Language switcher

Sa oled siin

Trendid ja tähelepanekud küberruumis – IV kvartal 2021

Aasta suurim turvanõrkus mõjutab sadu miljoneid süsteeme

Olukord

9. detsembril avalikustati Java programmeerimiskeele logimisfunktsioonis tuvastatud kriitiline turvanõrkus, mida tähistatakse märksõnaga Log4j või Log4Shell haavatavus. Kiiresti sai selgeks, et tegemist on aasta olulisima turvanõrkusega: nimetatud logimisfunktsioon on väga laialt kasutusel seadmetes ja tarkvaratoodetes üle maailma ning haavatavuse ära kasutamine on suhteliselt lihtne, võimaldades teatud tingimuste kokku langemisel ründajal hõlpsasti infosüsteemi sisse pääseda. Ehkki erinevad tarkvaratootjad ja -arendajad reageerisid kohe ja hakkasid välja töötama vajalikke turvapaikasid ja uuendusi, on nimekiri mõjutatud toodetest ja seadmetest sedavõrd pikk, et see protsess kestab siiani. Samuti on töö käigus selgunud mitmeid täiendavaid turvanõrkusi, millega samuti paralleelselt tegeleda tuleb.

RIA hinnang

Nii nagu mujal maailmas, läks ka siinsetel IT- ja infoturbespetsialistidel pärast uudise avalikuks tulemist väga kiireks: esmalt tuli tuvastada, millised kasutatavad tooted ja teenused on haavatavusest mõjutatud, milliste puhul on risk kõige suurem, milliste jaoks on juba turvapaigad saadaval või lähiajal tulemas ning hakata siis neid järgemööda rakendama. Sama tegi ka RIA enda hallatavate teenuste puhul ning sarnaselt teiste IT-majadega olime olukorras, kus tavapärasele tööle lisaks tuli kulutada kümneid ja kümneid töötunde log4j turvanõrkuse lappimiseks, kusjuures juhtus ka seda, et alles paar päeva tagasi uuendatud tarkvara osutus täna juba taas aegunuks.

Milliseid tagajärgi on turvanõrkus seni kaasa toonud? Kohe pärast avalikustamist hakkasid kurjategijad aktiivselt küberruumi seirama leidmaks haavatavaid süsteeme; sama nägi CERT-EE oma tööriistade abil ka Eestis. Detsembris saime teateid esimestest kohalikest ohvritest, kelle süsteem on turvanõrkuse kaudu kompromiteeritud ning mõnel juhul paigaldatud pahavara, mis tegeleb krüptoraha kaevandamisega. Mujalt maailmast on lisaks krüptokaevandamisele teada juhtumeid, kus haavatavust kasutati lunavararünnakute ette valmistamiseks. Samuti on rahvusvahelise meedia andmetel mõned riiklikud ohustajad (eelkõige Hiina ja Iraaniga seotud grupeeringud) üritanud kasutada turvanõrkust luuretegevuse eesmärgil.

Massilistest rünnakutest log4j turvanõrkuse kaudu seni teateid ei ole. See vaikus võib olla aga petlik ja esialgsele lainele, kus kurjategijate eesmärk oli eelkõige haavatavate süsteemide leidmine ja nendesse võimalusel ligipääsu tekitamine, järgnevad suure tõenäosusega uued lained tõsisemate rünnetega. Esimeses laines saadud ligipääse analüüsitakse, võimalusel laiendatakse ja müüakse edasi ning on väga tõenäoline, et selle turvanõrkuse tagajärgedest on põhjust rääkida veel kuude ja isegi aastate pärast.

Mida siis teha, et ennast kaitsta? Tavakasutaja jaoks on esmane soovitus veenduda, et seadmetes kasutatav tarkvara on uuendatud viimasele versioonile. Ettevõtete ja asutuste töötajad saavad pöörduda oma infoturbe eest vastutavate inimeste poole uurimaks, milliseid samme on astutud selle turvanõrkusega kaasneva riski vähendamiseks. Ehkki uuendused tasub teha igal juhul, on konkreetsel juhul ohustatud ennekõike need süsteemid ja teenused, mis on internetile avatud. Kui on kahtlus, et infosüsteem on kompromiteeritud, palume teavitada CERT-EE-d.

Töö valimiste küberturvalisusega kandis vilja

Olukord

Läinud aasta viimases kvartalis – 11.–17. oktoobril – toimusid kohalike omavalitsuste volikogude valimised. Tavapäraselt sai hääletada nii pabersedeliga jaoskonnas kui ka elektrooniliselt. Ent siiski erinesid need valimised varasematest, sest valijate nimekirjad jaoskonnas olid esimest korda elektroonilised, mitte paberil. See tähendab, et jaoskonna töötaja kontrollis valija hääleõigust oma arvutist valimiste infosüsteemist (VIS3). Nii tekkis valijal võimalus hääletada ükskõik millises oma kodukohas avatud valimisjaoskonnas, mitte ainult oma elukohajärgses jaoskonnas.

Küberturvalisuse vaatest lisas paberilt elektrooniliseks minemine mõistagi uusi väljakutseid. Lisaks e-valimistele oli nüüd vaja tähelepanu pöörata ka näiteks jaoskonna töötajate arvutitele (ca 1000 tk), turvalisele võrguühendusele, arvutikasutajate küberhügieenile, valimiste infosüsteemile.

RIA hinnang

Valimistega seotud küberintsidente oli üksikuid, millest vaid üks mõjutas valimiste läbiviimist märkimisväärselt. See oli valimiste eelviimasel päeval 16. oktoobril, mil suur hulk jaoskondade töötajatest ei pääsenud umbes 40 minuti jooksul ligi valimiste infosüsteemile. Põhjuseks oli riiklikule autentimisteenusele TARA seatud kaitse, mis ei luba ühe IP-aadressi pealt teha liiga palju päringuid, et vältida võimalikke teenusetõkestusründeid (DDoS). Nimelt hakkasid jaoskonna töötajad enne jaoskondade avanemist (kell 12.00) valimiste infosüsteemi sisse logima, mille jaoks on vaja end TARA kaudu autentida. Kui samal ajal hakkas jaoskonna IP-aadressi pealt TARA suunas nii palju päringuid tulema, siis pidas DDoS kaitse seda kahtlaseks ning tõkestas kõik autentimiskatsed sellelt aadressilt.

Probleemi ilmnedes võttis CERT-EE asjakohastelt IP-aadressidelt piirangud maha ning töö sai jätkuda.

Jaoskonna töötajad kasutasid infosüsteemi tõrgete ajal nn ümbrikusse hääletamise meetodit. See tähendab, et valija pani oma hääletamissedeli ühte anonüümsesse ümbrikusse, mis omakorda läks teise ümbrikusse, kus peal olid kirjas valija andmed. Valimiste infosüsteemi töö taastudes sisestati välise ümbriku peal olevad valija andmed valimiste infosüsteemi ning sisemine ümbrik pandi hääletamiskasti. Nii mõjutas intsident valimisi ainult selle läbiviijate vaatest, mitte valijate jaoks. Samuti ei mõjutanud juhtum häälte konfidentsiaalsust ega valimistulemust.

Valimisnädala alguses tekkisid ka mõned funktsionaalsuse probleemid (nt vale kellaaeg valijarakenduses), ent need ei mõjutanud kuidagi valimiste küberturvalisust. Samas tuli need kiirelt lahendada, sest paratamatult võivad taolised apsakad mõjutada valimiste mainet ja usaldusväärsust.

Üldiselt töötas e-hääletuse tarkvara just nii, nagu ette nähtud. Sealjuures olid süsteemis kohe näha katsed hääletamise või häältega manipuleerida. Taolisi katseid tehti ühel korral – 14. oktoobril –, kui üks valijarakenduse kasutaja tegi kaks katset modifitseerida valijarakendusest häälte kogujasse saadetavaid andmeid. Katsed ebaõnnestusid ning kahtlane tegevus oli ka CERT-EE-le vahetult nähtav.

Muud valimistele suunatud pahatahtlikku tegevust me küberuumis ei tuvastanud. Ka valimistega otseselt mitteseotud intsidente raporteeriti CERT-EE-le tavapärases mahus. Leiame, et valimiste eel ja ajal tehtud töö küberturvalisuse tagamiseks kandis vilja. Töö aga jätkub, sest järgmisel aastal on tulemas riigikogu valimised ning seekordse kogemuse põhjal teame, millele siis veelgi rohkem tähelepanu pöörata.

Ummistusründed koolide ja õppekeskkondade vastu on hüppeliselt suurenenud

Olukord

Koos septembris alanud õppeaastaga kasvas järsult haridusasutuste ja õppeinfosüsteemide vastu suunatud teenusetõkestusrünnete (DDoS) hulk. Rünnati üldhariduskoole, kutseõppeasutusi ja ülikoole, lisaks neile e-õppe keskkondi Tahvel ning Moodle.

Kui jaanuarist augustini moodustasid haridusasutuste ja -teenuste vastu suunatud ummistusründed kolmandiku kõigist mõjuga teenusetõkestusrünnetest, siis septembrist aasta lõpuni oli nende osakaal juba üle 70 protsendi. Rünnakud kestsid mõnest minutist paari tunnini, kasutati erinevaid ründeliike: näiteks DNS võimendusrünnet, TCP SYN floodi ning DDoS L7 rünnakuid.

Osade rünnakute ajal oli lisaks sihtmärgiks valitud koolile või õppekeskkonnale häiritud ka teiste Haridus- ja Noorteameti (HARNO) taristut kasutavate teenuste ning asutuste töö. Mõnel juhul polnud teenused kättesaadavad; mõnel juhul need küll toimisid, kuid tavapärasest aeglasemalt. Oli ka mõjuta rünnakuid, mille toimumist kooli töötajad ega õpilased ei märganud.

RIA hinnang

Rünnete toimumisaegu analüüsides tõuseb esile läbiv muster – reeglina sooritati need tööpäeviti päevasel ajal. Nädalavahetusteks ja koolivaheaegadeks need kaovad, et naasta koos õppetöö algusega. RIA hinnangul võib rünnete sooritajate ja/või tellijatena kahtlustada õpilasi või tudengeid, kelle eesmärk on häirida kooli(de) või õppekeskkondade tööd. Teiste asutuste ja teenuste töö häirimine on tõenäoliselt soovimatu, kuid ohtlik kõrvalmõju.

Tõenäoliselt tellitakse taolisi rünnakuid mõnest veebifoorumist, kus nakatunud seadmed robotvõrgustikku koondanud kurjategijad vastavat teenust müüvad.

Sageli on koolidel, eriti väiksematel koolidel, keeruline end ummistusrünnete eest kaitsta. See nõuab spetsiifilisi teadmisi, oskuseid ja raha. Ühe võimalusena võiksid koolid kaaluda liitumist riigivõrguga, mis pakub oma klientidele DDoS-kaitset. Selleks, et uurida riigivõrguga liitumise võimalusi, tasuks koolil pöörduda kohaliku omavalitsuse poole.

Eesti inimeste küberhügieeni harjumused paranevad jõudsalt

Aasta tagasi rõõmustasime, et Statistikaameti läbi viidud küsitluse tulemustest selgus, et Eesti inimeste küberhügieeni harjumused on vaikselt paranenud. Oktoobris saime kätte ka 2021. aasta andmed ja paistab, et positiivne trend jätkub.

Kõige enam teeb head meelt, et just paroolide tugevuse küsimus on paranenud kõikides vanuserühmades. Nimelt nägime juba 2018. aastal, et näiteks eri paroolide kasutamine eri keskkondades on vanemaealiste hulgas üsna madalal tasemel. Seetõttu oleme kõikides oma kampaaniates paroolide tugevust eraldi rõhutanud.

Kuid ka teistes valdkondades on olukord tasapisi paranenud. Kõikide meie poolt nimetatud küberturvalisuse praktikate kõrval vastas „ei ole teinud ühtegi neist“ 2021. aastal 11,3% vastajatest, mis on 1,7% madalam näitaja võrreldes 2019. aastaga. Muutus võib küll paista väike, kuid just see on see vastusevariant, mida meie näeme avalikkuse üldise küberturvalisuse taseme olulise näitajana. Soovime selle vastusevariandi valinute osakaalu viia veelgi madalamaks.  

Kaks näitajat

Paroolide tugevamaks tegemine või eri paroolide kasutamine (sh miinimumnõuetest pikemad ja keerulisemad paroolid, regulaarne muutmine vms)

Vanuserühm20192021Muutus
16–2482,587,14,6
25–3477.280,73,5
35–4472,374,92,6
45–5458,165,77,6
55–6447,254,57,3
65–7433,142,19
Kokku64,168,94,8

Täiskasvanute tegevused leibkonnas kaitsmaks alla 16-aastaseid lapsi võimalike ohtude eest küberruumis, 2019–2021

Täiskasvanute tegevus2019
lastega peredest
2021
lastega peredest
Muutus
Jälgitakse aktiivselt käitumist sotsiaalvõrgustikes (nt veebilehtedel, nagu Facebook, Instagram, Vkontakte, lapse poolt postitatud postituste sisu, sõpruskonda)46.1%47,2%1,1%
Jälgitakse aktiivselt muud internetikasutust peale sotsiaalvõrgustike (nt Youtube’is vaadatud videod; mängitud mängud; külastatud foorumid ja uudisteportaalid, internetiajaloo jälgimine)53,2%48,2%-5%
Lapse kasutataval seadmel on täiskasvanu poolt pandud sisulised piirangud (nt vanemliku kontrolli äpi kasutamine, turvaseadete muutmine, lubatud on vaid kindlad veebilehed või äpid)32,6%41,7%9.1%
Lapse internetikasutuse aega piiratakse58,9%56,5%-2,5%
Lapsega räägitakse ohtudest küberruumis; jagatakse selle-alaseid käitumisõpetusi75,5%73,8%-1,7%
Soov on olemas, kuid ei osata midagi teha (nt puudulike teadmiste tõttu).... 
Ei tehta midagi3,7%5,2%1,5%
Lapsel ei lubata arvutit või nutiseadmeid kasutada7,9%6,5%-1,4%

(.. tähendab, et vastajate hulk ei olnud piisav)

 

Läheb hästi

Euroopa Liidu küberturbeagentuur ENISA avaldas koostöös E-riigi Akadeemiaga novembris võrdleva ülevaate » sellest, kuidas on liikmesriikides korraldatud avalikkuse teadlikkuse tõstmine küberturvalisuse teemadel. Eesti on nende riikide seas, kes pöörab tähelepanu nii regulaarsetele ülevaadetele kui ka suunatud kampaaniategevustele. Sügisel lansseeris RIA ka uuenduskuuri läbinud ennetusveebi itvaatlik.ee ».

Saaks paremini

Kuigi suuri rahalisi kahjusid pole nende tõttu viimastel kuudel esinenud, häirivad Eesti ettevõtteid ja ka eraisikuid endiselt lunavararünnakud. Trend on paraku selge: lunavara on tulnud, et jääda ja põhjustas möödunud aastal mitmes riigis suure ühiskondliku mõjuga intsidente. Eestis (ja ka mujal) on lunavararünnakud sageli alguse saanud valesti seadistatud kaugtöölaua protokollist (RDP), mistõttu soovitab CERT-EE seadistuse üle vaadata.

 

Trendid ja tähelepanekud küberruumis – IV kvartal 2021 failina (1.51 MB, PDF)

Veel uudiseid samal teemal

20.09.2022

RIA: küberrünnakud meediamajade vastu kasvasid

21.09.2022 Riigi infosüsteemi amet (RIA) koostas neile teatatud andmete põhjalt ülevaate Eesti meediaportaale tabanud küberrünnakutest. Võrreldes kahe eelmise aastaga on mõjuga küberrünnakute arv tõusnud.

08.09.2022

Olukord küberruumis – august 2022

Augustis registreerisime 252 mõjuga intsidenti, mis on viimase poole aasta kõige kõrgem näitaja.