juuli 2008 – Arvutikaitse

Blogspot.com kui pahavara allikas

Viirustõrjefirma Sophos raporteeris, et 2008 aasta esimesel poolaastal leidsid firma andmeturbespetsialistid iga päev kuni 16 000 pahatahtlikku internetilehtekülge (mis teeb viis tükki sekundis).

Neid saite kasutavad pahatahtlikud tegelased on kas nende lehekülgede autorid või siis kuritarvitavad võõraid lehekülgi. Näiteks on nakatatud lehel HTML kood, milleleÂ on paigaldatud 1×1 piksli suurune element. Lehekülge alla laadides konktateerub brauser serveriga mis jooksutab nakatunud skripte või koode.

Paljud nakatunud veebisaidid on täiesti seaduslikud, kuuludes näiteks mõnele 500-st mõjuvõimsaimast firmast või siis mõnele populaarsele sotsiaalsele võrgustikule nagu www.blogspot.com.

Blogijatele mõeldud internetileheküljed teevad viiruse levitamise lihtsaks, kuna lehe haldaja jääbÂ ananüümseks ning blogi on kerge ja odav valmistada.

Enim pahatahtlikke saite leiti Google’i hallatavast Bloggerist (www.blogspot.com), nentis Sophos. Üksnes see blogisait on koduks kahele protsendile pahavarast, mis ringleb internetis. Blogidesse ei saa riputada ainult pahavaraskripte: kriminaalsed ründajad saavad kommenteerides sisestada ka linke, mis viivadÂ pahatahtlikele lehtedele.

Google ütleb sellepeale, et nad võtavad seda asja väga tõsiselt ja töötavad visalt, et end ja omainternetilehti pahavara eest kaitsta. Kasutades Igasugune pahavara levitamine on Google’i saitide kasutustingimuste räige rikkumine. “Me töötame selle kallal, et meie võrgustikus olevad saidid oleksid pahavarast puhtad. Pahatahtlike lehtede leidmisel me kustutame need” ütles Google.

Seniks aga tasub odavaid laene ja muud kahtlast kraami pakkuvatest blogidest eemal hoida ning jälgida, et ka omaenda blogi kommentaarium püsiks rämpsust puhas.

Seadista Messenger viirusi skännima!

MSN Messenger on üks levinumaid kiirsuhtlusvahendeid. Lisaks tekstisõnumite vahetamisele on Messengeri sisse ehitatud ka mugav võimalus saata ühest arvutist teise pilte, dokumente ja muid faile. Kuid pahatihti on juhtunud, et sõbra poolt saadetud fail sisaldab pahavara (kusjuures sõber enamasti ei teagi sellest midagi). Seega on väga tähtis kontrollida MSNi kaudu vastuvõetud faile viiruste ja muu pahavara suhtes.

Õnneks on Messengeril võimalus seadistada viirusetõrje vastuvõetud faile kontrollima.

Tavaliselt on uuematel ja tegijamatel viirusetõrjujatel olemas selline moodul, mis kontrollib MSNi kaudu saadud faile. Paljudel tõrjujatel Messengeri otseskänn puudub, aga seda asendab ka residentne skänner, mis kontrollib kõiki uusi ja vanu faile, mida arvutikasutaja avab, sulgeb jne. Kui ka see võimalus puudub, tuleb viirustõrje “puukida” otse MSNi külge, sest nii saame kindlad olla, et viirusetõrje tõesti kaitseb arvutit MSNi kaudu tulevate failide võimaliku nakkuse eest.

Et MSNi vastuvõetud faile sinu antiviirusega automaatselt skännima panna, ava menüüst Tools-Options (või Tööriistad – Suvandid):

Järgnevalt vali vasakult menüüst File Transfer – Browse (Failiedastus – Kasuta failide viirusekontrolliks)

Nüüd otsi C:\Program Files kaustas üles oma viirusetõrje kaust. Näiteks Aviral ongi Avira, Avast!il Alwil Software, AVG-l Grisoft

Otsi kaustast üles viirusetõrje ikooniga fail (Aviral on selleks avcenter.exe) ning olles selle faili selekteerinud, vajuta Open

Nüüd vajuta Apply ja OK

Nüüd, olles saanud vastu faili:

skännib Avira selle kohe üle:

Kui sul jookseb arvutis mõni muu viirustõrje, mis samuti vaikimisi Messengeriga allalaetavaid faile ei kontrolli, siis tuleks see samamoodi seadistada.

Kas sa kasutad värskeimat versiooni oma veebilehitsejast?

Turvaeksperdid ETH Zurichst, Google’ist ja IBM Internet Security Systemsist uurisid, kui paljud internetikasutajad on uuendanud oma brauserit. Analüüsides Google’i saite külastanud veebibrauserite versioone selgus, et 637 miljonit internetis surfajat ei kasuta oma brauseri viimast versiooni.

Kõige aldimad (92,2%) on oma brauserit uuendama Mozilla Firefoxi kasutajad. Seevastu Microsoft Internet Exploreri kasutatest kõigest pooled (52,5%) kasutavad viimast versioon (IE7), mis on palju turvalisem oma vanemast eelkäiast.

Brauserite vanemates versioonides esineb tihti olulisi turvaauke, samuti pole neil erinevalt uuematest versioonidest mitmeid sisseehitatud turvamehhanisme (näiteks automaatne õngitsemissaitide kontroll, cross-site scriptingu vastane kaitse ja palju muud).

Probleem on suuresti ka selles, et paljud kasutajad lihtsalt ei tea, kas nad kasutavad oma brauseri uusimat versiooni. Turvaeksperdid soovitavad paigutada veebisirvjale nähtav hoiatus, et väljas on tarkvaraÂ uuem versioon:

Oma lemmikbrauseri uuendamiseks külastage selle kodulehekülge, laadige sealt alla värskeim versioon ning installeerige see arvutisse.

SpeedTouch’i vaikeseaded tuleb kindlasti muuta!

Juba mõnda aega on liikvel võtmegeneraator, mille abil saab SpeedTouchÂ´i WiFi ruuteri SSID-st tuletada ruuteri poolt kasutatava WEP-i võtme. SSID on ruuteri poolt avalikult väljakuvatav võrguidentikaator, WEP-i võtit teades aga võib nii ruuterisse siseneda kui ka ruuteri ja selle kaudu internetti ühendatud arvuti võrguliiklust pealt kuulata.

Suuremad võrguteenuse pakkujad, kes varustavad oma kliente ka vajaliku riistvaraga, lasevad näiteks ruuterid juba tehases eelnevalt seadistada (kui kasutusse läheb sadu või isegi tuhandeid seadmeid kuus, käib seadmete individuaalne konfigureerimine ISP-le lihtsalt üle jõu). Tehastes aga on seadistamisprotsess automatiseeritud, iga seadme muutuvad parameetrid (MAC-aadress, SSID, krüptovõti) genereeritakse teatud algoritmi järgi. Näib, et häkkeritel õnnestus SpeedTouch’i installeerimisrakendus lahti võtta, krüptovõtme tuletamise algoritm teada saada ning kirjutada selle põhjal programm, mis suudab SSID järgi krüptovõtme tuletada. Võtmetuletusgeneraator on internetis vabalt kättesaadav.

Eestis tarnib SpeedTouchÂ´i ruutereid oma klientidele näiteks Elion, kes soovitab seadme kasutusjuhendis võimalusel kasutada WPA krüpteeringut, MAC-i põhist filtrit ning võrgu nimi ära peita. Arvutikaitse omalt poolt soovitab käsitleda mistahes vaikeseadmetega võrguseadmeid kui turvariski. Esimeseks mureks pärast vastsoetatud ruuteri käivitamist olgu ikka administraatori- ja võrguparoolide muutmine! Samuti ei tasu loota ka muudetud seadetega WEP-i turvalisusele – ka nn toore jõuga kulub selle krüpteeringu murdmiseks vaid minuteid. Samas soovitan neil, kes ülalviidatud võtmegeneraatorist teavad, seda mitte kasutada – arvuti, arvutisüsteemi või arvutivõrgu ebaseadusliku kasutamise eest koodi, salasõna või muu kaitsevahendi kõrvaldamise teel on ette nähtud kuni kolmeaastane vabadusekaotus (KarS Â§ 217).

Tänud wifi.ee-le tähelepanu juhtimise eest. Muide, tehase vaikeseaded, mis võimaldavad ruuterisse sisse murda, pole ainult SpeedTouch’i probleem, sama mure on esinenud ka mõnede Linksys’i ja Netgear’i vanemate mudelite juures.

Täna, viisteist aastat tagasi

Hoolimata valdopandilikust pealkirjast ei soovi ma vaadelda konkreetset päeva, vaid seda ajajärku veidi laiemalt. Umbes viisteistaastat tagasi – 90-ndate alguses – oli Eestis organiseeritud kuritegevuse hiilgeaeg. Põhilised tuluartiklid olid räkit, prostitutsioon, relvakaubandus aga samuti ka salaviin ja -sigaretid. Grupeeringute vahelised arveteõiendused olid üsna igapäevaseks nähtuseks – Vabaduse Platsil plahvatasid pommid ning Mustamäel harrastati laskeharjutust “jooksev inimene”. Aastal 2008 paistab olukord olevat tunduvalt rahulikum, kuid kas ikka on?

Kuna igasuguse kuritegevuse puhul on tegemist peamiselt sotsiaalmajandusliku nähtusega, siis kirjeldan meeldetuletuseks lühidalt toonast olukorda. Viisteist aastat tagasi oli eesti riik veel väga noor. Seadusi polnud eriti veel jõutud kehtestada ja isegi neid, mis olid, ei järgitud, kuna korravalveorganid olid vastloodud ja veel nõrgad. Vene väed olid lahkumas ning lahkudes üritasid nad võimalikult palju maha müüa – käsirelvad ja nende laskemoon olid kaalukaup, samuti võis rahulikult osta tanke, suurtükke ja isegi lennumasinaid. Ettevõtlus oli väga noor – nõuka aja lõpust pärinevad kooperatiivid hakkasid ümber formeeruma aktsiaseltsideks ja osaühinguteks. Peamine oli metalliäri – seda aeti igasuguste vahenditega, küll legaalsete ja mittelegaalsetega. Metalli kokkuostupunkte oli isegi kesklinnas, näiteks praeguse Norde Centrumi kohal oli lausa kaks tükki.

Organiseeritud kuritegevuse üks kurikuulsamaid sissetulekute allikaid on olnud räkit ehk nn. “katuse pakkumine”. Asja olemus oli lihtne – astusid mingid tüübid firmasse sisse ning pakusid kaitset, kuna vastasel korral võib juhtuda väga imelikke asju. Ehkki vahel astuti sisse ka täiesti suvalisse firmasse, valiti ohvrid üldjuhul siiski sellised, kus liikus eeldatavasti palju sularaha ning kel seetõttu võis riigi ees olla täitmata kohustusi (näiteks maksmata maksude näol). Põhjus selliseks valikuks oli lihtne – taoliste firmade juhid ei julgenud politsei poole pöörduda, kuna kardeti teist laadi pahandusi. Juhul, kui omanik näitas selgroogu, siis oli tavaliseks “korralekutsumise” meetodiks kas äri põlema panemine või õhkulaskmine. Tulemuseks oli see, et äritegevus oli mõneks ajaks peatatud ning sellele lisandus ka taastamise kulu.

Prostitutsioon oli sel ajal pool-legaalne tegevus. Otseselt tänaval klientide püüdmist ei olnud, kuid ööklubides ja hotellides oli pakkujaid päris palju. Samuti toimus pakkumine taksojuhtide ja ajalehekuulutuste kaudu. Teenuse enda osutamine toimus majades või korterites või sõideti kliendi juurde välja.

Läbi aegade on organiseeritud kuritegevus tegelenud relvakaubandusega. Endise N-Liidu territooriumil oli â€žtooraine” hankimine eriti lihtne, kuna lahkuvad väeosad jätsid maha või müüsid väga palju varustust ja sõjatehnikat. Kauba müük toimus pool-avalikult. Näiteks Keskturul oli teatav putka, kus müüja käest võis küsida ja saada peaaegu kõike.

Suur osa piraatkaupade vahendamisest oli organiseeritud kuritegevuse kontrolli all. Sel ajal olid põhilisteks kaubaartikliteks Nike’i toss ja Adidase dress, kuid samas olid ka helikassetid ja CD-d. Lisaks võiks nimetada ka võltsitud krediitkaartide äri, mis eestis ei olnud küll eriti levinud.

Kuid milleks rääkida, kohas, kus käsitletakse arvutiturvalisust, sellistest asjadest? Asi on selles, et täna viisteistaastat tagasi tegelesin ma aktiivselt füüsilise turvalisusega ning puutusin nende tegude aga samuti ka tegijatega kokku. Täna, aastal 2008, tegelen ma aktiivselt arvutiturvalisusega ning olen sunnitud nentima: kõik teod, aga samuti ka tegijad on tuttavad! Konkreetseid näiteid ei hakka ma välja tooma – kes teab, see teab, kes ei tea, pole vaja ka kiusatust tekitada. Väärib märkimist, et Eesti Ekspressilt küsiti üsna täieliku informatsiooni eest miljon eurot ja miljon krooni. Võimalik et informatsiooni pakkujaks oli keegi, kes soovib sellest ärist välja astuda, kuid kättemaksu vältimiseks peab ta jäljetult kaduma ning seda kadumist on vaja kuidagi finantseerida.

Organiseeritud kuritegevuse üks kurikuulsamaid sissetulekute allikaid – räkit – on kolinud internetti. Ohvriteks otsitakse ettevõtteid, kelle tegevusest oluline osa toimib üle võrgu, näiteks e-poed või online kasiinod. â€žKatusest” keeldumise puhul tehakse pikemaajalisema mõjuga DoS-tüüpi rünnak (DDoS, viirus sisevõrgus vmt) Tulemuseks on see, et äritegevus on mõneks ajaks peatatud ning sageli lisandub sellele ka taastamise kulu. Eestis pole sellistest rünnakutest kuulda olnud, kuid ilmselt tuleneb see eestlase liigsest tagasihoidlikkusest – lähim selline uudis pärineb Rootsist.

Prostituudi teenust interneti kaudu ei saa pakkuda (kui virtuaalseksi mitte arvestada), samas on teenuse reklaam kolinud internetti, sealhulgas kõigile teada-tuntud suhtluskeskkondadesse. Kuna vahepeal on politsei tugevamaks muutunud ja seksiäri kõvasti pigistanud, siis suuremahulist teenuseosutamist majades enam ei toimu. Samas toimub teenuse osutamine endiselt korterites sildi â€žtüdruk kutsub külla” all. Samas on oluliseks sissetulekuallikaks muutunud pornograafiga (sh lastepornoga) äritsemine.

Samuti nagu seksi puhul, on ka tulirelvade müügil internet ainult vahenduskeskkonnaks. Samas onÂ Â virtuaalmaailmas võimalik saada relvi küberräkiti tarbeks – viiruseid ja botnette. Kusjuures on võimalik osta ka garantii, et relv toimib. Näiteks viirustele on on võimalik suhteliselt väikese lisaraha eest osta garantii, et viirusetõrje seda ei avasta. Juhul, kui sellise viiruse signatuur ilmub viirusetõrjujate andmebaasidesse, tekib kohe sellele ka modifikatsioon, mis muudab ta jälle nähtamatuks.

Piraatkaupade äri käib ka internetis, tõsi, kaubaartikliteks on nüüd muusika, filmid ja mängud – asjad, mida on võimalik virtuaalmaailmas edastada. Samuti käib internetis krediitkaardiäri, kusjuures enam ei kaubelda mitte füüsiliste kaartidega, vaid kaartide informatsiooniga, mida saab kasutada veebipoodidest ostmiseks. Jällegi on tegemist asjaga, mida on võimalik virtuaalmaailmas edastada.

Loomulikult on seoses tehnika arenguga rünnakute olemus veidi muutunud. Võimalik, et need rünnakud ei ole enam nii letaalsed, kui 90-ndate omad. Samas, kui meelde tuletada, siis aastal 2000 Põhja-Ameerikas toimunud Black Out nõudis ka inimohvreid.

Internet on kurjategijate jaoks muutunud päris maailma jätkuks. Mis saab edasi? Loodetavasti muutub Eesti küberpolitsei ka natuke tugevamaks, samuti nagu muutus päris politsei viisteist aastat tagasi. Lihtne inimene saab kurikaelade tegevust piirata eelkõige sellega, et hoiab oma masina pahavarast puhtana ning internetis olles enne mõtleb, kui midagi teeb. Tahaksin väga loota, et viietestkümne aasta pärast ei ole vajadust kirjutada kuritegeliku maailma metamorfoosidest.