lauantai 13. toukokuuta 2017

Wannacry on esimakua oikeasta kyberhyökkäyksestä

Perjantai-iltapäivänä maailmalle levitetty Wannacry-kiristysohjelma (viralliselta nimeltään Wana Decrypt0r 2.0) antaa esimakua tulevista kyberhyökkäyksistä. Näin helposti saadaan aikaan laajamittaista vahinkoa ja sairaaloissa jopa ihmishenget joutuvat vaaraan.

Tämä on ilmeisesti vain kyberrikollisten ovela kiristyskampanja, mutta entä jos samanaikaisesti levitettäisiin muitakin vastaavia hyökkäysohjelmia? Tai käytettäisiin aitoja nollapäiväaukkoja, joihin ei ole vielä korjauksia? Tai kyberhyökkäystä tuettaisiin oikeilla terrori-iskuilla? Tai... no, vain mielikuvitus on rajana.

Tällä hetkellä tiedetään, että kyseessä on varsin tavanomainen kiristysohjelma. Uutta on se, että kiristäjä hyödyntää NSA:n kyberaseen paljastamaa haavoittuvuutta ja leviää sisäverkossa itsenäisesti. Tarvitaan vain yksi varomaton työntekijä, joka avaa sähköpostin haitallisen liitteen, ja kaikki sisäverkon koneet voivat saastua.

Microsoft on korjannut aukon viime maaliskuun päivityksessä MS17-010. Aukko paikattiin kuukautta ennen kuin se tuli yleiseen tietoon huhtikuun 2017 Shadow Brokers -paljastuksen myötä ns. EternalBlue-haavoittuvuutena. Jos päivitykset ovat ajan tasalla, kiristäjä ei leviä uhrin konetta laajemmalle.

Kaikilla päivitykset eivät ole kunnossa: esimerkiksi brittien terveydenhuoltojärjestelmä on kokenut kovia, koska 90 % sen koneista on edelleen Windows XP -tasoa, jonka tuki loppui jo 8.4.2014 (yli kolme vuotta sitten). Pitäisiköhän olla EU-määräys, joka velvoittaisi myös britit huolehtimaan päivityksistä kriittisissä kohteissa? Luultavasti maanantaina siellä jaellaan potkuja kyberturvallisuudesta vastaaville tahoille. Terrorismi ei ole ainoa uhka kansalliselle turvallisuudelle eikä GCHQ:n verkkourkinta ainoa lääke.

Kiristäjä on iskenyt erityisesti Venäjälle, mistä voi päätellä jotain sen kotimaasta. Luultavasti ohjelmaa on levitetty aluksi paikallisiin sähköposteihin. Venäjä tiedetään kiristäjäohjelmien kotimaaksi, mutta monet aiemmat kiristäjät ovat tarkistaneet ensin maa-asetukset ja jättäneet venäläiset koneet rauhaan. Nyt isku osuu omaankin maahan, mikä toivottavasti saa vauhtia Kremlin ja paikallisen poliisin toimintaan.

Suomalaisista uhreista ei vielä näin lauantaiaamuna ole tietoja, mutta tekijät eivät ole unohtaneet meitäkään:
Kiristäjän kielivalikoimassa on myös suomi.
Tekijät vaativat 300 dollarin edestä bitcoineja (tuplahinta 15-19.5.2017 välisenä aikana), mikä on suhteellisen vähän. Aiemmat ohjelmat ovat vaatineet 1-3 bitcoinia, mikä tämänhetkisellä kurssilla tekisi 1500-4500 euroa. Ehkä alempi vaatimus saa useamman maksamaan. Katsoin, että erääseen ruutukuvassa näkyneeseen Bitcoin-osoitteeseen oli tehty 11 rahansiirtoa, yhteensä runsaan kahden Bitcoinin edestä (noin 3000 euroa). Tästä ei voi vielä päätellä paljoa, sillä tyypillisesti bitcoin-osoitteita generoidaan useita.

Jotain hyvääkin: nyt suomalaisilla organisaatioilla on tilaisuus pohtia ja harjoitella, miten olisi toimittu, jos perjantai-iltana alkanut kyberhyökkäys olisi osunut omaan yritykseen. Kenet hälytetään paikalle, kuka vastaa, kuka toimii, kuka tiedottaa?

Seuraavalla kerralla emme luultavasti pääse yhtä helpolla.

Ja yritykset hei: tiedottakaa työntekijöille ajoissa, etteivät avaa maanantaina töihin tullessaan MITÄÄN tiedostoliitettä! Inboxissa saattaa odottaa uinuvia pommeja.

22 kommenttia:

Markus kirjoitti...

On tuossa microsoftissakin vikaa. Voisi melkeimpä sanoa, että tämä on suurelta osin microsoftin vikaa. Microsoft itse päätti olla tukematta vanhempia käyttöjärjestelmiä, vaikka kyseiset asiakkaan maksamat järjestelmät ovat vielä laajalti käytössä. On tietysti totta, ettei softafirma voi ikuisuuksia tuotteitaan tukea, mutta microsoft on nyt siitä poikkeava, että tuotteet ovat hyvinkin laajalti käytössä ja ovat kuitenkin maksaneet rahaa. Microsoft päättää lopettaa tuen, vain softan ikään perustuen. Ei käyttölaajuuteen.

Tässä nimenomaisessa tilanteessa microsoft on tiennyt tällaisen vaarallisen haittaohjelman olemassaolon, ja on tehnyt paikkauksen käytännöllisesti katsoen vain windows kympille. Eli siis sille Windowsille mikä on uusin, mutta ei kuitenkaan vielä laajalti yrityskäytössä! Microsoft on samaan aikaan tiennyt, että Windows XP ja Seiska on laajalti yrityskäytössä mutta näille ei ole tehty paikkausta, koska ovat vanhoja. Tai no seiskalle on varmaan tehty mutta vistalle ja kasille ei - paitsi nyt jälkikäteen kun maito on jo maassa... Näin on hullunkurinen tilanne. Yritykset luhistuu viruksen aiheuttamiin tuhoihin ja kotikäyttäjät taas ovat turvassa pääsääntöisesti, koska näillä on yrityskäyttäjiä uudempi softa ja rauta käytössä? (koska halpa kotikäyttörauta hajoaa ennenaikojaan, kotikäyttäjät pakotetaan niin uusimaan koneet jatkuvasti kuin sitten softatkin - päälle vielä pakkopäivitykset).

Yrityksiä taas ei voi pakottaa jatkuvasti uusimaan jo toimivaa infraa. Olen itsekin työskennellyt yrityksissä, missä on edelleen Windows XP käytössä... Se toimii ihan hienosti! Siinä päällä on sitten iso kasa softia, jotka on räätälöity nimenomaan kyseiselle yritykselle. Syy, miksi XP:tä ei ole päivitetty on nimenomaan nämä räätälöidyt erikoissoftat. Ei ole mitään takeita, toimisivatko ne edes seiskassa. Eikä sitä edes yritetä, koska firma pyörii ja työt tulee tehtyä. Kyseiselläkin firmalla on tuhansia toimipisteitä ympäri suomen, joten uusiminen olisikin aika härdelli. Myös erilaisia client-koneita on kymmeniä erilaisia. On varastoa on kassaa on sitä sun tätä... Miten tällainen nyt yhtäkkiä uusittaisiin johonkin kymppiin? Ja tällekään yritykselle ei tullut microsoftin turvapäivitystä vakavaan uhkaan koska se vain on niin vanha käyttis...

Eli siis pidän microsoftia itseään suurimpana syyllisenä tähän... Toisena tulee tietysti nämä haitakkeen tekijät...

Markus kirjoitti...

Lisäyksenä vielä. Ja kuten mainitsin, tässäkin tapauksessa microsoft siis JÄLKEENPÄIN, kun tuhot jo on ympäri maailman, julkisti paikkauksen vielä näille vanhemmille käyttiksille. Mutta siis tämän tasoiseen uhkaan olisi pitänyt kyllä päivitys julkistaa jo silloin kun se paikattiin kympistäkin... Päiviä aikaisemmin ennen kuin tuhot tulivat...

Microsoftin pitäisi siis ottaa tosiasiallinen käyttötilanne huomioon, eikä vain koittaa väkisin puskea kuin käärmettä pyssyyn "me ei enää tueta, nyt jos te haluatte päivityksiä teijän pitää päivittää kymppiin"... Kun maailma ei toimi noin.

Tämän vuoksi siis, microsoft on syyllinen tähän onglmaan.

Petteri Järvinen kirjoitti...

Windows Vista, 7 ja 8.1 saivat päivityksen jo keväällä:

"Customers who are running supported versions of the operating system (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10, Windows Server 2012 R2, Windows Server 2016) will have received the security update MS17-010 in March. If customers have automatic updates enabled or have installed the update, they are protected."

Markus kirjoitti...

Voisin kertoa esimerkkinä yhden pikkusovelluksen, mikä ei uudemmilta windowseilta taivu. Eräs suomalainen iso iso firma, tuhansia työntekijöitä ja toimipisteitä ympäri suomen käyttää vanhaa kunnon ACTIVE DESKTOPIA hurjan kätevästi. Tämä siis kaivaa yrityksen intranetista weppisivunpätkän, missä on kaikki työntekijöille oleelliset tärkeät tiedot, kuten tukipuhelinnumerot, palkanmaksu, mikrotuki, esimiehet yms. Jos jokin tieto vaihtuu, vaihdetaan vain sitä nettisivua ja se "vyöryy" ympäri suomen joka työaseman taustakuvaksi... XP siis käytössä.

Ei onnistuisi kympillä... Sielä olisi liljankukkaa taustakuvana tai windows logoa. No tottakai tämän voi aina vaihtaa johonkin toiseen muotoon, kuten sisäiseen intranet-nettisivuun tai vastaavaan. Mutta ei se nyt ole pelkkä vaihdos. Asia on ollut kuitenkin käytössä jo sen kymmenen vuotta ja työntekijät ovat tottuneet tähän nimenomaiseen tapaan... Muutos pitää kouluttaa ja kertoa jotenkin ympäri suomen joka ikiselle työntekijälle, joka ikisessä toimipisteessä... Jotkin työntekijät on vaikeampia ja jotkut omaksuu uuden tiedon heti. No tämä nyt vain yhtenä pienenä esimerkkinä siitä, minkälaisia pieniäkin lieveilmiöitä käyttiksen päivityksestä tulisi. On tietysti päivän selvä asia, että rautapuoli kyseisessä yrityksessä on ihan nykyaikaista vaikka softapuoli onkin XP-pohjaista. Ja jossain vaiheessa kaikki tämä tulee tietysti vaihtumaan, omana miljoonia maksavana hankkeenaan sitten joskus. Ei silloin kun microsoft niin päättää, vaan sitten kun on tehty kaikki valtava taustatyö... Driverit, oheislaitteet ja jopa näinkin pieni asia, kuin, että miten tulevaisuudessa työntekijöille kerrotaan kaikki tärkeät henkilöt ja puhelinnumerot...

Anonyymi kirjoitti...

@Markus

Tekisi mieli todeta vain pitkästä tarinastansa, että "itke mulle joki", mutta vakavammin olet siis sitä mieltä, että jonkun firman joka tässä tapauksessa siis on Microsoft tulisi tukea tietoturvakorjausten muodossa jotain kerran julkaisemaansa ohjelmistoa ns. maailman tappiin niin kauan kun sitä vain joku haluaa johonkin käytttää?

Microsoft ei ole koskaan ollut erityisesti kovin korkealle arvostamani yritys, mutta siitä huolimatta oletat ja pyydät minusta kyllä aika mahdottomia. Mietipä edes hetki kuinka kenelläkään olisi varaa ottaa riskiä ja jatkaa ohjelmistobisneksessä nykyisillä lisenssihinnoilla jos tuon kaltaiset bisnesriskit realisoituisivat. Lähes kaikki Hello World ohjelmia monimutkaisempia ohjelmia on teoreettisesti ja käytössä vaikea osoittaa etteivät ne sisällä tietoturvaongelmia ja sen takaaminen hamaan tulevaisuuteen sitoutuen aina ja ehdoitta korjaamaan nopeasti on käytännössä mahdoton vaatimus oli sitten ohjelmiston tekijä iso monikansallinen koglomeraatti, sivutuloja saava harrastelija tai mitään siltä väliltä.

Ohjelmistoja käyttöönotettaessa niiden käyttöehdoissa sovitaan ja sopimus kattaa molempien puolien oasalta oikeudet ja velvollisuudet, muuta et voi ohjelmiston lisensoineena käyttöoikeuden saaneena olettaa ja kuvitella vaivasi vaatia enemmän, olosuhteista riippumatta.

Lisäksi kannattaa muistaa, että kuluttaja on eri asemassa kuin muut. Kuluttajan suoja on parempi kuin B2B tilanne. Edelleen, hyvin suuri osa Windowsin käyttäjien lisensseistä on OEM lisenssejä, joten he ovat saaneet windowsinsa laitetoimittajalta, joka on sopinut Microsoftin kanssa vastaavansa Windowsista kuin se olisi heidän oma tuote, virhevastuuta pitäisi vaatia oikealta taholta ja Microsoft ei edes näissä tapauksissa ole suoraan vastuullinen lisenssin haltijalle.

Mutta palatakseni asiaan, niin kyllä siellä firmoissa joissa XP on vielä yleisessä käytössä on tai olisi ollut jo pitkään aika katsoa peiliin syyllisen löytämiseksi, eikä yrittää vierittää vastuuta ongelman korjaamatta jättämisestä muualle. Se on vielä jokseenkin ymmärrettävää ja anteeksi annettavaa, että yksittäiset toisistaan hyvin eristetyt mittalaitteet tai vastaavat upotettua versiota käyttävät jatkavat XP:n käyttöä kun se on vielä tuen piirissä, mutta kyllä sielläkin pitäisi olla hereillä sen verran että on a) suunnitelmat päivittämiselle ja sen lisäksi myös b) varauduttu resurssien osalta vaihtoon tarvittaessa nopeallakin varoitusajalla.

Työpöytäkäytössä tuhansissa koneissa ympäri suomen, kertoo ettei kyseisessä paikassa ole asiansa osaavia ihmisiä johdossa samoin kun sekin että asioiden on vuosien myötä annettu ajautua tilaan jossa ollaan hirttäydytty johonkin active-desktop kaltaiseen josta,ei muka voida helposti (eh) luopua -- kaikkea sitä kuuleekin. Olen varsin ymmärtäväinen ja kärsivällinen ihminen luonteeltani, mutta tuollaiseen itse törmätessäni johtajana näkisin vain ICT:stä vastuullisten vaihto heti osaaviin tai lähtisin itse saman tien erimielisyyksiin vedoten.

Petteri Järvinen kirjoitti...

Microsoft tuki XP:tä 13 vuoden ajan, onko se paljon vai vähän? Nykyään tekniikka on stabiloitunut niin, että samoilla pärjätään pidempään kuin ennen.

Active Desktop on jo 20 vuotta vanhaa tekniikkaa. Ovatko yrityksen muutkin tietojärjestelmät samaa ikäluokkaa? XP:tä ei ole saanut vuosiin, joten koneidenkin täytyy olla todella vanhoja. Mitä selaimia niissä käytetään, eihän mikään moderni ja turvallinen selain enää tue XP:tä. Käyttöjärjestelmän lisäksi kaikki muukin on IT:ssä muuttunut.

Uuden oppiminen olisi henkilökunnalle työlästä? Millähän alalla firma toimii, jos sen henkilökunta ei pysty oppimaan uutta vaan tekee edelleen työt samalla tavalla kuin 20 vuotta sitten?

Markus kirjoitti...

Petteri Järvisen jos kenen pitäisi tietää, että isoilla yrityksillä voi olla tällä hetkelläkin käytössä jopa 40 vuotta vanhoja pohjajärjestelmiä. Esimerkiksi Nordea pankki, vasta nyt tekee satojen miljoonien investointia kun uusii tuota ikivanhaa corea... Kansaneläkelaitos nyt vasta luopuu keskuskoneistaan... Siis niistä IBM:n koneista mitä aikoinaan pidettiin vähän korruptiokoneina... Kun se mystisesti oli aina se "voittaja" kilpailutuksissa.

Teliasoneran suomen (posti-telen aikainen) runkojärjestelmä on tiedon tekemä merkkipohjainen muinainen ... Terveisiä NMT-ajoilta. Järjestelmän nimi on NAK... Sitä käytetään asiakaspalveluissa vieläkin ssh terminaali-yhteydellä...

En oikein ymmärrä, minkälainen tietotekniikan asiantuntija edes keskustelee asiasta, jos jossain firmassa on peräti 10 vuotta vanhoja XP-järjestelmiä vielä käytössä? Olkoot Active desktop vaikka 50 vuotta vanha asia, silti tämä nyt vain on tuossa nimenomaisessa yrityksessä noin mainiossa käytössä! Koneet on tietysti ajanmukaisia, mutta softan pitää olla hieman vanhempaa kun se on kytköksissä windows embedded järjestelmiin, sekä laitteisiin, joihin ei uudempiin windowseihin ole ajureita, kuten esimerkiksi etäviivakoodinlukijoita yms. sitten vielä soppaan erilaisia varastonhallinta, inventointi, kassajärjestelmiä, jotka on terveisiä 2000-luvun alulta - eli XP-ajalta. Miksi tämä yritys sotkisi pakkaa kun pitäisi tehdä sitä liiketoimintaakin? Minähän kirjoitin tuolla, että KONEET on kyllä ajanmukaisia! Kaikki toimi kuin sveitsiläinen kello. Ainakin siis työasemat ja palvelimet... Mutta softapuoli on sitä mitä se on kun lafkalla on tuhansittain tavaraa varastossa ja työntekijöitä niitä käsittelemässä... Tällöin ei näin vaan nyt "windowsia päivitetä" kun koko infrahan sielä pitää uudellenrakentaa. Tietokanta voi olla jokin aivan mystinen aikoinaan kilpailutettu outous. Vielä eri osa-alueissa erilainen. Sisäverkko (suomen laajuinen) on itsessään jo uskomaton härdelli... Kyllähän sinun petteri tämän luulisi nyt ymmärtävän???

Anonyymi kirjoitti...

Esim. Arch Linux on julkaistu reilusti ennen XP:tä ja on vieläkin tuettu eikä loppua näy, onko se paljon vai vähän?

Markus kirjoitti...

Mitä tulee muuten järjestelmän ytimien uusimiseen, teliasoneran kilpailijalla elisalla on tästä karvaita kokemuksia. Sehän uusi 2008 huiteilla radiolinjan aikaisen IO pohjan uuteen. Siitä tuli kaksi vuotta kestävä helvetti, kun mikään ei toiminut kunnolla.

Muistan itse kun olin palavereissa missä seliteltiin, että "kaikki on testattu ja toimii huomisesta alkaen viimisen päälle"... Minä sanoin, että niinköhän......... Ja loppu on historiaa.

Petteri Järvinen kirjoitti...

Petteri Järvisen jos kenen pitäisi tietää, että isoilla yrityksillä voi olla tällä hetkelläkin käytössä jopa 40 vuotta vanhoja pohjajärjestelmiä.

Toki voi olla, mutta silloin yrityksellä on a) oma henkilökunta, joka pystyy ylläpitämään järjestelmää alusta pitäen tai se b) maksaa erikseen päivityksistä niiden tekijälle. Microsoft on jatkanut XP-päivityksiä suurille yrityksille lisämaksusta.

Maailma on muuttunut. Ennen keskuskoneet ja Cobol-sovellukset toimivat kymmeniä vuosia (muistetaan vain Y2K-ongelmia), mutta nyt kun koneet ovat netissä ja tietoturva oleellisen paljon hankalampaa kuin vielä 20 vuotta sitten, vanhojen järjestelmien ylläpito käy vaikeaksi, elleivät ne ole täysin suljettuja. Jos XP-koneet eivät ole yhteydessä ulkomaailmaan, niissä voi aivan hyvin olla XP.
Mutta työasemina, joilla surffataan netissä tms. niin XP arveluttaa.

Active Desktopiin perustuva intranet kuulostaa tänä päivänä melkoiselta viritykseltä. Kannattaisiko palkata joku opiskelija tekemään kesätyönä uusi, parempi systeemi?

Anonyymi kirjoitti...

"Windows Vista, 7 ja 8.1 saivat päivityksen jo keväällä..."

Kiitos tästä tiedosta. W7:n käyttäjänä olenkin etsinyt päivitystietoa. Ei tarvitse etsiä enää.

Anonyymi kirjoitti...

jonkun valtion tekemä hyökkäys tai valtion tekemillä työkaluilla hyökätään, näin näissä jutuissa valitettavasti on 90% nykyään.

Markus kirjoitti...

Edelleenkin. Vanha kunnon sanonta. "Jos se toimii - älä korjaa". Niin se active desktop ei ole suoranainen intranet, se on vain työpöydän taustakuva. Kertoo kaiken oleellisen. Se opiskelija palkataan ihan varmasti sitten, kun pakosta järjestelmä muutenkin uusitaan. Todennäköisesti asiassa odotetaan lähempää hetkeä windows embeddedin tuen päättymistä... No ei sitä opiskelijaa sitten palkata mutta kun systeemin tarkoitus on vain olla informatiivinen ja kun siinä koko järjestelmän kertauusimisessa tulee sitten koulutettavaksi kaikki muutkin uudet asiat, silloin on tietysti luonteva hetki uusia myös tuo työtapa. Onhan päivänselvä asia, että JOSSAIN vaiheessa koko roska menee uusiksi ja XP aikojen saatossa tulee ihan luonnollisesti kuolemaan pois.

Seuraava onkin sitten se Windows 7 missä on sama ongelma. On tällä hetkellä tietysti jopa paljon laajemmalti käytössä, voisin väittää, että ehdottomasti yleisimmin käytössä kaikista mitä olen nähnyt. Niin terveyskeskukset, kuin sairaalatkin täynnä. Samoin oppilaitokset yms.

Edelleenkin alun alkaenkin hain sitä takaa, että microsoftin syytä asia on juuri siksi, kun ilmeisesti microsoft olettaa, että firmat pistää kaiken uusiksi aina viiden vuoden välein? Tai vaikka 13... Todellisuudessa nämä asiat menee paljon hitaammin. Tottakai rautaa uusitaan, mutta se softapuoli mitä on käytetty vuosikymmenen, ei niitä niin vain uusita. Kaikkein raskain uusiminen on edessä, jos jokin muinainen tietokanta pitää pahimmillaan käsin siirtää johonkin modernimpaan. Suurimpana riippakivenä koko ajan ei ole se vanha XP ... vaan nuo vanhat erikoisohjelmat! Varsinkin tietokanta-sellaiset. Juuri XP:n tulo aikana oli koneiden ja ohjelmistojen uusiminen ja varsinainen käyttöönotto kiivaimmillaan ja varsinkin tuohon aikaan tuli mitä mystisempiä virityksiä, on ihmeellisiä kirjanpito-ohjelmia, varastonhallintaohjelmia yms jotka suostuu toimimaan vaikka vain yhdenlaisen skannerin kanssa tai vastaavaa. Tämä on se suuri ongelma. Eikä tietystikään sitä verottajankin vaatimaa kirjanpitoa sitten saa millään ilveellä helposti siirrettyä johonkin nykyaikaiseen ratkaisuun... Joidenkin ohjelmien tuottajat on kadonnu aikoja sitten ja installerissa saattaa olla esto, että ohjelmaa ei saa asennettua edes seiskaan! Joitain saa ohitettua tai siirrettyä tiedostoina ... Joitain ei millään ilveellä. Pahin on tietysti myös sitten, että työntekijät pitää kouluttaa käyttämään sitä uutta ratkaisua, joka on usein aivan erinäköinen ja toimii täysin eri tavalla, mitä se vanha. Onko jokin ihme, että firma mielummin venyttää asiaa niin viimeiseen asti, kun XP:tä yksinkertaisesti ei enää saa asennettua?

On totta, että nämä XP järjestelmät on mitä enenevissä määrin suljettuja. Etupaneelin USB-paikat on irrotettu emolevyltä. Ei ole pyörittäviä asemia, ja nettisurffailu on tehty mahdottomaksi. Samoin näillä koneilla ei ole tarkoitus rämpätä missään netissä. Jos työntekijä ei näitä asioita usko, saa potkut. Noilla koneilla ei ole tarkoitus surffata netissä tai sähköpostissa, vaan vain käyttää esimerkiksi sitä varastonhallintaohjelmaa tai tarkistaa jotain firman sisäisestä tietokannasta.

Eräästä sairaanhoitopiiristä oli juuri esimerkki, kun työntekijä sai potkut vain siitä hyvästä, että oli mennyt laittamaan muistitikun työkoneeseen kiinni. Nämä asiat voi olla näin ankaria.

Minä en usko, että kyseisten yritysten XP käytöstä tulee mitään ongelmia tämän haittaohjelman kanssa.

Markus kirjoitti...

Otetaan pienenä kevennyksenä hauskuutta hieman. Suurin ongelmallisin ohjelma, mistä tulee eniten sanomista ... ja vieläpä vanhoilta naisilta... Kuka haluaa vanhan konttori kottaraisen kimppuunsa?

Varmin tapa tehdä tämä, on mennä laittamaan "uusi" office (word, excel...) hänen työkoneellensa. Kaikkein ihmeellisin valituksen aihe mitä edelleen saa jatkuvasti kuulla on tuo officen RIBBON valintanauha...

Se ei vain kelpaa näille. On liian vaikea ja mitään ei löydy ja ...

Ei muuta, mutta uusin versio, missä kyseistä ribbonia ei ollut, on office 2003. Niin 14 vuotta sitten julkistettu. Alkaa olla vähän vanha versio jo. Vaikea löytää mistään ja lisenssiä saa mistään eikä siihen ole tietysti mitään tukea ja päivityksiä. No niissä xp koneissa tätä vielä tapaa, mutta ongelmia tulee jos kone menee rikki...

Mutta niin, nämä on koulutettu siihen officen vanhaan palkkiin. Sen avulla nämä työntekijät löytää helposti sen mitä tarvitsevat.

Tuntuu jotenkin, että tietotekniikka innostus oli kiihkeimmillään juuri tuossa XP:n tulo aikaan. Silloin kouluteltiin datanomeja liukuhihnalta, nokia-huuma oli kuumimmillaan, ihmiset oli innostuneita oppimaan uutta. Firmat panosti tietotekniikkaan ja juuri tuolloin uudistettiin järjestelmät "nykyaikaisiksi". Tilattiin kalliita erikoisratkaisuja (jotka nyt on osoittautunu riippakiviksi). Tämän jälkeen kaikki on vähän lässähtänyt. Ei ole enää budjetteja. Ei sitä omaa henkilökuntaa ylläpidossa. Nuo 2000-luvun alun kovalla rahalla ostetut erikoisratkaisut voi olla käytössä vain sen vuoksi, kun firmoja ei huvita enää panostaa, ja uusiminen maksaisi "liikaa"... Laitteita uusitaan vain pakon edestä. Työntekijät muutenkin vaihtuu koko ajan, joten niitä ei viitsitä kouluttaa ja vanhat ei halua kouluttautua... Vähän sellanen apaattinen ilmapiiri. Tällä siis on myös tekoa, miksi eivät viitsi varmaankaan edes noin yksinkertaista kuin sitä active desktopia vaihtaa johonkin toiseen työtapaan. Ainakaan kuin vasta sitten kun koko roska menee pakosta uusiksi. Tai vanha helena valittaa kun on tottunu käyttämään niitä nappeja ja valikoita wordissa........

Anonyymi kirjoitti...

Tästä uudesta haitakkeesta ei ole pahemmin julkaistu esimerkkejä siitä, minkälaisten viestien tai liitteiden kylkiäisenä se on levinnyt. Miksi ei?
Vai onko niitä leviäimistapoja ollut niin monta erilaista?

Petteri Järvinen kirjoitti...

Leviämistapa on ollut epäselvä. Alkuperäisistä tiedoista poiketen ohjelma onkin ilmeisesti levitetty suoraan suojaamattomiin koneisiin eikä kyse ole perinteisestä tiedostoliitteestä - mikä tekee entistä ihmeellisemmäksi sen, että kiristäjä on päässyt mm. NHS:n koneisiin näin laajasti. Miksi palomuurit ovat pettäneet?

Saamme varmasti tarkempia tietoja leviämismekanismista lähiaikoina.

Anonyymi kirjoitti...

Nyt leviävä haitake käyttää NSA:lta varastettua ETERNALBLUE -exploittia.

https://github.com/misterch0c/shadowbroker/tree/master/windows/specials

http://www.hackingtutorials.org/exploit-tutorials/exploiting-eternalblue-for-shell-with-empire-msfconsole/


Se leviää SMBv1 ja NBT (Netbios over TCP/IP) TCP porttien 445 ja 139 kautta.

Vinkki: kannattaa ymmärtää vastustaa uteliaisuutta ja kiusausta lähteä ajelemaan noita ekan linkin takaa löytyviä ohjelmia itse muuten kuin hyvin valmistautuneena ja täysin suljetussa labraverkossa ...

Anonyymi kirjoitti...

Joissakin vanhemmissa mittalaitteissa saattaa olla ohjaus- ja analytiikkapuolella hyvinkin vanhoja käyttöjärjestelmiä, ihan siitä syystä ettei ohjelmistoja ole koskaan portattu uudempiin Windowseihin. Kun lähdekoodia ei ole ja valmistajakin on jo häipynyt unholaan tai tarjoaa vain uudempien laitteiden hankkimista, niin mikäpä eteen? Tiedän tapauksen, jossa MS DOS:ille tehtyä analysointiohjelmistoa sitten pyöritettiin Linuxilla DOS-emussa :)

On toki totta, ettei tuollaisia laitteita kannata laittaa netistä tuleville hyökkäyksille alttiiksi.

Petteri Järvinen kirjoitti...

On kohtuutonta, mikäli Microsoft (tai mikään muukaan valmistaja) alkaisi pakottaa asiakkaita vaihtamaan toimivia koneita uusiin vain siksi, että heidän mielestään ohjelman elinkaari on päättynyt. Asiakkaan pitää saada itse valita, milloin päivittää vai päivittääkö lainkaan. Mutta tietenkään vanhoja koneita ei pidä laittaa paikkoihin, joissa ne voivat haitata yritystä ja pahimmillaan ulkopuolisiakin käyttäjiä.

Anonyymi kirjoitti...

Mitähän yritykset meinaavat jatkossa tehdä kun Win10 päivittyy väkisin kerran vuodessa jollain creators packilla, joka varmasti särkee jotain vanhaa.

Tietoturvapätsit on asennettava kaikki, koska jatkossa ne tulevat rollup tyyppisesti, joten ei ole mahdollista poimia haluamiaan ja jättää asentamatta niitä mitkä aiheuttavat ongelmia vanhoille softille.

Eiköhän jokin virtualisointitalo ala myymään ratkaisua, joka auttaa kyseisiin ongelmiin, mutta halpaa sekään ei ole.

Win7 pätsit eivät myöskään asennu koneisiin, joissa on liian uusi rauta, joten kyllä MS nyt kummaltakin suunnalta patistaa yrityksiä siirtymään Win10 käyttäjiksi.

Sebastian Tankkeri kirjoitti...

Applekin tekee tuota eli vanhempia ohjelmistoja ei saa päivitettyä ellet päivitä koko käyttöjärjestelmää. Mahdollistaahan se vanhojen käyttisten käytön pitkälle tulevaisuuteen mutta joku vastuu luulisi ohjelmistojen tekijälläkin olevan. Tuntuu hassulta, että nelisen vuotta sitten MS ilmoitti kaiken päivityksen päättyvän XP:lle mutta toisin kävi. Se tuntui olevan vain uhkaus saada vaihtamaan uudempaan käyttöjärjestelmään.

Anonyymi kirjoitti...

Itse nyt vuoden alusta eläkkeelle jääneenä IT asiantuntijana voin sanoa, että Windows 7 on ensimmäinen MS käyttis joka pudotti it tuen tarvetta todella runsaasti.

XP käyttis piti uudelleenasentaa pari kertaa vuodessa jotta sen sai pysymään sujuvana. Win7 ei käytännössä tarvitse juuri lainkaan uudelleenasennusta. Samoin 64 bittisyys joka sallii isojen muistimääärien käytön on valtava etu.

Window 7 -> Window 10 siirtyminen on taas aika helppo nakki.

Olen ollut mukana parissa isossa Windows 7 rolloutissa (Xp ->W7) ja hyvin suunniteltuna siinä ei ole ongelmaa.

Website Security Test