Kaks videovalvekaamerate kriitilist turvanõrkust ohustavad kaamerate kasutajaid

Nimetus:  CVE-2021-33044
Turvanõrkuse riskiskoor: 9.8/10 [1]

Nimetus: CVE-2021-33045
Turvanõrkuse riskiskoor: 9.8/10 [2]


Taust

Viimastel aastatel on mitmetes maailma meediaväljannetes kajastatud küberintsidente, mis viidi ellu kasutades kurjategijate kontrolli all olevaid IoT- (Internet of Things) seadmeid, sh videovalvekaameraid[1] [2]. IoT-seadmed on väiksemad internetti ühendatud seadmed nagu näiteks kaamerad, nutilambid, nutitelerid, kõlarid, termostaadid jms [3]. Selliseid nutikaid lahendusi kasutatakse üha rohkem[4]. Sageli on need mitmete turvanõrkuste tõttu ahvatlevaks sihtmärgiks küberründajatele.

2021. aasta sügisel avalikustati Dahua videovalvekaameraid mõjutavad kriitilised turvanõrkused CVE-2021-33044 ja CVE-2021-33045. Need võimaldavad ründajal parooli teadmata haavatavate kaamerate haldusliidesesse lihtsalt ligi pääseda. Nõrkuste ärakasutamiseks on ründajale vaja, et haavatava seadme haldamiseks mõeldud keskkond oleks internetist kättesaadav või et tulemüüri taga oleva seadme haldusliidesele oleks tehtud pordisuunamine. Pahalane saab sellisel juhul haavatava seadme haldusliidese kompromiteerida ja kasutada seda ära vastavalt enda eesmärkidele. Muuhulgas on tal võimalik jälgida kompromiteeritud kaamera videopilti, koguda selle abil tundlikku informatsiooni (paroole, ärisaladusi vms), kasutada kogutud informatsiooni väljapressimiseks või liita kompromiteeritud seade robotvõrgustikuga, mille abil panustab seade omaniku teadmata enda ressurssi teenusetõkestusrünnete sooritamiseks teiste sihtmärkide vastu.  

Mõju Eestis

2022. aasta 10. mai seisuga on Riigi Infosüsteemi Ameti analüüsi tulemusel Eesti küberruumis ligi poolteist tuhat Dahua seadet, mis on internetist nähtavad. CERT-EE tuvastas, et ligi 13% seadmetest on endiselt potentsiaalselt vähemalt ühe turvanõrkuse vastu haavatavad. CERT-EE on teavitused võimalike haavatavate seadmete kohta edastanud vastavatele osapooltele, et nõrkused paigataks. Seni ei ole CERT-EEle teada ühtegi kuritarvitamise juhtumit. 

Turvanõrkuste abiga on ründajal potentsiaalselt võimalik haavatavad seadmed üle võtta ja kasutada neid ülalnimetatud pahaloomuliste tegevuste sooritamiseks. Arvestades, et avalikult on kättesaadavad erinevad tööriistad nõrkuste ärakasutamiseks ja nende kasutamine on suhteliselt lihtne, kujutavad need haavatavused potentsiaalselt ohtu mõjutatud seadmete omanikele ja ka teistele kasutajatele (kompromiteeritud seadmeid saab kasutada näiteks teenusetõkestusrünnete sooritamiseks). Lisaks sellele võib intsidendi korral tegu olla ka GDPRi nõuete rikkumisega. Tulenevalt menetluse käigust võib rikkumise korral seadme omanikku oodata rahatrahv.

Turvanõrkuste olemus

Mõlema turvanõrkuse puhul on kasutusviis ja saavutatav tulemus sarnane. Turvanõrkuste ärakasutamiseks tuleb ründajal saata haavatava seadme suunas spetsiaalne andmepakett. Piltlikult öeldes saab ründaja kasutada võtit, mis kõik talle nähtavad haavatavad videokaamerate haldusliideste „uksed“ avab.  

CVE-2021-33044 turvanõrkuse ärakasutamine on tehtud seejuures väga lihtsaks, kuna selle jaoks on avalikult kättesaadav brasuerilaiendus. Ründajale piisab vaid külastada haavatava Dahua videokaamera haldusliidese sisselogimislehekülge ja klikata brauseris vastava laienduse nupule. Selle tagajärjel on võimalik liidesesse ilma autentimata ligi pääseda. CVE-2021-33045 haavatavuse puhul ei ole sellist laiendust veebilehitsejatele loodud, kuid ründamiseks piisab samuti spetsiifilise andmepaketi saatmisest haavatava seadme suunas. 

Millised seadmed on haavatavad?

2021. aasta 15. novembri seisuga on tootja hinnangul vähemalt ühe turvanõrkuse vastu haavatavaid seadmeid ja tarkvaraversioone palju. Tootja on haavatavad seadmed ja nende versioonid koos paikadega välja toonud järgneval veebileheküljel: https://www.dahuasecurity.com/support/cybersecurity/details/957

Vastumeetmed

Haavatavate seadmete haldajatel tuleb lähtuda tootjapoolsest informatsioonist ja uuendada seadmete tarkvara. Tootja juhendi, kuidas Dahua seadme mudelit ja versiooni tuvastada, leiate siit. Samuti tuleks lisaks seadmete uuendamisele piirata haldusliidese kättesaadavust, rakendades IP-põhist piirangut (nt ACL reeglitega) või kasutades VPNi. 

RIA nõuanded:

  1. Veenduda, et haldusliidese kasutajad ei kasutaks nõrku, korduvkasutatavaid või vaikimisi tootja poolt seatud paroole. Kuigi parooli tugevus ei aita siin ohuhinnangus mainitud konkreetsete turvanõrkuste vastu, kompromiteeritakse sageli videovalvekaameraid ja teisi IoT-seadmeid just seetõttu, et haldusliidese kasutajad kasutavad nõrku, korduvkasutatavaid või vaikimisi seatud paroole, mida on ründajal kerge ära arvata. 
  2. Võimalusel luua kaamera haldamiseks unikaalse kasutajanime ja tugeva parooliga uus kasutaja ning deaktiveerida vaikimisi seatud administraatori konto. See vähendab tõenäosust, et jõurünnete jooksul kasutatavad levinud kasutajatunnused (nt. admin/admin, administrator/admin) toimiksid. 
  3. Soovitame kaaluda võrgu segmenteerimist, kui see on võimalik ja seda ei ole juba tehtud. Selle meetme abil vähendatakse riski, et kaamera/kaamerate kompromiteerimise korral oleks ründajal potentsiaalselt võimalik mõjutada ka teisi seadmeid.
  4. Võimalusel rakendada kaamerale/kaameratele automaatne uuendamine. Kui see ei ole võimalik, siis tuleks luua kindel uuendamisprotseduur (vähemalt kord kuus veenduda, kas tootja on väljastanud uuendusi – kui jah, siis need installeerida).
  5. Teatud juhtudel võib intsident põhjustada isikuandmetega seotud rikkumise. Sel puhul tuleb sellest teavitada ka Andmekaitse Inspektsiooni (täpsem infomatsioon siit). Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist. 
  6. Intsidendi kahtluse korral soovitame ühendust võtta CERT-EE-ga, kirjutades nende meiliaadressile cert@cert.ee
  7. Soovitame tutvuda ka Andmekaitse Inspektsiooni teabelehega, mis käsitleb nõudeid videovalve korraldajale.

[1] https://duo.com/decipher/mirai-based-botnet-infects-vulnerable-surveillance-cameras

[2] https://firedome.io/blog/smart-camera-manufacturer-recall-mirai-iot-malware-attack/

[3] https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/

[4] https://dataprot.net/statistics/iot-statistics/

[5] https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/

[6] https://dataprot.net/statistics/iot-statistics/

Valmis esmakordne ülevaade Eesti digiriigi ajaloost

Majandus- ja kommunikatsiooniministeeriumi, Riigi Infosüsteemi Ameti ning Ernst & Young Balticu koostöös valmis ülevaade Eesti digiriigi ajaloo kujunemisest, mis talletab digiriigi võtmetegijate mälestusi perioodil 1991-2016. Kokkuvõte toob esile intervjuudest välja koorunud kesksed teemad, õppetunnid ja hinnangud ning pakub välja esialgse periodiseeringu digiriigi ajaloost.

„Digiriik on tõenäoliselt Eesti kõige tuntum bränd. Ometi on digiriigi kujunemislugu uuritud napilt,“ tõdeb Lõuna-California Ülikooli ja Tartu Ülikooli lektor Aro Velmet, kes oli üks intervjuude läbiviijatest ja analüütilise kokkuvõtte koostaja.

Majandus- ja kommunikatsiooniministeeriumi tellimisel ja Riigi Infosüsteemi Ameti toetusskeemi koordineerimisel tegi Ernst & Young Baltic 2021. aasta juunist detsembrini kokku 60 intervjuud Eesti digiriigi kujunemisel võtmerolli mänginud inimestega. Kokku salvestati ligi 65h videomaterjale, mis anti üle rahvusarhiivile. Intervjueeritud esindasid eri elualasid ja valdkondi ning tegutsesid neis erinevatel aegadel. Ühelt poolt oli eesmärk katta võimalikult palju erinevaid digiriigi lahendusi, teisalt taotleti võimalikult mitmekesist vaadet toimunule eri nurkadest. Neist kriteeriumidest lähtudes valiti intervjueeritavate hulka eri ametiastmetel ja eri funktsioonides töötanud inimesi: visionääre ja poliitikuid, ametnikke ja juriste, insenere ja ettevõtjaid, süsteemide rakendajaid, kasutajaid ja turundajaid.

Videoid saab näha filmiarhiivi infosüsteemist: http://www.eha.ee/fa/public/index.php. Pealkirja otsingusse tuleb panna „digiriigi“ või tootja otsingusse „Riigi Infosüsteemi Amet“. (Aprillis avaneb filmiarhiivil uus visuaalsem ja nutiseadmesõbralikum kasutajaliides aadressil meediateek.ee.)

Intervjuude põhjal koostas Aro Velmet analüütilise kokkuvõtte „Digiriigi kujunemine 1991-2016″, mis toob esile kesksed teemad ning pakub välja esialgse periodiseeringu digiriigi ajaloost. Aruanne rõhutab digiriigi ajaloo dünaamilisust: 25 aasta jooksul on digiriigi institutsioonide kujunemist suunanud tegurid korduvalt muutunud, paljude osalejate hinnangul on liigutud stiihiliste, üksikute visionääride juhitud ja eelarveliselt kasinate “põlve otsas tehtud” ettevõtmiste juurest institutsionaliseeritud, suurte eelarvete ja bürokraatlikult keerukate süsteemide ehitamiseni, mille vahele on jäänud veel mitu etappi.

Teine rõhuasetus on erinevate sektorite koostööl: suur osa digiriigi komponente, millest kõige sagedamini kõlanud näited on ID-kaart ja digitaalne autentimine, on loodud avaliku ja erasektori, eriti pankade ja telekomide, koostöös.

Kolmandaks fookuseks on digiriigi loojate erinevad ja teinekord vastukäivad motiivid: digitaalsete avaliku sektori lahenduste loomise eesmärgina võidi tajuda igapäevatöö lihtsustamist (n-ö ametniku vaade), teenuse kasutajatele mugavama ja kiirema kasutajakogemuse pakkumist (n-ö inseneri vaade), aga ka demokraatliku ühiskonna arendamist ja riigielus kaasalöömise võimaluste suurendamist (n-ö visionääri vaade).

Viimaks käsitletakse digiriigi mõiste sattumuslikkust – peaaegu kõik intervjueeritavad tõid välja, et Eestis puudus plaan e-riigi, infoühiskonna või muu taolise katussüsteemi ehitamiseks, vaid neid nimetusi hakati kasutama tagantjärele paljude eri põhjustel ja eri dünaamikatega tekkinud süsteemide kirjeldamiseks.

Digiriigi ajaloo etapid

1991-1995 – üleminekuaeg
1996-2001 – institutsionaliseerumine
2001-2010 – digiriigi kõrgaeg
2010-2016 – laienemine ja kindlustamine


Õppetunnid ja hinnangud

Intervjuude lõpus paluti küsitletutel tuua välja mõned õppetunnid digiriigi esimesest 25 aastast, mida võiks tulevikus arvesse võtta.

Vabadus tegutseda

Korduvalt toodi välja varajase digiriigi perioodil eksisteerinud vabadust, mis haaras nii tellijaid kui ka arendajaid. Riik julges ette võtta pretsedendituid arendusi ning anda arendajatele võrdlemisi vabad käed nende elluviimisel. Probleemide tekkimisel oldi valmis neid lahendama kiirete otsustega ning vigade tegemist peeti arendusprotsessi loomulikuks osaks, mitte tingimata läbikukkumiseks.

Inseneride mõtteviis

Rõhutati insenermõtlemise rohkust nii avaliku kui ka erasektori poolel. See tegi võimalikuks eri poolte lihtsama läbikäimise (targa tellija fenomen) ning lihtsustas poliitiliste konfliktide lahendamist, kuna usaldati inseneride hinnanguid eri lähenemiste võimalikkusele, turvalisusele jmt. “Kui insenerid ütlesid, siis seda tehti,” nagu võttis oma intervjuus kokku Priit Alamäe.

Oskamatus karta

Kuna nii riigil kui ka arendajatel puudusid kogemused suurte süsteemide loomisega, siis ei osatud veel karta erinevaid komistuskive ja probleeme. See omakorda võimaldas ette võtta ambitsioonikamaid projekte ning omandada nende elluviimisel väärtuslikke kogemusi, isegi kui nende käigus tehti vigu või kui need lõpuks ei osutunud täpselt sama säravaks kui hankes ette nähtud oli. Selle protsessi käigus jõuti ka ühe digiriigi suurema tugevusena välja toodud omaduseni – iteratiivsuseni. Ülimastaapsete, pikalt ette planeeritud projektide asemel oldi valmis hakkama otsast väiksemaid tükke tegema ja siis töö käigus õppima.

Läbipõimunud kogukond

Asjaolu, et enamik ametnikke, arendajaid ja insenere tundsid üksteist, lihtsustas oluliselt koostööd ja läbikäimist. Paljud küsimused oli võimalik ära lahendada mitteformaalsetes vestlustes, saunaõhtutel, koolikaaslaste omavahelise läbikäimise käigus. Teisalt, ka riigistruktuurid olid vähemalt digiriigi algusperioodil piisavalt õhukesed, et käsuliine pidi jooksev suhtlus võis toimuda üsnagi mitteametlikult. “Eestil on olnud paindlikkust ja kiiret otsustusvõimet – Aare Lapõninist peaministrini on kolm-neli inimest,” tõdes üks intervjueeritavatest Marek Helm.

Avaliku ja erasektori koostöö

Kõige rohkem muutunud trendina toodi välja koostöövalmidust. Varajase digiriigi puhul rõhutati pea iseenesestmõistetavat koostööd avaliku ja erasektori vahel. “Pole tähtis kas sa oled avalikust või erasektorist, kui sa oled normaalne inimene, siis saab sinuga asju ajada,” tõdes intervjuus Linnar Viik. Taolist suhtumist võrreldi sageli 2010ndate suurenenud umbusuga, sagenenud vaidlustega hanketulemuste, vastutuse jaotamise jmt üle ning avaliku sektori suurenenud rolliga digiühiskonna arengu juhtimisel. Varajase perioodi koostöö allikatena toodi välja ühelt poolt riigimehelikkust, teisalt aga ka pragmatismi – üleminekuaja väheste vahendite tingimustes oli sektoriteülene koostöö sageli lihtsalt ainuvõimalik viis paljusid arendusi teostada.

Kasutajakeskne mõtteviis

Eri perioodidel tegutsenud intervjueeritud rõhutasid läbivalt, et “IT on ainult vahend” (Imre Siil) ning et digiriigi eesmärk ei peaks olema paberblankettide üks-ühele digitaalsesse vormi üle kandmine, vaid uute tehnoloogiate ära kasutamine kasutajakogemuse parendamiseks, teenuste kättesaadavamaks ja mugavamaks muutmiseks. Ülle Madise sõnastas seda kui hea halduse põhimõtet: “et kodanikul oleks riigist võimalikult palju kasu ja võimalikult vähe tüli.”

Soov eemalduda eelmisest ühiskonnast

Viimaks nentisid paljud intervjueeritud, et digiriigi arendusi kannustas soov eemalduda nõukogude perioodi väärtustest ja töökultuurist, mida tajuti suuresti 1990ndaid kujundanud mentaliteedina. Digiriigi arendused võimaldasid vähendada ametnike korruptsiooni – “Nagu Toomas Hendrik Ilves ütles, you cannot bribe a computer” (Marek Helm). Digitaalsed infosüsteemid pidid vähendama ametnike infomonopoli ning suurendama kodanike võimet jälgida ja vastustada riigi tegevust. Teisalt peeti silmas ka erinevaid eeskujusid, kellest taheti eeskuju võtta ja mööda minna, sageli oli tegemist Põhjamaadega. “Me ehitasime uut ühiskonda – et oleks parem kui Soomes!” (Indrek Neivelt).

Projekti tellis Majandus- ja kommunikatsiooniministeerium ja tööd teostati Euroopa Liidu struktuuritoetuse toetusskeemist “Infoühiskonna teadlikkuse tõstmine”. Projekti viis läbi Ernst & Young Baltic. Intervjuusid korraldasid Ernst & Young Baltics esindajad Helina Meier ja Raivo Ruusalepp ning Lõuna-California Ülikooli ja Tartu Ülikooli lektor Aro Velmet, kes koostas intervjuude põhjal analüütilise kokkuvõtte.

Aro Velmeti sõnul ei anna kokkuvõte kindlasti täielikku ülevaadet kõikidest esile kerkinud teemadest, motiividest ja õppetundidest, nii nagu intervjueeritavad neid nägid ning edasiseks põhjalikuks uurimistööks on veel küllalt ruumi.

Intervjueeritute nimekiri

1             Linnar     Viik

2             Aare       Lapõnin

3             Riina       Einberg

4             Uuno      Vallner

5             Marek    Helm

6             Agu         Kivimägi

7             Tiit           Tammiste

8             Priit         Alamäe

9             Indrek    Neivelt

10           Arvo       Ott

11           Liia          Hänni

12           Kaidi       Ruusalepp

13           Hille        Hinsberg

14           Ülo          Jaaksoo

15           Margus   Püüa

16           Jüri          Jõema

17           Imre        Siil

18           Urmas     Kõlli

19           Jüri          Heinla

20           Aivo        Adamson

21           Tarvi       Martens

22           Ülle         Madise

23           Mart       Laar

24           Ivar         Tallo

25           Kalev      Härk

26           Mari        Pedak

27           Arne       Ansper

28           Priit         Pirsko

29           Ain          Järv

30           Madis     Tiik

31           Ain          Aaviksoo

32           Valdo      Praust

33           Jaak         Aaviksoo

34           Erkki       Leego

35           Toomas Hendrik  Ilves

36           Raul        Savimaa

37           Alar         Ehandi

38           Jaan        Priisalu

39           Mart       Laanpere

40           Ants        Urvak

41           Kalev      Pihl

42           Taavi       Kotka

43           Hillar       Aarelaid

44           Heiki       Sibul

45           Anto       Veldre

46           Maarja-Leena       Saar

47           Tarvo      Trei

48           Mall        Hellam

49           Marko    Lehes

50           Mehis     Sihvart

51           Margus   Arm

52           Ruth        Ääremaa

53           Kaja         Kuivjõgi

54           Kaido      Raiend

55           Riho        Oks

56           Karin       Rits

57           Siim         Sikkut

58           Ahto       Buldas

59           Tanel      Tammet

60           Epp         Joab

Elektrooniline hääletamine on peagi olnud kasutusel 20 aastat, kuid mis selle turvalisuse tagab?

Riigi valimisteenistus tegi detsembris 2021 kokkuvõtte sellest, millega on tagatud elektroonilise hääletamise turvalisus.

Elektroonilise hääletamise turvalisus algab valijarakendusest. Elektrooniline hääl allkirjastatakse valija arvutis ja saadetakse sealt edasi elektroonilisse valimiskasti, mille tulemusena ei ole kellelgi võimalik digiallkirjastatud dokumendi sisu enam muuta. Sellega välistame olukorra, kus näiteks kusagil mujal tekitatakse allkirjastatud dokument ja selle tekitamise käigus vahetatakse ära tema sisu ehk valija hääl.

Selleks, et tuvastada valija arvutis pahavara, mis muudab valiku sisu valija teadmata, oleme loonud nutiseadmele kontrollrakenduse. Täiesti eraldiseisva seadmega saab kontrollida, kas allkirjastatud e-hääle sisu vastab tõepoolest sellele, kelle poolt valija valijarakenduses valis.

Selleks, et kontrollimise rakendust ei oleks võimalik kuidagi QR-koodiga petta, laeme nutiseadmesse elektroonilisest valimiskastist alla valija reaalse hääle. Selle tagamiseks kontrollime, kas hääl on antud ID-kaardi või mobiil-ID-ga. See aitab tuvastada ega kliendi arvutis pole töötanud pahavara, mis kliendi eest häält allkirjastab.

Lisaks sellele avame alla laaditud ja allkirjastatud faili sees oleva valiku ning kuvame selle valijale. See on tarvilik selleks, et välistada olukorda, kus valija arvutis krüpteeritakse valik vale võtmega või et valiku sisu muudetakse valija teadmata. Siiani pole tulnud ühtegi pöördumist, et kontrollrakenduses kuvatav valik oleks olnud teine võrreldes valijarakenduses tehtud valikuga.

Kui elektroonilised hääled on jõudnud Riigi Infosüsteemi Ameti (RIA) elektroonilisse valimiskasti, peame olema kindlad valimiskasti tervikluses ning et keegi ei saaks sealt hääli omavoliliselt eemaldada. Selleks kasutame sõltumatut kolmandat osapoolt, milleks on sertifitseerimiskeskuse logi. Nemad peavad arvestust iga valimiskasti jõudnud hääle ajatempli kohta. Seni pole me tuvastanud ühtegi olukorda, kus sertifitseerimiskeskuses on andmed hääle kohta olemas kuid valimiskastist puudu.

Selleks, et RIA pakutav teenus oleks turvaline, teostatakse enne igat valimist kogu süsteemile ja sellega seotud komponentidele küberturbe teste. Seekord oli testijaks Clarified Security, mis mitme kuu vältel proovis murda valijarakenduse, kontrollrakenduse ja teenuste turvalisust. Ühtegi viga, mis seaks kahtluse alla elektroonilise hääletuse turvalisuse ei tuvastatud.

Lisaks viiakse enne valimisi läbi ka infosüsteemide turvameetmete süsteemide (ISKE) audit, et olla kindlad elektroonilise hääletamise süsteemi vastavusele Eesti riigis kehtestatud ISKE turbestandarditele.

Elektroonilise valimiskasti töötluseks valmistatakse ette riigi valimisteenistuses (RVT) vastav keskkond, mis ei ole internetiga ühenduses. Selleks, et olla kindlad häälte töötlemise turvalisuses, väljastatakse iga töötlemisetapi kohta allkirjastatud väljundi info. Seda kontrollivad audiitorid, et olla kindlad, et keegi ei ole pahataktlikult eemaldanud või lisanud hääli. Kuna iga protsessi kohta on olemas vastav tõestusmaterjal saab audiitor kinnitada, et hääletamistulemused on korrektsed. Auditeerimine viiakse läbi audiitori enda loodud auditeerimise programmiga ja audiitori enda riistvaras, et välistada RVT keskkonna kompromiteeritus.

Elektroonilise hääle turvalisuse tagab digiallkiri ja digiallkirjastatud dokumenti muuta ei ole võimalik. Valimiskasti terviklikkuse kontrolli tagab meile sertifitseerimiskeskus. Valijarakenduse õigsust saab kontrollida kontrollrakendusega. Kokku lugemise protsessi auditeerib audiitor oma vahenditega eraldisesisvas keskkonnas. Elektroonilise hääletuse süsteemile teostatakse küberturbe teste ja tellitakse ISKE audit.

Kõiki neid tegureid arvesse võttes võime väita täie kindlusega, et elektrooniline hääletamine on turvaline.

Riigi valimisteenistus detsembris 2021