*

Janne Paalijärvi Internetin ja ihmisen puolella

Case WanaCrypt0r: Valtion haittaohjelma on kuin digitaalinen pernarutto

  • Valtioiden kehittelemät haittaohjelmat ovat kuin digitaalista pernaruttoa.
    Valtioiden kehittelemät haittaohjelmat ovat kuin digitaalista pernaruttoa.

Maailmalla on tällä viikolla levinnyt todella vaarallinen kiristyshaittaohjelma, joka salakirjoittaa käyttäjän tiedostot ja käytännössä lukitsee hänet pois koneelta, ellei käyttäjä maksa rikollisille lunnasrahoja Bitcoineina. Monet sairaalat ja yritykset ovat joutuneet maailmalla hyökkäyksen kohteeksi.

Kuinka kaikki alkoi

Tilanne alkoi siitä, että USA:n kansallinen turvallisuusvirasto NSA kehitteli maailmanvakoilutoimiinsa soveltuvia haittaohjelmia takavuosina. Krakkeriryhmittymä The Shadow Brokers varasti myöhemmin NSA:lta haavoittuvuustietoja, joiden avulla hyökkäysohjelmia pystyi laatimaan. Ryhmä on kaupitellut saalistaan eniten maksaville hämärämiehille.

Ryhmä julkaisi 14. huhtikuuta 2017 tiedot haavoittuvuudesta. Toukokuussa nettiin ilmaantui kiristyshaittaohjelma WannaCry, joka tunnetaan myös nimellä WanaCrypt0r 2.0 tai WanaCrypt0r.

Kiristyshaittaohjelman vaikutukset netissä

Haittaohjelma on tällä hetkellä saastuttanut noin 60 000 konetta maailmalla. Kohteeksi joutuivat mm. sairaalat, ministeriöt, puhelinoperaattorit ja juna-asemat (linkki1, linkki2). Ohjelmasta on tehty havaintoja Suomessakin. Viimeisimpien tietojen mukaan näyttää kuitenkin siltä, että leviäminen on onnistuttu ainakin tilapäisesti pysäyttämään. Se ei kuitenkaan välttämättä auta niitä käyttäjiä, joiden tietokoneet ovat jo saastuneet ja tiedostot salakirjoitettu. Kannattaa siis aina pitää käyttöjärjestelmäpäivitykset ajan tasalla.

Digitaalista pernaruttoa

Kuvitellaanpa tilannetta Suomessa. Haluaisitko sinä tänne armeijan laitoksen, jossa valjastetaan taudinaiheuttajia kuten pernaruttoa biologisen sodankäynnin aseiksi? Ai etkö? No enpä minäkään. Silti Suomen nykyisen pakkokeinolain mukaan viranomaisilla on mahdollisuus "kiertää, purkaa tai muulla vastaavalla tavalla tilapäisesti ohittaa kohteiden tai tietojärjestelmän suojaus tai haitata sitä". Toisin sanoen Suomessakin on annettu viranomaisille valtuudet käyttää erinäköisiä suojauksia vahingoittavia haittaohjelmia.

Jatketaanko kuvittelua. Jos viranomaiset kehittelevät ja hankkivat käyttöönsä näitä ohjelmia ja muita hyökkäysmetodeja, jossain vaiheessa heistä itsestään tulee todella houkutteleva kohde. Sitten joku krakkeriryhmä varastaa tiedot, kuten NSA:n jutussa kävi, ja markkinoille rupeaa ilmestymään kiristysohjelmia. Vaikka WanaCrypt0r:in leviäminen onnistuttiin sattumalta estämään, ennustan, että tulevaisuudessa tulemme näkemään todella pahoja valtioiden tietoihin perustuvia kiristysohjelmia, jotka johtavat jopa hengenmenetyksiin. Tällaisia ohjelmia voimme ihan hyvällä syyllä kutsua digitaaliseksi pernarutoksi.

Poliittinen ulottuvuus

Mielestäni valtioiden ei pitäisi kehitellä tai kerätä tietoturvaa heikentäviä tai muitakaan haittaohjelmia. Ihan siitä syystä, että ne ovat pahimmassa tapauksessa väärissä käsissä todella vaarallisia koko maapallon tietojärjestelmille. Tämä on myös Piraattipuolueen kanta.

Rikolliset luonnollisesti kehittelevät aina haittaohjelmia, sitä emme voi estää. Voimme kuitenkin estää sen, että viranomaiset kasaisivat itselleen "varmuuden vuoksi" esim. troijalaisrepertuaaria, joka tekee heistä itsestään houkuttelevan hyökkäyskohteen ja tätä kautta asettavat monen sivulliset vaaraan. Haavoittuvuuksien etsiminen on sinänsä on ok, mikäli ne raportoidaan vastuullisesti tietoturvakorjauksia varten.

Janne Paalijärvi - http://paalijarvi.fi/

Facebook: https://www.facebook.com/paalijarvi

Twitter: https://twitter.com/paalijarvi

 

Lisäys 2017-05-13 klo 21.15: Painotan varmuuden vuoksi vielä, että WanaCrypt0r ei ollut siis NSA:n kehittämä, vaan "ainoastaan" ohjelman kehityksestä tarvittavat tiedot oli varastettu NSA:lta. Tapahtunut tuo kokonaisuutena esiin niitä ongelmia, jotka liittyvät valtiollisten toimijoiden sekoiluun vaarallisten haavoittuvuuksien, troijalaisten ja muiden haittaohjelmien kanssa.

Piditkö tästä kirjoituksesta? Näytä se!

13Suosittele

13 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (29 kommenttia)

Käyttäjän JaakkoKorpi-Anttila kuva
Jaakko Korpi-Anttila

Muutamia esimerkkejä hyökkäyskohteista (maa:kohde):

Ranska: Renault, Espanja: Telefonica, UK: sairaaloita, Venäjä: sisäministeriö ja useat pankit, USA: Fedex, Kiina: kouluja ja yliopistoja, Saksa: Deutsche Bahn (rautatiet) ja Brasilia: oikeuslaitos.

http://tecnologia.elpais.com/tecnologia/2017/05/13...

Linkki, jossa myös kartta hyökkäyksen levinneisyydestä
http://internacional.elpais.com/internacional/2017...

Käyttäjän pii3719 kuva
Pertti Ikonen

Onko jo julkisettu sivusto jossa kerrottaisiin kuinka haittaohjelma poistetaan manuaalisesti tietokoneelta - josko tuollainen manuaalinen poistaminen on edes mahdollista.

Käyttäjän SakariJSaarilahti kuva
Sakari Saarilahti

#2

Eräs tapa on ylläpitää varmuuskopiota koko tietokoneen kiintolevystä ja säilyttää varmuuskopioita esimerkiksi ulkoisella kiintolevyllä. Katastrofin sattuessa ylikirjoitetaan tietokoneen kiintolevy ja palautetaan se viimeiseen "puhtaaseen" ajankohtaan. Ongelmana saattaa silloinkin olla haittaohjelma, joka toimii "ajastettuna", eli se aktivoituu vasta tietyn päivämäärän jälkeen. Silloin myös jonkun aikaa taaksepäin luodut varmuuskopiot voivat sisältää ko. haittaohjelman.

Käyttäjän RalfKarlsson kuva
Ralf Karlsson

Minulla on C:levystä täydellinen klooni jonka loin ostamani ohjelman avulla. Päivitän kloonia silloin tällöin kun tunnen että on jotain merkittävää syytä. Jos minun järjestelmälevy sattuisi tuhoutumaan mekaanisesta viasta tai ulkoa tuleen hyökkäyksen takia otan koneessa olevan pois ja laitan kloonin tilalle. No sweat no hassle.

Käyttäjän Jouni kuva
Jouni Tuomela

Microsoft varmaankin yrittää saada wintoosansa toimimaan kuten oikea käyttöjärjestelmä. Varmasti onnistuu vuosien mittaan.
Onneksi meitä normijuusereita ei voi pidtellä.
Voimme käyttää esim Linux Mint käyttöjärjestelmää, ilmaista, jolla kaikki normaalit tarpeet tyydyttyvät.

Käyttäjän Jouni kuva
Jouni Tuomela

Linux Mint päivittyy usein, ja oikeissa käyttöjärjestelmissä, kuten Linuxissa on haittaohjelmien todella hankala toimia järjestelmällisestä rakenteesta johtuen.

Käyttäjän heke kuva
Heikki Paananen

Tietoturvan kannalta Mint:n heikoin kohta on se, että käytännössä kaikilla käyttäjillä on admin-oikeudet (sudo hyväksyy käyttäjän salasanan). En tiedä miksi moinen sallitaan.

Kaj Wiik Vastaus kommenttiin #5

Kaikilla käyttäjillä ei todellakaan ole admin-oikeuksia. Ainoastaan niillä on jotka kuuluvat admin tai sudo-ryhmään. Tämä mahdollistaa mm. sen että roottisalasanaa ei ole olemassakaan kuten ei välttämättä käyttäjilläkään, autetntikointi toimii avaimien perusteella ja admin-oikeuksia pystytään poistamaan yksittäisiltä käyttäjiltä muuttamatta muiden oikeuksia.

Käyttäjän heke kuva
Heikki Paananen Vastaus kommenttiin #7

#7 "Kaikilla käyttäjillä ei todellakaan ole admin-oikeuksia."

Tämä varmaan kannattaa kokea itse asentamalla Mint ja loggautumalla sisään normikäyttäjänä ja loitsuamalla:

n00b $ sudo whoami
[sudo] password for n00b:
root

Elias Ojala Vastaus kommenttiin #22

Tietenkin se ensimmäinen käyttäjä on admin-oikeuksinen (sudo), kuten Windowsissakin.

Muut käyttäjät voi tehdä normaalikäyttäjinä tai admin-käyttäjinä.

Käyttäjän HannuValtonen kuva
Hannu Valtonen

On kirottua, kun toi W on ottanut valta-asemansa. Linux on kyllä nykyisellä käyttäjäkunnallaan turvallinen, mutta onko mahdollista, että kasvupläjäys toisi W:n tapaisen ongelmaisuuden tähänkin käyttikseen.

Mitä jos sote vedettäisiin Linukseen?

Pitäisikö EU:n kehittää Linuxin pohjalle oma EU-käyttiksensä, tai jollekin muulle alustalle.

Käyttäjän SakariJSaarilahti kuva
Sakari Saarilahti Vastaus kommenttiin #10

#10

Linuxille ei vain vieläkään löydy ohjelmia esimerkiksi julkaisujen, grafiikan, video- tai audiotiedostojen ammattimaista käsittelyä varten.

Käyttäjän HannuValtonen kuva
Hannu Valtonen Vastaus kommenttiin #13

#13
Eiköhän noihinkin löytyisi lääkkeitä, on pakko. W:n kanssa elo muuttuu yhä hankalammaksi monopoliasemassaan.

Käyttäjän topira kuva
Topi Rantakivi

Minä hakkerina ja kiristäjänä iskisin eniten käytettyyn käyttöjärjestelmään. Helpompaa näin saada kiristetyiltä rahaa.

Vastuullisten päättäjien pitää hoitaa tietoturvasta koko ajan. Valitettavasti on kuitenkin vanhentuneita käyttöjärjestelmiä alttiina käytössä.
Enirossa 2000-luvulla päivittäin tuli yrityksiä tunkeutua palomuuriin 5000 kpl.

Takaportit pitäisi olla suljettuina eikä valmistajien pidä myöntyä viranomaisten tai hallitusten vaatimuksiin helppoa pääsyä tutkimaan eri laitteita.

Käyttäjän eiltanen kuva
Eero Iltanen

Seuraavat versiot ovat varmasti pahempia. Tässähän oli esim. se yksinkertainen domain-tarkistus, jolla leviämistä rajoitetaan nyt. Seuraavassa se varmasti poistuu tai muuten muuttuu.

Ihan aiheellista suositella kaikille vaikka Ubuntua tms. jos vaan mahdollista. Mutta eipä näy pienintäkään mainintaa, pelkkää "päivittäkää" -mantraa.

Itselläni ei Windowsin puolella koko Update edes toimi, pelkkä päivityslistan lataaminen jurnuttaa tunteja ilman tulosta. Pitäisi asentaa koko roska uusiksi, jotta saa päivitettyä...

Muutenkin koko päivitys ja hallintasysteemi on valovuosia esim. APT:ta jäljessä.

Käyttäjän mattivillikari kuva
Matti Villikari

Digitaalisen tietoliikenteen suurimpia
ongelmia eivät ole virukset, vaan viestin lähettäjän, siis henkilön, tunnistaminen. Anonyyminä on helppo lähetellä viruksia.

Yhteisössäkinkin on vastuullinen henkilö.

Käyttäjän HannuValtonen kuva
Hannu Valtonen

Pitää paikkansa. Millä voisi paikata ongelman?

Yksi mahdollisuus on tapaa Windows ja valita "oma" tilalle.

Toinen mahdottomuus on saattaa kaikki tietorauta omistajineen ja sijainteineen kontrolliin ja tunnistettavaksi. Ellei tunnistusta löydy lähetysdatassa, ottaa nettipoliisi lähettäjästä niskaperseotteen ja häkittää lähettäjän.

Käyttäjän SakariJSaarilahti kuva
Sakari Saarilahti

#11

Sähköpostin liitteineen voi allekirjoittaa digitaalisesti, mikä varmentaa lähettäjän identiteetin. Yritysjärjestelmissä allekirjoitusavaimet voidaan säilyttää sirukorteilla, joka estää niiden fyysisen / tietoverkon läpi tapahtuvan kopioinnin.

Käyttäjän mattivillikari kuva
Matti Villikari

Digitaalinen allekirjoitus olisi ratkaisu. Sekään ei ole täysin ongelmaton. Kattava ratkaisu edellyttää globaalia, luotettavaa avainten jakelua (certificate authority - CA). Jostakin syystä julkiseen avaimeen perustuva digitaalinen allekirjoitus on jäänyt kovin vähäiseen käyttöön vaikka standardi (X.509) on ollut olemassa jo vuodesta 1988 alkaen.

Joko olisi aika "tehrä jotakin" vai odotellaanko vielä, että "kyllä se siitä", kaikella kunnioituksella Manua muistaen.

Käyttäjän mikkonummelin kuva
Mikko Nummelin

Valtiollisten haittaohjelmien ja niiden johdannaishaittaohjelmien vahinkoja lisännee myös se, että joskus tietoturvayhtiöt ovat jättäneet tahallaan paikkaamatta sellaisia järjestelmien takaovia, joiden on ilmoitettu olevan tarkoitettu viranomaiskäyttöön. Samat ongelmat koskevat mahdollisia salausjärjestelmiin tehtyjä yleisavaimia. Voi olla, että tämänkin tietoturvaongelman paikkailuun uskallettiin tosissaan herätä vain siksi, että haittaohjelman perusta oli vuotanut rikollisten tietoon.

Käyttäjän usvi kuva
Janne Paalijärvi

Todennäköisesti juuri näin.

Käyttäjän topira kuva
Topi Rantakivi

@19. En nyt enää muista, että mikä salausavainohjelmisto oli nimeltään. Se oli pari vuotta sitten ollut varteenotettava ja suosittu ilmainen ohjelmisto mutta sitten se joutui viranomaisten hampaisiin ja jälkeenpäin se ei enää ollut turvallinen, kun sitä pystyttiin viranomaisten pyydettäessä purkamaan heti.

Juuri tuollaiset ajattelemattomat ja typerät vaatimukset johtivatkin rikollisten onnistuessa varastamaan työkaluja.

Olisi syytä nyt todeta, ettei missään tapauksessa pidä myöntyä minkäänlaisten valtioiden tai viranomaisten vaatimuksesta suostua antamaan mitään, mitä voi vaarantaa koko maailman ihmisten laitteiden turvallisuutta.

Käyttäjän mikkonummelin kuva
Mikko Nummelin

Tällaisia näyttää olleen useita, vaikutuksiltaan kaikkein laajimman ollessa kenties tahallisen viranomaistakaoven sisältänyt elliptisten käyrien tuloihin ja logaritmeihin perustunut Dual_EC_DRBG-standardi, joka ehdittiin implementoida lukuisiin tietoturvatuotteisiin. Kyseinen standardi tiedettiin huonoksi ja epäilyttäväksi jo lähes julkaisuajastaan lähtien, mutta vasta 2013 Edward Snowdenin New York Times-lehdelle vuotamat paperit paljastivat, että kyseessä oli todellakin NSA:n takaovi.

Käyttäjän SakariJSaarilahti kuva
Sakari Saarilahti Vastaus kommenttiin #23
Käyttäjän timonenonen kuva
Timo Nenonen

NSA on kuin syöpä/rutto tällä bollilla. Usa pitäisi panna vastuuseen kyttäilyistään vaikkapa 30-50 vuoden totaalisella kauppasaarrolla, jolloin mikään muu maa ei tekisi kauppaa sen kanssa millään tasolla.

Jenkkien valtioterroriin puree ainoastaan käymällä sen kukkaroon. Olisi tuonkin valtion aika oppia noudattamaan ja kunnioittamaan ihmisten ja yritysten yksityisyyttä.

Käyttäjän JuhaniKorte kuva
Juhani Korte

Näinhän tästäkin saatiin aikaan käyttöjärjestelmäsota. Kyse ei ole kuitenkaan kuin huonosta tai oikeastaan rikollisen huonosta tietoturvasta sekä etenkin surkeasta tietohallinnoinnista. Brittien NHS:n osalta haittaohjelma iski XP-koneisiin jotka on edelleen käytössä vaikka tuki on kadonnut aikoja sitten alta, tukea saisi rahalla mitä ei haluttu käyttää. Ja nämä samat koneet oli kytketty Internetiin. Haloo!

Aukon korjaava fiksi on yrittänyt kuukausia rämpiä uudempiin Windows-versioihin, eli päivitykset on estetty. Ja vielä, käyttäjät ovat olleet Admin-ryhmässä, tälle ei ole ollut perustetta vuoden 2001 jälkeen kun tietokannat oppivat erottamaan kanta- ja tietuekohtaisen käyttöoikeuden.

Kyllä tietoturvasta mitään tietävä parkaisee pahasti tällaisesta toiminnasta. Mitenkäs P.T. Barnum laittoikaan, "There's a sucker born every minute", minkä jotkut tulkitsevat että on typerää antaa idioottien pitää rahansa.

Käyttäjän topira kuva
Topi Rantakivi

Siinä varmaan haluttiin ajatella rahojen säästöjä, että ei haluttu siirtyä uuteen käyttöjärjestelmään, koska täysin erilainen käyttöjärjestelmä tulee maksamaan paljon koulutuksien kautta ja että yhteensopivuus eri ohjelmistoihin ei ole aina taattu, koska osa toimii tietyllä alustalla ja osa ei toimi kunnolla.

Siinä tulisi liikaa säätämistä ja yrityksien tuottavuudet laskisivat alemmiksi.

Viime vuosina olemme saaneet lukea Apotti-ohjelmasta, missä siellä on sanottu ohjelman olevan vanhanaikainen ja suljettu, niin en ymmärrä sitä, että miksi pitää haluta pitää kiinni jostakin vanhasta? Ei ole muuta selitettävää kuin se, että hyväveliverkosto halusi sen ottaa ja avointa tai sellaista hyvin muuntuvaa järjestelmää ei haluttu ottaa käyttöön.

Olemmehan kuulleet paljon rahaa kulutetun moneen kertaan keskeneräisiin projekteihin. Juuri nyt sanotaan, että Sote-järjestelmä ei tule valmistumaan ajoissa vaan tulee paljon myöhässä...

Minä olen kyllästynyt tämmöisiin rahat taskuihin ja viivästelyihin, että sinne pitää saada päteviä päättäjiä kuten esim. Piraattipuolue on teknisempää porukkaa kuin yksikään nykyiset puolueet.

Käyttäjän JuhaniKorte kuva
Juhani Korte

"Siinä varmaan haluttiin ajatella rahojen säästöjä, että ei haluttu siirtyä uuteen käyttöjärjestelmään, koska täysin erilainen käyttöjärjestelmä tulee maksamaan paljon koulutuksien kautta ja että yhteensopivuus eri ohjelmistoihin ei ole aina taattu, koska osa toimii tietyllä alustalla ja osa ei toimi kunnolla."

Mitä olen tiedostusvälineistä lukenut niin ikääntyneiden tomografien yms. kuvantamislaitteiden käytöstä ei haluttu luopua koska a) ne toimivat ihan hyvin ja varmasti sekä b) uudet maksaisivat ziljoonia mitä juuri nyt ei ole.

Silti ei ole ensimmäistäkään syytä miksi kuvantamislaitetta ohjaavan tietokoneen pitää olla yhteydessä Interwebbiin, paitsi helppous. Kuvahan katsotaan ohjauslaitteella ensin kuitenkin, varmistetaan että se on kelpo ja ettei uusintaa tarvita. Siksi sinuakaan ei päästetä röntgenhuoneesta pois ennenkuin kone näyttää peukaloa että hyvä kuva tuli.

Jos, ja itse asiassa kun tiedetään että käyttöjärjestelmä on haavoittuva, ja sisältää suuria riskejä, niin asia olisi helposti hoidettavissa.

1) Vanhentunut laite irti verkosta
2) Vanhentuneesta koneesta Autostart pois päältä
3) Kelvollinen kuva ladataan USB-tikulle
4) Tikku laitetaan yhteystietokoneen porttiin (missä Autostart on pois päältä) ja lähetetään sisäisellä sähköpostilla potilastietokantaan.

ja

5) Ei ole ensimmäistäkään syytä miksi oikean potilastietokannan pitäisi olla Internetissä, ja että kantakonetta käyttäisi operaattorivaltuuksin mihinkään ikinä kukaan muu kuin pääkäyttäjä. Ulkoinen liikenne hoidetaan yksisuuntaisella peilitietokoneella (Ulkoisella on sama data mutta ei pysty viestimään takaisin varsinaisen tietokannan kanssa). Idea on varmaan Von Neumannilta saakka mutta käytännön toteutus palomuureineen 1990-luvulta.

Käyttäjän topira kuva
Topi Rantakivi Vastaus kommenttiin #28

@28. Kuvauksesi perusteella voidaan sanoa, että on aika turvallista käyttää, kun kone on täysin irrallaan nettiyhteydestä. Samaa oli siellä metallialan yrityksissä, jossa työskentelin, siinä jouduin tekemään kaiken manuaalisesti käsin ja antamaan lopulliset automaattiset käskyt, kun oli varmat laskelmat putkille ja muille malleille.

Yritys kielsi kytkemästä nettipiuhoja paikoilleen ja sen olen nähnyt, että yritys leikkasi CAT-kaapeleiden päät irti kaikissa koneissa, mitkä hallitsivat CNC-koneita ja eivät olleet enää netissä kiinni. Niissä oli hassusti ollut Windows 98-käyttöjärjestelmä sisällä ja osassa oli Windows 2000.

Toimituksen poiminnat

Tämän blogin suosituimmat kirjoitukset

Sivut