Viestintäviraston Cert-Fi-yksikkö kertoo tuoreessa huhti–kesäkuun katsauksessaan tapauksesta, jossa suomalaisen lehden internet-keskustelupalstalla olleen mainoskehyksen kautta saattoi saada koneelleen haittaohjelman.

Haitta­ohjelma ei Cert-Fi:n mukaan latautunut jokaisella mainoksen näyttökerralla, vaan sitä jaettiin satunnaisesti, jotta asian selvittäminen olisi ollut vaikeampaa.

Ulkoistetun mainossisällön mukana voi muuten turvalliselle sivustolle tulla myös haitallista sisältöä. Sivustojen ylläpitäjät kun eivät yleensä voi suoraan vaikuttaa mainosten sisältöön. Toistaiseksi tämä "malvertising"-ilmiö on kuitenkin ollut harvinainen suomalaisilla sivustoilla.

Confickerilla lähetettiin
roskapostia

Cert-Fi nostaa katsauksessaan esille myös joulukuussa liikkeelle lasketun Conficker/Downadup-verkkomadon. Yksikön tietoon tulee päivittäin tietoja tartunnan saaneista tietokoneista.

Pitkään on ihmetelty, mitä madon tekijät aikovat tehdä saastuneiden tietokoneiden armeijallaan. Toisen vuosineljänneksen aikana kuitenkin nähtiin ensimmäisiä merkkejä koneiden käyttämisestä hyväksi rikollisessa toiminnassa.

Verkkomadon luoman vertaisverkon välityksellä koneisiin ladattiin haitta­ohjelma, jota käytettiin roskapostikampanjan toteuttamiseen. Vielä tuntemattomasta syystä ohjelma kuitenkin oli ohjelmoitu tuhoutumaan kuukauden päästä asennuksesta.

Tapaus on jäänyt yksittäiseksi eikä Conficker-tartunnan saaneita koneita ole muuten käytetty järjestelmällisesti rikolliseen toimintaan.

Cert-Fi lähetti toisen vuosineljänneksen aikana käyttäjille 22 000 Conficker-verkkomatoon liittyvää ilmoitusta. Suomalaisissa verkoissa verkkomadon saastuttamia koneita on havaittu noin 5 300 eri ip-osoitteesta. Ensimmäisellä neljänneksellä lähetettiin vastaavasti noin 14 000 ilmoitusta, jotka koskivat 3 600 eri osoitetta.

Eracea
sivutaan

Katsauksessa huomioidaan myös ilmeisesti ensi kertaa Cert-Fi:n toimesta Eracen ilmoittama haavoittuvuus, jota voidaan käyttää joidenkin älypuhelinten kaappaamiseen asetustekstiviestillä.

Tietoturvayksikkö kertoo lisäksi avustaneensa ulkomaisia viranomaisia selvittämään aivan toista tapausta, johon liittyi pankkitietoja varastava haittaohjelma. Ohjelmaa levitettiin latvialaisen palveluntarjoajan verkko-osoitteiden kautta.

Ilmeni, että samaa verkkoa käytettiin useiden eri haittaohjelmien jakelualustana. Cert-Fi otti yhteyttä latvialaiseen Cert-ryhmään ja palveluntarjoajan verkko-operaattoriin. Selvisi, että kyseisestä palveluntarjoajasta oli tehty lukuisia ilmoituksia, jonka seurauksena sen verkkoyhteydet katkaistiin.

Phishingille stoppi
nykyistä nopeammin

Tulevaisuutta tutkaillen Cert-Fi löytää kansainvälisistä yhteistyöelimistä merkkejä siitä, että halu löytää ratkaisuja roskapostiongelmaan on lisääntymässä. Yhteisesti sovitut menetelmät väärinkäytöksiin puuttumiseksi ovat kuitenkin vielä kehittymättömiä.

Internetin osoite- ja verkko­tunnushallintoa koordinoiva Icann sekä tietojen varastelutoiminnan torjumiseen keskittyvä APWG (Anti-phishing Working Group) ovat terävöittämässä toimintaansa.

APWG on käynnistämässä hanketta, jossa phishing-toimintaan käytettävät, virheellisillä tiedoilla rekisteröidyt verkkotunnukset saataisiin suljettua jo muutaman tunnin kuluessa huijausten havaitsemisesta ja raportoinnista. Icann on taasen tarkentamassa verkkotunnusten rekisteröintipalvelujen tarjoajien valvontaa ja ohjeistusta.

Molemmat tahot korostavat tarvetta tiiviiseen yhteistyöhön erityisesti Cert-Fi:n kaltaisten kansallisten Cert-yksiköiden kanssa.