Verkkorikos kannattaa
Lauri Suoranta • Piirros: Petri Rotsten
Verkkorikos kannattaa
Verkkorikollisista on tullut taitavia ammattilaisia, jotka ansaitsevat huomattavia summia. Haittaohjelmien nopea lisääntyminen ja monimutkaistuminen ovat saaneet myös tietoturvayhtiöt etsimään uusia vastalääkkeitä. Tulevaisuudessa nähdään yhä enemmän kohdennettuja hyökkäyksiä.
Vuosikymmenen alussa internetissä riehuivat laajaa huomiota herättäneet sähköpostimadot. Kukapa ei muistaisi saaneensa ainakin yhtä Loveletterin viestiä sähköpostiinsa.
Parina viime vuotena matoja ei ole nähty. ”Matoepidemiat lopahtivat Microsoftin parannettua ohjelmistojen turvallisuutta ja automatisoitua päivitysten jakelun. Muitakin tekijöitä toki on, esimerkiksi verkkotasolla tapahtuva suodatus”, arvioi F-Securen tietoturva-asiantuntija Erkki Mustonen. Hän veikkaa, ettei laajalle leviäviä verkkomatoja enää nähdä.
Matojen tilalle ovat tulleet troijalaisiksi kutsutut haittaohjelmat, jotka eivät automaattisesti levitä itseään. Äkkiseltään verkon turvallisuuden voisi arvella siis parantuneen, mutta tämä on virhepäätelmä.
Haitat kasvavat, torjunta vaikeutuu
Samalla kun haittaohjelmien levinneisyys on pienentynyt, toiminnallisesti ne ovat muuttuneet aiempaa paljon monimutkaisemmiksi ja vaarallisemmiksi. Vanhat virukset kiusasivat käyttäjää viesteillään ja enintään poistivat tiedostoja. Nykyiset troijalaiset varastavat salasanoja ja luottamuksellisia tiedostoja, kaappaavat verkkopankkien istuntoja sekä mahdollistavat tietokoneen valjastamisen rikolliseen toimintaan.
Näille haittaohjelmille on ominaista erinomainen kyky piiloutua käyttäjältä. Troijalainen voi majailla koneella useita kuukausia ilman havaittavaa muutosta. Tänä aikana se voi esimerkiksi lähettää roskapostia ja kerätä tietoja. Kun hyökkäys tavalla tai toisella paljastuu, vahingot voivat olla valtavia. Silloin haittaohjelman poistaminen on laiha lohtu.
Haittaohjelmien kirjoittajat vaikeuttavat tietoturvatalojen työtä usealla tavalla. Yksinkertaisin niistä on tuottaa valtava määrä muunnelmia uudesta haittaohjelmasta. ”Rikolliset yrittävät hukuttaa meidät moskaan. Pohjimmiltaan samasta haittaohjelmasta voidaan pakkaamalla ja kryptaamalla tehdä vaivattomasti muunnelmia, jotka vaativat uusia tunnisteita”, Mustonen sanoo.
F-Secure saa päivittäin noin 25 000 näytettä, joista noin puolet on uusia haittaohjelmia. Tällaisen näytetulvan käsittelyn mahdollistaa virtualisointiin perustuva automaattinen analyysijärjestelmä. Vain pieni osa näytteistä vaatii virustutkijan lähempää tarkastelua. ”Myös yhteistyöllä muiden valmistajien kanssa on tärkeä rooli. Vaihdamme näytteitä säännöllisesti, ja tutkimme omaa kokoelmaamme myös heidän tuotteillaan”, Mustonen lisää.
Toinen vakava ongelma on rootkit-tekniikoiden jatkuva kehittyminen. Niiden päämäärä on haittaohjelman sulauttaminen osaksi käyttöjärjestelmää siten, että sitä on mahdoton havaita tai poistaa saastumisen tapahduttua.
Asialla ammattirikolliset
Vielä muutamia vuosia sitten virusten kirjoittaminen oli nuorehkojen miesten harrastus, jolla he tavoittelivat huvia ja mainetta vertaistensa joukossa. Nykyisin verkkorikollisuus on ammattimaista toimintaa, jolla tavoitellaan taloudellista hyötyä. Rikolliset toimivat harvoin yksin, mutteivät välttämättä muodosta kiinteää organisaatiota. Tyypillisintä on alihankinnan kaltainen yhteistyö, jossa rikolliset ovat omaksuneet eri rooleja.
Taitava ohjelmoija voi kirjoittaa haittaohjelmia ja myydä niitä edelleen bot-verkon ylläpitäjälle. Ylläpitäjä puolestaan myy verkkonsa palveluja roskapostittajalle tai palvelunestohyökkäyksillä yrityksiä uhkaavalle kiristäjälle. Myös luottokortteja ja pankkitilejä kauppaavat tahot ovat taipuvaisia myymään tietonsa eteenpäin sen sijaan, että käyttäisivät niitä itse.
Nämä monimutkaiset ketjut tekevät rikosten selvittämisestä äärimmäisen vaikeaa, varsinkin kun syylliset voivat olla hajaantuneina eri puolille maailmaa. Monesti jäljet päättyvät maahan, jonka viranomaisilta puuttuu tahto, resurssit tai toimivalta tapausten selvittämiseen.
Erityisesti Kiinan, Etelä-Amerikan osien sekä entisen Neuvostoliiton tiedetään houkuttelevan verkkorikollisia. Suuri osa haittaohjelmista on yleisen käsityksen mukaan kirjoitettu Venäjällä, joskin niiden hyödyntäjät ovat levittäytyneet eri puolille maailmaa.
Koska kiinnijäämisen riski on vähäinen, verkkorikollisuus on varsin kannattavaa toimintaa. Potentiaalisten uhrien joukko on niin laaja, että se korvaa pienen onnistumisprosentin tai vähäisen yksikköhyödyn.
Klassinen esimerkki tästä suurten lukujen laista on roskapostittaja, joka lähettää ”tarjouksensa” kymmenelle miljoonalle käyttäjälle. Jos yksi käyttäjä kymmenestä tuhannesta tilaa rantarolexin tai haluaa parantaa ääreisverenkiertoaan, se tarkoittaa tuhatta asiakasta, joista jokainen voi tuottaa esimerkiksi kymmenen dollarin katteen.
Täsmätuholaiset listoille
Viestintäviraston Cert-fi-ryhmän keräämien tietojen perusteella tilanne Suomessa on sikäli hyvä, että bot-verkkoihin kuuluvia koneita on suhteessa hyvin vähän. Viranomaisten ja tietoturvayhtiöiden merkittävin huoli on kohdennettujen hyökkäysten määrän kasvaminen. Cert-fi-ryhmä raportoi toisessa neljännesvuosikatsauksessaan tapauksia todetun myös Suomessa.
Erityisen houkuttelevia uhreja kohdennetuille hyökkäyksille ovat pienet ja keskisuuret yritykset, joilla voi olla arvokasta tietoa järjestelmässään, mutta resurssipulan takia aukkoja suojauksessa. Näytön puuttuminen kotimaisista verkkorikollisista ei tarkoita, ettei heitä olisi. Yhtä lailla on mahdollista, että hyökkäykset kierrätetään esimerkiksi Venäjän kautta jälkien peittämiseksi.
Haittaohjelmien lisääntyminen on saanut tietoturvayhtiöt pohtimaan pääsylistojen (whitelist) käyttöä, mikä kääntää tähänastisen torjuntamallin päälaelleen. Haittaohjelmien tunnistamisen sijaan tunnistetaan turvalliset ohjelmistot, muiden suoritus estetään.
Toinen uusi torjuntakeino ovat online-tietokannat haittaohjelmista. Kohdatessaan vieraan tiedoston torjuntaohjelmisto voi lähettää sen ”sormenjäljet” valmistajan palvelimelle. Palvelin vastaa, onko kyseessä haittaohjelma vai turvallinen tiedosto. Tarvittaessa ohjelman käyttäytymistä voidaan tutkia heuristisesti.
Erkki Mustonen uskoo haittaohjelmien leviävän myös yhteisöpalveluihin. Esimerkiksi Facebookin ohjelmointirajapinta on kyllin monipuolinen haittaohjelmien luomiseen. ”Jos haittaohjelma ei ole lainkaan käyttäjän tietokoneella, miten havaitsemme sen? Palvelujen ylläpitäjien on jatkossa kiinnitettävä lisää huomiota tietoturvaan”, Mustonen pohtii.
Krp: Uhrin ei pidä vaieta
Ylitarkastaja Sari Kajantie keskusrikospoliisista kertoo, miten verkkorikoksia tutkitaan.
Kuka poliisissa tutkii verkkorikoksia?
Suurimman osan verkkorikoksista tutkivat paikallispoliisin asiaan erikoistuneet tutkijat. Krp osallistuu tutkintaan, jos rikokseen kuuluu piirteitä, joihin ei olla aiemmin törmätty.
Montako verkkorikosta poliisi tutkii vuosittain?
Tätä ei valitettavasti vielä tiedetä, koska rikostilastot kerätään rikosnimikkeittäin. Tietoverkkoihin kohdistuvilla rikoksilla ei ole omia nimikkeitä. Tietoa aletaan saada uuden tilastointitavan myötä.
Onko verkkorikollisuus yhteydessä muihin rikollisuuden lajeihin?
Verkkoa käytetään monesti apuna esimerkiksi maksuvälinerikoksissa, joten tässä suhteessa yhteyksiä on. Toisaalta päätoimiset verkkorikolliset ovat ilmeisesti melko lailla oma ryhmänsä. Heidän yhteyksistään järjestäytyneeseen rikollisuuteen ei ole näyttöä.
Kuinka hyvin yhteistyö muiden maiden poliisiviranomaisten kanssa toimii?
Rikosten jäljet johtavat käytännössä aina ulkomaille, joten kansainvälinen yhteistyö on hyvin tärkeää. Henkilötasolla yhteistyö toimiikin erinomaisesti. Kehitettävää olisi ennen kaikkea oikeusapumenettelyssä, jota edellytetään tietojen vaihtamisessa muiden maiden viranomaisten kanssa. Menettely on laadittu talousrikosten tutkintaa ajatellen, eikä enää vastaa kaikkia tarpeitamme.
Antaako lainsäädäntö poliisille muilta osin riittävät edellytykset rikostutkintaan?
Lainsäädännössä on viime vuosina tapahtunut paljon myönteistä kehitystä. Esimerkiksi harmaata aluetta ei ole siinä, mikä on laitonta. Ongelmia on vielä viestinnän suojaa koskevassa lainsäädännössä, joka ei anna edellytyksiä tutkia esimerkiksi bot-verkkojen sisäistä viestintää.
Ymmärtääkö verkkorikoksen kohde olevansa uhri?
Valitettavasti it-piireissä on yhä vähättelevää suhtautumista verkkorikoksiin. Uhriksi joutumista voidaan pitää omana epäonnistumisena. Osittain tästä syystä melko pieni osa rikoksista tulee poliisin tietoon. Asenteiden pitää yhä muuttua.
Miten yrityksen tulee toimia, jos se epäilee että sen tietojärjestelmään on murtauduttu?
Heti alussa kannattaa ottaa yhteys paikalliseen poliisiin ja laatia tapauksen luonteesta riippuen rikosilmoitus tai tutkintapyyntö. Mahdollisen aukon tukkimiseen ensiapu voi olla vaikka verkkoyhteyden fyysinen katkaiseminen. Lisäksi on erityisesti kiinnitettävä huomiota siihen, että kaikki lokitiedostot saadaan talteen. Ne ovat tutkinnan kannalta erittäin tärkeitä.
Onko koneeni zombi?
Bot-verkkoon kuuluvia kaapattuja tietokoneita kutsutaan yleisnimellä zombi. Verkon ylläpitäjä eli herder etäohjaa zombi-konetta internetin välityksellä ja kykenee tekemään koneella käytännössä kaikkea mitä osaava käyttäjä näppäimistön ääressä. Suurimpia bot-verkkoja ovat Storm-, Kraken- ja Srizbi-haittaohjelmien verkot. Kuhunkin niistä arvioidaan kuuluvan muutamia satoja tuhansia koneita.
Haittaohjelmat ovat periaatteessa ”lihaa ja verta” siinä missä kaikki muutkin ohjelmistot. Ne luovat omia tiedostojaan, prosesseja sekä yleensä avaavat tcp-portteja etähallintaa tai leviämistä varten. Ongelmana ovat rootkit-tekniikat, joita haittaohjelmat hyödyntävät piiloutuakseen käyttäjältä ja torjuntaohjelmistoilta. Rootkitit tulivat tunnetuiksi alkujaan kopiosuojausten yhteydessä. Sittemmin kaupalliset tahot ovat onneksi luopuneet niiden käytöstä.
Hankalimpia tapauksia ovat niin sanotut kernel-tilan rootkitit. Ne toimivat Windowsin ytimen tasolla estäen esimerkiksi torjuntaohjelmistoja havaitsemasta saastumisen merkkejä. Näillä rootkiteillä on kuitenkin eräs heikkous: ohjelmointivirheiden takia niillä on taipumus kaataa Windows ”siniseen ruutuun”. Äkillinen siniruutujen lisääntyminen voi olla merkki haittaohjelmasta, vaikka myös ongelmat laiteajurien kanssa aiheuttavat niitä.
Rootkittien havaitsemiseen on muutamia tehokkaita työkaluja kuten Microsoftin Rootkit Revealer ja F-Secure Blacklight. Valitettavasti haittaohjelmien tekijät ovat ennättäneet edelle. Kesällä löydettiin Mebroot-troijalainen, joka piiloutuu tietokoneen pääkäynnistyslohkoon ja käynnistyy siten ennen käyttöjärjestelmää. Tällaisen uhan havaitseminen on teknisesti hyvin vaikeaa, joskin useimmat antivirus-valmistajat ilmoittavat siihen jo pystyvänsä.
Koska haittaohjelmat kehittyvät ja niiden määrä kasvaa voimakkaasti, torjuntaohjelmistojen tehoon ei voida täysin luottaa. Siksi on erittäin tärkeää, että kaikki suoritettava ohjelmakoodi tulee luotettavista lähteistä. Mikäli koneen epäillään saastuneen, Windowsin uudelleenasennus puhtaasta levykuvasta on varmin hoitokeino. Käyttäjän tiedostojen varmuuskopiointi sujuu tällaisessa tilanteessa kätevästi esimerkiksi käynnistämällä tietokone Linux-cd:ltä.
