You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2005-4

Pekka Vesikko

Haittaohjelmat älypuhelimissa ja autoissa

Johdanto

Haittaohjelmia on viimeaikoina löydetty aiemmin lähes täysin haittaohjelmien vitsaukselta säästyneiltä tietojenkäsittelyn alueilta, mikä on saanut aikaan uusia uhkia ihmisten jokapäiväisessä tietojenkäsittelyssä. Tämä on huomattu myös valtionhallinnossa ja haittaohjelmilta suojautumista koskien onkin vuonna 2004 laadittu erillinen Vahti-ohje [13]. Eräs uhatuksi joutunut tietojenkäsittelyn alue on älypuhelimien ryhmä. Älypuhelimilla tarkoitetaan uuden sukupolven matkapuhelimia, joissa on sisäänrakennettuna monia uusia toimintoja, kuten digitaalikamera, selain ja sähköposti [14]. Vahti-ohjeen mukaan juuri älypuhelimien normaaleja työasemia muistuttava arkkitehtuuri ja jatkuva Internet-yhteys houkuttelevatkin haittaohjelmia puoleensa [13].

Harjoitustyössä käsitellään haittaohjelmien leviämistä tietojenkäsittelyn alueille, joilta on viime aikoina löytynyt erilaisia haittaohjelmia tai ainakin merkkejä niistä. Viime aikoina haittaohjelmille altistuneiden tietojenkäsittelyn alueiden laajuuden vuoksi harjoitustyössä käsitellään vain älypuhelimia ja autoja. Yleisten kuvausten lisäksi harjoitustyössä esitellään merkittävimmät älypuhelimissa vaikuttavat haittaohjelmat, tarkastellaan Formula 1 -sarjassa toteutettuja toimenpiteitä haittaohjelmilta suojautumiseksi sekä perehdytään lähemmin henkilöautoissa ilmenneeseen haittaohjelmatapaukseen.

Haittaohjelmien leviäminen älypuhelimiin

Matkapuhelimet ovat pitkään säästyneet merkittäviltä turvallisuutta vaarantavilta uhilta, mutta älypuhelinten yleistyessä ja puhelinten muuttuessa yhä enemmän tietokoneiden kaltaisiksi, ovat haittaohjelmat valtaamassa jalansijaa tältäkin tietojenkäsittelyn osa-alueelta. Toistaiseksi turvallisuus on joutunut uhatuksi vain Symbian-käyttöjärjestelmää käyttävissä älypuhelimissa, joka on kuitenkin määrältään suurin älypuhelinryhmä.

Älypuhelimissa haittaohjelmilla on kaksi pääasiallista leviämistapaa, MMS-multimediaviestit ja Bluetooth-yhteys, mutta toki normaalin internetistä tapahtuvan tiedonsiirronkin yhteydessä voi haittaohjelmia levitä. Toiminnallisuudeltaan haittaohjelmat ovat kuitenkin vielä suhteellisen heikkotasoisia, mutta esimerkiksi MMS-multimediaviestien kautta levitessään erilaiset mobiilimadot voivat aiheuttaa käyttäjälleen yllättävänkin suuren puhelinlaskun. Osa haittaohjelmista voi myös estää älypuhelinten mahdollistamia toimintoja. Tartunta vaatii kuitenkin yleensä käyttäjän hyväksynnän haittaohjelman sisältävän tiedoston vastaanottamiseksi ja asentamiseksi, joten tiedostamattaan tartuntaa on melko vaikea saada. Tässäkin yhteydessä on korostettu viimekädessä käyttäjällä olevaa vastuuta omista teoistaan, mikä onkin perusteltua, sillä leviämis- ja tartuntamekanismit ovat tuttuja tietokonemaailmasta, ainoastaan laiteympäristö on erilainen.

Matkapuhelimissa ensimmäiset haittaohjelmat löytyivät vuonna 2004. Ne keskittyivät kuitenkin lähinnä niin sanottuun Proof of Concept -näkökulmaan. Käsitteellä tarkoitetaan sitä, että haittaohjelmat pyrkivät pääasiassa vain osoittamaan älypuhelimissa olevia haavoittuvuuksia, ei varsinaisesti hyödyntämään niitä. [12] Vähitellen haittaohjelmien vaikutukset ovat kuitenkin alkaneet muuttua yhä pahemmiksi ja tulevaisuudessa haittaohjelmat voivatkin aiheuttaa älypuhelimille ja niiden käyttäjille merkittäviäkin haittoja.

Merkittävimmät ja osin myös ensimmäisenä löydetyt älypuhelinten haittaohjelmat on esitelty seuraavissa alaluvuissa.

Cabir, ensimmäinen itsenäiseen leviämiseen kykenevä kännykkämato

Cabir leviää Bluetooth-yhteyden välityksellä Symbian-käyttöjärjestelmällä varustetuissa Series 60-puhelimissa. Siltä voi suojautua asettamalla puhelimen piilotetuksi Bluetooth-yhteyksiltä, mutta Bluetooth-yhteyden poistaminen käytöstä ei kuitenkaan estä jo saastunutta laitetta saastuttamasta muita puhelimia. Cabir estää kaiken Bluetooth-liikennöinnin ja lisäksi se kuluttaa akun nopeasti tyhjäksi. Vaikka Cabir ei aiheuta suurta haittaa puhelimen käyttäjälle, on se kuitenkin esimerkki haittaohjelmien kyvystä levitä kokonaan uusille tietojenkäsittelyn alueille. [6]

Cabirista on useita eri versioita, joissa käytetään myös ensimmäisestä versiosta poikkeavia tiedostonimiä. Käyttäjän avatessa saamansa tiedoston ilmestyy puhelimen ruudulle varoitusviesti. Mikäli käyttäjä hyväksyy varoituksen ja normaalin asennusvahvistuksen, Cabir aktivoituu ja ruutuun ilmestyy viruksen nimi, kirjoittajan nimikirjaimet sekä ryhmätunnus 29A. [6]

Aktivoiduttuaan Cabir alkaa etsiä muita Bluetooth-laitteita, joille se voisi lähettää tiedoston. Mato pystyy kuitenkin saastuttamaan vain yhden laitteen jokaista uudelleenkäynnistymistä kohden. F-Securen testeissä huomattiin, että Cabir yrittää ensimmäisenä saastuttaa puhelimen, joka sen alunperin saastutti, joten leviäminen muihin laitteisiin vaatii tiedoston lähettäneen puhelimen poistumista Bluetooth-kantamalta ennen ohjelman ensimmäistä käynnistystä. [6]

Leviämistä rajoittavan toiminnallisuuden vuoksi leviäminen oli aluksi hidasta eikä ennusteiden mukaan pitänyt aiheuttaa suurta virusepidemiaa. Kuitenkin ensimmäisissä versioissa ollut toiminto on madon uudemmissa versioissa poistettu. Yleisön tietoisuuteen Cabir tuli kesäkuussa 2004 Kaspersky Labs-virustutkintaryhmän kautta, kun virustutkintaryhmä sai ohjelman suoraan sen kehittäneeltä 29a-ryhmältä. [6]

Skulls, vihamielinen troijan hevonen

Skulls on haittaohjelma, jonka tarkoituksena on estää puhelinta toimimasta kunnolla korvaamalla puhelimen sovellusten ikonit pääkallokuvakkeilla samalla sulkien kaikki linkit Symbian-käyttöjärjestelmän sovelluksiin. Tartunnan saaneella puhelimella voi siis vain soittaa ja vastaanottaa puheluita. Muut toiminnot, kuten SMS- ja MMS-viestit, web-selaus ja kamera, eivät saastuneessa puhelimessa toimi. Puhelin ei sulkemisen jälkeen myöskään enää käynnisty, vaan voi vaatia jopa tehtaalla tehtäviä huoltotoimenpiteitä. [9]

Skulls on suunniteltu Symbian-käyttöjärjestelmällä varustettuja Series 60-puhelimia vastaan, mutta se voi vaikuttaa myös muihin Symbian-laitteisiin. Muut laitteet kuitenkin yleensä varoittavat vaarasta, joten riski vahingossa tapahtuvalle tartunnalle muissa laitteissa on suhteellisen pieni. [9]

Skulls ei leviä matkapuhelimesta toiseen, eikä se myöskään pysty leviämään automaattisesti, vaan se täytyy erikseen ladata puhelimeen esimerkiksi joiltain webin foorumeilta. Skullsin ensimmäinen versio levisi Extended Theme Manager -nimisenä sovelluksena, mutta nimi vaihtelee variantista riippuen. Osa myöhemmistä versioista levittää mukanaan myös Cabirin eri versioita. Jotkin versiot kykenevät myös sotkemaan puhelimen niin pahoin, että ainoa vaihtoehto on puhelimen nollaus oletusasetuksiin, jolloin käyttäjä menettää kaikki puhelimeensa tallentamansa tiedot. Ensimmäisen kerran Skulls havaittiin marraskuussa 2004. [9]

Lasco, ensimmäinen kahta eri leviämistapaa hyödyntävä mobiilivirus

Lasco leviää Symbian-käyttöjärjestelmällä varustettuissa Series 60 -laitteissa sekä saastuttamalla puhelimen sovelluksia käynnistäviä asennustiedostoja että puhelinten välisen Bluetooth-yhteyden avulla. [8]

Saastutettuaan puhelimen Bluetooth-yhteyden välityksellä Lasco alkaa etsiä muita laitteita. Löytäessään toisen laitteen Lasco lähettää siihen viruksen asennusiedoston, joka aktivoituu, mikäli käyttäjä hyväksyy saastuneen asennustiedoston vastaanottamisen ja asentamisen. Lasco ei siis asennu itsekseen, vaan käyttäjän pitää hyväksyä asentuminen ja kuitata puhelimen antama turvallisuusvaroitus. Aktivoiduttuaan Lasco käy läpi kaikki puhelimen asennustiedostot kopioiden itsensä niihin, jolloin kaikki laitteen asennustiedostot sisältävät myös kopion Lascosta. Asennuksen jälkeen laite alkaa etsiä uusia saastutettavia Bluetooth-laitteita. [8]

Lasco voi levitä myös asennustiedostojensa avulla sovellustiedostoja kopioitaessa. Tässäkään tapauksessa Lasco ei kuitenkaan asennu itsekseen, vaan käyttäjän pitää hyväksyä asentuminen ja kuitata puhelimen antama turvallisuusvaroitus. Leviämistapojensa mukaisesti Lascoa pidetään samanaikaisesti sekä viruksena että matona. Lascon ensimmäisellä variantilla, joka havaittiin tammikuussa 2005, ei ole kuitenkaan havaittu mitään varsinaisia haittaominaisuuksia. [8]

CommWarrior, ensimmäinen MMS-viestien avulla leviävä mobiilimato

CommWarrior leviää Symbian-käyttöjärjestelmällä varustetuissa Series 60-puhelimissa MMS-viestien lisäksi myös Bluetooth-yhteyden avulla. Vaikka MMS-viestit ovat multimediaviestejä, joita voi Symbian-puhelinten lisäksi lähettää ja vastaanottaa myös muut MMS-ominaisuuksilla varustetut puhelimet, ei CommWarrior kuitenkaan voi levitä muihin kuin Series 60-puhelimiin. MMS-viestit voivat kuitenkin varsinaisen multimedian lisäksi sisältää mitä tahansa, myös puhelimelle haitallisia ohjelmia. [7]

CommWarrior leviää Bluetooth-yhteyden välityksellä erinimisinä asennustiedostoina. Tiedosto sisältää madon lisäksi myös asetukset, joiden avulla mato aktivoituu tiedoston asentamisen jälkeen. Aktivoiduttuaan CommWarrior alkaa etsiä muita Bluetooth-laitteita lähettäen kopion itsestään jokaiseen löytämäänsä laitteeseen. Kohdepuhelimen joutuessa Bluetooth-kantaman ulkopuolelle tai kohdepuhelimen käyttäjän hylätessä siirron mato etsii seuraavan saastutetavan kohteen. Näin se pystyy ottamaan yhteyden kaikkiin kantaman sisällä oleviin Bluetooth-yhteyden salliviin puhelimiin, mikä mahdollistaa nopean leviämisen. Mato on kuitenkin jostain syystä asetettu leviämään Bluetooth-yhteyden välityksellä puhelimen oman kellon mukaan vain klo 8.00-23.59 välisenä aikana. [7] Bluetooth-yhteyden kautta leviämisen lisäksi CommWarrior voi levitä lähettäen itseään puhelimen osoitekirjasta löytyviin numeroihin MMS-viesteinä kerryttäen nopeasti ison puhelinlaskun. Toiminta on siis hyvin läheistä sukua sähköpostimadoille. CommWarrior yrittää houkutella käyttäjän avaamaan liitteenä olevan asennustiedoston tarjoamalla houkuttelevia viestiaiheita. Asennuksen jälkeen mato leviää MMS-viestien välityksellä, mutta kuitenkin ainoastaan puhelimen oman kellon mukaan klo 00.00-06.59 välisenä aikana. [7]

CommWarrior vaikuttaisi olevan peräisin Venäjältä, sillä sen koodin sisältä on löydetty teksti ``otmopo3kam het---+++ ´´, joka vapaasti suomennettuna tarkoittaa ``ei aivokuolleille---+++ ´´. Kyseessä voi toki olla myös hämäys. CommWarrior havaittiin ensimmäisen kerran maaliskuussa 2005, mutta sen epäillään olleen liikkeellä jo saman vuoden tammikuusta saakka. Suomeen se saapui toukokuussa 2005. [10]

Haittaohjelmien leviäminen autoihin

Haittaohjelmien tarttuminen älypuhelimiin ja leviäminen niiden keskuudessa on osoittanut, että aiemmin haittaohjelmilta säästyneet tietojenkäsittelyn alueet eivät välttämättä ole enää turvassa. Autot joutuivat haittaohjelmien uhkaamiksi, kun venäläiseltä virustorjuntayhtiö Kasperskyltä pyydettiin tammikuussa 2005 ohjeita, joiden avulla voisi puhdistaa henkilöauton saastuneen ajotietokoneen. [3]

Henkilöautojen ajotietokoneiden epäilty altistuminen haittaohjelmille on suora seuraus älypuhelinten saastumisesta. Varmuus tästä saatiin, kun Kasperskyn tiedottamien tapausten todettiin johtuvan älypuhelimille tarkoitetuista haittaohjelmista. Henkilöauton ajotietokoneen epäiltiin saaneen tartunnan saastuneen älypuhelimen lähetettyä sille haittaohjelman Bluetooth-yhteyden välityksellä. Nykyään useissa paremman luokan henkilöautoissa Bluetooth-yhteyttä käytetään hands-free-toiminnon toteuttamiseksi yhdistämällä käyttäjän matkapuhelin Bluetooth-yhteyden välityksellä auton ajotietokoneeseen ja edelleen sitä kautta auton äänijärjestelmään. Bluetooth yhteyden lisäksi ajotietokoneissa käytetään myös osittain samoja ohjelmistoja kuin tietokoneissa. [11]

Henkilöautojen ajotietokoneiden saastuminen on siis teknisesti mahdollista älypuhelinten Bluetooth-yhteyden välityksellä, mutta tutkimuksista huolimatta vahvistusta tartunnalle ei kuitenkaan löydetty. Näyttäisikin siltä, että tällä hetkellä henkilöautot eivät ole vielä joutuneet haittaohjelmien uhreiksi. Virustorjunta-alaa kriittisesti tutkiva Rob Rosenberger syyttääkin virustorjujia ja mediaa hysterian lietsomisesta [4]. Tilanne saattaa kuitenkin muuttua ajotietokoneiden muuttuessa yhä älykkäämmiksi ja muilta tietojenkäsittelyn alueilta onkin laadittu osin humoristisiakin esimerkkejä tulevaisuudenkuvista. Tällainen on mm. bluetoothin käyttökohteita parodioivan Blueserker -verkkosivuston lentokoneisiin liittyvä [esimerkki | http://www.blueserker.com/html/modules.php?op=modload&name=News&file=article&sid=250]. [1].

Pelkkä uhkakin on kuitenkin jouduttu ottamaan tosissaan esimerkiksi tunnetussa kilpa-autosarjassa. Formula 1 -autojen ajotietokoneissa käytettiin aikaisemmin virustentorjuntaohjelmia, kun kommunikointi molempiin suuntiin kuljettajan ja varikon välillä oli sarjassa sallittua. Nykyisin säännöt kuitenkin kieltävät radioyhteyden ajon aikana autosta varikolle, minkä vuoksi ajotietokoneen saastumisen vaara on huomattavasti vähäisempi. Formula 1 -sarjassa kilpa-autojen ajotietokoneiden lisäksi myös niitä päivittävät tietokoneet on suojattu virustorjuntaohjelmilla kuten myös suurin osa muista varikolla olevista datankeräykseen ja -käsittelyyn tarkoitetuista tietokoneista. [11]

Kasperskyn saamat tiedustelut koskivat Toyotan omaa automallia sekä muutamaa Toyotan omistuksessa olevaa Lexus-merkkistä automallia. Kyseisiä haittaohjelmatapauksia tarkastellaan tarkemmin erillisellä sivulla.

Kasperskyn ilmoittama tartuntatapaus

Kaspersky virustorjuntayhtiöltä pyydettiin tammikuussa 2005 ohjeita virustartunnan poistamiseksi Toyotan ja sen omistamien kalliiden Lexus-henkilöautojen ajotietokoneista. Pyynnössä tuotiin Kasperskyn mukaan esiin Lexuksen mallit LX470, LS430 sekä Toyotan Landcruiser 100. [3] Tartunnan epäiltiin tapahtuneen saastuneen älypuhelimen Bluetooth-yhteyden kautta ja haittaohjelman epäiltiin olleen älypuhelimissa ensimmäisenä haittaohjelmana tavattu Cabir-kännykkämato. [4]

Toyotan ja Lexuksen virallisen vastauksen mukaan kyseisten mallien saastuminen ei ole edes teknisesti mahdollista, vaikkakin henkilöauton ajotietokone voisi periaattellisella tasolla ollakin haavoittuvainen. Perusteeksi Lexus esittää sen, että kyseisissä autoissa on suljettu ja sulautettu käyttöjärjestelmä, eikä Symbian-käyttöjärjestelmä, jossa Cabir leviää. Lexuksen viralliseen tiedotteeseen on kuitenkin asianosaisen ollessa kyseessä suhtauduttava hiukan epäillen. [4]

Toyotan selvityksen perusteella F-Securen mobiiliasiantuntijat vakuuttuivat, että ajotietokone on varsin hyvin suojassa viruksilta. Epäilyjen selitykseksi he löysivät kuitenkin yhden mahdollisuuden. Mikäli Cabirin saastuttama älypuhelin yrittäisi ottaa yhteyttä ajotietokoneeseen Bluetooth-yhteyden välityksellä, saattaisi se aiheuttaa virheilmoituksen ajotietokoneen ruudulle. Tällöin käyttäjä saattaisi luulla, että kyseessä olisi virustartunta, vaikkei todellista vaaraa olisikaan. [4]

Spekulaation poistamiseksi F-secure teki nimensä mukaisesti syvällistä tutkimusta tarkastelemalla Toyota Prius -henkilöauton ajotietokoneen turvallisuutta 42 metriä merenpinnan tason alapuolella muilta Bluetooth-laitteilta suojassa. [2] Lisäselvitystä testauksesta löytyy F-securen weblogista. [5]

Yhteenveto

Haittaohjelmat ovat viime aikoina vallanneet alaa uusilta tietojenkäsittelyn alueilta ja todistettavasti haittaohjelmia onkin löydetty esimerkiksi älypuhelimista. Näissä haittavaikutukset ovat toistaiseksi olleet kuitenkin suhteellisen vähäisiä, minkä vuoksi haittaohjelmien suurimpia vaikutuksia onkin niiden olemassaolon ja leviämiskyvyn aiheuttama pelko. Autot ovat sen sijaan ainakin toistaiseksi säästyneet haittaohjelmien aiheuttamilta vahingoilta, vaikka epäilyksiä aiheuttaneita tapauksia on ajotitetokoneiden joukossakin jo esiintynyt. Älypuhelimien saastuminen on kuitenkin osoittanut sen, että mikään tietojenkäsittelyn alue ei tulevaisuudessa tule säästymään haittaohjelmien vaikutuksilta, eivätkä autot todennäköisesti tule tässä suhteessa olemaan mikään poikkeus.

Lähteet


Työstä on esitetty useita kommentteja aiheen käsittelemiseksi nykyistä monipuolisemmin. Kaikkia hyviä ja kiitoksien arvoisia ehdotuksia ei työn laajuuden sallimissa rajoissa voitu kuitenkaan työssä ottaa huomioon. Tällaisia olivat mm. eri haittaohjelmien määritteleminen, haittaohjelmien leviämisen estämiseksi suunniteltujen keinojen esitteleminen, mobiilivirusten kehittämiseen liittyvien näkökulmien esittely sekä haittaohjelmien tulevaisuudessa uhkaamien tietojenkäsittelyn alueiden pohdinta.
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 06 Oct 2009 - 01:02:36 - JuhaPitkaenen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback