Language switcher

Sa oled siin

Trendid ja tähelepanekud küberruumis – III kvartal 2021

Confluence'i turvaaugu kaudu rünnati Eesti riigiasutuste siseveebe

Olukord

25. augustil teatas tarkvaratootja Atlassian, et nende Confluence Server ja Data Center tarkvarades on kriitiline haavatavus (CVE-2021-26084) ja palus klientidel neid uuendada. Confluence on populaarne wiki-tarkvara, mis on Eestis kasutusel nii avalikus kui erasektoris. Sageli on sellele rajatud ettevõtete ja asutuste siseveebid.

Avaldatud turvanõrkuse abil saab autentimata kasutaja tungida ettevõtte või asutuse Confluence'i, seal andmeid muuta, lisada, kustutada ja/või kopeerida. Lisaks on selle kaudu võimalik paigaldada ohvri süsteemidesse pahatahtlik kood, mille abil kaevandada krüptoraha või luua tagauks, et selle kaudu hiljem naasta ja viia läbi uusi rünnakuid. Atlassian hindas nende haavatavuste ohtlikkust kümnesel skaalal maksimumilähedase 9,8-ga.

Nagu ikka sellistel puhkudel, asusid mitmed küberrühmitused ja üksiküritajad pärast haavatavuse avalikustamist otsima internetist servereid, mis kasutavad Confluence'i aegunud ehk rünnakule haavatavaid versioone. Neid leiti ka Eestist – ründajad tungisid muuhulgas kolme Eesti riigiasutuse Confluence'i keskkonda.

RIA hinnang

Selles, et tarkvaras leitakse uusi ja ohtlikke turvaauke, pole midagi uut. Kuid aeg haavatavuste avalikustamiste ja nende põhjal sooritatud rünnakute vahel jääb aina lühemaks. 3. septembril teatas küberturbe-ettevõte Bad Packets, et on tuvastanud Confluence'i turvanõrkuse skaneerimist ja kuritarvitamist Venemaal, Hongkongis, Brasiilias, Nepalis, Poolas, Rumeenias, Eestis, USAs ja Itaalias.

Kui ründajad muutuvad kiiremaks, peavad sama tegema ka kaitsjad. Paraku tuvastasime poolteist nädalat pärast turvaparanduste avaldamist Eesti küberruumist hulga servereid, kus jooksis endiselt Confluence'i vana ehk rünnakutele avatud versioon. Kriitilised turvauuendused tuleb paigaldada esimesel võimalusel, sest iga viivitatud minut suurendab tõenäosust, et ründaja jõuab kaitsjast ette. Seetõttu tuleks CERT-EE vastavatele teavitustele ja hoiatustele alati esimesel võimalusel reageerida.

Teise soovitusena tasub kaaluda, kas ettevõtte või asutuse siseteenused nagu Confluence'ile rajatud siseveeb ikka peab olema kättesaadav avalikus internetis või võiks juurdepääs olla vaid asutuse sisevõrgust, kuhu pääseb läbi turvalise VPNi.

Tänu ründajate varasele avastamisele pääsesid Eesti riigiasutused sel korral suuremate kahjudeta, kuid ülal toodud soovitusi järgides oleks need rünnakud suure tõenäosusega jäänud toimumata.

Taakvara on valupunkt nii avalikus kui ka erasektoris

Olukord

Lõppenud suvel andsid Eesti küberruumile tooni kaks tähelepanuväärset intsidenti RIA teenustes. Esimene nendest oli pääsuõiguste haldussüsteemi (AAR) juhtum. Ilmnes, et riigiportaali ettevõtja lehel (sisselogitud versioonis) oli AARi iseteeninduskeskkonnas avalikult nähtav andmebaas 336 733 andmereaga, kus oli inimese ees- ja perekonnanimi, isikukood, seos ettevõtte/asutusega ja tema ametikoht.

Nimelt oli pääsuõiguste haldussüsteem juba aastaid tagasi ehitatud nii, et volitatud isikute andmed on nähtaval ka teistele volitatud isikutele. Toona ei olnud ühiskondlik vaade ja lähenemine andmekaitsele ning privaatsusele selline nagu täna. Seega oli tagumine aeg ammu loodud süsteem ajakohastada.

Teine tõsine õppetund saabus RIA-le vaid mõni nädal hiljem, kui CERT-EE tuvastas, et isikut tõendavate dokumentide andmekogust on ebaseaduslikult alla laetud 286 438 isikut tõendava dokumendi fotot. Ründajale tekkis andmebaas, kus sai siduda isiku nime, isikukoodi ja foto. Fotosid võimaldas alla laadida turvanõrkus nn pilditeenuses, mis kontrollis puudulikult ründaja loodud sertifikaadi päritolu.

RIA Hinnang

Hoolimata ajastusest ja sarnastest suurusjärkudest, ei ole nende kahe juhtumi vahel otsest seost. Kaudselt osutavad mõlemad intsidendid aga samale valupunktile – vananenud süsteemid ehk taakvara. Nimelt on nii pääsuõiguste haldussüsteem AAR kui ka pilditeenus osad RIA nn legacy'st.

Legacy ehk taakvara on süsteem, tehnoloogia või tarkvara, mis endiselt töötab, kuid on tegelikult vananenud ning muutub ajaga järjest rohkem haavatavaks. Näiteks ei pruugi kümme aastat tagasi arendatud süsteemi tänastel omanikel olla täielikku arusaama selle ülesehitusest ja funktsioonidest. Organisatsioonid muutuvad ajas, inimesed vahetuvad ning pahatihti ei ole kunagi kasutusele võetud lahendused ka korrektselt dokumenteeritud. Seetõttu pole sageli täpselt teada, millise doominoefekti võib ühe osa uuendamine kuskil süsteemi teises otsas kaasa tuua.

Vanu süsteeme on kasutusel nii avalikus kui ka erasektoris. See on paljuski mõistetav – taakvarast loobumine on kulukas, ajamahukas ning võib kaasa tuua ka harjumuspäraste funktsionaalsuste muutuse. Millest siis alustada? Esimene samm võiks olla oma asutuse või ettevõtte taakvara tundma õppimine. Nii tekib arusaam, mis seisus süsteem on, mis funktsioone see üldse pakub (võib-olla ei olegi kõik enam vajalikud) ja millised on kriitilised kohad. Nii tekib ka teadmine, milliste riskidega tuleb esmajoones tegeleda ning milliseid tuleb teadlikult aktsepteerida. Ka uue süsteemi välja arendamise jaoks on hea lähtekoht vana süsteemi ja selle nõrkuste põhjalik tundmine.

Igal juhul on vajalik, et asutus või ettevõte teaks, mis seisus on selle IT-vundament. Targem on oma taakvara tundma õppida ning tuvastada selle tugevused ja nõrkused, enne kui keegi neid pahatahtlikult ära kasutab. Nii on tehtud ka samm legacy'st loobumise suunal.

Krüptorahaga seotud petuskeemid tõusuteel

Olukord

Lõppenud kvartalis saime mitmeid teateid eraisikutelt, kellelt prooviti raha välja petta erinevate krüptorahadega seotud skeemidega. Nende hulgas oli ka kaks tõsisemat juhtumit: ühel juhul jäi ohver ilma ligi 16 000 eurost, teisel juhul 10 000 eurost. Mõlemal juhul veensid petturid inimest tegema tehinguid krüptorahadega kauplemise platvormil, kust aga raha hiljem välja võtta ei õnnestunud.

Petturitega suhtluseni jõutakse erinevaid teid pidi: mõnel juhul algab see telefonikõnest, kus pakutakse tulusat investeerimisvõimalust, mõnel juhul langeb inimene sotsiaalmeedias libareklaami ohvriks. Ühe eelnimetatud suurt kahju põhjustanud juhtumi puhul oli petuskeem selline, et ohver tutvus Facebook Dating keskkonnas välismaalasega, kes suhtluse arenedes pakkus võimalust enda näpunäidete järgi krüptorahasse investeerides raha teenida.

Septembris nägime ka õngitsuskirjade lainet, kus adressaadid said meili teatega, et tema “bitcoini saldol” on teatud summa raha, mille kätte saamiseks tuleb oma konto “kinnitada”. Õngitsuse eesmärk oli saada kätte inimese tegeliku pangakonto andmed. Oli ka juhtumeid, kus petturid väitsid inimesel olevat kunagi tehtud väga tulus investeering krüptorahasse, mille kätte saamiseks tuleb maksta vahendustasu või teha samas suurusjärgus ülekanne oma tavapangakontolt.

RIA hinnang

Eraisikute vastu suunatud finantspettused on Eestis tõsine ja kasvav probleem. Panku imiteerivate petukõnede kõrval on viimastel kuudel sagenenud ka krüptorahadega seotud petuskeemid ning prognoosime, et nende osakaal jätkab tõusu ka edaspidi. Sellele loob soodsa fooni asjaolu, et krüptorahadega seonduv regulatsioon on alles kujunemas ning krüptorahade liikumist on õiguskaitseorganitel väga keeruline jälgida. Petturite kasuks töötab ka asjaolu, et kõige tuntuma krüptovaluuta, bitcoini väärtus on viimase aasta jooksul mitmekordistunud – seega on inimesed altid neid teenimisvõimalusi uskuma.

Mida siis teha, et ennast pettuste eest kaitsta? Tuleb olla äärmiselt umbusklik mistahes telefoni teel või sotsiaalmeedias võõraste inimeste pakutavate investeerimisvõimaluste suhtes, mitte alluda mõjutustele (nt fiktiivsed lehed, mis justkui tõestavad suurt tootlust, ja surve teha otsus võimalikult kiiresti) ega ähvardustele (kui te kohe juurde ei maksa, jääte kogu rahast ilma). Taustauuring tuleks teha niikuinii, ent ka see ei pruugi täpseid tulemusi anda, kuna võltskeskkondi luuakse ja suletakse pidevalt. Petturite sihikule võib sattuda meist igaüks ning parim rohi selle vastu on teadlikkus, seega rääkige ülal kirjeldatud petuskeemidest ka oma pereliikmete ja eakamate sugulastega.

Ööpäev Eesti küberruumis: nakatumised, rünnakud ja haavatavused

Juba aastaid koostab CERT-EE igapäevast kübervaldkonna uudiskirja, mis sisaldab kokkuvõtet avalikes allikates ilmuvatest küber- ja IT-uudistest. Uudiskirjas on viiteid nii Eesti kui ka rahvusvahelises meedias ilmunud uudistele.

Selle aasta septembrist alates oleme samas uudiskirjas teinud lühikese kokkuvõtte ka olukorrast Eesti küberruumis. Räägime lühidalt lahti, mida need numbrid tähendavad.

Näidis

Ööpäev Eesti küberruumis

Ülevaate tekstSelgitus
CERT-EE tuvastas ööpäevaga XXX pahavaraga nakatunud veebilehte ja serverit, mille kaudu üritati Eesti internetikasutajate seadmeid rünnata ja nakatada.Selliseid veebilehti ja servereid avastab CERT-EE oma igapäevase küberruumi seire käigus. Sel sügisel on tegu üldjuhul Mirai nimelise pahavaraga. Jagame nimetatud teavet interneti teenusepakkujatele, veebilehtede majutajatele või erinevatele viirusetõrjetarkvara tootjatele, kellel on võimekus neid ründeid vahetult tõrjuda.
Seire käigus tuvastati ka XXX pahavaraga nakatunud seadet ning nendest teavitati internetiteenuse pakkujaid.Need pahavaraga nakatunud seadmed on avastatud meie rahvusvaheliste partnerite (eraettevõtted, uurimisasutused ja valdkonnaspetsiifilised mittetulundusühingud) poolt, kes skaneerivad kogu internetti pahavara ja turvanõrkuste osas. Edastame info automaatselt võrkude omanikele (näiteks internetiteenuse pakkujale või ettevõtetele). CERT-EE ei kontrolli automaatseire käigus kogutud teavet ise eraldi üle, vaid edastab partneritelt saadud andmed nii, nagu need meieni jõuavad.
Eesti veebilehtede ja teenuste vastu sooritati XXX teenustõkestusrünnakut (DDoS). Üldjuhul oli nende mõju teenustele ja inimestele väike.Suurema mõjuga DDoS rünnakutest annavad meile teada need asutused, kelle teenuseid need rünnakud on mõjutanud. Väiksema mõjuga DDoSidest (näiteks arvutimängurite omavahelisi rünnakukatsed) jääb aga märk maha meie rahvusvaheliste partnerite süsteemidesse, kes meile neist teada annavad.
Lisaks sai meeskond teavituse XXX õngitsuslehe kohta, mille abil prooviti inimeste andmeid koguda.Õngitsuslehtedest antakse CERT-EE-le otse märku, kui keegi kogemata satub leheküljele. CERT-EE meeskond võtab seejärel võimalikult kiiresti ühendust lehekülje majutajaga, et õngitsusleht eemaldada. Samuti edastab CERT-EE õngitsuslehede infot erinevatele koostööpartneritele (teiste riikide CERTid, küberkogukonna teavituskeskkonnad jne). Suurematest õngitsuskampaaniatest anname märku ka CERT-EE Twitteris ja RIA Facebooki leheküljel.

Kirja lõpus on sageli kirjeldatud mõni suurema mõjuga intsident, mis on seotud petuskeemide, kompromiteerimise, lunavara või muu pahavaraga. Uudiskirjaga liitumiseks tuleb saata e-kiri teemaga „Subscribe“ aadressile certnews[@]cert.ee.

 

Läheb hästi

TalTech hakkab Startup Estonia toel tegema projekti „Naised küberturbes – eeskujud tüdrukutele“, mille eesmärk on julgustada rohkem tüdrukuid ja naisi tegutsema IT- ja küberturbe valdkonnas. Projekti raames tutvustatakse inspireerivaid naisi, kes täna selles vallas tegutsevad, luuakse koolidele vajalikud õppematerjalid ning edendatakse kogukondlikku suhtlust. Projekti kohta saab lähemalt lugeda lehelt facebook.com/cybertomorrow.

Saaks paremini

Oleme juba enam kui kaks aastat saatnud telekommunikatsiooniettevõtetele, veebiteenuste majutajatele ja oma võrke haldavatele asutustele andmeid selle kohta, kui palju nakatumisi või haavatavusi nende võrkudes on. Peame taaskord nentima, et sealt edasi lõppkasutajateni need teavitused ei jõua. Kui kahtlustad, et sinuni ei ole jõudnud olulist informatsiooni haavatavuste ja nakatumiste kohta, soovitame oma interneti teenusepakkujalt eraldi üle küsida.

 

Trendid ja tähelepanekud küberruumis – III kvartal 2021 failina (1.9 MB, PDF)

Veel uudiseid samal teemal

22.10.2021

Olukord küberruumis – september 2021

Septembris registreerisime 190 mõjuga intsidenti, mis on selle aasta kõrgeim näitaja. Sellele lisanduvad automaatseirest tuvastatud intsidendid.

06.10.2021

MKM: Riik võtab uuel aastal ette digiriigi taakvara probleemi

6.10.2021 – Ettevõtlus- ja infotehnoloogiaminister Andres Suti sõnul keskendub riik järgmisel aastal riigi oluliste infosüsteemide uuendamisele ja ülalhoiu tagamisele, et vähendada küberturbe riske ja tagada digiriigi jätkusuutlikkus. Selleks eraldati 2022. aasta riigieelarvest täiendavad 14,4 miljonit eurot.