Tag Archives: lunavara

Kas tahad nutta?

Autor: CERT-EE

Reede õhtul hakkasid üle maailma laekuma teated laiaulatuslikest korporatiivsetest lunavaraga nakatumistest.

Ühendkuningriigi Terviseamet (NHS – National Health Service) on ametlikult kinnitanud 16 haigla nakatumisest lunavaraga, mille tõttu on oluliselt häiritud haiglate töö. Samuti on pihta saanud Hispaania suurim sideoperaator Telefonica ning Venemaa sideoperaator Megafon. Lisaks on lunavaraga nakatunud Hispaania elektriettevõte Iberdrola ja Hispaania Gas Natural ning autotootjad Renault ja Nissan on nakatumise tõttu peatanud töö mitmes tehases.

Üle maailma levib nutvaajava kiiruse ja efektiivsusega oma nime õigustav lunavara WannaCry (tõlge: TahadNutta), mille esimesi versioone oli näha juba veebruaris. Esialgse info põhjal ei ole veel võimalik öelda, kuidas eri organisatsioonides nakatumine toimus, kuid kahtlustatakse (sihitud) õngitsuskirjade kampaaniat.

Lunavarajuhtumid ei ole viimasel ajal enam midagi ebatavalist. Antud juhtumi teeb eriliseks asjaolu, et 24 tunni jooksul on nakatunud väga palju arvuteid ning nakatumine levib massiliselt masinates ettevõtete sees. Eri andmetel on 24 tunni jooksul nakatunud üle 148 700 arvuti. Kaspersky Labi andmetel on kõige rohkem nakatumisi Venemaal, muuhulgas on kinnitatud, et nakatunud on enam kui tuhat Venemaa siseministeeriumi arvutit. Nakatumiste arvult järgnevad Ukraina, India ja Taiwan, kuid jäävad Venemaast kaugele maha.

Kaspersky telemeetria andmed geograafilistest sihtmärkidest rünnaku esimestel tundidel.
Allikas: https://cdn.securelist.com/files/2017/05/wannacry_04.png

Praeguseks on tuvastatud kolm erinevat BitCoini rahakotti, mille kohaselt on lunavara autorid teeninud juba ligi 22 000 $.

WannaCry koodist on leitud viiteid domeenile, mis toimib antud lunavara puhul kui nn “killswitch” ehk suur väljalülitamise nupp. WannaCry kontrollib, kas domeen vastab ning positiivse vastuse korral lihtsalt “pakib pillid kotti” ega krüpteeri faile. Infoturbe ekspert, kes koodist vihje leidis, registreeris domeeni kohe enda nimele ja peatas sellega praeguseks lunavara ülikiire edasise leviku. Tema “seiklustest” saab lugeda inglise keeles

Natuke teistmoodi lunavara ehk Equation Group ja MS17-010

Tähelepanu väärib antud juhtumi puhul lunavara organisatsioonisisene levimine. Lunavara levib ilma kasutaja sekkumiseta, kasutades MS17-010 haavatavust, mille Microsoft paikas kaks kuud tagasi.

WannaCry lunavara kasutab ära grupeeringu Equation loodud eksploiti Eternalblue. Equation gruppi on varasemalt seostatud NSAga.

Koodi lekitas grupp Shadow Brokers neli nädalat pärast seda, kui Microsoft väljastas turvapaiga.

Sellise massilise nakatumise on võimalikuks teinud haavatavuse iseloom ning organisatsioonide suutmatus uuendusi piisava kiirusega kõikidesse tööjaamadesse paigaldada.

Kõnealuse MS17-010 haavatavuse kohta väljastas CERT-EE teate juba 15. märtsil.
Haavatavuse näol on tegemist koodi kaugkäivitusega, mis mõjutab kõiki Windowsi versioone, kasutades SMB-protokolli versiooni v1. SMB-protokoll on võrguprotokoll, mida kasutatakse võrguressursside jagamiseks (sealhulgas failide jagamine ja printimine).

Kuid veelgi märkimisväärsem on asjaolu, et SMB-protokoll v1 on tänapäeva mõistes iidvana, ligikaudu 30 aastat. Viimane Windowsi versioon, mis vajab SMB-protokolli v1 tuge, oli Windows XP – operatsioonisüsteem, mille tootjapoolne tugi lõpetati teadupärast 8. aprillil 2014. Siiski võivad seda operatsioonisüsteemi konkreetset versiooni vajada mõned multifunktsionaalsed printerid ning samasugune pärandtarkvara (ing. k. legacy software) nagu Windows XP.

Microsoft on juba pikka aega öelnud, et SMB-protokolli 1. versiooni kasutamine on ülimalt ebaturvaline ning tuleks koheselt lõpetada: Stop using SMBv1.

Ehk siis kogu juhtumi saab taandada infoturbe põhilisetele alustaladele: uuenda ja varunda!

Ma sain pihta. Mis nüüd?

Kui Sa seda seni teinud ei ole, siis nüüd on tegelikult ka viimane aeg varundama hakata!

Veel ei ole tööriista WannaCry poolt krüpteeritud failide dekrüpteerimiseks, samuti ei ole teada, millal ja kas üldse selline tööriist üldse valmib.

CERT-EE on koostanud ka lunavarajuhtumite ennetamise ja lahendamise lühijuhendi.

Kaitsemeetmed

Lisalugemist

Kui langesid ohvriks, siis…

Riigi Infosüsteemi Ameti analüütik Anto Veldre CERT-EE materjalide ja juhiste põhjal

Eelmisel korral andsime nõu, kuidas lunavara ohvriks mitte sattuda. Täna vaatleme olukorda, kus inimene on (põhjusel või teisel) juba langenud lunavara ohvriks ning tema arvutiekraanil laiutab väljapressimiskiri.

cryptolocker

Hetkeks, mil säärane pilt ilmub ekraanile, on lunavara oma kuritöö juba lõpuni viinud. Kõige kehvemal juhul sai lunavara oma ohvri õigustes kätte ka mõne võrguketta (näiteks asutuse failiserveri). Suure tõenäosusega on selleks hetkeks kokku krüpteeritud ka kõik konkreetse kasutaja õigustes ligipääsetavad võrgukettad. Kõige halvemal juhul on lisaks ära pilastatud veel ka üle võrgu nähtav varukoopia.

Kui väga veab, siis annab häiret mitte kasutaja ise, vaid hoopis võrguadministraator või itimees, sest failiserveri kasutusgraafikud tõusid lakke. Tavaliselt õnnestub sel juhul mõne võrgukaabli väljatõmbamise hinnaga hävitustöö katkestada.

Igatahes on just nüüd õige hetk juua tassike külma jääteed ning mõelda intsidendi ulatusele. Kas itimees teab? Kui ei, siis tuleks talle kohe teada anda. Teine oluline küsimus – kust ma selle saasta külge sain? Võiks püüda meenutada oma tegemisi arvutis viimase paari tunni jooksul. Kas saabus mingi e-kiri? Kas külastasin mingit kahtlast veebisaiti? Itimehe võiks varustada võimalikult täpse kirjeldusega sigaduse majjatuleku asjaoludest … olgu need asjaolud siis kuitahes piinlikud.

Võiks hoiatada kõiki teisi kontoritöötajaid. Eelkõige kogemuste jagamise mõttes, et nemad kunagi samasse lõksu ei langeks. Polegi just väga võimatu, et rünnak on pättide poolt keskmisest täpsemini sihitud ning et samasse kontorisse saabub nädala jooksul veel mitu pahavaramanusega e-kirja.

Juhul kui kannatada sai ka failiserver, siis on töötegemine selleks päevaks läbi. Tuleb arvutid rahulikult itimehele anda, kes siis murega jõudumööda edasi tegeleb.

Teavitamine

Eestis on kaks asutust, mis tunnevad elavat huvi CryptoLockeri iga juhtumi vastu. Kõigepealt politsei. Kui kurivara tõttu on hävinud olulisi faile või põhjustatud kahju tööprotsessidele (kaasa arvatud taastamistöödeks kulunud aeg), siis tuleks kindlasti informeerida politseid (cybercrime@politsei.ee). Ning mitte üksnes informeerida, vaid kirjutada kuriteoavaldus. Kübermaailma teed on äraarvamatud, küll varem või hiljem mõne riigi politsei konfiskeerib mõne pätijõugu arvuti ning sealt leitud info alusel võib osutuda võimalikuks ka varasemate ohvrite tuvastamine.

Teine oluline CryptoLockeri huviline asutus, õigemini küll asutuse (RIA) osakond, on CERT-EE (cert@cert.ee , 663 0299). CERT-EE informeerimine tasub ära mitmel põhjusel. Esiteks tekib siis koondpilt Eesti kübermaastikul toimuvast. Teiseks on pisike šanss, et kui nakatumine toimus CryptoLockeri mõne vanema versiooniga, oskavad eksperdid soovitada „ravimit“. Riigiasutustel ja elutähtsaid teenuseid osutavatel firmadel (neil, kes alluvad ISKE nõuetele) on CERT-EE teavitamine lausa seadusejärgne kohustus.

Maksta või mitte maksta

Kõige kriitilisem küsimus lunavarajuhtumites on, kas maksta või mitte maksta. Kuna meil siin ikkagi on riigiasutuse blogi, eelistame käitumisviisi, et kuritegevust ei tohi finantseerida. Paraku, kui inimesed on olnud hooletud, jätnud varukoopiad tegemata ning äranässerdatud andmed on sedavõrd vajalikud, võib juhtuda, et maksmisele alternatiivi polegi. USAs on olnud korduvalt juhtumeid, kus politsei (!!!) on oma andmete tagasisaamise eest maksnud. Lunavara pole mööda läinud ka Eesti politseist, kuid meie kandis olid varukoopiad nii korralikud, et kaduma läks vaid tööaeg – failid õnnestus taastada. Kurjategijatele maksmise rasket eetikaküsimust ei püstitunudki.

Eri hinnangutel maksab küsitud lunaraha kurjategijatele ära 10–30% kannatanutest. Kui küsida ettevaatavalt, kas põhimõtteliselt oleksite nõus maksma, siis suisa 60+% küsitletutest arvab, et mingis olukorras kindlasti.

Kuidas kannatanu ka ei talitaks, on vaja tähele panna veel üht asjaolu. Pole mingit garantiid, et makstes oma failid ikka tõepoolest tagasi saab. On ka juhtunud, et raha maksti ära, kuid ravimit ei saadetud. Kurjategijatel üldiselt siiski on kasulik ravim saata, muidu läheb kuulujutt liikvele ning nad kaotavad oma tuluallika. Kuidas ka poleks, need targutused kuuluvad psühholoogia, mitte infotehnoloogia valdkonda. Otsus jääb kannatanu enda teha.

Mitut sorti CryptoLockerid

Lunavarasid on tegelikult mitu perekonda ning kümneid eri nimetusi. Neist kõigist korraga rääkimiseks on tehnikud jäänud üldmõiste CryptoLocker juurde, kuigi tehniliselt on meil Eestis palju levinum hoopis TeslaCrypt või Locky. Pisut allpool räägime pahalaste eristamisest põhjalikumalt. Ühtsele kujundile on kaasa aidanud ka kurjategijad ise – neil on kasu(m)lik hoida legendaarselt tuttavat ekraanikujundust. „Ravim“ on aga on lunavaraperekonniti erinev (kui seda üldse on).

Esimestes lunavarapõlvkondades sisalduvate arvukate vigade tõttu õppisid tõelised küberturbespetsialistid sääraselt „kokkukrüpteeritud“ andmeid lahti muukima. Tänu sellele on päris mitmele vanemale lunavarale olemas avalikult kättesaadav „ravim“. Ravimite ilmumise kiirus on mõnevõrra aeglustunud, kuid ei maksa lootust kaotada. Ärakrüpteeritud failidega kõvaketas tuleks panna riiulisse ootele ning oma arvuti töövõime taastada uue kõvaketta abil. Kui sobilik „ravim“ aasta või kahe jooksul luuakse, võib sedasi talitanud ohver aja möödudes kõik oma failid tagasi saada.

Intsidendist õppimine

Kõige ohutum on õppida võõrastest vigadest. Kui mainitu ei õnnestunud, siis tuleb õppida omaenda vigadest. Kedagi otseselt süüdistamata tuleks arutada, et mis ja kus läks valesti. Juhul kui CryptoLocker sisenes e-maili kaudu, siis tuleb töötajaid treenida, et nad ohtlikke kirju paremini eristaksid. Kui kokku krüptiti ka failiserveri sisu, siis see on märk, et pingule tuleks tõmmata kasutajaõigused. Kui varukoopiat ei leidunud või see osutus loetamatuks, siis juhtunust leiab itimees oma järgmise poole aasta ülesanded. Kui varukoopiast taastamine võttis aega kolm päeva, siis see osutab, et taasteprotseduure saab oluliselt parendada.

Tehniline osa

Võrguadministraator või itimees peaks esimese asjana tuvastama rünnakuks kasutatud lunavara täpse nimetuse. Lunavaral on kombeks krüpteeritud failidele lisada eristavad laiendid nagu „*.locky”; „*.mp3”; „*.crypto”; „*.micro”; „*.xxx” jne. Faililaiendi liigitamisel võib kasutada Google’i abi. Näiteks Locky sooritatud mõrv näeb failikaustas välja umbes sedasi:

Allikas: http://nabzsoftware.com/types-of-threats/locky-file

Allikas: http://nabzsoftware.com/types-of-threats/locky-file

On ebameeldivaid erandeid nagu TeslaCrypt 4.0, mis küll krüpteerib failid, kuid jätab nende nimed muutmata. Juhul, kui õnnestub oma õnnetuse seest leida faile krüpteeriv programm ise (see on võimalik vaid siis, kui krüptimistöö poole pealt katkes), tuleks see laadida tuvastamiseks üles veebiteenusesse VirusTotal.

Head inimesed on loonud lunavarade lahterdamiseks teenuse ID Ransomware – see võimaldab kasutajal üles laadida kas kausta tekkinud lunavaranõude või mõne oma krüpteeritud failidest (endiselt tasub säilitada terve mõistus, et mitte ärisaladusi ega privaatinfot netti paisata, sh failinimedes). Jääb üle loota, et „ID Ransomware” haldajatel jätkub jaksu seda kasulikku teenust jätkuvalt ajakohastada. Äratundmine võib õnnestuda või vahel (väga uue tüve puhul) ka mitte õnnestuda.

Näide õnnestunud äratundmisest, ID_Ransomware

Näide õnnestunud äratundmisest.

Näide vedamisest – vanemale lunavarale leitigi ravim.

Näide vedamisest – vanemale lunavarale leitigi ravim.

Locky

2016. aasta veebruaris ilmunud lunavara Locky on jätkuvalt ohtlik, kuigi TeslaCrypt 4.0/4.1 perekond tõrjub seda järk-järgult välja. Locky poolt krüpteeritud failidele pole seni „ravimit“ leitud, mistõttu varundamine on oluline tegevus.

Locky väljapressimiskirjad näevad välja umbes sedasi (kaks näidet):

locky_1

locky_2

NB! Pildid on vaid abivahend tuvastamisel. Kuivõrd lunavara areneb pidevalt, võib tegelik väljapressimiskiri siinsetest näidistest mõnevõrra erineda.

Locky suudab avastada ja krüpteerida nii „täheketastelt“ (N:, S:, X:) kui ka kaardistamata võrguketastelt leitud failid. Locky tuvastamine on kerge just laiendi „*.locky” tõttu.

Tehnilisemat infot:
http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/

Locky tuleb majja põhiliselt e-kirjade kaudu, kasutades umbes sääraste nimedega kirjamanuseid:

locky_manused

Allikas: CERT-EE

TeslaCrypt 4.0/4.1

teslacrypt_1

teslacrypt_2

TeslaCrypt 4.0 on 2016. aasta aprilli seisuga üks aktuaalsemaid lunavarasid. Tuvastamise muudab kasutajale raskeks asjaolu, et krüpteerimisel ei lisa TeslaCrypt 4.0 failidele laiendeid ning jätab ka failide nimed algseks. Küll aga lisab TeslaCrypt kaustadesse maksejuhised.

teslacrypt_4-1

TeslaCrypt 4.0 levib nii nii eksploidipakkidega – läbi veebilinkide – kui (Eestis eelkõige) ka kirjamanustega.

Lisaks kasutajaarvuti failiruumile on TeslaCrypt 4.0 võimeline krüpteerima ka draivitabelist leitavad võrgukettad (N:, R: jt) . Tänaseks ei ole ühtegi lahendust, mis võimaldaks TeslaCrypt 4 poolt krüpteeritud faile sajaprotsendiliselt taastada, mistõttu õigeaegne varundamine kujuneb kaitsestrateegia võtmeküsimuseks.

Tehnilisemat infot:
http://www.bleepingcomputer.com/news/security/teslacrypt-4-0-released-with-bug-fixes-and-stops-adding-extensions/

Mõned näited manustest, mis kannavad TeslaCrypt 4.0 lunavara:

Allikas: CERT-EE

Allikas: CERT-EE

TÄIENDUS: 19. mail 2016 otsustasid TeslaCrypti autorid, et pakivad pillid kotti ning avalikustasid üldvõtme. Nüüd saab dekrüpteerida kõiki TeslaCrypti versioone (k.a 3.x ja 4.x).

Lõpetuseks

Mõne nädala jooksul, mis on möödunud artikli esimese osa kirjutamisest, on postkasti sopsatanud tervelt kolmkümmend pahavaranäidist, sh mitu lunavara. Olgu need näited eeskujuks ja abiks omaenda postkastist pahaduse ülesleidmisel. Kuupäevadest paistab silma, et nakatamised toimuvad endiselt kampaaniatena.

locker-2

30. aprillil 2016 suutsid turvaspetsialistid lahti murda Alpha nimelise lunavara krüpteeringu (eks ikka samal põhjusel – oskamatult tehtud). Alpha näol on tegemist uue, naljaka lunavaraga, mis küsib BitCoinide asemel hoopis Amazoni kinkekaarte.  Alpha vastu aitav ravim ja muu täpsem info on saadaval siin.

Täiendus 25.7.2016: Powerware lunavara dekrüptor on saadaval aadressil
http://news.softpedia.com/news/decrypter-for-powerware-ransomware-available-for-download-506508.shtml.

Täiendus 27.7.2016: Lekkisid Chimera lunavara võtmed:

Täiendus 08.08.2016: Trend Micro dekrüpteerimistööriist taastab ka Cerber V1 lunavaraga krüpteeritud failid:

Lunavarajuhtumi ennetamine

Anto Veldre, Riigi Infosüsteemi Ameti analüütik

komando

Pilt lehelt komando.com

Aastal 2015 leidis Eestis aset vähemalt 150 lunavaraga seotud väljapressimisjuhtumit (kuid arvatavasti rohkemgi). Lunavarajuhtumite hulk ei kipu vähenema ka sel aastal. Kasutaja hooletu käitumise tõttu käivitub arvutis pahavara, mis muudab tuhanded failid mõttetuks bitijadaks. Olukorras, kus ravi puudub, tuleb pigem mõelda ennetusele.

Lunavara on erilist tüüpi kuri(tark)vara, mis krüpteerib ohvri failid ja nõuab siis taastamise eest lunaraha. Seni on võideldud põhiliselt tagajärgedega. Lunarahaviiruse külaskäigul on kindel hulk stsenaariume – kas varukoopia, kust oma failid taastada, eksisteerib või mitte?! Ning kui tekib küsimus kurjategijaile maksmisest, siis mõnikord saadakse omad failid tagasi, kuid vahel mitte.

Lunarahanõue tekitab keerulisi eetilisi dilemmasid – kurjategijatele makstes nimelt toetaksime kuritegevust täiesti otseselt. Ka pole garantiid, et ravim üldse saabub – on juhtunud ka sedasi, et pätid võtavad raha vastu, aga faile ikkagi lahti ei lukusta.

Alljärgnev kirjatükk käsitleb proaktiivseid lahendusi – ehk siis neid, millega peaks tegelema enne kui lunavara külla tuleb. Soovitused on kirja pandud CERT-EE ulatusliku kogemuse põhjal.

Pahavara-03

Põhilised vastumeetmed

Olgu tegu koduarvuti või firma arvutisüsteemiga, ennetava sekkumise kohti on põhiliselt neli:

  1. Panna filter vahele, et lunavara ei jõuakski arvutisse. Üldisemalt tähendab see asjalikku viirusetõrjet ning netis sirvimise keskkonna pisukest häälestamist.
  2. Takistada lunavaral käivitumist.
    Esimeseks filtriks on inimene, kes ei peaks uudishimust või tegevuslustist kõigel klikitaval klikkima. Inimeste teadlikkust saab oluliselt tõsta.
    Teiseks filtriks on operatsioonisüsteemide keerulisem timmimine nii, et tundmatu või vales kataloogis asetsev fail lihtsalt ei käivituks (Windows Group Policy, DEP; (SE)Linux).
  3. Teha varukoopiaid süsteemselt ja sageli (ning ühtlasi viisil, mida lunavara ei suudaks rünnata).
  4. Panna päitsed kahju ulatusele – ennetavalt luua piirangud (näiteks kasutajaõiguste piirangud), et pahalane ei ulatuks asutuse failiserverit kokku krüptima ega varem tehtud varukoopiat solkima.

Korporatiivse võrgu iseärasused

Asutuse või firma arvutisüsteemi puhul on väga palju kasu keskhaldusest. Kui pahavara ühes tööjaamas ära tuntakse, siis saab vastumeetmed hetkeliselt käivitada ka kõigis teistes tööjaamades. Kodu puhul säärased kallid automaatseadmed puuduvad ning pigem tuleb loota planeerimise ja ettevalmistuse kvaliteedile.

Asutuse/firma teine eelis on ülemaailmsesse reputatsioonisüsteemi ühendatud kallid riistapuud – tulemüürid, sisufiltrid jms, mis kasutajale märkamatult iga võrguühendust „nuusutavad“. Koos keskhaldusega moodustub reaalajalähedaselt tegutsev kaitse. Eraisik neid kaste osta ei jaksa, küll aga saab eraisik pingule timmida oma netisirviku häälestused.

Asutuse/firma kolmas eelis on palgaline itimees, kes orienteerub Windowsi Registry’s ja kasutajaõiguste finessides ning suudab arvutitele igasuguseid drakoonilisi piiranguid peale sundida.

Asutuse/firma iseloomulik probleem on töötajate arv. Ükski töötaja pole ilmeksimatu, saja töötaja puhul tõuseb tunduvalt tõenäosus, et mõni neist ikkagi klikib pahavaral. Piisab vaid ühest kasutajast ja mõnest ülearusest õigusest failiserveris, kui juba ongi tuhanded failid kasutamatuks muudetud. Halvimal juhul võib seetõttu peatuda kontori põhitegevus.

Varundamine

Varundamisel tuleb juhinduda 3-2-1 reeglist. Infost (failidest) peab olema vähemalt kolm eksemplari, vähemalt kahel erinevas tehnoloogias kandjal (magnet vs optiline) ning vähemalt üks eksemplaridest võiks asuda kusagil mujal (off-site), näiteks vanaema kapis või pangaseifis. Digitaalse info puhul on kohatu rääkida originaalist ja koopiatest, sest bitikombinatsiooni kõik esinemisjuhud on võrdväärsed. Originaal on koopiatest eristamatu.

Enne varundamist on oluline tuvastada unikaalne ja oluline info, mida pole võimalik mujalt hankida ega taastada. Näiteks pole eriti mõtet varundada Internetist kohale tiritud muusikat ja filme, seda kraami saab alati uuesti kohale tirida või vooteenusena vaadata. Oluline on varundada unikaalsed failid – perekonnapildid, originaalarved, kirjanduslik looming, asutuse töö käigus tekkinud dokumendid, patsiendi haiguslood – kõik see, mida nullist taastada polegi võimalik või mis nõuaks mahukat käsitööd.

Varukoopiate tegemist mõnikord kardetakse, kuivõrd planeerimisele kulub palju vaimuenergiat ja aega ning pole kindlalt teada, kas tagavarakoopiat üldse läheb kunagi vaja. Otsustamisel on abiks üks mõtteharjutus – küsige endalt, kui palju oleksite nõus maksma oma andmete tagasisaamise eest. Reeglina need, kel on kordki õnnestunud andmekaost pääseda ja oma failid varukoopialt tagasi saada, varundavad edaspidi palju agaramalt.

Mitte kõik varundusmeediad pole samaväärsed. Mistahes varukoopia on ikkagi parem kui selle puudumine, seejuures failiserver on parem kui üksik kõvaketas, pilv (Amazon, Google Drive) on parem kui USB pulk. USB pulkade ning isekõrvetatud DVDde lugemisega tekib sageli probleeme, kuid alustamiseks kõlbavad needki.

NB! Soovitusi. C: kettal teise kataloogi tehtud lisakoopia pole varundamine, vaid pelk julgestuskoopia (omaenda vigade vastu)! Riigiasutustes ja teravas konkurentsis töötavate firmade puhul pilv varundamiseks ei sobi – sest tundlikku infot ei sobi võõra onu juures hoida. Ka ei sobi pilv ülearu isiklike fotode jaoks, mis eiravad pilve asukohariigi konservatiivseid arusaamu kombekusest. Pilveketast (nagu DropBox) ei tohiks hoida kogu aeg arvuti küljes – või muidu suudab lunavara ära krüpteerida ka selle. Seevastu USB pulk võib äikeselise ilma või siidi ja villaste riiete vahelise hõõrdumise tulemusel tekkinud elektrilaengust hetkeliselt rikneda.

Eraldi küsimus on varundamise sagedus. Kodus tuleb normaalseks pidada üht korda nädalas, korraliku IT-osakonnaga firmas või asutuses vähemalt kaks korda päevas, aga võimalusel suisa jooksvalt. Et andmemahud ülemäära ei paisuks, toimetatakse varundamist inkrementaalselt, ehk siis, iga korraga lisandub varukoopiale vaid see osa failidest, mis vahepeal loodi või mida vahepeal muudeti.

Tuleb arvestada, et kui failimaht ületab 1–2 terabaiti, siis hakkavad oma mõju avaldama füüsikaseadused. Statistiliselt esineb kettal lugemisvigu nii sageli (10*E-14), et mõni fail ikka saab rikutud. Statistiliste vigade vältimiseks ei peaks varundamiseks kasutama liiga suuremahulisi (8TB) üksik-kettaid ning asutuse/firma IT peaks kindlasti pruukima veaparandusega kettasüsteeme (RAID-6, RAIDZ-3).

Varunduslahendus peab arvesse võtma sama faili eri versioone – teisisõnu, ei tohi algset faili lunavara poolt ärakrüpteeritud monstrumiga üle kirjutada, sarnasele nimele vaatamata.

Asjalik soovitus – identifitseeri oma kroonijuveelid oma andmete hulgas juba täna, osta suhteliselt odav väline kõvaketas ning soorita oma elu esimene tagavarakoopia!

Manused

Ehkki lunavara levitatakse ka muul moel kui e-kirjaga, on ohtlikul manusel klikkimine täna siiski esmane levituskanal.

Kõige keerulisemas olukorras on need töötajad, kelle ülesanne ongi avalikkuselt või partneritelt e-mailide vastuvõtmine. Kuid ka neil on võimalik järgida lihtsaid saastatuvastusreegleid. Siinkohal näide minu postkasti saabunud nn downloader‘itest, millel klikkimine viib vältimatult TeslaCrypt’i või Locky’ga nakatumiseni:

viralexample-04

Pole vist keeruline märgata teatud seaduspärasusi – ühetaolised, uudishimu tekitavad ettekäänded, mitte-eesti nimed, selgelt äratuntavad kampaaniad, mille käigus saabub suur kogus ohtlikku materjali päevas. Kirjad tulevad firmadelt, millega me pole kunagi asju ajanud olnud, viidatakse kontodele ja ressurssidele, mida me pole kasutanud.

Küberkurjategijad firmanipp on saata pahaloomulisi meile, mis ei ole saajaga kuidagi seotud ning loota, et huvi või hirm või muu tugev emotsioon saab inimesest võitu. Näited: arve ettevõttelt, kust ei ole inimene kunagi midagi tellinud või hoopis kurikiri õiguskaitseorganilt – ohver, kartes seadusega pahuksisse jäämist, ei suuda vastu panna ja avabki lunavara sisaldava meili. Pole vahet, kas klikitakse manusel või pahatahtlikul lingil – lunavara suudab arvutisse ronida mõlemat pidi.

Järelemõtlemisreeglid enne kui klikkida on esitatud ühes varasemas blogiloos.

Vahel kasutab kurjategija meiliteesklust (spoofing). Sel juhul langeb saatja nimi kokku mõne sõbra või tuttava omaga, kuid meiliaadress ise (kurionu@kusagil.com) on loodud keskkonnas, kus tuttaval või sõbral aadressi polegi. Sestap tuleb postiaadressi väli alati üle inspekteerida, kuigi postiprogrammist olenevalt võib see nõuda päris mitut lisaklikki.

Kahtluse korral aitab väga lihtne nipp – helistada tuttavale või küsida temalt Skype’is, kas tema on säärase kirja saatnud. Kuid ettevaatust, ka sõbra Skype võib juba olla üle võetud eesti keelt mittekõnelevate kurjamite poolt…

Võrguadministraatorile: blokeerimine ja filtreerimine

Filtreerimine puutub nii veebisurfamisse kui e-maili saamisse. Eraisiku kodused võimalused on pisut piiratumad, kuid firma ja asutuse IT-administraatoril on vaba voli teatud failitüübid ära keelata. Säärane eristamine toimub faililaiendi põhjal. Alustada tuleks käivitamisohtlike failide nagu “.exe”, “.js”, “.com”, “.msi”, “.vbs”, “.jar” blokeerimisest.

Ärisuhtluses on “.pdf”, “.zip” ning “.rar” failide blokeerimine problemaatilisem, kuivõrd neid vorminguid kasutatakse äritegevuses sageli. Kõige vastuolulisemateks on “.docx” ja “.xlsx” laiendid – need failid on makrode tõttu ohtlikud, kuid äritegevuses vältimatult vajalikud. Firmal ning asutusel tuleb siin leida kompromiss, mis inimesi kaitseks, kuid veel ei segaks põhitegevust. Eriti tuleks karta Wordi ja Exceli faile, mis on saabunud tundmatust allikast ning mis nõuavad makrode aktiveerimist – säärased tuleks itimehe juurde kontroll viia.

Asutuses ja firmas tuleks kindlasti kasutada mõnda seadet, mis kontrollib kogu netisurfamist ning pistab kisama niipea kui veebilehelt leitakse mõni nakatunud reklaam. Sellise seadme häälestamine väljub käesoleva kirjatüki raamidest, kuid tuleks teha valik lubatud ja keelatud veebilehtede vahel. Üks häälestamisviise (whitelisting) on see, et kõik, mis pole otseselt lubatud, on keelatud. Keerulisema äri puhul tuleb kasutada blacklist tüüpi filtrit, ehk siis keelustada kõik veebisaidid, mil pole tööprotsessiga pistmist (porno, sport, mängurlus). Vastava reputatsiooniteenuse saab sisse osta koos filtrikastiga.

Kodus tuleks kindlasti kasutada mõnd AdBlock taolist tarkvara, mis likvideerib kõik veebilehega otseselt mitteseotud lisamaterjali (reklaami, pakkumised). Kahjuks lõpetab siis töö ka mõni asjalik, kuid vale tehnoloogiat (java, javascript) kasutav veebileht – säärastele tuleb käsitsi teha erandid.

Filtreerimise tulemus – kurjategijatel ei õnnestu viia inimest ohtlikul lingil klikkima – filtrikast astub vahele ja blokeerib kahtlase veebisaidi vaatamise. Ühtlasi saadetakse e-kiri itimehele või turvatöötajale.

Konkreetse(ma)d soovitused

Enamikus arvutites sobib brauserina kasutamiseks Chrome, mis kaitseb kasutajat päris mitmel moel:

  1. Sandboxing – teenus, mille eesmärk on tagada, et pahavaral poleks arvutis installiõigust ning eraldada Chrome’i eri aknad üksteisest (et üks aken teisest infot ei varastaks).
  2. Uuendused – Chrome hoiab ennast pidevalt uuendatuna ning paigaldab turvapaigad automaatselt.
  3. Safe Browsing – Kasutajat hoiatatakse, kui ta satub teadaolevale pahalehele.

Adobe Flash on osutunud sedavõrd ebaturvaliseks, et targem on see oma arvutis keelata.

Sirviku pluginad – tuleks ka need üle vaadata, lubada vaid seda, mis on vältimatu (ID-kaardi tarkvara) või vastupidi, vajalik kahtlase materjali filtreerimiseks – nagu näiteks uBlock Origin.

Veel üks tore plugin on ScriptSafe – see ei luba veebilehtedel javascripti käivitada. Võrguadministraatorid saavad pluginaid majandada läbi Windowsi grupipoliitika (group policy).

Antiviirus – tuleb arvesse võtta, et mitte ükski neist ei suuda 100%-list kaitset pakkuda. Vähemalt 95%-list kaitset pakuvad neist siiski enamik, mistõttu viirustõrje peab kindlasti olema paigaldatud ja kindlasti ka uuendatud (ajakohane olgu nii tarkvara ise kui viirusi äratundvad definitsioonid). Tuleb paraku tõdeda, et tasuta viirustõrjed sageli ei suuda definitsioone piisava kiirusega uuendada, et pidevalt muutuva lunavara eest efektiivselt kaitsta.

Uuendused – tänapäeva maailma reaalsuseks on, et igas vähegi populaarses tarkvaras leitakse turvaauke kui mitte iga nädal, siis kord kuus kindlasti. Enam polegi muud varianti, kui lubada automaat-uuendused igas arvutis ja nutiseadmes.

Kasutajaõigused – ilmaasjata ei peaks keegi endale arvutis administraatori õigusi tahtma. Õigused peaksid olema täpselt nii pingule kruvitud, et kasutajad oleksid üksteisest eraldatud – kui ühel neist juhtubki äpardus, siis ei laiene see kogu kollektiivile. Eriti tuleks ligipääse piirata võrguketastel – sest sinna on kogunenud kõige kriitilisemad ressursid.