Tulostusversio

1/2010

Tietoturvassa paljon on yhä käyttäjän varassa

Teksti: Ari Husa

Haittaohjelmista on tullut liiketoimintaa, jossa tietokoneen käyttäjä on vaarassa joutua pelinappulaksi. Oma varovaisuus ei auta kaikkeen.

Vielä vuosituhannen vaihteessa ja muutamina vuosina tietokoneen käyttäjien riesana olivat verkkomadot. Ne ovat haittaohjelmia, jotka leviävät verkon kautta koneesta toiseen ilman käyttäjän apua. Nyt matojen leviämisestä on tehty vaikeampaa ja niitä on liikkeellä selvästi vähemmän.

Internetiin liitettävät koneet ja verkkoliikenne suojataan paremmin. Matojen yleisimmin hyödyntämiin palveluihin, kuten Windowsin levyjakoihin, ei enää pääse netistä käsiksi tavallisissa kotiliittymissä, koska operaattorit estävät yhteydet palvelujen käyttämiin portteihin. Nykyisin kotiverkkojenkin edessä on usein yksinkertainen palomuuri tai vähintään osoitemuunnoksen tekevä laite (NAT). Useilla käyttäjillä on vielä työasemassakin palomuuriohjelmisto. Virustorjuntaohjelmat ovat kuuluneet jo vuosikausia lähes jokaisen tietokoneen perusasennukseen.

Madot eivät silti ole kadonneet kokonaan. Viime vuoden ilmiö oli mato nimeltään Conficker, joka levisi joidenkin arvioiden mukaan yli kymmeneen miljoonaan tietokoneeseen. Arvoitukselliseksi Confickerin tekee se, että vuoden mittaan sen ei havaittu tekevän juuri muuta kuin leviävän uusiin koneisiin.

Käyttäjä avaa oven

Koska haittaohjelmat eivät pääse suljetusta ovesta sisään, on niiden saatava ovi auki. Siksi ne leviävät nyt siten, että käyttäjä itse lataa tavalla tai toisella haitallisen sisällön tietokoneelleen.

Ladattava sisältö voi olla suunniteltu sellaiseksi, että se käyttää hyväkseen jotain käyttöjärjestelmän tai ohjelmiston haavoittuvuutta päästäkseen lataamaan haittaohjelman suojausten ohi. Toinen vaihtoehto on houkutella käyttäjä asentamaan haittaohjelma itse uskottelemalla, että se onkin jokin hyödyllinen sovellus. Lisäksi laittomien ohjelmakopioiden tai niiden mukana jaettavien lisenssikoodien luomiseen tarkoitettujen ohjelmien mukana tulee usein haittaohjelma.

Haittaohjelmatartunnan voi pahimmillaan saada vierailemalla www-sivustolla, jolla on haitallista sisältöä. Sivusto voi olla murrettu, jolloin tartunnan voi saada viattomalta näyttävästäkin osoitteesta. Viruksia levitetään myös roskapostin mukana.

Haittaohjelmien levittäjät hyödyntävät myös hakukoneita ja ajankohtaisia ilmiöitä. Olympiakisoista tai Chilen maanjäristyksestä tietoja etsivälle voi tulla tarjolle haittaohjelmiin johtavia linkkejä. Sivustoja pyritään optimoimaan siten, että linkit ovat mahdollisimman korkealla hakutuloksissa.

Botnettien nousu ja uho

2000-luvun hallitsevaksi ilmiöksi on vakiintunut haittaohjelmien avulla murrettujen tietokoneiden käyttäminen hyväksi ilman, että koneiden omistajat edes huomaavat mitään. Näihin niin sanottuihin botnetteihin kaapattuja tietokoneita on miljoonia. Verkkoja hallitsevat voivat etäohjata orjakoneiden  muodostamaa armeijaansa ja käyttää sitä lähes mielensä mukaan.

Mitä suurempi on kaapattujen tietokoneiden määrä, sitä voimakkaampi ase botnetin haltijoilla on käytettävissään. Suurimmat botnetit voisivat tukkia pääsyn mille tahansa www-sivustolle tai jopa tukkia internet-operaattorin yhteydet kokonaan.

Vielä joitakin vuosia sitten oli tavallista, että kaapattuja koneita käytettiin kiusantekoon, esimerkiksi kaatamaan tunnettuja www-palveluja.

Nyt botnet-verkot ovat pikkuhiljaa kehittyneet internetissä tapahtuvan haitallisen ja rikollisen toiminnan yleistyökaluksi. Niitä käytetään muun muassa haittaohjelmien levittämiseen ja verkon kasvattamiseen edelleen, roskapostin lähettämiseen sekä tietomurtojen tekemiseen.

Tiiviillä yhteistyöllä tuloksia

Tavallisesta käyttäjästä tilanne tuntuu kummalliselta: Miksi verkkorikollisia ei oteta kiinni ja saateta vastuuseen teoistaan? Siihen on hyvä syy: syyllisten selvittäminen on varsin vaikeaa. Hyökkääjän tunnistaminen ei ole aina suoraan mahdollista, vaan on tyydyttävä ilmiön torjumiseen ja siitä koituvien haittavaikutusten minimointiin.

Haittaohjelmien levitykseen ja botnet-verkkojen komentamiseen käytettäviä palvelimia vuokrataan usein suurilta palveluntarjoajilta. Niillä voi olla lukuisia alihankintasuhteita fyysisen palvelinlaitteen vuokraajasta lopullisen www-palvelukapasiteetin vuokraajaan. Rikollisesta loppuasiakkaasta ei välttämättä tiedetä mitään. 

Toisena ääripäänä ovat ilmeisen kokonaisvaltaisesti rikollisuuteen keskittyneet toimijat, jotka ulkoisesti pitävät yllä näennäisen asiallisen hosting-palveluntarjoajan kulisseja.

Erittäin hajautetusti toimivien botnet-verkkojen selvittely vaatii hyvin laajaa kansainvälistä monitoimialayhteistyötä. CERT-toimijat, internet-palveluntarjoajat, yliopistojen ja yritysten tietoturvatutkijat sekä poliisiviranomaiset ovat verkottumassa entistä tiiviimmiksi yhteistyöverkostoiksi.

Verkostojen toiminta aktivoitui ja tiivistyi selvästi viime vuonna, ja yhteistyö osoitti voimansa. Esimerkiksi suomalaisyritykseen kohdistuneen palvelunestohyökkäyksen vaikutukset pystyttiin rajoittamaan löytämällä ja sulkemalla hyökkäyksessä käytetyn botnetin komentopalvelimet.

Tietoturvayhteisöjen selvityksen perusteella useampikin haitalliseen toimintaan keskittynyt operaattori menetti myös verkkoyhteytensä viime vuonna. Niistä ehkä näkyvin oli yhdysvaltalainen 3FN, jonka verkossa ylläpidettiin useiden roskapostinlevitysverkon komentopalvelimia.

Tiedoilla rahaa

Viime vuosina verkkorikolliset ovat haittaohjelmien avulla pyrkineet pääsemään käsiksi käyttäjän tietokoneella oleviin tietoihin ja hyötymään niistä. Kohteina ovat käyttäjätunnukset ja salasanat, sähköpostiosoitteet, luottokorttinumerot tai jopa yritys- ja valtiosalaisuudet.

Tavallinen käyttäjä törmää useimmin haittaohjelmaan, joka kerää koneelta www-sivujen lomakkeille syötettäviä tietoja. Periaatteessa ohjelmat tallettavat kaikki www-selainta käytettäessä syötetyt näppäilyt tiedostoon paikalliselle kiintolevylle, mistä haittaohjelma lähettää ne internetin kautta tietojen keräilypalvelimelle jatkokäsittelyä ja hyödyntämistä varten.

Kehittyneimmät ohjelmat ovat jo jonkin aikaa osanneet toimia tosiaikaisesti ja puuttua esimerkiksi verkkopankkiyhteyteen. Haittaohjelma tekee istunnon aikana luvattomia tilisiirtoja ja kysyy niihin käyttäjältä vahvistuksen. Käyttäjää voidaan hämätä aidon näköisellä häiriöilmoituksella ja pyytää ylimääräistä vahvistustunnusta. Tällaiset ohjelmat täytyy aina räätälöidä pankkikohtaisesti, jotta huijaus olisi uskottava.

Jo muutaman vuoden ajan haittaohjelmista on löytynyt merkkejä siitä, että suomalaisetkin verkkopankit voisivat olla kohteena. Joitakin onnistuneita huijauksia on jo nähty.

Verkkopankit joutuvat varautumaan uhkiin parantamalla turvallisuusratkaisujaan ja käytön seurantaa. Käyttäjän osaksi jää henkilökohtaisen tietokoneensa tietoturvasta huolehtiminen.

Myös internetin yhteisöpalvelujen käyttäjiä yritetään usein huiputtaa haittaohjelmalinkeillä tai käyttäjätunnuksia ja salasanoja urkkimalla. Verkossa pelattaviin peleihin tai virtuaaliympäristöihin liittyvät tiedot ovat niin ikään käypää kauppatavaraa ja niin muodoin tietoja varastavien haittaohjelmien kohteina.

Yrityksiin kohdennettuja iskuja

Yritysten ja muiden organisaatioiden tietoihin käytetään tarkemmin kohdistettuja menetelmiä. Työkalut ovat samantapaisia, mutta www-istuntojen näppäilyjä enemmän saattavat kiinnostaa esimerkiksi tietokoneelle tallennetut asiakirjat.

Käytettävä haittaohjelmaversio on yleensä sellainen, jota virustorjuntaohjelmat eivät tunnista. Ohjelma pyritään ujuttamaan koneeseen esimerkiksi asiallisen sähköpostiviestin liitetiedoston mukana.

Tämän vuoden alkupuolella tuli julkisuuteen Aurorana tunnettu hyökkäys, jossa Kiinan epäiltiin yrittäneen vakoilla useita suuryrityksiä haittaohjelman avulla. Tapaus näyttää varsin tyypilliseltä kohdistetulta hyökkäykseltä, joskin kohteiden suuri määrä tuntuu poikkeukselliselta. Joskus onkin vaikeaa varmistua siitä, että onko vakoiluyritys kohdistunut juuri tiettyyn organisaatioon, vai onko kyse laajemmasta hyökkäyksestä, jonka kohteeksi joudutaan sattumalta.

---

[KIRJOITTAJA]

Tietoturva-asiantuntija Ari Husa työskentelee Viestintävirastossa CERT-FI-yksikössä.

Lue myös

Tietoturvaa paremmista ohjelmistoista »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.