Uncategorized

Matokuurille. Virukset ja madot tietokoneissa

(1): Spammer's web site (2): Spammer (3): Spam...
Image via Wikipedia

Tietokonemaailmassa madot ja virukset ovat peräisin suurinpiirtein 1980-luvulta. Tässä artikkelissa on hieman taustaa, historian siipien havinaa, ja ohjeita mitä tehdä jos epäilet että olet saanut koneellesi tunkeutujia.

Madot ja virukset (yhteisnimellä haittaohjelmat – malware) ovat olleet alunperin ohjelmoijien tekemiä pieniä piloja, ja kuriositeettejä kaiken kaikkiaan. Ohjelmoijia kiehtoi usein ajatus “itsenäisestä agentista”, joka kykenee selviämään tietokoneiden sielussa eli keskusmuistissa, ja toimimaan niin että ohjelma pääsee aina seuraavaan koneeseen, joka taas levittää sitä (joko ajastettuna tai välittömästi) uusiin koneisiin. Tämä aiheuttaa joko hallitun tai hallitsemattoman ketjureaktion, jonka tuotteena tietty prosenttiosuus jollain tavalla keskenään kommunikoivista (ei välttämättä suoraan verkon välityksellä) tietokoneista infektoitui.

Teknologia oli alunperin sellaista, että yhteisiä kasvualustoja oli, mutta ne olivat jokainen erillisiä saarekkeita. MS-DOS -käyttöjärjestelmässä ajettava virus ei toiminut Unixeissa, eikä Macintosheissa. Sitten tuli ensimmäinen yhdistävä silta: Microsoftin tekstinkäsittelyohjelma Word:in makrot. Makrot ovat toimisto-ohjelmaan tai muuhun ohjelmaan sisällytetty toimintokieli, jolla voidaan usein jo kirjoittaa virus – eli kieli on riittävän “voimakas” ja monipuolinen salliakseen myös vilungit. Piakkoin seurasi toinen suuri alusta: WWW eli web, ja erityisesti siellä Javascript.

1980-luvun ja 1990-luvun alkupuolen virukset ja madot saattoivat esimerkiksi näyttää hassuja, mahdollisesti poliittisia tai vitsikkäitä kuvia ruudulla, “kiusata” käyttäjää; joskus ne sisälsivät älykkyystestejä, esimerkiksi laskutehtäviä, tai käskyn soittaa johonkin puhelinnumeroon. Virus saattoi myös näyttää animaation ambulanssista ja soittaa piipaa-ääntä kaiuttimesta. Osa viruksista oli selkeästi tehty harmittomiksi hauskuuttajiksi, mutta se ei edelleenkään poistanut mahdollisuutta, että huonosti tehdystä koodista johtuen virus saattoi sekottaa tietokonetta jollain tapaa.

Jos virus oli hyvin ärhäkkä tai äänekäs, se jäi kiinni todennäköisesti hyvin pian. Toiset saattoivat elää useita kuukausia latenttina tietokoneissa, kunnes joko antivirus-yhtiön tuote siivosi ne, tai virusohjelma teki ajastettuna temppunsa. Joskus ajastimia pystyi huijaamaan yksinkertaisesti asettamalla itse tietokoneen kellon yli tuon ajastuspisteen, eli sen jälkeiseen aikaan.

Ensimmäinen mato eli itseään tietoverkossa levittävä prosessi oli kuuluisan tietoturvatutkijan pojan, Robert Tappan Morriksen ohjelmoima. Matoon ei ollut ohjelmoitu tuhoisia algoritmeja (“hyötykuormaa”) mutta pieni käpy ohjelmoinnissa sai sen leviämään paljon nopeammin kuin oli tarkoitus, ja se aiheutti aika paljon porua ja pahaa mieltä mm. järjestelmäylläpitäjien keskuudessa (liekö vielä tuolloin käytetty tällaista termiä? No, ne joita aina luulemme partaisiksi introverteiksi, ja jotka käpistelevät päivät ja yöt, viikonloput läpeensä tietokoneiden ja verkkojen parissa). Morris-mato oli ensimmäinen tietoturvapiirit ja suuren yleisön hätkähdyttävä näytös, joka todisti että laajamittaisesti verkoissa leviävän ohjelman kirjoittaminen on mahdollista (engl. POC, proof of concept).

Viruksille ja madoille on itse asiassa hyvin tyypillistä, että ne eivät toimi niinkuin suunnitelmissa on alunperin ollut. Poikkeuksiakin on: nykyiset kehittyneet botnet-alustat ja kohdistetut täsmähyökkäykset on usein väännetty tusinan (työttömän?) tohtorismiehen voimin, ja ne on mitä todennäköisemmin testattu niin matemaattisilla malleilla kuin myös simulaattoreissa. Puhutaan myös aivan tarkoituksella tehdyistä strategiseen tietosodankäyntiin ja vakoiluun muokatuista täsmäviruksista.

Botnet on zombie-koneiden joukko, eli verkon avulla kyberavaruuden satamassa kaikessa hiljaisuudessa odotteleva valtava laivasto tietokoneita, jotka hyökkäävät käskystä lähettämällä erilaisia tietopaketteja haluttuihin kohdeverkkoihin tai -koneisiin. Kun esimerkiksi joku blogi tai uutispalvelu hyytyy, kyseessä on lähes aina zombie-laivaston pommitus. Toinen vaihtoehto on, että blogiin on käsipelillä hakkeroitu sisään, tuntien jokin blogin käyttämän teknologian heikkous.

Zombieksi normaali (PC/Mac/muu)-kone muuttuu, mikäli siihen tarttuu nimenomaan tietyntyyppinen, preparoiva virus. Zombien vastine biologisessa maailmassa olisi kutakuinkin latentti viruksen kantajaisäntä, joka välittää tautia muttei tiedä olevansa sairas. (Tuleeko mieleen Alien-leffa ja rinnasta pomppaava örkki? 🙂

Facebookissa tuntuu olevan nyt, huhtikuun loppupuolella (tänään 23.4.2011) hengissä uudelleenherätetty vanha mato / kusetus (scam): käyttäjiä kehotetaan lisäämään ohjelma, joka kertoo kuinka monta käyttäjää heidän profiilissaan on käynyt. Alunperin ProfileSpy -nimellä liikkunut ilmiö tapahtui 2009, ja ilmeisesti sen tekijä tai tekijät ajoittain kokeilevat uudelleen kepillä jäätä.

Mitä tuo ongelmapesäke sitten tekee? En tiedä vielä. Tutkin parhaillaan sen koodia. Kysäisin sähköpostitse eräältä yritykseltä apua, nimittäin tuo ProfileSpy käyttää hyväkseen yrityksen valmistamaa pientä koodinpätkää. Tämä ei ole heidän mukaansa mitenkään uusi tilanne, muutkin hämärämiehet ovat aiemmin tehneet samoin. F-Securen helpdesk auttoi myös avuliaasti chatissa, ja sain hyvät vinkit mitä tehdä jos ilmenee, että Windows-kone on saanut paikallisesti saastetta. Jatketaan tutkimusta.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s