Autor: Aare Kirna

Uut tüüpi viirused, täiendatud

Täienduseks eelmisele sissekandele.

Viirus võib arvutisse sattuda populaarseid portaale, suhtluskeskkondi ja foorumeid külastades. Seni on see teadaolevalt levinud enam venekeelsetes foorumites. Nakatunud arvutit on kurjategijal võimalik distantsilt kasutada kui enda oma. Selle pahavara abil saavad kurjategijad varastada erinevaid paroole ja salasõnu ning esineda nende abil teise isikuna.

„Selleks, et antud pahavarast puutumata jääda, tuleks kindlasti veenduda selles, et Windows’i uusimad turvapaigad on alla laetud ja installeeritud. Samuti tuleb regulaarselt uuendada oma viirusetõrjetarkvara,” selgitas viiruse vältimise võimalusi CERT Eesti juht Hillar Aarelaid ja lisas, et tuntumad viirusetõrjetarkvara programmid aitavad enamiku levinumate viiruste vast. „Viirusetõrjeprogramme uuendatakse pidevalt, kuna ka häkkerid muudavad internetis levivad viirusi kogu aeg. Seega peaks mõistlik arvutikasutaja ka viirusetõrjet uuendama – keegi teine ei saa teie arvutit teie asemel kaitsta. ”

Kui arvuti on juba pahavaraga nakatunud, tuleks vastavate oskuste korral kas ise või mõne arvutifirma abil operatsioonisüsteem reinstalleerida ja alla laadida ka uus viirustõrjevara. Sellise leiab näiteks siit või siit.

„Sageli on internetis levivad viirused lihtsalt tüütuseks, mis arvuti aeglaseks muudavad ning sunnivad operatsioonisüsteemi uuendama. Selle konkreetse pahavara taga on aga inimesed, kes soovivad teiste isikuandmeid ära kasutada ja mõnel juhul on seda ka juba teinud,” sõnas Aarelaid. „Kõige turvalisem viis internetis liikudes on endiselt kasutada ID-kaarti või mobiilset ID-d ja võimalusel ka digitaalallkirja. ID-kaardi kiip ongi ise tegelikult arvuti, mille töö peamine eesmärk on hoida kaardi omaniku elektroonilist suhtlust turvalisena.”

Hoiatus: uut tüüpi viirused!

Hillar Aarelaid CERT-ist saadab sellise hoiatuse. Asi on tõsine, taustainfo väidab, et rünnatud on konkreetselt Eesti pankade kliente. 

Arvutiturbe uurimisega tegelev firma Panda Research hoiatab oma analüüsis uut tüüpi viiruste eest, mis suudavad kasutajate pangakontodelt raha varastada, ilma et kasutaja seda märkaks.

Kui varem võis kasutaja pahavarast aru saada selle järgi, et panka sisenemisel küsiti näiteks mitut koodi, siis nüüd on liikvel uut tüüpi viirused. Neid saab leida vaid viirusetõrjega, ilma tarkavara kasutamata ei ole nakatunud ja viirusest puhta arvuti erinevust võimalik näha. Nn troojalased nimedega Limbo ning Sinowal sisenevad kaitsmata arvutitesse kasutaja teadmata ja lisavad sinna koodi, mis annab kontrolli arvuti üle.

Kui kasutaja tahab olla kindel, et tema arvuti ei ole uut tüüpi viirustega nakatunud, tuleks arvuti puhastada viirusetõrjega. Kuna need viirused uuenevad kiiresti, on hea kasutada mitme eri firma tarkvarasid ja lasta neil oma arvuti üle kontrollida.

Kel veel viirusetõrje tarkvara arvutis ei ole, on võimalik arvutifirmadelt tellida arvuti puhastamist viirustest ja paluda selle käigus endale uusim viirusetõrje installeerida.

Symantec hoiatab: spämmerid ründavad ajaveebide kaudu

Saime Symantecilt järgmise pressiteate:

Peale jõulupühade rämpspostivoogu suunduvad spämmerid trendikate ajaveebide kallale

Turvatarkvaratootja Symanteci värske rämpspostiraporti hinnangul oli kõikidest detsembrikuu jooksul maailmas saadetud meilidest keskmiselt 75% rämpspost. Jõulupühadele eelnevail päevil kerkis rämpsposti hulk isegi 83 protsendini. Novembrikuu maht oli 72%.

Detsembrikuus lisasid spämmide loojad rämpsposti erinevaid jõuluteemalisi peibutusi, et tekitada inimestes ettevaatamatust. Näiteks üks kaval uusaasta tervitus pakkus linki, mida klikkides sai lubaduse järgi kuulata toredat muusikalugu. Tegelikult sai kirja vastuvõtja enda arvutisse kiusaka Storm Worm viiruse.

Teised aktuaalsed detsembrikuu teemad, mida spämmerid kasutasid oma lõksudes, olid nafta ülemaailmne hinnatõus ning Ühendriikides toimuvad presidendi eelvalimised. Symanteci spetsialistid avastasid Aasias ja eriti Hiinas tõusva trendi, et reklaame või pahavara sisaldavaid ajaveebe paigaldatakse saitidele, mis pakuvad kasutajatele tasuta kettaruumi.

Symanteci jaanuarikuu rämpspostiraporti koos statistiliste andmetega saab alla laadida sellelt veebilehelt.
Symantec monitoorib ülemaailmset spämmitegevust üle 2 miljoni spetsiaalselt loodud meilikonto abil. Lisaks sellele on ettevõte ehitanud Interneti-andmeliikluse monitooringuvõrgustiku, mis katab oma 40 000 sõlmkohaga rohkem kui 180 riiki. Symanteci tehnoloogia kaitseb praegu maailmas üle 450 miljoni e-posti aadressi.

Kas need kirjad on seotud petuskeemiga?

Anneli küsib: kas me sellistele kirjadele peaks kah vastama?

irishlottery.jpg

scotlandlottery.jpg

Jah, tegemist on tüüpilise petuskeemiga, millega üritatakse teilt arve avamise ja rahaülekande kulude näol raha ja isikuandmeid välja petta. Niisugustele kirjadele ei ole vaja vastata, samuti ei ole neid vaja ka kellelegi edasi saata.

Parim, mida te teha saate, on need ilma avamata kustutada. Säästate nii iseenda kui ka oma sõprade/IT spetsialistide aega ja närve.

Albaania viirus, seekord MSN-is

Paar sõpra said MSN-is järgmise teate:

Kui keegi “tytreke01@hot.ee” lisab Sind oma listi, ära võta vastu. Kuna see on viirus. saada see kõigile, sest kui keegi Sinu sõpradest selle vastu võtab, saad ka Sina viiruse. see viirus teeb endale ise tee läbi interneti,võttes suvalise inimese ja lisab ta listi.Copy ja saada see kõigile kes on Su listis online

Ja inimesed saadavadki. Nojah. Pärast antud viiruse koodinäidise pingsat analüüsimist võib öelda, et nimetatud pahalane kasutab levimiseks turvaauke inimpsüühikas ning ründab ja hävitab meie töö- ja vaba aega.
Igaks juhuks lisan ka originaalviiruse, mis on küll linnalegend ega iseloomusta mingilgi moel Albaania IT-tööstuse taset, kuid illustreerib nähtust väga hästi:

Hi,

This is an Albanian virus. As you know we are not so technical advanced as in the West. We therefore ask you to delete all your files on your harddisk manually and send this email to all your friends.

Thanks for helping us,
The Albanian Hackers

WiFi-uss ehk kuda moos kommi sisse saab

ruuter.jpgEks nii mõnedki meie hulgast ole ülikoolipõlves pärast kuuendat kannu teoretiseerinud igasugu süvafilosoofilistel või siis täppistehnoloogilistel teemadel. Kuda saab moos kommi sisse? Miks on vorstil alati kaks otsa? Milliste võtetega puuritakse augud makaronide sisse? Just sarnased põletavad küsimused andsid ja annavad ka tulevikus ammendamatuid võimalusi virgutavaks ajudegümnastikaks ning meenusid mulle millegipärast ka siis, kui lugesin parajat elevust tekitanud uurimust WiFi-ussist (PDF), mis võib tõelise pandeemiana nakatada vaat et kõik suurlinnades tihedasti üksteise kõrval töötavad WiFi ruuterid.

Olgu kohe öeldud, et seesugust ussi, viirust või muud isepaljunevat pahavara pole seni veel olemas, uurimuse autoreid (Hao Hu, Steven Myers, Vittoria Colizza ja Alessandro Vespignani) huvitas rohkem hüpoteetilise WiFi-pahalase leviku modelleerimine kui selle tööprintsiip. Samuti on neil igati õigus järgmistes punktides:

1. Enamikel WiFi ruuteritel puudub tarkvara, mis jälgiks nende pahavaraga nakatumist (seni pole lihtsalt vaja olnud).
2. Paljud kasutajad ei vaevu muutma ruuterite tehaseseadeid, mis võimaldab pahatahtlikul kasutajal siseneda neisse vaikesalasõnaga (mis on netist kiiresti ja lihtsalt leitav). Muide, Eestis on niisuguseid ruutereid hinnanguliselt 1-2%.
3. WEP-krüpteering, mis on WiFi ruuterites siiamaani vist levinuim, ei ole piisavalt turvaline. Parem oleks kasutada WPA-d.
4. 25% ruuterite salasõnadest on murtavad 65 000 sõna sisaldava sõnaraamatu ning veel 11% salasõnadest miljon sõna sisaldava sõnaraamatu põhjal.

Oletatav rünnakuvektor näeks välja nii: kurikael leiab tehaseseadetes WiFi-purgi, siseneb sinna üldiselt teadaoleva salasõnaga ning vahetab ruuteri välkmälus oleva ruuterit juhtiva originaaltarkvara modifitseeritud versiooniga, mis siis juba iseseisvalt leiab läheduses töötava WiFi ruuteri, murrab vajadusel selle WEP-krüpteeringu (WPA-d peetakse antud mudelis murdmatuks) ja muud turvaabinõud, arvab ära ruuteri parooli ning laeb sellesse ründekoodi sisaldava tarkvara. Ülevõetud ruuter hakkaks siis omakorda ründama naabruses olevaid ruutereid, kuni suurem osa New Yorki, Seattle’i, Bostoni ja Chicago ruutereid oleksid 48 tunni jooksul üle võetud.

Eks sellel hüpoteetilisel rünnakul ole oma nõrgad kohad muidugi ka:
1. Naabruses toimetavate ruuterite ründamiseks peaks ründav ruuter hüplema ühelt kanalilt teisele. Omanik tõenäoliselt märkaks seda pidevatest lühiajalistest sidekatkestustest ning muutuks murelikuks.
2. WEP-krüpteeringu murdmine on küll suhteliselt lihtne, kuid nõuab siiski omajagu arvutusvõimsust. WiFi ruuteri pisike protsessor saab tavaliselt hädavaevu hakkama oma tarkvara jooksutamise ja ühenduse krüpteerimisega, võõra krüpteeringu murdmiseks tarvilikku võimsusvaru tal kardetavasti ei ole.
3. Samuti pole ruuteril kuskilt võtta lisamälu, mis lisaks olemasolevale pisikesele opsüsteemile mahutaks pahavara koos miljonist sõnast koosneva sõnaraamatu ning sadate erinevate tootjate ruuteritele sobivate tarkvaraversioonidega.
4. WiFi ruuterid on oma olemuselt küll sarnased, kuid tegelikult toimetab maailmas ringi sadade, kui mitte tuhandete tootjate riistvara, mis vägagi tõenäoliselt omavahel kuigi ladusalt ei suhtle. Tõenäoliselt annetaks tänulik internetikogukond seesuguse mistahes riistvaraplatvormil töötava softi väljatöötanud kambale õige mitu Suurt Papist Auraha 🙂
5. Lisaks krüpteeringule ja parooldiele on ju olemas ka näiteks IP- või MAC-aadressi põhised filtrid, mida eduka rünnaku tarvis tuleks samuti võltsida. Kardan, et näiteks viimane ei olegi paljudel ruuteritel muudetav.
6. Mina olen küll näinud ruutereid, millel saab firmware upgrade’i teha ainult üle kaabliühenduse…

Kes oskab veel poolt- ja vastuargumente välja tuua?