|
|
MINÄ
Tietoa
minusta,
kuvia, uutisia, jne.
|
|
LIBERTARISMI
Lue
poliittisista
näkemyksistäni
omilta sivuiltaan...
|
|
PGP
AVAIMENI
Lataa
ja käytä
näitä avaimia
yksityisyytemme
turvaamiseksi.
|
|
TILASTOJA
Tästä
linkistä voit
katsoa sivustoni
kävijämääriä ja
muuta infoa.
|
|
BLOGI
Lue tietoturvaan ja politiikkaan
keskittyvää blogiani
|
|
FOORUMI
Lue
ja kirjoita
keskustelufoorumilleni!
|
|
VIERASKIRJA
Kirjoita
tai lue
vieraskirjaani netissä.
|
|
|
|
|
|
Mitä
tehdä jos tietokoneesi hakkeroidaan tai se joutuu muunlaisen
hyökkäyksen kohteeksi
| Monet
tietokoneen käyttäjät ovat internet ja tietokone
vandalismin "viattomia" uhreja. Heidän tietokoneensa
kimppuun on hyökätty tai sen suojaukset on kokonaan
murrettu ja se on täysin avoin jollekin hakkerille
toisella puolen maailmaa. Tai joku työtoveri, tuttava
tai vaimo/aviomies(!!!) on asentanut tietokoneelle jonkin
valvontaohjelman tai takaportin jonka avulla hän voi
seurata kaikkea tietokoneesi toimintaa, kuten lukea sähköpostisi,
salasanasi ja niin edelleen. Mikä ikinä näiden
ihmisten motiivi on, sitä voimme aina vain arvailla.
Ongelma on, että ihmiset eivät ole kovin perehtyneita
tietokoneensa ja ohjelmiensa toimintaan ja ovat yleensä
täysin tietämättömiä tälläisestä
toiminnasta. Kun he lopulta saavat vihiä tapahtuneesta,
he eivät välttämättä osaa tehdä
asialle mitään. Koetan nyt antaa joitakin neuvoja
ja ohjeita miten toimia jos joudut hyökkäyksen
tai hakkerointiyrityksen kohteeksi. |
|
Mistä
voit tietää?
Mistä voit tietää että sinun
tietokonettasi vastaan hyökätään tai
että järjestelmäsi on vaarantunut? Se voi
olla erittäin helppoa tai sitten erittäin vaikeata.
Jos sinulla on palomuuri kuten ZoneAlarm,
se on voinut varoittaa tai rekisteröidä jonkin
epäilyttävän ohjelman joka on yrittänyt
ottaa yhteyttä ulos tietokoneestasi verkkoon tai yrityksen
yhdistää koneeseesi verkosta käsin? Tai virustentorjuntasi
on havainnut troijalaisen tietokoneessasi? Tai internet-yhteytesi
on jumissa ja palomuurisi huutaa kuin maailmanloppu olisi
lähellä ja olet palvelunestohyökkäyksen
kohteena? Tai huomaat että koneessasi on uusia "ominaisuuksia"
kun esimerkiksi surffaat internetissä? Tai päädyt
oudoille sivuille internetissä vasten omaa tahtoasi?
Epäile kaikkea, ole jopa vainoharhainen kun koetat
miettiä mitä voisi olla tekeillä. Voit harvoin
tietää varmasti mutta jos et kiinnitä mitään
huomiota, on todennäköistä että et huomaa
mitään omituista olevan tekeillä. Ajattele.
Mitä nyt on pielessä? Eikö mitään?
Miksi järjestelmä ei toimi kuten aikaisemmin?
Mikä se varoitus oli jonka ohitin jokin aikaa sitten?
Mikä ruutu tuossa vilahti ja sitten katosi? Miksi tietokoneen
käynnistyminen kesti niin pitkään? Miksi
asetukset ovat muuttuneet vaikka en ole niitä muuttanut?
Miksi joitain tiedostoja puuttuu tai uusia on ilmestynyt?
Mitä ihmeen sähköposteja olen muka lähettänyt
tietokoneestani joita en muista lainkaan? Mitä outoja
viestejä olen avannut viime aikoina? Mitä ohjelmia
tietokoneessani käynnistyy käyttöjärjestelmän
lisäksi? Miksi internet-yhteys toimii vaikka en tee
itse mitään?
Yksi
tapa jolla voit selvittää mitä koneessasi
on tapahtunut (kuten mitä uusia tiedostoja sinne on
ilmestynyt tai mitä olemassa olevia tiedostoja on muutettu
jne.) on, että ajat järjestelmän laajuisen
tarkistuksen käyttäen esimerkiksi (ilmaista) NIS
Filecheck ohjelmaa, joka tekee kryptografisesti vahvat
tiivisteet niistä tiedostoista joita määrität,
tai tiedostoista joiden päätteen määrität.
Koska kahdella tiedostolla ei voi olla samaa tiivistettä
mikäli ne eivät ole täsmälleen samat,
tätä ohjelmaa ei voi huijata. Idea on, että
luot ohjelmalla tietokannan koneellasi olevista tärkeistä
tiedostoista, perustuen esimerkiksi niiden tiedostopäätteisiin
(kuten exe dll ocx vxd sys bat scr ini com cmd reg drv vbs
inf msi wsc 386 pif wsh), kun tiedät että järjestelmäsi
on turvallinen eikä se ole saastunut. Kun olet valmis
asentamaan jotakin (esimerkiksi päivityksiä tai
uusia ohjelmia luotettavasta lähteestä), sinä
ajat ohjelman ja tarkistuksen uudestaan ja varmistut siten
että koneesi ei ole nyt saastunut. Tämän
jälkeen asennat/päivität mitä haluat
ja päivitä tämän ohjelman listaa tai
luo kokonaan uusi lista tällä ohjelmalla. Sitten
kun epäilet että tietokoneesi on saastunut, ajat
tämän ohjelman ja tarkistuksen uudelleen ja katsot
mitä tiedostoja on muuttunut ja mitä uusia on
ilmestynyt koneellesi. NIS Filecheck ilmoittaa KAIKISTA
muutoksista kyseisiin tiedostoihin tai mikäli uusia
tiedostoja on ilmestynyt tietokoneellesi ko. kriteereillä,
joten kaikenlaisten haittaohjelmien on mahdotonta piileskellä
tietokoneellasi ilman että tämä ohjelma ne
havaitsisi. Voit tarkastalla ohjelman tarkastuksen tuloksia
tyylii:"Hmmm... Mikäs tämä uusi tiedosto.exe
oikein kiintolevylläni on? Miksi explorer.exe on muuttunut,
onko jokin troijalainen liittänyt itsensä siihen
tai korvannut sen itsellään? jne." Tällä
tapaa voit paikantaa mitä tietokoneessasi on muuttunut
viime tarkistuskerrasta ja siten paikantaa tunkeutujan.
Lisäksi, ohjelma ja sen tietokanta on niin pieni (muutamia
megatavuja), että voit tallentaa sen esimerkiksi cdromille
tai usb kiintolevyyn, joten voit kanniskella sitä vaikka
aina mukanasi jos pelkäät että joku peukaloi
sitä.
Älä
hätäänny!
Mitä sitten tehdä jos uskot olevasi hyökkäyksen
kohteena? Ensiksi, älä hätäänny. Jos
tunkeutuja on päässyt koneeseesi, hän on jo ehkä
tehnyt kaiken vahingon mitä tulee tekemään. Jos
taas hän ei ole päässyt sisään, hän
ei välttämättä pääse lainkaan sisään.
Jos hyökkäys on verkosta peräisin, kuten porttiskannaus,
palvelunestohyökkäys tai DNS huijaus jonka jotenkin
havaitset, sitten paras tapa toimia voi olla kytkeytyä irti
verkosta. Irroita johto modeemista/verkosta jotta varmasti olet
irti verkosta. Toisaalta, jos suojauksesi ovat kunnossa, voi olla
viisasta seurata tilannetta ja koettaa päästä selville
mitä on tekeillä. Jos kytkeydyt irti verkosta, hyökkääjä
huomaa sen ja tietää että hän on paljastunut.
Muista,
että jos saat ilmoituksia palomuuriisi ulkoapäin, se
vain tarkoittaa että palomuurisi toimii kuten sen pitäisikin
eli torjuu ne eikä sinulla ole välttämättä
varsinaista syytä kytkeytyä irti verkosta. Asiaa kannattaa
silti tutkia omasta koneestasi, koska on mahdollista että
joku koettaa kytkeytyä koneessasi olevaan takaporttiohjelmaan
tai hakea siitä haavoittuvuutta. Mutta, jos palomuurisi tulee
outoja "osumia" sisältä tietokoneestasi ulos
verkkoon päin, ne on syytä tutkia tarkkaan ja kytkeytyä
irti verkosta varmistaaksesi että mikä ikinä se
onkaan, se ei pääse ulos vaikka palomuurisi suojaus
pettäisikin jostain syystä. Tämä siksi että
tietokoneesi on silloin tiettävästi jo vaarantunut etkä
voi välttämättä luottaa siihen, koneessasi
voi nimittäin olla troijan hevonen joka koettaa siitä
ulos...ja jos yksi haittaohjelma on päässyt tietokoneellesi,
montako muuta sinne on voinut päästä ja mitä
ne tekevät? Kun voit olla varma että pahantekijä
ei pääse koneellesi, voit rauhassa tutkia tilannetta
ja koettaa korjata sitä.
Palvelunestohyökkäyksen (DoS)
kohteena tai lähteenä?
Jos internet-yhteytesi on jumissa tai palomuuriisi
tulvii hälytyksiä, voit olla palvelunestohyökkäyksen
(DDoSA = Distributed Denial of Service Attack) kohteena
tai sellaisen lähteenä. Tutkimalla nettiyhteyksiesi
lähteitä ja kohteita, sekä kulkevaa tietomäärää
voit selvitellä tätä asiaa (katso "verkkoliikenne"
kohta hieman alempaa). Jos olet kohteena, sen torjumiseksi
sinun pitää yleensä A) Vaihtaa IP osoitteesi
B) Säätää tietokoneesi ja palomuurisi
asetuksia jotta ne toivottavasti pystyvät torjumaan
sen C) Ottaa yhteyttä internetpalveluntarjoajaasi sekä
tietenkin D) Tarkistaa että sinulla varmasti on viimeisimmät
päivitykset käyttöjärjestelmääsi
ja ohjelmiisi. Myös uuden verkkokortin ostaminen tai
ainakin sen MAC tunnuksen muuttaminen saattaa tulla kysymykseen,
samoin kuin tietokoneen ja käyttäjännimesi
muuttaminen jotta sinua ei voida enää jäljittää
niiden perusteella. Yleensä sinun pitää tehdä
kaikki edellä mainitut.
Palvelunestohyökkäyksen
tarkoitus on käyttää niin paljon tietokoneesi
resursseja tai nettiyhteyden kapasiteettia että tietokone
(joko omasi jos olet itse kohteena tai jonkun toisen jos
olet lähteenä tuollaiselle hyökkäykselle)
tai ainakin nettiyhteys ei kykene toimimaan normaalisti
vaan ruuhkautuu pahoin. Yleensä sitä tehdään
häirittääkseen tai kostaakseen jollekulle
jostakin asiasta, joten se ei sinällään ole
"uhka" tietoturvallesi jos olet sellaisen kohteena
- jos olet sellaisen lähteenä, se on osoitus siitä
että tietokoneesi on vaarantunut! Jos olet hyökkäyksen
kohteena, se vain estää sinua ja kenties kymmeniä
muita ihmisiä (jotka jakavat ehkä yhteytesi) käyttämästä
tietokonettasi ja nettiyhteyttäsi. On olemassa lukuisia
erilaisia palvelunestohyökkäyksiä, mm. "Smurf",
"SYN flood", "Ping flood", "DNS
attack", "Teardrop", "Stream",
TFN", "Trinoo", "Stacheldraht",
"TFN2K", jne. jne. Mutta niiden tunteminen ei
ole sinällään tarpeen koska et yleensä
voi tehdä niille juuri mitään ilman internetpalveluntarjoajasi
apua ja neuvoja, hän kyllä kertoo sinulle mitä
on tapahtunut ja miten edetä siitä.
Kun
olet toipunut tälläisestä hyökkäyksestä,
on tärkeätä välttää niitä
käytäntöjä jotka altistivat sinut viimeksi
hyökkäykselle. Joten ole hyvin varovainen uuden
IP osoitteesi kanssa, käytä välityspalvelimia
(proxy) piilottaaksesi se. Mikäli olit lähteenä
tälläiselle hyökkäykselle, sinun tulee
pitää konettasi täysin vaarantuneena (jos
tietokoneellesi pääsi asentumaan jotakin mikä
aiheutti DoS hyökkäyksen koneeltasi, mitä
muuta ja miten on voinut sinne myös asentua tai voi
tulla asentumaan?).
Porttiskannusta?
Jos pahantekijä ei ole päässyt
koneellesi sisään vaan ainoastaan skannaa porttejasi
(siis verkosta sinun koneellesi päin), sitten sinun
ei kannata huolestua. Jos pahantekijä skannaa vain
jotakin tiettyä porttia, tai muutamia portteja toistuvasti,
sitten hän voi koettaa yhdistää troijanhevoseen
jonka hän on ujuttanut tietokoneellesi...tai vain kokeilee
onneaan. Tälläisessä tapauksessa on syytä
reagoida. Samoin mikäli hän skannaa (järjestyksessä)
eri portteja vuoronperään, eli pyrkii käymään
kaikkia tai ainakin suurta osaa porteistasi läpi, tällöin
on hyvin todennäköistä että hän
koettaa kaivaa tietoa tietokoneestasi ja etsii uhriaan.
Ole
varovainen johtopäätösten tekemisestä.
99% kaikista palomuurien hälytyksistä (ZoneAlarmissa
ainakin oletusasetuksilla) eivät ole todellisia tunkeutumisyrityksiä
vaan normaalia verkon "taustamelua". Voit päätellä
hälytyksen vakavuutta lokitiedostoista sekä tarkistamalla
mitä portteja siinä käytetään.
ZoneAlarm antaa myös lisätietoja tapahtuneesta
halutessasi. Voit myös tarkistaa Googlesta
mitä mikin portti tarkoittaa ja siten päätellä
itse mitä on tekeillä: Hae vain tietoa tyyliin
"port xxx" missä xxx on portin numero johon
hälytyksiä tulee.
Edelleenkin
muistutan, että ainoastaan toistuvat osumat samoihin
portteihin tai suuren porttimäärän skannaus
ovat jotakin mihin kannattaa kiinnittää huomiota.
Samoin kaikki tietokoneestasi ulospäin pyrkivät
ohjelmat. Muutoin...unohda koko asia! Älä hätäänny
tai ala kirjoittelemaan uutisryhmiin, järjestelmänvalvojille,
palveluntarjoajille tai muillekaan. ÄLÄ!
Suosittelen
että luet "Palomuurit ja ZA" ohjeeni, jossa
kerrotaan lisää tärkeätä tietoa
liittyen palomuureihin ja hälytyksiin.
Verkkoliikenne
Yksi hyvin tärkeä asia joka kannattaa tehdä,
on suorittaa komentorivikehoitteesta (ilman lainausmerkkejä)
"netstat -an". Tämä antaa tietoa kaikista
verkkoyhteyksistä jotka liittyvät sinun tietokoneeseesi.
Luonnollisesti, ennen kuin teet tämän, sammuta
kaikki muut ohjelmat (älä suotta palomuuriasi).
Kiinnitä huomiota kaikkeen mikä on merkitty "listening"
tai "connected" ja jossa EI OLE 0.0.0.0:0 IP osoitteena.
Jotakin voi olla "listening" tai "connected"
tilassa joissa on 0.0.0.0 IP:nä, unohda ne (pitkä
tarina selittää joten vain unohda ne)! Jos havaitset
jotakin muuta joka on "listening" tai "connected"
tai muussa tilassa, katso mitä porttia se käyttää
(jos IP on esim. 1.2.3.4:5, niin portti on se kaksoispisteen
jälkeinen eli tässä tapauksessa 5). Mitä
ikinä löydätkään tästä,
kirjoita se esim. paperille ylös jatkotoimenpiteitä
varten. Edelleen, on hyvä tarkistaa Googlesta
mitä mikin portti tarkoittaa.
Voit
myös käyttää ilmaisia työkaluja
kuten Active
Ports ohjelmaa selvittääksesi mikä ohjelma
on yhteydessä minnekkin minkä portin kautta. Tämä
on erittäin hyödyllistä, koska tämän
kaltaiset ohjelmat auttavat löytämään
remote access trojan (RAT = etäkäyttöisen
troijalaisen) ohjelmia tietokoneeltasi joilla on liikennettä
verkkoon.
On
myös syytä muistaa, että jotkin troijalaiset
tai spyware uudelleenohjaa liikennettäsi verkossa.
Tämä voi olla hyvin vaarallista etkä välttämättä
itse havaitse sitä normaalisti lainkaan. Yksi keino
joita käytetään, on HOSTS tiedoston muokkaaminen
(normaalisti kyseinen tiedosto on tietokoneessasi, mutta
sen sisältöä voidaan muokata). HOSTS tiedosto
kertoo Windowsille mihin tulee joitain erityisiä osoitteita
uudelleenohjata. Hosts tiedosto löytyy Windows2000
ja XP:ssä c:\windows\system32\drivers\etc -kansiosta
sekä Win95/98/ME:ssä c:\windows hakemistosta.
Jos olet epävarma kyseisen tiedoston sisällöstä,
poista se kokonaan tai korvaa se "hyvällä"
hosts tiedostolla, joka uudelleenohjaa liikentesi mm. mainostajien
sivuilta hornan tuuttiin (joten et näe useimpien mainostajien
mainoksia selaimellasi kun surffailet pitkin nettiä!),
esimerkiksi täältä
saatavalla tiedostolla.
Toinen
tapa jolla liikennettäsi voidaan uudelleenohjata, on
uudelleenmäärittää esim. DNS-palvelimesi
osoite ja laittaa siis tietokoneesi hakemaan virheellistä
DNS tietoa. DNS kääntää sanalliset osoitteet
IP-osoitteiksi, eli kun esimerkiksi kirjoitat osoitekenttää
www.markusjansson.net ja painat enter, DNS kertoo selaimellesi
(huomaamattasi) mistä IP-osoitteesta kotisivuni löytyvät
ja ohjaa selaimen automaattisesti sinne. Jos DNS palvelin
jota käytät on jonkun hakkerin, hän voi ohjata
sinut vaikka osoitteella www.markusjansson.net jonnekin
omalle sivulleen. Tai kun olet menossa nettipankkiin, hän
ohjaakin sinut omaan valenettipankkiinsa! DNS uudelleenohjaus
on vaikeampaa huomata, sinun pitää tutkia verkkoyhteytesi
asetuksia ja varmistaa että DNS palvelimen IP osoite
on se mikä sen palveluntarjoajasi ohjeiden mukaisesti
pitäisikin olla (tai että DNS tiedot haetaan automaattisesti).
Ja muista toki muutenkin aina käyttäessäsi
esimerkiksi nettipankkia varmistaa, että yhteytesi
on todellakin salattu (suljetun lukon kuva jossain selaimen
palkissa kertoo sen).
Kolmas
tapa uudelleenohjata nettiliikennettäsi on laittaa
modeemisi soittamaan johonkin toiseen numeroon kuin mitä
sen pitäisi internet yhteyttä muodostettaessa.
Yleensä nämä numerot ovat kallishintaisia
palvelunumeroita ja tälläisen ns. dialerin saa
surffatessaan ja asentaessaan pornosivuilta saatavia tiedostoja
koneelleen. Ovela hakkeri voi kuitenkin käyttää
tätä myös nettiyhteytesi vakoiluun ohjaamalla
sinut soittamaan hänelle (josta hän edelleen uudelleenohjaa
liikenteen johonkin oikeaan palveluntuottajaan). Tässä
tapauksessa paras lääke on tarkistaa soittosarjan
asetukset eli numero(t) joihin internet yhteyttä muodostettaessa
soitetaan (jos koneessasi on modeemi asennettuna ja käytettävissä),
jotka voit katsoa modeemisi asetuksista tai internet yhteytesi
asetuksista ja varmistaa että ne ovat ne numerot jotka
palveluntarjoajasi on sinulle antanut.
Neljäs
tyypillinen tapa on "kotisivukaappaukset". Niissä
yleensä spywareohjelma muuttaa selaimesi kotisivun
osoitteen jonkun spywaren tekijän haluamaksi aina kun
käynnistät koneesi. Tämä ongelma on
helppo korjata poistamalla kaikki spywarepaska koneeltasi
esimerkiksi Spybot S&D ohjelman avulla sekä sen
jälkeen korjaamalla kotisivu takaisin haluamaksesi.
Viides
tapa uudelleenohjata liikennettäsi on käyttää
välityspalvelinta. Välityspalvelimet ovat hyödyllisiä
esimerkiksi kätkemään IP osoitteesi, mutta
koska välityspalvelin jota käytät voi salakuunnella
kaikkea käymääsi viestintää, sinun
on syytä olla tarkkana sen suhteen mitä sallit
välityspalvelimiksisi. Jotkut troijalaiset voisivat
vain yksinkertaisesti vaihtaa välityspalvelimeksesi
jonkin hakkerin palvelimen ja sitä kautta hän
voisi kuunnella, muokata tai tuhota yhteyksiäsi miten
häntä huvittaa. Voit tarkistaa välityspalvelinasetuksesi
menemällä Internet Explorerissa "Työkalut"
- "Internet Asetukset" - "Yhteydet"
ja valitsemalla "Lähiverkkoyhteydet" tai
modeemiyhteydet riippuen siitä minkälaista internetyhteyttä
käytät, sekä sitten tarkistamalla ko. yhteyden
välityspalvelinasetukset. Jos ne eivät ole sellaiset
kuin palveluntarjoajasi on ne määrännyt tai
olet itse ne laittanut, poista kaikki merkinnät välityspalvelimista.
Sinun kannattaa lisäksi tarkistaa välityspalvelimet
muistakin selaimistasi sekä ohjelmista joita käytetään
internettiin tai internetissä.
Troijalainen,
mato tai virus tietokoneessasi?
Ensimmäinen asia mitä sinun tulee tehdä kun
olet turvannut verkkoyhteytesi, on ajaa täysi viruksentorjunta
skannaus. Skannaa kaikki tiedostot (kyllä, ihan kaikki,
myös pakatut jne.), muista käyttää täyttä
tehoa heuristisesta etsinnästä ja pidä huolta
että sinulla on uusimmat päivitykset virustentorjuntaohjelmaasi
(jos ei ole, kytkeydy nettiin ja päästä palomuurisi
läpi virustentorjuntaohjelma hakemaan päivitykset
ja kytkeydy sitten taas irti netistä). Päivittämätön
virustentorjunta on täysin hyödytön, koska
se ei löydä uusia viruksia, joten pidä AINA
huolta siitä että sinulla on virustentorjuntaohjelma
ja että se on ajantasalla!
Mikäli
sinulla ei ole virustentorjuntaa asennettuna koneellesi,
tai se on tuhoutunut jonkin viruksen tai troijalaisen hyökkäyksestä,
voit käyttää netistä tehtävää
virustentorjuntaa hyväksesi. Voit käyttää
esim. Panda
online tai Symantec
security scanner (virustentorjuntaa tarkemmin sanottuna)
tarkistaakseksi ja puhdistaaksesi tietokoneesi viruksista.
Molemmat sivustot vaativat Internet Explorer selaimen käyttämistä
sekä mahdollisesti sitä että lisäät
kyseiset domainit "Luotettavat sivustot vyöhykkeellesi"
jotta ne toimivat.
Jos
käytät FAT16 tai FAT32 tiedostojärjestelmää,
sinun kannattaa harkita F-Prot
for DOS käyttämistä. Idea on, että
boottaat DOS-tilaan (joko Windowsista suoraan tai boottilevykkeeltä)
ja ajat sen DOS tilassa. Muista tarkistaa taas asetukset
ja että päivitykset ovat kohdallaan! Tällä
tavoin voit tarkistaa ja poistaa virukset kaikista tiedostoista,
koska Windowsin ollessa päällä jotkin tiedostot
ovat lukittuja ja jos niissä on silloin virus, sitä
ei välttämättä voi poistaa. Lisäksi
voit olla melko varma että F-Prot for Dos ei ole voitu
peukaloida.
Jos
virustentorjunta löytää jotakin, se yleensä
voi korjata tilanteen siinä paikassa. Jos ei voi, sitten
sinulla on pahempi ongelma. On aina hyvä ajatus tarkistaa
kiintolevyt vähintään kahdesti, käyttäen
kahta eri virustentorjuntaohjelmaa. Kannattaa kuitenkin
muistaa, että samalle koneelle ei kannata asentaa kahta
eri virustentorjuntaohjelmaa, koska ne voivat sekoittaa
koneen totaalisesti...skannaa siis koneesi mieluiten omalla
koneellasi olevalla virustentorjuntaohjelmalla ja esimerkiksi
netistä käytettävällä Panda
online systeemillä tai sitten vie kovalevysi kaverisi
koneeseen jonka käyttöjärjestelmällä
ja virustentorjuntaohjelmalla skannaat sen läpi. Paranoidi
voisi käyttää kolmea eri virustentorjuntaohjelmaa
ja ainakin yhtä troijalaisten tuhoamisohjelmaa. Troijalaisten
kanssa ei voi koskaan olla liian varovainen. Voit katsoa
lisätietoja sekä linkkejä ilmaisista virustentorjuntaohjelmista
sekä netin kautta tapahtuvasta virusten skannaamisesta
tältä sivultani.
Muista, että se, että yksikään virustentorjuntaohjelma
ei löydä troijalaista/virusta koneestasi EI tarkoita
että niitä EI olisi koneessasi! Uusimmilla päivityksilläkään
varustetut virustentorjuntaohjelmat eivät yleensä
löydä uusia tai välttämättä
edes vanhojakaan troijalaisia!
Jos
olet vähänkään epävarma jostakin
tiedostosta, tarkista taas Googlesta
mitä tietoa saat kaivettua siitä esille. Jos
siellä jossakin kerrotaan että ko. tiedosto on
troijalainen, poista se pahuksen tiedosto kiintolevyltäsi!
Jos et voi sitä tehdä (esim. tiedosto on käytössä),
sitten 1) Kytkeydy irti verkosta 2) Käytä Ctrl
+ Alt + Del lopettaaksesi kaikki ohjelmat taustalta 3) Koeta
poistaa ko. tiedosto uudestaan. Jos et siltikään
pysty, boottaa DOS tilaan (jos käytät FAT tiedostojärjestelmää)
ja poista se sitä kautta. NTFS tiedostojärjestelmää
käyttäessäsi sinun pitää joko viedä
kiintolevysi toiseen tietokoneeseen (jossa on NT tai Linux
pohjainen käyttöjärjestelmä), tai bootata
WindowsXP CD-romilta komentorivikehoitteeseen ja poistaa
se sieltä käsin. Jos tämä ei onnistu,
voit myös poistaa troijalaisen käynnistymästä
ja bootata "Vikasietotilaan" jossa saat sen ehkä
poistettua. Jos et saa lisätietoja netistä ko.
tiedostosta, mutta epäilet sen olevan troijalainen,
kokeile nimetä se joksikin muuksi, esim. xxx.old (jotta
voit myöhemmin palauttaa sen jos se olikin tarpeellinen
tiedosto). Mutta kuten sanoin, MITÄ TAHANSA outoa löydätkin,
käytä Googlea
sen selvittämiseen, säästät paljon omaa
ja muiden ihmisten aikaa sillä tavalla!
Mikäli
käytät NTFS tiedostojärjestelmää,
troijalainen voi myös piiloitella "alternative
data streamissä" (en löytänyt hyvää
suomennosta) siten että sen havaitseminen on miltei
mahdotonta! Voit myös käyttää ilmaista
Crucial
ADS ohjelmaa selvittääksesi mitä noissa
piileksii.
Löytääksesi
tuholaiset, sinun kannattaa ehdottomasti kokeilla a2
free ohjelmaa, joka on ilmainen troijalaisten etsintä-
ja tuhoamisohjelma. Myös Ewido
anti-malwarea kannattaa ehdottomasti koettaa! Kokeile
myös Ad-Aware
ohjelmaa (uusimmilla päivityksillä ja oikeilla
asetuksilla tietysti, älä käytä oletusasetuksia
ja vanhentunutta tietokantapäivitystä tai et löydä
yhtään mitään) ja katso mitä löytyy.
Poista kaikki mitä löydät, ei ole mitään
syytä pitää Spywarea tietokoneellasi. Sen
lisäksi suosittelen että kokeilet Spybot
ohjelmaa, se on samantapainen kuin Ad-Aware mutta erityisen
hyvä löytämään troijalaisia. Huomaa
kuitenkin, että mikäli sinulla on F-Securen tuotteita
asennettuna koneellesi, älä poista Backweb komponentteja
joita voit näillä ohjelmilla löytää,
ne kuuluvat F-Securen ohjelmiin, eivätkä ne ole
spywarea ja niiden poistaminen voi aiheuttaa mm. virustentorjunnan
päivityksesi estymisen.
Kannattaa
muistaa, että useat haittaohjelmat sulkevat virustentorjunnan
ja palomuurit, sekä estävät esimerkiksi pääsysi
em. ohjelmien kotisivuille (jotta et voisi ladata puhdistustyökaluja
sieltä) tai Windowsupdatea toimimasta oikein! Voit
huomata tämän siitä että virustentorjuntasi
ei löydä testiviruksia
tai palomuurisi ei rajoita liikennettäsi tai tietoturvaohjelmat
kieltäytyvät käynnistymästä tai
sammuvat tai jumittuvat kesken kaiken. Mikäli koet
tämän kaltaista oireilua, on hyvin todennäköistä
että tietokoneesi on vaarantunut. Suosittelen, että
tuollaisessa tilanteessa käynnistät tietokoneen
Safe-modessa (paina F8 heti koneen alkaessa käynnistyä
ja valitse valikosta "Safe mode") ja yrität
sitä kautta ajaa tietoturvaohjelmia joilla voit pelastaa
tilanteen. Muutenkin kannattaa ehkä bootata tähän
Safe-moodiin kun tietokonetta puhdistaa, koska useat haittaohjelmat
ovat varsin sitkäesti kiinni Windowsissa ja niiden
poistaminen muuten voi olla melko haastavaa. Äärimmäisessä
tapauksessa sinun pitää irroittaa koko kiintolevysi
ja viedä se kaverin tietokoneeseen ja bootata kaverin
kiintolevy (ei omasi!) Windowssiin ja suorittaa kaverisi
koneella vastaavien ohjelmien ajot tuolle kiintolevyllesi.
On
ollut paljon
puhetta ns. "rautatroijalaisista". Siis erilaisista
haittaohjelmista, jotka tarttuvat ei käyttöjärjestelmääsi
ja ohjelmiisi, vaan tietokoneesi komponentteihin kuten BIOSiin,
kiintolevyyn, näppäimistöön, jne. joka
pistäen pystyyn takaportin tai vain tuhoten tietokoneesi
käyttökelvottomaksi. Tietokoneen
prosessorikin voidaan uudelleenohjelmoida. Vanha Chernobyl
virus kykeni sekin tuhoamaan tietokoneiden "rautaa".
Tovi sitten Suomessa(kin) oli ongelmia, kun "väärä
signaali" tuhosi digibokseja. Tässä
on taas juttua siitä, miten BIOSiin voisi ohjelmoida
rootkittejä. Tämä on jo aika pelottavaa.
Jos et pysty edes luottamaan siihen komponenttiin jota käytät,
peli on todellakin menetetty. Lopullisesti.
Käynnissä
olevat ohjelmat
Tarkista mitä prosesseja sinulla on tietokoneessasi
käynnissä. Voit tehdä tämän painamalla
"Ctrl" + "Alt" + "Del" Windows95/98/ME
ja "Ctrl" + "Alt" + "Del"
/ "Task manager" / "process" WindowsNT/2000/XP:ssä.
Etsi jotakin outoa ja poikkeavaa, kuten "backdoor.exe",
"remote.exe", "app.exe", "tool.exe",
"service.exe", "help.exe", "system.exe",
"windows.exe" tai jotakin missä on jokin
typerältä kuulostava nimi. Voi olla erittäin
vaikeata tietää mitä pitäisi olla käynnissä
ja mitä ei, jos et ole perehtynyt asiaan sen paremmin.
Jos olet perehtynyt, on erittäin helppoa havaita uusia
ohjelmia ja paikantaa ne käyttämällä
"etsi" työkalua Windowsissa (ja kun haet,
tarkista asetukset jotta varmasti haet KAIKISTA kansioista
KAIKKIA tiedostoja, ei vain näkyviä tms. tiedostoja).
Voit myös käyttää "etsi" työkalua
paikantamaan mitä uusia ohjelmia on viimeaikoina ilmestynyt
koneellesi rajoittamalla hakusi .exe tiedostoihin, tämä
toivon mukaan kertoo koneellesi viimeaikoina ilmestyneistä
troijalaisista jne. Jos et tiedä mitä jokin tiedosto/ohjelma
tekee, käytä taas kerran Googlea
ottaaksesi selvää..
Ota
huomioon, että jotkut troijalaiset voivat "kytkeytyä"
olemassaoleviin ohjelmiin joten tarkistamalla mitä
tietokoneessasi pyörii taustalla ei välttämättä
havaitse niitä! Jotkin troijalaiset (itse asiassa useimmat
niistä) osaavat myös piilottaa itsensä siten
että eivät näy "Ctrl" + "Alt"
+ "Del" ja vastaavilla kikoilla. Jos haluat todella
tietää mitä tietokoneellasi pyörii,
tarvitset työkalun kuten Process
Explorer joka on ilmainen (mutta englanninkielinen).
Se näyttää sinulle jokaisen ohjelman ja prosessin
jota tietokoneessasi on käynnissä. Ainoat ohjelmat
jotka Windows95/98/ME:ssä pitää olla ehdottomasti
käynnissä ovat explorer.exe. Muut kuten virustentorjunta,
palomuuri jne, eivät ole "välttämättömiä"
Windowsin toiminnan kannalta. Ota huomioon lisäksi,
että jotkin tiedostot nimeävät itsensä
esim. explore.exe tai exporer.exe (koettaessaan näyttää
järjestelmätiedostoilta), jos löydät
tälläisen koneeltasi, pysäytä ja poista
se, se on hyvin todennäköisesti troijalainen.
Tarkista
käynnistyvät ohjelmat
Jos sinulla vieläkään ei ole tietoa mitä
tietokoneessasi on tekeillä, muista tarkistaa mitä
käynnistyy käyttöjärjestelmäsi
mukana. Voit tarkistaa sen yksikertaisesti suorittamalla
"msconfig.exe" ja "käynnistys"
joka kertoo suoraan mitä on käynnistymässä.
Lisäksi kannattaa tarkistaa system.ini ja win.ini tiedostot
ja katsoa mitä ne pitävät sisällään.
Jos käytät Windows 2000 tai WindowsXP käyttöjärjestelmää,
sinun tulee ehdottomasti tarkistaa (ja ehkä ottaa pois
käynnistymästä turhat) palvelut (services),
tässä
on esimerkki (valitettavasti englanninkieliseen versioon)
miten se onnistuu...ole kuitenkin varovainen sen suhteen
mitä otat pois käynnistymästä, koska
koneessasi luultavasti on asennettuna mm. virustentorjuntaohjelma
sekä palomuuri jotka tekevät tuonne omat palvelunsa
käynnistymään eikä niiden pois ottaminen
ole tietenkään järkevää!
Yksi
ERINOMAINEN työkalu automatisoida tätä etsintää
on käyttää ilmaista
Hijackthis ohjelmaa joka käy läpi käytännössä
kaikki mahdolliset piilopaikat ja antaa sinulle raportin
siitä mitä koneessasi on käynnistymässä
ja kytkeytynyt. Ole kuitenkin varovainen sen suhteen mitä
tämän ohjelman löytämiä viitteitä
poistat, tällä
sivulla on paljon tietoa tuon ohjelman löytöjen
tulkitsemiseen, suosittelen että käyt sen läpi.
Samanlaista infoa ko. ohjelman käytöstä löytyy
mm. täältä
suomeksi. Jos kaipaat automaattista tulkintaa hijackthis
ohjelman löydöistä, suosittelen menemään
tänne
jossa voit lähettää lokin ja sivu kertoo
mitä sieltä löytyy (sivusto on englanninkielinen).
Jälleen
kerran, jos et tiedä mitä hakea et välttämättä
ymmärrä näkemästäsi mitään,
mutta jos sinulla on edes jotakin hajua mitä koneessasi
pitäisi käynnistyä niin tämä kertoo
paljon. Edelleenkin, on useita ovelia troijalaisia jotka
piilottavat itsensä olemassa oleviin .exe tiedostoihin
kuten explorer.exe joten niitä ei välttämättä
voi havaita rekisteristä eikä käynnissä
olevista ohjelmistakaan. Tässä
on kuitenkin erinomainen sivusto joka kertoo mitä
mikin käynnistyvä ohjelma tarkoittaa. Jos jonkin
ohjelman ei pitäisi käynnistyä tai sen käynnistyminen
ei ole tarpeellinen, ota se pois käynnistymästä,
siten voit paitsi ehkäistä ja torjuna tietoturva-aukkoja
niin myös nopeuttaa koneen käynnistymistä
huomattavasti!
Peli
on menetetty
Jos järjestelmäsi on vain sekasotkua, on mahdollista
että tunkeutuja oli siellä. Tai jokin virus tai
mato on käynnistynyt siinä. Tai joku on peukaloinut
tietokonettasi. Riippuen siitä miten pahasti tietokoneesi
on vaarantunut, sinun pitää päätellä
jatkotoimenpiteet. Jos koko tietokone on sekaisin, koeta
pelastaa tilanne virustentorjunnalla, asetusten muutoksilla,
päivityksillä, tarkistamalla käynnistyvät
ohjelmat ja niin edelleen. Jos tietokoneesi tuntuu olevan
täysin sekaisin ehkä paras tapa toimia on palauttaa
varmuuskopiosta "Image" (jonka olet tietenkin
tehnyt etukäteen esim. Norton Ghost ohjelmalla ja säilönyt
turvallisessa paikassa???). Ei ole mitään järkeä
palauttaa "Image" jonka olet tehnyt eilen koska
troijalainen tai aukko on todennäköisesti siinäkin.
Parempi vaihtoehto on palauttaa ehkä viikon tai pari
vanha varmuuskopio järjestelmästäsi. Ennen
kuin palautat "Imagen", muista ottaa varmuuskopiot
kaikista dokumenteista ja vastaavista jotka olet tehnyt
tai muokannut sen jälkeen kuin loit tuon "Imagen".
Laita varmuuskopiot esim. levykkeille tai vastaaville, älä
siihen levyn osioon (partitioon) jonka aiot kirjoittaa ylitse
tuolla "Imagella"!
Jos
sinulla on syytä epäillä että tietokoneesi
on vaarantunut ja se on niin sekaisin että et saa sitä
kuntoon eikä sinulla ole "Imagea" tehtynä
josta palauttaa se...TAI, jos epäilet että tunkeutuja
on asentanut ns. "root kit" ohjelmiston koneellesi
jolla hän voi hallita kaikkia komentoja, ohjelmia ja
toimintoa joka tietokoneessasi on, et voi luultavasti mitenkään
korjata syntynyttä vahinkoa. "Root kit" on
teoriassa mahdollista havaita esimerkiksi Rootkitrevealer
tai vaihtoehtoisesti F-Secure
Blacklight-ohjelmistolla, mutta varmuutta asiasta ei
oikein tahdo saada millään. Tällöin
ainoa mitä voit tehdä on irroittautua fyysisesti
verkosta (jos et ole vielä sitä siis tehnyt),
tehdä varmuuskopiot kaikista tärkeistä dokumenteistasi,
kuvistasi ja muista tiedostoista (mutta EI ohjelmatiedostoista!)
ja tallettaa ne esim. levykkeille, toiselle kiintolevylle
tai polttaa ne CD-romille. Sitten käynnistä koneesi
DOS tilaan käynnistyslevykkeeltä käsin (tai
Windowsin asennusrompulta) ja alusta kaikki ko. kiintolevyn
osiot. Sitten asenna käyttöjärjestelmä
ja kaikki ohjelmat uudestaan käyttäen alkuperäisiä
asennuslevykkeitä (muuten voit taas vaarantaa koneesi
jos asennat ohjelman joka onkin troijanhevonen) ja lopulta
palautat dokumenttitiedostosi, jne. takaisin. Voit yllättyä
kun huomaat miten nopeasti kaikki tämä itse asiassa
käy, monesti huomattavasti nopeammin kuin jos koettaisit
paikantaa ja korjata tapahtunutta vauriota muilla keinoin.
Kiintolevyjen alustaminen (ja mahdollisesti jopa kaikkien
levyosioiden uudelleen luominen) ja kaiken uudelleenasennus
alkuperäisistä levykkeistä/rompuilta on AINOA
tapa varmistua siitä että mitä ikinä
tapahtuikin, on nyt ohitse. Ole varovainen palauttaessasi
dokumenttitiedostoja makrovirusvaaran vuoksi, eli muista
pitää virustentorjuntasi kunnossa.
Kun
olet toipunut
Kun olet toipunut, sinun pitää pohtia mitä
on tapahtunut. Minkä tyyppinen troijalainen/hyökkäys
se oli? Onnistuiko se vaiko ei murtamaan suojaukseni? Jos
onnistui, mitä se kykeni mahdollisesti tekemään?
Mitä juuri tämä troijalainen tekee? Jos tietokoneesi
on onnistuttu murtautumaan, sinun pitää vaihtaa
kaikki salasanasi ja nopeasti (muuten tunkeutuja voi vaikka
kirjautua sähköpostiisi ja muuttaa ne joksikin
muuksi ja lukita sinut ulos omasta sähköpostistasi)
SEN JÄLKEEN kun olet ensin turvannut koneesi. Ole huolellinen
jotta muistat uudet salasanasi tai käytä esim.
Password Safe ohjelmaa joka tallettaa salasanasi yhden salasanan
taakse kryptattuun tietokantaan. Muista ilmoittaa tuttavillesi
että tietokoneeseesi on tunkeuduttu (jos siis siihen
päästiin tunkeutumaan sisälle) jotta he tietävät
varoa esim. "sinulta" tulleita sähköposteja
ja niin edelleen. Älä levitä vääriä
varoituksia tai hälytä ketään turhaan
jos et ole varma että järjestelmäsi on murrettu.
Ajattele.
Mitä tiedostoja olet suorittanut viime aikoina? Saitko
jonkin omituisen sähköpostiviestin? Oletko varma
että sinulla oli uusimmat päivitykset Windows
käyttöjärjestelmääsi ja virustentorjuntaasi?
Olihan virustentorjuntasi päällä? Entäpä
asetukset internet-selaimessasi, järjestelmässäsi
ja virustentorjunnassasi, olivatko ne turvalliset? Kuka
muu on voinut päästä käyttämään
tietokonettasi ja mitä he ovat voineet tehdä?
Oletko aivan varma? Onko joku voinut päästä
käyttämään tietokonettasi tietämättäsi?
Koeta löytää vastauksia noihin kysymyksiin
jotta voit jäljittää mistä hyökkäys
oli peräisin.
Lopuksi,
mieti miten voit estää tapahtunutta ikinä
toistumasta sinulle. Jos tiedät mikä aiheutti
ongelman ja miksi, voit melko helposti välttää
sitä seuraavalla kerralla. Jos joku vain skannasi porttejasi,
pidä huolta että ne ovat ja pysyvät jatkossa
suljettuina kunnes sinun TODELLA täytyy avata jokin
niistä. Jos hyökkäys oli tietokoneestasi
"sisältä päin", sinun on syytä
miettiä miten voisit käyttää konettasi
toisella tapaa...esimerkiksi, älä enää
lataa tiedostoja epäluotettavista lähteistä,
vaihda internet-selaintasi johonkin turvallisempaan (esim.
Operaan), harkitse virustentorjuntasi päivittämistä
tai troijalaisten torjuntaohjelman hankkimista ja niin edelleen.
Jos annoit muiden käyttää tietokonettasi,
rajoita heidän oikeuksiaan ja neuvo heitä (hyvät
asetukset ja Guest -tili WindowsXP:ssä sopii erinomaisesti
tähän mikäli sinulla on hyvät salasanat
koneessasi) noudattamaan turvallisuusohjeita...kaikkein
tärkein neuvo on: älä ikinä suorita
ohjelmia joihin et voi täysin luottaa! Jos he eivät
sitä ymmärrä, älä anna heidän
käyttää tietokonettasi. Yksikertaista ja
tehokasta. :)
Raportoi
siitä!
Haluatko kostaa? Yleensä ei kannata. Mutta mitä
voit tehdä, jos olet VARMA asiasta...tarkoitan tosiaankin
VARMA, et arvuuttele tai epäile vaan ehdottomasti varma
siitä että sinun tietokoneeseesi on hakkeroitu
tai olet hyökkäyksen kohteen... Raportoi siitä!
Tee seikkaperäinen raportti tapahtuneesta, mitä
tapahtui ja koska. Jos saat hyökkääjän
IP numeron talteen, hyvä. Jos et, voit tiedustella
asiaa internet palveluntarjoajaltasi. Koeta ottaa selville
kuka tuon IP osoitteen takana on, käyttämällä
sellaisia palveluita kuin Whois tai Traceroute. On olemassa
myös monia hyviä (maksullisia) ohjelmia kuten
net.demon jotka helpottavat tätä työtä.
Sitten, kun olet saanut selville kuka on tehnyt ja mitä,
lähetä esimerkiksi sähköpostia osoitteeseen
abuse@xxxxxxx.xxx (missä xxx on se domain/palveluntarjoaja
jonka verkosta hyökkäys tuli) ja kerro heille
tapahtuneesta. Muista liittää mukaan tiedot jotka
olet kerännyt, kuten IP, aika, hyökkäyksen
tyyppi, portit joita hyökkäyksessä käytettiin
ja niin edelleen. Jos et ole varma asiasta, kysy palveluntarjoajaltasi
neuvoa, kerro heille että aiot ryhtyä toimenpiteisiin
tapahtuneen johdosta.
Viesti jonka tyyppisen voisit lähettää on:"Hei!
Joku teidän asiakkaanne osoitteesta IP xxx.xxx.xxx.xxx
skannasi porttejani 666 ja 999 jotka ovat troijalaisen XXX
käyttämiä. Skannasin tietokoneeni ja löysin
sieltä troijalaisen XXX joten minulla on perusteltu
syy uskoa että tämä sama henkilö joka
koetti ottaa yhteyttä troijalaiseen on sen myös
koneeseeni saanut ujutettua. Tämä tapahtui (päivämäärä
ja kellonaika) IP osoitteessani xxx.xxx.xxx.xxx ja kesti
aina (päivä ja kellonaika) saakka. Tässä
ovat palomuurilokini tuolta ajalta................. Olkaa
hyvä ja tarkistakaa lokitiedostonne. Haluan tietää
jos olette rekisteröineet tämän järjestelmässänne
siltä varalta että aion nostaa syytteitä
ko. henkilöä vastaan tai jos te aiotte ryhtyä
toimenpiteisiin asian johdosta.....(yhteystiedot)".
Jos
olet kärsinyt selvää taloudellista vahinkoa,
kuten menettänyt tiedostoja tai paljon aikaasi, suosittelen
että jäljität ko. henkilön ja nostat
syytteet häntä vastaan kun olet saanut kerättyä
hieman tietoja. Keräämäsi tiedot eivät
päde oikeudessa mutta ne voivat auttaa ja nopeuttaa
poliisitutkintaa merkittävästi. Jos hyökkääjä
on toisessa maassa, kannattaa miettiä paljonko voit
voittaa ja hävitä jos ryhdyt toimenpiteisiin häntä
vastaan. Joka tapauksessa, jos olet kärsinyt huomattavasti
hyökkäyksestä, sinun on syytä ilmoittaa
internetpalveluntarjoajallesi asiasta, hän voi neuvoa
sinua lisää koska on tottunut hoitamaan tämäntapaisia
asioita (toivottavasti ainakin).
Muista
että joskus käy huono tuuri. Joskus joku lähettää
sinulle sähköpostiviestin jonka liitetiedostona
on troijalainen. Tai lataat ja asennat vahingossa sellaisen
itse. Tai asennat väärin järjestelmäsi
ja asetuksesi joka on kuin kutsu pahantekijöille tunkeutua
koneeseesi. Se ei ole maailmanloppu eikä välttämättä
mitään mistä pitäisi murehtia kovin
paljon. Se on voinut olla puhdas vahinkokin. Korjaa vauriot,
estä sen toistuminen ja ole ensi kerralla hieman viisaampi
tietokoneesi kanssa...elämä jatkuu...
Laitepohjaista
vakoilua?
Miten havaita laitepohjainen, "rauta",
vakoilutyökalu joka tallentaa näppäinpainalluksiasi?
Miten havaita TEMPEST hyökkäys? Kameroita urkkimassa
kun kirjoitat salasanaasi? Onko joku peukaloinut puhelinlinjojasi?
Tai kurkkiiko joku olkasi takaa kun käytät kannettavaa
tietokonettasi? Epätodennäköistä mutta
ei mahdotonta. Jälleen kerran, ennaltaehkäisy
on avainasemassa. Estä asiattomia ihmisiä pääsemästä
siihen tilaan jossa tietokonettasi säilytät ja
käytä ja tämä ongelma on hyvin pitkälle
ratkaistu. Tai jos käytät kannettavaa tietokonetta,
kanna sitä aina mukanasi, silloinkin kun et aio sitä
käyttää. Pidä kuitenkin varasi että
sitä ei varasteta...ja jos varastetaan, sinun ei tarvitse
murehtia koska kaikki arkaluontoinen tieto siinä on
salakirjoitettu vahvalla salauksella ja selkokieliset versiot
on pyyhitty kiintolevyltä...vai mitä?
Laitepohjainen
näppäinpainallusten / salasanojen kaappaus voi
olla erittäin vaarallista. Mutta voit tarkistaa näppäimistösi
ja siitä lähtevät johdot. Havaitsetko mitään
epäilyttävää? Entä tietokoneen
emolevyssäsi? Näkyykö mitään outoa
rasiaa näppäimistösi ja tietokoneesi välillä
tai näppäimistösi sisällä? Edes
pienen pientä sellaista? Jos näkyy, olet todennäköisesti
juuri löytänyt näppäinpainallusten tallentamiseen
tarkoitetun laitteen! Nämä pienokaiset ovat itse
asiassa melko halpoja ja helposti saatavilla. Ne voivat
säilöä huomattavia määriä
tietoa sisäänsä etkä voi löytää
niitä millään ohjelmistolla, sinun täytyy
tietää mitä hakea ja mistä hakea jos
aiot löytää ne. Joskus ne lähettävät
tietonsa langattomasti 10-50 metrin päähän
jossa varsinainen "vastaanotin" sijaitsee joka
lähettää tiedot eteenpäin tai tallentaa
tietokantaansa. Tässä
eräs esimerkki rautapohjaisesta keyloggerista.
Sähkömagneettisen
tiedustelun kohteena (TEMPEST)? Voi olla että olet
vain vainoharhainen mutta koskaan ei voi olla liian varovainen.
Jos haluat suojautua TEMPEST hyökkäystä vastaan,
sinun täytyy ottaa käyttöön huomattavia
turvallisuuskäytäntöjä jotka ovat näiden
sivustojen tietomäärän ulottumattomissa.
Periaatteessa, jos mitään ei pääse huoneesta
ulos, TEMPEST on varsin hyvin kunnossa. Tämä tarkoittaa,
että jos et voi esimerkiksi puhua kännykkään
tai kuunnella radiota ko. tilassa, on luultavaa että
sähkömagneettinen suojaus on riittävä
suojaamaan tämän tyyppiseltä vakoilulta.
Metallinen "häkki" huoneen ympärillä
pitäisi olla riittävä aikaansaadakseen "Faradayn
häkin" joka estää sähkömagneettista
säteilyä läpäisemästä sitä.
Täytyy kuitenkin muistaa, että pommittamalla Faradayn
häkkiä tietynlaisella mikroaaltosäteilyllä,
se voidaan "läpäistä" ja näin
ollen tehdä tehottomaksi... Sähkönsyöttöjärjestelmät
pitäisi myöskin olla "suojattu", jotta
vihulainen ei voi hyökätä sähkönsyötössä
tapahtuvia muutoksia seuraamalla, UPS systeemi luultavasti
antaa riittävää suojaa tälläistä
hyökkäystä vastaan. Myöskin käyttämällä
vierekkäin kahta tai useampaa samanlaista tietokonetta
ja monitoria aiheuttaa niin paljon häiriöitä
(peittävät toisensa alleen), että luultavasti
TEMPEST hyökkäys tälläisiä vastaan
ei ainakaan helposti onnistu. Esimerkiksi kolme identtistä
tietokonetta, joista yhdessä pyörii taustalla
vaikka seti@home ohjelma ja ruudulla sen grafiikkaa, toisessa
jokin paljon laskentatehoa vaativa peli ja grafiikkaa ja
kolmas jota sitten itse aktiivisesti käytät (esim.
salatun sähköpostin kirjoitteluun tms.) aiheuttavat
samoille aallonpituuksille niin paljon häiriöitä
että sieltä on hyvin vaikeata löytää
tuota yhtä konetta. Signaalit peittävät toisensa
alleen. Lisäksi laskemalla tietokoneen näytön
kontrastia voidaan ainakin vaikeuttaa esimerkiksi tekstin
havaitsemista siitä Van Eckin säteilyä käyttämällä.
USB-kaapelit säteilevät myöskin melkoisesti,
joten tietoturvan kannalta on parempi käyttää
PS2 liitäntäisiä näppäimistöjä
ja hiirtä. Langattomat hiiret ja etenkin näppämistöt
on syytä unohtaa heti kättelyssä niiden tietoturvattomuuden
vuoksi (Bluetooth aukot, salauksen heikkous, oletus PIN
luvut, jne.). Tällä
sivulla on jotain vinkkejä TEMPEST suojauksesta.
Kamerat
ja mikrofonit voivat olla myös harmittavia. On helppoa
laittaa GSM puhelin huoneeseen ja jättää
se päälle jolloin sitä voidaan käyttää
mikrofonina! On ollut tapauksia, joissa bluetooth haavoittuvuuksia
käyttämällä GSM puhelin on "kaapattu"
etäältä jolloin sitä voidaan käyttää
omistajan tietämättäkin salakuunteluun! Bluetooth
aukkojen hyväksikäyttö onnistuu sopivilla
laitteilla yli kilometrin päästä, joten jos
luulit että BT:n "lyhyt kantama" antaa turvaa...
Erittäin halpaa ja helppoa. Voit ostaa laitteita joilla
päällä olevat matkapuhelimet voidaan havaita.
Jotkut koulut käyttävät niitä tenteissään
varmistaakseen että oppilaat eivät lunttaa. No,
takaisin tietokoneisiin...jos voit kuulla näppäinpainallukset,
voit yllättävän helposti rekonstruktoida
mitä näppäimiä on painettu ja sitä
kautta selvittää esim. salasanat. Esim. "lasermikrofonilla
ikkunaasi" tämä voidaan tehdä vaikka
sadan metrin päästä ikkunasi ulkopuolelta!
Älä aliarvioi mikrofoneja! Kamerat ovat myös
ongelmallisia. Ne voidaan piiloittaa oikeastaan mihin vain.
Niiden löytäminen on enemmän tai vähemmän
sattuman kauppaa. Katsele vain ympärillesi, etenkin
kaikkialle missä on koloja, reikiä tai varjoa.
Jos löydät jotakin, revi se irti ja vie jollekulle
joka osaa kertoa siitä lisää...ja etsi lisää,
jos tilaan on voitu ujuttaa yksi kamera, sinne on voitu
ujuttaa tusinan verran kameroita. Jos havaitset että
sinua on vakoiltu tällä tavalla, sinun on syytä
pitää KAIKKEA vaarantuneena. Aivan kaikkea! Tällä
sivustolla voit löytää jotain vinkkejä
salakuuntelun estämiseen tai paljastamiseen.
Ovatko
puhelinlinjasi salakuuntelun alla? Et voi tietää
ilman että kutsut puhelinlaitoksen henkilökunnan
selvittämään sitä, mikä voi tulla
varsin kalliiksi. Jos sinulla on syytä olettaa että
näin on päässyt käymään, sinun
on parempi pitää kaikkea viestintääsi
vaarantuneena ja toimia sen mukaan. Älä käytä
salaamattomia viestiyhteyksiä ja ole varovainen välistävetohyökkäyksen
varalta (man-in-the-middle attack)! GSM puhelut ovat salattuja
kännykän ja tukiaseman välillä, mutta
salauksen taso ei ole kovinkaan hyvä. Ehkä riittävä
estääkseen naapurin hakkeria kuuntelemasta viestintääsi,
mutta ei tarpeeksi estääkseen jotakuta asiaan
paneutunutta murtamasta sitä. Ongelmana GSM:ssä
on A5/1 salauksen heikkous sekä COMP-128-1/2 heikkoudet,
sekä vihamielisen tukiaseman tekniikka. Voit lukea
näistä lisää
pääsivultani. UMTS on huomattavasti paremmin
salattu kuin GSM ja UMTS salaus tarjoaa jo ihan oikeastikin
jotain merkittävää suojaa salakuuntelua vastaan.
Markkinoille on tullut jo GSM-puhelimia jotka salaavat viestinnän
päästä-päähän siedettävillä
salausalgoritmeillä ja riittävän pitkillä
avainkoolla sekä tarjoavat suojan man-in-the-middle-attack
vastaan, näiden käyttäminen on enemmän
kuin suotavaa, mutta se edellyttää että molemmilla
osapuolilla on täsmälleen samanlainen puhelin.
Joitain sivustoja joissa kerrotaan ja myydään
näitä vahvaa salausta käyttäviä
GSM-puhelimia on esimerkiksi täällä.
Nettiyhteyden suojaaminen salakuuntelulta taas edellyttää
esimerkiksi Anonymizerin
palvelujen ostamista, jolloin kaikki nettiliikenne koneeltasi
menee salattuna heidän palvelimilleen, josta se sitten
vasta jatkaa matkaansa minne ikinä netissä menetkin
(samalla IP:si piiloitetaan).
Entäpä
langattomat lähiverkot (WLAN)? Voiko niitä hakkeroida?
Tämä on varsin laaja aihepiiri, joten käyn
sen läpi vain lyhyesti. Yksinkertaisesti sanottuna,
kyllä WLAN voidaan hakkeroida ja yleensä se onnistuu
todella helposti ja ilman että uhri tietää
tai tajuaa mitään. Jos käytät WLAN:ia,
ole erittäin huolellinen, jotta turvaat sen kunnolla.
Muuten et pelkästään altista yhteyttäsi
ja tietojasi krakkereille, mutta myös annat mahdollisuuden
muille ihmisille käyttää kaistaasi ja yhteyttäsi
pahantekoon. Voit aavistella jotain hämärää
olevan tekeillä jos esim. ADSL-yhteytesi on käytössä
vaikka et itse omalla koneellasi surffaa mihinkään,
tai jos näet muita WLAN tukiasemia tai tietokoneita
WLAN:ssasi. WLAN-tietoturvasi ei ole kunnossa, mikäli
sinä et käytä WPA tai WPA2 salausta vahvalla
salasanalla/salausavaimella...ja mikäli se ei ole kunnossa,
sinun on syytä olettaa että kaikkea sen kautta
kulkevaa viestintää kuunnellaan ja voidaan manipuloida,
eli että olet koko ajan hyökkäyksen kohteena
ja verkkoasi käytetään väärin!
WPA ja WPA2:ssa kannattaa valita yksinkertaisesti WPA-PSK
tai WPA2-PSK ja salasanaksi laittaa 63 kirjainta/numeroa
pitkä, satunnainen kirjain/numerojono (kyseisen salausavaimen
voit siirtää esim. levykkeellä tai muistitikuilla
niihin tietokoneisiin joissa aiot ko. WLANia käyttää).
Samalla tietysti on ko. koneista tarkistettava, että
ne kytkeytyvät vain tuohon kyseiseen verkkoon, eikä
"ensijaisina verkkoina" ole muita kuin tuo käyttämäsi,
turvattu WLAN. Lisäksi kannattaa vaihtaa (vasta kun
WLAN on turvattu!) modeemin/tukiaseman salasana(t) pitkiin
ja monimutkaisiin (20+ merkkiä pitkä), joka ehkäisee
tehokkaasti niiden peukaloimista. Muista tehdä kaikki
muutokset "lankalinjaa", eli verkkokaapelia pitkin,
älä käytä turvatonta langatonta yhteyttä
sen itsensä "turvaamiseen"! Muuta ei sitten
tarvitsekkaan tehdä ja voit olla varma että ainakaan
ko. yhteyttä ei pystytä salakuuntelemaan. Mikäli
käytät 802.11b standardin WLAN:ia ja WEP salausta,
tietoturvasi on olematonta, kuten esimerkiksi tästä
ja tästä
voit lukea: WEP murtuu minuuteissa, jopa sekunneissa.
Yksi
vakavasti harkittava ostos kannettavaan tietokoneeseen on
"maski". Maski on eräänlainen levy joka
laitetaan kannettavan näytön päälle
joka kääntää valon polarisaatiota siten,
että ihmissilmä ei erota siitä kuin pelkkää
valkoista valoa. Mutta kun sinulla on päässäsi
sopivasti polaroidut aurinkolasit, ne suodattavat polarisoinnin
pois ja näet ruudun aivan kuten pitääkin.
Tämä tarkoittaa, että ympärilläsi
olevat ihmiset eivät näe mitään mitä
ruudullasi on, jos heillä ei ole täsmälleen
siihen tarkoitukseen tehtyjä aurinkolaseja päässään.
Tietysti he voivat yhä katsoa mitä näppäimiä
painelet. Kysy lisää tämän kaltaisesta
systeemistä optikkoliikkeestä tai tietoturva-asiantuntijoilta.
|
Tel:
