Mietteitä siitä, miksi Windowsit saastuvat niin herkästi

[vtp]

Varmaan jokainen on jo törmännyt aiheeseen:

http://www.digitoday.fi/tietoturva/2009/01/17/conficker-mato-leviaa-erittain-nopeasti-jo-8-miljoonassa-koneessa/20091375/66?rss=6

Itse Ubuntu- ja Zenwalk-käyttäjänä seuraan mielenkiinnolla sivusta, mitä tapahtuu. Toisaalta Windowskin on helppo suojata palomuurilla.

Ajattelin kuitenkin aloittaa keskustelun (ei sotaa) aiheesta, miksi Windows on alttiimpi viruksille? Itse lähden siitä seikasta, että tietoturva-aukkoja on kaikissa ohjelmistoissa. Ihminen niitä loppujen lopuksi koodaa riippumatta siitä, missä on töissä.

Mielestäni olennainen ero on levinneisyydessä, _avoimien_ aukkojen määrässä sekä käyttöjärjestelmän toimintatavassa. Windowsin perisynti on toimia aina järjestelmänvalvojan oikeuksilla ja käynnistää tiettyjä toimintoja käyttäjältä salassa. Esimerkkinä on raivostuttava autoplay-ominaisuus muistitikuilla ja rompuilla. Tämä suorastaan houkuttelee tekemään itsestään käynnistyviä viruksia. Windowsissa myös on iso läjä palveluita aina päällä riippumatta siitä, tarvitaanko niitä vai ei. Lisäksi Windows on joiltain osin huonosti dokumentoitu, joten kaikkia palveluita ei yksinkertaisesti uskalleta sammuttaa. Lisäksi helppokäyttöisenä (no jaa...) helposti unohtuu se tosiasia, että myös tätä järjestelmää tarvitsee säätää.

LInuxissa on usein myös yhtä paljon pahoja aukkoja. Kuitenkin avoimet aukot paikataan aika nopeasti. Lisäksi Linuxit on yleensä säädetty erikseen toimimaan käyttötarkoituksensa mukaan, joten työasemassa ei todellakaan pyöri mitään ylimääräisiä palvelinprosesseja, jolloin todellisuudessa hyödynnettävien tietoturva-aukkojenkin määrä vähenee.

Oman vaikutuksensa tuo myös se, että Windows on vihattu. Kun se on yleisin käyttöjärjestelmä, niin sitä vastaan kannattaa hyökätä. Yksin tämä ei selitä tätä huimaa eroa, koska palvelimista Linuxeja löytyy nykyään huomattavan paljon, joten eron täytyy olla myös näissä mainitsemissani asioissa.

Mitä mieltä muu foorumin väki on tästä asiasta? Yritetään välttää sotimista ja herättää ihan asiallista keskustelua ja miettiä myös sitä, miten Windowsia voisi saada paremmaksi.

[AkuKalle]

Markkinaosuus on isoin syy. Viruksen tekijät haluavat saavuttaa mahdollisimman paljon "asiakkaita".
Mainitsemasi admin yms jutut on kaikki säädettävissä, enkä ymmärrä miksi asiat pitää tehdä näin päin oletuksena winkkariin. Yritys puolella nämä asiat ovat keskitetyn hallinnan yms ansiosta lähes aina kunnossa. Mainitsemasi viat koskevat varsinkin kotikäyttäjiä. Tosin on tietenkin mahdollista että työpaikan ylläpitäjät ovat urpoja:)
Parannustahan työasemissa mm UAC ja palvelin puolella server core versiot, vain muutama mainitakseni.

[SuperOscar]

Tarina kertoo, että eräässä akateemisessa atk-yksikössä oli ylläpitäjillä kahta mielipidettä: toisten mielestä kaikki piti sallia, mitä erikseen ei ollut tarpeen kieltää, toisten mielestä kaikki piti kieltää, mitä erikseen ei ollut tarpeen sallia. Arvatkaapa kummat osoittautuivat ajan myötä olevan oikeammassa?

Windowsin autoplayt yms. ovat siellä sen takia, että käyttäjät tuollaista toiminnallisuutta haluavat. Ihmisten on joskus vaikea tajuta, että jos asiat ovat helppoja, ne saattavat olla myös turvattomia. Esimerkkinä tästä on Vistan UAC:hen kohdistunut kritiikki, josta suuri osa tulee siitä, että järjestelmää koskevat vaarallisetkin muutokset pitäisi tyypillisen käyttäjän mukaan voida tehdä käden käänteessä ja hetkeäkään ajattelematta.

Useimmat ihmiset eivät oikeasti yhtään tarkkaile, mitä koneellaan tekevät. Olen aikoinaan mikrotukena ihmetellyt < 60 Hz taajuudella VÄLKKYVÄN (todella isolla kirjaimilla VÄLKKYVÄN) CRT-ruudun ääressä, kuinka kukaan voisi istua sen ääressä edes viittä minuuttia saamatta päänsärkyä. Koneen haltija totesi minulle, ettei hän ole edes huomannut monitorin välkkyvän.

[Karvameduusa]

Windowsin pahin ongelma on vieläkin oikeuksienhallinta hakemistoille ja tiedostoille, mutta onhan niitä kryptaus softia.
Vistasta on sentään vähän päästy eroon ongelmasta UAC:lla, mutta peruskäyttäjä yleensä ottaa sen pois käytöstä.

[uunox]

Tietenkin kyse on markkinaosuudesta, mutta myös osuuksien "sisältö" poikkeaa merkittävästi toisistaan.
Tuossa suuressa markkinaosuudessa myös on pääsääntöisesti se "tavisjoukko" jota kiinnostaa tietotekniikka siinä mielessä että kun vain jollain keinolla saa näytölle OK-näppäimen niin sitä kyllä pelvotta painetaan ja mitä vaarallisemmaksi sitä mainitaan, niin entistä urhoollisemmin käymme riskinottoon. On siis nähtävä mitä aikuisen oikeasti tapahtuu.

Olen ymmärtänyt että täällä marginaaliosuudessa taas pesii se alan "valiojoukko" joka varjelee itseään, identiteettiään ja vapauttaan ja tietysti tietokonettaan, ellei muuten niin ainakin idealistisin ajatuksin. Tosin ajatukset näyttää monesti olevan myös kaunaisen vihamielisiä tuota valtaosiota kohtaan, ikäänkuin siitä olisi perustavanoloista haittaakin tälle osiolle...

Tietysti oman osansa tuohon saastumisen herkkyyteen myös aiheuttaa tietyt ihmiselämän erityisen kiinnostavat sektorit joita myöskin tuo valtaosio "joutuu" sitten harrastamaan ainakin määrällisesti paljon, vaikka suhdeluku ei olisikaan poikkeava. Eli tahtoisin nähdä asian niin että siltä sektorilta avautuu niitä saatumiskanavia perin runsaasti, kuten tietysti oikeassakin elämässä.

Tietysti voisi vielä ottaa tietyn "salaliitto-teorian" käsittelyyn mutta jääköön se vielä salaisuudeksi, mutta perimmältäänhän tässä bisnistä kuitenkin tehdään...
Kuten havaitsimme en toki edes pyri ottamaan kantaa aiheen tekniseen puoleen, koska tunnen itseni uunox sen suhteen, vaan enemmän humanistiselta katsannolta lähentyisin aihetta ...

[AkuKalle]

Tarina kertoo, että eräässä akateemisessa atk-yksikössä oli ylläpitäjillä kahta mielipidettä: toisten mielestä kaikki piti sallia, mitä erikseen ei ollut tarpeen kieltää, toisten mielestä kaikki piti kieltää, mitä erikseen ei ollut tarpeen sallia. Arvatkaapa kummat osoittautuivat ajan myötä olevan oikeammassa?

Windowsin autoplayt yms. ovat siellä sen takia, että käyttäjät tuollaista toiminnallisuutta haluavat. Ihmisten on joskus vaikea tajuta, että jos asiat ovat helppoja, ne saattavat olla myös turvattomia. Esimerkkinä tästä on Vistan UAC:hen kohdistunut kritiikki, josta suuri osa tulee siitä, että järjestelmää koskevat vaarallisetkin muutokset pitäisi tyypillisen käyttäjän mukaan voida tehdä käden käänteessä ja hetkeäkään ajattelematta.

Useimmat ihmiset eivät oikeasti yhtään tarkkaile, mitä koneellaan tekevät. Olen aikoinaan mikrotukena ihmetellyt < 60 Hz taajuudella VÄLKKYVÄN (todella isolla kirjaimilla VÄLKKYVÄN) CRT-ruudun ääressä, kuinka kukaan voisi istua sen ääressä edes viittä minuuttia saamatta päänsärkyä. Koneen haltija totesi minulle, ettei hän ole edes huomannut monitorin välkkyvän.

Heh varmaankin akateeminen vapaus on terminä tuttu sinulle:) Itse aloitin työt sellaisessa vaiheessa kun kyseisestä asiasta painittiin. Oli ihan mielenkiintoista seurattavaa. Ja olen enemmänkuin tyytyväinen  mihin ratkaisuun päädyttiin.

[Jallu59]

Useimmat ihmiset eivät oikeasti yhtään tarkkaile, mitä koneellaan tekevät. Olen aikoinaan mikrotukena ihmetellyt < 60 Hz taajuudella VÄLKKYVÄN (todella isolla kirjaimilla VÄLKKYVÄN) CRT-ruudun ääressä, kuinka kukaan voisi istua sen ääressä edes viittä minuuttia saamatta päänsärkyä. Koneen haltija totesi minulle, ettei hän ole edes huomannut monitorin välkkyvän.

Ei se 60Hz itsessään välky, se on aivan riittävä virkistystaajuus sinänsä. Mutta yhdistettynä 50Hz taajudella värähtelevään loisteputkiivalaistukseen tuloksena on murhaava välkyntä jolla on pilattu tuhansien suomalaisten silmät ja miljoonien muunmaalaisten. Nuoremapana ohjelmoijana ihmettelin aikanaan miksi päätä särkee niin usein. Nykytiedolla kiletäytyisin pitkäjaksoisesta työskentelystä kuvaputkinäytöllä loisteputkivalaistuksessa.

Littunäytöillä kuva itsessään ei välky samalla lailla kuin kuvaputkilla, joten niillä ei tuota ongelmaa ole. Ja uudet T5-loisteputket vätähtelevät riitävän suurella taajuudella(30kHz), etteivät nekään pysty aiheuttamaan pumppausilmiötä. Vaan valitettavasti vielä miljoonat työneliömetrit valaistaan edelleen perinteisillä 50Hz loisteputkilla.

T:Jallu59

[Senior]

Minusta peruslähtökohta Windowsien saastumiselle lähtee siitä, että sitä käyttävät ihmiset tykkäävät siitä, että kun kuvaketta klikkaa se asentaa automaattisesti "hyötyohjelman". Mutta miettikääpä mitä tapahtuu kun saat Linuxissasi sähköpostitilille kivan liitetiedoston, jossa kehutaan uutta näytönsäästäjää. Millaisia toimintoja on tehtävä ennenkuin tuo liitetiedosto on päässyt aiheuttamaan korvaamatonta vahinkoa kernelile?

Tietotekniikan opettajani vuosikymmenen takaa kirosi graafiset käyttöliittymät ja totesi "että hiirellä söhlätessä saadaan vain vahinkoa aikaan". Mies oli vanhan koulukunnan kasvatti ja vannoutunut merkkipohjaisen liittymän ystävä. Nyt viimeistään ymmärrän hänen olleen ainakin osittain oikeassa.

Mutta toisaalta, juuri tässähän piilee Windowsin suosio rahvaan keskuudessa. Ei tarvita juurikaan aivotoimintaa, riittää kun näet houkuttelevan kuvakkeen edessäsi ja sinulla on admin-oikeudet tehdä mitä tahansa maan ja taivaan välillä ja matka järjestelmän ytimeen on aivan lyhyt. Windowsin tietoturvan parantaminen vähentäisi sitä käyttäneiden massojen "viihtyvyyttä". Useimmat eivät kykenisi pitkän kaavan mukaan asentamaan sovelluksia.  Windowsin käyttäjät ovat maksaneet kovan hinnan 'vapaudestaan' ja siitä että Microsoft ei ole kyennyt luomaan ns. pakettihallintajärjestelmää josta säännöllisesti voitaisiin helpolla tavalla asentaa luotettavat päivitykset. Tämä suoraan nettisurffailussa tapahtuva uusien "kivojen juttujen" asentamismahdollisuus on luonut ennennäkemättömät mahdollisuudet virus-,mato- ja haittaohjelmalevittäjille.

Juuri se että hetken mielijohteesta voit asentaa minkä tahansa "kivan jutun" on se ansa. Jos systeemi pakottaisi käyttäjää siirtymään monen mutkan kautta vasta varsinaiseen asentamisvaiheeseen, karsisi paljon tuhoisia valintoja. Kysehän on vähän samasta kun ihminen kiivastuu, jos jaksaa laskea kymmenee jää moni typerä sana ja moni nyrkinisku antamatta.

Käyttöjärjestelmän softapuolen heikkouksiin en ota kantaa. Windowsin koodia moni ammattilainen on arvostellut jo vuosia. Itse en ota kantaa sillä minulla ei ole mitään osaamista tuolta osin vaikka sovellusohjelmia, kuten tietokantasovelluksia olen itse aikoinani koodannut. En ole koodamisen ammattilainen. Toki tiedän hyvin että jo yhden tietyn esim. dll-tiedoston raiskaaminen saattaa saada aikaan Windows-ympäristössä tuskallisia seurauksia.

[Senior]

En muuten täysin usko teoriaan, jonka mukaan Linuxissa koettaisiin samoja kauhunhetkiä virusten/matojen/haittaohjelmien kanssa kuin Windows-ympäristössä jos se olisi yhtä suosittu käyttöjärjestelmä. Perustelen asiaa sillä, että se tyyppi joka onnistuisi romahduttamaan Linuxin aseman maailman turvallisempana käyttöjärjestelmänä saisi tuhat kertaa enemmän kuuluisuutta kun joku korealainen joka kippasi 20 miljoonaa Windowsia kanveesiin. Ajatelkaapa miten Redmondissa juhlittaisiin jos Linux kärsisi tuollaisen romahduksen.

Viittaan edelliseen kirjoitukseeni. Oman Linux-koneesi saastuttaminen sinänsä tuikiharvinaiselle viruksella tai madolla on niin perin vaikea homma, että moni meistä edes viitsisi siihen ryhtyä. Ts. sinun on paiskittava hartiavoimin työtä ennen kuin sähköpostista saamasi liitetiedosto teki täystuhon. Windowsilla se on helppo - yksi hiirenklikkaus usein riittää. Tai kun huono tuuri käy niin satuit nyt vain avaamaan juuri sen sivuston jossa on juuri se virustiedosto josta maailman tietoturvayhtiöt eivät tähän asti tienneet mitään.

[aho]

Perustelen asiaa sillä, että se tyyppi joka onnistuisi romahduttamaan Linuxin aseman maailman turvallisempana käyttöjärjestelmänä saisi tuhat kertaa enemmän kuuluisuutta kun joku korealainen joka kippasi 20 miljoonaa Windowsia kanveesiin.

Linux on maailman turvallisin käyttöjärjestelmä? ...

[zepotus]

Yksi syy tuohon windowsin saastumisiin liittyy myös windowsin suosioon: ohjelmistopiratismi!

Eli mikrotukihenkilökoti-isä imuroi Photarin ja hakee pornowarezkeygen-paikasta crackin kyseiseen ohjelmaan ja ta-daa! Kone on saastunut..
Jos ohjelmistopiratismi saataisiin jotenkin kitkettyä, niin eipä noita windowsin käyttäjiä olisi läheskään niin paljon..

Muuten tuosta admin yms. käyttöoikeus jupakasta: luulisi, että Englannin laivastolla olisi tietoturva-asiat kunnossa, mutta niinpä tuo nykyinen "pahamato" riivaa senkin verkkoja.
Ja saastuttaa koneita. Jos siellä ei ole tietotaitoa järjestelmän viilaukseen, niin onhan se kumma.

Koodia: [Valitse]

if (kysymys == turvallisuus)
vastaus = Linux > windows;

[SuperOscar]

Eli mikrotukihenkilökoti-isä imuroi Photarin ja hakee pornowarezkeygen-paikasta crackin kyseiseen ohjelmaan ja ta-daa! Kone on saastunut..

Minä tunnen sen isän Paitsi että hän on riittävän tarkka estämään konettaan saastumisen.

Mitä ohjelmistopiratismiin tulee, sympatiseeraan piraatteja. Jos vaikka kotitarpeiksi haluaa käsitellä valokuvia, satojen eurojen ohjelmahinnat ovat tarpeeseen nähden järjettömän ylimitoitetut. Ilmaiset tai halvemmat ohjelmat eivät välttämättä sisällä tarvittavia ominaisuuksia, puhumattakaan että monelle jokin PhotoShop tulee työpaikalta tutuksi joka tapauksessa.

Tilanne on ihan toinen, jos alkaa tehdä ohjelmalla ansiotyötä.

[zepotus]

Kyllä minäkin sen isän tunnen. Puhun kokemuksesta..

Ennen itsekin käytin ms-järjestelmiä. Ja kotona oli noita "avattuja" ohjelmia.

Nyt onkin sitten ilmaisohjelmat käytössä. Siinä samalla vaihtui alusta. Hyvin on tähän asti pärjätty, eikä ole aikomustakaan vaihtaa.

Ja sitäpaitsi paljon vähemmällä työllä pääsee, kun ei tarvitse kokoajan kytätä, että onko cracki jo disabloitu.

Ennen oli sympatiaa ihmisiä kohtaan, jotka käyttivät "pienimuotoisesti" softia luvatta. Nyt sympatiaa on vähemmän..

[Senior]

Linuxin käytön eräs varjopuolia on se, että saat otsaasi leiman : kommunisti tai pornosivuilla surffaaja. Windowsin puolella uskon että juuri ahneus ja kaupallisuushakuisuun on ainakin osittain syynä "reikäisyyteen". Jos aukkoja paikattaisiin tehokkaasti sen suosio kansan keskuudessa laskisi - hillitön kritiikitön imurointi hankaloitettaisiin. Sitä siis saa mitä tilaa. Mutta merkittävää osaa tässä problematiikassa näyttelee kyllä vakava järjestelmäarkkitehtuurinen tausta. Linus ei aikoinaan ollut ainoa joka ei kovinkaan korkealla Microsoftin softaa noteerannut. Jos Linux olisi yhtä suosittu käyttöjärjestelmä ja Linux-käyttäjät yhtä vastuuttomia räplääjiä kuin Windowsin käyttäjät olisi käyttöjärjestelmän ominaisuuden vaikuttamassa kuitenkin siihen, että virus/mato/haittaohjelma-ongelmia olisi edelleen huomattavasti vähemmän Linuxilla kuin Windowsilla. Gappi vain supistuisi jonkin verran. Nythän tilanne on kai joitain 100 000 000 - 0 Linuxin hyväksi.

[Kullervo]

Linuxin käytön eräs varjopuolia on se, että saat otsaasi leiman : kommunisti tai pornosivuilla surffaaja.

Varjele! Ikinään kuullut moista!

[audi]

Perustelen asiaa sillä, että se tyyppi joka onnistuisi romahduttamaan Linuxin aseman maailman turvallisempana käyttöjärjestelmänä saisi tuhat kertaa enemmän kuuluisuutta kun joku korealainen joka kippasi 20 miljoonaa Windowsia kanveesiin.

Linux on maailman turvallisin käyttöjärjestelmä? ...

OpenBSD? SELinux?

[Sysi]

Voikohan windowsin saastumiseen olla osansa sen omilla jatkuvilla varoitusikkunoilla. Niitten kanssa oppii helposti vain kilikkaamaan OK:ta automaattisesti. UAC:ssa on ilmeisesti se, ettei voi tehdä samalla salasanankirjoituksella montaa ylläpitotehtävää. Ainakin päätteesä tämä onnistuu ubuntulla.

[SuperOscar]

Voikohan windowsin saastumiseen olla osansa sen omilla jatkuvilla varoitusikkunoilla.

”Jatkuvat varoitusikkunat” vain tarkoittaa eri asiaa eri ihmisille. Tiedän minä sellaisenkin tapauksenkin, joka Windows 98 -aikana oli kirjautuvinaan työpaikan verkkoon vaikka oikeasti antoi väärän salasanan ja jatkoi iloisesti Peruuta-namiskan automaattisella painalluksella paikalliseen kirjautumiseen. Kaikkiin esiin tuleviin varoitusikkunoihin (joita oli useita peräkkäin) hän päivittäin viikkojen ajan painoi OK tai Peruuta katsomatta ja ajattelematta. Sitten oli ihmeissään, kun mikään ei toimi.

Eikös muuten ihan vastikään tehty tutkimus, jossa havaittiin, että vaikka varoitusikkunassa lukisi kissankokoisin kirjaimin ”VAROITUS! Painamalla OK saastutat pysyvästi koneesi ja tuhoat tiedostosi”, suuri osa ihmisistä painaa OK hetkeäkään harkitsematta?

[mgronber]

Voikohan windowsin saastumiseen olla osansa sen omilla jatkuvilla varoitusikkunoilla. Niitten kanssa oppii helposti vain kilikkaamaan OK:ta automaattisesti.

Jälleen yksi osoitus siitä kuinka komentorivi häviää graafisten järjestelmien intuitiivisuudelle ja helppokäyttöisyydelle

[Senior]

http://isc.sans.org/diary.html?storyid=5695

Mielenkiintoinen artikkeli, jossa selvitettiin tuon conficker-ohjelman toimintaperiaatetta. Kuten menestyksekkäissä kolkkaajaohjelmissa niin myös tässäkin käytettiin "sosiaalisen huijauksen periaatetta"


Ylempi painikkeesta kovin viattoman näköinen kansiokuvake ja ei hälytyskelloja (ainakaan kovassa työkiireessä) soimaan paneva teksti. Alla on se oikea kuvake ja toiminta. No ylempi käynnistää tietysti - Confickerin.

F-Secure also blogged about the autorun.inf file where they noticed that it contained a lot of garbage (about 60 kb of random binary data). This fooled some AV programs so they didn't scan the device properly (otherwise, they would have picked up the referenced DLL also stored on the device).

After removing garbage, one can see a nice autorun.inf file containing all important keywords. This grabbed my attention:

[Autorun]

Action=Open folder to view files
Icon=%systemroot%\system32\shell32.dll,4
Shellexecute=.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

This is a typical autorun.inf file created by Conficker. The social engineering trick comes from the first two keywords (Action and Icon). When you put this in a Vista machine with default settings, an Autoplay window will pop up asking you what to do, as shown below:

Conficker's autoplay on Vista

So, as you can see, the first part, "Install or run program" is there because Vista detected an autorun.inf file containing the shellexecute keyword. However, the text comes from the Action keyword and the icon is extracted from shell32.dll (the 4th icon in the file) - and it's the standard folder icon!

This can easily fool a user in clicking this one and thinking it will open the USB stick in Windows Explorer instead of the second (the real one). The first option will run Conficker, of course.

Very smart. For administrators among you, I would suggest that you disable AutoPlay in your environments, unless it's really necessary. Depending on the environment you might even completely disable USB, if you don't need it. The following article explain nicely how the AutoPlay feature works and how to disable it (http://technet.microsoft.com/en-us/magazine/2008.01.securitywatch.aspx). Or check this article on the Autorun registry key (http://support.microsoft.com/kb/953252).