TKK |
Tietoverkkolaboratorio
| Opetus
Johdanto
TIETOKONEVIRUKSET
Kyse
on tietokoneohjelmista jotka on ohjelmoitu käyttäytymään
luonnollisten virusten tapaan. Ne lisääntyvät, leviävät tietokoneesta
toiseen
ja tuottavat harmia niin mikroille kuin niiden käyttäjillekin. Virukset
muodostavat kuitenkin vain pienen osan erillisistä vahingollisista
ohjelmista. Vahingon takana voi yhtä hyvin olla viaton ohjelmointi virhe tai
TROIJAN HEVONEN. Missä virus on ohjelmoitu levittämään
itsestään
kopioita toisiin koneisiin, kun taas Troijan hevonen ei leviää itsestään
toisiin koneisiin vaan rajaa tuhonsa sen imuroineeseen koneeseen. Viruksen
leviäminen tapahtuu kolmessa vaiheessa. Ensimmäinen vaihe on
tarttumisvaihe, jonka aikana virus pujahtaa uuteen tietokoneeseen ja
piiloutuu sinne. Toinen vaihe on lisääntymisvaihe, jonka aikana virus pyrkii
levittämään itsestään kopioita muihin koneisiin. Kolmannessa vaiheessa
virus aktivoituu. Mikroista löydetyt virukset on jaettu kolmeen ryhmään
niiden leviämistavan mukaan: Ensimmäisen ryhmän muodostavat
tiedostovirukset, jotka leviävät
koneesta toiseen ohjelmatiedostojen
mukana. Tiedostovirukset voivat levitä koneesta toiseen
ohjelmatiedostojen mukana lähiverkon tai modeemiyhteyden välityksellä.
Toisen ryhmän muodostavat levykevirukset, jotka piiloutuvat levyn alueille
joilla normaalisti sijaitsee vain käyttöjärjestelmän omaa tietoa. Leviäminen
on mahdollista vain levykkeiden välityksellä. Kolmannen ryhmän, ja
samalla pienimmän, muodostavat sovellusohjelmien virukset. Nämä
virukset leviävät ainoastaan sovellusohjelman välityksellä, koska virukset
on tehty sovellusohjelman omalla makro- tai ohjelmointikielellä ja ovat
piiloutuneina sen työtiedostoissa.
Kukaan
ei tarkkaan tiedä montako erilaista tietokonevirusta on olemassa.
Kokonaan uuden viruksen kehittäminen on vaikeata. Helpommalla pääsee
kun ottaa kiinni jonkin olemassa olevan viruksen, tekee siihen hieman
muutoksia ja pistää viruksen eteenpäin. Määrällisesti eniten viruksia löytyy
pc-koneille, mutta arviot vaihtelevat suuresti. Usein on vaikea erottaa
milloin on kyseessä uusi
virus ja milloin taas jonkin vanhan viruksen
muunnos. Niiden alkuperää on myös usein mahdotonta jäljittää koska ne
leviävät niin nopeasti koneesta toiseen. Kuka tahansa harrastaja voi soittaa
modeemin välityksellä lähes minne tahansa maapallolla ja siirtää itselleen
linjaa pitkin ohjelmia. Suurin uhka tämän hetken mikron käyttäjille ovat
makrovirukset, tämän
tyyppinen virus käyttää sovellusohjelman omaa
makrokieltä sulautuen ohjelmaan. Vaarallista tässä on sen vaikea
havaitseminen ja kyky ottaa sovellusohjelman eri funktioita haltuun.
Esimerkiksi virus ottaa save-funktion haltuun, ja aina kun käyttäjä tallentaa
tiedoston, kopioi virus itsensä siihen. Tämän tyyppinen virus on tällä
asteella, nopeimmin leviävä ja vaikeimmin löydettävä virus tällä hetkellä.
Miksi viruksia sitten tehdään? Viruksen tekeminen on äärimmäisen vaativa
ja monimutkainen prosessi. Siis miksi tuhlata aikaansa virusten tekoon?
Suurin viruksia laativa ryhmä lienevät 15-25 -vuotiaat pojat. Viruksia
tehdään koska halutaan nähdä miten ne toimivat. Tämä selittää sen, miksi
niin monet virukset tuottavat erilaisia jekkuja tai piloja yrittämättäkään
tehdä varsinaista vahinkoa.
Virusten
torjunta muodostaa sodan, jossa osapuolina ovat virusten ja
niiden torjuntaohjelmien tekijät. Nykyisin tunnettujen virusten määrä lähes
millä tavalla tahansa laskien liikkuu kymmenissä tuhansissa, joten
tunnistettujen virusten määrällä ei ole itseisarvoa. Aina, kun toinen
osapuoli
keksii jotain uutta, toinen vastaa siihen samalla mitalla. Emme tule
näkemään tappajaviruksia, jotka
leviäisivät kautta maailman tiedostoja
tuhoten ja tehden torjunta- ja etsintäohjelmat tehottomiksi. Emme tule
myöskään näkemään lopullista torjuntaohjelmaa, joka etsisi ja tuhoaisi
kaikki nykyiset ja tulevat virukset yhdellä kertaa. Realistista olisi
jatkuvasti
internetistä itseään uudistava viruksen etsintä-ohjelma jolla olisi eniten
tunnettuja viruksia muistissaan. Mutta tunnettujen virusten kokonaismäärä
ei ratkaise, sillä paljon tärkeämpää on se, tunnistaako ohjelma hyvin
kaikki
kymmenen tai korkeintaan sata yleisintä virusta jotka aiheuttavat valtaosan
tartunnoista ja ongelmista juuri kyseisellä ajanjaksolla.
Maaliskuussa 1990 Ph.D., M.D. Peter Tippett, yksi suojausohjelmiin
erikoistuneen Foundation Ware-yrityksen perustajista ja sen pääjohtaja, piti
esityksen, jossa hän arvioi, että tietokoneviruksista koituisi 5-10 miljardin
dollarin taloudelliset menetykset. Hän perusteli laskelmiaan havaittujen
virusten määrällä ja matemaattisilla malleilla,
jotka kuvaavat virusten
leviämistä mikronkäyttäjien rajoitetussa populaatiossa. Laskelmat näyttävät
vakuuttavilta, mutta ne eivät voi ennustaa, miten moni viruksista aiheuttaa
todellista vahinkoa, tai sitä, miten tavalliset käyttäjät reagoivat
viruksiin.
Lisääntynyt puhe viruksista ja torjuntaohjelmien leviäminen nostavat
käyttäjien valppautta ja yhä useampi virus saadaan ajoissa kiinni. Tästä on
osoituksena monta konkreettista esimerkkiä, kuten AIDS-Troijalaisen
ja
love-letterin saama maailmanlaajuinen huomio. On silti luonnollista että,
torjuntaohjelmien valmistaja haluaa antaa viruksista uhkaavan kuvan. Virus
saattaa tuhota yrityksessä monta kovalevyä ennen kuin osaa edes epäillä
että virus olisi asialla. Tietokoneeseen ilmaantuneet ongelmat menevät
helposti vanhojen ongelmien piikkiin, kun asiasta (tietokoneen
toimintatavasta) ei ole tarpeeksi tietoa. Koska läheskään kaikki virukset
eivät aiheuta varsinaista tuhoa, ne voivat levitä hyvinkin laajalle ennen kuin
kukaan edes huomaa mitään poikkeuksellista.
Henkilöt,
jotka vastaavat virusten torjunnasta, käyttävät yleensä vain
virusten etsintään tarkoitettuja ohjelmia. Ne löytävät kyllä vanhat,
tiedossa
olevat virukset, mutta eivät tiedä uusista mitään. Tälläkin hetkellä
liikkuu
maailmalla useita viruksia eri koneissa, eri paikoissa, joita kukaan ei ole
vielä huomannut. Virukset kehittyvät ja oppivat piiloutumaan paremmin ja
paremmin. Oikein tehty virus pystyy huijaamaan mitä tahansa
etsintäohjelmaa, mutta vain silloin kun se on aktiivisena. Jos kone
käynnistetään puhtaalla DOS-levykkeellä, paljastuu virus väistämättä.
Tämän takia pystytään jokaista virusta vastaan kehittämään oma etsintä-
ja
puhdistusohjelma. Vaikeinta on kuitenkin viruksen löytäminen ja sen
tunnistaminen, ennen kuin sitä voidaan tutkia.
Pahin
mahdollinen seuraus yritykselle joka ei ole valmistautunut virus
hyökkäystä vastaan on sellainen, jossa yritys tartuttaa viruksen tietämättä
eteenpäin asiakkailleen. Virus esimerkiksi saastuttaa yrityksen
tuotteen/palvelun jota se tarjoaa asiakkailleen, muuntelee spesifikaatioita,
hintoja tai muita lukuja. Kun asiakkaat ovat saaneet virus tartunnan,
levittävät ne edelleen tietämättään virusta jne.. Kun virus lopulta löydetään,
on se ehtinyt tehdä tuhonsa jo; mahdollisesti tuhansien ihmisten kannalta
tärkeää dataa eri puolilta maata tai maailmaa on muunneltu, tai pyyhitty
pois kokonaan. Osa tiedostoista pystytään ehkä palauttamaan, loput pitää
tehdä uusiksi. Tämä jo pelkästään maksaa paljon rahaa yritykselle,
ulkopuolisten konsulttien palveluksista, joilla korjataan jo tapahtunutta
vahinkoa ja estetään viruksen uudelleen pääsy yritykseen. Lisää pitkä-
aikaisia kustannuksia tulee siitä kun luottamus ihmisten välillä ja yritysten
välillä vähenee.
Viruksilta
suojautuminen on periaatteessa hyvin yksinkertaista ja halpaa, ei
tarvitse ostaa montaa erilaista virusten torjuntaohjelmaa. Bootsector -
viruksen leviäminen estetään yrityksessä oikeilla tietokone asetuksilla.
Työntekijöitä valistetaan viruksista, ja varmistetaan että sähköpostin
mukana tulevat liitteet (joihin virus todennäköisesti on tarttunut kiinni) eivät
pääse käyttäjälle asti avattavaksi. Tämä varmistetaan yrityksen
palomuurilla, joka päästää läpi vain ylläpidon hyväksymät liitetiedostot
tai
mailgateway tuotteella joka pystyy pysäyttämään tämänkaltaisen uhan.
Tekijät:
Olli Tuominen otuomine@cc.hut.fi
Johdanto
Roope Suomalainen roope.suomalainen@hut.fi
Langattomat ja suojautuminen
Pekka Kuismanen pkuisman@cc.hut.fi
Virustyypit
Tämä sivu on tehty Teletekniikan perusteet
-kurssin harjoitustyönä.
Sivua on viimeksi päivitetty
08.12.2000 13:40
URL: http://www.netlab.tkk.fi/opetus/s38118/s00/tyot/72/index.shtml