Tag Archives: viirus

WordPressis on leitud sügav turvaauk

Soome infoturbesait klikki.fi avaldas novembri alguses teate, et veebiportaali tarkvaras WordPress on leitud sügav turvaauk. Kuid nagu sääraste leidude puhul ikka, koodikirjutajatele tuleb anda aega augu parandamiseks. 20. novembril tuli klikki.fi välja juba uue teatega, mis sisaldas augu tehnilisi üksikasju. Paik oli valmis, iga veebisaidi haldaja, kes WordPressi kasutas, on saanud selle alla laadida ja oma saidis koleda turvaaugu ära lappida.

Koleda turvaaugu rahvakeelse selgituse leiab siit:
http://www.theregister.co.uk/2014/11/24/worst_wordpress_hole_for_five_years_affects_86_of_sites/. Lühikokkuvõte: WordPressil on kaks turvakala korraga. Neli aastat on olnud auklikud kõik versioonid alates 3.0 kuni 3.9.2 ja siis on värske (kuid veidi teistsugune) auk ka versioonis 4.0. Ehk siis, kui kodanik või firma peab WordPressi saiti ning pole selle tarkvara uuendanud alates 20. novembrist, siis on tal suur probleem.

Uuendamisega on keerulised lood. Kõigepealt pole osad WordPressi haldurid – minukutsu-ja-kiisu tüüpi saitide pidajad veel arugi saanud, et midagi on valesti. Mõnel on automaatne uuendamine aga üldse ära keelatud (põhjusi sedasi toimimiseks leiab ikka). Kõige omapärasem variant tekib siis, kui külastajaid nii vähe (st polegi), sest juhul kui konkreetset WordPressi ei külastata, siis sait ennast ise uuendama ei hakkagi.

Lõpuks, nagu see viimasel ajal ikka juhtub, niipea kui saabub teade turvaaugust, kirjutavad küberkurjamid kohe ka auku ärakasutava ussi. Nii ka seekord. Ussi nimi on CryptoPHP, selle avastas hollandi firma Fox-IT ning maailmas on väga suur kogus WordPresse juba üle võetud. On kahtlus, et CryptoPHP pole sugugi ainuke WordPresse jahtiv viirus. Ning kui viirus juba sees, siis on augu ravi juba keerulisem.

CERT-EE hindab, et Eestis võib olla augu või seda ärakasutava ussiga pihta saanud kuni paarsada WordPressi installatsiooni (esimesed kümned on juba teada). Osad neist WordPressidest on parandatud, paljudes aga pole nakkust isegi mitte veel avastatud.

Kokkuvõttes: WordPressi omanik või haldur, kui Sa pole viimase nädala jooksul oma veebisaidi eest tõsiselt hoolitsenud, siis tee seda KOHE, muidu võib-olla ongi juba hilja!

Tehnikutele sobib arusaamiseks eelkõige FoxIT poolt väljastatud ingliskeelne PDF dokument: https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf.

Kes on OLAF?

Anto Veldre, CERT-EE infoturbe ekspert kirjutab järjekordsest pahavaralainest, mis sihtis hoolsaid raamatupidajaid.

Kes on Olaf? Kui te nii küsite, siis esimesena tuleb meelde “Hukkunud alpinisti hotell” ja Olaf Andvarafors. Aga ei, selles loos on OLAF hoopis European Anti-Fraud Office.

Meenub õngitsusrünnak detsembrist 2012. Täiesti tavalistele inimestele saadeti võltsitud e-kirju, mis näisid pärinevat teenusepakkujalt, pangast või kusagilt veel. E-kirjas väideti, et kodanikul olla viimase arve maksmisega või pangalaenuga miskit väga sandisti. Kui sa ise tegelikult täpselt tead, et sul on rahaasjad perfektses korras, siis teeb ikka viha küll! Mille peale enamik ohvreid põrgatas saadud manuse (mõningase sõimu saatel) “saatjale” tagasi – koos ettepanekuga uurida, et mis teil seal õige toimub!

Firmad said sääraseid “tagastusi” päris mitu. Kui sedavõrd kange süüdistus seljas, siis loomulikult uurib saaja “tagastatud” faili sisu igakülgselt, ainult et selleks hetkeks võib tema arvuti juba olla nakatunud… olenevalt kas manusel klikiti ja kui sügavalt. Rünnak polnudki suunatud üksiku eraisiku vastu, vaid mõeldud hoopis kontoriarvutitesse jõudmiseks. Ups! Kes oskas oodata, et nool teeb lennates vigursõitu ja pöörab vajadusel ka nurga taha! Ning kes oskas arvata, et emotsionaalselt käituv eraisik on kellegi plaanidesse juba sisse kirjutatud.

Andmete varastamise illustratsioon

Aga jah. OLAFist. OLAF on see Euroopa agentuur, mis uurib euroraha kuritarvitusi. Teisisõnu, kui raamatupidaja saab OLAFist süüdistava kirja, siis on asi ikka juba täitsa karauul ja põhjust muretsemiseks küllaga. Ning leidke täna mõnest riigiametist mõni raamatupidaja, kelle käsi poleks euroraha puudutanud!

Ehk siis – keegi küberkriminaal märkas ära, et seltskond raamatupidajaid kardab euroraha kuritarvitusi rohkem kui töökoha kaotust ning saatis neile Wordi formaadis süüdistuskirja – et näe, teil on avastatud kuritarvitus ja nüüd tuleb europapp tagasi maksta.

Kui tavaolukorras tuleks ootamatult saabunud fail kontrollimiseks kuhugi üles laadida, näiteks aadressil www.virustotal.com, siis konfidentsiaalsete finantsdokumentidega on asi pisut keerulisem. Laadid säherduse dokumendi kontrolliks üles ning juba järgmisel päeval on 48 viirustõrjefirmat sinu rahaasjadega kursis 😉 Ei, nii ka ei sobi.

Omavahel öeldes, üks šanss anti raamatupidajale saatuse poolt siiski veel. See oli hetk, kui Wordi dokumenti avades paistis seal vaid üks rida ning ekraanile ilmus lätakas küsimusega – fail sisaldab makrosid, kas aktiveerime makrod?

RIA kontoris paiknev potentsiaalne ohver selle nähtuse peale ei ehmatanud, vaid helistas asjatundjatele – täpselt nii nagu oli koolitustel õpetatud. See töötaja ei vajutanud “lubame makrod” nupule nagu kurjam lootis, vaid olukord tuli talle koolituselt täiesti tuttav ette. Aga OLAFi logo, nagu ta ütles, hiilgas ja säras nagu päris 🙂 Kuniks turvahoiatust koostasime ja laiali saatsime, saabus info, et mõni üksik raamatupidaja ikka lasi makro käima küll ning eks nad siis said … endale tööarvutisse … Zeusi nime kandva pangatroojalase.

Ent mis siis ikkagi on Zeus? Mingis mõttes on ta klassikaline pangatrooja, mis korjab kokku kasutaja paroolid ja saadab need kurikaelale ärakuritarvitamiseks. Zeus luurab ka kasutaja edasiste tegevuste järel … kuidas oleks näiteks suurematesse pangaülekannetesse sekkumisega? Põhimure paikneb sealkandis, et Zeusi avastamise protsent on aastaid püsinud 38–40% tasemel. Teisisõnu, kui teile e-kirja manusega saabub Zeus, siis viirustõrje tunneb selle ära vaid 4 juhul 10’st.

Järgmisel päeval tähtsamad viirustõrjed küll juba märkasid e-kirjas Zeusi, kuid mis kasu sellest enam, kui teie arvuti on juba nakatunud, viirustõrje tooli külge seotud ning talle kaltsutropp suhu topitud.

Kui nüüd küsite, et kas oligi Eesti vastu sihitud rünnak siis peame teid kahjuks kurvastama. Samal ajal ning samas formaadis kirju said paljud raamatupidajad üle terve Euroopa Liidu. Pole kindel, kas kõigi nakatunute arvutid on juba Zeus’ist puhtaks roogitud või veel mitte. Eesti riigisektor sai puhtaks kiiresti … peaaegu polnudki, mida puhastada.

Kindlasti ei tohiks öelda, et meil “vedas”. See polnud vedamine. See on koolitus ja pidev ennetustöö, mis ütles raamatupidaja käele STOPP! just sel hetkel kui Zeusi paigaldamiseni jäänud vaid üks klikk. Haned päästsid Rooma, kuid turvakoolitatud kontoritöötajad tegid selle nakatuskampaania ärahaldamise Eesti riigis ikka kordades lihtsamaks.

Aitäh neile!

Mis sellistel puhkudel aitaks?

  1. Enne mõtle ja alles siis kliki.
  2. Ära häbene IT-osakonnast nõu küsida!
  3. Küsi kirja saatjalt üle – kas ikka tõesti sina saatsid selle?!