iPhone värähtää uuden SMS-viestin saapumisen merkiksi. Olen saanut nettitilauksesta ilmoituksen, joka vaatii toimenpiteitä. Covid-19 pandemian kiihdyttämä verkkokauppa on saanut aikaan hurjan pakettirallin. Viestejä tulevista lähetyksistä, tullaamisesta ja noudoista tulee niin paljon, etten tahdo pysyä kärryillä tilauksista. Tähän viestien viidakkoon on verkkorikollisten helppo soluttautua. SMS-viesti on hyvää suomen kieltä.

[Oma-posti], Sinulla on paketti, joka on allekirjoitettava, tarkista: https://is.gd/CVAZ4Wpaketti-ID.3204

Puhelinnumero on suomalainen, mutta tietoturvan ratkaisujen parissa toimineelle linkin (URL) nimi huutaa vaikeuksia. Tässä tapauksessa asia selviää nopeasti. Kyberturvallisuuskeskuksen Tietoturva Nyt-osiossa on asiasta varoitus. Valitettavasti moni vastaanottaja menee lankaan, lataa haittaohjelman, levittää sitä edelleen ja osallistuu tietämättään rikolliseen toimintaan.

SMS-viesti läpäisee parhaankin suojauksen

ICT-alueella olemme oppineet suojautumaan haittaohjelmilta PC:n torjuntaohjelmistolla, verkkojen yhdyskäytäväratkaisuilla, vahvalla tunnistamisella ja roskapostisuodattimilla. Nämä ratkaisut ovat kehittyneet viimeisten vuosien aikana tekoälyn sekä pilven skaalautuvuuden avulla. Kaiken pitäisi olla kunnossa. Tässä hyökkäyksessä tietoturvaan tehdyt investoinnit eivät auta. Ne ohitetaan taitavasti. Hyökkääjä käyttää heikointa lenkkiä: Operaattorin SMS-viestin välityspalvelua, ostamisen ja paketin saapumisen mielihyvää sekä mobiilipäätelaitetta.

  1. Saastunut päätelaite lähettää puhelimeeni SMS-viestin. Operaattorin SMS-järjestelmän näkökulmasta viestin lähettäjä on tavallinen suomalainen mobiililiittymän haltija. Viestin sisältöä tai vaarallisuutta SMS-välityspalvelu ei tarkista kuten sähköpostipalvelut tekevät. Suomen rajattomassa mobiililiittymässä viesteistä ei veloiteta erikseen, joten vanha SMS-rahasampo on lähinnä rasite. Tietoturvan kehitykseen rahaa on tuskin luvassa tähän palveluun. Tätä on helppo käyttää hyväksi.
  2.  Käyttäjä painaa URL-linkkiä ja lataa haittaohjelman. Tässä tapauksessa hyökkääjä käyttää palvelua, joka lyhentää URL piilottaen alkuperäisen. Kyseinen sivusto on luokitettu lähes kaikilla tietoturvatuotteilla geneeriselle IT-alueelle, joten pyyntö menee Next Generation palomuurin URL-suodattimista heittämällä läpi. Tosin mobiilipäätelaite on 4G tai 5G mobiiliverkossa, joten suodatin puuttuu.
  3. Haittaohjelma asentuu. Harvassa älypuhelimessa on haittaohjelmiston torjuntaa tai hankittu ohjelmisto perustuu yksittäisen tuotteen kyvykkyyksiin ja tietolähteeseen. Tällaisen ohjelmiston kyky tunnistaa ja reagoida nollapäivä-hyökkäykseen on olematon. Käyttäjä jatkaa saastuttamista tietämättään. On verkkorikollisen palkkapäivä.

 

Päätelaitteen tietoturvatuote on ”todella typerä ajatus” 

Palo Alto Networksin perustaja ja teknologiajohtaja Nir Zuk kutsui yksittäisiä tietolähteitä, kuten päätelaitteiden tietoturvatuotteita, ”todella typeräksi ajatukseksi”, painottaen sen sijaan kokonaisvaltaista lähestymistapaa, jossa kukin tietoturvakomponentti toimii yhdessä. Lauseessa on hieman kaupallistakin ajattelua, mutta olen samoilla linjoilla.

Yritysten ratkaisuna yksittäiset torjuntaohjelmistot tietolähteineen ovat vanhentuneita. Vastaavasti vanhentunut on ajatus, että käyttämällä eri tietoturvateknologian toimittajaa päätelaitteissa ja verkossa saavutetaan turvallisempi toimintaympäristö. Käytännössä asia on juuri päinvastoin, kuten Nir toteaa. Kaikki torjuntatuotteet ovat yhtä hyviä tunnistamaan tunnetut haittaohjelmat ja hyökkäykset. Ne eivät kuitenkaan anna riittävää tilannekuvaa.

Yrityksen tuleekin keskittyä ratkaisuihin, joilla on mahdollista reagoida uusiin tuntemattomiin ja kohdistettuihin kyberhyökkäyksiltä. Se edellyttää kaikkien tietolähteiden yhteistoimintaa, tekoälyä ja automaatiota.

Best Product löytäminen on yhä haasteellisempaa

Tietoturvaratkaisun hankkiminen ei voi perustua ajatukseen, jossa organisaatio siiloissaan valitsee testien perusteella ”Best Product” tietoturvatuotteen. Toistaiseksi kukaan alan toimija ei ole pystynyt simuloimaan ja testaamaan uskottavasti kokonaisratkaisua monipilvi- ja monilaiteympäristössä kohdennetuille tai uusille hyökkäyksille.  Ostajan täytyy luottaa toimittajaan, hankittavaan kokonaisuuteen sekä uskoa teknologian ja integraatioiden kehittyvän riittävän nopeasti. Vanha sanonta: ”Valitsemalla Cisco Systems tuotteet ei saa potkuja” onkin taas ajankohtainen. Myönnän, että heidän portfolion kokonaisuus on yksi parhaista, eikä mobiilipäätelaitteen tietoturvaakaan ole unohdettu.

 

Hannu Rokka, Senior Advisor

5Feet Networks Oy