Autoreporter

Automaattisten haittaohjelmahavaintojen tilastotietoja 2006-2011

Autoreporter on CERT-FI:n tuottama palvelu, joka kokoaa automaattisesti suomalaisia verkkoja koskevia haittaohjelma- ja tietoturvaloukkaushavaintoja ja raportoi niistä verkkojen ylläpitäjille. Palvelu on ollut käytössä vuodesta 2006 lähtien. Palvelun piirissä ovat kaikki suomalaiset verkkoalueet. Kertyneiden tilastojen perusteella voidaan arvioida muun muassa suomalaisissa verkoissa esiintyneiden haittaohjelmien esiintymistiheyttä.

Tälle sivulle on koottu huomioita Autoreporterin tuottamista tilastoista vuosilta 2006-2011. Kuvaajien perusteella voi arvioida, että pitkällä aikavälillä tarkastellen haittaohjelmatartunnan saaneiden tietokoneiden määrä suomalaisissa tietoverkoissa on vähentynyt. Tässä kehityksessä keskeinen rooli kuuluu suomalaisille teleyrityksille, jotka pääsääntöisesti reagoivat tietoonsa tulleisiin tietoturvaloukkausilmoituksiin nopeasti ja tehokkaasti.

Kuvaajia tulkittaessa on huomioitava, että ilmiöön liittyy useita muuttujia. Havaintojen määrä muun muassa vaihtelee rajusti päivästä ja viikosta toiseen. Lyhyen aikavälin vaihtelu voi esimerkiksi olla seurausta siitä, että Autoreporter-palvelun käyttämä datalähde syystä tai toisesta ei ole pystynyt toimittamaan haittaohjelmahavaintojaan. Uudet ja laajan levinneisyyden saaneet haittaohjelmaperheet kuitenkin tulevat selkeästi esille viimeistään vuositasolla.

Autoreporterin elinkaaren aikana myös datalähteissä on tapahtunut muutoksia. Uusia luotettavia lähteitä on ajan mittaan lisätty ja teleyrityksiltä saadun palautteen perusteella epäluotettavaa tietoa tarjoavia lähteitä on karsittu tai lähteen tietoja on suodatettu. Kuuden vuoden toiminta-aika kuitenkin tarjoaa tilastollisesti riittävää pohjaa alla olevien johtopäätösten tekemiseen.

Haittaohjelmatartuntojen määrä on vuoden 2011 aikana jatkanut laskuaan

Laajakaista-asiakkaiden määrään suhteutettuna haittaohjelmahavaintojen määrä näyttäisi pitkällä aikavälillä laskevan. Vuonna 2009 lasku kuitenkin kääntyi selvään nousuun. Yksi syy nousuun on alla olevassa kuvaajassa liukuvärillä esitetty Conficker-haittaohjelman tuntuva vaikutus. Ensimmäiset Conficker-haittaohjelman havainnot tehtiin Suomessa tammikuussa 2009 ja Autoreporter-palvelu aloitti kyseisen haittaohjelman raportoinnin vielä saman kuun aikana. Conficker on ollut erittäin vahvasti esillä myös vuoden 2011 raporteissa.

Botnet-haittaohjelmat tavallisin havainto

Tarkemmin erittelemättömät botnet-tyyppiset haittaohjelmat muodostavat hieman yli puolet koko vuoden 2011 haittaohjelmahavainnoista. Valtaosa roskapostista lähetetään juuri tällaisten etähallittavien haittaohjelmien saastuttamilta tietokoneilta (ns. spambot). Myös vuoden 2009 alussa verkkomato-tyyppisesti levinnyttä Conficker-haittaohjelmaa voidaan pitää botnet-tyyppisenä haittaohjelmana. Tähän päivään mennessä haittaohjelman luomaa bottiverkkoa ei kuitenkaan ole käytetty mihinkään. Aggressiivista leviämistä kuitenkin kuvaa hyvin se, että lähes puolet vuosien 2009-2011 havainnoista liittyvät pelkästään Conficker-haittaohjelmaan. Tilastot lisäksi osoittavat, että Conficker-haittaohjelmalla saastunut kone voi, etenkin isoissa yritysverkoissa, olla vaikea paikallistaa puhdistusta varten. Automaattiseen puhdistukseen ei valitettavasti voi luottaa, sillä Conficker-haittaohjelma estää saastuneessa tietokoneessa useiden antivirustuotteiden automaattiset päivitykset. Confickerin vahva esilletulo on myös aiheuttanut sen, että vuodesta 2009 alkaen muiden haittaohjelmien leviämispyrkimykset tai tietomurron valmisteluun liittyvät porttiskannaukset ovat havaintojen valossa jääneet marginaalisiksi.

Haittaohjelma- ja tietoturvaloukkaushavainnot numeroina

Autoreporter lähetti vuoden 2011 aikana yhteensä 196188 ilmoitusta tietoturvaloukkauksista ja haittaohjelmista. Ilmoitukset koskivat yhteensä 89048 eri IP-osoitetta. On kuitenkin muistettava, että IP-osoitteiden lukumäärä ei suoraan kerro yksittäisten saastuneiden tietokoneiden lukumäärää. Tämä johtuu esimerkiksi siitä, että useat laajakaistaliittymät toimivat muuttuvan (ns. dynaamisen) IP-osoitteen takaa. Lisäksi yritysverkoissa on yleistä, että yhden julkisen IP-osoitteen takaa voi löytyä useampi saastunut tietokone. Vuonna 2011 raportoitujen IP-osoitteiden suurpiirteiset sijainnit on piirretty alla olevaan karttaan.

Vuoden 2011 aikana Autoreporter lähetti sähköpostitse ilmoituksia lähes 80:lle eri ylläpitäjälle. Kaikkien ilmoitusten keskimääräinen vasteaika asettui 30 tuntiin. Vasteajalla tarkoitetaan tässä tapauksessa sitä aikaa, joka kuluu loukkauksen havaintohetkestä ilmoituksen lähetyshetkeen.

Aiheesta muualla verkossa

Suomalaisten tietoliikenneverkkojen tietoturvatilannetta koskevia raportteja ja vertailuja julkaistaan aika ajoin. Tilastojen ja raporttien keskinäinen vertailu on vaikeaa, eikä useinkaan ole edes pyritty tieteelliseen tarkkuuteen. Jotain raporteista on kuitenkin pääteltävissä. CERT-FI on koonnut alle linkkejä viime vuosina julkaistuihin raportteihin, joissa Suomen tietoturvatilanne vertautuu muun maailman tilanteeseen.

• Microsoft: Security Intelligence Report (julkaistaan puolivuosittain)
• Symantec: Internet Security Threat Report (julkaistaan vuosittain)
  
• Microsoft: Cyber-Threats in the European Union
  
• Norman: Global Malware Rates - Is Your Country Among The Safest Or Most Infected?
  

Autoreporterista muualla verkossa

• CERT/CC:n ja FIRST:in kilpailu hyvistä käytännöistä 2009
• Microsoft: Collective Defense / Applying Public Health Models to the Internet
• Tietosuoja 4/2011: Tietoturva: Surffaajan suojaksi
  

Sivua päivitetty 17.07.2012

Tulostusversio