Ransomware tietoisku ja posteri

Ohessa on tietoisku Ransomware eli kiristyshaittaohjelmista. Tein tietoiskun osana YAMK-opintojen Cybersecurity Management (kyberturvallisuuden hallinta) -kurssia. Tehtävänä oli tuottaa materiaalia sosiaalisen median tietoturvakampanjaa varten. Toinen osa tietoiskusta julkaistaan myöhemmin.

Lataa suomenkielinen Ransomware-posteri. Saatavilla on myös alkuperäinen englanninkielinen posteri.  Alla pieni esikatselukuva.

ransomware tietoisku

Ransomware eli kiristyshaittaohjelma ottaa haltuun tietokoneesi tai puhelimesi ja pyytää sinulta rahaa sen vapauttamiseksi.

F-Securen uhkaraportin mukaan yksi tietty kiristyshaittaohjelmaperhe oli vuoden 2014 jälkimmäisellä puoliskolla 10. suurin haittaohjelmauhka maailmassa. “Vasta kymmenes?” saatat pohtia.

Kyseinen haittaohjelmatyyppi on ollut huomattava ongelma viimeisen parin vuoden aikana. Havaituista uhista se saattaa olla jopa kaikkein ongelmallisin. (F-Secure 2014)

Näin Ransomware toimii

1. Saastuminen
Voit saada kiristyshaittaohjelman koneellesi saastuneesta sähköpostin liitetiedostosta tai päivittämättömän selainlaajennoksen kautta.

2. Salaus
Kiristyshaittaohjelma etsii koneeltasi mielenkiintoisia tiedostoja, kuten tekstidokumentteja, kuvia jne. Sitten ohjelma salakirjoittaa tiedostot niin, ettet voi käyttää niitä enää.

3. Kiristys
Haittaohjelma lukitsee koko laitteen ja pyytää rahaa. Käyttäjän on maksettava ajoissa tai hinta nousee.

4. Pelastus
Jos käyttäjä maksaa, tiedostot ehkä vapautetaan lukituksesta.

Miten suojaudun kiristyshaittaohjelmalta?

Paras suojaus kiristyshaittaohjelmia vastaan on pitää koneesi päivitettynä ja varmuuskopioida usein. Onko koneesi jo saastunut? Puhdista järjestelmä ja palauta kaikki tiedostot varmuuskopioista. Älä maksa rikollisille!

Lue lisää kiristyshaittaohjelmista poliisin, kyberturvallisuuskeskuksen ja F-Securen tekemältä sivustolta sekä F-Secure uhkaraportista H2/2014.

Tietoturvabingon lisäarvonta

Pelasin tässä taannoin tietoturvabingoa erään järjestelmän sekä sen asiakasohjelmiston kanssa. Ohjelmiston idea on näyttää koneelle kirjautuneelle käyttäjälle häneen itseensä liittyviä tietoja, jotka haetaan etäpalvelimelta. Halusin selvittää liikkuuko käyttäjän salasana selkokielisenä ohjelmistosta palvelimelle.

Voitto ei tällä kertaa osunut kohdalle, mutta pääsin sentään mukaan lisäarvontaan. Asiakasohjelmiston kansiosta löytyi nimittäin asetustiedosto, jonka sisältö hieman ihmetytti. Yhdellä rivillä luki näin:
”Tässä määritellään se käyttäjä, jonka tunnuksilla asiakasohjelmistoa ajetaan.”

Testimielessä vaihdoin kyseiselle asetusriville toisen käyttätunnuksen ja käynnistin ohjelmiston uudelleen. Harmikseni saatoin todeta näkeväni toisen käyttäjän tiedot ruudullani. Siis sellaiset tiedot, joiden kuuluisi näkyä vain käyttäjälle itselleen sekä järjestelmän pääkäyttäjälle. Taas ihmetytti..

Otin yhteyttä järjestelmän jälleenmyyjään.

Myyjän asiantuntija vastasi, ettei hän ollut tietoinen kyseisestä asetuksesta. Pyysi ottamaan yhteyttä järjestelmän tekijöihin. Asiantuntija ei siis tuntenut tarjoamansa ratkaisun asetustiedostoa? Edelleen ihmetytti.

Tästä hämmentyneenä lähetin sähköpostia tekijöille. Kyseessä on kuulemma järjestelmässä alusta asti mukana ollut kätevä ominaisuus, jonka avulla käyttäjä saa näkyville tietonsa, vaikka ei olisikaan omalla koneellaan. Voitto!

Seuraavaksi kun järjestelmät vuotaa ja tietoja leviää ulkopuolisille, niin minua ei enää ihmetytä.

Miksi tietokoneesi halutaan hakkeroida?

Olet varmasti joskus pohtinut miksi ihmeessä juuri sinun tietokoneesi haluttaisiin hakkeroida?

Eihän sillä tehdä mitään tärkeää eikä siellä säilytetä liikesalaisuuksia. ”Minulla ei ole mitään salattavaa” kuulee myös usein sanottavan.

Lähtökohtaisesti rikollisia ei kiinnosta se, mitä normaalin kotikäyttäjän koneella on. Sen sijaan heitä kiinnostaa se mitä kaikkea koneellasi voi tehdä. Kaikki millä on rahallista arvoa ovat kohteena verkkorikollisille.

Ohessa on kaavio, jonka tarkoituksena on esitellä eri syitä hakkeroida / kaapata tietokone. Kaaviossa on yhdistettynä sekä yritysmaailman että kotikäyttäjän koneisiin liittyviä asioita. Vaikka kaavio ei ole täydellinen ja se sisältää päällekäisyyksiä niin kaikki varmasti ymmärtävät, miksi oma kone kannattaisi suojata..

hack_pc_arvo

Kaavion on alunperin julkaissut Brian Krebs.
Hän pitää aiheeseen liittyvää blogia osoitteessa http://krebsonsecurity.com

Näin hakkerit hyödyntävät konettasi

Tässä vielä lyhyesti selostettuna kaaviossa esitetyt kohdat. Tätä kaikkea koneellasi voidaan tehdä, kun se on hakkeroitu:

Palvelin
Koneestasi voidaan tehdä palvelin, jossa ylläpidetään huijaussivustoja sekä jaetaan haittaohjelmia ja laitonta materiaalia.

Sähköposti
Hakkerit voivat hyödyntää konettasi myös sähköpostipalvelimena. Koneesi kautta lähetetään roskpostia ja huijausviestejä ympäri maailmaa. Sähköpostitililtäsi voi löytyä myös tietoja, joiden avulla hakkerit pääsevät yrityksesi tai työnantajasi palvelimille.

Liikesalaisuudet
Mikäli kyseessä on yrityksen tietokone, voi sinne olla tallennettuna liikesalaisuuksia kuten tuotetietoja, alustavia patenttihakemuksia, tutkimustuloksia jne. Nämä kaikki ovat rahanarvoista tietoa rikollisille ja kilpailijoille.

Virtuaalinen omaisuus
Koneeltasi voi olla pääsy verkkopelien rahoihin ja muihin hyödykkeisiin. Maailmalla liikkuu myös paljon haittaohjelmia, jotka keräävät lisenssikoodeja koneilta ja lähettävät ne eteenpäin.

Sosiaalinen media
Et varmasti hirveästi ilahtuisi jos joku esiintyisi sinun tai yrityksesi tunnuksilla sosiaalisessa mediassa?

Henkilökohtaiset asiat
Koneellasi saattaa olla tietojasi tai muita henkilökohtaisia dokumentteja. Et varmastikaan halua, että muilla olisi pääsy lastesi valokuviin?

Kiristäminen
Rikolliset saattavat asentaa koneellesi ns Ransomware ohjelmistoja, jotka pyytävät lähettämään rahaa tai muuten koneesi ei enää aukea. Ohjelmat saattavat myös uhata tyhjentää koneesi ellei rahoja makseta. Sinua voidaan kiristää myös kaapatun webbikameran kautta otettujen kuvien avulla.

Taloudelliset hyödykkeet
Suomessakin on tavattu erilaisia verkkopankkihaittaohjelmia sekä pankkitunnuksia utelevia sivustoja (kts. kohta Palvelin). Näiden lisäksi myös luottokorttitiedot ja verkkokukkarot ovat hyviä kohteita rikollisille.

Käyttäjätunnukset
Eri verkkopelien, verkkopalveluiden sekä palvelimien käyttäjätunnukset avaavat rikollisille uusia mahdollisuuksia hankkia rahaa.

Bot-verkko
Koneesi saatetaan liittää osaksi ns bot-verkkoa, jota käytetään mm roskapostin levittämiseen ja isojen verkkohyökkäysten tekemiseen. Rikolliset saattavat myös peitellä omia jälkiään kierrättämällä verkkoliikenteen sinuun koneesi kautta.

Verkkopalveluusi hyökätään päivittäin?

Tiesitkö, että julkiseen verkkopalveluusi hyökätään todennäköisesti päivittäin?

Mikäli sinulla on Internetiin julkisesti näkyvillä oleva verkkopalvelu, kuten esimerkiksi verkkosivut, tiedostopalvelin tai etäyhteyspalvelu, niin sitä yritetään todennäköisesti murtaa päivittäin.

Hyökkääjä on saattanut ottaa erityisesti sinun palvelusi kohteekseen tai sitten hän vain etsii Internetistä sattumanvaraisia kohteita ja yrittää tehdä niihin automaattisia hyökkäyksiä.

etsittyja_ohjelmistoja

Sattumanvaraisissa hyökkäyksissä verkkopalvelustasi etsitään yleensä jotain tiettyä sovellusta tai avointa tietoliikenneporttia, johon hyökkäyks sitten kohdistetaan. Yllä olevassa kuvassa on esimerkki siitä, kuinka hyökkääjä on etsinyt palvelimelta phpMyAdmin -sovelluksen tiettyjä versioita.

Mikäli etsit hakukoneella tietoa sovelluksen versionumerosta 2.5.7 niin huomaat, että kyseisestä versiosta on löydetty tietoturvahaavoittuvuus. Jos hyökkääjä löytää palvelimeltasi kyseisen version, niin hän voi helposti jatkaa automaattista hyökkäystä eteenpäin.

testatut_salasanat

Toisessa kuvassa on esimerkki eräästä lokitiedosta, joka on otettu SSH-etäyhteyspalvelusta. Kyseinen palvelu oli testimielessä oletusasetuksilla avoinna verkkoon noin 1,5 vuorokauden ajan. Sinä aikana palveluun yritettiin kirjautua yli 300 kertaa eri käyttäjätunnuksilla. Kuvasta huomaa hyvin sen, että kyseessä on ns. sanakirjahyökkäys, jossa yritetään arvata käyttäjätunnus-salasana pareja.

Tällaiset automaattiset hyökkäykset ovat siitä pelottavia, että niitä voidaan toteuttaa useita erittäin lyhyessä ajassa. Tästä johtuen on erittäin tärkeää, että verkkopalvelusi tietoturva on ajan tasalla. Muista pitää palvelut aina päivitettyinä ja sulje turhat avonaiset palvelut pois julkisesta verkosta. SSH-esimerkistä huomaa myös sen, että salasanojen monimutkaisuuteen* kannattaa kiinnittää huomiota.

Huomioi myös se, että automaattisia hyökkäyksiä tekevä taho ei välttämättä välitä siitä onko kohteena yritys vai kotikäyttäjä. Itse asiassa edellä mainitussa SSH-esimerkissä palvelu oli käynnissä normaalilla kotikoneella, johon siis hyökättiin 1,5 vuorokauden aikana yli 300 kertaa!

*Vinkki: Mikäli salasanojen hallinta tuottaa tuskaa, niin tutustu KeePass-ohjelmaan!

Sähköpostin väärentäminen

Kun puhutaan sähköpostin väärentämisestä, niin usein sillä tarkoitetaan sähköpostin lähettäjätietojen väärentämistä. Toisin sanoen viesti näyttää tulleen eri paikasta, kuin mistä se oikeasti on tullut. Esimerkiksi käyttäjälle näkyy, että viestin lähettäjä on Yritys X vaikka todellisuudessa viestin lähetti Huijari Y.

Teknisesti sähköpostin lähettäjätietojen väärentäminen ei ole haastava asia. Itse asiassa riittää, että sähköpostiohjelmalle kerrotaan lähettäjän sähköpostiosoite, oli se sitten oikein tai ei. Tarvittavat työkalutkin saattaavat jopa löytyä tavallisen käyttäjän koneelta.

vaarennetty_sahkoposti

Yllä olevassa kuvassa on esimerkki väärennetystä lähettäjästä. Olen saanut viestin käyttäjältä, jonka sähköpostiosoitteen loppu on vaaraosoite.abcd. Viestin mukana on tullut myös liitetiedosto tiedotPDF.pdf.

Mikään ei estä muuttamasta sähköpostiosoitteeksi jotain uskottavampaa ja samalla selostamaan itse viestissä jotain liitetiedostosta. Luonnollisesti jos lähettäjä ja selostus on tarpeeksi kiinnostava, niin liitetiedosto tulee avattua sen enempää ajattelematta. Ja kaikkihan me tiedämme, että ”epäilyttäviä liitetiedostoja” ei saa avata!

Väärennetyn sähköpostin jäljittäminen

Väärennetystä sähköpostista, kuten oikeistakin, jää jälkiä vastaanottajan sähköpostijärjestelmään. Tutkimalla viestin alkuperäisiä lähetystietoja voidaan havaita mitä kautta viesti on meille saapunut. Tiedot ei välttämättä paljasta oikeaa lähettäjää (esim roskapostittajaa, hakkeria tms), mutta tiedot kertovat ainakin mitä kautta viesti saapui. Mikäli on syytä epäillä että lähetetty viesti ei ole asianmukainen, niin kannattaa ottaa yhteyttä alkuperäistiedoista paljastuvaan tahoon. Voi olla että hekään eivät ole olleet tietoisia, että heidän palveluitaan käytetään vääriin tarkoituksiin.

Sähköpostiviestin alkuperäistietojen tulkitseminen ei ole välttämättä se yksinkertaisin asia, mutta tavallinen käyttäjä saa ne toki näkyville melko helposti. Esimerkiksi Gmailissa ne löytyvät yksittäisen sähköpostiviestin toimintavalikon kohdasta ”Show original / Näytä alkuperäinen”. Vastaavasti Outlookin Webmailista alkuperäistiedot saa esille avaamalla viestin omaan ikkunaansa ja valitsemalla kohdan ”Message details / Viestin tiedot”

vaarennetty_lahettaja

Jotkut sähköpostipalvelut sisältävät tietoturvaominaisuuksia, jotka varoittavat poikkeuksista alkuperäistiedoissa. Esimerkiksi Gmailissa tulee erillinen keltainen varoitusteksti (kuva yllä vuodelta 2013), jos viestin väitetään tulevan Gmailista, mutta ei oikeasti tule.