Tietovarkauksia tehty satoja

Internetitse leviävien haittaohjelmien tarkoituksena on usein kerätä käyttäjiltä henkilökohtaisia tietoja, kuten esimerkiksi pankkiyhteyden tunnuksia ja salasanoja.

Bottiverkot rakentuvat sellaisista tietokoneista, jotka on saastutettu haittaohjelmalla. Rikolliset voivat käyttää bottiverkkoja monin erin tavoin, mutta koko ajan yleistyvä käyttötapa on pakottaa verkkoon liitetyt orjakoneet lähettämään käyttäjää koskevia tietoja bottiverkon keskuskoneelle.

The New York Times kertoi keskiviikkona, että venäläinen rikollisliiga on nyt onnistunut rakentamaan aiempaa edistyksellisemmän bottiverkon varastamaan salasanoja ja muita kallisarvoisia tietoja.

Henkilötietoja massamäärin vohkivat bottiverkot ja ohjelmat ovat tuttuja myös Suomessa.

– Meille tulee rutiininomaisesti ilmoituksia suomalaisia uhreja niittäneistä bot-haittaohjelmista ja bottiverkoista, kertoo Viestintäviraston tietoturvayksikön CERT-FI:n päällikkö Erka Koivunen.

Hän kertoo laskeneensa tältä vuodelta jo yli kolmesataa tapausta, joissa suomalaiselta käyttäjältä tai suomalaisen palveluntarjoajan käyttäjältä on varastettu tietoja.

Suomalaisuhrit ovat olleet suurissa tietovarkauksissa lähinnä sivuosissa; isoimmat bottiverkot ovat varastaneet maailmalla henkilötietoja sadoilta tuhansilta ihmisiltä.

Suomea on käytetty myös bottiverkkojen pyörittämiseen. CERT-FI:n tiedossa on kymmenkunta suomalaisista verkoista löytynyttä bottiverkkojen komentamiseen käytettyä hallintapalvelinta.

– Luultavasti suurin osa, elleivät kaikki, ovat tietomurron kohteeksi joutuneita palvelimia, jotka on kaapattu tällaiseen rikolliseen tarkoitukseen, Koivunen sanoo.

Venäläisjengi käyttää
ylläpitotyökaluja

The New York Timesin mukaan venäläinen bottiverkko saastuttaa tietokoneen Corefloodiksi nimetyllä ohjelmalla, joka muun muassa tallentaa käyttäjän näppäimistöpainallukset ja lähettää ne eteenpäin. Verkkoa tutkineen yhdysvaltalaisen tietoturva-asiantuntijan Joe Stewartin mukaan verkolla koottiin hieman reilussa vuodessa viidensadan gigatavun verran tietoa.

Venäläisliiga on ottanut käyttöön tekniikan, jolla se saastuttaa ensin haittaohjelmalla esimerkiksi yrityksen tietoverkon pääkäyttäjän tietokoneen. Tämän koneen avulla jengi voi sitten Microsoftin ylläpitotyökalujen avulla ottaa saman tien komentoonsa kaikki ylläpidon alaiset työasemat.

Tekniikka on nykyaikaisen tietoverkkoarkkitehtuurin sivutuote: työasemia pyritään ylläpitämään keskitetysti, ja tuhansien tietokoneiden päivitykset hoidetaan automaattisesti.

Keskusrikospoliisin mukaan Suomessa ei ole laajamittaisesti huomattu, että ylläpitotyökaluja olisi käytetty kokonaisen yrityksen työasemien haltuunottoon.

– Se ei kuitenkaan tarkoita, etteikö niin olisi voinut käydä useamminkin Suomessakin, sanoo ylitarkastaja Sari Kajantie keskusrikospoliisin tietotekniikkarikosyksiköstä.

Kajantien mukaan yritykset eivät välttämättä ilmoita kaikista verkkopulmistaan poliisille.

– Satunnaisesta haittaohjelmatartunnasta ei välttämättä tule lainkaan mieleen, että taustalla voisi olla järjestäytynyt rikollisuus. Voi myös olla, että yritys haluaa mainesyistä vaieta tapahtumasta, hän sanoo.

– Toisaalta kyse voi olla siitä, ettei yritys itsekään ole havainnut tapahtuman laajuutta tai tekomekanismia.
Työasemaylläpidon resurssit on yleisesti vedetty niin tiukille, ettei ylläpidolla aina ole aikaa selvittää tapahtumien taustoja. Tällöin ylläpito ei välttämättä edes tiedä haittaohjelman kaappaavan yritysten tietopääomaa.

"Hiljaisten" orjakoneiden
määrää ei tiedetä
 
CERT-FI ja operaattorit pyrkivät saamaan haittaohjelmatartunnan saaneet tietokoneet mahdollisimman pian irti verkosta ja puhdistettaviksi. Kullakin hetkellä bottiverkoissa arvioidaan olevan 1 000-5 000 suomalaista orjakonetta.

– On kuitenkin huomattava, että "lyhytaikainenkin" haittaohjelmatartunta voi olla raju paikka. Vuorokaudessa kaikki koneella olleet salaisuudet on ehditty pumpata pois ja suomalaisten tietoturva- ja poliisiviranomaisten ulottumattomiin, CERT-FI:n Erka Koivunen sanoo.

Arvio orjakoneiden määrästä on pelkkä arvio, krp:n Sari Kajantie muistuttaa.

– Teleyritykset pystyvät tietyin tiukasti rajatuin kriteerein seuraamaan liikennettä tilastollisesti, joten ne pystyvät havaitsemaan kaikki "elämöivät" orjakoneet, jotka esimerkiksi koettavat lähettää roskapostia. Kohtuullisen hiljaisia orjia, jotka vaikkapa vain kaappaavat käyttäjänsä tietoja, teleyritysten automaattiseuranta ei kykene havaitsemaan. Orjakoneiden määräarvio on siis todella vain suuntaa-antava, hän sanoo.

Lisäksi haittaohjelmat ovat parin viime vuoden aikana oppineet varastamaan entistä tehokkaammin käyttäjän henkilökohtaisia tietoja ja näppäimenpainalluksia. Jotkin haittaohjelmat osaavat nykyisin kaapata jopa salakirjoitettuja verkkopankki-istuntoja.

– Toinen samanaikaisesti kehittynyt ominaisuus on ollut "häivetekniikka": haittaohjelmien havaitseminen on äärimmäisen vaikeaa. Puhumattakaan poistamisesta. En kehota ammattilaisiakaan yrittämään haittaohjelman poistoa, saati sitten kotikäyttäjiä, Koivunen sanoo.