Tag Archives: Heartbleed

Turvaaugud, eeslid ja muulad

13793882684_7cf300d8d6_z

Kujutis on pärit Flickri Creative Commonsi varamust kasutajalt medithIT

CERT-ee infoturbe ekspert Anto Veldre kirjutab, miks ei saa eelmisel nädalal avaldatud OpenSSLi turvaauku  võrrelda kurva olukorraga, kuhu inimkond sattus HeartBleedi tõttu.

Turvaaugud on justkui muulad, mis ei lase endid liigitada ei hobuseks ega eesliks. Muul turvaauguna on loomulikult väga paha loom, kuivõrd tal on nii hobuse kui eesli puudused.
Kuidas üldse turvaaugu ulatust hinnata?

  • Kas katarsise suuruse järgi, mis augu avastajal avastuse hetkel saabub (stiilis “Issand, see pole ju ometi võimalik!”)?
  • Või rahalise kahju kaudu, mis võib saabuda (kuid reaalselt ei saabu), tingimusel, et mitte keegi oma serverites ja koduarvutites seda auku ei parandaks?
  • Või rahalise kahju alusel, mida firmad ja riigiasutused kulutasid IT-inimeste ületundidele?
  • Või IT-töötaja töö keerukuse ja kiiruse alusel – paikamine nõudis öö läbi töötamist või oli väga keeruline parandamisprotseduur – näiteks tuli masinasse selle parandamiseks panna kolm erinevat CD-ketast ning õiges järjekorras.
  • Või tädi Maali solvumise astme järgi, kes just ostis endale uue arvuti ja sai nüüd teada, et juba kolmandal päeval tuleb selles hakata vigu parandama?!

Eelmist, HeartBleediks nimetatavat OpenSSL-tarkvara turvaauku iseloomustas neli põhilist
asjaolu:

  • Teda esines “kõikjal” – ehk siis väga paljudes serverites, sealhulgas väga turvaliseks peetud süsteemides.
  • Ta saabus justkui Amori nool padrikust – turvaparandusi veel polnud ning päeva-paari jooksul oli suur osa süsteeme ilma kaitseta.
  • Ärakasutamine oli väga ohtlik ning võimalik peaaegu passiivselt – tarvitses vaid serverilt midagi küsida ning server juba andiski delikaatset infot välja.
  • Ärakasutajat polnud kuigivõrd võimalik kriminaalkorras vastutusele võtta (sest kuritegeliku kavatsuse tõestamine oli keeruline)

Suurim õppetund HeartBleedist oli tolle turvavea šokeeriv ulatus (2-aastane tagasiulatuv periood, mille kohta keegi ei saa väita, kas kuritarvitati või ei kuritarvitatud) ning paar päeva kestnud alandav abitus.

Viktimoloogia õpetab, et nii ebameeldiv kogemus tahetakse võimalikult kiiresti unustada ning mälus uue ja konkreetsemaga üle kirjutada. Seepärast pole ime, et mõned allikad, sh Guardian, üritavad avastatud auku võrrelda HeartBleediga.

———

Praegune OpenSSL turvaviga erineb HeartBleedist järgmiste tunnuste poolest:

  • Turvapaik on saadaval veakirjelduse avaldamise hetkest. Kui HeartBleedi puhul ei pidanud mõne inimese närvid vastu ning kisa tõsteti enne ravimi leiutamist, siis selle turvavea avastajatel õnnestus talitada vastutustundliku teavitamise põhimõtete kohaselt – enne kisama ei hakatud, kui ravim saadaval.
  • Kuigi seekordne viga on intellektuaalselt väga huvitav ja kaasakiskuv, nõuab tema ärakasutamine oluliselt sügavamaid teadmisi arvutivõrgust ja programmeerimisest. HeartBleediga võrreldes pole nii, et iga koolipoiss saab riigile või pangale jalaga tagumikku lüüa – teadmisi ei jagu!
  • Erinevalt HeartBleedist, kus krokodilli püüti 50m pikkuse tamiiliga, jäädes ise aga ohutusse kaugusse, on seekordse vea ärakasutamiseks vaja asuda kahe arvuti vahepeal, st olla võimeline sideliini pealt bitte püüdma ja neid käigu pealt muutma. Seega, kui avastatakse rünne (ning eriti, kui sel on mitu ohvrit), on võimalik loogiliselt tuletada, kus ründaja pealtkuulamisjaam paikneb.
  • Võõra traadi peal nuhkimise või võõrasse seadmesse sissemurdmise puhuks on Karistusseadustikus väga selged paragrahvid. Lihtsalt pealtkuulamisest või õnge väljaviskamisest ei piisa – ründeks on vaja väga keerulist ja mitme-etapilist tahtlikku tegevust.

———

Kokkuvõttes – olen veendunud, et praegust turvaauku ei saa siiski võrrelda kurva olukorraga, kuhu inimkond sattus HeartBleedi tõttu. Spetsialistid teavad, et mainitud kahe suurema turvanõrkuse kõrval on OpenSSL-nimelise turvakihi seest värskelt leitud ka palju pisikesi, mis on aga suurema avaliku kärata lihtsalt ära parandatud. Ka leidis OpenSSL tiim tänu skandaalile endale rahastamisallikad.

Enamik inimesi, kelle serveris või koduarvutis on lubatud automaatsed turvaparandused, peaksid olema mainitud ohu suhtes juba “vaktsineeritud”. Hetkel on jäänud riskigruppi veel vaid nn legacy süsteemid, ehk siis vanad süsteemid, millele kas paika pole saada või mille tootja pole enam kättesaadav. Ei saa välistada, et üksikud sellised süsteemid on järel nii erasektoris kui ka riigisektoris. Mingit üleüldist turvaohtlikku olukorda (nagu HeartBleedi puhul) aga täna kindlasti ei ole.

Enimlevinud distrod/vendorid on avaldanud asjakohased ülevaated uue augu
mõjust:

Kes ja miks meid ründab?

Toomas Vaks, RIA asedirektor küberturvalisuse alal, kirjutab rahulikult alanud 2014. aastat ja sellest, mida ei tohi nimetada.

Mul on hea meel avada RIA küberturvalisuse teenistuse kirjutiste sari, kus meie töötajad jagavad oma mõtteid nii päevakajalistel kui ka üldisematel küberturvalisust puudutavatel teemadel.

RIA-l algas 2014. aasta uue struktuuri loomisega: koondasime küberturvalisusega tegelevad allüksused küberturvalisuse teenistusse. Eraldi tugevdasime riigi infosüsteemi kaitsega tegelevaid funktsioone: lõime riigi infosüsteemi intsidentide käsitlemise talituse (GovCERT) riigiasutuste intsidentidele reageerimiseks ja riigi infosüsteemi turbe talituse, mis tegeleb riigi infosüsteemi intsidentide ennetuse, kaitsemeetmete tugevdamise, õigusaktide kaasajastamise ja infoturbejuhtide kogukonna hoidmisega.

2014. aasta esimesed kuud on Eesti jaoks möödunud tõsiste intsidentideta. Erandina raputas paar nädalat tagasi kogu maailma küberturbekogukonda serverite Hearbleedi-nimeline haavatavus. Eesti serveritest puudutas see turvaviga umbes viit protsenti. Õnneks reageeris Eesti turvakogukond veale kiiresti, näiteks riigi andmesidevõrgus ASO paigati kõik probleemsed serverid paari päevaga.

Viimase poolaasta jooksul on Eesti riigiasutusi tabanud mitu rünnet, mille taga seisavad näiliselt oma meelsust avaldavad aktivistid. Ründeid analüüsides näeme aga seda, et ründed pärinevad aktivistide arvutite asemel hoopis robotvõrkudest (botnettidest), mille tavapärased kasutajad on küberkurjategijad või mõnel tõenäolisel juhul ka riiklikud eriteenistused. Kummaga ühel või teisel korral tegemist on, selgitavad õiguskaitseorganid. Selge on see, et turvalisuse- ja kaitsemeetmete planeerimisel tuleb arvesse võtta just ründaja eesmärke ja vahendeid, mis on tema käsutuses. Riiklike eriteenistuste ja kurjategijate võimekus on aga erinev, isegi siis, kui nad kasutavad sarnaseid vahendeid. Riigiasutused peavad seega olema valmis rünneteks, mille eesmärk on nende tegevust kompromiteerida ja neilt teavet hankida, erasektori puhul on peamine ründe eesmärk rahalise kasu saamine.

Veebruari lõpus osalesin maailma suurimal infoturbekonverentsil RSA Conference. Kuigi mitmed tuntud infoturbeeksperdid kuulutasid konverentsile RSA ja NSA väidetava koostöö tõttu boikoti, ei kajastunud see konverentsi osalejate arvus – neid oli rohkem kui kunagi varem, üle 25 000. Oodatult oli RSA-l palju juttu usaldusest, riikide eriteenistuste tööst ja tehnilise turvalisuse keerukusest. Ka RSA-l tõdeti, et aastatega muutub järjest häirivamaks asjaolu, et küberturvalisuse tagamisel on ründajatest rääkimine tabuteema. Ründaja on justkui lord Voldemort, kelle nime ei tohi mainida… Selline pea liiva alla peitmine raskendab aga turvajuhtide tööd, kes oma ettevõtet või asutust küberrünnakute eest kaitsevad. Kelle ja mille eest end kaitsta, milliseid samme planeerida, et jõuda ründaja tegudest ette?

Küberründed ei ole paratamatus, millega leppida. Küberruumis huligaanitsemine, võrkude ja seadmete töö häirimine on samasugune huligaanitsemine nagu tänavatel. Kurjategijate tabamine eeldab tõsist rahvusvahelist koostööd ja rünnete üksmeelset hukkamõistu rahvusvahelises õiguses. See pole saavutamiseks võimatu eesmärk.