Haittaohjelmiin vastaaminen

Saastunut työasema voidaan asentaa uudestaan ja palauttaa varmuuskopioista. Verkkorajapintaan voidaan päivittää palomuurisääntöjä ja IDS-sääntöjä, jotta vastaava hyökkäys ei toistu. Jos hyökkäys on laaja ja laitteet ovat saavuttamattomissa (esim. yksittäisten käyttäjien henkilökohtaisia laitteita), tarvitaan tätä laajempia toimia. Tällöin haittaohjelman infrastruktuurin haittaaminen voi olla tarpeen. Internet-operaattori on tällöin tärkeässä roolissa.

Kiristyshaittaohjelmat

Rahallinen hyöty tai rahallisen vahingon aiheuttaminen jollekulle toiselle on toiminut motiivina monelle laajalle levinneen haittaohjelman kehittäjälle. Keyloggereita ja Remote Access -troijalaisia käytetään salasanojen, pankkitunnusten tai vaikkapa liikesalaisuuksien varastamiseen, DDoS-hyökkäyksiä puolestaan esimerkiksi yritysten liiketoiminnan harjoittamisen estämiseksi. Anonyymit kryptovaluutat ovat kuitenkin mahdollistaneet uudenlaisen tavan saada rahallista hyötyä haittaohjelmista, nimittäin kiristämisen.

Kiristyshaittaohjelmista uutisoidaan laajasti, kun sellaisella hyökätään kriittistä infrastruktuuria vastaan. Esimerkiksi Iso-Britannian julkinen terveydenhuoltojärjestelmä NHS joutui WannaCry-nimisen kiristyshaittaohjelman uhriksi. Tälläisissa tapauksissa lunnaita vaaditaan usein satoja tuhansia euroja, mutta myös yksityishenkilöiden kiristämiseen tarkoitettuja variantteja löytyy. Nämä vaativat lunnaiksi yleensä muutamia satoja euroja.

Kiristyshaittaohjelman voi saada laitteelleen vaikkapa sähköpostiliitteenä phishing-hyökkäyksen kautta. Toisin kuin esimerkiksi keyloggereiden tai botnettien tapauksissa, jossa haittaohjelma pyrkii pysymään käyttäjältä piilossa, ovat kiristyshaittaohjelman oireet varsin ilmeiset. Käynnistyttyään haittaohjelma salaa nopeasti kaikki käyttäjän henkilökohtaiset tiedostot (kuvat, videot, dokumentit, asennetut ohjelmat jne.), tehden niistä käyttökelvottomia. Käyttöjärjestelmän lisäksi ainoa toimiva ohjelma on itse haittaohjelma, erityisesti sen salauksenpurkajaosa. Salauksen purku on toki mahdollista, ja joskus haittaohjelma tarjoutuukin purkamaan salauksen muutamasta tiedostosta ilmaiseksi uskotellakseen tiedostojen olevan palautettavissa. Se, aikooko kiristäjä lunnaat saatuaan todellisuudessa palauttaa tiedostot on epävarmaa. Computerphilen video havainnollistaa salauksen toteutusta. Videossa käsiteltyjä symmetrisiä ja epäsymmetrisiä avaimia käsitellään myöhemmässä luvussa.

taustakuvatiedosto

WannaCry-kiristyshaittaohjelman asettama taustakuva.

CIA-mallissa kiristyshaittaohjelmahyökkäys kohdistuu siis erityisesti saatavuuteen. Kuten materiaalissa myöhemmin todetaan, lunnaita ei kannata maksaa. Mikäli siis joudut uhriksi, ainoa 100% toimiva keino palautua hyökkäyksestä on palauttaa järjestelmä varmuuskopioista. Tämä toki vaatii sen, että varmuuskopiot on joskus otettu, ja että ne eivät ole haittaohjelman saavutettavissa esimerkiksi verkkolevyllä. Mikäli varmuuskopioita ei ole, ainoaksi vaihtoehdoksi jää pitkälti massamuistien formatointi ja käyttöjärjestelmän uudelleenasennus. Tämä tosin tarkoittaa kaiken datan katoamista. Yritysten ja organisaatioiden on nykyisin mahdollista ottaa vakuutus kiristyshaittaohjelmien varalta.

Koska kiristyshaittaohjelmista on vaikea palautua, ennaltaehkäisy on suuressa roolissa. Käytännössä tämä tarkoittaa sitä, että laitteen käyttöjärjestelmä sekä käytetyt ohjelmistot (erityisesti verkkoselain) on hyvä pitää päivitettynä haavoittuvuuksien minimoimiseksi. Edellisen luvun esimerkistä saat myös joitakin vinkkejä virustorjuntaohjelmistoihin sekä selaimen lisäosiin liittyen.

Kurssilla on saatavuuteen liittyvä teema, jossa pääset pohtimaan omaa varautumistasi mm. kiristyshaittaohjelmiin syvemmin.

Haittaohjelman toimintojen häiritseminen

Jos haittaohjelma käyttää verkkonimiä tai osoitteita, tällöin on luontevaa puuttua niihin ja estää haitallisten verkkopalvelinten toiminta. On kuitenkin palveluntarjoajia, jotka eivät suostu puuttumaan Internet-palvelinten toimintaan (ns. bulletproof hosting). Tämä on mahdollista, jos palvelin on maassa, jossa lainsäädäntö ei edellytä toimia tai paikallisia viranomaisia lahjotaan. Tällöin on pyrittävä reitittämään haitallista tietoliikennettä uudestaan tai vaikutettava haittaohjelman toimintaan.

Botnet-verkot saattavat myös toimia vertaisverkon tavoin, jolloin ohjauskoneiden jäljittäminen on työlästä ja vaatii useiden osapuolien välistä yhteistyötä.

Attribuutio eli rikollisen tunnistaminen haittaohjelman takaa

Lain näkökulmasta on tärkeää jäljittää haittaohjelman tekijä. Valitettavasti se ei usein ole mahdollista tai vaatisi liikaa resursseja. Virtuaalinen jäljittäminen on kuitenkin tärkeä ensimmäinen askel. Rikolliset käyttävät nopeasti vaihtuvia IP-osoitteita, jotka yhdistyvät samaan palvelimen nimeen, mutta eri fyysisiin palvelimiin. Tätä kutsutaan DNS fast-flux -häivytystekniikaksi, jota tyypillisesti käytetään bottiverkon ohjauskoneiden häivyttämiseen. Fast-flux on mahdollista tunnistaa botnet-haittaohjelmaa ja verkkoliikennettä analysoimalla.

Monet haittaohjelmien tekijät käyttävät uudestaan samoja työkaluja. Tekijät saattavat myös jättää harhaan johtavia jälkiä haittaohjelmiin, jotka noudattavat jotain toistuvaa kaavaa. Esimerkiksi palvelimen rekisteröinti on vahva viite tekijän jäljille. Rikollinen käyttää usein samaa kaavaa rekisteröintitiedoissa, vaikka ne ovatkin yleensä väärennettyjä.

Attribuutiosta lisää täällä.

Palautusta lähetetään...