Author Archives: Tarmo Randel

(Eba)õnne küpsised koduruuterite jõulurahu rikkumas

Aastalõpusagin on jõudnud ka küberturbe maailma: lisaks Sony (järjekordselt) tabanud ulatuslikele küberrünnetele, mille tagajärjel nad ühe filmi riiulile paremaid aegu ootama saatsid, tuleb pidevalt teateid tõsistest turvavigadest internetiga ühendatud seadmetes või laialdaselt levinud tarkvaras.

Kirsina tordil on eile üllitatud teade netiturbega tegeleva CheckPointi turvauurijate avastatud nõrkuse kohta, mis mõjutab üsnagi paljusid internetti tekitavaid koduseadmeid – veaga seadmete hulgaks pakutakse 12 miljonit.

Viga on saanud numbriks CVE-2014-9222, viited whitepaperile ning esialgsele mõjutatud seadmete loetelule on postituse lõpus, lühikokkuvõte küsimus-vastus vormis ajanappuses olijatele:

Millega tegu?
Tegu on Internetist kurikasutatava turvaveaga, mille kaudu saab võtta kontrolli koduruuteri üle. Haavatav on AllegroSofti aastal 2002 loodud veebiserver, mis kasutusel paljude seadmete tarkvaras.

Kui palju on mõjutatud seadmeid?
12 miljonit on see number, mida uurijad pakuvad.

Kuidas see mind mõjutab?
Kui Sinu netiühendust pakkuv ruuter on haavatav ning ISP ei blokeeri liiklust lõppkasutaja seadmele, siis on edukal ründajal võimalik jälgida Sinu kodust internetiliiklust, proovida varastada infot ning rünnata kõiki koduvõrgus olevaid seadmeid: arvuteid, telekaid, telefone ja miks mitte ka külmkappi (kui viimasel juhtub võrguliides olemas olema).

Miks/kas on just see viga ohtlikum kui paljud muud võrguseadmete turvavead?
Väga palju veaga seadmeid, vea parandamine on paljudel juhtudel tootjapoolse huvi puudumisel raske või võimatu, vea kasutamiseks ei pea omama seadmele füüsilist ligipääsu – kõik see teeb selle vea ohtlikuks.

Mida ma saan ise teha?
Sea kodune võrk üles turvaliselt: kaitse ressursid parooliga, kasuta võrguga ühendatud seadmete kaitsemehhanisme (tulemüür, turvatarkvara jms). Pööra tähelepanu korrektsele krüpto kasutamisele – autentimisinfo ja olulised andmed peaks liikuma ainult krüptokanalite kaudu ning ära ignoreeri veateateid – näiteks teadet veebilehe sertifikaadi vea kohta. Kui netiruuter on Sinu oma, siis uuenda selle tarkavara regulaarselt.

Kokkuvõtlikult – Suureks Paanikaks pole põhjust, oluline on aga olla teadlik selle vea olemasolust ja viisidest, kuidas kurikaelad seda viga kuritarvitada saavad; siis saab planeerida ka kaitse- ning ennetustegevusi.

Lisad (välisest allikast):

Ülevaatlik dokument
Seadmete loetelu (kindlasti mitte täielik)
Teemakohaline mikroveeb

RECHNUNG ja tema kurjad sõbrad

Ei, sedapuhku ei tule jutuks hirmsad mälestused matemaatikatundidest ja rangetest õpetajatest, vaid hoopis mitmendat kuud kestev postkastide pommitamine arvutiviiruse e-kirjadega, mis on viimastel päevadel veelgi aktiivsemaks muutunud.

Pahavara levitamisse on kaasatud zombie-arvutid ning sisuhaldustarkvara turvaaukude kaudu ülevõetud veebilehed. CERT-EEle teadaolevalt on Eestis “pihta saanud” juba mitmed organisatsioonid.

Pahavaraga nakatumine saab alguse e-kirjast, mis võib välja näha umbes nii:

kuvatõmmis e-kirjast

e-kiri Rechnung

Võltskirja tuvastamine on tehtud keeruliseks sellega, et kirjas kasutatakse reeglina saaja nime, seetõttu näeb kiri üsnagi adekvaatne välja (eriti raamatupidajatele, kes saavad postkasti kümneid kirju arvetega).

Rechnung viitele (sinine tekst) klikkides laetakse arvutisse ZIP-fail. Topeltklõps allalaaditud failil avab selle ning siis saab juba päris “arve” lahti teha. Failil võib olla näiteks selline nimi:

ihre_telekom_mobilfunk_november_2014_00002930200_1_3_5_021090_82137_002_008_0004.exe

AGA! – faili nimi muutub pidevalt, samuti muutub ka e-kirja tekst ning kirjas olev viide. Avatud fail nakatab arvuti suure tõenäosusega võimeka  troojalasega. Aga avamine annab ka võimaluse tuvastada pahavara, sest klikkides ei juhtu tegelikult midagi – lubatud arvet ei avata. See on võimaliku nakatumise indikaator nr 1.

Pahalane on nakatunud arvutis vaikne. Tavaliselt ootab ta vähemalt pool tundi enne, kui hakkab edasi toimetama. Pärast vegeteerumisperioodi proovib ta ühendust saada mõnede sissekodeeritud aadressidega, nimekirja nendest lisasime sellele postitusele.

Meieni jõudnud  pahavara näidistel on teadaolevalt võimekus:

  • asuda ise nakatavaid spämmkirju välja saatma,
  • teha DoS ründeid,
  • varastada arvutist andmeid,
  • kuulata pealt arvuti võrguliiklust,
  • varastada kasutaja raha, kui ta külastab netipanka.

Kuna turvatarkvarad on praegu veel üsnagi “nõrgad” pahavaraga nakatumise takistamisel, siis kuidas saab tuvastada nakatumise? Tavakasutajal on see raske, kirjeldame siiski ära teadaolevad meetodid, mida saavad kasutada nii spetsialistid kui tavakasutajad:

1. Esmalt muidugi tasub meenutada, kas postkasti on tulnud saksakeelseid arveid, mis on ZIP-failiga alla laaditud ning mille käivitamine ei avanud arvet. Arvuti tuleb viia täiendavasse kontrolli või veel parem – puhas install. Seda eriti sellisel puhul, kui tegemist on raha liigutava inimese tööarvutiga. Kui oled saadud kirja edasi saatnud kollegile/sõbrale/tuttavale, et too aitaks faili lahti teha, siis teavita teda kindlasti võimalikust ohust!

2. Kontrolli ja jälgimise alla tuleb võtta kohtvõrgu TCP pordi 8080 liiklus, sest justnimelt seda liini pidi see pahavara praegu suhtleb.

3. Siin on nimekiri IP-aadressidest, mille poole pahavara võib pöörduda:
108.161.128.103
109.123.78.10
129.187.254.237
130.133.3.7
133.242.19.182
133.242.54.221
148.251.11.107
158.255.238.163
162.144.79.192
178.248.200.118
188.93.174.136
193.171.152.53
195.154.243.237
195.210.29.237
198.1.66.98
205.186.139.105
206.210.70.175
212.129.13.110
213.208.154.110
46.105.236.18
5.159.57.195
5.35.249.46
66.228.61.248
66.54.51.172
72.10.49.117
72.18.204.17
79.110.90.207
80.237.133.77
88.80.187.139
91.198.174.192

4. NB! Kui küberhügieen on arvutis taaskord saavutatud, siis tuleks muuta kõik salasõnad, mida nakatunud arvutisse sisse toksiti: panganett, suhtlustportaalid jms. Samuti võib hoiatada tutvusringkonda, et kui tuleb arvutikasutaja nime alt kahtlasi e-kirju, siis tuleks üle küsida, kas autor on need ikka ise saatnud. Kui pahavara juba arvutis pikemalt toimetada sai, siis õnnestus tal ilmselt pihta panna ka kohalikud aadressiraaamatud ning halvemal juhul ka olulisi andmeid postkastist.

Jõudu soovides

CERT-EE

Drupal PSA-2014-003 – avalik teavitus kriitilisest veast

NB! See on järg veateavitusele SA-CORE-2014-005 ning ei ole seotud uue haavatavusega.

15. oktoobril andis Drupal avalikult teada SQL injection haavatavusest Drupali tuumikkoodis (SA-CORE-2014-005). Automatiseeritud massilised ründed Drupali veebimootorit kasutavatele veebidele algasid paari tunni jooksul peale teavitust. Kui veebisaiti ei ole antud probleemi vastu paigatud enne kella 01:00-t 16. oktoobril – st 7 tunni jooksul peale teavitust, siis võiks veebilehe haldaja eeldada, et sissemurdmine on aset leidnud.

Drupali 7.32 versioonile uuendamine ei ole suure tõenäosusega enam piisav probleemist vabanemiseks. Siiski – kui Sa ei ole oma Drupalit kasutavat veebilehte veel uuendanud, siis mine tee seda kohe!

… ning peale seda jätka selle teate lugemist. Uuendamine parandas küll selle haavatavuse, kuid ei eemaldanud tagauksi nendes veebides, kuhu on juba sisse murtud.

Kuidas ära tunda seda, kas veebilehele on juba sisse murtud? Üks märk on see, et veebimootor on juba paigatud. Seega – kui paikamisel selgub, et seda on juba tehtud, aga seda ei teinud Teie, siis see on tunnus sissemurdmisest. Põhjus on see, et mõned ründajad on paiganud vea ohvri veebimootoris, et jääda ainukeseks sissemurdjaks.

Mõned võimalused tagauste tuvastamiseks (loetelu ei ole ammendav!):

  • otsi faile, mis on tekkinud peale 15. kuupäeva ning mille tekitamises sa ise kindlasti ei ole osalenud,
  • otsi faile, mis sisaldavad stringe “eval” ja/või “base64”, hinda nende sisu alusel, kas tegemist võib olla tagauksega,
  • seira logisid, kui sa seda juba ei tee. Lisaks veebiserveri logidele vaata regulaarselt üle ka muud, näiteks postiserveri logid.

Ennetavate meetmetena nii selle kui tulevaste turvavigade leidmiste ja sissemurdmiste varalt, tuleks üles seada jatkuv logide seire; võrguliikluse seire ja profileerimine; üle vaadata tulemüüri(de) reeglid ning lokaalsesse serverisse paigaldada sissemurdmist tuvastada abistavad vahendid (IDS). Kui serveril puudub korralik varundus, siis on viimane aeg sellega alustada.

Refereerime järgnevalt ka pisut Drupali loojate toodud juhendit.

Andmed ja kahjude hindamine

Ründajad võivad olla kopeerinud kõik teie saidis leiduvad andmed ning võivad seda ära kasutada mistahes viisil. Edasiseks tegevuseks soovitame lugeda Drupali dokumentatsiooni: ”Your Drupal site got hacked, now what”.

Taastamine

  • Ründajad võivad olla andmebaasi, failisüsteemi või muudesse kohtadesse tekitanud tagauksi.
  • Ründajad võivad olla ära kasutanud teisi teie veebiserveris jooksvaid või sellelt ligipääsetavaid veebisaite ning süsteeme.

Tagauste ülesleidmine on väga keeruline protsess mille 100% edukuses ei saa peaaegu kunagi kindel olla. Seetõttu soovitame oma saidi kogu mahus taastada enne 15. oktoobrit tehtud varukoopiast:

  1. Deaktiveerige veeb, asendades selle ajutise staatilise HTML leheküljega.
  2. Teavitage oma serverihaldurit ning rõhutage, et teised samas serveris olevad süsteemid võivad samuti olla kompromiteerunud.
  3. Tehke veebi hetkeseisust uus varukoopia.
  4. Parim lahendus on veeb enne 15. oktoobrit tehtud koopiast taastada täiesti uude serverikeskkonda, et olla kindel, et kusagil pole ründajate seatud tagauksi.
  5. Uuendage enne 15. oktoobrit tehtud varukoopiast taastatud veebimootor viimasele versioonile.
  6. Taasaktiveerige veeb.
  7. Vaadake põhjalikult üle kõik failid, kood või seaded, mida on vaja üle tuua veebi viimasest, nakatunud versioonist.

Põhjalikumalt saab lugeda siit: FAQ on SA-CORE-2014-005