Lue uutinen mobiilisivustolla

"Supervirukset" muuttavat tietoturvaa

30.4.2002 13:28 Haittaohjelmat leviävät ominaisuuksia yhdistelemällä entistä nopeammin. Virustorjunta-ala elää nyt murrosvaihetta: kehityksessä on pysyttävä mukana.

Perinteisesti haittaohjelmiin on luettu virukset, madot ja troijan hevoset. Jaottelu oli aiemmin varsin selvä; vahingolliseksi tarkoitettu koodi voitiin lokeroida johonkin alaluokkaan sen ominaisuuksien ja toiminnan mukaan.

Alun perin tietokonevirus tarkoitti ohjelmaa, joka liittää itsensä toiseen ohjelmaan ja monistaa itsensä. Sittemmin virus-termiä on käytetty jonkinlaisena yleiskäsitteenä, joka ilmeisesti pitäisi kattaa kaikki virtuaalipöpöt, jotka tietokoneita uhkaavat.

Sekaannusta lisää se, ettei entisenkaltaista erottelua haittaohjelmien välille ole enää kovinkaan helppo tehdä. Uusiin haittaohjelmiin yhdistellään niin virusten, matojen kuin troijalaistenkin ominaisuuksia. Tarkoituksena on tietenkin varmistaa haittaohjelman mahdollisimman tehokas leviäminen.

Entistä tehokkaammin leviävä haittakoodi aiheuttaa myös entistä suurempia vahinkoja. Parin viime vuoden aikana on nähty matoja, viruksia ja näiden yhdistelmiä, joiden jälkiä on korjailtu sadoilla miljoonilla euroilla. Näppärästi koodattu sähköpostimato on voinut pysäyttää ison yhtiön sähköpostiliikenteen kokonaiseksi viikoksi.

Ihmisen kekseliäisyydellä ei tunnetusti ole rajoja. Siksi voidaan useimpien tietoturvayhtiöiden arvioiden mukaan olettaa, että haittaohjelmien kehitys jatkuu nykyisenkaltaisena: lisää ominaisuuksia, tehokkaampaa levitystä, enemmän tuhoa.

Sormenjäljet ja heuristiikka

Virustorjuntaohjelmat käyttävät haittaohjelmien tunnistamiseen yleensä merkkijonotunnistusta tai heuristista tunnistusta, tai sitten molempia.

Ensin mainittu tekniikka perustuu siihen, että virustorjuntaohjelmalle annetaan löydetyn haittaohjelman tunniste, "sormenjälki", jonka avulla tihulaisen tunnistaa. Sormenjälkitunnistuksen hyvä puoli on se, että virusskannerin antamat hälytykset ovat mitä todennäköisimmin oikeita.

Sormenjälkitunnistus kuitenkin edellyttää sitä, että virustorjuntaohjelman valmistaja on saanut haittaohjelmasta näytteen. Kun näyte on analysoitu, uusi tunniste voidaan lisätä virustorjuntaohjelman kuvauksiin, minkä jälkeen ohjelma tunnistaa uuden tihulaisen.

Käyttäjän kannalta tämä tarkoittaa sitä, että virustorjuntaohjelma on päivitettävä säännöllisesti, jotta suoja olisi mahdollisimman tehokas. Uusimmilta haittaohjelmilta käyttäjä ei kuitenkaan ole suojassa ennen kuin ne on lisätty virusskannerin kuvauslistoihin.

Heuristinen tunnistus voi usein olla ratkaisu uusia haittaohjelmia vastaan. Menetelmä ei perustu tiettyihin tunnisteisiin tai merkkijonoihin vaan epäilyttäviin toimintoihin. Jos torjuntaohjelma havaitsee toisen ohjelman, joka vaikkapa tekee muutoksia Windows-rekisteriin, se antaa hälytyksen.

Heuristisen tunnistuksen ongelma on siinä, että vääriä hälytyksiä tulee paljon; torjuntaohjelma ei välttämättä osaa tehdä eroa haitallisen ja harmittoman ohjelman välille. Vaarana on sekin, että jos käyttäjä aikansa katselee vääriä hälytyksiä, hän ei enää reagoi todellisiin uhkiin.

Miten tulevaisuudessa?

Koska haittaohjelmat kehittyvät, tietoturvayhtiöt joutuvat miettimään tapoja, joilla varmistaa mahdollisimman tehokas suoja kutsumattomia vieraita vastaan.

Kehityksen nopeus ja rajuus edellyttää tietoturva-alalta melkoisia muutostoimenpiteitä. Uuden sukupolven haittaohjelmat käyttävät hyväkseen niin monia ominaisuuksia, että niiden torjunta on entistä vaikeampaa.

Ennen vanhaan haittaohjelmilta vei viikkoja tai jopa kuukausia levitä mantereelta toiselle. Parin viime vuoden aikana verkkoihin on ilmestynyt matoja, jotka ovat levinneet ympäri maailman muutamassa päivässä.

Vikkelien sähköpostimatojen myötä yhdeksi avaintekijäksi haittaohjelmien torjunnassa on noussut aika - tai oikeastaan sen puute. Mitä kauemmin kestää virustorjuntayhtiöiltä saada julkaistuksi päivitys, sitä suuremmat ovat vahingot. Miten aikaa sitten voitaisiin säästää?

Yleensä analyysin ja uuden viruskuvauksen tekemiseen kuluu joitakin tunteja siitä, kun näyte on yhtiölle saapunut. Tietoturvayhtiöt tutkivat uusia haittaohjelmia jatkuvasti ja ne ovat siihen työhön harjaantuneita. Tästä kohdin ajansäästöä siis tuskin enää saadaan.

Eniten aikaa haaskaantuu siihen, että yhtiön asiakas lähettää ensimmäisen näytteen uudesta haittaohjelmasta. Loppukäyttäjän täytyy ensin huomata ja tajuta saaneensa koneelleen kutsumattoman vieraan. Sitten hänen on vielä osattava lähettää näyte oikeaan paikkaan.

Loppukäyttäjän nopeuteen voidaan ainakin periaatteessa vaikuttaa. Tietoturvayhtiöiden mukaan valistamalla ei enää voida peruskäyttäjään vaikuttaa, mutta ehkä hälytysjärjestelmiä automatisoimalla näytteet voitaisiin saada tutkittavaksi nykyistä ripeämmin.

Kohti tietoturvapalveluita

Monen mielestä virustorjunta elää murroskauttaan. Nyt ollaan siirtymässä tuoteajattelusta palveluajatteluun. Yleisesti ajatellaan, että virustorjunnasta ja tietoturvasta yleensä on tulossa palvelua yksittäisten tuotteiden asemesta.

Jos palvelut on se tie, jonka tietoturva-ala valitsee, markkinakin muuttuu ratkaisevasti. Pienille pelureille tuskin jää lainkaan elintilaa, kun isot yhtiöt yhdistyvät vieläkin isommiksi voidakseen tarjota mahdollisimman kattavaa tietoturvan kokonaispalvelua.

Kokonaispalvelu tarkoittanee osittain myös tietoturvatekniikoiden yhdentymistä, mikäli virustorjunta ja murrontunnistus (IDS) lähenevät toisiaan. Näin käy, mikäli haittaohjelmien seulonnassa siirrytään tiedostoliikenteen seurannasta Internet-liikenteen skannaamiseen; Code Redin kaltaiset yhdistelmätihulaiset antavat aihetta uskoa tämän suuntaiseen kehitykseen.

Palvelumalli herättää varmasti uudelleen myös keskustelun siitä, kenen vastuulla tietoturva viime kädessä on. Tietoturvayhtiöt kun mielellään ottavat palveluunsa asiakkaita ja vieläpä sanovat, ettei loppukäyttäjän harteille voi nykyisin tietoturvaa enää uskoakaan.

Mutta jos tietoturvapalvelun asiakkaaksi ryhtyy, voiko luottaa siihen, että tietoturva on sataprosenttinen?

Ei. Tietoturvayhtiö haluaa vastata asiakkaan tietoturvasta, mutta se ei halua taata hänelle absoluuttista turvaa. Sellaista se ei voikaan tehdä, koska sataprosenttista turvaa ei voitane saavuttaa.

Laiha lohtu loppukäyttäjälle.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuollut ja yhdeksän haavoittunut ammuskelussa Hyvinkäällä

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta