themes theme jeux izle-videolar ruya tabirleri logohaberleri sinema ruya

Artiklid alates ‘Uudised’ rubriigist

Pushdo/Cutwail ja Bobax/Kraken botnetvõrgustikud

5. detsember 2008

Praeguseks on Internetist maha võetud botnetvõrgustikud Srizbi ja Rustock. Mõlemad spämmivad botnetid kuulusid USA veebihostingufirma McColo võrku. Internetis on aktiivsed veel üksikud mahukad botnetvõrgustikud – Pushdo/Cutwail (nt. Troj/Pushdo-Gen/, Troj/Exchan-Gen jt) ja Bobax/Kraken (nt. W32/Bobax jt).

Marshal TRACE teenuse analüüsidest võib järeldada, et endiseid Srizbi ja Rustocki botnette asendab nüüd Pushdo. Viimane klassifitseerub allalaadivaks troojalaseks. Näiteks levib see arvutitroojalane Windowsi operatsioonisüsteemi kasutavates arvutites kas e-posti (nt. e-kaardid) teel või nakatutakse pahatahtlikke kodulehekülgi külastades.

Cutwail (nt. Win32/Cutwail) on aga troojalane, mis nakatunud Windowsiga arvutis käivitab spämmiboti. Arvuti ise võtab perioodiliselt ühendust Pushdo/Cutwail botneti kontrollserveritega. Cutwail-botnetis on 125 000 arvutit, mis suudavad päevas väljastada kuni 16 miljardit ühikut spämmi.

Pushdo/Cutwail botneti tsentraalhaldus on tarkvaraliselt töökindel ja arukalt modifitseeritud.

Pushdo troojalasega nakatatud arvutist saadetakse Pushdo kontrollserverile nakatatud arvuti andmed: Internet Exploreri versioon, IP aadress, kasutaja profiiliõigused, arvuti kõvaketta seerianumber, failisüsteemi tüüp (NTFS, FAT32), Pushdo troojalase enda käivituste arv ja Windowsi operatsioonisüsteemi versioon (Windows98/Windows2000/WindowsXP/WindowsVista).

Pushdo/Cutwail botneti kontrollservereid saab hallata läbi veebipõhise administratiivliidese ning sisestada sealtkaudu ka käske: ‘STAT’ (serveri staatus), ‘TRCK’ (statistikalogi dump), ‘CARG’ (pahavara andmebaasi uuendus),  ‘FLTR’ (whitelist/blacklist filtri andmebaasi uuendus), ‘FINA’ (sessiooni lõpetamine).

Pushdo/Cutwail botneti kontrollserverid kasutavad ka GeoIP geolokatsiooni andmebaase, et kaardistada nakatatud arvutite paiknemist asukohamaade kaupa. Selline funktsioon annab näiteks botneti haldajale võimaluse teostada pahavara- ja spämmi rünnakuid konkreetsete riikide ning mandrite piires. Secureworks’i andmetel on Pushdo troojalase tundmatu looja oma programmeerimise algkoodis ja -käsustikus rohkem “kodus” Unixi süsteemis kui Windowsi platvormil. Pushdo kohta võib detailsemalt lugeda siit.

Bobax/Kraken botneti pahavara aga leiab oma tee Windows arvutikasutajani läbi JPEG ja PNG pildiformaatide. Algselt paistab selline fotofail Internetis või e-postkastis täiesti tavalisena, kuid tegelikult on selle failinimes sees varjatud laiend (nt. .exe jt), mis käivitabki arvutis pahavara.

Nakatatud arvutis toimub andmevahetus Bobax/Kraken botnetiga läbi tcp pordi 447. Paljud ISP-d, asutused ja firmad blokeerivad oma tulemüürides ära võrguliikluse tcp pordile 447. Võrguadministraatoritel on tavaks ütelda, et 447 tcp pordilt ei liigu andmete näol arvutikasutajateni mitte midagi “head” ega “tervislikku”.

Bobax/Krakeni spämmibotnetti kuulub hinnanguliselt üle 400 000 nakatunud arvuti (zombi), mis suudavad päevas välja saata 9 miljardit ühikut spämmi. Krakeni botneti kohta saab põhjalikumalt lugeda siit.

Surfame oma arvutitega Internetis ja laeme alla piiramatus koguses tundmatut tarkvara. Kui me seda kõike tehes ei kasuta ettevaatusabinõusid, näiteks korralikult paigatud operatsioonisüsteemi ja viirusetõrjet, siis  varem või hiljem komistame Internetis pahavara otsa. Mis omakorda võib meid teha botneti liikmeks.

Kas sina oleksid nõus, et võhivõõras pätt sinu isiklikku arvutit kasutades tasuta sellega raha teenib? 🙂

Netiuss ehitab uut botnetti

3. detsember 2008

Nagu Computerworld uudisest lugeda võib, on liikvel uus ussike, mis kasutab Windowsi turvaauku uue botneti ehitamiseks. Hetkel on TrendMicro spetsialistide hinnangul on nakatunud juba pool miljonit arvutit ning nakatunute arv kasvab suure kiirusega.

Microsofti poolt on augu jaoks lapp välja lastud juba oktoobri lõpus, nii et tegelikult kasutatakse ära hooletuid arvutiomanikke, kes pole seda lappi oma arvutile instaleerinud. Tasub märkida, et ohustatud on praktiliselt kõik Windowsi operatsioonisüsteemid.

Ohu vältimiseks on vaja alla laadida ja paigaldada operatsioonisüsteemi uuendused. Seda on võimalik teha Windows Update lehe kaudu.

Botipesa McColo – järelhüüe

19. november 2008

Vähem kui nädal tagasi lülitati Internetist välja küberkriminaalide laiaulatuslik spämmi-, pahavara- ja botnetvõrgustik. Seda hoidis üleval USA-s paiknev veebihostingufirma McColo Corporation.

McColo`le on esitatud järgnevad raskekaalulised süüdistused: lastepornograafia levitamine, krediitkaardipettused (muuhulgas hostis Sinowali kontrollservereid), spämm (kõikvõimalikud pikendajad jms), pahavara (nt. webscannertools.com), anonüümsed proxy serverid (nt. proxy.fraudcrew.com) ja botnetvõrgustikud (nt. Rustock). Teadaolevalt asub Rustock botnetis üle 150 000 pahavaraga nakatunud arvuti.

McColo “teeneks” Internetis oli ka see, et tema ülemaailmne spämmi tekitamise turuosa oli 50%. Mõnedki sõltumatud infoturbespetsialistid on oma uurimustes väitnud aga seda, et see ülemaailmne spämmi protsent küündis McColo puhul 75%-ni.

McColo Corporation’i hallatav aadressivahemik Internetis oli 208.66.192.0/22 ja 208.72.168.0/21. Nende kodulehekülg www.mccolo.com ja teised sealsed hostid on praegu maas ning ei vasta enam välismaailmale.

Kes on ja olid McColo taga olevad inimesed?

Internetifoorumitest võib lugeda, et firma McColo Corporation loojaks peetakse 19-aastast Moskva tudengit. Erinevates infoallikates on teda kutsutud nimedega Alexey, Nikolai ja Kolya . Hüüdnimedeks on tal “McColo”, “Kolya-McColo” ja “Alexey Bladewalker”. Eriti tabav on minu meelest viimane hüüdnimi “Alexey Bladewalker”, sest McColo firma ise kõndis ju aastaid noateral 🙂

McColo vaimne isa “Kolya-McColo” ise hukkus traagiliselt 2007 aastal autoavariis Moskvas. Ellu jäi tollel korral BMW autoroolis istuv Kolya-McColo sõber, küberkriminaal hüüdnimedega “Jax”, “Jux”, kes ise kuulus “kidala” (fraudster) põrandaalusesse kommuuni.

Kas me nüüd tõesti saime “McColo Corporation” puhul lahti lastepornost, krediitkaardipettustest, spämmist, pahavarast ja botnetvõrgustikest?

Vaevalt küll, sest on juba teada tõsiasi, et “McColo” hüljatud lapse “Rustock” botnetvõrgu on juba jõudnud lapsendada Moskvas asuv Rial Com JSC [62.176.17.200]. Võib arvata, et lühikese aja jooksul jagatakse ja ostetakse Internetis küberpättide poolt üles kõik ülejäänud McColo “hüljatud” botnetid: Asprox, Warezov, Pushdo/Cutwail, Mega-D/Ozdock ja Srizbi. Näiteks Srizbi botneti kuulub rohkem kui 300 000 pahavaraga nakatunud arvutit.

McColo Corporation jäi oma pahategudega lõplikult vahele tänu Security Fix’i ja Brian Krebs’i ennastsalgavale uurimustööle.

McColo Corporation-i pahalaste põhjalikum ja detailsem *.pdf raport asub siin.

Pahavara maskeerib end turvapaikadeks

21. oktoober 2008

Kuna kasutajad on harjunud, et kord kuus laseb Microsoft välja Windowsi uuenduste paketi, kasutavad kurikaelad seda harjumust ära, et pahavara kübermaailma lennutada.

Paljud internetikasutajad on saanud oma postkasti teateid, mille saatja olla just kui Microsofti turvadirektor Steve Lipner. Spämm sisaldab ka ühte .exe faili, mis väidetavalt on “an experimental private version of an update for all Microsoft Windows OS users” ehk teisisõnu kõikidele Windows OS-i kasutajatele mõeldud ekperimentaalne uuenduste privaatversioon. Kasutajatel käsitakse see kiiruga installida, et kaitsta oma arvutit turvariskide vastu, ning ka jõudlusprobleemide puhul.
Kui kasutaja selle “uuenduse” installib, nakatub tema arvuti troojalasega. Microsoft kinnitab, et ei saada kunagi uuendusi laiali e-mailide abil.

Asus Eee lauaarvuteid müüdi koos viirusega

20. oktoober 2008

Asus hoiatab, et nende populaarse Eee PC lauaversioon Asus Eee Box tarniti Jaapanisse koos viirusega (Vaata ka teate ingliskeelset kokkuvõtet).

Madala hinnaga Asus Eee Box, mis on mõeldud piltide vaatamiseks, e-mailide saatmiseks, internetis käimiseks ja muudeks igapäevasteks ülesanneteks, tuli Jaapanis müügile eelmisel nädalalal. Asus aga hoiatas kasutajaid, et selle D-ketttal avastati viirus “recycled.exe”. Kohe pärast ketta poole pöördumist hakkab viirus ennast kopeerima C-kettale ja mujale, näiteks irdmälu ja teised USB kaudu ühilduvad seadmed.

Asus pole siiamaani täpsemalt teatanud, kuidas Eee Box’id nakatusid ning kui laialdaselt nakatunud arvuteid müüa jõuti. Näiteks McDonald’s süüdistas kunagi auhinnaks jagatud mp3 mängijate viirusega nakatamises oma Hongkongi allhankijat.

Eestis ei ole Eee Box’id teadaolevalt veel eriti levinud.

Ära solva oma süsadminni!

9. september 2008

Paroolihaldus- ja muud andmeturbetarkvara müüv firma Cyber-Ark Software väidab, et 300-st nende poolt küsitletud IT administraatorist on 88% valmis pärast töölt kingasaamist võtma kaasa oma endise tööandja salajast infot – peakasutaja paroole, kliendiandmebaase, arendus-, finants- ja ülevõtuplaane ning personaliandmeid. Kolmandik süsadminne kavatses ka pärast töösuhte lõppemist säilitada endale ligipääsu firma kaitstud ressurssidele.

Tõenäoliselt julgustab itipoisse sigatsema teadmine, et kontroll ja juurdepääsuõiguste haldamine nii pärast töösuhte lõppemist kui ka selle ajal on nõrgavõitu või puudub hoopis – kuni kolmandik tavatseb sorida kolleegide palgaandmetes, e-kirjades ja salajastes dokumentides. Lisaks selgus uuringust, et 35% IT-süsteemi turvalisuse eest vastutavaid administraatoreid saadab salajasi paroole e-mailiga, 35% usaldab salajase info kullerile krüpteerimata kujul ning 4% läkitab paroolid teele tavalise tigupostiga. Asjaolu, et kolmandik süsadminne tavatseb kirjutada paroole tavalisele kleepsupaberile, pole vist üldse enam kõneväärt…

Mina ei tea, kui usaldusväärne on viidatud uuring ning kui head on uuringus reklaamitavad Cyber-Arki tooted, kuid probleem on kindlasti olemas. Minu tuttavad süsadminnid on küll enamasti ausad ja heatahtlikud, kuid ei ole ju mõtet ka kõige kohusetundlikumas töötajas paroolihalduse ja ligipääsuõiguste kontrolli puudumisega asjatuid kiusatusi tekitada 🙂

Turvaauk Google Chrome’is

3. september 2008

Ei jõudnud Google oma uue brauseri beetaversiooni korralikult allalaetavakski teha, kui Aviv Raff juba esimese turvaaugu üles leidis. Ehkki Chrome’i on sisse ehitatud mitmeid turvatööriistu (andmepüügi ja pahavara kaitse), pannakse uuele brauserile pahaks, et ta laseb ilma hoiatuseta alla laadida ja käivitada pahatahtlikku koodi.

Aga noh, tegemist on ju ikkagi alles beetaga, pealegi on täpselt sama viga küljes ka näiteks Internet Explorer 6-l, mida murettekitavalt paljud arvutikasutajad pole siiamaani turvalisemale versioonile uuendanud…

Kübersõda Gruusias

11. august 2008

Millegipärast kipub viimasel ajal olema nii, et Venemaaga tülliminek toob väga ruttu  kaasa rünnakud küberruumist. Ei pääsenud seekord ka Gruusia.

Väidetavalt võeti paljud Gruusia serverid üle juba neljapäeva õhtul, veidi enne sõja puhkemist. Kui Eesti servereid üritati omal ajal masspäringutega surnuks pommitada, siis rünnak Gruusia vastu läks koguni internetiliikluse ümbersuunamiseni – väidetavalt õnnestus vene päritolu serveritel blokeerida otseliiklus Gruusia ja muu maailma vahel ning suunata see ümber Vene serveritesse.

Gruusia Rahvuspanga ja Välisministeeriumi kodulehekülgedele paigutati pildid, millel võrreldi SaakaÅ¡vilit 20. sajandi diktaatorite, sealhulgas Adolf Hitleriga. Öeldavasti sai näotustatud ka Gruusia Kaitseministeeriumi veebilehekülg. Gruusia netifoorumeid ja internetiportaale tabas DDoS-rünnak.

Hetkel on Rahvuspanga ja Välisministeeriumi kodulehed jälle üleval. Välisministeerium on lisaks avanud oma keskkonna Bloggeris, Poola president aga pakkus Gruusiale oma veebilehekülge info levitamiseks.

Venelased omalt poolt väidavad, et Gruusiast on blokeeritud ligipääs .ru domeenidele. Samuti olevat grusiinid lõpetanud venekeelse telelevi oma territooriumil, RIA Novosti aga kurdab, et ka nende veebisait olevat küberrünnaku alla langenud.

Rootsi hakkab pealt kuulama ka Eesti välissidet

19. juuni 2008

Rootsi Riksdag otsustas nimelt, et alates 1. jaanuarist 2009 on kohalikul raadioluureametil õigus jälgida kogu Rootsi piire läbivat telekommunikatsiooniliiklust – e-kirju, andmesidet, kiirsuhtlus- ja muid sõnumeid ning telefonikõnesid. Kuna mitmed Eesti välissidekaablid kulgevad läbi Rootsi, hakatakse enesestmõistetavalt pealt kuulama ka andmeliiklust Eestisse ja Eestist välja.

Uudis rõõmustab kindlasti Skype’i turundajaid (Skype krüpteerib oma andmepaketid), need aga, kelle kirjakast asub mõnes välismaises serveris, võiksid samuti kontrollida, kas nad käivad oma kirju lugemas ikka üle krüpteeritud ühenduse.

Küberkaitse asjatundjate väljaõppest

17. juuni 2008

Akadeemik ja TTÜ Küberneetika Instituudi juhtivteadur Enn Tõugu annab tänases Eesti Päevalehes ülevaate Eesti küberturbespetsialistide ettevalmistusest.

Hetkel on Eesti kõrgkoolides käivitatud küberkaitse magistriõppe moodul, mille raames infotehnoloogia erialade magistrandid saavad omandada laiendatud teadmised krüptograafiast, infoturbe korraldusest ja küberjulgeoleku õiguslikest aspektidest, aga ka kurivarast, infosüsteemide rünnetest ja kaitsest, võrguturbest ja -seire ning muudest tehnoloogilistest aspektidest. Õpetajaiks on ülikoolide õppejõudude kõrval ka eriala praktikud SIVAK-ist (Kaitseväe Ühendatud Õppeasutuste side- ja infosüsteemide väljaõppe- ja arenduskeskus), CERT-ist ning SEB-st ja Hansapangast.