|
Kun käyttäjä on asentanut koneeseensa automaattisesti
päivittyvän virustorjuntaohjelman ja palomuurin, hän luulee
olevansa turvassa. Tämä on hyvä alku, mutta tarvitaan muutakin.
Kesällä 2004 saavuin pitkäaikaisen Pietarissa asumisen jälkeen Helsinkiin.
Olin saanut suomalaisen vihamiehen: tämä yrittäjä kehotti poistumaan
takaisin itäiseen onnelaan. Liitetiedostona oli ”Yritysesittely”. Tiedostoon
oli koottu vakoiluohjelmalla ne nettisivustot kuvineen, joilla olin
vieraillut. Tietokoneessani oli vakoiluohjelma (spyware), joka tietämättäni
keräsi tietoja Internet-yhteyden välityksellä. Yhdysvaltalaisen National
Cyber Security Alliancen tutkimuksen (2003) mukaan yli 90%:lla
laajakaistakäyttäjästä on kotikoneillaan spyware- tai adware-ohjelmia.
Vakoiluohjelmat ovat tulleet vakavaksi uhkaksi yritysten ja yksityisten
kansalaisten luottamuksellisille tiedoille, salasanoille, pankkitiedoille,
sisäiseen laskentaan kuuluvilla tiedoille. Ohjelmat saattavat tuoda mukanaan
myös näppäilytallentimia ja tarkkailuohjelmia. Ongelmien on väitetty
koskevan Microsoftin asiakkaita ja Internet Explorer (IE) –selaimen
käyttäjiä, mutta ongelmia ei vältetä myöskään Firefoxin ja Operan avulla.
Myöskään Linux ei ole riskitön.
Yritykset eivät voi aina varustautua tietoturvaan ottamalla käyttöön uusinta
IE 7.0 –selainta ja Windows XP:n Service Pack 2:a tai Windows Vistaa:
IT-arkkitehtuuria ei ole saatu vielä yhteensopivaksi eri ohjelmien välillä.
Myös IE 7.0 –selain jättää mahdollisuuksia vakoilijoille. Niitä on paikattu
Windows Defender, McAfee SiteAdvisor, Yahoo Anti-Spy tai SpywareBlaster
–ohjelmien avulla. Evästeet (cookie) ovat myös haaste tietoturvalle. Näiden
poistaminen selaimista tulisi olla automaattista. Lisäksi IE-selaimen
asetuksissa pitäisi olla ennakko-olettamuksena, että sammutettaessa
tyhjennettäisiin väliaikaiset Internet-tiedostot (cache). Olettamuksena
pitäisi olla automaattiset päivitykset.
Venäjällä pitää olla huolellinen
Keväällä 2005 Nick Fedoroville rekisteröity yritys Nizhny
Novgorodista maksoi jokaisesta vakoilu- ja mainosohjelman saastuttamasta
koneesta 6 sentin palkkion. Tietoturva-asiantuntijat varoittivat lataamasta
mitään iFrameDollars –palvelimelta. Venäläisten pornografisten sivustojen on
havaittu käyttävän IE 6.0 –selaimen tietoturvaongelmia ja asentavan
vakoiluohjelmia ja WebAttackerin, kotisivukaapparin Microsoftin
VML-koodivian tähden. Helmikuussa 2007 pidätettiin rikollisliiga Turkin
Izmurissa. Nämä olivat varastaneet 300 000 dollaria internetpankista kolmen
venäläisen hakkerin tarjoamilla pankkien käyttäjätiedoilla ja salasanoilla.
Keväällä 2007 on tullut paljon tämän suuntaisia varotuksia asiantuntijoilta.
Keväällä 2007 tuli ilmi, että eräät yritykset käyttivät Google AdWords
–sponsoroituja bannereita vakoiluohjelmien asentamiseen. Sponsoroitua
banneria klikkaamalla käyttäjät joutuivat venäläisten rakentamalle
smarttrack.org –sivustolle, joka asensi vakoiluohjelmaa. Kyberrikollisten on
havaittu käyttävän e-kaupankäyntiä tarjoavia sivustoja. Sivustot asentavat
gozi-troijalaisen. Tiedot menevät Pietariin palvelimelle. Gozi käyttää
hyödyksi IE:n iFrame-kaistaa. 76Service-nimellä kutsuvan ryhmän palvelimelle
kertyi nopeasti yli 5200 kotitietokoneen käyttäjän luottamukselliset tiedot.
Kyseistä troijalaisen koodia myydään 1000-2000 dollarin hintaan.
Uusin suojausteknologia proaktiivista
Panda Software Finland kertoi helmikuussa 2007, että
Adware-mainosohjelmat olivat yleisimpiä Spyware-luokan haittaohjelmia.
Kolmas vakoiluohjelmien ryhmään laskettava haittaohjelmatyyppi oli
PUP-ohjelmat (Potentially Unwanted Programs), jotka asentuvat käyttäjän
huomaamatta tietokoneeseen. PUP-ohjelmat voivat ladata luottamuksellisia
tietoja varastavia troijalaisia. Tammikuussa PUP-ohjelmia oli noin 26%
vakoiluohjelmista. Panda Software Finlandin mukaan haittaohjelmat ja
hakkerit ovat osa järjestäytynyttä rikollisuutta, ja motiivina on raha.
Hakkerit haluavat saada haltuunsa käyttäjien laitteet ja yhteydet, joita
myydään eteenpäin tai käytetään palvelunestohyökkäyksiin. Haittaohjelmia
hyödyntävä yritysvakoilu on totta.
Helmikuussa 2006 Panda Softwaren viruslaboratorio PandaLabs paljasti
räätälöityjä haittaohjelmia jakelevan liigan. Online-tarkistusohjelma
ActiveScaniin jäi salasanojen ja muiden luottamuksellisten tietojen
vakoiluun tarkoitettu troijalainen, joka nimettiin Briz.A:ksi.
Viruslaboratorion analyysi paljasti osoitteet, joista koodia ladattiin.
Liiga oli myynyt 990 dollarilla eri tarkoituksiin räätälöityjä troijalaisia.
Osaa sivustoista käytettiin haittakoodien myymiseen ja osaa haittakoodien
keräämien tietojen käsittelyyn. Haittakoodit osasivat “raportoida”
saastumistilanteesta hyökkääjälle. Haittakoodin kirjoittaja ja myyjä
lupasivat ostajalle uuden koodin, jos virustorjuntaohjelma tunnistaisi
koodin. Haittakoodin kirjoittajien “lupauksista” huolimatta Panda Softwaren
kehittämä, proaktiivisesti toimiva TruPrevent-tekniikka tunnisti
haittakoodin jo ennen virustietokannan päivittymistä.
Panda Softwaresta Mikko Haapasaari (puhelinkeskustelu 9.5.2007) tähdentää
proaktiivisen suojauksen merkitystä. Yritysten tulee myös määritellä, millä
sivustoilla on mahdollista vierailla selaimella. Nyt tarvitaan
käyttäytymisanalyysin lisäksi myös käyttäjäanalyysiä. Haapasaaren mukaan
vakoiluohjelmat ovat rahan ansaintaa varten: “Hyötymistarkoituksessa
varastetaan salasanat ja pankkitiedot”. Uusilla massiivisilla
haittaohjelmapurskeilla saatetaan tietoisesti rasittaa myös
tietoturvayrityksiä jonkun vakavamman uhkan kätkemiseksi. Haapasaaren mukaan
ei voi osoittaa sormella, että syntipukit olisivat Venäjältä.
Internet mahdollistaa piiloutumisen. ”Puolalainen rikollinen saattaa
operoida esimerkiksi ruotsalaisella palvelimella, käyttää ranskalaista
domainia ja lopulta hyökätä Yhdysvalloissa sijaitsevaan kohteeseen”.
Haapasaari kertoo varottavan tapauksen: pienen yrityksen asiakastiedot ja
sisäänostohinnat varastettiin haittaohjelmalla. Nämä varastetut tiedot
päätyivät asiakkaille. “Tämän jälkeen yrityksen oli vaikea perustella
myyntihintoja asiakkaille!” PK-yrityksissä tietoturvan taso vaihtelee. “
Parhaimmillaan organisaatiosta löytyy asiaan vihkiytynyt henkilö, kun taas
monissa tapauksissa turvaudutaan esimerkiksi sukulaispoikaan”.
Juha Molari |