Virusturva ja palomuuri

Virustorjuntaohjelmistojen tarkoituksena on suojella tietokonelaitteita haittaohjelmilta, joihin kuuluvat mm. loogiset pommit, troijalaiset, takaovet, tietokonemadot, tietokonevirukset, vakoiluohjelmat sekä mainosohjelmat. Loogiset pommit (engl. logical bomb) koostuvat kahdesta osasta: tietosisällöstä, joka sisältää suoritettavan toiminteen, sekä kytkimestä, joka laukaisee tietosisällön, kun jokin ennalta määrätty ehto täytyy. Troijalainen (engl. trojan, trojan horse) puolestaan tarkoittaa viattomaksi naamioitua ohjelmaa, joka kuitenkin suorittaa taustalla vahingollisia toimenpiteitä. Takaovi (engl. back door) on mekanismi, joka ohittaa normaalit turvallisuustarkistukset ja päästää ulkopuolisen tahon sisälle järjestelmään. Tietokonevirukset (engl. virus) ovat haittaohjelmia, jotka suoritettaessa yrittävät monistaa itseään ja levittäytyä muihin tiedostoihin. Tietokonemadot (engl. worm) monistavat myös itseään, mutta ne eroavat tietokoneviruksista kahdella tavalla: ensinnäkin tietokonemadot ovat itsenäisiä haittaohjelmia, jotka eivät ole riippuvaisia muista tiedostoista, ja toiseksi ne leviävät tietoverkkojen avulla tietokoneesta toiseen. Vakoiluohjelmat (engl. spyware) ovat ohjelmia, jotka keräävät tietoja tietokoneesta ja lähettävät niitä hyökkääjälle. Mainosohjelmat (engl. adware) tuputtavat mainoksia ja saattaavat myös kerätä tietoja käyttäjästä mainosten kohdentamista varten.

Työasemakäyttöön tarkoitetuilla virustorjuntaohjelmistoilla on kaksi perustilaa: staattinen tiedostojen tarkastustila sekä dynaaminen reaaliaikainen tila. Reaaliaikaisessa tilassa ohjelmisto tarkistaa uudet tiedostot ennen kuin käyttäjä avaa ne ja ehkäisee siten muiden tiedostojen saastumisen. Staattisessa tilassa käyttäjä voi puolestaan suorittaa mm. koko kovalevyn tai muistitikun tarkistuksen. Kuukausittain ilmestyy jopa satoja uusia haittaohjelmia, ja siksi virustorjuntaohjelmiston virustietokantojen säännöllinen päivittäminen on tärkeää.

F-Securen tutkimusjohtaja Mikko Hyppönen (2012) paljasti, että viime vuosien kuuluisimmat haittaohjelmat Flame, Stuxnet ja DuQu toimivat pitkään ennen kuin tietoturvayhtiöt saivat niistä vihiä. Tietoturvayhtiöt eivät tunnistaneet Flamea ainakaan kahteen vuoteen sen ilmestymisen jälkeen. Tuona aikana se sai tarttua ja toimia rauhassa. Stuxnet ja DuQu puolestaan olivat aktiivisia yli vuoden, kunnes ne tulivat yleiseen tietoon. Kyseiset haittaohjelmat ovat länsimaalaisten tiedustelupalveluiden kehittämiä ja niitä käytettiin pääasiassa poliittisesti kriittisillä alueilla Iranissa, Syyriassa ja Sudanissa. Vaikka haittaohjelmat olisivat kohdennettuja, ne voivat kuitenkin riistäytyä käsistä ja aiheuttaa vahinkoa valittujen uhriensa lisäksi muillekin. Esimerkiksi Stuxnet-tietokonemato levisi ympäri maailmaa ja saastutti yli 100 000 tietokonetta etsiessään todellista kohdettaan, Iranin Natanzin uraanin rikastuslaitosta. Totuus on, että kuluttajaluokan virusturvaohjelmistot eivät tarjoa riittävää suojaa massiivisilla resursseilla toteutettuja, kohdennettuja haittaohjelmia vastaan. Ne suojelevat käyttäjiä vain tyypillisiltä haittaohjelmilta, kuten esimerkiksi pankkitroijalaisilta, näppäilyntallentajilta ja sähköpostimadoilta.

Palomuuri on järjestelmä, joka toteutetaan joko ohjelmisto- tai laitteistopohjaisesti. Se valvoo verkkojen välillä kulkevaa tietoliikennettä ja suojaa tietokonetta ulkopuolelta tulevilta hyökkäyksiltä. Perusedellytyksenä on, että kaikki verkkoliikenne kulkee palomuurin läpi ja että ainoastaan haluttu verkkoliikenne päästetään läpi. Palomuuri estää lisäksi palveluihin kohdistuvat hyökkäykset sekä erilaisia reititys- ja lähdeosoitteen väärennykseen perustuvia hyökkäystapoja. Hyvin konfiguroitu palomuuri suodattaa kaiken verkkoliikenteen ja oletusarvoisesti kieltää kaiken liikenteen. Suodatussäännöillä määritellään erikseen, mikä liikenne sallitaan ja mikä ei. Suodatussäännöt toimivat täten poikkeuksina oletussääntöön, jossa kaikki kielletään. Mikäli kaiken kieltävää oletussääntöä ei olisi, toimisi palomuuri ennemminkin reitittimen tavoin ja sallisi tällöin kaiken liikenteen.

Termi palomuuri tulee rakennus- ja autoteollisuuden seinä-käsitteestä, joka viittaa palon leviämistä estävän seinän rakentamiseen. Palomuuri rakennuksen tai auton moottoritilassa tarkoittaa fyysistä estettä palon leviämiselle. Verkkoturvallisuudessa palomuuri toimii kuvainnollisesti samalla periaatteella ja mikäli palomuuri jostakin syystä lukittuu tai menee virhetilaan, estää se kaiken verkkoliikenteen. Tätä ominaisuutta kutsutaan vikaturvallisuudeksi.

Perustavanlaatuisen tietoturvallisuuden saavuttamiseksi vähintään ohjelmistopohjainen palomuuri on ehdoton käyttöjärjestelmästä riippumatta. Monelle peruskäyttäjälle myös virustorjuntaohjelmisto on tärkeä suoja käyttöjärjestelmästä riippumatta. Haittaohjelmasta saastunut järjestelmä ei enää suojaa käyttäjän yksityisyyttä luotettavasti, eivätkä muut suojausmenetelmät ole silloin niin tehokkaita. Toisin kuin usein kuvitellaan, myös GNU/Linux- ja macOS-käyttöjärjestelmille on tehty lukuisia haittaohjelmia. Esimerkiksi elokuussa 2012 löydettiin ensimmäinen salasanoja varastava troijalainen BackDoor.Wirenet.1, joka on suunnattu sekä Linux- että macOS-käyttöjärjestelmille. Virustorjuntaohjelmistoja ja palomuuriohjelmistoja on saatavilla myös ilmaiseksi riisutumpina versioina, jotka ovat kuitenkin lähes yhtä tehokkaita kuin kaupalliset esikuvansa. Esimerkiksi tietoturvayhtiö Comodo tarjoaa virustorjuntaohjelmistoaan Linux-, macOS- ja Windows-käyttöjärjestelmille sekä tehokasta palomuuriohjelmistoaan Windowsille. Ohjelmistot voi ladata Comodon kotisivuilta. Windowsille ilmaista virustorjuntaohjelmistoa tarjoaa myös Avast. Tehokkaita virustorjuntaohjelmistoja etsiessä kannattaa tarkastella uusimmat testitulokset, joiden avulla skannereita voidaan kilpailuttaa. Riippumattomia testejä tarjoavat esimerkiksi AV-Comparatives, AV-TEST ja Virus Bulletin.

Osa virustorjunta- ja palomuuriohjelmistoista tarjoaa lisäksi ns. hiekkalaatikkotilan turvattomien tiedostojen tai ohjelmien käyttämiseen. Hiekkalaatikkotilassa ohjelman käyttö rajataan ennalta määrätylle kiintolevyn alueelle, joka on mahdollista tyhjentää käytön jälkeen. Tämä mahdollistaa turvallisen tavan kokeilla epäilyttäviä ohjelmia tai verkkosivuja. Mikäli ohjelma tai verkkosivu sisältääkin haittaohjelmia, eivät ne hiekkalaatikkotilan ansiosta pääse tarttumaan pysyvästi järjestelmään. Windows-käyttöjärjestelmille on saatavissa kaupallinen, mutta ilmaiseksikin täysin toimiva, Sandboxie-sovellus hiekkalaatikkotilan luomiseen.

Virustorjuntaohjelmiin ei kuitenkaan ole syytä luottaa sokeasti. Tietoturvayhtiöille ennestään tuntemattomia haavoittuvuuksia eli nollapäivähaavoittuvuuksia (engl. zero-day exploit) hyödyntävät hyökkäykset läpäisevät usein virustorjuntaohjelmistojen seulan. Tämän lisäksi itse virustorjuntaohjelmisto saattaa sisältää haavoittuvuuksia, joiden avulla hyökkääjä voi tunkeutua järjestelmään tai suorittaa haitallista ohjelmakoodia. Heinäkuussa 2014 Coseinc-tietoturvayhtiön tutkija Joxean Koret esitteli löytämiään haavoittuvuuksia useista eri virustorjuntaohjelmistoista. Vakavia haavoittuvuuksia löytyi kaikista suosituimmista virustorjuntaohjelmistoista. Tämän vuoksi virustorjuntaohjelmistot eivät tarjoa täyttä suojaa haittaohjelmilta ja saattavat pahimmassa tapauksessa haavoittaa järjestelmää entisestään. Käyttäjän ei siis kannata tuudittautua osittain valheelliseen turvallisuuden tunteeseen torjuntaohjelmien suhteen. Tietoturvatuotteita on suositeltavaa käyttää, mutta samalla on hyvä ymmärtää niiden rajallisuudet. Virustorjuntaohjelmistot suojaavat peruskäyttäjää useimmilta haittaohjelmilta, mutta taitava hyökkääjä saattaa kyetä hyödyntämään torjuntaohjelmistojen omia haavoittuvuuksia. Omilla toimillaan ja normaalilla varovaisuudella voi estää jo huomattavasti haittaohjelmien leviämistä järjestelmään. Haittaohjelmilta voi myös varmemmin välttyä käyttämällä virtuaalikoneita ja suojatumpia käyttöjärjestelmiä.