Nüüd saadaval kauaoodatud .APP domeenid

Maailmas laineid lööv .APP tippdomeen on saadaval ka Zone.ee klientidele.

.APP (loe: äpp) tippdomeeni nimeruum on eelkõige suunatud veebi-, mobiili- või töölauarakenduste pakkujatele ja arendajatele. APP-lõpuliste domeenide registrit pidav Google loodab, et selline veebiaadress aitab inimestel lihtsamini ja kiiremini leida neile olulisi rakendusi ning saada nende kohta infot.

Ühtlasi on .APP üks esimestest tippdomeenidest, mis tunnistab vaikimisi vaid HTTPS (HTTP+TLS) tehnoloogia abil turvatud veebiühendusi. Nimelt on kogu tippdomeen kantud kõikidesse populaarsematesse veebilehtisejatesse eellaetud HSTS (HTTPS Strict Transport Security) poliitika nimekirja. Krüpteerimata veebiteenuseid ei ole sellises tippdomeenis sisuliselt võimalik avalikult pakkuda.

Eelnev teeb muuseas .APP tippdomeenist hea partneri meie Virtuaalserverile, mille puhul on turvalised ja krüpteeritud HTTPS ühendused juba pikemat aega teenuse vaikesätteks ning tasuta Let’s Encrypt TLS sertifikaat olemas igale veebisaidile.

Üleilmselt on .APP tippdomeen hästi vastu võetud, avalikule registreerimisperioodile eelneval piiratud ja kallil eelregistreerimiste etapil on juba registreeritud üle 8000 uue .APP domeeni. Lähipäevadel on ilmselt oodata kümneid tuhandeid uusi registreerimisi.

TÄHELEPANU! .APP domeenid on nüüd vabalt registreeritavad, kuid tulenevalt regulatsioonist peab registreerija oma domeenisoovi peale Zone lehe kaudu tellimuse esitamist ka täiendavalt kinnitama. Selleks jõuab registreerija postkasti Zone nimel inglisekeelne sõnum pealkirjaga “Authorization needed for application of the domain name”, millele tuleb kindlasti reageerida. Vastasel korral taotlus tühistatakse.

Uus arendajasõbralikum veebilogide haldamise kord

Veebiserveri logide haldamise kord on Zone tarkvaraplatvormis läbimas ulatuslikku reformi, mis loob meie arendajatest klientidele uusi väärtuslikke võimalusi. Käesolevas blogipostis kirjutan uuest korraldusest lähemalt.

Uue korra kohaselt on Virtuaalserveri teenuse kliendi käsutuses reaalajas uuenevad veebiserveri logid. Kui varasemalt uuenes reaalajas vaid probleemide tuvastamiseks vajalik vealogi (Error Log) ning päringute logi pakkusime arhiivina, siis nüüdsest on klientide käeulatuses reaalajas uuenev päringute logi (Access Log).

Veebiserveri logid leiab klient Virtuaalserveri ‘logs’ kataloogist. Logimisel tehakse vahet turvamata ja turvatud ühendustel, mis salvestatakse eraldi failidesse (apache.ssl.access.log ja apache.access.log).

Virtuaalserveri alamdomeenide vea- ja päringulogid kombineeritakse peadomeeniga. Päringuid on võimalik logis üksteisest eristada sedaläbi, et iga rida algab seda konkreetset päringut teenindanud hosti nimega.

Veebiserveri logi kirje formaat põhineb Apache Combined Log’il. Kasuliku ja unikaalse lisavõimalusena paneme me PHP päringute puhul logisse kirja ka selle unikaalse identifikaatori ning PHP koodi töötlemisele kulunud aja (‘wallclock’ sekundites). Need aitavad arendajatel oma rakenduste jõudlust paremini monitoorida ning meil ühiselt probleeme ‘troubleshoot’-ida.

Juhin tähelepanu asjaolulule, et logiridade kronoloogiline järjestus ei ole absoluutne – aeglasemad päringud võivad järjestuses sattuda oma noorematest, kuid kiirematest sõsaratest tahapoole.

Logisid roteeritakse endiselt Zone poolt, kuid vaikimisi säilitatakse kliendi Virtuaalserveris nüüd viimase nelja päeva logisid. Need asuvad failides mille nimed on kujul apache.ssl.access.log.[1-4].gz. Eelmise päeva logi on seega alati failis apache.ssl.access.log.1.gz.

Kui kliendil on soovi oma logisid arhiveerida, siis on tal võimalik neid endale kopeerida enda seadistatud crontab’i töö abil.

Alates PHP versioonist 7.0 logitakse meil sarnasel printsiibil ka PHP tegevust. Varasematesse PHP versioonidesse sellist logimise tuge meil ei tule, seega on viimane aeg PHP ‘retro’ versioonidest loobuda.

Vana korra järgi seadistatud klientidel on võimalik uuele logide kasutuskorrale üle minna vabatahtlikult Virtuaalserveri seadistuses tehtava valiku kaudu.

Uue logide haldamise korra opt-in

Ühel hetkel lõpetame vana korra toetamise ära, kuid see ajakava ei ole veel paigas.

UPDATE: Tasub veel ära mainimist, et muutunud on ka Apache vealogide (ErrorLog) nimetused on nüüd apache.error.log ja apache.ssl.error.log. Nende roteerimise kohta kehtib kõik ülaltoodu.

Brexiti ohvriks võib langeda üle 300 000 domeeni

Seal kus kohtuvad poliitikud ja internet, hakkavad reeglina laastud lendama. Seekord pillub pilpaid laiali protsess nimega “Brexit”.

Hetkest, mil keskmine Suurbritannia valija otsustas end Euroopa Liidu küljest lahti haakida ning saareriigi vööri ulgumere poole keerata, tekkis paljudel eurooplastest internetihuvilistel küsimus, mis saab brittide poolt registreeritud EU-lõpulistest domeeninimedest? Aluseks asjaolu, et Euroopa Komisjoni regulatsiooni Nr 733/2002 artikli 4(2)(b) järgi võivad .EU domeene registreerida vaid isikud, kes resideeruvad Euroopa Liidus.

Sel nädalal on Euroopa Komisjon otsustanud selleteemalistele oletustele lõpu teha. Nimelt on komisjon välja andnud kommünikee (https://ec.europa.eu/info/sites/info/files/notice_to_stakeholders_brexit_eu_domain_names.pdf), milles väljendatakse seisukohta, et Suurbritannia lahkumise järel Euroopa Liidust, 30. märtsil 2019, ei ole brittidel enam õigust registreerida või pikendada .EU domeeninimesid.

Brexit

Kui otsus puudutaks vaid uute domeenide loomist, oleks olukord küllalt sirgjooneline, kuid komisjon ütleb selgelt, et mõjutatud on ka eksisteerivad domeenid, mida samuti enam pikendada ei tohi. Britid va võrukaelad on aga registreerinud kõvasti üle 300 000 EU-lõpulise domeeninime, mis moodustab ca 8% kõigist .EU domeenidest. See on märkimisväärne number.

Mida brittidel selles olukorras teha, kus nende ettevõtte või organisatsiooni interneti-identiteet käest võetakse?

Esimene ja robustseim variant on kiiresti loobuda .EU domeeninime kasutamisest, kaks aastat on piisavalt pikk periood mille jooksul on võimalik uus identiteet edukalt kehtestada. Kui otsus tehtud, siis venitamine ei oleks kindlasti kasulik, kuna uue domeeninimede leitavusel ja usaldusväärsusel otsingumootorite silmis on kuuldavasti ka ajaline mõõde.

Teine variant on leida endale Euroopast partner, kelle nimele domeen ümber registreerida. On täiesti kindel, et sellist teenust on peagi valmis pakkuma nii mõnedki advokaadibürood või registripidajad.

Kolmas variant on oodata ja kannatada, sest poliitikutele kohaselt on komisjon loomulikult endale lahti jätnud taganemistee – otsust võivad mõjutada edasiste läbirääkimiste käigus sõlmitavad lepped. Ei ole sajaprotsendiliselt välistatud, et läbirääkimiste käigus astutakse suuremeelselt mõned sammud tagasi.

Neljas variant on pikendada oma domeen kohe 10-ks aastaks ära ja siis rahulikult oma võimalusi kaaluda. Isiklikult on mul raske ette kujutada, et domeene, mis on kümneks aastaks pikendatud, hakataks enne registreerimisperioodi lõppu kustutama.

Jätkame huviga kujuneva olukorra jälgimist.

Zone kroonika: 2017

 

On saanud tavaks, et veebruari lõpus/märtsi alguses, kui koostame oma aastaaruandeid, anname aru ka oma klientidele ja avalikustame märkmed olulisematest möödunud aastasse jäänud tegemistest. Nii ka seekord.

Domeenid

Domeeninduses möödus 2017. aasta märksa rahulikumalt, kui sellele eelnenu.

Aasia spekulantide toel amokki jooksnud turg sai päitsed pähe, kuna paljud senised domeenidega hangeldanud pöörasid oma tähelepanu krüptovaluutadele.

Idas toimunud pöörde mõjul lasti lõpuks õhk välja ka Eesti tippdomeenist, mis kaotas korraks oma tipust ligi 17 000 domeeni. Majanduse hea seis kasvatab aga uusi registreerimisi jõudsalt.

Zonet mõjutasid mullistused turul niipalju, et spekulantide toel paisunud registripidajate turuosa kahanedes taastus meie osa normaalsele tasemele. Aasta lõpu seisuga oli Zone taas registreerinud enam .EE domeene, kui ükski teine registripidaja. Tervelt 45% kõikidest .EE domeeni registreerijatest usaldab Zone teenuseid. Arvestades, et registripidajaid .EE domeenis on kokku ligi 40, siis on see märkimist väärt usalduskrediit, mida soovime väga hoida.

Kui majandusel läheb hästi, siis otsivad ettevõtjad oma auahned ekspordiplaanid sahtlipõhjast välja ning pühivad tolmust puhtaks. Meie lähinaabrite Soome, Läti ja Leedu tippdomeenides domeeni registreerimiste märkimisväärne kasv 2017. aastal näitab, et Eesti ettevõtjatel jagub taas ambitsioone. Kõige suurem kasvaja on Eesti arvelt olnud Soome, kes 2016. aastast võimaldab .FI domeene registreerida ka Eesti ettevõtjatele ja kelle registrisse oleme sellest ajast edastanud tuhandeid taotlusi.

Meie tarkvaraplatvormis oli suurim domeenidega seotud muutus see, et muutsime oma domeenide pikendamise senisest lihtsamaks – kus vähegi võimalik ei pea domeeni pikendamiseks enam esitama eraldi taotlust või täitma vormi – piisab vaid ettevalmistatud arve tasumisest.

Laienes ka DNSSEC tugi, mis muutus kättesaadavaks mitmetes tippdomeenides, mille puhul see varem toetatud ei olnud.

Pilveserverid

Pilveserver VPS teenus läbis eelmise aasta sügisel märkimisväärse värskenduskuuri. Uuendasime kõikides teenuspakettides klientidele pakutavaid ressursse, mis enamasti lausa mitmekordistusid.

Kõik olemasolevad kliendid said tehtud muudatustest ka kohe osa, sest muutsime nende olemasolevad virtuaalmasinad sisuliselt üleöö mitu korda võimsamaks.

Markantseim näide siinkohal oleks Pilveserver VPS teenuse esimene pakett, mille muutmälu (RAM) näiteks kasvas 256 MB pealt 2 GB peale.

Peeter Marvet ei pannud kiusatusele vastu ja tegi ka mõned võrdlevad testid meie pilveserverite ja “konkureerivate teenuste” vahel ning selgub, et meil pole häbeneda midagi. Kui kedagi huvitab, siis võrdleva info ja värskendatud KKK teenuse kohta leiab aadressilt https://www.zone.ee/et/pilveserver/vps/

API

Üks vägevamaid töid, mille meie tarkvaraarendajad eelmisel aastal korda saatsid, oli Zone API viimine seisukorda, kus me julgeme sellest avalikult rääkida ja selle kasutamist soovitada ka teistele lõppkasutajatele peale hulljulgete katselendurite.

Meie API kirjelduse leiab aadressilt https://api.zone.eu/v2 ja mõned näpunäited selle kasutamiseks omakorda lehelt https://help.zone.eu/Knowledgebase/Article/View/546/0/zoneid-api-v2

API on äärmiselt kasulik näiteks neile, kas haldavad meie juures sadu või tuhandeid DNS kirjeid või soovivad integreerida meie Virtuaalserveri või Nutika Privaatserveri omaenda väärtuspakkumisse.

API’t arendame me käsikäes klientidega, mis tähendab, et eelkõige lisame sellele võimalusi, mida nood meilt soovivad.

Virtuaalserverite ja Privaatserverite platvorm

MongoDB

Üks esimesi tarkvaraplatvormi uuendusi eelmisel aastal oli MongoDB andmebaaside tugi.

MongoDB on NoSQL andmebaasimootor, mis kasutab andmete säilitamiseks JSON-i laadseid dokumente. MongoDB ei vaja andmebaaside skeema loomist või muutmist, kuna andmete vorm on kirjeldatud säilitatavates dokumentides endis. Teatud juhtudel võimaldab see näiteks säilitada ühe kirjena andmeid, mille töötlemiseks oleks relatsioonilises andmebaasis vaja luua mitmeid tabeleid. See omadus sobib väga hästi ka iteratiivse arendusmudeliga, mille käigus säilitatavad andmed võivad pidevalt täieneda või muutuda.

MongoDB toe lisamine oli osa meie soovist pakkuda oma kasutajatele ka väljapoole klassikalist LAMP stäkki jäävaid tööriistu. Varasemalt olime näiteks juba lisanud Redis andmebaaside ja Node.js käigukeskkonna toe.

Millega oma platvormil nüüd eksperimenteerime on Java rakendused. Näiteks kasutame täna omaenda virtuaalservereid selleks, et käivitada Atlassiani perekonda kuuluvaid tooteid nagu Confluence, Jira, Bitbucket jt.

MongoDB kohta kirjutas blogis Andris: https://blog.zone.ee/2017/01/09/mongodb-andmebaas-zone-virtuaalserveris/

SSH 

SSH ligipääs Zone platvormi kasutavatele serveritele muutus paindlikumaks. Senine jäik ligipääsupoliitika, mis nõudis igale kasutajale ka IP-de määramist, asendus leebemaga, mis jätab IP põhiste ligipääsupiirangute seadmisel ka võimaluse lubada ühendusi kogu maailmast. Seda me mõistagi ise ei soovita ja sestap vaikimisi on IP usaldusnimekiri ikka kasutusel, kuid kliendil on seda võimalik välja lülitada.

Ka usaldusnimekirjad ise muutusid veidi paremaks ning võimaldavad varasematele hostipõhistele reeglitele ka võrgupõhiseid reegleid.

SSH kasutus sai ka oma veebipõhise logi, mis võimaldab näha millise võtmega ja millal teenust kasutati.

Väiksemaid muudatusi oli teisigi, täpsemalt saab juba lugeda varasemast blogipostist https://blog.zone.ee/2017/05/03/zone-ssh-ligipaasupoliitika-muutus-paindlikumaks/

PHP

PHP kasutajatel muutus eelmise aasta kevadel uute serverite ja alamdomeenide vaikeversiooniks PHP 7.1.

Aasta lõpuks said kasutajad aga hakata mängima juba PHP 7.2 versiooniga, mis lasti ametlikult välja 30. novembril ja oli meie klientidele kättesaadav 4. detsembrist. Uueks vaikeversiooniks muutub see käesoleva aasta suvel.

Salamisi lisasime PHP kasutajatele ka sellise huvitava võimaluse, et nüüdsest on neil võimalik oma vealogi näha reaalajas. Ettearvatavalt asub vastav fail virtuaalserveri “logs” kataloogis ja on nimega “php.log”.

Logid roteeritakse vaikimisi igal öösel ja säilitatakse maksimaalselt viit viimast logi versiooni, vanemad failid kustutatakse.

PHP 7.1 kohta kirjutas Peeter ka siin: https://blog.zone.ee/2017/05/30/php–7–1-vaikeversioonina/

Blackfire ja New Relic’u tugi

Tarkvaraarendajate elu ei ole lihtne, tihti elavad tähtajad seljas ja uute rakenduste jõudlustestimiseks endal keskkonda pole või seda enne ‘live’ minekut üldse ei jõuta. See ei ole aga hea.

Otsustasime arendajate elu lihtsamaks teha ja lisasime oma platvormi toe New Relic’u ja Blackfire agentidele, mis mõlemad võimaldavad oma rakenduste jõudlusel silma peal hoida.

Blackfire’t soovitame eelkõige kasutada tarkvara arendamise ja testimise faasis ning hiljem New Relicut rakenduse tööl pidevalt silma peal hoidmiseks.

Mõlemad on võimalik sisse lülitada haldusliidesest PHP laienduste juurest.

Juhin tähelepanu, et tegemist on väliste teenustega, mille litsents tuleb täna kasutajal endal hankida.

DNS

Virtuaalserverite DNS funktsionaalsus sai omakorda juurde toe SSHFP ja CAA tüüpi DNS kirjetele, mis võimaldavad täiendada SSH ja TLS ühenduste turvalisust DNS-i abil. 

SPF kõikidele virtuaalserveritele

Suvel teostasime oma ammuse unistuse ja lisasime kõikidele Zone meilindust kasutavatele serveritele SPF DNS kirjed, mis aitavad meie klientide kirju spämmist eristada ja vähendavad võimalust, et keegi kolmas saab nende nimelt karistamatult saasta maailma laiali pritsida.

Täpsemalt kirjutas selle kohta Peeter blogipostituses: https://blog.zone.ee/2017/08/24/spf-kirje-koigil-domeenidel/

HTTPS

Aasta lõpuks kandsid suuri vilju meie pingutused turvatud veebiühenduste propageerimisel.

HTTPS protokolli vaikimisi sisselülitamise tulemusena ületas meie platvormil majutatud klientide veebides turvatud ühenduste arv turvamata HTTP ühenduste arvu ja see osakaal jätkab kasvamist. 

Uuenes serverite monitooringuplatvorm

Meie köögipoolelt, mis kasutajatele veidi ka näha, on üks oluline muudatus senise jõudlus- ja töökindlusmonitooringu välja vahetamine uuema, täpsema ja paindlikuma lahenduse vastu. Nimelt joonistame nüüd endale ja klientidele monitooringu jaoks graafikuid Grafana nimelise tarkvara abil, mis annab varasemaga võrreldes palju täpsemalt ja operatiivsemalt infot serverite seisukorra üle.

Klientidest puudutab see eelkõige meie Nutika Privaatserveri teenuse kasutajaid, kes näevad oma serveri(te) graafikuid meie haldusliidesest.

Planet.ee uuendus

Nagu paljud teavad, siis pakume me lisaks Zone.ee kaubamärgile äärmiselt hinnatundlikule kliendile teenuseid ka Planet.ee nime alt, kus kasutaja saab endale minimaalsete kuludega internetioleluse luua. Peamiseks sihtgrupiks on õpilased, tudengid ja muud asjaarmastajad.

Eelmise aasta sügisel läbis Planet.ee uuenduskuuri, selle kasutajad said enda käsutusse senisest rohkem ressursse ning uue serveriplatvormi, mis vastab oma võimalustelt rohkem Zone omale.

Planet.ee pakkumisega on võimalik tutvuda aadressil https://www.planet.ee/

Infrastruktuur

Meie operatsioonide meeskonnal olid eelmisel aastal käed tööd täis jaanuarist detsembrini.

Kolimine Amsterdamis

Amsterdamis ühest andmekeskusest teise kolimist tingis vajadus parandada meie Pilveserver PRO teenuse kvaliteeti.

 Pilveserver PRO on platvorm, mis on optimeeritud eelkõige virtuaalmasinate töökindlusele ja paindlikkusele vastamaks parimal viisil nõudliku kliendi vajadustele – puuduvad fikseeritud teenuspaketid, teenuse eest makstakse vastavalt tellitud ressurssidele ja erinevalt Pilveserver VPS teenusest saab kasutada oma Linux kernelit ning vajadusel ka Windows operatsioonisüsteemi.

Aasta alguses kolisime selle teenuse osutamiseks mõeldud infrastruktuuri ühest andmekeskusest teise ning lisasime märkimisväärselt serveri ja võrguressursse.

Peeter kirjutas selle kohta siin nii: https://blog.zone.ee/2017/01/25/amsterdam-kolib-amsterdami/

Lisaks Pilveserver PRO teenusele saab täna meilt Amsterdamis ka Pilveserver VPS ja Virtuaalserver teenuseid.

(Saladuskatte all võin paljastada, et eriti headele klientidele oleme teinud sinna ka Nutikate Privaatserverite pakkumisi.)

Varukoopiate kolimine

Kes on Zone hingeeluga kursis, see teab, et juba väga pikka aega on Zone teinud kõik kliendiandmetest loodud varukoopiad vaikimisi eraldi andmekeskusesse. Selle eesmärk on tagada klientide ja meie enda talitluspidevus ka siis, kui peaks juhtuma mõnd meie andmekeskust puudutav suurõnnetus, olgu selle põhjustajaks siis tulekahju, terrorism vms.

Aastaid asus see andmekeskus umbkaudu 3–4 kilomeetri kaugusel meie peamistest asukohtadest. Eelmisest aastast on selleks vahemaaks üle 10 kilomeetri.

Au ja kiitus meie ettevaatlikele tehnikutele, kes petabaite suudavad turvaliselt ühest kohast teise liigutada.

Laienemine

Kolimine ühest kohast teise ei ole kindlasti ainukene asi, millega meie tehnikud tegelevad. Tuleb ette, et on vaja ka samas andmekeskuses laieneda. Serverite lisandumise tõttu kahekordistus näiteks ühes meie peamistest andmekeskusest serverikappide “jalajälg” ca 100% võrra.

 

Numbrid

Kuna kõigile meeldivad vahvad numbrid, siis seekord tooksin esile meie klienditeenindust, kes vastas 2017. aastal 50 000 kirjale ja 19 000 telefonikõnele.

2018. aastale astusime me vastu 28 töötajaga, aga tänaseks on see arv kasvanud 30 peale.

Palju on projekte, mille kallal käis töö juba eelmisel aastal, kuid mis jõuavad avalikustamiseni sel aastal. Lugemata arvul oli täiendusi ja parandusi, mis eraldi eriletõstmist ei vääri, kuid mille teostamise eest olen meie meeskonnale ülimalt tänulik.

 

“Paha Panda” varastab postkaste

Suurbritannia parlamenti tabanud küberrünnak, mis suunatud parlamendiliikmete e-poskastide vastu, ajendab jagama infot e-posti rünnakukampaania kohta, mis täna aktuaalne ka Eestis.

Ühel pealelõunal hakkasid Zone IT operatsioonide meeskonna ekraanil vilkuma alarmid. Infoturbeintsidente tuvastav monitooringusüsteem hakkas järjest välja sülitama teateid, et mõned e-posti kasutajad rikuvad teleportides teada olevaid füüsikaseadusi.

Teleportimine on fenomen, mille puhul internetikasutaja ühendub ühel hetkel meie serveriga Eestist, järgmisel Hiinast, siis omakorda Venemaalt, Malaisiast, Indoneesiast, Brasiiliast või mujalt. Kuigi eksisteerivad mõned erandid (Tor), viitab selline kontinentide vahel hüplemine enamasti siiski kasutajaandmete lekkimisele.

Lühikese aja jooksul tuvastas monitooringusüsteem seda anomaaliat ligi saja e-posti kasutaja juures, võimaliku kuriteo takistamiseks ning kahju minimaliseerimiseks hakkas algoritm blokeerima teleportivate kasutajate ligipääsu serveritele.

Kasutajaandmete lekkimise intsidendid ei ole harukordsed, selliseid intsidente leiab aset regulaarselt – enamasti on põhjuseks kasutajaandmete jalutama minek kahtlasest WiFi võrgust, tööjaama nakatumine pahavaraga või sama kasutajanime/salasõna tarvitamine mõnel hiljuti kompromiteeritud veebisaidil.

Mõjutatud kasutajate arv pani siiski meie infoturbe töörühmal vere vemmeldama. Kui korraga rikutakse niivõrd suure hulga kasutajate privaatsust, tuleb igaks juhuks välistada võimalus, et salasõnad on lekkinud meie süsteemist.

Analüüs

Seetõttu alustati koheselt tööd logide analüüsimise kallal ja võeti ühendust ka mõnede mõjutatud kasutajate või neid toetavate IT spetsialistidega, et selgitada välja võimaliku lekke asjaolud.

Hüpotees andmelekkest meie poolel õnneks kinnitust ei leidnud. Küll aga avastasime oma logisid analüüsides ühe üllatava fenomeni, mille eest teid nüüd hoiatada tahan.

Nimelt on aset on leidmas unikaalne kampaania üliaeglase jõuründe (slow rate brute force attack) näol, mille abil loodetakse rikkuda internetikasutajate e-posti privaatsust.

Jõurünnet teostatakse tavaliselt juhuslike stringide läbiproovimise teel või sõnastikuründe abil ning võimalikult suure efektiivsuse nimelt proovitakse lühikese aja jooksul läbi suur hulk erinevaid salasõna kandidaate. Jõuründe muudab ebaefektiivseks see, et seda on suhteliselt lihtne tuvastada.

See tegevus, mis meile logist vastu vaatas, oli teistsugune.

“Paha Panda”

Vältimaks tuvastamist, tegutseb konkreetset rünnakut teostav kurjategija meelega aeglaselt, metoodiliselt ja väga kannatlikult.

Protseduur, mida kasutaja andmete arvamiseks kasutati, oli iga sihtmärgi puhul sarnane.

Ühel heal päeval ilmub logisse 5-6 kurjategija võrgustikku kuuluvat IP aadressi, millest igaüks katsetab sihtmärgi peal mõnd salasõna kandidaati. Sellele katsele järgneb 2-3 tundi vaikust. Siis ilmub ründaja taas välja ja proovib järgmise 5-6 erineva IP pealt. Jälle 2-3 tundi vaikust ja uus katse. Selline õngitsemine võib kesta nädalaid.

Iga sihtmärgi kallal töötab kurjategija tilkuva vee järjepidevusega, mis kivisse auku uuristab.

Ja see järjepidevus viib mõnel juhul ka sihile. Mõnel juhul õnnestus see kurjategijal juba 6 katse pealt, teisel juhul kulus eduks poolteist kuni kaks tuhat katset. Ühe konkreetse sihtmärgi puhul kulutas kurjategija eesmärgini jõudmiseks 553 päringut, nendega alustati 3. mail ja eduka tulemuseni jõuti 14. mail. Seejuures sooritati need päringud 445 erineva IP pealt.

Selles ründe iseloomus peegeldub omal moel mingi aasialik stoiline rahu, mis kombinatsioonis paljude kurjategija botneti Hiina päritolu IP aadressidega on pannud mind teda “Pahaks Pandaks” kutsuma 🙂

“Panda” üheks relvaks on aeglus, millega petetakse ära monitooringusüsteemid. Kui üks IP aadress teeb iga 2-3 tunni tagant mõnele kontole ühe ebaõnnestunud sisselogimiskatse, ei jää see ühtegi monitooringusse kinni, sest selline paranoia tase muudaks valepositiivsete tuvastuste hulga liiga suureks. Isegi kuu lõikes uurides jäävad “Panda” kasutatavad IP aadressid kaugelt välja ebaõnnestunud autentimiskatseid sooritavate süsteemide esiviiekümnest.

Kindlasti on nii mõnelgi kogenud IT-spetsialistil siinkohal kulm juba kipras ja küsimus keelel – kuidas on võimalik salasõnu nii väheste arvamistega salasõna ära arvata? Vastus on lihtne – “Panda” teab, et energiat tuleb kokku hoida, seetõttu ei käi ta läbi juhuslikke salasõna kombinatsioone, vaid kasutab teise relvana kasutajate endi halbu käitumismustreid.

Inimesed on halvad juhuarvugeneraatorid. Kui paluda inimestel valida juhuslik arv 1-10 vahel, valib väidetavalt ebaproportsionaalne hulk neist numbri 7 (trollidega, nagu ülal näha, on sarnane lugu). Sama kordub salasõnade määramisel. Mõte juhuslikust tähtede, numbrite ja sümbolite jadast tuleb pähe vaid vähestele.

Paljud hakkavad otsima abi sellest, mis ekraanil, klaviatuuril või parajasti meelel. Nii muutub väga tõenäoliseks, et e-posti aadressi siim@domeen.tld looja määrab sellele salasõnaks kombinatsiooni nimest Siim ja mingist numbrite jadast. Salasõnade variatsioonid nagu “Siim123”, “Siim1234”, “Siim666”, “Siim2017” on levinumad, kui julgeme endale tunnistada. Sama levinud on ilmselt klaviatuurilt tuletatud salasõnade kombinatsioonid nagu “Qwe123”, “Asdasd123”, “Qwerty666” jne või aadressiribalt tuletatud “Zone123”, “Zone.ee123” jne.

Nii ei raiska meie antikangelasest kurjategija “Panda” ennast juhuslike stringide äraarvamisega või täiemahulise sõnastikuründega. Ta on valinud välja suure hulga väga levinud halbu salasõnade mustreid ja tiksutab tema sihtmärkide hulgas läbi proovida.

“Panda” sihtmärgid on esmapilgul täiesti suvalised, ilmselt on need saadud veebilehtede kaapimise teel ja muudest allmaailmale tuntud allikatest. Silma jääb siiski kontakt@, contact@ ja info@ aadresside suur osakaal.

Aadresside internetist kogumisele viitab seegi, et mitmed aadressid, mida sihtmärgina kaaluti, sisaldasid kirjavigu – näiteks otsiti ühe telekanali töötaja e-posti kontot domeenist, mis erines tema tööandja tegelikust domeenist vaid ühe märgi võrra.

Võimalik kahju

Mida kurja “Panda” nende lahti murtud postkastidega korda saata võib? Väga paljut.

Kui mäletate, siis eelmisel aastal kirjutas Andris populaarsest skeemist, milles e-posti abil ettevõtetele sokutatakse valearveid (“Tõestisündinud lugu e-posti võltsimise tõttu kaotatud rahast”). Eelnevalt kirjeldatud viisil lahti murtud raamatupidaja postkast on sellisele valearvetega skeemitajale kulla hinnaga.

Loomulikult on sellised postkastid ka võrratuteks relvadeks spämmeritele. Domeenid ja postkastid, mis pole kunagi rämpsposti saatnud ja mille väljuvad kirjad kannavad usaldusväärsuse nimel DKIM-i antud autentsustõendi ja SPF-i ning DMARC-i allikakinnitusega? Just sellise spämmiga kurjategija meie radarile sattuski.

Kui kurjategija sooviks, siis võiks ta loomulikult ka postkastis tuulata ja sealt väärtuslikumat sisu endale sebida. Näiteks võib ta panna kokku aadressiraamatu inimestest, kellega tihedalt suheldakse ja korraldada klassikalise “Olen välismaal lennujaamas, rahakott varastati ära, ole hea kanna mulle kiirelt paar sotti” kampaania. Samasuguse õngitsusrünnaku saaks korraldada ka postkastiomaniku enda vastu.

Halvemal juhul on sama salasõna inimesel kasutusel mõnes olulises infosüsteemis, mille olemasolu suudab kurjategija näiteks poskasti sisu järgi kindlaks teha. Siis võidakse kompromiteerida juba mitte ainult postkasti sisu, vaid palju olulisemaid andmeid.

Kui “Panda” tahaks, saaks ta ka WannaCry või Petya pahavara niimoodi otse postkasti ujutada ja käivitada väljapressimisega lõppeva rünnaku. Viimasest sellisest ründest kirjutab RIA https://www.ria.ee/ee/uus-lunavaralaine.html

Ja hoidke alt, kui postkast kuulub riigiasutusele. “Panda” võib oma riigi struktuuridega sujuvate suhete omamise nimel head ja paremat ka neile sokutada.

Parem karta kui kahetseda. Kui tundsid ülalpool ära mõne oma salasõna mustri, siis muuda seda kohe.

Kokkuvõtteks

Miks ma sellest intsidendist kirjutan?

Esiteks tahame kõigile meelde tuletada kui halvad on ülalkirjeldatud mustrid salasõnades.

Teiseks pole me kindlad, kas teised e-posti serverite haldajad on “Paha Panda” tegutsemist tähele pannud – loodetavasti annab käesolev postitus neile ajendi seda kontrollida.

Kolmandaks annab see lugu loodetavasti selgust motiivi osas, miks Zone e-posti salasõnadele esitatavaid nõudeid muudab.

Me toome nõudmised salasõnale kaasaega. Rohkem kui salasõna keerukust, hindame me selle pikkust ning üritame takistada halbade mustrite kasutamist. Halbadeks loeme üldlevinud salasõnu; salasõnu, mille sisu saab tuletada kaitstava ressurssi kontekstist ja muud äraarvatavat. Uue e-posti salasõna miinimumpikkus on Zones nüüd 10 märki.

Rohkem salasõnu stiilis “Minu Lemmikpuu On Remmelgas” ja vähem stiilis “Siim123” 😀