Ohjelmista voi tulla haitallisia monilla tavoilla. Tahallisesti haitalliseksi tehtyjä voidaan tarkastella mm. seuraavista näkökulmista:
  • tekijät ja heidän tavoitteensa:
    • Taloudellisia ja suunnattuja tavoitteita -- eli viruksia on käytetty vähän samaan tapaan kuin mobiileja agentteja.
    • Kaikenlaiset kokeilijat ovat päässeet entistä helpommin liikkeelle viruksenkirjoitusohjelmien avulla ja tekemällä muunnoksia "tehokkaiksi" havaittuihin skriptikielisiin haittaohjelmiin.

  • syntynyt haitta:
    • Saman haittaohjelman eri muunnelmissa voi olla erilainen haittakuorma.
  • tekniikka
  • levinneisyys
  • torjunta
Kolmessa viimeksi mainitussa vertailukohdaksi voidaan ottaa asetekniikka tai biologiset mekanismit. Kaikki nämä riippuvat myös paljon tietoverkon ja ohjelmistojen kehityksestä.

Sikäli kuin haittaohjelmat ovat "koodiaseita", niihin pätee sama kuin tavanomaisiin aseisiin: yleensä tarvitaan paljon muutakin kuin räjähdysaine:
  • Virusten ja matojen keskeinen piirre on lisääntymiskyky:
    • Itsensä täsmällinen kopiointi on ohjelmointitekninen harjoitustehtävä, jota viruksen tekijät varioivat. Quine-sivulla on itsensä kopioivia ohjelmia eri kielillä. Lyhyempi kokoelma on esim. "Selfish Code"-sivulla".

  • Lisäksi viruksen/madon täytyy löytää kohteita, kulkea ja päästä niihin sisään, varoa paljastumista. On myös tarkastettava, ettei yritetä saastuttaa uudelleen jo tartutettua kohdetta. Kaikki pitäisi tehdä niin nopeasti, ettei torjunta ehdi kehittää immuunisysteemiään (biologisen analogian mukaan) ennenkuin levinneisyys on tarpeeksi suuri tavoitteiden kannalta.

Cassin artikkeli Anatomy of Malice (2001) esittelee tekniikoiden historiaa ja vuonna 1999 jyllänneen Melissan koodia ja sen rakennetta. Artikkelissa tuodaan esille, miten tässä sähköposti-Word-makroviruksessa on paitsi viruksen ja madon, myös Troijan hevosen piirteitä. Käyttäjät nimittäin halusivat saada dokumentin sisältämiä salasanoja aikuissivustoille ja suostuivat dokumentin avaukseen liittyvien makrojen suoritukseen. Vastaava troijalainen alkuilmiö liittyy moneen muuhunkin virukseen, jotka sitten varsinaisesti leviävät muilla mekanismeilla -- kuten sähköpostiohjelman osoitelistan perusteella Melissan tapaan.

Oliko Melissa siis virus, mato vai Troijan hevonen? Selvästi se oli muutakin kuin viimeksi mainittu. Yleisesti terminologioista ei olla kovin yksimielisiä. Samaan tapaan kuin haavoittuvuuksien kuvaamisen myös haittaohjelmille on esitetty erilaisia taksonomioita, joiden avulla voidaan täsmentää tiedotteita ja ehkä automaattiset toimetkin voidaan kohdistaa paremmin. Tietysti olisi tarpeen sopia yhdestä luokittelutavasta. Seuraavassa on esimerkkinä Karresandin taksonomia, joka pyrkii olemaan riittävän yleinen. Ainakin tästä saa käsityksen, miten monia piirteitä haittaohjelmilla voi olla.

  1. Tyyppi: atominen vai yhdistetty, eli voiko muissa piirteissä vallita useita samanaikaisia vaihtoehtoja.
  2. Loukkauksen kohde: "C", "I" vai "A" ja I:n eli eheyden tapauksessa erikseen sen mukaan tapahtuuko se parasiittisesti (tarttumalla tiedostoon) vai ei. Juuri se on nykyisten terminologioiden mukaisesti selkein erottelija virusten ja matojen välillä.
  3. Vaikutuksen kesto: tilapäinen vai pysyvä
  4. Kohteen valinta: ennalta säädetty vai autonominen
  5. Hyökkäyksen toteutus: välittömästi vai jonkin ehdon perusteella
  6. Toiminta-alue: paikallinen vai etäällä
  7. Vaikutuksen kohteena oleva data: paikallaan oleva vai liikkuva
  8. Käytetty haavoittuvuus: (i) jokin CVE- tai CAN-luettelossa oleva, (ii) jokin muu, (iii) ei haavoittuvuutta.
    Nykyisten terminologioiden ainoana yhteisenä piirteenä on Troijan hevosten osalta vaihtoehto (iii) tässä piirteessä -- toisin kuin (useimmiten) viruksilla ja madoilla.
  9. Lähteenä yksi vai hajautettu
  10. Kohteena yksi vai useita
  11. Alustariippuvainen vai ei
  12. Kopioinnin jälkeisen koodin tunnusmerkit: (i) monomorfinen, (ii) polymorfinen eli muunnelma alkuperäisestä, (iii) ei kopioitumista
  13. Hyökkäyksen tunnusmerkit: monomorfinen vai polymorfinen
  14. Tunnusmerkit passiivisessa tilassa: näkyvä vai piilotettu
  15. Tunnusmerkit aktiivisessa tilassa: näkyvä vai piilotettu
Tällaiset "anatomiset" luokittelut voivat ottaa kantaa vaarallisuuteen vahingon luonteen osalta mutta eivät tarttumiskyvyn. Erityisesti ne eivät selitä, miksi virusten/matojen leviäminen on tapahtunut aina vain nopeammin. Sen tutkimiseen voidaan tarvita epidemisiä malleja .

-- JukkaKoskinen? - 13 Oct 2010

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Harhasuoja
Miltä Tahallinen uhka
Missä Järjestelmä
Kuka Titu-ammattilainen
Milloin Päivittäin
Miksi Muu
Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r4 - 18 May 2011 - 14:52:19 - MarkoHelenius
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback