Vieraskynä: Päivittämätön ohjelmisto on reitti haittaohjelmalle

Juha-Matti Heljaste
Kirjoittaja: Juha-Matti Heljaste 31.5.2018 11:19

Aihe: Tietoturva, Ohjelmistot, Vieraskynä

Kun tietokone ehdottaa Microsoft Officen tai Adobe Readerin päivittämistä päivän kiireisimmällä hetkellä, on helppo klikata varoitusikkuna kiinni ja ajatella, että ei ainakaan nyt, hoidan tuon joskus myöhemmin. Päivityksiä ei kuitenkaan kannata jättää jonoon yhtään pidemmäksi aikaa. Siihen on kaksi syytä:

  1. Ohjelmistopäivitys merkitsee miltei aina sitä, että ohjelmassa on haavoittuvuus, jonka valmistaja haluaa korjata.
  2. Paikkaamaton haavoittuvuus tarjoaa haittaohjelmille reitin käyttäjän koneelle.

Arkipäiväisten ohjelmistojen haavoittuvuuksia ei kannata ottaa kevyesti, sillä ne voivat tulla kalliiksi etenkin yrityksissä ja suurissa organisaatioissa. Viime vuonna Windowsin haavoittuvuutta hyväksi käyttänyt NotPetya-haittaohjelma pakotti tanskalaisen logistiikkayhtiö Mærskin asentamaan uudestaan 4000 palvelinta ja 45 000 käyttäjien tietokonetta. Yhtiö kertoi liiketoiminnan keskeytysten maksaneen sille jopa 250 miljoonaa euroa.

Vuotta myöhemmin, tämän vuoden helmikuussa, kryptovaluuttaa louhiva haittaohjelma sotki pahasti suomalaiskaupungin terveysasemien ja hammashoitoloiden toiminnan. Haittaohjelma pääsyn järjestelmiin mahdollisti samainen Windowsin haavoittuvuus, joka häiritsi pahasti Mærskin toimintaa. Haavoittuvuus oli paikattu 11 kuukautta aikaisemmin, mutta päivitykset olivat jääneet tekemättä. 

Haittaohjelma hyödyntää ohjelman haavoittuvuutta

Haittaohjelmista 99 % pyrkii koneisiin ohjelmistojen haavoittuvuuksien kautta. Ongelman voi aiheuttaa virhe missä tahansa sovelluksessa: piirto- tai kuvankäsittelyohjelmassa, toimisto-ohjelmistossa, käyttöjärjestelmässä. Puhelimissa erityisen ongelman aiheuttavat vanhentuneet Android-käyttöjärjestelmän versiot, sillä moneen hieman vanhempaan puhelimeen päivityksiä saa hitaasti jos ollenkaan.

Ohjelmistojen tekijät kuitenkin korjaavat haavoittuvuuksia koko ajan. Usein ongelmat juontuvat käyttäjistä, jotka eivät viitsi tehdä päivityksiä ja organisaatioista, jotka eivät varmista että käyttäjien koneet on päivitetty.

Organisaatioissa lepsu suhtautuminen päivityksiin ei ole käyttäjän virhe, vaan kertoo hallinnoinnin puutteesta. Loppukäyttäjiä ei voi vastuuttaa huolehtimaan tietoturvasta, vaan IT-osastoon on varmistettava, että päivitykset tehdään ajallaan.

Esineiden IT vaikeuttaa haavoittuvuuksien hallintaa

Esineiden IT, IoT, tekee haavoittuvuuksien hallinnasta vaikeampaa, sillä yhä useammasta arkipäiväisestä laitteesta löytyy pieni tietokone. Niitä käytti pari vuotta sitten hyväksi palvelunestohyökkäykset mahdollistava Mirai-haittaohjelma, joka levisi Suomessa ainakin 16 000 laitteeseen, esimerkiksi valvontakameraan ja älytelevisioon.  

Haavoittuvuudet eivät rajoitu vain sinänsä harmittoman tuntuisiin älytelevisioihin ja kameroihin, vaan ne voivat olla vakava uhka myös yhteiskunnan perusinfralle. Marraskuussa 2016 kiinteistöautomaation järjestelmiin kohdistunut hyökkäys katkaisi lämmöt ainakin kahdesta kerrostalosta. Aiemmin Viestintävirasto oli varoittanut tuhansista huonosti suojatuista automaatiojärjestelmistä.

Tietokoneen tai puhelimen ohjelmien päivitys onnistuu vielä tavalliselta käyttäjältä tai pienen organisaation IT-tukihenkilöltä, mutta kuinka moni osaa päivittää reitittimen tai verkkoon kytketyn ilmalämpöpumpun käyttöjärjestelmän? Vaara on, että osa laitteista ei edes ole päivitettävissä.

Mitä tavallinen tietotekniikan käyttäjä tai organisaation IT-vastaava voi tehdä?

  • Pidä aina huoli siitä, että kaikkien käytössä olevien laitteiden käyttöjärjestelmät ja ohjelmat päivitetään.
  • Eristää vanhentuneet järjestelmät verkosta ja rajoita niihin pääsy minimiin.
  • Hyödynnä yritysten Client Security -virustentorjuntaa, joka hoitaa tunnettujen haavoittuvuuksien automaattiset korjauspäivitykset keskitetysti ja automaattisesti.
  • Tarkista tietokoneet puuttuvien ohjelmistopäivitysten varalta F-Secure Software Updaterilla, joka pitää Windowsin ja kolmansien osapuolten sovellukset ajan tasalla ja päivitettyinä haavoittuvuuksia vastaan.
  • Kontrolloi koko infrastruktuuria (laitteet, ohjelmistot, firmware ja verkot) F-Secure radarilla.

Juha-Matti Heljaste
Tietoturva-asiantuntija
F-Secure

 

Lue lisää haavoittuvuuksien hallinnasta F-Securen Business Security Insider julkaisusta: