Institute of Computer Science
  1. Courses
  2. 2023/24 spring
  3. Information Security (MTAT.07.028)
ET
Log in

Information Security 2023/24 spring

  • Pealeht
  • Loengud ja praktikumid
  • Kodutööd ja reeglid
  • Terminoloogia
  • Eksam
  • Viited

Ründed ja nende vältimine

Sisukord

  • Terminoloogia ja kahjurvara liigitus
  • Küberründed
    • Vahendusrünne ehk MITM
    • Botnet
    • Teenusetõkestus ehk DoS
    • Ründed Eestis
  • Kübersõda
    • Stuxnet
  • Kaitse rünnete vastu
    • Tarkvara uuendamine ja üldine teadlikkus
    • Läbistustestimine
    • Pordid ja tulemüür
      • Pordid
      • Tulemüür
    • Viirusetõrje
  • Kasulikud lingid
  • Moodle foorum ja tagasiside ankeet

Käsitleme põgusalt järgnevaid teemasid:

  • terminoloogia
  • erinevat tüüpi kahjurvarad
  • vahendusrünne ehk Man in the Middle attack
  • botnetil põhinevad ründed
  • teenusetõkestus ehk Denial of service (DoS)
    • hajutatud teenusetõkestus ehk Distributed Denial of Service (DDoS)
  • spoofing tüüpi ründed (nt. DNS spoofing)
  • küberründed, kübersõda, zero-day turvaaugud
  • pordid, tulemüürid, antiviirused

Terminoloogia ja kahjurvara liigitus

Kahjurvara (pahavara, malicious software, malware) on pahatahtlike kavatsustega kirjutatud programmikood (def: AKIT). Kahjurvara eesmärk on tavaliselt rünnata kas konkreetset nakatunud arvutit (näiteks isikuandmete kogumine, normaalse töö takistamine) või teisi arvuteid (näiteks rämpsposti saatmine). Lisaks sellele on kahjurvaral erinevaid levinud omadusi, mille järgi seda liigitada saab. Allpool on välja toodud mõned levinumad kahjurvara tüübid.

Viiruste (virus) ja usside (worm) eesmärk on ennast levitada. Viirus poogib ennast mõne olemasoleva faili külge ning selle käivitamisel nakatab ka teisi arvutis olevaid faile (kopeerib ennast nende külge). Erinevalt viirustest ei vaja ussid levimiseks kasutaja abi, nemad levitavad ennast ise aktiivselt, näiteks kopeerivad ennast mälupulgale kohe kui see arvutiga ühendatakse või otsivad võrgus väljajagatud kaustu, et end sinna kopeerida.
Näited: Stuxnet (vt. allpool), I love you, Melissa

Troojahobu (trojan horse) on kahjurvara, mis on maskeeritud millekski näiliselt kahjutuks. Veelgi enam, troojahobu on tavaliselt osa programmist, mis kasutajale atraktiivne ja vajalik tundub - nii peibutatakse kasutajat endale kahjurvara arvutisse paigaldama. Kui troojalane on arvutisse jõudnud, siis paigaldab see arvutisse ründaja jaoks sobiliku funktsionaalsusega komponendi. Sageli on ründaja eesmärgiks paigaldada nakatunud arvutisse tagauks, mille kaudu saab nakatunud arvutit kaughallata ning edaspidi otsustada, mida täpsemalt saadud juurdepääsuga edasi teha. Tagauks (backdoor) võimaldab kasutaja teadmata kõrvalistel isikutel (ründajatel) ligipääsu antud arvutisse. Näiteks võib tagauks panna tööle teenuse, mille kaudu ründaja saab arvutisse sisse logida või uut kahjurvara lisada.
Näide troojalasest: Zeus

Juurkratt (rootkit) on kahjurvara, mis enda jälgi peidab. Juurkratid peidavad ennast operatsioonisüsteemi protsessitabelist ja kustutavad logidest, et kasutaja nende olemasolust teada ei saa. Lisaks panevad juurkratid end taas automaatselt tööle juhul kui kasutajal õnnestub juurkratt siiski üles leida ja sulgeda.
Näited: Sony rootkit, Greek wiretapping case 2004–05: lühiülevaade, detailne ülevaade: The Athens Affair (2007)

Lunavara (ransomware) on kahjurvara, mis rikub nakatatud süsteemi käideldavust (näiteks mingite failide krüpteerimise teel) või teeskleb mingi kahjurkoodi avastamist ja nõuab käideldavuse taastamise või "kahjurkoodi kõrvaldamise" eest lunaraha. Allikas: https://akit.cyber.ee/
Näited: CryptoLocker, Reveton, WannaCry, Petya/NotPetya. Soovitame lugeda artiklit selle kohta kuidas NotPetya mõjutas maailma: The Untold Story of NotPetya, the Most Devastating Cyberattack in History (sügis 2018)


Teade WannaCry lunavaralt (allikas)

WannaCry ja Petya/NotPetya kokkuvõte. (Allikas: RIA Küberturvalisus 2018, pdf)

CERT-EE registreeritud lunavaraintsidendid Eestis 2016 (Allikas: RIA küberturvalisuse teenistuse 2016. aasta kokkuvõte (pdf))

Viimastel aastatel on lunavara loojad hakanud ohvritelt välja pressima lunaraha ka selle eest, et ründajate kätte sattunud konfidentsiaalset infot ei avalikustataks. Lunavara levitajaid on palju ning pole garantiid, et lunaraha makstes oleks võimalik andmed tagasi saada. Samuti ei garanteeri lunaraha maksmine, et ründaja kustutakse juba tema valduses oleva teabe. Vastupidi, ründaja võib saata uue lunarahanõude ja küsida lunaraha selle eest, et faile ei avaldataks.

Lisaks kahjurvara kirjutamisele peab ründaja seda ka levitama ning see võib olla oluliselt keerukam kui kahjurvara loomine, eriti kui ründaja tahab enda tegevust varjata. Kui muud variandid ei toimi, siis võib ründaja kasutada piisavate ressursside olemasolu korral ka riistvaralist ründemeetodit. Kui varasemalt peeti niisuguste rünnete üle arutamist veidrike hobiks, siis pärast Snowdeni lekkeid selgus, et riistavara taseme ründed on tavapärased. Enamasti toimisid need nii, et kui ohver tellis endale riistvaraseadme, siis sai luureagentuur saadetise välja vahetada ning seeläbi seadme püsivara (firmware) sobivalt muuta. Püsivara muutmise rünnet on kirjeldatud artiklis Mouse Trap: Exploiting Firmware Updates in USB Peripherals. Tegelikult saab riistvaralise ründe läbiviimiseks mõeldud seadmeid osta ka endale (turvatestimise eesmärgil): malicious usb cable. Eelmisel lingil kuvatud USB laadimiskaabel on visuaalselt eristamatu originaalkaablist. Kuna niisugused seadmed on lihtsasti kättesaadavad, siis võiks hoolega mõelda enne võõra USB seadme kasutamist (eriti välisreisil olles).

Küberründed

Küberrünnetel võib olla väga erinevaid eesmärke. Mõnel juhul on eesmärgiks nakatada sihtmärk ning saada kaugjuurdepääs, aga eesmärgiks võib olla ka sihtmärgiks oleva seadme füüsiline hävitamine tarkvaratõrke tekitamise näol. Lisaks kahjurvara paigaldamisele võib eesmärgiks olla käideldavuse ründamine eesmärgiga takistada sihtmärgiks oleva organisatsiooni tegevust. Samuti võib küberründe eesmärgiks olla info kogumine või mingite spetsiifiliste andmete muutmine, st. nende tervikluse ründamine. Allpool toome välja mõned levinumad küberrünnete kategooriad.

Vahendusrünne ehk MITM

Vahendusrünne (man-in-the-middle attack): Suhtluspoolte teabevahetust manipuleeriv rünne. Näide: autentimisprotseduuri aktiivne pealtkuulamisrünne, mille puhul ründaja valikuliselt muudab edastatavaid andmeid ja teeskleb tundliku teabe saamiseks üht sidepartneritest; kui ründaja vahetab ühe partneri avaliku võtme enda omaga, saab ta dekrüpteerida tollele saadetud krüptogrammi. Allikas: https://akit.cyber.ee/

Vahendusrünne on aktiivne pealtkuulamisrünne, kus ründaja vahendab märkamatult sõnumeid mitme osapoole vahel. Niisuguse ründe ohvrid arvavad, et nad suhtlevad privaatselt, kuid tegelikult on vahendajaks ründaja, kes saab sõnumeid lugeda, salvestada ja muuta. Seega on selle ründe jaoks oluline, et ründajal oleks soodne positsioon. Ründaja jaoks on väga hea kontrollida ruuterit / ISP-d / VPN-i serverit, sest sealt liigub andmeside, mida saab muuta. Heas positsioonis on interneti teenusepakkuja, kes vahendab liiklust. Näiteks on võimalik, et emailivahetus muudetakse ründaja poolt ebaturvalisemaks juhul kui õnnestub STARTTLS sõnum vahendusründega eemaldada, sest sellisel juhul edastatakse email ilma sidekanali krüpteerimist kasutamata.

Niisugune rünne on võimalik ainult siis, kui osapooled pole teinud mõlemapoolset autentimist. Süsteem, mis on vahendusründe eest kaitstud peaks omama teist turvalist kanalit autentimisinfo (avalike võtmete) vahetamiseks.

Vahendusrünne, originaal allikas: OWASP, aga pole enam kättesaadav.

Rohkem infot leiab vastavast Wikipedia artiklist.

Botnet

Zombivõrk (botnet): zombidest koosnev võrk, mida kasutatakse ebaseaduslikeks toiminguteks, näiteks spämmimiseks, teenusetõkestusrünnete sooritamiseks või muude süsteemide häkkimise käivitina; mustal turul võidakse rentida kuni kümnetest tuhandetest õõnestatud arvutitest koosnevaid zombivõrke. Allikas: https://akit.cyber.ee/

Botnet (robotvõrk, zombivõrk) on oma nime saanud IRC serverite botide järgi, mis pole oma olemuselt kuidagi pahatahtlik tegevus. Internet Relay Chat (IRC) on interneti jututubade süsteem, kus kasutaja saab ühenduda mingi IRC serveriga ning seal liituda erinevate jututubadega (kanalitega). IRC botid on arvuti poolt juhitavad jututubade külastajad, kes täidavad mingeid automatiseeritud funktsioone, näiteks haldavad kanali ja seal olevate kasutajate õigusi. Et sellise administreeriva boti võrguühenduse katkemisel kanaliga midagi ei juhtuks, olid need botid dubleeritud mitmetesse eri masinatesse, moodustades nii botneti. Pahatahtlik botnet töötab sarnasel põhimõttel, kus ohvri arvuti liitub mingi grupiga (botnetiga), aga antud juhul pole kasutaja sellest üldjuhul teadlik.

Üldiselt võib öelda, et botnet on hulk arvutiprogramme, mis on interneti kaudu ühenduses ning mis täidavad koos mingit ülesannet, olgu selleks siis IRC kanali haldamine või midagi pahatahtlikku. Botnetis osalemiseks on vaja, et arvutisse oleks paigaldatud spetsiaalne klientprogramm, mis võtab ühendust botneti keskserveriga (Command & Control) ning jääb sealt edasisi käsklusi ootama. Sellist programmi ei paigalda kasutaja endale loomulikult vabatahtlikult - see tuleb mõne kahjurvaraga.

Botneti haldaja saab keskserveri kaudu botnetti kuuluvatele arvutitelt ülesandeid anda. Botnetti saab kasutada näiteks:

  • info kogumiseks nakatunud arvuti või kasutaja kohta - paroolid, krediitkaardi number, kompromiteerivad materjalid jpm;
  • hajusa teenusetõkestusrünnaku (DDoS) korraldamiseks;
  • rämpsposti (hajusaks) saatmiseks;
  • suurt arvutusjõudlust vajavateks töödeks, näiteks paroolide murdmiseks või bitcoinide kaevandamiseks;
  • kahjurvara edasi levitamiseks, sh botneti enda suurendamiseks.

Neid kasutusvaldkondi saab botneti haldaja edasi müüa ka teenusena nagu kujutatud järgneval joonisel:


Botnet, allikas.

Wikipedia andmetel on kuulunud suurematesse botnettidesse miljoneid arvuteid. Siiski piisab suure kahju tekitamiseks ka oluliselt väiksemast botnetist.

Üheks tuntumaks botneti loomiseks kasutud kahjurvarast on Zeus. See on troojahobu, mis töötab Windowsi operatsioonisüsteemidel ja kasutab enda varjamiseks mitmeid keerukaid võtteid. Seetõttu oli nakatumise tuvastamine keerukas. Rohkem infot Zeus-i kohta leiab siit: Zeus (Trojan horse) ja GameOver Zeus P2P Malware.

Botneti haldamine on muutunud äriks ja seetõttu on haldamiseks kasutatavad tööriistad muutunud kasutajasõbralikuks. Heaks näiteks on Citadel administreerimispaneel, mis võimaldab kontrollida ja saada ülevaadet kontrollitavatest arvutitest. Ekraanitõmmised botneti Citadel administreerimispaneelist: https://malware.dontneedcoffee.com/2012/07/inside-citadel-1.3.4.5-cncNbuilder.html.

Teenusetõkestus ehk DoS

Teenusetõkestus, ummistus (Denial of Service): teenuse käideldavuse langus või kadu, ründe või muu intsidendi tõttu. Allikas: https://akit.cyber.ee/

Teenusetõkestuse ründega üritab ründaja veebilehte või teenust üle koormata nii, et see poleks enam kasutajatele kättesaadav. Niisugust rünnet saab jagada kaheks: ühest allikast pärinev teenusetõkestus (DoS) ja mitmest allikast pärinev teenusetõkestus (DDoS ehk Distributed Denial of Service). DDoS ründe jaoks kasutatakse ründaja kontrolli all olevas botnetis olevaid nn. zombi arvuteid eesmärgiga mingi kindel veebileht või teenus ülekoormata. Juhul kui ründajal pole enda botneti, siis saab ta vastavat teenust osta teiste küberkurjategijate käest.

Enamasti on DDoS eesmärgiks veebilehe või veebiteenuse ajutine ülekoormamine, mille tulemusena vastav veebileht või veebiteenus pole ründe vältel kättesaadav. Seetõttu pole sageli DDoS näol tegu keeruka ründega ning pärast ründe lõppemist muutuvad veebilehed ja veebiteenused uuesti kättesaadavaks. Samas ajab meedia sageli segamini sissemurdmine ja lihtsa teenusetõkestusründe.


Reaction by the media, allikas: XKCD.

2007 aastal toimus teenusetõkestusrünne Eesti veebilehtede vastu. Tegu oli keskmisest keerukama ründega, sest tegevus oli koordineeritud ning maha üritati võtta mitmeid olulisi veebiteenuseid nagu näiteks internetipanku. 2015 aastal toimus suur DDoS rünne populaarse veebilehe GitHub vastu, sest GitHub ei nõustunud eemaldama ühe kasutaja poolt koostatud kirjeldust sellest, kuidas on võimalik mööda hiilida Hiinas toimuvast Interneti tsenseerimisest. Rohkem infot GitHub ründe kohta leiab järgnevast artiklist: DDoS attacks that crippled GitHub linked to Great Firewall of China.


Teenusetõkestus, allikas.

Üks võimalus veebilehtede kaitsmiseks teenusetõkestusrünnete eest on kasutada pilveteenustel põhinevaid lahendusi. Kuna pilveteenusepakkujatel on juurdepääs suurele ülekandekiirusele ja neil on ilmselt ka korralik riistvaraline tugi, siis võib pilveteenus ilmselt teenusetõkestusrünnet vastu võtta ning veebilehte ning veebiteenust kättesaadavana hoida. Niisugust teenust pakuvad mitmed eri firmad, üks tuntumaid neist on Cloudflare.

Google pakub osadele meediakanalitele ja inimõiguste eest võitlejatele niisugust teenust tasuta läbi projekti Shield, mille kohta saab täpsemalt lugeda siit: Project Shield. Antud teenuse eesmärgiks on kaitsta sõnavabadust.

Selline teenusetõkestusründe kaitse töötab nn "tagurpidi" proxy kaudu, st kliendi ühendused veebiserverisse suunatakse läbi vastava kaitseteenuse pakkuja (Cloudflare, Google). Turvalise (HTTPS) ühenduse puhul tähendab see seda, et TLS/SSL tunnel katkeb proxy teenuse pakkuja juures ja seetõttu ei sobi selline lahendus kõrge konfidentsiaalsusega andmete edastamiseks (näiteks internetipangad).

Lisaks Cloudflare-le võivad HTTPS ühenduse ära lõhkuda ka ettevõtted, kes tahavad töötajate liiklust jälgida vahendusrünnet kasutades. Samuti paigaldavad mõned antiviiruse tarkvarad brauserisse laienduse, mis loob reaalajas enda poolt veebilehtede jaoks sertifikaate, et antiviirusel oleks võimalik HTTPS-i kasutavale lehele saadetavat infot skänneerida. Kõik eelnevalt mainitud tegevused lõhuvad ära HTTPS poolt pakutava turvalisuse ning sellest kirjutatakse järgnevas artiklis täpsemalt: The Security Impact of HTTPS Interception (2017)

Ründed Eestis aastatel 2020, 2021, 2022, 2023

Riigi Infosüsteemi Ameti 2021. aasta küberturvalisuse aastaraamatus (pdf) on ülevaade eelneva kalendriaasta intsidentidest:

Samas raportis on ülevaade eelnevate aastate pöördumiste ja intsidentide mahust:

Riigi Infosüsteemi Ameti 2022. aasta küberturvalisuse aastaraamatus (pdf) antakse ülevaade 2021. aastal toimunud intsidentidest:

Sama raporti 10. leheküljel on ülevaade eelnevate aastate pöördumiste ja intsidentide mahust:

Riigi Infosüsteemi Ameti 2023. aasta küberturvalisuse aastaraamatus (pdf) antakse ülevaade 2022. aastal toimunud intsidentidest:

Sama raporti 10. leheküljel on ülevaade eelnevate aastate pöördumiste ja intsidentide mahust:

Riigi Infosüsteemi Ameti 2024. aasta küberturvalisuse aastaraamatus (pdf) antakse ülevaade 2023. aastal toimunud intsidentidest:

Kui riigiasutus või ettevõtte on sattunud küberründe või kahjurvara ohvriks, siis tuleks intsidendist teavitada CERT-EE: Küberintsidendist teavitamine.

Kübersõda

Siiani vaieldakse selle üle, mis on kübersõda või kübersõjategevus ning kas reaalselt on mõni kübersõda toimunud. Küsimus seisneb selles, et kas iseseisvat küberrünnet võib nimetada sõjaks ja kui ulatuslik peaks küberrünne olema, et seda saaks nimetada sõjaliseks agressiooniks. Paljud küberturvalisust uurivad inimesed on arvamusel, et ühtegi kübersõda pole siiani toimunud ning siiani on ainult nähtud üksikuid riikide poolt korraldatud küberründeid. Samas on üpris tõenäoline, et edaspidi kasutatakse küberründeid konventsionaalse sõjategevuse toetamiseks.

Päris kübersõjas rünnatakse suure tõenäosusega riiklikult olulisi infrastruktuuriobjekte, näiteks riiklikke infosüsteeme, elektrijaamu, sidesüsteeme, transporti jne. Turvauurijatele on üldteada faktiks, et tehastes olevad kaugmonitoorimist või kaugjuhtimist võimaldavad seadmed (SCADA) on nõrgalt turvatud. Seetõttu on ründajatel võimalik kontrollida suurt osa tehastes olevatest SCADA süsteemidest. 2015 aasta sügisel oli ajakirjas Forbes lugu SCADA süsteemide ebaturvalisusest: Want Some Nuclear Power Plant 'Zero-Day' Vulnerabilities? Yours For Just $8,000. Antud artiklis kirjutati, et SCADA süsteemi zero-day turvaaugu hinnaks võib olla kõigest 8000 dollarit. Eelneva info põhjal võib eeldada, et kübersõja korral on reaalseks ohuks tehaste ja elektrijaamade vastu tehtavad küberründed. Niisuguseid ründeid on juba korraldatud ning neist kõige tuntum on Iraani tuumakütuse rikastamise tehase edukas ründamine Stuxneti abil. Teiseks näiteks võiks tuua 2015 aasta lõpus toimunud rünne, mis oli suunatud Ukraina elektrisüsteemi vastu: Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid.

Küberründed on vahend:

  • spionaažiks ja luuretegevuseks
  • poliitiliselt motiveeritud sabotaažiks
  • sabotaažiks, mis toetab konventsionaalset sõjategevust
  • poliitiliselt motiveeritud teenusetõkestusründeks

Sihtmärgid:

  • energeetika
  • tehased
  • veevärk
  • sidesüsteemid
  • transport
  • riiklikud infosüsteemid
  • militaarsüsteemid (side, juhtimissüsteemid, gps, jne.)

Küberrünnete näited:

  • 2007 - teenusetõkestusründed Eesti veebilehtede ja pankade vastu
  • 2008 - Venemaa ja Gruusia vahelises sõjas
  • 2010 - Iraani tuumarajatise ründamine Stuxnet abil
  • 2015 - Ukraina elektrisüsteemi ründamine

Black Hat Asia 2018 raames tegi antud teemast hea ülevaate The Grugq:

Stuxnet

Stuxnet oli esimene kübersabotaaži juhtum, mis avastati 2010 aasta juulis. Stuxnet oli ülikeerukas uss, mis oli loodud ainult ühte kindlat sihtmärki ründama. Ründe sihtmärgiks oli Iraanis asuv uraani rikastamise tehas. Stuxnet eesmärgiks oli tungida kõrgelt turvatud tuumakütuse rikastamise tehasesse ning saboteerida uraanirikastamiseks kasutatavad tsentrifuugid, kusjuures oli teada, et riistvara, mida oli vaja rünnata polnud Internetti ühendatud. Stuxnet oli disainitud nii, et selle ründekood aktiveeruks ainult kindlat tüüpi Siemensi riistvaras, mis tähendas, et muid seadmeid Stuxnet ei kahjustanud. Stuxneti abil korraldatud rünne oli edukas, sest Stuxneti sai tuumakütuse rikastamise tehast saboteerida aasta aja jooksul ilma, et keegi oleks kahjurvara avastanud. Selle aja jooksul õnnestus Stuxnetil hävitada umbes 1000 tuumakütuse rikastamiseks kasutatud tsentrifuugi ning väidetavalt tähendas see Iraani tuumaprogrammile mitmeaastast tagasilööki.

Kuidas oli Stuxnetil võimalik nakatada kõrgelt turvatud tuumarajatist, mille olulised seadmed ei olnud ühendatud Internetti? Levinud arvamuse kohaselt pidi Stuxnet levima tehasesse kaudselt läbi tehases hooldustöid tegevate ettevõtete. Seega nakatati kõigepealt hooldustöid tegevate ettevõtete töötajate arvutid, kes omakorda nakatasid ettevõtte arvutid ning USB pulgad. Stuxnet oskas levida USB pulkade abil ja see oligi ilmselt meetod, mis võimaldas Stuxnetil tuumakütuse rikastamise tehasesse pääseda. Kui Stuxnet sai aru, et ta oli tehasesse pääsenud, siis hakkas ta aeglaselt tehases olevaid tsentrifuuge saboteerima. Selleks, et vältida enda tuvastamist võltsis Stuxnet tsentrifuugide diagnostikaandmeid, et tehases olevad töötajad ei hakkaks rünnet kahtlustama ja arvaksid, et tsentrifuugid töötavad korrektselt.

Stuxnetil õnnestus levida ja jääda märkamatuks osaliselt tänu sellele, et kasutati nelja nn. zero-day turvaauku, mille kohta saab täpsemalt lugeda siit: zero-day vulnerabilities. Niisugused turvaaugud on ründajate jaoks väga väärtuslikud, sest need pole teada ei tarkvara tootja jaoks ega ka avalikkuse jaoks ning seetõttu saab nende turvaaukude abil ehitada ründeid, mida on raske tuvastada. Seetõttu kasutavad ründajad zero-day turvaauke sageli selleks, et arvutitesse või arvutivõrkudesse märkamatult sisse tungida. On oluline aru saada, et antiviirused ja muud turvatarkvarad ei suuda enamasti zero-day turvaaukudel põhinevaid ründeid tuvastada. Kuna vastavad turvaaugud on väga väärtuslikud, siis müüakse neid mustal turul, aga lisaks sellele on olemas ka legaalseid ettevõtteid, kes tegelevad zero-day turvaaukude kokkuostmise ja vahendamisega. Niisuguste ettevõtete kliendid on enamasti riigid või riiklikud agentuurid. Arvatakse, et riigid on kõige suuremad zero-day turvaaukude ostjad. Antud teema kohta saate täpsemat infot RAND-i poolt koostatud raportist: Zero Days, Thousands of Nights - The Life and Times of Zero-Day Vulnerabilities and Their Exploits. Selle raporti kohta tehti 2017 aasta Euroopa Blackhatil ettekanne, mis annab ülevaate raporti leidudest.

Kes kasutavad zero-day turvaauke? (Allikas: A Year in Review of Zero-Days Exploited In-the-Wild in 2023, Google. PDF)

Ei ole täpselt teada, millal Stuxnet alustas Iraani tuumakütuse rikastamise tehases olevate tsentrifuugide saboteerimist, aga on teada, et 2009 aasta juunist tuvastasid turvalisusega tegelevad ettevõtted Stuxnet mitmes eri maailma osas. Stuxnet suutis tsentrifuuge saboteerida umbes aasta enne kui see tuvastati. Selle aja jooksul hävitas Stuxnet umbkaudu 1000 tuumakütuse rikastamiseks kasutatavat tsentrifuugi.

Stuxnetist saab hea ülevaate järgmise artikli kaudu: An Unprecedented Look at Stuxnet, the World’s First Digital Weapon. Veel täpsema ülevaate saab järgnevast raamatust: Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon. 2018 aastal avaldati Stuxneti kohta käiv detailne raport: To Kill a Centrifuge.

Lisaks võib olla kasulik vaadata järgnevalt viidatud videot, kus Mikko Hyppönen räägib Stuxnetist ja selle võimalikest tagajärgedest. Ta eeldas, et sarnaseid ründeid näeme järjest rohkem, kuid siiani pole ennustus tõeks osutunud. Põhjus seisneb ilmselt sellest, et ükski suurriik ei taha näidata enda küberründe võimekust (paljastada teadaolevaid turvaauke) ilma olulist põhjust omamata. Teisi suurriike on ohtlik rünnata, sest nad võivad vastata samaga.

Kaitse rünnete vastu

Tarkvara uuendamine ja üldine teadlikkus

Kõige lihtsam viis seadmete kaitsmiseks on nendes oleva tarkvara uuendamine. See on oluline mitte seetõttu, et saada uusi funktsionaalsusi, vaid pigem selleks, et paigata turvaauke. Tänapäeval võimaldavad tarkvarad sageli automaatset tarkvara uuendamist ning keskmise arvutikasutaja jaoks omab see väga positiivseid tagajärgi, kuna seeläbi minimaliseeritakse ajaakent, mille jooksul on vastav tarkvarakomponent mingi nõrkuse tõttu haavatav.

Lisaks tarkvara uuendamisele tasub omada infoturbealaseid algteadmisi ning mõningast teadlikku paranoiat, kuna seeläbi on ründajal oma eesmärki oluliselt keerukam saavutada. Suur osa rünnetest algab läbi kasutajapoolse vea, olgu selleks siis vale lingi vajutamine, emaili manuses olnud faili avamine või kahjurvara allalaadimine teadmatusest. Paljud neist vigadest on seotud hooletusega, mis omakorda on osaliselt põhjendatav teadmatusega. Kui inimene on teadlik õngitsusrünnete olemusest, siis võiks loota, et on tekkinud teatav paranoia ning enne emaili teel saabunud lingi klikkimist kontrollitakse, mis peitub lingi taga või kes on saatjaks.

Läbistustestimine

Läbistustestimiseks (penetration testing) nimetatakse sissetungirünnete imiteerimist turvameetmete toimivuse kontrollimiseks, sageli süsteemi sertifitseerimistestimise osana. Allikas: https://akit.cyber.ee/

Pordid ja tulemüür

Pordid

Pordiks nimetatakse andmeside lõpp-punkti. Port on seotud seadme IP aadressiga, kasutatava protokolliga ja pordi numbriga. Pordi number on kahebaidine arv ehk siis arv vahemikus 0 kuni 216. Transpordi protokollide (TCP, UDP) päisesse lisatakse nii lähtepordi number kui ka sihtpordi number. Neid kasutatakse paketi suunamiseks õigesse porti ehk määratud rakendusele.

Porte saab jagada üldtuntud portideks (0 kuni 1023), registreeritud portideks (1024 kuni 49151) ja dünaamilisteks portideks (49152 kuni 65535). Registreeritud vahemiku porte saab registreerida kindla teenuse jaoks, aga neid saavad kasutada ka tavakasutajad. Dünaamilise vahemiku porte ei saa kindla teenuse jaoks registreerida, neid porte saab kasutada vastavalt vajadusele näiteks ajutiste teenuste jaoks.

Üldtuntud porte kasutavad protsessid, mis pakuvad sagedasti kasutatavaid võrgu teenused. Need pordid on reserveeritud teenuste jaoks, mille poole kliendid sagedasti pöörduvad. Üldtuntud porte kasutavad serverid kliendi päringute kuulamiseks.

Näited:

  • 80: HTTP (veebiserver)
  • 443: HTTPS (veebiserver)
  • 21: FTP
  • 22: SSH
  • 53: DNS

Näiteks kasutavad brauserid porte 80 ja 443, et pöörduda erinevate veebiserverite poole kasutades vastavalt HTTP või HTTPS protokolli. Kui brauser tahab luua ühendust veebiserveriga, siis määrab operatsioonisüsteem brauserile lähtepordi ja sihtpordiks kasutatakse vastavalt kas porti 80 või 443.


Kaks seadet, mis teevad HTTP päringuid kohalikust võrgust välisvõrku, allikas.

Tulemüür

Tulemüür on tarkavara või riistvara, mis analüüsib sisenevat ja väljuvat andmesidet ning filtreerib seda vastavalt seatud reeglitele. Filtreerimiseks saab kasutada erinevaid parameetreid, näiteks IP, porte, kasutatavat protokolli, rakendusi.

Tulemüür, allikas

Tulemüüri peamine eesmärk on kaitsta sisemist võrku välise ebaturvalise võrgu eest. Mõned internetiteenuse pakkujad pakuvad teenust vaikimisi suletud portidega, et suurendada klientide turvalisust. Sellisel juhul on välisest võrgust juurdepääs kliendi seadmele piiratud, kuna teenusepakkuja filtreerib teatud portidele tehtud pöördumisi. Lahtised pordid ise ei ole probleemi põhjuseks, kuid lahtiste portide abil saab rünnata teenuseid ja rakendusi, mis kuulavad vastavaid porte.

Tulemüüri teine oluline roll on väljuvate ühenduste filtreerimine. Sellega saab teoorias takistada kahjurvara levikut või informatsiooni lekkimist. Lisaks siseneva ja väljuva liikluse filtreerimisele saab tulemüür logida sisenevaid ja väljuvaid ühendusi. Logide põhjal saab kindlaks teha, mis arvutivõrgus toimunud on.

Windowsi tulemüür

Tulemüüri seadistamiseks: “Control Panel -> System and Security -> Windows Firewall -> Advanced Settings”

Mac OS X tulemüür

Tulemüüri seadistamiseks: “System Preferences -> Security & Privacy -> Firewall -> Firewall Options.”

Viirusetõrje

Antiviirus, viirusetõrjeprogramm (antivirus): tarkvara, mis on mõeldud kahjurvaranakkuse avastamise, vältimise ja/või kõrvaldamise teel minimeerima mitmesuguse kahjurvara (viiruste, usside, troojahobude jms) tekitatavat riski. Allikas: https://akit.cyber.ee/

Kuigi terminid "antiviirus" ja "viirusetõrjeprogramm" viitavad ainult viirustele, on tegemist sellise tarkvaraga, mis tuvastab ja eemaldab arvutist mitmesugust kahjurvara, lisaks viirustele ka usse, troojahobusid, juurkratte jm.

Viiruste tuvastamine

Antiviirus tuvastab arvutis kahjurvara põhiliselt kahel viisil. Esiteks on antiviiruse tarkvara tootjatel olemas andmebaasid erineva kahjurvara signatuuridest (teatud muster failis, mis tuvastab kahjurvara). Otsidest olemasolevatest failidest selliseid mustreid, on võimalik väga suure tõenäosusega kahjurvara tuvastada.

Kahjuks on aga ründajad antiviiruse tootjatest alati sammu võrra ees, sest päris uue kahjurvara puhul ei ole keegi seda veel jõudnud analüüsida ning seega pole andmebaasides ka selle signatuuri. Seepärast kasutavad moodsad viirusetõrjeprogrammid ka heuristilisi meetodeid, ühe lihtsa näitena võivad nad muuta veidi olemasolevate viiruste koodi ning siis otsida failidest vastavat signatuuri.

Kolmas võimalus on proovida, mis juhtub, kui potentsiaalne viirus tööle panna. Selleks loob antiviirus liivakasti (sandbox), mis on muust süsteemist eraldatud ja proovib faili seal käivitada/kasutada. Antiviirus jälgib programmi tegevust ning püüab tuvastada, kas tehakse midagi ebatavalist.

Kaitse reaalajas

Enamik antiviiruseid töötab pidevalt, st nad käivituvad koos operatsioonisüsteemiga. Lisaks juba arvutis olemasolevatele failidele annab see võimaluse arvuti tööd ka reaalajas jälgida ning võimalikele ohtudele reageerida. Näiteks skaneerib antiviirus tüüpiliselt mälupulga sisu enne kui seda kasutajale näidatakse, samuti internetist allalaetud faile ja e-posti manuseid.

Antiviiruse puudused ja ohud:

  • Kahjurvara leidmisel palutakse tihti kasutajal otsustada, mis failiga edasi teha. See otsus pole alati triviaalne.
  • Reaalajas töötavad antiviirused muudavad süsteemi aeglaseks, sest skaneeritakse kõiki käivitatavaid faile.
  • Heuristilisi meetodeid kasutavad antiviirused võivad teha valesid otsuseid, kusjuures tuvastamata jäänud kahjurvara (false negative) kõrval on sama halb ka ekslikult kahjurvaraks tembeldatud tavaline fail (false positive).
  • Viirusetõrjeprogramm käivitatakse operatsioonisüsteemis väga suurte õigustega. See on tööks vajalik, aga loob uue võimaluse rünneteks, näiteks liba-antiviirus (vt. troojahobud).

Sobiva antiviiruse valimine

Windows operatsioonisüsteemis on vaja kasutada viirusetõrjeprogrammi! Suuremad tegijad sel turul on näiteks F-Secure, Symantec, Kaspersky ja ESET. Õnneks leidub küllaldaselt tasuta antiviiruseid, mis on tavaliselt vastava tasulise toote kärbitud versioonid, kuid kriitiline funktsionaalsus on siiski olemas. Näiteks AVG, Avira ja Avast.

Alates Windows XP-st on saadaval ka Microsofti enda poolt pakutav Microsoft Security Essentials, mis pakub esmast kaitset. Alates Windows 8-st on mainitud tarkvara Windows Defender üks osa ja see paigaldatatakse koos operatsioonisüsteemiga.


Microsoft Security Essentials, Windows 7.

Kasulikud lingid

  • Ründajad
    • Advanced Persistent Threats (APTs)
    • APTmap
  • Eesti kohta käivad raportid
    • CERT Eesti 2007. aasta kokkuvõte
    • RIA küberturbe aruanne 2012
    • RIA küberturbe aruanne 2013
    • RIA küberturbe aruanne 2014
    • RIA küberturbe aruanne 2015
    • RIA küberturvalisuse teenistuse 2016. aasta kokkuvõte
    • RIA Küberturvalisus 2018 (2017. aasta kokkuvõte)
    • RIA Küberturvalisus 2019 (2018. aasta kokkuvõte)
    • RIA aastaraamat 2020 (vt küberturvalisuse alamjaotist)
    • Cyber Security In Estonia 2020 (2019. aasta kokkuvõte).
    • RIA Küberturvalisuse aastaraamat 2021 (2020. aasta kokkuvõte)
    • RIA Küberturvalisuse aastaraamat 2022 (2021. aasta kokkuvõte)
    • RIA Küberturvalisuse aastaraamat 2023 (2022. aasta kokkuvõte)
    • RIA Küberturvalisuse aastaraamat 2024 (2023. aasta kokkuvõte)
  • Muud raportid
    • The State of Cyber Security 2017 (2017)
    • The Security Impact of HTTPS Interception (2017)
    • Zero Days, Thousands of Nights - The Life and Times of Zero-Day Vulnerabilities and Their Exploits (2017)
  • Küberründed / kübersõda / huvitavad kahjurvarad
    • Hackers attacked the U.S. energy grid 79 times this year (2014)
    • German nuclear plant infected with computer viruses, operator says (2016)
    • Technical Report about the Malware used in the Cyberespionage against RUAG (2016)
    • Hackers Make the First-Ever Ransomware for Smart Thermostats (2016)
    • Wickedly Clever USB Stick Installs a Backdoor on Locked PCs (2016)
    • How a Grad Student Found Spyware That Could Control Anybody’s iPhone from Anywhere in the World (2016)
    • Unpatchable Flaw Affects Most of Today's Modern Cars (2017)
    • Lessons from TV5Monde 2015 Hack (2017)
    • Why the Equifax breach is very possibly the worst leak of personal info ever (2017)
    • Billions of devices imperiled by new clickless Bluetooth attack (2017)
    • Collection of links to IoT attack
    • The Untold Story of NotPetya, the Most Devastating Cyberattack in History (2018)
    • What You Need to Know About the SolarWinds Supply-Chain Attack (2020)
    • A dying man, a therapist and the ransom raid that shook the world (2020)
    • Colonial Pipeline attack: Everything you need to know (2021)
    • Updated Kaseya ransomware attack FAQ: What we know now (2021)
    • The Biggest Hack of 2023 Keeps Getting Bigger (2023)
    • Defending Ukraine: Early Lessons from the Cyber War (2022)
    • Fog of war: how the Ukraine conflict transformed the cyber threat landscape (2023)
  • Muud lingid:
    • VirusTotal - faili kontrollimine paljude antiviirusprogrammidega
    • The Confessions of Marcus Hutchins, the Hacker Who Saved the Internet (2020)
    • How Great is the Great Firewall? Measuring China’s DNS Censorship (2021)
    • Errata Security: Anatomy of how you get pwned (2021)
  • Institute of Computer Science
  • Faculty of Science and Technology
  • University of Tartu
In case of technical problems or questions write to:

Contact the course organizers with the organizational and course content questions.
The proprietary copyrights of educational materials belong to the University of Tartu. The use of educational materials is permitted for the purposes and under the conditions provided for in the copyright law for the free use of a work. When using educational materials, the user is obligated to give credit to the author of the educational materials.
The use of educational materials for other purposes is allowed only with the prior written consent of the University of Tartu.
Terms of use for the Courses environment