Tietoturva nyt!

28.1.2010

Tietovarkaat ja sovellusistuntojen kaappaajat

Haittaohjelman avulla toteutettu rikollinen tilisiirto tai identiteettivarkaus on Suomessa hyvin harvinainen tapahtuma. Haittaohjelmatartunnoilta suojautumiseen on kuitenkin syytä, sillä haittaohjelmien avulla pyritään yhä useammin hankkimaan taloudellista hyötyä saastuneen työaseman käyttäjän kustannuksella. CERT-FI on perehtynyt Suomessa tavattuihin tietoa varastaviin haittaohjelmiin ja pankkitroijalaisiin ja vertaillut näiden toimintaa ulkomailla raportoituihin tapauksiin.

Haittaohjelmatartuntojen ehkäiseminen on paras suojautumiskeino

CERT-FI:ltä on tiedusteltu, miten viime aikoinakin uutisoitujen verkkopankkien käyttäjiin iskeneiden haittaohjelman toiminnan voi havaita ja miten niiden toimintaa voisi häiritä. Yleispätevien ohjeiden antaminen on vaikeaa, koska haittaohjelmia on monenlaisia ja niiden toimintaa muunnellaan tarkoituksella, jotta tunnistaminen olisi mahdollisimman vaikeaa.

Yleensä ottaen suositeltavinta on pyrkiä estämään haittaohjelman tarttuminen jo ennalta, koska kerran saastuneen tietojärjestelmän "puhdistaminen" on erittäin työlästä ja vaikeaa. Tietokoneen käyttöjärjestelmä ja varusohjelmistot on syytä pitää jatkuvasti ajantasaisina. Palomuurin ja virustorjuntaohjelmiston käyttö on erittäin suositeltavaa ja myös niiden asetukset ja tunnisteet on syytä pitää ajan tasalla. Verkkopankkia ja muita luottamuksellisia tietoja käsitteleviä verkkosovelluksia olisi syytä käyttää vain asianmukaisesti ylläpidetyltä päätelaitteelta käsin.

Huomionarvoista viimeaikoina tavatuissa haittaohjelmissa on se, että pelkän tietojen varastamisen lisäksi ne pystyvät myös kaappaamaan ja muokkaamaan sovellusistuntoja. CERT-FI on kuvannut kyseistä tekniikkaa aiemmin muun muassa tietoturvakatsauksessa 1/2008.

Seuraavaan olemme keränneet vastauksia CERT-FI:lle esitettyihin kysymyksiin tutkimiemme haittaohjelmien toiminnasta. Vastausten yleispätevyyttä arvioitaessa on huomioitava, että CERT-FI:n käytössä olevat tiedot eivät välttämättä ole täysin kattavia.

Miten tietoja varastavat haittaohjelmat tarttuvat?

Tietoja varastavat haittaohjelmat ja pankkitroijalaiset tarttuvat samoin kuin muutkin haittaohjelmat. Yleistä on, että käyttäjä houkutellaan asentamaan sähköpostin liitetiedostona tai verkosta ladattu haittaohjelma itse. Haittaohjelma saattaa päätyä käyttäjän työasemaan myös siirrettävien muistilaitteiden välityksellä. Tällöin käyttöjärjestelmän Autorun-asetuksilla on merkittävä rooli siinä, asentuuko haittaohjelma työasemaan itsestään vai vaatiiko tartunta sen, että käyttäjä itse asentaa haittaohjelman esimerkiksi tiedostokuvaketta klikkaamalla.

Haittaohjelmat tarttuvat myös hyväksikäyttämällä käyttöjärjestelmän ja varusohjelmien haavoittuvuuksia. Tällöin käyttäjän on tyypillisesti vierailtava haitallisella www-sivulla tai murretulla www-sivulla, jolle on sivuston ylläpitäjän tietämättä lisätty haitallista sisältöä. On myös mahdollista, että käyttäjä on vastaanottanut dokumentin tai linkin dokumenttiin, joka hyväksikäyttää dokumentinlukuohjelmissa olevaa haavoittuvuutta ja saastuttaa työaseman. CERT-FI:n havaintojen mukaan hyödynnettävät haavoittuvuudet ovat yleensä ennestään tunnettuja ja niiltä suojautumiseksi riittäisi tuoreen ohjelmistopäivityksen asentaminen. Ennestään tuntemattomien haavoittuvuuksien hyväksikäyttö laajassa mittakaavassa on hyvin harvinaista.

Estääkö virustorjuntaohjelmisto haittaohjelman toiminnan?

Yleisimmät virustorjuntaohjelmistot tunnistavat verkkopankkikäyttäjiin kohdistuvia haittaohjelmia ja erityisesti haittaohjelmaperheitä kohtuullisen hyvin ja havaitsevat tartunnan usein myös haittaohjelmien piiloutumismekanismien lävitse. Haittaohjelman tunnistanut virustorjuntaohjelmisto tarjoaa suojaa estämällä haittaohjelmakoodin käynnistymisen ja siihen liittyvien komponenttipäivitysten lataamisen.

Aivan tuoreille haittaohjelmaversioille tunnisteita ei aina ole, joten täydellistä suojaa virustorjuntaohjelmilla ei saa. Valitettavasti haittaohjelmia tehtailevat rikolliset pyrkivät aktiivisesti muuntelemaan ohjelmistojaan, jotta virustorjuntaohjelmistot eivät tunnistaisi niitä. Virustorjuntaohjelmistojen valmistajien reagointiaika ennestään tunnistamattomiin haittaohjelmiin mitataan tyypillisesti tunneissa, joskin vuorokausienkin viiveitä on rekisteröity. Tuoreutettuja sormenjälkitunnisteita jaellaan useita kertoja vuorokaudessa - virustutkan ajantasaisuus mitataan siis tunneissa.

Itse haittaohjelman toimintaa virustorjuntaohjelmat eivät yleensä estä, jos haittaohjelmatartunta on jo tapahtunut. Jopa päinvastoin: useat haittaohjelmat sisältävät itsepuolustusrutiineja. Käynnistymään päässyt haittaohjelma pyrkii sabotoimaan päätelaitteelta tavatun virustorjuntaohjelmiston - yleensä siten, ettei se enää pysty hakemaan tunnistepäivityksiä.

Millä käyttöjärjestelmäalustalla tietoja varastavat haittaohjelmat toimivat?

Kaikki CERT-FI:n tietoon tulleet suomalaisiin verkkopankkikäyttäjiin kohdistuneet haittaohjelmat ovat olleet nk. PE-muotoisia (Portable Executable) ja ne toimivat pääsääntöisesti Windows XP -järjestelmissä, usein myös uudemmissa Windows-järjestelmissä.

Millä tavoin tietoja varastavat haittaohjelmat kytkeytyvät www-selaimeen?

Osa haittaohjelmista on nk. BHO-tyyppisiä (Browser Helper Object) ja edellyttää näin ollen, että verkkopankkia käytetään Internet Explorer -selaimella. Osa haittaohjelmista puolestaan käyttää hyväkseen Windows-käyttöjärjestelmän alemman tason sovellusrajapintoja ja kirjastoja - näin ollen niiden on mahdollista toimia käytännössä kaikkia selaimia käytettäessä. Haittaohjelmat saattavat kyetä seuraamaan ja muokkaamaan myös salattuja HTTPS-yhteyksiä käyttävää liikennettä, koska haittaohjelmat kytkeytyvät sovelluksien käyttämissä kirjastoissa sellaisiin kohtiin joiden läpi liikenne kulkee vielä salaamattomana.

Estääkö skriptiasetusten kiristäminen jo tarttuneen haittaohjelman toiminnan?

Aktiivisen www-sisällön (kuten Javascript ja Flash) estäminen on sinällään hyvä ja suositeltava ennaltaehkäisevä tietoturvatoimenpide. Useimmissa tapauksissa aktiivisen sisällön estäminen ei kuitenkaan vaikuta verkkopankkeihin kohdistuvien haittaohjelmien toimintaan.

Joidenkin HTML- ja Javascript-koodia injektointia hyödyntävien haittaohjelmien toimintaan Javascriptin estäminen saattaa periaatetasolla vaikuttaa ja täten suojata myös saastuneen työaseman käyttäjää. Tällaiset haittaohjelmat ovat kuitenkin olleet yksittäistapauksia. Osa verkkopankkien ja muiden sähköisten asiointipalvelujen käyttöliittymistä saattaa lisäksi edellyttää, että Javascript on sallittu.

Lisätietoa

CERT-FI:n ohje 1/2007 haittaohjelmatartunnasta epäillyn tietokoneen tutkintaan