Author Archives: ria

Suuremahuline õngitsuskampaania sihib Eesti ettevõtteid

12.05.2022

Viimastel päevadel on mitmed ettevõtted teatanud RIA-le, et nad saanud oma koostööpartneritelt e-kirju, mis viivad peale klõpsates lõngitsuslehele. E-kiri saadetakse välja ehtsalt meiliaadressilt. See tähendab, et koostööpartneri meilikonto on kompromiteeritud ehk kurjategijate kontrolli all ja seda kasutatakse õngitsuskirjade saatmiseks. Õngitsuse esmane eesmärk on saada kätte töötajate kasutajatunnused ja paroolid, et nende abil uusi kontosid üle võtta ja järjest uusi õngitsusi saata ning levida. CERT-EE-le teadaolevat sai üks suur Eesti ettevõte taolisi õngitsusi kümnekonnalt koostööpartnerilt, kellest ainuüksi ühe kaudu oli juba läinud liikvele tuhatkond õngitsuskirja. Nendest lõviosa ei saavuta oma eesmärki, aga piisab vaid mõnest õngeminejast, et kurikaelad saaks kiiresti oma haaret laiendada.

Kuidas õngitsust ellu viiakse?

  1. Koostööpartneri meiliaadressilt tuleb kiri, mis teavitab, et saatja on saajaga jaganud faili

Vajutades Open nupule, suunatakse kirja saaja legitiimsele Adobe leheküljele, millelt avaneb järgnev vaade

Kui vajutad Access Document, suunatakse lõplikule õngitsuslehele, mis palub end sisse logida

Sisestades oma kasutajatunnuse ja parooli, liiguvad need automaatselt kurjategijatele, kes võtavad konto enda kontrolli alla ja saadavad sealsetele kontaktidele sadu uusi analoogseid õngitsusmeile. Nii on võimalik lühikese aja jooksul tekitada endale võrgustik üle võetud meilikontodest, mille kaudu juba tõsisemaid rünnakuid sooritada.

Seda tüüpi õngitsused on edukad, kuna kasutatakse tegelikke meiliaadresse ja legitiimseid keskkondi. Sestap ei ole selle õngitsuslaine saajatel ilmselgeid ohumärke lihtne leida. CERT-EE soovitab kahtlustäratava kirja saajatel käituda järgmiselt:

  1. Mõtle rahulikult, kas sa ootad kirja saatjalt mõne faili jagamist. Igaks juhuks küsi koostööpartnerilt üle, näiteks telefoni teel, kas ta päriselt ka saatis selle e-kirja.
  2. Kahtluse korral soovitame kirja edastada cert@cert.ee. CERT-EE aitab tuvastada, kas tegemist on pahaloomulise kirjaga või mitte.

Kaks videovalvekaamerate kriitilist turvanõrkust ohustavad kaamerate kasutajaid

Nimetus:  CVE-2021-33044
Turvanõrkuse riskiskoor: 9.8/10 [1]

Nimetus: CVE-2021-33045
Turvanõrkuse riskiskoor: 9.8/10 [2]


Taust

Viimastel aastatel on mitmetes maailma meediaväljannetes kajastatud küberintsidente, mis viidi ellu kasutades kurjategijate kontrolli all olevaid IoT- (Internet of Things) seadmeid, sh videovalvekaameraid[1] [2]. IoT-seadmed on väiksemad internetti ühendatud seadmed nagu näiteks kaamerad, nutilambid, nutitelerid, kõlarid, termostaadid jms [3]. Selliseid nutikaid lahendusi kasutatakse üha rohkem[4]. Sageli on need mitmete turvanõrkuste tõttu ahvatlevaks sihtmärgiks küberründajatele.

2021. aasta sügisel avalikustati Dahua videovalvekaameraid mõjutavad kriitilised turvanõrkused CVE-2021-33044 ja CVE-2021-33045. Need võimaldavad ründajal parooli teadmata haavatavate kaamerate haldusliidesesse lihtsalt ligi pääseda. Nõrkuste ärakasutamiseks on ründajale vaja, et haavatava seadme haldamiseks mõeldud keskkond oleks internetist kättesaadav või et tulemüüri taga oleva seadme haldusliidesele oleks tehtud pordisuunamine. Pahalane saab sellisel juhul haavatava seadme haldusliidese kompromiteerida ja kasutada seda ära vastavalt enda eesmärkidele. Muuhulgas on tal võimalik jälgida kompromiteeritud kaamera videopilti, koguda selle abil tundlikku informatsiooni (paroole, ärisaladusi vms), kasutada kogutud informatsiooni väljapressimiseks või liita kompromiteeritud seade robotvõrgustikuga, mille abil panustab seade omaniku teadmata enda ressurssi teenusetõkestusrünnete sooritamiseks teiste sihtmärkide vastu.  

Mõju Eestis

2022. aasta 10. mai seisuga on Riigi Infosüsteemi Ameti analüüsi tulemusel Eesti küberruumis ligi poolteist tuhat Dahua seadet, mis on internetist nähtavad. CERT-EE tuvastas, et ligi 13% seadmetest on endiselt potentsiaalselt vähemalt ühe turvanõrkuse vastu haavatavad. CERT-EE on teavitused võimalike haavatavate seadmete kohta edastanud vastavatele osapooltele, et nõrkused paigataks. Seni ei ole CERT-EEle teada ühtegi kuritarvitamise juhtumit. 

Turvanõrkuste abiga on ründajal potentsiaalselt võimalik haavatavad seadmed üle võtta ja kasutada neid ülalnimetatud pahaloomuliste tegevuste sooritamiseks. Arvestades, et avalikult on kättesaadavad erinevad tööriistad nõrkuste ärakasutamiseks ja nende kasutamine on suhteliselt lihtne, kujutavad need haavatavused potentsiaalselt ohtu mõjutatud seadmete omanikele ja ka teistele kasutajatele (kompromiteeritud seadmeid saab kasutada näiteks teenusetõkestusrünnete sooritamiseks). Lisaks sellele võib intsidendi korral tegu olla ka GDPRi nõuete rikkumisega. Tulenevalt menetluse käigust võib rikkumise korral seadme omanikku oodata rahatrahv.

Turvanõrkuste olemus

Mõlema turvanõrkuse puhul on kasutusviis ja saavutatav tulemus sarnane. Turvanõrkuste ärakasutamiseks tuleb ründajal saata haavatava seadme suunas spetsiaalne andmepakett. Piltlikult öeldes saab ründaja kasutada võtit, mis kõik talle nähtavad haavatavad videokaamerate haldusliideste „uksed“ avab.  

CVE-2021-33044 turvanõrkuse ärakasutamine on tehtud seejuures väga lihtsaks, kuna selle jaoks on avalikult kättesaadav brasuerilaiendus. Ründajale piisab vaid külastada haavatava Dahua videokaamera haldusliidese sisselogimislehekülge ja klikata brauseris vastava laienduse nupule. Selle tagajärjel on võimalik liidesesse ilma autentimata ligi pääseda. CVE-2021-33045 haavatavuse puhul ei ole sellist laiendust veebilehitsejatele loodud, kuid ründamiseks piisab samuti spetsiifilise andmepaketi saatmisest haavatava seadme suunas. 

Millised seadmed on haavatavad?

2021. aasta 15. novembri seisuga on tootja hinnangul vähemalt ühe turvanõrkuse vastu haavatavaid seadmeid ja tarkvaraversioone palju. Tootja on haavatavad seadmed ja nende versioonid koos paikadega välja toonud järgneval veebileheküljel: https://www.dahuasecurity.com/support/cybersecurity/details/957

Vastumeetmed

Haavatavate seadmete haldajatel tuleb lähtuda tootjapoolsest informatsioonist ja uuendada seadmete tarkvara. Tootja juhendi, kuidas Dahua seadme mudelit ja versiooni tuvastada, leiate siit. Samuti tuleks lisaks seadmete uuendamisele piirata haldusliidese kättesaadavust, rakendades IP-põhist piirangut (nt ACL reeglitega) või kasutades VPNi. 

RIA nõuanded:

  1. Veenduda, et haldusliidese kasutajad ei kasutaks nõrku, korduvkasutatavaid või vaikimisi tootja poolt seatud paroole. Kuigi parooli tugevus ei aita siin ohuhinnangus mainitud konkreetsete turvanõrkuste vastu, kompromiteeritakse sageli videovalvekaameraid ja teisi IoT-seadmeid just seetõttu, et haldusliidese kasutajad kasutavad nõrku, korduvkasutatavaid või vaikimisi seatud paroole, mida on ründajal kerge ära arvata. 
  2. Võimalusel luua kaamera haldamiseks unikaalse kasutajanime ja tugeva parooliga uus kasutaja ning deaktiveerida vaikimisi seatud administraatori konto. See vähendab tõenäosust, et jõurünnete jooksul kasutatavad levinud kasutajatunnused (nt. admin/admin, administrator/admin) toimiksid. 
  3. Soovitame kaaluda võrgu segmenteerimist, kui see on võimalik ja seda ei ole juba tehtud. Selle meetme abil vähendatakse riski, et kaamera/kaamerate kompromiteerimise korral oleks ründajal potentsiaalselt võimalik mõjutada ka teisi seadmeid.
  4. Võimalusel rakendada kaamerale/kaameratele automaatne uuendamine. Kui see ei ole võimalik, siis tuleks luua kindel uuendamisprotseduur (vähemalt kord kuus veenduda, kas tootja on väljastanud uuendusi – kui jah, siis need installeerida).
  5. Teatud juhtudel võib intsident põhjustada isikuandmetega seotud rikkumise. Sel puhul tuleb sellest teavitada ka Andmekaitse Inspektsiooni (täpsem infomatsioon siit). Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist. 
  6. Intsidendi kahtluse korral soovitame ühendust võtta CERT-EE-ga, kirjutades nende meiliaadressile cert@cert.ee
  7. Soovitame tutvuda ka Andmekaitse Inspektsiooni teabelehega, mis käsitleb nõudeid videovalve korraldajale.

[1] https://duo.com/decipher/mirai-based-botnet-infects-vulnerable-surveillance-cameras

[2] https://firedome.io/blog/smart-camera-manufacturer-recall-mirai-iot-malware-attack/

[3] https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/

[4] https://dataprot.net/statistics/iot-statistics/

[5] https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/

[6] https://dataprot.net/statistics/iot-statistics/

Valmis esmakordne ülevaade Eesti digiriigi ajaloost

Majandus- ja kommunikatsiooniministeeriumi, Riigi Infosüsteemi Ameti ning Ernst & Young Balticu koostöös valmis ülevaade Eesti digiriigi ajaloo kujunemisest, mis talletab digiriigi võtmetegijate mälestusi perioodil 1991-2016. Kokkuvõte toob esile intervjuudest välja koorunud kesksed teemad, õppetunnid ja hinnangud ning pakub välja esialgse periodiseeringu digiriigi ajaloost.

„Digiriik on tõenäoliselt Eesti kõige tuntum bränd. Ometi on digiriigi kujunemislugu uuritud napilt,“ tõdeb Lõuna-California Ülikooli ja Tartu Ülikooli lektor Aro Velmet, kes oli üks intervjuude läbiviijatest ja analüütilise kokkuvõtte koostaja.

Majandus- ja kommunikatsiooniministeeriumi tellimisel ja Riigi Infosüsteemi Ameti toetusskeemi koordineerimisel tegi Ernst & Young Baltic 2021. aasta juunist detsembrini kokku 60 intervjuud Eesti digiriigi kujunemisel võtmerolli mänginud inimestega. Kokku salvestati ligi 65h videomaterjale, mis anti üle rahvusarhiivile. Intervjueeritud esindasid eri elualasid ja valdkondi ning tegutsesid neis erinevatel aegadel. Ühelt poolt oli eesmärk katta võimalikult palju erinevaid digiriigi lahendusi, teisalt taotleti võimalikult mitmekesist vaadet toimunule eri nurkadest. Neist kriteeriumidest lähtudes valiti intervjueeritavate hulka eri ametiastmetel ja eri funktsioonides töötanud inimesi: visionääre ja poliitikuid, ametnikke ja juriste, insenere ja ettevõtjaid, süsteemide rakendajaid, kasutajaid ja turundajaid.

Videoid saab näha filmiarhiivi infosüsteemist: http://www.eha.ee/fa/public/index.php. Pealkirja otsingusse tuleb panna „digiriigi“ või tootja otsingusse „Riigi Infosüsteemi Amet“. (Aprillis avaneb filmiarhiivil uus visuaalsem ja nutiseadmesõbralikum kasutajaliides aadressil meediateek.ee.)

Intervjuude põhjal koostas Aro Velmet analüütilise kokkuvõtte „Digiriigi kujunemine 1991-2016″, mis toob esile kesksed teemad ning pakub välja esialgse periodiseeringu digiriigi ajaloost. Aruanne rõhutab digiriigi ajaloo dünaamilisust: 25 aasta jooksul on digiriigi institutsioonide kujunemist suunanud tegurid korduvalt muutunud, paljude osalejate hinnangul on liigutud stiihiliste, üksikute visionääride juhitud ja eelarveliselt kasinate “põlve otsas tehtud” ettevõtmiste juurest institutsionaliseeritud, suurte eelarvete ja bürokraatlikult keerukate süsteemide ehitamiseni, mille vahele on jäänud veel mitu etappi.

Teine rõhuasetus on erinevate sektorite koostööl: suur osa digiriigi komponente, millest kõige sagedamini kõlanud näited on ID-kaart ja digitaalne autentimine, on loodud avaliku ja erasektori, eriti pankade ja telekomide, koostöös.

Kolmandaks fookuseks on digiriigi loojate erinevad ja teinekord vastukäivad motiivid: digitaalsete avaliku sektori lahenduste loomise eesmärgina võidi tajuda igapäevatöö lihtsustamist (n-ö ametniku vaade), teenuse kasutajatele mugavama ja kiirema kasutajakogemuse pakkumist (n-ö inseneri vaade), aga ka demokraatliku ühiskonna arendamist ja riigielus kaasalöömise võimaluste suurendamist (n-ö visionääri vaade).

Viimaks käsitletakse digiriigi mõiste sattumuslikkust – peaaegu kõik intervjueeritavad tõid välja, et Eestis puudus plaan e-riigi, infoühiskonna või muu taolise katussüsteemi ehitamiseks, vaid neid nimetusi hakati kasutama tagantjärele paljude eri põhjustel ja eri dünaamikatega tekkinud süsteemide kirjeldamiseks.

Digiriigi ajaloo etapid

1991-1995 – üleminekuaeg
1996-2001 – institutsionaliseerumine
2001-2010 – digiriigi kõrgaeg
2010-2016 – laienemine ja kindlustamine


Õppetunnid ja hinnangud

Intervjuude lõpus paluti küsitletutel tuua välja mõned õppetunnid digiriigi esimesest 25 aastast, mida võiks tulevikus arvesse võtta.

Vabadus tegutseda

Korduvalt toodi välja varajase digiriigi perioodil eksisteerinud vabadust, mis haaras nii tellijaid kui ka arendajaid. Riik julges ette võtta pretsedendituid arendusi ning anda arendajatele võrdlemisi vabad käed nende elluviimisel. Probleemide tekkimisel oldi valmis neid lahendama kiirete otsustega ning vigade tegemist peeti arendusprotsessi loomulikuks osaks, mitte tingimata läbikukkumiseks.

Inseneride mõtteviis

Rõhutati insenermõtlemise rohkust nii avaliku kui ka erasektori poolel. See tegi võimalikuks eri poolte lihtsama läbikäimise (targa tellija fenomen) ning lihtsustas poliitiliste konfliktide lahendamist, kuna usaldati inseneride hinnanguid eri lähenemiste võimalikkusele, turvalisusele jmt. “Kui insenerid ütlesid, siis seda tehti,” nagu võttis oma intervjuus kokku Priit Alamäe.

Oskamatus karta

Kuna nii riigil kui ka arendajatel puudusid kogemused suurte süsteemide loomisega, siis ei osatud veel karta erinevaid komistuskive ja probleeme. See omakorda võimaldas ette võtta ambitsioonikamaid projekte ning omandada nende elluviimisel väärtuslikke kogemusi, isegi kui nende käigus tehti vigu või kui need lõpuks ei osutunud täpselt sama säravaks kui hankes ette nähtud oli. Selle protsessi käigus jõuti ka ühe digiriigi suurema tugevusena välja toodud omaduseni – iteratiivsuseni. Ülimastaapsete, pikalt ette planeeritud projektide asemel oldi valmis hakkama otsast väiksemaid tükke tegema ja siis töö käigus õppima.

Läbipõimunud kogukond

Asjaolu, et enamik ametnikke, arendajaid ja insenere tundsid üksteist, lihtsustas oluliselt koostööd ja läbikäimist. Paljud küsimused oli võimalik ära lahendada mitteformaalsetes vestlustes, saunaõhtutel, koolikaaslaste omavahelise läbikäimise käigus. Teisalt, ka riigistruktuurid olid vähemalt digiriigi algusperioodil piisavalt õhukesed, et käsuliine pidi jooksev suhtlus võis toimuda üsnagi mitteametlikult. “Eestil on olnud paindlikkust ja kiiret otsustusvõimet – Aare Lapõninist peaministrini on kolm-neli inimest,” tõdes üks intervjueeritavatest Marek Helm.

Avaliku ja erasektori koostöö

Kõige rohkem muutunud trendina toodi välja koostöövalmidust. Varajase digiriigi puhul rõhutati pea iseenesestmõistetavat koostööd avaliku ja erasektori vahel. “Pole tähtis kas sa oled avalikust või erasektorist, kui sa oled normaalne inimene, siis saab sinuga asju ajada,” tõdes intervjuus Linnar Viik. Taolist suhtumist võrreldi sageli 2010ndate suurenenud umbusuga, sagenenud vaidlustega hanketulemuste, vastutuse jaotamise jmt üle ning avaliku sektori suurenenud rolliga digiühiskonna arengu juhtimisel. Varajase perioodi koostöö allikatena toodi välja ühelt poolt riigimehelikkust, teisalt aga ka pragmatismi – üleminekuaja väheste vahendite tingimustes oli sektoriteülene koostöö sageli lihtsalt ainuvõimalik viis paljusid arendusi teostada.

Kasutajakeskne mõtteviis

Eri perioodidel tegutsenud intervjueeritud rõhutasid läbivalt, et “IT on ainult vahend” (Imre Siil) ning et digiriigi eesmärk ei peaks olema paberblankettide üks-ühele digitaalsesse vormi üle kandmine, vaid uute tehnoloogiate ära kasutamine kasutajakogemuse parendamiseks, teenuste kättesaadavamaks ja mugavamaks muutmiseks. Ülle Madise sõnastas seda kui hea halduse põhimõtet: “et kodanikul oleks riigist võimalikult palju kasu ja võimalikult vähe tüli.”

Soov eemalduda eelmisest ühiskonnast

Viimaks nentisid paljud intervjueeritud, et digiriigi arendusi kannustas soov eemalduda nõukogude perioodi väärtustest ja töökultuurist, mida tajuti suuresti 1990ndaid kujundanud mentaliteedina. Digiriigi arendused võimaldasid vähendada ametnike korruptsiooni – “Nagu Toomas Hendrik Ilves ütles, you cannot bribe a computer” (Marek Helm). Digitaalsed infosüsteemid pidid vähendama ametnike infomonopoli ning suurendama kodanike võimet jälgida ja vastustada riigi tegevust. Teisalt peeti silmas ka erinevaid eeskujusid, kellest taheti eeskuju võtta ja mööda minna, sageli oli tegemist Põhjamaadega. “Me ehitasime uut ühiskonda – et oleks parem kui Soomes!” (Indrek Neivelt).

Projekti tellis Majandus- ja kommunikatsiooniministeerium ja tööd teostati Euroopa Liidu struktuuritoetuse toetusskeemist “Infoühiskonna teadlikkuse tõstmine”. Projekti viis läbi Ernst & Young Baltic. Intervjuusid korraldasid Ernst & Young Baltics esindajad Helina Meier ja Raivo Ruusalepp ning Lõuna-California Ülikooli ja Tartu Ülikooli lektor Aro Velmet, kes koostas intervjuude põhjal analüütilise kokkuvõtte.

Aro Velmeti sõnul ei anna kokkuvõte kindlasti täielikku ülevaadet kõikidest esile kerkinud teemadest, motiividest ja õppetundidest, nii nagu intervjueeritavad neid nägid ning edasiseks põhjalikuks uurimistööks on veel küllalt ruumi.

Intervjueeritute nimekiri

1             Linnar     Viik

2             Aare       Lapõnin

3             Riina       Einberg

4             Uuno      Vallner

5             Marek    Helm

6             Agu         Kivimägi

7             Tiit           Tammiste

8             Priit         Alamäe

9             Indrek    Neivelt

10           Arvo       Ott

11           Liia          Hänni

12           Kaidi       Ruusalepp

13           Hille        Hinsberg

14           Ülo          Jaaksoo

15           Margus   Püüa

16           Jüri          Jõema

17           Imre        Siil

18           Urmas     Kõlli

19           Jüri          Heinla

20           Aivo        Adamson

21           Tarvi       Martens

22           Ülle         Madise

23           Mart       Laar

24           Ivar         Tallo

25           Kalev      Härk

26           Mari        Pedak

27           Arne       Ansper

28           Priit         Pirsko

29           Ain          Järv

30           Madis     Tiik

31           Ain          Aaviksoo

32           Valdo      Praust

33           Jaak         Aaviksoo

34           Erkki       Leego

35           Toomas Hendrik  Ilves

36           Raul        Savimaa

37           Alar         Ehandi

38           Jaan        Priisalu

39           Mart       Laanpere

40           Ants        Urvak

41           Kalev      Pihl

42           Taavi       Kotka

43           Hillar       Aarelaid

44           Heiki       Sibul

45           Anto       Veldre

46           Maarja-Leena       Saar

47           Tarvo      Trei

48           Mall        Hellam

49           Marko    Lehes

50           Mehis     Sihvart

51           Margus   Arm

52           Ruth        Ääremaa

53           Kaja         Kuivjõgi

54           Kaido      Raiend

55           Riho        Oks

56           Karin       Rits

57           Siim         Sikkut

58           Ahto       Buldas

59           Tanel      Tammet

60           Epp         Joab