Tietoverkkorikollisuus seuraa rahan liikkeitä

Tietoverkkorikollisuus seuraa rahan liikkeitä

Rikos kannattaa Internetissä liian usein, koska mahdolliset hyödyt ovat suuret ja kiinnijäämisriski tavallista pienempi.

Teksti Sari Kajantie

TALOUDELLINEN toiminta on enenevässä määrin riippuvainen Internet-verkosta, jolloin luonnollisena seurauksena myös rikollisuus seuraa perässä. Rikoslainsäädäntö huomioi hyvin Internetissä ilmenevät rikokset ja Suomessa poliisin valmiudet tutkia verkkorikoksia ovat hyvät, mikäli teknistä näyttöä ylipäätään on saatavilla. Ongelma on kuitenkin globaali, joten yhteiskunnan häiriöttömän toiminnan suojaamiseen kannalta kyky reagoida jälkikäteen ei riitä. Internet tarjoaa nykyisellään rikollisuudelle erityisen oivan alustan.

Internet-teknologia kehitettiin aluksi USA:n puolustusvoimien sekä myöhemmin akateemisen maailman mittausdatan siirtokanavaksi ja kommunikaatiokäyttöön. Verkon varhaisina vuosina muihin käyttäjiin saattoi lähtökohtaisesti luottaa: Puolustussektorilla omien taustat tarkastetaan ja tiedemaailmassa toimii vahva sisäinen etiikka – liikenteen osapuolia on turha verifioida tai liikennettä salata, jos väärennys tai salakuuntelu on moukkamaisuudessaan mahdoton ajatus. Niinpä verkon teknologian suunnittelukriteereiksi voitiin valita nopeus ja vikasietoisuus; tietoturvallisuudesta ei tarvinnut huolehtia. Teknisesti oikein toteutettu internet onkin kirjaimellisesti pommin varma, vieläpä usean pommin.

1990-luvun alussa käytössä oli useitakin kilpailevia verkkoteknologiavaihtoehtoja. Ne eivät hävinneet internetille vain siksi, että olivat kaikessa komeudessaan todellisia komiteamietintöjen tuotoksia. Ensisijaisesti ne hävisivät siksi, että kriteereistä "nopeus, vikasietoisuus ja tietoturvallisuus" on mahdollista valita vain kaksi kerrallaan. Kilpailevat vaihtoehdot huomioivat tietoturvallisuuden internetiä paremmin, jolloin ne eivät olleet yhtä tehokkaita ja vikasietoisia. Markkina valitsee helpoimmin ymmärrettävät kriteerit. Tietoturvallisuutta on vaikea mitata.

Internet-teknologia ei kuitenkaan ole turvattomuudessaan millään tavoin huonoa. Se on vain käytössä täydellisen väärässä ympäristössä.

Satunnaiset ja kohdistetut hyökkäykset

Tietoverkkorikollisuudella on vielä jossain määrin nuorison harrastustoiminnan leima, vaikka "akateeminen hakkerointi" turvallisuusongelmien kartoittamiseksi on jo kadonnutta kansanperinnettä. Tänä päivänä verkkorikoksella on käytännössä aina jokin tavoite.

Määrällisesti suurin osa verkkorikoksista on satunnaisesti kohdistuvia "virus-" eli haittaohjelmahyökkäyksiä. Hyökkääjä ei kohdista hyökkäystä jonkin tietyn organisaation tietopääomaa sisältävään järjestelmään. Uhriksi joutumisen ratkaisee koneen ohjelmistohaavoittuvuudet sekä niiden hyväksikäytettävyys. Tällaisilla hyökkäyksillä on myös kerrannaisvaikutuksia, koska monen madon leviämistapa kuormittaa verkkoa suuresti. Valtavasta verkkoliikennemäärästä voivat kärsiä myös hyvin ylläpidetyt järjestelmät, jotka eivät itse ole haavoittuvia madolle.

Aiemmin eräs syy virusiskuille oli idealismi. Ajatuksena oli parantaa maailma osoittamalla mahdollisimman näyttävästi tiettyjen järjestelmien haavoittuvuus. Nykyisin keskeinen tavoite näyttäisi olevan resurssien kokoaminen muun rikollisuuden toteutusalustaksi.

Ilmiöistä näkyvin on Windows-työasemien kaappaaminen keskitetysti hallittaviksi bot-verkoiksi ["ohjelmistorobottien verkoiksi"] – omistajien tietämättä. Kaappaus tehdään murtamalla koneet haittaohjelmalla, joka murron jälkeen kytkeytyy jossakin muussa murretussa koneessa toimivan komentokanavalle odottamaan, sekä jatkaa leviämistä muihin haavoittuviin koneisiin. Komentokanavalle annetuilla käskyillä bot-verkon haltija saa kotikoneista kootun armeijansa käyttäytymään haluamallaan tavalla.

Bot-verkon haltijalla on käytössään sekä valtava määrä resursseja että mahdollisuus peittää jälkensä tai ainakin hidastaa tutkintaa. Bot-verkosta tehtyjen rikosten tutkintahan kohdistuu ensin bot-verkon koneisiin –sivullisiin, jotka ovat itsekin uhreja. Tyypillisiä tällaisia rikoksia ovat tilaustyönä tehtävät palvelunestohyökkäykset, erilaiset petokset sekä laajamittainen roskapostin levitys.

Viestintäviraston CERT-FIn tuoreen arvion mukaan Suomessa on verkossa jatkuvasti noin 1000–3000 bot-koneeksi valjastettua työasemaa. Maailmalla suuruusluokka on miljoonia.

Kohdistetuissa hyökkäyksissä kohde valitaan tietosisällön tai kohdetta ylläpitävän organisaation perusteella. Hyökkäyksissä lähtökohtaisesti ei käytetä tunnettuja haittaohjelmia, vaan tunkeutumiset toteutetaan "käsin" tai tunnistamattomalla haittaohjelmalla, jollaista virustorjunta ei pysäytä. Hyökkääjän ollessa aidosti motivoitunut, palomuurikin on vain hidaste.

Kohdistetut hyökkäykset ovat toki satunnaisesti leviäviä hyökkäyksiä harvinaisempia, mutta vastaavasti niiden uhkapotentiaali on vielä suurempi: niillä voidaan vahingoittaa kohdeorganisaatiota tuhoamalla tai varastamalla organisaation keskeisintä tietopääomaa.

Ennaltaehkäisy surullisen hankalaa

Asianomistajan näkökulmasta rikostorjunnan tärkein keino on rikollisuuden ennaltaehkäisy. Heti toisella sijalla tulee rikosten paljastumisosuuden kasvattaminen, sillä nopealla paljastamisella kyetään rajaamaan vahingot. Rikosseuraamuksilla, erityisesti vahingonkorvauksilla, on ennaltaehkäisevää merkitystä, mutta rajatummin silloin kun rikosten tekeminen on helppoa tai paljastumisriski pieni.

Verkkorikosten tehokkaan ennaltaehkäisyn tilanne on kohtuullisen surullinen. Tietoturva-alalla uhka mystifioidaan, mikä mahdollistaa mitä erilaisimpien taikasauvojen tarjoamisen torjuntakeinoksi. Tällä hetkellä vallitseva käsitys pitää virusta suurimpana uhkana tietoturvallisuudelle. Näin ei kuitenkaan ole. Tietoturvallisuuden uhka on haavoittuvuus. Vasta haavoittuvuus mahdollistaa hyväksikäytön, joka voidaan tehdä automatisoidusti haittaohjelmalla tai käsin. Haavoittuvuus voi olla yhtälailla ohjelmointivirhe kuin organisaation toimintakäytäntö.

Fyysisen turvallisuuden osalta haavoittuvuuksien merkitys ymmärretään yleisesti: heikot saranat ja ikkunat – tai työntekijöiden yletön puheliaisuus – pyritään korjaamaan välittömästi. Turvallisuuden perustaksi ei yritetä vakavalla naamalla tarjota erityisiä liiketunnistimia, jotka reagoivat kaikkiin tunnettuihin tiirikoihin. Sellainen on hyvä lisä – sitten kun ovet ja ikkunat ovat kunnossa.

Tilanne on hankalin kohdistetuissa hyökkäyksissä. Niiltä suojautuminen vaatii tietoturvaan syvyyttä: jatkuvaa ylläpitoprosessia haavoittuvuuksien korjaamiseksi, motivoitunutta ja taitavaa ylläpitoa sekä informaation kulun hallintaa viestintäsalaisuutta loukkaamatta. Uudet järjestelmät tulisi testata formaalisti. Tekninenkin turvallisuus tulisi auditoida säännöllisesti siinä missä kirjanpitokin. Ohjelmistoilta tulisi vaatia laatua. Puutteellinen turvallisuus ei ole vain myyjän, vaan myös ostajan vastuulla. Ostajan asema luonnollisesti on hankala, jos vaihtoehtoja on vähän ja testaaminen kallista.

Tietoverkkorikollisuus on poikkeuksellisen voimakkaasti piilorikollisuutta, sillä edes asianomistajat eivät niitä useinkaan havaitse. Rikostutkinnan kokemusperäiseen tietoon nojaten ainoastaan tunnetut virukset sekä tunnettuja hyökkäyssormenjälkiä käyttävät verkkorikokset havaitaan systemaattisesti. Vain poikkeuksellisen hyvin ylläpidetyissä organisaatioissa kyetään havaitsemaan kohdistetut hyökkäykset –tai edes satunnaiset hyökkäykset, jos niitä ei ole toteutettu tunnetuilla haittaohjelmilla.

Havainnointi on erityisen hankalaa ulkoistetuissa palveluissa. Vaikka ylläpito on tällöin varsin pätevää, sopimukset eivät välttämättä salli järjestelmien käytön seurantaa tavalla, joka voisi paljastaa asiattoman käytön.

Oikea uhkatietoisuus tarpeen

Satunnaisesti kohdistuvat hyökkäykset ovat jo aiheuttamansa liikennemäärän takia aidosti uhka yhteiskunnan verkkopalveluiden toiminnalle. Viestintävirasto tekee yhteistyössä kotimaisen virustorjuntateollisuuden sekä myös teleyritysten ja ohjelmistoteollisuuden kanssa erinomaista konkreettista työtä, joten verkon peruskäyttäjän suoja voi jo kohtuullisen pian olla nykyistä parempi.

Kohdistettujen hyökkäysten torjumiseksi tarvitaan oikeaa uhkatietoisuutta. Internetin rakenteellinen turvattomuus ei ole ongelma, jos se otetaan huomioon Internetin päälle toteutetuissa palveluissa. Toteutus kuitenkin vaatii resursseja, joten ilman asiakkaan uhkatietoisuutta, vaatimusta sekä maksuvalmiutta ohjelmistojen laatu ei parane. Tähän toivottavasti vaikuttaa olennaisesti Suomen kansallisen tietoturvastrategian toimeenpano liikenne- ja viestintäministeriön koordinoiman kansallisen tietoturvallisuusasioiden neuvottelukunnan johdolla.

Silti on yksinkertaisella matematiikalla varsin todennäköistä, että erityisesti rahan liikkeisiin kohdistuva rikollisuus siirtyy enenevässä määrin verkkoon. Verkossa yksinkertaisesti on suurempi hyötypotentiaali yhdistettynä pienempään kiinnijäännin riskiin sekä rikoksen toteutuskustannuksiin.

Kirjoittaja on Keskusrikospoliisin ylitarkastaja.

Tietoverkkorikollisuus kohdistuu tietoverkon tai sen järjestelmien toimintaan ja loukkaa tietojenkäsittelyrauhaa. Tällaista rikollisuutta on esimerkiksi "RL 28:7 Luvaton käyttö" (nk. hakkerointi), "RL 34:9a Vaaran aiheuttaminen tietojenkäsittelylle" (haittaohjelmahyökkäyksen käynnistäminen) tai "RL 38:6 Tietoliikenteen häirintä" (palvelunestohyökkäys). Verkossa ilmenevä rikos tapahtuu osin tai kokonaan tietoverkossa. mutta tekoon ei välttämättä liity tietojenkäsittelyrauhan tai tietoturvallisuuden loukkausta: huumekauppias voi viestiä itselleen rekisteröimällään sähköpostiosoitteella tai sisältörikoksessa laiton levitys voidaan tehdä omasta verkkoliittymästä. Toisaalta verkossa ilmenevään maksuvälinepetokseen voi myös liittyä luvaton käyttö.

 

Verkon yleisin maksuväline – varastettu luottokorttinumero

Verkossa ilmenevän rikollisuuden ominaispiirre on suuri hyötypotentiaali suhteessa varsin pieneen kiinnijäännin riskiin. Siinä missä kaupan takahuoneessa voidaan kopioida yksi luottokorttinumero kerrallaan, verkosta kaappaamalla niitä saa sadoin tuhansin. Reaalimaailmassa kortin haltija voi muistaa tapahtumapaikan, verkossa kaapatun luottokorttinumeron legitiimi haltija ei ehkä koskaan saa tietää kaappauksesta – ennen kuin numeroa on jo käytetty väärin.

2000-luvun IT-kuplan aikaan USA:n jokaisessa pienpajassa piti olla verkkokauppa – eikä ylläpidon laatu ollut prioriteettilistalla. Haavoittuvat asiakastietokannat olivat rikollisille helppo kohde. Yksittäiseltä epäillyltä on kotietsinnässä löytynyt peräti 8 miljoonaa varastettua luottokorttinumeroa: verkkokauppojen lisäksi myös kirkkokuntien keräyssivuilta ja USA:n puolustusvoimista vietyjä.

Verkkopalvelujen suojausten parantuessa tunkeutujat ovat siirtyneet asiakaspäähän. ”Phishingiksi” kutsutussa kalastelussa tunnistetta yksinkertaisesti kysytään hyvällä peitetarinalla suoraan haltijalta. Suurelle satunnaiselle vastaanottajajoukolle lähetetään roskapostitekniikalla kohdeyrityksen nimiin väärennetty asiallisen näköinen viesti. Viestissä valitellaan teknistä häiriötä asiakasrekisterissä, sekä pyydetään täyttämään luottokortin ja sen haltijan ajankohtaiset tiedot WWW-lomakkeelle. Lomake on luonnollisesti tunkeutujan hallussa, joskin jälkien peittämiseksi yleensä jonkun sivullisen murretussa kotikoneessa.

Kun phishingin teho on valistuksen myötä alkanut hiipua, tunnisteita on alettu kaapata suoraan Windows-työasemilta verkkoasioinnin yhteydessä. Kaappaus tehdään haittaohjelmalla, joka ujutetaan työasemalle jonkin ohjelmistohaavoittuvuuden kautta. Moni haittaohjelma on kerrassaan taitavasti tehty: ne eivät talleta kaikkia näppäinpainalluksia, vaan ainoastaan WWW-lomakkeiden täyttämisen – jolloin tunnisteiden kerääjä ei huku turhaan tietoon.

Haittaohjelman ujuttaminen työasemalle edellyttää ohjelmistohaavoittuvuutta työasemassa, mutta se ei edellytä työaseman käyttäjän vierailua millään tavoin asiattomalla sivulla. Eräs laaja levitysisku toteutettiin tunkeutumalla mainospalveluun ja liittämällä haittakoodi lukuisilla uutispalvelusivustoilla näkyvään mainokseen. Tällöin päivittämättömällä WWW-selaimella uutispalvelussa vierailleet Windows-käyttäjät saivat koneelleen uuden tunnistamattoman haittaohjelman.

Evoluution seuraava askel näyttäisi olevan siirtyminen asiakkaan ja palvelimen väliin tekeytymällä pankin tai verkkokaupan WWW-palvelimeksi.

Verkon globaaliudesta huolimatta Suomessa tilanne on parempi, vaikka täysin ilman uhreja ei täälläkään ole jääty. Turvallisuuskulttuuri on maksuvälineiden ja henkilötietojen käsittelyssä pääsääntöisesti hyvä. Pieni kielialue vähentää phishing-ilmiötä, mutta aivan erityisesti suojaa tuo suomalaispankkien ja luottokorttiyritysten vakava suhtautuminen tietoturvallisuuteen.