Category Archives: CERT-EE

Kaks videovalvekaamerate kriitilist turvanõrkust ohustavad kaamerate kasutajaid

Nimetus:  CVE-2021-33044
Turvanõrkuse riskiskoor: 9.8/10 [1]

Nimetus: CVE-2021-33045
Turvanõrkuse riskiskoor: 9.8/10 [2]

Taust

Viimastel aastatel on mitmetes maailma meediaväljannetes kajastatud küberintsidente, mis viidi ellu kasutades kurjategijate kontrolli all olevaid IoT- (Internet of Things) seadmeid, sh videovalvekaameraid[1] [2]. IoT-seadmed on väiksemad internetti ühendatud seadmed nagu näiteks kaamerad, nutilambid, nutitelerid, kõlarid, termostaadid jms [3]. Selliseid nutikaid lahendusi kasutatakse üha rohkem[4]. Sageli on need mitmete turvanõrkuste tõttu ahvatlevaks sihtmärgiks küberründajatele.

2021. aasta sügisel avalikustati Dahua videovalvekaameraid mõjutavad kriitilised turvanõrkused CVE-2021-33044 ja CVE-2021-33045. Need võimaldavad ründajal parooli teadmata haavatavate kaamerate haldusliidesesse lihtsalt ligi pääseda. Nõrkuste ärakasutamiseks on ründajale vaja, et haavatava seadme haldamiseks mõeldud keskkond oleks internetist kättesaadav või et tulemüüri taga oleva seadme haldusliidesele oleks tehtud pordisuunamine. Pahalane saab sellisel juhul haavatava seadme haldusliidese kompromiteerida ja kasutada seda ära vastavalt enda eesmärkidele. Muuhulgas on tal võimalik jälgida kompromiteeritud kaamera videopilti, koguda selle abil tundlikku informatsiooni (paroole, ärisaladusi vms), kasutada kogutud informatsiooni väljapressimiseks või liita kompromiteeritud seade robotvõrgustikuga, mille abil panustab seade omaniku teadmata enda ressurssi teenusetõkestusrünnete sooritamiseks teiste sihtmärkide vastu.  

Mõju Eestis

2022. aasta 10. mai seisuga on Riigi Infosüsteemi Ameti analüüsi tulemusel Eesti küberruumis ligi poolteist tuhat Dahua seadet, mis on internetist nähtavad. CERT-EE tuvastas, et ligi 13% seadmetest on endiselt potentsiaalselt vähemalt ühe turvanõrkuse vastu haavatavad. CERT-EE on teavitused võimalike haavatavate seadmete kohta edastanud vastavatele osapooltele, et nõrkused paigataks. Seni ei ole CERT-EEle teada ühtegi kuritarvitamise juhtumit. 

Turvanõrkuste abiga on ründajal potentsiaalselt võimalik haavatavad seadmed üle võtta ja kasutada neid ülalnimetatud pahaloomuliste tegevuste sooritamiseks. Arvestades, et avalikult on kättesaadavad erinevad tööriistad nõrkuste ärakasutamiseks ja nende kasutamine on suhteliselt lihtne, kujutavad need haavatavused potentsiaalselt ohtu mõjutatud seadmete omanikele ja ka teistele kasutajatele (kompromiteeritud seadmeid saab kasutada näiteks teenusetõkestusrünnete sooritamiseks). Lisaks sellele võib intsidendi korral tegu olla ka GDPRi nõuete rikkumisega. Tulenevalt menetluse käigust võib rikkumise korral seadme omanikku oodata rahatrahv.

Turvanõrkuste olemus

Mõlema turvanõrkuse puhul on kasutusviis ja saavutatav tulemus sarnane. Turvanõrkuste ärakasutamiseks tuleb ründajal saata haavatava seadme suunas spetsiaalne andmepakett. Piltlikult öeldes saab ründaja kasutada võtit, mis kõik talle nähtavad haavatavad videokaamerate haldusliideste „uksed“ avab.  

CVE-2021-33044 turvanõrkuse ärakasutamine on tehtud seejuures väga lihtsaks, kuna selle jaoks on avalikult kättesaadav brasuerilaiendus. Ründajale piisab vaid külastada haavatava Dahua videokaamera haldusliidese sisselogimislehekülge ja klikata brauseris vastava laienduse nupule. Selle tagajärjel on võimalik liidesesse ilma autentimata ligi pääseda. CVE-2021-33045 haavatavuse puhul ei ole sellist laiendust veebilehitsejatele loodud, kuid ründamiseks piisab samuti spetsiifilise andmepaketi saatmisest haavatava seadme suunas. 

Millised seadmed on haavatavad?

2021. aasta 15. novembri seisuga on tootja hinnangul vähemalt ühe turvanõrkuse vastu haavatavaid seadmeid ja tarkvaraversioone palju. Tootja on haavatavad seadmed ja nende versioonid koos paikadega välja toonud järgneval veebileheküljel: https://www.dahuasecurity.com/support/cybersecurity/details/957

Vastumeetmed

Haavatavate seadmete haldajatel tuleb lähtuda tootjapoolsest informatsioonist ja uuendada seadmete tarkvara. Tootja juhendi, kuidas Dahua seadme mudelit ja versiooni tuvastada, leiate siit. Samuti tuleks lisaks seadmete uuendamisele piirata haldusliidese kättesaadavust, rakendades IP-põhist piirangut (nt ACL reeglitega) või kasutades VPNi. 

RIA nõuanded:

  1. Veenduda, et haldusliidese kasutajad ei kasutaks nõrku, korduvkasutatavaid või vaikimisi tootja poolt seatud paroole. Kuigi parooli tugevus ei aita siin ohuhinnangus mainitud konkreetsete turvanõrkuste vastu, kompromiteeritakse sageli videovalvekaameraid ja teisi IoT-seadmeid just seetõttu, et haldusliidese kasutajad kasutavad nõrku, korduvkasutatavaid või vaikimisi seatud paroole, mida on ründajal kerge ära arvata. 
  2. Võimalusel luua kaamera haldamiseks unikaalse kasutajanime ja tugeva parooliga uus kasutaja ning deaktiveerida vaikimisi seatud administraatori konto. See vähendab tõenäosust, et jõurünnete jooksul kasutatavad levinud kasutajatunnused (nt. admin/admin, administrator/admin) toimiksid. 
  3. Soovitame kaaluda võrgu segmenteerimist, kui see on võimalik ja seda ei ole juba tehtud. Selle meetme abil vähendatakse riski, et kaamera/kaamerate kompromiteerimise korral oleks ründajal potentsiaalselt võimalik mõjutada ka teisi seadmeid.
  4. Võimalusel rakendada kaamerale/kaameratele automaatne uuendamine. Kui see ei ole võimalik, siis tuleks luua kindel uuendamisprotseduur (vähemalt kord kuus veenduda, kas tootja on väljastanud uuendusi – kui jah, siis need installeerida).
  5. Teatud juhtudel võib intsident põhjustada isikuandmetega seotud rikkumise. Sel puhul tuleb sellest teavitada ka Andmekaitse Inspektsiooni (täpsem infomatsioon siit). Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist. 
  6. Intsidendi kahtluse korral soovitame ühendust võtta CERT-EE-ga, kirjutades nende meiliaadressile cert@cert.ee
  7. Soovitame tutvuda ka Andmekaitse Inspektsiooni teabelehega, mis käsitleb nõudeid videovalve korraldajale.

[1] https://duo.com/decipher/mirai-based-botnet-infects-vulnerable-surveillance-cameras

[2] https://firedome.io/blog/smart-camera-manufacturer-recall-mirai-iot-malware-attack/

[3] https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/

[4] https://dataprot.net/statistics/iot-statistics/

[5] https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/

[6] https://dataprot.net/statistics/iot-statistics/

Kuidas muuta ettevõte küberkurjategijate jaoks keeruliseks sihtmärgiks?

Me kõik sõltume oma tegemistes ja toimetamistes üha enam moodsatest IT-lahendustest, mis on muutnud meie elu ja tööprotsessid mugavamaks ja kiiremaks. Tihti jõuavad uued tehnoloogiad kiiresti turule ning tarbija ei pruugi teada, millised ohud võivad selles peituda. Näiteks nutikas ukselukk teeb koju sisenemise lihtsaks, aga kas koduomanik teab ja pöörab tähelepanu sellele, et nutilukk oleks uuendatud ja nõrkustest prii?

GERT AUVÄÄRT
riigi infosüsteemi ameti peadirektori asetäitja küberturvalisuse alal

Küberturvalisus ja infoturve võivad olla paljudele võõrad või siis liiga tehnoloogilised terminid. Samas me kõik puutume iga päev nendega kokku – tavaliselt nutitelefoni ja arvuti kaudu. Jah, inimene saab ära elada nii, et ta ei kasuta nimetatutest kumbagi, aga ükski ettevõte ei saa asju ajada ilma arvutite ja tarkvarata. Ettevõtlus ja tehnoloogiad moodustavad sisuliselt lahutamatu terviku.

Sajad miljonid rünnakud kuus

Oleme kokku puutunud ja usun, et jäämegi kokku puutuma ettevõtetega, kes arvavad, et nende pakutav teenus või toode on maailma mastaabis väga väike – kellelgi pole põhjust neid rünnakutega torkida. Näeme, et pahatahtlikud robotvõrgustikud proovivad riigisektoris (täpsemalt riigivõrgus) rohkem kui 500 miljonit korda kuus, kas mõni uks on jäetud või unustatud lahti ja kas selle kaudu saab end sisse pressida. Need on katsed, mis kohe tõkestatakse. Pole alust arvata, et erasektori olukord siin eristuks. Küberrünnakute katsed on pidevad ja automatiseeritud.

Küberruumis pole mõtet ettevõttel end ise väheoluliseks mängida. Kui aga sellist äriühingut tabab kübertorge, siis saab juhtkonna läbielamisi kirjeldada läbi leinaprotsessi etappide. Esmalt tabab neid šokk ja eitamine, siis viha, tingimine, depressioon ja lõpuks leppimine. Leppimine, et jah, ka meie võime olla sihtmärk.

Õnneks saavad ettevõtjad aina rohkem aru, miks on vaja mõista, kuidas konkreetne tehnoloogia või lahendus mõjutab kogu ettevõtte käekäiku. Esimene samm on tajuda, et see on miski, millesse on tarvis oma aega ja ressursse planeerida. Parim viis selleks on palgata infoturbejuht. Selleks, et infoturbejuht saaks pakkuda suurimat lisaväärtust, peaks ta alluma otse juhile ning kindlasti ei tohiks tema eelarve olla osa nn klassikalisest IT-eelarvest. Infoturbejuht on mõnes mõttes ka tõlk kahe kultuuri vahel. Ta selgitab juhtkonnale IT-d ja sellega seotud protsesside olulisust ning IT-inimestele omakorda juhtide äriliste otsuste tagamaid ja kaasnevaid turvanõudeid.

Ettevõte peaks kindlasti koostama põhjaliku riskianalüüsi, et end paremini kaitsta ja tegevusi planeerida. Riskianalüüs peab lähtuma ettevõtte tegevusriskidest, mitte pelgalt küberturbe vaatevinklist.

Kolmas oluline aspekt on testimine, sest turvalisus selgub testides. Hea praktika, mida soovitan kindlasti järgida, on see, et uus lahendus (näiteks e-pood või äpp) ei läheks käiku enne, kui selle kaitstus on proovile pandud. Parim lahendus on suunata kohe teatud protsent arenduseelarvest turvatestimisteks. See tundub kallis, kuid on odavam, kui hiljem rünnakujärgselt tagavaarakoopiaid otsida ja kliendiandmebaase taastada.

Nii nagu ettevõtted, mida KTK esindab, soovivad ka kurjategijad teenida tulu võimalikult väikeste kuludega. Tulemüüride või tehnoloogiate lõhkumine on kallis, kui neis ei peitu turvanõrkust, mida pole veel paigatud. Seega on väga vähe juhtumeid, kus kurjategijad proovivad toore jõuga läbi murda töötavatest kaitsekihtidest, näiteks tulemüürist või VPNist.

Küll aga proovitakse lihtsate vahenditega kätte saada töötajate kasutajatunnuseid ja paroole ning nende abil pahandust teha. See on sarnane inimese immuunsüsteemile – kui antikehad tunnevad viiruse ära, siis see hävitatakse silmapilkselt. Aga kui viirus paistab antikehade jaoks justkui tavaline rakk, siis saab see kehas rahulikult ringi uitada. Sellisel juhul ei saa tehnoloogia aidata, sest kurjategija käes on legitiimsed ja tegelikud andmed, millega peabki saama näiteks postkasti või siseveebi sisse logida.

Inimeste koolitamine võtmetähtsusega

Tehnoloogia ei saa aidata seal, kus inimene ise käitub hooletult. Sellepärast ongi RIA roll vaadata otsa nii tehnoloogiatele, inimestele kui ka ettevõtetele.

Seda, et 2021. aastal on endiselt nõrgimaks lüliks inimene arvuti või nutiseadme taga, nendib enamik infoturbe eksperte. Üks meetod selles vallas paremaid tulemusi saavutada ja turvalisust suurendada on parandada küberhügieeni. Politsei pole lõpetanud selgitamast, et turvavöö kinnitamine võib päästa sinu elu. Seda on räägitud 30 aastat ning kuigi suur osa inimestest saab sellest aru, leidub ikka neid, kellele peab seda kordama. Küberhügieenist rääkides oleme justkui veel 2000. aastates, mil taksojuhid panid turvavööpesasse jupi, mis peatas häiresignaali lakkamatu piiksumise. Nii sai ilma vööta sõit rahulikult jätkuda.

HOIA END KURSIS!

Seega peavad ettevõtted jätkama koolitusi, et töötajate digioskusi edendada. RIA ulatab siin samuti hea meelega abikäe. Lisaks erinevatele kampaaniatele ning infopäevadele, millest viimane leidis aset novembri teisel nädalal (järelevaadatav siit), on meil juba mõnda aega käigus selget kübernõu jagav portaal itvaatlik.ee.

Nüüd jõuan jutuga teemani, mis võib tunduda kuiv, aga mis aitab ettevõtteid kaitsta: infoturbe standardi rakendamine. Praegu kehtib veel ISKE standard, mida on oma olemuselt ja ka rakenduslikult üsnagi keeruline kasutada. Uuel aastal liigume üle täiesti uuele n-ö rätseplahendusele ehk Eesti infoturbestandardile (E-ITS), mille eesmärk on pakkuda organisatsioonile infoturbe riskidega toimetulekuks infoturbe halduse süsteemi. Küsimusele, kas standardi rakendamine hoiab ära küberründeid, on lihtne vastus – ei. Küll aga muudab see teie ründamise keerulisemaks ning aitab paika panna konkreetse plaani, kuidas pärast rünnakut taas kiiresti jalule tõusta ja ettevõtte tegevus taastada.

Soovitan võtta infoturvet tõsiselt, sest ühest seadistusveast või õngitsuskirjast võib piisata, et ettevõtte töö peatada.

RIA intsidentide käsitlemise osakond CERT-EE on möödunud aasta vältel käsitlenud üle 2000 küberintsidendi, millel oli reaalne mõju. Sellele arvule lisanduvad automaatseire tuvastatud ja tõrjutud sajad miljonid rünnakukatsed. Anname 2021. aasta septembrist välja ka igapäevast CERT-EE uudiskirja, mis räägib Eesti küberruumis toimunust ning olulistest rahvusvahelistest küberuudistest. Seda tellib umbes 1300 inimest. Soovitame kindlasti ka kõigil KTK liikmetel seda tellida ja sellest oma juhtidele rääkida. Uudiskirjaga liitumise juhendi leiab siit. Kui olete juba selle infokirja lugeja ja teil on mõtteid, kuidas RIA saaks seda teenust paremini osutada, siis ootame julgesti teie ettepanekuid.

Loodan, et eelnev jutt pani teid korraks mõtlema oma ettevõtte küberturvalisusele. Soovitan võtta infoturvet tõsiselt, sest ühest seadistusveast või õngitsuskirjast võib piisata, et ettevõtte töö peatada. Oleme alati valmis kaaluma erinevate sektorite küberturbekoolitusi ning võite meie poole pöörduda ka sooviga turvatestida teie teenuseid ja infosüsteeme.

Ja mis peamine – pole olemas 100% turvalisust, küll aga saate rakendada eri meetmeid, et muuta ettevõte kurjategijate jaoks keerulisemaks sihtmärgiks ja tagada võimalikult valutu töö taastamine, kui küberrünnak on aset leidnud.

Artikkel ilmus Eesti Kaubandus-Tööstuskoja väljaandes Teataja nr 6/2021

Reeglid küberruumis aitavad päästa pildituks löömise eest

Ilmar Toom, RIA standardi- ja järelevalveosakonna juhataja

Mai esimene nädal. USA energiaettevõtet Colonial Pipelines tabas küberrünnak, mille tõttu tuli neil peatada 8900 kilomeetri pikkuse naftatorustiku töö. Pea pool USA idarannikul kasutatavast vedelkütusest liigub mööda neid torusid ning nende sulgemine põhjustas kütusenappuse ja lühiajalise paanika, mis päädis kütuse kokkuostmisega. DarkSide’i nime kandev grupeering varastas 100 gigabaiti andmeid ning Colonial Pipelines maksis kurjategijatele pea neli miljonit dollarit, et nad saaksid naftatoru uuesti tööle panna. Ühest küljest on maksmine arusaadav (teenus taastub), teisalt saavad kurjategijad raha selleks, et korraldada veel paremaid ründeid. Seega ei ole maksmine mõistlik taktika.

Mai keskpaik. Iirimaa tervishoiusüsteemi tabas ulatuslik küberrünnak. Conti-nimelise pahavara abil lukustati ehk muudeti kasutamatuks suurel hulgal terviseandmeid ning iirlased pidid sulgema oma IT-süsteemid, et hoida ära pahavara laiem levik. See aga põhjustas tõrkeid tervishoiuteenustes. Kübergrupeering andis iirlastele “võtme”, millega lukustatud andmed vabastada. Kui Iirimaa ei maksa kurjategijatele 16 miljonit eurot, pannakse müüki 700 gigabaidi jagu varastatud andmeid. Iirlased kardavad, et kõik konkreetse tervishoiusüsteemi andmed on kompromiteeritud.

RIA küberintsidentide käsitlemise osakond (CERT-EE) on Eesti küberruumi silmadeks. Ööpäevas tuvastavad nad kuni 100 uut pahavara päevas, aga on ka päevi, kui leitakse 1000 uut pahavara. Ühes kuu tõkestatakse kuni pool miljardit rünnakut riigisektori suunal.

Pigem kohe kaitsta

Sellised suured küberrünnakud, mille käigus lukustatakse ettevõtete ja asutuste toimimiseks vajalikud andmed, on väga suure mõjuga ning seavad ohtu inimeste elu. Lunavararünnakuid ei pea olema palju, et nad avaldaksid suurt mõju. Piisab täpsest sihtimisest. Need kaks maikuu näidet kinnitavad seda. Edukaid lunavararünnakuid pannakse toime ka Eesti ettevõtete vastu: sel kuul said pihta majandustarkvara pakkuv ja automüügiga tegelev ettevõte.

Riigi Infosüsteemi Ameti (RIA) küberintsidentide käsitlemise osakond (CERT-EE) on viimased paar aastat registreerinud keskmiselt 2-4 lunavararünnakut kuus, aga need on vaid juhtumid, millest teada antakse. Tänavu on RIA-le teada antud 15 edukast lunavararünnakust, andmete avamise eest on küsitud ühelt Eesti firmalt rohkem kui 100 000 eurot. Ettevõtte kaitsmine on kurjategijatele lunavara maksmisest odavam. Pealegi ei ole lunavararünnakute puhul kunagi kindlust, et raha maksmine andmed vabastab. Seega peavad Eesti ettevõtted ja asutused astuma enda kaitseks samme – vastasel korral piisab ühest täpsest hoobist, et lüüa nad pikaks ajaks siruli või lausa pankrotti.

IT-süsteeme täiesti tasuta kaitsta ei saa. Tehniliste vahendite kõrval on vaja koolitada töötajaid ja luua töökorraldus, mida rünnaku ajal järgitakse. Siin saab RIA veidi aidata. Värske Eesti Infoturbestandard (E-ITS) aitab paika panna reeglid, kuidas end organisatsioonina internetis paremini kaitsta. See on justkui infoturbeaabits avalikule, aga miks ka mitte erasektorile.

Avalikul sektoril, sh omavalitsustel on sadu andmekogusid ja infosüsteeme, mis on tulvil tundlikke andmeid. Sestap peabki asutustel olema selge ülevaade enda süsteemides toimuvast ja protsessidest, kus ja kuidas neid süsteeme ja andmeid kasutatakse. Samuti peab organisatsiooni juhtkond mõistma oma vastutust ning arvestama ohuga, et kunagi tabab küberrünnak või -intsident ka neid, ja selleks valmistuma. Organisatsiooni kaitsmine algab väikestest asjadest. Alustada võiks lihtsatest asjadest nagu ülevaade inimestest, kes pääsevad andmetele ligi, või millist tark- ja riistvara üldse kasutatakse, kuidas on kaks asutust omavahel andmevahetusega seotud jne.

30 aastat tagasi ei pruukinud asutuse maailm kokku variseda, kui dokumendiarhiivi uks jäi hetkeks lukustamata.

30 aastat tagasi ei pruukinud asutuse maailm kokku variseda, kui dokumendiarhiivi uks jäi hetkeks lukustamata. Kui tänasel päeval jäetakse enda süsteemid kaitsmata, siis võivad minutitega lekkida või krüpteeritud saada gigabaitide jagu andmeid ja kasutamatuks muutuda infosüsteemid.

Iga kuu proovitakse Eesti infosüsteemidesse pääseda sadu miljoneid kordi. Üks hetk jõutakse ka nendeni, kes arvavad, et nende infosüsteemid on vähetähtsad. Automatiseeritud küberrünnakud on nagu kulutuli, mis põletab enda teel nii noore istiku kui ka suure tamme.

ISKE asemel E-ITS

Inimeste võimuses on teiste vigadest õppida ja seeläbi vigu vältida. Uus infoturbestandard koondab kõikvõimalikud infoturbe ohud ning pakub meetmeid, kuidas riske vähendada. Kuid mitte ainult. Eesti infoturbestandardi üks mõte on tekitada inimestes usaldust digiriigi ja sedakaudu terve riigi vastu. Mida paremini suudame E-ITSi rakendada, seda kindlamini suudame toime tulla ootamatustega, olla oma tegevustes läbipaistvamad ning tagada usaldus riigi infosüsteemide ja riigi vastu tervikuna. Iga kord, kui e-riigi teenus lakkab töötamast, saab usaldus löögi. Piisavalt palju hoope võib e-riigi siruli lüüa ning jalule saamise hind võib olla üüratu.

Automatiseeritud küberrünnakud on nagu kulutuli, mis põletab enda teel nii noore istiku kui ka suure tamme.

Uus Eesti Infoturbestandard vahetab järgmiste aastate jooksul välja mahuka seni kasutusel oleva infoturbesüsteemi ISKE ning on kordades õhem, konkreetsem ja rohkem sihtgruppe arvestav. Väiksemast mahust hoolimata on käsitletud meetmete komplekte, millest pikalt puudust tuntud. Näiteks on standardis eraldi käsitletud tööstusautomaatika seadmeid ja nende haldust (SCADA, robotid, kõikvõimalikud andurid) ja palju muud.

E-ITSiga seonduvad materjalid leiab portaalist https://eits.ria.ee. Eesti infoturbestandard koostati Euroopa Liidu struktuuritoetuse toetusskeemi „Infoühiskonna teadlikkuse tõstmine“ raames Euroopa Regionaalarengu Fondi rahastusel.

Artikkel ilmus 27. mail 2021 ajalehes Postimees.