Tietokonevirukset leviävät internetissä ennennäkemättömän tehokkaasti. Aiemmin niitä nikkaroitiin näyttämisen halusta, mutta viime vuosina haittaohjelmien tehtailusta on tullut rikollista toimintaa.


Aiemmin niitä nikkaroitiin näyttämisen halusta, mutta viime vuosina
haittaohjelmien tehtailusta on tullut rikollista toimintaa.




Viime keväänä amerikkalainen James Ancheta tuomittiin lähes viiden vuoden vankeuteen ja huomattaviin vahingonkorvauksiin tietokonerikoksista ja petoksista. 20-vuotias Bemarilla ajellut ohjelmanikkari oli tienannut kavereidensa kanssa kuusinumeroisen summan rikollista rahaa. Interenetissä levittämiensä haittaohjelmien avulla Ancheta pääsi käsiksi lähes puoleen miljoonaan tietokoneeseen - niiden omistajien huomaamatta.

Koneista muodostamaansa hyökkäysverkkoa hän sitten käytti erilaisiin roskaposti- ja häirintäoperaatioihin tai vuokrasi rikollisille.

Vankeustuomion päälle rapsahti vielä kolmen vuoden valvottu koeaika, ja Bemarikin meni valtiolle.

Losangelesilainen tuomioistuin perusteli tuomion kovuutta sillä, että toiminta oli suunnitelmallista ja ammattimaista.




Haittaohjelmia monta tyyppiä


- Virukset ovat haittaohjelmia, jotka levitäkseen tarvitsevat isäntätiedoston. 
- Madot levittävät itse itseään kopioitumalla.
- Troijalaiset ovat ohjelmia, jotka tekevät jotakin muuta kuin päällepäin näyttää. Troijalainen voi naamioitua näytönsäästäjäksi tai näppäräksi apuohjelmaksi, mutta todellisuudessa se avaa käyttäjän tietokoneen hakkereille tai asentaa koneeseen muita haittaohjelmia.
- Vakoiluohjelmat (spyware) tonkivat tietoja käyttäjästä. Vakoiluohjelma saattaa esimerkiksi katsoa, millä nettisivuilla käyttäjä surffailee, ja lähettää tiedot mainostajille. Vaarallisemmat tapaukset urkkivat esiin käyttäjien pankkitunnuksia ja luottokorttitietoja tai yritysten luottamuksellista materiaalia.
- Näppäimistökaapparit (keyloggerit, keyboardloggers) tallentavat kirjain kirjaimelta, mitä käyttäjä koneellaan naputtelee. Ne ovat tehokas työkalu sekä sähköpostiliikenteen että muiden henkilökohtaisten tietojen urkkimiseen. Joissakin maissa työnantajat voivat laillisesti asentaa keyloggereita työtietokoneisiin, mutta Suomessa tämä on kiellettyä.
- Diallerit ovat nykyisin melkoisen harvinaisia, sillä ne vaativat modeemin toimiakseen. Kyseiset ohjelmat katkaisivat käyttäjän modeemipuhelun ja siirsivät sen toiseen numeroon, jonka minuuttilaskutus saattoi olla huikea. Diallereita levitetään pääasiassa pornosivuilla.



Nyt puhutaan haittaohjelmista

Tietokoneviruksista puhutaan mediassa varsin vähän. Tästä voi tulla harhakuva, että ne ovat harvinainen ilmiö. Tosiasiassa aktiivisia viruksia on tälläkin hetkellä liikkeellä 70 000-150 000. Tietoturvayhtiöt löytävät kymmeniä uusia viruksia joka päivä, pahimmillaan jopa satoja. Onneksi useimmat näistä ovat muunnelmia vanhoista viruksista. Sellaisia, jotka vaativat ripeää reagointia, on vuorokaudessa vajaat kymmenkunta.

Virus on oikeastaan vanhentunut ilmaus, sillä se on vain yksi haitallisten ohjelmien alalaji. Nykyisin tietoturvafirmoissa käytetään yhteisnimitystä malware eli haittakoodi tai haittaohjelmat. Haittaohjelmia on vaikea luokitella tarkasti, sillä ne tekevät usein yhteistyötä tai ovat yhdistelmiä eri ohjelmatyypeistä. Uusia tyyppejä myös ilmestyy jatkuvasti.

Hyvä esimerkki haittaohjelmien yhteistyöstä ja niiden käytöstä tietokonerikollisuudessa on Multidropper.BFX-niminen sähköpostitse levinnyt ohjelma. Sähköpostin otsikkona oli Slobodan Milosevic was killed, mikä houkutteli vastaanottajan lukemaan viestin. Jos hän erehtyi avaamaan viestin liitetiedoston, ohjelma asensi koneeseen uusia haittaohjelmia. Yksi näistä kaappasi vastaanottajan verkkopankkitunnukset, toinen toimitti ne ohjelman tekijälle.


Internet kiihdytti vauhdin

Virukset tarttuvat, kun tietokoneiden välillä siirtyy tietoa tavalla tai toisella, esimerkiksi netitse tai rompuilla.
Varsinaiset tietokonevirukset ovat parasiitteja, jotka tarvitsevat isäntätiedoston pystyäkseen leviämään. Kun käyttäjä ajaa tai avaa viruksen saastuttaman tiedoston, virus aktivoituu ja alkaa etsiä käyttäjän koneesta tiedostoja, jotka se voisi saastuttaa edelleen.

Loisvirukset olivat voimissaan, kun käyttäjät vielä vaihtoivat tiedostoja levykkeillä, mutta internet on tehnyt niistä vanhanaikaisia. Vanhat virukset kulkeutuivat esimerkiksi Yhdysvalloista Suomeen muutamassa viikossa. Nykyiset sähköposti- ja verkkomadot leviävät minuuteissa ympäri maapallon.

Madot ovat pieniä ohjelmia, jotka leviävät netissä itsenäisesti. Matojen yleisin ja toistaiseksi haitallisin tyyppi, sähköpostimadot, etenee sähköpostien liitetiedostoina. Luultavasti kuuluisin sähköpostimato on vuonna 2000 riehunut LoveLetter. Se lähetti tietokoneisiin viestin, jonka otsikkona oli houkuttelevasti ILOVEYOU. Kun saaja avasi liitetiedoston, virus tutki Outlook-ohjelman osoitekirjan ja lähetti itsestään kopion kaikille siinä luetelluille.
Toinen matotyyppi, autonomiset verkkomadot, toimii täysin itsenäisesti. Nämä lierot livahtavat tietokoneisiin käyttöjärjestelmästä tai jostakin ohjelmasta löytyvän turva-aukon kautta. Saastutettuaan koneen haittaohjelma alkaa tutkia internetiä ja etsiä muita koneita, joista löytyy paikkaamaton turva-aukko. Käyttäjä voi olla täysin tietämätön koneensa infektoitumisesta.

Pahimmillaan nettimadot leviävät eksponentiaalisesti. Esimerkiksi 2003 ilmestynyt SQLSlammer-nettimato saastutti käytännössä kaikki internetistä löytämänsä haavoittuvat koneet varttitunnissa.


Kotikoneista roskapostittajia

Käytännössä kaikki virukset olivat vuoteen 2003 saakka harrastelijoiden työtä. Virusten ja matojen piti ainoastaan levitä ja tehdä ilkivaltaa, kuten tuhota saastutettujen koneiden tiedostoja. Haittaohjelmien tehtailijat kuitenkin havaitsivat, että niillä voi tienata rahaakin.

Vuonna 2003 levinnyttä Fizzer-sähköpostimatoa pidetään lähtölaukauksena virustehtailun muuttumisessa rikolliseksi toiminnaksi. Mato asensi saastuttamiinsa koneisiin web-palvelimen, joka mahdollisti nettisivujen perustamisen koneisiin niin, että omistajat eivät huomanneet mitään. Nettisivuilla kaupiteltiin lääkkeitä ja pornoa. Virukseen kuului myös niin sanottu takaoviohjelma, jonka avulla virusnikkari pääsi hallitsemaan käyttäjän tietokonetta.

Nettimadot muuttavat tavallisten ihmisten tietokoneet palvelimiksi, jotka syytävät satojatuhansia roskapostiviestejä pitkin maailmaa. Näin postitus ei maksa rikollisille mitään ja heitä on vaikea saada kiinni. Tällä hetkellä arviolta 70 prosenttia kaikesta roskapostista lähtee virusten saastuttamilta kotikoneilta.

Haittaohjelmien tekijöille roskapostitus on toistaiseksi helpoin tapa tienata. Jos lähetetään miljoona roskapostia ja yksikin prosentti vastaanottajista ostaa kaupitellun, esimerkiksi 30 euroa maksavan tuotteen, rahaa kertyy 300 000 euroa.


Zombiverkoilla kiristetään

Kun koneeseen pesiytyy haittaohjelma, joka mahdollistaa sen hallinnan, sitä kutsutaan zombiksi tai botiksi. Tällaisten koneiden muodostamalla verkolla (zombiverkko, bottiverkko, botnetti) voi tehdä niin sanottuja palvelunestohyökkäyksiä eli  komentaa koneet lähettämään tietopaketteja johonkin tiettyyn osoitteeseen. Tämä on kuin kertoisi sadalletuhannelle ihmiselle, että pienessä kyläkaupassa olutkorin saa tarjousmäyräkoiran hinnalla - tuloksena on ruuhka.

Jos zombikoneita on verkossa tuhansittain, mikä tahansa nettipalvelu saadaan ruuhkautettua niin tehokkaasti, että se putoaa pois käyttäjien näkyviltä. Esimerkiksi James Anchetan verkossa oli tiettävästi yli 400 000 konetta. Elokuussa tuomittiin vankeuteen toinen yhdysvaltalaisnuorukainen, joka oli verkollaan hyökännyt seattlelaiseen sairaalaan. Teho-osasto lamaantui, mutta kukaan ei onneksi kuollut.

Palvelunestohyökkäysten ansaintalogiikka perustuu kiristykseen. Hyvä esimerkkitapaus on netin vedonlyöntipalvelu, jonka kiristäjät uhkasivat poistaa käytöstä formulakilpailujen ajaksi, ellei heille maksettaisi 40 000 euron "suojelurahaa". Palvelunestohyökkäyksiä voi myös kaupitella häikäilemättömille yrityksille, jotka haluavat kaataa kilpailijansa nettisivut.


Vakoilu ja varastuskin sujuvat

Haittaohjelmia käytetään myös teollisuusvakoiluun, vaikka ilmiöstä ei julkisuudessa juuri puhuta. Mato tai muu haittaohjelma voidaan suunnitella saastuttamaan vain tietyn yrityksen koneita ja lähettämään niistä arkaluonteista tietoa. Yritykset eivät kovin hanakasti kerro tietovuodoistaan, eivätkä tällaiset ohjelmat välttämättä päädy tietoturvayhtiöiden analysoitaviksi.

Itse haittaohjelmiakin voi myydä. Helmikuussa Panda Software -tietoturvayhtiö sai kiinni liigan, joka myi 990 dollarin hintaisia käyttäjän tarpeisiin räätälöityjä ohjelmia. Niillä oli jopa takuu: myyjä lupasi muuttaa ohjelmien koodia, jos ne jäisivät virustentorjujien haaviin.

Kyseisillä ohjelmilla hyökättiin pankkeja, tietoliikenneyhtiöitä ja vedonlyöntitoimistoja vastaan. Ratsiassa paljastui 62 000 sivun verran yhtiöiltä ja yksityishenkilöiltä varastettuja tietoja.


Haittaohjelmat pysyvät hiljaa

Harrastelijoiden tekemät virusohjelmat paljastivat itsensä ennemmin tai myöhemmin. Ne saattoivat tehdä koneessa näkyviä tuhoja, esimerkiksi tärvellä sen kiintolevyn. Joskus ne tyytyivät vain näyttämään käyttäjälle "ähäkutti, sait viruksen" -tyylisen viestin. Rikollisten kannattaa luonnollisesti pitää matalaa profiilia, joten heidän viruksensa pysyttelevät hipihiljaa niin pitkään kuin suinkin.

Viruksilta suojautuminen vaatii etenkin Windows-koneissa tietoturvaohjelmiston, josta löytyy sekä palomuuri että haittaohjelmatutka. Tällaisia ohjelmia valmistavat muun muassa F-Secure, Symantec ja Panda Software.
Yksinkertaisin menetelmä viruksen havaitsemiseen on etsiä sen ohjelmakoodista irrotettua tunnistettavaa pätkää, jotka kutsutaan sormenjäljeksi. Virukset puolustautuvat tätä vastaan yrittämällä muuttaa tai naamioida ohjelmakoodiaan. Nykyisin lähes kaikki virukset salakirjoittavat suurimman osan koodistaan ja jättävät selkokieliseksi vain salauksen purkamiseen tarvittavan osan.

Joillakin viruksilla on "naamiopakki" eli lukuisia eri naamioitumismenetelmiä, toiset muuttavat ulkomuotoaan vapaasti. Silti ne ovat havaittavissa, koska turvaohjelma voi huijata viruksen uskomaan, että se on saastuttanut koneen, jolloin virus purkaa itse salauksensa.

Haittaohjelmien kehittynein - ja onneksi myös vaikeimmin tehtävä ja harvinaisin - salaustapa on niin sanottu metamorfisuus, jossa virus muuttaa aidosti ohjelmakoodiaan. Tätä voi verrata siihen, että kirjoittaisi kirjan tekstin uudelleen aivan omin sanoin, vaikka Turun murteella. Tällöin viesti pysyy samana, mutta sen ulkomuoto on vallan uusi. Jotkin metamorfiset virukset, esimerkiksi Zmist ja Simile, piiloutuvat saastuttamalla viattomia ohjelmia ja upottamalla koodinsa osina niiden sisään.





Mobiilivirukset kirivät perässä


Yhä useammasta taskusta löytyy älypuhelin, joka on käytännössä pieni tietokone. Myös älypuhelimille ja kämmenkoneille on tehty haittaohjelmia. Ne ovat toistaiseksi suhteellisen vaarattomia, sillä ne pyrkivät ainoastaan leviämään.

Nykyiset kännykkävirukset eivät tartu helposti, sillä käyttäjän pitää aktiivisesti ladata ja asentaa tuntematon tiedosto, mikä vaatii useiden varoitusten ohittamisen.

Kännykkävirukset ovat nyt samassa vaiheessa kuin tietokonevirukset 90-luvulla. Langattomat yhteydet ovat edelleen varsin hitaita, eikä puhelimilla juuri hoideta raha-asioita, joten haittaohjelmilla on vaikea tienata.

Mobiilivirusten maailma seuraa kuitenkin tietokonevirusten historiaa pikavauhdilla. Tämän vuoden helmikuussa löytyi RedBrowser-niminen kännykkävirus, joka väittää, että sen avulla pystyy käyttämään wap-palveluita ilmaiseksi lähettämällä maksuttomia tekstiviestejä. Ne kuitenkin menevät maksullisiin numeroihin.

Mobiilimaailman pahin uhkakuva on autonominen kännykkämato, joka leviää langattomien yhteyksien avulla. Aamuruuhkassa töihin menevä saastuneen kännykän kantaja voi tartuttaa satoja muita puhelimia ilman, että niiden käyttäjät huomaavat mitään. Tällaisista viruksista ei ole vielä nähty edes yrityksiä, mutta ensimmäisen kännykkämadon löytyminen on vain ajan kysymys.


Mistä löytyy heikoin lenkki?

Viime talvena julkisuuteen nousivat rootkit-menetelmät, kun SonyBMG käytti niitä estämään musiikkilevyjen kopiointia. Samalla se kuitenkin avasi käyttäjien tietokoneita vaikeasti löydettäville haittaohjelmille.

Rootkiteillä voidaan piilottaa tiedostoja, ohjelmia ja prosesseja tietokoneen käyttöjärjestelmän näkyviltä. Jos käyttöjärjestelmää vertaa tietokoneen mieleen, rootkitit piilottavat haittaohjelmia tietokoneen alitajuntaan, jonne käyttöjärjestelmä ja sen pyörittämät turvaohjelmat eivät pysty itse suoraan katsomaan. Seuraavat haittaohjelmien vastaiset taistelut käytäneen juuri rootkit-rintamalla.

Virustehtailijat kehittävät ohjelmiaan ja turvayritykset vastaiskujaan. Tekniikan keskellä on heikoin lenkki, käyttäjä, johon rikolliset iskevät yhä useammin. Paraskaan tietoturvaohjelma ei estä sitä, että välinpitämätön käyttäjä itse avaa reitin haittaohjelmille esimerkiksi asentamalla koneeseensa "kivan näytönsäästäjän" tai ilmaista pornoa lupaavan ohjelman.

Tietoturvayhtiöissä ollaan yhtä mieltä siitä, että käyttäjien valistaminen on tulevaisuudessa yhä tärkeämpi osa tietoturvasta huolehtimista.


Janos Honkonen on vapaa tekniikka- ja tiedetoimittaja.


Täältä näet virustilanteen
F-Secure tarjoaa ajantasaisen katsauksen maailman virustilanteeseen osoitteessa worldmap.f-secure.com.
http://www.f-secure.com/weblog/archives/archive-092005.html#00000662

Kevään ihme pilkottaa pienissä sanoissa.

Talven jäljiltä väritön maisema herää eloon, kun iloista vihreää pilkistelee esiin joka puolelta.

Tätä kasvun ihmettä on aina odotettu hartaasti, ja monille ensimmäisille kevään merkeille on annettu oma erityinen nimityksensä, joka ei viittaa mihinkään tiettyyn kasvilajiin vaan nimenomaan siihen, että kysymys on uuden kasvun alusta.

Kasvin, lehden tai kukan aihetta merkitsevä silmu on johdos ikivanhaan perintösanastoon kuuluvasta silmä-sanasta. Myös kantasanaa silmä tai tämän johdosta silmikko on aiemmin käytetty silmun merkityksessä.

Norkko on ilmeisesti samaa juurta kuin karjalan vuotamista tai tippumista merkitsevä verbi ńorkkuo. Myös suomen valumista tarkoittava norua kuulunee samaan yhteyteen. Rennosti roikkuvat norkot näyttävät valuvan oksilta alas.

Lehtipuun norkkoa tai silmua merkitsevällä urpa-sanalla on laajalti vastineita itämerensuomalaisissa sukukielissä, eikä sille tunneta mitään uskottavaa lainaselitystä. Näin ollen sen täytyy katsoa kuuluvan vanhaan perintösanastoon.

Nykysuomalaisille tutumpi urpu on urpa-sanan johdos, ja samaa juurta on myös urpuja syövän linnun nimitys urpiainen.

Urpa-sanan tapaan myös vesa on kantasuomalaista perua, koskapa sana tunnetaan kaikissa lähisukukielissä.

Taimi-sanaa on joskus arveltu balttilaiseksi lainaksi, mutta todennäköisempää on, että se on kielen omista aineksista muodostettu johdos. Samaa juurta ovat myös taipua- ja taittaa-verbit.

Itu on johdos itää-verbistä, joka on ikivanha indoeurooppalainen laina. Oras puolestaan on johdos piikkiä tai piikkimäistä työkalua merkitsevästä indoiranilaisesta lainasanasta ora. Verso on myös selitetty hyvin vanhaksi indoiranilaiseksi lainaksi.

On mahdollista, että maanviljelytaitojen oppiminen indoeurooppalaisilta naapureilta on innoittanut lainaamaan myös viljakasvien alkuihin viittaavia sanoja.

Kevään kukkiva airut on leskenlehti. Vertauskuvallinen nimi johtuu siitä, että kasvi kukkii suojattomana ilman lehdistöä, joka nousee esiin vasta kukkimisen jälkeen. Vaatimattomasta ulkonäöstä huolimatta leskenlehden ilmestyminen on pantu visusti merkille, ja sille on kansankielessä kymmeniä eri nimityksiä. Yksi tunnetuimmista on yskäruoho, joka kertoo, että vanha kansa on valmistanut kasvista rohtoja etenkin hengitysteiden tauteihin.

Kaisa Häkkinen on suomen kielen emeritaprofessori Turun yliopistossa.

Julkaistu Tiede-lehdessä 5/2018

Tutustu sisältöön ja lue uusi lehti digilehdet.fi:ssä.

Tieteessä 5/2018

 

PÄÄKIRJOITUS

Päätön paremmuus järjestys 

Suosituissa lukiovertailuissa ei ole kovin paljon järkeä.

 

PÄÄUUTISET

Etevä laskee sormin

Menetelmä toimii paremmin kuin päässälasku.

Kuitu vaalii verensokeria

Runsaskuituinen dieetti korjasi diabeetikoiden glukoosiarvot.

Vapaus vie vakiouralle

Tasa-arvon maissa tytöt karttavat teknisiä ja tieteellisiä aloja.

Ihminen pihistelee unta

Muut kädelliset vetävät sikeitä jopa 15 tuntia vuorokaudessa.

 

ARTIKKELIT

Liiku viisaasti

Monen into lopahtaa vaativiin harjoitusohjelmiin.
Treeni maistuu, kun tuntee muutaman faktan.

Koira syntyi pohjoisessa

Ihminen ja susi tutustuivat jääkauden haaskalla.
Vanhin näyttö elämäntoveruudesta tulee Belgiasta.

Taivaallamme kulkevat sään jättiläiset

Keskileveyksien matalat ovat ilmojen titaaneja.
Ne selittävät, miksi Suomessa on niin epävakaista.

Aivot näkevät harhoja

Kalliotaiteen oudot kuvajaiset tuotti muuntunut
tietoisuus. Se syntyy meidänkin aivoissamme.

Metso kukkoilee koko kevään

Tiluksilla rehvastelu alkaa jo helmikuussa.
Sodaksi taistelu naaraista yltyy vapun tienoilla.

Rooma kaatui rahapulaan

Supervallan tuhoon on tarjottu satoja syitä.
Tapahtumat etenivät luultua raadollisemmin.

 

TIEDE VASTAA

Miksi ensimmäinen lettu epäonnistuu?

Miten gorilla saa lihakset kasvisruoalla?

Miksi pikaliima ei tartu tuubinsa sisäseiniin?

Kuinka kaukana on etäisin galaksi?

Onko hyönteisillä reviirejä?

Mistä juontuvat sanat minä ja itse?

 

KIRJAT

Rikos ei houkuta niin kuin ennen

Länsimaat löysivät uudelleen itsehillinnän.

 

KUVA-ARVOITUS

Siinähän on ihan selvästi...

Klassikkopalsta kutsuu lukijoita tulkitsemaan kuvia
lehden Facebook-sivustolle.

 

OMAT SANAT

Tässä on itua

Kevään ihme pilkottaa pienissä sanoissa.

 

Jos olet Sanoman jonkin aikakauslehden tilaaja, voit lukea uusimman numeron jutut Sanoman Digilehdet-palvelussa.

Ellet vielä ole ottanut tilaukseesi kuuluvaa digiominaisuutta käyttöön, tee se osoitteessa https://oma.sanoma.fi/aktivoi/digilehdet. Aktivoinnin jälkeen pääset kirjautumaan suoraan digilehdet.fi-palveluun.