tegelt poldki väga hull auk

Sattusin reedel autoga sõites kuulama KUKUst intervjuud, kus Pert Lomp Microsoft Eestist teavitas nn “hiina häkkerite guuglirünnakus” kasutatud turvaaugu lappimisest. Mis on mõistagi tore, aga öeldu tekitas minus akuutse soovi kommenteerida… ning mõned viimastel päevadel loetud artiklid sobivad sinna juurde kenasti.

Pert Lomp: Uudis on positiivne, meie spetsialistid on ööpäevaringselt tegelenud alatest 15ndast jaanuarist kui ilmsiks tuli turvaauk mis oli suunatud MS IE veebibrauseri 6nda versiooni pihta ja turvaauku kasutasid ära ilmselt Hiina häkkerid ründamaks Google’i ja Yahoo süsteeme. Hea meel on tõdeda, et nüüdseks on Microsoft turvaaugu sulgenud ja uuema versiooni kasutajatel ei ole senini muretsemiseks põhjust.

14ndal ilmus Microsoft Security Advisory 979352 mis kirjeldas probleemi olemust ning ajutisi meetmeid, turvaauk ise oli MSile teada juba mullu augustist ja võib arvata, et sellega ka tegeleti kuivõrd paik oli plaanis avaldada järgmise “korralise paikamisteisipäeva” käigus. Mõistagi on tore, et paigad enne avaldamist korralikult läbi testitakse ning teadaoleval hetkel avaldatakse – sest teadupoolest tutvuvad paikadega ka kurikaelad ja kes kohe ei uuenda on neile paari päeva pärast kerge saak. Aga et miks nagu pool aastat? Lugu sellest kuidas sündis Vista shut-down menüü võib olla huvitav lugemine ;-)

Mis puutub aga varasematesse versioonidesse… siis jah, kuna “hiinlased” ründasid konkreetselt IE6 turvaauku ja kuigi oli olemas (aga mitte avalik) näidiskood uuemate versioonide ründamiseks selle kasutamist veel ei täheldatud. Mis ei tähenda aga kohe kindlasti seda, et muretsemiseks põhjust ei ole – lubatagu korrata, et kõneksolev turvaauk oli jõudnud IE6 peal kasutuses olla juba mõnda aega, enne kui Google reaalse rünnaku pärast lärmi tõstis ja seejärel ka viirusetõrjed asjaga tegelema hakkasid. See, et me rünnakutest ei tea, ei anna kohe kindlasit põhjust mittemuretsemiseks. Eriti kuivõrd Microsoft Security Bulletin MS10-002 toob meieni lisaks kära tekitanud augule veel 7 paika, mis kah enamuses “kriitilised”, sh mitmel platvormil IE8… (ja olgu öeldud, et paljud meist ei ole veel Vista / 7 peale üle läinud…)

This security update is rated Critical for all supported releases of Internet Explorer: Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7, and Internet Explorer 8 (except Internet Explorer 6 for supported editions of Windows Server 2003).

Aga üks huvitav asi veel – nimelt hea uudis on see, et turvaaugule on olemas paik, halb uudis aga see, et kõik need augud (samuti varasemad) saadavad meid veel pikka aega. Brian Krebs kirjutab loos A Peek Inside the ‘Eleonore’ Browser Exploit Kit ühest laialt kasutatavast tööriistakomplektist mis mõeldud erinevate brauseri-turvaaukude ärakasutamiseks ning toob ära ekraanilasud statistikast nii aukude kui brauserite lõikes. Tähelepanuväärne on see, et pihta saavad augud mis teada juba aastatest 2007-2009 – ja nende hulgas on nii Microsofti, Adobe (PDF) kui Sun’i (Java) probleeme.

Sattusin eelmisel kevadel vaatama üht tuntud IT-hooldusfirma hooldatud võrku ja hakkas silma, et:

• töökohtadel ei olnud peal viimast servicepack’i, kasutusel IE6 (pärast pikka vaidlust tegin julma lükke ja installisin ise igale poole; mistahes jama puhul tehti demonstrativselt downgrade kuna see lahendavat kõik maailma probleemid)
• ei olnud ka Win ja Office kriitilisi paiku muidugi, sest kusagilt oli Group Policy’sse sattunud rida mis kõigil domeeni arvutitel uuendused lihtsalt ära keelas
• viirusetõrje ei olnud eriti adekvaatne (kui raamatupidaja arvuti on aeglane sest miski troojalane möllab siis ma ei saa seda eriti heaks lahenduseks pidada)
• serverit (sh veebiserver) polnud paigatud üle aasta sest C kettal polevat piisavalt vaba ruumi
• ma üldse ei räägi Javast ja Acrobat Readerist siinkohal…

Suhtlesin muideks ka Pertiga kes ütles, et ei tahtnud ilmaasjata paanikat külvata.

Loomulikult ei aita ka paanika midagi (sest mh Acrobati augud on rünnatavad ka juhul, kui järgida mõnede riikide soovitusi kasutada IE asemel mõnda teist brauserit) – aga ettevõttel kus IT-turva pole niisama range kui meie suuremates pankades tasuks oma võrk väga kriitilise pilguga üle vaadata.

Ning mitte unustada, et võrk ei ole kaugeltki ainult arvutid vaid näiteks ka telefonid – nagu näha Postimehe loost mis lõppeb müstilise soovitusega Arvutivõrgu turvalisust tuleks analüüsida kord nelja aasta jooksul (ajee? võttes arvesse seda kuidas mõni VoIP-operaator on hakand jaamadel tulemüüre kinni kruttima “sest ei jõua kõiki kohe uuendada” on vist jällegi tegu laiatarbe-auguga…).

Javeel. Inteka lõpust selline lõik:

KUKU: Kui need Hiina häkkerid oleksid turvaaugu mõne eestlase arvutist üles leidnud, mis pahandust see oleks teinud?

Pert Lomp: Tegelikult, ega seal midagi hullemat ei olnud, reaalselt inimene oma arvutis ei olekski aru saanud, et mingisugune tegevus toimub. Hiina häkkerite mõte oli see, et istutada arvutisse mingisugune pisike programmijupp mida nad vajadusel saavad kasutada mingi korporatsiooni veebisaidi ründamiseks. […]

Halllloooo? Kirjeldatud mittehull tegevus on küberrünne, aastal 2007 räägiti sellega seoses NATO artikkel 5st ja kollektiivkaitsest. Aga see selleks, kes vähegi on teemaga kursis on kindlasti märganud, et “hiina häkkerid” kasutasid auku ennekõike selleks, et pääseda ligi kasutajate arvutis olevale infole – nii “intellektuaalsele omandile” ehk siis kõigile dokumentidele mille lugemiseks kasutajal õigus kui ka tema kasutajatunnustele-paroolidele. Kuuldavasti avastas Google rünnaku, kuna märkas pöördumisi süsteemi poole mis peaks andma õiguskaitseorganitele võimaluse saada piiratud ligipääsu GMaili kasutajakontodele (näha kirjade päiseid, mitte sisu)…

Computerworld kirjutab asjast nii:

Drummond said that the hackers never got into Gmail accounts via the Google hack, but they did manage to get some “account information (such as the date the account was created) and subject line.”

That’s because they apparently were able to access a system used to help Google comply with search warrants by providing data on Google users, said a source familiar with the situation, who spoke on condition of anonymity because he was not authorized to speak with the press. “Right before Christmas, it was, ‘Holy s***, this malware is accessing the internal intercept [systems],'” he said.

(muid lugemisviiteid leiab nt http://en.wikipedia.org/wiki/Operation_Aurora)

Ja see, et Sinu firmas ei ole õiguskaitseks mõeldud tagaust ei tähenda mõistagi seda, et midagi rünnata pole. Brian Krebsi blogist leiab lingid tema Washington Posti aegadel kirjutatud lugudele ja kuna see hakkab pihta alajaotusega Series: Cyber Gangs Fleece Small Businesses siis ei ole vist mõtet pealkirju-sisukokkuvõtteid ümber kopeerima hakata…

Jah, need Krebsi näited käivad kõik USA firmade kohta – nõrgem pangaturva (sest erinevalt eraisikute vastu suunatud rünnetest ei pea pangad ennast firmade puhul vastutavaks), rohkem pappi kontol jne. Aga rünnakud on kõik sihtmärgi-spetsiifilised (sh “rätsepatööna” valminud troojalane mida viirusetõrjed ei võta) ning kui eesmärk peaks olema midagi muud kui pangakonto seisu muutmine ei pruugi sihtmärk teadagi saada, et kogu ta sisevõrk on kuhugi teisele poole maakera kopeeritud.

Ega’s muud, kui jõudu kõigile mitte-paanika-tekitajatele – ilmselgelt haigutab meil suur tühimik igast assapauk-kampaaniate ja reaalset effekti omava teavitustöö vahel. Aga ma katsun nüüd jälle rahuneda ja turvateemal mõnda aega mitte sõna võtta, sest ilmselgelt on tegu täiesti mõttetu ajaraiskamisega…