Lue uutinen mobiilisivustolla

Tietovarkauksia tehty satoja

Kuva: Niko Jylhä

7.8.2008 12:02 Orjakoneverkot eli bottiverkot aiheuttavat yhä useammin harmia myös Suomessa. Tietokoneenkäyttäjiltä tai suomalaisten operaattoreiden asiakkailta on varastettu tänä vuonna tietoja jo yli kolmesataa kertaa.

Internetitse leviävien haittaohjelmien tarkoituksena on usein kerätä käyttäjiltä henkilökohtaisia tietoja, kuten esimerkiksi pankkiyhteyden tunnuksia ja salasanoja.

Bottiverkot rakentuvat sellaisista tietokoneista, jotka on saastutettu haittaohjelmalla. Rikolliset voivat käyttää bottiverkkoja monin erin tavoin, mutta koko ajan yleistyvä käyttötapa on pakottaa verkkoon liitetyt orjakoneet lähettämään käyttäjää koskevia tietoja bottiverkon keskuskoneelle.

The New York Times kertoi keskiviikkona, että venäläinen rikollisliiga on nyt onnistunut rakentamaan aiempaa edistyksellisemmän bottiverkon varastamaan salasanoja ja muita kallisarvoisia tietoja.

Henkilötietoja massamäärin vohkivat bottiverkot ja ohjelmat ovat tuttuja myös Suomessa.

– Meille tulee rutiininomaisesti ilmoituksia suomalaisia uhreja niittäneistä bot-haittaohjelmista ja bottiverkoista, kertoo Viestintäviraston tietoturvayksikön CERT-FI:n päällikkö Erka Koivunen.

Hän kertoo laskeneensa tältä vuodelta jo yli kolmesataa tapausta, joissa suomalaiselta käyttäjältä tai suomalaisen palveluntarjoajan käyttäjältä on varastettu tietoja.

Suomalaisuhrit ovat olleet suurissa tietovarkauksissa lähinnä sivuosissa; isoimmat bottiverkot ovat varastaneet maailmalla henkilötietoja sadoilta tuhansilta ihmisiltä.

Suomea on käytetty myös bottiverkkojen pyörittämiseen. CERT-FI:n tiedossa on kymmenkunta suomalaisista verkoista löytynyttä bottiverkkojen komentamiseen käytettyä hallintapalvelinta.

– Luultavasti suurin osa, elleivät kaikki, ovat tietomurron kohteeksi joutuneita palvelimia, jotka on kaapattu tällaiseen rikolliseen tarkoitukseen, Koivunen sanoo.

Venäläisjengi käyttää
ylläpitotyökaluja

The New York Timesin mukaan venäläinen bottiverkko saastuttaa tietokoneen Corefloodiksi nimetyllä ohjelmalla, joka muun muassa tallentaa käyttäjän näppäimistöpainallukset ja lähettää ne eteenpäin. Verkkoa tutkineen yhdysvaltalaisen tietoturva-asiantuntijan Joe Stewartin mukaan verkolla koottiin hieman reilussa vuodessa viidensadan gigatavun verran tietoa.

Venäläisliiga on ottanut käyttöön tekniikan, jolla se saastuttaa ensin haittaohjelmalla esimerkiksi yrityksen tietoverkon pääkäyttäjän tietokoneen. Tämän koneen avulla jengi voi sitten Microsoftin ylläpitotyökalujen avulla ottaa saman tien komentoonsa kaikki ylläpidon alaiset työasemat.

Tekniikka on nykyaikaisen tietoverkkoarkkitehtuurin sivutuote: työasemia pyritään ylläpitämään keskitetysti, ja tuhansien tietokoneiden päivitykset hoidetaan automaattisesti.

Keskusrikospoliisin mukaan Suomessa ei ole laajamittaisesti huomattu, että ylläpitotyökaluja olisi käytetty kokonaisen yrityksen työasemien haltuunottoon.

– Se ei kuitenkaan tarkoita, etteikö niin olisi voinut käydä useamminkin Suomessakin, sanoo ylitarkastaja Sari Kajantie keskusrikospoliisin tietotekniikkarikosyksiköstä.

Kajantien mukaan yritykset eivät välttämättä ilmoita kaikista verkkopulmistaan poliisille.

– Satunnaisesta haittaohjelmatartunnasta ei välttämättä tule lainkaan mieleen, että taustalla voisi olla järjestäytynyt rikollisuus. Voi myös olla, että yritys haluaa mainesyistä vaieta tapahtumasta, hän sanoo.

– Toisaalta kyse voi olla siitä, ettei yritys itsekään ole havainnut tapahtuman laajuutta tai tekomekanismia.
Työasemaylläpidon resurssit on yleisesti vedetty niin tiukille, ettei ylläpidolla aina ole aikaa selvittää tapahtumien taustoja. Tällöin ylläpito ei välttämättä edes tiedä haittaohjelman kaappaavan yritysten tietopääomaa.

"Hiljaisten" orjakoneiden
määrää ei tiedetä
 
CERT-FI ja operaattorit pyrkivät saamaan haittaohjelmatartunnan saaneet tietokoneet mahdollisimman pian irti verkosta ja puhdistettaviksi. Kullakin hetkellä bottiverkoissa arvioidaan olevan 1 000-5 000 suomalaista orjakonetta.

– On kuitenkin huomattava, että "lyhytaikainenkin" haittaohjelmatartunta voi olla raju paikka. Vuorokaudessa kaikki koneella olleet salaisuudet on ehditty pumpata pois ja suomalaisten tietoturva- ja poliisiviranomaisten ulottumattomiin, CERT-FI:n Erka Koivunen sanoo.

Arvio orjakoneiden määrästä on pelkkä arvio, krp:n Sari Kajantie muistuttaa.

– Teleyritykset pystyvät tietyin tiukasti rajatuin kriteerein seuraamaan liikennettä tilastollisesti, joten ne pystyvät havaitsemaan kaikki "elämöivät" orjakoneet, jotka esimerkiksi koettavat lähettää roskapostia. Kohtuullisen hiljaisia orjia, jotka vaikkapa vain kaappaavat käyttäjänsä tietoja, teleyritysten automaattiseuranta ei kykene havaitsemaan. Orjakoneiden määräarvio on siis todella vain suuntaa-antava, hän sanoo.

Lisäksi haittaohjelmat ovat parin viime vuoden aikana oppineet varastamaan entistä tehokkaammin käyttäjän henkilökohtaisia tietoja ja näppäimenpainalluksia. Jotkin haittaohjelmat osaavat nykyisin kaapata jopa salakirjoitettuja verkkopankki-istuntoja.

– Toinen samanaikaisesti kehittynyt ominaisuus on ollut "häivetekniikka": haittaohjelmien havaitseminen on äärimmäisen vaikeaa. Puhumattakaan poistamisesta. En kehota ammattilaisiakaan yrittämään haittaohjelman poistoa, saati sitten kotikäyttäjiä, Koivunen sanoo.

Hannu Sokala toimitus@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kirjoita kommentti

Kommentit (4)

0

0

"En kehota ammattilaisiakaan yrittämään haittaohjelman poistoa, saati sitten kotikäyttäjiä, Koivunen sanoo."

Häh? Annetaan Bottien mellastaa?

Haamu

Lainaa Ilmoita asiaton viesti

# 7.8.2008 12:21

4

2

"En kehota ammattilaisiakaan yrittämään haittaohjelman poistoa, saati sitten kotikäyttäjiä, Koivunen sanoo."

Häh? Annetaan Bottien mellastaa?

Koivunen tarkoittanee, että kone tyhjennetään ja käyttis ohjelmineen uusiksi puhtaalta pöydältä. Tuo on varmin tapa saada kaikki haittaohjelman koneelle ujuttamat viritykset pois.

Casper

Lainaa Ilmoita asiaton viesti

# 7.8.2008 12:29

5

0

Jep -- kun kone on kerran kräkätty ja sinne on jotain istutettu, niin on paljon helpompaa vetää palvelinkin sileäksi, kuin alkaa kalastella sitä tauhkaa ulos koneelta. Oman sysadmin-uran aikana olen kaksi palvelinkonetta joutunut vetämään uusiksi (kummankaan tietoturva ei ollut ennen operaatiota omalla vastuullani), yhdessä koneessa oli "vain" Scalper, joka oli sentään helpompi putsata varmasti pois ja toiset kaksi "siivoamaan", kun toimitusjohtajan mielestä se tuli "halvemmaksi" (koneita, joita EI saanut ylläpitää, voi herranp*rse).

No ei sitten tullut halvemmaksi, kun kymmenen tuntia kalasteltiin Loadable Kernel Moduleita ulos ja toiset kymmenen tuntia päivitettiin iänikuista käyttistä, josta olisi ollut uudempikin olemassa ja ihan ilmaiseksi. Ja käyttäjille ei saanut asiasta mitään kertoa, ettei olisi usko mennyt tarjottuihin palveluihin.

Näin vuonna 2003. Luojan kiitos ei tartte enää siellä työskennellä.

Rootkit

Lainaa Ilmoita asiaton viesti

# 7.8.2008 12:47

0

1

Millä konstein kotikoneella "tavis" voisi yrittää tarkistusta

" tavis"

Lainaa Ilmoita asiaton viesti

# 8.8.2008 10:11

Sivut: 1 Edellinen Seuraava

Kirjoita vastaus

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Tutkinta valmis: Aueria epäillään raskaista rikoksista

• Kreikan pääministeri varoitti maksukyvyttömyyden johtavan kaaokseen
• Maailman parhaat lehtikuvat palkittiin – katso kuvakooste
• Väyrysen matkakuluista ilmiriita keskustassa
• Jättikotilot piinaavat taas Floridaa