Ads 468x60px

tiistai 16. toukokuuta 2017

Jälkianalyysiä WannaCry ransomwaresta

Viime perjantaina leviämisen aloittanut WannaCry (tunnetaan myös monilla muilla nimillä: WannaCrypt, WannaCrypt0r, Wcry) aiheutti laajaa tuhoa ympäri maailmaa. Rikollisten saalis on kuitenkin toistaiseksi jäänyt suhteellisen pieneksi, ainakin vahinkoihin suhteutettuna.

En tässä analysoi sen tarkemmin itse haittaohjelmaa. Siitä löytyy useita hyviä teknisesti pätevämpien kirjoittajien naputtelemana. Esimerkiksi Matt Suichen blogikirjoituksissa on analysoitu WannaCryn toimintaa ja eri versioita. Teknisesti WannaCry ei sisällä mitään, mitä emme olisi aikaisemmin nähneet. Verkkojen sisään on päästy klassisilla haitallisia linkkejä sisältävillä sähköposteilla ja vastaavilla. Verkon sisällä on puolestaan levitty käyttäen haavoittuvuutta Windows-käyttöjärjestelmän komponentissa.

Olennaista kuitenkin on, että tässä toteutui kaksi asiaa, joista tietoturva-asiantuntijat ovat varoittaneet monesti:

  1. Lukuisat organisaatiot käyttävät edelleen Windows XP ja 2003 käyttöjärjestelmiä, joiden tuki on loppunut vuosia sitten.
  2. Valtiollinen toimija (tässä tapauksessa NSA) on kehittänyt tai muutoin hankkinut haavoittuvuuksia, joista se ei ole kertonut järjestelmän kehittäjälle.
Ensimmäinen ei sinänsä ole kenellekkään yllätys: jopa tämän vuoden aikana KPMG:n asiantuntijat ovat törmänneet ratkaisuihin, jotka käyttävät Windows NT 4:sta. Tämän tuki on kuitenkin päättynyt jo yli 12 vuotta sitten. Windows XP:n ja 2003:n tuet päättyivät 2014 ja 2015. Reikä ja sitä hyödyntänyt haittaohjelma osoittaituivat niin vakaviksi, että Microsoft poikkeuksellisesti julkaisi päivityksen jo tuesta poistuneille versioille Windowsista.

Jälkimmäisen suhteen ei ainakaan omien muistikuvien mukaan ole nähty kovin laajoja epidemioita. Tässä suhteessa WannaCry korjannee potin, vaikka varsinaiset vahingot jäänevätkin pelättyä pienemmiksi. Esimerkiksi Stuxnet levisi todella laajalle, mutta sen aiheuttamat suorat vahingot olivat kuitenkin rajoittuneet Iranin Natantzin uraanirikastamoon.

Ironista lienee, että myös Yhdysvaltain hallitus on joutunut taistelemaan nyt itse kehittämäänsä haavoittuvuutta hyödyntävää haittaohjelmaa vastaan. Tällaista haavoittuvuuksien panttaamista on pidetty vaarallisena juuri WannaCryn osoittamasta syystä: niillä on tapana lopulta vuotaa ulos. Tämä kritiikki on nyt hyvin perusteltua.

Suojautumiskeinot

Kerrataan kuitenkin vielä ne peruskeinot suojautua ransomwarelta:

  1. Varmistukset, jotka otetaan ajallaan ja on testattu toimiviksi
  2. Päivitysten asentaminen ajallaan
  3. Älä avaa turhia palveluita Internetiin
  4. Älä käytä vanhoja versioita protokollista
  5. Estä Tor-liikenne verkon reunalla

Linkkejä:

Microsoftin paikkaukset Windows XP ja 2003 käyttöjärjestelmiin: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
No more ransom -järjestön suojausohjeet: https://www.nomoreransom.org/prevention-advice.html




Ei kommentteja:

Lähetä kommentti