Eesti turvaspetsialist: eelmise nädala suur lunavara oli näitemäng, selle taga võis olla riikliku taustaga jõud

Eelmisel nädalal üle Euroopa levinud ning Eestiski terve suure kaupluseketi sulgenud lunavara Petya või NotPetya polnud tegelikult lunavara, vaid selleks maskeeritud rünnak eesmärgiga võimalikult palju kahju teha, rääkis Riigi Infosüsteemi Ameti analüütik Anto Veldre esmaspäevases Digitunni saates.

Eelmise teisipäeva õhtul tulid esimesed teated selle kohta, et jällegi on Euroopas rullumas lahti üks lunavaralaine. Aga see ei oleks pidanud olemas nii suur üllatus ja šokk, sest alles maikuus elasime me samasuguse asja läbi.

Eesti esines ka eelmine kord suhteliselt kenasti, et kõik oleneb vaatepunktist. Et näiteks Tasmaania saare peal šokolaadivabrik lõpetas tegutsemise, sellest vaatepunktist vaadates on asi väga kole, eks.

Praegu tundub, et asi sai alguse Ukrainast. Ukrainas on raamatupidamistarkvara, M.E.Doc, väga paljud kasutavad seda. Sealt hakkas see levima ja kuna Ukrainas seda kõik kasutavad, siis kõik said ka pihta. Nii et loeme seda tõestatuks, et keegi levitas tarkvaralevituskanaleid pidi ja siis tuli see saast peale.

Ukrainas oli kõigepealt oli suur paanika, et lunavarasildid punased on ees, nõuavad jälle mingit bitcoini ja jälle muudkui krüptivad.

Ega see ei olnudki tavaline lunavara – tavaline lunavara küsib raha, ja siis sul on selline šanss umbes kolmandikust pooleni, et äkki saadki selle võtme, mis su failid lahti teeb. Petya puhul ei ole mingitki märki olnud, et keegi kavatseks su faile üldse lahti teha, ehk siis tundub nii, et keegi lihtsalt riputas neid lunavarasilte, aga tema esmane eesmärk oli palju paanikat teha ja võimalikult palju nii öelda vaenlast kahjustada.

Ja nüüd me jõuame selle tegeliku asjani välja. Vaadake NATO küberkeskuse veebisaiti, seal on 30. juunist üks väike avaldis selle kohta, et kuidas säärased lunavarad, seal on väga peenelt väljendatud, võivad esile kutsuda Artikkel 5 rakendamist. Nädalavahetusel mõned viirust uurivad härrad astusid härra Jevgeni Kasperskyga dialoogi, vihjasid talle peenelt, et Vene luureteenistustes on jah, ikka ründeorganisatsioonid hästi eraldatud, täitsa näevad erafirma moodi välja.

Ehk siis vihjeid on palju olnud, aga hetkel tundub, et kõik läheb sinnasuunda, et see oli kuidas nad ütlevad, riiklik tegutseja, või riiklik actor.

State-sponsored, ehk siis ühesõnaga keegi, kelle huvid kattuvad mõne riigi huvidega.

No vat jah, sest kui tegu oleks tavalise lunavaraga, siis oleks nii, et pätt tahab oma raha kätte saada. Aga kui pätt teeb sellise viiruse, mis ei tahagi raha kätte saada, siis kellele seda lulzi ikka vaja on.

Ja nüüd hakkame alles Euroopast rääkima. Ehk siis esimese hooga sai pihta Ukraina. Ukraina oli küllalt korralikult maas: riigiasutused, pangad. Ühel hetkel hakkas tulema teateid, et Euroopa on ka pihta saanud. Sellel hetkel olid hüpoteesid, et järsku on kaks erinevat rünnakut samaaegselt käimas, ja ega keegi vist kindlalt ei teagi, ega Euroopat vist keegi spetsiaalselt ei rünnanud. Aga raske öelda, äkki mingid majandussidemed kuskil, äkki mingid firmad omavahel ühendatud.

Arvutisse pääsenud viirus kuvas kasutajatele alljärgneva teate, nõudes 300 dollarit bitcoinides.

Mis paneb sind ja ja teisi uurijaid ütlema, et sealt tagant paistavad justkui nagu mõne riigi kõrvad? Mis seal nagu kahtlast oli? Viirus tuli sisse, krüpteeris failid ära, ütles, et kandke mulle raha ja siis saate failid tagasi.

Jah, ja siis kogu maailma pealt sai ainult 10 või 20 000 [dollarit].

Võib-olla ebaõnnestunud rünnak, aga kust see riik seal paistab?

Läheme läbi loogika. Kui sinul oleks mingi kogus raha, sa ilmselt sõidaks puhkama või ostaks endale lauatäie uusi vidinaid, eks ole. Aga kas sa teeksid niimoodi, et ise kirjutad või ostad mingi viiruse, ja siis valid mingi riigi välja suvalise riigi, Somaalia või Nigeeria ja siis sul on lihtsalt lõbus, kuidas nad kukuvad. See ei ole ju normaalse inimese käitumine. Milline inimene peaks seda tegema? Sa raiskad iseenda raha, sa ei saa oma raha tagasi. Ja sa lihtsalt mõnuled sellest, kuidas mingi riik on külili maas.

Aga nad ju proovisid tagasi saada? See ähvardus ju seal oli – kandke raha, teeme failid lahti.

Jah, on vaadatud sinna ka sisse, põhiasi on ikka, kuidas muuta asi kasutamatuks, mitte kuidas seda pärast lahti teha.

Nii et see tundus nagu näitemäng?

Just, just. Ja teine asi, see algne vektor. Kas sina tuleksid selle peale, isegi kui sul konkurent oleks, et kuule, teeme nüüd sellele M.E.Doc tarkvarale ära, las terve riik kukub, 50 miljonit inimest, mul ükskõik. See ei ole inimese moodi mõtlemine. See, kes seda teinud on, mõtleb pisut kaugemale, pisut keerulisemalt.

Mis NATO siia puutub? Kas NATO sai ka pihta või mis ajendas neid sõna võtma?

NATO pihta ei saanud. Meil on siin Tallinnas ka selline tore koht nagu NATO küberoivakeskus, CCDCOE ja kui minna selle lehele, siis seal on 30. juuni kuupäevaga üks väike avaldis. Niimoodi kõhklevas, ettevaatlikus toonis öeldakse, et kui selline kübersõda arvatavasti riikliku tegutseja poolt ikkagi läheb lahti ja terve riik võetakse käpuli maha, järsku siis peaks Artiklit 5 rakendama. Öeldud on pehmelt, aga sõnum, mis seal taga, on suhteliselt tugev.

Nii WannaCry puhul maikuus kui Petya puhul nüüd juunis räägiti sellest, et pahavara kipub kasutama SAMBA ehk siis SMB-protokolli ja selle kaudu pääseb ligi sinna, kuhu ta ei tohiks. Selgita lihtsasti, mis see SMB on?

SMB on ketta jagamine ja omal ajal olid ketta jagamise nipid ainult Windowsi omad. Siis kirjutasid Linuxi-mehed sinna peale asja nimega SAMBA, mis oli justkui seesama lühend natuke laiemal kujul. Päris pikka aega eksisteerisid Windowsi ja Linuxi asjad kõrvuti ja ühel hetkel tuli muudatus.

Toimus üleminek selle kettaprotokolli versioon 1 pealt, kus ei olnud praktiliselt mingit turvalisust, versioon 2 peale, mis nõuab igasuguseid keerulisi paroole ja imenipikesi. Nii et vanad riistad täna enam ei tööta. Aga kujuta nüüd ette, et sul on mingi aparaat, mis peab järjest töötama 10 aastat, 15 aastat, mingi röntgeniseade või purk kodus. Muidugi on netis juhendeid, kuidas sealt seda turvalisust maha võtta, kuidas öelda, et kuule, lähme selle vana versiooni peale, tead, sellega oli nii mugav, ei olnud mingit jama, ei olnud mingeid paroole.

Mida rohkem sul erinevaid seadmeid on, seda suurem on see kiusatus, et keerame turva maha ja lähme kõige madalama protokolli peale, mis üldse võimalik on. See on kõige kiirem, töötab ilma jamadeta, mingid paroolid ei aegu, no on ju inimlik. Enamik inimesi ei tea seda lühendit SMB, neil on põhiline, et seade käiks ja sellega nad tekitavad selle augu.

Teine mure on SMB-augu kaudu võrgust sisse tulemise riistad, neid on NSA-ga seostatud. Augud parandati ära tegelikult märtsikuus ja sõnum on see, et kui sul on riistvaraline tulemüür mingisuguse võrgupurgi juures, siis ära näita oma ketast välja. Seal võib neid auke olla.

Aga firmas võib juhtuda, et on vaja partnerile mingeid kokkuvõtteid, tekstifaile… kuule, teeme selle väikese augu siia, kes see ikka näeb või kuuleb või midagi. Ja siis ongi selline tore auk, kust ussikene saab sisse, ta on kõige vanemas ilusas formaadis, sealt ta tuleb, ja kui ta siis Windowsi-masinasse jõuab ja see kogemata paikamata veel on, no siis juhtubki.

Kõigepealt mõõgaga lööb augu läbi, ronib sisevõrku, ja kui ta juba sisevõrgus on, siis paneb käima Windowsi enda administreerimisriistad ja siis külitsikäiguga liigub mööda seinu ja nakatab ära kõik, mis seal saada on.

Kui me pidime siis sellise õpetliku nurga leidma siit, siis vanad head soovitused ikka alati: kui sul on Windowsiga masin, siis võib-olla lõppkokkuvõttes odavam on see tarkvarauuendus ette võtta ja vaadata, et see ka toimiks, kui lasta ilma uuenduseta seal tiksuda, kuni lõpuks saabub see päev, millal see pihta saab.

Ükskõik, mis masin sul on, on see sul Mac, või Android, või mingi muu jubedus, uuenda teda. Tänapäeva globaalküla tingimustes keegi ikka mõtleb selle augu välja. Kui sa oled kaks kuud uuendamata, sulle tuleb see saast kusagilt sisse – uuenda. Sa ei saa ilma uuendamata.

Ma olen riigiasutuse töötaja, ma ei saa eetris kõva sõna tarvitada, aga nende suhtes, kes WannaCry-st ei õppinud, tegelikult tahaks mõne päris kõva sõna öelda.

Just. Need võrgud, mis praegu pihta said, on, nagu sa ütlesid, keskselt hallatud, suured, professionaalselt ülalpeetavad asutuste võrgud. Mida nende IT-inimesed siis teevad, kui nad ei tegele arvutite paikamisega?

Eks nad tegelevad, aga neil on ka mingid riskiotsused, et siin on hind, ja siin on mingi funktsionaalsus, mida tahetakse säilitada. Siis neil on ka kümme aastat vana legacy kaelas, ja seal on seda valeotsust kerge teha.

Tuleb turvapaik, ja ma ei pane seda peale põhjusel X.

Suures võrgus sa testid seda enne, kui peale paned. Ja võibki juhtuda, et mõni sinu vana aplikatsioon näiteks ei sobi selle uue turvapaigaga, ja siis sa jätadki selle peale panemata või ootele. Aga kui nad nüüd kahe kellalöögi peale ei reageeri, siis ma tõesti ei tea.

Mis see reaktsioonivariant üldse oleks? Kui mul on 10 000 arvutit võrgus, siis nagu sa ütlesid, ma ei pane seda kinnisilmi peale, ma pean testima, see võtab aega.

Kaks sellist ärakella järjest annavadki märku, et sisevõrgu turvalisust tuleb nüüd hakata samamoodi kruvima nagu ka välisvõrgu turvalisust. Sest 50 000 arvutiga võrgus piisab, kui sul üksainuke auk lüüakse sisse ja kogu võrk on pikali maas.

Nii, nagu me oleme ennast interneti suhtes kaitsnud, nii tuleb nüüd kaitsta ka sisevõrku. Ja veel üks asi – varukoopiad. Kui sul on varukoopia olemas, kui see on korralikult tehtud, siis sa oled ju kuue tunni pärast jälle üleval. Aga kui sul on ka varukoopiaga probleeme, siis sa oled päris kaua maas.

Mis Petya krüptitud failidega nüüd saanud on? See e-mailiaadress, kuhu see raha tuli saata, võeti kohe maha…

See pandi 15 000 dollari pealt kinni, et sinna palju ei kogunenud. Aga nagu on öelnud need, kes koodi on vaadanud, ega see asi ei olnudki kinni- ja lahtikrüptimiseks, vaid lihtsalt ropult sigatsemiseks.

Aga kas need failid on nüüd kinni ja neid lahti enam ei saa?

Hetkel ei ole teada, et keegi oleks lahti saanud.

Mis sa arvad, kas meil tuleb veel selliseid lööke?

Mina küll ei julge öelda, et ei tule. Ma ükskord ütlesin välja, et Windows XP-d enam ei uuendata, ja siis pärast WannaCry-d, näed, Microsoft uuendas, nii et mina enam ennustada ei julge.

Kuula saadet siit: