SoBig

Muistat varmasti torstain 21. elokuuta, kun SoBig.F-virus sotki sähköpostisi. Mistä tämä tuomiopäivän ötökkä oikein tuli? Kuka sen teki? Mitä sillä tavoiteltiin? Ja tuleeko se vielä uudestaan pilaamaan päiväsi?

Jokainen sähköpostin käyttäjä muistaa sen paskamaisen torstain, 21. päivän elokuuta. Oma postilaatikko tukkiutui kymmenistä, sadoista, jopa tuhansista ‘Thank You’-, ‘Re: Details’- ja ‘Re: Your application’-sähköposteista. Postinvälityspalvelimet tukkeutuivat, ja sähköpostin lähettäminen oli mahdotonta. Liikkeellä oli SoBig.F-virus. Se tulppasi Washington D.C:n tietoliikenneyhteydet ja piti lentoyhtiö Air Canadan lentokoneet maassa. Virus iski lähes puoleen miljoonaan tietokoneeseen ja generoi yli 300 miljoonaa viruspostia miljoonien koneiden sähköpostilaatikkoihin. Suomessa SoBig.F aiheutti kymmenen miljoonan euron vahingot, Yhdysvalloissa lähes miljardin euron tappiot.

Kun virustutkijat torjuivat helposti tammikuussa SoBig.A-viruksen, heillä ei ollut aavistustakaan, että se olisi yhden virushistorian pahimman vittupääötökän esiaste. Kesäkuussa viruksen viides versio, SoBig.E, sai aikaan paniikkia Yhdysvalloissa ja Isossa-Britanniassa. Mutta vasta SoBigin F-versio aiheutti maailmanlaajuisen kaaoksen.

Tiistai 19. elokuuta

Kolea, loppukesän aamu Ruoholahdessa, kello on hieman yli yhdeksän. F-Securen virustentutkimusyksikkö saa epäilyttävän sähköpostinäytteen operaattoriasiakkaaltaan Englannista. Joka kymmenes operaattorin asiakkaista on lähettänyt viimeisen viidentoista minuutin sisällä sähköpostin, joka sisältää samannäköisen liitetiedoston. Vaikka viestistä ei löydy tunnettua virusta, se herättää kummastusta. Vain reilua viikkoa aiemmin ryhmä oli taistellut Nordean tietokoneetkin kaataneen Blaster-viruksen kimpussa.

Yhdeksän hengen virusryhmä selvittää kahdessa tunnissa, että juuri saatu näyte sisältää SoBig-viruksen viimeisimmän version. F-Securessa hälytysvalmius nostetaan heti toiseksi ylimmälle tasolle. Näin tehdään aina, kun huolena on, että virus saattaa tartuttaa suuren määrän koneita paikallisesti.

Klo 12.45. SoBig.F leviää raivoisasti sähköposteissa. Esimerkiksi viruksentutkimusyksikön johtajan, Mikko Hyppösen, suojaamattoman testikoneen sähköpostiosoitteeseen tulee ensimmäisen tunnin aikana sata SoBig.F:n saastuttamaa viestiä, ja tahti kiihtyy. Alkuillasta yhdysvaltalainen operaattori American Online ilmoittaa suodattaneensa jo 12 miljoonaa viruspostia. F-Secure nostaa hälytystasonsa korkeimmaksi mahdolliseksi. Sitä käytetään vain, jos virusepidemiasta on muodostumassa maailmanlaajuinen uhka.

Kerrokseen, jossa F-Securen virustorjuntayksikkö sijaitsee, on turha yrittää ilman tunnisteavainta. Tässä kaikkien virustehtailijoiden vihaamassa toimistossa on kuusi tylsännäköistä toimistokoppia, joiden pöydät ovat vääränään papereita, ja seiniä koristavat halvat julisteet. Jokaisessa 10 neliön kopissa on kaksi tietokonetta ja niiden kimpussa monikansallinen joukko itseoppineita, alansa parhaita työntekijöitä: Venäjältä, Unkarista, Espanjasta. Vain kolme yhdeksästä työntekijästä on suomalaisia.

Kaikkein pyhin, viruslaboratorio, sijaitsee vielä yhden lukitun oven takana. Noin 20 neliön kokoiseen huoneeseen on kulkulupa vain tutkimusryhmän kahdeksalla jäsenellä. Huoneessa on kymmenen tietokonetta, kymmeniä metrejä tietokonekaapelia ja puolisen tusinaa monitoria, joilla luodaan internetiä vastaava suljettu ympäristö. Kone, jolla virustorjuntaohjelmat päivitetään sijaitsee kaltereiden takana. Häkkiavain on vain kahdella ihmisellä. Uudet viruspäivitykset lähetetään tiettyä tunnisteavainta käyttämällä. Tunnisteavain on suljettu huoneen kassakaappiin, jonka yhdistelmä on niin ikään vain kahden ihmisen tiedossa. Vaikka joku kusipää yrittäisi hakkeroida F-Securen koneelle, ei virusta voi levittää päivitysohjelmassa ilman, että murtautuu myös kassakaappiin.

Torstai 21. elokuuta

Jo keskiviikkona yhdysvaltalaisen American Onlinen suodattaman viruspostin määrä nousee yli 30 miljoonaan. Torstaiaamu alkaa katastrofilla. Yritysten sähköpostipalvelimet tukkeutuvat. Palvelimien ylläpitäjät purkavat miljoonien lähettämättömien sähköpostien jonoja yksi kerrallaan ympäri maailmaa. Suomalaisten operaattorien palvelimiin tulee kymmenen kertaa enemmän sähköposteja kuin normaalisti. Kukaan ei tiedä, kuinka monta konetta virus on saastuttanut, sillä se sotkee sähköpostien lähetystiedot. Suurin osa tartunnan saaneista on tavallisia kotikoneen käyttäjiä.

Iltapäivällä F-Securen virusryhmä saa purettua osan SoBig.F:n koodista. Viruksen on määrä aktivoitua perjantaina Suomen aikaa klo 22, jolloin saastuneet koneet ottavat yhteyden kahteenkymmeneen edellisen SoBig-version saastuttamaan koneeseen. Puoli miljoonaa saastunutta konetta vastaanottaa ohjelman, jolla viruksentekijä saa koneet hallintaansa ja muuttaa ne roskapostin levittämiseen sopiviksi palvelimiksi. Esimerkiksi, jos Eurassa asuvan isoäidin Pentium III on valloitettu roskapostipalvelimeksi, mummi huomaa vain, että kone raksuttaa tavallista enemmän ja modeemin valo vilkkuu. Isoäidillä ei aavistustakaan, että koneen kautta lähetetään kymmeniä miljoonia roskaposteja.

Nyt F-Securessa on kiire, aikaa aktivoitumiseen 30 tuntia. Virusyksikkö saa selville välikätenä käytettyjen kahdenkymmenen koneen osoitteet. Yksikkö saa koneisiin yhteyden, ja selviää, että ainoa keino estää viruksen aktivoituminen on kaataa nämä 20 konetta. Tieto välitetään Suomen viestintävirastolle, koska vain viranomaisten avulla voidaan saada kyllin nopeasti kaadettua Yhdysvalloissa, Kandassa ja Etelä-Koreassa sijaitsevat koneet. Koska sähköpostijärjestelmät ovat tukossa, lista tietokoneiden osoitteista toimitetaan puolen kilometrin päähän jalkaisin. Viestintävirasto saa yhteyden muiden maiden viranomaisiin, jotka alkavat välittömästi sulkea listalla olevia koneita.

Kuka sen teki?

Yleensä viruskoodaajat haluavat aiheuttaa kaaosta. Mikko Hyppösen mukaan tekijät ovat pääsääntöisesti 12–30-vuotiaita, turhautuneita miehiä. Yli 90 prosenttia löydetyistä viruksista on amatöörien tekemiä. Ei ole harvinaista, että koodista löytyy surullisia tarinoita siitä, kuinka viruksentekijällä ei ole töitä tai kuinka hän joutuu elättämään vanhempansa.

Sobig.F:n motiivi on kuitenkin selvä: raha. Viruskoodareiden tarkoitus on myydä lista vallatuista roskapostipalvelimista roskapostin lähettäjille eli spämmereille. Tavalliselle sähköpostin käyttäjälle tämä merkitsisi yhä huikaisevampaa vyöryä Viagra-, kasvuhormoni- ja peniksenpidennystarjouksia. Lista kiinnostaa spämmeriä, sillä välityspalvelimen kautta lähetetyn postin alkuperää ei voi selvittää. Toisaalta vain viruksentekijät tietävät, missä koneissa on toimiva välityspalvelin.

Kauppa on käynyt hyvin. Kesäkuussa jo 15 prosenttia kaikesta netissä liikkuneesta roskapostista tuli aiempien SoBig-versioiden saastuttamista koneista.

SoBigin kirjoittajat eivät ole amatöörejä. Viruksen takana on organisaatio tai ryhmä, jonka kiinni saaminen on lähes mahdotonta. Asiantuntijoiden mukaan internetin kautta tekijöitä tuskin saadaan kiinni, sillä he osaavat hävittää hyvin jälkensä. He eivät ole tyhmiä, kuten viruksen kirjoittajat monesti. Nämä virustehtailijat saadaan kiinni vain, jos he puhuvat ohi suunsa.

Perjantai 22. elokuuta

F-Securen masinoima vastahyökkäys onnistuu. Iltapäivällä jo yksitoista konetta kahdestakymmenestä on kaadettu. Virustutkimusyksikön johtaja Hyppönen pyytää lisäapua Yhdysvaltain viranomaisilta. Klo 18.17 hän saa yhteyden henkilöön FBI:ssä, joka pystyy auttamaan tietokoneiden kaatamisessa.

Kello 19 enää kolme konetta on pystyssä. Hyppönen ottaa yhteyden vielä Microsoftin sisäisen turvallisuuden yksikköön. Siellä on töissä entisiä CIA:n ja NSA:n agentteja, jotka pystyvät sulkemaan koneita lyhyessä ajassa.

Kun virus aktivoituu iltakymmeneltä, enää yksi kone on pystyssä. Se sijaitsee Yhdysvalloissa. Kone kaatuu itsestään, kun puoli miljoonaa saastunutta tietokonetta koettaa ottaa yhteyden siihen. SoBig.F on epäonnistunut tehtävässään. Se ei saanut aikaan yhtään uutta sähköpostin välityspalvelinta.

Loppu hyvin, kaikki hyvin?

Ei niinkään. Me emme ole turvassa. SoBig.F-viruksen tarina päättyy 10. päivä syyskuuta, jolloin se on ohjelmoitu tuhoamaan itsensä. Virus tekee tilaa uudelle, parannetulle versiolle.

Keskiviikko 3. syyskuuta

Mikko Hyppönen on esitelty edellisellä viikolla maailman medioissa suurena virusmetsästäjänä. Sotkuisessa, mutta modernissa työhuoneessaan istuva poninhäntäinen rillipää on flunssassa ja väsyneen näköinen. “Koodarin prototyyppi”, joku voisi ajatella. Hyppösellä ei ole torjuntavoitosta huolimatta hyvää kerrottavaa:

“Saatamme nähdä SoBig.G:n jo ennen kuin tämä artikkeli on julkaistu. Miksi tekijät odottaisivat siihen asti, koska F-versio epäonnistui? Seuraavassa versiossa testataan taas jotain uutta toiminnallisuutta ja parannellaan ideaa. Jos joku asia edellisessä versiossa ei toiminut, se ei ole mukana seuraavassa. Ensi kerralla meillä ei välttämättä ole niin paljon aikaa toimia kuin nyt.”

SoBig.F saastutti noin puoli miljoonaa konetta. Se ei ole vielä paljon, sillä vuonna 2001 Nimda-virus saastutti 2,5 miljoonaa konetta. Silti SoBigia voi pitää sähköpostihistorian pahimpana viruksena. Sen aiheuttama sähköpostikuorma oli valtaisa, kymmenen kertaa suurempi kuin mikään aiempi virus on koskaan saanut aikaan. Vuosi sitten harmia aiheuttaneen Melissa-viruksen kirjoittaja sai tihutöistään 20 kuukauden vankeustuomion. Jos SoBigin tehtailijat jäävät kiinni, kakku lasketaan vuosissa.

Inhokkivirukset ja roskapostin alle kaatuvat postilaatikot ovat väistämätöntä arkipäivää.

“SoBig on alkusoittoa nykyisen sähköpostijärjestelmän kuolemalle. Ennen pitkää sähköposti ei ole enää käyttökelpoinen nykymuodossaan”, Hyppönen ennustaa, kättelee ja häipyy seuraavaan palaveriin.

Miten SoBig iskee?

SoBigit ovat sähköpostin liitetiedoston kautta koneelle tarttuvia matoja. Virus tarttuu vain, jos liitetiedosto avataan. SoBigin B-versiosta lähtien viruksen perusidea on pysynyt samana.

Tietyllä kellonlyömällä saastuneet koneet ottavat yhteyttä virusten tekijöiden hyväksikäyttämään nettipalveluun, josta koneeseen ujutetaan tekstitiedosto. Tiedostossa on linkki nettiosoitteeseen, josta koneelle imuroituu ohjelma, joka poistaa viruksen jäljet. Tässä vaiheessa mikään virustorjuntaohjelma ei voi enää auttaa. Virus asentaa koneelle samalla myös kaksi muuta ohjelmaa. Toinen niistä seuraa näppäimistön painalluksia sekä tallentaa kaikki salasanat ja toinen asentaa koneelle roskapostin välityspalvelun.

Yksinkertainen ohje Sobig.G:n varalle: älä avaa sähköpostin liitetiedostoja, joiden sisällöstä ja lähettäjästä et ole varma.