuri elektroninen sanakirja salakirjoitusohjelmalla, jolla salasanat luodaan ja sitten verrata salakirjoitettuja salasanoja sanakirjalla luotuihin. Tällä tavalla paljastuvat "puhtaat" salasanana käytetyt sanat kuten "kettu", "loistava" tai "hakkeri". Seuraava taso arvata salasanoja on kerätä mahdollisimman paljon tietoa kohdeyksilöstä, kuten lasten nimet ja
harrastukset, ja arvata näiden perusteella todennäköisiä salasanoja. Kolmas tapa on kerätä jotain kautta mahdollisimman paljon tietoa íhmisten tavasta muodostaa salasanoja ja kehittää niiden kautta osin automaattisia ohjelmia salasanojen kokeiluun.

Verkkoturvallisuusohjelmat. Kuten SATAN (Security Analysis Tool for Auditing Networks) tutkivat verkon koneen ominaisuudet ja mahdolliset turvallisuusaukot. Nämä ovat tärkeitä tietoja verkkoturvallisuudesta vastaaville ja mahdollisille murtautujille. Molemmat ovat ko. ohjelmien tärkeitä käyttäjäryhmiä. Muita vastaavia tuotteita ovat mm Internet Scanner 5.0 for Windows NT, NetSonar, PingWare.

Palvelunestohyökkäys (Denial of Service, DoS) on tapa, jolla pyritään lamauttamaan toisen sivuston toimintakyvyn.

Muu vihamielinen ohjelmakoodi on laitteeseen sijoitettu ohjelmallinen ominaisuus, joka tekee jotain sellaista, jota ostaja ei haluasi sen tekevän eikä tiedä sen sitä tekevän. Esimerkiksi sijoittaa sanoman sisään tietoa salaamiseen käytetystä avaimesta tai laitteen paikkatietoa sen oman GPS:n kautta.

Sosiaalinen tiedustelu (Social engineering) on ihmisten väliseen toimintaan perustuvaa tiedustelua, esimerkiksi esiintymistä puhelimessa firman ATK-tuen henkilönä ja salasanojen pyytäminen "viralliseen" käyttöön verkon käyttäjiltä.

Jätteiden tutkiminen: Jätteiden sekaan jää usein ohjelmistolistauksia, muistiin merkittyjä salasanoja tai muuta ohjelmistosodankäynnissä käyttökelpoista tietoa.

Vihamielinen mikropiiri (chipping) on laitteeseen sijoitettu mikropiiri, joka tekee jotain sellaista, jota ostaja ei haluasi sen tekevän eikä tiedä sen sitä tekevän. Mikropiiri voi lähettää hakeutumissignaalia jäljitystä tai täsmäaseen hakeutumista varten, seurata ja nauhoittaa näppäimistön käyttöä (salasanat) tai sulkea, tuhota tai muuten vaikuttaa laitteeseen ulkoisen signaalin, ajoituksen tai laitteen tietoliikenteen käytön (sisällön) perusteella. Kylmän sodan aikana
USA toimitti em. tavalla käsiteltyjä mikropiirejä Neuvostoliiton länttä vakoilevan ja hyödyntävän tiedusteluorganisaation käsiin (ks. alla lähteet). Seurauksena oli, että Neuvostoliitto menetti luottamuksen kaikkiin niihin järjestelmiinsä, joihin se oli sijoittanut lännen tehokkaimpia mikropiirejä.

Suurtehomikroaaltoase (HPM) on alun perin rakennettu elektroniikan tuhoamiseen lyhyellä etäisyydellä. Sen rakenteesta (mikroaaltoalueen lyhyt pulssi) johtuen se toimii myös häirintäsignaalina suojattomia tietokonejärjestelmiä vastaan tuhoamisetäisyyttä huomattavasti
pidemmillä matkoilla. "Ylimääräinen" pulssi sotkee tietokonejärjestelmän monimutkaisen pulsseihin perustuvan ajoituksen ja tiedonsiirron. Yksittäinen pulssi on aikaansaatavissa
salkkukokoa olevalla elektroniikan ja räjähdetekniikan yhdistelmällä. Venäjällä väitetään olevan käytössä 100.000 näitä salkkuluokan aseita. Ei-ydinase EMP on HPM:n tapainen suurtehopulssi, jonka taajuusalue on alempi (HF, VHF). HPM- pulsseja voidaan aikaansaada esimerkiksi räjähteiden avulla sekä suurtehogeneraattoreilla.

Periaatteessa nykyajan yhteiskunnan tietotekniikan perusta, mikropiirit, käyttöjärjestelmät ja tietoliikennelaitteet ovat suunnittelultaan salaisia, niiden vientiä kontrolloidaan ja niiden tiedetään sisältävän dokumentoimattomia toiminteita, joten perusteita luotettavalle toiminnallisuudelle ei ole olemassa. Asiasta on varoittanut muun muassa professori Arto Karila.

Miljoonia transistoreja sisältävä mikropiirin on alun perin noin neliösentin pinta-alan ja millimetrin osien paksuinen elektroninen komponentti. Sen kätkeminen on mahdollista siis hyvin pieneen
tilaan. Nykyaikainen piirilevy saattaa sisältää kymmenenkin päällekkäistä tasoa, joiden välillä mikropiirien väliset kytkennät kulkevat.


Eräitä todettuja ohjelmistoriskejä 1990-luvulta

Vuonna 1990 AT&T:n kaukoverkon 114 tietokonetta pimenivät yhdeksäksi tunniksi USA:ssa. Ko. aikana 148 miljoonasta kaukopuhelusta vain 50% pääsi läpi. Hotellit menettivät asiakkaita, samoin autovuokraamot ja lentoyhtiöt. Kokonaistappiot olivat 60 - 75 miljoonaa dollaria.

Yhdysvaltojen laki ei sallinut ennen vuotta 2000 yli 40 bittisiä salausalgoritmeja sisältävien ohjelmistojen vientiä ulkomaille. Lotus neuvotteli sopimuksen NSA:n kanssa siitä, että se voi viedä ulkomaille ohjelmistoja, joiden 64 bitin salausavain sisälsi 24 bitin lisäosan, jonka avain oli luovutettu NSA:lle. Tämän seurauksena NSA pystyi tarvittaessa avaamaan Lotuksen salauksen, mutta muille salaus oli edelleen 64-bittinen. Avaimen siirtäminen NSA:lle ei kuitenkaan ollut

salaisuus, vaan siitä tiedotettiin laajasti. Jotkut hallitukset kuitenkin vastustivat Lotuksen sopimusta, koska se saattoi ne NSA:ta heikompaan asemaan. Erityisesti Ruotsissa asiasta nousi

kohu, koska Lotus Notes oli käytössä muun muassa useilla valtion virkamiehillä ja kansanedustajilla.

Tietokoneohjatut päätelaitteet esimerkiksi fax, ISDN- puhelin, kännykkä, modeemi, tietokoneessa

oleva puhelintoiminne (fax, puheposti ym) mahdollistavat teknisesti näiden laitteiden kauko-ohjuksen jos sellainen toiminne kyseisiin laitteisiin halutaan rakentaa sisälle. Ja jos niissä sellainen on, tämän ohjauksen tietävä voi käynnistää esimerkiksi kännykän tai ISDN- puhelimen ja kytkeä mikrofonin päälle ilman, että laitteen varsinainen haltija huomaa mitään. Englannissa käytössä olevassa System X- puhelinjärjestelmän ISDN- osassa on tämä "puute". System X- järjestelmää on myyty mm Kiinaan ja Venäjälle.

Hakkeri mursi Windows NT:n suojaukset 7. syyskuuta 1998 ja ilmoitti asiasta Microsoftille.

Internetselain Navigatorin turvallisuuspuute sallii potentiaalisesti palvelimen lukea tietoa selaimen käyttäjän kiintolevyltä.

Lokakuu 21. 1998: Microsoftin Windows NT sallii sisäpiiriläisen ohittaa kaikki turvaominaisuudet ja hankkia tietoa järjestelmän sisältä.

Syyskuu 1998: Microsoftin ActiveX Internet teknologia oli vakava riski toiminnalle Internetissä kuten saksalainen hakkerikerho Chaos Computer Club osoitti suorassa lähetyksessä syksyllä 1998 Saksan televisiossa. Käyttämällä ko. ohjelmaa hakkerit osoittivat pystyvänsä "juoksuttamaan" rahaa miljoonista pankkitileistä vain vapauttamalla konnamaisen ohjelman Internetiin. Microsoftin edustaja totesi tapahtumasta: "Ei ole mahdollista taata Internetin turvallisuutta." Microsoft on korjannut vian, niin että koneen rikollinen haltuunotto ei ole enää mahdollista.

Syyskuu 1998: Linuxin verkkoversio on turvaton. Network File System serverit, jotka käyttävät Linuxia, ovat haavoittuvia hakkerille. Vian löysi USA:n CERT- (Computer Emergency Response Team) organisaatio.

"Back Orifice" - virustyyppinen ohjelma mahdollistaa sen, että hakkeri voi ottaa täydelliseen hallintaan Internetiin yhteydessä olevan Windows95/98 - pohjaisen koneen ilman että koneen haltija huomaa mitään. Mahdollisuuden julkaisi "DefCon IV"- hakkerikonferenssi Las Vegas'issa elokuussa 1998. Hakkeri voi skannata Internetiä ja etsiä koneita, joita voisi ottaa haltuun. Kun hakkeri saa koneen ohjaukseensa, hän voi monitoroida sen toimintaa, siepata salasanoja ja sisään kirjoittautumisprosesseja, tuhota tiedostoja jne. Ongelmaan löytyi korjaus muutamassa kuukaudessa.

OKO pankin tietoturva-asiantuntija Ilkka Keso luettelee Data Security'96 seminaariesitelmässään kolmetoista "vahingollista tietoturvayllätystä". Ne mahdollistavat tietoverkko- tai ojelmistosodankäynnin toteutuksen, mutta eivät välttämättä ole kaikki tarkoituksellisia. Vihamielisen vaikuttamisen ja ohjelmointivirheen erottaa vain aikomus, jonka todistaminen taas on erittäin vaikeaa.

Tai Helsingin Sanomat huhtikuussa 2002: Reikäinen Outlook houkuttelee matoja. Toinen toisiaan ovelammat sähköpostivirukset tukkivat verkkoliikenteen ja tunkevat itsensä sähköpostin käyttäjien koneille.

Ohjelmistohaavoittuvuudet

CERT-FI:n mukaan (lokakuu 2004) palomuurin läpäisyyn käytetään selain- ja soitinohjelmien sekä tietokantojen haavoittuvuuksia, Kotikäyttäjien osalta myös Windows:n haavoittuvuuksia.

Tietovarkauksien suhteellinen osuus on lisääntynyt ja epäsosiaalinen toiminta tietoverkoissa on siirtynyt selvästi ammattimaiseen ja rahan ansaitsemisen suuntaan. Uusimmat uhkat ovat kotitietokoneiden kaappaus roskapostin levitykseen, palvelunestohyökkäyksiin ja taloudellisten tietojen hankintaan. Jälkimmäiseen käytetään esimerkiksi täysin oikeilta näyttäviä pankin sivustoja, joiden kautta verkon käyttäjää houkutellaan luovuttamaan luottokorttitiedot,

tunnussanat jne. Puolustuksellisia ohjelmistosodankäynnin keinoja

Tietoturva on puolustuksellisen ohjelmistosodankäynnin ydinkysymyksiä, samoin salaus.

Hyökkäyksellinen tietoturvayksikkö, ns. Red Team, on myös puolustuksellinen ohjelmistosodankäynnin keino siinä mielessä, että omaa tietoturvaa vastaan käytettynä se osoittaa organisaation tietoturvan puutteet ja todellisen tason. Suhteellinen etu ohjelmistosodankäynnissä

Suhteellisen edun mukaan ohjelmistosodankäynnissä on kolme oleellista aluetta:

  • paremmat ohjelmat

  • parempi kyky hyökätä vastustajan ohjelmistoja vastaan ja 

  • parempi kyky suojata ohjelmistoja vastustajan hyökkäykseltä. 

Reverse engineering

Ohjelmistosodankäynnin tärkeitä solmuja ovat ohjelmat, jotka tekevät ohjelmia siis kääntäjät.

Merkittävä ohjelmistosodankäynnin keino on konekielisen ohjelmiston takaisinmallinnus konekielisestä korkeamman tason kielelle, jolloin ohjelmiston logiikkaa on oleellisesti helpompi selvittää. Kommunistimaiden väitettiin olleen hyviä tässä kylmän sodan aikana. Takaisinkäännöstä käytetään kaupallisesti muun muassa selvittämään mahdollisia patenttirikkomuksia ohjelmistoteollisuudessa.

Kuva on muokattu paint.net ohjelmalle. Alkuperäinen lähde on:
https://pixnio.com/fi/sekalaiset/ohjelmointi-seurata-script-naytto-avoimen-lahdekoodin-ohjelma-ohjelmisto

Ja vielä esitysgrafiikkaesitys:
Luonnontieteet ja OPS.pptx


Tässä on linkki kurssin kotisivulle.

Kommentit

Kirjaudu sisään lisätäksesi tähän kommentin