Tag Archives: lunavara

Küberturvalisuse ABC

Autor: CERT-EE inforturbe ekspert Sille Laks

Vähemalt korra nädalas leiab mõnest päevalehest ja tehnoloogiauudiste portaalist ridamisi hoiatusi ja nõuandeid, kuidas turvalisemalt ja targemalt internetti kasutada ning sotsiaalmeediat ja nutitelefone tarbida. Siiski peetakse küberit ja kõike sellega seonduvat jätkuvalt pigem itimeeste pärusmaaks, mis tavainimesi ei puuduta. Miks peaksin mõtlema selliste IT-meeste teemade peale nagu küberturvalisus ja sellega kaasnevad näiliselt mitte midagi ütlevad sõnad: kahetasemeline autentimine, õngitsusleht, lunavara, kompromiteeritud meilikonto? Kasutan ju arvutit vaid töötegemiseks, arvete maksmiseks, uudiste ja meilide lugemiseks ning sotsiaalmeedia külastamiseks.

Kuna arvutid ja teised nutiseadmed on kõikidele soovijatele kättesaadavad ja nende kasutamine on osa meie igapäevaelust, puudutab ka küberturvalisus meid kõiki. Kõikidel, kes seda artiklit loevad, on võimalus ennast internetiga ühendada. Ka selle artikli leidsid sa kõikvõimsa sotsiaalmeedia, Google’i või näiteks tuttava kaudu, kes pärast su mitmeid „Ärge avage mu postitusi, mul on viirus!“ postitusi selle sulle saadab või su mõne postituse all ära märgib. Kõik see annab aga märku, et ühel või teisel moel puudutavad nii küber, IT kui tehnoloogia ka sind isiklikult. Ja mitte ainult siis, kui loed seda kirjutist arvutist, vaid ka siis, kui loed seda oma nutitelefonist, nutitelerist või isegi nutikellast. Küberturvalisus algab iga kasutaja internetikäitumisest ning järgida tuleks peamisi turvalisuse põhimõtteid, mis laienevad nii öelda pärismaailmast kübermaailma.

Paroolid ja kasutajakontod

Igasse tänapäeva keskkonda konto loomiseks on vaja valida endale kontoga seotav meiliaadress või kasutajanimi ning keskkonnas kasutatav parool. Mitmed Eesti teenusepakkujad võimaldavad turvalist kaheastmelist sisselogimist kas ID-kaardi, mobiil-ID või Smart-IDga. Need on kättesaadavad kõikidele ning kasutajatel pole vaja luua eraldi kontot ega meeles pidada veel üht parooli. ID-kaart on kohustuslik isikut tõendav dokument kõikidele Eesti kodanikele ja kehtib Euroopa Liidus ka reisidokumendina. Samuti on võimalik omale tellida mobiil-ID – kõikidele mobiiltelefonidele saadaolev isiku tõendamise ja digitaalse allkirja lahendus. Erinevalt Smart-IDst ei ole mobiil-ID kasutamiseks vaja nutitelefoni. Kuna kõik Eesti pangad sulgevad 2018. aasta jooksul klientide koodikaardid, ei kajasta me neid sisselogimisvõimalusena. Lisalugemist koodikaartidest loobumise kohta leiab nii RIA veebilehelt kui ka pankade kodulehtedelt.

Portaali sisenemine. Sisene ID-kaardiga. Sisene Mobiil IDg. Sisene panga kaudu.

Ekraanipilt riigiportaali eesti.ee sisselogimislehest.

Kui pead looma konto keskkonda, kuhu ei ole võimalik ID-kaardi, mobiil-ID või Smart-ID abil siseneda, on sul vaja kasutajanime ja parooli. Paljudesse keskkondadesse on võimalik siseneda olemasoleva sotsiaalmeedia või Google’i (Gmaili) konto kaudu. Näiteks Postimees online’i keskkonda sisenemiseks on võimalik luua eraldi konto või kasutada olemasolevat Facebooki, Twitteri või Google’i kontot.

Konto loomine: e-posti aadress, salasõna, korda salasõna, loo konto. Lisavariantidega nupuf: logi sisse Facebookiga:, logi sisse Google'iga, logi sisse Twitteriga.

Ekraanipilt Postimees Online’i konto loomise lehest koos sisselogimise võimalustega

Enamasti, eriti väiksemate teenusepakkujate juures, tuleb omale luua aga eraldi kasutajakonto.

Registreeritud kasutaja. Oman juba kontot. E-posti aadressi lahter, parooli lahter, link: unustasin parooli, nupp: sisene.

Ekraanipilt tavalisest sisselogimislehest väikese teenusepakkuja keskkonnas

Kui sa ei kasuta paroolihaldurit, mis sulle iga keskkonna jaoks eraldi parooli loob ning selle salvestab, tuleks kontot luues vastata turvalisuse huvides allolevatele küsimustele (paroolihaldurite soovitusi võid lugeda paroolisoovituste punktist). Samuti võiksid kriitiliselt mõelda ka oma olemasolevate kontode turvalisuse peale!

  1. Kas see kasutajanimi või meiliaadress on mul juba kusagil mujal kasutusel?
  2. Kas sama kasutajanimi ja parool koos on juba kusagil mujal kasutusel?
  3. Kas mu valitud parool vastab turvalise parooli nõuetele, et keegi seda lihtsasti ära arvata ei saaks?
  4. Kas valitud parool on juba mujal kasutusel koos teise kasutajanimega?
  5. Kas keskkond pakub kahetasemelist autentimist ja kas olen selle juba aktiveerinud?
  6. Kas olen aktiveerinud tundmatutest asukohtadest sisse logimise teavituse?
  7. Kas olen määranud Facebookis usalduskontakti, kes saab vajadusel minu isikut kinnitada, et saaksin oma konto tagasi?

Kui vastasid esimesele neljale küsimusele jaatavalt, pea meeles – kui su parool on nõrk ja sa ei kasuta kaheastmelist autentimist, võib pahatahtlik tuttav või sootuks küberkurjategija su kontole sisse logida ja seal omasoodu tegutsema hakata. Näiteks saata sinu nimel sõnumeid või jagada pahatahtliku sisuga linke, mis võivad su sõprade seadmeid pahavaraga nakatada.

Ukse ees olevas turvariivis on metallpulga asemel maisikepike.

Kasutajanime admin ja parooli admin turvalisuse tase. Allikas: https://knowyourmeme.com/photos/1379666-cheeto-lock

Parooli valides mõtle oma konto turvalisuse peale ning pea meeles järgmised soovitused:

  1. Parool peab sisaldama suuri ja väikeseid tähti.
  2. Parool peab sisaldama numbrit ja/või erimärki.
  3. Parool ei tohi olla kergesti äraarvatav (näiteks sinu või pereliikme ees- ja perekonnanimi või sünniaeg, lemmiklooma nimi, ametinimetus vms).
  4. Väldi parooli ristkasutust ehk ära kasuta sama parooli mitmes kohas.
  5. Uuenda oma paroole regulaarselt ja ära jaga neid teistega.
  6. Veendu, et veebileht, kuhu on tarvis isiklikke andmeid sisestada ja/või sisse logida, on kaitstud turvalise krüpteeritud ühendusega (httpS).
  7. Proovi vältida ühiskasutatavate ja avalike seadmete kasutamist. Kui see ei ole võimalik, veendu, et oled kõikidest külastatud ja sisselogitud kohtadest alati välja loginud.
  8. Kui keskkond võimaldab kaheastmelist autentimist, siis aktiveeri see kindlasti. (Populaarsemate keskkondade puhul saad juhiseid siinsest blogist: Gmail, Microsoft, Facebook ja Twitter)
  9. Unikaalse ja meeldejääva paroolipõhja loomiseks võid kasutada lehte https://rabool.eu.
  10. Kasuta paroolihaldurit. See aitab sul iga veebilehe jaoks genereerida unikaalse parooli, säästab sind paroolide meeles pidamise vaevast ja lihtsustab veebilehtedele sisse logimist, täites sinu eest automaatselt kasutajanime ja parooliväljad. Tuntumad paroolihaldurid on näiteks LastPass, Bitwarden, 1Password, Dashlane ja KeePass.

Eestlaste paroolide top 20

123456, parool, qwerty, 123456789, lammas, 12345, minaise, maasikas, kallis, killer, armastus, lollakas, samsung, 123123, teretere, lilleke, martin, 12345678, kiisuke, kallike

Eestlaste paroolide top 20

Loe täpsemalt

Õngitsuslehed ja õngitsuskirjad

Õngitsuslehtede ja -kirjade eesmärk on varastada kasutaja isiklikke andmeid ja/või finantsinfot. Kirjade loomisel pööratakse kõige enam rõhku visuaalsele sarnasusele ja usaldusväärsusele – lehel olev sisu peab olema sarnane päris kaubamärgiga. Õngitsuskirjas sisalduv tekst peab olema võimalikult sarnane kirjale, mille teenuseosutaja sulle probleemi korral saadaks. Kui satud kirja kaudu sellisele lehele, kontrolli alati, kas veebiaadress on täht-tähelt seesama, mis peaks olema. Väga levinud on nii asutuse IT-teenistuse kui ka meiliteenuste (näiteks Gmaili, Hotmaili, Yahoo või näiteks kodumaise Online.ee) nimel saadetavad õngitsuskirjad, mille eesmärk on kasutajainfo (kasutajanimi ja parool) kalastamine hilisemaks meilikonto kasutamiseks. Eesmärk võib olla selle meiliaadressi kaudu arvukalt õngitsuskirju levitada; teha finantspettuseid, näiteks krediidipakkumisi; saata reklaamposti või tegelik huvi töötaja postkasti sisu vastu. Lisalugemist ülevõetud kontode kasutamise kohta:

Tihti on õngitsuskirja sisu ähvardav, näiteks teatatakse, et kui kasutaja oma kontot ei kinnita, siis see sulgetakse. Mõnikord teatatakse, et kontolimiit on ületatud, kuid tegelikult on seda tänapäevaste postkastide suurust arvestades üsna raske saavutada. Praegu on tavapärane tasuta antava kirjakasti suurus 1–2 gigabaiti, kunagi oli see 10 megabaiti (https://et.wikipedia.org/wiki/Bait).

"Teie e-posti konto on praegu ületanud selle ladustamispiirangu, suurema suurusega sissetulevad kirjad on ootel. On aeg oma uue kohustusliku turvalisuse täiustamiseks isikupärastatud soovitustega, et tugevdada piiramatu salvestusruumi e-posti konto turvalisust. Värskendamiseks järgige alltoodud kiiret protsessi."

Ekraanipilt õngitsuskirjast, mis hoiatab ladustamispiirangu ületamise eest.

Ekraanipilt õngitsuskirjast, mis teavitab blokeeritud sõnumitest

Ekraanipilt õngitsuskirjast, mis kutsub identiteeti kinnitama

Ekraanipilt IT-teenistuse nimel saadetavast õngitsuskirjast

Ekraanipilt õngitsuskirjast, mis hoiatab kasutajat, et on kahtlus – keegi teine kasutab tema PayPali kontot

Ekraanipilt kasutajainfot kalastavast õngitsuslehest

Ekraanipilt PayPali kontode õngitsuslehest

Ekraanipilt Facebooki kasutajatele suunatud õngitsuslehest

Ekraanipilt Gmaili kasutajatele suunatud õngitsuslehest

Ekraanipilt Office365 kasutajatele suunatud õngitsuslehest

Vältimaks kasutajainfo sisestamist õngitsuslehele ning hilisemaid probleeme konto taastamisel:

  1. Veendu, et veebiaadress, mida külastad, on täht-tähelt seesama, mis peaks olema (google.com vs g00gle.com).
  2. Ära usu ähvardavaid ja kiiret tegutsemist nõudvaid kirju tundmatutelt saatjatelt, kellest sa pole kunagi varem kuulnud või kellega sul pole kunagi tegemist olnud.
  3. Kahtluse korral tee teises aknas lahti otsingumootor (näiteks sisesta sinna soovitud kaubamärgi või teenusepakkuja nimi. Otsingumootorites kuvatakse eespool just tegeliku kaubamärgi ametlik koduleht).
  4. Veebiaadressis veendumiseks ei loeta aadressi mitte vasakult paremale, vaid aadressiribal olevast kõige vasakpoolsemast kaldkriipsust (/) kaks kohta vasakule. Vasakult lugedes kuvatakse esimestena alamdomeenid, näiteks mail.google.com tähistab Google’i meiliteenust Gmail.
  5. Pea meeles, et kui su kasutajanime ja parooli küsitakse telefonitsi, ei saa olla tegemist sinu IT-osakonnaga, sest neil ei ole vaja sinu kontole sinu parooliga sisse logida.

Kui oled õnnetul kombel oma kasutajainfo õngitsuslehele sisestanud, vaheta kohe oma konto parool ning veendu, et sul on aktiveeritud kaheastmeline autentimine. Samuti vaheta parool kõikides keskkondades, kus sama parooli kasutad ning väldi edaspidi parooli ristkasutamist (ehk sama parooli kasutamist mitmes kohas).

Kui küberkurjategijad on üle võtnud mõne su tuttava meilikonto ja kasutavad seda nt laenupakkumiste või rahasaatmispalvete saatmiseks, siis ära kindlasti vasta sellisele kirjale. Teavita tuttavat kohese mõnda teist kanalit pidi. Soovita tal kindlasti vahetada parool ning aktiveerida kaheastmeline autentimine. Kui sinuni jõuab kiri tuttavalt või mõnelt kunagiselt äripartnerilt, kes on nimepidi tuvastatav, kuid sul puudub tema kontaktaadress, edasta kiri CERT-EE meeskonnale (cert@cert.ee). NB! Kui meiliaadressi järgi ei ole võimalik inimest tuvastada, näiteks on kasutajanimi kiisuke666, võid kirja kohe kustutada.

Ekraanipilt ülevõetud Gmaili kontolt. Kasutaja kontaktidele saadetud kiri, milles „kasutaja“ kojusaamiseks raha palub

Lisalugemist samal teemal

Sotsiaalmeedia, mu õnn ja rõõm!

Libaloteriide eesmärk võib olla nii klikisööt lehe külastatavuse suurendamiseks ja selle hilisemaks kõrgema hinnaga edasimüümiseks või kasutajate tasulise sõnumiteenusega liitmine.  Klikisööt põhineb eelkõige pilkupüüdvatel (“Tasuta!”) pealkirjadel või pisipiltidel, mis suunavad kasutajat lõpplehele, kuhu parimal juhul ei ole pahavara paigaldatud ning tahetakse lehe küljastajate arvu suurendada. Kuidas saada aru, et tegemist on pettusega?

  • Lihtne matetmaatika. Libapakkumistes lubatakse tavaliselt ära kinkida sadu või tuhandeid hinnalisi tooteid. Kui tegemist oleks tegeliku kampaaniaga, kaasneks ettevõttele sellega suur majanduslik kahju.
  • Absurdsus. “Anname ära X (suur arv) tooteid, sest pakend on kahjustatud ja neid ei saa enam müüa”. Kui mõelda firma seisukohast, on kasulikum need tooted uuesti pakendada või hinda 5–10% võrra langetada, mitte avatud kile tõttu mitmekümne või isegi mitmesaja tuhande euro väärtuses tooteid ära anda. Huumoriga peaks suhtuma kampaaniatesse, kus Samsung jagab konkurendi, näiteks Apple’i tooteid.
  • Osalemistingimused. Võltsloosimiste puhul on ettevõtte ja/või loositava auhinna taustainfo puudulik. Enamasti ei selgu, miks loosimist korraldatakse (kas on tegu näiteks koolilõpu-, jaanipäeva- või jõululoosiga). Sageli on puudu ka osalemistingimused ja see, millal loosimine toimub, kuidas valitakse võitjad ning kuidas nendega ühendust võetakse.
  • (Liiga) uued leheküljed. Enamasti on ettevõtetel sotsiaalmeediakontod juba mitu aastat ning neil on ka vastav verifitseerimismärk. Sotsiaalmeediateenuse pakkuja kinnitab selle märkega, et kontoomaniku taust on üle kontrollitud ning leht tõepoolest kuulub sellele inimesele või asutusele. Kui Mercedese eile loodud leht pakub tasuta uut luksklassi autot , tuleks valida Facebookis “Esita kaebus” ja Instagramis “Report page.” Sel moel saad sobimatust lehest teada anda ning sellega ehk nii mõnelegi vähem turvateadlikule kasutajale abiks olla.

Pikemalt libaloosimistest ja “seinal hiilgavast” kullast

Ekraanipilt libaloosimiste kampaaniast, millega lubati kasutajatele 2 aastat tagasi pankrotti läinud Estonian Airi lennukipileteid ning hiljem teiste lennufirmade tasuta lennukipileteid

Lisalugemist ja kuulamist Estonian Airi libaloterii kohta.

Lisaks ülaltoodud põhitõdedele sotsiaalmeedia rumaluste vältimiseks, soovitame lisaturvalisuse tagamiseks ja sotsiaalmeediast tuleneda võivate probleemide vältimiseks järgida allolevaid põhimõtteid:

  1. Ära aktsepteeri tundmatute kasutajate sõbrakutseid . Sa ei tea, kes nad on ja mida nad sinu kontolt saadava informatsiooniga peale võivad hakata. Soovi korral saad piirata, kes sulle näiteks Facebookis sõbrakutseid saata saavad. Selleks vali Seaded -> Privaatsus -> How people can find and contact you – > kes saavad sulle sõbrakutseid saata -> Sõprade sõbrad (juhul kui on kunagi tarvis sõbralisti lisada keegi, kellega ühised sõbrad puuduvad, on võimalik kas korraks seadeid muuta või üksteisega esmalt postkasti kaudu kontakteeruda.
  2. Ära jaga endast paljastavaid pilte või videosid võõrastele või juhututtavatele. Siinkohal tuleb ka meeles pidada tehnoloogia ajastu eripärasid, kus sa võid küll usaldada inimest, kellele foto või video saadad, kuid sa ei saa veenduda, et tema arvuti või nutiseade pole pahavaraga nakatunud ning su pilt ei sattu kellegi tundmatu kätte.
  3. Vaata üle oma sotsiaalmeedia profiili seaded ning veendu selles, et su seinal olevad postitused on nähtavad ainult sõbralisti liikmetele.
  4. Facebooki kasutajad saavad Seaded-> Privaatsusseaded alt valida “Piira sõprade sõpradega või avalikult jagatud postitusi.” Pärast “piira” vajutamist muutuvad ka kõik eelnevad postitused nähtavaks ainult sõbralisti liikmetele.

Pahavara

Pahavara on tarkvara, mille eesmärk on ühel või teisel moel kasutaja seadme kahjustamine. Kas siis andmete krüpteerimisega raha välja pressimiseks, kasutaja arvuti jõudluse kasutamine krüptoraha kaevandamiseks (mille saab endale loomulikult keegi teine), kasutaja seadmest info varastamiseks või  kasutaja seadme liitmine robotvõrgustikuga, et seda hiljem rünnete läbiviimiseks ära kasutada. Pikka aega on liikvel olnud väärarusaam, et pahavara levib ainult e-mailide kaudu. Pahavaraga saab nakatuda ka veebilehte külastades, pahatahtlikku mobiilirakendust alla laadides või ka tundmatuid mälupulki arvutisse ühendades juhul, kui arvutis on lubatud automaatkäivitus. Pahavarast ja tema eriliikudest saad lugeda näiteks http://www.arvutikaitse.ee/arvutikaitse-algtoed/ ja https://en.wikipedia.org/wiki/Malware. Lisalugemist ametlike rakenduste äratundmise kohta leiad blogipostitusest https://blog.ria.ee/kuidas-internetist-ostes-raha-narve-ja-arvutit-saasta/ .

Pahavaraga nakatumise kaitseks toimi nii:

  1. Veendu, et kasutad seadmes legaalset tarkvara ja selle uusimat versiooni ning sul on paigaldatud turvauuendused.
  2. Lae tarkvara alla ainult tootja ametlikelt kodulehtedelt.
  3. Paigalda arvutisse või nutiseadmesse viirusetõrje ainult tootja kodulehelt või ametliku poes edasimüüjalt.
  4. Lae telefonirakendused ainult ametlikust poest (Google Play pood, Apple App Store, Microsoft Store).
  5. Ära sisesta oma arvutisse tundmatuid mälupulki ning keela seadmetes irdmeedia automaatkäivitus.
  6. Ära ava tundmatuid kirju, linke ja manuseid. Juhul kui su tuttav saadab tavapärasest erineva suhtlusviisi ja/või tekstiga lingi või manuse, küsi alati üle, millega on tegu, eriti juhul, kui manuse nimi pole sulle juba näiteks tööga tuttav (näiteks: juhtkonna_koosolek_kuupäev.docx)
  7. Tee oma telefonis ja arvutis olevatest olulistest asjadest regulaarselt tagavarakoopiaid ning veendu, et need ka toimivad. Tagavarakoopiate tegemise juhiseid uusimatele enamkasutatavatele operatsioonisüsteemidele leiab: Windows 10, Mac OS X.

Ekraanipilt Windowsi arvutist, mis teavitab kasutajat, et uuenduste paigaldamiseks on vajalik seade taaskäivitada

Lunavara

Lunavara on üks pahavara alaliike, mis kasutaja arvutis (praegusel ajal ka juba nutiseadmetes) olevad failid kasutuskõlbmatuks muudab ning failide tavapärase töö taastamise üldjuhtudel virtuaalses krüptorahas BitCoin lunaraha nõuab. Loe pikemalt küptorahade ja virtuaalse kaevandamise kohta

Lunavara levitatakse nii e-mailide kui ka veebilehtede kaudu. Sarnaselt õngitsuskirjadega kasutatakse ka lunavara sisaldavate kirjade puhul manipuleerivaid võtteid, mis kindlasti manuse avamise kaasa tooksid. Näiteks sisaldavad väga paljud lunavara manusega kirjad infot maksmata arve või muu finantstehingu kohta.

Kui varasemalt oli võimalik selliseid kirju tuvastada suure hulga kirjavigade järgi, siis praegusel ajal on ka küberkurjategijad muutunud teadlikumaks ning kirjade grammatika järgi neid enam väga lihtne eristada pole. Küll aga tuleks alati selliste kirjade puhul tähelepanelikult vaadata saatja aadressi. Näiteks ei saada DHL kohe kindlasti kirju aol.com või gmail.com aadressilt. Samuti tuleks tähelepanu pöörata meilis olevale allkirjale ning edastatud lisainfole. Kui ettevõtte põhitegevusalaks on näiteks lillede müük, ei ole reaalne saada inkassohoiatusi tasumata arve eest rebaste müügiga tegelevalt ettevõttelt.

Ekraanipilt tüüpilisest lunavara sisaldava manusega kirjast

Lunavaraga nakatumise ennetamise vältimiseks leiad juhiseid ja soovitusi:

Kui su seade või süsteemid on õnnetu juhuse tõttu juba lunavaraga nakatunud, soovitame intsidendist teavitada CERT-EE meeskonda, kes saab jagada soovitusi seadme või süsteemide töö taastamiseks juhul, kui konkreetsele lunavarale on ka juba väljastatud dekrüptor. Lunavara puhul soovitame kindlasti nõutud raha mitte maksta, kuna puudub garantii failide tagasisaamise osas ning lunaraha maksmise kaudu finantseeritakse kuritegevust, mis küberkurjategijaid veelgi suurema summa teenimiseks oma tegevust laiendama paneb.
Lisaks saad uurida infot No More Ransom projekti lehelt.

Nutiseadmete turvalisus

Üks tänapäeva maailma lahutamatu osa on nutitelefon. Nutitelefonid on kaasas kõikjal ning tihti ka magatakse nutitelefon kõrval. Kuigi seadme nimes on „telefon“, ei täida seade enam ammu üksnes helistamise ja SMSide saatmise funktsiooni.

Allikas: https://imgur.com/gallery/sYzqutd

  1. Kasuta nutiseadmes tarkvara uusimat versiooni ning veendu et sul on automaatsed turvauuendused sisse lülitatud.
  2. Juhul kui soetad seadme, mis tuleb vaikeparoolidega (default password), vaheta esimese asjana vaikeparool turvalise salasõna vastu. Vaikeparoolid on enamus juhtudel internetist leitavad ning kasutatavad kõikides konkreetsetes mudelites.
  3. Telefoni rakendusi ehk äppe lae alla vaid ametlikust tootja poest (Google Play Store, Apple App Store ja Microsoft Store). Rakenduste allalaadimisel vaata ka rakenduse arendaja infomatsiooni ning kasutajate tagasisidet.
  4. Kontrolli rakenduse privaatsussätteid (ka pärast uuendusi) ning kontrolli üle, millisele telefonis olevale infole rakendused ligi pääsevad.
  5. Paigalda ka nutitelefoni viirusetõrje ning veendu, et see on ka aktiveeritud ning kasutusel.
  6. Kasuta oma telefoni ja privaatsuse kaitseks klahvilukku. Lisaks on võimalik paigaldada erinev parool/turvakood ka rakendustele et, isiklikku infot paremini kaitsta. Ära kasuta klahviluku puhul kindlasti enimlevinud lihtsaid mustreid ega numbrikombinatsioone.
  7. Ära ava tundmatuid kirju, linke ja manuseid. Juhul kui su tuttav saadab tavapärasest erineva suhtlusviisi ja/või tekstiga lingi või manuse, küsi alati millega tegu on. Kuna nutiseadmed asendavad paljudele juba tavalist arvutit, on loodud ka nutiseadmetele suunatud pahavara.
  8. Kasuta võimalusel avalikes kohtades Wi-Fi asemel mobiilset andmetesidet. Samuti eemalda vähemalt kord poole aasta jooksul mittevajalikud Wi-Fi võrgud.
  9. Tähtsate kontaktide ja failide kaotsimineku vältimiseks tee oma telefonis leiduvatest failidest ja infost regulaarselt tagavarakoopiaid kas telefonisisesele mälukaardile või telefoniga seotud kontole.
  10. Lisaturvalisuse tagamiseks krüpteeri võimalusel Seadete alt kogu telefoni sisu. Samuti lülita telefonil sisse “Leia mu seade/Find my phone” funktsioon, et kadumise korral oleks võimalik see üles leida.

Petya või… NotPetya

Autor: CERT-EE

Petya lunavaraga nakatunud ostukeskus Kharkyvis.

27. juuni hommikul tabas maailma uus lunavaralaine. Praeguseks on nakatunud mitmete suurettevõtete süsteemid ning on teada, et pahavara levib pärast nakatumist ettevõtete süsteemides ülikiiresti. Esimesed nakatumised toimusid Ukrainas, kus teadaolevalt nakatus pahavaraga üle 12 500 tööjaama. Ööpäeva jooksul on tulnud teateid nakatumistest kokku 64 riigis, sealhulgas Eestis.

Riigi Infosüsteemi Ameti andmetel on Eestis asuvatest ettevõtetest pahavaraga nakatunud kaks Saint-Gobaini kontserni kuuluvat ettevõtet: Ehituse ABC ning üks väiksem tehas. Kolmapäeval kella 10.00 seisuga ükski elutähtsat teenust osutav ettevõte või riigiasutus küberrünnaku ohvriks langemisest ei ole teada andnud. Lisaks on hetkel häiritud Kantar Emori e-teenuste kasutamine, kuna firma otsustas kaitsemeetmena nakatumise vastu oma IT-süsteemid kuni levikumehhanismi tuvastamiseni sulgeda.

Teadaolevalt on tegemist Ransom:Win32/Petya lunavara uue versiooniga, mida praeguseks kutsutakse nii Petyaks kui ka NotPetyaks, kuna osade uurijate arvates on tegemist täiesti uue lunavara versiooniga. Tema tüvi on palju arenenum kui varemnähtud Petya lunavara oma.  Lunavara kasutab levimiseks mitut erinevat meetodit – USA riikliku julgeolekuteenistuse (NSA) sel kevadel lekkinud EternalBlue haavatavust, WMIC (Windows Management Instrumentation Command-line – Windowsi halduse käsurida) ja PSEXEC tööriistu. Seetõttu võivad ka korralikult uuendatud süsteemid nakatuda, kui asutuses pole rakendatud parimad turvapraktikad Windows domeeni kaitsmiseks ja kasutajakontode haldusel. Uuel lunavaral on sarnaselt WannaCryle ussi omadused, mis lubab tal nakatunud võrkude vahel lateraalselt liikuda. Lateraalne tähendab lihtsustatult öeldes, et ründe lähte- ja sihtkoht on samas võrgus.

Täiendus 29.6.2017: Lisandunud on uus info (Kaspersky LabComae Technologies), et tegemist võib olla pahavaraga Wiper, mis on loodud arvutite saboteerimiseks ja hävitamiseks. Pahavara käitub nagu tavaline lunavara, kuid pahavara lähtekoodist leiti, et sellele pole lisatud failide taastamise varianti ning pahavara eesmärk on failid jäädavalt kustutada.

Kohaletoimetamine ja paigaldus

Algne nakatumine paistab hõlmavat Ukraina maksuarvestustarkvara tootja M.E Doc toote MEDoc kasutajaid. Kuigi selle nakatumisvektori ümber liikus mitmeid spekulatsioone nii meedias kui ka infoturbeekspertide hulgas, sealhulgas Ukraina Küberpolitseis, puudusid selle ründevektori kohta konkreetsed tõendid. Microsoftil on praeguseks olemas tõendid, et mõned aktiivsed lunavaraga nakatumised said alguse legitiimsest MEDoc uuendusprotsessist.

All on jälgitud MEDoc tarkvara uuendusprotsessi telemeetriat (EzVit.exe), kus käivitatakse pahatahtlik käsurida, mis vastab täpselt teisipäeval, 27/06/2017, umbes kell 10.30 tuvastatud ründemustrile. Käivitusahela diagramm viib lunavara paigaldamisele ning see omakorda kinnitab, et EzVit.exe protsess MEDocist, siiani tundmatel põhjustel, käivitas järgneva käsurea:

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

Samasugust uuendusvektorit mainis ka Ukraina Küberpolitsei avalikus kompromiteerumisindikaatorite listis, mis hõlmas ka meDoc uuendajat.

Ainult üks lunavara, mitmed lateraalsed liikumistehnikad

Võttes arvesse uuele lunavara lisatud lateraalse liikumise võime, on terve võrgu nakatumiseks vajalik ainult ühe masina nakatumine. Lunavara leviku funktsionaalsus on kombineeritud erinevaid meetodeid kasutades, mille eesmärgid on:

  • kasutajainfo vargus või olemasolevate aktiivsete sessioonide taaskasutamine,
  • failijagamiste kasutamine nakatunud faili jagamiseks samas võrgus asuvate masinate vahel,
  • olemasolevate legitiimsete funktsionaalsuste ärakasutamine laengu käivitamiseks või SMB haavatavuste ärakasutamiseks vananenud tarkvara kasutavates masinates.

Lateraalne liikumine kasutajainfo varguseks ja kellegi teisena esinemiseks

See lunavara paigaldab kasutajainfo varastamiseks loodud tööriista (tavaliselt .tmp fail %Temp% kataloogis), mille koodil on teatavad sarnasused Mimikatziga ja mis on loodud nii 32-bit kui ka 64-bit versioonidena. Kasutajad logivad tihti sisse lokaalse administraatori õigustes kontoga. Kui lunavara käivitub administraatori õigustes, võib sellel sõltuvalt operatsioonisüsteemi versioonist ja rakendatud turvameetmetest õnnestuda mälust kätte saada autentimiseks vajalik info (paroolid, parooliräsid, Kerberos autentimispiletid). Seda infot kasutades võib omakorda olla võimalik saada ligipääs teistele samas domeenis asuvatele masinatele.

Pärast kehtiva kasutajainfo saamist skaneerib lunavara lokaalvõrku tcp/139 ja tcp/445 portidega ühenduste loomiseks. Eriline käitumine on reserveeritud domeenikontrollerite ja serverite jaoks. Lunavara proovib funktsiooni DhcpEnumSubnets() abil leida alamvõrgus kõiki DHCP liisingu saanud hoste. Juhul kui pahavara saab vastuse, proovib ta kopeerida kaugmasinasse binaari kasutades failiedastusfunktsionaalsust ja varastatud kasutajainfot.

Pärast seda proovib pahavara ennast kaugelt käivitada, kasutades kas PSEXEC või WMIC tööriistu. Lunavara üritab paigaldada legitiimse psexec.exe faili, mis on tavaliselt ümber nimetatud dllhost.dat nimeliseks failiks, pahavara enda sees asuvast varjatud ressursist.  Seejärel asub pahavara skaneerima lokaalvõrku admin$ kaustade leidmiseks, misjärel ta kopeerib ennast teistesse võrgus olevatesse arvutitesse ja käivitab vastselt kopeeritud pahavarabinaari kaugelt psexec abil.

Lisaks kasutajainfo kaadumisele (dumpimisele) püüab pahavara ka CredEnumerateW funktsiooni kasutades varastada kasutajainfot, mis on saadaval. Juhul kui kasutaja nimi algab “TERMSRV/” ja tüüp on seatud 1-le (generic), kasutab see antud kasutajainfot võrgus edasilevimiseks.

Lunavara kasutab ka Windows Management Instrumentation Command-line (WMIC) käsurida kaugketaste tuvastamiseks, millele ennast seejärel levitada, kasutades selleks NetEnum/NetAdd). See kasutab kas konkreetse kasutaja duplikaattokenit (olemasolevate sessioonide jaoks) või kasutajanime/parooli kombinatsiooni (legitiimsete tööriistade kaudu levimiseks).

Lateraalne liikumine EternalBlue ja EternalRomance haavatavusi kasutades

Uus lunavara suudab levida ka kasutada varasemalt paigatud SMB haavatavust CVE-2017-0144, laiemalt tuntud kui EternalBlue, mida kasutati ka WannaCry levitamiseks aegunud tarkvara kasutavatel masinatel. Lisaks kasutab Petya ära ka teist haavatavust CVE-2017-0145, laiemalt tuntud kui EternalRomance, millele on ka juba turvapaik olemas.

Petya lunavara puhul on täheldatud nende haavatavuste ärakasutamist SMBv1 pakettide genereerimise näol, mis on kõik XOR 0xCC krüpteeritud, selleks et neid haavatavusi rakendada:

Info mõlema haavatavuse kohta lekitas grupp nimega Shadow Brokers. Märkimisväärne on veelkord see, et mõlemale haavatavusele on Microsoft 14/03/2017 väljastanud turvapaiga: technet.microsoft.com/en-us/library/security/ms17-010.aspx ja support.microsoft.com/en-us/help/4013078/title.

Krüpteerimine

Lunavara krüpteerimiskäitumine olenev pahavara privileegide tasemest ja protsessidest, mis nakatunud masinal jooksevad. Pahavara kasutab selleks lihtsat XOR-baasil räsialgoritmi protsessinime osas ning kontrollib seda järgnevate räsiväärtuste osas, mida käitumismustrist välja jätta:

0x2E214B44 – kui masinas leitakse sellise räsinimega protsess, ei nakata lunavara MBRi.

0x6403527E or 0x651B3005 – juhul kui leitakse selliste räsinimedega protsessid ei teosta lunavara ühtegi võrguga seotud toimingut (nagu näiteks SMBv1 haavatavuse ärakasutamine).

Seejärel kirjutab lunavara otse master boot recordile (MBR) ning seab sisse süsteemi taaskäivituse. See loob ülesande masin 10–60 minuti pärast välja lülitada. Täpne aeg on saadakse (GetTickCount()) kasutades, näiteks:

schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST 14:23

Pärast MBRi edukat muutmist kuvab see alloleva võlts süsteemiteate, mis informeerib kasutajaid vigasest kettast ning annab infot võltskäideldavuse kontrollist:

Pärast taaskäivitust kuvatakse kasutajale juba allolev teade:

Lunavara üritab MBR koodi üle kirjutada vaid juhul, kui ta on omandanud kõrgeima privileegi (näiteks juhul kui SeDebugPrivilege on lubatud).

Lunavara proovib krüpteerida kõiki ketastel olevaid alloleva laiendiga faile kõikides kaustades, välja arvatud C:\Windows:

.3ds     .7z       .accdb .ai

.asp      .aspx    .avhd   .back

.bak     .c         .cfg      .conf

.cpp     .cs        .ctl       .dbf

.disk    .djvu    .doc     .docx

.dwg    .eml     .fdb     .gz

.h         .hdd    .kdbx   .mail

.mdb    .msg    .nrg      .ora

.ost      .ova     .ovf     .pdf

.php     .pmf    .ppt      .pptx

.pst      .pvi      .py       .pyc

.rar       .rtf       .sln      .sql

.tar       .vbox   .vbs     .vcb

.vdi      .vfd     .vmc    .vmdk

.vmsd  .vmx    .vsdx   .vsv

.work   .xls      .xlsx    .xvd

.zip

Erinevalt teistest lunavara liikidest ei tekita Petya/NotPetya failidele lisalaiendit, vaid lihtsalt kirjutab olemasolevad failid üle. Krüpteerimiseks genereeritud AES võtmed on masinapõhised ning need kasutavad ründaja 800-bit suurust RSA avalikku võtit. Pärast krüpteerimist kuvatakse kasutajale README.TXT fail sama tekstiga, mis kasutajatele ekraanilgi kuvatakse. Lunavara tühjendab System, Setup, Security, Application event logid ning kustutab NTFS info.

Kuidas Windows Defenenderi abil leida?

Windows Defender Advanced Threat Protection (Windows Defender ATP) on sissetungimise järgne lahendus, mis pakub modifitseeritud tuvastamist ilma signatuuride uuendamiseta. WDATP sensorid monitoorivad ja koguvad jooksvalt lõpp-punktidest telemeetriat ning pakuvad masinõppe lahendust tavalistele lateraalsetele liikumistehnikatele ja tööriistadele, mida see lunavara kasutab, nagu näiteks PsExec.exe käivitamine teise failinimega ja “perfc.dat” faili loomine teistes kaustades. Ilma lisauuendusteta võib nakatunud masin näha välja nagu alloleval pildil:

Teine alert keskendub lunavara dll faili jagamisele võrgus ning see annab infot Kasutaja konteksti kohta. Allolev kasutaja on kompromiteeritud ning teda võib pidada esimeseks nakatunuks:

Kuidas ennast kaitsta?

Hoia oma Windows 10 süsteeme ajakohastena, sest see tagab Sulle ka ajakohased kaitsemeetodid. Lisakaitsena lubab Windows 10S ainult paigaldada rakendusi, mis pärinevad Windows Store rakendusest, mis mainitud operatsioonisüsteemi kasutajatele omakorda lisakaitset pakub.

Lisaks soovitame veenduda, et on tehtud järgmised uuendused ja toimingud:

Lisalugemist leiate allolevatelt veebilehtedelt:

Tunne oma tumedamat poolt!

Autor: Anto Veldre, RIA analüütik

Portaal Helpnetsecurity avaldas hiljuti artikli, mis annab ülevaate e-kirjade ohtlikust sisust.

Algset, firma Proofpoint uurimust on võimalik lugeda kõigil ametiisikutel, kes selle lugemiseks Proofpointile oma isikuandmed loovutada raatsivad. Lisatud on kommentaarid Eesti olukorra kohta, mida algmaterjalis ei sisaldu.

Faktid ja mõned numbrid

Kui välismaa statistika kohaselt saadavad kurjamid lunavara meilitsi laiali tavaliselt teisipäevast neljapäevani, siis Eesti puhul seda öelda ei saa: meil on kõik nädalapäevad võrdsed. Mujal maailmas on ka täheldatud, et pangatroojalaste saabumise lemmikpäev on neljapäev (põhjus ilmne: et reedel tehtud ülekande jälitamine nädalavahetuse tõttu keerukaks muuta) ning klahvinuhke ja tagauksi püütakse paigaldada esmaspäeviti (et töönädalast ikka maksimumi võtta). Eestis selliseid kindlaid mustreid välja ei joonistu.

Muide, küberkurjategijad rõhuvad pigem inimeste kui tarkvaraaukude ärakasutamisele.

Kaval trikk on luua endale mitu meili-aliast ja suunata need kokku ühte postkasti. Siis paistab virtsalevituskampaania kohe silma.

2015. aastaga võrreldes kasvas küberkuriteoliikidest 2016. aastal kõige rohkem niinimetatud tegevjuhi või CEO pettus (ametliku nimetusega Business Email Compromise ehk BEC). BEC seisneb näiliselt tegevjuhi nime alt (vahel isegi “tema” meililt) kirjade saatmises (tavaliselt) ettevõtte finantsjuhile, et uurida, kas on võimalik teha kiiresti makse pangakontole X või kas see juba on tehtud. Ülemaailmselt on ettevõtted selle küberkuriteo liigi kaudu kandnud juba üle 5 miljardi dollari kahju.

Artiklist ilmnes, et pahatahtlike lehtede avamise klikkidest ligikaudu pooled tehakse isiklikes seadmetes või seadmetes, mis pole liidetud asutuse monitooringusüsteemiga. Selgus ka üllatuslik asjaolu, et 42% pahavaraga nakatumistest toimub nutiseadmetes (selle poolest erineb Eesti väga palju muust maailmast) ning pahatahtliku lehe kaudu nakatumistest 8% toimub vananenud tarkvara (nagu näiteks Windows XP operatsioonisüsteemi) kasutamise tõttu. (Seega pooled infolekke ja nakatumiseni viivatest klikkidest tehakse nii, et asutuse või firma IT-spetsialistid neist ülevaadet ei oma.)

90% kuriklikkidest viisid kasutaja tegelikult õngitsuslehtedele, mis on üldjuhul üles seatud kasutajalt kontoandmete (kasutajanimi ja parool) välja meelitamiseks. Kui kasutajal pole aktiveeritud kahetasemelist autentimist, mis võõrast kohast sisselogimise korral koodi küsib ning selleta kasutajat kontole ligi ei lase, siis on pahalased oma eesmärgi suurepäraselt täitnud.

Muide, rahavargusteni viinud e-kirjadest suisa 99% vajasid ründamiseks inimese enda tehtud klikki.

Vaata alati veebiaadressi – PayPal pole haridusasutus (.edu).

Kurjal klikkimine leiab 90% juhtudel aset esimese 24h jooksul pärast levituskampaania algust (see on ka tavapärane aeg, mis kulub majutusteenusepakkujal pärast lehekülje raporteerimist ohtliku veebilehe eemaldamiseks internetist). Kusjuures 25% ohtlikul materjalil klikkimisi pannakse toime suisa esimese 10 minuti jooksul ja 50% esimese tunni jooksul pärast e-kirja laekumist postkasti. Kõige rohkem ohtlikke klikke sooritatakse tööajal: kell 8–15.

2016. aasta jooksul kasvas tehnilise toe petuskeemide (nn HelpDeskide järeleaimamise) arv 150%. Kui mujal maailmas helistasid kurjamid inimestele Microsoftist, Apple’ist ning isegi Linuxi! kasutajatoest, siis Eesti kasutajad said enim e-kirju tavaliselt IT-toelt. “IT-Tugi” oli märganud pahatahtlikku tegevust või kontolimiidi ületamist ja ähvardas konto sulgeda, kui kohe ei sisestata andmeid lehele X, mis taastaks konto tavapärase tegevuse. Lisaks said Eesti inimesed 2016. aastal e-kirju Telia ja Zone’i nimel. Ka mõned petukõned jõudsid siiski Eestisse: CERTi teavitati “Microsofti” tehnilise toe kõnedest, kus kasutajaid süüdistati viiruse jagamises (või teavitati neid sellest) ning nõuti ligipääsu arvutile, et pahatahtlik tegevus lõpetada. (Vaata meenutuseks katket sarjast “IT-planeet” – “Ma helistan teile Facebookist“.)

Teinegi postkastipilt – petukampaaniad paistavad kätte selgelt, nagu ka põhilised altvedamisnipid.

Küberkurjategijad on kursis inimpsühholoogia, käitumisharjumuste ja ärimaailmaga: nad teavad üsna täpselt, millises vahemikus on töötajatel pausid või rohkem aega isiklikuks internetikasutuseks. Ja ka seda, et raamatupidajate vererõhk tõuseb järsult nähes postkastis kirja “unpaid invoice” või tegevjuhi palvet teha kiiresti pangaülekanne, mis tal endal kiire graafiku tõttu ununes. Samuti on teada tõde, et pärast nädalavahetust on postkastid tavaliselt rohkem täis kui teistel päevadel. Ja kuna postkastiga soovitakse kiiresti n-ö ühele poole jõuda, kiputakse just esmaspäeviti saadud kirjade puhul vähem tähelepanelik olema.

Pea meeles!

CERT-EE tuletab meelde, et parim kaitse on uuendatud tarkvara ning e-kirjas sisalduva teabe ja linkide ülekontrollimine! Kui sa ei ole lehe või faili ohutuses veendunud, kontrolli seda enne Cuckoos, mis on CERT-EE avalik keskkond failide analüüsimiseks. Lingi saab Cockoosse lisada (copy-paste) ja oma arvutisse salvestatud kahtlase faili sinna üles laadida.

Muusikasõpradele pakume kuulamiseks RIA bändi hoiatust “Ära vajuta!”: