5. heinäkuuta 2008

Haittaohjelmien aiheuttamat ongelmat pahenevat - resistance is futile?

F-Securekin paneutui asiaan. Haittaohjelmien määrä jatkaa huomattavaa kasvuaan koko ajan. Tietokoneen ja myös toki esimerkiksi matkapuhelinten käyttäjät ovat yhä suuremmassa vaarassa, koska paraskaan virustentorjuntaohjelma ei voi millään enää löytää edes suurinta osaa liikkellä olevista haittaohjelmista. Haittaohjelmia alkaa yksinkertaisesti olla aivan liikaa.

Ongelmia ovat jo nyt aiheuttaneet myös rootkit-ohjelmistot, jotka, kerran asentuessaan koneelle, pystyvät kätkemään kaikkia muita haittaohjelmia siten, että paraskaan tietokoneen käyttöjärjestelmässä pyörivä virustentorjuntaohjelma ei kerta kaikkiaan kykene niitä löytämään. Tämä siksi, että rootkit-ohjelmistot huijaavat koko käyttöjärjestelmää. Rootkit-ohjelmistoja vastaan ei ole kunnon suojautumiskeinoa, ainoa tapa käytännössä edes löytää niitä on käynnistää tietokone fyysisesti erilliseltä kiintolevyltä tai rompulta (joka on varmuudella puhdas) ja skannata sillä olevalla virustentorjuntaohjelmalla alkuperäinen kiintolevy. Tällöin rootkit-ohjelmisto ei pääse piiloutumaan mihinkään kiintolevylle. Esimerkiksi Avira Antivir Rescue System toimii juurikin näin ja onkin erinomainen työkalu saastuneen tietokoneen puhdistamiseen kaikista haittaohjelmista. Sekään ei kuitenkaan löydä tietokoneen komponentteihin piiloutuneita rootkit-ohjelmistoja.

Perustasoiseenkin tietoturvatietoisuuteen kuuluu, että tuntemattomia ohjelmia tai tiedostoja ei pidä suorittaa ikinä tietokoneella. Tämän säännön merkitys korostuu entisestään, kun otetaan huomioon rootkit-ohjelmistojen kasvava vaara, sekä se fakta, että virustentorjunta alkaa muuttumaan koko ajan tehottomammaksi tavaksi löytää haittaohjelmia. Tätäkin sääntöä on tärkeä noudattaa, mutta tämäkään sääntö ei kuitenkaan loppujen lopuksi takaa oikeastaan mitään, kuten kohta selitän.

Sekin kuuluu perustason tietoturvaohjeistukseen, että kaikki ohjelmistot pitää aina pitää viimeisen päälle päivitettyinä. Vanhat, päivittämättömät ohjelmat sisältävät runsaasti tunnettuja tietoturva-aukkoja, joiden kautta koneelle on mahdollista tunkeutua. Tätäkin sääntöä on tärkeä noudattaa, mutta tämänkään säännön noudattaminen ei kuitenkaan loppujen lopuksi takaa oikeastaan mitään, kuten seuraavaksi selitän.

Ongelmana on näet se, että kaikissa käyttämissäsi ohjelmissa voi ja onkin tietoturva-aukkoja, joita ei yleisesti tunneta tai joita ei ole ehditty paikata uusilla päivityksillä. Näitä ns. nollapäivän aukkoja käytetään myös kasvavassa määrin hyväksi haittaohjelmien levitykseen. Kun surffaat selaimellasi tavanomaisellekin nettisivulle, kuten vaikkapa valtion nettisivuille, nollapäivän aukkoa hyväksikäyttäen tietokoneesi voidaan ottaa täysin hallintaan ja asentaa sinne esimerkiksi rootkit-ohjelmistoja ja muita haittaohjelmia, joita et siis pysty kunnolla tai mitenkään edes havaitsemaan myöhemmin.

Mikä sitten ratkaisuksi yhä kasvavan haittaohjelmaongelmaan?

Lähtökohtaisesti voi sanoa, että vanhat hyvät konstit pätevät yhä, mutta niiden lisäksi tarvitaan uusia työkaluja ja menettelytapoja.

Vanhoja hyviä konsteja ovat juurikin päivitysten pitäminen ajantasalla, virustentorjuntaohjelmien ajaminen, palomuurin huolellinen käyttö, sekä tietokoneen asetusten ja käyttöoikeuksien säätäminen turvalliseksi. Tärkein vanha hyvä konsti on se sääntö, että tiedostoja joiden turvallisuudesta ei voida olla varmoja, ei yksinkertaisesti ikinä ladata tai suoriteta tietokoneella. Ylipäätään koneella ja koneelle ei pidä tehdä mitään ylimääräistä. Jos et tarvitse ehdottomasti jotain ohjelmaa - älä asenna sitä. Jos sinun ei tarvitse mennä jonnekin nettisivulle - älä mene sinne. Jos sinun ei tarvitse enää säätää asetuksia ja ohjelmia koneessasi - älä säädä niitä.

Mutta ne uudet työkalut ja keinot haittaohjelmien torjuntaan, mitä ne ovat?


Yksi hyvä esimerkki on ns. ei-suorittamisen-periaate. Simppelisti sanottuna se tarkoittaa, että ohjelmalla, kuten vaikkapa tällä, kategorisesti estetään kaikkien niiden ohjelmien suorittaminen tietokoneella, joiden turvallisuudesta ei voida olla varmoja ja joita ei ole etukäteen hyväksytty suoritettavaksi. Tämä siis täysin riippumatta käyttäjien toivomuksista ja haluista suoritella jos jonkinmoisia tiedostoja tietokoneella. Näin ollen järjestelmä sopii hyvin esimerkiksi perheen nuorison liian innokasta tiedostojen suorittamista ja asentamista vastaan, mikäli koneen tietoturva ja käyttöoikeudet ovat muuten turvalliseksi asetetut. Kun selvästi määritellään, että tietokoneeseen nyt asennetut ne ja ne tiedostot ovat turvallisia ja sen jälkeen estetään kaikkien muiden tiedostojen suorittaminen kategorisesti, voidaan olla melkoisen varmoja, että haittaohjelmia ei koneeseen pääse pesiytymään. Turvalliset ohjelmat voidaan tunnistaa esimerkiksi kryptografisen tiivisteen avulla luotettavasti.

Ongelmana on tietysti se, että jos koneessa olevia ohjelmia päivitetään, päivitetyt ohjelmat eivät myöskään käynnisty (tai itse asiassa edes niiden päivittäminenkään alunperinkään ei välttämättä onnistu). Tällöin ylläpidon pitää hoitaa päivitykset tarkasti ja päivittämisen jälkeen jälleen asettaa ohjelma taas kieltämään kaikien (toisten) tiedostojen suorittamiset. Yleensä se on toki helppoa ja variaationa on, että esimerkiksi tämän valvontaohjelmiston ylläpitäjä pitää tietokantaa, jossa on ns. "valkoinen lista" kaikista tiedostoista, jotka ovat turvallisia suorittaa, jolloin ylläpitäjän ei tarvitse kuin korkeintaan päivittää "valkoinen lista" ja ohjelmien päivitys jne. sujuu automaattisesti taustalla ilman ongelmia.

Toinen, vakavampi ongelma on siinä, että nollapäivän aukkoja voidaan hyväksikäyttää myöskin niin, että nämä ei-suorittamisen periaatteeseen nojautuvat ohjelmatkin kierretään. Mikäli jokin ohjelma, joka on luotettu, omaa aukon joka mahdollistaa esimerkiksi järjestelmän muuttamisen, voidaan myös tuota ei-suorittamisen periaatetta valvova ohjelmakin muuttaa ja kiertää. Näin ollen, ei-suorittamisen periaatteeseen nojautuva suojauskaan ei anna täyttä suojaa uusilta haittaohjelmilta ja hyväksikäytöiltä, vaikka se merkittävästi parantaakin suojaustasoa.


Tietokoneeseen voidaan myös asentaa laitteistoja, jotka palauttavat tietokoneen automaattisesti siihen tilaan, jossa se oli, kun laitteisto asennettiin. Tällöin tietokoneen uudelleenkäynnistäminen pyyhkii koneelta kaikki muutokset ja palauttaa muuttuneet tiedostot ja asetukset takaisin. Koneen uudelleenkäynnistys siis käytännössä hävittää kaikki haittaohjelmat ja muutokset, joita koneelle on tehty. Järjestelmä on erittäin kätevä esimerkiksi julkisiin tietokoneisiin.

Näissä laitteistoissa on ongelmansa, esimerkiksi se, että ne eivät yleensä toimi ennen kuin tietokone käynnistetään uudelleen. Näin ollen sillä kerralla kun konetta käytät, se voi saastua käytöstäsi ja olla saastunut, kunnes uudelleenkäynnistät koneesi. Lisäksi itse suhtaudun hieman epäilevästi siihen, miten hyvin todellakin kyseinen laite kestää itse haittaohjelmia ja pystyy estämään niitä kiertämästä sen suojausta (laitetta kuitenkin voidaan yleensä itse ohjelmoida ja käyttää Windowsista käsin).


Kolmas keino suojautua yhä kasvavaa haittaohjelmaongelmaa kohtaan on, että yksinkertaisesti sanottuna koko käyttöjärjestelmä ladataan aina sellaiselta medialta, jota ei voida muuttaa mitenkään. Käytännössä tämä tarkoittaa useinmiten, että tietokoneessa ei ole lainkaan kiintolevyä ja sen käyttöjärjestelmä käynnistetään dvd/cd-levyltä Knoppix-Linuxin tai BartPE:n tapaan. Tiedostot, joita käytetään, tallennetaan verkkolevyille tai USB-muistitikuille.

Järjestely hidastuttaa koneen käynnistämistä ja on epämiellyttävä käyttää, eikä suojaa tietokoneen komponentteihin piiloutuneilta rootkit-ohjelmistoilta, mutta muutoin tarjoaa erinomaista ja takuuvarmaa suojaa - sille käynnistyskerralle, koska kun käyttöjärjestelmä on käynnissä, se voi toki saastua esimerkiksi netistä käsin. Lisäksi kannattaa muistaa, että esimerkiksi USB-muistitikut ja cdromit voivat nekin sisältää viruksia, joten...


Luultavaa on, että jo pian näemme tilanteen yleistyvän (joka jo tietääkseni eräissä tietoturvan kannalta kriittisissä yrityksissä on arkipäivää), että kokonaisia tietokoneita hävitetään ja korvataan tiheään tahtiin, koska niiden komponenttien turvallisuuteen ei voida luottaa, kiitos komponentteihin tarttuvien rootkit-ohjelmistojen. Tämän lisäksi tietokoneissa on virustentorjunnan lisäksi sitten tuntemattomien tiedostojen suorituksen estävät ohjelmat ynnä nuo laitepohjaiset järjestelmät, jotka automaattisesti palauttavat tietokoneen alkuperäiseen asuunsa jokaisen käynnistyksen yhteydessä. Tärkeimpänä suojaamistoimenpiteenä on kuitenkin kriittisissä järjestelmissä yhä fyysinen erottaminen internetistä ja kaikesta muustakin, jota kautta edes teoriassa voidaan koneelle tunkeutua. Pohjimmiltaan vain viimeksi mainittu antaa erinomaisen suojan haittaohjelmia vastaan, joskaan ei täydellistä, koska haittaohjelmat voivat kulkeutua koneelle vaikkapa USB-muistitikkujen ja romppujen kautta.

Tavallisen käyttäjän kannalta tilanne on kuitenkin yhä ongelmallinen. Takuuvarmaa suojaa ei ole, eikä toisaalta ole koskaan ollutkaan. Uusien, tässä esiteltyjen ohjelmistojen ja laitteiden käyttö ei ole aina helppoa, puhumattakaan jostain Knoppix-Linuxin käytöstä tai koneen fyysisestä irroitamisesta netistä. Käyttäjien on kuitenkin vähintäänkin tehostettava ohjelmistojensa päivittämistä ja varottava entistä enemmän erilaisten tiedostojen suorittamista tietokoneellaan, sekä harkittava vakaasti vähintäänkin koko kiintolevyn säännöllistä tarkistamista vaikkapa juurikin Avira Antivir Rescue System -ohjelmistolla. Muuten hukka perii entistäkin varmemmin.

Paras lääke Windowsin(kin) kaikkiin vaivoihin on kuitenkin yhä sama vanha, tuttu: Tärkeät dokumentit ja tiedostot talteen vaikkapa rompuille ja kaikki kiintolevyosiot ja sisällöt pyyhintään. Sitten osioidaan kiintolevy uudelleen, asennetaan koko Windows ja kaikki ohjelmistot uudelleen tietokoneeseen, sekä päivitetään ja säädetään viimeistä piirtoa myöden kuntoon. Niin ja uusitaan koko tietokone fyysisestikin aina muutaman vuoden välein, ihan vaan parempien tehojen vuoksi. ;)

(Tosiasiassa tietokonetta ei tarvitse vaihtaa uudemmaksi muutaman vuoden välein, jos optimoi tietokoneensa oikein, eikä tee sillä mitään kovin maagista kuten videoeditointia, huippuluokan räiskintäpelejä jne. Komponenteiltaankin vanha tietokone jaksaa pyöriä aivan loistavasti siihen tarkoitukseen, mihin suurinosa ihmisistä tietokoneita käyttää...)

Ei kommentteja: