themes theme jeux izle-videolar ruya tabirleri logohaberleri sinema ruya

Artiklid alates ‘Rünnakud’ rubriigist

Arvutikaitse ABC

12. veebruar 2008

arvutikaitse_abc_esikaas.jpgSee on väga hea ja asjakohane raamat. Mina kirjutasin selle 🙂

Tähendasin seal üles enamlevinud pahavara iseloomustused ning mõningad võtted, kuidas end internetiohtude vastu kaitsta. Üritasin vältida akadeemilist soliidsust ning lugeja koormamist tehniliste detailidega, nii et seda peaksid julgema kätte võtta ka need, kes end arvutiasjanduses väga kodus ei tunne.

Kõik nähtused on rühmitatud eraldi peatükkidesse ja esitatud tähestiku järjekorras. Kaanest kaaneni järjest läbilugemine ei ole kohustuslik, kavalam on leida registrist huvipakkuv märksõna ja lugeda konkreetset peatükki. Jah, paberil ei saa ikka nii mugavalt linkida kui internetis…

Irja Ahi tegi “Arvutikaitse ABC”-le võrratud ja vaimukad illustratsioonid, Sverre Lasn ägeda kujunduse. Väljaandmise korraldas sihtasutus Vaata Maailma, rahaliselt toetasid Hansapank, SEB, Elion ja EMT.

Esitlus on täna, 12.02 kell 14 Viru Keskuse Rahva Raamatu esitlussaalis. Osta saab esialgu Rahva Raamatust, kui trükikoda ülejäänud tiraaži valmis saab, siis ka Apollost ja mujalt.

Hoiatus: uut tüüpi viirused!

17. jaanuar 2008

Hillar Aarelaid CERT-ist saadab sellise hoiatuse. Asi on tõsine, taustainfo väidab, et rünnatud on konkreetselt Eesti pankade kliente. 

Arvutiturbe uurimisega tegelev firma Panda Research hoiatab oma analüüsis uut tüüpi viiruste eest, mis suudavad kasutajate pangakontodelt raha varastada, ilma et kasutaja seda märkaks.

Kui varem võis kasutaja pahavarast aru saada selle järgi, et panka sisenemisel küsiti näiteks mitut koodi, siis nüüd on liikvel uut tüüpi viirused. Neid saab leida vaid viirusetõrjega, ilma tarkavara kasutamata ei ole nakatunud ja viirusest puhta arvuti erinevust võimalik näha. Nn troojalased nimedega Limbo ning Sinowal sisenevad kaitsmata arvutitesse kasutaja teadmata ja lisavad sinna koodi, mis annab kontrolli arvuti üle.

Kui kasutaja tahab olla kindel, et tema arvuti ei ole uut tüüpi viirustega nakatunud, tuleks arvuti puhastada viirusetõrjega. Kuna need viirused uuenevad kiiresti, on hea kasutada mitme eri firma tarkvarasid ja lasta neil oma arvuti üle kontrollida.

Kel veel viirusetõrje tarkvara arvutis ei ole, on võimalik arvutifirmadelt tellida arvuti puhastamist viirustest ja paluda selle käigus endale uusim viirusetõrje installeerida.

Symantec hoiatab: spämmerid ründavad ajaveebide kaudu

17. jaanuar 2008

Saime Symantecilt järgmise pressiteate:

Peale jõulupühade rämpspostivoogu suunduvad spämmerid trendikate ajaveebide kallale

Turvatarkvaratootja Symanteci värske rämpspostiraporti hinnangul oli kõikidest detsembrikuu jooksul maailmas saadetud meilidest keskmiselt 75% rämpspost. Jõulupühadele eelnevail päevil kerkis rämpsposti hulk isegi 83 protsendini. Novembrikuu maht oli 72%.

Detsembrikuus lisasid spämmide loojad rämpsposti erinevaid jõuluteemalisi peibutusi, et tekitada inimestes ettevaatamatust. Näiteks üks kaval uusaasta tervitus pakkus linki, mida klikkides sai lubaduse järgi kuulata toredat muusikalugu. Tegelikult sai kirja vastuvõtja enda arvutisse kiusaka Storm Worm viiruse.

Teised aktuaalsed detsembrikuu teemad, mida spämmerid kasutasid oma lõksudes, olid nafta ülemaailmne hinnatõus ning Ühendriikides toimuvad presidendi eelvalimised. Symanteci spetsialistid avastasid Aasias ja eriti Hiinas tõusva trendi, et reklaame või pahavara sisaldavaid ajaveebe paigaldatakse saitidele, mis pakuvad kasutajatele tasuta kettaruumi.

Symanteci jaanuarikuu rämpspostiraporti koos statistiliste andmetega saab alla laadida sellelt veebilehelt.
Symantec monitoorib ülemaailmset spämmitegevust üle 2 miljoni spetsiaalselt loodud meilikonto abil. Lisaks sellele on ettevõte ehitanud Interneti-andmeliikluse monitooringuvõrgustiku, mis katab oma 40 000 sõlmkohaga rohkem kui 180 riiki. Symanteci tehnoloogia kaitseb praegu maailmas üle 450 miljoni e-posti aadressi.

Mikko Tallinnas

4. detsember 2007

mikko.JPGMõned F-Secure’i turvapealiku Mikko Hypponeni mõtted tema tänasest ettekandest Estonia talveaias.

F-Secure’i turvalaborisse tuleb 17 000 pahavarakahtlusega koodinäidist päevas, tegelikku pahavara on sellest 300-500 ühikut. Mida on sellegipoolest palju 🙁 Hetkel on teada 250 000 ühikut pahavara, Mikko ennustab selle kahekordistumist aasta jooksul.

10 aastat tagasi tuli muretseda kurjategijate pärast, kes tegutsesid sinuga samas linnas. Nüüd tuleb muretseda arvutikurjategijate pärast, kes tegutsevad näiteks Brasiilias. Hullem veel – kurjategijat ei huvitagi, kes te olete või kus te asute – teda huvitab ainult see, kuidas teilt teie raha ära võtta.

Mikko jutustas ka Tariq al-Daour’ist, kes mängis varastatud krediitkaardinumbritega pokkerit ning ostis nende kaudu kaotatud summade (kokku 2 mln eurot) varustust Iraagi mässulistele.

Tõenäoliselt vene päritolu Storm Worm’i grupi rünnak algas 18.01.2007, kõigepealt lihtsalt exe-failidest manustega. Kuna enamus tulemüüre pidasid selle spämmi kinni, hakati saatma võltslinke youtube’i, mis nõudis videoklipi näitamiseks “plugina” allalaadimiseks. Jätkati pühadekaartidega. Kokku saadi ligi miljonist arvutist koosnev p2p-põhine botnet, millel polnud keskserverit, mida maha võtta. Ehk siis superarvuti, mida ei kontrolli mitte valitsus või suurkorporatsioon, vaid kurjategijad. Lisaks sellele oli botnetil ka viirustõrjujavastane hoiatussüsteem, mis ründas kogu oma võimsusega neid, kes üritasid seda uurida.

Tekkinud superarvutit kasutatakse seesuguse spämmi renderdamiseks, mida tavalistel spämmitõrjetööriistadel raske töödelda. Kui saata välja miljon ühikut spämmi päevas ning sellele reageerib ka 0,0001 protsenti saajatest, teenitakse ikkagi tuhandeid.

Mikko arvates kasutaja harimine ei tööta kunagi – nagunii klikivad ja topivad igale poole oma krediitkaardinumbreid. Kavalamad troojalased, näiteks Torpig, viskavad popup-akna ette siis, kui logite oma pärispanka, küsides lisaautentimist krediitkaardinumbriga. Samuti kasutatakse pärisülekannete tegemisel pisiparanduste tegemist, suunates ülekande näiteks kurjategija arvele. Selliste nõksude vastu kasutajate harimine ei aita.

10-15 aasta pärast on põhiosa internetikasutajaid Aasias (hetkel on seal internetikattuvus vaid 10%). Kes neid kõiki harida jõuab? on Mikko lootusetu. Samas on tema hinnangul tavaliste kurjategijate kõrval kasvamas täppisinfot otsivate spioonide osakaal.

Suurem osa rünnakuid tuleb Ida-Euroopast (eriti Moskva ja Peterburi ümbrusest), Brasiiliast, Ida-Aasiast ja USA-st.

Häkkerifoorumitest saab osta varastatud krediitkaardinumbreid ja turvakleepse, pahavara ja spetsiaalselt teie konkurentide vastu suunatud rünnakuid. Suur osa kevadistest rünnakutest Eesti vastu tuli üüritud botnettidelt. Rahapesuks värvatakse tankiste (soovitavalt kriminaalkorras karistamata :)). Eelmisel aastal kasutati Rootsis ligi tuhandet tankisti ligi 9 miljoni Rootsi pankadel arvetelt varastatud Rootsi krooni väljavõtmiseks…

FBI operatsioon Bot Roast

30. november 2007

botnet.jpgFBI tegi kokkuvõtte arvutizombistajate vastu suunatud operatsiooni Bot Roast teisest faasist, mille käigus

  • tehti kahjutuks Philadelfia piirkonna ülikoole DDoS-iga pommitanud botnet,
  • mõisteti süüdi kaks botnetipidajat, kellest üks oli küberallilmas laialt tuntud kalifornialane,
  • karistati veel kolme botnetipidajat, kellest kaks suutsid Kesk-Lääne pankade vastu suunatud õngitsemisskeemiga riisuda miljoneid dollareid,
  • koostöös Uus-Meremaa politseiga tabati ülemaailmset botnetti juhtinud 18-aastane noor arvutigeenius hüüdnimega AKILL.

Kokku olid FBI tabatud kurjamid suutnud tekitada 20 miljoni $ ulatuses kahju, näiteks ühel konkreetsel juhul kaotas üks DDoS-rünnaku ohver 20 000 $.

Täpsemat jäid vahele:

21-aastane Ryan Brett Goldstein Pennsylvaniast, kes ründas botnetiga oma kodukandi ülikoole,
27-aastane Adam Sweaney Tacomast, kes lõi spämmkirjade vahendusel levitatud troojalaste abil botneti ja üüris seda soovijaile,
Robert Matthew Floridast, kes proges botnettide loomiseks tarvilikku reklaam- ja muud pahavara,
38-aastane Aleksandr DimitrievitÅ¡ Paskalov, kes sai 42 kuud vanglat õngitsemisskeemide loomise eest,
21-aastane floridalane Azizbek Tahiri poeg Mamadjanov – saadeti kaheks aastaks istuma koostöö eest Paskaloviga nendesamade õngitssemisskeemide kasutamise eest,
26-aastane John Schiefer Los Angelesest – väidetavalt esimene, kes mõisteti süüdi uue föderaalseaduse alusel paroolide ja kasutajanimede salvestamise ja nende väärkasutamise eest,
21-aastane kalifornialane Gregory King nelja arvutisse sissemurdmise eest. Kingi on varem karistatud DDoS-rünnakute eest, millest üks oli näiteks suunatud õngitsemise ja pahavaraga võitleva firma vastu.
24-aastane Jason Michael Downey Kentuckyst – sai aasta türmi peamiselt IRC serverite vastu suunatud rünnakute eest, kusjuures tegelikult kannatasid ka samades serverites käitatavad muud teenused.

Lisaks, nagu öeldud, võeti sel nädalal rajalt maha ka kodanik AKILL (kelle pärisnime tema alaealisuse tõttu ei avaldata) ja tema juhtud 1,3 miljonist zombiarvutist koosnev botnet. AKILL-i ähvardab kuni 10-aastane vanglakaristus.

Bot Roast’i esimeses faasis vabastati botipidajate haardest miljon zombiarvutit.

Paikamata iPhone muutub pealtkuulamisvahendiks

22. november 2007

iowned.jpgTurvaekspert Rik Farrow demonstreerib, kuidas Metasploiti abil koostatud spetsiaalse veebilehe abil saab seda lehekülge külastanud iPhone’is juurkasutaja õigused, mis lubab Apple’i uues imetelefonis toimetada samu asju mis selle omanik – kuulata kõnesid, lugeda postkasti sisu, paigaldada ja käivitada mistahes programme.
Demonstratsiooni tellinud Fastcompany.com kinnitab, et samalaadse rünnaku ohvriks võib langeda tegelikult mistahes muu nutitelefon. iPhone’i puhul tegi rünnaku lihtsamaks turvaauk, mis lubas pärast ühe rakenduse edukat ründamist käitada ka kõiki ülejäänuid juurkasutaja õigustes. Viimaste turvaparandustega on kasutatud auk küll lapitud, kuid laias maailmas on liikvel miljoneid kräkitud iPhone’e, millele turvapaika panna ei saa…

Küberrahutused Ukrainas

5. november 2007

Mikko Hypponen kirjutab F-Secure’i turvablogis, et Ukraina presidendi Viktor JuÅ¡tÅ¡enko kodulehekülg on juba mõnda aega DDoS-i rünnaku all. Rünnak sarnaneb nendele, mille alla langesid ka Eesti valitsussaidid kevadise kübersõja ajal, ka Ukrainas arvatakse süüdi olevat venelased.

Kui Mikkol peaks õigus olema, on see järjekordne näide internetibrigaadide tegevusest.

Hoiatus – ärge külastage näotustatud kodulehekülgi!

3. november 2007

Postimees.ee andmeil on täna kümned firmad langenud näotustamise ohvriks.

Rahva Raamatu, Salvo ja Alexela muudetud kodulehel kuvatakse mustal taustal kellaaega ning kodulehe vaataja IP-aadressi. Mingeid otseselt kahjulikke skripte mul tuvastada ei õnnestunud, kuid kuivõrd päris kindel selles ka olla ei saa, oleks targem neist kodulehekülgedest (viite all avaneb otsingunimekiri) niikaua eemale hoida, kuni omanikud nad korda saavad.

Zone-h arhiivi andmeil on täna väidetavalt moslemihäkkerite poolt näotustatud ka Sügisballi kodulehekülg, mis õnneks on praeguseks jälle korda tehtud.

EDIT: Tundub siiski, et esimeses lõigus viidatud kodukate puhul ei olnudki tegemist näotustamisega – kõik nn “häkitud” koduleheküljed asuvad ühes virtuaalserveris, mis nähtavasti on konfitud nii, et kui serverilt päritakse domeeni, millele kodulehekülge koostatud ei ole, näidatakse jooksvat aega ja küsija IP-aadressi.

Veider küll, aga ei midagi ohtlikku. Minu viga, et ma kohe IP-aadresse ja domeeninimesid üle ei kontrollinud.

Hoiatus iseenesest jääb aga kehtima – ehkki ma ei ole kuulnud, et näotustatud kodukatele ka pahatahtlik kood külge pannakse (tavaliselt on kurjamid huvitatud ikka sellest, et te laeksite tolle koodi oma arvutisse ilma mitte midagi kahtlustamata), tasub siiski mitte riskida ning seesuguseid kodulehekülgi mitte külastada.

Vabandan veelkord valehäire pärast!

2007. aastal on häkkerirünnakute hulk 90% tõusnud

10. oktoober 2007

Nõnda kurdab infoturbefirma SecureWorks.

Kui 2007. aasta jaanuarist aprillini blokeerisid vaprad võrguturvajad keskeltläbi 43 rünnakut iga oma kliendi kohta päevas, siis maist septembrini rünnati kliente juba keskmiselt 93 korda päevas.

SecureWorks’i arendusdirektor Wayne Haber ütleb, et peamiseks kanaliks, kustkaudu arvutikasutajad endale kõiksugu pahalasi korjavad, on kujunenud veebibrauser. Kuivõrd viirustõrjevahendid suudavad kas andmekandjatel või meili kaudu arvutisse sattuvad viirused ja troojalased enamasti kinni püüda ja kahjutuks teha, suunavad kavalamad küberkurjamid oma ohvrid pahatahtlikku koodi serveerivatele veebisaitidele, kust siis (lappimata, moraalselt vananenud, korralikult konfimata vms) brauser pahavara juba kasutaja arvutisse sikutab.

Zombistunud koduarvutid õõnestavad kiire internetiühenduse pakkumist

25. september 2007

botnet.gifNii kirjutab infoturbefirma Arbor Networks oma iga-aastases ülemaailmse infrastruktuuri turvalisuse aruandes.

Arbori arvates on DDoS-rünnakud, mida varem loeti võrguliikluse suurikaiks ohustajaiks, loovutanud käesoleval aastal oma koha botnettidele. Viimased on varasemalt amatöörlikumalt tasemelt kasvanud professionaalseteks multigigabitisteks löögiüksusteks, mis võivad kaasata kümneid tuhandeid zombiarvuteid.

Samal ajal, kui enamus ISP-dest on vahetanud oma senised kahegigabitised lingid kümneste vastu, küünivad suurimad rünnakuvõimsused juba 24 gigabitini sekundis. Interneti selgroo moodustavad DNS-serverid on sellest enam kui kaks korda aeglasema lingi küljes…

Murettekitav on ka asjaolu, et vaid 20%-l ISP-dest on vahendid VoIP-i vastaste rünnakute avastamiseks ja jälgimiseks. Arbor Networksi turvaguru Danny McPhersoni hinnangul on 90% VoIP-teenustest lihtsalt kaitseta.