9. kesäkuuta 2009

Virustentorjunta tarpeeton?

Miten joku kehtaa edes kyseenalaistaa moista perusasiaa tietoturvasta? Törkeää, eikö totta? Juuri meille on saatu taottua päähän vuosikymmenen opettelun jälkeen, että kotikäyttäjän tietoturvassa on muutama tärkeä osatekijä: Päivitykset, palomuurit, virustentorjunta ja "älä avaa tiedostoa, jonka turvallisuudesta et voi olla varma".

Olen ehkä hieman kyyninen tai sitten vaan realisti, päätelkää itse. Ajatellaampa näet nykyistä uhkatilannetta kotikäyttäjän osalta hieman tarkemmin ja mietitään hetki, miten virustentorjunta oikeastaan soveltuu siihen.
  • Surffaat nettisivulla ja lataat epäturvallisen tiedoston, jonka menet suorittamaan. Virustentorjunta pelastaa? Tuskin, koska virustentorjunta ei löydä kaikkia haittaohjelmia, ei varsinkaan uusimpia, niitä tulee jatkuvasti yksinkertaisesti liikaa. Toisekseen, miksi alunperin menit ja latasit mokoman epäturvallisen ohjelman? Vaikkei se olisi edes haittaohjelma, se voi silti sekoittaa tietokoneesi. Jos et perusasioitakaan hallitse, ei mikään ohjelma sinun tietokonettasi voi turvata kuitenkaan!

  • Tietokoneesi jossain ohjelmassa, ehkä käyttöjärjestelmässä jopa, on nollapäivän aukko, josta haittaohjelma pullahtaa koneellesi. Virustentorjunta pelastaa? Tuskin, koska luultavasti ensimmäinen asia, mitä aukosta putkahtaa on käsky sammuttaa virustentorjunta, sen jälkeen sisälle änkeää luultavasti taitavasti piiloitettu haittaohjelma, luultavasti niin uusi sekin, ettei virustentorjunta sitä löydä vaikka se vielä päällä olisikin.

  • Ajat skannauksen tietokoneellasi ja huomaat, että tietokoneestasi löytyy haittaohjelmia. Virustentorjuntako sinut nyt pelasti? Ehei, jos virustentorjuntasi olisi toiminut, haittaohjelmat eivät olisi alunperinkään päässeet koneellesi. No, sitäkään se ei tee kovin tehokkaasti, kuten edellä totesin, mutta siis periaatteessa. Lisäksi, virustentorjuntaohjelma voi löytää vain ne haittaohjelmat, jotka se, yllätysyllätys, löytää. Käyttöjärjestelmäsi voidaan kaapata rootkit-ohjelmistoilla niin totaalisesti haltuun, ettei siinä ajettava virustentorjuntaohjelma löydä millään pääsyyllistä. Seurauksena on, että vaikka puhdistat koneesi, niin tovin päästä "löydät" sieltä taas jotain haittaohjelmia...tietenkin, kun niitä tulee sinulle näkymättömästä aukosta koko ajan lisää koneellesi.
Kuten voi jo päätellä, virustentorjunta, joka istuu koneessasi ja skannailee tiedostojasi, ei välttämättä auta juuri mitään. Missään tapauksessa et voi kuitenkaan edes kovin paljon luottaa siihen, että jos taustalla pyörivä virustentorjuntasi ei löydä haittaohjelmia, niitä ei koneellasi ole. Korkeintaan voit saada siitä jotain vinkkejä, mutta osaatko tulkita niitä oikein?

Toisaalta, jos toimit turvallisesti tietokoneellasi, niin luultavasti et muutoinkaan saa haittaohjelmia tietokoneellesi. Erittäin tärkeää on pitää päivitykset kunnossa. Palomuuraus on jo aika itsestään selvää kauraa ja Windows XP:ssä on onneksi kelvollinen palomuuri. Kaikkein tärkeintä kuitenkin on, ettei ikinä lataa ja availe sellaisia tiedostoja, joiden turvallisuudesta ei voi olla varma. Luulo ei riitä, pitää todellakin tietää. Suurta varovarovaisuutta on etenkin käytettävä kaikkien .exe, .cmd, .bat, .scr, .msi ja muiden suoritettavien tiedostojen suhteen, mutta, haavoittuvuudet ja haittaohjelmat voivat vaania myös muissa tiedostotyypeissä. Kuten sanoin, jos perusasiat kuten tämä eivät ole kunnossa, mikään ohjelma ei sinua pelasta kuitenkaan.

Anekdoottina todettakoot, että minä en edes muista, että virustentorjunnasta olisi ollut minulle mitään hyötyä, koska milloinkaan se ei ole löytänyt mitään haittaohjelmaa, jonka minä olisi ollut avaamassa ja jolla olisin siis voinut tietokoneeni saastuttaa. Toisaalta, jos sellainen hetki tulisi, että löytäisin haittaohjelmia tietokoneeltani, en kuitenkaan luottaisi siihen, että kaikki haittaohjelmat on nyt löydetty, vaan tyhjentäisin koneen ja asentaisin kaikki uudelleen.

Täysi tyhjennys? Hetkonen, mitä? Miksi?

Täydellä tyhjennyksellä tarkoitan sitä, että tietokone ihan ensiksi irroitetaan fyysisesti netistä. Sitten kaikki tietokoneessa olevat tärkeät tiedostot kuten omat dokumentit, kuvat, sähköpostit ja sen semmoiset otetaan talteen turvalliseen paikkaan (muistitikulle tai poltetaan rompulle tms.). Sitten tietokone käynnistetään asennusrompulta ja koko järjestelmäosio - tai varmuuden maksimoimiseksi kaikki kiintolevyosiot, alustetaan ja käyttöjärjestelmä ja ohjelmat asennetaan kokonaan uudelleen. Tämän jälkeen laitetaan asetukset turvallisiksi, liitytään fyysisesti takaisin nettiin ja päivitetään tietokone. Vasta sitten palautetaan varmuuskopiot, mutta kuitenkin siten, että ei sallita autorun-toimintoa lainkaan, jotteivat mahdollisesti varmuuskopiomedioihin tallentuneet haittaohjelmat pääse taas tietokonetta saastuttamaan.

Täysi tyhjennys on ainoa varma tapa huolehtia siitä, että kaikki haittaohjelmat - mukaanlukien rootkit-ohjelmat, tuhoutuvat ja tietokone on varmuudella puhdas. Kun kaikki kiintolevyllä tyhjentyy pois ja kiintolevy käynnistyssektoria myöden kirjoitetaan uusiksi asennusrompulta käsin, niin haittaohjelmien on täysin mahdotonta pesiytyä mihinkään niin, että ne käynnistyisivät tietokoneen mukana. Tietysti, onhan mahdollista, että mikäli et alustanut kaikkia levyosioita, haittaohjelmia piileskelee vielä siellä ja ne voivat aktivoitua, jos suoritat siellä olevia haittaohjelmia sisältäviä tiedostoja.

Kahdessa kiintolevyosiossa on tämä erinomainen ominaisuus, että voit käyttää ensimmäistä, pienempää osiota (vaikka 20Gt) käyttöjärjestelmälle ja ohjelmille ja sitten toista, suurempaa osiota omille tiedostoillesi. Näin ollen, jos ja kun sinun pitää asentaa käyttöjärjestelmäsi uudelleen joskus, sinun omat tiedostosi ovat turvassa toisella levyosiolla ja riittää, kun alustat ensimmäisen levyosion uudelleenasennuksen yhteydessä.

Teoriassa täyden tyhjennyksen jälkeen haittaohjelmat voivat piileskellä vielä tietokoneen komponenteissa, kuten Biossissa, mutta tuollaiset haittaohjelmat ovat jo hyvin erikoisia. Toivon mukaan tavallisilla käyttäjillä ei vielä toviin ole niistä pelkoa. Periaatteessa voit vielä uskoa olevasi turvassa, kun teet täyden tyhjennyksen tietokoneellesi.

Täyden tyhjennyksen yksi vaihtoehto, ei mitenkään yhtä luotettava, tietenkään, mutta tehokas varmistuskeino silti, on tietokoneen kiintolevyjen tarkistaminen virustentorjuntaohjelmalla - ilman, että virustentorjuntaohjelmaa ajetaan tarkastettavan tietokoneen käyttöjärjestelmästä käsin. Rautalankana väännettynä tämä tarkoittaa, että tietokoneen X kiintolevyt otetaan koneesta irti ja liitetään ja tarkastetaan tietokoneella Y...tai vaihtoehtoisesti tietokone X käynnistetään vaikkapa cd-levyltä, jolta suoritetaan kiintolevyjen tarkistus virustentorjuntaohjelmistolla.

Tämän tyyppinen tarkistus on tehokas siksi, että mikäli tietokoneessa X on rootkit-ohjelmisto, se ei aktivoidu peittämään omaa olemassaoloaan, koska tietokoneen X käyttöjärjestelmää ei käynnistetä lainkaan. Tietokoneen X kiintolevy on siis täysin avoimena ja kaikki sen tiedostot ovat varmuudella luettavissa virustentarkastusohjelmalla. Tietenkin yhä ongelmana se, ettei virustentorjuntaohjelmisto välttämättä löydä kaikkia haittaohjelmia, mutta tämä tarkistusmuoto on ehkä eräällä tapaa hyvä "testaus" ja varmistus sille, että kone on todellakin puhdas. Yksi erittäin hyvä ja ilmainen ohjelma juurikin tähän tarkoitukseen on Avira Antivir Rescue System. Kokeilkaa pahuuttanne, löytyykö sillä tietokoneeltanne haittaohjelmia...

Mutta niin, takaisin itse aiheeseen... :)

Sanoisin, että virustentorjunnan tehoa liioitellaan melkoisesti. Virustentorjuntaan, varsinkaan sellaiseen, joka pyörii siinä kiintolevyssä ja siinä tietokoneessa, jota sen pitäisi suojella, ei kannata kovin paljon kuitenkaan luottaa. Turvallisuus tulee joka tapauksessa aivan jostain muualta kuin virustentorjunnasta.

Virustentorjunta toimii nähdäkseni parhaiten silloin, kun sitä käytetään varmistamaan, että kaikki toimii kuten pitääkin. Kun silloin tällöin tietokoneen kiintolevyt todellakin skannataan ulkopuolelta käsin (toisen tietokoneen tai rompulta käynnistämisen kautta) ja voidaan huomata, että ohjelma ei mitään haittaohjelmia löydä, voidaan huokaista helpotuksesta.

Onko virustentorjunnasta sitten haittaa? Tuskin kovinkaan paljon. Itse tosin huomaan, että toisinaan virustentorjunta hidastaa tiedostojen lataamista tietokoneelle. Mitä hitaampi tietokone, sitä ärsyttävämmäksi tuo aika tietysti venyy ja virustentorjuntaohjelmissakin on tietysti valtavia eroja nopeuden suhteen. Virustentorjuntaohjelmia saa ilmaiseksi, kuten avast! virustentorjuntaohjelman, joten hinta ei voi olla kriteerinä.

Tietokoneelle voi asentaa monia muitakin ohjelmia, jotka parantavat turvallisuutta, kuin virustentorjuntaohjelman. Jokainen ohjelma lisää vaatii kuitenkin lisää opettelua ja huolellista käyttöä sekä tietysti päivittämistä. Jokainen ohjelma lisää voi aiheuttaa ongelmia ja hidastaa tietokonetta. Mikä ohjelma sitten antaa eniten suojaa mahdollisimman helposti tietokoneenkäyttäjälle? Se onkin sitten toinen asia. Ainakin kannettavien tietokoneiden omistajat hyötyisivät virustentorjuntaohjelman sijaan paljon enemmän, jos salaisivat koko kiintolevynsä vaikka Truecryptillä, ihan vaan varkauden varalta. Vertaisverkkojen käyttäjien turvallisuus paranisi virustentorjuntaa enemmän, jos käyttäisivät PeerGuardian 2 -ohjelmaa ja niin edelleen.

Paras turvallisuutta parantava asia on ja pysyy kuitenkin samana: Pidä riittävät varmuuskopiot turvallisessa paikassa pahan päivän varalta! Käyttöjärjestelmiä ja ohjelmia ja tietokoneitakin saa uusia, mutta omat tiedostosi - jos ne kerran tuhoutuvat niin niitä et saa mistään uusia.

13 kommenttia:

Anonyymi kirjoitti...

"tehokas varmistuskeino silti, on tietokoneen kiintolevyjen tarkistaminen virustentorjuntaohjelmalla - ilman, että virustentorjuntaohjelmaa ajetaan tarkastettavan tietokoneen käyttöjärjestelmästä käsin."

Toisaalta on paljon viruksia, jotka on mahdollista löytää vain,jos tarkastettavan levyn käyttöjärjestelmä on aktiivisena. Monet virukset piileskelevät erilaisissa käyttiksen väliaikaisissa yms. pakatuissa tiedostoissa (siis sellaisissa joita virustorjuntaohjelmat eivät pysty tutkimaan).


Viruksista ei oikeastaan olisi juuri mitään haittaa elleivät ne kaappaisi salasanoja. Varmuuskopiot tärkeistä tiedostoista on helppo pitää turvassa. Käyttiksen voi myös vaivatta asentaa uudelleen, jos on tallentanut käyttisosiosta imagen.

Markus Jansson kirjoitti...

> on mahdollista löytää
> vain,jos tarkastettavan
> levyn käyttöjärjestelmä
> on aktiivisena

Ei pidä paikkaansa.


> Monet virukset
> piileskelevät erilaisissa
> käyttiksen väliaikaisissa
> yms. pakatuissa
> tiedostoissa (siis
> sellaisissa joita
> virustorjuntaohjelmat
> eivät pysty tutkimaan).

Tietysti virustentorjuntaohjelmat pystyvät niitä tutkimaan kun käyttöjärjestelmä ei ole päällä. Jostain sen viruksen pitää myös luoda noita tiedostoja, usein on niin, että varsinainen virus on piilossa ja luo kopioita itsestään tai ominaisuuksista (takaportit jne.) näkyviin.

Anonyymi kirjoitti...

Ilkka Ahmavaara says:

Oikeastaan voitaisiin jo lopettaa puhuminen viruksista, haittaohjelmista ja ties mistä, ja puhua suoraan tietovuodosta, että tietokoneet yksinkertaisesti vain vuotavat enemmän tai vähemmän, mutta vuotavat jokatapauksessa ja että asia on vakava monessa mielessä.

ilaiho kirjoitti...

Onkohan tuo palomuurikaan niin hirveän tehokas suoja? Jos mitään palveluja ei ole auki, se ei tee mitään. Jos jotain palveluja on auki, se estää niiden toiminnan.

Jotkut palomuurit tosin osaavat kysyä käyttäjältä jokaisesta sovelluksesta, joka yrittää käyttää verkkoa. Mahtaakohan sekään auttaa, mikäli haittaohjelma käyttää vaikka järjestelmän komentorivi-FTP:tä tiedostojen vuotamiseen...

Markus Jansson kirjoitti...

> Jos mitään palveluja ei
> ole auki, se ei tee
> mitään.

Paitsi suojaa käyttöjärjestelmän / protokollatason aukoilta. Okei, niitä on aika vähän ja toki voihan palomuurissakin olla aukkoja.


> Jos jotain palveluja on
> auki, se estää niiden
> toiminnan.

Jep, tosin useinmiten nuo palvelut ovat auki ilman järkevää tarkoitusta, joten hyväkin, että menevät kiinni.

Juha Pätsi kirjoitti...

Nuo Markuksen mainitsemat "vaaralliset" tiedostot ovat tuntemattomia Mac OS X:ää tai Linuxia käyttävälle, mutta ei sitä eletä tietenkään lintukodossa Mac- tai Linux-yhteisöissäkään, vaan mahdollisista uhkista tieto leviää yhteisössä tulipaloakin nopeammin. Mutta Mac- ja Linux-yhteisöissä katsomme noiden ns."tietoturva-ohjelmistojen" olevan tyhmälle marketti-PC:tä hakevalle tarkoitettua myyntiä.

Jotain outoa näissä järjestelmissä kuitenkin on: työpaikallani en uskalla hoitaa henkilökohtaisia asioitani Win PC:llä vaikka siinä on kaikki mahdolliset virustutkat, vaan hoidan ne kotona joko Mac OS X:llä tai Yellow Dog Linuxilla!

ilaiho kirjoitti...

Kyllä niitä troijalaisia on ollut Mac OS X:llekin, joten ei kannata ihan mitä sattuu asennella sillekään.

Anonyymi kirjoitti...

"Jotain outoa näissä järjestelmissä kuitenkin on: työpaikallani en uskalla hoitaa henkilökohtaisia asioitani Win PC:llä vaikka siinä on kaikki mahdolliset virustutkat"

Se, että sinä et itse usaklla hoitaa muun muassa pankkiasioitasi Windows-koneella ei ole mikään todiste, että niissä olisi jotain outoa.

Anonyymi kirjoitti...

PeerGuardian on kyllä aika turha ohjelma. Ei ne tekijänoikeusrikkomuksia tutkivat firmat sentään niin tyhmiä ole kuin asianajajat ja levy-yhtiöiden yms. edustajat. Varmasti käyttävät dynaamisesti vaihtuvaa IP-osoitetta ja tutkivat koko ajan, että onko heidän IP blokattu.

Kaiken lisäksi on hyvin todennäköistä, että PeerGuardian ohjelman käyttäjät jäävät muita helpommin kiinni. Jos mietitään ketkä PeerGuardiania käyttävät, niin ne warettavat keskimäärin muita enemmän. Tottakai silloin tekijänoikeusrikoksia tutkivat firmat keskittyvät heidän kiinni saamiseen. Koska PeerGuardian blokkaa IP-osoitteita, niin sen käyttäjät on naurettavan helppo paljastaa p2p-verkoista. Helpompaa kuin heinänteko.

Markus Jansson kirjoitti...

> Koska PeerGuardian blokkaa
> IP-osoitteita, niin sen
> käyttäjät on naurettavan
> helppo paljastaa
> p2p-verkoista.

Aijaa, MITEN MUKA?
Ei mitenkään. Toinen osapuoli vain saa viestin, että yhteys ei nyt onnistu. Syystä ei voi tietää mitään.

Anonyymi kirjoitti...

>> Koska PeerGuardian blokkaa
>> IP-osoitteita, niin sen
>> käyttäjät on naurettavan
>> helppo paljastaa
>> p2p-verkoista.

> Aijaa, MITEN MUKA?
> Ei mitenkään. Toinen osapuoli
> vain saa viestin, että yhteys ei
> nyt onnistu. Syystä ei voi
> tietää mitään.

Ensinnä antipiratismifirma yrittää ottaa käyttäjiin yhteyttä blokatusta IP:stä (listathan ovat julkisia) sen jälkeen sellaisesta IP-osoitteesta joka ei ole blokattu.

Jos toisen IP-osoitteen kautta saadaan yhteys ja toisen osoitteen kautta ei, niin käyttäjällä on erittäin suurella todennäköisyydellä PeerGuardian tai muu IP-blokkeri.

Todennäköisyyden kasvattamiseksi yhteyttä voidaan testata useammasta blokatusta ja ei-blokatusta IP:stä.

Tietysti, jos johonkin käyttäjään ei saada mistään IP-osoitteesta yhteyttä, niin se jää ratkaisemattomaksi tapaukseksi. Toisaalta sellaiset warettajat ei kyllä ihan hirveästi pysty latailemaan tiedostoja

Markus Jansson kirjoitti...

> Jos toisen IP-osoitteen
> kautta saadaan yhteys ja
> toisen osoitteen kautta
> ei, niin käyttäjällä on
> erittäin suurella
> todennäköisyydellä
> PeerGuardian

Ja tämä todistaa...mitä? Ei mitään. Tarvitaan todisteita laittomasti jaettavista tiedostoista. Niitä pyritään hankkimaan skannailemalla vertaisverkkoja ja noita PeerGuardin tehokkaasti estää, koska se blokkaa juurikin niitä IP-osoitteita, joita nämä firmat käyttävät noihin skannauksiinsa.

Anonyymi kirjoitti...

"Tarvitaan todisteita laittomasti jaettavista tiedostoista. Niitä pyritään hankkimaan skannailemalla vertaisverkkoja ja noita PeerGuardin tehokkaasti estää, koska se blokkaa juurikin niitä IP-osoitteita, joita nämä firmat käyttävät noihin skannauksiinsa."

Firmoilla on myös käytössään dynaamisia IP-osoitteita, joita ei ole blokattu. He pystyvät itse katsomaan blokkilistasta onko heidän IP:nsä blokattu vai ei. Sitten tarvittaessa voivat hankkia uuden osoitteen ja kerätä valtavan suuren määrän todisteita ennen kuin heidän IP:nsä blokataan.

Myönnän tosin sen, että ainakin toistaikseksi PeerGuardianista on hyötyä, koska on niin paljon niitä, jotka eivät sitä käytä. Tulee huomattavasti halvemmaksi metsästää suojautumattomia käyttäjiä. Tilanne varmasti muuttuu, jos suuri enemmistö alkaa käyttämään kyseisiä ohjelmia.