Mikä on Teardrop-hyökkäys ja miten se estetään?

Teardrop-hyökkäys on eräänlainen palvelunestohyökkäys (DoS-hyökkäys), joka käyttää sirpaloituneita datapaketteja uhrin palvelimen tai verkon kuormittamiseen. Palvelin ei pysty kokoamaan paketteja uudelleen, mikä aiheuttaa ylikuormituksen ja sen seurauksena järjestelmän sammumisen.

Teardrop-hyökkäykset kohdistuvat yleensä palvelimiin, joissa jo on TCP/IP-haavoittuvuus. Viime kädessä ne käyttävät hyväkseen sitä, miten IP-paketit pirstotaan ja kootaan uudelleen, ja kiertävät paikallisen palvelimen tai verkon perinteiset turvavalvontakeinot. Monet organisaatiot käyttävät usein korjaamattomia tai vanhentuneita järjestelmäohjelmistoja, joten Teardrop-hyökkäykset voivat hyödyntää näitä haavoittuvuuksia. Tämän seurauksena Teardrop-hyökkäykset ovat yleisempiä paikallishallinnoissa, sairaaloissa ja pienissä pankeissa, erityisesti niissä, jotka käyttävät hyvin vanhoja käyttöjärjestelmiä (kuten Windows 95:tä tai vanhempia).

Tässä oppaassa käsitellään yksityiskohtaisesti Teardrop-hyökkäyksiä, kuten mitä ne ovat, miten ne toimivat ja miten niitä vastaan voi puolustautua, jotta voit minimoida riskin joutua niiden − tai vastaavien hyökkäysten − uhriksi tulevaisuudessa.

Mistä Teardrop-hyökkäykset ovat peräisin?

Kuvittele, että työskentelet kotoa (tai toimistosta) käsin, keskityt omiin asioihisi, ja yhtäkkiä paikallinen koneesi sammuu ilman varoitusta. Tai kenties lähiverkkosi katkaistaan koko toimistotilassasi, etkä pääse käsiksi mihinkään tarvitsemiisi paikallisiin tietoihin. Näin tapahtuu palvelunestohyökkäysten ja hajautettujen palvelunestohyökkäysten aikana.

DDoS-verkkohyökkäykset ovat yhtä ärsyttäviä kuin potentiaalisesti vakavia, eivätkä ne ole harvinaisia Yhdysvalloissa. Syyskuussa 2017 Google (ja suuri osa sen digitaalisesta infrastruktuurista) joutui kuuden kuukauden ajan näiden hyökkäysten uhriksi, jolloin hyökkäysten koko oli 2,54 terabittiä sekunnissa. GitHub joutui uhriksi sekä vuonna 2015 että 2018, ja jopa AWS:äänn kohdistui vuonna 2020 hyökkäys, joka saavutti 2,3 terabittiä sekunnissa.

Valitettavasti keskivertokäyttäjän kannalta DDoS- ja DoS-hyökkäykset voivat tapahtua monessa eri muodossa. Hyökkäykset ovat kehittyneet merkittävästi sen jälkeen, kun ne alun perin ilmaantuivat, samoin kuin suuri osa kyberturvallisuusympäristöstä on kehittynyt viimeisten 20 vuoden aikana. Yksi vaikeimmin pyydystettävistä on kiistatta Teardrop-hyökkäys. Onnistunut Teardrop-hyökkäys, joka on saanut nimensä asteittaisesta lähestymistavasta, voi tuhota tietokoneesi (tai järjestelmän, johon se on liitetty) täysin ja tehdä siitä toimintakyvyttömän, jos et ole varovainen.

Miten Teardrop-hyökkäys toimii?

Keskimääräinen digitaalinen järjestelmä on rakennettu käsittelemään tietyn määrän samanaikaisesti saapuvaa dataa. Tämän seurauksena data tai verkkoliikenne pilkotaan usein pienempiin osiin ja merkitään sitten tietyllä numerolla niin sanottuun fragmentoitumisen poikkeamakenttään. Osien järjestäminen uudelleen oikeaan järjestykseen niiden saavuttua on tavanomainen käytäntö, kun hyökkäystä ei tapahdu.

Teardrop-hyökkäyksen aikana tietoverkkorikollinen syöttää kuitenkin virheen fragmentin poikkeamakenttään, mikä häiritsee uudelleenjärjestämisprosessia. Tämän seurauksena järjestelmäsi kerää suuren joukon vioittuneita pirstaloituneita tietoja, joita ei voida koota kunnolla uudelleen. Valitettavasti järjestelmäsi yksinkertaisesti ylikuormittuu ja kaatuu ilman (riittävää) varoitusta.

Esimerkkejä Teardrop-hyökkäyksistä

Vuosien varrella suuria järjestelmiä vastaan on tehty useita merkittäviä hyökkäyksiä, jotka saattavat olla tuttuja monille tietoverkkoturva-alalla työskenteleville. Niitä ovat muun muassa (mutta rajoittumatta näihin):

Windows NT ja 95: Teardrop-hyökkäykset vaikuttivat ensimmäisen kerran merkittävästi Windows 3.1x-, NT- ja 95-käyttöjärjestelmiin 1990-luvun lopulla, minkä vuoksi Microsoft julkaisi korjaustiedoston haavoittuvuuden paikkaamiseksi vastauksena moniin järjestelmävirhetapauksiin.
Kotijärjestelmät: tämäntyyppiset hyökkäykset olivat yleisiä sekä vanhoissa Windows- että Linux-järjestelmissä, lähinnä Windows 95:ssä ja Linux-ytimissä ennen 2.1.63-versiota.
Android/Rowhammer: RAMpage-nimellä tunnetun Teardrop-hyökkäyksen kaltainen hyökkäys uhkasi kaikkia vuosina 2012−2018 julkaistuja Android-laitteita.

Teardrop-hyökkäysten esto

Verkkoon tai paikalliseen järjestelmään kohdistuvan Teardrop-hyökkäyksen estämiseksi on useita eri tapoja. Alla olevat kyberturvallisuusneuvot pätevät useisiin erilaisiin digitaalisiin uhkiin ja haittaohjelmiin, eivät vain Teardrop-hyökkäyksiin.

Päivitä käyttöjärjestelmäsi

Ensinnäkin suosittelemme päivittämään kaikki ohjelmistosi ja käyttöjärjestelmäsi ja varmistamaan, että lataat kaikki saatavilla olevat tietoturvakorjaukset asianomaisilta kehittäjiltä. Kuten aiemmin kerroimme, järjestelmähaavoittuvuudet ovat tavallinen pääsykeino Teardrop-hyökkäyksille, joten tämä on helppo tapa suojata paikallinen koneesi ja laajempikin verkko.

Portin esto

Jos et pysty korjaamaan vanhoja ohjelmistoja tai kriittisiä sovelluksia, yksi parhaista tavoista estää Teardrop-hyökkäykset on poistaa portit 139 ja 445 käytöstä. Näin estät kaikki mahdollisesti vaaralliset palvelinviestit järjestelmissä, jotka eivät ole saaneet tietoturvapäivityksiä toimittajiltaan.

Aktivoi palomuurisi

Yksi helpoimmista tavoista estää Teardrop-hyökkäys (ja suojella paikallista konettasi ylipäätään) on varmistaa, että koneeseesi tai verkkoosi on asennettu luotettava ja kattava palomuuri tai kyberturvallisuusratkaisu. Suosittelemme käyttämään tähän Kaspersky Premium ‐suojausohjelmistoa, joka tarjoaa murtumattoman palomuurin, säännölliset päivitykset sekä johdonmukaisen avun ja tuen.

USEIN KYSYTYT KYSYMYKSET