Sampopankin verkkopankki altis verkkohyökkäyksille
26.03.2008 13:43
Sampopankki asentaa vakoiluohjelmia
26.03.2008 12:50
Lapsiporno.info verkkohyökkäyksen kohteena
16.02.2008 17:55
Kylmä temppu Microsoftilta
12.07.2006 13:47
Windows 98 ja ME -käyttäjät vapautuvat kuukausittaisesta päivityskierteestä
07.07.2006 12:31
Palvelin- ja konesalivuokrauksen turvallisuus mietityttää
03.06.2006 23:02
DNA liittyy roskaoperaattoreiden joukkoon
31.05.2006 23:40
Spycar paljastaa tietoturvapalveluiden heikkouden vakoiluohjelmien torjunnassa
08.05.2006 22:46
Responsewave vastaa, ettei roskaposti ole roskapostia
21.04.2006 08:50
Finnet kasvatti postilaatikoiden kokoa
19.04.2006 19:50
Käyttävätkö kunnat sähköpostia vastuuttomasti?
19.04.2006 17:59
Sisäministeriö raportoi salaisten pakkokeinojen käytöstä
12.04.2006 16:35
08.05.2006 22:46
Spycar-projekti on perustettu osoittamaan vakoiluohjelmien torjuntaan myytävien ohjelmien heikkoudet ja toisaalta luomaan vakoiluohjelmien tunnistuksen toimivuuden testaukselle vastaavan testiohjelmiston kuin virustorjunnan toiminnan testaukseen luotu Eicar.com testivirus.
Testasin suurimpien suomalaisten Internet-operaattoreiden tarjoaman F-Securen tietoturvapalvelun kykyä tunnistaa ennalta tuntematon vakoiluohjelma. Tunnistuksessa käytin Spycarin testiohjelmistoja. Ohjelmisto on käytössä yhden operaattorin oletusasetuksilla, jotka myös ovat F-Securen suosittelemat oletusasetukset ohjelmistolle. Samaan ohjelmistoon perustuu myös F-Securen myymäpaketoitu Internet Security 2006 tuote, joskin käytettyjen ohjelmistokomponenttien versioissa on eroja tämän ja eri operaattorituotteiden kesken.
F-Securen vakoiluohjelmien torjunta perustuu Lavasoftin Ad-aware vakoiluohjelmien torjuntatuotteeseen, joka on integroitu osaksi F-Securen virustorjuntaa. Toimintamekanismi perustuu eräänlaiseen sormenjälkitekniikkaan, joka edellyttää että jokainen vakoiluohjelma on tunnistettu ja tästä on luotu tietokantaan sormenjälki, jonka perusteella se voidaan tunnistaa.
Spycar testeillä voidaan testata erilaiset tavat lisätä käynnistettävä ohjelma Windowsin rekisteriin, niin että ohjelma käynnistyy automaattisesti seuraavalla käynnistyskerralla. F-Securen ohjelmisto tunnisti yhteen järjestelmärekisterin Run-haaraan lisätyn käynnistettävän ohjelman, mutta ei estänyt käynnistystiedon lisäystä, vaan ainoastaan ilmoitti siitä. Muiden Run-haarojen testit epäonnistuivat jostain syystä, vaikkakaan F-Securen vakoiluohjelmientorjunta ei reagoinut niihin mitenkään.
Internet Explorer selaimen asetuksien muuttamista Spycar testaa muuttamalla Internet-asetukset ikkunan välilehtien näkyvyyttä, aloitussivua, oletushakupalvelua sekä estämällä aloitussivun muuttamisen. Näistä muutoksista F-Secure esti ainoastaan aloitussivun ja hakupalvelun muutokset, muista se ei edes varoittanut.
Lopuksi testattiin vielä koneen HOSTS-tiedoston muuttamista. Tämän tiedoston avulla voidaan muokata verkko-osoitteiden IP-osoitteita, siten että muutokset näkyvät vain paikallisesti, mutta muutosten avulla voidaan esimerkiksi verkkopankin osoite laittaa osoittamaan aivan rikollisten hallussa olevalle palvelimelle. Testissä F-Securen vakoiluohjelmien torjunta ei mitenkään reagoinut tämän tiedoston muuttamiseen.
Tulokset:
HKCU_Run testiä ei suoritettu HKCU_RunOnce testiä ei suoritettu HKCU_RunOnceEx testiä ei suoritettu HKLM_Run muutos sallittu HKLM_RunOnce testiä ei suoritettu HKLM_RunOnceEx testiä ei suoritettu IE-HomePageLock muutos sallittu IE-KillAdvancedTab muutos sallittu IE-KillConnectionsTab muutos sallittu IE-KillContentTab muutos sallittu IE-KillGeneralTab muutos sallittu IE-KillPrivacyTab muutos sallittu IE-KillProgramsTab muutos sallittu IE-KillSecurityTab muutos sallittu IE-SetHomePage muutos estetty IE-SetSearchPage muutos estetty AlterHostsFile muutos sallittu
Tulokset ovat varsin tyrmistyttäviä ja kertovat että hyväkään vakoiluohjelmien torjunta ei välttämättä tunnista kohdistettuja tai uusia aiemmin tuntemattomia vakoiluohjelmia.
Spycar jää tunnistumatta toisaalta siksi, että sille ei ole sormenjälkeä, mutta ensisijaisesti siksi, että vakoiluohjelmien tunnistus ei kiinnitä huomiota menetelmiin, joilla vakoiluohjelmat leviävät vaan ohjelmiin itseensä. Kun leviämismekanismeja voi vapaasti hyödyntää, riittää vakoiluohjelmille temmellyskenttää ja tietoturvapalvelut ja -ohjelmistot tulevat aina auttamattomasti perässä.
Mikäli torjuntaohjelmistot tunnistaisivat leviämis- tai tartuntamenetelmiä, ei tietokoneen käyttö olisi kuitenkaan enää niinkään ongelmatonta kuin nyt. Monesta helppokäyttöisestä asiasta pitäisi luopua, tai ne muuttuisivat vähemmän helppokäyttöisiksi. Toistaalta tietoturva ja helppokäyttöisyys harvemmnin kulkevatkaan käsi kädessä.
Jos käynnistyksessä automattisesti ajettavien ohjelmien ei annettaisi asentaa järjestelmärekisteriin käynnistystietoja, monen ohjelmiston asennus jäisi puoliväliiin ja ohjelmisto toimisi vajaasti tai ei ollenkaan. Muiden testattujen ominaisuuksien muuttaminen voitaisiin kuitenkin suurelta osin estää, ilman että keskivertokäyttäjä kokisi mitään ongelmia. Hänellä kun ei ole tarvetta muokata ikkunassa näkyviä välilehtiä tai HOSTS-tiedostoa. Jos onkin, niin nämä voitaisiin kuitenkin vakoiluohjelmien torjunnasta sallia tilapäisesti.