themes theme

Artiklid alates ‘Rünnakud’ rubriigist

Viirustelaine veebiserverites

6. jaanuar 2010

Tarmo Randel CERT.EE-st hoiatab veebide administraatoreid pahatahtliku skripti eest, mille levik Eestis on võtnud juba pandeemia mõõtmed ning nakatas muuhulgas ka ERR-i veebid. Pahalase täpsemat iseloomustust saab lugeda siit (http://blog.unmaskparasites.com/2009/12/23/from-hidden-iframes-to-obfuscated-scripts/ NB! Sisaldab konkreetset pahatahtlikku koodi!).

Ühest küljest oleks selline rünnak ja selle tagajärjed nagu ainult veebimeistrite mure. Paraku võib nakatatud veebilehel jooksev pahatahtlik skript tõmmata teie arvutisse mida tahes – lihtsast linkide spämmikülgedele ümbersuunajast nuhkvara allalaadijani. Seda enam, et kõnealune pahalane levib oletatavasti veebiomanike tööarvutitest varastatud ftp-paroolide abil.

Mida arvutikatse.ee lugeja saab enda kaitsmiseks ette võtta? Veebiadministraatorina tasuks järgida Tarmo soovitusi ning lisaks hoolitseda, et ka rakendustel oleksid uuendused tehtud ja paigad peal.

Tavakasutajal oleks tark kasutada seesugust viirustõrjet, mis kontrollib pahavara suhtes ka külastatavaid veebilehekülgi, väga suur abi on ka brauserile paigaldatavast NoScripti-laadsest pluginast. Viimane, tõsi, muudab paljud populaarsed veebisaidid kasutuskõlbmatuks.

Hotmaili, Gmaili varastatud paroolidest

7. oktoober 2009

Eelmisel nädalal riputati PasteBin-i tarkvaraarendusfoorumisse üles 10 000 Hotmaili parooli koos kasutajanimedega. Sellesisuline BBC uudis levis kiiresti üle maailma ning peatselt selgus, et varastatud on ka Gmaili ja Yahoo! Maili paroole.

Nii Microsoft kui Google eitavad sissemurdmist ja neil on õigus – kaotsiläinud paroolid andsid pättide kätte…

kasutajad ise.

Tundub, et paljud inimesed üle maailma on saanud sellise teate:

Pilt: neowin.net

Pilt: neowin.net

Ehk siis neil on palutud kirjas, mis näeb välja täpselt nõnda, nagu ta oleks saadetud Windows Live administraatori poolt, minna etteantud aadressile, mis näeb pealiskaudsel vaatlemisel kuuluvat Windows Live domeeni, oma kasutajakontot seadistama.

Tegelikult suunas see link kasutaja sellisele veebilehele, mis nägi küll välja nagu Windows Live oma, kuid asus hoopis ühes teises serveris. Loomulikult üritas kasutaja sinna oma kasutajanime ja parooliga sisse logida, ja kui see ei õnnestunud, kordas oma katset, kinnitades kurjategijatele oma parooli veelkord üle.

Ilmselt rünnati samal viisil ka Gmaili, Yahoo Maili ja paljude teiste sotsiaalsete võrgustike kasutajate kontosid.Varastatud paroolid kuulusid öeldavasti Euroopas, täpsemini Lõuna-Euroopas asuvatele kasutajatele. Nii Microsoft kui Google kinnitavad, et pärast nimekirja avalikukstulekut sundisid nad neis olevaid kasutajaid oma salasõna vahetama.

Turvaspetsialistid toovad antud juhtumiga seoses välja veel kaks haavatavat kohta. Nimelt on paljudel paroolipõhistel autentimissüsteemidel ka meeldetuletusfunktsioon, mis küsib teilt kasutajatunnust ja vastust lihtsale turvaküsimusele. Vähemalt Windows Live ja Gmaili puhul on meiliaadress ühtlasi ka kasutajatunnuseks, väga paljude meilisüsteemide turvaküsimused aga olid kuni viimase ajani liiga lihtsad.

Sama on turvaspetsialistid üsna üksmeelselt väitnud ka lekkinud 10 000 salasõna kohta. Arvutikaitse on viletsatest salasõnadest ka varem kirjutanud.

Mida teha, kui kahtlustate, et ka teie parool on internetti lekkinud? Loomulikult tuleks parool vahetada, kasutades selleks mitte suvalises kirjas antud, vaid ise brauseriribale tipitud aadressi.

Hea poliitika on salasõnu ka perioodiliselt vahetada, meeldejätmiseks aga mitte loota mälule või kleepsupaberile, vaid paroolihaldustarkvarale. Viimastest soovitan näiteks selliseid:

Password Agent

KeePass

LastPass

Ka Peeter Marvet on kirjutanud meeldejäävaid paroole genereeriva skripti.
NB! Makrosid sisaldavad dokumendid, isegi kui need pärinevad Arvutikaitse lehelt, kontrollime enne koduses arvutis käimatõmbamist viirustõrjega üle – muudame selle endale harjumuseks!

Suurimad riskid küberturbes

29. september 2009

Nagu ma ühes oma eelnevas artiklis mainisin, on veebist lähtuv oht väga suur. Nagu mõned päevad tagasi SANS poolt avaldatud uuringust selgub, on selline risk suurimaks turvaintsidentide põhjuseks.

Oht veebist

SANS uuringu andmetel on tavaline veebilehitsemine turvaintsidendi põhjuseks lausa 60%-l juhtudest. Pahalane kasutab siinjuures ära kas siis lohakalt kirjutatud veebilehte või mõnda veebilehe all oleva tehnoloogia nõrkust, mille kaudu pannakse täiesti legaalsele veebilehele mõni pahavara sisaldav programmijupp, video või dokument. Programmijupp käivitatakse kasutaja veebilehitsejas ning video või dokumendi sees olev pahavara hakkab kasutaja arvutis tegutsema, kasutades ära mõnda kasutaja arvutis oleva tarkvara nõrkust. Siit jõuame kohe ka suuruselt järgmise riskini.

Turvaparandusteta tarkvara

Riski suuruse poolest järgmisel kohal on turvaparandusteta tarkvara kasutamine. Riskantseimad on ses osas Adobe PDF, Apple QuickTime, Adobe Flash ja Microsoft Office. Tõmmates veebist mõne dokumendi või video ning avades selle turvaparandusteta tarkvara abil, on pahalasel võimalus saavutada kasutaja arvuti üle täielik kontroll.

Operatsioonisüsteemi turvavead

Kolmandal kohal on operatsioonisüsteemi turvavead, kusjuures üle 90% rünnetest on suunatud erinevate Windowsi opsüsteemide pihta. Põhiliselt kasutatakse ära mõne laiendusteegi (dll) nõrkust. Vastavalt SANS uuringu andmetele on suurim oht Conficker/Downadup, kuid levivad ka ammu avastatud viirused nagu Sasser (avastatud 2003) ja Blaster (avastatud 2004). See näitab, et kasutajate poolt on turvaparanduste paigaldamine ja turvatarkvara kasutamine väga nigelal järjel.

Soovitused

Pahalaste esmaseks eesmärgiks on arvuti üle kontrolli saavutamine. See annab neile võimaluse jälgida kasutaja tegevust – varastada pangaparoole ja muud isiklikku informatsiooni, samuti saab kontrolli all olevat arvutit kasutada sillapeana järgmiste rünnete tegemisel näiteks (suurema asutuse puhul) sisevõrgu või teiste arvutite vastu. Mida siis teha, et pahalased meie arvuti üle kontrolli ei saavutaks?

  • Kasuta alati turvatarkvara – tulemüüri ja pahavara tõrjujat.
  • Kasuta arvutit alati tavakasutaja (mitte administraatori) õigustes.
  • Tegele regulaarselt turvaparanduste paigaldamisega – jälgi, et opsüsteem ja rakendusprogrammid oleks alati uuendatud.
  • Kustuta arvutist tarkvara, mida ei kasuta – igas tarkvaras avastatakse varem või hiljem mingi nõrkus ning kuhugi kettanurgale ununenud tarkvara muutub ohu allikaks.

Veebirakenduste pidajad peaksid regulaarselt kontrollima oma veebilehti potentsiaalsete ohtude vastu – SQL augud, Cross Site Scriptingu vead, PHP ebaturvalised funktsioonid on pahalaste lemmikud uute sigaduste välja mõtlemisel.

Veidigi suurema võrgu omajad peaksid aga mõtlema juba võrgujälgimise seadmete hankimisele – sissetungi avastamise süsteem (Intrusion Detecrion System- IDS) ja auditilogide pidamise vahendid ei ole enam kallid ning on suurepäraseks abivahendiks kõikvõimalike turvaintsidentide avastamisel.

Refereeritud artikkel

Kokkuvõte 1

Kokkuvõte 2

H1N1 pahavara

28. juuli 2009

F-Secure turvablogi kirjutab pealtnäha lihtsast ning turvalisest lingifailist. Need failid on otseteed, et avada näiteks Arvutikaitse.ee lehekülg. Alltoodud link on hoopis kavalam.
Otsetee
Tavaline otsetee fail Internet Explorerile

Command prompt
Command promptis näib see 1987 baidine fail ohutu

Sisu
Kui aga sisu uurida, äratab see juba kahtlust

Otsetee atribuudid
Otsetee atribuute vaadates lingib see %ComSpec%

Notepadis
Kopeerides kogu rea Notepadi, avaneb meil hoopis teine vaatepilt. Ikkagi on segane, millega tegu

Mida see H1N1.lnk fail siiski teeb?
# Ühendub FTP-saidile www.g03z.com
# Logib sisse, kasutades kasutajanime aa33 ja parooli bb33
# Laeb alla skripti p.vbs
# Käivitab skripti

Hetkel on sellel saidil pesitsev kahjulik skript maas ning H1N1’te avades ei toimu midagi.
Pealtnäha kahjutud failid võivad mõnikord kujuneda “põrsas kotis”, millest ei tea, mida oodata.

IE8 turvaauk

15. juuli 2009

Turvaeksperdid leidsid IE 8 veebibrauserist kriitilise ActiveX turvaaugu, mida kasutades saab arvutisse pahavara paigaldada , kirjutab PC Advisor. Kasutatakse seda nii, et kurikaelad paigaldavad nakatunud veebiserveritesse pahatahtliku ActiveX komponendi, mis suunab sinna sattunud brauseri juba konkreetse arvuti tarbeks pahavara alla laadima.
Turvaaugu kriitilisust arvestades on seda hakatud juba nimetama Conficker 2’ks, kuna rünnak levib kiirelt ja laialdaselt.  Samuti ei ole kasutajad kaitstud ka siis, kui nad surfavad ainult enda teada turvalistel lehekülgedel.
Tasub silmad lahti hoida  ning enda kaitsmiseks näiteks WOTi kasutada.
Microsoft lubas selle vea parandada 14 juulil. Seega tasub IE 8-le uuendusi otsida. Seda saab teha näiteks Microsofti uuenduste lehel http://windowsupdate.microsoft.com/

Nuhtlus nimega Conficker

10. mai 2009

Juba 2008 aasta novembrist on kogu maakera internetikasutajaid kimbutanud uss nimega Conflicker. Kuna tegu on maailma ühe suurima, 1gusano1kurikuulsaima ja enim kõneainet pakkunud  botnet-võrgustikuga, siis on elementaarne, et sellest ollakse vähemalt poole kõrvaga kuuldudki.

Aga kuidas kusagil.  Olin 12 liikmelises seltskonnas, kus pahaaimamatult arvutiteemadele laskudes alustasin juttu Confickerist (alias Downadup,  Downup või Kido). Mulle vaadati otsa nagu võõrkeelt rääkivale kodanikule ja palju ei puudunud, et oleks küsitud – millega seda confickerit süüakse, kas pulkade või kahvliga?  Väga võimalik, et nüüd oled ka sina, hea lugeja, oma seltskonnast ainuke, kes sellest ohtlikust elajast on kuulnud…

Kokkuvõtvalt uss-viirus Confickeri kohta

Conficker on viirus, mis loob nakatunud arvutitest üle maailma salajase infrastruktuuri, ühtse löögirusika, mida kontrollivad küberkurjategijad.  Arvatakse, et kurjategijaid on mitu, ent kindlalt ei teata. Eeldatakse, et üksikisik niivõrd kõrgetasemelise ja levikualalt mastaapse ussi loomisega ning selle kontrolli all hoidmisega hakkama ei saaks. » Loe edasi: Nuhtlus nimega Conficker