Arvutikaitse

Kui Conflicker välja arvata, siis viimasel paaril aastal on enim kõneainet pakkunud kurivara, mida kutsutakse botnettide kuningaks – Zeus. Hetkel peetakse selle tekitajat maailma ohtlikumaks troojalaseks, mille uute variantide vastu on võimetud paljud viirusetõrjevahendid. Kaks aastat järjest on see kohutanud finantsmaailma ja pangandust, varastades kümneid miljoneid dollareid arvutikasutajate raha.

Trusteer.com turvaspetsialist Amit Klein on teatanud, et Zeus viimane täiustatud variant kasutab iseenda peitmis- ja teisendamistüüpe, samuti kernel tasandi rootkit-tehnoloogiat, mis teeb ta veelgi raskemini avastatavaks misiganes tõrjevahenditele. Tema sõnul on ohustatud kõik Windowsipõhised opisüsteemid ja peamiselt just need arvutikasutajad, kes teevad oma online rahaülekandeid veebilehitsejate Mozilla Firefox ja Internet Explorer vahendusel. Turvafirma spetsialistid on tähenldanud, et hetkel kasvab arvutite pahavarasse nakatumine kiiremini kui kunagi varem.

Ajalugu

Troojalane Zeus, mida tuntakse ka paljude teiste erinevate nimede all – Zbot, PRG, NTOS, Wsnpoem, Gorhax – on olnud aktiivne juba aastast 2007, kui esimestest avastatud rünnakutest teatasid  Reuters ja SecureWorks. Esimene tõrjespetsialistide poolt tuvastatud rünnak toimus juulis 2007, mil püüti varastada andmeid mitmetest tuntud Ameerika Ühendriikide suurfirmadest (näiteks Hewlett-Packard Co), kusjuures ohvriks langes isegi USA Transpordiministeerium. Juba septembris –detsembris 2007 avastati uus tõrjevahendite eest peitu jäänud pangandustroojal Zeus põhinev botnet-võrgustik, mis ohustas paljusid juhtivaid suurpanku USA-s, Suurbritannias, Hispaanias ja Itaalias.

Aastal 2008 pakuti paketti juba müügiks või rentimiseks nn kõik-ühes-serveriteenusega koos sisseehitatud administraatori paneeliga ja ründetööriistadega, mis võimaldas rentijal luua iseenda isiklik botnetvõrgustik kuridegude kordasaatmiseks.

Juunis 2009 näitasid kräkkerid üles erilist jultumust, kui turvafirma Prevx  andmetel ohustas Zeus 74 000 FTP kontodele sisselogimisandmeid, näiteks Disney.com, Bloomberg.com, BusinessWeek.com, Discovery.com, Amazon.com kontosid  ja suhteliselt traagilises mõttes ka selliseid kontoomanikke, mis  ei tohiks sellesse nimekirja  iialgi sattuda  - NASA.com, BankofAmerica.com, Oracle.com, Symantec.com, McAfee.com, Cisco.com ja  Kaspersky.com.

2009 aasta oktoobris-novembris toimusid rünnakud sotsiaalvõrgustike Facebook ja MySpace kasutajate vastu, kutsudes neid klikkima linkidel, mille läbi tõmmati arvuti botnetti.

Aruanded

Trusteer 2009 septembri aruande järgi oli ainuüksi USA-s nakatanud 3,6 miljonit arvutit, kuid uurimustöö põhjal arvatakse, et tegelikku nakatumiste arvu võib pidada paljudes kordades suuremaks. Irooniline on veel see, et analüüsi järgi olid tervelt 55% protsenti botnetti kuuluvatest arvutitest viirusetõrjetega kaitstud, kusjuures need olid uuendatud ka viimaste tõrjesignatuuridega.

Ka turvafirma Prevx möönab, et botnetti nakatunud arvutite hulka ei oska keegi  täpselt prognoosida, võidakse ainult tõdeda, et see ulatub miljonitesse arvutitesse üle maailma.  Kui firma jälgis kuue nädala jooksul infektsioonide levikut, siis jõudis see nakatada 20 000 uut arvutit päevas. Tõrjespetsialistidele on selgeks saanud ka  Zeus trooja looja(te) kavalus – selleks ajaks, kui turvaanalüütikud jõuavad selle identifitseerida ja luua vastumeetmeid kurivara kahjustamiseks, on kräkkeri(te) poolt valmistatud juba uusim versioon pahavarast, mis jätkab edasist takistamatut tegevust.

Zeus on pangandus-trooja, mis eeldatavasti pärineb Venemaalt või vähemalt vene keelt kõnelevatest Ida-Euroopa riikidest.  Symantec.com andmetel on paketis mitmed failid, kaasaarvatud Help-abifailid, kirjutatud just vene keeles. Viimase aasta jooksul on paketti pidevalt uuendatud ja täiustatud selle looja või loojate poolt. Siiamaani ei teata kindlalt, kas selle ohtliku, samuti ülimalt professionaalse ja unikaalse tööriisakomplekti loojaks on üksikisik või kuritegelik rühmitus, kuigi viimaste andmete põhjal arvatakse selleks siiski olevat üksikisik. Zeus pahavarapakett on tänaseks saanud küberkurjategijate seas ülimalt populaarseks ning seda kasutatakse enim finantskuritegude kordasaatmisel.

Zeus paketti, mis kannab nime Zeus Builder (ehitaja -konstruktor), müüakse erinevates häkkerite kogunemislehtedel, -foorumites- ja jututubades olenevalt versioonist hinnaga 700 – 4000 dollarit tükk. Zeus Builder on lihtsalt üks väikesemahuline tööriistakomplekt, mille abil on erinevad küberkurjategijad loonud erinevaid botnette, nii väiksemaid kui suuremaid. Näiteks ka Kneber botnet, millest olen  kirjutanud artiklis Kneber – kuritegelik botnet-võrgustik, on loodud tegelikult  troojalase Zeus baasil.

Zeus viimaseid versioone ei pakuta ainult ühese paketina, vaid juurde on võimalik osta ka lisamooduleid. Näiteks Windows 7/Vista toe eest tuleb küberkurjategijatel lisaks letile laduda 2000 dollarit, aga kui nad aga soovivad osta lisamoodulina ka täielikult toimiva virtuaalühenduse (VNC-  Virtual Network Computing moodul), mille abil saavad nad võtta kogu kontrolli nakatunud arvuti üle, maksab see lisatasuna “kõigest” 10 000 dollarit veel.

Muuseas, viimase versiooni puhul on turvaspetsialistid täheldanud esmakordselt maailmas ainulaadset kuritegeliku tööriista  kaitsmise meetodit – autor kaitseb oma “suurteost” Zeus Builder´it riistvaralise litsenseerimise süsteemiga, mis tähendab, et paketti saab jooksutada vaid ainult ühes süsteemis kindla võtme olemasolul. See näitab väga selgelt, kui kõrgelt hindab pahavara looja oma tööd. Selle tööriista järjepidev täiustamine aga annab aimu, et nõudlus selle järele kurjategijate seas on suur ja oht Zeusi nakatuda tulevikus võib muutuda veelgi aktuaalsemaks kui praegu. Täpsemalt kõigest sellest kui ka Zeus Builder uusimast versioonist, millesse on lisatud veelgi surmavamaid funktsioone, saab lugeda Secureworks artiklist või Networkworld loost.

Nakatumise põhimõtted

Zeus on loodud varastama kasutajate kõikvõimalikke privaatseid andmeid finantspettuste kordasaatmiseks. Sellisteks andmeteks ei pruugi alati esmajärjekorras olla ainult pankade ja e-poodide kasutajatunnused ja paroolid, vaid ka kõikvõimalike sotsiaalsete võrgustike (Facebook, MySpace jne) kontoandmed ja FTP ning e-mailide logimisandmed, mille abil saadakse hiljem, kui kasutaja arvuti on liidetud botnet-võrku, niikuinii ligipääs pangakontodele. Loomulikult võimaldab see ka saadud kontode abil nakatada uusi kasutajaid botnet võrgustikku, saates kontoomaniku nimel tema nimekirjas olevatele tuttavatele ja sõpradele justkui süütuid linke neile klikkimiseks.

Peamiselt levitataksegi troojat e-mailidega, millesse on manustatud fail avamiseks või lisatud link sellele klikkimiseks. Näiteks teatakse, et keegi hea inimene on saatnud imeilusailusa tervituskaardi, mida saab imetleda lingile klikates. Või teatatakse justkui mõne sotsiaalse võrgustiku poolt või isegi Microsofti poolt, et näiteks Facebook kasutajaandmeid tuleb kirja manustatud ankeedil uuendada või on Microsoftil pakkuda mõni kriitiline turvavärskendus, mis tuleb lingi abil kohe arvutisse installeerida. Lingile klikates aga suunatakse õgnitsemissaidile, mis nakatab märkamatult arvuti. Paraku ka hiljem ei suuda kasutaja aru saada, et arvuti on juba botneti liikmeks määratud.

Samamoodi võib seda arvutisse laadida drive-by allaladimiste teel veebilehtedel, mis tähendab , et kasutaja kaudselt justkui kinnitab oma nõusolekut millegi allalaadimiseks, kuid ei saa aru tagajärgedest ja allalaadimine toimub tema teadmata. Näiteks kasutaja püüab veebilehel sulgeda häirivat hüpikakent, aga seoses sellega paigaldatakse kasutaja teadmata arvutisse pahavara. Sageli on see seotud võlts-programmide pakkumistega veebilehtedel  või mõne põneva reklaamkirjaga, mis viitab sellele klikkama.

Trooja suudab kräkkeri kaasabil süstida veebilehtedele ka uusi väljasid ja lahtreid, mis nõuavad kasutajatelt rohkemate privaatsete andmete sisestamist kui tavaliselt ja mis loomulikult saadetakse reaalajas just kurjategijale.

Kui arvuti on saanud botneti kliikmeks, siis luuakse tagauks ehk backdoor, mille kaudu edastatakse häkkerile veebilehel tehtavaid toiminguid – klahvinuhi abil salvestatud kasutajanimed ja paroolid või ekraamipildid sisestatud koodidest. Zeus trooja nakatumise puhul ei ole oluline, kas kasutaja on arvutis administraatori õigustes või mitte.

Veel mõned huvitavad aspektid

Huvitavaks teeb Zeus paketi puhul asjaolu, et häkker, kes seda kasutab, saab vajadusel lisakäskude abil kas ühte botneti liiget või tervet botnetti juhtida kontrollserverist oma tahtmise järgi. Näiteks huvitavamateks käskudeks on arvuti sulgemine või taaskäivitusele saatmine, muuta veebilehitseja kodulehte, laadida arvutisse faile, kaustu ja pahavaralisi programme, varastada digisertifikaate, muuta ja modifitseerida  arvutis olevaid faile ja regirtivõtmeid (%systemroot%\system32\drivers\etc\hosts).

Aga veelgi põnevam käsk, mis on pahavara analüüsijad  sügavalt mõtlema pannud, et milleks seda vaja on– on enesehävitamise käsk KOS (kill operating system). See võimaldab kräkkeril kaugjuhtimise teel kustutada olulisi süsteemifaile, mille tulemusel ei laadi opisüsteem enam üles ja sageli peale seda tuleb kasutajal  uus süsteem asemele installeerida. Mõningad arvamused siiski on – võimaliku vahelejäämise kartuses püütakse peita kõik jäljed, et edasine analüüs muutuks raskemaks. Samuti võib tegu olla kavalusega – arvuti rikkumisega püüab kräkker aega võita, et teostada kuritegelikke rahaülekandeid, ilma et kasutajal oleks pääsu internetti, et kahtlaseid tehinguid juhuslikult märgata. Näiteks aprillis 2009 hakkas  abuse.ch analüütik Roman Hüssy jälgima ühte Zeus kontrollserverit, mille botnetvõrgustikku oli ühendatud 100 000 nakatunud süsteemi, kui ta üllatusega märkas, et kontrollserver andis käsu KOS – 100 000 arvutisüsteemi surmati peaaegu üheaegselt.

Kuidas arvutit kaitsata

Ehkki https://zeustracker.abuse.ch/ andmetel on viirusetõrjetel botnettide avastamise määr kõigest 47, 11% (1.mai 2010 andmetel ) ja uusima Zeus Builder tööriistad teevad avastamise veelgi raskemaks, siis ikkagi tuleb järjepidevalt värskendada viiruse-ja nuhkvaratõrjeid viimaste signatuuridega. Kindlasti tuleb uuendada ka operatsioonisüsteemi viimaste turvapaikadega ning ka arvutisolevat tarkvara tuleb uuendada viimaste versioonide vastu.

Kindlasti ei tohi avada kahtlaseid e-maili manuseid ega klikkida igal lingil, mis nendes pakutakse. Sotsiaalsetes suhtlusvõrgustikes nagu Facebookis jne ning veebilehtedel surfates ei ole vaja klikata igale reklaamaknakesele ega laadida arvutisse kahtlaseid faile.

Töökohtades online pangatehinguid sooritades püüa seda teha alati arvutis, mis ei ole üldkasutuses. Mõned pessimistlikumad turvaspetsialistid soovitavad firmadel kaaluda isegi alternatiivsete opisüsteemide kasutuselevõttu just nimelt ja ainult pangatehingute tegemiseks ning eriti tähtsa info hoidmiseks, ent minu arvates on see liiast, ehkki tuleb tunnistada, et nutikas pakkumine. Seda enam, et väidetavalt suudab Zeus troojalane vahetult enne krüpteerimist teha andmetest koopiad, kuni need saadetakse läbi turvalise SSL-ühenduse teele.



Olen arvamusel, et diskussioon eraelu kaitse üle töösuhetes, on vägagi positiivne. On ju hetkel seda valdkonda reguleeriv seadusandlus üsna vana ja tegelikult on „halli ala“ suhteliselt palju. Näiteks on täielikult reguleerimata töötaja taustakontroll enne tööle võtmist ja tööle võtmise ajal. Mis aga puudutab ettevõtte poolt oma töötajate e-posti jälgimist, siis see on vajalik ja, ehkki servapidi hallis alas, ka juriidiliselt korrektne.

Sisuline külg

Tööandja poolt töötajale kasutamiseks antud vahendid, sealhulgas arvuti, internetiühendus ja e-posti aadress, on tööandja omand. Juhul, kui nendega mingisugune pahandus peaks toimuma, vastutab selle eest tööandja. (veel…)

Muude seadusparanduste hulgas kuulutas meie president THI 27-ndal oktoobril välja nn laseriga lennukipimestamise ja identiteedivarguse seadusmuudatuse (530 SE). Et see allakirjutus toimus Pronksiöö seadusest tingitud kisa-kära õhkkonnas, siis siinkohal kordame üle, mida identiteedi vargus või kuritarvitus üldse tähendab.

Lühidalt kokku võttes – karistusseadustikku tekkis uus paragrahv §157², mille sisu on järgmine:

”§ 157². Teise isiku identiteedi ebaseaduslik kasutamine

Teist isikut tuvastavate või tuvastada võimaldavate isikuandmete
tema nõusolekuta edastamise, nendele juurdepääsu võimaldamise või
nende kasutamise eest eesmärgiga luua teise isikuna esinemise teel
temast teadvalt ebaõige ettekujutus, kui sellega on tekitatud kahju
teise isiku seadusega kaitstud õigustele või huvidele, või varjata
kuritegu –
karistatakse rahalise karistuse või kuni kolmeaastase vangistusega.”

Hästi lühidalt kokku võttes tähendab uus paragrahv seda, et Jaan Kundla libablogi või  Anu Saagimi libablogi loomise ja pidamise eest saab nüüdsest  kellegi vangi panna küll.

Pisut pikemalt seletades takerdus selliste libasaitide uurimine varemalt sinna taha, et politseil polnud nende lugude suhtes jälitustegevuste õigust. Tüüpiline asjade käik oli, et kui inimene nägi netis oma nimel avaldatud asju mida ta tegelikult ega ikka ei kirjutanud küll, siis viis kodaniku tee kõigepealt politseisse, sealt Andmekaitse Inspektsiooni ning kui mingit juhuslikku pidepunkti ei avastatud, siis jäi tegelik tegija avastamata. Nüüd aga on meil uus seadusesäte.

Seoses sellega mainigem, et §157² asjades on nüüd politseil ka jälitustegevuse õigus.

Kokkuvõttes – libablogide pidajad, värisege!

Kuid muudatus ei puuduta üksnes blogisid. Kui keegi näeb, et tema rate.ee konto on üle võetud ja sealtkaudu tehakse mingeid põhjapanevaid avaldusi, siis on shanss, et pätt ongi juba “teise isikuna esinemise teel loonud temast ebaõige ettekujutuse” ja siis on pätil soolas rahatrahv või kuni kolm aastat kinnimajas.

Seoses sellega: ettevaatust lapsed, kes te olete harjunud oma klassikaaslaste kontosid “pulli pärast” üle võtma, selle äriga on nüüd lõpp – asi on riiklikult kriminaaliseeritud. On pisut raske hinnata, kui populaarne alaealiste hulgas säherdune tegevus täpselt on, aga ilmselt me räägime sadadest juhtumitest aastas.

Ettevaatust, lapsevanemad – teie laste süütu nali kriminaliseeriti ära. Pidage siis oma võsukestele loeng sellest mis juhtub kui võõra isiku kontoga “natuke nalja” teha.

Paraku, nagu Eestis ikka ja tavaliselt, ega siis ükski seadus kohe esimese korraga õigesti välja ei tule, alati jäävad mingid agad. Uue §157² puhul seisneb paratamatu kaasnähtus selles, et kriminaliseeriti mitte üksnes isiku ees- ja perekonnanime väärkasutamine, vaid – kindluse mõttes – identiteedi  kui hoomamatult laia mõiste kuritarvitamine. Mis minu kui mittejuristi hinnangul tähendab, et interneti nickid nagu kiisuke37, MikiHiir ja blabla omavad nüüd kraadi võrra kangemat kaitset kui on kaubamärkidel.

Nimelt, kui kodaniku põhiline identiteet netis on sigalind69 ja ta tunneb, et keegi teine on sama nime kasutamise pluss mõne väljaütlemisega tema mainet rikkunud (näiteks öelnud, p-sse *erakond! – mida tema kunagi ei ütleks), siis muretsejal on alus politseisse minna, avaldus kirjutada ning lasta oma identiteedi väärkasutaja vastutusele võtta. Juristid küll nii mures pole, nad eeldavad, et politseis ja kohtus on mõistlikud inimesed, kes suudavad igal konkreetsel juhul otsustada. Samas, nagu ütles THI ise (küll ühes teises asjas) – “Oluline on ka põhimõte, et karistusseadustik ei saa tegeleda tõenäosusprobleemidega, vaid peab sisaldama õigusselgust eriti selliste tegude suhtes, millega kaasnevad kriminaalõiguslikud tagajärjed,” kommenteeris president Ilves. “Seesugustes küsimustes peab valitsema vastutuse ja mõistete täielik selgus, mida on korduvalt rõhutanud ka riigikohus.” Küsin tsitaadi valguses üle – mis siis ikkagi on identiteet?

Kartaago hävitamise repliigina lisan, et kuivõrd identiteedi kuritarvituse  puhul on nüüdsest võimalik politseitöös kasutada jälitustegevust, siis vähemasti teoreetiliselt eksisteerib võimalus, et võlts-sigalind69 kodust leitakse arvuti, täis piraat-tarkvara ning sekka peoga ka lapspornot. Ning siis pole enam tähtis, mis oli kuritöö esialgne kvalifikatsioon. Arvuti kui töövahend liigub kuudeks ekspertiisi ning paragrahve tuleb kaela päris mitu.

Meenutan – hindamisi vähemalt 40% kodudes on piraat-tarkvara ja muid autoriõiguse rikkumisi nii et maa must, liiatigi, kui majas on mõni mees, siis iga 100 ühiku porno kohta leidub statistiliselt ka 1-2 ühikut lapsporri.

Diskussioon on teretulnud.

Lisainfot [2009-11-04 11:50]:  Martin Paljaku arutlus identiteedist (palju huvitavaid linke).

Lisaks jäänukprotsessidele, on pahavara ja puudulike desinstallimisprogrammide tagajärjena ketas täis faile, mida kunagi enam vaja ei lähe. Teine suur kettaruumi raiskaja on rakendused, mis laevad võrgust alla materjale, säilitavad need kettal vahemälus ega eemalda või piira vahemälu suurust. Vaba kettaruumi vähesus (nt. alla 15% ketta mahust), põhjustab süsteemi ebastabiilsust, sest tekkida võivad probleemid näiteks saalefaili laiendamisel või kettaoperatsioonide aegluse tõttu. Seega tuleks lisaks rakenduste eemaldamisele ka ketas puhtaks teha. (veel…)

Igapäevase arvuti kasutamise tulemusena jääb arvutisse hulganisti tarkvara, mis on kas kasutaja teadmata end arvutisse paigaldanud või ei ole ennast eemaldamisprogrammiga korralikult eemaldanud. Suur osa sellisest tarkvarast ei ole pahatahtlik, kuid nende programmikeste suur hulk võib arvuti muuta aeglaseks või panna veidralt käituma. Seega tuleks vähemalt kord aastas oma arvuti üle käia ja sealt kõik ebavajalikud programmijupid eemaldada või välja lülitada. Parim aeg sellise suurpuhastuse tegemist on enne tiheda kooli- ja tööperioodi algust.

(veel…)

Aasta alguses tuli välja uus Internet Explorer versiooninumbriga 8. Uut versiooni välja andes märkis Microsoft siiski juurde, et töö Internet Explorer 8 kallal ei ole veel lõppenud. Nüüd on lõppenud arendustööd Windows 7 kallal ning sellega on valmis saanud ka Internet Explorer 8 vastav versioon. Seega on õige aeg uurida, mida uut on tehtud Internet Exploreri turvalisuse osas.

(veel…)

Käesoleval ajal on turvaanalüütikute suurimaks probleemiks saamas turvariskide tõestamine. Küsimus polegi enamasti selles, kas risk kui selline tegelikkuses eksisteerib, vaid just nimelt see, kui suur on mingi asja sündimise tõenäosus.

Enamasti hindavad turvamehed riske kõrgemalt kui need tegelikkuses aset võiksid leida. Eks niisugusel suhtumisel ole ka omad objektiivsed ja subjektiivsed põhjused. Ühest küljest, nagu ütleb Murphy – kui mingi asi saab metsa minna, siis ta kindlasti sinna ka läheb. Teisest küljest puutuvad turvamehed keskmisest rohkem kokku kõige halvaga ning see muudab nad (võib-olla et ülemäära) paranoiliseks.

Samas kipuvad need, kelle käes on ettevõtte rahakott, hindama riske (oluliselt) madalamalt, kui need tegelikult realiseerima kipuvad. Tüüpiline suhtumine on niisugune, et kui turvamees väidab midagi probleemiks olevat, tahavad otsustajad riski taga näha statistilist tõenäosust ning ütlevad, et ilma kindlate tõendite ja taustsüsteemita peavad nad seda järjekordseks uudiseks kurioosumite rubriigis: „Täna sai jälle üks peasapallur välgulöögist surma“.

Mõnes mõttes on selline suhtumine arusaadav. Kuna turvalisuse esmane eesmärk on halbade asjade ärahoidmine, siis turvameeste korrektse tegevuse korral enamasti midagi ei juhtugi. Samas on turvameetmete rakendamine suhteliselt kallis ja tülikas. Äärmuslikul juhul on sellest tulenev turvalisuse ignoreerimine läinud niikaugele, et firma turvapoliitika ongi: „Ei mingeid turvameetmeid ning kõik kahjud loeme äritegevuse loomulikuks osaks“.

Eriti keerukas on riskide tõestamine arvutiturbe alal. Riskid ise tekivad ja kaovad oluliselt kiiremini ning tagajärjed on, vähemalt esimesel pilgul, palju vähem fataalsed. Näiteks on enamik viiruseid küberkriminaalidele kasulikud esimese 24-48 tunni jooksul. Pärast seda on viiruste signatuurid juba viirustõrjefirmade poolt kirjeldatud, viirustõrje suudab pahalase ära tunda ja eemaldada ning  suurt kahju see  enam teha ei saa.

Samuti ei ole Eesti ettevõtetel ja asutustel kahjuks kohustust raporteerida turvaintside toimumisest. See aga vähendab riskide tead(us)liku analüüsi võimalusi. Eelkõige selles osas, mis puudutab reaalset statistikat selle kohta, mis on ohtlik ja millistele sihtrühmadele.

Nii ongi, et spetsialistid hoiatavad riskide eest ja (tava)inimesed peavad nende hoiatusi lihtsalt hirmutamiskampaaniateks. Tüüpilise näitena võib siinjuures tuua AssaPauk kampaania ja selle kajastusi Eesti blogosfääris.

Kahjuks ei ole mul hõbekuuli probleemi lahendamiseks, kuid arutleda võiks selle üle, kas ettevõtetele või vähemalt riigiasutustele peaks panema kohustuse intsidentidest teavitada (näiteks CERT.EE-d). Teisest küljeks võiks CERT.EE avaldada oma „tormihoiatusi“ kindla regulaarsusega, näiteks igakuiselt. Võib-olla parandaks see otsustajate turvateadlikkust ja riskitunnetust?

Eelmisel korral kirjutasin rünnete ennetamisest Windows keskkonnas. Windows ei ole aga mitte ainus keskkond, mida rünnatakse. Järgnevalt teen ülevaate, kuidas ennetada ründeid Linux, Mac ja BSD keskkondades.

Elementaarne turve

Kui Windows puhul näib loomulik, et arvutis on olemas nii personaalne tulemüür kui ka antiviirus (ning pahavara vastane rakendus), ei ole need rakendused sugugi mitte levinud teistes keskkondades. Elementaarne tulemüür on siiski enamikes olemas, kuid tavaliselt piirdutakse ip või pordi järgi siseneva liikluse filtreerimisega. See ei ole tihti siiski piisav ning soovitav on omada tulemüüri, mis kontrollib suhtlust ka rakenduste järgi ning võimaldab filtreerida väljuvat suhtlust. Tegelikkuses on see kõik võimalik ka operatsioonisüsteemidega Linux ja BSD tihti kaasas oleva iptables tarkvaraga, Maci tulemüür aga nii detailset konfigureerimist ei toeta. Linuxi tavakasutajatele mõeldud distributsioonid sisaldavad tihtipeale ka graafilist rakendust tulemüüri seadistamiseks ning mõnel juhul on ka vaikimisi seadistus juba päris korralik. Sealjuures on kasutajaliides tihti sarnane Windowsi tulemüürile, mis küsib väljuva võrguliikluse korral kasutajalt, kas ta soovib rakendust võrku lubada. Maci tulemüüri seadistamise juhendi leiate siit, iptables seadistamise graafilise rakenduse Firewall Builder kohta leiate infot siit.

Linuxi (ja kohati ka Mac) kasutajate seas on levinud arvamus, et nende platvormi niikuinii ei rünnata, mistõttu pole ka arvutit aeglasemaks tegevat antiviirusprogrammi vaja. See arvamus kaob pärast paari intsidenti viiruse või kahtlase võrguliiklusega (Linux ja Mac on eelistatud/levinud botnettide juhtimisserverite platvormid). Parem on olla valmis ning kasutada antiviirusprogrammi – see võib leida üht-teist huvitavat ja teie jaoks tundmatut teie arvutist. Antiviirusprogramme on nii Linux-le, BSD-le kui ka Mac-le mitmeid, sealjuures ka vabavaralisi. Valiku vabavaralisi antiviirusprogramme võite leida VabaVaraVeebist. KDE kasutajate jaoks on tõenäoliselt mugavaim kasutada KlamAV-d, Gnome kasutajate jaoks ClamTk-d. Mõlemad neist on ClamAV graafilised kasutajaliidesed. ClamAV omab versioone ka Windowsil, Solarisel ja mitmetel teistel operatsioonisüsteemidel (Mac-i tuge tal pole). Tuntuim vabavaraline Mac antiviirus on iAntivirus, mille leiate siit. Veel aasta tagasi soovitas Apple Mac OS kasutajatel kasutada Mac OS platvormil korraga vähemalt kahte erinevat antiviirusprogrammi. Nüüdseks on soovitus muutunud ning soovitatakse kasutada vähemalt ühte antiviirusprogrammi.

NX/XD bitt (riistvaraline DEP)

Windowsis vastas protsessori NX (No eXecute) / XD (eXecution Disabed) võimalusele DEP (Data Execution Prevention) tehnoloogia. NX/XD tähistab protsessori oskust eristada käitatavaid andmeid mitte-käitatavatest (kirjutatavast mäluosast).

NX/XD bitti toetavad nii BSD, Linux kui ka Mac OS. Erinevalt Windowsist, kus biti kasutamine on lihtsalt sisse-välja lülitatav, oleneb nii Linux kui Mac OS puhul biti kastumine kasutatavast tuumast. Uuemad Mac OS X-d (alates versioonist 10.5) on NX biti kasutamine sisse lülitatud, vanematel see puudub (10.4.4 omas piiratud NX biti kasutamise tuge). Ka uuemad Linuxi distributsioonid omavad NX biti tuge, kuid tihti on see tuumas välja lülitatud, et tagada paremat ühilduvust vanema riistvaraga. Näiteks on Fedora Linux puhul NX biti kasutamiseks vajalik vaiketuuma (kernel) asendamine “kernel-PAE” paketiga. Linuxi distributsioonide turvatud (hardened) versioonid reeglina kasutavad NX bitti. Uuemad BSD distributsioonid (alates FreeBSD 5.3 ja OpenBSD 3.4) kasutavad NX bitti.

Seega lihtsam viis kontrollimiseks, kas teie Linux, Mac OS X või BSD kasutab protsessori pakutavat NX bit tuge, on kontrollida oma operatsioonisüsteemi (või selle tuuma) versiooni ning vajadusel uuendada seda. Riistvaralise DEP-i kasutamise ja sisse lülitamise kohta saab lugeda ka NSA juhendist.

Kasutajakonto turve

Peamine reegel kasutajakontode kasutamisel on, et alati tuleks kasutada kasutajakontot, millel on igapäevategevusteks piisavad õigused ja vähe õigusi, mida igapäevaselt ei kasuta. See tähendab, et arvuti igapäevaseks kasutamiseks peaks alati kasutama piiratud õigustega kasutajakontot, mitte administraatori (root) kontot. See vähendab võimalust, et sinu külastatava veebilehe või avatava e-kirja (või käivitatava programmi) tulemusel saab ründaja või pahavara ligi sinu operatsioonisüsteemi kriitilistele osadele ning ei põhjusta süsteemi töökõlbmatuks muutumist.

Peaaegu kõigis uuemates operatsioonisüsteemides on võimalik käivitada rakendusi mõne teise kasutajana kui aktiivne töölaua kasutaja. Nii on Windowsis käsk runas (menüüvalik “käivita kui …”) ja Linuxis käsk su (ja selle sarnased sudo, kdesu jt.). Nende käskude kasutamine on eelistatud viis operatsioonisüsteemi konfigureerimistegevuste teostamiseks (sh. uute rakenduste paigaldamine). Viimasel ajal on populaarne automaatne administraatori konto andmete küsimine juhul kui operatsioonisüsteem tuvastab, et rakendus vajab  administraatori õigusi. Tihtipeale on selline küsimine seotud tegevustele kinnituse küsimisega. Windowsis nimetatakse sellist käitumist UAC-ks (User Access Control), kuid selline käitumine on olemas ka turvalisusele orienteeritud Linuxi versioonides (sh. Fedora Linux).

Kokkuvõtteks

Kuigi Linux, BSD ja Mac OS X puhul ei räägita palju rünnete ennetamise tehnoloogiatest nagu DEP, UAC, ASLR jt., on neil vastav tugi olemas. Nende tehnoloogiate kasutamine on aga vähem tähele pandav kui Windowsi puhul. See tähendab, et nende võimaluste sisse/välja lülitamine või töös oleku kontrollimine on tihti keerulisem või lausa võimatu. Seega eeldab näiteks Linuxi turvaline kasutamine enamasti paremaid teadmisi operatsioonisüsteemi ja süsteemsete rakenduste kohta, kui Windowsi (või Mac OS X) turvaline kasutamine.

Suurim probleem Linux, BSD ja Mac OS X platvormidel on vähene pahavara vastaste rakenduste (nt. antiviirused, pahavara eemaldajad) levik. Seda peamiselt seetõttu, et neid platvorme reklaamitakse kui pahavara vabasid, mida nad tegelikult ei ole. Kaspersky Labs asutaja Eugene Kaspersky ennustab nendel platvormidel pahavara leviku kiiret kasvu juba lähitulevikus. Sama meelt on ka mitmed teised turvakonsultandid, kelle arvates ei ole Linux, BSD ega Mac OS X kasutajaskond veel ületanud piiri, millest alates nende ründamine annab märgatava tulemuse. Seega tuleks nende platvormide kasutajatel kindlasti veenduda, et nad kasutavad antiviirust, tulemüüri ja administraatori konto on kasutusel vaid eriolukordades (nt. uue rakenduse paigaldamine või olemasoleva ümber konfigureerimine või eemaldamine).

Nädal enne jõule käis mu tuttavate arvutites justkui must katk ringi. Üks neist väitis, et peale elektrikatkestust  Windows ei buutivat enam üles, teine olevat Vistale mittesobiva draiveri peale tõmmanud, mis rikkus opisüsteemi, ning kolmas saanud tõenäoliselt viiruse kas MSN-ist või failivahetusprogrammist ja sarnaselt eelnevatele ka temal  arvuti enam ei käivitunud. Süsteemi enda abivahendid vigade parandamiseks  aga ei aidanud.

Ja nagu sellistel puhkudel tavaliselt ikka ilmneb, arvutisse olid jäänud higi,vere ja pisaratega  kogutud ülitähtsad failid, mida ei soovitud mingi hinna eest kaotada. Loomulikult ei oldud neist failidest ka koopiaid tehtud, kasvõi kõige tavalistematele CD või DVD-dele. Buutivatest startup-plaatidest  polnud nad kuulnudki  või arvasid (nagu miljonid kaaskannatajad), et „minuga midagi taolist ei saa kunagi juhtuda”. Aga võta näpust – Murphy ju teab, et kui midagi saab untsu minna, siis ta ka läheb!

Tegelikulkt tehti süsteemi kiirparandamiseks kõik õigesti – esimesena  valiti Start Windows  Normally,  siis prooviti taastada varasemaid sätteid –  Last Known Good Configuration . (veel…)

Ennustamine on üks ääretult tänamatu tegevus. Kuid arvestades praegust olukorda ja trende tasuks siiski ettevaatavalt analüüsida järgneva 12-24 kuu olukorda arvutiturvalisuses.

Arvestades, et majanduslangus jätkub veel terve 2009. aasta, võib arvata, et kuritegevus sellevõrra kasvab,  seda nii tava- kui  kübermaailmas. Tõenäoliselt hakkab majandus 2010 vaikselt jalgu alla saama, samas, tulenevalt väikesest ajalisest nihkest, jätkub ka kuritegevuse kasv.

Põhihuvi on raha

Arvutimaailmas saab põhiliseks trendiks erinevat liiki küberkuritegevus. See tähendab, et jätkub ja kasvab eelkõige kiiret tulu lubavad asjad, nagu krediitkaardipettused ja spämmimine. Spämmi hulgas kasvab tõenäoliselt eelkõige kõikvõimalike „Nigeeria kirjade” ja püramiidskeemide reklaami hulk. Samuti muutub nende arsenal järjest kavalamaks.

Kodukasutajad löögi all

Infovargused ja spämmimine vajavad neutraalseid tugipunkte. Parmad sellised kohad on pahalaste poolt kontrollitavad kodukasutajate arvutid ehk botid. Seda arvestades võib oletada, et internetis kasvab pahavara hulk. Ülima tõenäosusega on esmasteks ründajateks teised botid, kuid ilmselt kasvab pahavara hulk ka Web2.0 rakendustes. Eelkõige kasutatakse siin ära kasutajate ja blogijate teadmatust.

Viiruste renessanss nutitelefonides

Arvestades, et järgneva mõne aasta jooksul kasvab internetivõimeliste mobiilseadmete hulk, on tõenäoline, et kasvab spetsiaalselt nende jaoks kirjutatud pahavara hulk. Umbes 10-15 aastat tagasi, kui internetiühendus toimis veel modemi abil, üritati arvutisse sokutada viiruseid, mis käskisid modemil helistada tasulistele numbritele. Arvestades, et nn nutifonid on oma olemuselt arvuti ja telefoni hübriidid, võib oletada, et need vanad viirused otsitakse uuesti välja ja kirjutatakse nutifonide jaoks ringi. Selliste helistamisseadmete risk on eelkõige selles, et ta hakkab ilma kasutaja teadmata helistama mingitele tasulistele numbritele (eestis näiteks 900- algavatele).

Pannes kokku kodukasutajate mobiilseadmed ja botid, saame mobiilse botneti. Tõenäoliselt ilmub esimene selline botnet aastal 2010. Ilmselt kasutatakse sellist mobiilset botneti eelkõige kasutajate andmete õngitsemiseks aga samuti ka arvutiviiruste levitamiseks.

Viirused muteeruvad

Tõenäoliselt muutuvad kavalamaks ka arvutiviirused. Juba mitu aastat on ennustatud multiplatvormsete arvutiviiruste laiemat levikut (esimesed on juba olemas). Tõenäoliselt saavad esimesteks sellisteks multiplatvormseteks viirusteks mobiilseadmete ja „päris” arvutite vahel liikuvad viirused. Tõenäoline on, et viirused kirjutatakse muteerumisvõimelisemaks, mis omakorda tähendab seda, et nende avastamine muutub raskemaks.

Viiruste kirjutamise ja levitamise põhiliseks eesmärgiks saab kasutajate andmete õngitsemine. See tähendab, et kasvab andmete varguste hulk. Saadud andmeid hakatakse kasutama eelkõige identiteedivarguseks, sealhulgas krediitkaardipettusteks.

Midagi head?

Sellise pessimistliku prognoosi peale võib küsida, et kas midagi paremaks ka läheb. Arvatavasti läheb aastatel 2009-2010 paremuse poole P2P võrgustiku olukord. See tähendab, et nende võrgustike kaudu edastatava pahavara hulk tõenäoliselt väheneb.  Eelkõige on põhjuseks toimiva viirustõrje kasutamise kasv.

Kuidas ennast kaista?

Kuidas kasvava küberkuritegevusega hakkama saada ning järjest metsikumas Internetis ellu jääda? Esiteks peavad arvutikasutajad teadvustama, et riskid järjest kasvavad. Teiseks peavad arvutikasutajad mõistma, et turvalisus sõltub eelkõige neist endist – et iga arvuti kõrvale ei ole võimalik panna eriteadmistega küberpolitseinikku. See tähendab omakorda, et kasvama peab arvutikasutajate teadlikkus ja hoolsus. Selle arvutikasutajate teadlikkuse tõstmise eest üritab Arvutikaitse hoolitseda ka järgneval aastal.