APT – Jõuliselt ebamäärane küber-oht

Ühel Eesti konverentsil ongi juba avalikult nimetatud uut piinlikku jututeemat ingliskeelse nimetusega APT (advanced persistent threat). Seni pigem tundus, et tegu on paranoiliste jänkide hansaluuluga* (vt sõnaselgitust artikli lõpus). Usun, et head eestikeelset sõna vastava termini kirjeldamiseks ei ole ega tulegi, mistõttu püüan APT olemuse inimkeeli lahti kirjeldada.

 

APT defineerub läbi vastase ligikaudse kirjelduse, läbi tolle piiramatu tehnoloogiavõime ning läbi kellegi poolt kinniplekitud motivatsiooni. APT sisuliselt on luure ja tööstusspionaaži piiril paiknev nuhkimistegevus, mida teostatakse plaanipäraselt (just selle sihtmärgi vastu), eesmärgikindlalt (sest tellimus tuleb täita) ning toimub see tegevus kübervahenditega ning enamasti üle Interneti – inimesi ja arvuteid kottides (viirused, kalastamine, identiteedivargus, sissemurd, infovargus).

Vastavalt Richard Beitlichi liigitusele aastast 2010 tähendab A nagu ADVANCED, et kesiganes vastane ka poleks, ta on kogenud ja kvaliteetne. Saadab Sulle e-mailiga viirusi, üritab Sinu veebiserverisse sisse murda, ta võib Sinu firma tarbeks suisa leiutada mõne uue seninägematu turvaaugu. Tegelikult ihaldab ta andmeid Sinu sisevõrgust ja valdaval enamikel juhtudel ta lõpuks need ka saab. Tehniline pädevus ei ole seega küsimus – kuivõrd on tellimus, küll siis raha jaksab ka tehnoloogiat ja jultumust osta. Veel vastasest – tõenäoliselt käite te temaga samas kuurortis puhkamas, kuid ei tunne üksteist kunagi ära.

 

P nagu PERSISTENT tähendab seda, et nimetet äka*, kui see kord Sulle on kaela kukkunud, ei lähe enam iseenesest ära (palvetades, voodoo abil ega OS vahetusega). Põhjused, miks Sinu vastu huvi tuntakse,  jäävad selle artikli raamidest välja, kuid kui keegi ikka on infovarguse tellinud, siis üritatakse siit ja sealt, murtakse siit, kangutatakse sealt, aga raha on makstud ja lõpuks peab vastane oma tulemuse saama. Ühtlasi tähendab see, et mingeid tulikirju ekraanile ei ilmu ega niisama efekti mõttes CD-sahtlit kinni-lahti ei logistata. Toimetatakse tasahilju ning tehakse üksnes asju, mis viivad sihile. Tarvitseb üks viirus välja ravida kui saadetakse järgmine … või leitakse mingi muu vektor midakaudu siseneda. Üldiselt, ega viirustõrjed väga ei tahagi APT’ga tegeleda – õigesti hinnates, et see on tööriist, mitte isepaljunev organism. Vastase poolel on ka ajafaktor – erinevalt tavalistest küberkriminaalidest pole seda tüüpi vastasel kiiret rahanälga, mille peab suvalisel viisil ära rahuldama.

Lõpuks, T nagu THREAT (ehk oht) peaks APT puhul välja nägema mitte niivõrd tehn(oloog)iline (nagu mõni pahakood kusagil võõra serveri sügavuses) – kui seisnema inimestes, kellel on raha, motivatsiooni ja viitsimist Sinu organisatsiooni või firmaga jätkuvalt jännata. Muide, see on töö nagu iga teinegi ning sealjuures üks maailma vanimaid ameteid pealekauba. Samas, globaalvõrk nimega Internet on APT olulisimaks võimaldajaks – täitsa saab Sinu tehnoloogiafirma tahatuppa mingi kaktuse poetada ning siis seda kord kuus kastmas käia.

APT’le ei ole võimalik anda objektiivset tehnilist definitsiooni, ammugi seda mõne tarkvaraga ära tunda, sest kasutatud relvast tähtsam on seda pruukivate isikute motivatsioon. Tavalisest viirusest eristab APT’d eelkõige asjaolu, et raha ärapätsamine ei ole esmane eesmärk. Pigem ikka loodetakse võrku sisse murda ning sealt leida mingi infokild, mis hõlbustaks tellijal tema poliitiliste, majanduslike, tehniliste või sõjaliste ambitsioonide edasist hõlpsat kulgemist – raha ja ülemvõim peaksid saabuma pigem sedakaudu kui et Sinult viimaseid sääste pihta pannes. Teisisõnu võib öelda, et APT on vallaslaps, kelle isaks on indesp (industry espionage), emaks küberruum/Internet ning ämmaemandaks pigem mõne riigi mingi kolmetäheline asutus… kuid kes seda täpselt teab …

Vältimaks igasuguseid diplomaatilisi komplikatsioone, hoidutakse APT’st rääkides alati väga hoolikalt viitamast mistahes konkreetsele riigile või isegi pelgalt võimalusele, et tellijaks on mõne riigi mõni allasutus. Sest definitsiooni kohaselt, kui ühe riigi üks allasutus küberkeberneedib teise riigi erafirmat või organisatsiooni, siis pole see ju enam APT, siis on see (küber-)sõda. Ja kellele seda sõda ikka niiväga vaja on. Misläbi APT kui mugav kohitermin võimaldab kõigil osapooltel rahulikult edasi elada, pea betooni peidetud, ning endiselt samas kuurortis koos puhkamas käia.

Analüüsides ajavahemikku “ligupidamisest”* pronksiööd pidi tänaseni, võib märgata küberprallest osasaajate olulist diversifitseerumist – riikidele, kriminaalidele, terroristidele ja lihtsalt naljameestele on lisandunud üksikisikud, erafirmad, huvigrupid, mõttekojad ning ülalmainitute anonüümsed koostöövõrgustikud … kusjuures mõned Tegijad istuvad spektri mitmel toolil korraga. LulzSeci näiteks peaks vist liigitama kusagile mõttekoja ja naljameeste vahele? Stuxnet aga liigitub geolokatsioonilt riigiks kuid meetodilt terrorismiks. Kokkuvõttes – maailm on põimunud, Tegijate huvid on keerulised – selles valdkonnas vaevalt lähiaastatel selgust saabub.

Ah jah. Peaaegu unustasin. Töökoha PR tädid on mulle ikka ja jälle soovitanud, et asjalik kirjutis ei tohiks olla masendusttekitav vaid sel võiks olla va positiivne ja konstruktiivne soovitus ka man. Niisiis APT ongi Sul juba majas olemas, et mis siis nüüd edasi saab? Kas tulemüürid ja viirustõrjed aitavad? Paraku vist mitte alati. Siiski on ka APT’l oma nõrk koht – ta nimelt peab äravarastatud andmed koju emme juurde saatma. Ainuke mis ohvrit aitab, on omaenda arvutivõrgu pealtkuulamine. Mingi masin, mis suudab Sinu kontori võrguliiklust jälgida ja salvestada ning lõpuks viisakalt vihjata, et kuule mees, see iga kuu 27-nda kuupäeva paiku toimuv naljakas võrguliiklus Uruguay õlleserverisse on ikka natukene saatanast küll.

Moraali asemel – üksnes tehnikaga inimesi siiski ei püüa, ehk siis kui asi tõsiseks läheb, on vastukaaluna APT väärikale inimfaktorile vaja ka oma poolele palgata mõni hästi motiveeritud ja selge peaga tegelane, kelle palk võimaldab tal paberite täitmise ja raportite koostamise vahel sekka ka natuke võrguliiklust uurida ja sel pinnal üliväärtuslikke hüpoteese püstitada. Ning ei tasu unustada koostööd erinevate partneritega – sest sarnaselt käitub ka vastane.

 

Tisklaimer: Kirjutatud eraisikuna. Pole õrna aimugi, mida endised, praegused või tulevased tööandjad sellst teemast arvavad.

———
*  hansa-   –  ülieesliited eesti kultuuriruumis: hüper-, super-, mega- giga- (nagu Hansakruvikeeraja, SuperTigud või MegaLaen)

* äka – viisakam väljend sõnade “ess” või “kaka” asemel

* “ligupidamisega” – Eesti esimene pangakoodide suurkalastus detsembris 2002

 

Käivitasime arvutiprofessionaalide otsinguteenuse

Arvutikaitsel on hea meel teatada, et edaspidi saame oma nõuannete ja juhendite keerulisemates ja/või arvuti jaoks ohtlikumates osades, kus me tavaliselt oleme soovitanud võtta ühendust mõne arvutispetsialistiga, aidata teil nüüd ka mõni seesugune spetsialist päriselt üles leida.

Selleks lõime lehekülje, millel võite sisestada oma asukoha (või selle koha, mille läheduses te spetsialisti vajate), vajutada nuppu “Find locations” ning vastav teenus pakub teile nimekirja teie sisestatud aadressi läheduses tegutsevatest arvutifirmadest. Lehekülje leiab ka päisemenüüst nime alt “Otsi abi!“.

Esialgu on andmebaasis peamiselt sellised firmad, mis pakuvad arvutite hooldust, remonti ja andmetaastusteenuseid. Neile firmadele, kes müüvad näiteks viirustõrjeprogramme või muid kaupu ja teenuseid, mille hankimiseks asukoht ei ole väga oluline, teeme otsingu ja tootevõrdluse natuke teistsugusel kujul.

Arvamused teenuse ning seal loetletud firmade töö kvaliteedi kohta palun lisage selle postituse kommentaaridesse.

E-kirjade jälgimine on legaalne nuhkimine



Olen arvamusel, et diskussioon eraelu kaitse üle töösuhetes, on vägagi positiivne. On ju hetkel seda valdkonda reguleeriv seadusandlus üsna vana ja tegelikult on „halli ala“ suhteliselt palju. Näiteks on täielikult reguleerimata töötaja taustakontroll enne tööle võtmist ja tööle võtmise ajal. Mis aga puudutab ettevõtte poolt oma töötajate e-posti jälgimist, siis see on vajalik ja, ehkki servapidi hallis alas, ka juriidiliselt korrektne.

Sisuline külg

Tööandja poolt töötajale kasutamiseks antud vahendid, sealhulgas arvuti, internetiühendus ja e-posti aadress, on tööandja omand. Juhul, kui nendega mingisugune pahandus peaks toimuma, vastutab selle eest tööandja. Loe edasi: E-kirjade jälgimine on legaalne nuhkimine

Küberkuritegevuse majandusmudel

Nagu McAfee viimatine uuring näitas, on umbes 80% küberkuritegudest pandud toime raha pärast. Tüüpiline kodukasutaja reaktsioon on selle peale, et tema arvuti, andmed või muu selline pole kellelegi teisele väärtuslikud. Samas on küberkuritegevuse ohvrid enamasti just kodukasutajad. Miks?

Põhjus on väga lihtne – kodukasutajad on kõige lihtsam saak. Selleks, et seda olukorda mõista, tuleb natuke lähemalt vaadelda kuritegeliku majanduse mudelit.

Kasu ei ole alati otsene

Infotehnoloogiline vahend on vara – inimese jaoks, kes teda kasutab, on ta suhtlusvahend aga samuti ka vahend informatsiooni hankimiseks või salvestamiseks. Nii vahend ise kui ka informatsioon, mida see sisaldab, võib olla väärtuslik ka täiesti võõrale inimesele, eelkõige raha teenimise mõttes.

Nagu suvalises majanduses, on ka kuritegevuses liikumapanevaks jõuks kasum. Nagu normaalseski äris, on ka kuritegelikus maailmas vaja väärtuse hankimiseks teha teatud kulutusi. Näiteks varguse jaoks tueks hankida muukraud, küberkuritegevuses jällegi spetsiaalne programmijupp. Samuti võib „töö” olla keerukas ning ettevalmistuseks ja teostamiseks kulub kindel (vahel üsna märkimisväärne) tööaeg, millel on samuti oma hind.

Virtuaalses maailmas on selliste kulude kokkuhoid oluliselt kergem. Eelkõige sel kujul, et ühte ja sama programmijuppi (muukrauda) saavad korraga kasutada mitu pätti. Teine eelis on see, et sissemurdmist on võimalik automatiseerida ning ajal, kui muukraud käib iseseisvalt uksi lahti muukimas, võib tegeleda hoopis teiste asjadega.

Riskide maandamine

Kuritegeliku äri kulude hulka tuleb arvestada ka riskifaktor. Igas kuritegelikus äris on alati risk vahele jääda ja selle tegevuse eest karistada saada. Kuritegelik maailm teab seda väga hästi, mis on tegelikult ka põhjus, miks riskantsemate asjade jaoks tarvitatakse nn “tankistidena” narkomaane või paadialuseid. Esiteks on nende riskitunnetus oluliselt madalam. Teiseks on ka põhitegija enda vahelejäämise risk oluliselt madalam.

Virtuaalses maailmas on riske oluliselt kergem maandada. Esiteks pole virtualmaailmas vaja tegeleda asjadega füüsiliselt, see tähendab, et millegi kaasa viimiseks ei pea inimene ise füüsiliselt juures olema.

Teiseks ei pea väärtuse varastamiseks seda füüsiliselt kaasa viima, piisab, kui sellest teha koopia. See aga raskendab oluliselt tuvastamist, et midagi on üldse toimunud.

Kolmandaks on virtuaalmaailmas aga oluliselt kergem maskeerida oma tegelikku mina. See tähendab, et kui reaalses maailmas on kurjategijal võimalus ainult oma nägu varjata, siis viruaalmaailmas on tal võimalus esineda ka kellegi teisena, kusjuures selline valeidentiteedi tuvastamine on küllaltki raske. Ka virtuaalmaailmas kasutatakse kolmandate isikute, nn paadialuste või narkomaanide, abi. Tegelikult kasutatakse muidugi nende kolmandate isikute arvuteid ning sageli nende endi teadmata.

Vähem vahendajaid, suurem kasum

Juhul, kui mingi väärtus on kätte saadud, siis tuleb see ka maha müüa. Enamasti ei müü mingi asja varastaja seda otse lõpptarbijale vaid vahendajale. Sõltuvalt konkreetsest asjast peab vahendaja enne selle lõpptarbijale müümist kuidagi legaliseerima ning see muudab edasimüügiväärtust väiksemaks. Infotehnoloogilises maailmas kipub see vahendaja etapp sageli vahele jääma ning seetõttu on virtuaalsete varade vargus oluliselt kasumlikum tegevus.

Vastuabinõud

Selleks, et kuritegevust vähendada, on kõige mõistlikum üritada vähendada selle tegevuse kasumlikkust. Ka kriminaalid oskavad arvutada ning kui äri kulud on suuremad kui oodatav kasum, siis seda tegevust ette ei võeta. Nagu eelpool toodust nähtub, on kasumi vähendamiseks kolm teed: vähendada võimalikku müügiväärtust, suurendada väärtuse varastamiseks tehtavaid kulusid või suurendada vahelejäämise riski.

Tavamaailmas kasutatakse edasimüügiväärtuse vähendamiseks kõikvõimalikku erimärgistust. Virtuaalmaailmas on seda üritatud, kuid ilma erilise eduta. Samuti on vastav tehnoloogia kodukasutaja jaoks natuke kallis.

Väärtuse ebaseadusliku omandamiseks tehtavate kulutuste suurendamine käib tavamaailmas eelkõige välispiirde tugevdamise, see tähendab turvauste ja akende paigaldamise abil. Virtuaalmaailmas oleks selle vasteks tulemüür ja viirusetõrje kasutamine. Kuna virtuaalmaailm on pidevas muutumises, siis erinevalt ustest ja akendest, peab pidevalt jälgima, et need turvavahendid töökorras oleks. See tähendab, et viirusetõrje oleks uuendatud ning tulemüüri reeglid vastaksid vajadusele. Samuti, nagu tavamaailmas, tuleb vaadata, keda me omale külla laseme.

Kurikaelte vahelejäämise võimalust aitab suurendada ainult terve mõistuse kasutamine. Eelkõige tuleks alustada arvuti kui tööriista tundmaõppimisest – sellest, mida ta võimaldab ning mida mitte. Samuti nagu tavamaailmas, on ka siin vajalik jälgida, kes meie naabruses ringi luusib ja meie uksele koputab. Arvutimaailmas oleks uksele koputamise vasteks arvuti poole pöördumine. Loodetavasti hakkab varsti toimima ka küberkaitseliit ning pakub selle jälgimise juures tugevat abi, kuid sellegi poolest ei asenda kasutaja enda tähelepanelikkust ja teadlikkust mitte miski.

Kui me arvestame kurikaelte tegevusmudeleid suudame me teha nende rahateenimise raskemaks ning tekitame seeläbi ise endale turvalisema keskkonna. Kahtlemata on siinjuures vajalikud mõningad eelteadmised, kuid nende hankimisel üritab ka www.arvutikaitse.ee abiks olla.

Google’i spämmikalkulaator

Tahad teada, kui palju spämmiga tegelemine sinu firma kassast raha välja viib?

Google on üles pannud lihtsa spämmikalkulaatori, mis liidab kokku spämmi kustutamiseks kuluva aja, korrutab selle töötajate arvu ning nende keskmise palgaga ning ütleb, kui palju sa tänu sinu firma postkastidesse potsatavatele fantastilistele äriskeemidele ning pikendusvahenditele rahas ja tootlikkuses kaotad.

Mikko Tallinnas

mikko.JPGMõned F-Secure’i turvapealiku Mikko Hypponeni mõtted tema tänasest ettekandest Estonia talveaias.

F-Secure’i turvalaborisse tuleb 17 000 pahavarakahtlusega koodinäidist päevas, tegelikku pahavara on sellest 300-500 ühikut. Mida on sellegipoolest palju 🙁 Hetkel on teada 250 000 ühikut pahavara, Mikko ennustab selle kahekordistumist aasta jooksul.

10 aastat tagasi tuli muretseda kurjategijate pärast, kes tegutsesid sinuga samas linnas. Nüüd tuleb muretseda arvutikurjategijate pärast, kes tegutsevad näiteks Brasiilias. Hullem veel – kurjategijat ei huvitagi, kes te olete või kus te asute – teda huvitab ainult see, kuidas teilt teie raha ära võtta.

Mikko jutustas ka Tariq al-Daour’ist, kes mängis varastatud krediitkaardinumbritega pokkerit ning ostis nende kaudu kaotatud summade (kokku 2 mln eurot) varustust Iraagi mässulistele.

Tõenäoliselt vene päritolu Storm Worm’i grupi rünnak algas 18.01.2007, kõigepealt lihtsalt exe-failidest manustega. Kuna enamus tulemüüre pidasid selle spämmi kinni, hakati saatma võltslinke youtube’i, mis nõudis videoklipi näitamiseks “plugina” allalaadimiseks. Jätkati pühadekaartidega. Kokku saadi ligi miljonist arvutist koosnev p2p-põhine botnet, millel polnud keskserverit, mida maha võtta. Ehk siis superarvuti, mida ei kontrolli mitte valitsus või suurkorporatsioon, vaid kurjategijad. Lisaks sellele oli botnetil ka viirustõrjujavastane hoiatussüsteem, mis ründas kogu oma võimsusega neid, kes üritasid seda uurida.

Tekkinud superarvutit kasutatakse seesuguse spämmi renderdamiseks, mida tavalistel spämmitõrjetööriistadel raske töödelda. Kui saata välja miljon ühikut spämmi päevas ning sellele reageerib ka 0,0001 protsenti saajatest, teenitakse ikkagi tuhandeid.

Mikko arvates kasutaja harimine ei tööta kunagi – nagunii klikivad ja topivad igale poole oma krediitkaardinumbreid. Kavalamad troojalased, näiteks Torpig, viskavad popup-akna ette siis, kui logite oma pärispanka, küsides lisaautentimist krediitkaardinumbriga. Samuti kasutatakse pärisülekannete tegemisel pisiparanduste tegemist, suunates ülekande näiteks kurjategija arvele. Selliste nõksude vastu kasutajate harimine ei aita.

10-15 aasta pärast on põhiosa internetikasutajaid Aasias (hetkel on seal internetikattuvus vaid 10%). Kes neid kõiki harida jõuab? on Mikko lootusetu. Samas on tema hinnangul tavaliste kurjategijate kõrval kasvamas täppisinfot otsivate spioonide osakaal.

Suurem osa rünnakuid tuleb Ida-Euroopast (eriti Moskva ja Peterburi ümbrusest), Brasiiliast, Ida-Aasiast ja USA-st.

Häkkerifoorumitest saab osta varastatud krediitkaardinumbreid ja turvakleepse, pahavara ja spetsiaalselt teie konkurentide vastu suunatud rünnakuid. Suur osa kevadistest rünnakutest Eesti vastu tuli üüritud botnettidelt. Rahapesuks värvatakse tankiste (soovitavalt kriminaalkorras karistamata :)). Eelmisel aastal kasutati Rootsis ligi tuhandet tankisti ligi 9 miljoni Rootsi pankadel arvetelt varastatud Rootsi krooni väljavõtmiseks…