Flashi mängijas on turvaviga!

CERT Eesti hoiatab: Adobe Flashi mängijas oleva turvavea abil saavad pahalased paigaldada pahaaimamatute internetisurfajate arvutitesse pahavara. Arvuti nakatamiseks piisab mõne nakatunud veebilehe väisamisest.

Kindlalt on teada, et on turvaveaga on flashi mängija versioonid 9.0.124.0 ja 9.0.115.0. Turvaveaga on ka hetkel veebist allalaetav viimane versioon ning ei saa välistada, et vigased on ka need versioonid, mida teates nimetatud ei ole.

Turvaviga võimaldab spetsiaalse faili abil installeerida kasutaja arvutisse viimase teadmata klahvivajutuste püüdja või pahalaste kasutatava “tagaukse”. Flashi turvavea intensiivne kasutamine arvutite nakatamiseks on kõrgendanud tarkvaratootja Symantec internetiturvalisuse mõõdikut ühe pügala võrra – roheliselt kollasele – mis viitab probleemi tõsidusele.

Flashi mängija turvaveaga võitlemiseks on soovitav blokeerida oma brauseris Flashi näitamine või eemaldada turvaveaga Flashi mängija arvutist seniks, kuni Adobe pole ilmutanud oma mängija parandust või uut versiooni mängijast.

Flashi mängija turvaviga ärakasutav rünnak tehakse tavaliselt viimasel ajal väga laialdaselt levinud andmebaasi turvavea kaudu. Selle abil lisatakse tavalisetele suure külastatavusega veebilehtedele peidetud viited pahavara sisaldavatele veebilehtedele (andmebaasi turvavea tõttu nakatunud veebilehtede arv ületab mõningatel hinnangutel poolt miljonit). Teadaolevalt on nakatunud veebilehtede hulgas ka mitmete riikide asutuste ametlikud veebilehed.

Flashi mängija näitab veebilehtedele lisatud interaktiivset või animeeritud sisu ning on Adobe omanduses olev tehnoloogia.

Vea kohta saab lugeda täpsemalt siit.
Symanteci Interneti turvalisuse mõõdiku kohta info on siin.

Omalt poolt lisaksin, et Firefoxi kasutajad võiksid kaaluda Noscript-plugina paigaldamist.

Kettakrüpto lahti mõne minutiga

Princetoni ülikooli teadlased on teinud videoklipi, mis demonstreerib, kui lihtne on ligi pääseda krüpteeritud ketastel olevatele andmetele. Rünnatavad on enamikud levinud ketta krüpteerimise lahendusi nagu TrueCrypt, BitLocker (Windows kettakrüpto) ja FileVault (Mac OS kettakrüpto). Rünne kasutab ära asjaolu, et ketta krüpteerimiseks kasutatav krüptovõti on arvuti kasutamise ajal loetud muutmällu (RAM) ning muutmälus ei kustu andmed koheselt pärast voolu kadumist. Videos demonstreeritakse, et muutmälus olevad andmed püsivad taastatavad minuteid ning andmete säilimisaeg pikeneb mälu jahutamisel kiiresti.

video://www.youtube.com/watch?v=JDaicPIgn9U

Sellise ründe vastu saab end kaitsta nõudes arvuti käivitamisel parooli juba BIOS-e laadimisel (parooli saab seada arvuti BIOS Setup programmist). Oluline on siinkohal märkida, et sarnased ründed on võimalikud kasutades operatsioonisüsteemide võimalust automaatselt käivitada sisestatud plaatidel või ühendatud välistel seadmetel olevaid programme (nn. AutoPlay).

Arvutikaitse ABC

arvutikaitse_abc_esikaas.jpgSee on väga hea ja asjakohane raamat. Mina kirjutasin selle 🙂

Tähendasin seal üles enamlevinud pahavara iseloomustused ning mõningad võtted, kuidas end internetiohtude vastu kaitsta. Üritasin vältida akadeemilist soliidsust ning lugeja koormamist tehniliste detailidega, nii et seda peaksid julgema kätte võtta ka need, kes end arvutiasjanduses väga kodus ei tunne.

Kõik nähtused on rühmitatud eraldi peatükkidesse ja esitatud tähestiku järjekorras. Kaanest kaaneni järjest läbilugemine ei ole kohustuslik, kavalam on leida registrist huvipakkuv märksõna ja lugeda konkreetset peatükki. Jah, paberil ei saa ikka nii mugavalt linkida kui internetis…

Irja Ahi tegi “Arvutikaitse ABC”-le võrratud ja vaimukad illustratsioonid, Sverre Lasn ägeda kujunduse. Väljaandmise korraldas sihtasutus Vaata Maailma, rahaliselt toetasid Hansapank, SEB, Elion ja EMT.

Esitlus on täna, 12.02 kell 14 Viru Keskuse Rahva Raamatu esitlussaalis. Osta saab esialgu Rahva Raamatust, kui trükikoda ülejäänud tiraaži valmis saab, siis ka Apollost ja mujalt.

Hoiatus: uut tüüpi viirused!

Hillar Aarelaid CERT-ist saadab sellise hoiatuse. Asi on tõsine, taustainfo väidab, et rünnatud on konkreetselt Eesti pankade kliente. 

Arvutiturbe uurimisega tegelev firma Panda Research hoiatab oma analüüsis uut tüüpi viiruste eest, mis suudavad kasutajate pangakontodelt raha varastada, ilma et kasutaja seda märkaks.

Kui varem võis kasutaja pahavarast aru saada selle järgi, et panka sisenemisel küsiti näiteks mitut koodi, siis nüüd on liikvel uut tüüpi viirused. Neid saab leida vaid viirusetõrjega, ilma tarkavara kasutamata ei ole nakatunud ja viirusest puhta arvuti erinevust võimalik näha. Nn troojalased nimedega Limbo ning Sinowal sisenevad kaitsmata arvutitesse kasutaja teadmata ja lisavad sinna koodi, mis annab kontrolli arvuti üle.

Kui kasutaja tahab olla kindel, et tema arvuti ei ole uut tüüpi viirustega nakatunud, tuleks arvuti puhastada viirusetõrjega. Kuna need viirused uuenevad kiiresti, on hea kasutada mitme eri firma tarkvarasid ja lasta neil oma arvuti üle kontrollida.

Kel veel viirusetõrje tarkvara arvutis ei ole, on võimalik arvutifirmadelt tellida arvuti puhastamist viirustest ja paluda selle käigus endale uusim viirusetõrje installeerida.

Symantec hoiatab: spämmerid ründavad ajaveebide kaudu

Saime Symantecilt järgmise pressiteate:

Peale jõulupühade rämpspostivoogu suunduvad spämmerid trendikate ajaveebide kallale

Turvatarkvaratootja Symanteci värske rämpspostiraporti hinnangul oli kõikidest detsembrikuu jooksul maailmas saadetud meilidest keskmiselt 75% rämpspost. Jõulupühadele eelnevail päevil kerkis rämpsposti hulk isegi 83 protsendini. Novembrikuu maht oli 72%.

Detsembrikuus lisasid spämmide loojad rämpsposti erinevaid jõuluteemalisi peibutusi, et tekitada inimestes ettevaatamatust. Näiteks üks kaval uusaasta tervitus pakkus linki, mida klikkides sai lubaduse järgi kuulata toredat muusikalugu. Tegelikult sai kirja vastuvõtja enda arvutisse kiusaka Storm Worm viiruse.

Teised aktuaalsed detsembrikuu teemad, mida spämmerid kasutasid oma lõksudes, olid nafta ülemaailmne hinnatõus ning Ühendriikides toimuvad presidendi eelvalimised. Symanteci spetsialistid avastasid Aasias ja eriti Hiinas tõusva trendi, et reklaame või pahavara sisaldavaid ajaveebe paigaldatakse saitidele, mis pakuvad kasutajatele tasuta kettaruumi.

Symanteci jaanuarikuu rämpspostiraporti koos statistiliste andmetega saab alla laadida sellelt veebilehelt.
Symantec monitoorib ülemaailmset spämmitegevust üle 2 miljoni spetsiaalselt loodud meilikonto abil. Lisaks sellele on ettevõte ehitanud Interneti-andmeliikluse monitooringuvõrgustiku, mis katab oma 40 000 sõlmkohaga rohkem kui 180 riiki. Symanteci tehnoloogia kaitseb praegu maailmas üle 450 miljoni e-posti aadressi.

Mikko Tallinnas

mikko.JPGMõned F-Secure’i turvapealiku Mikko Hypponeni mõtted tema tänasest ettekandest Estonia talveaias.

F-Secure’i turvalaborisse tuleb 17 000 pahavarakahtlusega koodinäidist päevas, tegelikku pahavara on sellest 300-500 ühikut. Mida on sellegipoolest palju 🙁 Hetkel on teada 250 000 ühikut pahavara, Mikko ennustab selle kahekordistumist aasta jooksul.

10 aastat tagasi tuli muretseda kurjategijate pärast, kes tegutsesid sinuga samas linnas. Nüüd tuleb muretseda arvutikurjategijate pärast, kes tegutsevad näiteks Brasiilias. Hullem veel – kurjategijat ei huvitagi, kes te olete või kus te asute – teda huvitab ainult see, kuidas teilt teie raha ära võtta.

Mikko jutustas ka Tariq al-Daour’ist, kes mängis varastatud krediitkaardinumbritega pokkerit ning ostis nende kaudu kaotatud summade (kokku 2 mln eurot) varustust Iraagi mässulistele.

Tõenäoliselt vene päritolu Storm Worm’i grupi rünnak algas 18.01.2007, kõigepealt lihtsalt exe-failidest manustega. Kuna enamus tulemüüre pidasid selle spämmi kinni, hakati saatma võltslinke youtube’i, mis nõudis videoklipi näitamiseks “plugina” allalaadimiseks. Jätkati pühadekaartidega. Kokku saadi ligi miljonist arvutist koosnev p2p-põhine botnet, millel polnud keskserverit, mida maha võtta. Ehk siis superarvuti, mida ei kontrolli mitte valitsus või suurkorporatsioon, vaid kurjategijad. Lisaks sellele oli botnetil ka viirustõrjujavastane hoiatussüsteem, mis ründas kogu oma võimsusega neid, kes üritasid seda uurida.

Tekkinud superarvutit kasutatakse seesuguse spämmi renderdamiseks, mida tavalistel spämmitõrjetööriistadel raske töödelda. Kui saata välja miljon ühikut spämmi päevas ning sellele reageerib ka 0,0001 protsenti saajatest, teenitakse ikkagi tuhandeid.

Mikko arvates kasutaja harimine ei tööta kunagi – nagunii klikivad ja topivad igale poole oma krediitkaardinumbreid. Kavalamad troojalased, näiteks Torpig, viskavad popup-akna ette siis, kui logite oma pärispanka, küsides lisaautentimist krediitkaardinumbriga. Samuti kasutatakse pärisülekannete tegemisel pisiparanduste tegemist, suunates ülekande näiteks kurjategija arvele. Selliste nõksude vastu kasutajate harimine ei aita.

10-15 aasta pärast on põhiosa internetikasutajaid Aasias (hetkel on seal internetikattuvus vaid 10%). Kes neid kõiki harida jõuab? on Mikko lootusetu. Samas on tema hinnangul tavaliste kurjategijate kõrval kasvamas täppisinfot otsivate spioonide osakaal.

Suurem osa rünnakuid tuleb Ida-Euroopast (eriti Moskva ja Peterburi ümbrusest), Brasiiliast, Ida-Aasiast ja USA-st.

Häkkerifoorumitest saab osta varastatud krediitkaardinumbreid ja turvakleepse, pahavara ja spetsiaalselt teie konkurentide vastu suunatud rünnakuid. Suur osa kevadistest rünnakutest Eesti vastu tuli üüritud botnettidelt. Rahapesuks värvatakse tankiste (soovitavalt kriminaalkorras karistamata :)). Eelmisel aastal kasutati Rootsis ligi tuhandet tankisti ligi 9 miljoni Rootsi pankadel arvetelt varastatud Rootsi krooni väljavõtmiseks…