Siirry sisältöön
F-Secure.com
Tästä blogista
Haku
fi
Ajankohtaisia teemoja

Sulje

Haku
fi

Ajankohtaisia teemoja

Elämä F-Securella, Uhat & tutkimus

Kaikki mitä olet aina halunnut tietää virustentorjuntasovellusten näytteidenotosta, mutta et ole kehdannut kysyä

Simo Ristolainen

01.12.17 3 min. lukuaika

Tags:

Jos olet seurannut maailmanpolitiikan uutisia, olet saattanut kuulla myrskystä tietoturvayhtiö Kasperskyn ympärillä.  Venäläistaustainen viruksentorjuntayhtiö on vastannut syytöksiin NSA:n salaisten tiedostojen keräämisestä asiakkaidensa laitteilta ja niiden jakamisesta Venäjän tiedusteluviranomaisten kanssa.  Kaspersky kertoo olevansa viaton. Se sanoo keränneensä tiedostoja osana normaalia toimintaansa puitteissa ja poistaneensa kyseiset tiedostot toimitusjohtajansa ohjeesta.

Tapaus on herättänyt kysymyksiä viruksientorjuntasovellusten tarjoajien toiminnasta. Meiltä on kysytty ja olemme vastanneet joihinkin kysymyksiin. Miksi virustentorjuntasovellukset keräävät tiedostoja asiakkaidensa laitteilta? Mitä näille tiedostoille tapahtuu ja kuinka ne on suojattu?

Kysyimme tutkimusjohtajaltamme Mikko Hyppöseltä useita esitetyistä kysymyksistä uuden podcastimme, Cyber Security Saunan ensimmäisessä jaksossa. Mikko kertoo, miten käsittelemme asiakkaidemme tietoja ja tiedostoja ja miksi on tärkeää voida luottaa valitsemansa torjuntaohjelman valmistajaan.

Kuuntelemaan pääset tästä.

Lisäksi tässä on muutamia saamiamme kysymyksiä ja vastauksia.

Miksi tiedostoja lähetetään asiakkaiden laitteilta virustentorjuntasovellusten valmistajille?

Näin useimmat viruksentorjuntasovellukset toimivat nykyään. Asiakkaidemme laitteilla olevat sovellukset tekevät hyvin kattavan rakenteellisen analyysin haittaohjelmista.  Syvällisemmän analyysin tekeminen haittaohjelmien tai vastaavien tiedostojen toiminnasta voi vaatia esimerkiksi niiden käynnistämisen suojatussa ympäristössä. Tällaisia asioita ei voi tehdä asiakkaan koneella.

Yksinkertaistaen, jos sovelluksemme kohtaa epäilyttävän ja meille uuden näytteen asiakkaan laitteella, eikä sovellus pysty arvioimaan sen vaarallisuutta, kyseinen näyte saatetaan ladata pilveemme analysoitavaksi.

Pilviteknologia parantaa ja nopeuttaa suojausta. Jos turvapilvemme pitää näytettä vaarallisena, se suojaa välittömästi kaikki asiakkaamme.

Kuinka suojaamme asiakkaalta pilveen siirtämämme tiedostot?

Salaamme tiedostot. Käytämme suojattua yhteyttä varmistaaksemme, että kukaan muu ei voi päästä käsiksi tiedostoon. Anonymisoimme kaiken. Joten vaikka meillä on tietty tiedosto, emme itsekään tiedä, kenen käyttäjän laitteelta se on peräisin. Kaikki kyselyt tiedostoihin, niiden tarkastustiivisteisiin ja verkkosivujen maineeseen liittyen tapahtuvat turvapilvessämme salattuina ja anonymisoituina.

Mitä tiedostoja ja tietoja asiakkailta siirtyy meille?

Tämä riippuu tuotteesta ja sen asetuksista. Voit löytää tietoja keräämästämme tiedosta datankeruudokumentistamme (olemme päivittämässä tätä). Voit myös tutustua yksityisyyden suojaa koskeviin periaatteisiimme.

Jos asiakkaamme käyttää uusimpia ratkaisujamme ja ottaa kaiken hyödyn irti turvapilvestämme, niin me saamme tällaista tietoa:

  • Metadataa, joka on syntynyt tiedoston suorittamisesta asiakkaan laitteella (lähetetään vain tietyissä olosuhteissa, ja vain haitallisiksi todetuista näytteistä)
  • Tietoa tiedoston yleisyydestä (seuraamme järjestelmän avulla tietyn tarkistustiivisteen yleisyyttä, laskurimme kasvattaa lukua jokaisella kyselyllä)
  • Tuntemattomat epäilyttävät tai haitalliset verkkosivujen osoitteet. Nämä normalisoidaan, eli henkilökohtaiset tiedot poistetaan). Verkkosivujen tarkistukset tehdään verkkosivun normalisoidun tekstin tarkistustiivisteen avulla
  • Tietyissä olosuhteissa epäilyttävät tai haitalliset suoritettava tiedostot siirretään turvapilveemme jatkoanalyysiä varten
  • Asiakkaidemme meille lomakkeemme avulla lataamat näytteet

Me emme saa:

  • Mitään tietoa, joka auttaisi meitä identifioimaan tietyn käyttäjän tai laitteen, josta olemme saaneet dataa. Emme tiedä, mitkä tiedostot ovat kenenkin, ketkä ovat avanneet tiedostoja tai millä sivuilla käyttäjät ovat vierailleet.
  • Mitään dataa, mitä emme tarvitse suojataksemme asiakkaitamme paremmin. Dataa, joka ei auta meitä suojaamaan asiakkaitamme, ei kerätä, tai jos olemme keränneet, hävitämme datan mahdollisimman nopeasti.

Normalisoimme ja anonymisoimme dataa mahdollisimman paljon asiakkaan laitteella ennen kuin siirrämme sen meidän järjestelmäämme.

Mitä tapahtuu meille analysoitavaksi ladatulle tiedostolle? 

Analysoitavaksi ladatut tiedostot prosessoidaan ensin pilvipohjaisessa virtuaaliympäristössä. Useimmiten tämä prosessi antaa tulokset, jonka välitämme tiedoston ladanneelle asiakkaalle. Tällöin myös hävitämme näytetiedoston. Jos analyysi ei anna selvää lopputulosta, voimme lähettää näytteen jatkoanalyysiin. Näissä tapauksissa tiedosto säilytetään järjestelmässämme rajoitetun ajan, kun prosessoimme sitä. Järjestelmäämme saapuvat tiedostot merkitään erikseen luottamukselliseksi, mikä rajoittaa tiedoston käyttöä ja jakamista muihin järjestelmiin. Analyysin valmistuttua näyte hävitetään.

Millaisia näytteitä saamme asiakkailta?

Ainoastaan suoritettavat tiedostot ladataan näin jatkoanalyysiin.

Jaammeko kopioita asiakkaidemme lataamista tiedostoista VirusTotal-palveluun, lakia valvoville viranomaisille tai eri maiden tiedusteluviranomaisille?

Kaikki asiakkaidemme meille jakamat tiedostot luokitellaan luottamuksellisiksi. Tämä tarkoittaa, että emme jaa näitä kenenkään kanssa. Tiedosto kategorisoidaan uudelleen vain siinä tapauksessa, että havaitsemme sen leviävän vapaana, eli sama tiedosto löytyy useammalta laitteelta.

Emme jaa tiedostoja VirusTotal-palveluun. Jaamme näytteitä luotetuille kumppaneille, mutta ainoastaan näytteitä, jotka luokittelemme epäluottamuksellisiksi. Lakeja valvovat viranomaiset jakavat tiedostoja meille analysoitavaksi, mutta ei toisin päin. Jaamme osan uhkatiedostamme organisaatioille, kuten CERT-FI:lle (esimerkiksi tunnistus- ja hälytystietoja tai analyyseja haittaohjelmista, joilla on tiettyjä kohteita tietyissä maissa), jotka voidaan sitten ohjata kyseisen maan lainvalvontaviranomaisille. Lyhyesti: jaamme tietoa, emme näytteitä. Näytteitä saatetaan pyytää, mutta jaamme vain näytteitä, jotka eivät ole luottamuksellista tietoa.

Voivatko käyttäjämme valita jakavatko he epäilyttäviä tiedostoja tutkijoillemme?

Tuotteidemme asentaminen edellyttää jossain määrin tietojen jakamista. Huolehdimme, että asiakkaamme ovat tietoisia yksityisyyden suojasta ja periaatteistamme. Asiakkaidemme ei tarvitse käyttää turvapilveämme, mutta tämä heikentää tuotteidemme suorituskykyä. Lyhyesti, kun käytät virustorjuntasovellustamme, päätät jakaa tietoa, mutta voit kuitenkin sulkea pois osan ominaisuuksista. Tarjoamme mahdollisuutta datankeruun estoon jopa ilmaisessa verkkoskannauspalvelussamme.

Simo Ristolainen

01.12.17 3 min. lukuaika

Kategoriat

Elämä F-Securella, Uhat & tutkimus

Merkinnät

Korostettu artikkeli
Elämä F-Securella

F-Secure ja WithSecure – Mitä sinun tulee tietää

Luciano Mondragon

30.03.22

3 min. lukuaika

Aiheeseen liittyvät julkaisut

F-Secure ja WithSecure – Mitä sinun tulee tietää

Lue artikkeli

Luciano Mondragon

30.03.22

3 min. lukuaika

Elämä F-Securella

F-Secure Consulting -akatemia yksi reitti tietoturvauralle

Lue artikkeli

Sanna Syrjäläinen

09.12.21

2 min. lukuaika

Elämä F-Securella

Emotet palasi kesälomalta ja on jälleen aktiivinen – Miten pienennät riskiä ympäristössäsi?

Lue artikkeli

Tuomas Miettinen

19.08.20

3 min. lukuaika

Uhat & tutkimus
Uhat & tutkimus

Koronavirus-aiheiset sähköpostihyökkäykset kehittyvät viruksen kanssa samaa tahtia

Sanna Syrjäläinen

13.03.20

2 min. lukuaika

Newsletter modal

Kiitos kiinnostuksestasi uutiskirjettämme kohtaan. Saat piakkoin sähköpostin, jotta voit vahvistaa uutiskirjeen tilauksesi.

Gated Content modal

Onneksi olkoon – voit nyt tutustua sisältöön klikkaamalla alla olevaa painiketta.