Monthly Archives: June 2014

Peitusemäng Internetis?

Illustratsioon H.D Moore'i paari aasta tagusele kogu internetile suunatud skaneeringule.

Illustratsioon H.D Moore’i paari aasta tagusele kogu internetile suunatud skaneeringule. Allikas: http://www.technologyreview.com/news/514066/what-happened-when-one-man-pinged-the-whole-internet/

Martin Undusk Elutähtsate teenuste kaitse talitusest annab süsteemiadministraatoritele nõu teenuste ja seadmete haldamiseks olukorras, kus keskmiselt iga 5 minuti järel tehakse iga Eestis asuva IP-aadressi pihta automaatpäring, lootes, et näkkab mõni haavatav rakendus.

Arvutivõrku ühendatud seadmete puhul eeldatakse sageli, et pärast arvutivõrgu- ja voolukaabli ühendamist ning vajalike funktsionaalsete seadistuste tegemist on seade kasutamiseks valmis. Isegi kui muudetakse vaikimisi parool, piirdub seadme edasine haldamine sageli tegutsemisega tõrgete korral (voolukaabel välja ja tagasi sisse). Seadmete haldamiseks kasutatakse tarkvaralisi rakendusi ja rakendustega suhtlemiseks omakorda teenuseid (kohati võib rakenduse ja teenuse vaheline piir olla väga õhuke).

Ka tarkvaralised lahendused  (nt internetist alla laetavad veebihalduskeskkonnad nagu WordPress, Joomla, Drupal; FTP serverid; andmebaasiserverid; kaughaldusteenused jne) pole kohe kasutamiseks valmis. Kui ühendada mõni teenus võrku IP-aadressiga, mis ei paku ühtki muud teenust ega ole seda kunagi teinud, on ekslik loota, et keegi teine seda teenust internetist üles ei leia.

Minu poole aasta tagune mõõteeksperiment näitas, et keskmiselt iga 5 minuti järel tehakse suvalise Eesti IP-aadressi pihta päring, mis kontrollib mõne haavatava teenuse või rakenduse olemasolu. See küll ei tähenda, et skaneeritavat IP-d kasutav teenus leitakse kohe esimesel korral, sest teenuse pakkumiseks on iga IP-aadressi kohta võimalik valida 65535 pordi ja igal pordil omakorda 2 eri protokolli vahel. Küll aga lihtsustab teenuse leidmist see, et iga rakenduse teenus kuulab vaikimisi kokkulepitud pordil võimalikke ühendusevõtjaid (lõppkasutajaid). Üldjuhul seda porti ei muudeta.

Hea tööriist illustreerimaks internetis leiduvaid seadmeid on Shodani otsingumootor. Shodan skaneerib regulaarselt neljakümmet porti, sealhulgas 21, 22, 23 ja 80 ning salvestab neil portidel kuulava rakenduse versiooni ja muu teenust kirjeldava info (teenust pakkuva rakenduse versioon, seadme nimetus jne), mida on võimalik seejärel kõigil veebipõhise otsingumootori abil otsida.

Alloleval pildil on näha otsingutulemus Eestis leiduvate internetti (nt Elioni, EMTi, Elisa jne võrku) ühendatud IP-kaamerate päringule. Üldjuhul näidatakse avalikuks kasutamiseks mõeldud veebikaamerate pilti selleks seadistatud n-ö laiatarbe-veebiserveri (nt Apache, IIS, nginx) vahendusel, sest kaamera ise ei kannata suurt kasutajate hulka välja. Otsing on tehtud aga rakenduse kirjelduses leiduva info põhjal, mis sisaldab ka seadme nimetust. Veebiserver, mis sisaldab seadme nimetust, on spetsiaalselt seadme jaoks ehitatud serverteenus, mitte n-ö laiatarbe kasutuseks mõeldud server. Seega võib eeldada, et pildil olev loetelu sisaldab vasteid nende kaamerate kohta, mis on otse seadmes sisalduva serverteenusega võrku ühendatud ega ole avalikuks kasutamiseks mõeldud.

Kui mõnes seadmes/tarkvaras leitakse haavatavus (näiteks hiljutine Heartbleed või Linksysi, Netgeari ja teiste kodukasutamiseks mõeldud ruuterite tagauks pordil 32764), hakkavad skaneerijad otsima just sellel pordil kuulavaid teenuseid. Pahatahtlikud skaneerijad hakkavad üldjuhul kohe ka haavatavusi ära kasutama. Õnnestunud ründe korral on võimalik saada kogu kontroll seadme üle ning seejärel, sõltuvalt seadme/tarkvara otstarbest, on võimalik kasutada seda edasisteks rünneteks. Tööstusautomaatika seadmete puhul saab põhjustada kahjusid isegi füüsilises keskkonnas.

Suvalise Eesti IP-aadressi pihta tehtud päringud viimase aasta jooksul.

Suvalise, ilma ühegi teenuseta Eesti IP-aadressi pihta tehtud päringud viimase aasta jooksul.

Mida teha?

  • Kaalu, kas teenus peab olema avalikust võrgust kättesaadav.
  • Avalike teenuste puhul tuleb neid kindlasti regulaarselt paigata.
  • Teenuse puhul, mis peab olema interneti kaudu kättesaadav, kasuta filtrit, mis lubab teenust kasutada vaid valitud IP-aadressidelt – töökoht, sõbra kodu vms.
  • Kõige kindlam on kasutada oma teenusele ligipääsuks mõnda VPNi lahendust.
  • Kasuta teenuse standardse pordi asemel mõnda suvalist porti.
  • Kindlasti kasuta teenuse puhul ka tugevat parooli ja muuda seda regulaarselt.

Kõik need meetmed vähendavad riski automaatrünnakuga pihta saada ning lasevad meil rahulikumalt magada.

Eireann Leverett leidis Shodani abil üle 10 000 interneti ühendatud tööstusautomaatika seadme.
H.D Moore skännis kogu maailma ja leidis 114 000 turvaauguga seadet jms.

Zeus ja Kryptos

Tarmo Randel CERT-EEst kirjutab, miks on troojalane Zeus ohtlik kaaslane ja kuidas selle pahavara puudumist Windowsi operatsioonisüsteemiga arvutis kontrollida ning levimist ennetada.

Paar nädalat tagasi käsitles kolleeg Anto juhtumit, kus euroorganisatsiooni OLAF sildi alt saadetud dokumentidega üritati arvutisse sokutada pahavara. Mälu värskendamiseks: saadetud MS Word dokumendi avamisel üritati makroga arvutisse elama asutada pahalane uhke nimega “Zeus”.

Troojaalane “Zeus” on arvutis üsnagi ebameeldiv kaaslane  – uusim variant suudab enamasti üle elada ka arvuti üleinstalli, uss ise poeb muuhulgas ka veebilehitsejasse ning näppab kõikvõimalikku mustal turul müüdavat ja kasutatavat infot, mida kasutaja arvutist võimalik saada. Kui kasutaja juhtub külastama õiget pangaveebi, siis üritab pahavara muuta arvutis tehtavaid tehinguid selliselt, et raha jõuaks küberkurjamite kontole. Lisaks on pahavaral oskus endale internetist täiendavat võimekust alla laadida. Näiteks paigutada arvutisse elama viimasel ajal üha populaarsemaks muutuva andmeid krüpteeriva pahalase.

Seoses pahavara Zeusi aktiivse levitamise kampaaniaga soovitame kontrollida Windows operatsioonisüsteemiga arvuteid F-Secure’i loodud veebilehel. Kuigi 100% kindlust see veebileht Zeus pahavara puudumise kohta ei anna, tasub arvuti kahtluse korral siiski kas viidatud
lehel või muul moel üle kontrollida.

Krüptopahalane või pangatrooja Zeus võib  arvutisse jõuda ka muul viisil – üsnagi levinud on kasutajale saadetud e-kiri, milles palutakse põhjusel või teisel kas alla laadida või avada arve, pilt, dokument vms oluline asi. Vahetevahel on need failid pakitud s.t dokument on ZIP-laiendiga, vahel suisa .exe või .scr laiendiga (kohe käivitatavad Windowsi failid). Näiteks siin pildil on neil päevil leviv kurivara arvutisse paigaldaja, mis on pakitud .ZIP faili sisse.

rechnung_2329.jpg

Viise, kuidas pahavara arvutisse sokutada, on nii palju kui inimfantaasia suudab neid toota. Sestap on raske, et mitte öelda võimatu, anda universaalset juhendit kuidas sellest hoiduda. Mõned lihtsalt soovitused saab tavakasutajatele siiski anda:

  • kasuta arvutis turvatarkvara
  • enne mõtle ja alles siis kliki
  • küsi kirja saatjalt üle (eelistatavalt telefonis või vestlusprogrammis, mitte kirjale vastates), kas ikka tõesti Sina saatsid selle?!
  • ära häbene IT-inimestelt nõu küsida.

RIA muljed Cyconilt

367

Merilin Sülla, riskihalduse osakonna riskijuht, koondas kokku RIA töötajate muljed NATO küberkaitsekeskuse iga-aastaselt konverentsilt CyCon 2014.

3.–6. juunini toimus Tallinnas iga-aastane NATO küberkaitsekeskuse korraldatav konverents CyCon 2014, mille teemaks oli seekord “Active Cyber Defence” ehk aktiivne küberkaitse.

President Toomas Hendrik Ilves tõi avakõnes välja tehnoloogide ja muude inimeste (juristid, poliitikud, sõjaväeringkond, otsustajad) ühise keele leidmise vajaduse. See on vajalik, et kõik osapooled mõistaksid ühelt poolt nii tehnilist võimekust ja kübervahendite pakutavaid võimalusi kui teisel poolt õigusruumist tulenevaid piiranguid. Sama mõtet kordasid hiljem teisedki sõnavõtjad. „Lõpuks ometi räägiti küberteemadel inimeste keeles!“ võiks vastukaja ühte lausesse kokku võtta.

Tehniline teemaplokk:

  • Dr. Gabriel Jakobsoni esitlus pealkirjaga Active Cyber Defense at the Tactical Edge: A Cognitive Situation Management Based Approach. See kõneles peamiselt aktiivsest kaitsest kui proaktiivsest tegevusest, mitte nn vasturünnakutest, tuues muuhulgas välja tõsiasja, et vasturünnakud võivad negatiivselt mõjutada kolmandaid isikuid ja nende IKT taristut, mida tuleks vältida.
    Põhirõhk oli arusaama tekitamisel, et küberruumi kaitsmine pole mitte vajadus iseeneses, vaid tegevus, mis on suunatud nö päriseluprotsesside (nt äriprotsessid, sõjaväeline missioon) toimivuse tagamiseks. Peamine eesmärk on hoida need protsessid toimivana.
    Mis seda esitlust teistest kuuldutest eristas, oli metoodilisem lähenemine riskide haldamisele ning seoste mõtestamisele nii küberruumis sees kui sellest väljaspool. Dr. Jakobson tõi välja, et iga rünnak (attack)on suunatud teatud vara (asset) pihta, mille toimimisest sõltub teatud teenuse (service) toimimine ja sealt edasi missiooni (mission) täitmise võimekus. Vaja on mõista, millised kohad sellises ahelas on kõige haavatavamad ning millised omavahelised sõltuvused erinevate varade, teenuste ja missioonide vahel eksisteerivad.
  • Prof. Peter Martini ettekanne ,,It’s Not Just the NSA: Don’t Underestimate Cybercrime!”. Ettekanne tõstis väga hästi esile küberkuritegevuse tegelikku mastaapi ja probleemi tõsidust. Väga näitlikustavad olid ka tabelid, kus olid välja toodud küberkuriteod ja nende toimpanemise eest saadav tulu. Põnev oli võrdlus, kuidas kajastatakse meedias küberkuritegevust ning NSA ja jälgimise problemaatikat.
  • Jussi Timoneni ettekanne “Situational Awareness and Information Collection from Critical Infrastructure“.  Esitlus meeldis, kuna tegemist oli ühena vähestest konkreetseid lahendusi kirjeldavatest ettekannetest. See rääkis Soomes välja töötatavast lahendusest, mis kogub kriitilise infrastruktuuri võrkudest olekuinfot.

Strateegia ja õiguse teemaplokk:

  • Mitmele konverentsil osalejale jäi meelde prof. Michael N. Schmitti ja Bernhards Blumbergsi debatt aktiivse küberkaitse teemadel, mis oli huvitav, kuna praktikat kõrvutati küberõigusega. Lahendati kolme erinevat stsenaariumit ning vaadati, mis oleks õiguspärane riigipoolne tegevus, kui on toimunud aktiivne küberrünnak mõne teise riigi poolt. Ettekanne andis hea ülevaate aktiivse küberkaitse probleemistikust rahvusvahelise õiguse vaatenurgast ning oli arusaadav nii mitte-juristile kui pakkus mõtlemisainet ka küberjulgeoleku teemadega mitte igapäevaselt tegelevale juristile.
  • Juristidest meeldis Yale’i ülikooli professori Oona A. Hathaway pahandav ettekanne sellest, kuidas rahvusvahelise õiguse alusdokumendid aktiivkaitset ei luba. Üldiselt tundub, et juristid on “pehmenemas” ja aktiivkaitse teemal kompromissitult pingesse enam ei lähe, aga see ettekanne oli küll üheselt kriitiline.
  • Dr Jarno Limnell tegiintrigeeriva ettekanne. Tema väitel on küberrelv eksperdid, kellel on võimekus ja teadmised rünnete teostamiseks (ka kaitsmiseks). Füüsilistele varadele lisaks saavad ka nemad füüsiliste rünnete sihtmärgiks ning edaspidi peame olema valmis kaitsma ka neid kui kriitilist vara.
  • Veel üks konverentsil erinevate esinejate poolt välja öeldud teema, mis väärib märkimist, kuna tundus sellisena välja öeldes mõnevõrra uudne: ründajate elu tuleb muuta keeruliseks – tõsta nende enda riske ning kulusid! Erilist tähelepanu pööras sellele USA armee kpt. Jason Rivera, kes tõi ettekandes välja vastumeetmed, mis muudavad ründaja tegevuse riskantsemaks, olenemata sellest, et ründajat ennast on keeruline või võimatu kindlaks teha (atributsiooni probleem), ning ideaalis toimiksid need vastumeetmed autonoomselt.

Konverentsi töötuba:

Esile tõstmist väärib ka konverentsi esimesel päeval toimunud töötuba, kus osalejatele anti ülesanne etteantud stsenaariumi põhjal arutleda aktiivkaitse ehk tagasiründamise teemadel. Töö teostamiseks jaotati osalejad 5 väiksemasse gruppi, iga grupi suurus ca 6-8 inimest. Osalejatel tuli arutleda, millisel juhul on aktiivkaitse meetmete rakendamine mõistlik, millist ressurssi see nõuab ning lisaks milliseid riske meetmete rakendamine endaga kaasa võib tuua. Päeva lõpus tutvustasid kõik grupid oma tulemusi. Lähtuvalt enda töögrupi aruteludest ning lisades juurde teiste gruppide ettekanded, võib öelda, et aktiivkaitse meetmete rakendamisega ollakse ka teoreetilistes aruteludes väga ettevaatlikud. Läbivalt jäi kõlama mõte, et kui üleüldse kaaluda mingeid aktiivkaitse meetmeid, siis need peavad igal juhul olema proportsionaalsed ründega, millele reageeritakse. Lisaks tuleb arvestada, et paljudel juhtudel kasutatakse rünnete sooritamiseks juhuslike ohvrite arvuteid/servereid ning seda omaniku enda teadmata (nt botneti liikmed). Üldiselt jäädi arvamusele, et eelkõige tuleb rakendada klassikalisi kaitsemeetmeid ning aktiivkaitset ainult äärmisel vajadusel.

Soovitusi, kellele võiks Cycon tulevikus huvi pakkuda.

  • Otsustajad, poliitikud, juristid, militaarringkond, kes soovib aru saada tänapäeva kübervõimekustest ja -võimalustest ning vastavatest kaitseplaneerimise vajadustest. Konverentsil räägiti küberkaitsest küllalt ladusas kõigile mõistetavas keeles, minemata süvatehniliseks, mis nö tavainimesele, tavaotsustajale jääb segaseks ja raskesti hoomatavaks. Konverents annab taolistele inimestele hea sissevaate „küberellu“, ohtudele, mis seal varitsevad, ning mõtetele, kuidas nende ohtude vastu kaitsta ning kuidas vastavat kaitset planeerida.
  • Tehnilistele inimestele, kes soovivad aru saada, millist laiemat mõju kübervaldkond elulistele protsessidele, sh riigikaitsele, osutab. Valmis tuleb olla selleks, et jutt on suhteliselt üldisel tasemel, st otsest süvatehnilist tarkust antud konverentsilt ei saa. Pigem on võimalik aduda, kuidas näevad küberruumi juristid, poliitikud, otsustajad, militaristid ja mismoodi võiks, saaks ja peaks küberteemasid juhtimisprotsessidesse (sh äri- ja riigikaitseprotsessidesse) senisest sidusamalt kaasama.
  • Cyconil võiks osaleda inimene, kel on vaja küberteemadel arvamust omada, aga kes teemadest suurt (veel) ei jaga. Artiklikogumik on soovitatav igaühele, kes peab aktiivkaitse teemal struktureeritud mõtteid omama ja väljendama.
  • Pigem generalistid kui tehnikud. Selle aasta CyConil oli palju nö ‘awareness’ ettekandeid, aga eks see üritus ole paljuski ka omavahelise suhtlemise üritus. CyConi eesmärk on üksteisele lähendada neid subkultuure, kes teineteisega tavaolukorras väga ei suhtle: tehnikud-juristid-sõjardid-eetikud-erasektor-akadeemikud-poliitikud, kuid konverets seda eesmärki ta veel täielikult ei täida, ehk siis juristid kuulavad ikka juristide ettekandeid ja tehnikud suhtlevad tehnikutega.