IE kasutajad on ohus

CERT Eesti hoiatab, et veebis liikumisel peaks enamus IE kasutajad arvestama neid hetkel varitseva ohuga. Nimelt on avastet märkimisväärse mõjuga turvaauk, mille kaudu pahalased veebilehe külastaja arvutis oma kurjaloomulist koodi käivitavad. Turvaaugu kasutamiseks paigaldatakse veebilehtedele spetsiaalselt vormindatud andmed.

CERT Eesti infoturbe ekspert Tarmo Randeli sõnul võib pahatahtliku koodi käivitamine anda kurjategijatele kontrolli kasutaja arvuti üle. “Selle tagajärjel muutub zombistunud arvuti kurjategijate töövahendiks. Zombi-arvuteid kasutatakse uute viiruste levitamisel, arvutikasutajate andmeid varastatakse. Nende arvutite abil võidakse blokeerida ka Sinu lemmiksait,” selgitab Randel.

CERT annab ka soovitused oma arvuti kaitsmiseks:

– Kasuta arvuti kaitsevahendeid, mis suudavad Sinu arvutit kaitsta veebirünnete vastu: siia alla kuuluvad popimad viirusetõrjujad ja tulemüürid;
– Seni, kuni Microsoft pole avaldanud teemakohaseid uuendusi ja Sa pole neid enda arvutisse laadinud, kaalu võimalust kasutada alternatiivseid veebilehitsejaid (Mozilla Firefox, Opera jt)
– Lülita IE turvalisus tasemele “kõrge” (“high”). Seadista teavitus ActiveX komponentide ja skriptide jooksutamise kohta või lülita viimaste käivitamise võimalus välja. Kui veebilehte külastades soovitakse käivitada ActiveX komponente, siis on turvaline neist keelduda. Negatiivsest mõjust rääkides võib juhtuda, et seda veebilehte ei näe enam korrektselt. Ingliskeelseid juhendeid turvaliseks surfamiseks IEga leiab Microsofti veebist aadressilt http://www.microsoft.com/protect

Kasutajad, kellel viirusetõrjujad-tulemüürid olemas ning IE sätitud turvalisuse tasemele “kõrge”, võivad sedapuhku kergemalt hingata ja rahulikuma südamega veebipoodides jõuluoste teha.

Turvaauk tekkis programmeerijate veast DHTML andmeseoste käsitlemisel. Huvilised saavad sellest pikemalt lugeda Microsofti ametlikest ja natuke vähem ametlikest infokanalitest:
Microsofti ametlik leht
Technet blogi

Ühtlasi tuletab CERT Eesti arvutikasutajatele meelde, et jõulud, nagu pühad tavaliselt ikka, on spämmerite meelisaeg. Siinkohal ei pea me silmas Eesti firmade seas hoogustuvat postkastide täitmist soovimatu reklaamiga. Spämmerid saadavad jõulutervituseks maskeeritud õngitsemiskirja, mille ainus eesmärk on viia Sind veebilehele, kus Sulle üritatakse müüa “medikamente” või siis Sinu arvuti nakatada pahavaraga. Vihjeid turvaliseks käitumiseks leiab ka RIA koostatud veebilehelt http://www.assapauk.ee.

Malwarebytes’ Anti-Malware

Malwarebytes’ Anti-Malware ehk teisisõnu Malwarebytes’i pahavaravastane programm on mõeldud eelkõige nende viiruste/usside/troojade ja muu pahavara hävitamiseks, milledega traditsioonilised viirusetõrjed toime ei tule.

Programmi kodulehelt leiab ka allalaadimislingi. Installer on kõigest 3.6MB ning paigaldus on kiire. Programm on ka eesti keelde tõlgitud.

Kindlasti tuleks installimise lõpus tuleks jätta linnukesed uuendamise ja käivitamise kastidesse, see tagab parima tulemuse ning võimalikele probleemidele kiirema lahenduse.
Enne uuendama asumist teatab MBAM, et tegemist on vabavaraga, kuid võimalik on osta ka tasuline versioon. Viimasega kaasneb reaalajakaitse, automaatsed uuendused ja ajakava järgi arvuti kontrollimine.

Kui MBAM on arvuti kontrollimise lõpetanud, tuleks üldjuhul ka leitud objektid kustutada. Selleks tuleb skänneerimise aknas vajutada nupule “Näita tulemusi” ning seejärel, olles veendunud, et kõik leitud objektid on märgistatud, vajutada “Eemalda selekteeritud”.

Malwarebytes’ Anti-Malware on väga tõhus uusimat tüüpi pahavara vastu, nagu näiteks paljud Vundo viiruse variandid. Uuendused on saadaval tihti ning programm teeb oma tööd kiiresti ja korralikult.

Lisan ka mõned ingliskeelsed videod programmi kasutamisest:

Tasuta kaasaskantavad pahavaratõrjed

Viimati toimetatud 13.august 2009.

Hiljuti käisin ühe vana tuttava arvutit puhastamas. Kuna olin temaga varasematel aastatel palju kokku puutunud, teadsin ette, et tegu on vanamoodsa ja pedantse inimesega. Eks me ju kõik oleme veidikene „ummamuudu“, aga et mõni nii eriliselt ektsentrik on, seda ma ei oleks oodanud. Nõudmised, mis ta mulle arvuti taga esitas, jahmatasid mind – mulle jäi mulje, et ma ei tulnud teda mitte heast tahtest aitama, vaid et ta eksamineerib minu oskusi.

Appi palus ta mind sellepärast, et kuigi ettevaatlik arvutikasutaja, oli ta siiski kusagilt külge saanud kurikavala trooja-ussi. See iseenesest kõige ohtlikum ei olnudki, ent suutis vältida tema viirusetõrjeprogrammi Norton ja kuvas nii arvutiekraanile kui ka veebilehitseja lisatööriistaribana rohkelt linke meesteporno (gay-porn) lehekülgedelele. Lugedes võib see ehk naljakas tunduda, aga mis teeksite ise, kui, ehkki püüate seda paaniliselt varjata, teie tüdruksõber või abikaasa selle juhuslikult avastab, vaatab siis kahtlevalt võõristades teie poole ja küsib: “Imelik oled või!?“ Just sel viisil paraku mu tuttavale must masendus peale tuligi.

En minu jaoks probleemid alles algasid. Troojast lahtisaamine oli komplitseeritud, kuna üsna vanas arvutis oli väga väike kõvaketas (40 GB), mis oli otsast otsani hädavajalikke faile täis – vähemasti keeldus omanik kategooriliselt mistahes faili kustutamisest. Ruumi kokkuhoiu mõttes oli tal ka süsteemitaaste välja lülitatud, ent teisest küljest pole teada, kas see oleks aidanudki – sama trooja ülesandeks võis ju olla ka taasteutiliidi rikkumine või siis iseenda taastamine just süsteemitaaste abil.

Kui aga pakkusin talle, et sellele imeväiksele kettajupile, mis veel arvutis saadaval oli, installeerin paar head tõrjeprogrammi, siis keeldus ta sellestki pedantliku järjekindlusega – ta minevat närvi, kui kettal on midagi sellist, mida ta ei tunne ega tea, pealegi võivat see teda häirima hakata. Iga tema arvutis olev fail ja kaust peab paiknema täpselt kindlaksmääratud kohas ning piltlikult öeldes läikima nagu prillikivi. Mitte midagi üleliigset, isegi kui see on tema turvalisuse huvides, ei tohi arvutisse paigaldada, ka mitte sel juhul, kui see hiljem maha installeerida. Sõnaga, troojast tuli lahti saada nii, et hiireotsagagi tema arvuti kõvaketast ei puutu.

Hea küll, valdav enamus arvutikasutajaid ei ole kiiksuga, kuid vahel on tõesti vaja puhastada arvutit nii, et ketast ei puutu. Esmapilgul võib see tunduda võimatu missioon, kuid midagi ülearu keerulist siin ei ole. Kõigest sellest on juba juttu olnud, ent teises kontekstis. Näiteks selles artiklis mainisin ära mitmed viiruste eemaldamise vahendid: McAfee Avert Stinger, Microsoft Malicious Software Removal Tool, Avast! Virus Cleaner, Norman Malware Cleaner ja Avira Removal Tool, kuid jätsin märkimata, et antud utiliite võib nimetada ka portatiivseteks ehk kaasaskantavateks tõrjevahenditeks.

Loe edasi: Tasuta kaasaskantavad pahavaratõrjed

Netiflirt alaealisega võib muutuda kriminaalkuriteoks

Umbes kuu aega tagasi (12.11.2008) vapustas eestimaad Pealtnägija lugu, milles 14-aastase poisi enesetapu põhjustas „hispaanlanna” valeidentiteedi all esinev inimene. Koheselt avas poisi tädi võrgus lehekülje, millel avaldatakse teisi samalaadseid juhtumeid, aga samuti kogutakse raha selle „hispaanlanna” leidja preemiafondi.

Tekkinud skandaalist haaras ajakirjandus mõnuga kinni ning sellest ajast alates on praktiliselt igal nädalal ilmunud mõni lugu pedofiilidest. Kuna teema on aktuaalne ja vajab kuidagi lahendamist, siis haaras asjast kinni ka Justiitsministeerium, kes peaks hakkama lähikuudel välja töötama uut seaduseelnõu. Selle eelnõu eesmärk on lisada karistusseadustikku punkt, mis võimaldaks täiskasvanut vastutusele võtta ka interneti ja mobiilside vahendusel lapse seksuaalseks kuritarvitamiseks ettevalmistamise eest. Iseenesest ei ole selline seadusesäte maailmapraktikas uus nähtus – samalaadsed sätted on olemas näiteks Inglismaal, Ameerika Ühendriikides ja Austraalias.

Selline seaduseparandus oleks muidugi hea, kuid hetkel ei tea me sellest rohkem, kui et seda planeeritakse. Teoreetiliselt on võimalikke lahendusi konkreetsete pügalate sõnastamiseks palju, igaühel neist nii oma positiivsed kui ka negatiivsed küljed. Kindlasti aga ei tohiks seda seadust teha lihtsalt praeguse hüsteerialaine mõjul, kuna emotsioonidest tingituna võib juhtuda, et sellesse kirjutatakse sisse pügalaid, mille alusel on võimalik ahistada ka igati normaalseid inimesi.

Seaduse positiivseks küljeks oleks kahtlemata see, et netipedofiil defineeritaks täpselt tema tegude kaudu ning et need teod kriminaliseeritakse. Samas on internetis toimuvate tegevuste vahele väga raske mingeid konkreetseid piire tõmmata, samuti tuleb arvestada, et internet on globaalne ning mõningates teistes riikides on hoopis teised seadused, tavad ja kombed.

Kui vaadata Postimehe poolt avaldatud pedofiilide registrit, siis näeme, et nii mõnigi on saanud karistada erootilise sisuga piltide hoidmise eest. Paljud neist on oma karistuse edasi kaevanud, kuid kui vaadata kommentaatorite reageeringut, siis võib näha, et nad oleksid valmis need inimesed koheselt lintÅ¡ima. Ma ei tea konkreetsete juhtumite tagamaid ning ei taha õigustada tegelikke kurjategijaid, kuid teoreetiliselt on isegi võimalik, et need inimesed võivad reaalselt süütud olla. Järgnevalt vaatlemegi selliseid „erijuhtumeid”.

Esiteks tuleb arvestada, et inimesed on oma sotsiaalselt ja füsioloogiliselt arengult väga erinevad. Mina ise olen näinud nii mõndagi alaealist, kes hormoonide möllamise tagajärjel tegeleb (ebateadlikult) flirtimisega. Sageli valetab selline laps ennast tegelikust vanemaks. Juhul, kui täiesti normaalne täiskasvanu satub sellise lapse otsa, siis mis saab edasi?

Teiseks tuleb arvestada, et ka laste seas esineb pettureid. Tõsi, väga sageli on siin küll tegemist täiskasvanute mahitusel toimuvate pettustega. Juhul, kui nüüd mõni selline alaealine tegeleb teadlikult flirtimisega, mille eesmärgiks on raha välja pressida, siis mis saab edasi?

Kolmandaks tuleb arvestada inimeste arvutioskusega, kuna võib juhtuda, et arvutit vähe tundev inimene saab selle seaduse alusel karistada puhtalt oma teadmatusest. Selline risk tekib näiteks kohusetundliku lapsevanema puhul, kes käib oma lapse internetis toimuvaid tegevusi kontrollimas. Sattudes näiteks lehele, kus esineb üsnagi meelates poosides alaealisi, juhtub see, et veebilehitseja salvestab sealsed leheküljed ja neil olevad pildid oma kõvakettal asuvasse vahemälusse. Pealiskaudsel lähenemisel võibki öelda, et arvuti kõvakettale on salvestatud lapspornograafiat. Kuidas selliseid olukordi kavatsetakse lahendada?

Neljandale võimalikule riskikohale viitas AssaPauk kampaania. Puhtalt hooletusest juhtus, et edukast ettevõtjast sai oma blogi kaudu pedofiilse sisuga piltide levitaja. Tegelikkuses on olemas ka sama asja erinevaid vorme. Näiteks võib inimene piltide levitajaks sattuda mõne failivahetusprogrammi abil, aga samuti on olemas botnette, mis kasutavad oma liikmeid piltide vahelaona.

Viiendaks oluliseks riskiks on see, et Eesti ja Euroopa õigusruum ei kehti kõikjal. Näiteks võib mõne Kurrunurruvuti saare kuningas Eefraim öelda, et meil kihlutakse üheksaselt ja abiellutakse kaheteistkümneselt ning kui sellepärast mõni noormees enesetapu teeb, on see tema enda tragöödia.

See toob meid tegelikult järgmise olulise teema – ennetustöö – juurde. Näiteks on Ameerika politseinikel teooria, et kaheksal juhul kümnest on inimene ise süüdi, kui temaga halvasti läheb. Tundub küüniline? Võimalik, kuid võib-olla oleks ka käesoleva artikli algul viidatud surma saanud ära hoida, kui noormehele oleks eelnevalt selgitatud internetis varitsevaid ohte.

Internet on maailmas olnud kauem kui ühe inimepõlve ja isegi tänapäeva Eestis hakkavad arvuti abiga üles kasvanud lapsed täiskasvanuikka jõudma. Samas pole sotsiaalne kasvatus jõudnud sellega sammu pidada. Kahtlemata peab mõningaid olulisi valupunkte seadusega reguleerima, kuid mingil juhul ei tohiks seda teha üldise hüsteeria ja nõiajahi õhkkonnas. Samuti ei tohi unustada ennetustööd, sest õnnetust ära hoida on alati lihtsam kui pärast tagajärgi lappida. Sellise ennetustöö ja harimisega arvutikasutajate hulgas tegeleb Arvutikaitse kindlasti ka edaspidi.

Pushdo/Cutwail ja Bobax/Kraken botnetvõrgustikud

Praeguseks on Internetist maha võetud botnetvõrgustikud Srizbi ja Rustock. Mõlemad spämmivad botnetid kuulusid USA veebihostingufirma McColo võrku. Internetis on aktiivsed veel üksikud mahukad botnetvõrgustikud – Pushdo/Cutwail (nt. Troj/Pushdo-Gen/, Troj/Exchan-Gen jt) ja Bobax/Kraken (nt. W32/Bobax jt).

Marshal TRACE teenuse analüüsidest võib järeldada, et endiseid Srizbi ja Rustocki botnette asendab nüüd Pushdo. Viimane klassifitseerub allalaadivaks troojalaseks. Näiteks levib see arvutitroojalane Windowsi operatsioonisüsteemi kasutavates arvutites kas e-posti (nt. e-kaardid) teel või nakatutakse pahatahtlikke kodulehekülgi külastades.

Cutwail (nt. Win32/Cutwail) on aga troojalane, mis nakatunud Windowsiga arvutis käivitab spämmiboti. Arvuti ise võtab perioodiliselt ühendust Pushdo/Cutwail botneti kontrollserveritega. Cutwail-botnetis on 125 000 arvutit, mis suudavad päevas väljastada kuni 16 miljardit ühikut spämmi.

Pushdo/Cutwail botneti tsentraalhaldus on tarkvaraliselt töökindel ja arukalt modifitseeritud.

Pushdo troojalasega nakatatud arvutist saadetakse Pushdo kontrollserverile nakatatud arvuti andmed: Internet Exploreri versioon, IP aadress, kasutaja profiiliõigused, arvuti kõvaketta seerianumber, failisüsteemi tüüp (NTFS, FAT32), Pushdo troojalase enda käivituste arv ja Windowsi operatsioonisüsteemi versioon (Windows98/Windows2000/WindowsXP/WindowsVista).

Pushdo/Cutwail botneti kontrollservereid saab hallata läbi veebipõhise administratiivliidese ning sisestada sealtkaudu ka käske: ‘STAT’ (serveri staatus), ‘TRCK’ (statistikalogi dump), ‘CARG’ (pahavara andmebaasi uuendus),  ‘FLTR’ (whitelist/blacklist filtri andmebaasi uuendus), ‘FINA’ (sessiooni lõpetamine).

Pushdo/Cutwail botneti kontrollserverid kasutavad ka GeoIP geolokatsiooni andmebaase, et kaardistada nakatatud arvutite paiknemist asukohamaade kaupa. Selline funktsioon annab näiteks botneti haldajale võimaluse teostada pahavara- ja spämmi rünnakuid konkreetsete riikide ning mandrite piires. Secureworks’i andmetel on Pushdo troojalase tundmatu looja oma programmeerimise algkoodis ja -käsustikus rohkem “kodus” Unixi süsteemis kui Windowsi platvormil. Pushdo kohta võib detailsemalt lugeda siit.

Bobax/Kraken botneti pahavara aga leiab oma tee Windows arvutikasutajani läbi JPEG ja PNG pildiformaatide. Algselt paistab selline fotofail Internetis või e-postkastis täiesti tavalisena, kuid tegelikult on selle failinimes sees varjatud laiend (nt. .exe jt), mis käivitabki arvutis pahavara.

Nakatatud arvutis toimub andmevahetus Bobax/Kraken botnetiga läbi tcp pordi 447. Paljud ISP-d, asutused ja firmad blokeerivad oma tulemüürides ära võrguliikluse tcp pordile 447. Võrguadministraatoritel on tavaks ütelda, et 447 tcp pordilt ei liigu andmete näol arvutikasutajateni mitte midagi “head” ega “tervislikku”.

Bobax/Krakeni spämmibotnetti kuulub hinnanguliselt üle 400 000 nakatunud arvuti (zombi), mis suudavad päevas välja saata 9 miljardit ühikut spämmi. Krakeni botneti kohta saab põhjalikumalt lugeda siit.

Surfame oma arvutitega Internetis ja laeme alla piiramatus koguses tundmatut tarkvara. Kui me seda kõike tehes ei kasuta ettevaatusabinõusid, näiteks korralikult paigatud operatsioonisüsteemi ja viirusetõrjet, siis  varem või hiljem komistame Internetis pahavara otsa. Mis omakorda võib meid teha botneti liikmeks.

Kas sina oleksid nõus, et võhivõõras pätt sinu isiklikku arvutit kasutades tasuta sellega raha teenib? 🙂

Ainult kahel protsendil arvutitest on kõik turvapaigad peal

Nagu näitab Secunia hiljutine uuring, on kõikide turvapaikadega varustatud ainult 1,91% arvutitest. Kõik ülejäänud on rohkem või vähem ebaturvalised.

Uuringu tulemused on saadud 20 000 arvuti põhjal, mis kasutasid Secunia netis olevat automaatkontrolli. Uuringus vaadeldi ainult neid kasutajaid, kes on selle programmi alla laadinud ja seda kasutanud novembri viimase nädala jooksul. Tulemused olid järgmised:

Ebaturvaliste programmide arv PC/kasutaja kohta:

0 ebaturvalist programmi:                  1.91%

1-5 ebaturvalist programmi:               30.27%

6-10 ebaturvalist programmi:             25.07%

11+ ebaturvalist programmi:              45.76%

„Ebaturvaline programm” on antud uuringu mõistes defineeritud kui programm, milles on avastatud turvavigu ning mille jaoks on välja lastud uuendus või parandus. Uuringu tulemuste tõlgendamisel tuleb arvestada, et Secunia kasutajad on üldiselt turvateadlikumad, samuti on kahtluse korral uuringu andmeid tõlgendatud paremuse poole. Sellest järeldub, et tegelikkuses võib olla (ja ilmselt ongi) asi palju hullem.

Arvestades eeltoodut ei tasugi imestada, et Netiuss ehitab botnetti, kasutades auku, millele on parandus olemas juba rohkem kui kuu aega. Arvutikaitse kordab siinkohal oma eelnevalt antud soovitusi:

  • Kontrolli, et arvutis oleks installeeritud töökorras turvatarkvara (tulemüür ning viiruse- ja nuhkvaratõrje).
    • Kontrolli, et see turvatarkvara oleks pidevalt uuendatud, kuna uued viirused ilmuvad iga päev.
    • Kontrolli, et igapäevaselt kasutatav tarkvara oleks uuendatud.