Päevatoimetaja:
Marek Kuul

RIAt ründas nakatunud arvutite võrgustik

Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Toimetaja: Tiina Kaukvere
Copy
Küberrünnakud reaalajas. Illustratiivne foto.
Küberrünnakud reaalajas. Illustratiivne foto. Foto: Kaspersky Lab

Eile pärastlõunal tabas Riigi Infosüsteemi Ameti (RIA) majutatavaid veebiteenuseid teenustõkestusrünnak, mis pärines mitmest riigist. RIA kinnitusel töötatakse nii, nagu ressurss võimaldab.

Eile kell 14.30-15.30 olid häiritud RIA majutatavad veebiteenused küberrünnaku tõttu. Muuhulgas oli häiritud ka riigiportaali eesti.ee toimimine. Tegemist oli teenustõkestusrünnakuga – korraga saabus nii palju päringuid, et need, kes teenust tegelikult vajasid, ei pääsenud ummistuse tõttu enam sellele ligi.

RIA kommunikatsiooniosakonna juhataja Rauno Veri ütles, et nakatunud arvutite võrgustiku rünne RIA vastu lähtus mitmest riigist. Ta ei soovinud riike üles loetleda, sest see ei andvat tegeliku ründaja kohta olulist informatsiooni.

«Turvalisus ei ole staatiline nähtus, mida saaks pakendatud kujul kauplusest osta. See eeldab pidevalt täienevat turvateadlikkust ning suutlikkust olla valmis küberintsidentideks, mille sisu ja vorm samuti pidevalt muutuvad. Iga konkreetse süsteemi turvalisuse eest vastutab selle omanik,» lisas Veri.

Ta kinnitas, et riigi infosüsteemi kui terviku arendamine, kaitsmine ja selle toimepidevuse tagamine on RIA ülesanne, töötatakse aga nii, nagu ressurss võimaldab. Kui RIA suhtes on ootused kõrgemad, siis nende täitmine eeldaks ka suurema ressursi rakendamist, lisas Veri.

RIA majutatavate veebiteenustega oli probleeme ka 28. augustil, kui paljude riigiasutuste koduleheküljed töötasid tõrgetega või ei avanenud  üldse. Tegemist ei olnud aga küberrünnakuga, vaid tehnilise tõrkega võrguseadme töös.

14. ja 15. augustil tabas aga Eestis reisirongiliiklust korraldava Elroni kodulehe www.elron.ee üldosa küberrünnak, mille tagajärjel võis mõne kodulehte külastanud kliendi arvuti pahavarast nakatuda.

«Pühapäeva pealelõunast esmaspäeva õhtuni jagati Elroni peamiselt veebilehelt www.elron.ee Astrum exploitkitiga «kingitusi» (pahavara). Kes kasutas pahavara jaoks sobilikku tarkvarakomplekti lehe külastamisel, osutus kvalifitseeruvaks ja sai sealt suunamise IP-le 46.105.233.200 porti 6219. Järgnes suure tõenäosusega nakatumine,» teatas RIA.

Tänavuste intsidentide statistika kogumine alles käib ning RIAl ei ole täpset ülevaadet, kas intsidentide arv on suurenenud. Küll aga võttis RIA tänavu suvel kokku mullused olulisemad sündmused ja teemad Eesti ning maailma küberjulgeolekus.

Ummistusründeid registreeriti Eestis 2013. aastal muuhulgas 13.

● Jaanuaris toimus Elionis ulatuslik rike, mille põhjustas probleem keskse andmesalvestusseadme tarkvaras. Katkesid nutiTV, e-posti, veebimajutuse ja hot.ee teenused. Juhtum tekitas IT-ringkondades elava arutelu varundusmeetoditest ja nende dubleerimisest.

● Jaanuaris selgus, et 2012. aasta lõpus häkiti lennuakadeemia telefonisüsteemi ja tehti sadu kaugekõnesid. Juhtunut märkas Elion.

● Jaanuaris alustas andmekaitse inspektsioon järelevalvemenetlust Tallinna ühistranspordi piletisüsteemi suhtes, neid aitasid ka RIA infoturbespetsialistid. Maikuus lõppenud järelevalve käigus leiti, et kogu andmestiku üldine 7-aastane säilitustähtaeg ei olnud põhjendatud ja isikustatud andmestiku hoidmise turvameetmed (andmete räsimine) ei olnud piisavad.

● Veebruari alguses tabas Elioni ja Elisa webmaili ning Eesti Maaülikooli analoogse meiliteenuse kasutajaid õngitsemisrünnak.Kasutajad suunati võltsitud veebilehele oma e-posti aadressi ja parooli sisestama, et turvaprobleemiga tegeleda. Sarnane õngitsusrünnak tabas mai alguses ka Tartu Ülikooli meilikasutajaid ning haridusasutuste võrgu EENeti kasutajaid.

● Mais levisid Eestis Skype'i kasutajate hulgas võltssõnumid, mis sisaldasid linke saaja Skype'i kasutajanimega ja klikkimisele ahvatlevat ingliskeelset teksti (nt this is a very nice photo of you). CERT-EE levitas selliste rünnakute tõkestamiseks infot domeeninimede ja IP-aadresside vahemike kohta, mida jälgida ja blokeerida.

● Aprillis 2013 tõstatas RIA teema, mis võinuks aasta hiljem seada ohtu kolmandiku Eesti arvutikasutajatest. Populaarse operatsioonisüsteemi (OS) Windows XP kasutajaid kutsuti üles tarkvara uuendama või mõne muu tootja operatsioonisüsteemiga asendama. 2014. a aprillis lõpetas Microsoft XP toetamise, mis jättis selle kasutajad ilma turvauuendustest. Teavitamine on olnud tulemuslik. Kui aprillis 2013 kasutas hinnanguliselt 1/3 Eesti arvutikasutajatest internetis XPd, siis aasta hiljem oli XP kasutajate arv vähenenud umbes 1/5-ni. Riigiportaalis eesti.ee käis 2014. a märtsis-aprillis XPga arvutitega 15 protsenti külastajatest. Riigivõrgust ühendus 2014. a aprillis XPga internetti hinnanguliselt 10 protsenti arvutitest.

● Aimates, et ka 2013. aasta kohalike omavalitsuste valimiste e-hääletus ei möödu poliitiliste rünneteta, kutsus RIA aprillis kokku e-hääletamise teemal spetsialistide kärajad, kus osalesid mitmed e-hääletamise turvalisusest huvituvad eksperdid ning e-hääletamise lahenduste ja protseduuride eest vastutavad Vabariigi Valimiskomisjoni liikmed. Kogunemine andis viimase tõuke e-hääletuse serverikoodi avalikustamiseks ja sellele järgnenud turvatestimiseks, mille viisid läbi vabatahtlikud spetsialistid. Testijad raporteerisid valimiskomisjonile mitmeid pisivigu, mis eemaldati enne valimisi. Spetsialistide üldine tõdemus oli, et tervikuna on süsteem endiselt usaldusväärne ja turvaline. Seda tõdemust ei kõigutanud ka 2014. aastal vahetult Euroopa parlamendi valimistele eelnenud järjekordne poliitiline rünnak e-hääletamisele.

● 2013. aasta kevadel jõudsid RIAni teated mitmete koolide infosüsteemide ründamisest internetis saadaolevate ründevahenditega. Süsteemide logid ja sotsiaalmeedia postitused viisid õiguskaitseorganid alaealisteni. Augustis oli mitu kooli hädas kooli veebiserverisse istutatud pornolehtede, pahavara levitavate ja ravimimüügile keskendunud veebilehtedega. Koolivõrkude ummistusrünnete tõttu käisid veebipolitseinikud ja CERT-EE koolides kõnelemas küberhuligaansuse tõsistest tagajärgedest.

● Nagu ka mujal maailmas, kandus mõni kurivara Eestisse aktuaalsete uudiste tuules: pärast aprillis Bostoni maratonil toimunud terrorirünnakuid levisid e-kirjad, mis ahvatlesid saajat värskete Bostoni plahvatuste fotodega, ent viisid hoopis nakatavale veebilehele.

● Juulis said paljud eestimaalased ingliskeelse petukõne, kus end Microsofti esindajanatutvustanu ärgitas internetist alla laadima programmi ja/või avaldama paroole, mis annaksid petturile ligipääsu ohvri arvutile ja sealtkaudu pangakontole.

● Augusti lõpus pälvis suurt avalikkuse tähelepanu ID-tarkvaras esinenud teoreetiline haavatavus. Märke selle pahatahtlikust ärakasutamisest polnud. Haavatavusele oli väljastatud ka paik, seega oli kära teema ümber rohkem kui olukord tegelikult oleks väärinud – tegemist polnud ju esimese ega viimase turvaparandusega ID-tarkvaras. Nagu iga tarkvara puhul, tehakse ka ID-tarkvaras töökindluse ja turvalisuse tagamiseks regulaarseid uuendusi. Avaliku paanika õhutamine oleks mõistetav vaid olukorras, kus toimub ulatuslik haavatavuse ärakasutamine, teisisõnu rünne ID-tarkvara mõnd paikamata nõrkust kasutades. Samas diskussioonis kerkis üles asjaolu, et ID-tarkvarasse pole seni sisse kirjutatud nn sunduuendamise mehhanismi, sestap on tarkvara paiga rakendumisel oluline roll ka kasutajal, kes peab pakutud tarkvarauuenduse oma arvutis vastu võtma. Sunduuendamine ehk olukord, kus tarkvara uueneb automaatselt ja kasutaja ei pea selleks midagi tegema, lisandub ID-tarkvarasse 2014. aastal.

● Augustis pälvis avalikkuse tähelepanu ilm.ee ja oktoobris veebiarendajate seas populaarse veebilehe php.net külastajaid nakatanud pahavara. Ilm.ee intsidendi põhjus oli reklaaminäitamistarkvaras OpenX sisaldunud tagauks, mida kasutades lisasid kurjategijad lehele pahavara.

● Oktoobris toimusid kohalike omavalitsuste valimised. E-hääletusel osales 21,2 protsenti kõikidest osalenud hääletajatest. Ka sel korral möödus e-hääletamine tõrgeteta, kuigi juba traditsiooniks saanud e-hääletamise vastase poliitilise propaganda saatel.

● Novembris toimus tarkvarahiiu Adobe'i teenustes andmeleke, mille tõttu avaldati internetis ka kümnete tuhandete .ee lõpuga meiliaadressi kasutajate Adobe'i teenustes kasutatud parooliräsi ja parooli arvamist hõlbustav paroolivihje.

● Novembri alguses, samaaegselt NATO õppusega Steadfast Jazz, sattusid ründe alla mitmed veebilehed nii Eestis kui Euroopas. Ummistusrünnetest anti sotsiaalmeedias teada sildiga #opindependence ja Anonymous Ukraine, juhtum pälvis ka palju meediatähelepanu. Olulist kahju Eesti riigiasutuste ja ettevõtete infosüsteemidele ei sündinud.

● Novembris käivitasid RIA ja mitmed eraettevõtted ühiselt projekti NutiKaitse 2017, mille eesmärk on tõsta nutiseadmete kasutajate, arendajate ja müüjate turvateadlikkust ning kasutamisoskusi, luues seejuures võimalusi, et turvaline tarkvara oleks lihtsalt ja kasutajasõbralikult kättesaadav.

● Sügisel murti Eestis sisse mitmesse serverisse, et ülevõetud masinas bitimünte kaevandada. Vähemalt ühel juhul saadi sisse PHP5 turvaaugu kaudu. Tegu on uue ja küberkurjategijate jaoks üsna lihtsa viisiga serveriparke kuritarvitades tulu teenida.

● Teiste intsidentide seast nähtavuse poolest esile tõusvaid ummistusründeid registreeriti Eestis 2013. aastal ühtekokku 13, näotustamisi oli märksa rohkem: 240 juhtumit.

● Märke APTst ehk sihitud ründeohust on tuvastanud ilmselt suurem osa lääneriikide riigiasutustest, olgu selleks võrkude skaneerimine või tõetruult koostatud petukirjad, mis toovad endaga kaasa arvuti kõvaketta sisu mujale edastava pahavara. Analoogiliselt oma välismaa kolleegidega pööravad ka Eesti õiguskaitse- ja julgeolekuasutused sellistele juhtumitele suurt tähelepanu.

Tagasi üles