RIA: 2012. aasta oli Eesti küberruumis rahulik

Lisaks soovitusele Windows XP lähema aasta jooksul mõne uuema opsüsteemi vastu välja vahetada on Riigi Infosüsteemi Amet sel nädalal avaldanud ka ülevaate küberturbe seisust Eestis aastal 2012.

RIA hinnangul 0li eelmine, 2012. aasta Eesti küberruumis rahulik, suuremaid vahejuhtumeid polnud, hädaolukordadest rääkimata. Järelvalve registreeris 41 olulist intsidenti, neist meedia tähelepanu pälvisid Elioni katkestused, kaardimaksete süsteemi tõrked või lennujuhtimissüsteemi häired, ka nn “#opEstonia” juhtum, mis ei mõjutanud kriitiliste infosüsteemide tööd ning lahendati tavapärasest intensiivsema töö käigus. Tõsiseks saab veel lugeda paari kuritegelikku rünnet, mille käigus üritati petukirjade abil saada juurdepääsu pangakontodele.

Üldistatult on arvutikuritegevuse tase jäänud samale tasemele varasemate aastatega. 2012. aastal alustas Politsei- ja Piirivalveameti Keskkriminaalpolitsei menetlusbüroos tööd V talitus, mille põhiülesandeks määrati kohtueelse menetluse teostamine infotehnoloogiaga seotud rasketes ja rasketes peitkuritegudes, samuti osalemine valdkonna tervikkoordineerimises.
Politsei- ja Piirivalveameti hinnangul mõjutasid politsei tööd küberkuritegevusega võitlemisel 2012. aastal enim:

  • Trojanite sõjad (Venemaa ja USA ning ka Hiina viirusetootjate vahelised vastasseisud) raha parast jätkusid. Sõjad on muutunud kommertslikumaks.
  • Küberkurjategijad otsisid jätkuvalt varastatud infole müügikanaleid.
  • Jätkus teenusteks muutunud ja teenustena pakutavate kelmuste arendamine.
  • Küberkurjategijate võrgust eraldamised sundisid neid arenema (Man-in-the-browser (MITB) – st püüdu varastada infot otse brauserist).
  • Häktivismi tõus.
  • Kiire infovahetus lihtsustas gruppide tabamist ja botnettide operaatorite (e pahavara kasutajad, kes juhivad ja koordineerivad ründeid) tabamist.
  • Erinevad teismeliste küberkiusamised saavutasid Child Groomingu (veebi kaudu ahvatletakse laps endast alasti pilte tegema ning siis algab raha väljapressimine ähvardusega, et muidu pannakse pildid nt Facebooki) mõõtmed.
  • Tabatud lapsporno levitajad peavad enda moraalselt väärastunud tegevusi tavanormiks.

Samad trendid jätkuvad PPA hinnangul ilmselt ka 2013. aastal.

RIA 2012. aasta küberturbe ülevaate täistekst.

APT – Jõuliselt ebamäärane küber-oht

Ühel Eesti konverentsil ongi juba avalikult nimetatud uut piinlikku jututeemat ingliskeelse nimetusega APT (advanced persistent threat). Seni pigem tundus, et tegu on paranoiliste jänkide hansaluuluga* (vt sõnaselgitust artikli lõpus). Usun, et head eestikeelset sõna vastava termini kirjeldamiseks ei ole ega tulegi, mistõttu püüan APT olemuse inimkeeli lahti kirjeldada.

 

APT defineerub läbi vastase ligikaudse kirjelduse, läbi tolle piiramatu tehnoloogiavõime ning läbi kellegi poolt kinniplekitud motivatsiooni. APT sisuliselt on luure ja tööstusspionaaži piiril paiknev nuhkimistegevus, mida teostatakse plaanipäraselt (just selle sihtmärgi vastu), eesmärgikindlalt (sest tellimus tuleb täita) ning toimub see tegevus kübervahenditega ning enamasti üle Interneti – inimesi ja arvuteid kottides (viirused, kalastamine, identiteedivargus, sissemurd, infovargus).

Vastavalt Richard Beitlichi liigitusele aastast 2010 tähendab A nagu ADVANCED, et kesiganes vastane ka poleks, ta on kogenud ja kvaliteetne. Saadab Sulle e-mailiga viirusi, üritab Sinu veebiserverisse sisse murda, ta võib Sinu firma tarbeks suisa leiutada mõne uue seninägematu turvaaugu. Tegelikult ihaldab ta andmeid Sinu sisevõrgust ja valdaval enamikel juhtudel ta lõpuks need ka saab. Tehniline pädevus ei ole seega küsimus – kuivõrd on tellimus, küll siis raha jaksab ka tehnoloogiat ja jultumust osta. Veel vastasest – tõenäoliselt käite te temaga samas kuurortis puhkamas, kuid ei tunne üksteist kunagi ära.

 

P nagu PERSISTENT tähendab seda, et nimetet äka*, kui see kord Sulle on kaela kukkunud, ei lähe enam iseenesest ära (palvetades, voodoo abil ega OS vahetusega). Põhjused, miks Sinu vastu huvi tuntakse,  jäävad selle artikli raamidest välja, kuid kui keegi ikka on infovarguse tellinud, siis üritatakse siit ja sealt, murtakse siit, kangutatakse sealt, aga raha on makstud ja lõpuks peab vastane oma tulemuse saama. Ühtlasi tähendab see, et mingeid tulikirju ekraanile ei ilmu ega niisama efekti mõttes CD-sahtlit kinni-lahti ei logistata. Toimetatakse tasahilju ning tehakse üksnes asju, mis viivad sihile. Tarvitseb üks viirus välja ravida kui saadetakse järgmine … või leitakse mingi muu vektor midakaudu siseneda. Üldiselt, ega viirustõrjed väga ei tahagi APT’ga tegeleda – õigesti hinnates, et see on tööriist, mitte isepaljunev organism. Vastase poolel on ka ajafaktor – erinevalt tavalistest küberkriminaalidest pole seda tüüpi vastasel kiiret rahanälga, mille peab suvalisel viisil ära rahuldama.

Lõpuks, T nagu THREAT (ehk oht) peaks APT puhul välja nägema mitte niivõrd tehn(oloog)iline (nagu mõni pahakood kusagil võõra serveri sügavuses) – kui seisnema inimestes, kellel on raha, motivatsiooni ja viitsimist Sinu organisatsiooni või firmaga jätkuvalt jännata. Muide, see on töö nagu iga teinegi ning sealjuures üks maailma vanimaid ameteid pealekauba. Samas, globaalvõrk nimega Internet on APT olulisimaks võimaldajaks – täitsa saab Sinu tehnoloogiafirma tahatuppa mingi kaktuse poetada ning siis seda kord kuus kastmas käia.

APT’le ei ole võimalik anda objektiivset tehnilist definitsiooni, ammugi seda mõne tarkvaraga ära tunda, sest kasutatud relvast tähtsam on seda pruukivate isikute motivatsioon. Tavalisest viirusest eristab APT’d eelkõige asjaolu, et raha ärapätsamine ei ole esmane eesmärk. Pigem ikka loodetakse võrku sisse murda ning sealt leida mingi infokild, mis hõlbustaks tellijal tema poliitiliste, majanduslike, tehniliste või sõjaliste ambitsioonide edasist hõlpsat kulgemist – raha ja ülemvõim peaksid saabuma pigem sedakaudu kui et Sinult viimaseid sääste pihta pannes. Teisisõnu võib öelda, et APT on vallaslaps, kelle isaks on indesp (industry espionage), emaks küberruum/Internet ning ämmaemandaks pigem mõne riigi mingi kolmetäheline asutus… kuid kes seda täpselt teab …

Vältimaks igasuguseid diplomaatilisi komplikatsioone, hoidutakse APT’st rääkides alati väga hoolikalt viitamast mistahes konkreetsele riigile või isegi pelgalt võimalusele, et tellijaks on mõne riigi mõni allasutus. Sest definitsiooni kohaselt, kui ühe riigi üks allasutus küberkeberneedib teise riigi erafirmat või organisatsiooni, siis pole see ju enam APT, siis on see (küber-)sõda. Ja kellele seda sõda ikka niiväga vaja on. Misläbi APT kui mugav kohitermin võimaldab kõigil osapooltel rahulikult edasi elada, pea betooni peidetud, ning endiselt samas kuurortis koos puhkamas käia.

Analüüsides ajavahemikku “ligupidamisest”* pronksiööd pidi tänaseni, võib märgata küberprallest osasaajate olulist diversifitseerumist – riikidele, kriminaalidele, terroristidele ja lihtsalt naljameestele on lisandunud üksikisikud, erafirmad, huvigrupid, mõttekojad ning ülalmainitute anonüümsed koostöövõrgustikud … kusjuures mõned Tegijad istuvad spektri mitmel toolil korraga. LulzSeci näiteks peaks vist liigitama kusagile mõttekoja ja naljameeste vahele? Stuxnet aga liigitub geolokatsioonilt riigiks kuid meetodilt terrorismiks. Kokkuvõttes – maailm on põimunud, Tegijate huvid on keerulised – selles valdkonnas vaevalt lähiaastatel selgust saabub.

Ah jah. Peaaegu unustasin. Töökoha PR tädid on mulle ikka ja jälle soovitanud, et asjalik kirjutis ei tohiks olla masendusttekitav vaid sel võiks olla va positiivne ja konstruktiivne soovitus ka man. Niisiis APT ongi Sul juba majas olemas, et mis siis nüüd edasi saab? Kas tulemüürid ja viirustõrjed aitavad? Paraku vist mitte alati. Siiski on ka APT’l oma nõrk koht – ta nimelt peab äravarastatud andmed koju emme juurde saatma. Ainuke mis ohvrit aitab, on omaenda arvutivõrgu pealtkuulamine. Mingi masin, mis suudab Sinu kontori võrguliiklust jälgida ja salvestada ning lõpuks viisakalt vihjata, et kuule mees, see iga kuu 27-nda kuupäeva paiku toimuv naljakas võrguliiklus Uruguay õlleserverisse on ikka natukene saatanast küll.

Moraali asemel – üksnes tehnikaga inimesi siiski ei püüa, ehk siis kui asi tõsiseks läheb, on vastukaaluna APT väärikale inimfaktorile vaja ka oma poolele palgata mõni hästi motiveeritud ja selge peaga tegelane, kelle palk võimaldab tal paberite täitmise ja raportite koostamise vahel sekka ka natuke võrguliiklust uurida ja sel pinnal üliväärtuslikke hüpoteese püstitada. Ning ei tasu unustada koostööd erinevate partneritega – sest sarnaselt käitub ka vastane.

 

Tisklaimer: Kirjutatud eraisikuna. Pole õrna aimugi, mida endised, praegused või tulevased tööandjad sellst teemast arvavad.

———
*  hansa-   –  ülieesliited eesti kultuuriruumis: hüper-, super-, mega- giga- (nagu Hansakruvikeeraja, SuperTigud või MegaLaen)

* äka – viisakam väljend sõnade “ess” või “kaka” asemel

* “ligupidamisega” – Eesti esimene pangakoodide suurkalastus detsembris 2002

 

Küberspioonid üritasid USA elektrivõrke üle võtta

Tänane Wall Street Journal teatab, et küberspioonid on tunginud USA elektrivõrkude juhtimissüsteemi ning jätnud sinna maha pahavara, millega on võimalik elektrivõrkude juhtimine üle võtta. Vastavate ametimeeste andmetel pärinevad küberspioonid põhiliselt Hiinast ja Venemaalt, kuid samas on jälgi ka teiste riikide tegevusest. Rünnatud on praktiliselt kõiki elektritarnijaid üle kogu USA. Huvitav on sealjuures asjaolu, et suur osa rünnetest on jäänud elektrifirmade endi poolt avastamata ning jäljed on leitud hoopis Ühendriikide vastuluureagentuuride poolt.

USA vastuluurajate sõnul on pahalaste poolt jäetud tarkvara abil võimalik kaardistada ülekandevõrke, aga samuti juhtida ülekandesõlmede ning elektrijaamade tööd. Samas peavad nad riskikohtadeks vee- ja kanalisatsiooniettevõtteid, samuti teisi infrastruktuuriobjekte.

Antud juhus on suhteliselt unikaalne, arvestades selle ulatust ja võimalikke tagajärgi reaalse konflikti tingimustes. Samas on positiivne, et selline turvaprobleem praegusel hetkel välja tuli. See andis võimaluse karmistada olemasolevaid ja kehtestada ennetavaid turvameetmeid, mida hakatakse auditeerima juulis.

Kuidas võita uue põlvkonna sõda

Nüüdisaja teoreetikud jagavad sõjad viide põhilisse generatsiooni. Sõdade esimesed kolm põlvkonda olid tavalised, territooriumi ja ressursside üle peetavad sõjad, mis algasid siis, kui diplomaadid enam hakkama ei saanud. Nad erinesid omavahel eelkõige kasutatavate relvade poolest. Koos erinevate relvadega muutusid loomulikult ka kasutatavad taktikad ja strateegiad.

Neljanda generatsiooni sõda on juba  teistsugune – seda peetakse kultuuri kaudu ja selle pärast. Ütleme otse – kui teatud piirkonda asustav rahvas on „tõeliselt valgustatud”, siis on nad ise valmis oma ressursse jagama. Neljanda generatsiooni sõja puhul on piirid sõja ja poliitika vahel hägustunud – sõjategevuse ajal toimub ka aktiivne „misjonitöö”. Samuti on hägustunud rindejoon, see tähendab, et otsest rindejoont ei ole – sõda toimub nn partisanisõjana ja sageli lausa teineteise territooriumil.

Ehkki lääne teoreetikud peavad neljanda generatsiooni sünnidaatumiks aastat 1989, on käesoleva artikli kirjutaja veendumusel, et esimene seda tüüpi sõda peeti Nõukogude Liidu poolt Afganistaanis (1976)1978 – 1989, kus sõjalise jõu abil püüti riigis sotsialismi ideed juurutada. Neljanda generatsiooni sõja tüüpiline näide on 9. septembri sündmused USA-s ning sellele järgnenud sõda Afganistanis.

Definitsiooni viienda generatsiooni sõja kohta pakkus esimesena välja William S. Lind aastal 2004. Seda sõda hakatakse pidama eelkõige informatsiooni abil ja informatsiooni pärast, teisisõnu on see sõda suunatud vastase intellekti vastu. Kuna tänapäeval on põhiliseks info kandjaks arvutivõrk, Internet, siis suuremas osas toimub see sõda ka Internetis ja küberneetiliste vahenditega ning seetõttu nimetatakse seda sageli ka infosõjaks või kübersõjaks.

Selle sõjategevuse põhiliseks taktikaliseks meetodiks on vaenlase võrku ühendatud infrastruktuuriobjektide ründamine, eesmärgiga nad üle võtta. Lihtsamini öeldes -  kes juhib riigi infrastruktuuri, see juhib ka tervet riiki. Eesti kontekstis oleks sellisteks infrastruktuuriobjektideks pangad, sidesüsteemid, energiajuhtimise keskused, jõustruktuuride juhtimiskeskused aga tõenäoliselt ka e-riigi ja ID-kaardi infrastruktuur.

Põhiliseks sõjapidamise vahendiks saavad olema botnetid, mis sageli asuvad rünnatava riigi enda territooriumil, kuid mida juhitakse kusagilt mujalt. Sageli ei pruugi need botnettide juhtimiskeskused asuda isegi ründava riigi territooriumil.

Viienda generatsiooni sõja elemente oli üsna palju näha 2007 aprillisündmuste aegu. Samuti võib näiteks tuua hiljutise Gruusia konflikti. Käesoleval ajal on selline ka Iisraeli ja Hamas vahel peetav sõda, mille ühe osana on Iisraeli tudengid kirjutanud programmijupi, mis ründab Hamasiga seotud lehekülgi. Ehkki praegu veel saab ka „harju keskmine inimene” aru, kui Internetis on midagi toimumas, siis ideaalsel juhul peetakse viienda generatsiooni sõda ülikiirest ja see ei jäta ka mingeid jälgi. See tähendab, et ideaaljuhul ei saa rahvas arugi, et sõda üldse aset leidis ning et riigi juhtimine on hoopis teiste inimeste kätes.

Mida saaks sellise sõja vastu ette võtta?

Eelkõige on arsenalis ennetavad meetmed ja rakendada tuleb neid kodanike endi poolt. Nii näiteks saab kindlasti iga arvutiomanik teha nii, et tema kodu- või tööarvuti on viirustest-toojalastest puhas. Samuti saab ta paigaldada töökorras tulemüüri ning jälgida, et see oleks pidevalt töökorras.

Samas eeldavad need tegevused olulist teadlikkuse kasvu. Siinjuures oleks loodetavasti palju abi planeeritavast Küberkaitseliidust, mille üks oluline tegevus peaks olema ka tavakodanike väljaõpe. Samuti saab siin abiks olla Arvutikaitse oma infoturvet käsitlevate artiklitega. Kuigi Eesti on pisike, siis nende meetoditega on meil tõenäoliselt võimalik ellu jääda ning see sõda isegi võita.

Viiteid kübersõjale Gruusias

Ülevaade Lääne ekspertidelt – kuidas küberrünnakud väljastpoolt paistsid. Rõhutatakse, et see on küllap vist esimene kord, mil sõda küberruumis langes kokku “päris” sõjategevusega. Üks ekspertidest (Bill Woodcock) lisab: “Kuivõrd kogu kübersõjakampaania maksab umbes samapalju kui tankiroomiku vahetus, siis oleksite loll, kui te seda ei kasutaks”.

Eesti CERT-i spetsialistide ülevaade olukorrast kohapeal – huvitav kirjeldus hetkeseisust ning sellest, mismoodi nägid rünnakuid grusiinid ise ja mida nad liikluse ümbersuunamiseks ette võtsid. Probleemi võimendas fakt, et füüsiline kaabel jooksis läbi sõjategevuse piirkonna…

Russian Business Network (RBN) – Vene ühe suurima, oletatavasti Vene luureteenistuste kontrollitava küberkurjategijate rühmituse rollist Gruusia-vastastes küberrünnakutes.

Kübersõda Gruusias

Millegipärast kipub viimasel ajal olema nii, et Venemaaga tülliminek toob väga ruttu  kaasa rünnakud küberruumist. Ei pääsenud seekord ka Gruusia.

Väidetavalt võeti paljud Gruusia serverid üle juba neljapäeva õhtul, veidi enne sõja puhkemist. Kui Eesti servereid üritati omal ajal masspäringutega surnuks pommitada, siis rünnak Gruusia vastu läks koguni internetiliikluse ümbersuunamiseni – väidetavalt õnnestus vene päritolu serveritel blokeerida otseliiklus Gruusia ja muu maailma vahel ning suunata see ümber Vene serveritesse.

Gruusia Rahvuspanga ja Välisministeeriumi kodulehekülgedele paigutati pildid, millel võrreldi SaakaÅ¡vilit 20. sajandi diktaatorite, sealhulgas Adolf Hitleriga. Öeldavasti sai näotustatud ka Gruusia Kaitseministeeriumi veebilehekülg. Gruusia netifoorumeid ja internetiportaale tabas DDoS-rünnak.

Hetkel on Rahvuspanga ja Välisministeeriumi kodulehed jälle üleval. Välisministeerium on lisaks avanud oma keskkonna Bloggeris, Poola president aga pakkus Gruusiale oma veebilehekülge info levitamiseks.

Venelased omalt poolt väidavad, et Gruusiast on blokeeritud ligipääs .ru domeenidele. Samuti olevat grusiinid lõpetanud venekeelse telelevi oma territooriumil, RIA Novosti aga kurdab, et ka nende veebisait olevat küberrünnaku alla langenud.