Internetissä tapahtuu kummia. Toukokuusta lähtien verkossa on kulkenut paljon ylimääräistä liikennettä, joka näyttää lähtevän liikkeelle olemattomista osoitteista ja yrittää kytkeytyä palvelimiin joita ei ole olemassa. Tapauksen tutkiminen osoittautui hankalaksi, koska jo pelkästään liikennettä aiheuttavan ohjelman löytäminen oli vaikeaa. Liikkeellä oleva datahan näytti olevan peräisin osoitteista joita ei ole olemassakaan.

Kummallisen ohjelman jäljille päästiin hiljalleen. Tietoturva-asiantuntijat löysivät troijalaisen hevosen, vakoiluohjelman, joka suorittaa porttiskannauksia toisiin koneisiin ja lähettää tulokset harhailemaan verkkoon. Kävi kuitenkin ilmi, että meillä onkin edessämme mysteeri jota ei ole suinkaan vielä ratkaistu.

Löydetty troijalainen toimi eri tavalla kuin tietoturva-aukkoja etsivät porttiskannerit yleensä: se liitti toisiin koneisiin lähetettyihin koputuksiin väärennetyn paluuosoitteen. Tämä tarkoitti sitä, että skannauksen tulokset eivät koskaan palanneet kyselyitä lähettävälle ohjelmalle, vaan lähetettiin satunnaiseen nettiosoitteeseen. Kyseisessä osoitteessa mahdollisesti olevalla koneella ei tietenkään ollut mitään tekemistä alkuperäisen häkkeröinnin kanssa ja niinpä tiedot mahdollisesti löytyneistä tietoturva-aukoista katosi bittien roskakoriin kun kukaan ei halunnut ottaa niitä vastaan. Monissa tapauksissa vastaanottajan osoitetta ei oltu edes kytketty Internetiin. Kaikki tämä vaiva turhan takia?

Ohjelma toimi kuitenkin nerokkaasti. Kun ylläolevan kaltaisia troijalaisia alkoi olla liikkellä tarpeeksi, verkko alkoi täyttyä niiden aikaansaamasta liikenteestä. Kukin näistä ohjelmista skannaili ympäristöstään löytyviä palvelimia ja lähetytti skannaustulokset matkalle sattumanvaraisesti valittuun osoitteeseen. Liikkeellä alkoi olla runsaasti satunnaisesti kolkutelluista palvelimista olemattomiin osoitteisiin matkalla olevia porttiskannauksien tuloksia.

Tässä vaiheessa mukaan astui häkkeröintiohjelman toinen ominaisuus: se kuunteli ympärillään kulkevaa verkkoliikennettä. Jos se sattui havaitsemaan ohikiitäviä muiden troijalaisten aikaansaamia skannaustuloksia, se keräsi ne talteen. Tällä tavalla ohjelma pystyi keräämään hiljalleen tietoa ympäröivässä verkossa mahdollisesti löytyvistä turvallisuusaukoista paljastamatta itseään. Suurin osa liikkeellä olevasta tiedosta joutui kuitenkin edelleen hukkaan. Ja tuolloin myös ylläpitäjät alkoivat ihmetellä, mikä aiheuttaa tätä ylimääräistä liikennöintiä verkossa.

Tietoturvayhtiö Intrusec raportoi sivuillaan ohjelman toiminnan paljastavista tutkimustuloksista. Stumbleriksi ristitystä troijalaisesta raportointiin News.comissa (jo 9.6. ja myös tällä viikolla) sekä ISS:n ja Intrusecin sivuilla. Myös Slashdot tarttui aiheeseen tänään.

Mutta asia ei ole suinkaan selvitetty. Intrusec havaitsi myös, että heidän löytämässään troijalaisessa oli lukuisia ohjelmointivirheitä. Se tallensi tietoa väärin eikä edes kyennyt toimittamaan keräämäänsä tietoa eteenpäin. Ohjelmaan tallennettu osoite, se johon kerätyt tiedot oli määrä palauttaa, ei osoittanut mihinkään nettiin kytkettyyn koneeseen.

Ohjelmasta löytyi myös toiminto, jonka avulla lopullista raportointiosoitetta voidaan vaihtaa lähettämällä verkkoon tietyllä tavalla koodattua tietoliikennettä. Tuota toimintoa ei kuitenkaan oltu kytketty päälle. Troijalaista ei oltu rakennettu leviämään, joten siinäkin suhteessa se vaikutti hyvin vaarattomalta.

Eikö olekin outoa, että uusista nerokkaita konsepteja hyödyntävistä viruksista, troijalaisista ja madoista löytyy aina joukko alkeellisia ohjelmointivirheitä, jotka tekevät niistä liki vaarattomia?

Intrusec kertookin raportissaan, että tämä troijalainen ei ole vastuussa kaikesta toukokuun jälkeen havaitusta mystisestä verkkoliikenteestä. Sen sijaan kyseessä saattaa olla “copycat”, verkossa liikkuneista uutisista ja raportoista poimittujen tietojen perusteella nopeasti rakennettu halpa kopio alkuperäisestä, vielä löytämättä jääneestä madosta. Stumbler saattaa olla myös testi, jolla kokeillaan uuden “kolmannen sukupolven” troijalaisen tehoa myöhempiä varsinaisia hyökkäyksiä varten, tai pelkkä hämäys joka vie huomion pois vaarallisemmasta liikkeellä olevasta ohjelmasta.

Lueskellessani Slashdotista troijalaiseen liittyvää viestiketjua, törmäsin erään kirjoittajan ilmaan heittämään mielenkiintoiseen ajatukseen: voisiko tämä liittyä jotenkin paljon puhuttuun Magic Lanterniin?

Magic Lantern on koodinimi FBI:n kehittelemälle rikollisia vastaan taisteltaessa käytettävälle teknologialle. Valmistuttuaan sen on tarkoitus olla verkossa toimiva viruksen kaltainen menetelmä, jonka avulla lainvartijat pystyvät lähettämään epäiltyjen tietokoneisiin näppäimenpainalluksia tallentavan vakoiluohjelman. Tämän ohjelman avulla pystyttäisiin tutkimaan kryptattuja sähköposteja ja dokumentteja selvittämällä niiden avaamiseen käytettäviä salasanoja.

“Taikalampun” täytyy olla tietysti sekä nerokkaasti koodattu, että myös hyvin piilossa pysyvä, onhan sen tarkoitus pysyä piilossa aina siihen asti kun sitä tarvitaan. Rikolliset pitävät hyvin todennäköisesti huolta siitä, että heidän koneissaan on asennettuna kaikki viimeisimmät virusskannerit päivityksineen…

Ehkä kyseessä on Magic Lantern, ehkä “vain” yksi uusi troijalainen, mutta tämä on kuitenkin mielenkiintoinen reaalimaailman salapoliisitarina, jonka kehittymistä on hauska seurata. Nyt kun Salaiset kansiotkin ovat loppusuoralla (huom! kaikkien aikojen viimeinen tuplajakso 24.6. ja 1.7 – mukana myös Mulder), mielessä on paikka auki aina yhdelle uudelle salaliittoteorialle.

Katsottuamme edellisen kuukauden sisällä kolme tuotantokautta Star Trek TNG:tä, minuun vetosi välittömästi myös toinen Slashdotissa esiin pulpahtanut ajatus: entäpä jos Internet on kasvanut niin suureksi, että se alkaa muuttua tietoiseksi? Verkossa kulkeva ylimääräinen liikenne onkin hermoimpulssien liikettä synapsien välillä ja ennen pitkää huomaammekin että Internetillä alkaa olla oma tietoisuus ja persoonallisuus. Ihan kuin Trekissä. :-)