Monthly Archives: August 2015

Veel brauseriuudiseid: ka Mozilla Firefoxi turvalisus tõuseb

firefox_logo-wordmark-horiz_RGB

Anto Veldre, RIA analüütik

Kiire kokkuvõte: kõik sirvikutootjad muudavad oma brausereid turvalisemaks, igaüks neist omal moel. Värske uudisena nõustub Firefox 22. septembrist tegema koostööd vaid nõuetekohaselt allkirjastatud ID-kaardi lisamooduliga (extension), mistõttu Firefoxi uuenemisel tuleb kasutajal kindlasti uuendada ka ID-kaardi tarkvara. Ühtlasi muutub lisamooduli uuendamine nii RIA kui lõppkasutaja jaoks veidi keerulisemaks ja aeganõudvamaks.

Taust

Arvutikasutajad kindlasti imestavad, miks suvel ja korraga kõik internetilehitsejad järsku uuenema hakkasid? Põhjuse leiab mõne vähemteadliku kasutaja arvutist – kui internetibrauseri ülemine ots on igasugustest Conduit Search Bar’idest, Assistant moodulitest ja muust säärasest nii küllastunud, et sisu ei mahu enam ekraanile 🙂 Olukorda iseloomustab hästi üks mõne aasta tagune pilapilt sel teemal, kuigi peab ütlema, et Java ning Flashi ärakeelamise kaudu on mõningane osa turvalisust vahepeal tagasi võidetud…

Allikas: http://www.soc.cornell.edu/computing/ie.html

Allikas: http://www.soc.cornell.edu/computing/ie.html

Loomulikult soovib erafirma panna oma tarkvara brauserisse käima, sest siis tekib teatav kontroll ka brauseri kogu liikluse üle. Näiteks mõned Search Bar tüüpi moodulid haaravad päringu vahelt ega saadagi seda Google’isse, vaid sokutavad inimesele omaenda otsitulemusi ja reklaame.

Sama loomulik, et brauserisse soovivad elama tulla igasugused viirused ja pahavarad. On säärane ingliskeelne väljend nagu MiB – ei, mitte Men in Black, vaid “Man in the Browser” – brauseripetis, ehk siis mehike, kes istub internetisirviku küüru otsas, vahendab kogu liiklust ja kuulab kõike pealt.

Olukorras, kus lihtkasutaja täpselt ei mõika, mida ta teeb, vastates igale tarkvarapakkumisele YES, hakkas veebilehitsejate küüru peal vohava pahavara hulk ületama mõistlikku piiri. Sellega seoses hakkasidki suuremad brauseritootjad paar aastat tagasi mõtlema, kuidas vaenulikule faunale piiri panna.

Eesti rahvuslik tragöödia seisneb asjaolus, et kuniks muu maailm kiipkaardi ja brauseri integratsioonist suurt ei hooli, elab ka meie ID-kaart samamoodi veebilehitseja küüru otsas. Seni on ID-kaardi lisamooduli tegemine olnud imelihtne. Teed valmis, paigaldad brauserisse ja voilaa! – e-riik ongi kättesaadav. Kuid nüüd hakkavad asjad muutuma pisut keerulisemaks.

Firefox

Tänaseks on saabunud selgus Mozilla Firefoxi (FF) osas, kus lisamoodulitega ühildumise mehhanism muutub oluliselt karmimaks. 11. augustil hakkab levima Firefoxi versioon 40, mis eelistab koostööd just allkirjastatud lisamoodulitega (extensions). Uuendades varem olemasolevat FF’i, ei pea kasutaja muretsema, kuid esmakordselt Firefoxi paigaldades näitab brauser ID-kaardi lisamoodulile kollast tuld. Kasutamine pole seejuures takistatud:

Kollase kirjaga hoiatus: Estonian ID Card authentication module could not be verified for use in Firefox. Proceed with caution.

(Sarnaseid küsimusi on varem küsitud Windows XP draiverite installimisel, kui digitaalselt allkirjastamata draiverite puhul kerkis ekraanile spetsiaalne dialoogiaken.)

Kuid juba 22. septembril saabub Firefoxist versioon 41, mille käitumine on oluliselt karmim: see nõustub töötama vaid nõuetekohaselt allkirjastatud lisamoodulitega. Plaani kohaselt varustatakse ka ID-kaardi lisamoodul selle autentsust tõestava krüptograafilise tõendiga. Mooduli varasemat (=praegust) versiooni hakkab Firefox alates 22. septembrist tõrjuma säärase teatega:

Punase kirjaga hoiatus: Estonian ID Card authentication module could not be verified for use in Firefox and has been disabled.

ID-kaardiga autentimise jaoks vajaliku laienduse uusversioon saabub arvutitesse ID-tarkvara automaatuuendusega. Kui automaatuuendus ei ole lubatud, tuleb uus versioon selleks ajaks arvutisse ise installeerida.

Erilist tähelepanu tuleb FF teemale pöörata neis asutustes ja firmades, kus on mingi pärandvaraline põhjus uusimatest versioonidest hoidumiseks.

Edge ja Chrome

Meenutame ka, mis toimub hetkel teiste internetilehitsejatega.

Microsoftil on just praegu käsil üleminek Win10 op-süsteemile ning tuttuuele Edge brauserile. Teada on vaid see, et koht moodulite ühendamiseks tuleb “pisut turvalisem” kui IE küür, kuid midagi täpsemalt teada pole. Ilmselt saabuvad uudised alles paari kuu jooksul. Seni aga, kuniks Edge sirvikul puudub koht pluginate/moodulite külgeühendamiseks, ei saa Edge’ile pakkuda ka ID-kaardi tuge (vt Windows 10 ja e-teenused).

Google on oma veebilehitsejaga Chrome samuti standardeid ümber tegemas. Otsustav muudatus kliendi poolel on juba tehtud ning (praeguse info kohaselt) septembri alguses saabub Chrome’i uusversioon 45, mis vanu NPAPI standardis pluginaid enam ei tunnista. Chrome’i loojate valitud tee on kõige valulisem, sest nõuab muudatusi ka serverite poolel. Eks septembris paistab, kas kõik Eestis ID-kaardiga teenust pakkuvad internetisaidid suudetakse Chrome’i uue pluginastandardi (Native Messaging) peale üle viia või jääb mõni teenusepakkuja hätta. (Vt Veebilehitsejas Chrome läheb ID-kaardiga allkirjastamine (korraks) katki ja Suuremad sirviku-uuendused sel suvel)

Sellesuvine hetkeseis brauserimaailmas

  1. Chrome – muudatus (versioon 45) saabub umbes 7. septembril. Kui mõni ID-kaarti pruukiv teenus pole muudatusega vastavusse viidud, siis kasutajad seda uue Chrome’iga kasutada ei saa. Teenusepakkuja leiab lisainfot veebilehelt id.ee.
  2. Edge – Microsoft pole veel moodulite kinnituskohti ja standardeid avalikult välja hõiganud, mistõttu Edge on kasutatav vaid Mobiil-ID abil.
  3. Internet Explorer – vana ja kaduv, kuid hetkel jätkab ID-kaardiga töötamist.
  4. Mozilla Firefox – alates versioonist 40 (11. augustist) hakkavad kasutajad saama hoiatusi ning versioonist 41 (22. septembrist) nõuab FF nõuetekohaselt sertifitseeritud/allkirjastatud/jne lisamoodulit, mille RIA ja SK siis loodetavasti jõuavad õigeks ajaks valmis teha ning ID-kaardi tarkvarauuendusse lisada.
  5. Mac OS X ja Safari – sügisel on oodata uut versiooni El Capitan, RIA ja SK tegelevad beetaversiooni uurimisega. Eesmärk on, et kasutaja saaks tarkvara uuendatud ühekorraga (Firefoxi ja El Capitani tugi tulevad koos).

Neile, kes soovivad katsetada juba praegu:

Turvaoht: WordPress vajab kohest paikamist

wordpress-logo-hoz-rgb

Anto Veldre, RIA analüütik

Kui Sinul, Sinu firmal või asutusel on püsti pandud WordPressi tehnoloogias veebisait, siis täna on vältimatu hetk WordPressi uuendamiseks. Sest eile avalikustati WordPressi järjekordne turvaparandus, mis kõrvaldab tervelt kümme viga – neist kuus on seotud turvalisusega.

Kust üldse tulevad turvavead? Nagu autodel avastatakse vahel mõni tootjapoolne viga: kas pidur ei pea või saavad häkkerid neti kaudu auto tarkvara uuendada, nii on lugu ka netiportaalidega. Häkkerid ja turvauurijad leiavad uusi vigu pidevalt – keeruka tehnoloogia puhul on see vältimatu hind.

Ning kuigi me täna keskendume WordPressile, mitte Drupalile või Joomlale, siis ka need sisuhaldussüsteemid vajavad pidevat uuendamist!

xlontz

Mis üldse on näotustamine? Kui Sinu veebiserveris on turvaviga ja häkker oma riistakohvriga sinna sisse murrab, siis on tal valik: kas hakata Sinu kulul viirust levitama, tablette müüma või riputada üles kahtlasi loosungeid. Näotustamine on neist see variant, kui veebilehelt paistab “Zdes’ byl Vasja” või “Hacked by ÜberHaxor”. Tegu võiks võrrelda võõra kuulutustetulbaga, millele kleebitakse omaenda reklaam.

Näotustamine tundub veebiomanikule suhteliselt õnneliku juhtumina: kuigi häbi on küll kõigile avalikult nähtav, siis veebisaidi abil pole veel sooritatud kriminaalkuritegu (viiruse või lapsporno levitamist).

Samas, “õnn” on ajutine ja oht suur, sest kui kellelgi juba on õnnestunud Sinu veebisaiti sisse murda, siis kindlasti õnnestub see ka teistel üritajatel. Järgmiste ründajate valikud võivad aga olla oluliselt kriminaalsemad – mäletame ISISe reklaame, mis kvalifitseeruvad terroriorganisatsiooni toetamiseks 🙁

Häkkeritel on omad kekkamis-saidid, kus nad oma saavutustega hooplevad. Need võiks ju kinni panna, kuid siis oleks ebaturvalisi veebisaite veelgi raskem avastada.

deface

WordPress 4.2.4 turvauuendus parandab järgmised vead:

  • kolm murdskriptimise viga (XSS),
  • üks SQL injektsioon, mille abil pääseb serverisse “päris sisse”,
  • olukorra, kus häkker sai kommentaariumi lukku panna.

Uuendamine on lihtne: Kui veebisaidis on midagigi väärtuslikku, siis tuleks esmalt teha järjekordne varukoopia, seejärel aga valida Admin-menüüst: Dashboard -> Updates -> “Update Now”.

Küsimused ja vastused CERT-EE materjalide põhjal

junglefeverstyle.ee

Kui Sinu veebisaiti ongi juba sisse murtud, siis mida teha?!

  1. Näotustamistest, ammugi siis hullematest rünnakutest tuleb teavitada politseid ja CERT-EE-d.
    Miks politseid? Tegu võib olla suurema või rahvusvahelisema rünnakuga, kus vaid politseil on päringuteks vajalikud õigused. Politsei ongi selleks, et kuritegudest teada anda. Avalduse saab esitada ka digitaalselt, vt www.politsei.ee.
    Miks CERT-EE-d. Sest hädalisi võib olla teisigi. CERT-EE oskab õigeid inimesi üles leida, hinnata intsidendi ulatust ning anda ravinõuandeid. Muidu võib tunduda, et tegu on üksik-intsidendiga, kuigi ka paljud teised veebid on jätkuvalt ohustatud.
  2. Tuleb oma veebisaidis leida sissemurdmise koht ning see parandada. Arvestada tuleb ka võimalusega, et sisse on murtud korduvalt ning et Sinu veebis elab mitu pesakonda häkkereid.
  3. Taastada turvaline olukord, isegi kui selleks tuleb veeb vahepeal sulgeda.
    Üha rohkem on juhtumeid, kus nakkus on nii sügaval, et lihtne lappimine enam ei aita. Sel juhul tuleb uuesti (nullist) paigaldada sisuhaldustarkvara, uuesti lisada oma spetsiifilised kujundused ja andmed. Sedasi on küll rohkem tööd, kuid saab kindel olla, et häkkerid pole tuumiksüsteeme muutnud. Lihtsa lappimise korral, kui ei saadud aru, kus kurivara tegelikult pesitseb, võivad probleemid pärast uuendust tagasi tulla.
  4. Avalikkusel on kindlasti õigus teada, mis laias maailmas toimub, kuid ülevõetud saidi reklaamimisel peaks piiri pidama. Miks? Sest kuniks pole päris kindel, et veebisait on lõplikult ja korralikult välja ravitud, võib iga uus kasutaja saada sealt pahavara.

Kuidas tagada, et minu enda sisuhaldussüsteem oleks turvaline?

  1. Automaatne uuendamine: vahel teeb mõni uuendus veebilehel küll midagi katki, ent katkise koha parandamine on ikkagi lihtsam, kui hakata taastama oma mainet pärast seda, kui Sinu veebisait on levitanud pahavara ning sellega külastajatele kahju põhjustanud.
  2. Hoia ennast kursis konkreetse sisuhaldussüsteemi (WordPress, Drupal, Joomla) uuendustega ning sääraste ilmumisel paigalda need viivitamatult!
  3. Kindlasti uuenda ka kõik lisad (pluginad). Näiteks WordPressi populaarse lisa Slider Revolution vananenud versioon võib jätta lehekülje haavatavaks isegi siis, kui CMS tarkvara ise on ajakohane. Kui veeb osteti sisse, siis tüüpiliselt on makstud kas ainult paigaldus ilma toeta või on makstud plugina aastane uuendus ning pärast seda ongi pahandus käes.
  4. Turvaline paroolipoliitika ja regulaarne paroolivahetus. Muuda ära administraatori vaikimisi kasutajanimi. Paroole teadku inimesed, kes neid tõesti vajavad.
  5. Korrektne paigaldus. Jälgi hoolikalt sisuhaldussüsteemi paigaldusjuhist. Foorumid ja üleslaadimised on kõige eksimusterikkamad paigad.
  6. [Lisatud lugejate palvel 10.8.2015]: WordPressi lahendust käitavalt administraatorilt võiks ühtlasi nõuda, et nähtav poleks readme.html fail (sealt saab liiga palju lisainfot, aitäh @petskratt) ning et administreerimiskataloogile ja utiliitidele oleks võimalusel seatud IP-aadressi piirang (siis ei saa kahtlased tüübid näppimas käia).

Kuidas saan kinnitust kahtlusele, et veebiserverisse on sisse murtud või seda nakatud?

Üks mugav testimisteenus on SiteCheck (https://sitecheck.sucuri.net), teine VirusTotal (http://www.virustotal.com). Sisesta sinna kahtlase saidi nimi (URL) ning oota ära kontrolli tulemused. Sucuri Sitecheck on isegi võimeline hindama, kas serveri tarkvaraversioon on piisavalt ajakohane.