Perjantai-iltapäivänä maailmalle levitetty Wannacry-kiristysohjelma (viralliselta nimeltään Wana Decrypt0r 2.0) antaa esimakua tulevista kyberhyökkäyksistä. Näin helposti saadaan aikaan laajamittaista vahinkoa ja sairaaloissa jopa ihmishenget joutuvat vaaraan.
Tämä on ilmeisesti vain kyberrikollisten ovela kiristyskampanja, mutta entä jos samanaikaisesti levitettäisiin muitakin vastaavia hyökkäysohjelmia? Tai käytettäisiin aitoja nollapäiväaukkoja, joihin ei ole vielä korjauksia? Tai kyberhyökkäystä tuettaisiin oikeilla terrori-iskuilla? Tai... no, vain mielikuvitus on rajana.
Tällä hetkellä tiedetään, että kyseessä on varsin tavanomainen kiristysohjelma. Uutta on se, että kiristäjä hyödyntää NSA:n kyberaseen paljastamaa haavoittuvuutta ja leviää sisäverkossa itsenäisesti. Tarvitaan vain yksi varomaton työntekijä, joka avaa sähköpostin haitallisen liitteen, ja kaikki sisäverkon koneet voivat saastua.
Microsoft on korjannut aukon viime maaliskuun päivityksessä MS17-010. Aukko paikattiin kuukautta ennen kuin se tuli yleiseen tietoon huhtikuun 2017 Shadow Brokers -paljastuksen myötä ns. EternalBlue-haavoittuvuutena. Jos päivitykset ovat ajan tasalla, kiristäjä ei leviä uhrin konetta laajemmalle.
Kaikilla päivitykset eivät ole kunnossa: esimerkiksi brittien terveydenhuoltojärjestelmä on kokenut kovia, koska 90 % sen koneista on edelleen Windows XP -tasoa, jonka tuki loppui jo 8.4.2014 (yli kolme vuotta sitten). Pitäisiköhän olla EU-määräys, joka velvoittaisi myös britit huolehtimaan päivityksistä kriittisissä kohteissa? Luultavasti maanantaina siellä jaellaan potkuja kyberturvallisuudesta vastaaville tahoille. Terrorismi ei ole ainoa uhka kansalliselle turvallisuudelle eikä GCHQ:n verkkourkinta ainoa lääke.
Kiristäjä on iskenyt erityisesti Venäjälle, mistä voi päätellä jotain sen kotimaasta. Luultavasti ohjelmaa on levitetty aluksi paikallisiin sähköposteihin. Venäjä tiedetään kiristäjäohjelmien kotimaaksi, mutta monet aiemmat kiristäjät ovat tarkistaneet ensin maa-asetukset ja jättäneet venäläiset koneet rauhaan. Nyt isku osuu omaankin maahan, mikä toivottavasti saa vauhtia Kremlin ja paikallisen poliisin toimintaan.
Suomalaisista uhreista ei vielä näin lauantaiaamuna ole tietoja, mutta tekijät eivät ole unohtaneet meitäkään:
Tekijät vaativat 300 dollarin edestä bitcoineja (tuplahinta 15-19.5.2017 välisenä aikana), mikä on suhteellisen vähän. Aiemmat ohjelmat ovat vaatineet 1-3 bitcoinia, mikä tämänhetkisellä kurssilla tekisi 1500-4500 euroa. Ehkä alempi vaatimus saa useamman maksamaan. Katsoin, että erääseen ruutukuvassa näkyneeseen Bitcoin-osoitteeseen oli tehty 11 rahansiirtoa, yhteensä runsaan kahden Bitcoinin edestä (noin 3000 euroa). Tästä ei voi vielä päätellä paljoa, sillä tyypillisesti bitcoin-osoitteita generoidaan useita.
Jotain hyvääkin: nyt suomalaisilla organisaatioilla on tilaisuus pohtia ja harjoitella, miten olisi toimittu, jos perjantai-iltana alkanut kyberhyökkäys olisi osunut omaan yritykseen. Kenet hälytetään paikalle, kuka vastaa, kuka toimii, kuka tiedottaa?
Seuraavalla kerralla emme luultavasti pääse yhtä helpolla.
Ja yritykset hei: tiedottakaa työntekijöille ajoissa, etteivät avaa maanantaina töihin tullessaan MITÄÄN tiedostoliitettä! Inboxissa saattaa odottaa uinuvia pommeja.
Tämä on ilmeisesti vain kyberrikollisten ovela kiristyskampanja, mutta entä jos samanaikaisesti levitettäisiin muitakin vastaavia hyökkäysohjelmia? Tai käytettäisiin aitoja nollapäiväaukkoja, joihin ei ole vielä korjauksia? Tai kyberhyökkäystä tuettaisiin oikeilla terrori-iskuilla? Tai... no, vain mielikuvitus on rajana.
Tällä hetkellä tiedetään, että kyseessä on varsin tavanomainen kiristysohjelma. Uutta on se, että kiristäjä hyödyntää NSA:n kyberaseen paljastamaa haavoittuvuutta ja leviää sisäverkossa itsenäisesti. Tarvitaan vain yksi varomaton työntekijä, joka avaa sähköpostin haitallisen liitteen, ja kaikki sisäverkon koneet voivat saastua.
Microsoft on korjannut aukon viime maaliskuun päivityksessä MS17-010. Aukko paikattiin kuukautta ennen kuin se tuli yleiseen tietoon huhtikuun 2017 Shadow Brokers -paljastuksen myötä ns. EternalBlue-haavoittuvuutena. Jos päivitykset ovat ajan tasalla, kiristäjä ei leviä uhrin konetta laajemmalle.
Kaikilla päivitykset eivät ole kunnossa: esimerkiksi brittien terveydenhuoltojärjestelmä on kokenut kovia, koska 90 % sen koneista on edelleen Windows XP -tasoa, jonka tuki loppui jo 8.4.2014 (yli kolme vuotta sitten). Pitäisiköhän olla EU-määräys, joka velvoittaisi myös britit huolehtimaan päivityksistä kriittisissä kohteissa? Luultavasti maanantaina siellä jaellaan potkuja kyberturvallisuudesta vastaaville tahoille. Terrorismi ei ole ainoa uhka kansalliselle turvallisuudelle eikä GCHQ:n verkkourkinta ainoa lääke.
Kiristäjä on iskenyt erityisesti Venäjälle, mistä voi päätellä jotain sen kotimaasta. Luultavasti ohjelmaa on levitetty aluksi paikallisiin sähköposteihin. Venäjä tiedetään kiristäjäohjelmien kotimaaksi, mutta monet aiemmat kiristäjät ovat tarkistaneet ensin maa-asetukset ja jättäneet venäläiset koneet rauhaan. Nyt isku osuu omaankin maahan, mikä toivottavasti saa vauhtia Kremlin ja paikallisen poliisin toimintaan.
Suomalaisista uhreista ei vielä näin lauantaiaamuna ole tietoja, mutta tekijät eivät ole unohtaneet meitäkään:
 |
| Kiristäjän kielivalikoimassa on myös suomi. |
Jotain hyvääkin: nyt suomalaisilla organisaatioilla on tilaisuus pohtia ja harjoitella, miten olisi toimittu, jos perjantai-iltana alkanut kyberhyökkäys olisi osunut omaan yritykseen. Kenet hälytetään paikalle, kuka vastaa, kuka toimii, kuka tiedottaa?
Seuraavalla kerralla emme luultavasti pääse yhtä helpolla.
Ja yritykset hei: tiedottakaa työntekijöille ajoissa, etteivät avaa maanantaina töihin tullessaan MITÄÄN tiedostoliitettä! Inboxissa saattaa odottaa uinuvia pommeja.