Uudised, sündmused ja blogi

CENTR Jamboree 15, turvalisuse töörühm

Nagu ikka toimuvad Jamboreel kolmel päeval kuue CENTRi töörühma kogunemised. Meeldetuletuseks - CENTR on Euroopa riigitunnusega tippdomeenide registreid ühendav organisatsioon. CENTRIl on 52 täisliiget, 9 partnerliiget ning 12 vaatlejaliiget. Korra aastas üheskoos kogunevad töörühmad katavad teemasid nagu turvalisus, turundus, tehnilised igapäevaoperatsioonid, registri teenused, õigus ning registri ja domeeninduse areng.

Esimesel päeval kogunesid paralleelselt turvalisuse ning õiguse ja regulatsiooni töörühmad. Seekord siis vaid pool päeva. Üheksas DNS turvalisuse töörühma kogunemine oli tihedalt täis väikeseid esitlusi. Teemadeks seekord tavapärase korraldaja esitluse järel pahatahtliku koodi levitamise ja õngitsemise vastane võitlus, turvaline tarkvaraarendus ning tarkvara arenduse hangete korraldamine.

Korraldaja .SE esitlusel tabasin end mõttelt kui sarnane Rootsi tippdomeeni areng on olnud meie omale. Seda vedas algul eraisik (Björn Eriksen) omast ajast, huvist ja fanatismist. 97. aastal asutas kohalik Internetikasutajate kogukond MTÜ, mis tänaseni .se registreeringuid korraldab. Nagu .ee registreerimine oli ka .se  alla domeeni registreerimine rangelt piiratud privileeg. 2003 aastal mindi üle avatud kes-ees-see-mees registreerimise põhimõttele ning 2009 aastal tehti otsus juurutada register-registripidaja mudel. Seega polegi me nii palju nooremad ja erinevad kui senini arvasin. Samas on .se alla registreeritud 1,36 miljonit domeeni, millest 88% on registreeritud rootslaste või Rootsi ettevõtete poolt. Kohalike eraisikutest registreerijate käes on tervelt 32% domeenidest, eestis on see protsent natuke enam kui 10. Ning tsoonis on umbes 575000 DNSSECiga kaitstud domeeni ehk enam kui kolmandik - meil on see number umbes 335 ehk 0,4%. Arenguruumi on. .SE juhtis tähelepanu faktile, et eelmine aasta oli esimene nende ajaloos, kus domeenide arv registris vähenes. See on trend, kuhu ennustuste järgi 2017 aastal suur osa CENTRi liikmetest jõuavad. Rootslased on enda tulude vähenemise vastu võitlemiseks valinud täiendavate teenustena autentimise teenused kohalike ülikoolide ja meditsiiniasutuste tarvis ning on ametlik ICANNi tehniliste testide partner. .ee on samal ajal ainuke tippdomeen CENTRis mille kasv on viimastel aastatel olnud kiirenev, kuid see ei saa nii jääda ja nii peame ka meie mõtlema täiendavate tuluallikate peale, et oleksime võimelised .ee registreerimist konkurentsivõimelise hinna ja kvaliteediga pakkuma.

Töötoa peateemaks kujunes domeenide kuritarvitamise vastu võitlemine. See tähendab domeenide vahendusel pahavara levitamist, andmete õngitsemist ja domeenide rolli kuritegevuses üldisemalt. Sellest räägiti neljal esitlusel nii Rootsi, Hollandi, .nu kui SDFi (Secure Domain Foundation) näitel. See on domeeniregistrite jaoks tundlik teema, sest üldiselt registrid domeeni sisusse ei sekku. Nii välditakse vastutuse jagamist domeeniomanikega. Küberpahategudega tegelemiseks on enamasti eraldi organisatsioonid - CERT (Computer emergency response team) või NCSC (National cyber security center). Austria on siin näide erandist, kus domeeni registriteenust pakkuv organisatsioon on ühtlasi ka kohalik CERT. 

Rootsi on käimasolevate Pirate Bay vaidluste juures rõhutanud, et domeeniregister ei tea, milleks domeeni kasutatakse ja ei vastuta registreerijate tegude eest. Pahavara levitamise ettekandel laiendasid nad aga seda seisukohta mõttega, et siiski ei saa silmi kinni pigistada probleemide eest mida näevad. Eks lõppkokkuvõttes see ju perspektiivist sõltubki - kui domeeni kaudu jagatakse infot või materjali, mis ei ole seaduslik, siis see registrit ei mõjuta - inimesed ise valivad, mida jagavad ja mida alla laevad. Kui aga levitatakse pahavara, siis see kahjustab domeeni kasutajaid ning kogu tippdomeeni mainet üldiselt.

Rootslaste suurim töövõit selles vallas sai alguse .se rahastu kaudu, kust ettevõtlikud rootslased saavad taotleda toetust internetiga seotud iduettevõtmisteks. Ühe sellise oli Ikyon. Algselt ülikooli lõputöö raames ettevõetud projekt .se all toimetavate internetilehtede läbi skänneerimiseks ning pahavara levitajate leidmiseks. Projekt osutus edukaks. Täna ostab .se teenust sellest ettevõttest ning jälgib nii .se kui .nu tippdomeenide all toimuvat. Probleemse kodulehe avastamisel teavitatakse lehe majutajat leiust. Õnneks võtavad enamus majutusettevõtteid neid teateid tõsiselt ja reageerivad kiiresti. Head tulemused paistavad ka välja - APWG (Anti-Phishing Working Group) andmetel on Rootsi üks madalaima nakatunud kodulehtede suhtarvuga riik maailmas.

Samasugust skänneerimise teenuse sisseostmise lahendust kasutab ka Hollandi register, kes kasutab selleks Netcrafti lahendust. Keerutamata lisati kohe, et tegemist on väga kalli lahendusega. Aga nagu Rootsigi puhul on ka Hollandi tulemused väga head - APWG andmetel samuti üks parimaid. Ka siin tõdeti, et edu taga on kodulehe majutajate poolne aktiivne koostöö. Register ise midagi peale teavitamise teha ei saagi. Domeeni tsoonist eemaldamine on küsitavad väärtusega samm, sest nii võetakse lisaks kodulehele maha ka e-post ja kõik muud teenused, mis domeeniga seotud. .NL ei ole Hollandis riiklikult loetud kriitilise taristu osaks. Arutelud .NL-is sel teemal aga käivad. Tehniline pool organisatsioonist näeb tippdomeeni kriitilise taristu osana, juriidiline pool püüab seda vältida. Nagu meilgi. Teema on siinkohal asjakohane, sest kriitilise infrastruktuuri osana võib registril tekkida kohustus pahavara levitav domeen tsoonist eemaldada.

Peter Forsman rääkis küberkuritegevusest Rootsis üldisemalt puudutades võltsarveid, krediitkaardi pettuseid jne. Seos domeenidega peitub üldiselt originaali sarnaste domeeninimede kasutamises, et luua usaldusväärne mulje. Märkisin selle teema ära, sest esitluses toodi korduvalt välja ka Eestit kui eesrindlikku arvevabrikut Rootsi petturite jaoks. Siiski piirdub tihti seos Eestiga vaid domeeninimes või ettevõtte registrinumbris - kurikaelad Rootsis aset leidvate pettuste taga on siiski enamasti kohalikud. Ju siis on Eestil piisavalt usaldusväärne maine ja kindlasti ka lihtne ja kiire ettevõtte registreerimise kord. Krediitkaardi pettuste juures toodi välja ühe toimiva mudelina palve saata näiteks automüügi portaali nimel kuulutajale oma kaardi andmed, et ettevõte saaks "ekslikult" liikselt võetud raha tagasi maksta. Kui algne makse ei toimunud krediitkaardiga pole mingit põhjust tagasimakset krediitkaardile kanda. Tasub mõelda enne kui öelda.

Hollandlased rääkisid ka oma turvalisest tarkvaraarenduse protsessist, kus põhimõtteks turvalisusest lähtuv tarkvara disain. Selle aluseks omakorda avalikult kätte saadavad OWASP top10 ja SANS top25 tarkvara turvavigade loendid. Neid jälgitakse suure hoolega, arendajad teevad üksteisele nendest lähtuvalt koodi ülevaatuseid ning igast ülevaatusest jääb järgi aruanne leitud küsitavuste ning arendaja poolsete vastuste või koodiparandustega. Lisaks võttis .NL kasutusele HP Fortify SAST (static application security testing) tüüpi tarkvara. Olulise mõttena tõid nad välja, et üksi automaatsele vigade skännerile tugineda ei saa, on palju veatüüpe, mida masin pole võimeline avastama konteksti või loogika tõttu. Siit sain mõned mõtted ka .ee jaoks - käib ju meilgi täna kibe arendus uue registrisüsteemiga.

Töötubade järel toimus CENTRi tellimusel läbi viidud vastuolulise "Domain Abuse" uuringu esitlus. Vastuolulisus seisnes siin selles, et mitmed liikmed olid selle uuringu teostamise vastu ja tulemused peegeldasid nende välja toodud arvamust. Uut ja reaalselt kasutatavat infot uuringust praktiliselt ei tulnud. See vaid kinnitas laialt teada olevaid arvamusi. Mis siis mõjutab domeenide kasutamist kuritahtlikul eesmärgil? Loomulikult hind, kuritarvitusi on rohkem odavamate domeenide hulgas. Eriti paistis see silma hinnakampaaniate puhul, kus uute registreeringute arv kasvas uuritud näidete puhul umbes 4% aga kuritarvitusjuhtumite arv 200%. Samas pole hind siiski ainus ega peamine faktor. Ehk isegi olulisem on registreerimise avatus ja lihtsus. Erinevad kohalikkuse nõuded, registreerijate identifitseerimine, registreerimisel küsitavad andmed ja nende kontroll mõjutavad tugevalt kuritarvituse juhtumite arvu. Samal ajal ei tuvastatud mingit seost domeeni andmete uuendamise kiirusega, mida on paljud peljanud. Tihti registreeritakse halbadeks kavatsusteks domeenid pikalt ette, et saada domeenile nö parem reputatsioon. Kokkuvõttes ei ole kurikaelte jaoks tähtis, mis tippdomeeni kasutatakse - pigem valitakse nõrgem tuvastuse ja regulaarse andmete kontrollita domeene. Tekkis küsimus kas kurikaelad eelistavad konkreetseid registripidajaid.

Jätkan järgmises postituses teiste mõtete ja teemade selle aastaselt Jamboreelt.