Virustorjuntaohjelmien valmistajat häviämässä taistelun haittaohjelmia vastaan
17.01.2006 23:11

Virustorjuntaohjelmistojen valmistajat eivät onnistu pysymään haittaohjelmien luojien kannoilla. Eugene Kaspersky, Kaspersky Labin virustutkimuksen johtaja, sanoo tuoreessa kirjoituksessaan "Nykyinen virustorjuntateollisuus ja sen ongelmat", että ohjelmistovalmistajat ovat häviämässä taistelun uusia haittaohjelmia vastaan.

Internet on Kasperskyn mukaan rikollisen toiminnan kasvualuista ja hän arvioi tuhansien hakkeriryhmien varastavan miljoonia dollareita PC-käyttäjien rahoja, joka vuosi. Vain harva, jos mikään virustorjuntaohjelmisto tarjoaa lähellekään 100-prosenttista suojaa haittaohjelmia vastaan. Suurin osa ohjelmista ei tarjoa edes 90-prosentin suojaa ja uusia näytteitä haittaohjelmista tulee jopa yli 300 kappaletta päivässä.

SC Magazine haastatteli Gartnerin tutkimusjohtajana toimivaa Amrit Williamsia, joka yhtyi Kasperskyn näkemyksiin. "Motivoituneiden ja rahasta kiinnostuneiden rikollisten toiminta on kasvanut merkittävästi, eikä ratkaisu tulevaisuudessa voi löytyä vain virustorjunnasta." Saadakseen täydellisen suojan, pitäisi kone irrottaa verkosta ja sammuttaa, mutta lähelle sitä pääsee käyttämällä virustorjunnan lisäksi vakoiluohjelmien torjuntaa tai useampaa, konekohtaista tunkeutumisen tunnistusta ja estoa sekä henkilökohtaista palomuuria.

Itse lisäisin listaan vielä Internet-yhteyden xDSL- tai kaapelimodeemissa tai välittömästi tämän perässä toimivan rautapalomuurin, jonka taakse kaikki koneet sijoitetaan. Operaattorit jakavat ilmaiseksi¹⁾ ADSL-modeemeita, joilla ei suoraan sanoen tee yksistään mitään. Niistä puuttuu palomuuri ja erillinen palomuuri maksaa enemmän kuin kunnollinen ADSL-reititin. Nykyiset ADSL-reitittimet ja -sillat sisältävät jo erittäin hyvin toimivia palomuureja, joten kunnollisen reittimen tai sillan hankkiminen kannattaa.

Koska palomuurin säätäminen on vaikeaa, tai niin aikakin uskotellaan, on uusiin helppokäyttölaitteisiin keksitty kaikkea sellaista kuten uPnP eli Universal Plug and Play. Muuten ihan hyvä idea, että palomuuriin tehdään automaattisesti tarvittavat avaukset, mutta juuri tämä antaa koneeseen muulla tavalla päässeen haittaohjelman ottaa yhteyden "kotiin" tai asettua toimimaan takaporttina, johon hyväksikäyttäjä voi ottaa yhteyttä.

Todellisuudessa minkään ei pidä antaa määritellä palomuuriavauksia automaattisesti. Itse en käytä Skype' tai muita IP-puhelusovelluksia, pikaviestipalveluita enkä montaa muuta "modernia" Internet-teknologiaa, joten voin vain kuvitella millainen suo niille kaikille on määritellä tarpeelliset palomuuriavaukset turvallisesti. Olen kuitenkin kuullut riittävästi, että tiedän sen olevan monelle liian vaikeaa. Valitettavasti.

Usein vika on palveluiden toteuttajissa ja heidän täysin puutteellisissa ohjeissaan. Usein myös ohjelman toteutuksessa, jolle käyttäjä ei voi mitään. Keskustelin joitakin kuukausia sitten suomalaisen IPTV:n tuotteistajan kanssa ja hän oli hyvä esimerkki siitä, kuinka vähän tietoturva voi kiinnostaa. Hän puhui kaksisuuntaisesta IPTV:stä ja kun kyselin tietoturvasta ja esimerkiksi palomuurin tarpeellisuudesta, sain vastaukseksi "tämä on turvallinen ihan ilman palomuuria". Tämän ja muiden saamieni vastausten perusteella ymmärsin, että "normaaleilla" ihmisillä ei ole palveluiden käyttöä haittaavia palomuureja, joten en kuulu palvelun kohderyhmään.

Meitä opastetaan hankkimaan tietoturvaa, olemaan avaamatta epäilyttäviä sähköposteja ja liitetiedostoja, sekä lataamatta tiedostoja tuntemattomasta lähteestä. Kaikki tämä on kuitenkin täysin turhaa, jos samaa lopputulokseen joudutaan vain siksi, että käytämme palveluita, joiden suunnittelijaa ei olisi voinut vähempää kiinnostaa, miten palvelua käytetään turvallisesti.

Palaan vielä SC Magazinessa julkaistuun Williamsin kommenttiin "teollisuus on hidas reagoimaan ja olemme aina vähintään askeleen rikollisten perässä." Tämä varmasti on totta, mutta havaintojeni mukaan eräät ovat vielä hitaampia. Jotkut kaupallisten virustorjuntatuotteiden toimittajat julkaisevat uusia virustunnisteita vain muutaman kerran kuukaudessa, tyypillisesti kerran tai kaksi viikossa. Tämä riittäisi jos kyse olisi aina vain harvinaisimmista uusista haittaohjelmista. Kun toimintatapa on juurtunut niin syvälle organisaatioon, että pahankaan epidemian tai uhan aikana ei saada tuosta julkaisusyklistä poikettua, on jotain pielessä.

Toiset toimivat huomattavasti nopeammin. Itse olen havainnut että F-Secure julkistaa lähes päivittäin uusia tunnisteita ja parhaimmillaan useita kertoja päivässä. Ennätys taitaa olla 12 kertaa päivässä ja tuoreen WMF-haavoittuvuuden aikaan jonain päivänä tuli ainakin kuusi päivitystä. Myös Snort-ohjelmistoon tulee tunnisteita hyvin nopeaan tahtiin, vaikka ei varsinaisesta virustorjuntaohjelmasta olekaan kyse. Nämä eivät varmasti ole ainoat, mutta näiden päivityksiä olen päässyt viimeaikoina seuraamaan liiankin paljon.

Lopuksi oma ehdotukseni: Laitetaan ne perusasiat kuntoon eli hankitaan tarvittavat ohjelmalliset suojaukset ja laitetaan sinne kotiverkkoonkin rautapalomuuri. Lisäksi jätetään avaamatta jokainen mahdollinen tuntemattoman lähettäjän sähköpostiviesti ja erityisesti tunnettujen lähettäjien hauskat liitetiedostot eikä ladata ja ajeta kaikkea softaa, mikä netistä vastaan tulee. Näillä eväillä ei haittaa, vaikka teollisuus tulisi kolme askelta perässä kun itsellämme on kolminkertaiset lukot ovissa ja järki käytössä.

^{1) = Todellisuudessa vanhat asiakkaat maksavat nämä "ilmaiset" ADSL-päätelaitteet.}