Alasti verkossa
Tero Lehto • piirros: Petri Rotsten
Suuri osa niin kotien kuin yritystenkin koneista on edelleen vailla kriittisiä päivityksiä ja tietoturvaohjelmia. Selvitimme, mitä tapahtuu Windows-koneelle, jota ei ole suojattu tämän päivän vaatimusten mukaisesti.
Windowsin tietoturva on torjunta- ja haittaohjelmien kehittäjien jatkuva kilpajuoksu. Kun järjestelmästä löytyy uusi haavoittuvuus tai sen kautta päästään muulla tavoin käsiksi ihmisten tiedostoihin, on korjauksille aikaa tyypillisesti päivä tai pari, ennen kuin uutta hyökkäystapaa hyödynnetään aktiivisesti.
Vaikka haittaohjelmat ja virukset nousevat ajoittain jopa valtakunnan uutisiin, arvioidaan suuren osan kotikoneista olevan edelleen täysin päivittämättömiä tai suojaamattomia. Ihmiset eivät usko oman koneensa kiinnostavan rikollisia tai näe uhkia realistisina.
Haittaohjelmien torjuntaa käsittelevässä artikkelissamme (Tietokone 4/2005) totesimme, että urkintaohjelmia ja muuta koneen toimintaa haittaavaa tarttuu tavanomaisessa käytössä koneeseen satoja, vaikkei erityisesti vierailisi epämääräisillä sivuilla. Tutkimme nyt, miten nopeasti passiivinen kone saastuu.
Haittaohjelmia tuutin täydeltä
Haittaohjelmien arviointia vaikeuttaa se, että ohjelmat sekoittavat tavalliset evästeet haitallisimpiin koodinpätkiin. Tämän takia aloitimme selvityksen jättämällä päivittämättömän Windows XP:n verkkoon yksinään ilman, että koneella surffattiin tai avattiin itse yhteyksiä minnekään. Hypoteesi oli, että koneeseen pyrkisi aktiivisesti muutamia vihulaisia.
Lopputulos oli kuitenkin aivan toista suuruusluokkaa. Päivittämätön mikro kerää urkintaohjelmia, troijalaisia ja muuta haittaa useiden kymmenien sovellusten päivävauhdilla. Verkkoliikenne pysyi jatkuvasti sadoissa kilobiteissä sekunnissa eli käytti koko tyypillisen perustason laajakaistaliittymän kapasiteetin.
Haittaohjelmat käyttävät hyväkseen Windows XP:n tunnettuja haavoittuvuuksia ja muutamia avoimia portteja. Ohjelmat etsivät aktiivisesti internetistä avoimia koneita. Kun yksi ohjelma pääsee sisään, se yleensä hakee lisää palikoita seurakseen.
Suojatta verkkoon jätetty Windows XP -työasema houkutteli vuorokaudessa muutamia kymmeniä haittaohjelmia. Neljän vuorokauden kuluttua määrä oli kasvanut useilla kymmenillä. Esimerkiksi Internet Explorer -selain availi jo itsekseen eri web-sivuja, joiden kautta koneelle pyrki lisää ohjelmia. Käynnissä olevien prosessien määrä kasvoi Windowsin puhtaan asennuksen alle 20 prosessista liki sataan.
Kun tällaisia taudinpesiä kulkeutuu loman jälkeen kodeista työpaikan verkkoon, ovat katastrofin aineet kasassa.
Ensin suojat, sitten verkkoon
Helpoiten tietoturvan saa ajan tasalle kaupallisilla tietoturvapaketeilla, joissa on helppokäyttöinen käyttöliittymä ja selkeät ohjeet. Saatavana on kuitenkin myös ilmaisohjelmia, joilla saa automaattisesti päivittyvän virustorjunnan ja ohjelmallisen palomuurin. Jokin ohjelma kuitenkin tarvitaan, sillä vanhat Windowsit houkuttelevat pöpöjä kuin lomapäivät sadepilviä.
Uuden mikron tai yleensäkin vasta asennetun Windowsin hallittu käyttöönotto edellyttää, ettei koneelle avata pääsyä internetiin, ennen kuin välttämättömät valmistelut on tehty. Tärkeintä on, että käyttöjärjestelmän mukana tuleva tai erikseen asennettava ohjelmallinen palomuuri on käytössä, sillä se torjuu valtaosan haittaohjelmista alkuunsa.
Tämän jälkeen koneelle voidaan avata verkkoyhteys, ja tällöin välittömästi haetaan kriittiset päivitykset. Arkipäiväisessä käytössä Windowsiin ei ole syytä kirjautua ylläpitäjän (administrator) käyttöoikeuksilla.
Windows XP SP2 korjaa paljon
Windows XP:n toinen korjauspaketti, Service pack 2, parantaa ohjelmallista palomuuria niin paljon, että se torjuisi useimmat nyt koneelle päässeistä haittaohjelmista.
Microsoftin mukaan yhtiö on jakanut SP2-pakettia lehtien, uusien koneiden ja muiden jakelutapojen kautta yli 900000:een suomenkielisen käyttöjärjestelmän koneeseen. Kansainvälisesti arviot SP2-päivityksen perillemenosta vaihtelevat 25 ja 60 prosentin välillä. Joidenkin selvitysten mukaan yritykset ovat siirtyneet SP2:een kotikäyttäjiä hitaammin, koska päivityksen hallittu asennus ja yhteensopivuustestaus ovat osoittautuneet odotettua hitaammiksi.
Suomenkielisen SP2:n julkistuksen aikoihin Microsoft kertoi tavoitteekseen saada päivitys 75 prosenttiin työasemista yhdeksän kuukauden kuluessa. Yhtiön mukaan tällä hetkellä näyttää siltä, että tavoite saavutetaan ja jopa ylitetään.
Microsoftia on arvosteltu siitä, ettei päivityksiä anneta enää piraatti-Windowsien käyttäjille, mikä taas vaarantaa myös maksavien asiakkaiden tietoturvan. Suomen Microsoftin tietoturvajohtaja Kimmo Bergius kiistää tämän. Hänen mukaansa asia on uutisoitu ja tulkittu laajasti väärin, koska yhtiö tarjoaa edelleen kaikkiin Windowseihin automaattipäivitykset, jotka sisältävät aina korjaukset kriittisiin haavoittuvuuksiin.
Bergiuksen mukaan piraattikäyttäjiltä on sen sijaan estetty pääsy Windows Updateen, koska siellä tarjotaan huoltopäivitysten lisäksi myös ajureita, uusia ominaisuuksia Windowsiin ja muita maksavien asiakkaiden etuja.
Vanhat Windowsit heikoilla
Microsoftilla ja tietoturvayhtiöillä on ohjeet päivitysten asentamista varten. Peruslähtökohta on se, että palomuurin on oltava päällä, ennen kuin koneella lähdetään edes hakemaan Windows-päivityksiä, jos halutaan välttyä haittaohjelmilta. Hyvä on, jos esimerkiksi XP:n Service pack 2 voidaan asentaa cd-levyltä, ennen kuin konetta kytketään lainkaan verkkoon.
Muiden Windowsien kanssa tilanne on heikompi, koska ohjelmallista palomuuria ei käyttöjärjestelmän mukana ole lainkaan. Windows 2000:n palomuuri taas on hyvin vaikeaselkoinen, eikä se ole oletuksena koskaan päällä.
Muiden kuin Windows XP:n käyttäjien on pakko hankkia jokin automaattisesti päivittyvä palomuuri- ja virustorjuntapaketti, jos mielivät pitää koneensa suojassa haittaohjelmilta. Kodeissa edelleen jonkin verran käytetyt Windows 95, 98 ja Me on luotu arkkitehtuuriltaan kymmenen vuotta sitten, jolloin internetin haittaohjelmista ja muista uhista ei ollut tietoakaan. Käyttöjärjestelmät eivät yksinkertaisesti vastaa tämän päivän turvavaatimuksia.
Koneesta mehut pois
Sen lisäksi, että haittaohjelmat vaarantavat oman ja muiden koneiden tietoturvan, ne laskevat suorituskykyä merkittävästi. Testissämme ensimmäisen neljän päivän aikana koneelle tunkeutuneet sovellukset kuormittivat konetta lähes saman verran kuin esimerkiksi jatkuva mp3-musiikin kuuntelu.
Suorituskyvyn menetystä ei välttämättä huomaa tehokkaalla koneella, mutta vaikutus tulee selvästi esille, kun koneella ei samaan aikaan tehdä muuta. Windowsin tehtävänhallinnan mukaan haittaohjelmien suoritinajan kulutus vaihteli 30–100 prosentin välillä.
Kiinnostava havainto oli, että kun verkkoyhteys katkaistiin fyysisesti irrottamalla verkkokaapeli tai ottamalla verkkokortti pois käytöstä, ohjelmat lisäsivät tehoaan. Ne ilmeisesti etsivät vaihtoehtoisia yhteystapoja. Jokin sovellus yritti muodostaa nettiyhteyden vaihtoehtoiseksi määritetyn matkapuhelimen bluetooth-soittosarjan kautta. Tämä kuvastaa sitä, että ohjelmien kehittäjät ovat hyvin perillä esimerkiksi kannettavien tietokoneiden käyttäjistä. Jos nettiin ei pääse lähiverkon tai laajakaistaliittymän kautta, voi jokin langaton yhteys olla määritettynä toissijaiseksi yhteystavaksi.
Päätön surffailu kostautuu
Kaikkia haittaohjelmia ei voi välttää millään tietoturvaohjelmilla, vaan osa jää käyttäjän varovaisuuden varaan. Jos käyttäjä hyväksyy asennettavaksi ohjelman ja avaa sille vielä oikeudet ohjelmallisessa palomuurissa, ei mikään pysty estämään vahinkoa.
Tyypillisesti tällainen on itse asennettu ilmaisohjelma, joka lupaa netistä ilmaiseksi kuvia, pelejä, ohjelmia tai muuta kaunista ja kivaa. Monet p2p-ohjelmat levittävät mukaan haittaohjelmia ja luottavat siihen, että käyttäjät ahneuksissaan asentavat mitä vain turhia tarkistelematta. Esimerkiksi suositun Kazaan vertaisverkko-ohjelman mukana koneelle tunkeutuu melkoinen määrä ylimääräisiä sovelluksia.
Web-selaimista eniten haittaohjelmia vuotaa Windowsiin Internet Explorerin kautta, joka on rakennettu kiinteästi käyttöjärjestelmään. Sen tietoturvaa voi kohentaa hyödyntämällä esiasetettuja tietoturvatasoja eli vyöhykkeitä. Oletustaso medium riittää silloin, jos koneella on muuten tietoturva kunnossa, mutta muussa tapauksessa taso kannattaa kiristää tiukimmaksi.
Asetuksen kääntöpuoli on se, että monet nettisivut lakkaavat toimimasta. Tämän voi kiertää määrittämällä samoissa asetuksissa luotetut web-sivut (trusted sites), joilla annetaan laajemmat oikeudet.
Näin päivität koneesi oikein
Varovaisen käyttäjän muistilistaa seuraamalla todennäköisesti onnistutaan estämään haittaohjelmien luikahtaminen koneelle ennen päivitysten käyttöönottoa.
Ennen internet-yhteyden kytkemistä:
Asenna ohjelmallinen palomuuri tai ota käyttöön käyttöjärjestelmän oma palomuuri (Windows 2000/XP).
Asenna ilmainen tai kaupallinen virustorjunta.
Asenna koneen mukana tulleet tai cd-levyllä saatavat päivitykset, esimerkiksi Windows XP Service pack 2.
Kytke mikro internetiin ja hae heti päivitykset:
Hae kriittiset Windows-päivitykset osoitteesta www.windowsupdate.com. Käyttöjärjestelmän automaattiset tietoturvapäivitykset kertovat tulevista päivityksistä jatkossa.
Tarkista, että palomuurin ja virustorjunnan automaattipäivitykset ovat käytössä. Aja päivitys heti, koska ohjelman mukana tulevat virustietokannat ovat jo vanhentuneet.
Asenna spywaren torjuntaohjelma, esimerkiksi Microsoft Antispyware, Ad-aware, Spybot tai Spy Sweeper. Ohjelmia esiteltiin tarkemmin Tietokone-lehden numerossa 04/2005. Niitä voi ladata osoitteesta www.tietokone.fi/softa sivulta Tietoturva ja virustorjunta.
Jos et tarvitse ylläpitäjän (administrator) käyttöoikeuksia, luo käyttäjätunnukset vain peruskäyttäjän oikeuksilla. Monet hyötysovellukset ja pelit eivät suostu asentumaan tai toimimaan kuin administrator-tunnuksilla, joten niitä tarvitaan ajoittain.
Operaattorit kyllästyivät roskaan
Suomessa on viranomaisten arvioiden mukaan jatkuvasti toistatuhatta kotitaloutta, joiden koneet toimivat aktiivisesti esimerkiksi roskapostia ja viruksia välittävinä palvelimina. Nämä eivät todennäköisesti ole tahallisten vahingontekijöiden tai rikollisten käytössä, vaan osaamattomien, tietämättömien ja varomattomien kotikäyttäjien koneita, joiden omistajat saattavat samanaikaisesti tuskailla hidastuneen koneensa kanssa aavistamatta, mistä ongelma johtuu.
Operaattorit, korkeakoulut, opiskelija-asuntosäätiöt sekä muut nettiyhteyksien tarjoajat ovat joka tapauksessa kyllästyneet ongelmaan ja ylimääräiseen kuormitukseen, joten ne ovat aloittamassa asiakkaiden koneilta tulevan haittaliikenteen suodatuksen. Operaattoreilla on tehokkaita raskaan verkkotason järjestelmiä, joilla voidaan suodattaa tai estää kokonaan haittaliikenne.
Jos jokin liittymä kuormittaa verkkoa selvästi tavallista enemmän, operaattorit voivat katkaista yhteyden toistaiseksi. Asiakkaaseen otetaan yhteyttä ja bitit kulkevat taas, kun asiakas on saanut koneensa nettikelpoiseen kuntoon.
Business Manager Mirka Järnefelt Elisalta vahvistaa, että virukset ja muut haittaohjelmat ovat operaattoreille merkittävä ongelma, johon on puututtu jo jonkin aikaa. Järvisen mukaan verkosta suljettuja koneita on ollut muutamia tuhansia. ”Jos kotikoneelta tulee paljon tällaista liikennettä, se suljetaan verkosta. Asiakkaan avatessa selaimen, eteen tulee infosivu, jossa kerrotaan mitä on tapahtunut ja annetaan toimenpideohjeet.”
Järvisen mukaan yleensä kyse on siitä, ettei kotikäyttäjällä ole tietoturvaohjelmaa lainkaan tai se on vanhentunut. ”Käyttäjälle opastetaan, että ohjelman täytyy olla automaattisesti päivittyvä tai ne täytyy itse muistaa säännöllisesti tehdä.”
Operaattorin estettävä haittaliikenne
Ryhmäpäällikkö Arttu Lehmuskallio Telia-Soneran tietoturvayksiköstä kertoo, että operaattori suodattaa roskapostia ja haittasovellusten liikennettä monellakin tavalla. Yleensä riittää, että saastunut kone suljetaan verkosta, ja käyttäjiä opastetaan päivittämään Windows sekä asentamaan asianmukaiset tietoturvaohjelmat. Pääsy sallitaan tällöin esimerkiksi Windows Updateen ja virustorjuntaohjelmien päivityssivuille.
Troijalaisten ja muiden hankalien haavoittuvuuksien tapauksessa liittymä joudutaan sulkemaan kokonaan. Lehmuskallio muistuttaa, että viestintämarkkinalaki velvoittaa palveluntarjoajan sulkemaan häiriötä aiheuttavan laitteen verkosta.
Lehmuskallion mukaan Sonera sulkee noin 200–1000 kotien laajakaistaliittymää haittaohjelmien ja virusten takia. Hän arvioi, että tyypillisesti päivittämätön kone saastuu muutamasta sekunnista puoleen tuntiin, joten tilanne ei voi enää hirveästi huonontua. Sähköpostin virusviesteissä pahin kasvupiikki on jo saavutettu, ja laskuakin on näkyvissä.
Windows XP päivässä huoltokuntoon
Selvitimme spywaren, troijalaisten ja muiden haittaohjelmien vaikutusta Windows XP -koneeseen asentamalla julkiseen verkkoon täysin suojaamattoman koneen ilman tietoturvaohjelmia tai käyttöjärjestelmän päivityksiä. Testikoneessa oli XP:n SP1-versio ilman palomuuria. Liittymä oli Maxinetin adsl.
Kone jätettiin päälle ilman, että sillä surffattiin tai avattiin yhteyksiä minnekään. Noin vuorokaudessa sinne tunkeutui jo kymmeniä erilaisia haittaohjelmia, jotka availivat itse Internet Explorerilla yhteyksiä verkkoon, latailivat lisää ohjelmia ja vaihtoivat itsensä selaimen aloitussivuksi.
Noin neljässä päivässä koneella oli jatkuva useiden satojen kilobittien liikenne sisään ja ulos ilman, että koneella tehtiin mitään. Suoritinta tämä kuormitti 30–100 prosenttia.
Lopuksi koneelle yritettiin asentaa usealla yrityksellä F-Securen Internet Security -tietoturvapaketti ja Microsoftin Windows XP Service pack 2 -päivitys, mutta molempien asennus kaatui useista yrityksistä huolimatta. Tähän ei auttanut, vaikka kone irrotettiin verkosta.
Testiolosuhteet eivät ole yleistettävissä, koska operaattorin käytännöistä ja verkosta riippuu millaiset haittaohjelmat pääsevät läpi. Varmaa on, että kotikäyttäjän päivittämätön Windows-kone on jopa alle vuorokaudessa valmis huoltoon, jossa käyttöjärjestelmä voidaan ehkä pelastaa siirtämällä kiintolevy puhtaaseen ympäristöön ja ajamalla sille virustorjuntaohjelma.
