Tag Archives: Android

Põhjalikumalt Androidi turvaaugust

nutitelefon

Anto Veldre, RIA analüütik

Paaril viimasel päeval prõmmivad mitmed uudiseportaalid pomm-uudist, et enamikes Android-seadmetes on hull turvaauk. No on jah. Ei ole Androidi puhul esimene ega ilmselt mitte ka viimane auk.

Kuid nagu löökaukudel ikka, ajalugu on ka oluline. Android tarvitab üht teatavat StageFright nimelist teeki selleks, et reguleerida meediafailide vaatamist kasutajate poolt (DRM).
See võimaldab tekitada digitaalset sisulõhet – tagamaks, et maksev klient näeb digisisu. Arvet peetakse siiski kõigi huviliste üle.

Kuid kui mingi asi reguleerib ligipääsu, siis eeldatakse vaikimisi, et see miski on seotud turvaga ning lisaküsimusi ei esitata. Ju on keegi turva peale mõelnud. Praktikas juhtub ka teisiti – tähtis piiranguteek StageFright sisaldab olulisi vigu ning samas on talle Androidi sees antud liiga suured õigused.

Kõrvalepõikena – Androidi puhul paiknevad üksteise peal tegelikult kaks õiguste süsteemi. Üks asub sügaval Linuxi “kõhus” ning annab StageFright teegile “system” grupi õigused. Ilmutatud tasandil (nn lubade süsteem) saab aga kasutaja oma turvaolukorda pisut ka ise mõjutada, keeldudes äppidest, mis nõuavad paigaldamisel ülemäära palju õigusi.

loabitid

Vahemikus Android 2.2 kuni Android 5.1.1 on haavatavad kõik versioonid. Arvatakse, et asi puudutab umbes 950 miljonit nimetatud op-süsteemiga seadet – tahvleid, telefone. Oht tuleneb mobiilse side võimalustest – kui seade on rünnatav 24/7/365, siis on kuritarvitamise potentsiaal kõrge.

Turvaaugu ärakasutamine on lihtne – kasutaja telefoni täielikuks ülevõtmiseks piisab, kui saata talle (näiteks uneajal) sobiliku sisuga multimeediasõnum (MMS). Omaniku ärkamise hetkeks on andmed juba varastatud ja kontroll telefoni üle antud mõnele ründekonstruktorile (exploit kit). Eriti “rõõmustavad” firmad ja riigiasutused, kes kasutavad Androide oma turvatud sisevõrgu teenuste (näiteks e-mail, dokumendid) tarbimiseks.

Ohust arusaamiseks on vaja mõista Androidi levitusmudeli iseärasusi. Kuigi AndroidOS ise kuulub Google’ile, siis iga telefonifirma või teenusepakkuja modifitseerib originaali (näiteks mõnedele Eestis levitatud tahvlitele on sisse ehitatud Eesti Ekspressi digileht, viisil, et seda ei ole võimalik eemaldada).

Eestis on väga populaarsed just Samsungi telefonid, selle firma versioonid Androidist on kohati tundmatuseni mugandunud. Tulemuseks on väga killustatud turg, ning palju väikesi tegijaid, kel lihtsalt puudub suutlikkus turvauuendusi toota. Selle teema huvilised saavad teemakohaseid värvilisi pilte vaadata siit.

Tänane seis – Google on AndroidOS algkoodis turvaaugu küll ära parandanud, kuid enamike potentsiaalsete ohvriteni see parandus ei jõua, sest telefonifirma (nagu Samsungi) või sidefirma poolt mahamüüdud Android-seade on juba modifitseerija vastutada. Loomulik, et aja jooksul kaob tootjal ning edasimüüjal huvi – kuluefektiivsem on turgu ekstensiivselt edasi vallutada, kui vanade rontidega mässata.

Ravi: hetkel saab iga kasutaja ise midagi ära teha, et sigadus ei jõuaks temani automaatselt; piisab kui MMS (ehk multimeediasõnumite) sättungites automaat-avamine (“Toomine”) ära keelata. Neil, kes omi MMS’e HangOut’i abil vaatavad, tuleks sama teha ka sealsetes sättungites. Kahjuks tuleb tõdeda, et vanemates Androidides säärane häälestuskoht puudub…

Näiteks Androidis 4.4.2 menüüs käib asi sedasi: Sõnumid -> Seaded -> Multimeediumsõnumi seaded -> “Automaatne toomine” – siit tagant peaks hetkel küll linnukese maha võtma.

Eesti keele puhul on vaja silmas pidada veel üht asjaolu – õ-tähe ülekasutamine soodustab mahuületust ning mahuületus omakorda soodustab multimeediasõnumiks teisendamist.

Turvaugu kuritarvitamise sügavast tehnilisest sisust tuleb juttu BlackHat/DefCon üritustel USAs selle aasta augusti alguses ja siis avaldatakse ka täpne rünnakukood. Kuigi tunne on, et osavad häkkerid suudavad kurja MMS saata ka ilma loenguid kuulamata. Ning hetkest, mil (öised) MMS’id saabuvad, võib enamiku vanemaid telefone ilmselt minema visata.

Üks nüanss asja juures siiski on – telefonifirmade logidesse jääb MMS kuritarvitamisest hästi dokumenteeritud kirje. Digikorralikus riigis nagu Eesti tähendab see mõningat, kuigi mitte liiga efektiivset heidutust, kuid sõnumid võivad saabuda ka välismaalt…

Vist on aeg, et ka meie siin Maarjamaal oma telefonimüüjatelt ostu tehes sagedamini küsima – kui kaua on plaan seda seadet toetada? Ja kas tugi sisaldab ka suuremate turvaaukude parandamist?

Kurjad keeled tögavad, et omaniku ainuke šanss on oma vana föön või pihukas ära ruutida ning auklik StageFright sedakaudu tasalülitada, kuid ruutimise riskidest oleme varem juba kirjutanud ning tavakasutajale seda küll soovitada ei saa – ravides välja ühe ohu, võid saada kümme uut asemele…

The Register’i artiklis spekuleeritakse, et tootjad ei hakkagi uuendama vanemat kui Android 4.1 JellyBean versiooni (samas kui hetkel viimane versioon on Android 5.1.1 Lollipop) ning ironiseerivad, et kasutaja võiks võtta haamri ja oma Androidi turvakaalutlustel puruks lüüa. Kui üks juhtivaid IT-uudiste portaale teeb säärast mõru nalja, siis on asi piisavalt tõsine.

[Lisatud 2015-08-11]: Avaldati info veel teisegi suurema Androidi turvaaugu kohta – turvanõrkusest CVE-2015-3825 on hindamisi puudutatud kuni 55% Android-seadmetest.

Lisainfot:

1. http://www.theregister.co.uk/2015/07/27/android_phone_text_flaw/
2. https://threatpost.com/android-stagefright-flaws-put-950-million-devices-at-risk/113960
3. http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/
4. http://venturebeat.com/2015/07/27/researchers-find-vulnerability-that-affects-95-of-android-devices/
5. http://www.bloomberg.com/news/videos/2015-07-27/950-million-android-phones-vulnerable-to-hacks
6. Twitter, kasutajad @ZIMPERIUM, @jduck
7. CERT-FI hoiatus: https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2015/haavoittuvuus-2015-067.html

Mädakohti Androidis, kuukulguris ja bosside edulugudes

CERT-EE infoturbe ekspert Anto Veldre jagab eelmisel kahel nädalal ülestähendatud (k)überhuvitavat infot laiast maailmast.

IBM insenerid avastasid Androidist järjekordse mädakoha. Ohustatud on Androidi kõik versioonid peale kõige viimase (4.4 ehk KitKat).

Viga leiti tegelikult juba eelmise aasta 9. septembril ning vahepealne aeg kulus Kitkat-versiooni paikamiseks. Viga leiti Keystores-teenuse seest, ehk siis koodijupist, mis vastutab krüptovõtmete turvalise hoidmise eest Androidi seadmes. Kui kuriprogramm pääseb ligi Keystores-teenusele ja kasutab järjekordse võtme nimetuses protsessori käske, siis tulemused on ettearvamatud. Halvimal juhul tekib Androidi sees totaalne ligipääs kõigele, ilma igasuguste kasutajaõiguste ja piiranguteta. Paroolide pihtapanek oleks sel juhul juba suhteliselt pisiasi.

Välismaa statistika kohaselt on 86% Android-seadmetest mingit muud versiooni kui 4.4 – järelikult selle turvavea eest kaitsmata – ning vaid 14% kasutab kõige viimast, nn KitKat versiooni. Ning – ei, versiooni nimetusel pole mingit seost meie hiljutise austatud külalise Jason Kitcatiga.

Nagu turvaasjadega ikka, viga iseenesest on ilmne ja kole. Kuid et seda ärakuritarvitada, tuleb eelnevalt telefonile ligi saada mõne pahaprogrammiga. Kas Sinu telefoni saab ver 4.4. peale uuendada? Oled Sa seda juba teinud? Kas Sul on telefonis viirustõrje, mis pahad programmid ära tunneb?

———————————

Profiliiga itimeestele, kes julgevad pidada MySQL serverit avaliku interneti ääres, olgu siinkohal üks Venemaalt püütud vihje (vene keeles) MySQLi vigaste veateadete kohta. Kuidas ajada serverile kägu nii, et see oma andmed reedaks? Tüssamine toimub veateadete kaudu, mis reedavad rohkem infot, kui server tohiks välja anda.

mysql

Hoiatus: ka hea vene keele oskusega tavainimesele (st mitte itimehele) on kirjutatu arusaamatu…

———————————–

Maarjamaisel küberaktsiaseltsil Cybernetica õnnestus äramärkimist leida väljaandes BusinessWire.com.  Kiidetakse eestlaste pädevust ja e-valimisi ja nimetatakse isegi Tartu linna (kus Cybernetica küberosakond põhiliselt asubki).

———————————–

Eelmise nädala naelaks kujunes kindlasti 20 aastat vana turvaviga, mis ühest koodist teise kopeerituna on “Curiosity” kulguri pardaarvutis jõudnud juba ka Marsile.

Aastal 1994 kirjutas programmeerija Markus ühe pakkimisalgoritmi (täpsemalt LZO) koodi. Ja et kood oli hea ja kiire (4–5 korda kiirem muudest pakkimisalgoritmidest), siis on see peaaegu muutusteta rännanud tuhandetesse süsteemidesse. Selles ju seisnebki koodikirjutamise võlu: muudkui kopeerid ja pasteerid 🙂

LZO pakkimisalgoritm on näiteks kasutusel Linuxi kerneli pakkimisel (küll ühena võimalikest alternatiividest) ja Androidi kerneli pakkimiseks.

Nüüd siis aga selgus, et Markus tegi aastal 1994 ka pisikese vea: kasutas muutujat “t” pisut hooletult. Mitte et ründamine väga lihtne oleks, kuid kõrge kvalifikatsiooniga häkker saab muutuja “t” solkimisega hakkama küll. Sel moel on tegu justkui Laatsaruse ülestõusmisega, võtab blogi turvavea piibliteemaga kokku.

Õnneks, nagu turvavigade avaldamisel heaks tavaks, on ohustatud süsteemid enamjaolt juba ära paigatud.

————————————-

Pisukese poliitilise kallakuga artiklis räägitakse küberkolonialismist. Küberkolonialism on siis olukord, kus ühel riigil õnnestub eri meetoditega teisele peale sundida omaenda tagauksi. Näitena tuuakse, et Venemaa valitsus soovib oma riigi arvutitest kõrvaldada USAs toodetud protsessorid.

————————————–

Hiljuti leidis aset järjekordne riigitrooja skandaal (Riigitrooja nimi pärineb saksakeelsest “BundesTrojan” sõnast). Tegemist on siis justkui hea asjaga, mida politsei vastavalt vajadusele ja kohtu loal istutab pättide ja kaabakate arvutitesse, et nende toimetamisi pealt kuulata.

Kuid reaalsuses pole asjad kunagi liiga lihtsad, ühe mehe pätt ja kaabakas võib vabalt osutuda teise mehe vabadusvõitlejaks. Vahel võib võimudele ette sattuda muud infot, mille puhul tekib kiusatus seda riigi hüvanguks ära kasutada. Vahel müüakse riiklikku pahavara riikidesse, kus meie mõistes ausaid inimesi selle abil ahistatakse ja vanglasse pistetakse. Mistõttu suhtumine riigitroojadesse on maailmas üldiselt kahtlev.

Sedakorda siis avastasid Kasperski analüütikud, et Itaalis asuv firma RCS on unustanud oma käpajälje tarkvarasse, ning et “RCS” sõna alusel on võimalik riigitrooja kogumispunktid kergesti üles leida. Eestit nimekirjas pole.

————————————–

Lõpuks ka ühest häbitust äralollitamiskatsest. Petturid on oma tegevuse suunanud lastele (või lihtsameelsetele ja kriitilise mõtlemiseta isikutele) pealkirja all “Kuidas teenida rohkem raha kui mistahes BOSS! EDULUGU”. Lugu ise on vana ja tuntud, aga ega ülekordamine halba tee.

Võimalik, et Sa kohtad netiavarustes seigeldes säärast reklaampilti:
rahaboss

Kui pildil klikkida, satud Sa aga petusaidile: http://phewx.com/barceloona.

Arvestus on lihtne: laps näeb tuttavaid võtmesõnu nagu “rahaboss” ja kooliõpetaja pilti, mis peaks teda veenma kogu järgneva juhise suhtelises ohutuses. Laps näeb BMW pilti, mis loomulikult liigitub ihaldusväärsete seisuseatribuutide kilda. Pikk väärtpaberialane möla
jääb lastele muidugi arusaamatuks ja seda ettekavatsetult. Põhiline, et terendab võimalus kiirelt rikkaks saada. Rikkaks aga saab moel, et võetakse vanemate krediitkaart (mis sisuliselt on vargus) ja selle abil saadetakse nõutud sissemakse.

Loomulikult pole säärase näoga Jaak Pärna olemaski, ammugi siis pole säärane Tallinnas algkooliõpetajana töötanud, tegemist on nn stock fotoga. Seda, et õpetaja eksib õigekirjas “kauplemis [tühik] strateegia”, laps muidugi ei märka. Sellest, et antud skeem propageerib “haletsust” kooliõpetaja elatustaseme suhtes, parem siinkohal ei räägigi.

Moraal: tegu on petuskeemiga: tegelikult sel moel muidugi rikkaks ei saa, st ohvrite raha eest saab rikkaks hoopis keegi teine. Väärtpaberite, futuuride ja võlakirjadega kauplemine on keeruline bisnes, mida tuleb aastaid õppida. Lisaks veel tuntud reegel, et investeerida tohib
vaid seda raha, mis on üle, võlguvõetud rahaga ei õnnestu kiirrikastumine kindlasti.

————————————–

Efektisõpradele: turvafirma Norse on  internetti üles pannud sadu meepotte üle maailma ja visualiseerib nende vastaseid ründeid.

Windows XP on nüüd tõepoolest ja lõplikult surnud

Anto Veldre, CERT-EE infoturbeekspert, kirjutab Windows XP lahkumisest.

Kuuldused Windows XP surmast ei ole liialdatud. Me elame kapitalismis. Microsoft putitas surnud hobust päris mitu aastat, aga erafirmana tuli ka neil lõpuks edasi minna ning 8. aprillil 2014 kuulutati XP ametlikult lahkunuks.

Täpsustuseks – räägin põhiliselt kodu- ja kooliarvutitest, mitte kusagil haiglas pesitsevast ning endiselt Windows XP abil juhitavast kunstkopsust või südamestimulaatorist.

Mida XP lahkumine tähendab?

Kui lahkub inimene, siis lausutakse järelehüüe, toimuvad peied. Kui sureb operatsioonisüsteem, siis loodetakse, et kasutajad ise on piisavalt mõistlikud ning kolivad mingi aja jooksul üle järgmisele operatsioonisüsteemile (OS). Põhjusel või teisel ei ole üleminekut tänaseks päriselt toimunud, seetõttu käsitlengi surnud hobuse temaatikat sügavamalt.

Internetis toodud surnud hobuse elluäratamise kirjeldusest puutuvad otse asjasse järgmised väited: “Me oleme kogu aeg tegelikult surnud hobusega ratsutanud” ja “Ükski hobune ei ole nii surnud, et temaga üldse ratsutada ei saaks”. Avalikus ruumis ringleva tõttu vaatame ka punkti “Korraldatakse avaliku arvamuse küsitlus, et teada saada, kas inimesed teavad hobuse surmast”.

27. aprillil 2014 suri Windows XP veelkord – seda Internet Exploreri uue turvavea tõttu, nimelt on see esimene viga, mida XP jaoks enam kunagi ei parandatagi. Tõepoolest – täna XP vanu brausereid veel ei rünnata, kuid miski ei takista küberkurjamitel sellega alustamast näiteks homme. Siitmaalt on XP ikka väga surnud ning andku Microsoft mulle andeks – roiskumislõhn juba levib.

Mida teha?

Pigem küsiksin: miks ei ole kasutajad olnud piisavalt mõistlikud, et iseseisvalt Windows XPst loobuda? Vastus on ilmne: aja- ning rahakulu. Selles kontekstis on mõistetav kiusatus lükata millegi tegematajätmisega probleem tulevikku, ehk ajada segamini strateegilised ja taktikalised otsused.

Lahendused

Uus Windows

Üksikute eranditega, sama (vana)raua peal reeglina ei õnnestu käivitada ei Windows 7t (seegi aegumas) ega ka mitte Windows 8t. Vana riistvara on selleks lihtsalt liiga niru. See tähendab uue raua ostmist, millega kaasneb mõningate tähtsate programmide väljavahetamine. Kõige selle peale kulub summa, mis Eesti keskmise palganumbriga ülearu hästi ei suhtestu.

Linux

3. mail 2014 toimuvad Linuxi installitalgud. Üritust koordineerib Rapla kooliõpetaja Edmund. See, mis Windowsi all on vanaraud (näiteks 2GHz protsessori ja 1GByte mäluga masin), kõlbab Linuxiga pruukida veel päris mitu aastat. Ei saa öelda, et piiranguid üldse poleks – esineb riistvaru, mida Linux ei armasta, esineb aplikatsioone, mis Linuxi peal pole – khmm – “nii mugavad” ja puntrakaupa ideoloogilisi maitseküsimusi. Ning: vt ka järgmist punkti.

Põhimõtteliselt täidab Linuxi platvormil baseeruv operatsioonisüsteem samu ülesandeid nagu Windows XPgi, salgamata, et mõningase harjumisperioodiga tuleks üleminekul arvestada. Igatahes ei maksaks operatsioonisüsteemi väljavahetamise mõtet kohe kõrvale heita. Veidi lihtsustades võib väita, et operatsioonisüsteemid ei lahkne kasutaja vaates oluliselt rohkem kui veebisirvikud või meilikliendid.

Android

Eestlane on sotsiaalne olevus. Laen ja liising ei loe, nähtav nägu ehk siis sotsiaalse suhtluse instrument peab olema uus ja edev. Kui Sinu südames ongi küpsemas soov egotripi korras Androidile üle minna, siis praegu on selleks väga õige hetk. Tõenäoliselt lisandub seadme hinnale liisingutasu ning kui on soov mitte jääda nüriks sisutarbijaks, vaid ka vahest harva ise midagi luua, siis tuleb tahvlile juurde osta kaaned ja klaviatuur.

Tegemist on otsusega, millel on tagajärjed – eelkõige privaatinfo osas, mida säärane seade Guuglisse saadab.

Ekraanipilt kirjaga: "Teie isiklik teave. UUS: Tegevuste tuvastamine. Lubab rakendusel hankida Googole'ist regulaarselt teavet teie tegevuste kohta. Näiteks saab rakendus teada, kas kõnnite, sõidate auto või rattaga või olete paigal."

Suurem probleem on Androidi viirused – nende kogus kasvab püstloodis, kuigi hetkel kinnituvad põhiliselt tasulise SMSi toiduahelasse ning polegi seni väga suurt majanduslikku kahju põhjustanud.

iOS

Kardetavasti on kõik, kes soovisid Apple’i iOSi peale üle minna, seda juba teinud. Täpsemat infot saab Digitunnist ja sealselt kogukonnalt.

Mis saab andmetest?

Enne XP äralaulmist tuleb sealt seest kokku koguda omad isiklikud andmed. Kusagil kataloogides istuvad Sinu perefotod ja aastatega kogutud muusikafailid. Brauserist võiks eksportida aastatega kogunenud lingid ja lühiteed. Ehk ongi just nüüd sobiv aeg läbi mõelda oma varundusstrateegia. Kas ühest kõvakettast piisab või vajan asendamatutest failidest kaht varukoopiat? Kas piltide pilveshoidmine on hea strateegia?

Mis saab vanast XPga masinast?

Moodne kodanik võikski kaaluda XP alt vabanenud riistvara  suunamist hoopis turvalisuse teenistusse – ehitades koju failiserveri või oma netiühendusele korraliku tulemüüri.

Kimääri pidamine

Kui XPga varustatud arvutis leidub tarkvara, mille kasutamine on möödapääsmatu ja hädavajalik ning millele alternatiive tõesti ei paista eksisteerivat, siis on veel üks võimalus, millega XPd elus hoida. Säärane reanimatsioon eeldab kahassüsteemi (dual-boot) ülesseadmist.

Arvutisse tuleks lisaks paigaldada mõni vabavaraline operatsioonisüsteem ning arvutit käivitades valida, millist operatsioonisüsteemi just nüüd tarvitada. XPd tuleks kasutada üksnes arvutivõrgust lahtiühendet viisil.

Vana arvuti muudab kärmemaks SSD kõvaketta lisamine, hinnad on selliseks riistvara täiendamiseks saavutanud suhteliselt mõistliku taseme.

Kokkuvõte

Kui Sa ei tee oma otsust täna, siis suvepuhkuse jooksul tuleb Sul see teha niikunii. XPga sügisele vastuminek ei ole arukas käitumine. Rääkimata asjaolust, et vale otsus võib turvaprobleemide kaudu muutuda ohtlikuks Sinu rahakotile.