Monthly Archives: June 2014

Turvaaugud, eeslid ja muulad

13793882684_7cf300d8d6_z

Kujutis on pärit Flickri Creative Commonsi varamust kasutajalt medithIT

CERT-ee infoturbe ekspert Anto Veldre kirjutab, miks ei saa eelmisel nädalal avaldatud OpenSSLi turvaauku  võrrelda kurva olukorraga, kuhu inimkond sattus HeartBleedi tõttu.

Turvaaugud on justkui muulad, mis ei lase endid liigitada ei hobuseks ega eesliks. Muul turvaauguna on loomulikult väga paha loom, kuivõrd tal on nii hobuse kui eesli puudused.
Kuidas üldse turvaaugu ulatust hinnata?

  • Kas katarsise suuruse järgi, mis augu avastajal avastuse hetkel saabub (stiilis “Issand, see pole ju ometi võimalik!”)?
  • Või rahalise kahju kaudu, mis võib saabuda (kuid reaalselt ei saabu), tingimusel, et mitte keegi oma serverites ja koduarvutites seda auku ei parandaks?
  • Või rahalise kahju alusel, mida firmad ja riigiasutused kulutasid IT-inimeste ületundidele?
  • Või IT-töötaja töö keerukuse ja kiiruse alusel – paikamine nõudis öö läbi töötamist või oli väga keeruline parandamisprotseduur – näiteks tuli masinasse selle parandamiseks panna kolm erinevat CD-ketast ning õiges järjekorras.
  • Või tädi Maali solvumise astme järgi, kes just ostis endale uue arvuti ja sai nüüd teada, et juba kolmandal päeval tuleb selles hakata vigu parandama?!

Eelmist, HeartBleediks nimetatavat OpenSSL-tarkvara turvaauku iseloomustas neli põhilist
asjaolu:

  • Teda esines “kõikjal” – ehk siis väga paljudes serverites, sealhulgas väga turvaliseks peetud süsteemides.
  • Ta saabus justkui Amori nool padrikust – turvaparandusi veel polnud ning päeva-paari jooksul oli suur osa süsteeme ilma kaitseta.
  • Ärakasutamine oli väga ohtlik ning võimalik peaaegu passiivselt – tarvitses vaid serverilt midagi küsida ning server juba andiski delikaatset infot välja.
  • Ärakasutajat polnud kuigivõrd võimalik kriminaalkorras vastutusele võtta (sest kuritegeliku kavatsuse tõestamine oli keeruline)

Suurim õppetund HeartBleedist oli tolle turvavea šokeeriv ulatus (2-aastane tagasiulatuv periood, mille kohta keegi ei saa väita, kas kuritarvitati või ei kuritarvitatud) ning paar päeva kestnud alandav abitus.

Viktimoloogia õpetab, et nii ebameeldiv kogemus tahetakse võimalikult kiiresti unustada ning mälus uue ja konkreetsemaga üle kirjutada. Seepärast pole ime, et mõned allikad, sh Guardian, üritavad avastatud auku võrrelda HeartBleediga.

———

Praegune OpenSSL turvaviga erineb HeartBleedist järgmiste tunnuste poolest:

  • Turvapaik on saadaval veakirjelduse avaldamise hetkest. Kui HeartBleedi puhul ei pidanud mõne inimese närvid vastu ning kisa tõsteti enne ravimi leiutamist, siis selle turvavea avastajatel õnnestus talitada vastutustundliku teavitamise põhimõtete kohaselt – enne kisama ei hakatud, kui ravim saadaval.
  • Kuigi seekordne viga on intellektuaalselt väga huvitav ja kaasakiskuv, nõuab tema ärakasutamine oluliselt sügavamaid teadmisi arvutivõrgust ja programmeerimisest. HeartBleediga võrreldes pole nii, et iga koolipoiss saab riigile või pangale jalaga tagumikku lüüa – teadmisi ei jagu!
  • Erinevalt HeartBleedist, kus krokodilli püüti 50m pikkuse tamiiliga, jäädes ise aga ohutusse kaugusse, on seekordse vea ärakasutamiseks vaja asuda kahe arvuti vahepeal, st olla võimeline sideliini pealt bitte püüdma ja neid käigu pealt muutma. Seega, kui avastatakse rünne (ning eriti, kui sel on mitu ohvrit), on võimalik loogiliselt tuletada, kus ründaja pealtkuulamisjaam paikneb.
  • Võõra traadi peal nuhkimise või võõrasse seadmesse sissemurdmise puhuks on Karistusseadustikus väga selged paragrahvid. Lihtsalt pealtkuulamisest või õnge väljaviskamisest ei piisa – ründeks on vaja väga keerulist ja mitme-etapilist tahtlikku tegevust.

———

Kokkuvõttes – olen veendunud, et praegust turvaauku ei saa siiski võrrelda kurva olukorraga, kuhu inimkond sattus HeartBleedi tõttu. Spetsialistid teavad, et mainitud kahe suurema turvanõrkuse kõrval on OpenSSL-nimelise turvakihi seest värskelt leitud ka palju pisikesi, mis on aga suurema avaliku kärata lihtsalt ära parandatud. Ka leidis OpenSSL tiim tänu skandaalile endale rahastamisallikad.

Enamik inimesi, kelle serveris või koduarvutis on lubatud automaatsed turvaparandused, peaksid olema mainitud ohu suhtes juba “vaktsineeritud”. Hetkel on jäänud riskigruppi veel vaid nn legacy süsteemid, ehk siis vanad süsteemid, millele kas paika pole saada või mille tootja pole enam kättesaadav. Ei saa välistada, et üksikud sellised süsteemid on järel nii erasektoris kui ka riigisektoris. Mingit üleüldist turvaohtlikku olukorda (nagu HeartBleedi puhul) aga täna kindlasti ei ole.

Enimlevinud distrod/vendorid on avaldanud asjakohased ülevaated uue augu
mõjust:

Riigi infosüsteemi küberturvalisus

Riigi infosüsteemi turbe talituse juht Aare Reintam võtab kokku RIA olulisemad tegevused küberturbe edendamisel.

Eesti on infotehnoloogia kiire arenguga kaasas käiv riik. Meie infoühiskond ja infotehnoloogilised protsessid on arenenud nii kaugele, et peame igal elualal loomulikuks e-teenuste kasutamist ning ühiskonna usaldus e-kanalite kaudu esitatavate teenuste vastu aina kasvab.

Riigi Infosüsteemi Ameti ülesanne on tagada, et inimeste kasutatavad teenused oleksid kergesti kättesaadavad, mugavad kasutada, aga ka turvalised. Teenuste turvalisuse edendamiseks eesmärkide edendamiseks tegeleme järgnevaga:

  1. Koolitame inimesi, kes arendavad, haldavad ja kasutavad infosüsteeme ja nende pakutavaid teenuseid. 2013. aastal korraldasime 18 küberturbe koolitust, millest võtsid osa ligi 500 inimest. Koolitusi leidus nii juhtidele (läbistusdemod), administraatoritele (süsteemide turvaline konfigureerimine), tavakasutajatele (infoturbe sissejuhatus) kui riigiasutuste turvajuhtidele (seminarid);
  2. Koondame erialakogukondi, et tagada parem infovahetus e-kanalite ja töögruppide kaudu ning reageerimine intsidentidele. RIA eestvedamisel on loodud kriitilise informatsiooni kaitse tagamise töörühm, automaatjuhtimissüsteemide turvajuhtide kogukond, 2014. aastal luuakse riigiasutuste turvajuhtide komisjon;
  3. Koostame juhendeid: 2014. aastal oleme RIA kodulehel avaldanud 23 juhendit IT halduse ja IT-turbe paremaks reguleerimiseks.
  4. Arendame Eesti infoturbe standardit ISKE. 2015. aasta II pooles lubab Saksamaa Infoturbe Amet välja lasta uue Grundschutzi versiooni, mis tuleb õhem, täpsem, kiiremini uuenev ja kergemini järgitav;
  5. Kogume ja analüüsime elutähtsate teenuste riskianalüüse eesmärgiga omada ülevaadet ETOde küberturvalisuse tasemest ja nende vastastikusest sõltuvusest;
  6. Lähtuvalt ISKE nõuetest ja VV määrusest “Infoturbe juhtimise süsteem” kogume ning analüüsime Eesti riigis ja asutustes juhtunud intsidente, et töötada välja tõhusad kaitsemeetmed ja juhised edasiste intsidentide ärahoidmiseks ja mõjude vähendamiseks;
  7. Töötame välja regulatsioone infoturbe ühtluseks ja selgeks arenguks;
  8. Koostame küberturbe ülevaateid ja analüüse partnerasutustele ja asjaomastele huvigruppidele;
  9. Tellime ja korraldame turvatestimisi. Alates 2012. aastast on RIA korraldanud ligikaudu 40 turvatestimist ning tellinud umbes 10 läbistus- ja haavatustestimist.

Loetelu võiks ja saaks veel pikendada, kirja said vaid olulisemad tegevused. RIA-le on oluline, et Eesti e-riigi keskkond oleks innovaatiline, turvaline, kasutajasõbralik ja kõikidele kättesaadav.

Turvalist ja innovatiivset e-keskkonda soovides

Aare Reintam
Riigi infosüsteemi turbe talitus

iPantvangikriis

Tarmo Randel CERT-EEst annab hiljutise Apple’i seadmeid tabanud väljapressimislaine näitel nõu, kuidas tunda õngitsusrünnakut ja mida sellisel puhul ette võtta.

Viimastel nädalatel on meedia ilmutanud uudiseid pantvangi võetud Apple’i seadmetest, kus ‘Oleg Pliss’ nime all esinev küberkurjam Austraalia ja Uus-Meremaa iPhone kasutajatelt 55 naela nõuab seadme vabastamise eest.

Pakutud on välja ka põnevaid teooriaid, kuidas seade on pantvangi sattunud, põhjus on sedapuhku üsnagi triviaalne – pantvangi sattunud on klikkinud veebilingil, mis saabus postkasti õngitsuskirjaga, ning avanenud veebivormile sisestanud enda iKonto andmed. Ka Eesti kasutajatele on Apple kontode õngitsuskirju saadetud – vihjeid selle kohta leiab juba selle aasta algusest – ent saadetud kirju on seni olnud väga vähe.

Küberkriminaalid on kasutaja saadetud andmeid kasutanud konto ülevõtmiseks Apple portaalis ning sealtkaudu lukustanud seadme. Lukustamiseks kasutakse sõnumit, mis pakub “pantvangikriisi” lihtsat lahendadamist mõõduka summa kandmisega härra Plissile.

Raha vahendaja on hetkel küll lubanud kõik maksed arvatavale pantvangistajale kinni pidada, ent varem või hiljem valivad kriminaalid ilmselt sellise rahaliigutamise meetodi, mida on raskem jälitada ja tõkestada.

Õngitsuskiri võib kanda pealkirja “Apple ID expired” ning juhatada läbi mitme vahendaja veebilehele, mis näeb välja üsnagi sarnane Apple’iga seotud veebilehtedega. Üks CERT-EEle saabunud õngituskirja näidistest suunab innsaa.com veebilehe kaudu appcostumers.com veebilehele, millelt avanev leht on äravahetamiseni sarnane itunesconnect.apple.com’iga.

fake_apple

Erinevus pärislehega – õngitsusleht ei kasuta HTTPS meetodit (veebisirvikus ei ole veebiaadressi riba roheline või puudub tabalukk) ning veebiaadress ei ole apple.com’iga mingil moel seotud (lisatud pildil alla joonitud punasega).

Kui oled saanud siin kirjeldatud tunnustega kirja ning sisestanud enda Apple’i konto andmed veebi, mille internetiaadressil ei ole seost apple.com’ga, siis logi sisse Apple’i iseteeninduskeskkonda ning vaheta ära oma parool. Pantvangi võetud seadet aitab vabastada juba Apple’i klienditeenindus, ent see on mõnevõrra pikem ja keerulisem protsess.

Vältimaks konto andmete jõudmist küberpättide kätte soovitatakse Apple’i toodete kasutajatel kasutusele võtta turvalisem autentimisviis. See meetod paraku Eestis veel ei toimi, seega tuleb Eesti kasutajatel tervet talupojamõistust kasutada ning jätta tähelepanuta kirjad, mis meilitsi teavitavad konto aegumisest või andmete muutmisest ning lisavad viite, millel ei tundu mingit seost olevat teenusega.

Kui meilis toodu tundub klikkimiseks ikka väga ahvatlev, siis üks kindlaid viise vältida õngitsejate püünistesse sattumist on tippida teenusepakkuja veebiaadress veebisirviku aadressireale käsitsi, mitte klikkida meilis olevat.

Turvalist suve!

Tarmo Randel
CERT-EE