Vakoiluohjelma

Vakoiluohjelma eli spyware on termi jolla kuvataan haittaohjelmaa, joka kerää tietoja ohjelmaa suorittavasta tietokoneesta ja tietokoneen käyttäjästä ilman käyttäjän suostumusta ja välittää ne toiselle taholle. Tiedot voivat olla esimerkiksi käyttäjän selailemia internet-osoitteita, sähköpostiosoitteita tai luottokorttitietoja. Tyypillisesti vakoiluohjelma asentuu tietokoneeseen jonkin ilmaisohjelman ohessa käyttäjän tietämättä. Tällainen ilmaisohjelma on tavallisesti myös mainosohjelma. Spywarea saattaa tarttua koneeseen myös joiltakin www-sivuilta, joista yleisimpiä ovat porno- ja tiedostojenjakosivut.^[1]

Historia ja kehitys

Ensimmäinen termin vakoiluohjelma kirjattu käyttö tapahtui 16. lokakuuta 1995 Usenetissä olleessa viestissä, jossa tehtiin pilaa Microsoftin liikemallista. Vakoiluohjelmalla alettiin myöhemmin viitata vakoiluvälineisiin, kuten pieniin kameroihin. Vuoden 2000 alussa Zone Labsin perustaja Gregor Freud kuitenkin käytti termiä ZoneAlarm Personal Firewallia koskevassa lehdistöjulkaisussaan.^[2] Siitä lähtien vakoiluohjelmalla on tarkoitettu juuri nykymerkityksen mukaista haittaohjelmaa.

Vuoden 2000 alussa Steve Gibson huomasi mainostukseen tarkoitetun ohjelman asennettuna järjestelmäänsä ja epäili, että ohjelma varasti hänen henkilökohtaisia tietojaan. Tutkittuaan ohjelmaa hän päätteli niiden olevan Aureate- (myöhemmin Radiate) ja Conducent-nimisten yritysten mainosohjelmia. Myöhemmin hän peruutti syytöksensä, jonka mukaan ohjelmat olisivat keränneet tietoa ilman käyttäjän tietoisuutta, mutta tuomitsi mainostoimistot ohjelmien salakähmäisestä asennuksesta ja niiden poistamisen tarkoituksellisesta vaikeudesta. Tekemänsä analyysin perusteella Gibson julkaisi ensimmäisen Anti-Spyware-ohjelman, OptOutin.^[2]

Vuodesta 1999 vuoteen 2004 levisi Internetissä lapsille kohdistettu vakoiluohjelma BonziBUDDY. Ohjelman ikoni oli violetti animoitu gorilla, joka ohjelman virallisten sivujen mukaan tutkisi Internetiä yhdessä käyttäjänsä kanssa. Consumer Reportsin Web Watch määritteli BonziBUDDYN vakoiluohjelmaksi, koska se keräsi tietoja käyttäjästä. Ohjelma muun muassa jatkuvasti asetti käyttäjän selaimen kotisivuksi bonzi.comin käyttäjän tätä haluamatta, tarkkaili ja seurasi useita käyttäjän tietoja sekä näytti toistuvasti mainoksia sen mukaan millä sivuilla käyttäjä oli vieraillut.^[3]

Lokakuussa 2004 AOL:n ja National Cyber-Security Alliancen tekemän tutkimuksen mukaan 80 %:ssa tarkkailluista tietokoneista oli jonkinlainen vakoiluohjelma ja keskimäärin 93 vakoiluohjelmakomponenttia koneessa. 89 % tarkkailluista käyttäjistä ilmoitti, ettei ollut tietoinen ohjelman olemassaolosta ja 95 % etteivät he olleet antaneet lupaa ohjelman asentamiseen.^[4]

Vuodesta 2006 alkaen vakoiluohjelmat ovat olleet yksi suurimmista turvallisuusriskeistä Microsoft Windows -käyttöjärjestelmässä toimiville tietokonejärjestelmille. Asiakkaiden lähettämien kartoituslokien perusteella Spy Sweeperin valmistaja Webroot Software, ilmoitti yhdeksän kymmenestä internetiin yhdistetystä koneesta olevan vakoiluohjelman saastuttama^[5] ja että tarkkailluista 86 % kärsii taloudellisia tappioita vakoiluohjelman vuoksi. Tietokoneet, joilla Internet Explorer toimii ensisijaisena selaimena ovat kaikkein alttiimpia tällaisille hyökkäyksille.^[6] Tämä johtuu siitä, että IE:n tiivis yhteenliitäntä Windows-järjestelmän kanssa tarjoaa vakoiluohjelmille pääsyn koneen haavoittuvimpiin osiin.^[7]

Tartuntatavat

Vakoiluohjelma pääsee sisään järjestelmään huijaamalla joko sen käyttäjää tai käyttämällä hyväkseen ohjelmistojen aukkoja. Se ei siis yritä levitä tartuntana muihin koneisiin kuten tietokonevirus tai mato.

Suurin osa vakoiluohjelmista tulee asennettua ilman että käyttäjä on siitä tietoinen. Koska käyttäjillä ei kuitenkaan ole tapana asentaa ohjelmia jos he tietävät sen häiritsevän heidän työskentely-ympäristöään ja vaarantavan heidän yksityisyytensä, on vakoiluohjelmilla tapana hämätä käyttäjiä. Ohjelma saattaa kulkeutua järjestelmään jonkin halutun ohjelman, kuten tiedostojenjako-ohjelma Kazaan, tai sähköpostin liitetiedoston mukana. Vakoiluohjelma saattaa myös huijata käyttäjää asentamaan itsensä.^[8]

Perinteisesti troijalaiset ovat salakuljettaneet järjestelmiin jotakin vaarallista peittämällä sen joksikin käyttäjän mielestä houkuttelevaksi. Jotkut vakoiluohjelmat leviävät samalla tavoin. Ohjelman jakaja esittelee ohjelmaa käytännöllisenä hyötyohjelmana. Käyttäjä lataa ja asentaa ohjelman ilman epäilyksiä sen haitallisista ominaisuuksista.^[9]

Vakoiluohjelma voi myös tulla ilmaisohjelman, ladattavan ohjelman tai musiikki-CD:n mukaan niputettuna.^[8] Käyttäjä tallentaa ohjelman (kuten musiikkiohjelman tai tiedostojen siirto-ohjelman) ja asentaa sen. Asennuksen yhteydessä myös mukana tullut vakoiluohjelma tulee asennetuksi tietokoneeseen. Vaikka tietoisesti asennettu ohjelma ei vahingoita järjestelmiä, sen mukana tullut haittaohjelma voi niin tehdä. Joissakin tapauksissa, vakoiluohjelmien kehittäjät ovat maksaneet julkisohjelmien tekijöille ohjelmien yhdistämisestä. Toisissa tapauksissa vakoiluohjelmien tekijät ovat uudelleen pakanneet haluttuihin ohjelmiin vakoiluohjelmien asentajan.

Kolmas tapa levittää vakoiluohjelmia on ei-toivottujen asennusten estämiseen tarkoitettujen suojaohjelmien manipulointi. Uusimmat selaimet kuten Internet Explorer 7, Mozilla Firefox ja Opera on suunniteltu estämään Internetsivujen epämieluisat lataukset. Kun sivusto yrittää tarjota ohjelmaa ladattavaksi kysyy selain käyttäjältä lupaa asennukseen. Itsepintaisimman vakoiluohjelmat yrittävät saada itsensä asennetuiksi vaikka käyttäjä vastaisikin kieltävästi. Tällöin selain jatkaa asennusluvan kysymistä kunnes saa myöntävän vastauksen tai käyttäjä poistuu vakoiluohjelmaa tarjonneelta sivustolta.^[10]

Myös käyttäjän toiminta, kuten linkin klikkaaminen, voi käynnistää tiedoston imuroinnin Internetistä. Linkit voivatkin olla petollisia. Esimerkiksi ponnahdusikkunamainos voi vaikuttaa tavalliselta Windowsin ikkunalta. Ikkuna sisältää viestin, kuten ”Haluaisitko optimoida internet yhteytesi?” ja painikkeilta näyttävät ”Kyllä” ja ”Ei” linkit. Riippumatta siitä kumpaa linkkiä käyttäjä painaa, lataus käynnistyy ja vakoiluohjelma pääsee sisälle käyttäjän järjestelmään. Myöhemmät Internet Explorerin versiot tarjoavat vähemmän kulkureittejä tällaisen hyökkäyksen onnistumiselle.

Jotkut vakoiluohjelmien luojat tartuttavat järjestelmiä hyökkäämällä web-selaimen tai muun ohjelman tietoturva-aukkoihin. Kun käyttäjä navigoi internetsivuilla joita vakoiluohjelman kehittäjä hallitsee, sivuille asetettu koodi hyökkää selaimeen ja pakottaa järjestelmän lataamaan ja asentamaan vakoiluohjelman.

Tartunnan seuraukset

Vakoiluohjelma on harvoin koneessa yksin: tartunnan saanut tietokone on alttiimpi myös muille haittaohjelmille. Käyttäjät huomaavat usein tietokoneessa ei-toivottua käytöstä ja järjestelmän toiminnan heikentymistä. Vakoiluohjelma saattaa aiheuttaa käyttäjän tahdosta riippumatonta suorittimen toimintaa, kiintolevyn käyttöä, verkkoliikennettä ynnä muita koneen toimintaa hidastavia tapahtumia. Ohjelmien ja järjestelmän kaatumiset ja muut koneen vakaaseen toimintaan liittyvät ongelmat ovat yleisiä.^[8] Verkko-ohjelmat tartuttanut vakoiluohjelma aiheuttaa yleisesti vaikeuksia yhteyden muodostamisessa Internetiin. Ne saattavat myös muuttaa käyttäjän määrittelemän kotisivun osoitteen tai rikkoa joitakin sivuja muuttamalla niiden sisältöä.^[11]

Joissakin tartunnoissa vakoiluohjelma ei ole ilmeinen. Näissä tilanteissa käyttäjällä on tapana ajatella ongelman johtuvat tietokonelaitteistosta, Windowsin asennusongelmista tai viruksesta. Jotkut pahoin saastuneiden koneiden omistajat yrittävät ratkaista ongelman ottamalla yhteyttä tekniseen tukeen tai jopa hankkimaan uuden koneen "liian hitaaksi tulleen" järjestelmän vuoksi. Vakavasti saastuneet koneet saattavat vaatia normaalin toimintakykynsä palauttamiseksi puhtaan kaikkien ohjelmien uudelleenasennuksen.

Vain yhden ohjelman aiheuttama tietokoneen täysi toimintakelvottomuus on harvinaista. Todennäköisemmin koneessa on tuolloin useita tartuntoja. Kuten vuoden 2004 AOL tutkimus totesi, mikäli tietokoneessa on ainoatakaan vakoiluohjelmaa, niitä on tyypillisesti kymmeniä.^[4] Näiden yhteenlaskettu vaikutus, sekä vakoiluohjelmien välinen vuorovaikutus yhdessä kuormittavat järjestelmää aiheuttaen käyttäjien useimmiten ilmoittamat ongelman, tietokoneen mateluksi hidastuvat suoritusnopeuden. Eräät vakoiluohjelmatyypit saattavat ottaa tietokoneen palomuurin ja virustorjuntaohjelmat pois käytöstä, sekä laskea selainten turvallisuusasetuksia tehden järjestelmästä entistä alttiimman uusille tartunnoille. Jotkut vakoiluohjelmat ovat sulkeneet tai poistaneet käytöstä kilpailevia vakoiluohjelmia sellaisilta alueilta, joilla esiintyvä vakoiluohjelmiin viittaava toiminta todennäköisemmin saisi käyttäjän ryhtyvän järjestelmän puhdistustoimiin. Eräs vakoiluohjelmien valmistaja Avenue Media jopa haastoi kilpailijansa Direct Revenuen oikeuteen tämän vuoksi. Edelliset päätyivät sopimukseen päästyään yhteisymmärrykseen siitä etteivät he poistaisi toistensa ohjelmia.^[12]

Eräät vakoiluohjelmatyypit, kuten Targetsoft, muokkaavat järjestelmän tiedostoja tehdäkseen itsestään vaikeammin poistettavia. Targetsoft muokkaa Windowsin Winsock-tiedostoja. Vakoiluohjelman saastuttaman "inetadpt.dll" tiedoston poistaminen keskeyttää tavallisen verkon käytön.^[13] Toisin kuin monien muiden järjestelmien käyttäjillä, tyypillisellä Windowsin käyttäjällä on usein järjestelmänvalvojan oikeudet, usein mukavuussyistä. Tästä seuraa että jokaisella käyttäjän ajamalla ohjelmalla, oli se sitten tietoisesti tai ei, on järjestelmän rajoittamaton pääsyoikeus.^[14] Vakoiluohjelmat ovat yhdessä muiden uhkien kanssa saaneet monet Windowsin käyttäjät vaihtamaan muihin järjestelmiin, kuten Linux tai Apple Macintosh, jotka ovat haittaohjelmien kannalta vähemmän houkuttelevia.

Monet vakoiluohjelmat näyttävät mainoksia. Joillakin ohjelmilla on tapana toistuvasti näyttää ponnahdusikkunoita, esimerkiksi säännöllisesti tietyn minuuttimäärän välein tai aina käyttäjän käynnistäessä Internet-selaimen. Toiset näyttävät mainoksia käyttäjän vieraillessa tietyillä www-sivuilla. Vakoiluohjelmien tuottajat esittelevät tätä toimintoa mainostajille, jotka saattavat ostaa mainospaikan vakoiluohjelman avaamasta ponnahdusikkunasta. Tämä on myös yksi syy miksi vakoiluohjelmat keräävät tietoja käyttäjän toimista. Ponnahdusikkunat ovat yksi yleisimmistä vakoiluohjelmiin liitetyistä vaikutuksista.

Poistaminen ja ehkäisy

Vakoiluohjelmien yleistyessä myös niitä kohtaan kehitettyjen vastatoimien määrä on kasvanut. Näihin lukeutuu sekä vakoiluohjelmien poistamiseen että niiden ehkäisyyn tarkoitettuja ohjelmia, kuten myös useita toimintatapoja ja käytäntöjä, jotka pienentävät riskiä saada tartunta. Kaikesta tästä huolimatta vakoiluohjelmat ovat edelleen ongelma. Kun useampi vakoiluohjelma on saastuttanut järjestelmän saattaa ainoaksi keinoksi jäädä varmuuskopioiden ottaminen ja koko järjestelmän uudelleen asentaminen.

Anti-spyware-ohjelmat

Toiminta

Vakoiluohjelmien torjuntaan tarkoitetuilla ohjelmilla on kaksi keinoa puolustautua haitallisia ohjelmia vastaan; ajantasainen suojaus, joka estää vakoiluohjelmien asennuksen sekä paikannus ja poistaminen. Vakoiluohjelmien torjuntaohjelmien kirjoittajat pitävät paikannusta ja poistamista yleisesti helpompana vaihtoehtona, ja saataville on tullut useita nämä toiminnot sisältävää ohjelmaa. Nämä ohjelmat tutkivat Windowsin rekisterin, käytössä olevat järjestelmä tiedostot sekä asennetut ohjelmat ja poistavat tiedostoista ne, jotka ohjelma löytää tunnettujen vakoiluohjelmien listaltaan. Ajantasainen vakoiluohjelmasuojaus toimii täsmälleen samalla tavalla kuin vastaava virussuojaus: ohjelma tarkastaa kaiken järjestelmään saapuvan tiedon ja estää sellaisten komponenttien toiminnan, joiden tiedetään olevan yhteydessä vakoiluohjelmiin. Joissakin tapauksissa se saattaa myös keskeyttää kohteiden lataus- sekä selaimen asetusten muutosyrityksiä.

Kuten suurin osa virustorjuntaohjelmista, myös vakoiluohjelmien torjuntaan tarkoitetut ohjelmat tarvitsevat usein päivittyvän, mahdolliset uhat sisältävän tietokannan. Kun uusia vakoiluohjelmia tulee julki ottavat torjuntaohjelmien kehittäjät uudet ohjelmat arvioitavaksi ja kehittävät niille "allekirjoituksia" ja "määrityksiä", joiden avulla ohjelma voidaan tunnistaa ja poistaa vakoiluohjelmana. Tämän seurauksena anti-spyware-ohjelman hyödyllisyys on rajoitettu mikäli se ei saa säännöllistä päivitystä ohjelman kehittäjältä. Jotkut valmistajat tarjoavat maksullisia päivityspalveluja kun toiset myöntävät päivityksiä ilmaiseksi. Päivitykset voidaan ajastaa latautumaan ja asentumaan automaattisesti tai ne voi asentaa manuaalisesti.

Kaikki ohjelmat eivät tukeudu päivittyviin määrityksiin. Joidenkin ohjelmien toiminta rakentuu osittain tai kokonaan järjestelmän historian tarkkailuun. Ne seuraavat tietyn kokoonpano parametrin, kuten esimerkiksi Windowsin rekisteri tai selaimen konfiguraatio, ja ilmoittavat mahdolliset muutoksen käyttäjälle, tekemättä niistä minkäänlaisia tuomioita tai suosituksia. Koska nämä ohjelmat eivät saa mistään päivityksiä uusimpia vakoiluohjelmia koskevista tiedoista, ne eivät kykene antamaan käyttäjälle minkäänlaisia ohjeita. Käyttäjä jää tällöin itse miettimään mitä hän teki ja oliko hänen tekemänsä järjestelmään vakoiluohjelman poistamiseksi tekemänsä muutos oikea.

Windows Defenderin Spynet pyrkii helpottamaan käyttäjän päätöksentekoa tarjoamalla tiedon jakamiseen tarkoitetun yhteisön. Uudet käyttäjät voivat etsiä apua muiden tekemistä päätöksistä sekä nopeasti leviäviä vakoiluohjelmia koskevista analyyseista. Eräs suosittu vakoiluohjelmien poistotyökalu on HijackThis. Se käy läpi tiettyjä Windows OS:in alueita joilla vakoiluohjelmien on todettu esiintyvän usein ja esittää tämän jälkeen käyttäjälle listan tiedostoista poistamista varten. Myös avointa lähdekoodia käyttäviä vakoiluohjelmientorjunta ohjelmia on saatavilla. Eräs niistä Wssecure pystyy paikantamaan uusia prosesseja ja järjestelmätiedostojen muutoksia käyttämällä tarkistussumman avulla. Tämä tekniikka on hyödyllinen yritettäessä jäljittää vakoiluohjelmia, jotka tulevat automaattisesti ladatuksi jonkin Windowsin haavoittuvuuden vuoksi.

Anti-spyware -ohjelmia

Alan pioneerin, yllä mainitun OptOutin, jälkeen, ovat monet ohjelmoijat ja jotkut kaupalliset yritykset julkaisseet useita vakoiluohjelmien poistoon ja niiltä suojautumiseen tarkoitettuja ohjelmia. Ohjelmat kuten Lavasoftin Ad-Aware ja Patrick Kollan Spybot - Search & Destroy keräsivät nopeasti suosiota vakoiluohjelmien tehokkaina poistajina. Myöhemmin Microsoft hankki GIANT AntiSpyware ohjelman, ja uudelleen nimettyään sen Windows AntiSpyware betaksi, julkaisi sen ilmaisohjelmana Windows XP:n ja Windows 2003:n käyttäjille. Aikaisin keväällä 2006 Microsoft nimesi beta-ohjelmansa Windows Defenderiksi ja julkaisi ilmaisohjelman saman vuoden lokakuussa. Ohjelmaa tullaan toimittamaan Windows Vistan ja Windows 7:n kanssa ilmaiseksi. Muita tunnettuja anti-vakoiluohjelmia ovat Webrootin Spy Sweeper, Trend Micron Anti-Spyware, PC Toolsin Spyware Doctor sekä Sunbeltin CounterSpy.

Huomattavat virustorjuntayhtiöt kuten F-Secure, Symantec, McAfee ja Sophos tulivat myöhemmin mukaan liittämällä vakoiluohjelmien torjunnan osaksi jo olemassa olevia virustorjuntaohjelmiaan. Aluksi nämä yritykset ilmoittivat haluttomuutensa ottaa vakoiluohjelmien torjuntaa osaksi tuotteitaan, viitaten vakoiluohjelmien tekijöiden nostamiin syytteisiin niitä www-sivuja ja ohjelmia vastaan, jotka olivat kuvanneet heidän tuotteitaan vakoiluohjelmiksi. Tästä huolimatta näiden suurimpien yritysten uudemmat julkaisut sisältävät keinot anti-vakoiluohjelma toiminnon vaikkakin ne kohtelevat vakoiluohjelmia eri tavalla kuin viruksia. Esimerkiksi Symantec Anti-Virus luokittelee vakoiluohjelmat "muiksi uhiksi" ja tarjoaa suojausta niitä vastaan.

Lähteet

1. Jonathan Read.: Spyware Explained 28. toukokuuta 2004.. Informit.com. Viitattu 17. joulukuuta 2006. (englanniksi)
2. Sharon Wienbar: The Spyware Inferno 13. elokuuta 2004. News.com. Viitattu 17. joulukuuta 2006. (englanniksi)
3. Robertson Barrett: Five Major Categories of Spyware 21. marraskuuta 2002. Consumer Reports. Viitattu 17. joulukuuta 2006. (englanniksi)
4. AOL/NCSA Online Safety Study Lokakuu 2004. AOL. Arkistoitu 8.11.2006. Viitattu 16. joulukuuta 2006. (pdf) (englanniksi)
5. Spyware Info and Facts that All Internet Users Must Know Webroot.com. Arkistoitu 28.11.2006. Viitattu 15. joulukuuta 2006. (englanniksi)
6. Scott Spanbauer: Is It Time to Ditch IE? 1. marraskuuta 2004. Pcworld.com. Arkistoitu 16.12.2006. (englanniksi)
7. Gregg Keizer: Analyzing IE At 10: Integration With OS Smart Or Not? 25. elokuuta 2005. Techweb.com. Arkistoitu 29.9.2007. Viitattu 16. joulukuuta 2006. (englanniksi)
8. Click, you're infected F-secure. Arkistoitu 1.12.2008. Viitattu 17. joulukuuta 2006. (englanniksi)
9. Mitä vakoiluohjelmat ovat? Microsoft. Arkistoitu 30.6.2007. Viitattu 16. joulukuuta 2006.
10. Dirty Spyware Tricks PC Pitshop. Viitattu 17. joulukuuta 2006. (englanniksi)
11. What is spyware? PC Pitstop. Viitattu 17. joulukuuta 2006. (englanniksi)
12. Edelman, Ben: Direct Revenue Deletes Competitors from Users' Disks 7. joulukuuta 2004 (päivitetty 8. helmikuuta 2005). benedelman.com. (englanniksi)
13. Spyware and Microsoft Windows tutorialdownloads.com. Arkistoitu 6.2.2007. Viitattu 16. joulukuuta 2006. (englanniksi)
14. Robert Mitchell: Spyware sneaks into the desktop 3. toukokuuta 2004. Computerworld.com. Arkistoitu 7.12.2006. Viitattu 17. joulukuuta 2006. (englanniksi)

Aiheesta muualla

 

Commons

Wikimedia Commonsissa on kuvia tai muita tiedostoja aiheesta Vakoiluohjelma.

Artikkelissa mainittua

• OptOutin kotisivu (englanniksi)

Vakoiluohjelmista

• PC Pitshopin TOP 25 vakoiluohjelmaa (englanniksi)
• PC Pitshopin lista tunnetuista vakoiluohjelmista. (englanniksi)
• Spyware Warriorin lista epäilyttävistä anti-spyware-ohjelmista (englanniksi)

Muuta

• Michaelhorowitz.com: Haitta-, vakoilu- ja mainosohjelma-aiheisia linkkejä (englanniksi)
• Ben Edelmanin vakoiluohjelmasivusto (englanniksi)