tegelt poldki väga hull auk

Sattusin reedel autoga sõites kuulama KUKUst intervjuud, kus Pert Lomp Microsoft Eestist teavitas nn “hiina häkkerite guuglirünnakus” kasutatud turvaaugu lappimisest. Mis on mõistagi tore, aga öeldu tekitas minus akuutse soovi kommenteerida… ning mõned viimastel päevadel loetud artiklid sobivad sinna juurde kenasti.

Pert Lomp: Uudis on positiivne, meie spetsialistid on ööpäevaringselt tegelenud alatest 15ndast jaanuarist kui ilmsiks tuli turvaauk mis oli suunatud MS IE veebibrauseri 6nda versiooni pihta ja turvaauku kasutasid ära ilmselt Hiina häkkerid ründamaks Google’i ja Yahoo süsteeme. Hea meel on tõdeda, et nüüdseks on Microsoft turvaaugu sulgenud ja uuema versiooni kasutajatel ei ole senini muretsemiseks põhjust.

14ndal ilmus Microsoft Security Advisory 979352 mis kirjeldas probleemi olemust ning ajutisi meetmeid, turvaauk ise oli MSile teada juba mullu augustist ja võib arvata, et sellega ka tegeleti kuivõrd paik oli plaanis avaldada järgmise “korralise paikamisteisipäeva” käigus. Mõistagi on tore, et paigad enne avaldamist korralikult läbi testitakse ning teadaoleval hetkel avaldatakse – sest teadupoolest tutvuvad paikadega ka kurikaelad ja kes kohe ei uuenda on neile paari päeva pärast kerge saak. Aga et miks nagu pool aastat? Lugu sellest kuidas sündis Vista shut-down menüü võib olla huvitav lugemine ;-)

Mis puutub aga varasematesse versioonidesse… siis jah, kuna “hiinlased” ründasid konkreetselt IE6 turvaauku ja kuigi oli olemas (aga mitte avalik) näidiskood uuemate versioonide ründamiseks selle kasutamist veel ei täheldatud. Mis ei tähenda aga kohe kindlasti seda, et muretsemiseks põhjust ei ole – lubatagu korrata, et kõneksolev turvaauk oli jõudnud IE6 peal kasutuses olla juba mõnda aega, enne kui Google reaalse rünnaku pärast lärmi tõstis ja seejärel ka viirusetõrjed asjaga tegelema hakkasid. See, et me rünnakutest ei tea, ei anna kohe kindlasit põhjust mittemuretsemiseks. Eriti kuivõrd Microsoft Security Bulletin MS10-002 toob meieni lisaks kära tekitanud augule veel 7 paika, mis kah enamuses “kriitilised”, sh mitmel platvormil IE8… (ja olgu öeldud, et paljud meist ei ole veel Vista / 7 peale üle läinud…)

This security update is rated Critical for all supported releases of Internet Explorer: Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7, and Internet Explorer 8 (except Internet Explorer 6 for supported editions of Windows Server 2003).

Aga üks huvitav asi veel – nimelt hea uudis on see, et turvaaugule on olemas paik, halb uudis aga see, et kõik need augud (samuti varasemad) saadavad meid veel pikka aega. Brian Krebs kirjutab loos A Peek Inside the ‘Eleonore’ Browser Exploit Kit ühest laialt kasutatavast tööriistakomplektist mis mõeldud erinevate brauseri-turvaaukude ärakasutamiseks ning toob ära ekraanilasud statistikast nii aukude kui brauserite lõikes. Tähelepanuväärne on see, et pihta saavad augud mis teada juba aastatest 2007-2009 – ja nende hulgas on nii Microsofti, Adobe (PDF) kui Sun’i (Java) probleeme.

Sattusin eelmisel kevadel vaatama üht tuntud IT-hooldusfirma hooldatud võrku ja hakkas silma, et:

  • töökohtadel ei olnud peal viimast servicepack’i, kasutusel IE6 (pärast pikka vaidlust tegin julma lükke ja installisin ise igale poole; mistahes jama puhul tehti demonstrativselt downgrade kuna see lahendavat kõik maailma probleemid)
  • ei olnud ka Win ja Office kriitilisi paiku muidugi, sest kusagilt oli Group Policy’sse sattunud rida mis kõigil domeeni arvutitel uuendused lihtsalt ära keelas
  • viirusetõrje ei olnud eriti adekvaatne (kui raamatupidaja arvuti on aeglane sest miski troojalane möllab siis ma ei saa seda eriti heaks lahenduseks pidada)
  • serverit (sh veebiserver) polnud paigatud üle aasta sest C kettal polevat piisavalt vaba ruumi
  • ma üldse ei räägi Javast ja Acrobat Readerist siinkohal…

Suhtlesin muideks ka Pertiga kes ütles, et ei tahtnud ilmaasjata paanikat külvata.

Loomulikult ei aita ka paanika midagi (sest mh Acrobati augud on rünnatavad ka juhul, kui järgida mõnede riikide soovitusi kasutada IE asemel mõnda teist brauserit) – aga ettevõttel kus IT-turva pole niisama range kui meie suuremates pankades tasuks oma võrk väga kriitilise pilguga üle vaadata.

Ning mitte unustada, et võrk ei ole kaugeltki ainult arvutid vaid näiteks ka telefonid – nagu näha Postimehe loost mis lõppeb müstilise soovitusega Arvutivõrgu turvalisust tuleks analüüsida kord nelja aasta jooksul (ajee? võttes arvesse seda kuidas mõni VoIP-operaator on hakand jaamadel tulemüüre kinni kruttima “sest ei jõua kõiki kohe uuendada” on vist jällegi tegu laiatarbe-auguga…).

Javeel. Inteka lõpust selline lõik:

KUKU: Kui need Hiina häkkerid oleksid turvaaugu mõne eestlase arvutist üles leidnud, mis pahandust see oleks teinud?

Pert Lomp: Tegelikult, ega seal midagi hullemat ei olnud, reaalselt inimene oma arvutis ei olekski aru saanud, et mingisugune tegevus toimub. Hiina häkkerite mõte oli see, et istutada arvutisse mingisugune pisike programmijupp mida nad vajadusel saavad kasutada mingi korporatsiooni veebisaidi ründamiseks. […]

Halllloooo? Kirjeldatud mittehull tegevus on küberrünne, aastal 2007 räägiti sellega seoses NATO artikkel 5st ja kollektiivkaitsest. Aga see selleks, kes vähegi on teemaga kursis on kindlasti märganud, et “hiina häkkerid” kasutasid auku ennekõike selleks, et pääseda ligi kasutajate arvutis olevale infole – nii “intellektuaalsele omandile” ehk siis kõigile dokumentidele mille lugemiseks kasutajal õigus kui ka tema kasutajatunnustele-paroolidele. Kuuldavasti avastas Google rünnaku, kuna märkas pöördumisi süsteemi poole mis peaks andma õiguskaitseorganitele võimaluse saada piiratud ligipääsu GMaili kasutajakontodele (näha kirjade päiseid, mitte sisu)…

Computerworld kirjutab asjast nii:

Drummond said that the hackers never got into Gmail accounts via the Google hack, but they did manage to get some “account information (such as the date the account was created) and subject line.”

That’s because they apparently were able to access a system used to help Google comply with search warrants by providing data on Google users, said a source familiar with the situation, who spoke on condition of anonymity because he was not authorized to speak with the press. “Right before Christmas, it was, ‘Holy s***, this malware is accessing the internal intercept [systems],'” he said.

(muid lugemisviiteid leiab nt http://en.wikipedia.org/wiki/Operation_Aurora)

Ja see, et Sinu firmas ei ole õiguskaitseks mõeldud tagaust ei tähenda mõistagi seda, et midagi rünnata pole. Brian Krebsi blogist leiab lingid tema Washington Posti aegadel kirjutatud lugudele ja kuna see hakkab pihta alajaotusega Series: Cyber Gangs Fleece Small Businesses siis ei ole vist mõtet pealkirju-sisukokkuvõtteid ümber kopeerima hakata…

Jah, need Krebsi näited käivad kõik USA firmade kohta – nõrgem pangaturva (sest erinevalt eraisikute vastu suunatud rünnetest ei pea pangad ennast firmade puhul vastutavaks), rohkem pappi kontol jne. Aga rünnakud on kõik sihtmärgi-spetsiifilised (sh “rätsepatööna” valminud troojalane mida viirusetõrjed ei võta) ning kui eesmärk peaks olema midagi muud kui pangakonto seisu muutmine ei pruugi sihtmärk teadagi saada, et kogu ta sisevõrk on kuhugi teisele poole maakera kopeeritud.

Ega’s muud, kui jõudu kõigile mitte-paanika-tekitajatele – ilmselgelt haigutab meil suur tühimik igast assapauk-kampaaniate ja reaalset effekti omava teavitustöö vahel. Aga ma katsun nüüd jälle rahuneda ja turvateemal mõnda aega mitte sõna võtta, sest ilmselgelt on tegu täiesti mõttetu ajaraiskamisega…

Postitatud rubriiki sahteldamata asjad. Talleta püsiviide. Kommenteerimine ja trackback-viidete lisamine ei ole lubatud.
  • Ma loodan, Pets, et tegelt ei ole see ajakulutamine päris mõttetu. Aga jah, põmst ongi nii, et kasutajad ei hakka enne liigutama, kui selleks ülitõsine vajadus ilmneb.

  • Jaanus

    Kõigi selliste uudiste valguses tundub soovitus Apple'i platvormidele switchida järjest vähem poosetamisena ja järjest rohkem praktilise võimalusena platvormi TCO-d (aja-, närvi- ja rahakulu) vähendada. Kõiksugu viirusetõrjed on tänapäeval absurdselt keerulised, nt arvutikaitse.ee kilomeetriseid tootetutvustusi lugedes puudub mul igasugune lootus, et visuaalselt suudaks tavainimene autentset viirusetõrjet troojast eristada. Ise switchisin üle kolme aasta tagasi ja pole kordagi tundnud, et peaks tagasi vaatama. Windows, Linux jne jooksevad virtuaalmasinates ja ei pääse reaalse info kallale pahandust tegema.

  • Lühikokkuvõte: kasutage firefoxi.

  • windows.on.turvaauk.

    ja olgugi, et OS X on ilusam ja stabiilsem kui windows (tal on ju kõhus unix), ei arva mina, et ühest kinnisest purgist teise kolimine oleks maailma kõige mõistlikum mõte.

  • Selle arvutikaitsega on jah natuke sedapsi, et peab neid veidi torkima (ma seda ka teen ja kindlasti ei ole kõige paremas kirjas juba ammu ;-).

    Asja algne briif oli suunal “keskmisele kasutajale arusaadava ent põhjalikult kontrollitud info ja tugi-kommuuniga sait milles avaldatut ka peavoolumeedia meelsasti taaskasutaks”. Kommuun on täitsa olemas, aga meid friike peab ikka kõvasti masseerima saamaks tavainimesele ja ajakirjanikule väärt materjali.

    See viimatine turvaauk on neil kah jälle kahe silma vahele jäänud järjekordset viirusetõrjet arvustades (ja loomulikult on ahastamapanev, kui mõni perefoorumi külastaja suudab turvaaugu kaudu teistele käru keerata… aga meediasse jõudmise puhul annaks ka sellest õpetlikke üldistusi teha – sealjuures ka selliseid, mis lisaks kasutajate südametunnistusele rõhumisele ka teenusepakkujaid mõtlema paneksid).

  • Jaanus

    Võib ka Linux või midagi esoteerilisemat olla. estobuntu.org toimetab midagi, olen pikemat aega mõelnud ka ise pikemalt platvormide/OSide teemal kirjutada, nt ka Eesti ID kontekstis. et windows on turvaauk (raha- jm aukudest rääkimata), oleme ühel nõul :)

  • Jaanus

    Uuema aja hitt on Chrome. Soovitan kõigile, ise võtsin ta enda esimeseks brauseriks, kuigi macil alles beeta. Siiani tundub kiire, mugav, stabiilne. Kuigi mõnda asja renderdab rohkem valesti kui Safari, mis on imelik, sest nad ju mõlemad Webkiti peale ehitatud.

  • mina olen kah pikemat aega juba Chrome peal. nii loogiline on mh kõige laiemasse lahtrisse otsinguid tippida :-)

  • Viimane veerg

    Mina olen Peeter Marvet (pets@tehnokratt.net). Ei saa täielikult välistada, et see siin oli kunagi minu ajaveeb. Kirjapandu ei pruugi väljendada seisu- ega istmekohti. Seoses surutisega esilehe mahtu vähendatud 8%. Lisandub käibemaks, Tallinna elanikel ka müügi- ja paadimaks. Pakendatud gaasikeskkonda. Valmistatud arvutis milles võib leiduda väheses koguses piima- ja pähklitükke. Ei sisalda hüdrogeenitud (transarasvavabasid) taimseid rasvhappeid, sisaldab vahustatud lämmastikku.