Android nutitelefoni pahavara ja kaitse

1Esimene android süsteemile SMS trooja Android/FakePlayer avastati augustis 2010. aastal. Tegemist oli pahavaraga, mille kasutaja ise paigaldas teadmatusest nutitelefoni, mis seejärel hakkas saatma sõnumeid tasulistele telefoninumbritele. Juba siis ennustati turvaspetsialistide poolt pahavara leviku mõningat tõusu android nutisedmetes, kuid kui lugeda turvafirma ESET 2012. aasta lõpus avaldatud rapordit viiruste leviku kohta, siis tõdetakse, et sellist mobiilse pahavara kiiret kasvu nii lühikese aja jooksul peetakse uskumatuks ja isegi harukordseks nähtuseks.

Kuigi arvutiviirused pole kuhugi kadunud, siis ESET Eesti juhi Allan Kinsigo sõnul võib kindlalt väita, et juba eelmise aasta pahavara leviku ühisnimetusena võib öelda, et ” Malware Goes Mobile”.  Ehk siis küberkurjategijad jälgisid hoolsalt trende ja rahalise kasusaamise eesmärgil hakkasid genereerima rohkem pahavara just mobiilsetele seadmetele, mis käesoleval 2013. aastal on omakorda hüppeliselt kasvanud. Loe edasi: Android nutitelefoni pahavara ja kaitse

Saage tuttavaks — võlts-antiviirus

Käisin (taas kord) lastele internetiohtudest jutustamas. Nagu alati, rääkisid lapsed ka mulle  midagi … sedakorda siis feik antiviiirusest (ingl.k fake antivirus). Ühe poisi isa olevat endale võrgust saanud ja ära installinud täiesti võlts-antiviiruse. Alles siis jõudis mu teadvusse, et enam polegi tegu eksootilise teoreetilise ohuga, vaid millegagi, mis ka Eestis ongi juba jõudnud massidesse. Loe edasi: Saage tuttavaks — võlts-antiviirus

Küberkuritegevuse tippklass – botnet Zeus

Kui Conflicker välja arvata, siis viimasel paaril aastal on enim kõneainet pakkunud kurivara, mida kutsutakse botnettide kuningaks – Zeus. Hetkel peetakse selle tekitajat maailma ohtlikumaks troojalaseks, mille uute variantide vastu on võimetud paljud viirusetõrjevahendid. Kaks aastat järjest on see kohutanud finantsmaailma ja pangandust, varastades kümneid miljoneid dollareid arvutikasutajate raha.

Trusteer.com turvaspetsialist Amit Klein on teatanud, et Zeus viimane täiustatud variant kasutab iseenda peitmis- ja teisendamistüüpe, samuti kernel tasandi rootkit-tehnoloogiat, mis teeb ta veelgi raskemini avastatavaks misiganes tõrjevahenditele. Tema sõnul on ohustatud kõik Windowsipõhised opisüsteemid ja peamiselt just need arvutikasutajad, kes teevad oma online rahaülekandeid veebilehitsejate Mozilla Firefox ja Internet Explorer vahendusel. Turvafirma spetsialistid on tähenldanud, et hetkel kasvab arvutite pahavarasse nakatumine kiiremini kui kunagi varem.

Ajalugu

Troojalane Zeus, mida tuntakse ka paljude teiste erinevate nimede all Zbot, PRG, NTOS, Wsnpoem, Gorhax – on olnud aktiivne juba aastast 2007, kui esimestest avastatud rünnakutest teatasid  Reuters ja SecureWorks. Esimene tõrjespetsialistide poolt tuvastatud rünnak toimus juulis 2007, mil püüti varastada andmeid mitmetest tuntud Ameerika Ühendriikide suurfirmadest (näiteks Hewlett-Packard Co), kusjuures ohvriks langes isegi USA Transpordiministeerium. Juba septembris –detsembris 2007 avastati uus tõrjevahendite eest peitu jäänud pangandustroojal Zeus põhinev botnet-võrgustik, mis ohustas paljusid juhtivaid suurpanku USA-s, Suurbritannias, Hispaanias ja Itaalias.

Aastal 2008 pakuti paketti juba müügiks või rentimiseks nn kõik-ühes-serveriteenusega koos sisseehitatud administraatori paneeliga ja ründetööriistadega, mis võimaldas rentijal luua iseenda isiklik botnetvõrgustik kuridegude kordasaatmiseks.

Juunis 2009 näitasid kräkkerid üles erilist jultumust, kui turvafirma Prevx  andmetel ohustas Zeus 74 000 FTP kontodele sisselogimisandmeid, näiteks Disney.com, Bloomberg.com, BusinessWeek.com, Discovery.com, Amazon.com kontosid  ja suhteliselt traagilises mõttes ka selliseid kontoomanikke, mis  ei tohiks sellesse nimekirja  iialgi sattuda  – NASA.com, BankofAmerica.com, Oracle.com, Symantec.com, McAfee.com, Cisco.com ja  Kaspersky.com.

2009 aasta oktoobris-novembris toimusid rünnakud sotsiaalvõrgustike Facebook ja MySpace kasutajate vastu, kutsudes neid klikkima linkidel, mille läbi tõmmati arvuti botnetti.

Aruanded

Trusteer 2009 septembri aruande järgi oli ainuüksi USA-s nakatanud 3,6 miljonit arvutit, kuid uurimustöö põhjal arvatakse, et tegelikku nakatumiste arvu võib pidada paljudes kordades suuremaks. Irooniline on veel see, et analüüsi järgi olid tervelt 55% protsenti botnetti kuuluvatest arvutitest viirusetõrjetega kaitstud, kusjuures need olid uuendatud ka viimaste tõrjesignatuuridega.

Ka turvafirma Prevx möönab, et botnetti nakatunud arvutite hulka ei oska keegi  täpselt prognoosida, võidakse ainult tõdeda, et see ulatub miljonitesse arvutitesse üle maailma.  Kui firma jälgis kuue nädala jooksul infektsioonide levikut, siis jõudis see nakatada 20 000 uut arvutit päevas. Tõrjespetsialistidele on selgeks saanud ka  Zeus trooja looja(te) kavalus – selleks ajaks, kui turvaanalüütikud jõuavad selle identifitseerida ja luua vastumeetmeid kurivara kahjustamiseks, on kräkkeri(te) poolt valmistatud juba uusim versioon pahavarast, mis jätkab edasist takistamatut tegevust.

Zeus on pangandus-trooja, mis eeldatavasti pärineb Venemaalt või vähemalt vene keelt kõnelevatest Ida-Euroopa riikidest.  Symantec.com andmetel on paketis mitmed failid, kaasaarvatud Help-abifailid, kirjutatud just vene keeles. Viimase aasta jooksul on paketti pidevalt uuendatud ja täiustatud selle looja või loojate poolt. Siiamaani ei teata kindlalt, kas selle ohtliku, samuti ülimalt professionaalse ja unikaalse tööriisakomplekti loojaks on üksikisik või kuritegelik rühmitus, kuigi viimaste andmete põhjal arvatakse selleks siiski olevat üksikisik. Zeus pahavarapakett on tänaseks saanud küberkurjategijate seas ülimalt populaarseks ning seda kasutatakse enim finantskuritegude kordasaatmisel.

Zeus paketti, mis kannab nime Zeus Builder (ehitaja -konstruktor), müüakse erinevates häkkerite kogunemislehtedel, -foorumites- ja jututubades olenevalt versioonist hinnaga 700 – 4000 dollarit tükk. Zeus Builder on lihtsalt üks väikesemahuline tööriistakomplekt, mille abil on erinevad küberkurjategijad loonud erinevaid botnette, nii väiksemaid kui suuremaid. Näiteks ka Kneber botnet, millest olen  kirjutanud artiklis Kneber – kuritegelik botnet-võrgustik, on loodud tegelikult  troojalase Zeus baasil.

Zeus viimaseid versioone ei pakuta ainult ühese paketina, vaid juurde on võimalik osta ka lisamooduleid. Näiteks Windows 7/Vista toe eest tuleb küberkurjategijatel lisaks letile laduda 2000 dollarit, aga kui nad aga soovivad osta lisamoodulina ka täielikult toimiva virtuaalühenduse (VNC-  Virtual Network Computing moodul), mille abil saavad nad võtta kogu kontrolli nakatunud arvuti üle, maksab see lisatasuna “kõigest” 10 000 dollarit veel.

Muuseas, viimase versiooni puhul on turvaspetsialistid täheldanud esmakordselt maailmas ainulaadset kuritegeliku tööriista  kaitsmise meetodit – autor kaitseb oma “suurteost” Zeus Builder´it riistvaralise litsenseerimise süsteemiga, mis tähendab, et paketti saab jooksutada vaid ainult ühes süsteemis kindla võtme olemasolul. See näitab väga selgelt, kui kõrgelt hindab pahavara looja oma tööd. Selle tööriista järjepidev täiustamine aga annab aimu, et nõudlus selle järele kurjategijate seas on suur ja oht Zeusi nakatuda tulevikus võib muutuda veelgi aktuaalsemaks kui praegu. Täpsemalt kõigest sellest kui ka Zeus Builder uusimast versioonist, millesse on lisatud veelgi surmavamaid funktsioone, saab lugeda Secureworks artiklist või Networkworld loost.

Nakatumise põhimõtted

Zeus on loodud varastama kasutajate kõikvõimalikke privaatseid andmeid finantspettuste kordasaatmiseks. Sellisteks andmeteks ei pruugi alati esmajärjekorras olla ainult pankade ja e-poodide kasutajatunnused ja paroolid, vaid ka kõikvõimalike sotsiaalsete võrgustike (Facebook, MySpace jne) kontoandmed ja FTP ning e-mailide logimisandmed, mille abil saadakse hiljem, kui kasutaja arvuti on liidetud botnet-võrku, niikuinii ligipääs pangakontodele. Loomulikult võimaldab see ka saadud kontode abil nakatada uusi kasutajaid botnet võrgustikku, saates kontoomaniku nimel tema nimekirjas olevatele tuttavatele ja sõpradele justkui süütuid linke neile klikkimiseks.

Peamiselt levitataksegi troojat e-mailidega, millesse on manustatud fail avamiseks või lisatud link sellele klikkimiseks. Näiteks teatakse, et keegi hea inimene on saatnud imeilusailusa tervituskaardi, mida saab imetleda lingile klikates. Või teatatakse justkui mõne sotsiaalse võrgustiku poolt või isegi Microsofti poolt, et näiteks Facebook kasutajaandmeid tuleb kirja manustatud ankeedil uuendada või on Microsoftil pakkuda mõni kriitiline turvavärskendus, mis tuleb lingi abil kohe arvutisse installeerida. Lingile klikates aga suunatakse õgnitsemissaidile, mis nakatab märkamatult arvuti. Paraku ka hiljem ei suuda kasutaja aru saada, et arvuti on juba botneti liikmeks määratud.

Samamoodi võib seda arvutisse laadida drive-by allaladimiste teel veebilehtedel, mis tähendab , et kasutaja kaudselt justkui kinnitab oma nõusolekut millegi allalaadimiseks, kuid ei saa aru tagajärgedest ja allalaadimine toimub tema teadmata. Näiteks kasutaja püüab veebilehel sulgeda häirivat hüpikakent, aga seoses sellega paigaldatakse kasutaja teadmata arvutisse pahavara. Sageli on see seotud võlts-programmide pakkumistega veebilehtedel  või mõne põneva reklaamkirjaga, mis viitab sellele klikkama.

Trooja suudab kräkkeri kaasabil süstida veebilehtedele ka uusi väljasid ja lahtreid, mis nõuavad kasutajatelt rohkemate privaatsete andmete sisestamist kui tavaliselt ja mis loomulikult saadetakse reaalajas just kurjategijale.

Kui arvuti on saanud botneti kliikmeks, siis luuakse tagauks ehk backdoor, mille kaudu edastatakse häkkerile veebilehel tehtavaid toiminguid – klahvinuhi abil salvestatud kasutajanimed ja paroolid või ekraamipildid sisestatud koodidest. Zeus trooja nakatumise puhul ei ole oluline, kas kasutaja on arvutis administraatori õigustes või mitte.

Veel mõned huvitavad aspektid

Huvitavaks teeb Zeus paketi puhul asjaolu, et häkker, kes seda kasutab, saab vajadusel lisakäskude abil kas ühte botneti liiget või tervet botnetti juhtida kontrollserverist oma tahtmise järgi. Näiteks huvitavamateks käskudeks on arvuti sulgemine või taaskäivitusele saatmine, muuta veebilehitseja kodulehte, laadida arvutisse faile, kaustu ja pahavaralisi programme, varastada digisertifikaate, muuta ja modifitseerida  arvutis olevaid faile ja regirtivõtmeid (%systemroot%\system32\drivers\etc\hosts).

Aga veelgi põnevam käsk, mis on pahavara analüüsijad  sügavalt mõtlema pannud, et milleks seda vaja on– on enesehävitamise käsk KOS (kill operating system). See võimaldab kräkkeril kaugjuhtimise teel kustutada olulisi süsteemifaile, mille tulemusel ei laadi opisüsteem enam üles ja sageli peale seda tuleb kasutajal  uus süsteem asemele installeerida. Mõningad arvamused siiski on – võimaliku vahelejäämise kartuses püütakse peita kõik jäljed, et edasine analüüs muutuks raskemaks. Samuti võib tegu olla kavalusega – arvuti rikkumisega püüab kräkker aega võita, et teostada kuritegelikke rahaülekandeid, ilma et kasutajal oleks pääsu internetti, et kahtlaseid tehinguid juhuslikult märgata. Näiteks aprillis 2009 hakkas  abuse.ch analüütik Roman Hüssy jälgima ühte Zeus kontrollserverit, mille botnetvõrgustikku oli ühendatud 100 000 nakatunud süsteemi, kui ta üllatusega märkas, et kontrollserver andis käsu KOS – 100 000 arvutisüsteemi surmati peaaegu üheaegselt.

Kuidas arvutit kaitsata

Ehkki https://zeustracker.abuse.ch/ andmetel on viirusetõrjetel botnettide avastamise määr kõigest 47, 11% (1.mai 2010 andmetel ) ja uusima Zeus Builder tööriistad teevad avastamise veelgi raskemaks, siis ikkagi tuleb järjepidevalt värskendada viiruse-ja nuhkvaratõrjeid viimaste signatuuridega. Kindlasti tuleb uuendada ka operatsioonisüsteemi viimaste turvapaikadega ning ka arvutisolevat tarkvara tuleb uuendada viimaste versioonide vastu.

Kindlasti ei tohi avada kahtlaseid e-maili manuseid ega klikkida igal lingil, mis nendes pakutakse. Sotsiaalsetes suhtlusvõrgustikes nagu Facebookis jne ning veebilehtedel surfates ei ole vaja klikata igale reklaamaknakesele ega laadida arvutisse kahtlaseid faile.

Töökohtades online pangatehinguid sooritades püüa seda teha alati arvutis, mis ei ole üldkasutuses. Mõned pessimistlikumad turvaspetsialistid soovitavad firmadel kaaluda isegi alternatiivsete opisüsteemide kasutuselevõttu just nimelt ja ainult pangatehingute tegemiseks ning eriti tähtsa info hoidmiseks, ent minu arvates on see liiast, ehkki tuleb tunnistada, et nutikas pakkumine. Seda enam, et väidetavalt suudab Zeus troojalane vahetult enne krüpteerimist teha andmetest koopiad, kuni need saadetakse läbi turvalise SSL-ühenduse teele.

E-kirjade jälgimine on legaalne nuhkimine



Olen arvamusel, et diskussioon eraelu kaitse üle töösuhetes, on vägagi positiivne. On ju hetkel seda valdkonda reguleeriv seadusandlus üsna vana ja tegelikult on „halli ala“ suhteliselt palju. Näiteks on täielikult reguleerimata töötaja taustakontroll enne tööle võtmist ja tööle võtmise ajal. Mis aga puudutab ettevõtte poolt oma töötajate e-posti jälgimist, siis see on vajalik ja, ehkki servapidi hallis alas, ka juriidiliselt korrektne.

Sisuline külg

Tööandja poolt töötajale kasutamiseks antud vahendid, sealhulgas arvuti, internetiühendus ja e-posti aadress, on tööandja omand. Juhul, kui nendega mingisugune pahandus peaks toimuma, vastutab selle eest tööandja. Loe edasi: E-kirjade jälgimine on legaalne nuhkimine

Kriminaliseeriti identiteedi kuritarvitamine

Muude seadusparanduste hulgas kuulutas meie president THI 27-ndal oktoobril välja nn laseriga lennukipimestamise ja identiteedivarguse seadusmuudatuse (530 SE). Et see allakirjutus toimus Pronksiöö seadusest tingitud kisa-kära õhkkonnas, siis siinkohal kordame üle, mida identiteedi vargus või kuritarvitus üldse tähendab.

Lühidalt kokku võttes – karistusseadustikku tekkis uus paragrahv §157², mille sisu on järgmine:

”§ 157². Teise isiku identiteedi ebaseaduslik kasutamine
Teist isikut tuvastavate või tuvastada võimaldavate isikuandmete
tema nõusolekuta edastamise, nendele juurdepääsu võimaldamise või
nende kasutamise eest eesmärgiga luua teise isikuna esinemise teel
temast teadvalt ebaõige ettekujutus, kui sellega on tekitatud kahju
teise isiku seadusega kaitstud õigustele või huvidele, või varjata
kuritegu –
karistatakse rahalise karistuse või kuni kolmeaastase vangistusega.”

Hästi lühidalt kokku võttes tähendab uus paragrahv seda, et Jaan Kundla libablogi või  Anu Saagimi libablogi loomise ja pidamise eest saab nüüdsest  kellegi vangi panna küll.

Pisut pikemalt seletades takerdus selliste libasaitide uurimine varemalt sinna taha, et politseil polnud nende lugude suhtes jälitustegevuste õigust. Tüüpiline asjade käik oli, et kui inimene nägi netis oma nimel avaldatud asju mida ta tegelikult ega ikka ei kirjutanud küll, siis viis kodaniku tee kõigepealt politseisse, sealt Andmekaitse Inspektsiooni ning kui mingit juhuslikku pidepunkti ei avastatud, siis jäi tegelik tegija avastamata. Nüüd aga on meil uus seadusesäte.

Seoses sellega mainigem, et §157² asjades on nüüd politseil ka jälitustegevuse õigus.

Kokkuvõttes – libablogide pidajad, värisege!

Kuid muudatus ei puuduta üksnes blogisid. Kui keegi näeb, et tema rate.ee konto on üle võetud ja sealtkaudu tehakse mingeid põhjapanevaid avaldusi, siis on shanss, et pätt ongi juba “teise isikuna esinemise teel loonud temast ebaõige ettekujutuse” ja siis on pätil soolas rahatrahv või kuni kolm aastat kinnimajas.

Seoses sellega: ettevaatust lapsed, kes te olete harjunud oma klassikaaslaste kontosid “pulli pärast” üle võtma, selle äriga on nüüd lõpp – asi on riiklikult kriminaaliseeritud. On pisut raske hinnata, kui populaarne alaealiste hulgas säherdune tegevus täpselt on, aga ilmselt me räägime sadadest juhtumitest aastas.

Ettevaatust, lapsevanemad – teie laste süütu nali kriminaliseeriti ära. Pidage siis oma võsukestele loeng sellest mis juhtub kui võõra isiku kontoga “natuke nalja” teha.

Paraku, nagu Eestis ikka ja tavaliselt, ega siis ükski seadus kohe esimese korraga õigesti välja ei tule, alati jäävad mingid agad. Uue §157² puhul seisneb paratamatu kaasnähtus selles, et kriminaliseeriti mitte üksnes isiku ees- ja perekonnanime väärkasutamine, vaid – kindluse mõttes – identiteedi  kui hoomamatult laia mõiste kuritarvitamine. Mis minu kui mittejuristi hinnangul tähendab, et interneti nickid nagu kiisuke37, MikiHiir ja blabla omavad nüüd kraadi võrra kangemat kaitset kui on kaubamärkidel.

Nimelt, kui kodaniku põhiline identiteet netis on sigalind69 ja ta tunneb, et keegi teine on sama nime kasutamise pluss mõne väljaütlemisega tema mainet rikkunud (näiteks öelnud, p-sse *erakond! – mida tema kunagi ei ütleks), siis muretsejal on alus politseisse minna, avaldus kirjutada ning lasta oma identiteedi väärkasutaja vastutusele võtta. Juristid küll nii mures pole, nad eeldavad, et politseis ja kohtus on mõistlikud inimesed, kes suudavad igal konkreetsel juhul otsustada. Samas, nagu ütles THI ise (küll ühes teises asjas) – “Oluline on ka põhimõte, et karistusseadustik ei saa tegeleda tõenäosusprobleemidega, vaid peab sisaldama õigusselgust eriti selliste tegude suhtes, millega kaasnevad kriminaalõiguslikud tagajärjed,” kommenteeris president Ilves. “Seesugustes küsimustes peab valitsema vastutuse ja mõistete täielik selgus, mida on korduvalt rõhutanud ka riigikohus.” Küsin tsitaadi valguses üle – mis siis ikkagi on identiteet?

Kartaago hävitamise repliigina lisan, et kuivõrd identiteedi kuritarvituse  puhul on nüüdsest võimalik politseitöös kasutada jälitustegevust, siis vähemasti teoreetiliselt eksisteerib võimalus, et võlts-sigalind69 kodust leitakse arvuti, täis piraat-tarkvara ning sekka peoga ka lapspornot. Ning siis pole enam tähtis, mis oli kuritöö esialgne kvalifikatsioon. Arvuti kui töövahend liigub kuudeks ekspertiisi ning paragrahve tuleb kaela päris mitu.

Meenutan – hindamisi vähemalt 40% kodudes on piraat-tarkvara ja muid autoriõiguse rikkumisi nii et maa must, liiatigi, kui majas on mõni mees, siis iga 100 ühiku porno kohta leidub statistiliselt ka 1-2 ühikut lapsporri.

Diskussioon on teretulnud.

Lisainfot [2009-11-04 11:50]:  Martin Paljaku arutlus identiteedist (palju huvitavaid linke).

Kettapuhastus

Lisaks jäänukprotsessidele, on pahavara ja puudulike desinstallimisprogrammide tagajärjena ketas täis faile, mida kunagi enam vaja ei lähe. Teine suur kettaruumi raiskaja on rakendused, mis laevad võrgust alla materjale, säilitavad need kettal vahemälus ega eemalda või piira vahemälu suurust. Vaba kettaruumi vähesus (nt. alla 15% ketta mahust), põhjustab süsteemi ebastabiilsust, sest tekkida võivad probleemid näiteks saalefaili laiendamisel või kettaoperatsioonide aegluse tõttu. Seega tuleks lisaks rakenduste eemaldamisele ka ketas puhtaks teha. Loe edasi: Kettapuhastus