© Olavi Kanervisto & Tietotila Oy 2003

Virustutkasta palomuuriin


Nopeiden nettiyhteyksien ja Microsoftin tietoturvattomien käyttöjärjestelmien myötä tietokoneilkivalta leviää mantereelta toiselle nopeammin kuin ekoterroristien irti päästämät minkit kanalintujen kimppuun. Riittääkö enää tavanomaisten virustentorjuntaohjelmien ajan tasalla pitäminen ja terveen järjen käyttö internet- ja sähköpostiyhteyksissä, vai olisiko kotikäyttäjänkin tietokoneeseen syytä hankkia yrityskäytössä jo yleistynyt ns. palomuuri?


Juuri alkaessani kirjoittaa tätä juttua 25. syyskuuta olin saanut sähköpostin, joka kiinnitti huomioni häiritsevän pitkään modeemilinjaa varattuna pitäneen kokonsa vuoksi. HTML-muotoinen viesti näytti aivan Microsoftin turvapäivityssivustolta.

Viesti sisälsi yli 100-kiloisen liitetiedoston "Installer593.exe", jonka postiohjelmani onneksi heti tunnisti muuksi kuin Microsoftin tietoturvapäivitykseksi.

Liite sisälsi Swen-nimellä tunnetun, vasta vajaan viikon maailmaa kiertäneen matoviruksen. Joillakin Microsoftin sähköpostiohjelmaversioilla se pystyy aktivoitumaan ja käynnistämään itsensä automaattisesti jo saapuneet-kansion sisällysluettelosta ilman, että liitetiedostoa tai edes itse viestiä avataan käyttäjän toimesta.

Sama mato pystyy luikertelemaan Windows-käyttöjärjestelmällä toimivaan mikroon myös irc-keskustelupalstoilta sekä musiikkipiratismi-vertaisverkon kautta. Isokokoinen, mutta monitaitoinen eli tavanomaista taitavammin koodattu tuholainen siis.

Tämä sähköpostimato toimii salakavalammin kuin tavanomaiset troijalaiset, joiden leviäminen perustuu yksinomaan käyttäjien uteliaisuuteen ja tyhmyyteen. Yhä löytyy näet sellaisiakin sähköpostin käyttäjiä, jotka oudon viestin saatuaan oikopäätä klikkaavat liitetiedostoa käynnistääkseen sen sisältämän ilkivaltaisen koodin — usein vailla tietoa edes sitä, mitä kyseisen liitteen olisi pitänyt sisältää.

Swen-virusta levittävä viesti oli varsin onnistuneesti naamioitu Microsoftin tietoturvapäivityssivuston näköiseksi, joten moni Windows XP:n pyytämättä saapuviin korjauspäivityksiin jo tottunutkin käyttäjä saattaa huomaamattaan käynnistää viruksen ja näin saastuttaa oman laitteensa levittämään tuota tuholaista edelleen.

Microsoft ei koskaan lähetä Windows- ja Office-korjaustiedostoja sähköpostitse. Automaattiset tietoturvapäivitykset ilmoittavat saapumisestaan Windowsin tehtäväpalkin oikeaan päähän ilmestyvän pienoiskuvakkeen puhekuplailmoituksena: "Uudet päivitykset ovat valmiina asennettaviksi."

Microsoftilta saapuvat päivitykset on lupa, ja ne pitää asentaa aika-ajoin siitä huolimatta, että nämä korjaukset ja korjausten korjaukset eivät aina ole sen vähävirheisempiä kuin itse Windows- käyttöjärjestelmätkään. Sellaistakin tiedetään tapahtuneen, että automaattipäivitys avasi uudelleen vanhan viruksenmentävän, edellisten päivitysten jo tukkiman madonreiän. Mutta parempaakaan tapaa uhkien torjuntaan ei kotikäyttäjällä ole käytössään kuin nämä käyttöjärjestelmän valmistajan toimittamat uusimmat korjaussarjat.

Syyskuussa Microsoftilta saapuikin tavallista suurempi 2,8 megatavun päivityspaketti, jonka vastaanotto modeemilla kesti lähes puoli tuntia. Tietoturvan ylläpito aiheuttaa siten modeemiyhteyksien varassa toimiville käyttäjille jatkuvia kuluja, kun joka minuutilta joutuu maksamaan ainakin paikallisverkkomaksun.


Virustutka on välttämätön


Yleisesti ottaen mikä tahansa riittävän usein verkosta päivittyvä virustentorjuntaohjelma on parempi vaihtoehto kuin jättäytyminen kokonaan vaille suojaa.

Alan lehdet testaavat jatkuvasti, mikä ohjelma tunnistaa eniten parhaillaan leviäviä sekä vanhoja viruskoodeja, mutta näihin testituloksiin pitää osata suhtautua varauksin. Eri testeissä eri ohjelmien paremmuusjärjestys saattaa vaihdella, mutta kotimainen vaihtoehto on useimmiten selviytynyt kärkikaartiin.

Tärkeämpää kuin mahdollisimman monen kenties jo sukupuuttoon kuolleen koodinpätkän tunnistaminen ja nimeäminen on valmius kenties vasta huomenna liikkeelle laskettavan, ennestään tuntematonta Microsoftin madonreikää käyttävän tuholaisen havaitsemiseen ja pysäyttämiseen.


Palomuuriko kotikoneeseen?


Eräs tietokonerikoksen muoto on tunkeutuminen eli koneen luvaton hallinta etäyhteyden avulla. Tunkeutuja voi saada haltuunsa esimerkiksi käyttäjän luottokortin numeron tai pankkiyhteyden käyttämät käyttäjätunnukset ja salasanat ja sen jälkeen yrittää käyttää niitä vakavamman rikoksen tekemiseen.

Tunkeutuja voi aiheuttaa tietokoneen käyttäjille suuria vaikeuksia käyttämällä hyväkseen hänen tunnistetietojaan tai ainoastaan lukea ja kopioida huomaamatta ja jälkiä jättämättä vaikkapa yksityiset sähköpostit. Tämänkaltaiset teot ovat toki nykyisen lainsäädännön mukaan rikollisia, mutta niinhän varkaus ja ihmisten tappaminenkin ovat, ja silti niitäkin tapahtuu.

Virustentorjuntaohjelmat eivät suojaa tietokonetta riittävästi verkon kautta tapahtuvia tunkeutumisyrityksiä vastaan, vaan niiden pysäyttämiseen tarvitaan järeämmät välineet.

Palomuuri on ohjelma tai erillinen lisälaite, joka estää asiattomilta pääsyn verkon kautta koneeseen. Palomuuri pystyy haluttaessa torjumaan kaiken ei-toivotun tietoliikenteen oman tietokoneen ja ulkomaailman välilä.

Palomuuri voidaan määritellä mm. patoamaan kaikki ulkoa saapuvat tiedostot, myös sähköpostiviestit, muista kuin ennalta sallituiksi määritellyistä osoitteista. Palomuuri voidaan myös määrätä suorittamaan virustarkistus sekä lähtevälle että saapuvalle liikenteelle.

Windows-käyttöjärjestelmän yhteysasetuksistakin löytyy paljon palomuuriominaisuuksia, jotka tarvitsee vain virittää tarpeeksi tiukoiksi. Microsoft-ohjelmissa ilmenneiden lukuisten tietoturva-aukkojen vuoksi kaikki eivät kuitenkaan uskalla niihin luottaa.

Pienyrittäjillä ja kotikäyttäjillä ei juuri ole ollut palomuureja käytössään näiden ohjelmistojen korkean hinnan vuoksi. Kotikäyttäjille tarkoitettujen palomuuriratkaisujen hinnat ovat kuitenkin laskussa, eikä niiden virittäminen ja ylläpito enää edellytä atk-peruskoulutusta. Sisälukutaito riittää — edellyttäen, että ohjelmat pitäävät, minkä lupaavat.

Pelkän modeemin tai ISDN-yhteyslaitteen varassa työskenneltäessä luvattoman tunkeutumisen vaara ei ole yhtä suuri kuin jatkuvan, nopean laajakaista- tms. yhteyden kanssa toimittaessa.   Etäkoneellahan ei ole ns. kiinteää IP-osoitetta, vaan tämä yksilöivä tunnus arvotaan uudestaan joka kerran modeemiyhteyttä luotaessa.

Palomuuri tarjoaa liki sataprosenttisen suojan myös roskapostia vastaan, mikäli sen asetuksissa määritetään, että saapuva posti sallitaan ainoastaan tutuilta, ennalta nimetyiltä lähettäjiltä. Tällöin oman sähköpostiosoitteen julkistaminen vaikkapa verkkosivuilla on turhaa, koska kukaan uusi tuttavuus ei kuitenkaan pysty saamaan viestiään perille.

Aika mielettömään tilanteeseen on kuitenkin tultu, jos pelkästään suosituimman sähköpostiohjelman turvattomuuden vuoksi kaikki kotikäyttäjätkin joutuvat varustamaan mikronsa palomuurein. Oikea paikka sähköpostin turvallisuuden varmistamiseen olisi sähköpostipalvelun ylläpitäjä tai internet-palveluntarjoaja. Kannattaa siis selvittää, miten oman operattorisi sähköpostin välityspalvelimen tietoturvasta on huolehdittu.


KUVATEKSTIT:

1. Syyskuun lopulla maailmaa kiersi sähköpostimato Swen, jota levittävä viesti on erehdyttävästi Microsoftin päivityssivuston näköinen.

2. Oikeat, Microsoftilta saapuneet tietoturvapäivitykset ilmoittavat olemassa olostaan tehtäväpalkin pienoiskuvakkeen puhekuplalla.

3. Saapuneiden päivitysten kuvaketta klikattaessa avautuu ikkuna, jossa kerrotaan, mitä Microsoft-ohjelmia uudet korjaukset koskevat.

4. Microsoftin syyskuun lopun turvapäivitys oli kooltaan 2,8 megatavua eli kaksi levykkeellistä, mikä modeemiyhteyksien varassa toimittaessa saattoi merkitä jopa lähes puolen tunnin siirtoaikaa. Mutta mitä käyttäjäkohtaisia tietoja mahtoikaan samaan aikaan siirtyä Microsoftille päin 465:n kilotavun verran?

5. Kotikäyttäjän palomuuriohjelmisto voidaan määrittää estämään kaikki liikenne työaseman ja ulkoisen verkon välillä.

6. Oletusasetuksin palomuuriohjelmisto tyytyy ainoastaan informoimaan käyttäjää kaikkien muiden ohjelmien, kuten sähköpostin aikoessa siirtää tiedostoja koneeseen tai koneesta verkkoon päin.

Tietotila Oy:n pääsivulle