Liigu edasi põhisisu juurde
küberkurjategija arvuti taga sisse häkkimas

Küberrünnak võib tabada meid kõiki – kuidas ennast kaitsta? I osa

Sigrid Varemäe & Trinidad Wiseman development team

Maailmas toimub päevas keskmiselt ca 30 000 veebilehtedega seonduvat turvaintsidenti. Eestiski näitab tänane reaalsus, et küberkurjategijate rünnakute ohvriks satub igapäevaselt nii erinevate riigiasutuste, ettevõtete kui ka eraisikute arvutisüsteeme ja veebilehti. Kuidas ennast kaitsta?

 

Tegime intervjuu ja uurisime küberrünnakute kohta Trinidad Wisemani arendajatelt, kes omavad 10+ aastast töökogemust populaarseimate sisuhaldusplatvormidega Drupal ja WordPress.

 

Paljud panevad omale platvormid lihtsalt püsti, kuid teadmatusest või kulude kokkuhoiu mõttes seda jooksvalt ei uuenda. Käesolevas artiklis räägime, mis ajendil võidakse veebirünnakuid korraldada, millised võivad olla tagajärjed ning anname soovitusi, kuidas ennast kõige selle eest kaitsta.

 

 

Kes ja miks peaks ründama minu veebi?

Kahjuks tuleb tõdeda, et tänapäeval ei ole enam küsimust, kas kellelgi on võimalik sinu veebi sisse tungida, on vaid küsimus, millal seda tehakse. 100% kaitstud ei ole keegi, isegi mitte gigandid nagu Google või Intel.

 

Kuidas nii? Tehnoloogia areneb väga kiiresti, mistõttu on üsna tõenäoline, et enne järgmisi uuendusi võib tekkida turvaauk, mida häkkerid osavasti ära kasutavad.

 

Võimalusi ründamiseks on mitmeid – nt e-maili teel eelnevalt saadetud pahalase kaudu jälgitakse sinu käike või siis püütakse ära kasutada veebi nõrkusi.

 

Enamasti ei rünnata kellegi infoveebi või e-poodi sihilikult. Küberkurjategijad kasutavad automatiseeritud süsteeme: robotitele antakse skannimiseks ette hulk avalikke veebilehti ning tuvastamiseks rida vigu ja probleemseid pluginaid (nt krediitkaardi andmetele ligipääsetavus, kliendi infole ligipääsetavus, turvaennetuse olemasolu jne).

 

Peamised ajendid küberrünnakuteks:

 

  • omakasu – klientide andmete või kasutajanimede ja paroolide hankimise eesmärgil; veebipoodide puhul õngitsetakse makseinfot. Samuti on võimalik suunata heausklik klient veebipoest mõnda teise keskkonda ning temalt andmeid varastada.
  • turunduse ründamine SEO kaudu - kõik artiklid konkreetses veebis täidetakse häkkeri enda linkidega. Näiteks on kurjategijal võimalik korraldada nii, et näiliselt on sinu veebilehel kõik korras, kuid Google otsimootor suunab inimesed hoopis mujale.
  • defacing (näotustamine) – põhimõtteliselt nagu elektrooniline graffiti, kus kübervandaalid asendavad lehe oma sõnumiga. Enamasti on tegemist poliitilise või religioosse tekstiga ning võib sisaldada häirivat pildimaterjali.
  • harvematel juhtudel kindla isiku või ettevõtte ründeobjektiks valimine. Sel juhul võidakse pahalane saata juba eelnevalt nt e-maili teel mõnele ettevõtte omanikule või arendajale ning kui ta oma arvutist serverisse läheb või admin-paneeli sisse logib, saadaksegi kätte soovitud info.

 

Pilt
meesterahvas, küsimärgid ja tabalukk illustreerimaks turvalisuse üle mõtisklemist

 

 

Kuidas aru saada, et minu veebi on rünnatud?

Ründamine ja sissetungimine on täiesti erinevad olukorrad. Rünnaku korral saab oma veebi veel kaitsta ning turvalisust suurendada. Sissetungi puhul on korda saadetud juba ka kuritöö ning selleks korraks on ennetustegevusteks hilja. Järgnevalt uurimegi, kuidas aru saada, kumb on toimunud sinu veebi või süsteemiga.

 

Oma veebilehe automaatseks turvaskannimiseks on erinevaid võimalusi alates pluginatest (pistikprogrammidest), majutusteenusepakkuja tööriistadest kuni eraldi kolmanda osapoole teenusteni. On ka väliseid tasuta teenuseid, näiteks Drupali ja WordPressi jaoks on võimalik kasutada vabavara Sucuri veebisaidil.

 

Soovitav on logida süsteemi tegevusi, mis aitab kiiresti tuvastada (ka ettevõttesiseselt), kes ja millal on veebis mingisuguseid tegevusi korda saatnud (nt midagi muutnud või kustutanud). Kindlasti tuleb logisid perioodiliselt jälgida.

 

Monitoorides logisid on võimalik näha, kas keegi on üritanud lehele kahtlasel viisil ligi pääseda. Sellest jääb tavaliselt maha jälg IP aadressi kujul, mille abil on võimalik tuvastada, mida teha üritati ning vastav IP aadress on soovitav lisada mõneks ajaks black-listi ehk musta nimekirja.

 

Kahtlaste toimingute hulga suurenemisel on seiretarkvarade puhul võimalik seadistada omale veel e-maili teavitused. Siinkohal on oluline teadvustada, et automaatsed ehk robotrünnakud võivad kesta mitu nädalat ning toimuda lainetena nii, et kohati on aktiivsed (500-600 sissetulevat päringut), siis vaibuvad maha ning tulevad mõne aja möödudes taas.

 

Kui keegi on sisse tunginud, ei pruugi lehe haldur ise midagi tavapäratut märgata, vahetades aga seadet, võib sama lehekülg tunduda kahtlane (nt blogitekstis jooksevad reklaamid, mis suunavad spämm-lehtedele). Samuti võib tulla tagasisidet klientidelt, et midagi on valesti.

 

Pole harv juhus kui esimene e-maili teavitus tuleb majutusteenuse pakkujalt või hoopis Riigi Infosüsteemi Ameti (RIA) intsidentide käsitlemise osakonnast CERT.EE.

 

Suuremates ettevõtetes on sageli loodud eraldi ametipost nn turvadetektiiv, kelle ülesandeks on jälgede ajamine ehk selgitamine, millal ja kuidas toimus rünnak, kas ja millist infot kätte saadi jms.

 

Pilt
illustratsioon küberkurjategijast, kes püüab süsteemi sisse häkkida

 

 

Millised võivad olla sissetungi tagajärjed ja kahju?

Oleneb, kui suurelt ja mis mahus küberrünnak toimus, samuti mis liiki veebiga on tegu ehk missuguseid andmeid sealt võib lekkida. Kindel on see, et aega ja raha kulub alati nii väikese kui suure sissetungi tagajärgedega tegelemiseks.

 

Kahju stsenaariumeid on väga erinevaid – alates ettevõtte maine rikkumisest ja andmekaost, teenuse blokeerimisest kuni aktsiate väärtuse langetamiseni välja. Klientide e-mailid võidakse lisada spämm-listidesse, kõrgematelt ametipositsioonidelt võidakse õngitsuskirjade abil püüda muud infot.

 

Näiteks e-poe puhul võidakse korjata üles isikute krediitkaardi andmed ja neid üle maailma kasutama hakata. Samuti veebipoodide puhul, kui klientide andmed on tundlikud, tuleb lisaks arvestada juristi palkamisega ning valmis tuleb olla ka võimalikeks trahvideks.

 

Teavitada tuleb AKIt (Andmekaitse Inspektsioon) ja kõiki kliente ning soovitav on avada infoliin või leida inimene, kes vastab klientide küsimustele. Kui sissetungi ohvriks langeb näiteks blogi veeb, on kahju tõenäoliselt väiksem.

 

 

Mida teha, kui sissetung on juba toimunud?

Esmalt tuleb tuvastada, mis liiki turvaintsidendiga on tegemist ehk kuhu täpselt sisse tungiti ja mida korda saadeti – kas saadi sisse haldusesse või on ära kasutatud mingit veebilehe turvanõrkust (nt Cross Site Scripting või SQL Injection) ning saadud ligi selle kaudu.

 

Tuleb ette ka paremini läbimõeldud küberkuritegevust, kus toimub e-poodide kaaperdamine, teisisõnu veebipoe halduri äri on seisma pandud ning nõutakse lunaraha.

 

Kui kätte saadi klientide andmed, soovitame tegutseda järgnevalt:

 

  • võtta ühendust AKIga (Andmekaitse Inspektsioon annab konkreetsed juhised, kuidas käituda ja kliente teavitada) 
  • võtta ühendust arendajatega 
  • võtta ühendust serveri halduriga 
  • võib ühendust võtta ka CERTiga (teevad monitooringut Eestis olevatele domeenidele) 
  • teavitada kliente ja avada infoliin küsimustele vastamiseks 

 

Kuidas võiks toimida arendaja, kui leheküljele on saadud volitamata juurdepääs? Enamasti on kaks varianti: 

 

  1. soovitame taastada varukoopiast, mis on tehtud sissetungi eelsest perioodist. See on kõige kiirem ja odavam lahendus. 
  2. kui (piisavalt vana) varukoopiat ei ole, tuleb manuaalselt hakata veebilehte puhastama. See võib olla päris ajamahukas ja halvimal juhul võib pahalane kuhugi peitu jääda. Lihtsama lehe puhul võib kaaluda lehe uuesti installeerimist lähtekoodist ning sisu uuesti sisestamist. 

 

 

Kas küberkurjategijaid on võimalik tabada ja karistada?

Maailma tasemel häkkerid on tavaliselt tõelised professionaalid, kes toimetavad allhangete vormis ning keda tabada on äärmiselt keeruline kui mitte võimatu.

 

Häkkeri isiku tuvastamine nõuab aastaid kestvat tõsist detektiivitööd ning Eestis seda paraku ei juhtu. Vaid algajaid või hooletuid küberkurjategijaid, kes oma jälgi peita ei oska, on tõenäolisem tabada.

 

Kes soovib teemasse süvitsi minna, soovitame lugeda Darknet Diaries veebilehelt närvikõdi tekitavaid lugusid vigadest, mis on häkkeritele saatuslikuks saanud.

 

Loodame, et meie artikli 1. osa pakkus sulle huvitavat lugemist küberrünnakute korraldamise peamistest ajenditest ja viisidest ning andis mõtteainet, kuidas monitoorida rünnakuid või tuvastada, kas sinu lehele on juba sisse tungitud. Järgmisel nädalal saad artikli 2. osast kaasa rea soovitusi, kuidas kaitsta oma veebi ja juba eos ennetada sissetungimisi.