Ründed ja nende vältimine
Käsitleme põgusalt järgnevaid teemasid:
- terminoloogia
- erinevat tüüpi kahjurvarad
- vahendusrünne ehk Man in the Middle attack
- botnetil põhinevad ründed
- teenusetõkestus ehk Denial of service (DoS)
- hajutatud teenustõkestus ehk Distributed Denial of Service (DDoS)
- spoofing tüüpi ründed (nt. DNS spoofing)
- küberründed, kübersõda, zero-day turvaaugud
- pordid, tulemüürid, antiviirused
Kahjurvara
Kahjurvara (pahavara, malicious software, malware) on pahatahtlike kavatsustega kirjutatud programmikood (def: AKIT). Kahjurvara eesmärk on tavaliselt rünnata kas konkreetset nakatunud arvutit (näiteks isikuandmete kogumine, normaalse töö takistamine) või teisi arvuteid (näiteks rämpsposti saatmine). Lisaks sellele on kahjurvaral erinevaid levinud omadusi, mille järgi seda liigitada saab.
Viiruste (virus) ja usside (worm) eesmärk on ennast levitada. Viirus poogib ennast mõne olemasoleva faili külge ning selle käivitamisel nakatab ka teisi arvutis olevaid faile (kopeerib ennast nende külge). Erinevalt viirustest ei vaja ussid levimiseks kasutaja abi, nemad levitavad ennast ise aktiivselt, näiteks kopeerivad ennast mälupulgale kohe kui see arvutiga ühendatakse või otsivad võrgus väljajagatud kaustu, et end sinna kopeerida.
Näited: Stuxnet (vt. allpool), I love you, Melissa
Troojahobu (trojan horse) on kahjurvara, mis on maskeeritud millekski näiliselt kahjutuks. Veelgi enam, troojahobu on tavaliselt osa programmist, mis kasutajale atraktiivne ja vajalik tundub - nii peibutatakse kasutajat endale kahjurvara arvutisse paigaldama.
Näited: Zeus
Juurkratt (rootkit) on kahjurvara, mis enda jälgi peidab. Juurkratid peidavad ennast operatsioonisüsteemi protsessitabelist ja kustutavad logidest, et kasutaja nende olemasolust teada ei saa. Lisaks panevad juurkratid end taas automaatselt tööle juhul kui kasutajal õnnestub juurkratt siiski üles leida ja sulgeda.
Näited: Sony rootkit, Greek wiretapping case 2004–05
Tagauks (backdoor) on kahjurvara, mis võimaldab kasutaja teadmata kõrvalistel isikutel (ründajatel) ligipääsu antud arvutisse. Näiteks võib tagauks panna tööle teenuse, mille kaudu ründaja saab arvutisse sisse logida või uut kahjurvara lisada.
Lunavara (ransomware) on kahjurvara, mis rikub nakatatud süsteemi käideldavust (näiteks mingite failide krüpteerimise teel) või teeskleb mingi kahjurkoodi avastamist ja nõuab käideldavuse taastamise või "kahjurkoodi kõrvaldamise" eest lunaraha. Allikas: http://akit.cyber.ee/
Näited: CryptoLocker, Reveton, WannaCry, Petya/NotPetya
MITM
Vahendusrünne on aktiivne pealtkuulamisrünne, kus ründaja vahendab märkamatult sõnumeid mitme osapoole vahel. Niisuguse ründe ohvrid arvavad, et nad suhtlevad privaatselt, kuid tegelikult on vahendajaks ründaja, kes saab sõnumeid lugeda, salvestada ja muuta. Seega on selle ründe jaoks oluline, et ründajal oleks soodne positsioon. Ründaja jaoks on väga hea kontrollida ruuterit, sest sealt liigub andmeside, mida saab muuta. Samuti on heas positsioonis interneti teenusepakkuja, kes vahendab liiklust. Näiteks on võimalik, et emailivahetus muudetakase ründaja poolt ebaturvalisemaks juhul kui õnnestub STARTTLS sõnum vahendusründega eemaldada, sest sellisel juhul edastatakse email ilma krüpteerimist kasutamata.
Niisugune rünne on võimalik ainult siis, kui osapooled pole teinud mõlemapoolset autentimist. Süsteem, mis on vahendusründe eest kaitstud peaks omama teist turvalist kanalit autentimisinfo (avalike võtmete) vahetamiseks.
Vahendusrünne, allikas.
Rohkem infot leiab vastavast Wikipedia artiklist.
Botnet
Botnet (robotvõrk, zombivõrk) on oma nime saanud IRC serverite botide järgi, mis pole oma olemuselt kuidagi pahatahtlik tegevus. Internet Relay Chat (IRC) on interneti jututubade süsteem, kus kasutaja saab ühenduda mingi IRC serveriga ning seal liituda erinevate jututubadega (kanalitega). IRC botid on arvuti poolt juhitavad jututubade külastajad, kes täidavad mingeid automatiseeritud funktsioone, näiteks haldavad kanali ja seal olevate kasutajate õigusi. Et sellise administreeriva boti võrguühenduse katkemisel kanaliga midagi ei juhtuks, olid need botid dubleeritud mitmetesse eri masinatesse, moodustades nii botneti. Pahatahtlik botnet töötab sarnasel põhimõttel, kus ohvri arvuti liitub mingi grupiga (botnetiga), aga antud juhul pole kasutaja sellest üldjuhul teadlik.
Üldiselt võib öelda, et botnet on hulk arvutiprogramme, mis on interneti kaudu ühenduses ning mis täidavad koos mingit ülesannet, olgu selleks siis IRC kanali haldamine või midagi pahatahtlikku. Botnetis osalemiseks on vaja, et arvutisse oleks paigaldatud spetsiaalne klientprogramm, mis võtab ühendust botneti keskserveriga (Command & control) ning jääb sealt edasisi käsklusi ootama. Sellist programmi ei paigalda kasutaja endale loomulikult vabatahtlikult - see tuleb mõne pahavaraga.
Botneti haldaja saab keskserveri kaudu botnetti kuuluvatele arvutitelt ülesandeid anda. Botnetti saab kasutada näiteks:
- info kogumiseks nakatunud arvuti või kasutaja kohta - paroolid, krediitkaardi number, kompromiteerivad materjalid jpm;
- hajusa teenusetõkestusrünnku (DDoS) korraldamiseks;
- rämpsposti (hajusaks) saatmiseks;
- suurt arvutusjõudlust vajavateks töödeks, näiteks paroolide murdmiseks või bitcoinide kaevandamiseks;
- pahavara edasi levitamiseks, sh botneti enda suurendamiseks.
Neid kasutusvaldkondi saab botneti haldaja edasi müüa ka teenusena nagu kujutatud järgneval joonisel:
Wikipedia andmetel on kuulunud suurematesse botnettidesse miljoneid arvuteid. Siiski piisab suure kahju tekitamiseks ka oluliselt väiksemast botnetist.
Üheks tuntumaks botneti loomiseks kasutud kahjurvarast on Zeus. See on troojahobu, mis töötab Windowsi operatsioonisüsteemidel ja kasutab enda varjamiseks mitmeid keerukaid võtteid. Seetõttu oli nakatumise tuvastamine keerukas. Rohkem infot Zeus-i kohta leiab siit: Zeus (Trojan horse) ja GameOver Zeus P2P Malware.
Botneti haldamine on muutunud äriks ja seetõttu on haldamiseks kasutatavad tööriistad muutunud kasutajasõbralikuks. Heaks näiteks on Citadel administreerimispaneel, mis võimaldab kontrollida ja saada ülevaadet kontrollitavatest arvutitest. Ekraanitõmmised botneti Citadel administreerimispaneelist: http://malware.dontneedcoffee.com/2012/07/inside-citadel-1.3.4.5-cncNbuilder.html.
DoS / DDoS
Teenusetõkestuse ründega üritab ründaja veebilehte või teenust üle koormata nii, et see poleks enam kasutajatele kättesaadav. Niisugust rünnet saab jagada kaheks: ühest allikast pärinev teenusetõkestus (DoS) ja mitmest allikast pärinev teenusetõkestus (DDoS ehk Distributed Denial of Service). DDoS ründe jaoks kasutatakse ründaja kontrolli all olevas botnetis olevaid nn. zombi arvuteid eesmärgiga mingi kindel veebileht või teenus ülekoormata. Juhul kui ründajal pole enda botneti, siis saab ta vastavat teenust osta teiste küberkurjategijate käest.
Enamasti on DDoS eesmärgiks veebilehe või veebiteenuse ajutine ülekoormamine, mille tulemusena vastav veebileht või veebiteenus pole ründe vältel kättesaadav. Seetõttu pole sageli DDoS näol tegu keeruka ründega ning pärast ründe lõppemist muutuvad veebilehed ja veebiteenused uuesti kättesaadavaks. Samas ajab meedia sageli segamini sissemurdmine ja lihtsa teenustõkestusründe.
2007 aastal toimus teenustõkestusrünne Eesti veebilehtede vastu. Tegu oli keskmisest keerukama ründega, sest tegevus oli koordineeritud ning maha üritati võtta mitmeid olulisi veebiteenuseid nagu näiteks internetipanku. 2015 aastal toimus suur DDoS rünne populaarse veebilehe GitHub vastu, sest GitHub ei nõustunud eemaldama ühe kasutaja poolt koostatud kirjeldust sellest, kuidas on võimalik mööda hiilida Hiinas toimuvast Interneti tsenseerimisest. Rohkem infot GitHub ründe kohta leiab järgnevast artiklist: DDoS attacks that crippled GitHub linked to Great Firewall of China.
Üks võimalus veebilehte kaitsmiseks teenustõkestusrünnete eest on kasutada pilveteenustel põhinevaid lahendusi. Kuna pilveteenusepakkujatel on juurdepääs suurele ülekandekiirusele ja neil on ilmselt ka korralik riistvaraline tugi, siis võib pilveteenus ilmselt teenustõkestusrünnet vastu võtta ning veebilehte ning veebiteenust kättesaadavana hoida. Niisugust teenust pakuvad mitmed eri firmad, üks tuntumaid neist on Cloudflare.
Google pakub osadele meediakanalitele ja inimõiguste eest võitlejatele niisugust teenust tasuta läbi projekti Shield, mille kohta saab täpsemalt lugeda siit: Project Shield. Antud teenuse eesmärgiks on kaitsta sõnavabadust.
Selline teenusetõkestusründe kaitse töötab nn "tagurpidi" proxy kaudu, st kliendi ühendused veebiserverisse suunatakse läbi vastava kaitseteenuse pakkuja (Cloudflare, Google). Turvalise (HTTPS) ühenduse puhul tähendab see seda, et TLS/SSL tunnel katkeb proxy teenuse pakkuja juures ja seetõttu ei sobi selline lahendus kõrge konfidentsiaalsusega andmete edastamiseks (näiteks internetipangad).
Lisaks Cloudflare-le võivad HTTPS ühenduse ära lõhkuda ka ettevõtted, kes tahavad töötajate liiklust jälgida vahendusrünnet kasutades. Samuti paigaldavad mõned antiviiruse tarkvarad brauserisse laienduse, mis loob reaalajas enda poolt veebilehtede jaoks sertifikaate, et antiviirusel oleks võimalik HTTPS-i kasutavale lehele saadetavat infot skänneerida. Kõik eelnevalt mainitud tegevused lõhuvad ära HTTPS poolt pakutava turvalisuse ning sellest kirjutatakse järgnevas artiklis täpsemalt: The Security Impact of HTTPS Interception (2017)
Ründed Eestis
Riigi Infosüsteemi Ameti küberturvalisuse teenistuse 2015. aasta aruanne (pdf) andis hea ülevaate Eestis toimunud levinud ründeliikidest ning nende kasvutrendidest:
Kui 2015. aastal registreeris CERT-EE Eesti arvutivõrkudes 5809 juhtumit, siis 2016. aasta aruande põhjal (pdf) oli see arv juba 9135.
2018 aasta küberturvalisuse raporti kohaselt käsitles RIA 2017 aastal 10923 küberturbejuhtumit. Nende täpsemast jaotusest annab ülevaate vastavas raportis olnud joonis:
2018 aastal suurenes oluliselt RIA poolde pöördumiste hulk. 2019 aasta küberturvalisuse raportis on välja toodud, et eelneval aastal pöörduti küberturbejuhtumite tõttu RIA poole 17440 korral.
Kübersõda
Siiani vaieldakse selle üle, mis on kübersõda või kübersõjategevus ning kas reaalselt on mõni kübersõda toimunud. Küsimus seisneb selles, et kas iseseisvat küberrünnet võib nimetada sõjaks ja kui ulatuslik peaks küberrünne olema, et seda saaks nimetada sõjaliseks agressiooniks. Paljud küberturvalisust uurivad inimesed on arvamusel, et ühtegi kübersõda pole siiani toimunud ning siiani on ainult nähtud üksikuid riikide poolt korraldatud küberründeid. Samas on üpris tõenäoline, et edaspidi kasutatakse küberründeid konventsionaalse sõjategevuse toetamiseks.
Päris kübersõjas rünnatakse suure tõenäosusega riiklikult olulisi infrastruktuuriobjekte, näiteks riiklikke infosüsteeme, elektrijaamu, sidesüsteeme, transporti jne. Turvauurijatele on üldteada faktiks, et tehastes olevad kaugmonitoorimist või kaugjuhtimist võimaldavad seadmed (SCADA) on nõrgalt turvatud. Seetõttu on ründajatel võimalik kontrollida suurt osa tehastes olevatest SCADA süsteemidest. 2015 aasta sügisel oli ajakirjas Forbes lugu SCADA süsteemide ebaturvalisusest: Want Some Nuclear Power Plant 'Zero-Day' Vulnerabilities? Yours For Just $8,000. Antud artiklis kirjutati, et SCADA süsteemi zero-day turvaaugu hinnaks võib olla kõigest 8000 dollarit. SCADA süsteemidega seotud zero-day turvaaukude turust on kirjutatud järgnevas artiklis: Buying and Selling SCADA Zero-Days. Selle info põhjal võib eeldada, et kübersõja korral on reaalseks ohuks tehaste ja elektrijaamade vastu tehtavad küberründed. Niisuguseid ründeid on juba korraldatud ning neist kõige tuntum on Iraani tuumakütuse rikastamise tehase edukas ründamine Stuxneti abil. Teiseks näiteks võiks tuua 2015 aasta lõpus toimunud rünne, mis oli suunatud Ukraina elektrisüsteemi vastu: Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid.
Küberründed on vahend:
- spionaažiks ja luuretegevuseks
- poliitiliselt motiveeritud sabotaažiks
- sabotaažiks, mis toetab konventsionaalset sõjategevust
- poliitiliselt motiveeritud teenustõkestusründeks
Sihtmärgid:
- energeetika
- tehased
- veevärk
- sidesüsteemid
- transport
- riiklikud infosüsteemid
- militaarsüsteemid (side, juhtimissüsteemid, gps, jne.)
Küberrünnete näited:
- 2007 - teenustõkestusründed Eesti veebilehtede ja pankade vastu
- 2008 - Venemaa ja Gruusia vahelises sõjas
- 2010 - Iraani tuumarajatise ründamine Stuxnet abil
- 2015 - Ukraina elektrisüsteemi ründamine
Black Hat Asia 2018 raames tegi antud teemast hea ülevaate The Grugq:
Stuxnet
Stuxnet oli esimene kübersabotaaži juhtum, mis avastati 2010 aasta juulis. Stuxnet oli ülikeerukas uss, mis oli loodud ainult ühte kindlat sihtmärki ründama. Ründe sihtmärgiks oli Iraanis asuv uraani rikastamise tehas. Stuxnet eesmärgiks oli tungida kõrgelt turvatud tuumakütuse rikastamise tehasesse ning saboteerida uraanirikastamiseks kasutatavad tsentrifuugid, kusjuures oli teada, et riistvara, mida oli vaja rünnata polnud Internetti ühendatud. Stuxnet oli disainitud nii, et selle ründekood aktiveeruks ainult kindlat tüüpi Siemensi riistvaras, mis tähendas, et muid seadmeid Stuxnet ei kahjustanud. Stuxneti abil korraldatud rünne oli edukas, sest Stuxneti sai tuumakütuse rikastamise tehast saboteerida aasta aja jooksul ilma, et keegi oleks pahavara avastanud. Selle aja jooksul õnnestus Stuxnetil hävitada umbes 1000 tuumakütuse rikastamiseks kasutatud tsentrifuugi ning väidetavalt tähendas see Iraani tuumaprogrammile mitmeaastast tagasilööki.
Kuidas oli Stuxnetil võimalik nakatada kõrgelt turvatud tuumarajatist, mille olulised seadmed ei olnud ühendatud Internetti? Levinud arvamuse kohaselt pidi Stuxnet levima tehasesse kaudselt läbi tehases hooldustöid tegevate ettevõtete. Seega nakatati kõigepealt hooldustöid tegevate ettevõtete töötajate arvutid, kes omakorda nakatasid ettevõtte arvutid ning USB pulgad. Stuxnet oskas levida USB pulkade abil ja see oligi ilmselt meetod, mis võimaldas Stuxnetil tuumakütuse rikastamise tehasesse pääseda. Kui Stuxnet sai aru, et ta oli tehasesse pääsenud, siis hakkas ta aeglaselt tehases olevaid tsentrifuuge saboteerima. Selleks, et vältida enda tuvastamist võltsis Stuxnet tsentrifuugide diagnostikaandmeid, et tehases olevad töötajad ei hakkaks rünnet kahtlustama ja arvaksid, et tsentrifuugid töötavad korrektselt.
Stuxnetil õnnestus levida ja jääda märkamatuks osaliselt tänu sellele, et kasutati nelja nn. zero-day turvaauku, mille kohta saab täpsemalt lugeda siit:zero-day vulnerabilities. Niisugused turvaaugud on ründajate jaoks väga väärtuslikud, sest need pole teada ei tarkvara tootja jaoks ega ka avalikkuse jaoks ning seetõttu saab nende turvaaukude abil ehitada ründeid, mida on raske tuvastada. Seetõttu kasutavad ründajad zero-day turvaauke sageli selleks, et arvutitesse või arvutivõrkudesse märkamatult sisse tungida. On oluline aru saada, et antiviirused ja muud turvatarkvarad ei suuda enamasti zero-day turvaaukudel põhinevaid ründeid tuvastada. Kuna vastavad turvaaugud on väga väärtuslikud, siis müüakse neid mustal turul, aga lisaks sellele on olemas ka legaalseid ettevõtteid, kes tegelevad zero-day turvaaukude kokkuostmise ja vahendamisega. Niisuguste ettevõtete kliendid on enamasti riigid või riiklikud agentuurid. Arvatakse, et riigid on kõige suuremad zero-day turvaaukude ostjad. Antud teema kohta saate täpsemat infot RAND-i poolt koostatud raportist: Zero Days, Thousands of Nights - The Life and Times of Zero-Day Vulnerabilities and Their Exploits.
Ei ole täpselt teada, millal Stuxnet alustas Iraani tuumakütuse rikastamise tehases olevate tsentrifuugide saboteerimist, aga on teada, et 2009 aasta juunist tuvastasid turvalisusega tegelevad ettevõtted Stuxnet mitmes eri maailma osas. Stuxnet suutis tsentrifuuge saboteerida umbes aasta enne kui see tuvastati. Selle aja jooksul hävitas Stuxnet umbkaudu 1000 tuumakütuse rikastamiseks kasutatavat tsentrifuugi.
Stuxnetist saab hea ülevaate järgmise artikli kaudu: An Unprecedented Look at Stuxnet, the World’s First Digital Weapon. Veel täpsema ülevaate saab järgnevast raamatust: Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon. 2018 aastal avaldati Stuxneti kohta käiv detailne raport: To Kill a Centrifuge.
Lisaks võib olla kasulik vaadata järgnevalt viidatud videot, kus Mikko Hyppönen räägib Stuxnetist ja selle võimalikest tagajärgedest. Ta eeldas, et sarnaseid ründeid näeme järjest rohkem, kuid siiani pole ennustus tõeks osutunud. Põhjus seisneb ilmselt sellest, et ükski suurriik ei taha näidata enda küberründe võimekust (paljastada teadaolevaid turvaauke) ilma olulist põhjust omamata. Teisi suurriike on ohtlik rünnata, sest nad võivad vastata samaga.
Kaitse rünnete vastu
Läbistustestimine
Läbistustestimiseks (penetration testing) nimetatakse sissetungirünnete imiteerimist turvameetmete toimivuse kontrollimiseks, sageli süsteemi sertifitseerimistestimise osana. Allikas: http://akit.cyber.ee/
Pordid ja tulemüür
Pordid
Pordiks nimetatakse andmeside lõpp-punkti. Port on seotud seadme IP aadressiga, kasutatava protokolliga ja pordi numbriga. Pordi number on kahe baidine arv ehk siis arv vahemikus 0 kuni 216. Transpordi protokollide (TCP, UDP) päisesse lisatakse nii lähtepordi number kui ka sihtpordi number. Neid kasutatakse paketi suunamiseks õigesse porti ehk määratud rakendusele.
Porte saab jagada üldtuntud portideks (0 kuni 1023), registreeritud portideks (1024 kuni 49151) ja dünaamilisteks portideks (49152 kuni 65535). Registreeritud vahemiku porte saab registreerida kindla teenuse jaoks, aga neid saavad kasutada ka tavakasutajad. Dünaamilise vahemiku porte ei saa kindla teenuse jaoks registreerida, neid porte saab kasutada vastavalt vajadusele näiteks ajutiste teenuste jaoks.
Üldtuntud porte kasutavad protsessid, mis pakuvad sagedasti kasutatavaid võrgu teenused. Need pordid on reserveeritud teenuste jaoks, mille poole kliendid sagedasti pöörduvad. Üldtuntud porte kasutavad serverid kliendi päringute kuulamiseks.
Näited:
- 80: HTTP (veebiserver)
- 443: HTTPS (veebiserver)
- 21: FTP
- 22: SSH
- 53: DNS
Näiteks kasutavad brauserid porte 80 ja 443, et pöörduda erinevate veebiserverite poole kasutades vastavalt HTTP või HTTPS protokolli. Kui brauser tahab luua ühendust veebiserveriga, siis määrab operatsioonisüsteem brauserile lähtepordi ja sihtpordiks kasutatakse vastavalt kas porti 80 või 443.
Tulemüür
Tulemüür on tarkavara või riistvara, mis analüüsib sisenevat ja väljuvat andmesidet ning filtreerib seda vastavalt seatud reeglitele. Filtreerimiseks saab kasutada erinevaid parameetreid, näiteks IP, porte, kasutatavat protokolli, rakendusi.
Tulemüür, allikas
Tulemüüri peamine eesmärk on kaitsta sisemist võrku välise ebaturvalise võrgu eest. Mõned internetiteenuse pakkujad pakuvad teenust vaikimisi suletud portidega, et suurendada klientide turvalisust. Sellisel juhul on välisest võrgust juurdepääs kliendi seadmele piiratud, kuna teenusepakkuja filtreerib teatud portidele tehtud pöördumisi. Lahtised pordid ise ei ole probleemi põhjuseks, kuid lahtiste portide abil saab rünnata teenuseid ja rakendusi, mis kuulavad vastavaid porte.
Tulemüüri teine oluline roll on väljuvate ühenduste filteerimine. Sellega saab teoorias takistada pahavara levikut või informatsiooni lekkimist. Lisaks siseneva ja väljuva liikluse filteerimisele saab tulemüür logida sisenevaid ja väljuvaid ühendusi. Logide põhjal saab kindlaks teha, mis arvutivõrgus toimunud on.
Windowsi tulemüür
Tulemüüri seadistamiseks: “Control Panel -> System and Security -> Windows Firewall -> Advanced Settings”
Mac OS X tulemüür
Tulemüüri seadistamiseks: “System Preferences -> Security & Privacy -> Firewall -> Firewall Options.”
Viirusetõrje
Kuigi terminid "antiviirus" ja "viirusetõrjeprogramm" viitavad ainult viirustele, on tegemist sellise tarkvaraga, mis tuvastab ja eemaldab arvutist mitmesugust kahjurvara, lisaks viirustele ka usse, troojahobusid, juurkratte jm.
Viiruste tuvastamine
Antiviirus tuvastab arvutis kahjurvara põhiliselt kahel viisil. Esiteks on antiviiruse tarkvara tootjatel olemas andmebaasid erineva kahjurvara signatuuridest (teatud muster failis, mis tuvastab kahjurvara). Otsidest olemasolevatest failidest selliseid mustreid, on võimalik väga suure tõenäosusega kahjurvara tuvastada.
Kahjuks on aga ründajad antiviiruse tootjatest alati sammu võrra ees, sest päris uue kahjurvara puhul ei ole keegi seda veel jõudnud analüüsida ning seega pole andmebaasides ka selle signatuuri. Seepärast kasutavad moodsad viirusetõrjeprogrammid ka heuristilisi meetodeid, ühe lihtsa näitena võivad nad muuta veidi olemasolevate viiruste koodi ning siis otsida failidest vastavat signatuuri.
Kolmas võimalus on proovida, mis juhtub, kui potentsiaalne viirus tööle panna. Selleks loob antiviirus liivakasti (sandbox), mis on müüst süsteemist eraldatud ja proovib faili seal käivitada/kasutada. Antiviirus jälgib programmi tegevust ning püüab tuvastada, kas tehakse midagi ebatavalist.
Kaitse reaalajas
Enamik antiviiruseid töötab pidevalt, st nad käivituvad koos operatsioonisüsteemiga. Lisaks juba arvutis olemasolevatele failidele annab see võimaluse arvuti tööd ka reaalajas jälgida ning võimalikele ohtudele reageerida. Näiteks skaneerib antiviirus tüüpiliselt mälupulga sisu enne kui seda kasutajale näidatakse, samuti internetist allalaetud faile ja e-posti manuseid.
Antiviiruse puudused ja ohud:
- Kahjurvara leidmisel palutakse tihti kasutajal otsustada, mis failiga edasi teha. See otsus pole alati triviaalne.
- Reaalajas töötavad antiviirused muudavad süsteemi aeglaseks, sest skaneeritakse kõiki käivitatavaid faile.
- Heuristilisi meetodeid kasutavad antiviirused võivad teha valesid otsuseid, kusjuures tuvastamata jäänud kahjurvara (false negative) kõrval on sama halb ka ekslikult kahjurvaraks tembeldatud tavaline fail (false positive).
- Viirusetõrjeprogramm käivitatakse operatsioonisüsteemis väga suurte õigustega. See on tööks vajalik, aga loob uue võimaluse rünneteks, näiteks liba-antiviirus (vt. troojahobud).
Sobiva antiviiruse valimine
Windows operatsioonisüsteemis on vaja kasutada viirusetõrjeprogrammi! Suuremad tegijad sel turul on näiteks F-Secure, Symantec, Kaspersky ja ESET. Õnneks leidub küllaldaselt tasuta antiviiruseid, mis on tavaliselt vastava tasulise toote kärbitud versioonid, kuid kriitiline funktsionaalsus on siiski olemas. Näiteks AVG, Avira ja Avast.
Alates Windows XP-st on saadaval ka Microsofti enda poolt pakutav Microsoft Security Essentials, mis pakub esmast kaitset. Alates Windows 8-st on mainitud tarkvara Windows Defender üks osa ja see paigaldatatakse koos operatsioonisüsteemiga.
Kasulikud lingid
- Eesti kohta käivad raportid
- RIA küberturbe aruanne 2015
- RIA küberturvalisuse teenistuse 2016. aasta kokkuvõte
- RIA Küberturvalisus 2018 (2017 aasta kokkuvõte)
- RIA Küberturvalisus 2019 (2018 aasta kokkuvõte)
- Muud raportid
- Küberründed / kübersõda / huvitavad kahjurvarad
- The meaning of Stuxnet (2010)
- Hackers attacked the U.S. energy grid 79 times this year (2014)
- German nuclear plant infected with computer viruses, operator says (2016)
- Technical Report about the Malware used in the Cyberespionage against RUAG (2016)
- Hackers Make the First-Ever Ransomware for Smart Thermostats (2016)
- Wickedly Clever USB Stick Installs a Backdoor on Locked PCs (2016)
- How a Grad Student Found Spyware That Could Control Anybody’s iPhone from Anywhere in the World (2016)
- Unpatchable Flaw Affects Most of Today's Modern Cars (2017)
- Lessons from TV5Monde 2015 Hack (2017)
- Why the Equifax breach is very possibly the worst leak of personal info ever (2017)
- Billions of devices imperiled by new clickless Bluetooth attack (2017)
- Collection of links to IoT attack
- The Untold Story of NotPetya, the Most Devastating Cyberattack in History (2018)
- Muud lingid:
- VirusTotal - faili kontrollimine paljude antiviirusprogrammidega