Voiko VPN suojata minua rootkitilta?

Ei. VPN salaa liikenteen laitteesi ja VPN-palvelimen välillä, mutta rootkit toimii laitteellasi ennen salausta. Jos rootkit on asennettu, hyökkääjä voi siepata tietoja, kaapata VPN-tunnuksesi ja jopa poistaa VPN-asiakkaasi käytöstä äänettömästi — VPN ei pysty estämään mitään näistä.

Mistä tiedän, onko laitteellani rootkit?

Rootkitit on suunniteltu olemaan näkymättömiä, mikä tekee niistä erittäin vaikeasti havaittavia. Varoitusmerkkejä voivat olla selittämätön suorituskyvyn heikkeneminen, epätavallinen verkkoliikenne tai virustorjuntaohjelmisto, joka lakkaa toimimasta odottamatta. Luotettavin tunnistusmenetelmä on käynnistää luotetulta ulkoiselta asemalta ja ajaa erikoistunut offline-rootkit-skanneri.

Voiko rootkitin poistaa?

Se riippuu rootkitin tyypistä. Käyttäjätilan ja ydintilan rootkitit voidaan joskus poistaa erikoistyökaluilla, mutta täydellinen käyttöjärjestelmän uudelleenasennus on usein luotettavin ratkaisu. Laiteohjelmiston rootkitit ovat paljon hankalampia — ne voivat selviytyä käyttöjärjestelmän uudelleenasennuksesta, ja joskus saastunut laitteisto on korvattava kokonaan.

Ketkä ovat suurimmassa vaarassa saada rootkit-tartunnan?

Kuka tahansa voi joutua kohteeksi, mutta erityisen suuressa vaarassa ovat toimittajat, aktivistit, yritysjohtajat ja valtion työntekijät — etenkin ne, jotka käsittelevät arkaluonteisia tietoja tai ovat valtiollisten toimijoiden kohteena. Nämä ovat myös usein ihmisiä, jotka luottavat eniten VPN:ään, minkä vuoksi laitteen tietoturva on heille erittäin kriittistä.

Rootkit

Rootkit: Järjestelmässäsi piileskelevä näkymätön uhka

Mikä on rootkit?

Rootkit on yksi vaarallisimmista ja vaikeimmin havaittavista haittaohjelmamuodoista. Toisin kuin tavallinen virus, joka ilmoittaa itsestään selvien häiriöiden kautta, rootkit on suunniteltu nimenomaan pysymään piilossa. Sen ainoa tarkoitus on antaa hyökkääjälle pysyvä, syvän tason hallinta laitteeseesi — ilman että sinulla on siitä aavistustakaan.

Nimi tulee sanasta "root", joka viittaa korkeimpaan järjestelmänvalvojan oikeustasoon Unix-pohjaisissa järjestelmissä, ja sanasta "kit", joka tarkoittaa kokoelmaa tähän käytettäviä työkaluja. Yhdessä rootkit myöntää hyökkääjälle root-tason pääsyn samalla kun se piilottaa kaiken toimintansa jäljet.

Miten rootkit toimii?

Rootkitit toimivat upottamalla itsensä syvälle järjestelmääsi, usein tavallisten sovellusten alapuolelle — ja joskus jopa itse käyttöjärjestelmän alapuolelle. Rootkiteistä on useita tyyppejä:

Käyttäjätilan rootkitit toimivat sovelluskerroksella. Ne sieppaavat järjestelmäkutsuja ja manipuloivat tuloksia, joita käyttöjärjestelmä palauttaa tietoturvaohjelmistoille, tehden haitalliset prosessit näkymättömiksi.
Ydintilan rootkitit toimivat käyttöjärjestelmän ytimessä. Nämä ovat huomattavasti vaarallisempia, koska niillä on sama luottamustaso kuin itse käyttöjärjestelmällä, minkä ansiosta ne voivat muuttaa järjestelmän perustoimintaa.
Bootkit-rootkitit tartuttavat Master Boot Recordin (MBR) ja latautuvat ennen käyttöjärjestelmän käynnistymistä. Tämä tekee niistä poikkeuksellisen vaikeita havaita tai poistaa.
Laiteohjelmiston rootkitit upottavat itsensä laitteiston laiteohjelmistoon — kuten verkkokorttiin tai BIOSiin. Ne voivat selviytyä käyttöjärjestelmän täydellisestä uudelleenasennuksesta ja jopa kiintolevyn vaihtamisesta.
Hypervisor-rootkitit sijaitsevat kokonaan käyttöjärjestelmän alapuolella ja pyörittävät laillista käyttöjärjestelmää virtuaalikoneena säilyttäen samalla näkymättömän hallinnan.

Rootkitit saapuvat tyypillisesti tietojenkalastelusähköpostien, haitallisten latausten, hyödynnettyjen ohjelmistohaavoittuvuuksien tai toimitusketjuhyökkäysten kautta. Asennuksen jälkeen ne paikkaavat käyttöjärjestelmää piilottaakseen tiedostonsa, prosessinsa ja verkkoyhteytensä kaikelta koneella toimivalta ohjelmistolta.

Miksi tämä on tärkeää VPN-käyttäjille?

Tässä kohtaa tilanne muuttuu todella huolestuttavaksi. VPN suojaa liikennettäsi siirron aikana — se salaa tiedot laitteesi ja VPN-palvelimen välillä. Rootkit kuitenkin toimii laitteellasi, ennen kuin salausta edes tapahtuu.

Jos rootkit on asennettu järjestelmääsi, hyökkääjä voi:

Kaapata VPN-tunnuksesi ennen niiden salaamista ja saada näin pääsyn VPN-tilillesi
Tallentaa näppäinpainalluksesi ja näyttösi toiminnan ja nähdä kaiken kirjoittamasi, mukaan lukien salasanat, viestit ja taloustiedot
Siepata salauksen puretun liikenteen sen jälkeen, kun se poistuu VPN-tunnelista ja saapuu laitteesi sovelluskerrokselle
Poistaa kill switchin tai VPN-asiakkaan käytöstä äänettömästi paljastaen todellisen IP-osoitteesi ilman minkäänlaisia hälytyksiä
Ohjata DNS-kyselyt uudelleen tai muuttaa verkkoasetuksia VPN:n alla aiheuttaen DNS-vuotoja ilman, että VPN-ohjelmisto on tietoinen asiasta

Lyhyesti sanottuna rootkit horjuttaa täysin sitä tietoturvamallia, johon VPN nojaa. VPN olettaa, että sen käyttämä laite on luotettava. Rootkit tuhoaa tämän oletuksen.

Esimerkkejä todellisesta maailmasta

Vuonna 2005 Sony BMG toimitti kuuluisasti musiikki-CD-levyjä, jotka asentivat rootkitin Windows-tietokoneisiin DRM:n valvomiseksi — se piilotti itsensä käyttöjärjestelmältä ja loi vakavia tietoturva-aukkoja, joita muut haittaohjelmat hyödynsivät myöhemmin. Viime aikoina kehittyneet valtiollisten toimijoiden uhkatekijät ovat ottaneet käyttöön laiteohjelmistotason rootkittejä toimittajia, aktivisteja ja hallituksen kohteita vastaan — juuri sellaisia ihmisiä, jotka luottavat vahvasti VPN:ään suojautuakseen.

Kuinka suojautua

Pidä käyttöjärjestelmäsi, laiteohjelmistosi ja kaikki ohjelmistosi ajan tasalla sulkeaksesi haavoittuvuudet ennen kuin rootkitit voivat hyödyntää niitä
Käytä hyvämaineisia päätepisteiden tietoturvatyökaluja, jotka sisältävät rootkit-tunnistuksen (ei pelkästään tavallista virustorjuntaa)
Käynnistä luotetulta ulkoiselta asemalta ja suorita offline-tarkistuksia — monet rootkitit voivat huijata laitteen omia skannereita
Suhtaudu laiteohjelmiston rootkit-tartuntoihin tilanteena, joka saattaa edellyttää laitteiston vaihtamista
Ole kriittinen: vältä epäilyttäviä latauksia, ota kaksivaiheinen tunnistautuminen käyttöön äläkä klikkaa tuntemattomia linkkejä

VPN on tehokas tietosuojatyökalu, mutta laitteen tietoturva on se perusta, jolle se rakentuu. Vaarantunut laite tarkoittaa vaarantunutta yksityisyyttä — ilman poikkeuksia.

RootkitEdistynyt