Tag Archives: küberturvalisus

CERT-EE: mida teha, kui sinu Facebooki konto on kaaperdatud?!

RIA intsidentide lahendamise osakond CERT-EE saab iga päev teateid kaaperdatud Facebooki kontodest, mille kaudu levitavad kurjategijad veebilinki. See link viib inimesed pahavaraga nakatunud veebilehele. Kurjategijad saadavad kaaperdatud konto kaudu sõnumeid nagu „Kas see oled sina selles videos?“ või „Kas oled näinud, mida sinust Facebookis kirjutatakse?”. Sarnane petuskeem kogub tuure ka Instagramis.

Pärast seda, kui ründajad saavad inimese sotsiaalmeediakonto enda kätte, vahetavad nad konto parooli, telefoninumbri ja e-posti aadressi. See aga muudab konto taastamise pea võimatuks.

Eriti tähelepanelikud peavad olema kasutajad, kelle sotsiaalmeediakonto on seotud pangakaardiga. Sellisel juhul tuleb teatada pangale ning esimesel võimalusel kaart sulgeda.

Selleks, et kaitsta enda seadmeid pahavara eest ning mitte langeda Facebooki konto varguse ohvriks, ei tohi neile kirjadele vastata ega avada neis sisalduvaid linke. Samuti tuleb kaaperdatud konto kohta raporteerida Facebookile ning kui endal ei ole seda võimalik teha, siis paluda selleks sõbra abi. Kaaperdatud konto sulgemine on vajalik selleks, et piirata pahavara levitamist ning konto jätkuvat ära kasutamist. 

Sarnane petuskeem kogub tuure ka Instagramis

Instagramis leviva skeemi keskseks ideeks on see, et inimene saab sõbralt teate, milles too on hädas ja küsib abi. Sõber saadab sõnumis lingi, millele ei pea isegi vajutama – lingist palutakse teha kuvatõmmis ehk screenshot ja lihtsalt sõbrale tagasi saata.

Selliselt käitudes kompromiteeritakse kasutaja Instagrami konto. Mitte mingil juhul ei tohi vajutada lingile ega kuvatõmmist tagasi saata. Pahatahtlik pool võtab sinu Instagrami konto üle ning hakkab jagama seal üsna tõetruu sisu, mis võib tuua kaasa isegi rahalisi kaotusi.

Oled siiski pahaaimamatult täitnud „sõbra“ palveid ja jäänud enda kontost ilma? RIA-le teadaoleva info põhjal on kompromiteeritud Instagrami konto tagasi saadud järgides juhendeid, mis on antud siin YouTube’i videos.

Sinu FB konto on kaaperdatud? Tee nii:

  1. Raporteeri juhtunust Facebooki. Selleks mine seadete all asuvasse abikeskusesse, kus on kirjeldatud täpsemad toimingud;
  2. Kui sul endal puudub Facebookile ligipääs, siis palu, et keegi sinu sõbralistis olevatest inimestest teavitaks ning paluks kaaperdatud konto sulgeda;
  3. Teavita enda konto kaaperdamisest ka oma sõbralistis olevaid inimesi või palu seda teha mõnel sõbral. Nii hoiad ära kaaperdamise järgmisi ohvreid!
  4. Kui sinu konto on seotud krediitkaardiga, siis teavita panka ning sulge kaart ehk vaheta see ümber:

Vajutasid kaaperdatud kontolt tulnud kirja lingile? Tee nii täpselt sellises järjekorras:

  1. Kontrolli, kas seadetes on kirjas endiselt õige telefoninumber (kui see oli eelnevalt sinna lisatud);
  2. kontrolli, kas Facebooki kontoga on endiselt seotud sinu e-posti aadress või on seda vahetatud; 
  3. vaheta parool; 
  4. aktiveeri kaheastmeline sisselogimine (Seadete alt rubriigis „Turvalisus ja sisselogimine“.)
  5. logi välja kõikidest seanssidest  (Facebooki menüüst “Seaded ja privaatsus” – “Seaded” – “Turvalisus ja sisselogimine” – “Kuhu sa sisse logitud oled” – “Logi kõikidest seanssidest välja”).
  6. logi uuesti Facebooki sisse.
  7. anna kahtlasest veebilingist teada raport.cert.ee keskkonna kaudu või kirjutades e-posti aadressile cert@cert.ee.

NB! RIA kodulehel on ka juhend, kuidas kompromiteeritud Facebooki kontole uuesti ligi pääseda (PDF), kui ülevõtja on ära muutnud meiliaadressi ja telefoninumbri. Juhendi leiab aadressila: https://www.ria.ee/sites/default/files/content-editors/kuberturve/fb_taastamise_juhend_22.03.2022.pdf.

NB! Kaitse enda seadmeid pahavara eest RIA väljatöötatud äpi abil! Loe lähemalt RIA veebilehelt aadressil: https://www.ria.ee/et/uudised/cert-ee-valjatootatud-app-kaitseb-ongitsuste-ja-pahavara-eest.html.

Kuidas muuta ettevõte küberkurjategijate jaoks keeruliseks sihtmärgiks?

Me kõik sõltume oma tegemistes ja toimetamistes üha enam moodsatest IT-lahendustest, mis on muutnud meie elu ja tööprotsessid mugavamaks ja kiiremaks. Tihti jõuavad uued tehnoloogiad kiiresti turule ning tarbija ei pruugi teada, millised ohud võivad selles peituda. Näiteks nutikas ukselukk teeb koju sisenemise lihtsaks, aga kas koduomanik teab ja pöörab tähelepanu sellele, et nutilukk oleks uuendatud ja nõrkustest prii?

GERT AUVÄÄRT
riigi infosüsteemi ameti peadirektori asetäitja küberturvalisuse alal

Küberturvalisus ja infoturve võivad olla paljudele võõrad või siis liiga tehnoloogilised terminid. Samas me kõik puutume iga päev nendega kokku – tavaliselt nutitelefoni ja arvuti kaudu. Jah, inimene saab ära elada nii, et ta ei kasuta nimetatutest kumbagi, aga ükski ettevõte ei saa asju ajada ilma arvutite ja tarkvarata. Ettevõtlus ja tehnoloogiad moodustavad sisuliselt lahutamatu terviku.

Sajad miljonid rünnakud kuus

Oleme kokku puutunud ja usun, et jäämegi kokku puutuma ettevõtetega, kes arvavad, et nende pakutav teenus või toode on maailma mastaabis väga väike – kellelgi pole põhjust neid rünnakutega torkida. Näeme, et pahatahtlikud robotvõrgustikud proovivad riigisektoris (täpsemalt riigivõrgus) rohkem kui 500 miljonit korda kuus, kas mõni uks on jäetud või unustatud lahti ja kas selle kaudu saab end sisse pressida. Need on katsed, mis kohe tõkestatakse. Pole alust arvata, et erasektori olukord siin eristuks. Küberrünnakute katsed on pidevad ja automatiseeritud.

Küberruumis pole mõtet ettevõttel end ise väheoluliseks mängida. Kui aga sellist äriühingut tabab kübertorge, siis saab juhtkonna läbielamisi kirjeldada läbi leinaprotsessi etappide. Esmalt tabab neid šokk ja eitamine, siis viha, tingimine, depressioon ja lõpuks leppimine. Leppimine, et jah, ka meie võime olla sihtmärk.

Õnneks saavad ettevõtjad aina rohkem aru, miks on vaja mõista, kuidas konkreetne tehnoloogia või lahendus mõjutab kogu ettevõtte käekäiku. Esimene samm on tajuda, et see on miski, millesse on tarvis oma aega ja ressursse planeerida. Parim viis selleks on palgata infoturbejuht. Selleks, et infoturbejuht saaks pakkuda suurimat lisaväärtust, peaks ta alluma otse juhile ning kindlasti ei tohiks tema eelarve olla osa nn klassikalisest IT-eelarvest. Infoturbejuht on mõnes mõttes ka tõlk kahe kultuuri vahel. Ta selgitab juhtkonnale IT-d ja sellega seotud protsesside olulisust ning IT-inimestele omakorda juhtide äriliste otsuste tagamaid ja kaasnevaid turvanõudeid.

Ettevõte peaks kindlasti koostama põhjaliku riskianalüüsi, et end paremini kaitsta ja tegevusi planeerida. Riskianalüüs peab lähtuma ettevõtte tegevusriskidest, mitte pelgalt küberturbe vaatevinklist.

Kolmas oluline aspekt on testimine, sest turvalisus selgub testides. Hea praktika, mida soovitan kindlasti järgida, on see, et uus lahendus (näiteks e-pood või äpp) ei läheks käiku enne, kui selle kaitstus on proovile pandud. Parim lahendus on suunata kohe teatud protsent arenduseelarvest turvatestimisteks. See tundub kallis, kuid on odavam, kui hiljem rünnakujärgselt tagavaarakoopiaid otsida ja kliendiandmebaase taastada.

Nii nagu ettevõtted, mida KTK esindab, soovivad ka kurjategijad teenida tulu võimalikult väikeste kuludega. Tulemüüride või tehnoloogiate lõhkumine on kallis, kui neis ei peitu turvanõrkust, mida pole veel paigatud. Seega on väga vähe juhtumeid, kus kurjategijad proovivad toore jõuga läbi murda töötavatest kaitsekihtidest, näiteks tulemüürist või VPNist.

Küll aga proovitakse lihtsate vahenditega kätte saada töötajate kasutajatunnuseid ja paroole ning nende abil pahandust teha. See on sarnane inimese immuunsüsteemile – kui antikehad tunnevad viiruse ära, siis see hävitatakse silmapilkselt. Aga kui viirus paistab antikehade jaoks justkui tavaline rakk, siis saab see kehas rahulikult ringi uitada. Sellisel juhul ei saa tehnoloogia aidata, sest kurjategija käes on legitiimsed ja tegelikud andmed, millega peabki saama näiteks postkasti või siseveebi sisse logida.

Inimeste koolitamine võtmetähtsusega

Tehnoloogia ei saa aidata seal, kus inimene ise käitub hooletult. Sellepärast ongi RIA roll vaadata otsa nii tehnoloogiatele, inimestele kui ka ettevõtetele.

Seda, et 2021. aastal on endiselt nõrgimaks lüliks inimene arvuti või nutiseadme taga, nendib enamik infoturbe eksperte. Üks meetod selles vallas paremaid tulemusi saavutada ja turvalisust suurendada on parandada küberhügieeni. Politsei pole lõpetanud selgitamast, et turvavöö kinnitamine võib päästa sinu elu. Seda on räägitud 30 aastat ning kuigi suur osa inimestest saab sellest aru, leidub ikka neid, kellele peab seda kordama. Küberhügieenist rääkides oleme justkui veel 2000. aastates, mil taksojuhid panid turvavööpesasse jupi, mis peatas häiresignaali lakkamatu piiksumise. Nii sai ilma vööta sõit rahulikult jätkuda.


HOIA END KURSIS!


Seega peavad ettevõtted jätkama koolitusi, et töötajate digioskusi edendada. RIA ulatab siin samuti hea meelega abikäe. Lisaks erinevatele kampaaniatele ning infopäevadele, millest viimane leidis aset novembri teisel nädalal (järelevaadatav siit), on meil juba mõnda aega käigus selget kübernõu jagav portaal itvaatlik.ee.

Nüüd jõuan jutuga teemani, mis võib tunduda kuiv, aga mis aitab ettevõtteid kaitsta: infoturbe standardi rakendamine. Praegu kehtib veel ISKE standard, mida on oma olemuselt ja ka rakenduslikult üsnagi keeruline kasutada. Uuel aastal liigume üle täiesti uuele n-ö rätseplahendusele ehk Eesti infoturbestandardile (E-ITS), mille eesmärk on pakkuda organisatsioonile infoturbe riskidega toimetulekuks infoturbe halduse süsteemi. Küsimusele, kas standardi rakendamine hoiab ära küberründeid, on lihtne vastus – ei. Küll aga muudab see teie ründamise keerulisemaks ning aitab paika panna konkreetse plaani, kuidas pärast rünnakut taas kiiresti jalule tõusta ja ettevõtte tegevus taastada.

Soovitan võtta infoturvet tõsiselt, sest ühest seadistusveast või õngitsuskirjast võib piisata, et ettevõtte töö peatada.

RIA intsidentide käsitlemise osakond CERT-EE on möödunud aasta vältel käsitlenud üle 2000 küberintsidendi, millel oli reaalne mõju. Sellele arvule lisanduvad automaatseire tuvastatud ja tõrjutud sajad miljonid rünnakukatsed. Anname 2021. aasta septembrist välja ka igapäevast CERT-EE uudiskirja, mis räägib Eesti küberruumis toimunust ning olulistest rahvusvahelistest küberuudistest. Seda tellib umbes 1300 inimest. Soovitame kindlasti ka kõigil KTK liikmetel seda tellida ja sellest oma juhtidele rääkida. Uudiskirjaga liitumise juhendi leiab siit. Kui olete juba selle infokirja lugeja ja teil on mõtteid, kuidas RIA saaks seda teenust paremini osutada, siis ootame julgesti teie ettepanekuid.

Loodan, et eelnev jutt pani teid korraks mõtlema oma ettevõtte küberturvalisusele. Soovitan võtta infoturvet tõsiselt, sest ühest seadistusveast või õngitsuskirjast võib piisata, et ettevõtte töö peatada. Oleme alati valmis kaaluma erinevate sektorite küberturbekoolitusi ning võite meie poole pöörduda ka sooviga turvatestida teie teenuseid ja infosüsteeme.

Ja mis peamine – pole olemas 100% turvalisust, küll aga saate rakendada eri meetmeid, et muuta ettevõte kurjategijate jaoks keerulisemaks sihtmärgiks ja tagada võimalikult valutu töö taastamine, kui küberrünnak on aset leidnud.

Artikkel ilmus Eesti Kaubandus-Tööstuskoja väljaandes Teataja nr 6/2021

Log4j Java turvanõrkuse kokkuvõte

9. detsembril 2021 avalikustati Log4j Java logimisfunktsioonis kriitiline nullpäeva turvanõrkus CVE-2021-44228. Turvanõrkuse tõsidus hinnati rahvusvahelise standardi järgi võimalikust kõrgeimaks (10 punkti 10st), sest see võimaldab ründajal haavatavas seadmes jooksutada vabalt valitud koodi. Nõrkus mõjutab lugematut hulka ettevõtteid ja asutusi, sealhulgas avaliku sektori asutusi ja teenuseid.

17. detsembril tuli välja, et seni Java 8 või uuemale Java versioonile mõeldud Log4j versioon 2.15 ei ole enam turvaline ning soovitus oli uuendada Java 8 või uuema kasutamisel Log4j versiooninile 2.16. Kolm päeva hiljem selgus täiendavalt, et uuendada tuleks hoopis versioon 2.17 peale https://amp.thehackernews.com/thn/2021/12/new-local-attack-vector-expands-attack.html.

Turvanõrkuse olemus

CVE-2021-44228 turvanõrkust on ründajal võimalik ära kasutada nii, et ta saadab haavatavale serverile, seadmele või süsteemile kindla formaadiga käsu ja lisab viite pahavarale, mis võib asuda kuskil kolmandas serveris. Haavatav server loob käskluse, Log4j otsib viidatud pahavara üles, laeb alla ja käitab selle. Pahavara iseloomust sõltuvalt võib see anda kolmandale osapoolele ligipääsu seadmele.

Intsidendi mõju

Kui mõjutatud seadmete ja süsteemide uuendused jäävad venima või kui uuendusi nende valmides kiiresti ei paigaldata, võib potentsiaalne kahju olla globaalselt seninägematu.

Turvanõrkuse massilist ärakasutamist Eestis seni näha ei ole. 20.12 seisuga on RIA küberintsidentide käsitlemise osakonnale (CERT-EE) teada mõnest juhtumist, kus nõrkuse kaudu on süsteem kompromiteeritud või testitud turvanõrkuse olemasolu. See info täieneb pidevalt.

Kompromiteerimise tagajärjel toimunud tõsiste tagajärgedega rünnakutest, andmeleketest või lunavarajuhtumitest, mis oleks mõjutanud kriitiliste teenuste osutamist, seni teateid ei ole.

Täielikku ülevaadet mõjutatud seadmetest või süsteemidest on keeruline kokku panna, sest Java programmeerimiskeel on laialt levinud. Näiteks kui asutuses on kasutusel Java platvormil programmeeritud teenused, on neil võimalik uuendada Log4j logimisfunktsioon ise. Kuid samas võib asutuses olla kasutuses hulk nn karbitooteid (võrguseadmed, antiviiruse keskhaldus, veebiteenuste taristuteenused vms), milles on samuti kasutusel Log4j ja mille kaudu võib tekkida ründajal ligipääs asutuste võrkudele. Need tooted peaks saama uuenduse tootjate kaudu.

Kõik seadmed ja rakendused, mis kasutavad log4j logimisfunktsiooni teatud versioone (2.0-beta9 kuni 2.16.0, väljaarvatud 2.12.2), on potentsiaalselt haavatavad ning need tuleb uuendada versioonile 2.17.0. Kõikide versioonide jaoks ei ole veel turvapaiku välja töötatud. Lisaks ei ole kõik kasutajad veel jõudnud rakendada turvapaiku versioonidele, millele on see avaldatud.

Mõju lõppkasutajatele

Log4j turvanõrkusel on hetkel mõju pigem ettevõtetele ja asutustele, kelle süsteemidesse on võimalik potentsiaalselt sisse murda. Kui turvanõrkust hakkavad ära kasutama aga kurjategijad, kel õnnestub paigaldada pahavara laialt kasutatavatesse teenustesse, võib sellel olla mõju ka tavakasutajatele. Praegu ei ole võimalik öelda, milline on nõrkuse mõju lõppkasutaja seadmetele, st arvutitele ja nutiseadmetele. On väga tõenäoline, et on vaja ka uuendused välja töötada Java platvormi kasutavatele asjade interneti seadmetele ja masinatele.

Meetmed

Ettevõtted ja asutused peaksid üle vaatama oma IT-taristu ja tegema endale selgeks, millistes kasutatavates toodetes ja teenustes võib vastav haavatavus peituda. Kui tootja tuleb välja uuendusega, tuleks paigata need nii kiiresti kui võimalik. Samal ajal peaks ettevõtted ja asutused aktiivselt otsima võimalikke sissetungikatseid. Toodete puhul, kus uuendused puuduvad, on rahvusvaheline küberturvalisuse kogukond välja pakkunud hulga meetmeid, mis aitaks vähendada rünnakute edukust.

Versioon ja skoor: 2.0-beta9 kuni 2.14.1 – kriitiline
CVE: CVE-2021-44228
Nõrkus: Kaugkoodikäivitus
CVSS: 10

Versioon ja skoor: 2.0-beta9 kuni 2.15 (v.a 2.12.2) – kriitiline
CVE: CVE-2021-45046
Nõrkus: Kaugkoodikäivitus ja infoleke
CVSS: 9

Versioon ja skoor: 2.0-beta9 kuni 2.16 – kõrge
CVE: CVE-2021-45105
Nõrkus: Teenusetõkestus
CVSS: 7.5

Versioon ja skoor: 1.2 – kõrge
CVE: CVE-2021-4104
Nõrkus: Untrusted deserialization
CVSS: 8.1

Parim lahendus on uuendada haavatavates süsteemides Log4j versioonile 2.17.
Kui uuendamine ei ole võimalik, siis tuleb hinnata riski ning rakendada vastavalt riskihindamise tulemusele leevendusmeetmeid:

  • Java käivitamisel kasutada parameetrit -Dlog4j2.formatMsgNoLookups=true või seada keskkonnamuutuja LOG4J_FORMAT_MSG_NO_LOOKUPS=”true” (ei lahenda CVE-2021-44228 nõrkust)
  • Eemaldada JndiLookup class classpathist

Täiendavad leevendusmeetmed:

  • (Potentsiaalselt) haavatavate süsteemide eraldamine võrkude segmenteerimise või tulemüüride abil.
  • (Potentsiaalselt) haavatavate süsteemidel internetti pöördumise algatamise keelamine
  • IDS/IPS süsteemides vastava kaitse sisse lülitamine.
  • Süsteemide automaatne või sage manuaalne monitoorimine rünnete või muude kahtlaste tegevuste tuvastamiseks.

Täiendavaid leevendusmeetmeid on soovitav rakendada ka teadaolevalt mitte haavatavate süsteemide puhul võimaliku tulevase ohu vähendamiseks.

Küberrünnaku kahtluse korral tuleks esimesel võimalusel pöörduda CERT-EE poole aadressil cert[@]cert.ee.

RIA tegevused ja kronoloogia

  • 10.12 – RIA edastas esimese teavituse turvanõrkuse kohta koos tegutsemisjuhistega RIA tiimidele ja teistele riigiasutustele, sh turvajuhtide.
  • 10.12–17.12 – RIA kaardistab nii enda teenustes haavatavad komponendid (need kas uuendatud või leidnud võimaluse piirata ründevektorit) ning kogub infot partneritelt.
  • 13.12 – RIA edastas hoiatused ja soovitused avaliku sektori turvajuhtidele ja elutähtsate teenuste osutajatele.
  • 13.12 – RIA on tuvastanud rünnakukatseid riigivõrku kasutavate asutuste suunas ning andnud neist märku vastavatele asutustele koos suunistega, kuidas oma taristut kaitsta.
  • 17.12 ja 20.12 – RIA edastas täiendava teavituse turvanõrkuse kohta elutähtsate ja oluliste teenuste osutajatele (ETOd ja OTOd) ning turvajuhtidele.

RIA jätkab asutustega suhtlemist, olukorra kaardistamist ja annab jooksvalt soovitusi nii asutustele kui ka teenuse pakkujatele.