Tietomurtojen merkkejä – Antivirus
Jussi Perälampi
Kirjoitus on toinen osa toissa viikolla alkanutta sarjaamme tietomurtojen indikaattoreiden havaitsemisesta.
Yleisin indikaattori ongelmasta työasemassa on kun haittaohjelmien torjuntaohjelmisto (antivirus-ohjelmisto, lyhyemmin AV) ilmoittelee havainneensa haitakkeen koneella.
Havainto tulee pääasiallisesti kahdessa eri tilanteessa eli ajastetussa tarkastuksessa esimerkiksi joka sunnuntai kello 12 tai kun käsitellään tiedostoja reaaliaikaisesti, esimerkiksi avataan liite sähköpostista, surffataan netissä tai kytketään ulkoinen muisti (USB, flash jne.) koneeseen.
Melkeinpä aina kun AV hihkaisee löytäneensä haitakkeen ollaan tyytyväisiä. Haitake on poissa ja rauha palannut eikä asiaa tarvitse ajatella enempää. Vai tarvitsisikohan sittenkin?
Erityisesti kun haitake löytyy ajastetussa skannauksessa, kannattaa katsoa raportista haitaketiedoston luomispäivämäärä, jotta voidaan arvioida kauanko haitake on ollut koneella. Tosin ei ole vielä tullut AV- tuotetta vastaan joka kertoisi kauanko haitake on ollut jo koneella ennen löytymistä. Tämä olisi varmaan heikkoa mainosta tuotteelle, mutta arvokasta tuotteen käyttäjälle.
Webbiä selatessa AV saattaa myös hälyttää: haitake havaittu ja poistettu. Joku käyttäjä saattaa jopa ajaa perään täydellisen antivirus-tarkastuksen koneelle, joka sekin toteaa että kone on puhdas. Saattaa ollakin tai sitten haitake on jo muistissa ja AV:n ulottamattomissa. On aina viihdyttävää demota edellä kuvattu tilanne. Surffataan netissä, AV hälyttää ja “poistaa uhan”, täysi AV-tarkastus toteaa koneen puhtaaksi ja samaan aikaan on esillä hyökkääjän shell-yhteys “puhdistettuun” koneeseen.
Mihin hälytyksissä ja raporteissa sitten pitäisi kiinnittää huomiota?
Kenellä näyttää käyvän tuuri saada haitakkeita? Onko henkilö tärkeässä asemassa tai onko hänellä pääsy useampaan paikkaan verkossa? Ylin johto, eri pääkäyttäjät, HR tai vaikkapa johdon sihteerit. Sihteerit ovat yleensä hyviä, koska heille on delegoitu pääsy johtajien sähköpostiin sekä kalenteriin ja saattavat jopa omata pomon salasanankin. Ylin johto ja pääkäyttäjät eivät tarvinne selittelyjä. HR on myös otollista, koska heidän työtään on avata erilaisia PDF- ja Office-tiedostoja sekä käydä katsomassa hakijan web-sivua. Kun raporttia luetaan, olisi hyvä siis huomioida koneen haltijan rooli sekä onko saman käyttäjäryhmän jäsenillä yllättävää haitakeaktiiviisuutta.
Toinen kiinnostava kohta raporteissa on koneet, jotka uudelleeninfektoituvat tai joihin tulee uusia tartuntoja jatkuvasti. Tällaisia koneita tutkittaessa on löydetty useita haitakkeita, joita AV ei ole havainnut eli vaikka yksi tai useampi haitake on saatu poistettua riittää yksi haitake palauttamaa koko haitakejoukon taas koneelle.
Raporteista ja hälytyksistä tulisi myös katsoa mitkä ovat haitakkeen ominaisuudet. Jos haitakkeen ominaisuus on vain avata mainospopuppeja ei tilanne ole yhtä vakava kuin sellaisessa tapauksessa, että haitake dumppaa koneen käyttäjien salasanat ulos, lataa uusia haitakkeita ja mahdollistaa koneen etäkäytön. Rootkitin löytymisen pitäisi olla aina iso punainen lippu.
Jos haitake on dumpannut koneelta salasanat ja tunnukset alkaa antivirus menettämään toimintaedellytykset. Hyökkääjän ei tarvitse enää käyttää haitakkeita kun voi kirjautua vaikkapa VPN:n tai langattoman verkon kautta verkkoon tai lukea sähköpostit webmailin kautta.
Antivirus on edelleen aivan käypä työkalu perinteisten haitakkeiden pysäyttämiseen, mutta nykyiset hyökkäystekniikat ovat menneet AV:n ohi. Vertauksena voisi käyttää ensimmäisen maailmansodan aikaan jolloin vihollinen (virus) pysäytettiin tehokkaasti konekiväärillä (AV). Sitten tuli panssarivaunu (kehittyneet haitakkeet) ja konekivääri ei toiminutkaan pysäyttäjänä kuin optimitilanteessa. Kuitenkin konekiväärillä on edelleen paikkansa sotavälineenä ja virustorjunnalla tietoturvatyökaluna.