Monthly Archives: June 2017

Kõik pole kuld, mis seinal hiilgab

Autor: CERT-EE

“Vasta sellele lihtsalt küsimusele ja võid võita ümbermaailmareisi!”, “Tulenevalt süsteemiveast on meil tekkinud XXX arv tasuta pileteid, tegutse kohe!”, “Facebook muutub alates (suvaline kuupäev ja aasta) tasuliseks. Sul on jäänud ainult XXX sekundit, et tasuta konto säilitada!”, “OMG! Ma ei uskunud sinust seda!” ja kes meist ei tahaks teenida sama palju kui “miljonärist ema Eestist, kes teenib selle salajase rakendusega rohkem, kui ta jõuab kulutada!”

Libaloterii, mille eesmärk on tihti klikisööt või kasutajate tasulise sõnumiteenusega liitmine. Eriti kriitiliselt tuleks suhtuda ka loterii sisusse, sest loterii toimumise hetkel oli kunagine rahvuslik lennufirma Estonian Air juba tegevuse lõpetanud ja asendunud Nordicaga.

10 jälgijaga BestBuy ja Instagram on ühinenud, et kõikidele, kes tinyurl.com lingile vajutavad, tasuta kinkekaarte pakkuda.

Staažikamate sotsiaalmeediakasutajate jaoks pole võõras ükski ülalloetud hüüdlausetest. Mõnevõrra kummaline on neid nüüd ka eesti keeles lugeda. Internetis levivad pettused sisenevad meie igapäevaellu selsamal päeval, mil soetame omale nutiseadme või kui tehnik meie koduse internetiühenduse “tööle paneb”.

90ndatel ja 2000ndate esimeses pooles levisid pigem vähemtehnilised, finantskasu lõikavad petuskeemid, mis rõhusid inimeste kaastundele ja südamlikkusele. Viimase 10 aasta jooksul on aga võtmesõnana lisandunud pahavara. “Facebookis liigub viirus!” või “Kui sa saad mult sellise asja, siis see polnud mina, see on viirus!” [Märkus: sõna “viirus” tähistab pigem paljunemise ja leviku võimet, mida enamikul pahavaral pole. Pahavara, mis suudab ise arvutist arvutisse liikuda, kannab aga nime uss (worm).]  Ent meeles tuleb pidada – pahavara vajab käivitumiseks ja etteöeldud toimingute teostamiseks kasutajapoolset tegevust: enamasti tuleb kasutajal teha üks klahvilevajutus, kas allalaadimise kinnituseks (download), käivitamiseks (run) või paigaldamiseks (install). Küsimus on nüüd vaid selles, missuguse petujutu abil lollitada kasutaja seda vajalikku klikki tegema.

Internetipettuste eesmärk on tänapäeval nii raha teenida kui ka kasutaja (sotsiaalmeedia)konto või arvuti ja/või nutitelefon eri motiividel üle võtta.  Toimuda saab see näiteks e-kirja, sotsiaalmeedia, veebilehtede või jututubade kaudu – takistuseks üksainus klikk.

Klikisööt

Kas tasuta autot tahad? Aga tasuta lennupiletit? Või kõigest telefoni? Laikide farmimine pole kuhugi kadunud! Internetipettuse omaette liigiks on nn klikisööt, mille eesmärk on saada veebilehele võimalikult palju klikke (klõpsutamisi), et reklaamiga kasumit teenida. Klikipettus põhineb eelkõige kõmutekitavatel pealkirjadel või pilkupüüdvatel pisipiltidel, mis uudishimulikku kasutajat neil vajutama kutsuvad. Miks selliseid lehti üldse tehakse ja kellele neid laike seal vaja on? Selleks, et vastav leht hiljem maha müüa: populaarsemad ja suurema klikkide arvuga lehed kuvatakse enamasti otsingumootorites eespool.

Mercedese loosimine.

Nii ilus auto! Ja lausa lips peal! Statistiliselt on märkimisväärne, et võltskampaaniate käigus väljaloositavatele asjadele pannakse kaunistus peale. Eesmärk on panna kasutaja uskuma, et tegemist ongi päriselt kingitusega.

Kui Samsung Galaxy S4 leht juba tasuta iPad minisid promob, siis see peab tõsi olema.

Kuidas teha vahet?

  • Lihtne matemaatika aitab alati! Võltspakkumistes lubatakse tavaliselt ära kinkida sadu või tuhandeid kallihinnalisi tooteid. Juhul, kui tegemist oleks tegeliku kampaaniaga, kaasneks ettevõttele sellega suur majanduslik kahju. (Apple iPad Mini jaemüügihind jääb 499–659€ vahele, Mercedes Benz E63 jaemüügihind uuena on suurusjärgus 90 000€). Samuti tuleks tähele panna, et tegelike loosimiste puhul jagatakse väikeses koguses (kallihinnalisi) tooteid ning mitte iga loos ei võida!
  • Absurdsus – “Anname ära X suur arv tooteid, sest nende pakend on kahjustatud ja seda ei saa enam müüa”. Kui mõelda nüüd natuke müügiosakonna peale ja teha mõned lihtsad arvutused, siis selgub, et mõistlik on toode taaspakendada ja mitmesaja / mitmetuhande euro eest maha müüa. Ka kahjustatud pakendi tõttu hindade langetamine 5–10% võrra on kasulikum kui mitmekümne tuhande või isegi mitmesaja tuhande väärtuses tooteid avatud kile tõttu ära anda. Kerge huumoriga peaks suhtuma kampaaniatesse, kus Samsung jagab konkurendi, näiteks Apple’i tooteid. Varasematel aastatel tundis petuskeeme kergemini ära – algklassitasemel grammatika ja kirjaviisi järgi. Praegusel ajal on aga arenenud nii tõlkeprogrammid kui ka küberkurjategijad, kes mõnikord kasutavad usutavuse saavutamiseks ka tõlkebüroode teenuseid. Tuleks siiski meeles pidada, et suurettevõtted väärtustavad täiuslikku kommunikatsiooni, see toob neile rohkem kasutajaid (=kasumit), samas kui grammatika- ja loogikavead viiksid maine alla.
  • Tingimused? Võltsloosimiste puhul on ettevõtte ja/või loositava auhinna taustainfo üsna puudulik, samuti puudub konkreetsem info, miks loosimist korraldatakse (kas on tegu koolilõpu-, jaanipäeva- või jõululoosiga). Võltskampaaniate puhul jäetakse sageli täpsustamata, et millal loosimine üldse toimub, mis on osalemistingimused, kuidas valitakse võitjai(d) ning kuidas õnnelikega ühendust võetakse. Hasartmängudega seotud piirangute tõttu peab ettevõtja avaldama loosimiste ametlikud tingimused, aga ka korraldaja esindaja kontaktinfo, kelle poole küsimuste korral pöörduda. Võltsloosimiste puhul kuulutus ehk isegi mainib inimest, kes on asutusega seostatav ning keda legitiimsuse tõstmiseks mainitakse, kuid ametlikke reegleid ja kontaktinfot võltsloosimiste puhul ei leia.
  • Liiga uued leheküljed. Suurem osa tänapäeva sotsiaalmeediakanalitest on toiminud juba aastaid ning kõik enesest lugupidavad ettevõtted on seal ka juba aastaid esindatud. Näiteks leia Facebookis üles “Riigi Infosüsteemi Amet” ning vaata asutuse nime taga olevat sinist linnukesega ringikest. Sotsiaalmeediateenuse pakkuja kinnitab verifitseerimismärgisega, et kontoomaniku taust on üle kontrollitud ning leitud, et leht tõepoolest kuulub isikule või asutusele, kellena klient end sotsiaalmeedias esitleb.

Ekraanitõmmis Riigi Infosüsteemi Ameti Facebooki lehelt.

Veelkord Mercedese ja Samsung Galaxy S4 lehti vaadates on nüüdseks päris ilmne, et kumbki neist ei ole legitiimne ega kuulu tegelikult asutusele. Lehel allapoole kerides ilmneb, et leht on loodud alles hiljuti, kas nädal, päev või vahel vaid mõni tund varem.

Postitused minu profiililt

Google Chrome’i veebilehitsejale on saadaval laiendus “YouTube™ Ex”, mille abil aga pole raske genereerida youtube’i linkidega sarnanevaid FB postitusi (milles pole midagi ebatavalist). Kui nüüd kasutaja klikib mõnel videol, mille kirjeldus tüüpiliselt sisaldab vaid sõna “Video”,  suunab veebilehitseja ta ebaturvalisele lehele, kus mainitud laiendus sundpaigaldatakse. Sirviku väiksema turvataseme korral suudab see laiendus omastada ka Su Facebooki sisselogimisinfo ning hakata Sinu nimel postitusi tegema (eesmärgiga võita Sinu sõprade usaldus ning varastada ka nende sisselogimisinfo). Mõned samalaadsed veebilehitsejarakendused hakkavad kasutaja sõbralistile loopima linke, mis tuleva Sinu nimelt.

Võltspakkumised

IKEA svastika-laud

See IKEA svastika-kujulise laua müügikuulutuse reklaam on eriti peenelt disainitud, et uudishimulik kasutaja igal juhul lingile vajutaks. Enamasti suunatakse klõpsaja selliste skeemide puhul pahavara sisaldavatele linkidele, mille kaudu kas a) nakatatakse kasutaja arvuti või nutiseade pahavaraga või b) varastatakse kasutaja andmed (kas siis sisselogimisinfo või finantsinfo).

Vahel ei pea üldse kaugelt otsima ja 1000-kroonine A&O kaupluseketi kinkekaart tuleb lausa Facebooki kaudu kätte.

Võltsvideod

USAs leiti kaks väikest humanoidi.

Nagu võltspakkumiste puhul, nii ka võltsvideotel klõpsajad suunatakse pahavara sisaldavatele linkidele – eesmärk on nakatada seade pahavaraga või varastada kasutaja finantsinfo. Tihti valitakse video pealkirjaks, kirjelduseks või kuvatavaks pildiks midagi, mida uudishimulik kasutaja juba nii lihtsalt tähelepanuta ei jäta.

Vaadake kõik mu pilti!

Vahel võib silma jääda, et sõbralisti üks või teine liige on millegipärast sind enda pildil märkinud (mõnikord võib olla tehtud lausa video) või kirjutab mõni sõber ja soovitab parooli vahetada, sest oled väidetavalt ise ta kusagil märgistanud (tag‘i lisanud). Erinevalt teistest petuskeemidest toimib see skeem robotvõrgu sarnaselt ning selle eesmärk on varastada kasutajainfot. Lisaks kasutaja arvuti aeglasemaks muutumisele, võib kasutaja ka oma ajajoonel sellise trendi levimist täheldada. Meeles tuleks pidada, et selliste skeemide puhul on sotsiaalmeedia tavakasutajad teadlikumad ning teadvustavad ise, et tegemist on pahavara levitamisega. Küll aga ohustavad sellised skeemid vanemaid ja vähem turvateadlikke kasutajaid. Üks viis oma sõbralisti kaitsta on lülitada sisse iga märkimise eraldi kinnitamine, mis aitab vähendada pahavara levimist sõbralisti liikmetele.

Kas sa endast seda pilti temaga nägid??? – Inimeste üks suurimaid sotsiaalmeediaga seotud hirme on leida endast piinlikke pilte.

Bikiinipildid saavad eriti palju klikke.

Facebooki uued võimalused

Facebook, nagu ka paljud teised lehed ja keskkonnad, otsib aeg-ajalt beetatestijaid ja vabatahtlikke, et testida luusi võimalusi ja koguda infot uuenduste otstarbekuse ja äratasuvuse kohta. Ajaloost on teada, et kunagi ammu-ammu sai Facebook täielikult uue näo. Paljud kasutajad igatsevad selliseid muutusi kujunduses ka täna. Petturid kasutavad seda igatsust ettekäändena – näiteks lubatakse testida mõnda uut rakendust, funktsiooni, uut vaadet või naasmist vanale kujundusele.

Kes meist salamisi seda nuppu ei sooviks.

Lõpuks ometi pakub Facebook ka muud kujundust kui see tüütu sinine!

Piltidel pakutakse võimalust vaid loetud sekundiga kasutada edaspidi “Dislike” nuppu ja muuta lõpuks ometi oma Facebooki väljanägemist. Lubatud funktsioone kasutaja tegelikult nautida ei saagi. Küll aga avastab ohver, et pärast kolmanda osapoole pahatahtliku veebilehe külastamist kuvab nende veebilehitseja vahepeal mingeid kahtlaseid asju, arvuti on muutunud aeglasemaks ning sõbrad ja grupiliikmed kurdavad, et Sinult tulevad nüüd mingid imelikud postitused. Selle skeemi puhul kogub pahavara lisaks veel ka kasutajainfot, mille abil nakatada suuremat kasutajaskonda.

Usaldusväärne allikas

Usaldusväärse arvamusliidri kaasamine mõjub alati. Kui juba BBCWorld on just seda dieeti proovinud, siis mõjub see kindlasti:

Lõpuks ometi võtab ka BBC World oma kaaluprobleemi tõsiselt.

Kõik kaalulangetamise huvilised, kes soovivad dieedi kohta rohkem teada saada, peavad arvestama kahe asjaoluga. Esiteks pole sellises postituses näha, kuhu leheküljele see link lõpuks välja viib. Teiseks ei tea kunagi, mis seal lehel ees võib oodata. Tegelikult tuleks sõbrale, kes väidetavalt seda dieeti pidas, hoopis teada anda, et on viimane aeg oma ülevõetud kontot taastama asuda!

“Tahad teada, kes Sinu profiili vaatab?”

Tuletame meelde üht kunagist toredat igapäevakaaslast MSN Messengeri. Seal saatsid sõbrad mõnikord linke, kuhu infot sisestades ja sealsete kasutustingimustega nõustudes oli Sul võimalik näha, kes Su kasutajakonto on blokeerinud. Järjekordne näide sellest, kuidas uudishimu ajab klikkima. Kui MSN Messengeri puhul eelkõige kasutaja ise jättis kasutustingimused lugemata, siis tänapäeval asi enam nii roosiline pole – infokonksu kasutab nüüd pahavara. Tihtilugu on mängus veebilehitseja pahatahtlik laiendus või kahtlane nutiäpp, mille kaudu saadakse kätte kasutaja info ning asutakse tema nimel pahatahtlikku linki või viidet rakendusele edasi jagama.

Vaata, kes Sind iga päev vaadanud on!

RayBan

RayBani päikeseprillidega pildid, kus punasega on toodud uus ja vana hind, liiguvad lainetena ringi juba aastaid.

RayBani päikeseprillid vaid $24.88!

Oleme kõik näinud mõnda müügilehte, mis viib kasutaja välisele lingile. Seekord jäljendab väline link teenusepakkuja enda kodulehe või veebipoodi. Kaval! Lisaks rahakaotusele nakatub kasutaja arvuti pahavaraga. Selle skeemi halb iseärasus – see levib nakatunud arvutite ja mitteaktiivsete Facebooki-profiilide kaudu. Erinevalt ülalmainitud skeemidest levib see nii veebilehitseja laienduste kui ka nutitelefoni rakenduste kaudu, mis hakkavad Sinu profiili kasutades ülalnähtavaid postitusi tegema, unustamata neid kohandada vastavalt veebilehitsejale ja asukohariigile.

Teeni kodus miljoneid

“Eestist pärit miljonärist ema, kes teenib rohkem, kui ta kulutada jõuab”

Sarnaselt RayBani skeemile kuvatakse ka hõlptulupakkumisi vastavalt kasutaja asukohale ja vahel ka keelevalikule. Miks? Sest kui keegi saab rikkaks kusagil kaugel Ameerikas, siis vaevalt juhtub see minuga siin väikesel Eestimaal, näiteks Põlvas. Kuid ära muretse, küberkurjategijad mõtlevad kõigi peale ja kuvavad Sulle täpselt seda, mida Sa näha ja kuulda ihaldad. Kuid ka siin on motiivid erinevad. Osad kurjamid tahavad, et Sa neile mingi osa sissemaksuks teeksid (ja siis nad miskipärast haihtuvad), teisi huvitab Su kasutajainfo, kolmandad tahavad maagilise rakenduse kaudu saada ligipääsu Su telefonile, et seda ka teistega jagada. Neljandad tahavad Sind lihtsalt oma püramiidiskeemi liikmeks meelitada ja viiendad kõigest Su seadme pahavaraga nakatada.

Kodutöö-teemalised pettused on sama vanad kui Internet ise. Nüüd, kus kogu maailm on käe-jala ulatuses, ei pea Sa ju enam tavapärast töölkäimismudelit järgima ning saad lihtsa vaevaga teenida miljoneid ka kodust lahkumata. Või siiski mitte?

Kodus töötamise reklaame liigub kõikjal ja igas formaadis.

Mida siis teha?

Kõige kindlam kaitse oleks lõpetada mistahes sotsiaalmeedia kasutamine, kuid paljude jaoks on see tänapäeva maailmas juba vastuvõetamatu. Nii sotsiaalmeediat kui ka laiemalt kogu internetti kasutades tuleks meeles pidada järgmised kuldsed reeglid:

  • Vaata, kuhu Sa vajutad!
  • Usalda, aga kontrolli!
  • Sa ei näe, mis lühendatud URL-teenuse (tinyurl/ goo.gl jms) taga tegelikult on ning mida Sulle sealt tegelikult pakutakse!

Kuidas leida üles pahatahtlikud rakendused Facebookist ja Google Chrome’ist?

Kui sõbrad kurdavad, et Su Facebooki kaudu tulevad neile ebatavalise sisuga sõnumid või on nad märgistatud (tavaliselt mitukümmend inimest korraga) Sinu seinal olevatel Facebookist välja suunavatel videodel või fotodel, siis:

  1. esimese asjana vaheta ära Facebookis kasutusel olev parool,
  2. aktiveeri kaheastmeline autentimine,
  3. vaata üle, ega Sa pole kogemata paigaldanud pahatahtlikku rakendust omale Facebooki või veebilehitsejasse.

Kontrollimine Facebookis

Facebooki lisatud rakendusi saad kontrollida valides „Seaded“ ja seejärel „Rakendused ja veebilehed.“ Aktiivsete rakenduste all kuvatavad rakendused on sellised, mis on kas Facebooki-siseselt aktiivselt kasutusel või millesse sisselogimiseks oled kasutanud oma Facebooki kontot.

Rakenduste ja veebilehtede eemaldamiseks tuleb teha aktiivseks rakenduse nime kõrval olev kast ning valida „Eemalda.“

Tekstid ekraanipildil: Rakendused ja veebilehed. Active (2). Data Access Allowed /.../ Active Apps and Websites

Ekraanipilt Facebooki seadete lehelt

Lisaks on võimalik tagasiulatuvalt vaadata nii aegunud kui eemaldatud rakendusi. Aegunud rakendused tasub kindlasti üle vaadata, sest selles sektsioonis kuvatakse need rakendused, millesse Sa pole kaua Facebookiga sisse loginud. Need rakendused võivad endiselt Su andmetele ligi pääseda, sest oled neile kunagi ligipääsu lubanud.

Tekstid ekraanipildil: Rakendused ja veebilehed. Eemaldatud (12) Removed Apps and Websites.

Ekraanipilt Facebooki seadete lehelt

Pärast Facebooki lisatud rakenduste ülevaatamist võib turvalisuse huvides üle vaadata ka veebilehitsejasse lisatud rakendused.

Kui Sa oma seinal tehtud postitusi ise ei näe, kuid Su tuttavad on neist Sulle teada andnud, kontrolli Facebooki tegevuslogi (selle leiab samast menüüst, kus “Seaded”). Sealt saad ka tehtud postitused eemaldada.

Kontrollimine veebilehitsejas Google Chrome

Google Chrome’i lisatud rakendusi saab kontrollida, kui avad Settings – More Tools – Extensions (Seaded – Rohkem seadeid – Rakendused).

Menüüst on valitud "More Tools" ning sellelt avanenud lisaaknast "Extensions"

Ekraanipilt Google Chrome’i seadete menüüst

Kui leiad veebilehitsejasse lisatud rakenduste hulgast tundmatuid rakendusi, tuleks need kohe eemaldada. Selleks vali „Remove“. Kui Sa pole kindel, mis rakendusega on tegu, vali kontrollimiseks „Details“.

Extensions lehel on rakenduste nimekiri . Iga rakenduse juures on ikoon ning valikud "Details" ja "Remove".

Ekraanipilt Rakenduste nimekirjast veebilehitsejas Google Chrome

Kui Sul ei õnnestu kohe tundmatut rakendust eemaldada, kontrolli kõigepealt Chrome’i Task Manageri protsesse. Vali tundmatu rakenduse puhul “End task” ning seejärel eemalda tundmatu laiendus “Extentions” alt.

Google Chrome’i Task Manager

Petya või… NotPetya

Autor: CERT-EE

Petya lunavaraga nakatunud ostukeskus Kharkyvis.

27. juuni hommikul tabas maailma uus lunavaralaine. Praeguseks on nakatunud mitmete suurettevõtete süsteemid ning on teada, et pahavara levib pärast nakatumist ettevõtete süsteemides ülikiiresti. Esimesed nakatumised toimusid Ukrainas, kus teadaolevalt nakatus pahavaraga üle 12 500 tööjaama. Ööpäeva jooksul on tulnud teateid nakatumistest kokku 64 riigis, sealhulgas Eestis.

Riigi Infosüsteemi Ameti andmetel on Eestis asuvatest ettevõtetest pahavaraga nakatunud kaks Saint-Gobaini kontserni kuuluvat ettevõtet: Ehituse ABC ning üks väiksem tehas. Kolmapäeval kella 10.00 seisuga ükski elutähtsat teenust osutav ettevõte või riigiasutus küberrünnaku ohvriks langemisest ei ole teada andnud. Lisaks on hetkel häiritud Kantar Emori e-teenuste kasutamine, kuna firma otsustas kaitsemeetmena nakatumise vastu oma IT-süsteemid kuni levikumehhanismi tuvastamiseni sulgeda.

Teadaolevalt on tegemist Ransom:Win32/Petya lunavara uue versiooniga, mida praeguseks kutsutakse nii Petyaks kui ka NotPetyaks, kuna osade uurijate arvates on tegemist täiesti uue lunavara versiooniga. Tema tüvi on palju arenenum kui varemnähtud Petya lunavara oma.  Lunavara kasutab levimiseks mitut erinevat meetodit – USA riikliku julgeolekuteenistuse (NSA) sel kevadel lekkinud EternalBlue haavatavust, WMIC (Windows Management Instrumentation Command-line – Windowsi halduse käsurida) ja PSEXEC tööriistu. Seetõttu võivad ka korralikult uuendatud süsteemid nakatuda, kui asutuses pole rakendatud parimad turvapraktikad Windows domeeni kaitsmiseks ja kasutajakontode haldusel. Uuel lunavaral on sarnaselt WannaCryle ussi omadused, mis lubab tal nakatunud võrkude vahel lateraalselt liikuda. Lateraalne tähendab lihtsustatult öeldes, et ründe lähte- ja sihtkoht on samas võrgus.

Täiendus 29.6.2017: Lisandunud on uus info (Kaspersky LabComae Technologies), et tegemist võib olla pahavaraga Wiper, mis on loodud arvutite saboteerimiseks ja hävitamiseks. Pahavara käitub nagu tavaline lunavara, kuid pahavara lähtekoodist leiti, et sellele pole lisatud failide taastamise varianti ning pahavara eesmärk on failid jäädavalt kustutada.

Kohaletoimetamine ja paigaldus

Algne nakatumine paistab hõlmavat Ukraina maksuarvestustarkvara tootja M.E Doc toote MEDoc kasutajaid. Kuigi selle nakatumisvektori ümber liikus mitmeid spekulatsioone nii meedias kui ka infoturbeekspertide hulgas, sealhulgas Ukraina Küberpolitseis, puudusid selle ründevektori kohta konkreetsed tõendid. Microsoftil on praeguseks olemas tõendid, et mõned aktiivsed lunavaraga nakatumised said alguse legitiimsest MEDoc uuendusprotsessist.

All on jälgitud MEDoc tarkvara uuendusprotsessi telemeetriat (EzVit.exe), kus käivitatakse pahatahtlik käsurida, mis vastab täpselt teisipäeval, 27/06/2017, umbes kell 10.30 tuvastatud ründemustrile. Käivitusahela diagramm viib lunavara paigaldamisele ning see omakorda kinnitab, et EzVit.exe protsess MEDocist, siiani tundmatel põhjustel, käivitas järgneva käsurea:

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

Samasugust uuendusvektorit mainis ka Ukraina Küberpolitsei avalikus kompromiteerumisindikaatorite listis, mis hõlmas ka meDoc uuendajat.

Ainult üks lunavara, mitmed lateraalsed liikumistehnikad

Võttes arvesse uuele lunavara lisatud lateraalse liikumise võime, on terve võrgu nakatumiseks vajalik ainult ühe masina nakatumine. Lunavara leviku funktsionaalsus on kombineeritud erinevaid meetodeid kasutades, mille eesmärgid on:

  • kasutajainfo vargus või olemasolevate aktiivsete sessioonide taaskasutamine,
  • failijagamiste kasutamine nakatunud faili jagamiseks samas võrgus asuvate masinate vahel,
  • olemasolevate legitiimsete funktsionaalsuste ärakasutamine laengu käivitamiseks või SMB haavatavuste ärakasutamiseks vananenud tarkvara kasutavates masinates.

Lateraalne liikumine kasutajainfo varguseks ja kellegi teisena esinemiseks

See lunavara paigaldab kasutajainfo varastamiseks loodud tööriista (tavaliselt .tmp fail %Temp% kataloogis), mille koodil on teatavad sarnasused Mimikatziga ja mis on loodud nii 32-bit kui ka 64-bit versioonidena. Kasutajad logivad tihti sisse lokaalse administraatori õigustes kontoga. Kui lunavara käivitub administraatori õigustes, võib sellel sõltuvalt operatsioonisüsteemi versioonist ja rakendatud turvameetmetest õnnestuda mälust kätte saada autentimiseks vajalik info (paroolid, parooliräsid, Kerberos autentimispiletid). Seda infot kasutades võib omakorda olla võimalik saada ligipääs teistele samas domeenis asuvatele masinatele.

Pärast kehtiva kasutajainfo saamist skaneerib lunavara lokaalvõrku tcp/139 ja tcp/445 portidega ühenduste loomiseks. Eriline käitumine on reserveeritud domeenikontrollerite ja serverite jaoks. Lunavara proovib funktsiooni DhcpEnumSubnets() abil leida alamvõrgus kõiki DHCP liisingu saanud hoste. Juhul kui pahavara saab vastuse, proovib ta kopeerida kaugmasinasse binaari kasutades failiedastusfunktsionaalsust ja varastatud kasutajainfot.

Pärast seda proovib pahavara ennast kaugelt käivitada, kasutades kas PSEXEC või WMIC tööriistu. Lunavara üritab paigaldada legitiimse psexec.exe faili, mis on tavaliselt ümber nimetatud dllhost.dat nimeliseks failiks, pahavara enda sees asuvast varjatud ressursist.  Seejärel asub pahavara skaneerima lokaalvõrku admin$ kaustade leidmiseks, misjärel ta kopeerib ennast teistesse võrgus olevatesse arvutitesse ja käivitab vastselt kopeeritud pahavarabinaari kaugelt psexec abil.

Lisaks kasutajainfo kaadumisele (dumpimisele) püüab pahavara ka CredEnumerateW funktsiooni kasutades varastada kasutajainfot, mis on saadaval. Juhul kui kasutaja nimi algab “TERMSRV/” ja tüüp on seatud 1-le (generic), kasutab see antud kasutajainfot võrgus edasilevimiseks.

Lunavara kasutab ka Windows Management Instrumentation Command-line (WMIC) käsurida kaugketaste tuvastamiseks, millele ennast seejärel levitada, kasutades selleks NetEnum/NetAdd). See kasutab kas konkreetse kasutaja duplikaattokenit (olemasolevate sessioonide jaoks) või kasutajanime/parooli kombinatsiooni (legitiimsete tööriistade kaudu levimiseks).

Lateraalne liikumine EternalBlue ja EternalRomance haavatavusi kasutades

Uus lunavara suudab levida ka kasutada varasemalt paigatud SMB haavatavust CVE-2017-0144, laiemalt tuntud kui EternalBlue, mida kasutati ka WannaCry levitamiseks aegunud tarkvara kasutavatel masinatel. Lisaks kasutab Petya ära ka teist haavatavust CVE-2017-0145, laiemalt tuntud kui EternalRomance, millele on ka juba turvapaik olemas.

Petya lunavara puhul on täheldatud nende haavatavuste ärakasutamist SMBv1 pakettide genereerimise näol, mis on kõik XOR 0xCC krüpteeritud, selleks et neid haavatavusi rakendada:

Info mõlema haavatavuse kohta lekitas grupp nimega Shadow Brokers. Märkimisväärne on veelkord see, et mõlemale haavatavusele on Microsoft 14/03/2017 väljastanud turvapaiga: technet.microsoft.com/en-us/library/security/ms17-010.aspx ja support.microsoft.com/en-us/help/4013078/title.

Krüpteerimine

Lunavara krüpteerimiskäitumine olenev pahavara privileegide tasemest ja protsessidest, mis nakatunud masinal jooksevad. Pahavara kasutab selleks lihtsat XOR-baasil räsialgoritmi protsessinime osas ning kontrollib seda järgnevate räsiväärtuste osas, mida käitumismustrist välja jätta:

0x2E214B44 – kui masinas leitakse sellise räsinimega protsess, ei nakata lunavara MBRi.

0x6403527E or 0x651B3005 – juhul kui leitakse selliste räsinimedega protsessid ei teosta lunavara ühtegi võrguga seotud toimingut (nagu näiteks SMBv1 haavatavuse ärakasutamine).

Seejärel kirjutab lunavara otse master boot recordile (MBR) ning seab sisse süsteemi taaskäivituse. See loob ülesande masin 10–60 minuti pärast välja lülitada. Täpne aeg on saadakse (GetTickCount()) kasutades, näiteks:

schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST 14:23

Pärast MBRi edukat muutmist kuvab see alloleva võlts süsteemiteate, mis informeerib kasutajaid vigasest kettast ning annab infot võltskäideldavuse kontrollist:

Pärast taaskäivitust kuvatakse kasutajale juba allolev teade:

Lunavara üritab MBR koodi üle kirjutada vaid juhul, kui ta on omandanud kõrgeima privileegi (näiteks juhul kui SeDebugPrivilege on lubatud).

Lunavara proovib krüpteerida kõiki ketastel olevaid alloleva laiendiga faile kõikides kaustades, välja arvatud C:\Windows:

.3ds     .7z       .accdb .ai

.asp      .aspx    .avhd   .back

.bak     .c         .cfg      .conf

.cpp     .cs        .ctl       .dbf

.disk    .djvu    .doc     .docx

.dwg    .eml     .fdb     .gz

.h         .hdd    .kdbx   .mail

.mdb    .msg    .nrg      .ora

.ost      .ova     .ovf     .pdf

.php     .pmf    .ppt      .pptx

.pst      .pvi      .py       .pyc

.rar       .rtf       .sln      .sql

.tar       .vbox   .vbs     .vcb

.vdi      .vfd     .vmc    .vmdk

.vmsd  .vmx    .vsdx   .vsv

.work   .xls      .xlsx    .xvd

.zip

Erinevalt teistest lunavara liikidest ei tekita Petya/NotPetya failidele lisalaiendit, vaid lihtsalt kirjutab olemasolevad failid üle. Krüpteerimiseks genereeritud AES võtmed on masinapõhised ning need kasutavad ründaja 800-bit suurust RSA avalikku võtit. Pärast krüpteerimist kuvatakse kasutajale README.TXT fail sama tekstiga, mis kasutajatele ekraanilgi kuvatakse. Lunavara tühjendab System, Setup, Security, Application event logid ning kustutab NTFS info.

Kuidas Windows Defenenderi abil leida?

Windows Defender Advanced Threat Protection (Windows Defender ATP) on sissetungimise järgne lahendus, mis pakub modifitseeritud tuvastamist ilma signatuuride uuendamiseta. WDATP sensorid monitoorivad ja koguvad jooksvalt lõpp-punktidest telemeetriat ning pakuvad masinõppe lahendust tavalistele lateraalsetele liikumistehnikatele ja tööriistadele, mida see lunavara kasutab, nagu näiteks PsExec.exe käivitamine teise failinimega ja “perfc.dat” faili loomine teistes kaustades. Ilma lisauuendusteta võib nakatunud masin näha välja nagu alloleval pildil:

Teine alert keskendub lunavara dll faili jagamisele võrgus ning see annab infot Kasutaja konteksti kohta. Allolev kasutaja on kompromiteeritud ning teda võib pidada esimeseks nakatunuks:

Kuidas ennast kaitsta?

Hoia oma Windows 10 süsteeme ajakohastena, sest see tagab Sulle ka ajakohased kaitsemeetodid. Lisakaitsena lubab Windows 10S ainult paigaldada rakendusi, mis pärinevad Windows Store rakendusest, mis mainitud operatsioonisüsteemi kasutajatele omakorda lisakaitset pakub.

Lisaks soovitame veenduda, et on tehtud järgmised uuendused ja toimingud:

Lisalugemist leiate allolevatelt veebilehtedelt:

ID-kaardi tarkvara uueneb

Autor: Anto Veldre, RIA analüütik

Neil päevil avalikustatakse uus väljalase (reliis) ID-kaardi tarkvarast. Tegemist on regulaarse uuendusega, kus lisaks pisiparandustele leidub ka mõningaid päris uusi omadusi ja võimalusi. Umbes nädala jooksul teeb ID-kaardi tarkvara kasutajale tema arvutis ettepaneku, et oleks aeg uuendused alla laadida. Entusiastid saavad reliisi kohe ise alla tirida aadressilt installer.id.ee.

Vaade 4K ekraanilt Philips 288P6

Lühikokkuvõte olulisimast

  • 4K monitoride peal paistavad haldusvahendi ja Digidoc3 aknad nüüd normaalsuuruses. Monitoride lahutusvõime uueneb tänapäeval kiiresti ja uskuge või mitte, arendajatel tuli terve teek välja vahetada, et haldusvahendi aken liiga kribuks ei muutuks.
  • kaasa tuleb TeRa rakendus – riist vanade SHA-1-põhiste .ddoc digiallkirjade ületembeldamiseks. Allpool pikemalt.
  • Olulised täpsustused eritüübiliste allkirjade kehtivuse ja kasutuspiirangute kuvamisel. Allkirja kõlblikkuse tasemeid osutatakse nüüd värviga. Allpool pikemalt.
  • Läti vormingus allkirjadega saab Digidoc3 hakkama oluliselt paremini kui enne. Hurraa!

Lätil on rahvusvahelise .asice kõrval kasutusel ka veel omaenda edoc-vorming.

Reliisiga kaasatulevate muudatuste täielikku nimekirja saab lugeda siit.

Allkirjaredelist

Vanasti oli Eestis elu lihtne – eksisteeris üksainuke jagamatu digiallkiri. Kõik teadsid, mis see on või kuidas selle kehtivust määratleda.

Siis aga, eelmise paari aasta jooksul, jõudis Euroopa Liit meile järele ning kehtestas eIDAS määruse. Mitte kõik riigid ei lenda e-allkirja mõttes stratosfääris, mõnel on hoopis tagasihoidlikumad allkirja andmise vahendid. eIDAS sätestab allkirjadele neli võimalikku (kvaliteedi)taset. Allkirjade tasemeid oleme ka varem käsitlenud siin ja seal, selle pisinüansiga, et SE237 nimeline eelnõu on vahepeal Riigikogus ära tembeldatud ning muutunud E-identimise ja e-tehingute usaldusteenuste seaduseks (EUTS).

e-allkirjade tasemed. Autor: Anto Veldre

Lühikokkuvõte: e-allkirju on eIDASe järgi nüüd neli kategooriat (tegelikult pigem kolm asjalikku kategooriat ja siis lisaks veel “muu”). Täna ronime redelist allasuunas ja alustame kõige ülemisest ja tähtsamast pulgast:

1. QES (Qualified Electronic Signature) – e-allkirja kõrgeim tase – antud turvalises seadmes (nagu ID-kaart või m-ID) paikneva kvalifitseeritud sertifikaadiga (see peen väljend tähendab, et nii kaardiomaniku kui väljastaja taust on kontrollitud). Lisaks peab isikusertifikaatide väljanägemine vastama ELi tehnonõuetele (mingi asjalik algoritm ja vorming). Kõige tipuks peab allkirja andmise seade (tõuken, volitustõend) ise olema korralikult uuritud ja kõlbulikuks tunnistatud. Kas kõik tundsid ära – see ongi meie ID-kaart!

2. AdES/QC – Täiustatud (Advanced) e-allkiri koos kvalifitseeritud sertifikaadiga (Qualified Certificate). Kontrollitud olgu nii allkirjaomaniku taust (seda teeb meil PPA) kui ka sertifikaadiväljastaja (meil SK) taust. Ikkagi peab isikusertifikaatide väljanägemine vastama ELi tehnonõuetele (mingi asjalik algoritm ja vorming). Enamik ELi allkirju kuuluvad just siia gruppi, SmartID seni veel ka. Selle grupi krüptograafiakandja ei pruugi olla läbi uuritud ega ära sertifitseeritud. Vastik legaalprobleem QS allkirjade juures tekib ELi nõudest, et selsamal hetkel, kui meie riigisektor kohalikke QS e-allkirju aktsepteeriks, tekiks riigil automaatselt kohustus aktsepteerida ka kõigi teiste ELi riikide QS-taseme allkirju – ja neid on meeletu kogus.

3. AdES (Advanced Electronic Signature) – kõige nirum, kuid siiski veel mõnevõrra asjalik e-allkirja tase. Taustu ega riistu eriti ei kontrollita, üksnes sertifikaat peab ELi tehnonõuetele vastama.

4. Kõige madalam tase, ehk “Muuuuu!”  Ei mingeid nõudeid. Näiteks Telia mehhaaniku nühvliekraanile krihvliga antav omakäeline allkiri kuulub just siia gruppi.

Terminoloogia

Koll on peidus seal, et kui varem kasutati ühtainukest terminit – digiallkiri, siis nüüd on termineid mitu:

e-allkiri – ükskõik missugusesse nelja gruppi kuuluv ilmastikunähtus;
digiallkiri – QES (ehk siis kõrgeimale) tasemele vastav e-allkiri. Juriidilist selgitust vt EUTS §24.

Kasutusknihvid

Nagu aru saite, digiallkiri ja e-allkiri on mõnevõrra erinevad asjad. Esimene sisaldub teises.

Riigisektor reeglina muid e-allkirju ei tunnista, kui juba kasutusel olevad digiallkirju (QES ehk kõrgeim tase, võrdsustatud omakäelise allkirjaga). Tulevikus ei saa midagi välistada, aga hetkel pole silmapiiril lahendusi, mida saaks riik pruukida ilma umbes 100 seaduseteksti muutmata ning sunduseta tunnistada ELi allkirjade märkimisväärset paljusust. Samas, riigil ja kohalikel omavalitsustel on protsesse, kus saab suhelda ka üldse allkirja (saati e-allkirja) kasutamata: nt võib saata e-kirja või faksi. Samas kui allkirja juba nõutakse, siis ikkagi üksnes digiallkirja.

Vilgas erasektor aga otsib täpsemaid optimume – näiteks SmartID näol. SmartID täna vastab AdES/QC tasemele ja kui neil õnnestub teatavad hindamisprotseduurid läbida, pole välistatud, et nad aasta-paari jooksul tõusevadki QES tasemele.

Lihtne, kas pole?!

Ole DigiDoc3 kasutamisel hoolas!

Kokkuvõttes – kasutaja elu läks just oluliselt keerulisemaks. Enam ei piisa allkirja kehtivuse tuvastamisest. Kehtib küll, aga tase pole see, järelikult näiteks riigiasutusega suhtlemiseks ei sobi.

QES ehk Tõeline Digiallkiri (TM) näeb välja selline (märka rohelist värvi! – on kehtiv – ning tea, et vaid see allkiri on omakäelisega võrdsustatud:

Kui vajutada menüüpunktile “Vaata üksikasju”, siis on Digidoc kõigega väga rahul, mingeidki virinaid allkirja kvaliteedi üle ei ilmne:

Seevastu näiteks Smart-ID abil antud e-allkiri näeb DigiDoc3 utiliidis välja pisut teisiti (märka KOLLAST värvi!):

Maailma üks esimesi SmartID abil antud allkirju

Allkiri on igati kehtiv (roheline värv), ent kuivõrd Smart-ID alles astub samme, et QES tasemele sertifitseeruda, siis on KOLLASEGA lisatud sõna “PIIRANGUD“. Vajutades menüüpunktile “Vaata üksikasju” on võimalik piirangu olemust lähemalt uurida:

Seega, kollast nähes peaks kasutaja aru saama, et kusagil nurga taga on veel mingi aga. Menüüpunktil “Vaata üksikasju” klikkides avaneb uus aken, kus seletatakse ära, mis täpselt on konkreetse aga tähendus.

SmartID puhul peitub “piirangu” põhjus asjaolus, et seda pole veel jõutud QES tasemele sertifitseerida, mõne teise riigi mõne teise allkirja puhul võib piirangu põhjuseks olla midagi muud.

Jäta meelde!: riigiasutustes kõlbab endiselt üksnes QES ehk digiallkiri ehk see allkiri, mida näidatakse roheliselt. Samas, kui piiranguga allkirja on andnud ELi muu riigi kodanik, siis on juristide otsustada, mida säärase e-allkirjaga Eesti oludes üldse peale hakata – kas aktsepteerida või mitte.

Usun, et ELi eIDAS-süsteemile üleminek põhjustab kasutajates alul parasjagu segadust. On ju meil nüüd ühe normaalse digiallkirja asemel tervelt neli erinevat taset. Praktikas on vaid eIDASe allkirjaredeli kahel ülemisel tasemel Eestis mingi kasutusala. Ometi usun, et igaüks saab pisukese harjutamise peale need tasemed selgeks, nii et marss harjutama!

Lõpuks, leidub allkirju, mille puhul ei räägita enam mitte piirangust, vaid suisa hoiatusest. Enamasti on tegemist juhtudega, kus mõni arendaja on eksinud tehnilise vormingu suhtes. Hoiatusega allkirja kohates tuleks konsulteerida spetsialistiga – näiteks kirjutada aadressil help@ria.ee.

TeRa rakendus

TeRa (ehk Tembeldamise Rakendus) on mõeldud hapuks minevate digiallkirjade karjakaupa ärapäästmiseks Sinu arvutis.

Mure iseenesest tuleneb asjaolust, et Eestis on digiallkiri kasutusel juba 15 aastat. Esimesed digiallkirjad põhinesid räsialgoritmil SHA-1, mis tänaseks on räbalateks kuhtumas. Iseenesest pole siin midagi valesti – e-riigis tulebki arvestada, et algoritmid pidevalt täiustuvad ja et vanad algoritmid pole enam nii murdmiskindlad. Nii see hakkabki tulevikus olema, et iga n aasta tagant tuleb krüptograafialahendusi uuendada. Aga et see juhtus alles esimest korda, siis konservatiivid alles tõrguvad säärast perspektiivi uskumast…

Muide, ka SHA-1 räsialgoritmi kuhtumisest oleme varem kirjutanud.

Otse öeldes, kui Sina ei otsi üles oma olulisi digiallkirju ega tembelda neid TeRa abil üle mõne nüüdisaegsema algoritmiga, siis võib tulevikus tekkida sekeldusi. RIA itimehed ei saa küll ühtki allkirja lambist kehtetuks tunnistada, kuid kui tekib vaidlus, allkirjastatud dokumentidele “tekivad” erinevad sisud, siis neist õige tuvastamiseks võib juristidele kuluda väga palju aega ja raha.

Uued räsialgoritmid on murdmiskindlamad ja annavad eelmistest pikema väljundi

TeRa on mõeldud kodukasutajale oma hapuksminevate SHA-1 algoritmil põhinevate digiallkirjade päästmiseks. Rakendus tuleb käima panna ning ta otsib ise arvutist üles kõik vananevad digiallkirjad ning pistab need uude, krüptograafiliselt murdmiskindlasse konteinerisse (mis, hmm, loodetavasti peab vastu järgmised 10 aastat).

Vajadusel võib lugeda TeRa kasutusjuhendit.

Asutustele ja firmadele, kus vorbitakse sadu tuhandeid digiallkirju, kujuneb ületembeldus parajaks pähkliks, ent pole kahtlust, et nad mainituga hakkama saavad. Ühtlasi on asutustele loodud TeRa käsurearakendus.

TeRa protsessi voog arhitektuurinõukogu ajalooliselt slaidilt, BDOC asemel täna tegelikult moodustatakse juba ASIC-S vormingus fail. Teinegi oluline muudatus: DDOC faile tegelikult ei kustutata, need jäävad kasutajale kenasti alles.

Mis kuupäevaks peaksid kodused allkirjad saama üle tembeldatud? Hetkel hindab RIA, et 1. juuliks 2018. Ent ütleme ausalt välja, kui mõni vahepeal ilmunud krüptograafiline uuring SHA-1 algoritmi päris ribadeks kisub, eks siis tuleb ka riskid uuesti ümber hinnata.

Kartaago hävitamisest

Ehkki alljärgnev pole otseselt tänase päeva teema, palun mine ja uuenda ühtlasi ära ka oma sertifikaadid ID-kaardi sees. Nimelt, väga suur kogus sertifikaate on säärased, mida alates 1. juulist 2017 enam uuendada ei saa.

Kui jätad oma sertifikaadid enne 1. juulit uuendamata, tekib Sul risk, et mõned internetisirvikud enam ei soovi Sinu ID-kaardiga koostööd teha või Sind ei lasta sääraste sertifikaatidega enam mõnesse olulisse e-teenusesse sisse.

Märka hüüumärki!

Kui jätta 1. juuliks oma sertifikaadid uuendamata, siis küll midagi fataalset ei juhtu (ei võeta valimisõigust kelleltki ära vms) ja PPA teenindussaalist saab alati uue ID-kaardi, kuid paraku juba üldises järjekorras ja raha eest.