Tag Archives: krüptoraha

Olulisemad turvanõrkused 2024. aasta 30. nädalal

Ekraan, mille klaas on ämblikuvõrku meenutavalt katki

WhatsAppi Windowsi versioon laseb Pythoni ja PHP skripte ilma hoiatuseta käivitada

Windowsi WhatsAppi viimases versioonis avastatud turvanõrkus võimaldab saata Pythoni ja PHP manuseid, mis ohvri seadmes ilma hoiatuseta käivituvad (BC). Selleks, et rünnak töötaks, peab ohvril olema Python alla laaditud.

Muude manuste puhul (.EXE, .COM, .SCR jms) annab WhatsApp kasutajale kaks valikut – kas manus avada või see alla laadida. Kui kasutaja tahab manust avada, siis tuleb WhatsAppilt veateade ning kasutaja ainsaks võimaluseks jääb manuse alla laadimine. Seevastu Pythoni ja PHP manuste puhul laseb WhatsApp neid kasutajatel käivitada, ilma et neid enne alla laadima peaks. Nõnda saavad pahalased WhatsAppi kaudu levitada pahavara ning käivitada ohvri seadmes pahaloomulisi skripte.

Küberkurjategijad kasutavad ära valesti konfigureeritud Selenium Gridi servereid krüptoraha kaevandamiseks

Küberkurjategijad kasutavad Selenium Gridi vigast konfiguratsiooni krüptokaevurite levitamiseks. Selenium Grid on populaarne avatud lähtekoodiga veebirakenduste testimise raamistik, mis laseb teha automatiseeritud teste mitmes masinas ja veebilehitsejas.

Selenium Gridil puuduvad aga sissehitatud autentimise mehhanismid, mistõttu on avalikult kättesaadavate seadmete puhul võimalik nende testimise instantssidele ligi saada ning samuti ka faile alla laadida ja skripte käivitada. Selenium on oma dokumentatsioonis selle eest hoiatanud ning soovitanud vajadusel rakendada tulemüüripõhiseid piiranguid. Paljud asutused ei arvestanud selle hoiatusega, mistõttu hakkasid pahalased eelmainitud autentimise puudust ära kasutama krüptokaevurite levitamiseks. Õnnestunud kompromiteerimise puhul juurutavad pahalased XMRig tööriista, mis kaevandab Monero-nimelist krüptoraha.

Docker paikas viie aasta vanused turvanõrkused, mis võimaldasid autentimisest mööda minna

Docker avaldas turvauuendused, et parandada Docker Engine tarkvaras kriitiline haavatavus (CVE-2024-41110), mis võimaldab ründajal teatud olukordades mööda minna volituste kontrolli pistikprogrammidest (AuthZ) (BC).

Seda turvanõrkust (tähisega CVE-2024-41110) võib ära kasutada spetsiaalsete API päringute tegemiseks, mis trikitavad Dockeri daemon’it seda autentimata AuthZ pistikprogrammi edastama. Seda saab ära kasutada näiteks kasutajaõiguste eskaleerimiseks.

Turvanõrkus mõjutab Docker Engine’i versioone v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3 ja v27.1.0.

Olulisemad turvanõrkused 2024. aasta 15. nädalal

Microsoft paikas oma toodetes 150 turvaviga

Microsoft parandas kokku 150 haavatavust, mille hulgas oli 67 koodi kaugkäivitamist võimaldavat turvaviga. Paigati ka 31 õigustega manipuleerimise viga ja 29 turvafunktsioonide viga. Parandatud haavatavustest on vaid kolm hinnatud kriitilise mõjuga veaks. Turvauuendusega paigati kaks nullpäeva haavatavust tähistega CVE-2024-26234 ja CVE-2024-29988, mida on ära kasutatud pahavara-rünnetes. Lisaks paigati ka viis turvaviga Microsoft Edge’i veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud linkidelt (BC, BC).

Cisco hoiatab turvavea eest ruuterites, mille tarkvara enam ei uuendata

Turvaviga tähisega CVE-2024-20362 mõjutab väikeettevõtete ruutereid RV016, RV042, RV042G, RV082, RV320 ja RV325, mille tootmine on lõpetatud ja mis ei saa enam turvapaiku. Haavatavust on võimalik autentimata ründajal kaugteel ära kasutada.

Cisco sõnul ei tea nad, et turvanõrkust oleks ära kasutatud, aga kuna haavatavusele ei ole ega tule turvaparandust, siis soovitatakse kasutajatel üle minna toetatud seadmetele. Varasemalt on rünnakutes kuritarvitatud Cisco võrguseadmeid, mille tootmine on lõpetatud.

Lisaks paigati Cisco toodetes ka mitmeid teisi haavatavusi, näiteks parandati kõrge mõjuga turvaviga Nexus Dashboard Fabric Controlleris (NDFC) (SW, Cisco).

Fortinet paikas oma toodetes mitmeid haavatavusi

Fortinet parandas oma toodetes tosin turvaviga, mille hulgas oli ka FortiClientLinuxi tarkvaras olev kriitilise mõjuga koodi kaugkäivitamise viga tähisega CVE-2023-45590 (CVSS skoor 9,4). Eduka ründe korral võib autentimata ründaja käivitada suvalist koodi ja suunata FortiClientLinuxi kasutaja spetsiaalselt loodud pahaloomulisele veebilehele.

Viga mõjutab järgmisi FortiClientLinux versioone:

  • FortiClientLinux 7.2.0,
  • FortiClientLinux 7.0.6 kuni 7.0.10,
  • FortiClientLinux 7.0.3 kuni 7.0.4.

Viga on paigatud alates tarkvara versioonidest 7.0.11 ja 7.2.1.

Lisaks väljastati ka turvauuendus FortiOSi ja FortiProxy tarkvaradele. Kuna Fortineti tooted on olnud tihti ründajate sihtmärgiks, siis soovitame tarkvara uuendada nii kiiresti kui võimalik (SA, CISA).

Üle 90 000 LG nutiteleri võib kaugründe alla sattuda

Bitdefenderi teadurid avastasid neli haavatavust, mis mõjutavad LG nutitelerites kasutatava operatsioonisüsteemi WebOS mitut versiooni. Vead võimaldavad volitamata juurdepääsu ja kontrolli mõjutatud seadmete üle, sealhulgas autoriseerimisest möödaminekut, õiguste suurendamist ja käskude sisestamist.

Vead mõjutavad järgmisi webOSi versioone ja telerimudeleid:

  • webOSi versioonid 4.9.7 kuni 5.30.40, teler LG43UM7000PLA,
  • webOSi versioonid 04.50.51 kuni 5.5.0, teler OLED55CXPUA,
  • webOSi versioonid 0.36.50 kuni 6.3.3-442, teler OLED48C1PUB,
  • webOSi versioonid 03.33.85 kuni 7.3.1-43, teler OLED55A23LA.

Shodani monitooringu andmeil on enam kui 91 000 LG nutitelerit internetile avatud ja turvavea tõttu ohus.

Ehkki LG telerid hoiatavad kasutajaid, kui olulised WebOSi värskendused on saadaval, saab neid määramata ajaks edasi lükata. Seetõttu peaksid nimetatud LG telerite kasutajad ise üle vaatama, kas telerile pakutakse tarkvarauuendust. Seda saab teha, kui avada teleri menüüs “Seaded” – “Tugi” – “Tarkvaravärskendus” ja valida „Otsi värskendusi”.

Teleris oleva turvanõrkuse kaudu võib saada kurjategija ligipääsu teistele võrgus olevatele seadmetele, samuti erinevatele kasutajakontodele (näiteks Youtube, Netflix vms) ja lisaks on võimalik, et seadet kasutatakse ära robotvõrgustikus, mis aitab kaasa teenusetõkestusrünnete läbiviimisele (BC, TR).

Tuhandetele WordPressi veebilehtedele on lisatud krüptoraha varastav pahavara

Ligi 2000 häkitud WordPressi veebilehte kuvavad külastajatele võltsitud NFT (non-fungible token ehk unikaalvara) ja allahindluste hüpikaknaid. Kasutajad meelitatakse oma krüptorahakotti pahavaraga ühendama ja kui see õnnestub, siis varastatakse kogu kasutaja krüptoraha. Selleks, et vältida oma digitaalsete varade kaotamist küberkurjategijatele, tuleks alati üle kontrollida ja ühendada oma krüptorahakott ainult usaldusväärsete platvormidega. Eriti ettevaatlik tasub olla just hüpikakendega, mis pakuvad erinevaid investeerimisvõimalusi või soodustusi (BC).

Palo Alto Networks hoiatab kriitilise haavatavuse eest

Palo Alto PAN-OSi GlobalProtecti tarkvaras tuvastati turvaviga tähisega CVE-2024-3400, mis on hinnatud kriitilise CVSS skooriga 10/10. Turvanõrkus võimaldab autentimata ründajal koodi kaugkäivitada juurkasutaja õigustes.

Nimetatud turvanõrkust on teadaolevalt ka juba alates 26. märtsist küberrünnakutes kuritarvitatud ning selle kaudu on saadud ligipääs sisemistele võrkudele, andmetele ja mandaatidele.

Haavatavus mõjutab PAN-OSi versioone 10.2, 11.0 ja 11.1. Turvapaigad said avalikuks 14. aprillil. Soovitame kõigil PAN-OSi kasutajatel uuendada tarkvara versioonidele 10.2.9-h1, 11.0.4-h1 ja 11.1.2-h3 (SW, BC, SW).

Krüptorahad ja virtuaalne kaevandamine

Allikas: Wikimedia Commons

Autor: CERT-EE

2017. aasta alguses tuli ilmsiks, et Pärnu haiglas kaevandati kahe aasta vältel krüptoraha. Suurimateks kahjudeks peeti haiglale tekitatud suurt elektriarvet ning töötajate ebaeetilisust. Tihti mõeldakse krüptorahast kuuldes eelkõige Bitcoinile, kuid lisaks on kasutusel ka teisi krüptovaluutasid. Neist suurima kasutajate arvuga on Ethereum, Monero, Ripple ja Litecoin, lisaks on kasutusel üle 700 väiksema kasutajate arvuga krüptovaluutat.

Sisukord:

Mis on krüptoraha ja mille poolest see erineb tavalisest rahast?

Traditsioonilise raha puhul räägime kõigepealt füüsilisest rahast ehk sularahast, milleks võis ajalooliselt lisaks (vääris)metallidele ja hiljem võlakirjadele olla veel näiteks merevaik, margid ja ka pesupulber, millele on antud ühiskonna poolt teatav väärtus. Alates pankade internetti kolimisest on tänapäeval muutunud tavaliseks plastikkaardi kui peamise maksevahendi olemasolu rahakotis ning mõningatel harvematel juhtudel leiab sealt veel ka sularaha. Siiski on see väike plastikkaart seotud Sinu konkreetse panga ja seal avatud kontoga. Krüptoraha on digitaalne valuuta, mis pakub võimalust teha partnerite vahel kiireid, turvalisi ja madalate kuludega makseid ilma panga vahenduse või keskse protsessorita. Tehingud digiallkirjastatakse unikaalsete privaatvõtmetega kasutajate digitaalsete rahakottide vahel, mis tõestavad et tehingu on teinud rahakoti omanik.

Krüptorahad kasutavad turvaliste tehingute teostamiseks krüptograafiat oma infrastruktuuri raames, mis omakorda kujutab endast jagatud online-andmebaasi ehk „plokiahelat”. Plokiahel on andmebaasitehnoloogia, mis erinevalt tavapärastest tsentraalsetest andmebaasidest on jagatud ehk ta on samaaegselt ja sünkroonselt mitmes kohas korraga. Andmebaasi eesmärk on pidada arvestust kõikide seal kunagi tehtud tehingute üle. Teatav tehingute arv moodustab andmebaasi üksuse, mida nimetatakse plokiks. Igasse plokki on salvestatud ka eelmise ploki informatsioon ning iga tehing sisaldab infot ka eelnevalt tehtud tehingute kohta, tagades sel viisil täieliku läbipaistvuse. Näiteks lõi Bitcoini plokiahela infrastruktuur finantsandmete salvestamiseks meetodi, mis on kõikidele kättesaadav, ja ühiselt välja aretatud avatud lähtekoodi, kuulumata ühelegi eraisikule või ettevõttele. Selle asemel säilitatakse plokiahelat miljonite arvutite ühisjõul, mis tõendavad tehinguid ja lisavad neid „plokkidele”. Kuna miljonite arvutite poolt tõendatud tehinguid ei ole võimalik kustutada, tagasi kutsuda ega muuta, on iga tehtud makse vaidlustamatu.

Meelde võib jätta, et absoluutselt kõik Bitcoini tehingud on avalikud ja jälgitavad. Siiski on ainus teave tehingute kohta rahakoti aadress, mille järgi saab teada maksja ja kasusaaja rahakotiaadressid, mis luuakse privaatselt igale kasutajale. Juhul kui kasutajad tahavad krüptorahas makstes tellida päriselt olemas olevaid füüsilisi tooteid, peavad nad siiski oma identiteedi avalikustama. Kui ostad internetist omale arvuti ja tahad seda kindlasti ka kätte saada, pead Sa enda kohta ka mingid andmed maha jätma isegi pakiautomaati tellides. Bitcoini võrgustik on partnerilt partnerile suunatud võrgustik ja kasutaja IP-aadresse on võimalik välja uurida, isegi kui selleks kulub rohkem aega kui pangakonto omanike väljauurimiseks.

Allikas: Wikimedia Commons

Kuidas saab üldse mittefüüsilist raha kaevandada?

Kuidas ja miks on krüptoraha kaevandamine halb ja/või pahatahtlik tegevus?

Süsteem genereerib uusi Bitcoine automaatselt ja reguleerib ise selle protsessi kiirust. Uue ploki loomisel plokiahelas tasustatakse kaevandajaid automaatselt 12,5 Bitcoiniga. Tasu väheneb 2 korda pärast iga 210 000 ploki kaevandamist. Kaevandamine kulutab võrgustiku hooldamiseks vajalikku elektrit ja arvutivõimsust. Kuidas saada teistest kiiremini ja rohkem Bitcoine? Loomulikult kõikidele kehtivatest reeglitest mööda minnes. Selleks, et rohkem Bitcoine teenida, on vaja ise natuke rohkem vaeva näha ja soetada kaevandamiseks võimsam riistvara ning maksta suurem summa igakuise elektri eest. Kuna tavainimeste jaoks pole suur elektriarve just see, mida igal kuul näha tahaks, isegi seda raha tagasi teenides, tuleb leida alternatiive. Üks neist alternatiividest võibki olla kaevandamiseks mõeldud seadmete ülesseadmine kas tööandja või mõne vähemturvatud asutuse ruumidesse, kus suur elektriarve pole midagi ebatavalist. Kuigi rohkem pööratakse tähelepanu elektriarve maksumusele, unustatakse tihti ära suure elektritarbimisega kaasnev kahju keskkonnale. Väikeses Eestis on see kahju raskemini hoomatav kui näiteks üle miljardi elanikuga Hiinas, kus massiline krüptoraha kaevandamine toob kaasa ka massiivse kahju keskkonnale suuremahulise elektritarbimise näol.

Allikas: Wikimedia Commons. https://commons.wikimedia.org/wiki/File:Earth%27s_City_Lights_by_DMSP,_1994-1995_(large).jpg

Kõik kolivad internetti!

Krüptoraha kaevandamiseks saab loomulikult soetada omale spetsiaalsed suurema arvutusvõimsusega seadmed ning maksta igakuiselt suuremat elektriarvet. Aga on ka muid variante, mis nii suuri väljaminekuid kaasa ei too. Näiteks võib teenida kellegi teise arvutite pealt, kui nemad internetis toimetavad ja meie veebilehte külastavad. Veebilehtede külastamine on kasutajate jaoks enamasti tasuta, välja arvatud loomulikult tasulised veebiteenused nagu näiteks Netflix.

Tavakasutaja tunneb rõõmu alati, kui ta saab mõnelt veebilehelt mõne lisaväärtuse, olgu selleks siis tasuliste teenuste tasuta kasutamine või kasvõi teatud aja kestev tasuta prooviperiood. Küll aga tuleks meeles pidada seda, et on palju internetilehti ja internetis tegutsevaid ärisid, kelle sissetulek sõltubki kas lehe külastajate arvust, veebilehe kaudu pakutavatest teenustest või edasimüüdavast reklaamist. Samuti ei tohi ära unustada, et samamoodi nagu päriseluski ei ole kõik inimesed internetis toredad ja head. Tihti nähakse just internetis võimalust kiiresti teiste arvelt raha teenida, olgu selleks siis pahavara levitamine või finantsinfo vargus. Küll aga on internetis raskem pahasoovlikke inimesi tuvastada, sest puudub otsene füüsiline ja visuaalne kontakt.

Allikas: Peter Steiner’s cartoon, The New Yorker, 5/7/1993

Enda teadmata kaevandajaks

Viimasel ajal on tõusev trend, et nii internetis tegutsevad firmad kui ka eraisikud kasutavad veebilehe külastajate arvuteid krüptoraha kaevandamiseks. Üks populaarsemaid on näiteks Monero krüptoraha. Kaevandamine toimub jätkuvalt tavapärasel viisil, ainult et selleks kasutatakse kellegi teise seadet pärast seda, kui külastaja krüptoraha kaevandavale veebilehele satub. Enamasti toimub kaevandamine veebilehitsejas lehele lisatud JavaScripti koodi käivitades. Seda tehakse ilma kasutaja teadmata ja üldjoontes on tegemist n-ö pimeda allalaadimisega (ingl. k drive by download). Veebilehe omaniku (või ülevõtja) jaoks on oluline tulu iga kasutaja arvelt maksimeerida. Seetõttu on tihti sihtmärkideks just lehed, kus inimesed kauem aega veedavad: mängivad näiteks online-mänge, vaatavad videoid või loevad uudiseid. Kasutaja jaoks ei ole tihti muud erinevust kui see, et arvuti muutub iga minutiga väljakannatamatult aeglasemaks.

Lähiminevikust saab näitena tuua meedias palju kajastatud juhtumi, kus populaarne torrentileht The Pirate Bay kasutas oma külastajate arvuteid Monero krüptoraha kaevandamiseks. The Pirate Bay väitis, et nad ei teinud seda kasutajate arvutite kahjustamiseks, vaid soovist lehe kasutamise pealt raha teenida. Reklaamipakkujad nimelt ei soovi torrentilehel oma teenuseid reklaamida ega ennast torrentilehtedega seostada.

Krüptoraha kaevandamine veebilehitseja kaudu

Tehnoloogia ja meetodite arenedes luuakse kaevandamiseks ka rohkem uusi lahendusi, nagu näiteks spetsiaalne, suurema võimsusega riistvara Bitcoinide kaevandamiseks. Praeguseks on loodud ka mitmeid süsteeme krüptoraha kaevandamiseks veebilehitseja kaudu. Neist esimene oli project Coinhive, millele järgnesid näiteks MineMyTraffic ja CryptoLoot. Lisaks on tehtud elu palju lihtsamaks nende kasutajate jaoks, kes soovivad oma tasuta sisuhaldustarkvarale kerge vaevaga kevandamislahendust paigaldada. Näiteks sisuhaldustarkvarale WordPress on loodud laiendus Bitcoin Plus Miner.

Projekt Coinhive, mis oli oma valdkonna esimene “teenusepakkuja”, lubab veebilehtede omanikel vähese vaevaga üles seada krüptoraha kaevandamine JavaScripti rakendusliidese (API) abil. Kui sellise veebilehe külastaja lubab veebilehitsejas JavaScripti kasutada, siis aktiveerib ta sellega kaevuri ja kaevandab veebilehe omanikule Monero krüptoraha. Veebilehe omanik omakorda pakub külastajatele reklaamivaba sisu, mängudes kasutatavat valuutat või mõnda muud kasutajat paeluvat tasuta või mugavat hüve. Coinhive’i kaudu kaevandamist pakutakse veebilehtedele ka alternatiivina reklaamipõhise tulu tootmisele. Lisaks pakub Coinhive ka lisateenuseid Proof of Work Captcha ja Shortlinks. Mõlema teenuse kasutamiseks peavad kasutajad lahendama mingi hulga veebilehe omaniku poolt muudetavaid räsisid (digitaalseid sõrmejälgi) selleks, et saaksid oma sõnumit edastada. Kui paljud kasutajad samaaegselt räsisid lahendavad, toodab see veebilehe omanikule taas kasumit.

Coinhive on väljastanud ka turvalisema viisi Monero krüptoraha kaevandamiseks – AuthedMine, mille olulisim erinevus on see, et enne krüptoraha kaevandamise alustamist küsitakse kasutajalt selleks luba. AuthendMine veebilehel on kirjas, et kaevandamine ei alga enne kui kasutaja loa annab. Samuti on võetud kasutusele vastumeetmed AuthedMine teenuse kasutuspõhimõtete rikkumise vastu, mis ei luba teenuse kasutustingimustest mööda minna ega teenust kasutaja loata aktiveerida. Lisaks on maksimaalseks kaevandamissessiooni pikkuseks 24 tundi.

Ajaloolisi traditsioone jätkates on uute teenuste ja tehnoloogiate kasutusele tulles hakanud neid ära kasutama ka kurjategijad ning Coinhive’is nähakse kiiret tulu saamise meetodit. Näiteks paigaldati Coinhive’i krüptorahakaevur Chrome’i laienduse SafeBrowse sisse, mille kaudu käivitati veebilehitseja avamisel kood ning krüptoraha kaevandati terve Chrome’i lahtioleku vältel. Seejärel hakati Coinhive’i peitma domeenidesse, mis nime poolest sarnanesid populaarsete domeenidega, näiteks twitter.com.com, kuhu paigaldati Coinhive’i JavaScripti teek. Leitud on ka aegunud sisuhaldustarkvara (WordPress ja Magento) ja nõrka paroolipoliitikat kasutavaid veebilehti, mille koodi olid küberkurjategijad paigaldanud Coinhive’i JavaScripti. Samuti tuvastati mitmeid Google Play poest allalaetavaid rakendusi, mis kasutaja seadmes krüptoraha kaevandasid. Paljud neist olid loodud sellisteks, mida inimesed tihti kasutavad või mis alati sees on, näiteks rakendus, mis seadmes taustapilte vahetab.

Kuidas ennast kaitsta?

Õnneks on alates digiajastu algusest arendatud ka vahendeid enda digitaalse elu ja seadmete kaitseks. Mitmed reklaamiblokeerijad on väljastanud uuendused, mis Coinhive’i teadaolevat JavaScripti blokeerivad, näiteks AdBlock Plus ja AdGuard. Arendatud on laiendid (plugins) – näiteks AntiMiner, No Coin ja minerBlock, mis veebilehitsejat põhjalikult uurivad ning lõpetavad kõik tegevused, mis meenutavad Coinhive’i tegevust. Lisaks on alati võimalus keelata JavaScript lehtedel, mille turvalisuses Sa veendunud ei ole.

Huvitatud leiavad lisalugemist allolevatelt lehtedelt: