BLOGI

CENTR Jamboree 14 ja turvalisuse töörühm

2 - 4. juunini toimus Pariisis järjekorras kolmas CENTR Jamboree. CENTR (Council of European National Top Level Domain Registries) on Euroopa riigitunnusega domeene (ccTLD - country code Top Level Domain) haldavaid registreid ühendav organisatsioon, kus lisaks Euroopa ccTLDdele löövad kaasa EURID (.eu), Kanada (.ca), PIR (.org), Verisign (.com, .net, .cc, ...), NeuStar (.us, .biz), Uus Meremaa (.nz), Jaapan (.jp), Hiina (.cn) ja veel mõned domeeninduse ja internetiga seotud organisatsioonid.

Jamboree on üritus, kus kolme päeva jooksul kohtuvad kõik CENTRI töörühmad. Need töörühmad on teemade lõikes turvalisus (security), turundus (marketing), tehnilised igapäeva operatsioonid (tehcnical), registri teenused (administrative), registri ja domeeninduse areng (research & development), õigus (legal & regulatory). Eesmärk on hoogustada töörühmade vahelist suhtlust ja koostööd. Kahjuks on ära kadunud esimesel aastal toimunud töörühmade ülesed/vahelised arutelud ja koostööd õhutatakse vaheaegadel ja õhtustel ühisüritustel.

Esimesel konverentsipäeval toimusid paralleelselt turvalisuse ja turunduse töörühmade kohtumised. Nagu ikka pidas esimese ettekande võõrustav register. Afnic, Prantsusmaa tippdomeenide haldaja, on tegutsenud väga edukalt ka uues massiliselt peale tulevate ülddomeenide (gTLD - generic Top Level Domain) valdkonnas. Lisaks kuuele Parantsusmaa ja selle asumaade tippdomeenidele hallatakse ka 17 uut ülddomeeni. Sarnaselt teiste ccTLDde halduritega, kes hoiavad üleval uusi gTLDde programmist sündinud domeene, on ka Afnici puhul tegemist Prantsusmaa enda ettevõtete ja riigisektori asutuste domeenidega. Rahvusvahelist müüki ei tehta. Et ka meil Eestis on juba mõnda aega teemaks kohalikkuse nõude kaotamine .ee registreerimisel, siis oli huvitav teada saada, et Prantsusmaa loobus sarnasest nõudest oma tsoonides alles 2011 aastal ning ei ole päris avatud tänaseni - kohalikkuse nõuet laiendati Prantsusmaalt Euroopale.

Seitsmenda DNS turvalisuse töötoa käigus räägiti sellest, kuidas edukad küberründed toimivad, kuidas ohjeldada ohjeldamatut retsidiivsust domeenide kuritarvitamisel, botnettide häkkimisest ning tehti ettepanek viia läbi uuring, kuidas saaksid registrid vähendada küberkuritegevust. EURID tutvustas oma registri talitluspidevuse protsessi,fast fluxiga võitlemist (ei oskagi seda eesti keelde panna), hollandlased tutvustasid koostöös Šveitsi registriga (SWITCH) välja töötatud DNSSECi auditeerimise raamistikku ning anti eelülevaade 11. märtsil Stockholmis kokku lepitud ja registripidajate hulgas läbi viidud autentimismeetodite teemalisest uuringust.

Huvitavamate esiltustena märgiksin ära kolm esimest. Töötoa peaesinejaks oli Peter Rietveld Hollandi infoturbe ettevõttest Traxion, kes heitis valgust sellele, miks edukad küberründed töötavad. Rünnete illustreerimiseks kasutatud näited olid maailma ühe ilmselt kõige paremini kaitstud USA armee uue hävituslennuki spetsifikatsioonide vargus, malware ja botneti (torpig) põhine rünne Hollandi pankadele, Stuxnet, NSA ja OBD2. Esimestele näidetele tuginedes on tänapäeva ohtlikuimad ründed suunatud ja kohandatud konkreetset sihtmärki silmas pidades. See, aga tähendab, et ka oma süsteeme kaitstes ei saa piirduda nö hea tava järgi tegutsemisega (going by the book),tuleb tunda oma vastast, omada oma ja sellega otseselt seotud süsteemidest suurt pilti ja olla valmis. Näiteks USA lennukijooniste puhul olid küll seotud ettevõtete süsteemid turvatud, kuid kanalid nende vahel ja tarneahel olid kaitsmata. Rünne kestis aastaid, mille jooksul koguti märkamatult terabaite andmeid kuni saadi kätte see, mida vaja. Konkreetse sihtmärgi jaoks "treitud" ründevara viirusetõrje ei tuvasta,enterprise turvalahendused jälgivad enamasti sissepoole tulevat liiklust ja nii jääb märkamata kui midagi olulist välja pumbatakse.

Panga ründe näitest tooks välja ettevalmistamise taktika, kus läbi DDOS rünnete harjutati kasutajaid pikalt ette lehekülje kummalise käitumisega, et kui ühel hetkel suunata ohvrid ümber võltslehele, ei tekitaks lehe veidi kummaline väljanägemine paljudes küsimust. Siin kohal rõhutati ka reklaamide sirvikus blokeerimise mitte nii iseenesest mõistetavat kasutegurit - interneti reklaami serverite abil on võimalik kasutajate masinatesse malwarei paigaldada. Samu võtteid kasutatakse ka näiteks flashi uuendamiseks.

Kolmas näide meenutas mulle hiljutist anti-e-valimiste kampaaniat, millele vastureaktsioonina kirjutas Anto Veldre mõnusa mõttearenduse viisakast "häkkerist". Reaalsus küberkuritegelikus maailmas on aga veidi teine nö "valge mütsiga" häkkerid on kaduv nähtus ja igasugustest turvaaukudest ja 0päeva vigadest on saanud suur äri- üha harvemini jõuavad nende kirjeldused tarkvara omanikeni. Seda öeldes ei taha ma kuidagi vaielda vastu hr Veldre väidetele seoses e-valimistega, aga nähtus eetilisest häkkerist on üha haruldasem.

NSA taoliste näidete suhtes aitab väljuva liikluse monitoorimine, siin kohal võib NSAd käsitleda kui sünonüümi, sest on teada ju ka teleritootjaid, kelle seadmed on salaja saatnud kohtvõrgus toimuva kohta infot parema teenuse arendamise märgi all tootja serveritesse.

Enamikku meist puudutav oluline oht on peidus meie autodes - OBD2 on port mille kaudu saab ühendust auto "ajuga". Standard on olnud olemas juba alates 80ndatest ja loodud lihtsa, kiire ja robustse lahendusena (vägisi meenub DNS). Puudub igasugune turve. Selle väljatöötamise ajal ei osanud keegi mõeldagi veel sellest, et auto võiks olla võrgus. Tänapäeval saab autoga ühendust üle bluetoothi, uuemates autodes on ka kohalik wifi, on ka võtmeta sisenemise ja käivitamise võimalused, mille sidelahendused on sertifikaatide põhised. Nüüd pilti kokku pannes näeme, et põhimõtteliselt on võimalik minna mobiiltelefoniga auto juurde, ühenduda sinihambaga selle süsteemi, laadida sealt alla vajalik sertifikaat, panna see peale sobilikule "võtmele" ja siis lihtsalt minema sõita. Ja see polegi liialt üle utreeritud näide. Tootjad, aga ei kiirusta vigade parandamisega - ei teagi päriselt miks, aga kui mõelda, et pärast suurele osale autode vargustest järgneb uue auto ost, siis ehk võib põhjust otsida sealt.

Järgmiseks tutvustati 2012 aasta märtsi Costa Rica ICANNi üritusel sündinud idee teostust - turvalise domeeni sihtasutus (The Secure Domain Foundation (SDF)). Sihtasutus käivitus selle aasta märtsis ja koostööpartnerite nimekiri on muljetavaldav. Sealt ei puudu ka sotsiaalvõrgustike suured. SDF peab registrit küberkuritegevusega seotud domeenidest, e-posti ja postiaadressidest ning telefoninumbritest, pakub küllaltki universaalset lahendust postiaadresside geolokatsiooni ja telefoni numbrite süntaktiliseks valideerimiseks. Domeeni registreerijate jaoks kasutakse reitingusüsteemi- näiteks kui registreerija ei reageeri teadetele tema keskkonnas olevale või sealt levivale pahavarale, saab ta nö märgi külge. Ka meil EISis tasub mõelda nii mõnegi SDFi teenuse kasutamise peale, kuid teise osa puhul tuleb enne selgeks saada, kuidas näiteks ekslikult musta nimekirja sattunud domeene, omanikke ja muid nendega seotud andmeidvajadusel sealt välja saab.

Järgnev presentatsioon puudutas ühte reede õhtut, mil ühel seltsimehel ühest registrist oli veidi vaba aega. Lahendavate nimeserverite logisid analüüsides jäi silma kummalise kujuga domeen, mida on päris palju päritud 'xjpakmdcfuqe'. Domeen oli mõnda aega tagasi kustunud ning oli varem registreeritud selgelt ebakorrektsete registreerija andmetega. Et ka otsimootorid andsid sellele domeeninimele huvitavaid vastuseid, jätkus uurimine vastava nimelise domeeni uuesti registreerimisega, mis järel sai hakata uurima päringuid, mis sellele domeenile laekusid. Üritati saata mingisuguseid andmeid, kuid need olid krüpteeritud. Edasine tuhnimine Googles andis viiteid, et tegemist on tõenäoliselt "gamarue" või "andromeda" põhise botneti pakettidega. Et pakettide sisu avada ei õnnestunud, oli järgmiseks sammuks püüda püsti panna vastava botneti kontrollserver (C&C). Andromeda on tee-ise tüüpi botneti raamistik, mille puhul küsitakse raha erinevate ründemoodulite eest, mida meie isehakanud häkker maksta ei tahtnud. Õnneks tuli appi tarkvara piraatluse kirev maailm. Server püsti, veel väheke otsimist ja peagi oli käes ka vaikimisi Andromeda RC4 võti ja infot hakkas laekuma. Mõne tunniga oli endast teada andnud juba üle 2000 "zombi arvuti", nädalavahetuse lõpus oli arv kasvanud üle 22000, populaarseimateks asukohtadeks India, Vietnam, Türgi, Iraan ja USA. Et server võimaldas muuhulgas ka võrguliikmete arvutitest pahavara kustutada ja peatada, siis katse tulemusena võis algaja häkker öelda, et tal oli võrgu üle täielik kontroll. Siin katse, tegevuse küsitava legaalsuse tõttu, lõppes. Aga üles on paisatudolulised küsimused - kas registrid, registripidajad ja ISPd peaksid koostöös midagi ette võtma? Logidest on võimalik tuvastada potentsiaalseid võrke, on võimalik minna kaugemale ja tuvastada ka selle võrgu "liikmeid", keda ehk õnnestub hoiatada, botneti jaoks kasutatavaid domeene on võimalik garantiini panna jne. Kindlasti on ka siin mõtlemise ja arutelu koht.

Mõned märksõnad ka teistest selle päeva sõnavõttudest ja aruteludest. Eelmise ettekandega haakus Hollandi domeeniregistri (SIDN) ettepanek läbi viia ekspertuuring teemal, mis muudab domeeni tsooni küberkurjamite jaoks rohkem või vähem huvitavaks. EURID (.eu) toonitas oma talitluspidevuse protsessi kirjeldadestaasteplaanide läbi testimise vajadust. Ka näiteks tarkvarauuenduste tulemusena võib midagi muutuda või teisiti toimida - mõni probleem ei avaldugi enne kui süsteemi taaskäivitamisel.  Kui taasteplaan hõlmab registripidajaid, siis tuleb treenida registripidajatega koos. Reaalne hädaolukord ei ole koht improviseerimiseks, vaid tuleb plaanist kinni pidada. Fast flux on võte, mida kasutavad erinevad botnetid - registreeritakse kümneid domeene võimalikult lühikeseks ajaks ja vahetatakse reaalselt toimivat kasvõi iga päevaselt. Kuid fast flux oli siiski pigem märksõna, et rõhutada domeeniregistrite rolli küberkuritegevusega võitlemisel. Šveitslaste (SWITCH) ja hollandlaste (NLnet Labs) koostöös valmis esmalt .ch DNSSEC lahenduse auditeerimiseks raamistik. Raamistik on nüüd kõigile kättesaadav Creative Commons 4 litsentsi alusel. Kui seda ka otseselt oma süsteemi hindamiseks ei kasutada, siis läbi vaadata tasub see ikka, ehk on midagi lahenduse planeerimisel, juurutamisel või protseduuride juures märkamata jäänud. Kui aga auditeerida, siis soovitasid tegijad kasutada selleks välist abi, sest ise on oma vigu ikka raskem märgata ja hinnata. Registrisüsteemide vastu autentimismeetodite küsitluse esialgsetel tulemustel kasutatakse 98% juhtudest vaid kasutajanime ja parooli kombinatsiooni, mida enamus vastanuist hindas ka piisavaks. Kaheastmelise autentimise puhul hinnati kõrgeimalt riistvaralise Yubikey ja OTP protokolli põhiseid lahendusi. Küsitlus oli avatud 10 juunini, ootame lõppraportit!

Uus kommentaar

Email again:

© 2017 Eesti Interneti Sihtasutus  | Paldiski mnt 80, 10617 Tallinn | Registrikood: 90010019