© Olavi Kanervisto & Tietotila Oy 2001

Hevosenleikkiä internetissä

Olen kertonut tietokoneviruksista ja muista ikävistä pilaohjelmista tällä palstalla kahden vuoden välein eli jo viidesti aikaisemmin. Silti palaan jälleen aiheeseen. Atk:ta käyttämään kun on taas tullut tuhansia vasta-alkajia, joista osa ei näytä koskaan kuulleenkaan, että kaikki maailmalla liikkuvat mikro-ohjelmat eivät ole ystävällismielisiä ja turvallisia.

Osa vanhoista konkareistakin näyttää tuudittautuneen väärään turvallisuuden tunteeseen sillä perusteella, että tietokoneeseen on joskus asennettu virustentorjuntaohjelmisto.

Varsinaisten virusten eli käyttäjältä salassa itseään monistavien ja tuhojaan tekevien koodinpätkien lisäksi ovat jälleen yleistyneet sähköpostin liitetiedostoina leviävät ns. troijan hevoset. Ne eivät toimi itsestään, vaan odottavat pahaa-aavistamattoman vastaanottajan itse käynnistävän kiusanteko-ohjelman. Siksi jäynä naamioidaan soivaksi postikortiksi tms.

Pilaohjelmat kirjoitetaan usein ainoastaan Word-tekstinkäsittelyohjelmassa toimiviksi makroiksi tai pelkästään Microsoftin sähköpostiohjelmissa käynnistyvinä komentosarjoina, ns. skripteinä.

Jokainen normaalin varovainen käyttäjä on toivottavasti säätänyt Word-teksturinsa perusasetukset siten, että ohjelma ei automaattisesti suorita tekstiasiakirjaan kätkettyjä, mahdollisesti pahanilkisiä makroja. Myös Outlook-sähköpostiin on ollut saatavana tietoturvapäivitys, joka estää sähköpostin liitteenä saapuvan vbs-komentosarjan suorittamisen vain hiirellä napsauttamalla.

Valitettavasti Microsoftin ohjelmissa et koskaan voi olla varma näiden asetusten säilymisestä päivittäessäsi ohjelman tai käyttöjärjestelmän uudempaan versioon tai imuroituasi siihen korjauspäivityksiä internetistä. Perusvirheet ja tietoturva-aukot voivat silti säilyä versiosta toiseen.

Sekä Windows98- että ME-päivitykset mm. vaihtavat yhä käyttäjältä kysymättä ns. 437-koodisivun 850:ksi, vaikka se olisi ollut alun perin asennettu oikein. Virheen voi välttää valitsemalla maa-asetukseksi Suomen sijasta Ruotsin, jonka kirjaimisto vastaa omaamme, mutta tällöin mm. aikavyöhyke sekä päivämäärän näyttötapa poikkeavat meikäläisestä.

Vaikka virustentorjunta on kunnossa, jokin uusi tuhokoodi tai vbs-komentosarja voi silti ohittaa kaikki suojaukset. Nämä ns. troijan hevoset käyttävät hyväkseen heikointa lenkkiä eli käyttäjäin varomattomuutta ja uteliaisuutta.

Käytännön Maamiestä julkaisevaan lehtitaloon saapui viime vuoden toukokuussa ulkomaisesta tytäryhtiöstä, siis tutulta lähettäjältä sähköpostiviesti, joka sisälsi tekstitiedostolta näyttävän, rakkauskirjeeksi otsikoidun liitteen. (Tuo samana aamuna Filippiineiltä liikkeelle lähtenyt ketjukirje saapui saman vuorokauden aikana tuhansiin muihinkin yrityksiin eri puolilla maailmaa, samankaltaisin seurauksin.)

Vaikka kaikki sähköpostin saajat toki tietävät, että tunnistamattomia liitetiedostoja ei saa avata klikkaamalla niitä hiirellä, kukapa voisi vastustaa tutulta lähettäjältä saapuvan rakkaudentunnustuksen houkutusta.

Viestin saaja napsautti siis liitteen kuvaketta huomatakseen kauhukseen, että hänen sähköpostiohjelmansa alkoi lähettää kopiota tuosta viestistä kaikille osoitekirjasta löytyville käyttäjille. Vaikka hän sammutti tietokoneensa ja soitti heti pc-tukeen, vahinko oli jo tapahtunut: ennen kuin atk-osasto ehti edes saada yleisvaroituksen liikkeelle, 20 muuta rakkauskirje-viestin saanutta oli jo ehtinyt käynnistää liitteenä saapuneen komentosarjan, ja nämä 10.000 samanaikaista viestiä riittivät tukkimaan yrityksen sähköpostipalvelimen.

Postijärjestelmän lamaantuminen näin nopeasti oli tässä tapauksessa onneksi, sillä vain yhdessä koneessa troijalainen oli onnistunut saamaan kaikki 500 kopiotaan lähetetyksi ja siirtymään seuraavaan vaiheeseen eli tuhoamaan kuva- ym. tiedostoja kaikilta levyiltä, joille käyttäjällä on pääsy.

"Rakkauskirje-virus", kuten tiedotusvälineet sitä virheellisesti nimittivät, ei siis ollut "oikea" tietokonevirus, vaan tavanomaista tekniikkaa käyttävä troijan hevonen eli tuho-ohjelma, joka sisälsi myös sähköpostimadon. Mato ei leviä omin päin, vaan vasta käyttäjän käynnistettyä jäynän kaksoisklikkaamalla troijalaisohjelman kuvaketta.

Koska vbs-tyyppiset komentosarjat ovat atk-harrastajain kannalta yhtä lailla "selväkielisessä" muodossa kuin Wordin makrot ja likimain yhtä helppoja laatia, rakkauskirjeestä ilmestyi touko-kesäkuussa luonnollisesti useita erinimisiä muunnelmia. Ne eivät kuitenkaan saaneet samanlaista julkisuutta ja yhtä suurta maailmanlaajuista vahinkoa aikaan kuin alkuperäinen.

Suurin osa parhaillaan maailmaa kiertävistä vahinko-ohjelmista toimii ainoastaan Microsoftin Word-teksturissa, Access-kortistossa, Excel-taulukointiohjelmassa ja Outlook- tai Outlook Express -postiohjelmissa. Miksi siis emme käyttäisi niiden sijasta turvallisempia sovelluksia?

Tällainen neuvo on helppo antaa, mutta vaikeampi noudattaa. Mainitut ohjelmat kun sattuvat tietoturvaongelmistaan huolimatta olemaan alan markkinajohtajia, ja Word- tai Excel-muotoisiin liitetiedostoihin törmää käytännössä vähän väliä. Toki virheellisesti ohjelman omaan sisäiseen tallennusmuotoon jätetyistä tiedostoistakin ainakin 99 prosenttia toimii ongelmitta mm. ilmaisella Star.Office -toimisto-ohjelmistolla, mutta entäpä, kun tulee se sadas?

Outlook-sähköpostin korvaaminen toisen merkkisellä on hieman helpompaa. Itselläni on samaan mikroon asennettuina sekä Windows ME että Linux 2000 -käyttöjärjestelmät, ja postin vastaanottamiseen ja lukemiseen käytän varmuuden vuoksi aina yksinomaan Linuxin sähköpostiohjelmaa.

Periaatteessa viruksia voidaan kirjoittaa myös Linux-järjestelmälle, mutta tiettävästi yksikään tähän mennessä julkistetuista tekeleistä ei ole kyennyt leviämään "vapaana". Joka tapauksessa Linux-sähköpostia käyttämällä vältän kaikki Microsoftin postiohjelmien tietoturva-aukkoja hyödyntävät tuholaiset.

Tietotila Oy:n pääsivulle