Tag Archives: Android

Mädakohti Androidis, kuukulguris ja bosside edulugudes

CERT-EE infoturbe ekspert Anto Veldre jagab eelmisel kahel nädalal ülestähendatud (k)überhuvitavat infot laiast maailmast.

IBM insenerid avastasid Androidist järjekordse mädakoha. Ohustatud on Androidi kõik versioonid peale kõige viimase (4.4 ehk KitKat).

Viga leiti tegelikult juba eelmise aasta 9. septembril ning vahepealne aeg kulus Kitkat-versiooni paikamiseks. Viga leiti Keystores-teenuse seest, ehk siis koodijupist, mis vastutab krüptovõtmete turvalise hoidmise eest Androidi seadmes. Kui kuriprogramm pääseb ligi Keystores-teenusele ja kasutab järjekordse võtme nimetuses protsessori käske, siis tulemused on ettearvamatud. Halvimal juhul tekib Androidi sees totaalne ligipääs kõigele, ilma igasuguste kasutajaõiguste ja piiranguteta. Paroolide pihtapanek oleks sel juhul juba suhteliselt pisiasi.

Välismaa statistika kohaselt on 86% Android-seadmetest mingit muud versiooni kui 4.4 – järelikult selle turvavea eest kaitsmata – ning vaid 14% kasutab kõige viimast, nn KitKat versiooni. Ning – ei, versiooni nimetusel pole mingit seost meie hiljutise austatud külalise Jason Kitcatiga.

Nagu turvaasjadega ikka, viga iseenesest on ilmne ja kole. Kuid et seda ärakuritarvitada, tuleb eelnevalt telefonile ligi saada mõne pahaprogrammiga. Kas Sinu telefoni saab ver 4.4. peale uuendada? Oled Sa seda juba teinud? Kas Sul on telefonis viirustõrje, mis pahad programmid ära tunneb?

———————————

Profiliiga itimeestele, kes julgevad pidada MySQL serverit avaliku interneti ääres, olgu siinkohal üks Venemaalt püütud vihje (vene keeles) MySQLi vigaste veateadete kohta. Kuidas ajada serverile kägu nii, et see oma andmed reedaks? Tüssamine toimub veateadete kaudu, mis reedavad rohkem infot, kui server tohiks välja anda.

mysql

Hoiatus: ka hea vene keele oskusega tavainimesele (st mitte itimehele) on kirjutatu arusaamatu…

———————————–

Maarjamaisel küberaktsiaseltsil Cybernetica õnnestus äramärkimist leida väljaandes BusinessWire.com.  Kiidetakse eestlaste pädevust ja e-valimisi ja nimetatakse isegi Tartu linna (kus Cybernetica küberosakond põhiliselt asubki).

———————————–

Eelmise nädala naelaks kujunes kindlasti 20 aastat vana turvaviga, mis ühest koodist teise kopeerituna on “Curiosity” kulguri pardaarvutis jõudnud juba ka Marsile.

Aastal 1994 kirjutas programmeerija Markus ühe pakkimisalgoritmi (täpsemalt LZO) koodi. Ja et kood oli hea ja kiire (4–5 korda kiirem muudest pakkimisalgoritmidest), siis on see peaaegu muutusteta rännanud tuhandetesse süsteemidesse. Selles ju seisnebki koodikirjutamise võlu: muudkui kopeerid ja pasteerid 🙂

LZO pakkimisalgoritm on näiteks kasutusel Linuxi kerneli pakkimisel (küll ühena võimalikest alternatiividest) ja Androidi kerneli pakkimiseks.

Nüüd siis aga selgus, et Markus tegi aastal 1994 ka pisikese vea: kasutas muutujat “t” pisut hooletult. Mitte et ründamine väga lihtne oleks, kuid kõrge kvalifikatsiooniga häkker saab muutuja “t” solkimisega hakkama küll. Sel moel on tegu justkui Laatsaruse ülestõusmisega, võtab blogi turvavea piibliteemaga kokku.

Õnneks, nagu turvavigade avaldamisel heaks tavaks, on ohustatud süsteemid enamjaolt juba ära paigatud.

————————————-

Pisukese poliitilise kallakuga artiklis räägitakse küberkolonialismist. Küberkolonialism on siis olukord, kus ühel riigil õnnestub eri meetoditega teisele peale sundida omaenda tagauksi. Näitena tuuakse, et Venemaa valitsus soovib oma riigi arvutitest kõrvaldada USAs toodetud protsessorid.

————————————–

Hiljuti leidis aset järjekordne riigitrooja skandaal (Riigitrooja nimi pärineb saksakeelsest “BundesTrojan” sõnast). Tegemist on siis justkui hea asjaga, mida politsei vastavalt vajadusele ja kohtu loal istutab pättide ja kaabakate arvutitesse, et nende toimetamisi pealt kuulata.

Kuid reaalsuses pole asjad kunagi liiga lihtsad, ühe mehe pätt ja kaabakas võib vabalt osutuda teise mehe vabadusvõitlejaks. Vahel võib võimudele ette sattuda muud infot, mille puhul tekib kiusatus seda riigi hüvanguks ära kasutada. Vahel müüakse riiklikku pahavara riikidesse, kus meie mõistes ausaid inimesi selle abil ahistatakse ja vanglasse pistetakse. Mistõttu suhtumine riigitroojadesse on maailmas üldiselt kahtlev.

Sedakorda siis avastasid Kasperski analüütikud, et Itaalis asuv firma RCS on unustanud oma käpajälje tarkvarasse, ning et “RCS” sõna alusel on võimalik riigitrooja kogumispunktid kergesti üles leida. Eestit nimekirjas pole.

————————————–

Lõpuks ka ühest häbitust äralollitamiskatsest. Petturid on oma tegevuse suunanud lastele (või lihtsameelsetele ja kriitilise mõtlemiseta isikutele) pealkirja all “Kuidas teenida rohkem raha kui mistahes BOSS! EDULUGU”. Lugu ise on vana ja tuntud, aga ega ülekordamine halba tee.

Võimalik, et Sa kohtad netiavarustes seigeldes säärast reklaampilti:
rahaboss

Kui pildil klikkida, satud Sa aga petusaidile: http://phewx.com/barceloona.

Arvestus on lihtne: laps näeb tuttavaid võtmesõnu nagu “rahaboss” ja kooliõpetaja pilti, mis peaks teda veenma kogu järgneva juhise suhtelises ohutuses. Laps näeb BMW pilti, mis loomulikult liigitub ihaldusväärsete seisuseatribuutide kilda. Pikk väärtpaberialane möla
jääb lastele muidugi arusaamatuks ja seda ettekavatsetult. Põhiline, et terendab võimalus kiirelt rikkaks saada. Rikkaks aga saab moel, et võetakse vanemate krediitkaart (mis sisuliselt on vargus) ja selle abil saadetakse nõutud sissemakse.

Loomulikult pole säärase näoga Jaak Pärna olemaski, ammugi siis pole säärane Tallinnas algkooliõpetajana töötanud, tegemist on nn stock fotoga. Seda, et õpetaja eksib õigekirjas “kauplemis [tühik] strateegia”, laps muidugi ei märka. Sellest, et antud skeem propageerib “haletsust” kooliõpetaja elatustaseme suhtes, parem siinkohal ei räägigi.

Moraal: tegu on petuskeemiga: tegelikult sel moel muidugi rikkaks ei saa, st ohvrite raha eest saab rikkaks hoopis keegi teine. Väärtpaberite, futuuride ja võlakirjadega kauplemine on keeruline bisnes, mida tuleb aastaid õppida. Lisaks veel tuntud reegel, et investeerida tohib
vaid seda raha, mis on üle, võlguvõetud rahaga ei õnnestu kiirrikastumine kindlasti.

————————————–

Efektisõpradele: turvafirma Norse on  internetti üles pannud sadu meepotte üle maailma ja visualiseerib nende vastaseid ründeid.

Windows XP on nüüd tõepoolest ja lõplikult surnud

Anto Veldre, CERT-EE infoturbeekspert, kirjutab Windows XP lahkumisest.

Kuuldused Windows XP surmast ei ole liialdatud. Me elame kapitalismis. Microsoft putitas surnud hobust päris mitu aastat, aga erafirmana tuli ka neil lõpuks edasi minna ning 8. aprillil 2014 kuulutati XP ametlikult lahkunuks.

Täpsustuseks – räägin põhiliselt kodu- ja kooliarvutitest, mitte kusagil haiglas pesitsevast ning endiselt Windows XP abil juhitavast kunstkopsust või südamestimulaatorist.

Mida XP lahkumine tähendab?

Kui lahkub inimene, siis lausutakse järelehüüe, toimuvad peied. Kui sureb operatsioonisüsteem, siis loodetakse, et kasutajad ise on piisavalt mõistlikud ning kolivad mingi aja jooksul üle järgmisele operatsioonisüsteemile (OS). Põhjusel või teisel ei ole üleminekut tänaseks päriselt toimunud, seetõttu käsitlengi surnud hobuse temaatikat sügavamalt.

Internetis toodud surnud hobuse elluäratamise kirjeldusest puutuvad otse asjasse järgmised väited: “Me oleme kogu aeg tegelikult surnud hobusega ratsutanud” ja “Ükski hobune ei ole nii surnud, et temaga üldse ratsutada ei saaks”. Avalikus ruumis ringleva tõttu vaatame ka punkti “Korraldatakse avaliku arvamuse küsitlus, et teada saada, kas inimesed teavad hobuse surmast”.

27. aprillil 2014 suri Windows XP veelkord – seda Internet Exploreri uue turvavea tõttu, nimelt on see esimene viga, mida XP jaoks enam kunagi ei parandatagi. Tõepoolest – täna XP vanu brausereid veel ei rünnata, kuid miski ei takista küberkurjamitel sellega alustamast näiteks homme. Siitmaalt on XP ikka väga surnud ning andku Microsoft mulle andeks – roiskumislõhn juba levib.

Mida teha?

Pigem küsiksin: miks ei ole kasutajad olnud piisavalt mõistlikud, et iseseisvalt Windows XPst loobuda? Vastus on ilmne: aja- ning rahakulu. Selles kontekstis on mõistetav kiusatus lükata millegi tegematajätmisega probleem tulevikku, ehk ajada segamini strateegilised ja taktikalised otsused.

Lahendused

Uus Windows

Üksikute eranditega, sama (vana)raua peal reeglina ei õnnestu käivitada ei Windows 7t (seegi aegumas) ega ka mitte Windows 8t. Vana riistvara on selleks lihtsalt liiga niru. See tähendab uue raua ostmist, millega kaasneb mõningate tähtsate programmide väljavahetamine. Kõige selle peale kulub summa, mis Eesti keskmise palganumbriga ülearu hästi ei suhtestu.

Linux

3. mail 2014 toimuvad Linuxi installitalgud. Üritust koordineerib Rapla kooliõpetaja Edmund. See, mis Windowsi all on vanaraud (näiteks 2GHz protsessori ja 1GByte mäluga masin), kõlbab Linuxiga pruukida veel päris mitu aastat. Ei saa öelda, et piiranguid üldse poleks – esineb riistvaru, mida Linux ei armasta, esineb aplikatsioone, mis Linuxi peal pole – khmm – “nii mugavad” ja puntrakaupa ideoloogilisi maitseküsimusi. Ning: vt ka järgmist punkti.

Põhimõtteliselt täidab Linuxi platvormil baseeruv operatsioonisüsteem samu ülesandeid nagu Windows XPgi, salgamata, et mõningase harjumisperioodiga tuleks üleminekul arvestada. Igatahes ei maksaks operatsioonisüsteemi väljavahetamise mõtet kohe kõrvale heita. Veidi lihtsustades võib väita, et operatsioonisüsteemid ei lahkne kasutaja vaates oluliselt rohkem kui veebisirvikud või meilikliendid.

Android

Eestlane on sotsiaalne olevus. Laen ja liising ei loe, nähtav nägu ehk siis sotsiaalse suhtluse instrument peab olema uus ja edev. Kui Sinu südames ongi küpsemas soov egotripi korras Androidile üle minna, siis praegu on selleks väga õige hetk. Tõenäoliselt lisandub seadme hinnale liisingutasu ning kui on soov mitte jääda nüriks sisutarbijaks, vaid ka vahest harva ise midagi luua, siis tuleb tahvlile juurde osta kaaned ja klaviatuur.

Tegemist on otsusega, millel on tagajärjed – eelkõige privaatinfo osas, mida säärane seade Guuglisse saadab.

Ekraanipilt kirjaga: "Teie isiklik teave. UUS: Tegevuste tuvastamine. Lubab rakendusel hankida Googole'ist regulaarselt teavet teie tegevuste kohta. Näiteks saab rakendus teada, kas kõnnite, sõidate auto või rattaga või olete paigal."

Suurem probleem on Androidi viirused – nende kogus kasvab püstloodis, kuigi hetkel kinnituvad põhiliselt tasulise SMSi toiduahelasse ning polegi seni väga suurt majanduslikku kahju põhjustanud.

iOS

Kardetavasti on kõik, kes soovisid Apple’i iOSi peale üle minna, seda juba teinud. Täpsemat infot saab Digitunnist ja sealselt kogukonnalt.

Mis saab andmetest?

Enne XP äralaulmist tuleb sealt seest kokku koguda omad isiklikud andmed. Kusagil kataloogides istuvad Sinu perefotod ja aastatega kogutud muusikafailid. Brauserist võiks eksportida aastatega kogunenud lingid ja lühiteed. Ehk ongi just nüüd sobiv aeg läbi mõelda oma varundusstrateegia. Kas ühest kõvakettast piisab või vajan asendamatutest failidest kaht varukoopiat? Kas piltide pilveshoidmine on hea strateegia?

Mis saab vanast XPga masinast?

Moodne kodanik võikski kaaluda XP alt vabanenud riistvara  suunamist hoopis turvalisuse teenistusse – ehitades koju failiserveri või oma netiühendusele korraliku tulemüüri.

Kimääri pidamine

Kui XPga varustatud arvutis leidub tarkvara, mille kasutamine on möödapääsmatu ja hädavajalik ning millele alternatiive tõesti ei paista eksisteerivat, siis on veel üks võimalus, millega XPd elus hoida. Säärane reanimatsioon eeldab kahassüsteemi (dual-boot) ülesseadmist.

Arvutisse tuleks lisaks paigaldada mõni vabavaraline operatsioonisüsteem ning arvutit käivitades valida, millist operatsioonisüsteemi just nüüd tarvitada. XPd tuleks kasutada üksnes arvutivõrgust lahtiühendet viisil.

Vana arvuti muudab kärmemaks SSD kõvaketta lisamine, hinnad on selliseks riistvara täiendamiseks saavutanud suhteliselt mõistliku taseme.

Kokkuvõte

Kui Sa ei tee oma otsust täna, siis suvepuhkuse jooksul tuleb Sul see teha niikunii. XPga sügisele vastuminek ei ole arukas käitumine. Rääkimata asjaolust, et vale otsus võib turvaprobleemide kaudu muutuda ohtlikuks Sinu rahakotile.