Tahad teada, kui palju spämmiga tegelemine sinu firma kassast raha välja viib?
Google on üles pannud lihtsa spämmikalkulaatori, mis liidab kokku spämmi kustutamiseks kuluva aja, korrutab selle töötajate arvu ning nende keskmise palgaga ning ütleb, kui palju sa tänu sinu firma postkastidesse potsatavatele fantastilistele äriskeemidele ning pikendusvahenditele rahas ja tootlikkuses kaotad.
Vähem kui nädal tagasi lülitati Internetist välja küberkriminaalide laiaulatuslik spämmi-, pahavara- ja botnetvõrgustik. Seda hoidis üleval USA-s paiknev veebihostingufirma McColo Corporation.
McColo`le on esitatud järgnevad raskekaalulised süüdistused: lastepornograafia levitamine, krediitkaardipettused (muuhulgas hostis Sinowali kontrollservereid), spämm (kõikvõimalikud pikendajad jms), pahavara (nt. webscannertools.com), anonüümsed proxy serverid (nt. proxy.fraudcrew.com) ja botnetvõrgustikud (nt. Rustock). Teadaolevalt asub Rustock botnetis üle 150 000 pahavaraga nakatunud arvuti.
McColo “teeneks” Internetis oli ka see, et tema ülemaailmne spämmi tekitamise turuosa oli 50%. Mõnedki sõltumatud infoturbespetsialistid on oma uurimustes väitnud aga seda, et see ülemaailmne spämmi protsent küündis McColo puhul 75%-ni.
McColo Corporation’i hallatav aadressivahemik Internetis oli 208.66.192.0/22 ja 208.72.168.0/21. Nende kodulehekülg www.mccolo.com ja teised sealsed hostid on praegu maas ning ei vasta enam välismaailmale.
Kes on ja olid McColo taga olevad inimesed?
Internetifoorumitest võib lugeda, et firma McColo Corporation loojaks peetakse 19-aastast Moskva tudengit. Erinevates infoallikates on teda kutsutud nimedega Alexey, Nikolai ja Kolya . Hüüdnimedeks on tal “McColo”, “Kolya-McColo” ja “Alexey Bladewalker”. Eriti tabav on minu meelest viimane hüüdnimi “Alexey Bladewalker”, sest McColo firma ise kõndis ju aastaid noateral 🙂
McColo vaimne isa “Kolya-McColo” ise hukkus traagiliselt 2007 aastal autoavariis Moskvas. Ellu jäi tollel korral BMW autoroolis istuv Kolya-McColo sõber, küberkriminaal hüüdnimedega “Jax”, “Jux”, kes ise kuulus “kidala” (fraudster) põrandaalusesse kommuuni.
Kas me nüüd tõesti saime “McColo Corporation” puhul lahti lastepornost, krediitkaardipettustest, spämmist, pahavarast ja botnetvõrgustikest?
Vaevalt küll, sest on juba teada tõsiasi, et “McColo” hüljatud lapse “Rustock” botnetvõrgu on juba jõudnud lapsendada Moskvas asuv Rial Com JSC [62.176.17.200]. Võib arvata, et lühikese aja jooksul jagatakse ja ostetakse Internetis küberpättide poolt üles kõik ülejäänud McColo “hüljatud” botnetid: Asprox, Warezov, Pushdo/Cutwail, Mega-D/Ozdock ja Srizbi. Näiteks Srizbi botneti kuulub rohkem kui 300 000 pahavaraga nakatunud arvutit.
McColo Corporation jäi oma pahategudega lõplikult vahele tänu Security Fix’i ja Brian Krebs’i ennastsalgavale uurimustööle.
McColo Corporation-i pahalaste põhjalikum ja detailsem *.pdf raport asub siin.
Täna oma MSNi sisse logides leidsin eest halva üllatuse. Taaskord oli üks mu sõpradest langenud MSNi uue ussi küüsi. Mulle pakuti klikkimiseks linki, mille peale püüdis parasiit mind seesuguse teatega lollitada:
Jällegi nõutakse, et installiksin “salakaameraga lindistatud video” mängimiseks Flash Playeri.
Video all olevale lingile klikkides tõmmatakse ja installitakse arvutisse tundmatut liiki pahavara, arvatavasti troojalane, mis muudab süsteemiseadeid ja tõmbab käima mõned lisaprotsessid.
Pildil on selgesti näha, et NoScript, mida Firefoxi lisana kasutan, on blokeerinud Java rakenduse – vähemalt iseenesest ta minu arvutisse ei pääse 🙂
Aga teie parem ärge niisuguseid linke klikkige, kui aga uudishimu kangesti vaevab, küsige enne sõbra käest üle, mida ta teile saatis.
Nagu McAfee uuring näitab, peab kaks kolmandikku ameerika emadest internetti ohtlikumaks kui joobes juhtimist (62%) või narkootikumide proovimist (65%). Siinjuures on tähelepanuväärne asjaolu, et 58% emadest arvab, et valitsus ei tee piisavalt netiturvalisuse hüvanguks.
Samas on muidugi märkimisväärne, et 63% teismelistest teavad, kuidas oma tegevust varjata ning 32% ka varjavad seda. Tõenäoliselt on ka põhjust, kuna 52% tunnistavad, et on andnud isiklikku informatsiooni inimestele, keda nad tunnevad ainult internetis.
Eestis on sarnaseid diskussioone peetud rate.ee kontekstis. On inimesi, kes arvavad, et rate on paha ja tuleks ära keelata, samas teiste arvates ei muuda selline ühe lehekülje keelamine midagi, kuna koheselt tekib kümme samalaadset asemele. Ka Arvutikaitse on käsitlenud nii laste käitumise juhendamist, sotsiaalse tarkvara erinevaid riske kui sotsiaalsete võrgustike privaatsuse aspekte.
Arvutikaitse on endiselt seisukohal, nagu ka McAfee, et kõige olulisem on kasutajate harimine. Ilma teadmisteta või küllaldase hoolikuseta on internetis väga kerge sattuda pettuse ja ka kuriteo ohvriks.
Kordan siinkohal üle mõned olulisemad soovitused:
Niipea, kui laps muutub aktiivsemaks interneti kasutajaks, tuleb hakata teda harima internetiga kaasnevate ohtude osas.
Vanemad arvavad, et nad teavad, millega nende laps internetis tegeleb. Sageli nad paraku eksivad, kuna lapsed on sageli arvuti kasutamise osas oluliselt targemad kui nende vanemad (32% lastest varjavad oma tegevust).
Me peame loomulikuks, et õpetame lapsi vastutustundlikult ja turvaliselt päriselus käituma. Samamoodi tuleb lapsi õpetada käituma ka virtuaalses maailmas.
Õpeta neid käituma seal ettevaatlikult, eriti mis puudutab fotode või isikliku informatsiooni avaldamist sõpradele. Ei tasu unustada, et sotsiaalse võrgustiku lehed on avatud ka võrgukiskjatele.
Kontrolli, et arvutis oleks installeeritud töökorras turvatarkvara (tulemüür ning viiruse- ja nuhkvaratõrje). Kontrolli, et see turvatarkvara oleks pidevalt uuendatud, kuna uued viirused ilmuvad iga päev. Vajadusel kasuta tarkvaras olevaid lapselukke.
â—Â Â Â Â Â Umbes iga neljas arvutikasutaja satub küberkuritegevuse ohvriks
â—Â Â Â Â Â Internetiühendusega arvutit rünnatakse iga 39 sekundi tagant
â—Â Â Â Â Â Küberkuritegevus on aastatel 2006-2007 kasvanud 264%, hinnanguliselt kasvab ta aastatel 2007-2008 veel 300%
â—Â Â Â Â Â 80% küberrünnakutest on tehtud rahalise kasu saamise eesmärgil
Allikas: McAfee
“Tahad näha tüüpilist tavakasutaja arvutit?” küsis töökaaslane, poetades mulle lauanurgale ühe mitte just väga kulunud välimusega sülearvuti. Legendi järgi oli see tavalise perekonna tarbeese – isa loeb kirju ja ajalehti, ema sorteerib pilte ja töödokumente, teismeline poeg mängib rallimänge ja tõmbab p2p-ga netist kõike, mida hing ihaldab. Pärast seda, kui osa programme töötamast lakkas ning viirustõrje kisa tõstis ja mitte vait ei jäänud, see õnnetu pill töökaaslase kätte jõudiski.
Niisuguse eelinfoga patsienti ma töökoha kohtvõrku ühendada muidugi ei tahtnud. Sestap tõmbasin netist Spybot Search & Destroy, AdAware’i ja ClamWin’i (see on suvaline valik, kellele meeldib mõni muu kooslus, võib vabalt oma lemmikuid kasutada) koos värskete täiendusfailidega ning panin nad CD-le. Senikaua kuni CD küpses, lülitasin läpaka sisse ja jäin ootama, mis juhtub.
Esimene paha märk oli see, et Vista tõmbas end rõõmsalt käima, laskmata mul valida kasutajat ega küsimata ühtki parooli. Nii oligi – vaikekasutaja töötas administraatori õigustes…
Järgmine halb signaal tuli ekraani alt paremast nurgast – Windowsi turvakeskus vilgutas ikooni ja teatas, et arvuti turvaseadetes on tõsiseid puudujääke. Teada saamaks, milliseid nimelt, polnud vaja turvakeskust isegi lahti võtta – kõrvalolev Windows Defenderi ikoon näitas, et viirustõrje on välja lülitatud. Arvake ära, kas sisselülitamine läks korda? 🙂
Plaadilt läks kõigepealt arvutisse Spybot, mis töölehakkamiseks vajab ka värskendusfailide installeerimist (võrguühendust ma ju ei lubanud). Kuna ma lihtsalt tahtsin teada, kes seal arvutis elavad, siis jätsin mõned vajalikud sammud vahele (taastuspunkti kinnikeeramine, arvuti taaskäivitamine safe mode’is) ning lasin Spybotil käivituda. Ei läinud minutitki, kui ekraanile hakkasid ilmuma hoiatused, et mingi protsess üritab muuta registri seadeid. Ei, see ei olnud Spybot 🙂
Üsna ootuspäraselt ei leidnud ClamWin arvutist ühtki viirust, ja ega klassikalisi viirusi seal ei olnudki. See-eest leidsid AdAware ja Spybot kahepeale kokku 540 ühikut rohkem või vähem ohtlikku kraami. Tõsi, lõviosa sellest hulgast moodustasid salvestatud seadete loendid, andmekaevandusküpsised ja muu taoline suhteliselt ohutu, kuid kasutaja privaatsusele mõnevõrra ohtlik info. Kuid oli ka paarkümmend ühikut reklaamvara, kolm-neli troojalast ning vana hea Antivirus 2008. Installeeritud programmide loendist leidsin veel mõned reklaamvara levitavad tööriistaribad, ühe libanuhkvaratõrje ning LimeWire. Rootkitte ei kontrollinud – niigi oli näha, et nii alglaadimissektoris kui partitsioonide vahel on piisavalt ruumi, et varjata mida iganes.
Sellisel määral saastunud arvuti puhastamiseks on kõige kiirem ja kindlam tee puhas install (tõrjet tuleb teha mitu korda, nii safe mode’s kui ilma, ja tulemuses ei saa alati päris kindel olla). Selleks tuleks toimida järgmiselt:
1. Otsige kokku kõik arvutiga kaasas olnud installiplaadid, draiverid ja litsentsinumbrid. Ärge alustage enne, kui olete kõik puuduoleva küla pealt tagasi tassinud!
2. Tehke oma andmetest varukoopia. Kõige lihtsam on kogu Windowsi kasutajaprofiil täiega välisele kõvakettale kopeerida, samasse võiks talletada ka võrgust allatiritud draiverite täiendused. Kettaruumi kokkuhoiuks võiks enne kopeerimist kustutada kasutajaprofiiliga seotud ajutised failid – külastatud leheküljed, kustutatud kirjad, muude programmide tööfailide varusalvestised jne. Kõvaketas tuleks pärast muidugi viirus- ja nuhkvaratõrjujatega üle kontrollida.
3. Kontrollige veelkord üle, kas installikad on olemas, kõik oluline kopeeritud ja varukoopia töökorras – mul endalgi on kaks varukoopiaga DVD-d hiljem vigaseks osutunud 🙁
4. Kui teie peres pole mänguhimulisi teismelisi või teie hobi/kutsetöö/olemasolev riistvara ei nõua Windowsi-spetsiifilist tarkvara, kaaluge parem Ubuntut või tolle eestindust, Estobuntut – minu arust on see mugavam ja võimalusterohkem kui MacOSX, samuti pole kurikaelad sellele veel märkimisväärsel hulgal pahavara kirjutanud.
5. Käivitage installer. Ärge laske sellel vana installi lihtsalt üle kirjutada või uut vabale kettaruumile panna. Selle asemel laske olemasolevad partitsioonid kustutada, tehke uus või uued ning formaatige need üle. Edasi las toimetab installer vanaviisi.
6. Ehkki kõigil vähegi uuematel opsüsteemidel on tulemüür vaikimisi sisse lülitatud, tasub vastinstalleeritud süsteemil selle olek siiski üle kontrollida.
7. Kui olete kindel, et soovimatud külalised teile kohe sisse ei saa ning hädapärased draiverid on paigaldatud, ühenduge netti ja tirige alla operatsioonisüsteemi ja draiverite täiendused. Enamasti on see rohkem või vähem automaatne protsess.
8. Enne oma andmete tagasikopeerimist looge uus, piiratud õigustega kasutaja, ning kopeerige oma andmed hoopis sinna. Windows XP kasutajaprofiili ületoomise juhendi leiab siit, Vista oma siit.
9. Ärge kasutage Windowsi ilma viirustõrjeta. Maitseasi, kas ostate selle poest (üldse mitte paha mõte) või proovite mõnda siin parempoolses veerus viidatutest.
10. Veebis surfamiseks on hea mõte paigaldada Firefox, soovitavalt koos lisadega AdBlock ja NoScript.
11. Enne netist leitud uue laheda programmi, koodekipaki või emotikonikogu installeerimist lööge selle nimi prooviks Google’i otsingusse – kui on tegemist pahavaraga, tuleb see tavaliselt juba esimestest kirjetest välja.
CERT Eesti on kokku löönud käesoleva aasta algusest Eestis levima hakanud Sinowali-nimelise troojalase põhjustatud kahju.
Eesti võrguturvajate hinnangul on Eestis umbes tuhatkond troojalase Sinowaliga nakatunud arvutit, mille kasutajate andmed on suure tõenäosusega jõudnud ka kurikaelteni.
CERT Eesti infoturbe ekspert Tarmo Randeli sõnul on Sinowal ohtlik pahalase märkamatu tegevuse tõttu. „Kerge on märgata varast, kes murrab lahti ukse ja lõhub aknaklaasi. Kui vargus toimub nii, et silmnähtavalt midagi ei muutu, on isegi varguse toimumise hetke raske tuvastada, rääkimata osalistest“.
Sinowal kogub nakatunud arvutitest näiteks kasutajate pangakontode ja paroolide andmeid ning saadab need arvutit kontrollivatele kurjategijatele. Ühtlasi talitab ta tavapärase troojalasena, avades kurjategijale vaba pääsu arvutisse.