Tag Archives: turvanõrkus

Ülevaade Follina turvanõrkusest Windowsi operatsioonisüsteemis

Nimetus: CVE-2022-30190 või Follina
Rahvusvaheline turvanõrkuse riskiskoor: 7.8/10

Taust
20.06.2022

Mai lõpus avastati ühest analüüsikeskkonnast pahaloomuline Wordi dokument. Dokumendi uurimise käigus selgus, et see võimaldab ründajale pahavara käivitanud kasutaja õigustes koodi kaugkäitust mõjutatud Windowsi operatsioonisüsteemidest. Dokumendi tegi eriliseks aga asjaolu, et pahaloomulise koodi käivitamiseks kasutati legitiimset Windowsi tööriista (Microsoft Diagnostic Tool). Tegu oli turvanõrkusega, mille jaoks väljastas Microsoft 30. mail ametliku hinnangu. Turvapaiga paikamiseni kulus siiski ligi kaks nädalat.  Ohustatud on kõik kasutajad, kes kasutavad Microsoft Office 2013, 2016, 2019 ja 2021 tarkvara ning paikamata Windowsi operatsioonisüsteeme, mis saavad veel turvauuendusi[1].

Mõju maailmas ning Eestis

Turvanõrkust üritatakse hetkel maailmas aktiivselt kuritarvitada. Mitmel juhul on sihtmärkideks valitud Euroopa ja USA ametiasutused[2] ning mitmed riikidega seostatavad küberrühmitused on üritanud seda ära kasutada[3][4]. Ründekatseid on märganud näiteks ka Ukraina CERT[5][6]. Samuti üritatakse turvanõrkuse abil ohvrite seadmetesse paigaldada Qakboti (Qbot) pahavara[7], mille abil varastatakse kasutajatunnuseid ja meilivestluseid. Suure tõenäosusega jätkatakse turvanõrkuse ärakasutamise katseid ka tulevikus

CERT-EEle ei ole siiani teada ühtegi juhtumit, mille puhul oleks pahalastel õnnestunud Eesti küberruumis seda turvanõrkust kuritarvitada. Siiski juhime tähelepanu sellele, et pahavara käivitamine ei eelda makrode kasutamist ega teatud tingimustel isegi pahaloomulise faili avamist. Microsoft väljastas 14.06.2022 mõjutatud süsteemidele ametliku turvapaiga[8]. Tuletame kasutajatele meelde, et hoolimata erinevatest kaitsemeetmetest, tuleb olla kahtlaste kirjade puhul väga ettevaatlik. Paraku ei suuda viirusetõrjetarkvarad tuvastada kõiki erinevaid pahavarade versioone, mida ründajad kasutavad. Arvestades lisaks, kui laialdaselt Microsoft Office’i tooteid Eestis kasutatakse, kujutab turvanõrkus potentsiaalset ohtu nii tavakasutajatele kui ka erinevatele organisatsioonidele Eestis.

Turvanõrkuse kirjeldus ning kuidas seda ära kasutatakse

Algsete näidiste puhul üritati esmalt alla laadida välisest veebiserverist HTMLi fail. Viide sellele failile asus document.xml.rels nimelises failis, mis kirjeldab manusobjektide (embedded objects)kasutamist dokumendis. Manusobjekte kasutab Office’i tarkvara näiteks Exceli tabelite lisamisel Wordi dokumenti[9]

HTMLi faili sisu käivitati omakorda MSDT protokolli URI skeemiga. MSDT protokolli[10] kasutatakse Windowsi operatsioonisüsteemis veateadete edastamiseks Microsofti kasutajatukke. Paraku õnnestub sellega käivitada ka ohvri seadmes pahaloomulisi Powershelli käske.

Mai lõpus avastatud näidise puhul tuvastati, et HTMLi faili oli lisatud rida väljakommenteeritud A tähti[11]. See tundus uurijatele veider, sest kommentaarid ühtegi protsessi ei käivita. Hiljem selgus, et pahavara käivitamiseks olid need tähed siiski hädavajalikud. Nimelt pidi HTML fail olema vähemalt 4096 baiti suur, et Microsofti HTMLi moodul seda töötleks. Kuna pahaloomulised koodiread moodustasid kokku alla 4096 baidi, oli koodi lisaks sisse kirjutatud kommentaaridena ka just needsamad A tähed. Seetõttu sarnaneb Follina turvanõrkus omapäralt haavatavusele CVE-2021-40444, millest on täpsemalt kirjutatud siin.

Viimastel aastatel on palju räägitud makrodest, mida pahaloomulised Microsoft Office’i failid kasutavad pahavara käivitamiseks. Microsoft teatas sel aastal, et blokeerib vaikimisi makrode kasutamise Office’i failide puhul, mis pärinevad internetist [12]. Paraku ei kasuta Follina turvanõrkust kuritarvitav pahavara makrosid, seega ei ole Microsofti kaitsemeetmest siin kasu. Selleks, et pahavara käivituks, peab ohver pahaloomulise Wordi dokumendi avama ja lubama selle redigeerimise.

Ründajal on võimalik pahavara ohvri seadmes käivitada ka selliselt, et ohver ei avagi pahaloomulist dokumenti. Selle jaoks kasutatakse RTF vormingus faili. RTF ehk Rich Text Format on Microsofti loodud vorming, mida suudavad avada paljud erinevad rakendused. Seega kasutatakse seda peamiselt tekstide redigeerimiseks erinevate tekstitöötlustarkvarade vahel. Pahalastel õnnestub RTF faile kuritarvitada aga nii, et pahavara käivitamiseks ei ole ilmtingimata vajalik pahaloomulise dokumendi avamine. Kui kasutajal on Windowsi operatsioonisüsteemis eelvaatepaan (preview pane) lubatud, parsitakse pahaloomulise dokumendi sisu automaatselt ja tema süsteem ongi halvimal juhul kompromiteeritud.

Ühe võimaliku ründe iseloomustus:

  1. Kasutaja saab kirja, mille manusesse on lisatud pahaloomuline dokument.
  2. Kasutaja laeb selle alla enda lokaalsesse süsteemi.
  3. Pahavara käivitamiseks ohvri masinas on kaks võimalust ning see sõltub sellest, kuidas ründaja on asjale lähenenud:
    A) Ohver laadis alla Wordi dokumendi, avab selle ja lubab redigeerimise. Kuna pahavara ei kasuta makrosid, siis käivitatakse see juba redigeerimise lubamisel (vt Pilt1, Pilt2).
    B) Ohver laadis alla pahaloomulise RTF faili. Ta liigub süsteemis faili allalaadimiskausta ja teeb faili aktiivseks. Selle tagajärjel käivitub pahavara, kui kasutatakse eelvaatepaani (preview pane)[13].

Pilt 1. Pahaloomuline Wordi dokument avaneb kaitstud vaates. Redigeerimise lubamisel käivitatakse pahavara.

Pilt 2. Pärast redigeerimise lubamist kuvatakse testkeskkonnas teade, et kasutaja süsteem on kompromiteeritud.

Kõik oleneb muidugi ka süsteemile rakendatud kaitsemeetmetest – kas viirusetõrjetarkvaral õnnestub pahaloomuline fail kahjutuks teha, kas süsteemiga seotud tulemüür suudab ohtu tõrjuda jne. Testimise käigus tuli meil näiteks Windows 10 operatsioonisüsteemi viirusetõrjetarkvara välja lülitada, kuna pahaloomulise koodi käivitamine ei olnud muul viisil võimalik. See aga ei tähenda, et viirusetõrjetarkvara suudab igal korral ohte tõrjuda – ründajad on leidlikud ja leiutavad pidevalt uusi versioone pahavaradest, et viirusetõrjetarkvarad neid ei tuvastaks.

Soovitused

  1. Rakendage esimesel võimalusel väljastatud turvapaik mõjutatud süsteemidele[14]. Kui süsteemides on automaatne uuendamine lubatud, ei pea turvapaika manuaalselt installeerima.
  2. Kui teie organisatsioon on veendunud, et RTF failid ei ole teile vajalikud, soovitame meilifiltrite abil sellised kirjad blokeerida, mille manusesse on RTF failid lisatud.
  3. Microsoft on avalikustanud alternatiivse vastumeetme[15], millega enda süsteeme selle turvanõrkuse eest kaitsta. Soovitame sellega tutvuda, hinnata rakendamise võimalikkust ja võimalusel seda kasutada, kui turvapaiga rakendamine ei ole võimalik.
  4. Koolitada enda organisatsiooni töötajaid mitte salvestama ega avama kahtlaste kirjade manuseid, vaid need kustutama või suunama sellised kirjad infoturbeosakonda. Kui selline võimalus puudub, aitab CERT-EE alati kahtlaste kirjade analüüsimisega. 

Kuidas sai turvanõrkus endale Follina nime?

Rahvusvahelises kogukonnas tuntakse nõrkust ka nimega „Follina“. Sellise nimetuse andis haavatavusele üks esimesi turvanõrkuse analüüsijaid. Ta märkas, et pahaloomulise Wordi dokumendi nimetuses olid numbrid 0438. Kuna seda numbrikombinatsiooni kasutab suunakoodina Follina-nimeline piirkond Itaalias, andiski ta turvanõrkusele just taolise nime[16]. Sel hetkel puudus turvanõrkusel CVE tähis, seega kinnistus selline nimetus mitteametlikult paljude uurijate ja teemast huvitunute seas.

Joonealused viited


[1] https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/

[2] https://www.bleepingcomputer.com/news/security/windows-zero-day-exploited-in-us-local-govt-phishing-attacks/

[3] https://threatpost.com/follina-exploited-by-state-sponsored-hackers/179890/

[4] https://www.bleepingcomputer.com/news/security/windows-msdt-zero-day-now-exploited-by-chinese-apt-hackers/

[5] https://cert.gov.ua/article/40559

[6] https://cert.gov.ua/article/160530

[7] https://isc.sans.edu/forums/diary/TA570+Qakbot+Qbot+tries+CVE202230190+Follina+exploit+msmsdt/28728/

[8] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

[9] https://billdemirkapi.me/unpacking-cve-2021-40444-microsoft-office-rce/

[10] https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/msdt

[11] https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

[12] https://docs.microsoft.com/en-us/deployoffice/security/internet-macros-blocked

[13] https://isc.sans.edu/forums/diary/Quickie+Follina+RTF+Explorer+Preview+Pane/28734/

[14] https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/

[15] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

[16] https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

RIA analüüsi- ja ennetusosakond ning CERT-EE

Avastati kriitiline turvanõrkus Confluence’i tarkvaras

Uuendatud 6. juunil kell 12

Nimetus: CVE-2022-26134

Taust

2. juunil avalikustas Atlassian Confluence’i tarkvara mõjutava kriitilise nullpäeva turvanõrkuse CVE-2022-26134 , mille abil saab autentimata kasutaja haavatavas süsteemis teostada koodi kaugkäitust. Turvanõrkuse avastas üks küberturbeettevõte, kes analüüsis parasjagu kliendi küberintsidenti ja leidis, et selle käigus oli kasutatud just seda seniteadmata haavatavust[1]. Ettevõtte sõnul kasutavad tõenäoliselt mitmed Hiinaga seostatavad küberühmitused hetkel aktiivselt seda turvanõrkust haavatavate süsteemide ründamiseks. Need rühmitused ei ole ainsad, kes on üritanud haavatavust kuritarvitada, vaid haavatavate süsteemide kaardistamisega tegelevad ka paljud teised pahatahtlikud osapooled[2].

Võimalik mõju ja haavatavad süsteemid

Turvanõrkus võimaldab süsteemi paigaldada autentimata kasutajal näiteks veebikesta, mille abil saab anda täiendavaid pahaloomulisi käske. Käskude abil on potentsiaalselt võimalik varastada kompromiteeritud süsteemides leiduvaid andmeid, paigaldada täiendavat pahavara, liikuda lateraalselt edasi või krüpteerida haavatavad süsteemid sootuks.

Kui 03.06.2022 kella 16:00 seisuga ei olnud turvanõrkuse kontseptsiooni tõendus (POC) veel avalikult kättesaadav, siis õige pea avalikustati ka see[3]. Seetõttu on väga oluline, et mõjutatud süsteemide haldajad võtaksid arvesse järgnevas peatükis välja toodud vastumeetmeid ja soovitusi. Tootja on juba jõudnud väljastada ka osadele tarkvaraversioonidele turvapaigad, samuti ka info ajutiste vastumeetmete kohta, kui turvapaikade rakendamine ei ole kohe võimalik. Täpsemat informatsiooni leiate tootja ametlikult kodulehelt.

Haavatavad on Confluence Serveri ja Data Centeri kõik versioonid, mis on uuemad kui 1.3.0[4]. Tootja on seisuga 06.06.2022 09:30 väljastanud turvapaigad versioonidele 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 ja 7.18.1. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’i lehed.

Võimalikud vastumeetmed ja soovitused

  1. Rakendada turvapaik, kui see on kättesaadav. Täpsema informatsiooni leiate tootja kodulehelt.
  2. Kõikidele Confluence Server ja Data Center süsteemidele tuleks piirata internetist ligipääs, näiteks ACL reeglitega.
  3. Kui ligipääsu piiramine ei ole võimalik, tuleks Confluence Serveri ja Data Centeri süsteemide kasutamine ajutiselt peatada ning oodata seni, kuni tootja väljastab turvapaiga ja see rakendada.
  4. Soovitame enda veebirakenduse tulemüüri pakkujalt uurida, milliseid kaitsemeetmeid Confluence’i vastu suunatud rünnete kohta pakutakse. Kui te ei ole veebirakenduse tulemüüri kasutusele võtnud, soovitame seda teha.
  5. Tootja hinnangul võib ohtu vähendada ka spetsiaalse reegli rakendamine veebirakenduse tulemüüris, mis blokeerib kõik URLid, mis sisaldavad ${.
  6. Veenduge, et rakendatud oleks süsteemide logimine ja võimalus logisid ka võimaliku intsidendi korral kätte saada ja analüüsida. Võimalusel tuleks logide varundusi hoida eraldatud süsteemis.
  7. Soovitame tutvuda järgneva intsidendi analüüsiga siin ning uurida, kas märkate logidest artiklis välja toodud IOC-sid. Samuti on artiklis välja toodud Yara reeglid, mis aitavad tuvastada süsteemidest veebikestade olemasolu, mida selle konkreetse intsidendi jooksul kasutati.
  8. Haavatavate süsteemide kompromiteerumise kahtluse korral palume teavitada CERT-EE-d, kirjutades meiliaadressile cert@cert.ee
  9. Kuna turvanõrkuse kohta tuleb informatsiooni jooksvalt juurde, soovitame jälgida CERT-EE igahommikust uudiskirja, mis kajastab kõige olulisemaid kübermaailmaga seotud uudiseid. Kui te ei ole sellega veel liitunud, siis leiate liitumiseks vajaliku informatsiooni siit. Samuti soovitame aeg-ajalt uurida tootja ametlikku lehte siin.

[1] https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

[2] https://blog.cloudflare.com/cloudflare-observations-of-confluence-zero-day-cve-2022-26134/

[3] https://www.bleepingcomputer.com/news/security/exploit-released-for-atlassian-confluence-rce-bug-patch-now/

[4] https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

3. juuni 2022 kella 16 seisuga ei ole turvanõrkuse kontseptsiooni tõendus (POC) veel avalikult kättesaadav. See vähendab küll veel hetkel haavatavuse laialdast kasutamist, kuid suure tõenäosusega avaldatakse kontseptsiooni tõendus ka lähiajal. Juhime samuti tähelepanu sellele, et selleks ajaks ei olnud tootja väljastanud turvapaika haavatavuse parandamiseks. Seetõttu on tähtis, et mõjutatud süsteemide haldajad võtaksid arvesse järgnevas peatükis välja toodud vastumeetmeid ja soovitusi.

Haavatav on Confluence Server versioon 7.18.0 ning Confluence Data Centeri versioonid 7.4.0 või uuemad[2]. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’i lehed [3].

Võimalikud vastumeetmed ja soovitused

  1. Kõikidele Confluence Server ja Data Center süsteemidele tuleb piirata internetist ligipääs, näiteks ACL reeglitega.
  2. Kui ligipääsu piiramine ei ole võimalik, tuleks Confluence Serveri ja Data Centeri süsteemide kasutamine ajutiselt peatada ning oodata seni, kuni tootja väljastab turvapaiga ja see rakendada.
  3. Kui kahte eelnevat soovitust ei ole võimalik järgida, siis võib tootja hinnangul ohtu vähendada ka spetsiaalse reegli rakendamine veebirakenduse tulemüüris, mis blokeerib kõik URLid, mis sisaldavad ${.
  4. Veenduge, et rakendatud oleks süsteemide logimine ja võimalus logisid ka võimaliku intsidendi korral kätte saada ja analüüsida. Võimalusel tuleks logide varundusi hoida eraldatud süsteemis.
  5. Kui tootja on turvapaiga kättesaadavaks teinud, tuleks see kohe rakendada.
  6. Soovitame tutvuda järgneva intsidendi analüüsiga siin ning uurida, kas märkate logidest artiklis välja toodud IOC-sid. Samuti on artiklis välja toodud Yara reeglid, mis aitavad tuvastada süsteemidest veebikestade olemasolu, mida selle konkreetse intsidendi jooksul kasutati.
  7. Haavatavate süsteemide kompromiteerumise kahtluse korral palume teavitada CERT-EE-d, kirjutades meiliaadressile cert@cert.ee
  8. Kuna turvanõrkuse kohta tuleb informatsiooni jooksvalt juurde, soovitame jälgida CERT-EE igahommikust uudiskirja, mis kajastab kõige olulisemaid kübermaailmaga seotud uudiseid. Kui te ei ole sellega veel liitunud, siis leiate liitumiseks vajaliku informatsiooni siit. Samuti soovitame aktiivselt jälgida jooksvalt uuendatavat blogi siin ning tootja ametlikku lehte siin.

[1] https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

[2] https://blog.cloudflare.com/cloudflare-customers-are-protected-from-the-atlassian-confluence-cve-2022-26134/

[3] https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

Kaks videovalvekaamerate kriitilist turvanõrkust ohustavad kaamerate kasutajaid

Nimetus:  CVE-2021-33044
Turvanõrkuse riskiskoor: 9.8/10 [1]

Nimetus: CVE-2021-33045
Turvanõrkuse riskiskoor: 9.8/10 [2]


Taust

Viimastel aastatel on mitmetes maailma meediaväljannetes kajastatud küberintsidente, mis viidi ellu kasutades kurjategijate kontrolli all olevaid IoT- (Internet of Things) seadmeid, sh videovalvekaameraid[1] [2]. IoT-seadmed on väiksemad internetti ühendatud seadmed nagu näiteks kaamerad, nutilambid, nutitelerid, kõlarid, termostaadid jms [3]. Selliseid nutikaid lahendusi kasutatakse üha rohkem[4]. Sageli on need mitmete turvanõrkuste tõttu ahvatlevaks sihtmärgiks küberründajatele.

2021. aasta sügisel avalikustati Dahua videovalvekaameraid mõjutavad kriitilised turvanõrkused CVE-2021-33044 ja CVE-2021-33045. Need võimaldavad ründajal parooli teadmata haavatavate kaamerate haldusliidesesse lihtsalt ligi pääseda. Nõrkuste ärakasutamiseks on ründajale vaja, et haavatava seadme haldamiseks mõeldud keskkond oleks internetist kättesaadav või et tulemüüri taga oleva seadme haldusliidesele oleks tehtud pordisuunamine. Pahalane saab sellisel juhul haavatava seadme haldusliidese kompromiteerida ja kasutada seda ära vastavalt enda eesmärkidele. Muuhulgas on tal võimalik jälgida kompromiteeritud kaamera videopilti, koguda selle abil tundlikku informatsiooni (paroole, ärisaladusi vms), kasutada kogutud informatsiooni väljapressimiseks või liita kompromiteeritud seade robotvõrgustikuga, mille abil panustab seade omaniku teadmata enda ressurssi teenusetõkestusrünnete sooritamiseks teiste sihtmärkide vastu.  

Mõju Eestis

2022. aasta 10. mai seisuga on Riigi Infosüsteemi Ameti analüüsi tulemusel Eesti küberruumis ligi poolteist tuhat Dahua seadet, mis on internetist nähtavad. CERT-EE tuvastas, et ligi 13% seadmetest on endiselt potentsiaalselt vähemalt ühe turvanõrkuse vastu haavatavad. CERT-EE on teavitused võimalike haavatavate seadmete kohta edastanud vastavatele osapooltele, et nõrkused paigataks. Seni ei ole CERT-EEle teada ühtegi kuritarvitamise juhtumit. 

Turvanõrkuste abiga on ründajal potentsiaalselt võimalik haavatavad seadmed üle võtta ja kasutada neid ülalnimetatud pahaloomuliste tegevuste sooritamiseks. Arvestades, et avalikult on kättesaadavad erinevad tööriistad nõrkuste ärakasutamiseks ja nende kasutamine on suhteliselt lihtne, kujutavad need haavatavused potentsiaalselt ohtu mõjutatud seadmete omanikele ja ka teistele kasutajatele (kompromiteeritud seadmeid saab kasutada näiteks teenusetõkestusrünnete sooritamiseks). Lisaks sellele võib intsidendi korral tegu olla ka GDPRi nõuete rikkumisega. Tulenevalt menetluse käigust võib rikkumise korral seadme omanikku oodata rahatrahv.

Turvanõrkuste olemus

Mõlema turvanõrkuse puhul on kasutusviis ja saavutatav tulemus sarnane. Turvanõrkuste ärakasutamiseks tuleb ründajal saata haavatava seadme suunas spetsiaalne andmepakett. Piltlikult öeldes saab ründaja kasutada võtit, mis kõik talle nähtavad haavatavad videokaamerate haldusliideste „uksed“ avab.  

CVE-2021-33044 turvanõrkuse ärakasutamine on tehtud seejuures väga lihtsaks, kuna selle jaoks on avalikult kättesaadav brasuerilaiendus. Ründajale piisab vaid külastada haavatava Dahua videokaamera haldusliidese sisselogimislehekülge ja klikata brauseris vastava laienduse nupule. Selle tagajärjel on võimalik liidesesse ilma autentimata ligi pääseda. CVE-2021-33045 haavatavuse puhul ei ole sellist laiendust veebilehitsejatele loodud, kuid ründamiseks piisab samuti spetsiifilise andmepaketi saatmisest haavatava seadme suunas. 

Millised seadmed on haavatavad?

2021. aasta 15. novembri seisuga on tootja hinnangul vähemalt ühe turvanõrkuse vastu haavatavaid seadmeid ja tarkvaraversioone palju. Tootja on haavatavad seadmed ja nende versioonid koos paikadega välja toonud järgneval veebileheküljel: https://www.dahuasecurity.com/support/cybersecurity/details/957

Vastumeetmed

Haavatavate seadmete haldajatel tuleb lähtuda tootjapoolsest informatsioonist ja uuendada seadmete tarkvara. Tootja juhendi, kuidas Dahua seadme mudelit ja versiooni tuvastada, leiate siit. Samuti tuleks lisaks seadmete uuendamisele piirata haldusliidese kättesaadavust, rakendades IP-põhist piirangut (nt ACL reeglitega) või kasutades VPNi. 

RIA nõuanded:

  1. Veenduda, et haldusliidese kasutajad ei kasutaks nõrku, korduvkasutatavaid või vaikimisi tootja poolt seatud paroole. Kuigi parooli tugevus ei aita siin ohuhinnangus mainitud konkreetsete turvanõrkuste vastu, kompromiteeritakse sageli videovalvekaameraid ja teisi IoT-seadmeid just seetõttu, et haldusliidese kasutajad kasutavad nõrku, korduvkasutatavaid või vaikimisi seatud paroole, mida on ründajal kerge ära arvata. 
  2. Võimalusel luua kaamera haldamiseks unikaalse kasutajanime ja tugeva parooliga uus kasutaja ning deaktiveerida vaikimisi seatud administraatori konto. See vähendab tõenäosust, et jõurünnete jooksul kasutatavad levinud kasutajatunnused (nt. admin/admin, administrator/admin) toimiksid. 
  3. Soovitame kaaluda võrgu segmenteerimist, kui see on võimalik ja seda ei ole juba tehtud. Selle meetme abil vähendatakse riski, et kaamera/kaamerate kompromiteerimise korral oleks ründajal potentsiaalselt võimalik mõjutada ka teisi seadmeid.
  4. Võimalusel rakendada kaamerale/kaameratele automaatne uuendamine. Kui see ei ole võimalik, siis tuleks luua kindel uuendamisprotseduur (vähemalt kord kuus veenduda, kas tootja on väljastanud uuendusi – kui jah, siis need installeerida).
  5. Teatud juhtudel võib intsident põhjustada isikuandmetega seotud rikkumise. Sel puhul tuleb sellest teavitada ka Andmekaitse Inspektsiooni (täpsem infomatsioon siit). Isikuandmetega seotud rikkumine tähendab andmete ebaseaduslikku või juhuslikku hävimist, kättesaamatuks muutumist või lubamatut juurdepääsu ja avalikuks saamist. 
  6. Intsidendi kahtluse korral soovitame ühendust võtta CERT-EE-ga, kirjutades nende meiliaadressile cert@cert.ee
  7. Soovitame tutvuda ka Andmekaitse Inspektsiooni teabelehega, mis käsitleb nõudeid videovalve korraldajale.

[1] https://duo.com/decipher/mirai-based-botnet-infects-vulnerable-surveillance-cameras

[2] https://firedome.io/blog/smart-camera-manufacturer-recall-mirai-iot-malware-attack/

[3] https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/

[4] https://dataprot.net/statistics/iot-statistics/

[5] https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/

[6] https://dataprot.net/statistics/iot-statistics/