Onko laitteesi osa bottiverkkoa?
Internetissä tapahtuu koko ajan asioita, joita tavallinen käyttäjä ei näe. Yksi näistä ilmiöistä on niin sanotut bottiverkot.
Bottiverkolla tarkoitetaan tilannetta, jossa suuri määrä laitteita on jonkun ulkopuolisen hallinnassa. Tällaisia laitteita voidaan käyttää esimerkiksi palvelunestohyökkäyksiin tai muuhun verkkoliikenteeseen ilman, että laitteen omistaja huomaa mitään.
Moni ajattelee, että bottiverkot liittyvät lähinnä tietokoneisiin. Todellisuudessa mukaan voi päätyä hyvin tavallinen kodin laite. Reititin, modeemi, älytelevisio, valvontakamera, digiboksi tai jokin muu verkkoon kytketty laite. Usein laite toimii täysin normaalisti, eikä käyttäjä huomaa ulospäin mitään erikoista.
Internet ei ole hiljainen paikka. Jos laite on oikeasti NATin takana eikä siihen ole avattu portteja, siihen ei pääse suoraan internetistä. Tämä on yksi syy siihen, miksi kotiverkot ovat usein yllättävän hyvin suojassa satunnaiselta ulkopuoliselta liikenteeltä. Silti internetiä skannataan jatkuvasti. Automaattiset ohjelmat etsivät laitteita, joihin pääsee käsiksi esimerkiksi oletustunnuksilla, vanhan ohjelmiston haavoittuvuuksien kautta tai siksi, että laitteen etähallinta on jäänyt auki.
Kun tällainen laite löytyy, siihen voidaan ajaa pieni ohjelma, joka liittää sen bottiverkkoon. Tämä ei välttämättä näy laitteen käyttäjälle mitenkään.
Yksi käytännön havainto on kuitenkin monelle yllätys. Jos laite joutuu bottiverkkoon, moni kuvittelee tilanteen olevan heti hyvin monimutkainen ja vaikea ratkaista. Käytännössä yksi hyvin yksinkertainen toimenpide voi katkaista hyökkääjän hallinnan ainakin hetkeksi. Se on laitteen sammuttaminen.
Tässä kohtaa sammutus tarkoittaa oikeaa virran katkaisua, ei pelkkää valmiustilaa. Monessa laitteessa virtapainike laittaa laitteen vain standby-tilaan, jolloin laite ei oikeasti sammu. Virta pitää katkaista kokonaan esimerkiksi irrottamalla virtajohto tai katkaisemalla sähkö jatkojohdosta. Kun laite on hetken ilman virtaa ja käynnistetään uudelleen, keskusmuisti tyhjenee ja muistissa ollut ohjelma katoaa. Käytännössä muutama sekunti ilman virtaa riittää yleensä tähän, mutta varmuuden vuoksi virta kannattaa pitää pois ainakin siihen asti, että laitteen valmiusvalo on oikeasti sammuksissa.
Tämä kuulostaa yksinkertaiselta, mutta siihen on selvä tekninen syy. Suuri osa tällaisista haittaohjelmista ei ole pysyvästi laitteen firmwareen asennettu. Ne toimivat vain laitteen keskusmuistissa. Niin kauan kuin laite on päällä, ohjelma pysyy muistissa ja mahdollinen haittaohjelma toimii edelleen siellä. Kun laite sammutetaan, keskusmuisti tyhjenee ja kaikki siellä ajossa ollut koodi katoaa samalla. Kun laite käynnistyy uudelleen, se lataa oman ohjelmistonsa uudestaan flash-muistista, ja samalla hyökkääjän ajama ohjelma häviää. Usein tämä yksinkertainen toimenpide oikeasti toimii.
Hyökkääjät eivät useinkaan edes yritä tehdä haitasta pysyvää. Syyt ovat käytännöllisiä. Eri laitteissa on erilaiset firmwaret, pysyvän muutoksen tekeminen on vaikeampaa ja virhe voi rikkoa laitteen kokonaan. Lisäksi pysyvä haitta on helpompi analysoida ja löytää. Bottiverkoissa tärkeintä ei ole yksittäinen laite vaan suuri määrä laitteita. Siksi hyökkäykset tehdään usein nopeasti ja automaattisesti.
Vaikka uudelleenkäynnistys poistaisi haittaohjelman muistista, alkuperäinen ongelma voi silti olla olemassa. Jos laitteessa on edelleen oletussalasana käytössä, ohjelmisto on vanha tai etähallinta on avoinna internetiin, sama laite voidaan löytää ja kaapata uudelleen nopeasti. Internetissä on jatkuvaa automaattista skannausta, joka etsii juuri tällaisia laitteita.
Siksi yksi yksinkertainen käytännön muistisääntö on hyvä pitää mielessä. Jos verkossa oleva laite alkaa käyttäytyä oudosti, laitteen sammuttaminen ja käynnistäminen uudelleen voi joskus katkaista hyökkääjän hallinnan ainakin hetkellisesti. Se ei ratkaise kaikkea, mutta monessa tapauksessa se on hyvä ensimmäinen askel tilanteen selvittämisessä.
Bottiverkolla tarkoitetaan tilannetta, jossa suuri määrä laitteita on jonkun ulkopuolisen hallinnassa. Tällaisia laitteita voidaan käyttää esimerkiksi palvelunestohyökkäyksiin tai muuhun verkkoliikenteeseen ilman, että laitteen omistaja huomaa mitään.
Moni ajattelee, että bottiverkot liittyvät lähinnä tietokoneisiin. Todellisuudessa mukaan voi päätyä hyvin tavallinen kodin laite. Reititin, modeemi, älytelevisio, valvontakamera, digiboksi tai jokin muu verkkoon kytketty laite. Usein laite toimii täysin normaalisti, eikä käyttäjä huomaa ulospäin mitään erikoista.
Internet ei ole hiljainen paikka. Jos laite on oikeasti NATin takana eikä siihen ole avattu portteja, siihen ei pääse suoraan internetistä. Tämä on yksi syy siihen, miksi kotiverkot ovat usein yllättävän hyvin suojassa satunnaiselta ulkopuoliselta liikenteeltä. Silti internetiä skannataan jatkuvasti. Automaattiset ohjelmat etsivät laitteita, joihin pääsee käsiksi esimerkiksi oletustunnuksilla, vanhan ohjelmiston haavoittuvuuksien kautta tai siksi, että laitteen etähallinta on jäänyt auki.
Kun tällainen laite löytyy, siihen voidaan ajaa pieni ohjelma, joka liittää sen bottiverkkoon. Tämä ei välttämättä näy laitteen käyttäjälle mitenkään.
Yksi käytännön havainto on kuitenkin monelle yllätys. Jos laite joutuu bottiverkkoon, moni kuvittelee tilanteen olevan heti hyvin monimutkainen ja vaikea ratkaista. Käytännössä yksi hyvin yksinkertainen toimenpide voi katkaista hyökkääjän hallinnan ainakin hetkeksi. Se on laitteen sammuttaminen.
Tässä kohtaa sammutus tarkoittaa oikeaa virran katkaisua, ei pelkkää valmiustilaa. Monessa laitteessa virtapainike laittaa laitteen vain standby-tilaan, jolloin laite ei oikeasti sammu. Virta pitää katkaista kokonaan esimerkiksi irrottamalla virtajohto tai katkaisemalla sähkö jatkojohdosta. Kun laite on hetken ilman virtaa ja käynnistetään uudelleen, keskusmuisti tyhjenee ja muistissa ollut ohjelma katoaa. Käytännössä muutama sekunti ilman virtaa riittää yleensä tähän, mutta varmuuden vuoksi virta kannattaa pitää pois ainakin siihen asti, että laitteen valmiusvalo on oikeasti sammuksissa.
Tämä kuulostaa yksinkertaiselta, mutta siihen on selvä tekninen syy. Suuri osa tällaisista haittaohjelmista ei ole pysyvästi laitteen firmwareen asennettu. Ne toimivat vain laitteen keskusmuistissa. Niin kauan kuin laite on päällä, ohjelma pysyy muistissa ja mahdollinen haittaohjelma toimii edelleen siellä. Kun laite sammutetaan, keskusmuisti tyhjenee ja kaikki siellä ajossa ollut koodi katoaa samalla. Kun laite käynnistyy uudelleen, se lataa oman ohjelmistonsa uudestaan flash-muistista, ja samalla hyökkääjän ajama ohjelma häviää. Usein tämä yksinkertainen toimenpide oikeasti toimii.
Hyökkääjät eivät useinkaan edes yritä tehdä haitasta pysyvää. Syyt ovat käytännöllisiä. Eri laitteissa on erilaiset firmwaret, pysyvän muutoksen tekeminen on vaikeampaa ja virhe voi rikkoa laitteen kokonaan. Lisäksi pysyvä haitta on helpompi analysoida ja löytää. Bottiverkoissa tärkeintä ei ole yksittäinen laite vaan suuri määrä laitteita. Siksi hyökkäykset tehdään usein nopeasti ja automaattisesti.
Vaikka uudelleenkäynnistys poistaisi haittaohjelman muistista, alkuperäinen ongelma voi silti olla olemassa. Jos laitteessa on edelleen oletussalasana käytössä, ohjelmisto on vanha tai etähallinta on avoinna internetiin, sama laite voidaan löytää ja kaapata uudelleen nopeasti. Internetissä on jatkuvaa automaattista skannausta, joka etsii juuri tällaisia laitteita.
Siksi yksi yksinkertainen käytännön muistisääntö on hyvä pitää mielessä. Jos verkossa oleva laite alkaa käyttäytyä oudosti, laitteen sammuttaminen ja käynnistäminen uudelleen voi joskus katkaista hyökkääjän hallinnan ainakin hetkellisesti. Se ei ratkaise kaikkea, mutta monessa tapauksessa se on hyvä ensimmäinen askel tilanteen selvittämisessä.