Tietoturva

Kyberrikokset, joiden uhreiksi päätyvät tavan kansalaiset, ovat pahenemaan päin. Julkisuudessa on ollut mm. digihuijaustapaus, jossa kaapatulta tililtä on siirretty rahaa espanjalaiseen pankkiin: erikoista sinänsä, että siirretään EU-alueen pankkien sisällä saalisrahaa – ja laiton transaktio onnistuu noin vain.

Kertooko tämä jotakin unionin tilasta? Lisäksi edellä mainitussa tapauksessa kyberrikollinen on puhunut hyvää suomea. Hän on esitellyt useita itsensä kannalta vakuuttavia seikkoja, ja saanut lopulta epäilijän luovuttamaan lukuja tunnuslukulistastaan. Riittääkö tämä näytöksi siitä, että pankkiyhteystunnistusta ei tule tehdä ”helpoksi”, eli heikentää entisestään? Kuulen helppo-sanan korvissani vihjeenä: helppo murtaa. Transaktion vahvistaminen joko sähköisellä tunnuslukulaitteella tai mieluummin avainlukulistalla on se perusta, jota ei voi ohittaa muuten kuin kontaktilla tilin todelliseen haltijaan. Näin huijaus satsaa siihen, että virtuaalisen pankkiryöstön transaktio saadaan ajattelua läpi: ja tilin todelliselta haltijalta tunnistuksen toinen vaihe, avainluku, saadaan rikolliselle tavalla tai toisella. Ei ihme, että siinä onkin menty röyhkeydessään pöyristyttäviin suorituksiin.

Kukaan ei ole suojassa kalasteluhyökkäyksiltä

Monivaiheisen, vähintään kaksivaiheisen todennuksen puuttuminen tulisi luokitella haavoittuvuudeksi palvelussa. Pikamaksu on erittäin haavoittuva, selvää, mutta sen maksurajaa mentiin silti nostamaan. Päätöksiä tekevät ekonomistit, joiden tietotekninen orientaatio, eritoten tietoturvan osalta on heikko. Sama muuten koskee sairaaloita: poskettoman kalliita potilastietojärjestelmiä suunnittelevat lääkärit ilman tietotekniikan, tieturvan ja tietosuojan menetelmäpaletit hallitsevien ammattilaisten mukanaoloa. Sutta on syntynyt, ja syntyy, veronmaksajien laskuun. Kyberrikokset arkipäiväistyvät hyvää vauhtia. On korkea aika tajuta, että kalasteluhyökkäyksiltä ei kukaan ole suojassa.

Kysymyskaavakkeen postannut Etlan tutkija ottaa rauhallisesti minun kyselyni siitä, kuinka voin varmistua, että linkki ajaa nettikyselykaavakkeen ja on sisällöltään sitä, mitä sen väitetäänkin olevankin? Sillä epäilykseni heräsi, kun sivu ei toiminut: olinhan mennyt sen avaamaan aika kevyin perustein.  Olisin siis voinut olla digihujauksen uhri.

Vaadin varmennusta:

”Lähetän tämän viestini sähköpostiosoitteesta, joka löytyy myös Etlan sivuilta.”

Ei riitä. Tuo feikki-e-malin konfigurointi on lapsenleikkiä.

Kontakti jatkaa vakuuttavaan sävyyn:

”Voin myös lähettää varmistukseksi tekstiviestin puhelinnumerosta, joka myöskin löytyy Etlan sivuilta.”

Tämä onkin jo jotain, mutta nyt myös puhelinnumeron aidolta näyttäminenkin on mahdollista. Netissä löytyy palveluntarjoajia, jotka mahdollistavat päätelaitteelta puhelua soittaessa ulos näkyvän numeron simuloinnin ihan vapaavalintaiseksi: puhelu reitittyy perille näyttäen tulevan aidosta numerosta, vaikka oikeasti se tulee ties mistä ihan muualta. SMS-viestillä pelittää sama kaava. Lopulta oli tehtävä päätös, että luotan siihen, että henkilö on asialla, jolla väittää olevansakin. Hänen työnsä näytti tähdelliseltä.   

Black Hat Briefings 2019 esitteli jälleen, nyt Las Vegasissa, sisäpiirintietoa tietoturvariskeistä ja uusista kyberrikollisten metkuista. Tapahtumassa turvallisuusasiantuntijat ympäri maailmaa jakoivat viimeisimmät havaintonsa. Pöydällä olivat avoimen lähdekoodin työkalut, nollapäivän hyväksikäytöt ja paljon muuta. Yllätys ei ole se, että netin alamaailma vilisee yhä mielikuvituksellisempia tietoturvauhkia. Toiminta on entistä ammattimaisempaa. Botteihin on kehitetty älytoimintoja, joita muutama vuosi sitten ei osattu edes kuvitella.

Samaan aikaan tilinteko kyberrikoksilla arkipäiväistyy

Yksi vaarallisimmista liikkeelle lasketuista haittakoodeista on nyt Echobot, joka perustuu pahamaineisen Mirai-bottiverkon koodiin. Echopot on varustuksekseen saanut rumakasti tehoa ja älyä. Mirai teki tuhojaan v. 2016 noin miljoonissa modeemissa ja hyökkäyskoodi aiheutti lukuisia tartuntoja myös Suomessa. Saksassa vain yhden viikonlopun aikana se iski 900 000 kohteeseen.

Superhaittakoodi Echopotin menetelmäpaletti tunnistaa ainakin 18:aa (tai jopa 60) eri hyökkäystapaa: se haistaa IoT-ympäristön vanhat turva-aukot ja haavoittuvuudet. Älykäs koodi vaihtaa työkalua, jos yksi ei toimi – hieman samoin kuin vanhassa maailmassa murtomiehellä rautakanki vaihtuu kirveeseen tilanteen niin vaatiessa.

Echopotin haittakoodin ajaminen etänä onnistuu ainakin seuraavien laitevalmistajien erilasissa reitittimissä, modeemeissa ja muissa tuotteissa: Citrix, D-Link, Netgear, Asus, Alcatel, Belkin, VMware ja ZeroShell. Voimme odottaa, että nimekkäät firmat päivittävät ensi tilassa laitteidensa suojauksen.

SWAPGSAttack-aukko

Vanhan sukupoven IoT –laitteet ovat myös Microsoftin arvion mukaan haavoittuvia ja reaalinen tietoturvariski. Yksi pahimmista on nyt Windows-tietokoneista paljastunut SWAPGSAttack-aukko, jonka kautta hyökkääjä pääsee käsiksi kaikkiin koneen tietoihin. Black Hat –tapahtumassa säväytti Bitdefender, joka sai kahvit väärään kurkkuun Microsoftin pääkonttorissa. Bitdefender, tuo taustaltaan romanialainen kyberturvallisuusyritys, väittää että sen löytämä aukko koskee kaikkia vuoden 2012 jälkeen valmistettuja Windows-tietokoneita, joissa on Intelin tai AMD:n prosessori. AMD tosin on kiistänyt haavoittuvuuden omissa suorittimissaan.

MS:n julkaisema tiedote korostaa, että yrityksien tulee valvoa tarkkaan avoimeen internetiin kytkettyjä laitteita ja antureita. SWAPGSAttack-aukkoa hyökkäyksissään suosii eritoten APT28-nimellä tunnettu hyökkääjä. On arveltu, että kyberrikollisten APT28 tai toiselta niemeltään Strontium-iskuryhmä nauttii Venäjän valtiojohdon suojelua, eikä se hyökkää kotimaisiin kohteisiin tai Kremlin määrittelemiin Venäjän läheisiin liittolaisiin. Ryhmä on sekaantunut vaaleihin ainakin Yhdysvalloissa ja luultavasti myös Saksassa.

Viime vuosina yleistyneet kiristäjät notPetya, WannaCry ja Mirai ovat vähentyneet tätä vuotta mentäessä. Iskussa kiristyshaittaohjelmat salaavat tietokoneen kovalevyn, ja vaativat lunnaita salauksen purkamisesta. Saamme kiittää mm. edistyksellistä päätelaitesuojausta, joka toimii kiristysohjelmia vastaan. Taas operaattoritasolla kiristyksessä käytetyn yhteyden katkaiseminen tuhosi kiristyksen ansaintalogiikan. Kyberrikollisten uusi hitti onkin louhia virtuaalivaluuttoja kaapatun tietokoneen resursseilla.

Virtuaalivaluuttaa louhivat haittaohjelmat leviävät nyt myös Suomessa

Kryptolouhijoiden esiintyvyys yrityksissä on jo kymmenkertainen kiristyshaittaohjelmiin verrattuna, kertoo Check Pointin Security Report 2019, ja jatkaa: kuitenkin vain yksi viidestä tietoturva-ammattilaisesta havaitsee tämä haittakoodin tartunnan.

Kryptolouhija näet voidaan integroida myös verkkosivun ohjelmakoodiin, tai esimerkiksi YouTuben linkkiin, jolloin valuutan louhinta käynnistyy miltei huomaamatta saastuneilla verkkosivuilla vierailleen käyttäjän selaimessa.  Varsinaista haittaohjelmatartuntaa uhrin tietokoneelle ei siis välttämättä edes tarvita – (toisaalta louhijaa voidaan tarjota selainlisäosana muutenkin). Tosin, jopa pdf-asiakirjaformaatissa voi toimia JavaScript-tiedostoja, jotka omine lupineen ajavat kaivoksia rakentavia haittakoodeja. Alkujaan Adoben luomaa pdf-formaattia pidetään turvallisena, mutta sen turvallinen käyttö vaatii asetusten tarkkaa tuntemista.

WannaMine-haittaohjelma

Maailmalla tutut Kovter ja Emotet –haittaohjelmat ovat samaa sukua; ne ovat täällä, muistuttaa Kyberturvallisuuskeskus. Kovter on verkkomainoksia klikkaileva haittaohjelma, jonka avulla verkkosivu voi keinotekoisesti lisätä omia mainostulojaan. Emotet puolestaan on monikäyttöinen haittakoodi, jonka avulla voi esimerkiksi varastaa tunnuksia tai ladata kohteeseen kaivosohjelman. Näkyvin tapaus oli alkuvuodesta Lahden kaupungin tietojärjestelmiin vaikuttanut, virtuaalivaluuttaa louhiva, ja itsestään leviävä WannaMine-haittaohjelma.

WannaMine4.0 kaivoskoodi on levinnyt 20. maaliskuuta 2019 alkaen. Sangfor-tietoturvaryhmä on jäljittänyt WannaMine-variantin Kiinaan. Leviämisnopeus on ollut huima. Sairaalaverkot se saastutti vain muutamassa päivässä, samoin kuin aiemmin WannaMine1.0, WannaMine2.0 ja WannaMine3.0.

Jostain syystä Lahdessa on eri aikoina tavattu tämän saman haittaohjelman variantteja. Suomessa helmikuun 2018 alussa Lahden kaupungin tietojärjestelmissä alkoi esiintyä häiriöitä. Häiriöt osoittautuivat WannaMinen aiheuttamaksi kuormitukseksi useissa kaupungin palvelinkoneissa. Tilannetta kuvattiin kilpajuoksuksi krakkereiden ja tietoturvatyötä tekevien välillä. Kesäkuussa 2019 Mine-koodi havaittiin yhdellä koneella, josta se ehti levitä noin tuhanteen terveydenhuollon työasemaan. Lahden kaupungin ja Päijät-Hämeen hyvinvointiyhtymän verkkojen välit katkaistiin heti, kun tilanne havaittiin. Yhteyksien katkaisu taas aiheutti merkittäviä häiriöitä Lahden terveysasemien ja hammashoitoloiden toiminnassa, ja se vaikuttaa myös sosiaalipalveluiden asiakastyöhön.

Mitä kaivosohjema tekee?

Hyökkäyksen seurauksena verkko kuormittuu – kyseessähän on kaivosohjelma, joka ottaa teknisen resurssin omaan käyttöönsä. WannaMine-varianttien pääasiallinen tarkoitus on louhia eli luoda virtuaalivaluutta Moneroa. Valuutan luomiseen vaadittava algoritmi ajaa laskutoimituksia, jotka ovat raskaita.  Orjuuttavaan louhintaan kuluu paljon aikaa ja syöttötehoa (sähköä, jonka maksaa uhri). Syntyy moneroa, joka perustuu muiden kryptovaluuttojen tapaan lohkoketjuteknologiaan. Bitcoinista Monero kuitenkin erottuu siinä, että tiedot lähettäjästä, siirrettävästä summasta ja valuutan saajasta salataan lohkoketjuun. Tästä syystä Monero sopii rikollisten tarpeisiin, esimerkiksi kiristykseen. Moneron perustaja on tuntematon. Se on vuonna 2014 luotu, avoimeen lähdekoodiin perustuva kryptovaluutta. Koodi nojautuu edeltävään CryptoNote nimiseen protokollaan, jota on parannettu mm. lohkoketjuihin perustuvilla kryptauksilla.

On hyvä muistaa, että Mozilla Firefox ei Google Chromen tavoin turvapäivitä itse itseään automaattisesti, kun selain ajetaan alas tai se kaatuu. Päinvastoin, Firefox altistuu haavoittuvuudelle (esim. CVE-2019-11707) kaatuessaan.

Project Zero

Firefox ratsastaa vanhalla avoimen lähdekoodin viitekehysmaineellaan, mutta tosiasiassa sen kanssa ilmenee ongelmia tämän tästä. Valitettavasti Tulikettu ei ole tätä päivää, kuten MS Edge tai Chrome, suurella rahalla tuotetut internetin selaajat. Firefox ylistää sitä, kuinka se on ketterä ja sieppaa muistiakin 30% vähemmän kuin Chrome. Mutta mitä se ei sivuillaan kerro on, että Google-kehittäjät hyvää hyvyyttään pitävät sitä pinnalla.

Googlen Project Zerossa työskentelevä Samuel Groß on päättänyt salata paljastamansa Firefox-haavoittuvuuden CVE-2019-11707 yksityiskohdat – ehkä koodi näyttää yleispätevältä, ja se voi olla uhka muillekin selaimille. Firefoxin versio 67.0.3 oli kesäkuussa vielä turvallinen. Yritysympäristössä vastaavasti ESR (extended support release), version turvataso voidaan tarkistaa versionumerosta. Tätä kirjoittaessa se oli 60.7.1.

Polku Firefoxin versionumeron löytämiseksi on seuraava: klikkaa valikkopainiketta Menu -> klikkaa Ohje-valikkoa ->valitse Tietoja Firefoxista. Kun Tietoja Mozilla Firefoxista -ikkuna avautuu, versionumero löytyy Firefox-tekstin alapuolelta. Numerosarja ei saisi juuri hapantua.

Apple käyttää CVE-ID-tunnuksia viittaamaan lisäinfoon WebKit-haavoittuvuuksista, ja kiittää sekin Samuel Großia, CVE-2019-8611-haavoittuvuuden jäljittämisestä. Ennen Project Zeroa, Samuel Groß on toiminut itsenäisenä turvallisuustutkijana. Hän on tutkinut selainten tietoturvaa jo useamman vuoden ajan, ja julkaissut aiheesta useita artikkeleita. Ydinasia kertoo Phrack paper JavaScript-moottorin hyväksikäyttötekniikoista. Kohteita ovat esimerkiksi JavaScriptCore, JavaScript-moottori sekä WebKit-moduuli Safar-selaimen sisällä. Viimeksi mainittu haavoittuvuus avasi Safarin kautta kernelin koodin suorittamisen MacOS-järjestelmässä. Aika paha. Ymmärrettävästi tällainen osaaminen tulee palkita, tämä entinen teekkari on nyt ylityöllistetty jakaessaan tietotaitoaan muille asiantuntijoille.

Mitä on eettinen hakkerointi?

Black hat –hakkerit eivät tee työtään kiitoksen, maineen tai runsaskätisten palkkioiden toivossa; he tekevät (usein) sen mikä on oikein. White Hat ja Black Hat on mennyt iloisesti sekaisin samoin kuin aiemmat käsitteet krakkeri ja hakkeri. Ei nimellä väliä. Eettinen hakkerointi tosin on aika hyvä termi. Sen tulkitaan merkitsevän laajempaa kehystä, kuin vain pelkästään tunkeutumistestaus. Myös sana ”sneakers” viittaa hyviksiin.

Selainkehittäjät yleensä tekevät pitkää päivää ennen Black Hat –tapahtumia. Sillä tapahtumassa, kun hakkerit vetävät suurelle näytölle ohjelmistoista löytyviä tietoturva-aukkoja: selainten tietoturva perustuu pitkälti tähän pelkoon. Siksi kai mustahattuja näkyy nyt töissä erikoisprojekteissa suurissa ohjelmistotaloissa. Tapahtuman alla Google ja Mozilla ovat perinteisesti tuoneet pikapäivityksiä, jotka paikkaavat selaimiin liittyviä vakavia tietoturva-aukkoja. Kesäkuumilla korjaussarjat tulevat kuin vuorovesi, ne kannattaa hyväksyä.

” Tietoturva-ajattelun kannalta tämä tilanne, jossa puhutaan asioista niiden oikeilla nimillä, ei varsinaisesti ole paha. Se nostaa pintaan sellaista, mikä vakiintuneissa oloissa jäisi syvyyksiin.”

Huaweita koskevat vientirajoitukset USA:ssa voivat aiheuttaa riskejä Yhdysvaltojen kansalliselle turvallisuudelle, paljastaa talouslehti Financial Times. Lehden lähteiden mukaan Googlen johto vaatii Yhdysvaltojen viranomaisilta vapautusta Googlelle langetusta kiellosta toimittaa teknologiaa Huaweille. Hyvää hyvyyttään? Ei aivan. Huolenaiheina mainitaan se, että Huawei kehittää Android-käyttöjärjestelmän avoimesta koodista oman versionsa, joka taas ei olisi yhtä turvallinen kuin Googlen oma Android. Tämä jollakin tavoin, pohtii Financial Times, taas vaarantaisi USA:n kansallista turvallisuutta.

Miten tämä vaikuttaa Yhdysvaltojen kansalliseen turvallisuuteen?

Tietoturva-asiantuntijat osaavat valottaa asiaa: Googlen Androidiin poraamat takaportit ovat melkein julkinen salaisuus, ja niiden mahdollistama datan käyttö on osa kansallista turvallisuusstrategiaa yhtiön kotimaassa. Sen sijaan, jos Android pilkkoutuu eri versioiksi – poraa Kiina käyttöjärjestelmään omat takaporttinsa, eivätkä eri versioiden kernelit enää ole keskenään täysin yhteensopivia. Kaikki avoimeen koodiin tehtävät omat spesifikaatiot täytyy julkistaa, mutta hullukaan ei mene kertomaan tekemistään turva-aukoista.

Googlen johtajille luulisi olevan suht’ kiusallista huomautella kansalliseen turvallisuuteen liittyvistä käyttöjärjestelmien ulottuvuuksia. Ehkä se tapahtuukin hätätilassa; Valkoisen Talon kerrotaan olevan kaoottisessa tilassa. Ovi käy tiuhaan. Varsinkin tiedotus- ja turvallisuuspuolen henkilöstöä tulee ja menee kuin hollintuvassa. Entiset White Housen työntekijät ovat kuvanneet helvetillistä menoa Valkoisen talon seinien sisällä – eräskin ”sattumalta paikalla olleena” väittää estäneensä sodanjulistuksen Pohjois-Korealle, ja näin muodoin kolmannen maailmansodan puhkeamisen. Jos näissä tarinoissa on puoletkin totta, elämme veitsenterällä koko maailmassa.

Todennäköisesti presidentti on siinä sivussa sotkenut pahemman kerran asioita sanellessaan Googlelle kiinalaista Huaweita koskevia päätöksiä. Nämä ovat hyvin impulsiivisia twiittauksia, mutta muuttuvat arvovaltakysymyksiksi, ja helposti siitä edelleen laiksi ja asetuksiksi. Osittain Huaweita painetaan sen teknisen ylivertaisuuden takia, totta. Ylivertainen saa olla, mutta sen ylivertaisuuden tulee pysyä Yhdysvaltain vaikutuspiirissä olevissa maissa pääkonttoriaan pitävien yhtiöiden hallussa.

Millainen on tietoturva-ajattelun kanta?

Tietoturva-ajattelun kannalta tämä tilanne, jossa puhutaan asioista niiden oikeille nimillä, ei varsinaisesti ole paha. Se nostaa pintaan sellaista, mikä vakiintuneissa oloissa jäisi syvyyksiin. Nyt kansainvälisen tilanteen ja kauppasotien kärjistyessä, kaikkien sodassa kaikkia vastaan, ehkä tehdään myös teknologian uusjako. Yhdysvalloissa on ollut softa- ja palvelinosaaminen. Nyt sekin valtti on vaarassa pirstaloitua palasiksi maailmalle, kuin se kuuluisa Sampo suomalaisessa kansallistarustossa. Yksinvaltias kukistuu, koska sen varjo on kuin suuri seetri, joka alkaa varjostaa koko maailmaa, Gilgamesh-eeposta mukaillen.

Entäpä Šiva, joka esittää tuhoavaa ja uutta luovaa kosmista tanssiaan kaiken keskipisteessä – maailman palaessa. Šiva pitelee usein kapeaa rumpua, joka edustaa rytmin ja tanssin lisäksi maailman luomista ja voi olla taiteellisuuden vertauskuva. Energiaa ei voi padota.

Microsoft on korjannut nopeasti viisi haavoittuvuutta, jotka yhtiötä antaumuksella kiusaava krakkeri on jo julkaissut koko maailman tietoon. Tämä kyber-Šiva, SandboxEscaper-nimeltään, kaivaa Windowsista esiin haavoittuvuuksia ja julkaisee niitä valmiiden hyökkäysohjelmaesimerkkikoodien kera, huvikseen. Miten hän tietää kaiken? Microsoft Windowsissa on tällä erää 21 kriittistä haavoittuvuutta. Jotkut lähteet puhuvat kaikkiaan 88 haavoittuvuudesta.

Jos voisin vaikuttaa siihen, kuka palkitaan seuraavalla valtion tiedonjulkistamispalkinnolla, se olisi Yle Tv1:ssä maanantai-iltaisin MOT-ohjelman paikalla nähtävä Digihuijatut. Viisiosainen sarja on saanut ansaitsemaansa huomiota. Osassa kolme näimme ykkösluokan vaarallisen Zeus-koodin kiristystoiminnassa. Säntillinen taustoitus paransi kokonaisuutta. Erityyppisten kyberrikosten uhreja pyydetään raportissa kertomaan karu tarinansa. Lisädramatisointia siinä ei tarvita.

Ohjelmalla on tärkeä viesti

On hyvä idea pistää jakoon tositarinoita digimaailman tavallisimmista kyberrikoksista. Rikokset saavat kummasti katu-uskottavuutta, kun häikäilemättömien rikosten uhriksi joutuneet kertovat kokemuksistaan omilla kasvoillaan. Ohjelman tekijät haluavat kertoa tarinoita, että ihmiset ymmärtävät, että kuka tahansa voi tulla huijatuksi karkealla tavalla. ”Monelle uhrille oli tärkeää huomata, ettei jonkun muun tarvitse olla tässä samassa tilanteessa, jos he kertovat kokemuksistaan. Taustalla oli vilpitön tahto auttaa muita.” Jaetut neuvot ovat hyödyllisiä: rikokset ovat kaavan mukaisia, ja taas niiden selvittely pitkällistä ja tuskaista. Tililtä on hävinnyt paljon rahaa ja pankki vielä syyttänyt asiasta; ”huolimattomuudesta”. Näin kyseessä on asiakkaan oma vastuu.

Jos tieto rikoksista ei leviä, kyberrikolliset voivat hyödyntää samaa teon kaavaa yhä vain – ja jatkaa ryöstelyä. Identiteettivarkauden uhrit puolestaan kertovat, miten postiluukusta alkoi tulla laskuja ostoksista, joita he eivät olleet tehneet. Entä miten ahdistavaa ja työlästä rikoksen uhrina on setviä omiin nimiin tulevien väärien laskujen tulvaa.

Sarjan kolmas jakso painotti selviytymiskeinoja Zeus-pankkihaittaohjelman iskiessä. Sen pirulliseen rakenteelliseen toimintaan on syytä perehtyä. Nyt kiusana on ohjelman ties mones variantti, vieläpä vapaasti satavilla.

Tietämystä ei ole liikaa

Tietoturva-alalla työskentelevien tai alaan muuten orientoituneiden tietämys Zeuksesta ja pankkihaittaohjelmien toiminnasta tuskin on liiallista. Samoin uhrin osa: pysyminen tyynenä on ykkönen, vaikka näyttäisi siltä, kuten Digihuijarit 3-osassa demonstroitiin, että tapahtuu peruuttamattomia vahinkoja. Kiristäjä on juuri tuhoamassa väitöskirjan tekstitiedoston käyttäjän silmien alla – hänen omalla koneellaan työpöydältä. Tosi asiassa kyse on taitavasta feikkauksesta.

Suomessa Zeusta on tutkittu asentamalla se virtuaaliseen testiympäristöön. Työn tuotoksena Haaga-Helian tietojenkäsittelyn koulutusohjelmassa syntyi teoriamateriaalia, jonka avulla Zeuksen ja pankkihaittaohjelmien toimintaa on helpompi havainnollistaa asiasta kiinnostuneille. Tätä tutkimiseen käytettyä testiympäristöä on käytetty myös muiden vastaavien haittaohjelmien tutkimiseen. Tähtäin on löytää lainalaisuuksia, joilla hyökkäys voidaan torpata.

Materiaaleista kautta linjan käy ilmi Zeus-tartunnan havaitsemisen vaikeus. Edes suojatusta yhteydestä kertova lukon kuva nettiselaimen osoitepalkissa ei takaa pankkitunnusten turvallisesta käytöstä. Haaga-Heliassa testipenkin kehittänyt Jussi Leskinen korostaa Windows-käyttöjärjestelmien tuntemista. Se näet helpottaa Zeuksen toiminnan ymmärtämistä. Sen sijaan Zeuksen lähdekoodin tutkiminen tai haittaohjelman ns. takaisinmallinnus eivät juuri auta tosi tilanteessa.

Viikon tärppi: Tulisi aina miettiä kahdesti, ennen kuin lataa yhtään mitään.

Uusi tulokas BeiTaAdi on erittäin huolellisesti kätketty aggressiivinen Android-ympäristön mainosohjelma, joka on ladattu sellainen 440 miljoonaa kertaa – ihan vain loisena hyötyohjelmien mukana. Jäljet johtavat taas kerran Kiinaan.

Haavoittuvuuksia korjataan päivittämällä prosessorissa ja muissa piirilevyille integroiduissa komponenteissa toimivaa sulautettua mikrokoodia. Vielä muutama vuosi sitten piirien haavoittuvuutta luultiin erittäin poikkeukselliseksi. Siitä on tullut arkipäivää.

Suorittimen mikrokoodi hyökkäyksen kohteena

ZombieLoadin, RIDL:n ja Falloutin hyökkäysten kohteena on pelkästään suorittimen mikrokoodi. Hyökkääjät ovat viimeksi keksineet hyväksikäyttää prosessorien tapaa ennakoida käskyjen suoritusta. Mikrokoodia paikkaavat päivitykset tulevat emolevy- ja prosessorivalmistajilta, samaan tapaan kuin softapuolella paikat käyttöjärjestelmävalmistajilta, entistä useimmin rauta- ja softavalmistajat toimivat yhdessä. Päivitykset tulevat emolevy- ja käyttöjärjestelmävalmistajilta, mutta jakelu voi tapahtua käyttöjärjestelmäpohjaisesti.

Mikrokoodin päivitys tulee asentaa sitä mukaa, kun päivitykset ovat saatavilla, koska haittakoodit vaikuttavat nopeasti prosessorin suorituskykyyn.

Mikrokoodipaikkojen jakelu tapahtuu emolevyjen BIOS-päivityksillä mutta entistä useammin myös käyttöjärjestelmän mukana jaettavalla päivityksellä. Käyttöjärjestelmä näyttää lataavan mikrokoodipäivityksen prosessoriin automaattisesti, kun kone resetoidaan ja käynnistetään uudelleen. Prosessorivalmistaja AMD on tarjonnut Windows-päivitysten osana paikan Spectre-haavoittuvuuden ykkösvarianttia vastaan. Kakkosvariantin takia tehtiin sama jakelu. AMD:n Bulldozerin mikrokoodin arkkitehtuurin paikka (vuoteen 2011 asti) tulee synkronissa Windows 10 -käyttöjärjestelmän tuoreimman päivitysversion kanssa.

Prosessorivalmistajat pyrkivät lisäämään läpinäkyvyyttä

Esimerkiksi prosessorivalmistaja Intel on tiedottanut jo tovin tuotteidensa haavoittuvuuksiin liittyen:

Microarchitectural Data Sampling Advisory

Side Channel Vulnerability Microarchitectural Data Sampling

Microarchitectural Data Sampling

Deep Dive: Intel Analysis of Microarchitectural Data Sampling

Microcode revision guidance

Intelin raportoimien hyökkäysten kohteena työasemakäyttäjien lisäksi voi toimia myös palvelimet, joilla toimii esimerkiksi pilvipalveluita. Tiedotuksessaan Intel kiistää, että sen kahdeksannen ja yhdeksännen sukupolven Intel Core -suorittimet tai toisen sukupolven Intel Xeon Scalable -suorittimet olisivat haavoittuvia. Periaatteessa valmistajavastuu raudan bugeista säilyy aivan samoin kuin softavalmistajilla. Tilanne tosin on vielä koko lailla uusi.

Saastunut mikrokoodi on jo vuosia sitten todennettu käytössä IoT-ympäristön kiinalaisessa halpaelektroniikassa. Osittain se onkin Huawein ongelmien perimmäinen syy. Huaweilla on ikään kuin käänteinen todistustaakka, etteivät sen kojeet sellaista tee. Osittain syy – amerikkalaisten yritykseen pudottaa Huawei – johtuu luurin kehittymisestä 5G-ympäristössä, NarrowBandissa, 2FA:ssa ja mm. näyttöteknologiassa. (muuten NarrowBand eli NB-IoT ylisummaan on nyt valtavissa vaikeuksissa, vaikka teknologiaa on hehkutettu monta vuotta)

2FA:ssa puhuttiin aiemmin mm. siitäkin, että mobiilimaksamisen auditoinnissa mennään yhä vain väärään suuntaan. Kun taas Huawein koje tarjoaa loistavia mahdollisuuksia vahventaa tunnistusta. Ei kannata kysyä, kuka tätä Huawein vastaista peliä USA:ssa ohjaa. Huawei näkeekin asian puhtaasti oikeudellisena kysymyksenä. Huawein kuuleminen tapahtuu tuomioistuimessa Teksasissa 19. syyskuuta. Enemmin tai myöhemmin kaikki mennee uusjakoon. Huaweissa osaavat rakentaa Linuxista oman mobiilikäyttöjärjestelmän.

Emme enää saa helposti selville, voiko meitä vakoilla joku huippuhieno älyluuri? Nyt huhutaan Huawein tekevän jotain sellaista.

Applikaatiot on tähän asti voitu vielä tutkia ja skannata. Mutta modernien mikropiirien kompleksisuus on sitä luokkaa, että niiden analysointi ei niin vain tapahdukaan. Piirillä näkyy toimivan useita itsenäisiä tietokoneita, joilla on omat ohjelmansa, jotka eivät näy ulospäin. Joihinkin näistä on sitten voitu tietty piilottaa jotain ylimääräistä toiminnallisuutta. Toiminnallisuus, jos sitä on, toimii mikrolähdekoodin firmwaressa, näin sanoaksemme. Se ei ole scifiä.

Evästeet on vielä ymmärrettävä torpata

Jos haluamme helpolla tavalla suojautua kaikkialle ulottuvalta data-analytiikalta, siihen löytyy nyt mittava välinearsenaali. Mahdollista on käyttää esimerkiksi selaimen lisäosia kuten Privacy Badger, Ghostery ja Disconnect, jotka estävät seurannan melko kattavasti – ja automaattisesti torppaamaan näkymättömät jäljittimet. Electronic Frontier Foundation, EFF, digitaalisten oikeuksien kansalaisjärjestön kehittämä vahti lupaa, että se oppii automaattisesti eristämään jäljittäjäevästeet: Privacy Badger torppaa datarosvo-haitakkeen, kun tämä on tavattu kolmella eri sivulla.

Privacy Badgerin äly riittää erittelemään näkymättömiä seurantaohjelmia, ja tekemään niitä koskevia ratkaisuja. Privacy Badger myös näyttää jokaisella sivustolla, mitä evästeitä se löytää. Jokaisen evästeen kohdalla ohjelma myös kertoo, onko se estetty vai ei. Tämän jälkeen voi itse valita, mitä evästeitä haluaa estää. Torppari lähettää kohteeseen Do Not Track -komennon. Badger oppii estämään ne sivustot, jotka eivät tosi asiassa itse estä evästeitään toimimasta, vaikka kysyvät suostumusta, ja alkaa torpata keksejä, kun se näkee saman seurannan kolmella eri verkkosivustolla. Käsipelillä pidetty luettelo torpattavista jäljittäjistä ei ole ihan tätä päivää. Työvälineet pystyvät analysoimaan, mitkä verkkotunnukset seuraavat meitä nettiselaamisen aikana.

Random Agent Spoofer, sen laajempi versio Githubissa, sekä Secret Agent ovat laajennuksia, joiden tarkoitus on jakaa väärää tietoa ja estää siten kävijöiden yksilöinti. Light­beam, Firefoxin laajennus visualisoi seurannan. Upea peli.

Adnauseam-selainohjelma (https://adnauseam.io) puolestaan klikkaa taustalla jokaista verkkosivujen mainosta. Se estää niiden näkymisen. Tämä kilke klikkailee näkymättömiä mainoksia ja lähettää järjettömän paljon turhaa tietoa data-analyysiin. Seuraus: yksilöivä tarkkailu vaikeutuu. Nettisivuilla piilottelevat ns. kolmannen osapuolen evästeet ovat epäreilujen mainostajien ja ties minkä valtakunnan nuuskijoiden keino yksityisyyden murtamiseksi.

Näitä toimintoja voi kontrolloida, esimerkkinä Firefox:

The Beacon-Enabled Mode -> vaihda arvoksi false – estää linkkien seurantaa/auditointia. 
Browser.cache.offline.enable -> vaihda arvoksi false – tämä estää offline-tietojen säilytyksen.
Browser.send_pings -> vaihda arvoksi false – loppu linkkien klikkauksien tarkkailulle.
Dom.storage.enabled -> vaihda arvoksi false – säätö estää DOM-tietojen tallennuksen (mutta voi tuottaa ongelmia).
Network.cookie.lifetimePolicy -> vaihda arvoksi 2 – asetus tuhoaa evästeet selaimen sulkemisen jälkeen.
Network.dns.disablePrefetch -> vaihda arvoksi true – se estää ennakoivan dns-tietojen haun.
Network.prefetch-next -> vaihda arvoksi false – ja ns. ennakoiva sivujen lataus ei enää toimi.
webgl.disabled -> vaihda arvoksi true – poistaa tietoturva- ja yksityisyysriskin.

Tilitietojen väärennys huijaus

Traficomissa toimiva Kyberturvallisuuskeskus varoittaa viime aikoina yleistyneestä ja palkanlaskentaan kohdistuvasta huijauksesta. Siinä yritetään vaihtaa työntekijän palkanmaksun tilitiedot hyökkääjän tiliksi. Väärennetyissä sähköpostiviesteissä on lähettäjänä määrätyn työntekijän nimi, jonka palkat halutaan ohjata väärälle tilille. Botti, jonkinlainen rootkit-troijalainen, on varastanut datan, josta algoritmi sorvaa huijausviestejä.

Uudenlainen datarosvo pystyy asentumaan puhelimiin pelkästään soittamalla luuriin WhatsAppin puhelusovelluksella. Haittaohjelman väitetään (Sky Newsillä) asentuvan ilman, että käyttäjä olisi puheluun edes vastannut. Sekä Android- että Iphone-puhelimet ovat haavoittuvia. Maailmanlaajuisesti WhatsAppia käyttää arviolta 1,5 miljardia ihmistä.

En tiedä, kuinka monta Windowsia olen ladannut, mutta monta ja käyttänyt melkein kaikkia sen versioita. Useinkin olen jäänyt ihmettelemään käyttöjärjestelmän häiriöherkkyyttä ja suht’ pikaista korruptoitumista – siihen lienee useita syitä, mutta yksi merkittävä liittyy Update-ketjuihin.

Windowsista vaatimattomalla 30 vuoden kokemuksella voin sanoa, ettei siinä teknisiä asioita ole tehty kovinkaan kunnianhimoisesti. Microsoft aikanaan toimi kyllä hyvinkin määrätietoisen häikäilemättömästi hankkiessaan itselleen Borlandin omistaman Mac-pohjaisen julkaisuohjelman; lakkauttaessaan FullWriten kehityksen – ja siirtäessään sen visuaalisen ilmeen Windows-käyttöjärjestelmäänsä. Windowsin animointi (latinan sanasta animatio ’elävöittäminen’) ei ollut ihan samaa tasoa kuin legendaarinen FullWrite, eikä muuten ole sitä vieläkään. Joku intuitiivisuus ja hauskuus Windowsista on jäänyt puuttumaan – mutta visuaalinen kokonaisuus toimii.

Sitten: tekniikka, josta jo Linus Torvalds sanoi, että se on keskinkertainen, ja siksi Windows ei häntä ratkaisuna juurikaan kiinnosta. Tietoturvan osalta tämä asiantila, kuinka katastrofaalinen käyttöjärjestelmä tosi asiassa on, valkenee vasta kouriin tuntuvien esimerkkien kautta.

Windows Update

Windows Update on liian monimutkainen juttu, jotta ohjelmistotalo Microsoft selviäisi siitä kunnolla. Näet, kun päivitysketju kerran menee rikki, se kuitataan ilmoituksella ”error 0x800177F2”, eivätkä seuraavatkaan päivitykset enää asennu. Tietokone korruptoituu niin, että Windows on asennettava uudelleen. Windowsista puuttuu selkeä toiminto, jonka avulla pystyisi asentamaan koko päivitysketjun uudelleen tarvittaessa. Windowsin kanssa ei ole vielä päästy niin pitkälle, vaikka tuollainen toiminto on ollut jo ennen Windowsia esimerkiksi Novelilla NetWaressa.

Mitä voi tehdä:

1) Ison päivityksen asentamisen jälkeen on syytä aina manuaalisesti tehdä restore point, palautuspiste. Restore Point Creator täydentää Windowsin omaa järjestelmän palautustoimintoa. Point Creatorilla voi sekä luoda palautuspisteen, poistaa palautuspisteen, tutkia kaikkia palautuspisteitä, että palauttaa järjestelmän ennalleen. Tehty palautepiste otetaan käyttöön vakavissa ongelmissa; tämä on yksi viimeiseistä keinoista estää käyttöjärjestelmän korruptoituminen ja käyttiksen uudelleen lataus.

2) Löytyy myös tapa käyttää WSUS Offline –päivitysasennusohjelmaa muistitikulla – ja päivitys kerrallaan käydä manuaalisesti läpi kaikki päivitysketjun osat. Mallissa Windows (ainakin sen vanhat versiot) ilmoittavat, jos tarjottava päivitys onkin jo ladattu koneelle. Tämä tosin vaatii mikrotuen osaamista vastaavan käyttäjätason. Jos päivitysketju menee rikki, järjestelmän vanhat turva-aukot vastoin oletusta jäävätkin auki. Tämä on ollut jonkinmoinen liike salaisuus Microsoftissa, mutta nyt yhtiö on muuttamassa kurssiaan.

Päivitysketjujen haavoittuvuus

Yhtymä tuli ulos kaapista, ja päätti poikkeuksellisesti julkaista turva-aukkokorjauksen myös Win 2003:lle ja XP:lle. CVE-2019-0708-koodinimieä kantava haavoittuvuus, voi Microsoftin mukaan synnyttää uuden globaalin haittaohjelmaepidemian, joten omia jälkiä täytyy paikkailla. Windows XP oli asiallisesti jätetty tietoturvatuen ulkopuolelle jo vuonna 2014, jotta käyttäjät ymmärtäisivät yskän ja hankkisivat käyttöönsä uusia Windows-versioita. Uusi aukko ei kosketa Windows 8:aa tai Windows 10:tä, mutta haavoittuvia ovat Windows 7, Windows Server 2008 R2, Windows Server 2008 sekä tuen ulkopuolella olevat Windows Server 2003 ja Windows XP.

Microsoft laittaa paikat 2003:lle ja XP:lle, mutta nähdäkseni suurin ongelma ovat nuo järeät Server-ohjelmat, joiden konffaus on ammattilaisten heiniä. Kaikesta päätellen tämä remontti koskee em. päivitysketjuihin liittyvää haavoittuvuutta, joka on järjestelmän arkkitehtuurin perusbugi. Automaattinen Windows-päivitysketju on hajonnut joidenkin palvelinversioiden osalta. Eräässä tapauksessa Server haki pikapäivityksen, mutta kertoi, että jätti osan yhteensä 79 paikasta ensi kuuhun.

Myös työasemien kanssa saattaa ilmetä mitä kiehtovimpia ongelmia. Työasemat näyttävät Ilmoituksia, että järjestelmän päivitys ja uudelleen käynnistys tapahtuisi seuraavana yönä. Aamulla kuitenkin havaitaan, ettei mitään olekaan tapahtunut. Sellaista.

Kalastelu jatkuu ja uhreiksi päätyy myös tietotekniikan kanssa sinunkaupat tehneitä konkarikäyttäjiä – No niin, heille sitten voikin olla sitä suurempi kynnys raportoida jymäytetyksi joutumisestaan.

Taas kerran aloitamme tietoturvan perusasioista. Kirjautuessa verkkopankkiin tai muuhun transaktiot mahdollistavaan palveluun tarkistetaan ensimmäisenä, että yhteydessä on verkkoliikennettä salaava SSL-protokolla käytössä – sekä siihen liittyen löytyy myös kaksivaiheinen tunnistus. Tämän lisäksi nykyisin yhteys on hyvä lisä varmentaa VPN-putkella. Verkkopankkisession jälkeen selaushistoria tyhjenee yhdellä klikkauksella.

Miksi?

Jos kakku väliaikaistiedostoja jää selainmuistiin, tulee mahdolliseksi ”cache poisoning”. Tämä vaikeasti torjuttava haavoittuvuus taas saastuttaa selaimen. Se on välimuisti, jonka kautta voidaan varastaa kriittistä tietoa. On muutenkin syytä suhtautua suurella varauksella selainmuistin kanssa pelaamiseen.

Google mainostaa Chrome-laajennuksena toimivaa Docsin offline-tilaa. Siinä voi ”työskennellä offline-tilassa Google Docs -tuoteperheen avulla”. On totta, että Google Drive –tiedostoja voi käyttää tämän laajennuksen avulla ilman nettiyhteyttä – esimerkiksi lentokoneessa. Näppärää, mutta kun löytyy haavoittuvuus, joka suosii tätä offline-toimintoa, ei vastaa tarkoitustaan. Hyökkääjä kehottaa offline-tilassa suorittamaan Google-sovellusten komentosarjan, joka sitten noutaa Google Driveen tallennetut haittaohjelmat, kertoo Trendmicro. Infektioketju muistuttaa vanhaa Office-asiakirjojen makro-haittaohjelmahyökkäystä. Bravo, polkupyörä on keksitty uudelleen!

Älkää silti langetko, hyvät ihmiset:

Pääsemme säätöihin oikean yläkulman Chrome-valikosta.
Muokkaaminen ja hallinta -> lisää työkaluja ->laajennukset.
Melkein kaikki härpäkkeet kiinni kiitos, jos emme tiedä niitä tarvitsevamme – eritoten No Coin, jos ei ole suuntautunut selainpohjaiseen kaivostoimintaan. Louhinta tietty voi kiehtoa, mutta ei sitä voi suositella maallikoille, riskibisnestä.

Lisää peruskauraa:

Emme avaa sähköpostiin tulleita linkkejä, joissa kehotetaan vaihtamaan salasana, ellemme ole itse nimenomaisesti pyytäneet kyseiseltä verkkopalvelulta salasanan vaihtoa (silloinkin e-mailiin tulee vain varmistus salasanan vaihtumisesta). Jos taas sähköpostiviestissä pyydetään kirjautumaan asiakastilille, emme vahingossakaan klikkaa sähköpostitse tullutta linkkiä. Luotetun verkkosivun domain kirjoitetaan selaimeen ja kirjaudutaan normaalisti palveluun. Hyperlinkki ehkä näyttää aidolta, mutta asiantilan voi tarkistaa helposti, onko html-koodiin piilotettukin toinen nettisoite; viemme hiiren osoittimen hyperlinkin päälle ja alapalkissa näkyy websivu, minne klikkaus on johtamassa. Tämä on tunnettu netin alkuaikojen huijausmetodi, mutta nyt näköjään polkupyörä on taas kerran keksitty uudelleen.

Sähköpostipalvelun asetuksista voi kääntää viestit toimimaan vain tekstimuodossa, jolloin viruksia ja huijauslinkkejä ei voi olla tekstikentässä, liitetiedostoissa yhä kylläkin entiseen tapaan. Tarvittaessa, sivun voi kääntää asetuksista näyttämään grafiikka ja muotoilut.

Tässä voidaan puhua tietoturvakulttuurista – asiat tehdään, tai opetallaan tekemään turvallisuusrutiinin mukaan, vaikka tietty aikaa siinä palaa. Kärsivällisyyden kehittäminen taas luetaan elämäntaitoihin, joilla on leikkauspinta osaamiseen.