Category Archives: CERT-EE

Parim kaitse õngitsuste vastu on inimese ja masina koostöö

CERT-EE juht Tõnu Tammer. Foto: RIA

Internetis toimuvate õngitsuste ajalugu ulatub 1980ndate lõppu, kus sellist teoreetilist rünnakut esmakordselt kirjeldati. Päris esimeste reaalsete õngitsusteni jõuti 1990ndate keskpaigas ning sellest saati on õngitsuste arv nii sisus kui ka mahus suurenenud. Viimase kümne aastaga on õngitsuskampaaniate arv kasvanud pisut enam kui kolm korda ja ulatub täna rohkem kui miljoni kampaaniani aastas.

Pahatahtlikul eesmärgil saadetud e-kirjad on hakanud rohkem arvestama ka kohalike eripäradega. Näiteks eestlastele saadetud õngitsuskirjad kasutavad senisest enam tuntud Eesti ettevõtete brände ja paljudel juhtudel ka ettevõtete ametlikke e-posti aadresse. Selliste muudatuste tõttu on meie inimesed kelmuste suhtes märksa haavatavamaks muutunud. Kuidas siis sellises olukorras ennast kaitsta? Head ühtset lahendust siin kahjuks ei ole. Ometi on nii õngitsuslehtede kui -kirjade juures vihjeid, mis võivad reeta, et tegemist on pettusega.

Pettused e-kirjadega

Üldjuhul suhtleme inimeste või ettevõtetega, keda tunneme ja teame. Seetõttu peaks esimese häirekella lööma see, kui tuttava nime taga peituv e-posti aadress ei ole varasemast tuttav või üldse loogiline. Kui saate kirja „ettevote.ee“ töötajalt Mati Karult, siis tavapäraselt tuleb kiri tuleb aadressilt Mati.Karu@ettevote.ee:

Ettevaatlikuks peaks tegema aga olukord, kui saate kirja „ettevote.ee“ töötajalt Mati Karult, kuid kiri tuleb tegelikult mingilt suvaliselt aadressilt nagu officemail40@naver.com, isegi kui nimi on meiliaadressi ees õige.

E-posti puhul on aga võimalik väga lihtsalt saatja aadressi võltsida. Liiga palju on juhtumeid, kus mõne tuntud Eesti panga või ülikooli aadressilt on tulnud kas õngitsuskiri või on jagatud lausa pahavara. Taolise e-kirja saatja aadressi võltsimise ja teatud mõttes kaubamärgi kuritarvitamise vastu on võimalik end kaitsta kasutades ajakohaseid tehnilisi lahendusi. Üks neist on näiteks DMARC standard, mis peaks olema küberturvalisuse ja meilihaldusega tegelevatele inimestele väga tuttav.

DMARC standard töötati välja just võitlemaks selliste aadressi ja kaubamärgi võltsimistega, võttes kurjategijatelt võimaluse esineda mõne tuntud panga või ettevõttena. Korrektsel kasutamisel annab see väga tõhusa kaitse, sest enamik suuremaid meiliteenusepakkujaid kontrollib kõigi saabuvate kirjale vastavust sellele standardile.

Samuti kontrollitakse standardile vastavust kõigi nende kirjade puhul, kus aadressiks on märgitud inimese eesti.ee e-posti aadress (näiteks kui kurjategija Riigi Infosüsteemi Ameti nimel saata aadressile Mati.Karu@eesti.ee õngitsuskirja kasutades aadressina ria@ria.ee, ei lase meie meilisüsteem sellistel võltsingutel inimeseni jõuda). Riik on tänaseks seda standardit juba laialdaselt rakendanud, kuid kahjuks pole enamik ettevõtteid veel seda riski teadvustanud ning mainitud standardi rakendamiseni jõudnud.

Õngitsuslehed veebis

Õngitsuslehtedele inimene iseseisvalt ja tavapäraselt veebis surfates ei jõua. Enamasti külastame ju ikka veebilehti, kuhu meil oligi plaan minna – uudiste jaoks läheme uudisteportaali aadressile, panganduse jaoks pangalehele, ka meilide lugemiseks teame õiget aadressi. Õngitsuslehtedele viivad tavaliselt lingid, mis jõuavad meieni kas e-kirja või mõne sõnumiga. Ka sel puhul on vihjeid, mis võivad õngitsejaid reeta, seega tuleb olla väga tähelepanelik.

Panga saadetud e-kirja puhul me enamasti teame, milline näeb välja õige panga kodulehe aadress: https://www.pank.ee. Aadressile järgneb teinekord ka viide mõnele konkreetsele lehele, nt sügiskampaania leht https://www.pank.ee/sugiskampaania. Internetiaadresside tuleks lugeda järgmiselt:

Internetiaadresside õigsuse kindlaks tegemisel on abiks, kui vaadata, kus asub aadressireal esimene üksik kaldkriips (pildil oranžilt ümberjoonitud), sest just sellest kaldkriipsust hakatakse internetiaadressi lugema. Aadressi loetakse paremalt vasakule ja eraldaja on punkt. Toodud näite puhul viitab „ee“ sellele, et tegemist on Eesti aadressiga, ja sellele eelnev osa „pank“, et tegu on panga aadressiga. Kui e-kirja sees on viide internetipangale näiteks selline: https://pank-ee.com/sugiskampaania, siis näeme aadressi süvenedes ja kaldkriipsust lugema hakates, et aadress on hoopis midagi muud. Visuaalselt tundub tõesti sarnane, kuid lähemal vaatlusel enam mitte.

Kuigi tehnoloogiafirmad, meiliteenuste pakkujad ja riikide küberturvalisuse agentuurid püüavad kodanike kaitsmiseks igati koostööd teha, kasvab üle maailma õngitsuskirjade hulk ja üha rohkem jõuab meie postkastidesse kirju, mille sihtmärgiks on just Eesti inimesed. Tehnoloogia suudab kaitsta teatud maani, kuid kurbade tagajärgede vältimiseks on oluline, et ka inimesed oskaks ohte märgata. Parima kaitse tagab see, kui lisaks teadmiste kasvatamisele kasutaksid ettevõtted ka olemasolevaid tehnoloogilisi lahendusi (standardeid ja parimaid tegutsemisviise), et ka omalt poolt oma kliente õngitsuste eest kaitsta.

Tõnu Tammer
CERT-EE juht


RIA-t külastab aastas ligi sadakond välisdelegatsiooni

21. mail külastasid RIA-t Rwanda partnerasutuse liikmed. Foto: Nelli Pello

Keskpäevane kohtumine Vietnami delegatsiooniga. Pärastlõunased külalised esindasid rahvusvahelist organisatsiooni OECD. Vaid tunnike hiljem kohtumine Saksamaa delegatsiooniga. Need nopped ei pärine pelgalt ühest nädalast, vaid ühest päevast ja ilmestavad hästi, kui tihe on RIA rahvusvaheline suhtlus.

„Meil käib külalisi igast maailmajaost. Väga raske on leida riiki, kust meil ei oleks külas käidud või kus meie enda inimesed pole käinud,“ ütleb RIA rahvusvaheliste suhete juht Piret Urb, kes võtab aastas RIA-s vastu ligi sadakond välisdelegatsiooni. Viimase kahe kuu jooksul on RIA-t väisanud külalised näiteks Rwandast, Prantsusmaalt, Bruneist, Tšehhist, Poolast, Lõuna-Aafrika Vabariigist, Luksemburgist, Rootsist, USA-st, Jaapanist, Singapurist, Taiwanist, Ukrainast, Kamdodžast, Türgist, Austraaliast, Arubast ja Kosovost. Kui võtta kõik kohtumised kokku ühe märksõnaga, siis on selleks kahtlemata Eesti digiriigi edu. Kitsamaks minnes tunnevad väliskülalised kõige rohkem huvi X-tee, e-teenuste ja küberturvalisuse vastu.

Kõik need kolm teemat olid kõneaineks 21. mail toimunud kohtumisel RIA partnerasutusega Rwandast. „Rwandalased on just praegu selles ristkohas, kus nad otsivad viise, kuidas panna käima andmevahetus oma asutuste vahel. Rääkisime neile oma X-teest, kuidas see ligi 18 aastat tagasi alguse sai ning kuidas see töötab. Ei ole mõtet jalgratast uuesti leiutada, kui meil on see juba olemas ja nö lastehaigused on läbi põetud. Sellepärast jagamegi alati hea meelega oma kogemusi,“ tõdeb Piret. X-tee vastu tundsid 20. mail toimunud visiidi käigus huvi ka prantslased, kes on samuti otsimas viise asutustevaheliseks andmevahetuseks ning tutvuvad eri riikide kogemustega.

21. juunil külastasid RIA-t Jaapani inseneride föderatsiooni esindajad, kes tutvuvad Euroopa riikide kogemustega tuuma- ja küberturvalisuses. Jaapanlased tundsid huvi meie küberturvalisuse põhimõtete ja CERT-i töö vastu ning uurisid, kuidas on korraldatud kriitilise infrastrukuuri kaitse ja kuidas me rakendame ISKE-t. Väliskülalised kiitsid meie X-teed, mille on nemadki osaliselt kasutusele võtnud.

Jaapani inseneride föderatsiooni esindajad RIA-s 21. juunil. Foto: Nelli Pello

Kahepoolsed koostöölepped

Kõige tihedam koostöö on RIA-l Soome, Läti, Saksamaa, USA, Prantsusmaa ja Jaapaniga. Viimasel ajal on märgatavalt tugevnenud suhtlus Austraalia ja Lõuna-Koreaga. Digilahenduste ja küberkaitse teemadel on RIA-l väga hea koostöö Iisraeliga, kellega on sõlmitud eelmise aasta novembris digilahenduste arendamise koostöölepe. Sarnased koostöölepped küberturvalisuse tõhustamiseks on RIA-l ka mõnede teiste riikidega. Mitmed on veel huvitatud nende sõlmimisest.

Samamoodi nagu käiakse palju külas RIA-l, käime ise teistes riikides kogemusi vahetamas. Kutseid suurtele digiteemade konverentsidele, töötubadele, seminaridele ja õppustele üle maailma tuleb igal nädalal. Kõige rohkem käiakse tööreisidel Brüsselis, aga ka Bukarestis, mis on praegu EL-i eesistuja maa. Maikuus käisid RIA eksperdid jagamas Eesti digiriigi kogemusi ja suhteid loomas näiteks Riias, Sydneys, Bukarestis, Londonis, Varssavis, Amsterdamis, Vilniuses, Reykjavikis, Singapuris, Genfis ja nimekiri läheb aina edasi. „Väga oluline on leida õige inimene, kes oskab rääkida just sellel teemal, mida meilt oodatakse ning mille vastu tunneb kuulajaskond huvi,“ täpsustab Piret. Seetõttu on rahvusvaheliste suhte hoidmine ka logistiliselt korralik ettevõtmine, sest inimeste graafikud on tihedad ning sobivate aegade leidmine võib olla paras väljakutse.

Diplomaatiline kunst

Rahvusvaheline suhtlus on mõistagi suur diplomaatiline kunst, sest kursis tuleb olla paljude nüanssidega. „Tuleb teada riikide tausta ja millised suhted Eestil nende riikidega on. Millised on riikide omavahelised suhted? Peab teadma riikide kohalikke tavasid ja kombeid ning ajalugu. Kas oleme riikidega meile olulistes küsimustes sama meelt ÜRO-s ja teistes rahvusvahelistes organisatsioonides? Millised on Eesti välispoliitika prioriteedid?“ loetleb Piret.

Oluline on tunda ka riikide kultuurilisi eripärasid. Näiteks armastavad jaapanlased viia end enne välisreisi väga põhjalikult kurssi külastatava riigi ja asutuse taustaga, muidugi ka kõnealuse teemaga, aga lisaks soovivad nad tutvuda ka nende inimeste CV-dega, kellega nad kohtuvad. Jaapanlased ulatavad visiitkaardi alati kahe käega ning selle juurde käib väike kummardus. India ja Bangladeshi delegatsioonidega on aga juhtunud, et keset ettekannet on osa grupist püsti tõusnud ja läinud võtma endale teisest toast kohvi või lihtsalt koridoris jalgu sirutanud. „Nende jaoks on see täiesti tavaline, aga meile oli see ja on siiani suureks üllatuseks. Aja jooksul jäävad sellised asjad meelde ning nendega harjub ära,“ tõdeb Piret, kes on puutunud nii RIA-s kui ka varem välisministeeriumis töötades kokku kõikvõimalike väliskülalistega seotud ootamatute situatsioonidega, mis tuleb kiirelt ära lahendada.

Jaapani inseneride föderatsiooni juht Kaoru Naito RIA-s 21. juunil. Foto: Nelli Pello

Rahvusvahelises suhtluses tuleb olla alati valvas, sest esindatakse ju Eesti riiki ja RIA puhul Eesti digiriigi mainet. „Minu jaoks on väga oluline, et RIA välissuhtlus on kooskõlas Eesti välispoliitiliste prioriteetidega ja et Eesti oleks digiteemadel maailmas nähtav. Sellepärast me ei käigi pelgalt konverentsidel osalemas, vaid RIA inimesed on valdavalt kutsutud ekspertideks, kes teevad ise ettekandeid, juhivad debatte või osalevad töötubades. Eestil on ikkagi väga tugev digiriigi maine ja oleme neil teemadel maailmas esiviisikus.“

Kõige suurem rahvusvaheline projekt

RIA kõige suurem rahvusvaheline projekt on Euroopa Liidu arenguabiprojekt Cyber Resilience for Development ehk lühidalt Cyber4D, mida kutsutakse ka NICO projektiks. Selle eesmärk on toetada Aafrika ja Aasia riikide küberturvalisuse tõstmist ning projekti veavad eest RIA töötajad Liina Areng ja Martin Indrek Miller. „Läbi selle projekti saavad paljud RIA töötajad külastada kaugeid ja eksootilisi maid, et jagada oma parimaid teadmisi ja kogemusi küberturvalisusest. Eelmise aasta suvest on ligi kümme kolleegi käinud Sri Lankal, Botswanas ja Mauritiusel. Paari nädala pärast toimub CERT-ide koolitus Ugandas ning aasta teises pooles plaanime alustada tegevust ka Rwandas,“ räägib Liina, kes on olnud projekti juures alates taotluse esitamisest saadik neli aastat tagasi.

Projekt sai alguse seetõttu, et saada häid kogemusi ja tutvustada Eesti kogemust küberturvalisuse valdkonnas. „Kindlasti aitab see tõsta ka Eesti positiivset kuvandit maailmas ning on hea võimalus panna kolleegidel proovile oma koolitajaoskused. Vähemtähtis pole ka see, et nii suure projekti juhtimine aitab meil teha paremat koostööd projekti partnerite Suurbritannia ja Hollandiga ning kokkuvõttes aitab saada nö jala ukse vahele ka teistele suurtele rahvusvahelistele projektidele,“ lisab Liina.

Martin Indrek Miller NICO projektiga Rwandas. Foto: erakogu

Nelli Pello
RIA kommunikatsiooniosakond

Oma kodulehe või e-posti turvalisust saab testida igaüks

Tõnu Tammer, CERT-EE juht

Igal kodulehe omanikul või e-posti kasutajal tekib varem või hiljem küsimus: kui turvaline on minu IT-lahendus ja kuidas see kogu maailmale välja paistab? Selleks, et üht või teist nüanssi testida, ei ole vaja IT-haridust ega arusaamist Linuxi konsoolist. Kodulehe või e-posti turvalisuse testimine pole kunagi varem olnud nii lihtne kui praegu.

Internetist leiab mitmeid turvalisuse testimise tööriistu, mida saab kasutada igaüks. Näiteks blogi pidaja või ettevõtte juht saab nende abil vaadata, kui hästi või halvasti on tema koduleht või e-posti server seadistatud.

Toome välja mõned tööriistad, mida kasutame ka ise, et üht või teist nüanssi testida.

Tööriistad, millega saab testida kodulehe ja e-posti seadistusi

Hardenize

https://www.hardenize.com/

See on eriti hea ja universaalne tööriist, mis võimaldab kontrollida, et sinu internetiaadressi ehk domeeni seadistused oleksid sellisel tasemel nagu tänapäeval olla võiksid. Samuti saab sealt kontrollida, kas meiliserveri seaded tagavad heal tasemel sõnumisaladuse ja andmekaitse ning kas kodulehe puhul on tagatud kasutajate turvalisus. Eesti turult leiab teenusepakkujaid, kelle kõige odavama, vähem kui 10€ kuus maksva paketiga on võimalik koduleht ja e-post seadistada nii, et enamik testitavatest aspektidest läbitakse edukalt ehk tulemus on roheline. See tähendab, et teenusepakkuja on teinud enda poolt mõistlikud sammud ja kodulehe/domeeni haldaja on teinud ära teise poole.

Näide Hardenize'ist

Näide Hardenize’ist: kõik testid on võimalik läbida edukalt

Security Headers

https://securityheaders.com/

Sobib kodulehe pisut põhjalikumaks testimiseks.

Tööriist võimaldab testida, milliseid juhiseid annab koduleht brauserile. Nende juhistega on võimalik piirata või keelata ebasoovitavaid tegevusi. Näiteks saab vähendada seda infohulka, mis muidu kasutaja kohta edasi liiguks, kui ta sinu kodulehelt ära läheb.

A+ ja A on eeskujulikud tulemused, kuid B, C, D ja F nõuavad kindlasti kodulehe omaniku tähelepanu.

Näide Security Headersist

Security Headers: A tulemuse saavutamine ei ole samuti keeruline

Qualis SSL Labs

https://www.ssllabs.com/ssltest/analyze.html

Hea ja universaalne tööriist, millega saab kontrollida, kas suhtlus kodulehega on krüpteeritud selliselt, et tagatud on andmete turvalisus ja kasutaja privaatsus. Tänapäeval võiks juba iga veebileht avaneda vaid TLS 1.2 või TLS 1.3 protokolliga. Kindlasti ei tohi enam kasutada SSL 3 ja SSL 2 protokolle, mis ei taga turvalisust. Protokollide TLS 1.0 ning TLS 1.1 kasutamine on samuti mõistlik lõpetada, sest neis esineb turvanõrkusi, mis on uuemates versioonides parandatud.

Tulemused A+ ja A on eeskujulikud, kuid B, C, D ja F nõuavad kindlasti kodulehe omaniku tähelepanu.

Näide SSL Labsist

SSL Labs: A+ tulemuse saamine ei ole keeruline

TLS

https://www.checktls.com/TestReceiver

Võimaldab testida meiliserveri seadistusi.

See tööriist on samuti väga võimekas. Kui valida „Output format“ alt „SSLProbe“, siis kaardistatakse kõik e-posti serveri võimalused (sarnaselt eelmises punktis toodud SSL Labsi testiga). Ka e-posti serverite puhul võiks kirjavahetus käia vaid TLS 1.2 või TLS 1.3 protokolliga. SSL 3 ja SSL 2 kasutamine ei taga turvalisust ning protokollide TLS 1.0 ja TLS 1.1 kasutamine on samuti mõistlik lõpetada. Testi tulemuste lugemise teeb lihtsaks asjaolu, et punasega kuvatavaid tulemusi ei tohiks olla ning sobilikud on üksnes roheliselt kuvatud tulemused.

Hea tulemuse näide TLSist

Rohelisega kuvatakse hea tulemus

Halva tulemuse näide TLSist

Punasega kuvatakse need aspektid, mis nõuavad kindlasti meiliserveri omaniku tähelepanu

MECSA

https://mecsa.jrc.ec.europa.eu

Euroopa Komisjoni teadus- ja arendustegevuse üksus JRC on loonud e-kirja testimiseks universaalse tööriista. Erinevalt paljudest teistest võimaldab see testida nii e-kirja saatmise kui vastuvõtmise turvalisust. Kuna saatmise ja vastuvõtmise seadistusi tuleb e-postiserveris seadistada eraldi, võivad eri suunas liikuvatel e-kirjadel olla erinevad seadistused.

Selle testi eripära on see, et testimiseks tuleb sisestada testija e-posti aadress ning saadud kirjale tuleb saata vastuskiri.

Ekraanipilt tulemustest

Üldine ülevaade on “Summary” all ning vahelehelt “Advanced” näeb rohkem tehnilist infot.