Monthly Archives: December 2014

(Eba)õnne küpsised koduruuterite jõulurahu rikkumas

Aastalõpusagin on jõudnud ka küberturbe maailma: lisaks Sony (järjekordselt) tabanud ulatuslikele küberrünnetele, mille tagajärjel nad ühe filmi riiulile paremaid aegu ootama saatsid, tuleb pidevalt teateid tõsistest turvavigadest internetiga ühendatud seadmetes või laialdaselt levinud tarkvaras.

Kirsina tordil on eile üllitatud teade netiturbega tegeleva CheckPointi turvauurijate avastatud nõrkuse kohta, mis mõjutab üsnagi paljusid internetti tekitavaid koduseadmeid – veaga seadmete hulgaks pakutakse 12 miljonit.

Viga on saanud numbriks CVE-2014-9222, viited whitepaperile ning esialgsele mõjutatud seadmete loetelule on postituse lõpus, lühikokkuvõte küsimus-vastus vormis ajanappuses olijatele:

Millega tegu?
Tegu on Internetist kurikasutatava turvaveaga, mille kaudu saab võtta kontrolli koduruuteri üle. Haavatav on AllegroSofti aastal 2002 loodud veebiserver, mis kasutusel paljude seadmete tarkvaras.

Kui palju on mõjutatud seadmeid?
12 miljonit on see number, mida uurijad pakuvad.

Kuidas see mind mõjutab?
Kui Sinu netiühendust pakkuv ruuter on haavatav ning ISP ei blokeeri liiklust lõppkasutaja seadmele, siis on edukal ründajal võimalik jälgida Sinu kodust internetiliiklust, proovida varastada infot ning rünnata kõiki koduvõrgus olevaid seadmeid: arvuteid, telekaid, telefone ja miks mitte ka külmkappi (kui viimasel juhtub võrguliides olemas olema).

Miks/kas on just see viga ohtlikum kui paljud muud võrguseadmete turvavead?
Väga palju veaga seadmeid, vea parandamine on paljudel juhtudel tootjapoolse huvi puudumisel raske või võimatu, vea kasutamiseks ei pea omama seadmele füüsilist ligipääsu – kõik see teeb selle vea ohtlikuks.

Mida ma saan ise teha?
Sea kodune võrk üles turvaliselt: kaitse ressursid parooliga, kasuta võrguga ühendatud seadmete kaitsemehhanisme (tulemüür, turvatarkvara jms). Pööra tähelepanu korrektsele krüpto kasutamisele – autentimisinfo ja olulised andmed peaks liikuma ainult krüptokanalite kaudu ning ära ignoreeri veateateid – näiteks teadet veebilehe sertifikaadi vea kohta. Kui netiruuter on Sinu oma, siis uuenda selle tarkavara regulaarselt.

Kokkuvõtlikult – Suureks Paanikaks pole põhjust, oluline on aga olla teadlik selle vea olemasolust ja viisidest, kuidas kurikaelad seda viga kuritarvitada saavad; siis saab planeerida ka kaitse- ning ennetustegevusi.


Lisad (välisest allikast):

Ülevaatlik dokument
Seadmete loetelu (kindlasti mitte täielik)
Teemakohaline mikroveeb

Ohtlikud jõulud

Jõulud on ilmselt meie kultuuriruumi tähtsaimad pühad, mida tähistavad kõik eurooplased. Lisaks saginale betoonist ja klaasist kaubamajades tõuseb aktiivsus ka internetis ning mitte ainult e-poodides – küberkurjategijad ei jäta pühade-eelset ärevust oma huvides kasutamata.

Igal aastal kasvab jõulude eel oht sattuda mõne küberkelmuse ohvriks. Varasemalt on pahaaimatutele arvutikasutajatele saadetud kirju jõuluvanalt, pakutud jõululoteriid või üllatatud õnnitluskaartidega. Tavaliselt on võltsitud jõulukirjadele külge poogitud mõni pahavaraga fail või suunatakse kasutaja pahavara internetist alla laadima. Vahel meelitatakse inimesi järeletehtud hitt-tooteid või võltsravimeid ostma.

Eesti arvutikasutajatele on sel nädalal massiliselt saadetud saksakeelseid e-jõulukaarte, mis saabuksid justkui mõnelt Eesti ettevõttelt. Lähemalt kirja uurides (vt päis/header) selgub, et saatjaks on tundmatu e-postiaadress pigem piiri tagant. Kirja teema võib olla “E-Card zu Weihnachten”, “Grußkarte zum Winterfest”, “Weihnachtsgruß” vms. Peale selle võib teemarida sisaldada kirja saamise kuupäeva, näiteks “09. December 2014”.

E-kirja näidise kuvatõmmis.

E-kirja näidise kuvatõmmis

Kiri sisaldab e-jõulukaardile suunavat linki, mis võib olla peidus mõne “aktiivseks” märgitud väljendi all, nagu näiteks “Eine Grußkarte für Sie”, “Frohes Fest”, “Weihnachtsgruß” vms. Seekord oli pahavara üles riputatud aadressile hXXp://senis.gr/cache/lzBuPG8 (IP-aadressiga 64.130.19.251).

Lingile klõpsates suunatakse arvutikasutaja pahavara alla laadima. Allalaaditav zip-fail võib kanda nime E-Card_zu_Weichnachten, milles peitub sarnase nimega exe-fail. Exe-faili nimi on ülipikaks venitatud lõppu lisatud numbritega. Näide: Card_zu_Weichnachten_scan_foto_2834792347_12_2014_21093812_000129_001_004_002910.

Kui juhuslikult siiski pahalingil klikitud sai, peaks tööarvuti puhul sellest IT-inimesele teada andma. Koduarvuti tuleks üle vaadata uuendatud viirusetõrjega. Kui kohe midagi ei leitud, tasub homme ja ülehomme jälle viirusetõrje definitsioone uuendada ning uuesti arvuti üle skanneerida. Kõik viirusetõrjujad ei pruugi värsket pahavara täna veel ära tunda.

Jõuludeni on veel paar nädalat aega ning praegune kampaania ei jää kindlasti viimaseks. Kuigi jõulud peaksid olema heade soovide ja unistuste täitumise aeg, tuleks elektrooniliste jõulukaartidega ettevaatlikult ümber käia.

CERT-EE

RECHNUNG ja tema kurjad sõbrad

Ei, sedapuhku ei tule jutuks hirmsad mälestused matemaatikatundidest ja rangetest õpetajatest, vaid hoopis mitmendat kuud kestev postkastide pommitamine arvutiviiruse e-kirjadega, mis on viimastel päevadel veelgi aktiivsemaks muutunud.

Pahavara levitamisse on kaasatud zombie-arvutid ning sisuhaldustarkvara turvaaukude kaudu ülevõetud veebilehed. CERT-EEle teadaolevalt on Eestis “pihta saanud” juba mitmed organisatsioonid.

Pahavaraga nakatumine saab alguse e-kirjast, mis võib välja näha umbes nii:

kuvatõmmis e-kirjast

e-kiri Rechnung

Võltskirja tuvastamine on tehtud keeruliseks sellega, et kirjas kasutatakse reeglina saaja nime, seetõttu näeb kiri üsnagi adekvaatne välja (eriti raamatupidajatele, kes saavad postkasti kümneid kirju arvetega).

Rechnung viitele (sinine tekst) klikkides laetakse arvutisse ZIP-fail. Topeltklõps allalaaditud failil avab selle ning siis saab juba päris “arve” lahti teha. Failil võib olla näiteks selline nimi:

ihre_telekom_mobilfunk_november_2014_00002930200_1_3_5_021090_82137_002_008_0004.exe

AGA! – faili nimi muutub pidevalt, samuti muutub ka e-kirja tekst ning kirjas olev viide. Avatud fail nakatab arvuti suure tõenäosusega võimeka  troojalasega. Aga avamine annab ka võimaluse tuvastada pahavara, sest klikkides ei juhtu tegelikult midagi – lubatud arvet ei avata. See on võimaliku nakatumise indikaator nr 1.

Pahalane on nakatunud arvutis vaikne. Tavaliselt ootab ta vähemalt pool tundi enne, kui hakkab edasi toimetama. Pärast vegeteerumisperioodi proovib ta ühendust saada mõnede sissekodeeritud aadressidega, nimekirja nendest lisasime sellele postitusele.

Meieni jõudnud  pahavara näidistel on teadaolevalt võimekus:

  • asuda ise nakatavaid spämmkirju välja saatma,
  • teha DoS ründeid,
  • varastada arvutist andmeid,
  • kuulata pealt arvuti võrguliiklust,
  • varastada kasutaja raha, kui ta külastab netipanka.

Kuna turvatarkvarad on praegu veel üsnagi “nõrgad” pahavaraga nakatumise takistamisel, siis kuidas saab tuvastada nakatumise? Tavakasutajal on see raske, kirjeldame siiski ära teadaolevad meetodid, mida saavad kasutada nii spetsialistid kui tavakasutajad:

1. Esmalt muidugi tasub meenutada, kas postkasti on tulnud saksakeelseid arveid, mis on ZIP-failiga alla laaditud ning mille käivitamine ei avanud arvet. Arvuti tuleb viia täiendavasse kontrolli või veel parem – puhas install. Seda eriti sellisel puhul, kui tegemist on raha liigutava inimese tööarvutiga. Kui oled saadud kirja edasi saatnud kollegile/sõbrale/tuttavale, et too aitaks faili lahti teha, siis teavita teda kindlasti võimalikust ohust!

2. Kontrolli ja jälgimise alla tuleb võtta kohtvõrgu TCP pordi 8080 liiklus, sest justnimelt seda liini pidi see pahavara praegu suhtleb.

3. Siin on nimekiri IP-aadressidest, mille poole pahavara võib pöörduda:
108.161.128.103
109.123.78.10
129.187.254.237
130.133.3.7
133.242.19.182
133.242.54.221
148.251.11.107
158.255.238.163
162.144.79.192
178.248.200.118
188.93.174.136
193.171.152.53
195.154.243.237
195.210.29.237
198.1.66.98
205.186.139.105
206.210.70.175
212.129.13.110
213.208.154.110
46.105.236.18
5.159.57.195
5.35.249.46
66.228.61.248
66.54.51.172
72.10.49.117
72.18.204.17
79.110.90.207
80.237.133.77
88.80.187.139
91.198.174.192

4. NB! Kui küberhügieen on arvutis taaskord saavutatud, siis tuleks muuta kõik salasõnad, mida nakatunud arvutisse sisse toksiti: panganett, suhtlustportaalid jms. Samuti võib hoiatada tutvusringkonda, et kui tuleb arvutikasutaja nime alt kahtlasi e-kirju, siis tuleks üle küsida, kas autor on need ikka ise saatnud. Kui pahavara juba arvutis pikemalt toimetada sai, siis õnnestus tal ilmselt pihta panna ka kohalikud aadressiraaamatud ning halvemal juhul ka olulisi andmeid postkastist.

Jõudu soovides

CERT-EE