16. heinäkuuta 2007

Virtuaaliympäristötkin haavoittuvia viruksille

Tietoturvallisuutta parantamaan on yhä useammin ryhdytty käyttämään virtuaaliympäristöjä, "hiekkalaatikkoja", joissa ohjelmakoodia suoritetaan. Ohjelmakoodi itse uskotellaan luulemaan, että se suoritetaan itse tietokoneessa ja sen käyttöjärjestelmässä, vaikka tosiasiassa ohjelmakoodia suoritetaan vain virtuaalisessa koneessa, jossa se ei voi todellista konetta vahingoittaa. Tällöin voidaan helposti seurata mitä kyseinen ohjelmakoodi tekee, yrittääkö se esimerkiksi ottaa yhteyttä nettiin tai muokata järjestelmätiedostoja.

Nyt tilanne on kuitenkin muuttunut. Ensimmäiset merkit virtuaaliympäristöistään karkaavista viruksista on jo saatu. Kyseinen esimerkki on kohdistettu ennen kaikkea Normanin virustentorjuntaa vastaan, mutta varmasti erilaisia versioita on olemassa toisiakin ohjelmia ja järjestelmiä saastuttamaan. Tällöin virtuaaliympäristön luoma turva muuttuukin petolliseksi näennäisturvaksi, kun virus huomaamatta murtautuu ulos hiekkalaatikostaan ja takaportittaa koneen ja hiekkalaatikko-ohjelman. Kaikki näyttää toimivan hyvin, mutta todellisuudessa tietokone hiekkalaatikko-ohjelmineen onkin rootkit-ohjelmiston vallassa.

Totesin jo aikaisemminkin, että siinä missä massamaiset virus- ja tietoturvauhat ovat selvästi laskeneet mm. palomuurauksen ja virustentorjunnan yleistymisen myötä, tämän tyyppiset "erikoistuneet" hyökkäysmuodot ovat kehittyneet valtavasti. Ja juuri näissä hyökkäyksissä torjunta on usein hankalaa ja hyökkäyksen havaitseminen vieläkin ongelmallisempaa juuri rootkit-ominaisuuksien vuoksi.

Pahimmassa hyökkäysvaihtoehdossa tietokoneen BIOS, suoritin, tai kiintolevyn ohjauspiirit saastuvat viruksesta, joka edelleen käyttää rootkit-ominaisuuksia hyväkseen ja pysyy piilossa. Virus voisi myös tartuttaa ADSL-modeemeja, reitittimiä, jne. Jo nyt löydetyt aukot mm. Intelin prosessoreissa antavat ikävää esimakua tulevasta. Osana laajempaa ohjelmistosodankäyntiä nimenomaan tämän tyyppiset virukset saisivat aikaan valtavaa ja vaikeasti korjattavaa tuhoa.

1 kommentti:

Anonyymi kirjoitti...

Voi kestää jonkun aikaa ennen kuin tuollaiset virukset yleistyy. Virtuaalikoneet on vielä harvinaisempia kuin Macit, joille ei myöskään ole viruksia.

Tilanne tietysti muuttuu nopeasti. Onneksi virtuaaliympäristöt ovat kuitenkin helpompi suojata, kun reittäjä mistä virus pääsee hiekkalaatikolta pois on varsin vähän.