themes theme

Artiklid alates ‘Uudised’ rubriigist

FBI saadab oma agendid Eesti küberpättide vastu

5. märts 2010

Lisaks Eesti korrakaitsejõududele saadab FBI oma küberkuritegude uurijad appi ka Ukraina ja Madalmaade õiguskaitseorganitele, ütles FBI küberkuritegude osakonna ülem Jeffrey Troy RSA konverentsil San Franciscos antud intervjuus. Troy sõnul andis selliseks sammuks tõuke edukas operatsioon Rumeenias, mis viis saja küberkurjami arreteerimiseni.

Turvaekspertide sõnul on Ukraina küberkurjategijad kujunemas vaat et suuremakski probleemiks kui Venemaa omad. Ja eks Eestiski pandi alles veidi aega tagasi kinni ulatuslik spämmi- ja pahavaravõrgustik.

Kui kettaseadmega on probleeme

21. detsember 2009

Kuigi tänapäeva kettaseadmed on üsna vastupidavad, juhtub aeg-ajalt ikka, et arvutit käivitades saadakse veateade “Boot media not found” või sinise ekraani veakoodiga 0x00000024 (NTFS_FILE_SYSTEM). Tihtipeale tähendab see, et mõne aja pärast ei ole ketast enam üldse võimalik kasutada. Seega, kuidas käituda kui kahtlustate, et kettaseade hakkab üles ütlema?

Kui kahtlustate, et kettaseade eluga on lõpukorral, tuleks andmete päästmiseks teha järgmist:

  1. Luua kettast koopia või kujutis faili
  2. Taastada ketta koopiat kettal olev failisüsteem
  3. Taastada ketta koopialt failid

Ketta kahjustatuse kontrollimiseks saab pärast ketta koopia tegemist kasutada mitmeid ketta diagnostilisi tööriistu. Uuemate arvutite BIOS menüüs on tavaliselt olemas valikud ketta diagnostika läbi viimiseks või ketta S.M.A.R.T. diagnostika väljundite kontrollimiseks. Juhul kui ketta diagnostika kettaga probleeme ei leia, saab ketta töökorda seada taastades kettal olevad failisüsteemid (nagu on kirjeldatud andmete päästmise teises etapis).

Järgnevalt on toon näiteid andmete päästmise kolme sammu läbi viimiseks kasutades tasuta süsteemitaaste komplekti SystemRescueCD vahendeid.

Ketta koopia loomine

Ketta koopiat on võimalik luua nii faili kui ka uuele kettaseadmele. Vaikimisi eeldab koopia tegemine, et sihtasukohas peab vaba ruumi olema vähemalt sama palju kui taastataval kettal kettamahtu. Tegelikkuses on võimalik siiski hakkama saada väiksema kettaruumi vajadusega. Näiteks kasutades failisüsteemis pakkimist, on võimalik ketta koopia ära mahutada enam kui kümnendiku võrra väiksemale ruumile kui taastataval maht. Juhul kui taastatav ketas omas palju vaba ruumi ja pole kunagi täis saanud, on võimalik vähendada ketta koopia jaoks kuluvat mahtu kasutades sihtfailina hajusat faili (sparse file), kus konstantseid pikemaid bitijadasid faili ei kirjutata märkides need vaid failitabelis eriliste sektoritena.

Kettast koopia tegemiseks on mitmeid tööriistu. Neist tooksin välja vabavaralise ddrescue, mis pakub mitmeid lisavõimalusi ketta koopia tegemiseks. Kõige lihtsam on kettast koopiat teha ühendades taastatav ketas mõne teise arvutiga lisakettana (nt. välise kettana). SystemRescueCD puhul tuleb ddrescue kasutamiseks SystemRescueCD plaadilt käivitada tema linux keskkond (vaikimisi valik, graafilist kasutajaliidest pole vaja). ddrescue üritab korduvalt lugeda kettalt välja seal olevad andmed ja need siis toimetada sihtkohta. Sealjuures on abiks see, et ddrescue oskab katkenud koopia tegemist jätkata uuel käivitamisel ning on võimalik lasta ddrescue-l teha kõigepealt koopia lihtsalt taastatavatest kettapiirkondadest ning seejärel täiendada loodud koopiat ülejäänud ketta piirkondade andmete lugemisega. ddrescue-ga ühe korraga täieliku kettakoopia tegemiseks tuleb käsurealt sisestada käsk:

ddrescue -d /dev/sdX /mnt/sihtketas/failinimi.dd /mnt/sihtketas/failinimi.log

kus /dev/sdX viitab taastatavale kettale (tavaliselt on esimene kettaseade arvutis /dev/sda, teine /dev/sdb, jne.), /mnt/sihtketas/failinimi.dd viitab sihtfailile ja /mnt/sihtketas/failinimi.log viitab logile (vajalik taastamise hilisemaks jätkamisks).image

Rohkem infot ddrescue kasutamise kohta leiate selle juhendist: http://www.gnu.org/software/ddrescue/manual/ddrescue_manual.html . Sihtfailiks võib olla teine ketas (sisu kirjutatakse üle) või mõni fail teisel kettal. Selleks, et ketta koopia teha faili, tuleb kõigepealt sihtketas ühendada. Näiteks, ketta koopia failiserverisse (Windowsi jagatud kausta) kopeerimiseks tuleb failiserveris sihtkaust ühendada kohaliku failipuuga järgmiselt:

mkdir /mnt/sihtketas
mount –t cifs –o user=Guest,lfs //Failiserveri_nimi/Jagatud_kataloog /mnt/sihtketasimage

kus Guest asemel tuleb anda serveri kasutaja nimi, kellena koopia tehakse, //Failiserveri_nimi/Jagatud_kataloog on tee jagatud kaustani ja /mnt/sihtketas on koht, kuhu  ketas ühendatakse. Võti lfs tähistab, et kasutatakse suurte failide (üle 2GB) tuge. ddrescue töötab automaatselt ega vaja kasutaja sekkumist. Koopia tegemine võib aega võtta tunde või isegi päevi.

Windowsi puhul on mõistlik ketta koopiast teha vhd formaadis virtuaalketas, mida saab Windowsis tavalise kettana kasutada (Windows 7 eelsete versioonide puhul on selleks vaja alla paigaldada vhdmount, mille saab paigaldada Virtual Server paigaldusprogrammiga). VHD failide eelis on ka nende kasutatavus mitmetes virtuaalmasinates (tegemist on Microsofti virtualiseerimisplatvormide (Hyper-V,  Windows Virtual PC, Virtual Server) kettaformaadiga), mis võimaldab seal olevat operatsioonisüsteemi virtualiseeritud keskkonnas käivitada. Oluline on siinjuures tähele panna, et Virtual PC ja Virtual Server keskkonnas tuleb SystemRescueCD Linux keskkond käivitada alternatiivse tuumaga (altkernel32). Linux platvormil saab tavaliselt dd faili ise kettana kasutada (vt. mount käsu abiinfot).

Failisüsteemi taastamine

Failisüsteemi taastamiseks saab parimal kasutada operatsioonisüsteemi paigaldusmeedia vahendeid. Näiteks Windowsi puhul saab paigaldusmeedialt kasutada käske chkdsk, fixmbr ja fixboot, mis kontrollivad ketta korras olekut ja parandavad kettal olevaid vigu Windowsi käivitumise taastamiseks. Samas ei suuda need tööriistad taastada vigastatud ketta partitsioonitabelit. Vigastatud partitsioonitabeli taastamiseks ja sealsete failide taasamiseks saab edukalt kasutada TestDiski (osa PhotoRec paketist).

TestDiskile tuleb käivitades ette anda ketta koopia (või taastatava ketta) asukoht. Käsurealt saab seda teha lisades selle tühikuga eraldatuna käsu järele, Windows keskkonnas saab läbi lihtsamalt lohistades ketta kujutise “testdisk_win.exe” peale. Nii TestDisk kui ka PhotoRec on tekstikonsoolil töötavad rakendused. Juhtnuppudeks on enamikel ekraanidel nooleklahvid ja sisestusklahv (Enter). Aktiivsed valikud on kujutatud musta tekstiga valgel taustal. Näiteks alloleval pildil on valitud taastamiseks ketta kujutis D:\Public\Disks\Disk9BOOT.dd ja valitud on nupp [Proceed] (jätka).

Pärast TestDisk käivitamist tuleb uuesti valida, kus asuvad taastatavad andmed.

image

Olles valinud taastatavate andmete asukoha, tuleb määrata, mis tüüpi partitsioonide tabel on kasutuses. Enamasti on selleks Intel partitsioonitabel, kuid Mac ketaste puhul on selleks tihti Mac ja uuemate arvutite puhul EFI. Kui te pole kindel, milline on kasutuses, võib alguses proovida Inteli tabelit ja kui sellega taastamine ei ünnestu, proovida EFI-t ja seejärel teisi partitsioonitabeli tüüpe. Partitsioonitabeli puudumine (valik [None]), on kasutuses vaid ketaste erijuhtudel.

image

Failisüsteemide otsimiseks tuleb järgneval ekraanil valida [Analyise] (Analüüsi). Ülejäänud valikute kasutamine enamasti vajalik pole, kuid leidub juhtumeid, kus TestDisk ei oska ise õigeid seadistusi ära arvata ning vajalik on ketta kohta lisainfo andmine. Nende kasutamine on mõistlik jätta kettaseadmetega rohkem kursis olevatele inimestele.

image

Pärast [Analyse] valimist tuleks teha kiire otsing ([Quick Search]) ning kui see midagi  ei leia, ka sügavam otsing ([Deeper Search]),

image

Otsingu tulemuseks peaks olema arvatav partitsioonide tabel. Selle partitsioonide tabeli kettale salvestamiseks tuleb pärast tabeli leidmist valida [Write]. Alternatiivselt saab valida leitud partitsiooni ja vaadata seal olevaid faile (vajutades nuppu ‘p’). Neid faile saab ka taastada kopeerides need töökettale. Selleks tuleb valida taastatav fail ja vajutada ‘c’.

Faili taastamine

Failide taastamiseks ilma failisüsteemi taastamata (st. taastada saab ka ketta ümber formaatimise või suuremate failisüsteemi vigade tõttu kaotatud faile) ketta koopialt on üks paremate tulemustega programme PhotoRec. PhotoRec ignoreerib failisüsteemi failitabeleid ja otsib otse kettal olevaid faile. PhotoRec kasutamine on väga sarnane TestDisk kasutamisele.

Ka PhotoRec käivitades tuleb kas faili lohistades või käsurealt käivitades ette anda taastatavate failide asukoht. Programmi kõivitudes tuleb taaskord valida, kus asub taastatav meedia. Seejärel tuleb valida partitsioonitabeli tüüp. Seejärel tuleb valida, kas soovite faile otsida kindlalt partitsioonilt või tervelt kettalt ([Whole Disk]). Valides terve ketta, küsitakse, kas tegemist on Linuxi ext failisüsteemides olnud failidega või mitte. Kui Linuxit ei kasutanud, siis tõenäoliselt tuleb valida [Other] (Muu).

image

Olles öelnud, kas tegemist on ext failisüsteemi tüübiga või mitte, tuleb määrata kaust, kuhu paigutatakse taastatud failid.  Kaust “..” (kõige ülemine) tähistab ülemkausta (“up”). Taastamise alustamiseks tuleb vajutada ‘Y’. Taastatud failid tekivad valitud kausta alamkaustadesse recup_dir.N.

image

Kokkuvõte

Eeltoodud võtetega on võimalik päästa andmeid “surevalt” kettalt (sh. kõvaketastelt, flash ketastelt, mälupulkadelt, CD, DVD, HD-DVD, BluRay plaatidelt ja teistelt andmekandjatelt). Siinjuures tuleb hoiatada, et päästetud saavad ka osad varem kustutatud failid (nt. veebibrauseri sirvimise ajalugu). Mitte kõiki faile ei ole võimalk taastada tarkvaraliste vahenditega. Eriti keeruline on taastada näiteks faile, mille sisu on teiste failide poolt üle kirjutatud. Sellisel juhul saab päästa faile vaid spetsialse riist- ja tarkvaraga spetsialistide poolt. Samas surevalt kettalt andmete koopia tegemiseks või muul mitte käivituva operatsioonisüsteemi diagnoosimiseks ja parandamiseks on SystemRescueCD vahendid hästi sobilikud. Hoolimata nimest, on SystemRescueCD kasutatav ka haldamistoimingute jaoks (nt. ketta ümber partitsioneerimine).

Microsoftilt 2009. aasta võrguohtude ülevaade

4. november 2009

Microsoft on uurinud oma pahavaravastaste tööriistade logisid ning koostanud nende põhjal ülevaate 2009. aasta esimeses pooles kinnipüütud pahavarast.

Täiesti ootuspäraselt jõuavad uurijad järeldusele, et mida uuem ja lapitum tarkvara, seda väiksem on tõenäosus, et mõni pahalane end sellest läbi murrab.

Levinuim pahavaraliik on jätkuvalt troojalased, kuid võimsa tagasituleku teinud ussid on tõusnud auhinnalisele teisele kohale. Jätkuvalt tõusuteel on nuhkvara, eriti selline, mis varastab elektronpanganduse ja onlain-mängude ligipääsuandmeid.

Eesti kohta kirjutatakse, et võrreldes 2008. aastaga on nakatunud arvutite arv veidi vähenenud – kui 2008. aasta II poolaastal eemaldati pahavara 0,53%-st Eestis asunud arvutitest, siis 2009. aasta I poolel 0,43%-st (Soomes vastavalt 0,26% ja 0,19%, Lätis 0,62% ja 0,58%, Venemaal 2,11% ja 1,5%).

Pahavara või õngitsemisskeeme sisaldavaid veebilehekülgi leiti Eestis olevat 0,034 ühikut 1000 internetti ühendatud arvuti kohta (Soomes 0,007, Lätis 0,086, Venemaal 0,934, Bangladeshis 23,861).

Ülevaate koostamisel kasutati Microsofti viirus- ja spämmitõrjetööriistade, otsimootori Bing ja Exchange’i tõrjesüsteemide andmeid.

Kaspersky ja Panda komplekstõrjed 22. oktoobril üheks aastaks tasuta!

21. oktoober 2009

Homme, 22. oktoober, on see päev, kui näeb ametlikult ilmavalgust Windows 7. Selle nn. erilise pidupäeva puhul teevad kingitusi ka mitmed tõrjeprogrammide tootjad. Just nüüd ja praegu, rahaliselt raskel ajal,  on ülimalt meeldiv osa saada taolistest pakkumistest, seega tasub hoolega surfata tõrjeprogrammide kodulehekülgedel ja otsida pakkumisi.

Hetkel on ametlikult oma eripakkumisest teada andnud kaks tuntud viirusetõrje tootjat.  Mõlemal puhul on tegemist kõik-ühes turvaprogrammiga, mis kätkeb endas viirusetõrjet, tulemüüri, nuhkvaratõrjet ja spämmikaitset. Pakkumine kehtib vaid ühel päeval – 22. oktoobril 2009. a, mil aktiveeritakse registreerimise- ja allalaadimislingid.

Kaspersky Internet Security 2010 aastane litsents on saadaval sellelt lehelt.

Kaspersky-Internet-Security-2010

Panda Internet Security 2010 aastane litsents on saadaval sellelt lehelt.

Panda-Internet-Security-2010

Uus kampaania: õpetage lapsele e-enesekaitset!

21. oktoober 2009

RIA teatab, et alustab 26. oktoobril lapsevanematele suunatud teavituskampaaniat, kutsudes emasid ja isasid huvituma lapse tegemistest internetis ning rääkima lapsega turvalisest veebikasutusest.

Uuringud osutavad, et Lääne-Euroopaga võrreldes on meie lapsevanemad oma laste virtuaaltegemiste suhtes oluliselt ükskõiksemad. Suur hulk Eesti lapsi on internetis üksi ja neil puuduvad oskused ohtusid ära tunda.

anto“Lapsed alustavad internetiga 1.-3. klassis, vahel varemgi. Kogu senine tarkus internetiohutusest on aga suunatud pigem teismelistele. Nii võibki juhtuda, et lapsed ei pruugi inteneti ohuolukordadega tõhusalt hakkama saada. Esineb küberkiusamist ja kommionusid, ehk alles Jõuluvanale kirjutav laps võib silmitsi sattuda identiteedipettustega,” selgitab CERT infoturbe ekspert Anto Veldre. “Huvitaval kombel ei alga arvutiõpe praegu koolist, vaid saab alguse hoopis kodust ja lapsevanemast, sõpradest ja tuttavatest. Emad-isad, olge oma lastele toeks mitte ainult päriselus, vaid ka virtuaalmaailmas!”

Uuringute järgi eksivad lapsed internetis kõige sagedamini reegli vastu, mis keelab avaldada isiklikku infot. Heauskselt levitavad nad oma telefoninumbrit ja kodust aadressi ning räägivad, kus koolis ja klassis õpivad. Samuti kasutatakse suhtlemisel pärisnimesid. Kõige selle tõttu on võõrastel väga lihtne lapse isikut tuvastada.

Anto Veldre sõnul on netikeskkond kujunemas omaette laste maailmaks, kust vanemad ja õpetajad puuduvad. Ta sõnas, et laps ei oska kiusajaga ise toime tulla, kuid ei lähe ka abi küsima, sest ta arvab interneti-asju teadvat isast-emast paremini. Tegelikult on aga keerulise olukorra lahendamiseks vaja pigem elukogemust, mitte arvutikasutusoskust.

„Internet ei ole kõige kurja juur ning seda ei pea suukorvistama. Internetis leidub tohutult arengut soosivaid materjale, internet avardab maailmapilti ning pakub suhtlusvõimalusi. Samas, et ei juhtuks õnnetust, suutku laps iseseisvalt ohtusid ära tunda ning õigeid otsusi langetada. On parem, kui sissejuhatuse virtuaalmaailma annab lapsevanem, mitte õu,“ selgitas Veldre.

Lisaks telereklaamile avatakse teavituse raames netileht www.netiohud.ee, kust lapsevanemad leiavad näpunäiteid teema käsitlemiseks lapsega. Lehel saab esitada küsimusi Lasteabi spetsialistidele ning kuulata-vaadata teiste lapsevanemate kogemusi.

Teavituskampaaniat toetab Eesti Draamateatri näitleja Kersti Heinloo. Alates 26. oktoobrist peab ta Twitteris päevikut, kus kirjutab enda kogemustest koos lapsega interneti avastamisel. Kersti Heinloo sissekanded leiab aadressilt http://twitter.com/kerstiheinloo.

Tai politsei veebileht rünnaku all

13. oktoober 2009

Trendmicro kirjutab oma blogis, kuidas Tai politsei ning muid kõrgeid veebilehti muudeti küberkurjamite poolt nii, et neid külastades viiakse külastaja hoopis teisele lehele. See teine leht sisaldab endas pahavara (põhiliselt libatõrjeid), mis asuvad vahvasti arvutikasutajat viiruste eest kaitsma. Nagu libatõrjete puhul tavaline, küsitakse selle eest  raha ning spämmitakse arvutikasutaja oimetuks teadetega “Virus found! Get full protection” ja muud seesugust.

Libatõrje
Tüüpiline libatõrjuja