Tietokone-lehti 9/2004

Laajakaista levittää tauteja

Helmikuussa osa Windowsin lähdekoodista varastettiin. Pelkona oli, että kun krakkerit saisivat käsiinsä Microsoftin suljettua koodia, he löytäisivät siitä aukkoja, joiden seurauksena koneet joutuisivat ennen näkemättömien hyökkäysten kohteeksi.

Niin ei käynyt. Kevään hyökkäykset ­ erityisesti Sasser-mato ­ olivat kyllä pahoja, mutta niillä ei ollut mitään yhteyttä Microsoftin koodivuotoon. Vuodon ainoa vakavampi seuraus oli Microsoftin imagotappio.

Näyttääkin siltä, että koodin avoimuuden merkitystä tietoturvalle on tapana liioitella. Laajasti käytettyjen ohjelmien turva-aukot tulevat joka tapauksessa ilmi, olipa koodi avointa tai suljettua. Kummastakin maailmasta löytyy esimerkkejä hyvästä ja huonosta tietoturvasta.

Käytännössä tilanne on vielä ristiriitaisempi, sillä turva-aukoista tiedottaminen ja korjausten julkistaminen saattaa jopa pahentaa tilannetta.

Toisin kuin usein kuvitellaan, valtaosa krakkereista ei ole mitään ohjelmoinnin ihmelapsia. Korjauksen julkistaminen kertoo heille, mikä aukko käyttöjärjestelmästä on löytynyt ja miten sitä voidaan hyödyntää.

Sen jälkeen he laativat aukosta luikertelevan madon ja luottavat siihen, että mato leviää nopeammin kuin aukon tukkiva päivitys.

Usein näin käykin. Eri syistä päivitykset eivät ole ajan tasalla, vaikka aiheesta on varoitettu lukemattomia kertoja. Edes automatiikka ei tunnu auttavan. Olen nähnyt lukuisissa Windows-työasemissa, miten käyttöjärjestelmä on hakenut kaikki päivitykset, mutta käyttäjä ei ole painanut OK-nappia niiden asentamiseksi. Päivitykset lojuvat levyllä tyhjän panttina.

Marssijärjestys selittää, miksi haittaohjelmat ilmestyvät yleensä vasta korjauksen jälkeen, vaikka maalaisjärjen mukaan asian pitäisi olla juuri päinvastoin.

Ilmiö ei tarkoita, etteikö korjauksia pitäisi julkaista. Se vain osoittaa, ettei tietoturva ole pelkkää insinööritiedettä.

Sähköpostiosoite piiloon

Syksyyn 2003 asti tietokonevirukset oli suhteellisen helppo tunnistaa paljaalla silmällä. Jo otsaluulla pystyi näkemään, että sähköpostin .exe tai .pif-loppuiset liitetiedostot, jotka mukana ollut saate neuvoi pikimmiten avaamaan, olivat viruksia.

Kevään epidemiat osoittivat, miten oveliksi virusten kirjoittajat ovat sittemmin kehittyneet. Virukset osaavat naamioitua virheilmoituksiksi tai ylläpidon tiedotteiksi, tai ne sisältävät väärennetyn ilmoituksen suoritetusta virustarkistuksesta. Virukset myös huijaavat tarkistusohjelmia piiloutumalla salasanalla suojattuihin zip-tiedostoihin, joita virustarkistus ei pysty avaamaan.

Uutta on myös se, etteivät virukset enää etsi uhrien nimiä sähköpostin osoitekirjasta, vaan kaikista levyllä olevista työtiedostoista. Jo aiemmin on tiedetty, ettei sähköpostiosoitetta kannata lisätä www-sivulle, koska roskapostittajat ja virukset nappaavat sen sieltä helposti. Tästä eteenpäin kannattaa välttää oman sähköpostiosoitteen kirjoittamista myös Word- ja Excel-työtiedostoihin.

Laajakaista linkoaa viruksia

Yritykset ovat maksaneet kalliisti virustorjuntaohjelmien lisensseistä. On lohdullista havaita, etteivät rahat ole menneet hukkaan. Kun sähköpostilaatikkoon kolahtaa viruksen saastuttama viesti, se on lähes varmasti peräisin kotikäyttäjän koneesta.

Tein nopean yhteenvedon niistä noin 300 virusviestistä, joita postilaatikkooni vuoden ensimmäisellä puoliskolla ehti kertyä.

Viestien lähettäjä-kentän tietoon ei ole luottamista, sillä sen kaikki nykyiset virukset osaavat väärentää. Yleensä todellisen lähettäjän ip-osoite on kuitenkin kaivettavissa virusviestin header-tiedoista.

Pistokokeiden tuloksena oli havainto, että viruksia levittävät lähinnä laajakaistakäyttäjät. Yli puolet viruksista näytti olevan peräisin Soneran, Elisan tai Hoasnetin dsl-käyttäjien koneista.

Sitkein oli muuan Soneran laajakaista-asiakas, jonka kone pommitti postilaatikkoani päivittäin huhtikuun lopusta kesäkuun alkuun ja aina samalla, väärennetyllä lähettäjänimellä.

Lopulta mittani tuli täyteen ja otin yhteyttä Soneran ylläpitoon. Henkilö jäljitettiin ip-osoitteen perusteella, ja hän sai tiedon koneensa saastumisesta. Sen jälkeen viruslinko vaikeni.

Laki suojaa liikaa

Valitettavasti ainoa, joka voi välittää tiedon perille, on juuri operaattori. Vastaanottaja ei voi pelkän ip-osoitteen perusteella selvittää, kenelle kone kuuluu. Laki suorastaan suojelee ip-osoitteen haltijaa, vaikka tässä tapauksessa kyse olisi hänen omasta edustaan.

Operaattorilla on kädet täynnä töitä ilmankin, että se toimii välittäjänä asiakkaidensa ja viruslähetysten kohteiksi joutuneiden vastaanottajien välillä. Ilmankos toinen operaattori, jolle osoitin vastaavan viestin, ei koskaan vastannut.

Koska virusongelma on selvästi pahentunut kotien laajakaistan myötä, operaattorien pitäisi sisällyttää virussuojaus laajakaistayhteyksien mukaan, vaikka se nostaisi hintaa.

Pitäisi myös luoda järjestelmiä, jotka automaattisesti ilmoittaisivat käyttäjälle tämän saamasta tartunnasta ja estäisivät koneen käytön virusten sekä roskapostin lähettämiseen. Vaikka laki suojelee viestintäsalaisuutta ja estää operaattoria puuttumasta siihen ilman lupaa, nykyinen tietoturvatilanne vaatisi lain muuttamista.

<takaisin