torstai 29. kesäkuuta 2017

Petya näyttää olevan oikea kyberhyökkäys

Media viljelee mielellään kyberhyökkäys-sanaa, koska sen avulla otsikoista saa dramaattisempia. Tuore Petya (Petja) kiristysohjelma vaikuttaa kuitenkin olevan aito kyberhyökkäys, jonka toimintaa ja vaikutuksia kannattaa seurata tarkasti.

Monet seikat viittaavat siihen, ettei kiristyksen takana tällä kertaa ole pelkkiä rikollisia, vaan ohjelmalla haetaan jotain muuta:
  • Petya laitettiin levitykseen murtautumalla Ukrainassa yritysten käyttämän verosovelluksen valmistajan verkkoon. Näin ohjelma saatiin levitettyä nopeasti yrityksiin. Murto tehtiin niin taitavasti, että päivitykset levittivät sen uhreille ennen kuin yhtiö itse huomasi tapahtunutta.
  • Yrityskäyttäjien näkökulmasta vaadittu 300 euron lunnassumma on mitättömän pieni. Aiemmat kiristäjät ovat vaatineet 1-3 bitcoinia, mikä vastaisi nykykurssilla 2000-6000 euroa. Miksi rikollinen kiristäjä tyytyisi näin pieneen summaan?
  • Maksaminen on tehty vaikeaksi, koska käytössä on vain yksi bitcoin-osoite ja yhteystietona annetaan ilmainen sähköpostiosoite (joka on jo suljettu). Oikeat rosvot tekevät maksamisesta mahdollisimman helppoa. 
  • Vaikka uhri maksaisi, siitä ei ole apua, sillä alkuperäisestä Petya-kiristäjästä poiketen uusi versio tuhoaa kiintolevyn alun pysyvästi. 
Petya leviää tekniikoilla, joita käytetään vain yritysverkoissa. Sen tavoitteena näyttää siis olevan puhtaasti yritysten liiketoiminnan vahingoittaminen. Lunnasvaatimus on pelkkää kosmetiikkaa, jolla häivytetään hyökkääjien todellisia tarkoitusperiä.

Kaiken lisäksi samana aamuna, jolloin Petya alkoi levitä, Ukrainan sotilastiedustelun eversti surmattiin autopommilla.

Ukrainalainen softavalmistaja ja kansallisesti käytetty ohjelmisto, ukrainalaiset yritykset, ukrainalainen eversti... en usko kaiken olevan sattumaa. Petya on oikea kyberhyökkäys, jonka tavoitteena on vahingoittaa yhtä maata. Tästä voi päätellä sen, millaiset voimat ovat hyökkäyksen takana.

Meille muille Petya on erinomainen oppitunti kyberturvallisuuden merkityksestä. Entä jos hyökkäys olisi tehty suomalaisten yritysten käyttämän softan kautta? Miten paljon Suomen talous ja kansalaisten arki olisivat kärsineet? Panostammeko tarpeeksi digitaaliseen maanpuolustukseen, vai ovatko uhkakuvamme edelleen talvisodan vankeja?

Yksi tärkeä oppi liittyy päivityksiin. Petya osoittaa, että ne voivat olla myös vaaraksi. Asiakkaat luottavat, että päivityksen koneeseen tuoma koodi on turvallista ja sallivat sen ajamisen (toisin kuin sähköpostin tuomien tiedostoliitteiden!), mutta jos softan tekijän omiin järjestelmiin on murtauduttu, päivitykset itsessään ovat haittaohjelma. Tunnollinenkaan päivittäminen ei siten takaa tietoturvaa.

Lisäys klo 23: F-Securen tutkija varoittaa tekemästä hätäisiä johtopäätöksiä kyberhyökkäysteoriasta. Tällainen harkinta ja varovaisuus on esimerkillistä ja alan yhtiöille aivan liian harvinaista. Mutta olipa tässä kyse todellisesta hyökkäyksestä tai ei, tapaus on erittäin opettavainen, sillä juuri näin hyökkäys kannattaisi tehdä (ja kääntäen juuri tällaisiin yritysten/yhteiskunnan pitäisi pystyä varautumaan). 

15 kommenttia:

Anonyymi kirjoitti...

Blogisti on oikeassa. Petya on haittaohjelmaksi naamioitu kyberpommi.

Aamun Hesarissa vielä hehkutetaan "anonyymiä hakkeritahoa" ja "kiristysohjelmaa."

Konstitutsii kirjoitti...

Suomessa ei ole vielä huomattu, että Petra päästettiin irti Ukrainan Perustuslain- eli Itsenäisyyspäivän aattona. Silloin usein lähdetään työpaikoilta Perustuslain päivän viettoon jo hyvissä ajoin ja yritykset, jotka ovat auki, toimivat minimimiehityksellä.

Petteri Järvinen kirjoitti...

Kyllä kansallisen vapaapäivän aatto noteerattiin meilläkin heti: http://www.tivi.fi/Kaikki_uutiset/petya-haittaohjelman-alkusyy-oli-saastunut-kirjanpito-ohjelmisto-tasta-syysta-isku-tehtiin-juuri-tiistaina-6660476 Pidin asiaa niin ilmeisenä, etten edes maininnut sitä omassa listassani.

Anonyymi kirjoitti...

Ja sotilastiedustelupalvelun everstien autoja ei saa räjäytellä

Jari kirjoitti...

En usko että Ukraina kärsii yksin; maan yritykset voivat saada jopa etumatkaa varautumiseen. Mikä sitten on internetin tulevaisuus? Tor-verkot vai paluu levykejakeluun.

Anonyymi kirjoitti...

Eikö päivityksillä ole digitaalinen allekirjoitus? Sehän suojaa troijalaisilta haittaohjelmilta. Syyllisen voimme arvata, tietenkin Ukrainan vihollinen nro 1.

Petteri Järvinen kirjoitti...

En tiedä, olivatko päivitykset allekirjoitettuja vai ei - ilman allekirjoitusta ei pitäisi asentaa mitään softia.

Allekirjoituksella ei kuitenkaan ole merkitystä, mikäli asiansa osaava taho murtautuu yhtiön koneille ja lisää haittaohjelman alkuperäisiin tiedostoihin. Yhtiö allekirjoittaa päivityksen haittaohjelman kera huomaamatta uhkaa.

Jari kirjoitti...

Ohjelmistokehityksessä käytetään usein versionhallintaa (esim. Git), ja siksi kaikki muutokset näkyy kyllä helposti. Muutokset myös dokumentoidaan. Ainakin Git on suunniteltu niin, että muutokset näkyvät sekä yksittäisellä koodaajalla että lopullista versiota koottaessa.

Tietysti riski on siinä, kun koodi lähtee levitykseen. Avoimessa koodissa ei ole käännösvaihetta, ja kaikki muutokset näkyy loppukäyttäjälle. Suljetussa koodissa tilanne on vähän huonompi, mutta en silti näe mahdollisuutta. Eiköhän allekirjoitus tehdä käännösvaiheessa. Peukalointi edellyttäisi käännösohjelmaan puuttumista, joka on vaikeaa.

Vähän huvittavaa, että esim. python-ohjelmoijat lataavat ohjelmamoduleita pypi.python.org -pakettivarastosta, jonne kuka tahansa voisi ladata haittaohjelmia, ja jossa ei ole mitään allekirjoitusta. Jostain syystä haittaohjelmien jakaminen siellä ei ole kannattavaa.

Anonyymi kirjoitti...

@Jari Epäilen, että siellä on vaihdettu binäärit ei muuta, tuossa ei varsiohallinta auta.

Binääreistä lasketaan yleisesti md5-summa, mutta siinä kollisiota, joten taitavasti binääriä muuttamalla md5-summa ei muutu.Tämän takia pitäisi tarkistaa sha-256 summa jossa kollosiota ei pitäisi tapahtua.

Tokihan noitakin on voitu pystyä muuttamaan ja manipuloimaan tai ehkäpä tuollaisiakaan ei ole ollut, mutta kovin luotettavaa tapaa ei ole, jolla lataaja pystyisi varmistumaan, että binääri ei ole muuttunut kolmannen osapuolen toimesta.

Jari kirjoitti...

Anonyymi: Tässä keskustelussa tuli jo ilmi, että binääreillä on digitaalinen allekirjoitus. Se on vähän eri asia kuin tarkistussumma. Hakkerin on melkein pakko murtautua johonkin ohjelmoinnissa käytettyyn työkaluun, esim. versionhallinta- tai kääntäjäohjelmaan.

Anonyymi kirjoitti...

Sori, luimpa hieman huonosti. Tuossa olet kyllä oikeassa. Se on eri homma.

Muistelisin kuitenkin, että Microsoftilla oli ainakin kerran avaimet karkuteillä, joka mahdollisti muillekkin allekirjoitusten teon.

Jari kirjoitti...
Kirjoittaja on poistanut tämän kommentin.
Anonyymi kirjoitti...

"Petya-kiristäjästä poiketen uusi versio tuhoaa kiintolevyn alun pysyvästi"

Mietitäänpä hieman. Kun Petya korvaa MBR ja kryptaa MFT niin mikä on helpoin tapa korjata.

Uusi asennus ja palautus backupista, no ei ole ihan helppo ja nopea homma.

Parempi olisi palauttaa levykuvatiedostosta (diskimage) mutta ei sekään ole nopeaa mutta helppoa kyllä.

Nopeampaa jos koneessa on pieni levy esim. 128GB tai 256GB SSD, tällöin levykuvatiedoston 128GB tai 256GB joka nyt sopii helposti esim. ulkoiselle USB-levylle tai USB-tikulle verrattuna 8TB SATA-levystä otettavaan levykuvatiedostoon. Näin minulla on mutta toki enimmäkseen käytän Linuxia.

Toisinsanoen pienempi on parempi. Data toisella levyllä jotka löytyvät varmuuskopiosta tarvittaessa.

Anonyymi kirjoitti...

"Uusi asennus ja palautus backupista, no ei ole ihan helppo ja nopea homma."

Riippuu ympäristöstä. SCCM jne. kilkkeet, ei tuossa perusasennuksessa kauaa nokka tuhise.

"Toisinsanoen pienempi on parempi."

En minäkään ymmärrä, miksi joissain firmoissa koko kiintolevyllä on vain yksi partitio. Riippuu ohjelmista, mutta pienempikin riittäisi, otettaisi vaikka 100-200GB ja loppu levy käyttämättä (ellei loogisia partitioita paikalliseen raskaaseen käyttöön, kuten videoiden jynssäystä varten tarvita).

Silloin kun Ghostia vielä käytettiin, levykuvatiedoston koko ei suinkaan ollut yhtä kuin kiintolevyn koko. Ghostissa oli sector-by-sector -ominaisuuskin, mutta perusasetuksilla siihen otettin mukaan vain levyn "konkreettinen" data, pl. hiberfile ja pagefile, ei poistettuja ym. tiedostoja.

***

Mitä itse Petyaan tulee, ei se Suomessa tainnut suuremmin päästä leviämään?

Joka tapauksessa muiden työasemien saastumiseen psexec'iä hyödyntämällä samassa verkossa tarvittaisiin tietääkseni admin-oikeudet käyttäjällä, josta tartunta lähtee. Ei muiden Windowsissa olevien käyttäjätilien salasanojen dumppaus sam-tiedostosta onnistu peruskäyttäjän oikeuksin mitenkään, eikä psexec'n korotus system-tasolle.

Siinä ukrainalaisessa kirjanpito-ohjelmassa lienee ollut jokin system service, jolla päivitykset on asennettu riippumatta käyttäjän oikeuksista, samalla tavalla kuin vaikka Mozilla Firefoxissa (Mozilla Maintenance Service)? Näin haittakoodi olisi helposti lähtenyt liikenteeseen, riippumatta tosiaan Windowsin omista SMB-haavoista yms.

Blogger kirjoitti...
Blogin hallinnoija on poistanut tämän kommentin.