Eesti ekspert selgitab: kuidas saab külmkapist küberründaja

Riigi Infosüsteemi Ameti analüütik Anto Veldre

FOTO: TOOMAS HUIK/PM/SCANPIX BALTICS

Ameerika Ühendriike nädalavahetusel tabanud hiiglaslik küberrünnakute laine tekitas paljudes imestust, kuidas on ikkagi võimalik, et süütust nutiteleviisorist või -külmkapist võib saada töövahend selliste rünnakute korraldajate käes.

Küsisime Riigi Infosüsteemi Ameti analüütikult Anto Veldrelt nõu, mida need ründed endast õigupoolest kujutasid ja kuidas enda seadmeid ja koduvõrkusid paremini kaitsta.

Märke küberrünnakute ohu kasvust ilmnes juba kuu algul ning ennustati just infopommitamisega seotud rünnakuid. Mis asi on ikkagi DDoS-rünnak - kuidas infopäringutega pommitamine käib, on seesama, mis toimus Eestis pronksiööde ajal?

*DDoS* tähendab eesti keeles «hajusat ummistusrünnet» või «hajusat teenusetõkestusrünnet» - ingl. k «distributed denial of service».

*Teenus* seetõttu, et tühja kohta pole mõtet rünnata, ikka ju rünnatakse ju neid, kes teenivad internetis raha või peavad infoportaale. Ära käkerdada püütakse ikka seda, mis on suur ja ilus.

*Hajus* seetõttu, et rünne ei toimu ühest selgelt väljendunud kohast (häkkeri kodust), vaid et oma nime ja näo varjamiseks paneb pahategija korraga ründama  kümme tuhat sissemurtud seadet eri riikidest. Kui netis ripakil olev ebaturvaline ressurss ühendada ühtse kontrolli alla, moodustub n-ö zombivõrk. Samal põhjusel pole mõtet küsida, kust riigist rünnak tuli – sissemurtud seadmeid leidub kõikjal. Miljoni dollari küsimus on, kes ja kust zombiarmeed juhib. Loomulikult on võõrastesse seadmetesse sissemurdmine kuritegu ... kuid seda sooritab netti läbikammiv robot. Mõnes riigis (.DE) loetakse kuriteoks ka sissemurdvate arvutiprogrammide omamist.

*Rünnak* saab võimalikuks, sest igal infoteenusel on mingi konstruktsiooniline piir, et kui palju bitte netitorudest läbi mahub ja mitut päringut sekundis serverid veel teenindada jõuavad.

Kui nüüd paha inimene korjab ühtse juhtimise alla sellest numbrist rohkem zombisõdureid ja saadab nad üheaegselt sama infosüsteemi küsitlema, siis katkestused juhtuvadki.

Lõpuks on teenuseid, mis toimivad mitte lihtsalt nalja pärast, vaid neid läheb vaja ülejäänud Interneti toimimiseks. Näiteks nimeteenus – DNS – mille katkemisel netisirvijad ei suuda enam servereid üles leida. Vastses juhtumis põrutasid koduruuterid kommertsiaalse DNS-pakkuja pihta.

Kuidas ikkagi on võimalik, et mu internetiga ühendatud külmkapp või 2015. aasta Samsungi telekas muutub minu enda teadmata botneti liikmeks ja see ründajaks muuta?

Botnet Mirai kaardil paistis Eestist vaid väga üksikuid seadmeid. Seega pole Eestis asi veel kuigi hull.

Ent ühiskond on mõnest asjast valesti aru saanud, näiteks justnagu uue tehnoloogia kiire kasutuselevõtt olekski alati turvaline.

Äri on peenike tasakaal kasumi ja turva vahel – kui riistapuu turvaliseks muutmisega ülearu kaua molutada, siis tuleb konkurent, paiskab odavama seadme turule ja sinu äri ongi läbi.

Sageli on ka firmad ise huvitatud standardparoolidest ja tagaustest, sellega saab hiljem kõvasti kokku hoida kasutajatoe kulusid.

Ja ega seade päris iseseisvalt muutugi zombivõrgu liikmeks, ikka keegi paha inimene käib ukselinke katsumas ja avaliku Interneti poolelt sisse murdmas.

Turvalisus tähendab suuremat keerukust ja suuremat kulu. Firmades ja riigiasutustes pruugitakse näiteks riistvaralisi tulemüüre, kodudes seni mitte.

Mina omas kodus olen teinud selged valikud – kuigi mul on ühtsama marki nutitelefon ja televiisor, olen teadlikult loobunud nii nende kahe kokkulõimimisest kui ka pilt-üle-WiFi imedest teenusepakkjuja ruuteri vahendusel.

Mida saab selliste rünnakute vastu ette võtta tavainimene ja mida riiklikul tasandil – kogu internetti ja kõiki riike ju blokeerida ei saa?

Kiirreageerimine on edev ja kallis võimekus, kuid turvaline elu algab pigem planeerimisest.

Kõigepealt tuleb loobuda ebaturvalistest kiusatustest – näiteks arvutimängudest, mis nõuavad ruuterilt iseavanevaid võrguporte (niinimetatud uPNP funktsionaalsus).

Kõige ohtlikumad on seadmed ja programmid, mis nõuavad, et keegi neile otse internetist ligi pääseks.

Iga majjatoodavat seadet võiks enne ostmist turvalisuse koha pealt guugeldada.  Kas tootjal on varem olnud turvajamasid?

Kas seadmele on saadaval uuendusi? Kui sageli need uuendused saabuvad? Sest kui firmal pole harjumustki omi vigu parandada, on lahenduseks vaid uue seadme ost.

Lõpuks, olukorras, kus koduvõrku tuleb ära mahutada kettakastid, lambipirnid, külmkapid, meediamängijad ja IPv6, peab ilmselt ka koduvõrk ise muutuma oluliselt keerukamaks.

Riigiasutustes ja firmades osatakse võrke segmenteerida (turvaliselt jupitada), see kunst ilmselt nüüd kandub mõne aasta jooksul kodudesse.

Näiteks minu kodus on suisa kaks eraldi WiFit – üks omadele, teine võõrastele.  Internetipakkuja karbi küljes leiduva WiFi lülitasin välja kohe esimesel õhtul.

Asi, millest Mirai zombivõrgu rünnaku puhul eriti rääkida ei taheta, et pahad asjad juhtusid pigem nende sidepakkujate juures, kus ei keelata internetipakettide võltsimist (huvilised võivad ise guugeldada: BCP35). Soomes riiklik regulaator ei luba säärast sidepakkujat üldse turule, kelle võrgus odavruuter saab IP-aadresse võltsida.

Ka saab riik paremini kaitsta nimeservereid.

Tagasi üles