tiistai 23. marraskuuta 2010

Ei meillä mitään virusta ole

Syyskuussa huomasin erään kotimaisen sivuston jakavan haittaohjelmaa, joka pujahtaa koneelle päivittämättömän Javan kautta. Ongelmana oli, että sivu kuului yhdistykselle, eikä siltä löytynyt yhteystietoja. Web-hostingin operaattori näkyi traceroutilla, joten lähetin sähköpostilla ilmoituksen heille.

Seurasin tilannetta, mutta mitään ei tapahtunut. Kun pari viikkoa oli kulunut, mittani oli täynnä. Miten on mahdollista, että suomalaisen yhdistyksen www-sivu saa levittää virusta kaikessa rauhassa kenenkään puuttumatta asiaan? Ja Suomessa nettisivujen turvallisuus on sentään parempi kuin useimmissa muissa maissa!

Lopulta laitoin asiasta viestin paikallisen sanomalehden palautelomakkeen kautta. Ja johan alkoi tapahtua. Ilmeisesti toimittaja oli ottanut yhteyttä yhdistykseen, sillä sivusto otettiin alas ja sen paikalle ilmestyi teksti, joka kertoi ylläpitotoimien olevan kesken. Viikonlopun jälkeen sivu oli taas puhdas ja toimi normaalisti.

Ko. yhdistyksen hallituksen edustaja sanoi lehden haastattelussa, että sivuilla oli ollut jokin häiriö, jonka eräät tietoturvaohjelmat olivat virheellisesti tulkinneet virukseksi, ja että ongelma oli nyt korjattu.

Kriisiviestinnän ensimmäinen sääntö: kun vahinko on tapahtunut, älä yritä kiistää sitä julkisuudessa. Se vain pahentaa tilannetta. Mikä tahansa sivusto voi joutua viruksen uhriksi, eikä vahinko enää kieltämällä parane.

Loppu hyvin, kaikki hyvin. Kiistämisestä olisi voinut tehdä isommankin numeron. Se olisi lisännyt mainevahinkoa, mutta ei olisi enää hyödyttänyt ketään.

Mitä tästä opimme? Jos oman koneen päivitykset eivät ole ajan tasalla, haittaohjelman voi saada kotimaiselta, täysin viattomalta www-sivulta. Lisäksi sen, että tiedonkulku sivun ylläpitäjälle voi olla yllättävän kankeaa, vaikka kaikki osapuolet olisivat suomalaisia. Ei siis ihme, että ulkomaiset palvelimet saavat levittää haittaohjelmia hyvinkin pitkään.

9 kommenttia:

Anonyymi kirjoitti...

Voisitteko kertoa, mikä oli kyseisen saastuneen koneen OS?

Teemu Kemppainen kirjoitti...

Kannattaa jos mahdollista valita käyttöjärjestelmä, joka ei ole niin altis kaikenmaailman pöpöille. Torjuntaohjelmien käyttö on vähän kuin ongelmien paikkaamalla laastarilla.

Petteri Järvinen kirjoitti...

Windows-kone, mutta haavoittuvuus oli päivittämättömässä Javassa.

@Teemu: käyttöjärjestelmän valintaan on muitakin syitä. Torjuntaohjelmien käytöstä olen samaa mieltä.

Niin ikään kannattaa, jos mahdollista, valita sellainen web-hotelli, jonka ylläpito on tehtäviensä tasalla eikä anna asiakkaidensa sivujen saastua. Tai edes reagoi asiakkailta tuleviin ilmoituksiin.

Anonyymi kirjoitti...

Miten huomasit haittaohjelman ? Itselläni antivirus-ohjelma on varoitellut esim. zip-paketin sisällöstä mutta kun sen on purkanut ja skannannut tiedostot uudelleen, ei varoitusta ole enää tullutkaan ?
Olenko siis saastuttanut koneeni ?

Petteri Järvinen kirjoitti...

Suosittelen kaikille Virustotal-palvelua. Sinne voi lähettää epäilyttävän tiedoston sähköpostilla ja muutaman minuutin päästä saa viestin, jossa on 42 eri tarkastusohjelman antamat tulokset.

Niistä näkee hyvin, ettei mikään torjuntaohjelma ole täysin ajan tasalla. Nimekkäätkin ohjelmat päivittyvät muutaman päivän viipeellä ja väittävät siihen asti tiedostoa puhtaaksi.

Epäilyttävä tiedosto sähköpostilla osoitteeseen scan(ät)virustotal.com, aihe-kenttään sana SCAN.

Anonyymi kirjoitti...

"Nimekkäätkin ohjelmat päivittyvät muutaman päivän viipeellä ja väittävät siihen asti tiedostoa puhtaaksi."

Mitä eroa on viipeellä ja viiveellä?

Petteri Järvinen kirjoitti...

Ei mitään. Korpelalla on hyvä kirjoitus aiheesta, noin sivun puolivälissä.

Kts. myös Viipeen viivytystaistelu (Facebookissa).

Mikko Hyppönen kirjoitti...

Virustotal on hyvä palvelu, mutta kannattaa huomioida että se jakaa kaikki saamansa tiedostot kymmenille eri turvayhtiöille eri puolilla maailmaa (mm. Kiinassa).

Sinne ei siis välttämättä kannata lähettää vaikkapa luottamuksellista tietoa sisältävää PDF-tiedostoa vaikka epäilisikin että se sisältäisi exploit-koodia.

Petteri Järvinen kirjoitti...

Hyvä pointti, Mikko. Dokumenttien lähetyksessä kannattaa olla tarkkana.

Mutta jos sähköpostin liitteenä tulee epäilyttäviä muita tiedostoja, tai omalta kiintolevyltä (tai usb-tikulta) löytyy oudosti nimettyjä ohjelmia, ne on helppo lähettää Virustotaliin. Tosin joissakin sähköposteissa on rajoitus, joka estää (tietoturvasyistä!) exe-tiedostojen lähettämisen (mm. Gmail). Silloin voi käyttää palvelun www-sivulta toimivaa versiota, mutta se on usein kovin ruuhkainen.