Uus väljakutse: võitlus terrorismiga

See oli umbes 20 aastat tagasi, kui maailma ekraanidel vägivallatses esmakordselt kõikide terroristide hirm, CTU agent Jack Bauer.

Täna, 7. juunil 2022. aastal, tõusis päike maailma kohal, milles võitlusesse rahvusvahelise terrorismiga on kaasatud Zone sarnased veebimajutusteenuste pakkujad. Nimelt hakkas kehtima Euroopa Parlamendi ja Nõukogu Määrus (EL) 2021/784, mis käsitleb võitlemist terroristliku veebisisuga.

See määrus näeb ette, et iga veebimajutusteenuse pakkuja eemaldab või blokeerib oma serverites võimaliku terroristliku sisu hiljemalt ühe tunni (!) jooksul, pärast pädevalt asutuselt eemaldamiskorralduse saamist.

Kujundlikult on nüüd igal Euroopa Liidu liikmesriigis terrorismiga võitleval asutusel “nupp”, mida vajutades ei helise telefon Keither Sutherlandi näo ja häälega superagendi öökapil, vaid Zone valvetehniku padja kõrval. Kuid sarnaselt telesarjale “24” hakkab siiski sellest hetkest kell armutult sekundeid allapoole lugema.

Eestis sai selle “nupu” endale Kaitsepolitseiamet – eeldame, et see saab neil oma uues majas aukohale, nagu “Batphone”, mida maskistatud superkangelase väljakutsumiseks kasutada.

Kuidas see kõik tööle hakkab, on täna raske täpselt ennustada, sest Eesti pole veel vajalikke seadusandliku raamistiku parandusi suutnud kehtestada.
Vajalikke infoühiskonna teenuse seaduse ja karistusseadustiku muudatusi vedas meil Siseministeerium, aga viimase juht löödi just valitsusest aplombiga minema – vaevalt sel kogu protsessile positiivne mõju on.

Kuna aga Euroopa Liidu määrused on otsekohalduvad, siis praktikas peavad teenusepakkujad määruse mõttest täna juba lähtuma, kasvõi improviseerides. Nõuete mittetäitjaid võib nimelt oodata trahv, mis paneks mängu 40 000€ või koguni 4% kogu ettevõtte käibest.

Õnneks ei tähenda valdavale enamusele meie klientidest selline areng tõenäoliselt midagi, kuid suurematel sisuloojatel tasub see nüüd oma riskihinnangutesse sisse arvestada, eriti kui sisu loomine on usaldatud kasutajate kätesse.

Kohustus ööpäevaringselt tunni aja jooksul reageerida ei jäta nimelt veebimajutajatele erilist kaalutlusruumi või -aega. Kui kellegi veebis hakkab juuri ajama terroristliku sisu “vähkkasvaja”, siis ei pruugi selle eemaldamine tunni jooksul kirurgi skalpelliga olla võimalik, vaid ees ootab jackbauerlikult kindla käega amputatsioon, mille sooritab Zone valvetehnikust superagent.

Seepärast soovitame oma teenuste kasutajatele varakult selgeks teha, et sisul, mis

  • ärgitab kedagi kaasa aitama või toime panema terroriakte
  • ärgitab osalema terrorirühmituse tegevuses
  • õhutab või propageerib terroriaktide sooritamist (näiteks ülistades või õigustades terroristlikku tegevust)
  • annab juhiseid rünnakute läbiviimiseks ja suuniseid selleks vajalike vahendite kohta

ei ole teie veebikeskkonnas asja.

Küberilm lubab turbulentsi, tuletame instruktsioone meelde

Täna meenus mulle jutt piloodist, kes hiljuti õnnetuse toimumipaigaks olnud rajale lennukit ruleerides teavitas oma reisijaid: “Kogenumad teie hulgast meie turvainstruktsioone tavaliselt ei vaata, aga äkki täna…?”

Küberturbevaldkonna inimestel on tihti mure, avades suu rääkimaks järjekordselt riskide maandamisest lülitab suur osa publikust end teisele lainele – kõike seda on ju kuuldud!

Kuid vaadates Euroopas toimuvat on internetikasutajatel kindlasti asjakohane küsida endalt… aga äkki täna?  Eksisteerib käegakatsutav oht, et hoolimatusest tingitud viga või laiskusest ripakil ressurss muutub tahtmatult kuritöövahendiks või osaks võõrvõimu digitaalsest sõjamasinast.

Seepärast kordan taaskord meie “lennueelset” ohutussõnumit, toetudes Zone enda kasutatavatele reeglitele ja teistele kolleegidest “lennusaatjatele”.

Kahe faktoriga autentimine

Kus vähegi võimalik, lülita sisse kaheastmeline autentimine. See tähendab, et teenus hakkab sinult lisaks salasõnale (mida sa tead) küsima mõnd täiendavat faktorit, näiteks midagi mis sul on.

Zone võimaldab kahetasemelist autentimist kasutada nii ZoneID juures kui ka veebipõhise e-posti kliendi juures. Mõlema puhul on toetatud Google Authenticatori ja teiste sarnaste rakenduste poolt kasutatav TOTP standard.

ZoneID toetab lisaks oma olemuselt kahe faktoriga autentimisvahendeid nagu ID-kaart, Mobiil-ID ja Smart-ID. Zone veebipõhine e-post toetab ka U2F riistvaravõtmega sisselogimist, kui kasutada vähegi uuemat brauserit.

Kui ZoneID kasutajakonto on seotud ID-kaardi, Mobiil-ID või Smart-ID autentimisvahendiga, tasub salasõnaga autentimine üldse välja lülitada.

Turvalise autentimise kasutamise kohta leiab lisamaterjale meie kasutajatoe lehtedelt:

ZoneID: https://help.zone.eu/kb/turvaline-autentimine/

E-post: https://help.zone.eu/kb/e-posti-2fa/

Salasõnad (-fraasid)

Veendu, et sinu poolt kasutatavad salasõnad oleksid turvalised. Meie soovitame, et salasõnad oleksid vähemalt 10 tähemärki pikad, maksimaalset pikkust ei ole. Mõtle salasõnast pigem kui salafraasist.

Fraas ei sobi salasõnaks, kui:

  • see on sõna või kohanimi sõnaraamatust (näited: “Kalamaja”, “Ameerika”, “Secret”)
  • see sisaldab kasutaja kasutajanime või teenuse nime (näited: “ZoneID123”, “DataZone666”)
  • see koosneb korduvatest või järjestikustest märkidest (näited: “aaaaaaaaaaaa” , “abcdefghi”, “12345678”)
  • see esineb varem lekkinud paroolide nimekirjas (näiteks “Have I been pwned” poolt avaldatud nimekirjas).

Salasõnade säilitamiseks tuleb kasutada selleks ette nähtud spetsiaalset tarkvara. Meie soovitame kasutada Bitwarden (https://bitwarden.com/) nimelist avatud lähtekoodiga tarkvara, mille kasutusõigus on tasuta.

Salasõnade teemal on varem siin blogis kirjutanud minu kogenumad kolleegid:

Veel kord paroolidest

 

Ära seda soovitust jälgi: täna on rahvusvaheline paroolivahetamispäev

E-Post

Võta vastu ja edasta oma e-kirju ainult turvatud transpordikihiga (TLS ehk Transport Layer Security) ühenduse kaudu. Kui saad serveriga ühendumisel TLS sertifikaadi valideerimisvea, ära proovi sellest mööda minna.

Enne e-kirjadele lisatud failide avamist või e-kirjades olevatele URL-aadressidele klõpsamist ole äärmiselt ettevaatlik ja veendu, et see on ohutu. Võimalusel eelista selleks isoleeritud keskkonda, mis ei jaga teavet kolmandate osapooltega. Kui tegemist ei ole konfidentsiaalsete andmetega, võid  faili kontrolliks kasutada https://www.virustotal.com/ keskkonda.

Kui saad kirja, mis puudutab rahalisi transakstioone või mis nõuab salasõna lähtestamist, seadistamist või avalikustamist, tuleb sellise kirja autentsus kindlasti üle kontrollida, kasutades alternatiivseid kanaleid. Väiksemagi kahtluse puhul tuleb konsulteerida oma infoturbespetsialistiga või teadlikuma kolleegiga.

Näiliselt Zone poolt saadetud kirjade autentsuses on võimalik alati veenduda meiega ühendust võttes.

Tööjaamade ja seadmete turvalisus

Varustage kõik oma Windows, MacOS või Android seadmed pahavara tuvastamise ja ennetamiseks vajaliku tarkvaraga.

Microsoft Windows sisaldab vaikimisi küllaltki suurepärast Windows Defender tarkvara, tasub veenduda, et see on sisse lülitatud või sellele on alternatiiv. Mitmetel spetsiaalse tarkvara pakkujatel on olemas tasuta versioonid, nende võrdluse leiate näiteks aadressilt https://www.pcmag.com/picks/the-best-free-antivirus-protection

Veebirakenduste turvalisus

Uuendage kindlasti oma veebirakendusi.

Kui olete endale paigaldanud veebirakenduse Zone+ abil, veenduge, et see on jäänud väikesätetesse - ehk Zone uuendab rakendust teie eest automaatselt. Muutke seda ainult äärmisel vajadusel.

Kui olete veebirakenduse paigaldanud iseseisvalt, kontrollige, kas see uueneb automaatselt või vajab käsitsi uuendamist. Kui rakendus vajab uuendamist, tehke seda ja kontrollige edaspidi uuendusi regulaarselt.

Koristage oma veebiserveritest vana träni! Suurel osal juhtudest kui mõne meie kliendi veebileht kompromiteeritakse, on põhjuseks asjaolu, et seal vedeleb reaalselt kasutuses oleva veebirakenduse kõrval üks või mitu koopiat, mida keegi ei uuenda. Tavaliselt on need veebilehe varasemad versioonid ja arenduseks või testimiseks kasutatavad versioonid. Ka seda teemat on siinsamas blogis kajastatud:

“Teeme ära” koristustalgud sinu (tehtud) veebis – kõik /uus, /vana, /arhiiv ja /newsletter välja!

Turvamata WiFi võrgud

Ära kasuta oma e-posti lugemiseks või veebirakenduse haldamiseks avalikke või turvamata traadita võrke. Soovitame pigem kasutada oma telefoni "hot-spot" funktsionaalsust, veendudes ka selle salasõna turvalisuses.

Kokkuvõtteks

Suur tänu, kui vaevusid need nõuanded lõpuni lugema.

Lisalugemiseks soovitame viia end kurssi ka nippidega, mida jagab Riigi Infosüsteemi Amet aadressil https://www.itvaatlik.ee/.

Jääge turvaliseks ja terveks!

2022 on Eesti interneti juubeliaasta

Zone kuulutab 2022. aasta Eesti interneti juubeliaastaks, alustame sellega seotud blogipostituste ja muude sündmuste sarja, mis vältab järgmised 12 kuud.

On teenuseid, mis defineerivad ajastut ja millel on ülekaalukas mõju kogu ühiskonna toimimisele. Kui Tondile sõitvas trammis paluda mõnel reisijal selliseid teenuseid loetleda, osataks tõenäoliselt nimetada elektrivarustust, kuid väga vähetõenäoliselt mainiks keegi Eesti tippdomeeni või sellega seotud DNS (Domain Name System) teenust.

Ometi võib sellest samast DNS teenusest teatud juhtudel sõltuda nii elektrivarustuse kui ka mitmete teiste elutähtsate teenuste kättesaadavus.

On sümboolne aeg ühiskonna teadlikkust täiendada, sest just värskelt kätte jõudnud 2022. aastal täitub 30 aastat nii sellest, et Eesti Vabariiki hakkas globaalses võrgustikus tähistama .EE tippdomeen kui ka üldse püsivate internetiühenduste loomisest.

Robo-Pirgit ootab .EE tippdomeeni sünnipäeva

Püsiühendused lõid 1992. aastal esimestena kaks akadeemilist organisatsiooni: Küberneetika Instituut ning Keemilise ja Bioloogilise Füüsika Instituut (KBFI). Just KBFI oli ühtlasi see, kelle esindajatena isa-poja tandemil Endel ja Jaak Lippmaa õnnestus Internet Assigned Numbers Authority (IANA) juhilt Jon Postelilt saada endale õigus hallata Eesti Vabariigi nimel .EE tippdomeeni.

Kolme aastakümne jooksul on tippdomeen ressursina kasvanud akadeemikute, inseneride ja entusiastide kitsast ringist välja ning muutunud Eesti infoühiskonna tunnuseks ning võimaldajaks.

Zone tähistab 30 aasta möödumist .EE tippdomeeni sünnist läbi terve käesoleva aasta. Ees ootavad blogipostid, mis loodetavasti huvi pakuvad ja harivad, kampaaniad ning muud põnevat. Jääge meiega.

 

Domeenikratt sirutab e-riigi kaudu käe ettevõtja taskusse

Viimasel kuul oleme näinud kordumas kahjulikku mustrit, mis põhjustab uute firmade asutajaile tarbetuid kulusid ja stressi. Nimelt lõpeb ilmselt paljudele neist ettevõtte registreerimine e-äriregistris oma võimaliku interneti-identiteedi kaotamisega. Kutsume üles ettevaatlikkusele ja anname nõu, kuidas lihtsa võttega oma firmale kohalduv oht neutraliseerida.

Olen varem kirjutanud ja rääkinud sellest, et minu hinnangul ei käitu riik ettevõtjate andmetega ümber käies alati parimal võimalikul viisil. Siis on juttu olnud sellest, et majandusliku efektiivsuse (loe: tagasihoidliku sissetuleku) huvides on riik valmis ettevõtete ja nende juhatuse liikmete kontaktandmeid hulgi müüma ja rahaks tehtud andmed võivad lõpuks jõuda ka rämpsposti saatjateni või kurjategijateni.

Ka tänane teema puudutab natukene riiklikke registreid.

Nimelt põhjustab paljudele alustavatele ettevõtjatele peavalu asjaolu, et nutikad sahkermannid on leidnud endale tee Eestis värskelt asutatud äriühingute andmete juurde ja asunud nende ärinimedega .EE domeeninimesid hõivama, et neid siis ettevõtjatele endile suure vaheltkasuga hiljem edasi müüa.

Suller saagimas ettevõtja tooli jalga
Ettevõtja ei saa kahjuks tunda end firmat registreerides kindlalt.

Loetud arvu nädalatega on tõenäoliselt sadade ahjusoojade firmade juhid oma ärinime domeenina registreerima asudes avastanud, et keegi on seda juba teinud ja hoolega valitud ärinime interneti-versiooni tuleb mõnelt rehepapilt tavapärasest kümneid kordi kõrgema hinnaga välja osta.

Me ei tea veel, kas domeenide registreerimiseks kasutatavad andmed jagatakse riigi poolt välja avaandmetena, kas need müüakse maha raha eest või on keegi nutikas kodanik leidnud nõrkuse, mille kaudu nendele andmetele ligipääs saadakse. Kuid praktikas on näha, et ettevõtte e-äriregistris registreerimisest, kuni selle ärinime hõivamiseni domeenina võib kuluda vaid mõni tund.

Seepärast on mul kõikidele Eesti ettevõtjatele erakordne, kuid konkreetne nõuanne, mis aitab vältida seda, et sahkerdaja sul naha üle kõrvade ja taguotsa lohku tõmbab:

REGISTREERI SOOVITUD ÄRI-IDEELE VÕI ÄRINIMELE VASTAV DOMEEN ENNE, KUI KANNAD OMA ETTEVÕTTE ANDMED ÄRIREGISTRISSE!

Nii maandad oma värskele firmale kohalduvaid riske, väldid asjatuid kulusid ja nõmedaid emotsioone.

Lisanduvaks ebamugavuseks on asjaolu, et domeen tuleb esialgu registreerida enda nimele, kuid hiljem saab selle ettevõttele üle anda. Kindlustunne on seda väikest vaeva väärt.

Sellist meedet tuleks meie soovitusel ettevõtjatel rakendada vähemalt niikaua, kuni pole päris täpselt selge, kust andmeid ammutatakse, millisel määral on võimalik sellist domeenidega kauplemist vajadusel Domeenivaidluste Komisjonis vaidlustada ning milline on selle protsessiga seotud aja- ja rahakulu.

Tehke nii ja te ei pea uuele aastale minema vastu tundega, et saite just haneks tõmmatud.

Kinnitamaks, et meie soovituse taga pole omakasupüüdlikku motiivi, maksab nüüdsest Zone eraisikult ettevõttele .EE domeeni üleandmise administratiivsed kulud ise kinni.

Log4Shell turvanõrkus

Käesolevas postituses teeme kiire ülevaate infotehnoloogia maailma tormina tabanud turvanõrkusest Log4Shell ja sellest, kuivõrd see mõjutab (või ei mõjuta) Zone kliente.

Möödunud 24 tundi on olnud ülemaailmselt infotehnoloogia valdkonna jaoks pingelised. 

Maailma ühe eelistatuma tarkvaraarendusplatvormi Java populaarsest logide käitlemise raamistikust Log4j avastati turvanõrkus (https://nvd.nist.gov/vuln/detail/CVE-2021-44228), mida on väga lihtne ära kasutada. Nõrkuse edukal ekspluateerimisel on ründajal võimalik panna ohvri server, arvuti vms seade  oma pilli järgi tantsima. Seepärast on nõrkus saanud endale ka vastava nime: Log4Shell.

Nagu arvata võite, siis on süsteemiadministraatorid, tehnikud ja tarkvaraarendajad jt üle maailma  rakkes sellega, et maandada selle nõrkusega seotud riske.

Sellest, kuivõrd laialdane on selle intsidendi mõju, annab aimu järgmine nimekiri mõjutatud ettevõtetest ja platvormidest: https://github.com/YfryTchsGD/Log4jAttackSurface

Nõrkus saab ilmneda pea igas situatsioonis kus üritatakse logida midagi, mis saabub ründajalt. Olgu see siis kasutaja veebibrauseri User Agent või vea tekitanud sisend. Turvaauk tekkiski sellest, et logimise mugavdamiseks mõeldud funktsionaalsus oli kättesaadav igale logisõnele mis log4j-ni jõudis. Võimalus küsida lisainfot JNDIga suvalisest LDAP kataloogiserverist (sellest ka näidetes leiduv jdni:ldap:// osa) võimaldab serverisse tõmmata täiesti ründaja valitud Java objekte. See on juba püha graal igale ründajale.

Zone poolt hallatud veebimajutusteenuste osas oli Log4j nõrkuse ärakasutamise risk õnneks minimaalne, ka täiendavaid turvameetmeid rakendamata.

Meie pakutavas platvormis pole lihtsalt kuigi palju Java põhiseid komponente, mis seda teeki kasutaks. 

Välja toomist tasub neist vaid üks – Elasticsearch, aga Zone teenuste raames kliendile pakutav Elasticsearch instants pole interneti kaudu saabunud külastajatele või teistele klientidele ligipääsetav, mis maandab nii selle kui ka teiste sarnaste nõrkuste ärakasutamise riski.

Sellegipoolest rakendasime juba eile Elasticsearchi osas täiendavaid turvameetmeid, et takistada teadaolevaid nõrkuse ärakasutamise meetodeid.

Meie kliendid peaksid siiski pöörama tähelepanu sellele, et nende tarkvaraarendajad või veebimeistrid võivad olla ise paigaldanud meie serveritesse tarkvara, mis Log4j kasutab. Selline tarkvara vajab kindlasti uuendamist või nõrkusega seotud riskide maandamist.

Täiendus: Ilmselt on üks levinumatest mõjutatud rakendustest Minecraft, kui teil tiksub kuskil pilve nurgas mõni ununenud Minecrafti server, siis nüüd on õige aeg sellega tegeleda!

Soovitame teemast huvitatutele ja mõjutatutele jälgimiseks järgmist Redditi jutulõime: https://www.reddit.com/r/netsec/comments/rcwws9/rce_0day_exploit_found_in_log4j_a_popular_java/

Rõhutame ka, et üldlevinud rakendused nagu WordPress, Drupal, Joomla ja nende laiendused, ei kasuta reeglina Java põhiseid komponente, mis võiksid sõltuda Log4j teegist.