teisipäev, 11. mai 2010

Loeng "Viimaseid näiteid küberkuritegelikust maailmast"

11.05.2010 pidas Mikko H. Hypponen Eesti Infotehnoloogia Kolledžis suurepärase loengu "Viimaseid näiteid küberkuritegelikust maailmast". Tegemist on F-Secure viirusetõrje laborite juhiga. Loengut oli võimalik veebi teel jälgida. Järgnevalt väike ülevaade räägitust.

Viiruste areng näitab väga hästi tehnoloogia arengut. Kunagi levisid viirused diskettide kaudu, sest Internetti ei olnud. Kõige suuremate muutuste tekitaja on Internet ise. Internet on rahvusvaheline ja seega on ka iga kuritegu, mis Internetis tehakse, rahvusvaheline. Paraku jääb enamik veebikurikaelu karistamata. 15 aasta jooksul on rahvusvahelised kuriteod muutunud. Organisatsioonid, kes peaks nende kuritegudega tegelema, ei ole aga nii palju muutunud. Nad on valmis tegelema salakaubandusega jne.

Umbes 20 aastat tagasi alustas tööd F-Secure firma Soomes. Tänaseks on tegemist ülemaailmse firmaga, mille kontorid paiknevad erinevates paikades. Töötatakse vahetustega: 3 vahetust päevas. Mis juhtub tulevikus? Kuidas sammu pidada? Inimesed arvavad, et võitlus viirustega kogu aeg paraneb. Tegelikult läheb asi hullemaks. Mäletatakse suuri viiruseid nagu Melissa, LoveLetter. Vanasti olid viirused nähtavad. Tänapäeva viirused on nähtamatud. Kasutaja ei märkagi, et arvuti on nakatunud. Mis on ründajate motiiv? Vana kooli tegijad tegid viiruseid oma lõbuks, hasardiks. Eesmärgiks oli tekitada kaos ja pääseda uudistesse. Tänapäeva tegijad kasutavad viiruseid raha hankimiseks.

Spionaaž on informatsiooni kogumine mõne riigi, organisatsiooni või isiku kohta. Informatsioon oli aastaid tagasi füüsiline (paber, foto). Tänapäeval on info digitaalne ja selleks, et infot hankida ei pea minema füüsiliselt kohale. Tegemist on e-spionaažiga. Palju on juttu ka kübersõjast ehk online sõjast. Kübersõjast rääkides mainitakse tavaliselt esimesena 2007. aasta Eesti juhtumit. Kuid, kas see oli kübersõda? Kübersõda on sõda, kus A riigi sõjavägi ründab B riigi sõjaväe arvutisüsteeme tekitades väga suurt kahju. Veebilehtede blokeerimine ei ole rünnak, sest need pole kriitilised infrastruktuurid. See ei riku kellegi elu. Blokeerimine on sümboolne tegu. Sellest tuleb uudis, aga kas see on sõda. Tõeline kübersõda on teistsugune. Me ei ole seda veel näinud. Küberrünnak eeldab, et ka vaenlane kasutab tehnikat. Näiteks Afganistaniga ei saa kübersõda pidada.

Põhiliselt rünnatakse kõige enam levinud süsteeme. Windows XP on praegu põhiline rünnakuobjekt. Tulevikus võib aga sihtmärgiks saada hoopis Windows 7 või mobiiltelefonid. Viirustõrje kasutamine aitab kaitsta arvutit. Samas muutub viirusetõrje aina mahukamaks ja harv ei ole olukord, kus arvutis töötabki ainult viirusetõrje. F-Secure on selle probleemi lahendamiseks võtnud kasutusele Cloud (pilv) süsteemi. Cloud on andmebaas, mis ei asu kohalikus arvutis vaid kusagil mujal. Viirusetõrje käib sellest andmebaasist küsimas, kas ühe või teise programmi käivitamine on ok. Sellist süsteemi kasutab F-Secure juba üle aasta. See süsteem nõuab muidugi internetiühendust.

Kõige suuremaks probleemiks ongi veeb. Kasutaja läheb mingile veebilehele ja tema arvutit hakatakse kontrollima. Kas tal on Windows XP, mis brauser, kas on flash jne. Kasutaja ei teagi, et tema arvuti on nakatunud. Arvuti töös midagi ei muutu. Viirused liiguvad edasi sotsiaalsetesse keskkondadesse, nagu näiteks Facebook. Kohe tulevad meelde e-mailiga levinud viirused. Viirus levis e-maili teel, saates ennast nakatunud kasutaja kõikidele kontaktidele. Nüüd on e-kirja keskkonnad tugevamad. Sama skeemi kasutatakse Facebook'is. Kasutaja hakkab Facebook’i sisse logima, aga tegelikult on tegemist teise keskkonnaga. Aadress on natuke erinev, aga kujundus sama. Kurjategijad saavad teada kasutajanime ja parooli ning hakkavad saatma postitusi sõpradele. Sõbrad usaldavad, klikivad ja saavad viiruse. Tegemist on usaldusega. Kogu asi on muidugi rahas.

Kõige sagedasem viirusetüüp on keyloaderid. Keyloaderid salvestavad kõik, mida kasutaja trükib ja saadavad need andmed kurjategijatele. Nad ootavad, kuni kasutaja läheb midagi ostma. Midagi ostes on vaja kirjutada oma nimi, krediitkaardi number jne. Sellisel viisil saavad kurikaelad kõik andmed. Kui midagi arvega juhtub, siis kohe arvatakse automaatselt, et kaart on füüsiliselt ära kaotatud. Tegelikult toimub vargus aga palju sagedamini veebis. Tihti kuritegijad ise ei kasutagi neid andmeid, nad müüvad selle info edasi ja hiljem kasutatakse neid andmeid internetioksjonitel või mängudes.
Veel üks näide kuritegelikust skeemist. Arvuti teatab kasutajale, et failid on rikutud. Ükski fail ei tööta. Kasutaja on paanikas, kuid õnneks on olemas kohe link, kust alla laadida failide parandaja. Kasutaja laeb programmi alla ja saab ühe faili ära parandada. Seejärel aga nõuab programm registreerimist ja maksmist. Kasutaja maksabki, sest tahab oma faile tagasi. Tegelikult ei ole failid rikutud, vaid hoopis krüpteeritud. Failid võetakse lihtsalt pantvangi ja kasutaja maksab lunaraha. Firma, kes programmi müüb, on teada, aga kusagilt pole kinni võtta. Nemad ainult müüvad programmi. Kurjategijad on mujal. Sinna süsteemi läheb päris palju raha.
Väga rakse on leida kurjategijaid. Näiteks kui uurida domeenimesid, siis võib tihti leida, et omanik on Miki Mouse, Barack Obama jne. Järgmiseks sammuks on uurida, kes maksis domeeni eest. Selle eest on makstud varastatud krediitkaardiga. Ka IP-aadressi vaatamine ei too lahendust, sest domeen on ostetud nakatunud arvutist.
2008. aastal toimus 1968 rünnakut, 2010. aastal (jaan-mai) 2190. Umbes 50% sellistest rünnakutest olid pdf failide kaudu. Kasutaja sai kirja pdf failiga. Avades faili nakatati tema arvuti. Adobe Reader tuleks asendada mõne teise pdf lugejaga. Alati rünnatakse kõige levinumat programmi. Riski peaks hajutama.

Võib arvata, et tulevikus sagenevad rünnakud mobiiltelefonidele. Juba on olemas mobiiliviirused. Siiani on tegemist siiski veel hobirünnakutega, kuid see muutub kindlasti. Näide ühest rünnakust. Inimene ärkab öösel üles ja näeb, et tema telefon valib numbreid. Ta postitab oma mure foorumisse ja selgub, et sama oli juhtunud ka teistega. Asja lähemalt uurides selgus, et kõigil neil kasutajatel oli telefoni installeeritud üks mäng. See oli täitsa korralik Hiina mäng, mille üks kurjategija Venemaalt oli ära kodeerinud ja palunud lisada see mäng seejärel einevatele download lehekülgedele. Telefon tegi korra kuus kõne ja kasutajatel oli seda raske märgata, sest summa mis maha läks, oli tühine. Kuhu kõned läksid? No näitaks Antarktikasse või olematusse riiki. I-phone'il on olnud siiani 2 rünnakut, sest selliseid telefone on vähe. Ründajad on laisad. Nad valivad kõige populaarsemad asjad.
Veebikuriteod lähevad aina hullemaks ja hullemaks. Samas on Internet tegelikkuse peegeldus. Ka tavaelus on palju kuritegusid. Me peame neist lihtsalt teadlikud olema ja nendega arvestama.

Kommentaare ei ole: