Monthly Archives: July 2015

Põhjalikumalt Androidi turvaaugust

nutitelefon

Anto Veldre, RIA analüütik

Paaril viimasel päeval prõmmivad mitmed uudiseportaalid pomm-uudist, et enamikes Android-seadmetes on hull turvaauk. No on jah. Ei ole Androidi puhul esimene ega ilmselt mitte ka viimane auk.

Kuid nagu löökaukudel ikka, ajalugu on ka oluline. Android tarvitab üht teatavat StageFright nimelist teeki selleks, et reguleerida meediafailide vaatamist kasutajate poolt (DRM).
See võimaldab tekitada digitaalset sisulõhet – tagamaks, et maksev klient näeb digisisu. Arvet peetakse siiski kõigi huviliste üle.

Kuid kui mingi asi reguleerib ligipääsu, siis eeldatakse vaikimisi, et see miski on seotud turvaga ning lisaküsimusi ei esitata. Ju on keegi turva peale mõelnud. Praktikas juhtub ka teisiti – tähtis piiranguteek StageFright sisaldab olulisi vigu ning samas on talle Androidi sees antud liiga suured õigused.

Kõrvalepõikena – Androidi puhul paiknevad üksteise peal tegelikult kaks õiguste süsteemi. Üks asub sügaval Linuxi “kõhus” ning annab StageFright teegile “system” grupi õigused. Ilmutatud tasandil (nn lubade süsteem) saab aga kasutaja oma turvaolukorda pisut ka ise mõjutada, keeldudes äppidest, mis nõuavad paigaldamisel ülemäära palju õigusi.

loabitid

Vahemikus Android 2.2 kuni Android 5.1.1 on haavatavad kõik versioonid. Arvatakse, et asi puudutab umbes 950 miljonit nimetatud op-süsteemiga seadet – tahvleid, telefone. Oht tuleneb mobiilse side võimalustest – kui seade on rünnatav 24/7/365, siis on kuritarvitamise potentsiaal kõrge.

Turvaaugu ärakasutamine on lihtne – kasutaja telefoni täielikuks ülevõtmiseks piisab, kui saata talle (näiteks uneajal) sobiliku sisuga multimeediasõnum (MMS). Omaniku ärkamise hetkeks on andmed juba varastatud ja kontroll telefoni üle antud mõnele ründekonstruktorile (exploit kit). Eriti “rõõmustavad” firmad ja riigiasutused, kes kasutavad Androide oma turvatud sisevõrgu teenuste (näiteks e-mail, dokumendid) tarbimiseks.

Ohust arusaamiseks on vaja mõista Androidi levitusmudeli iseärasusi. Kuigi AndroidOS ise kuulub Google’ile, siis iga telefonifirma või teenusepakkuja modifitseerib originaali (näiteks mõnedele Eestis levitatud tahvlitele on sisse ehitatud Eesti Ekspressi digileht, viisil, et seda ei ole võimalik eemaldada).

Eestis on väga populaarsed just Samsungi telefonid, selle firma versioonid Androidist on kohati tundmatuseni mugandunud. Tulemuseks on väga killustatud turg, ning palju väikesi tegijaid, kel lihtsalt puudub suutlikkus turvauuendusi toota. Selle teema huvilised saavad teemakohaseid värvilisi pilte vaadata siit.

Tänane seis – Google on AndroidOS algkoodis turvaaugu küll ära parandanud, kuid enamike potentsiaalsete ohvriteni see parandus ei jõua, sest telefonifirma (nagu Samsungi) või sidefirma poolt mahamüüdud Android-seade on juba modifitseerija vastutada. Loomulik, et aja jooksul kaob tootjal ning edasimüüjal huvi – kuluefektiivsem on turgu ekstensiivselt edasi vallutada, kui vanade rontidega mässata.

Ravi: hetkel saab iga kasutaja ise midagi ära teha, et sigadus ei jõuaks temani automaatselt; piisab kui MMS (ehk multimeediasõnumite) sättungites automaat-avamine (“Toomine”) ära keelata. Neil, kes omi MMS’e HangOut’i abil vaatavad, tuleks sama teha ka sealsetes sättungites. Kahjuks tuleb tõdeda, et vanemates Androidides säärane häälestuskoht puudub…

Näiteks Androidis 4.4.2 menüüs käib asi sedasi: Sõnumid -> Seaded -> Multimeediumsõnumi seaded -> “Automaatne toomine” – siit tagant peaks hetkel küll linnukese maha võtma.

Eesti keele puhul on vaja silmas pidada veel üht asjaolu – õ-tähe ülekasutamine soodustab mahuületust ning mahuületus omakorda soodustab multimeediasõnumiks teisendamist.

Turvaugu kuritarvitamise sügavast tehnilisest sisust tuleb juttu BlackHat/DefCon üritustel USAs selle aasta augusti alguses ja siis avaldatakse ka täpne rünnakukood. Kuigi tunne on, et osavad häkkerid suudavad kurja MMS saata ka ilma loenguid kuulamata. Ning hetkest, mil (öised) MMS’id saabuvad, võib enamiku vanemaid telefone ilmselt minema visata.

Üks nüanss asja juures siiski on – telefonifirmade logidesse jääb MMS kuritarvitamisest hästi dokumenteeritud kirje. Digikorralikus riigis nagu Eesti tähendab see mõningat, kuigi mitte liiga efektiivset heidutust, kuid sõnumid võivad saabuda ka välismaalt…

Vist on aeg, et ka meie siin Maarjamaal oma telefonimüüjatelt ostu tehes sagedamini küsima – kui kaua on plaan seda seadet toetada? Ja kas tugi sisaldab ka suuremate turvaaukude parandamist?

Kurjad keeled tögavad, et omaniku ainuke šanss on oma vana föön või pihukas ära ruutida ning auklik StageFright sedakaudu tasalülitada, kuid ruutimise riskidest oleme varem juba kirjutanud ning tavakasutajale seda küll soovitada ei saa – ravides välja ühe ohu, võid saada kümme uut asemele…

The Register’i artiklis spekuleeritakse, et tootjad ei hakkagi uuendama vanemat kui Android 4.1 JellyBean versiooni (samas kui hetkel viimane versioon on Android 5.1.1 Lollipop) ning ironiseerivad, et kasutaja võiks võtta haamri ja oma Androidi turvakaalutlustel puruks lüüa. Kui üks juhtivaid IT-uudiste portaale teeb säärast mõru nalja, siis on asi piisavalt tõsine.

[Lisatud 2015-08-11]: Avaldati info veel teisegi suurema Androidi turvaaugu kohta – turvanõrkusest CVE-2015-3825 on hindamisi puudutatud kuni 55% Android-seadmetest.

Lisainfot:

1. http://www.theregister.co.uk/2015/07/27/android_phone_text_flaw/
2. https://threatpost.com/android-stagefright-flaws-put-950-million-devices-at-risk/113960
3. http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/
4. http://venturebeat.com/2015/07/27/researchers-find-vulnerability-that-affects-95-of-android-devices/
5. http://www.bloomberg.com/news/videos/2015-07-27/950-million-android-phones-vulnerable-to-hacks
6. Twitter, kasutajad @ZIMPERIUM, @jduck
7. CERT-FI hoiatus: https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2015/haavoittuvuus-2015-067.html

Windows 10 ja e-teenused

RIA_illustr.ai

Anto Veldre, RIA analüütik

Nagu ka varem viidatud, toimub sel suvel kaks e-teenuste kättesaadavust mõjutavat sündmust. Täna tuleb Microsoft välja oma Windowsi uusversiooniga, määrates peabrauseriks Edge’i, millel aga ID-kaardi pistikut veel polegi. Teise sirvikusündmusena muudab ka Google oma Chrome’i pistikustandardit, kusjuures selle sündmuse raskus langeb peamiselt teenusepakkujate poolele.

Nende uudiste valguses on avalike e-teenuste ning ka äriliste e-teenuste (nagu pangad jms) kasutajatel vaja läbi mõelda kasutusviisid, mis võimaldavad jätkata e-teenustesse sisselogimist (autentimist) ning e-teenustes (veebis) dokumentide allkirjastamist. NB! ID-kaardi utiliit jätkab töötamist muutusteta.

Windows 10 tulek

Siin vaatleme ligipääsu e-teenustele just  operatsioonisüsteemi Windows 10 tuleku valguses. Kui ma olen endale installeerinud Windows 10 (seda on vanemate operatsioonisüsteemide uuendamise kaudu väga mugav teha), siis millega pean arvestama ja kuidas saan e-teenuseid mugavalt edasi kasutada?

Microsoft_Edge_logo

Edge

Kõige esmane uudis on see, et Microsoft on Windows 10 varustanud täiesti uue brauseriga. Selle sirviku nimi on Edge ning see võtab üle Windowsi pea(mise) brauseri rolli. Paraku Edge’i küljes veel pole pistikut, kuhu ID-kaardi draiverid üldse saaksid kinnituda (Microsoft on öelnud, et kiipkaardi moodulid on prioriteet).

Niisiis, minu arvutis on täiesti uus brauser Edge. Seda saab e-teenustele ligipääsuks pruukida kahel moel:

  • Kui on soov e-teenuseid kasutada ilmtingimata Edge’iga, siis selleks sobib m(obiil-)ID. Eestis on hetkel suurusjärgus 60 000 aktiivset mID kasutajat. Midagi erilist pole vaja teha, piisab kui valida veebis autentimismeetodiks mID ning Edge ongi kasutatav. (Teatavasti mID suureks eeliseks ongi asjaolu, et ta pole brauseri suhtes tundlik).
  • Edge tunneb peagi ära veebiteenused, mis pole veel Edge’i enda jaoks küpsed ning pakub nende puhul kasutada Internet Explorerit. Tarvitseb vaid vajutada YES, kui käivitub IE ning teenus on ID-kaardiga kasutatav nagu varemgi. See meetod on Windowsi laia leviku tõttu kättesaadav enamikele kasutajatele (sajad tuhanded)

(Keda huvitab, mis on karul kõhus, siis säärane ümbersuunamine hakkab toimuma mitte päris automaatselt, vaid nimekirja abil. Microsoftil on nimekiri teenustest, mis veel Edge’iga ei tööta ning sellisele lehele sattudes väljastatakse Compatibility View hoiatus. Ümberlülitumine peaks hakkama tööle kõige lähemal ajal.)

compat

Alternatiivsed sirvikud

Kui kasutajal puudub mID või talle mingil põhjusel IE kasutamine ei sobi, siis on veel kaks brauserit, mille abil e-teenustele ligi pääseda:

  • Google Chrome – selle brauseri turuosa on hetkel suurim (üle 50%). Chrome’i abil on e-teenused endiselt kasutatavad, kuid tuleb arvestada, et hiljemalt septembris tuleb oluline muudatus ka Chrome’i puhul, sellest loe täiendavalt SIIT.
  • Mozilla Firefox – turuosaga 17%.

Kokkuvõttes: kuigi Edge ise otse ID-kaardiga veel ei haaku, on lahenduseks kas mID pruukimine (neil kel on)  või alternatiivsete brauserite (Chrome, FF) kasutamine. Olukorda, kus e-teenusele ligi ei pääse, ei tohiks niisiis üldse tekkida.

Win 10 nipid ja trikid

Soovitame kõigil Windows 10 uuskasutajatel pilk peal hoida Internetil. Kuna kasutajaid on palju ning uus sirvik Edge kujuneb kindlasti väga populaarseks, siis on foorumites ja jutukohtades oodata pikki vaidlusi mugavuse ja kasutatavuse teemadel. Selliste vestluste ja arvamustega tutvudes on kasutajal endal võimalik palju õppida.

Kuigi IE kasutusvaldkond ilmselt tulevikus ehk kitseneb, on mõtet ka uues Windows 10’s tõsta IE ikoon töölauale ja kuni Edge’i ID-kaarditoe väljaarendamiseni kasutadagi IE’d.

Tulevik

RIA teeb koostööd Microsoftiga ning ID-kaardi täielik tugi Edge brauserile valmib niipea, kui Microsoft on vastavad moodulid lisanud. Autentimise osas on lahenduseni jõudmine ilmselt lihtsam, kuid allkirjastamise ja täisteenuse osas paraku mitte.

Ühtlasi soovitame inimestel kasvatada arusaamist teenusekesksest arvutusmudelist ning seada meeled valmis seninägematuteks rahastus-skeemideks. Windows 10 kasutajatel tasub mõelda ka ökosüsteemi majanduslikule aspektile. Google on küll kasutajale tasuta, kuid seda rahastatakse kasutajaandmete analüüsiga ja tulemuste müügiga.

Windows 10 tähendab (esimest korda arvutustehnika ajaloos) ühiskonna säärast arenguastet, kus kodus hoitavate failide, programmide ja arvutite osakaal (üha) väheneb. Pole täpselt teada, kuidas hakatakse keskset teenust rahastama Windows 10 puhul, kuid teatavasti tasuta lõunaid pole. Hetkel saab kodukasutaja küll oma legaalse Windows 7 tasuta ära uuendada, sujuvaks üleminekuks on see kindlasti vajalik, kuid ettevõttena on Microsoft orienteeritud kasumile, mistõttu tuleb silmad lahti hoida stsenaariumitele, kus failide ja teenuste kasutamise eest muutub üha populaarsemaks näiteks “aastamaks” (DropBoxi ja Office365 näitel). (Installi-CD) kujul  ja uue arvuti osana muutub Windows 10 kättesaadavaks kõigest mõne nädala pärast.

FLASH’i tapmine

 

Autor: Paolo Uccello 1397-1475

Anto Veldre, RIA analüütik

Infoturblased on tavaliselt rahulik rahvas, suuri ja vägevaid sõnu ei loobita, tehakse rahulikult oma tööd. Kuid viimase nädala jooksul on küberkaitsjate leksikoni siginenud sõna “tapmine”. Tapetav ei ole siiski inimene, vaid kõigest programm, või kui väga täpne olla, siis isegi ühe teatava firma teatav tehnoloogia. Päris mitmed nimekad infoturblased on nimelt leidnud, et turvakaalutlustel tuleb ära tappa brauserites elutsev Flash tehnoloogia.

Flash kui tehnoloogia ilmus 1990-ndate teisel poolel, kui veeb oli alles staatiline ja “igav”. Flashi iva oli pakkuda veebis pisutki liikuvamaid pildikesi, kui seda võimaldasid animeeritud GIFid või Macromedia ShockWave. Kuivõrd arvestatavaid konkurente turul polnud (Macromedia
ostis Adobe ise üles), siis õnnestuski Adobe’l oma Flash peavoolu veebisirvikutesse sisse sokutada. Ääretu populaarsus tuleneb lihtsusest – ka algaja veebitoimetaja suudab videot
fläšiks keerata.

15 aasta jooksul on suur osa reklaamiturust üle kolinud Flash’i peale. Kadunud Steve Jobs kirjutas juba aastal 2010 pika artikli selgitamaks, miks Apple seadmetesse Flash’i kunagi ei installeerita. Olgu märgitud, et Eesti veebisfääris kasutaja ilma Flash’ita väga kaugele ei jõua:

flash2

Flashi suurimaks mureks läbi aastate on olnud turvalisus. Ühest küljest teame teooriat, mis väidab, et omandusliku tarkvara suletud kood ongi kõigi turvaprobleemide ema.

Kas just ilmtingimata nii, kuid pisikese programmijupi kohta, mis istub igaühe brauseris ja vaid ootab Internernetist värvilist pildikest (või siis järjekordset viirust), on turvalisust olnud häbiväärselt vähe. Aastate jooksul on Adobe Flash läbi põdenud säärase tohutu koguse jõledaid turvaauke, mille kaudu pahategijad saanuksid meist igaühe arvutitesse vähemalt kümme korda sisse murda.

Vigade loetelu on siin, igaüks ise otsustagu, kas seda on kaitse eesliinil, Internetiga otseühendatud toote puhul vähe või palju.

Ühesõnaga, selles et Adobe Flash on ohtlikult ebaturvaline, kuid jätkab oma liini jonnakalt, pole infoturblased kunagi kahelnud. Kuivõrd vastas on suur ja võimekas kontsern paljude juristidega, siis seni toimus vaid virin ja vigin. Adobe ju tegelikult alati parandas iga järjekordse vea kiiresti ära… Kuid kulisside taga käis kaevikusõda edasi: YouTube loobus Flashi’st aasta 2015 alguses (õigemini pakkus alternatiivi HTML5 näol) ning ka FaceBook on Flash’ist loobumise otsuse juba teinud.

Karikas hakkas üle ajama nädal tagasi, seoses sissemurdmisega firmasse HackingTeam.

Nuhkimine halbu mõtteid hauduvate kodanike järel on parasjagu delikaatne teema, millega ka Eesti on varemalt kokku puutunud.

Tagantjärele on iga säärase loo puhul ikka selgunud, nii Gamma Group‘i kui Hacking Team‘i puhul, et osad kliendid tarvitasid nuhktarkvara üsna vabalt valitud eesmärkide saavutamiseks. Hea ja kurja õige vahekord on aastatuhandeid olnud (tähtis) filosoofiline küsimus ning tehnoloogia muudab seda küsimust veelgi teravamaks. Mis ulatuses tohib aus mees teha halba, et kurja peletada?

Igatahes kujunes sissemurdmine Hacking Team’i arvutivõrku ning sealse umbes 400GB suuruse, kurje ründeid sisaldava infopaketi avaldamine selle suve infoturbe tippsündmuseks.

Probleem: lekkinud materjalide hulgas leidus päris mitu nn 0-päeva ründeskripti (ingl.k.: 0-day exploit), mille abil ongi juba kõvasti kurja tehtud ning inimestele arvutiviirust istutatud. Relvad, mis olid justkui suunatud pahade vastu, pöörati ümber ning nüüd tulistasid nad juba igaüht meist.

Kolm eriti ohtlikku ründenippi Hacking Teami portfellist puudutasid Adobe Flash’i turvaaukusid – üheainsa reklaami abil oli võimalik miljoneid arvuteid täies mahus üle võtta. Häkkeritel kuluski kõigest üks päev, et Hacking Team’i kroonijuveelid enda heaks tööle sundida. Mis kõige jubedam – Adobe Flash’i turvaaugud toimivad sõltumata platvormist – pole vahet, kas Sul on Windows, Mac OS või Linux.

flashpotus

Selle koha peal küberkaitsjate kannatus katkes ning kogukond vihastas. Täna käib jutt juba ei enamast ega vähemast kui Flashi tapmisest. Pealkirjad on raevukad – Flash peab surema! – ning nood teised hääled, mis ettevaatlikult viitavad, et Adobe on oma Flashi ju taas ära paiganud… kuni järgmise korrani, ei pääse enam püünele.

Kuidas oleks selles olukorras õige käituda?

Kui Flash tõesti maha tappa, siis mis seda asendab? Kas HTML5? Tegemist on pigem usaldusküsimusega. Tundub, et Adobe on kaotanud turvakogukonna usalduse. Ubuntu-arvuteid tootev System76 otsustas, et nemad nüüdsest enam oma arvutitele Flash’i peale ei pane. Põhjus – turvalisus.

Ka Mozilla tegi paar päeva tagasi otsuse Flashi vaikimisi mitte enam ekraanile lubada. See tähendab, et liikuvaid pildikesi saab küll vaadata, kuid üksnes siis, kui igal uuel saidil Flash lubatuks klikkida.

Eks igaüks otsustab ise, kuid kui on soov Flashiga jätkata, siis vähe sellest, et toode tuleks uuendada, tuleks vältimatult peale keerata Flashi automaat-uuendused.

Seejuures tuleb hoolega jälgida, et kogemata ei lubataks installeerida kaasasurutavat viirustõrjet (sul üks juba on) või muid ebavajalikke vidinaid.

Chrome’is ja FireFoxis nimetatakse seda funktsionaalsust “click-to-play”. Siinkohal
viide blogipostitusele, kus õpetatakse omi ohutussätteid paremini konfigureerima.

Internet Exploreril “click-to-play” pung puudub, kuid ohtlikke pluginaid saab sealgi käsitsi maha keerata.

Lõpuks – olukorra tõsidusest annab aimu asjaolu, et Flashi teemal joonistatakse juba koomikseid…

flash

Lisalugemist:

1. http://www.zdnet.com/article/adobe-promises-patch-for-latest-wave-of-critical-hacking-team-zero-day-exploits/
2. http://arstechnica.com/information-technology/2015/07/ubuntu-pc-maker-system76-abandons-flash-says-its-too-dangerous/
3. http://www.theverge.com/2015/7/13/8948459/adobe-flash-insecure-says-facebook-cso
4. http://www.computerworld.com/article/2948012/security/adobe-flash-must-die-firefox-facebook-itbwcw.html
5. http://www.bbc.com/news/technology-33520935
6. http://arstechnica.com/information-technology/2015/07/ubuntu-pc-maker-system76-abandons-flash-says-its-too-dangerous/