Lue uutinen mobiilisivustolla

Nimda näyttää tietä

21.9.2001 16:16 Mennyttä tietoturvaviikkoa on värittänyt yksi ainoa teema: Nimda. Alkuviikosta löytynyt mato lähti nopeasti leviämään ympäri maailmaa eikä Suomikaan ole sen vaikutuksilta välttynyt. Nimda antanee kuvaa siitä, mihin suuntaan virusmaailma on matkalla. Vaikeaa virustorjuntaa hankaloittavat uudenlaisten uhkien lisäksi näkemyserot.

Nimda ei ehkä ole ensimmäinen mato, joka yhdistää eri leviämistekniikoita - itse asiassa suuntaus on jo jonkin aikaa ollut kohti hybridejä, jotka yhdistävät ominaisuuksia erilaisista viruksista, troijalaisista ja madoista. Nimda kuitenkin on ensimmäinen mato, joka hyödyntää eri tekniikoita näin laajasti ja näin tehokkaasti.

Jotakin Nimdan monimutkaisuudesta kertoo se, että vaikka virustorjuntayhtiöt saivat ensimmäiset raportit madon leviämisestä jo tiistai-iltapäivällä Suomen aikaa, ensimmäisiä tunkeilijan poistavia ohjelmapäivityksiä jouduttiin odottelemaan varsin pitkään.

Ensimmäiset päivitykset ilmestyivät nettiin keskiviikkona, mutta vasta torstaina suurimmalla osalla alan yrityksistä alkoi olla valmiita päivityksiä ja kattavia ohjeita madon poistamiseen.

Nimda tukkii verkon

Nimdan leviämistä on suuresti edesauttanut sen monipuolisuus sekä se, että mato iskee niin palvelimiin kuin tavallisiin Windows-koneisiinkin. Mato pääsee ominaisuuksiensa avulla luikertelemaan palomuurien ohi paikallisiin verkkoihin, joissa se alkaa levittäytyä edelleen.

Palvelimiin liittyy myös Nimdan aiheuttama uhka internet-liikenteelle. Kun mato etsii haavoittuvia IIS-palvelimia, se luo samalla valtavan määrän dataliikennettä, joka vie kapasiteettia ja pahimmillaan tukkii verkon kokonaan.

Näin on jo käynyt Suomessakin. Muun muassa Oulun Puhelimen Aluedataverkko oli kymmenisen tuntia jumissa, kun Nimdan IIS-haut tukkivat verkon reitittimet. Tätä kirjoitettaessa Nimdan arveltiin ehättäneen jopa tuhansiin suomalaisyrityksiin.

Jos aiemmin erottelu virusten, troijalaisten ja matojen välillä vielä miten kuten onnistuikin, tilanne alkaa viimeistään nyt olla toinen. Vahingollisten ohjelmien monipuolistuminen on vaikeuttanut rajanvetoa, mikä näkyy esimerkiksi siinä tapojen kirjossa, jolla virustentorjuntayhteisö nimittää uusia tietokonetuholaisia.

Niinpä tiistaista asti mellastanutta Nimdaakin on tilanteesta riippuen kutsuttu milloin virukseksi, milloin madoksi, toisinaan troijalaiseksikin. Vanhat määritelmät eivät oikein tunnu enää riittäviltä tässä uudessa tilanteessa.

Menneistä madoista...

Perinteisten sähköpostimatojen valtava lisääntyminen parina viime vuonna selittyy pitkälti virustyökalujen helpommalla saatavuudella.

Helppokäyttöisten virusgeneraattoreiden käyttö ei suurta viitseliäisyyttä vaadi, mikä näkyy matojen suurena määränä. Helppoutta lisää vielä se, että aiempien virusten koodia voi käyttää pohjana uusille varianteille.

Matobuumia onkin leimannut myös se, että koska virtuaalilieroja kyhäillään usein varsin heppoisilla taidoilla, niiden aiheuttamat vahingotkin jäävät usein pieniksi. Suurella yleisöllä alkaa myös olla tietoa erilaisista viruksista ja niiden leviämistavoista.

Perinteiset sähköpostimadot pääsevät leviämään lähinnä siksi, että vastaanottaja avaa tuntemattoman liitetiedoston ja tulee samalla aktivoineeksi kutsumattoman vieraan. Kun suuren yleisön tietämys kasvaa, virusten tekijät eivät enää voi luottaa pelkästään psykologisiin tekijöihin vahingollista koodia kirjoittaessaan.

...uusiin uhkiin

Ihminen on tähän saakka ollut se viimeinen lenkki madon leviämisketjussa. Jos tietokoneen käyttäjä on saatu klikkaamaan sopivalla tavalla naamioitua matotiedostoa, saastuneiden koneiden joukko on taas kasvanut yhdellä.

Tennistähti Anna Kournikovan kuva toimi taannoin Ontheflyn houkuttimena jonkin aikaa, kunnes se korvattiin muilla täkyillä. Ihmiset oppivat varomaan.

Siksi kehitys on viemässä kohti uudentyyppisiä viruksia, jotka, kuten Nimda, käyttävät hyväkseen mahdollisimman monipuolisia keinoja levitä ja aiheuttaa vahinkoa.

Nimda ei enää välttämättä tarvitse ihmistä levitäkseen sähköpostiliitteenä, sillä se osaa hyödyntää Microsoftin sähköpostiohjelmien ja internetselaimen tietoturva-aukkoja.

Nimdan sisältämää liitettä ei edes tarvitse avata, sillä mato osaa muuttaa ohjelmien asetuksia siten, että se pääsee kohteeseensa ilman sen kummempia inhimillisiä apuja.

Virukset sosiaalinen ongelma

Inhimilliset tekijät on siis perinteisesti tiedostettu virusten tekijöiden leirissä. Vastapuolella asia on asiantuntijan mielestä toisin.

Yksi pysyvä hidaste tehokkaalle virustorjunnalle on Trend Micron David Perryn mukaan se, etteivät insinöörit ymmärrä virusongelmaa osin sosiaaliseksi ongelmaksi.

Viruslaboratorioissa työskentelevillä on Perryn mukaan aivan erilaiset käsitykset kuin niillä ihmisillä, jotka muodostavat enemmistön tietokoneen käyttäjistä. Valkotakeille ongelmat ovat tietokonekeskeisiä.

«Tietokoneviruksista puhuttiin tieteiskirjallisuudessa kauan ennen kuin niitä oikeasti oli olemassakaan. Yhä edelleen sci-fi -kirjallisuus vaikuttaa ihmisten mielikuviin siitä, mitä virukset oikeastaan ovat», Perry sanoo.

Ristiriidat tutkijoiden ja käyttäjien maailmojen välillä aiheuttavat väärinkäsityksiä ja vääriä tulkintoja. Virusmyyttien rikkojana tunnettu Perry ottaa esimerkin kesällä levinneestä Code Redistä.

«Laboratorio-olosuhteissa kalliilla ja nopeilla laitteilla tutkittu Code Red vaikutti tutkijoista suurelta uhkalta ja julkisuuteen annettiin hurjia lausuntoja, joissa pelättiin koko internetin kaatuvan. Seurauksena oli, että miljoonat kävivät lataamassa koneelleen Microsoftin IIS-korjaustiedoston, tarvitsivatpa he sitä sitten tai eivät», Perry toteaa.

Virusten kirjoittamista virusguru vertaa graffiteihin. Jotkut osaavat tehdä taidetta, toiset tyytyvät töhertämään, mutta kaikki haluavat jättää jäljen.

«Virusten kirjoittajilla on se harhakäsitys, että he kuuluvat hakkereiden eliittiin. Todellisuudessa he eivät ikinä ole uuden kehittäjiä, vaan muiden matkijoita», Perry kuittaa.

Alkuperä yhä epäselvä

Nimdan alkuperä on toistaiseksi hämärän peitossa. Sitä mukaa kun madon ominaisuuksia on tullut esiin, antivirusyhtiöiden usko Nimdan kirjoittajan taitoihin on vahvistunut.

Nimdan «tekijänoikeusosassa» lukee R.P.China. Kiinan lisäksi mahdollisten alkuperämaiden joukkoon ovat ehtineet lukuisien tulkintojen kautta myös esimerkiksi Espanja ja Filippiinit.

Kummalliselta kalskahtavan nimen Nimdalle on ilmeisesti antanut norjalaisen tietoturvayhtiö Normanin Righard Zwienenberg. Matoa tutkiessaan hän havaitsi sen yrittävän lähettää admin.dll -nimistä tiedostoa. Virusten nimeämisessä usein käytetyn tavan mukaan Zwienenberg nimesi Nimdan kääntämällä tiedoston admin-sanan toisin päin.

Kuluneen sanonnan mukaan kehitys kehittyy. Siksi on kai vain luonnollista, että myös tietokonevirukset kehittyvät sitä mukaa kun niitä vastaan kehitetään suojautumiskeinoja.

Nimda leviää edelleen, joten virustorjuntaohjelmat on syytä pitää ajan tasalla.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Bankia pyytää Espanjan valtiolta 19:ää miljardia euroa
• Rivitalo palaa Vahdossa