Tulostusversio

1/2009

Tietoturva: Roskaposteja välittää pieni joukko

Teksti: Kauto Huopio

Suuren roskapostin välittäjän irrottaminen internetistä paljasti, kuinka varsin pienen joukon toimintaa roskasähköpostin levitys on.

Viime vuoden marraskuun puolivälissä koettiin erittäin epätavallinen ilmiö: internet-verkossa liikkuvan roskasähköpostin määrä väheni yhtäkkiä noin puoleen normaalitasosta.

Ottaen huomioon verkossa normaalisti liikkuvan roskasähköpostin määrän, postipalvelimien ylläpitäjät epäilivät aluksi internetin olevan jotenkin rikki.

Onneksi selitys löytyi paljon positiivisemmasta tapahtumasta. Samalla kävi yhä selvemmäksi, kuinka varsin pienen joukon toimintaa roskasähköpostin levitys on, ja kuinka voimakkaasti toiminta on keskittynyt.

Verkkoliikenne paljasti roskapostittajan

Internet-palveluntarjoajien tietoturva-asiantuntijat sekä CERT-yksiköt ympäri maailmaa olivat jo jonkin aikaa kiinnittäneet huomionsa Kalifornian San Josessa toimineeseen McColo -nimiseen hosting-palveluntarjoajaan. Hosting-palveluilla tarkoitetaan tietokone- ja verkkokapasiteetin sekä palvelinpaikkojen vuokraamista palvelimien ylläpitoon tarkoitetuista konesalitiloista.

McColo oli kiinnittänyt tietoturvayhteisön huomiota erikoisella asiakaskunnallaan: käytännössä kaikki sen konesalista lähtevä internetliikenne tuntui liittyvän haitalliseen toimintaan verkossa.

Yrityksen IP-osoiteavaruudesta tunnistettiin useita haittaohjelmakoodin levitykseen käytettyjä palvelimia sekä palvelimia, joilla ohjattiin haittaohjelmilla saastutetuista tietokoneista muodostettuja botnet-verkkoja.

Julkisuus savusti McColon verkosta

Epäilyt McColon toiminnan kytköksistä selvästi rikolliseen toimintaan oli saatettu USAn poliisiviranomaisten tietoon useaa eri kautta. Poliisi ei kuitenkaan tuntunut ryhtyvän selkeisiin toimenpiteisiin McColon suhteen. Niinpä eräät tietoturva-alan toimijat päättivät savustaa McColon verkosta julkisuuden paineella.

Näyttävien raporttien ja paljastusjuttujen jälkeen McCololle verkkokapasiteettia toimittaneet internet-palveluntarjoajat tulivat vakuuttuneiksi siitä, että heidän asiakkaansa rikkoi räikeästi internet-palvelun käyttöehtoja (AUP, Acceptable Use Policy). Ne irrottivat McColon verkosta tunnetuin seurauksin.

Verkosta irrottamisen yhteydessä kävi ilmi, että erästä aktiivisimmista roskapostin levitykseen erikoistuneista botnet-verkoista komennettiin täysin McColon konesalista käsin. Srizbi-botnet oli todella valtavien mittasuhteiden roskapostilinko: Arvioiden mukaan verkossa oli noin puoli miljoonaa tietokonetta, ja verkon roskapostin levityskyvyksi arvioitiin parhaimmillaan noin 60 miljardia sähköpostiviestiä vuorokaudessa. Määrä on noin 50-60 prosenttia maailmalla vuorokaudessa liikkuvista noin sadasta miljardista roskapostiviestistä.

Haittatoimintaa eri maissa

McColo ei ollut suinkaan ensimmäinen tietoturvayhteisön huomion kohteeksi joutunut palveluntarjoaja.

Vuonna 2007 verkosta yhtenäisenä toimijana kadonnut, Pietarin alueella vaikuttanut Russian Business Network (RBN) -operaattori oli ensimmäinen suuren mittakaavan haitallisen verkkoaktiviteetin keskittymä. Viime vuoden lokakuussa yhdysvaltalainen Intercage-palveluntarjoaja menetti yhteytensä McColon tyyliin.

Vastaavia haitallisen internet-palveluntarjonnan keskittymiä on havaittavissa eri puolilla maailmaa, lähimmät Virossa. Suomessa kukaan ei ole yrittänyt käynnistää vastaavaa toimintaa. Tieto Viestintäviraston tietoturvayksikkö CERT-FI:n tehokkaasta toiminnasta on ollut ilmeisen tehokas pelote.

Väliaikainen notkahdus

McColon irrottaminen verkosta vähensi roskapostin määrää vain väliaikaisesti. Muutamien viikkojen jälkeen roskapostin levitystoiminta palasi entiselle tasolle.

Roskapostin suodatukseen erikoistuneen Messagelabs -yrityksen mukaan tammikuussa 2009 roskapostin levitykseen erikoistuneiden botnet-verkkojen kärki näytti seuraavalta:

 

Botnetin nimi

Koneita verkossa

Levityskyky viestejä vuorokaudessa keskimäärin

Mega-D (Ozdok)

660 000

38 225 000 000

Cutwail (Pandex)

1 080 000

7 741 000 000

Rustock

410 000

6 219 000 000

Xarvester

260 000

4 438 000 000

 

Huimia lukuja. Roskapostin välittämiseen ja siivoamiseen käytettävät resurssit ovat maailmanlaajuisessa mittakaavassa erittäin merkittäviä, roskapostia vastaanottavien loppukäyttäjien viestien siivoukseen käyttämästä ajasta puhumattakaan.

Tarvetta nettipoliisille

Miksi McColon sulkivat internet-palveluntarjoajat eikä poliisi?

Useat roskapostin kaltaiset internet-verkkoon liitetyt haitalliset ilmiöt ovat varsin tehokkaasti verkostoituneen järjestäytyneen rikollisuuden ylläpitämää toimintaa.

Koko "Internet-kriminaalipalveluiden" ketju haittaohjelmien koodaajista botnet-verkkojen ylläpitäjiin, haitallisten palveluiden palveluntarjoajakeskittymiin ja rahanpesutoimintaan on hajautettu eri puolille maapalloa. Tämä hajautus yhdistettynä nopealiikkeisyyteen on erityisen suuri haaste poliisille – ja internetrikolliset tietävät tämän erittäin hyvin.

Tyypillisesti kansainvälinen oikeusapupyyntö maasta toiseen voi kestää kuukausia. Eri maiden poliisiviranomaiset eri maissa ovat ongelmasta erittäin tietoisia ja kehittävät jatkuvasti uusia yhteistyötapoja.

CERT-toiminnasta tutut välittömän toiminnan ja tiiviisti verkottuneen yhteistyön mallit ovat tulossa myös Internet-poliisitoimintaan. Muutokset ovat valitettavan hitaita, mutta hitaus on myös ymmärrettävää: on huolehdittava oikeusturvan säilymisestä prosessin kehittyessä.

McColo oli vain yksi pala isossa verkossa. Yritystä tutkineet poliisit olivat todennäköisesti hyvin tietoisia tilanteesta ja pyrkivät kaikin tavoin pääsemään selville yritykseen liittyvän rikollisen verkon rakenteesta. Aika loppui kesken: Paine lopettaa haitallinen toiminta kasvoi riittävän suureksi, ja internet-yhteisö päätti toimia.

On erityisen toivottavaa, että pääsisimme siirtymään oman käden oikeuttakin muistuttavasta rikollisten palveluntarjoajien verkosta savustamisesta siihen, että haitallista toimintaa verkossa pyörittävät tahot saataisiin tekemisistään rikosoikeudelliseen vastuuseen – maailmanlaajuisesti.

Poliisin on pystyttävä huomattavasti nykyistä ripeämpään toimintaan tutkimusten akuutissa vaiheessa. Yhteistyö poliisiorganisaatioiden, CERT-toimijoiden ja internetin tietoturvayhteisön välillä paranee koko ajan.

------

[KIRJOITTAJA]

Kauto Huopio on Viestintäviraston CERT-FI-yksikön vanhempi tietoturva-asiantuntija.

Lue myös

Tietoturva: Mikä on botnet? »
Tietoturva: Raha ruokkii roskapostia »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.