Kuu: detsember 2007

Tormised jõulud…

Jõululaupäeval hakkas jälle levima “Storm Worm“, mis on juba üsna vana viirus, aga seda on pidevalt modifitseeritud.
Näiteks saidilt merrychristmasdude.com saab oma arvutisse laadida faili stripshow.exe, kui stripimaias kasutaja vajutab linki “Download For Free Now”.
Seesugust omapärast jõulutervitust sisaldava saidi link levib eelkõige e-maili kaudu, mille sisu võib olla selline:

This Christmas, we want to show you something you will really enjoy.
This might not be fun for the whole family, but I bet you’ll like it come one take 2 min and check it out.
{Siia lisatakse link}

Faili alla tõmmanud ja käivitanud kasutaja arvutis kopeeritakse Windowsi süsteemikausta programm disnisa.exe, registrisse lisatakse ka registrivõti, nii et viirus käivitatakse koos arvuti käivitamisega. See pahalane kasutab oma looja (te)ga suhtlemiseks peer-to-peer protokolli.

Olge tähelepanelikud kõikide internetilehekülgedega, milles palutakse teil midagi “huvitavat”alla laadida.

Aga muidu häid pühi! 🙂

Esimene vaheloosimine toimunud

Vaata Maailma sihtasutuse turvalise loosi esimene vaheloosimine oli reedel, 14. detsembril.

Fortuuna Henrik Roonemaa ja http://www.random.org/ kujul jagas auhinnad alljärgnevalt:

Nokia 6300 – Melina (24)
Nokia 6300 – Tiit (26)
LG Shine KE 970 – Mati (31)
LG KE 800 – Marge (33), Mobiil-ID-ga allkirjastaja.

Võitjatega on ühendust võetud.

Ülejäänud vähemõnnelikel tuleb nüüd oodata järgmist vaheloosimist jaanuaris.

Tahad tasuta arvutit? Seekord ilma pettuseta!

Või mobiiltelefoni või 30 000-kroonist reisikinkekaarti?

Selleks tuleb anda digiallkiri ja osaleda loosimisel: https://www.arvutikaitse.ee/loos/

Tasuta on loosimine seetõttu, et sihtasutus Vaata Maailma koos oma partneritega soovib propageerida digiallkirja võimalusi ning demonstreerida näitlikult, kui lihtne ja soodne on anda digiallkirja.

Loosimisel osalemiseks tuleb siirduda aadressile https://www.arvutikaitse.ee/loos/, tutvuda loosimistingimustega, täita hilisemaks kontaktivõtmiseks tarvilikud lahtrid ning digiallkirjastada loosis osalemise taotlus (allkirjastatud taotlus saadetakse hiljem ka osaleja meiliaadressile).

Esimene vaheloosimine on juba reedel, 14. detsembril, loosi läheb neli mobiiltelefoni (neist üks Mobiil-ID-ga allkirjastajate vahel). Teine vaheloosimine on 18. jaanuaril, lõplik loosimine aga 6. veebruaril.

Muide, iga osaleja saab anda tervelt kaks allkirja: ühe ID-kaardiga, teise Mobiil-ID-ga. Konfidentsiaalsus ja isikuandmete kaitse on garanteeritud.

Mina ise kahjuks osaleda ei saa, reeglid ei luba 🙁
.

Klassika – Aafrika sõjapõgenike hiigelpärandus

nigeria.JPG

Riigiprokuratuuri teatel on viimasel ajal hakanud internetis levima petukirjad, milles palutakse osaleda Aafrikas elava «sõjapõgeniku» miljonitesse USA dollaritesse ulatuva päranduse kättesaamisel, lubades vastutasuks abistamise eest osa pärandusest.

Mina sain esimese seesuguse elektronkirja juba 9 aastat tagasi, paberkujul liikusid need veelgi varem. Mõned kohalikud ärimehedki jäid suurt raha lubavaid kirju uskuma, lendasid kohapeale, jäid kogu kaasavõetud rahast ilma ja olid veel õnnelikud, et vähemalt elunatuke alles jäi.

Tookord ammu, 1998. aastal olid kirjad muidugi märksa kõrgelennulisemad – jutt käis ikka Aafrika eksdikdaatorite Mobutu Sese Seko ja Samora Macheli miljonitese, mõnikord koguni miljarditesse dollaritesse ulatuvast pärandusest. Personaalselt mulle lubati sellest 4 milli puhtalt kätte 🙂
Tookord viitsisin ka saatja aadressi jälitada. Kirjad olid küll postitatud Yahoo veebimeili kaudu, kuid pisike kaevamistöö viis mind ühe Nigeeria suurima linna Lagose ärikeskuse võrgusõlmeni. Kerge taustauuring aga näitas, et selliseid petukirju vorbiti juba tollal enam-vähem samade Å¡abloonide järgi massiliselt – keegi oskajam tegelane kirjutas teksti valmis ning ülejäänud paljundasid seda siis oma nime alt. Seega enam-vähem sama tööjaotus mis praegugi. Ainus, mis sealjuures kergelt hämmastama paneb, on see, et ikka veel leidub neid, kes sihukeste klassikaliste hanitustega oma rahast ilma oskavad jääda.

Meeldetuletuseks ka üks galerii kõikvõimalikest päranduse- ja muu raha jagajatest.

Mikko Tallinnas

mikko.JPGMõned F-Secure’i turvapealiku Mikko Hypponeni mõtted tema tänasest ettekandest Estonia talveaias.

F-Secure’i turvalaborisse tuleb 17 000 pahavarakahtlusega koodinäidist päevas, tegelikku pahavara on sellest 300-500 ühikut. Mida on sellegipoolest palju 🙁 Hetkel on teada 250 000 ühikut pahavara, Mikko ennustab selle kahekordistumist aasta jooksul.

10 aastat tagasi tuli muretseda kurjategijate pärast, kes tegutsesid sinuga samas linnas. Nüüd tuleb muretseda arvutikurjategijate pärast, kes tegutsevad näiteks Brasiilias. Hullem veel – kurjategijat ei huvitagi, kes te olete või kus te asute – teda huvitab ainult see, kuidas teilt teie raha ära võtta.

Mikko jutustas ka Tariq al-Daour’ist, kes mängis varastatud krediitkaardinumbritega pokkerit ning ostis nende kaudu kaotatud summade (kokku 2 mln eurot) varustust Iraagi mässulistele.

Tõenäoliselt vene päritolu Storm Worm’i grupi rünnak algas 18.01.2007, kõigepealt lihtsalt exe-failidest manustega. Kuna enamus tulemüüre pidasid selle spämmi kinni, hakati saatma võltslinke youtube’i, mis nõudis videoklipi näitamiseks “plugina” allalaadimiseks. Jätkati pühadekaartidega. Kokku saadi ligi miljonist arvutist koosnev p2p-põhine botnet, millel polnud keskserverit, mida maha võtta. Ehk siis superarvuti, mida ei kontrolli mitte valitsus või suurkorporatsioon, vaid kurjategijad. Lisaks sellele oli botnetil ka viirustõrjujavastane hoiatussüsteem, mis ründas kogu oma võimsusega neid, kes üritasid seda uurida.

Tekkinud superarvutit kasutatakse seesuguse spämmi renderdamiseks, mida tavalistel spämmitõrjetööriistadel raske töödelda. Kui saata välja miljon ühikut spämmi päevas ning sellele reageerib ka 0,0001 protsenti saajatest, teenitakse ikkagi tuhandeid.

Mikko arvates kasutaja harimine ei tööta kunagi – nagunii klikivad ja topivad igale poole oma krediitkaardinumbreid. Kavalamad troojalased, näiteks Torpig, viskavad popup-akna ette siis, kui logite oma pärispanka, küsides lisaautentimist krediitkaardinumbriga. Samuti kasutatakse pärisülekannete tegemisel pisiparanduste tegemist, suunates ülekande näiteks kurjategija arvele. Selliste nõksude vastu kasutajate harimine ei aita.

10-15 aasta pärast on põhiosa internetikasutajaid Aasias (hetkel on seal internetikattuvus vaid 10%). Kes neid kõiki harida jõuab? on Mikko lootusetu. Samas on tema hinnangul tavaliste kurjategijate kõrval kasvamas täppisinfot otsivate spioonide osakaal.

Suurem osa rünnakuid tuleb Ida-Euroopast (eriti Moskva ja Peterburi ümbrusest), Brasiiliast, Ida-Aasiast ja USA-st.

Häkkerifoorumitest saab osta varastatud krediitkaardinumbreid ja turvakleepse, pahavara ja spetsiaalselt teie konkurentide vastu suunatud rünnakuid. Suur osa kevadistest rünnakutest Eesti vastu tuli üüritud botnettidelt. Rahapesuks värvatakse tankiste (soovitavalt kriminaalkorras karistamata :)). Eelmisel aastal kasutati Rootsis ligi tuhandet tankisti ligi 9 miljoni Rootsi pankadel arvetelt varastatud Rootsi krooni väljavõtmiseks…

“Lisanditega” jõulukaardid

Jõulud on ukse ees  ning seoses sellega on kombeks saata õnnitlusi nii kirja kui e-posti teel.

Juba praegu on mitmeid teateid e-postkaartidest, mis sisaldasid pahavara, kirjutab meile F-Secure edasimüügi juht Eestis Raido Orumets.  Eelkõige tasuks jälgida postkaardi saatjat: kui tegemist on saajale tundmatu isiku või ettevõttega, siis ohutuse mõttes on soovitatav postkaart parem kustutada.
Samuti tuleks jälgida, et kõik viimased viirustõrje uuendused oleksid arvutisse paigaldatud ja Windows turvapaigad installeeritud.

Eile saabunud esimene pahavaraline e-postkaart nägi välja alljärgnev:
123xmas.gif

Nagu ikka, palutakse postkaardi nägemiseks külastada veebilehekülge.
123xmas.jpg
Pilt on ilus, kuid selle tulemusena laetakse kasutaja arvutisse pahavara, mis annab kurjategijatele tagaukse kaudu ligipääsu kasutaja arvutile. Mikko ütleb, et täpsemalt on tegemist mIRC-põhise Zapchastiga.