Koneellasi on vieras
Piirros: Petri Rotsten
Vuonna 2005 todettiin 61 prosentissa Windows-koneista vakoiluohjelmia. Saastuneiden koneiden omistajista harvempi kuin joka kymmenes oli tietoinen niistä. Sittemmin ongelma on pahentunut.
F-Securen mukaan vuonna 2007 luotiin erilaisia haittaohjelmia yhtä paljon kuin tätä edeltävänä 20 vuotena yhteensä. Määrä ei koostu pelkästään mainos- tai vakoiluohjelmista, vaan ylipäätään kaikesta malwareksi luokiteltavasta haitallisesta koodista. Symantecin vuodelta 2008 peräisin olevan arvion mukaan haittakoodia luodaan nykyään ehkä jopa nopeampaa tahtia kuin uusia hyödyllisiä ohjelmia.
Turvaohjelmayhtiöiden kiivaat vakuuttelut eivät ehkä käännä kriittistä päätä, mutta halusi tai ei, haittaohjelmat ovat tulleet jäädäkseen.
Enhän minä kiinnosta ketään
Yksi vakoiluohjelmien tyypillisistä tehtävistä on kerätä tietoja käyttäjästä ja välittää näitä ohjelman luoneille tahoille. Jos tietokoneella käyttää luottokorttiaan tai säilyttää työtiedostoja, henkilötietoja tai muuta arkaluontoista, ymmärtää välittömästi ongelman vakavuuden.
Vakoiluohjelmiksi luetaan myös mainosohjelmat, jotka keräävät salaa tietoa käyttäjästä ja mainostavat tälle tuotteita vakoiltuun tietoon perustuen. Monet mainosohjelmat ohjaavat verkkokäyttäytymistä useilla erilaisilla käyttäjälle näkymättömillä tavoilla muokkaamalla mainosten sisältöä ja ohjaamalla väärille sivuille, tarkoituksena tuottaa mainostuloja ohjelmien kehittäjille.
Mainosohjelmia on karkeasti kahta tyyppiä. Helpoimmin vältettävissä ovat ohjelmat, joiden tuotantokulut katetaan mainostamalla ja jotka käyttäjä päättää itse asentaa. Näissä mainokset ovat yleensä integroituja itse ohjelmiin niin tehokkaasti, että mainospuolen poistaminen spyware-tutkalla rikkoo myös itse pääohjelman.
Toiseen luokkaan voidaan määritellä selaimen käytön myötä koneelle asentuvat sovellukset, jotka ovat olemassa vain mainostaakseen käyttäjälle asioita. Näitä ovat esimerkiksi erilaiset ”hyödylliseltä” tuntuvia palveluja tarjoavat selaimen työkalurivit, jotka suoltavat käyttäjälle vaikkapa Googlen dataa omanaan lisäten ja muutellen mainoksia sopivin tavoin.
Monet mainosohjelmat eivät edes näy käyttäjälle, sillä ne osaavat vaihtaa nettisivujen mainosbannerit omiinsa vähin äänin. Usein ohjelmat toimivat samalla vakoiluohjelmana tarkkaillen käyttäjän verkkotoimintaa ja mainostaen tälle käyttötottumuksiin soveltuvia tuotteita.
Mainosohjelmat asentuvat tietokoneelle verkkosivuilta itsestään tai jonkin hyödylliseltä vaikuttavan ilmaissovelluksen kumppanina. Vaikka vakoiluohjelmat eivät leviä itsekseen, erilaiset madot voivat jättää niitä jälkeensä koneille, joilla käyvät. Näiden mainosohjelmien välttäminen onnistuu vain hygieenisellä surffauksella, sekä ymmärryksellä siitä, mikä on luotettavaa ja mikä ei. Poistosovellukset saavat tosin listittyä osan ohjelmista.
Uusimmat malware-sukupolvet osaavat piiloutua hyvin monin tavoin, käynnistää itsensä vikasietotilassa ja välttää monen tunnistusohjelman huomion. Pahimmillaan koneelle on ehtinyt kertyä niin suuri ja vaikea pesäke haittakoodia, että käyttöjärjestelmän uudelleenasennus on ainoa keino selvittää ongelma.
Tasaisesti kaikille – Windowsissa
Haittaohjelmat ovat pääosin Windows-käyttäjän ongelma. Kaikista uusista turvatoimenpiteistä huolimatta Windows on verkossa yhä infektioriski.
Erityisen suuri riski on niillä koneilla, joilla käytetään järjestelmän omaa Internet Explorer -verkkoselainta. Lähes kaikki verkosta saatavat spyware-tartunnat ja monet muut ikävät kiertolaiset on suunniteltu käyttämään hyväksi Internet Explorerin turva-aukkoja.
Vakioselaimen haitat perustuvat pääosin samaan kuin sen tarjoamat käyttöedutkin, eli selaimen ja käyttöjärjestelmän tiukkaan integraatioon. Tämä antaa haittakoodeille suoria reittejä käyttöjärjestelmän sisään.
Windows Defenderin ja Internet Explorer 8:n myötä voi vakiosovellustenkin käyttäjä jossain määrin huoahtaa helpotuksesta. Vaikka Vistan haittaohjelmien määrä on jo komea, se tarjoaa tiettyjä ongelmia vastaan selvästi XP:tä paremman suojan. Fiksu asentaa tästä huolimatta vielä erillisen spyware-skannerin Windows Defenderin toimintaa pönkittämään.
Kypärä päähän ja kyykkyyn
Perinteiset virustutkat tunnistavat huonosti vakoiluohjelmia, mutta niiden kylkeen saa vakoiluohjelmasuojan monen tietoturvayhtiön täydestä ohjelmistopaketista. Nämä tosin ovat tyypillisesti erittäin ahneita tehoille, ja tällaista käyttämällä saa usein koneensa tuulettimen huutamaan pienienkin operaatioiden kohdalla.
Pienempiä työkaluja vakoilu- ja mainosohjelmien poistamiseen on paljon. Nämä skannaavat tiedostoja kiintolevyiltä, avaimia Windowsin rekisteristä sekä verkosta haettavia tiedostoja, ja älähtävät infektion löytyessä. Ohjelmat myös päivittävät haittakoodien tunnistamiseen käytettyä tietokantaansa verkosta.
Kaikki vakoiluohjelmien tunnistamisessa ja poistossa auttavat sovellukset eivät perustu päivittyviin tietokantoihin, vaan tarkkailevat ja analysoivat muutoksia tyypillisissä paikoissa, joihin spyware piiloutuu. Peruskäyttäjälle itsekseen päivittyvä helppo suojasovellus on ideaali valinta, mutta ennakoivaa turvaa saa ainoastaan tuntemalla koneensa toimintaa.
Vältä mainosohjelmat
Mainosohjelmien välttämisen helpoin keino on vaihtaa pois Windowsista. Mikäli tämä ei käy, kannattaa harkita ainakin Internet Explorerin vaihtamista esimerkiksi Mozilla Firefoxiin, Google Chromeen tai Operaan, joilla monet IE:n keskeistä roolia Windowsissa hyödyntävät takaovet eivät toimi.
Seuraava askel on opetella hygieenisen surffauksen perusteet. Käytä vain sivuja, jotka uskot luotettaviksi, äläkä vahingossakaan klikkaa mainoksia sivuilla, joita et tunne. Tärkeintä on kuitenkin välttää esimerkiksi activex-komponenttien ja kaikkien hämärältä vaikuttavien palvelujen tarjoamien sovellusten asentamista sekä jättää kaikki pienet ponnahdusikkunat klikkaamatta.
Varominen ei kuitenkaan auta loppuun asti. Haittaohjelmien silkka määrä ja verkkoprotokollien hyväksikäytettävyys takaa sen, että IE:llinen Windows-kone saastuu lopulta vaikka sillä kävisi vain parilla isolla sivustolla. Tämän vuoksi tartunta tulee ennaltaehkäistä myös ohjelmallisesti.
Monet ilmaiset malware-tutkat tarjoavat virustorjuntaohjelmien kaltaisen tarkkailevan tutkan, joka hälyttää tunkeilijan yrittäessä järjestelmään ja poistaa uhan välittömästi. Tämän lisäksi säännöllinen haittaohjelmaskannerin ajo varmistaa, ettei mitään ole päässyt ohi haavin. Perustason yleistyökalu tähän on esimerkiksi ilmainen Spybot.
Search & Destroy.
Mikäli tietää, että edessä on sukellus internetin vaarallisempiin syövereihin, kannattaa koko surffaus hoitaa hiekkalaatikolla. Hiekkalaatikkosovelluksen avulla voidaan ajaa toisia sovelluksia niin, että mitään pysyviä muutoksia itse Windowsiin ei voida tehdä eristämällä ajetun ohjelman kokonaan järjestelmästä. Tämä tarkoittaa pientä iskua suorituskykyyn, mutta on toimiva keino saada pääsy pimeään puoleen pysytellen silti turvassa. Hyvä hiekkalaatikko Windowsiin on Sandboxie.
Lisäksi Windowsista kannattaa sulkea tiettyjä palveluja ja tietoturvareikiä, jotka eivät ole normaalisti yksittäisen kotikäyttäjän kannalta oleellisia, mutta voivat silti toimia sisäänpääsyreitteinä erilaisille mainosmadoille. Tämän voi tehdä vaikkapa Bugoff-ohjelman avulla.
Raidia ötököille
Haittakoodin poistoon on suuri määrä hyviä ja vähemmän hyviä työkaluja. Käytännössä kaikki isoimmat turvaohjelmapaketteja tarjoavat talot ovat sisällyttäneet spyware-tutkan ohjelmistoihinsa. Tämän lisäksi pelkästään haittaohjelmien tuhoamiseen tarkoitettuja ilmaisia ja maksullisia ohjelmia on markkinoilla kymmeniä, ellei jo satoja.
Poimimme massasta mielenkiintoisia tuotteita, mutta jätimme runsaudenpulan vuoksi isot tietoturvaohjelmistot ja maksulliset spyware-skannerit pois listalta.
Windows Defender – Microsoftin muutama vuosi sitten uudelleen brändäämä spyware-tutka perustuu osittain rekisterin ja muiden käyttöjärjestelmän kriittisten osien muutosten tarkkailuun analyysin perusteella, osittain päivittyvään haittaohjelmien tietokantaan. Hyvä perusturva, mutta ei suojele kaikelta.
Spybot Search & Destroy – Yksi suosituimmista ja tehokkaimmista spywarea poistavista työkaluista. Spybot on yksityiskäyttäjälle ilmainen, tarjoaa automaattiset päivitykset ja rootkit-suojan sekä tunnistaa erittäin suuren määrän haittaohjelmia. Mainio peruskumppani Windows Defenderille.
Bugoff – Estää joitain erittäin haavoittuvia, mutta normaalisti vähemmän käytettyjä Windowsin osia toimimasta. Sulkee pääsyn näihin palveluihin kaikilta sovelluksilta, niin haittakoodilta kuin hyötyohjelmilta.
Hitman Pro 3 – Maailman ensimmäinen pilvilaskentaan perustuva haittaohjelmatutka. Kun Hitman Pro 3 tapaa epäilyttävän tiedoston, se lähetetään verkkoon pilven analysoitavaksi. Skannaus ulkoistetaan usealle eri työkalulle, joiden kaikkien yhtäaikainen käyttö omalla koneella vaatisi huomattavasti enemmän resursseja.
Verkkoyhteyden on tosin parasta olla nopea. MBAM – Malwarebyte’s Anti-Malware on saavuttanut huomiota nopeasta reagoinnista uusiin uhkiin, erityisesti Antivirus XP 2008 -haittaohjelman tapauksessa. Ohjelma on saatavilla käsin käytettävänä ilmaisena versiona ja automaattisesti skannaavana maksullisena versiona.
Runscanner – Windows lataa käynnistyksen yhteydessä ohjelmia usealla eri tavalla. Ilmainen Runscanner analysoi järjestelmän käynnistyessä ladattavia sovelluksia ja antaa käyttäjän poistaa haluamansa. Käyttää verkkotietokantaa näyttämään luotettavat ohjelmat.
Hijackthis – Ilmainen spywaren tunnistamiseen tarkoitettu ohjelma, joka ei perustu tietokantoihin vaan heuristiseen analyysiin. Tarkoitettu vain edistyneille käyttäjille. Sandboxie – Virtuaaliympäristön luomiseen tarkoitettu Sandboxie takaa sen, että hiekkalaatikolla ajetut ohjelmat eivät pääse tekemään muutoksia varsinaiseen käyttöjärjestelmään.
Pesäkkeet ja taudinkuvat
Activex – Tekniikka, jolla verkkosivuihin ja muihin ohjelmiin voidaan lisätä erilaisia komponentteja. Activex on tärkeimpiä selainten tietoturva-aukkoja, ja monet mainosohjelmat asentuvat activex-komponentteina. Komponentit ovat digitaalisesti allekirjoitettuja, minkä avulla luotettavat komponentit voi erottaa mahdollisesti haitallisista.
Adware – Adware on mainosrahoitteinen ohjelma, jota ei pidä sekoittaa verkkomainoksia väärentäviin ja mainossivuille ohjaaviin spyware-ohjelmiin. Aggressiivisimpien adware-sovellusten toiminta voi olla hyvinkin lähellä spyware-ohjelmia, mutta adwareksi lasketaan vain ne ohjelmat, joiden toiminta on läpinäkyvää ja jotka eivät salaa kerää käyttäjästä tietoa.
Internet Explorer – Spyware-ohjelmien yleisin reitti koneelle käy Internet Explorer -selaimen kautta. Microsoftin selaimen syvä integraatio itse käyttöjärjestelmään mahdollistaa runsaasti hyväksikäytettäviä heikkouksia. IE:n käyttäjän tulee pitää selaintaan hyvin päivitettynä.
Javascript – Eräs käytetyimmistä skriptikielistä, jolla verkkosivuista tehdään dynaamisia. Javascriptin turva-aukkojen hyväksikäyttö aiheuttaa activex:n tavoin suuren osan kaikista spyware-tartunnoista.
Malware – Kattonimi monelle erityyppiselle haittaohjelmalle, kuten spywarelle, viruksille, madoille, rootkiteille, drm-suojille ja muille kysymättä asennetuille koneen toimintaa haittaaville tai siitä muille tahoille raportoiville ohjelmille.
Spyware – Vakoiluohjelma, yleisemmin malwarea, joka ei leviä viruksen tavoin ja jonka tarkoitus on käyttää hyväkseen työasemaa ja sen käyttäjää erilaisin tavoin. Sisältää myös haitalliset ja toimintaansa peittelevät mainosohjelmat.
Virus – Tietokonevirus on perinteisin ja tunnetuin malwaren muoto. Nykyään myös monet virukset pyrkivät suoran kaupallisen hyödyn tuottamiseen kehittäjilleen, mutta pelkkää satunnaista ilkivaltaa tekeviä ohjelmia on yhä erittäin iso osa kaikista viruksista. Toisin kuin spyware, virus ei jätä infektiota yhteen koneeseen, vaan pyrkii leviämään eteenpäin.
