Petya lunavaraga nakatunud ostukeskus Kharkyvis.

27. juuni hommikul tabas maailma uus lunavaralaine. Praeguseks on nakatunud mitmete suurettevõtete süsteemid ning on teada, et pahavara levib pärast nakatumist ettevõtete süsteemides ülikiiresti. Esimesed nakatumised toimusid Ukrainas, kus teadaolevalt nakatus pahavaraga üle 12 500 tööjaama. Ööpäeva jooksul on tulnud teateid nakatumistest kokku 64 riigis, sealhulgas Eestis.

Riigi Infosüsteemi Ameti andmetel on Eestis asuvatest ettevõtetest pahavaraga nakatunud kaks Saint-Gobaini kontserni kuuluvat ettevõtet: Ehituse ABC ning üks väiksem tehas. Kolmapäeval kella 10.00 seisuga ükski elutähtsat teenust osutav ettevõte või riigiasutus küberrünnaku ohvriks langemisest ei ole teada andnud. Lisaks on hetkel häiritud Kantar Emori e-teenuste kasutamine, kuna firma otsustas kaitsemeetmena nakatumise vastu oma IT-süsteemid kuni levikumehhanismi tuvastamiseni sulgeda.

Teadaolevalt on tegemist Ransom:Win32/Petya lunavara uue versiooniga, mida praeguseks kutsutakse nii Petyaks kui ka NotPetyaks, kuna osade uurijate arvates on tegemist täiesti uue lunavara versiooniga. Tema tüvi on palju arenenum kui varemnähtud Petya lunavara oma.  Lunavara kasutab levimiseks mitut erinevat meetodit – USA riikliku julgeolekuteenistuse (NSA) sel kevadel lekkinud EternalBlue haavatavust, WMIC (Windows Management Instrumentation Command-line – Windowsi halduse käsurida) ja PSEXEC tööriistu. Seetõttu võivad ka korralikult uuendatud süsteemid nakatuda, kui asutuses pole rakendatud parimad turvapraktikad Windows domeeni kaitsmiseks ja kasutajakontode haldusel. Uuel lunavaral on sarnaselt WannaCryle ussi omadused, mis lubab tal nakatunud võrkude vahel lateraalselt liikuda. Lateraalne tähendab lihtsustatult öeldes, et ründe lähte- ja sihtkoht on samas võrgus.

Täiendus 29.6.2017: Lisandunud on uus info (Kaspersky Lab, Comae Technologies), et tegemist võib olla pahavaraga Wiper, mis on loodud arvutite saboteerimiseks ja hävitamiseks. Pahavara käitub nagu tavaline lunavara, kuid pahavara lähtekoodist leiti, et sellele pole lisatud failide taastamise varianti ning pahavara eesmärk on failid jäädavalt kustutada.

Kohaletoimetamine ja paigaldus

Algne nakatumine paistab hõlmavat Ukraina maksuarvestustarkvara tootja M.E Doc toote MEDoc kasutajaid. Kuigi selle nakatumisvektori ümber liikus mitmeid spekulatsioone nii meedias kui ka infoturbeekspertide hulgas, sealhulgas Ukraina Küberpolitseis, puudusid selle ründevektori kohta konkreetsed tõendid. Microsoftil on praeguseks olemas tõendid, et mõned aktiivsed lunavaraga nakatumised said alguse legitiimsest MEDoc uuendusprotsessist.

All on jälgitud MEDoc tarkvara uuendusprotsessi telemeetriat (EzVit.exe), kus käivitatakse pahatahtlik käsurida, mis vastab täpselt teisipäeval, 27/06/2017, umbes kell 10.30 tuvastatud ründemustrile. Käivitusahela diagramm viib lunavara paigaldamisele ning see omakorda kinnitab, et EzVit.exe protsess MEDocist, siiani tundmatel põhjustel, käivitas järgneva käsurea:

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

Samasugust uuendusvektorit mainis ka Ukraina Küberpolitsei avalikus kompromiteerumisindikaatorite listis, mis hõlmas ka meDoc uuendajat.

Ainult üks lunavara, mitmed lateraalsed liikumistehnikad

Võttes arvesse uuele lunavara lisatud lateraalse liikumise võime, on terve võrgu nakatumiseks vajalik ainult ühe masina nakatumine. Lunavara leviku funktsionaalsus on kombineeritud erinevaid meetodeid kasutades, mille eesmärgid on:

• kasutajainfo vargus või olemasolevate aktiivsete sessioonide taaskasutamine,
• failijagamiste kasutamine nakatunud faili jagamiseks samas võrgus asuvate masinate vahel,
• olemasolevate legitiimsete funktsionaalsuste ärakasutamine laengu käivitamiseks või SMB haavatavuste ärakasutamiseks vananenud tarkvara kasutavates masinates.

Lateraalne liikumine kasutajainfo varguseks ja kellegi teisena esinemiseks

See lunavara paigaldab kasutajainfo varastamiseks loodud tööriista (tavaliselt .tmp fail %Temp% kataloogis), mille koodil on teatavad sarnasused Mimikatziga ja mis on loodud nii 32-bit kui ka 64-bit versioonidena. Kasutajad logivad tihti sisse lokaalse administraatori õigustes kontoga. Kui lunavara käivitub administraatori õigustes, võib sellel sõltuvalt operatsioonisüsteemi versioonist ja rakendatud turvameetmetest õnnestuda mälust kätte saada autentimiseks vajalik info (paroolid, parooliräsid, Kerberos autentimispiletid). Seda infot kasutades võib omakorda olla võimalik saada ligipääs teistele samas domeenis asuvatele masinatele.

Pärast kehtiva kasutajainfo saamist skaneerib lunavara lokaalvõrku tcp/139 ja tcp/445 portidega ühenduste loomiseks. Eriline käitumine on reserveeritud domeenikontrollerite ja serverite jaoks. Lunavara proovib funktsiooni DhcpEnumSubnets() abil leida alamvõrgus kõiki DHCP liisingu saanud hoste. Juhul kui pahavara saab vastuse, proovib ta kopeerida kaugmasinasse binaari kasutades failiedastusfunktsionaalsust ja varastatud kasutajainfot.

Pärast seda proovib pahavara ennast kaugelt käivitada, kasutades kas PSEXEC või WMIC tööriistu. Lunavara üritab paigaldada legitiimse psexec.exe faili, mis on tavaliselt ümber nimetatud dllhost.dat nimeliseks failiks, pahavara enda sees asuvast varjatud ressursist.  Seejärel asub pahavara skaneerima lokaalvõrku admin$ kaustade leidmiseks, misjärel ta kopeerib ennast teistesse võrgus olevatesse arvutitesse ja käivitab vastselt kopeeritud pahavarabinaari kaugelt psexec abil.

Lisaks kasutajainfo kaadumisele (dumpimisele) püüab pahavara ka CredEnumerateW funktsiooni kasutades varastada kasutajainfot, mis on saadaval. Juhul kui kasutaja nimi algab “TERMSRV/” ja tüüp on seatud 1-le (generic), kasutab see antud kasutajainfot võrgus edasilevimiseks.

Lunavara kasutab ka Windows Management Instrumentation Command-line (WMIC) käsurida kaugketaste tuvastamiseks, millele ennast seejärel levitada, kasutades selleks NetEnum/NetAdd). See kasutab kas konkreetse kasutaja duplikaattokenit (olemasolevate sessioonide jaoks) või kasutajanime/parooli kombinatsiooni (legitiimsete tööriistade kaudu levimiseks).

Lateraalne liikumine EternalBlue ja EternalRomance haavatavusi kasutades

Uus lunavara suudab levida ka kasutada varasemalt paigatud SMB haavatavust CVE-2017-0144, laiemalt tuntud kui EternalBlue, mida kasutati ka WannaCry levitamiseks aegunud tarkvara kasutavatel masinatel. Lisaks kasutab Petya ära ka teist haavatavust CVE-2017-0145, laiemalt tuntud kui EternalRomance, millele on ka juba turvapaik olemas.

Petya lunavara puhul on täheldatud nende haavatavuste ärakasutamist SMBv1 pakettide genereerimise näol, mis on kõik XOR 0xCC krüpteeritud, selleks et neid haavatavusi rakendada:

Info mõlema haavatavuse kohta lekitas grupp nimega Shadow Brokers. Märkimisväärne on veelkord see, et mõlemale haavatavusele on Microsoft 14/03/2017 väljastanud turvapaiga: technet.microsoft.com/en-us/library/security/ms17-010.aspx ja support.microsoft.com/en-us/help/4013078/title.

Krüpteerimine

Lunavara krüpteerimiskäitumine olenev pahavara privileegide tasemest ja protsessidest, mis nakatunud masinal jooksevad. Pahavara kasutab selleks lihtsat XOR-baasil räsialgoritmi protsessinime osas ning kontrollib seda järgnevate räsiväärtuste osas, mida käitumismustrist välja jätta:

0x2E214B44 – kui masinas leitakse sellise räsinimega protsess, ei nakata lunavara MBRi.

0x6403527E or 0x651B3005 – juhul kui leitakse selliste räsinimedega protsessid ei teosta lunavara ühtegi võrguga seotud toimingut (nagu näiteks SMBv1 haavatavuse ärakasutamine).

Seejärel kirjutab lunavara otse master boot recordile (MBR) ning seab sisse süsteemi taaskäivituse. See loob ülesande masin 10–60 minuti pärast välja lülitada. Täpne aeg on saadakse (GetTickCount()) kasutades, näiteks:

schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST 14:23

Pärast MBRi edukat muutmist kuvab see alloleva võlts süsteemiteate, mis informeerib kasutajaid vigasest kettast ning annab infot võltskäideldavuse kontrollist:

Pärast taaskäivitust kuvatakse kasutajale juba allolev teade:

Lunavara üritab MBR koodi üle kirjutada vaid juhul, kui ta on omandanud kõrgeima privileegi (näiteks juhul kui SeDebugPrivilege on lubatud).

Lunavara proovib krüpteerida kõiki ketastel olevaid alloleva laiendiga faile kõikides kaustades, välja arvatud C:\Windows:

.3ds     .7z       .accdb .ai

.asp      .aspx    .avhd   .back

.bak     .c         .cfg      .conf

.cpp     .cs        .ctl       .dbf

.disk    .djvu    .doc     .docx

.dwg    .eml     .fdb     .gz

.h         .hdd    .kdbx   .mail

.mdb    .msg    .nrg      .ora

.ost      .ova     .ovf     .pdf

.php     .pmf    .ppt      .pptx

.pst      .pvi      .py       .pyc

.rar       .rtf       .sln      .sql

.tar       .vbox   .vbs     .vcb

.vdi      .vfd     .vmc    .vmdk

.vmsd  .vmx    .vsdx   .vsv

.work   .xls      .xlsx    .xvd

.zip

Erinevalt teistest lunavara liikidest ei tekita Petya/NotPetya failidele lisalaiendit, vaid lihtsalt kirjutab olemasolevad failid üle. Krüpteerimiseks genereeritud AES võtmed on masinapõhised ning need kasutavad ründaja 800-bit suurust RSA avalikku võtit. Pärast krüpteerimist kuvatakse kasutajale README.TXT fail sama tekstiga, mis kasutajatele ekraanilgi kuvatakse. Lunavara tühjendab System, Setup, Security, Application event logid ning kustutab NTFS info.

Kuidas Windows Defenenderi abil leida?

Windows Defender Advanced Threat Protection (Windows Defender ATP) on sissetungimise järgne lahendus, mis pakub modifitseeritud tuvastamist ilma signatuuride uuendamiseta. WDATP sensorid monitoorivad ja koguvad jooksvalt lõpp-punktidest telemeetriat ning pakuvad masinõppe lahendust tavalistele lateraalsetele liikumistehnikatele ja tööriistadele, mida see lunavara kasutab, nagu näiteks PsExec.exe käivitamine teise failinimega ja “perfc.dat” faili loomine teistes kaustades. Ilma lisauuendusteta võib nakatunud masin näha välja nagu alloleval pildil:

Teine alert keskendub lunavara dll faili jagamisele võrgus ning see annab infot Kasutaja konteksti kohta. Allolev kasutaja on kompromiteeritud ning teda võib pidada esimeseks nakatunuks:

Kuidas ennast kaitsta?

Hoia oma Windows 10 süsteeme ajakohastena, sest see tagab Sulle ka ajakohased kaitsemeetodid. Lisakaitsena lubab Windows 10S ainult paigaldada rakendusi, mis pärinevad Windows Store rakendusest, mis mainitud operatsioonisüsteemi kasutajatele omakorda lisakaitset pakub.

Lisaks soovitame veenduda, et on tehtud järgmised uuendused ja toimingud:

• Kriitiline Microsofti turvauuendus Windowsi SMB serverile: technet.microsoft.com/en-us/library/security/ms17-010.aspx
• MS17-012 – Microsofti turvauuendus Windowsile (14/03/2017): support.microsoft.com/en-us/help/4013078/title
• Keelake SMB1 kasutamine ettevõtte masinates: blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

Lisalugemist leiate allolevatelt veebilehtedelt:

• https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
• https://www.binarydefense.com/petya-ransomware-without-fluff/
• thehackernews.com/2017/06/petya-ransomware-attack.html
• https://www.ria.ee/public/CERT/lunavara-ennetuse-lahenduse-juhised.pdf

Stack Clash on mitmete operatsioonisüsteemide mäluhalduse haavatavus, mis mõjutab Linuxi, OpenBSD, NetBSD, FreeBSD ja Solarise i386 ja amd64 operatsioonisüsteeme. Konkreetset haavatavust on võimalik ära kasutada mälu rikkumiseks ning omavoliliseks koodi käivitamiseks. Pärast haavatuse ilmsikstulekut arendas Qualys seitse erinevat eksploiti ning seitse kontseptsiooni tõestust. Seejärel arendati koos tarnijatega vastavad turvapaigad. Turvapaigad on kättesaadavad alates 19. juunist ning tuletame meelde, et väljatöötatud turvapaikade kohene paigaldamine on rangelt soovituslik.

Suuremõõtmeline kollisioon. Allikas: http://cdn.desktopwallpaper4.me/

Pinu kollisioon

Iga arvutil jooksev programm kasutab spetsiaalselt mäluregiooni, mida nimetatakse pinuks (stack). Mäluregioon on eriline, kuna see kasvab automaatselt, kui programmil ilmneb vajadus rohkema pinu-mälu järele. Kuid kui mäluregioon kasvab liiga kiiresti ning jõuab teisele mäluregioonile liiga lähedale, võib programm pinu teise mäluregiooniga segamini ajada, mis omakorda lubab kurjategijal seda segadust ära kasutada ning pinu teiste mäluregiooniga üle kirjutada (või siis risti vastupidi toimida). Just selle järgi on haavatavus ka oma nime saanud. Esimene samm selle haavatavuse ärakasutamisel on pinu kollisioon teise mäluregiooniga, millest tulenevalt ka nimi.

Uus haavatavus?

Ühene vastus on – Ei! Esimest korda kasutati pinu kollisiooni ära 2005. aastal ning järgmine kord alles 2010. aastal. Pärast 2010. aasta haavatavust arendas Linux sarnaste ärakasutamiste vastu kaitsemeetodi – niinimetatud pinu kaitseleht. Praeguseks teame aga, et pinu kollisioonid on laiaulatuslikud ning hoolimata pinu kaitselehest siiski ärakasutatavad.

Üks või mitu haavatavust?

Peamine Stack Clashi haavatavus on CVE-2017-1000364 ning see demonstreerib, et mõne kilobaidi suurune pinu kaitseleht on ebapiisav. Teemat lähemalt uurides tuvastati rohkem haavatavusi. Mõned neist on sekundaarsed ning avalduvad vaid pärast Stack Clashi haavatavuse ärakasutamist, näiteks CVE-2017-1000365, kuid on ka eraldi ärakasutatavaid haavatavusi nagu näiteks CVE-2017-1000367.

Kas Stack Clash mõjutab ka mind?

Juhul, kui Sa oled i386 või amd64 arhitektuuriga Linuxi, OpenBSD, NetBSD, FreeBSD või Solarise kasutaja, on vastus – Jah! Teised operatsioonisüsteemid võivad samuti haavatavad olla, kuid neid ei ole konkreetse haavatavuse osas hetkel lähemalt uuritud.

Stack Clashi ohud?

Konkreetse uurimise käigus tuvastati ainult lokaalne privileegide eskaleerimine – ründaja, kellel on mõjutatud süsteemile ükskõik milline ligipääs, saab Stack Clash haavatavust kasutades omandada root-kasutaja õiguse. Praeguseks ei ole tuvastatud, et haavatavus lubaks kaugligipääsu. Siiski ei saa selle olemasolu välistada.

Mida mina teha saan?

Uuendada, uuendada, uuendada! 19. juunil väljastati turvapaigad, mille iga kasutaja omale ise paigaldada saab. Juhul kui kasutaja ei saa või ei taha oma süsteemi taaskäivitada, saab ta oma lokaalsele kasutajale teha RLIMIT_STACK ja RLIMIT_AS välistele teenustele mõistlikult väikese väärtusega. Selle tegevuse käigus tuleb siiski meeldes pidada, et etteantud väärtused ei pruugi olla piisavalt madalad kõikidele rünnetele vastupidamiseks. Näiteks osadel juhtudel kasutab Sudo pinu kollisiooni haavatavus vaid 137 MB kuhimälu (heap-memory) ning peaagu mitte üldsegi pinumälu. Samuti võib juhtuda, et seatud väärtused on liiga madalad ning tegelikud rakendused lakkavad töötamast.

Lisainfot leiab linkidelt:

• https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt
• https://www.theregister.co.uk/2017/06/20/stack_clash_linux_local_root_holes/
• https://www.bleepingcomputer.com/news/security/stack-clash-vulnerability-grants-root-access-on-linux-and-other-unix-oses/

Autor: CERT-EE

Sel nädalal avalikustati Samba failiserveri kriitiline turvaviga, mis ohustab paljusid asutusi ja organisatsioone. Viga kannab registreerimisnumbrit CVE-2017-7494 ning on 7 aastat vana, mõjutades kõiki Samba failiserveri versioone alates versioonist 3.5.0.

Samba on Linuxi serveri juurde kuuluv programm võrguketaste väljajagamiseks. Ka Eestis kasutatakse Linuxit ja Sambat väga sageli võrguketaste väljajagamiseks Windowsi tööjaamadele. Muuhulgas võib Samba olla kasutuses võrguketaste väljajagamiseks tehnoloogilistele seadmetele, tööpinkidele, meditsiiniseadmetele jne.

Turvaviga CVE-2017-7494 võimaldab mõne mitte ülearu keerulise tingimuse olemasolul tungida kaugelt serverisse ning käivitada selles programme (näiteks programme, mis otsivad serveris järgmisi turvavigu või hakkavad serverit kasutama sillapeana sissemurdmiseks järgmistesse arvutitesse, BitCoini arvutamiseks vms). Kriitilist haavatavust saab ära kasutada vaid ühe koodirea sisestamisega.

Hetkeseisuga on turvavea lappimiseks väljastatud paik, Linuxi administraatorid peaksid selle võimalikult kiiresti paigaldama.

Kes ja miks on haavatavad?

Samba server osutub rünnatavaks, kui Sinu arvutivõrgu installatsioonis esinevad järgmised iseärasused:

• • On teada mingi konto andmed, mille puhul on lubatud võrgukettale kirjutamine – siis saab ründaja sinna üles laadida ründeprogrammi.
  • Katalooginimed on näha või teada, teisisõnu, tegu on kergesti äraarvatavate serveriteekondadega (server paths), näiteks \\FILESERVER\TMP.
  • Lisaks, juhul kui failide ja printerite jagamise port 445 on nähtav ja ligipääsetav ka Internetist, on rünne võimalik kogu maailmast, mitte üksnes sisevõrgust.

Ründe käigus ründaja:

• arvab ära või saab teada serveri nime ja võrguketta nime (kerge),
• hangib suvalise kasutajatunnuse ning ühendub mõne võrgukettaga, kuhu tal on kirjutusõigus, seejärel laadib sinna üles ründeprogrammi,
• käivitab ühe rea koodi, mis – oops! –  võtabki kogu serveri üle. See on eriti ohtlik, kuivõrd platvormist olenevalt võib ründaja kohe saada juurkasutaja (administraatori) õigused.

Kaitsemeetmed

Kõige esmane kaitsemeede on ikka ja alati sama: paigalda värsked uuendused! Praegusel juhul tuleb paigaldada Samba versioonid 4.6.4, 4.5.10 või 4.4.14.

Kui uuendamine pole võimalik, siis alternatiivne kaitsemeede on lisada Samba konfiguratsiooni parameeter (täpsustatud 26.5.2017):

nt pipe support = no

NB! Ülalmainitud parameetri muutmine võib mõjutada Windowsi klientide suutlikkust võrguketaste kasutamisel.

Kindlasti kontrolli internetist, kas Sinu kodune kettaserver (nt Synology) vajab samuti uuendamist.

Synology DiskStation DS213 plus

Allikad

• A wormable code-execution bug has lurked in Samba for 7 years. Patch now!
• [Announce] Samba 4.6.4, 4.5.10 and 4.4.14 Available for Download

Allikas: https://www.turnkeylinux.org/blog/dirty-cow-kernel-privilege-escalation-vulnerability

Räpane lehm edaspidi Dirty COW on privileegide eskaleerimise haavatavus Linuxi Kernelis.

Mis on CVE-2016-5195?

CVE-2016-5195 on ametlik viide haavatavusele. CVE (Common Vulnerabilities and Exposures) on infoturbe haavatavuste nimede standard, mida haldab MITRE.

Miks just Dirty COW?

Linuxi Kerneli mälu alamsüsteemist leiti trügimishaavatavus (sündmustevahelist siirdelist ajalõiku nõrkusena ärakasutav rünne), mis käsitles copy-on-write (COW) privaatlugemiseks ainult (read-only) mälu kaardistust (memory mapping). See võimaldab lokaalsel kasutajal mööduda standardsetest failisüsteemi pääsuõigustest ning muuta faile, millele muidu õigused puuduvad.

Mida saan teha?

Tutvu allolevate linkidega ning järgi oma operatsioonisüsteemile vastavaid tegutsemisjuhiseid!

• https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619
• https://www.ubuntu.com/usn/usn-3107-1/
• https://bugzilla.redhat.com/show_bug.cgi?id=1384344#c13
• https://www.suse.com/security/cve/CVE-2016-5195.html

Rohkem infot haavatavate süsteemide kohta leiab allolevatelt linkidelt:

• https://access.redhat.com/security/cve/cve-2016-5195
• https://security-tracker.debian.org/tracker/CVE-2016-5195
• http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5195.html

Mis teeb Dirty COW haavatavuse nii eriliseks?

Dirty COW haavatavus on olnud süsteemides 9 aastat ning seda on paigatud ühe korra. Seda on tunnistanud ka Linuxi Kerneli looja ise, põhjendades, et 11 aastat tagasi jäi paikamine poolikuks IBM süsteemide ühilduvusprobleemide tõttu.

Kuvatõmmi

Seega võib spekuleerida, et kasutajatel on olnud võimalus kirjutada privileege eskaleerides ohvri masinasse faile/tagauksi. Samuti on Dirty COW just nüüd erilise tähelepanu all, sest varem paigati see “enam-vähem” põhimõttel, kuid praeguseks on süsteemid arenenenud tohutu kiirusega tehes trügimisründe (sündmustevahelist siirdelist ajalõiku nõrkusena ärakasutamise) võimalikuks.

Kuidas toimib Dirty COW haavatavus?

Idee tõestamisekood (PoC kood) kasutab haavatavuse ära kasutamiseks faili read-only (ainult lugemiseks) olekus.

Kuvatõmmis

Pärast faili avamist read-only olekus kutsutakse esile mmap funktsioon, mis kaardistab faili mälu kasutades järgnevaid lippe (flags): f (varem avatud fail), PROT_READ (ainult lugemiseks), MAP_PRIVATE (lubab copy-on-write kaardistamist).

Kuvatõmmis

Mmap lubab nüüd lugeda mälus olevat faili või kirjutada mälus olevale koopiale.

Järgnevalt on vajalik luua kaks lõimu paraleelselt kasutamaks ära trügimishaavatavust. Trügimine selles kontekstis tähendab kahe lõimu sündmustevahelise ajalõigu nõrkusena ära kasutamist.

Kuvatõmmis

Selleks on meil loodud lõim nr1 madvise süsteemikutse aitamaks Kernelil leida sobiv ettelugemise ja puhvri loomise võimalus. See on kriitiline osa haavatavusest. Madvise lõimule antakse kaasa lipp, mis paigutab Kernelile antava teabe: kuidas kaardistada mälu nii, et see ei kasutaks ära 100 biti mäluaadressil.

Kuvatõmmis

Need 100 bitti, mille kasutamist ei oodata, võib üle laadida uue sisuga, juhul kui peaks toimuma bittide samasse mäluvähemikku sattumine.

Kuvatõmmis

Lühidalt on võimalik eirata mälukaardistamise häid tavasid ning kasutada trügimist, tekitamaks olukorda, kus kasutaja sisend kirjutatakse originaalfaili, mitte enam mälus olevasse koopiasse.

Kas on oodata Dirty COW paika?

Jah, see on juba valmis. Paik sisaldab endas ainult kolme rida koodi.

Kuvatõmmis

Anto Veldre, RIA analüütik

Kui Sinul, Sinu firmal või asutusel on püsti pandud WordPressi tehnoloogias veebisait, siis täna on vältimatu hetk WordPressi uuendamiseks. Sest eile avalikustati WordPressi järjekordne turvaparandus, mis kõrvaldab tervelt kümme viga – neist kuus on seotud turvalisusega.

Kust üldse tulevad turvavead? Nagu autodel avastatakse vahel mõni tootjapoolne viga: kas pidur ei pea või saavad häkkerid neti kaudu auto tarkvara uuendada, nii on lugu ka netiportaalidega. Häkkerid ja turvauurijad leiavad uusi vigu pidevalt – keeruka tehnoloogia puhul on see vältimatu hind.

Ning kuigi me täna keskendume WordPressile, mitte Drupalile või Joomlale, siis ka need sisuhaldussüsteemid vajavad pidevat uuendamist!

Mis üldse on näotustamine? Kui Sinu veebiserveris on turvaviga ja häkker oma riistakohvriga sinna sisse murrab, siis on tal valik: kas hakata Sinu kulul viirust levitama, tablette müüma või riputada üles kahtlasi loosungeid. Näotustamine on neist see variant, kui veebilehelt paistab “Zdes’ byl Vasja” või “Hacked by ÜberHaxor”. Tegu võiks võrrelda võõra kuulutustetulbaga, millele kleebitakse omaenda reklaam.

Näotustamine tundub veebiomanikule suhteliselt õnneliku juhtumina: kuigi häbi on küll kõigile avalikult nähtav, siis veebisaidi abil pole veel sooritatud kriminaalkuritegu (viiruse või lapsporno levitamist).

Samas, “õnn” on ajutine ja oht suur, sest kui kellelgi juba on õnnestunud Sinu veebisaiti sisse murda, siis kindlasti õnnestub see ka teistel üritajatel. Järgmiste ründajate valikud võivad aga olla oluliselt kriminaalsemad – mäletame ISISe reklaame, mis kvalifitseeruvad terroriorganisatsiooni toetamiseks

Häkkeritel on omad kekkamis-saidid, kus nad oma saavutustega hooplevad. Need võiks ju kinni panna, kuid siis oleks ebaturvalisi veebisaite veelgi raskem avastada.

WordPress 4.2.4 turvauuendus parandab järgmised vead:

• kolm murdskriptimise viga (XSS),
• üks SQL injektsioon, mille abil pääseb serverisse “päris sisse”,
• olukorra, kus häkker sai kommentaariumi lukku panna.

Uuendamine on lihtne: Kui veebisaidis on midagigi väärtuslikku, siis tuleks esmalt teha järjekordne varukoopia, seejärel aga valida Admin-menüüst: Dashboard -> Updates -> “Update Now”.

Küsimused ja vastused CERT-EE materjalide põhjal

Kui Sinu veebisaiti ongi juba sisse murtud, siis mida teha?!

1. Näotustamistest, ammugi siis hullematest rünnakutest tuleb teavitada politseid ja CERT-EE-d.
   Miks politseid? Tegu võib olla suurema või rahvusvahelisema rünnakuga, kus vaid politseil on päringuteks vajalikud õigused. Politsei ongi selleks, et kuritegudest teada anda. Avalduse saab esitada ka digitaalselt, vt www.politsei.ee.
   Miks CERT-EE-d. Sest hädalisi võib olla teisigi. CERT-EE oskab õigeid inimesi üles leida, hinnata intsidendi ulatust ning anda ravinõuandeid. Muidu võib tunduda, et tegu on üksik-intsidendiga, kuigi ka paljud teised veebid on jätkuvalt ohustatud.
2. Tuleb oma veebisaidis leida sissemurdmise koht ning see parandada. Arvestada tuleb ka võimalusega, et sisse on murtud korduvalt ning et Sinu veebis elab mitu pesakonda häkkereid.
3. Taastada turvaline olukord, isegi kui selleks tuleb veeb vahepeal sulgeda.
   Üha rohkem on juhtumeid, kus nakkus on nii sügaval, et lihtne lappimine enam ei aita. Sel juhul tuleb uuesti (nullist) paigaldada sisuhaldustarkvara, uuesti lisada oma spetsiifilised kujundused ja andmed. Sedasi on küll rohkem tööd, kuid saab kindel olla, et häkkerid pole tuumiksüsteeme muutnud. Lihtsa lappimise korral, kui ei saadud aru, kus kurivara tegelikult pesitseb, võivad probleemid pärast uuendust tagasi tulla.
4. Avalikkusel on kindlasti õigus teada, mis laias maailmas toimub, kuid ülevõetud saidi reklaamimisel peaks piiri pidama. Miks? Sest kuniks pole päris kindel, et veebisait on lõplikult ja korralikult välja ravitud, võib iga uus kasutaja saada sealt pahavara.

Kuidas tagada, et minu enda sisuhaldussüsteem oleks turvaline?

1. Automaatne uuendamine: vahel teeb mõni uuendus veebilehel küll midagi katki, ent katkise koha parandamine on ikkagi lihtsam, kui hakata taastama oma mainet pärast seda, kui Sinu veebisait on levitanud pahavara ning sellega külastajatele kahju põhjustanud.
2. Hoia ennast kursis konkreetse sisuhaldussüsteemi (WordPress, Drupal, Joomla) uuendustega ning sääraste ilmumisel paigalda need viivitamatult!
3. Kindlasti uuenda ka kõik lisad (pluginad). Näiteks WordPressi populaarse lisa Slider Revolution vananenud versioon võib jätta lehekülje haavatavaks isegi siis, kui CMS tarkvara ise on ajakohane. Kui veeb osteti sisse, siis tüüpiliselt on makstud kas ainult paigaldus ilma toeta või on makstud plugina aastane uuendus ning pärast seda ongi pahandus käes.
4. Turvaline paroolipoliitika ja regulaarne paroolivahetus. Muuda ära administraatori vaikimisi kasutajanimi. Paroole teadku inimesed, kes neid tõesti vajavad.
5. Korrektne paigaldus. Jälgi hoolikalt sisuhaldussüsteemi paigaldusjuhist. Foorumid ja üleslaadimised on kõige eksimusterikkamad paigad.
6. [Lisatud lugejate palvel 10.8.2015]: WordPressi lahendust käitavalt administraatorilt võiks ühtlasi nõuda, et nähtav poleks readme.html fail (sealt saab liiga palju lisainfot, aitäh @petskratt) ning et administreerimiskataloogile ja utiliitidele oleks võimalusel seatud IP-aadressi piirang (siis ei saa kahtlased tüübid näppimas käia).

Kuidas saan kinnitust kahtlusele, et veebiserverisse on sisse murtud või seda nakatud?

Üks mugav testimisteenus on SiteCheck (https://sitecheck.sucuri.net), teine VirusTotal (http://www.virustotal.com). Sisesta sinna kahtlase saidi nimi (URL) ning oota ära kontrolli tulemused. Sucuri Sitecheck on isegi võimeline hindama, kas serveri tarkvaraversioon on piisavalt ajakohane.