Häkkerid ründasid turvasertifikaatide süsteemi
Nimelt õnnestus häkkeril, kes varjub varjunime ComodoHacker taha, sisse saada Hollandi ettevõtte DigiNotar süsteemi. DigiNotar pole lihtsalt järjekordne IT-ettevõte, vaid kuulub kitsasse usaldust väärt firmade ringi, mis väljastavad juursertifikaate.
Mida see tähendab?
Kindlasti ori iga kasutaja märganud oma interneti-brauseri tabaluku kujutist -rohelist, kui kõik on korras, või punast, kui veebilehe sertifikaadiga on miskit valesti. Kõik internetilehed, mille kasutamise puhul on inimese andmete kaitsmine vähegi oluline, kasutavad sertifikaate. Rohelist tabalukku näeb nii internetipanga lehel kui ka näiteks eesti.ee riigiportaalis. See tähendab ühest küljest seda, et side inimese arvuti ja veebisaidi vahel on krüpteeritud (loe: keegi ei kuula pealt).
Teisest küljest aga kinnitab, et seda internetilehte saab usalda. Tegu pole mitte "pahatahtlike kurjategijate tehtud osava kamuflaažiga, internetipanka jäljendava lehega, kuhu oodatakse heausklike pangaklientide paroole, vaid tõesti õige panga õige lehega. Täpselt selleks ongi kasutusel sertifikaadid, mida väljastavad käputäis ettevõtteid üle maailma. Näiteks Swedbanki Eesti internetipanga õigsust kinnitab VeriSign, eesti.ee riigiportaali Thawte. Üks selliseid ettevõtteid on ka DigiNotar.
Nimekas google.com
9. juulil murti DigiNotari süsteemi sisse ja väljastati sadu sertifikaate, mida saaks kurjalt ära kasutada. Ettevõte küll tuvastas sissemurdmise ja proovis ka kahju vähendada. Sertifikaate on võimalik tühistada ja mõnede puhul seda ka tehti, kuid mitte kõigi puhul. Kõige nimekam neist veebisaitidest, mille sertifikaat õnnestus sissemurdjatel saada, on Google.com. Kuid nimekirjas on veel palju tuntud ettevõtete ja asutuste lehekülgi nagu Facebook, Microsoft, Yahoo!, Skype, Mossad, CIA, MI6, Twitter, WordPress jne. Kokku on nimekirjas ligi 500 veebisaiti.
See ei tähenda, et kõik need veebisaidid on sellega nüüd automaatselt kurjategelikult lahti murtud. Ebaausalt hangitud sertifikaatidega saab aga näiteks korraldada man-in-the-middle-tüüpi rünnakut. Oletame, et näiteks häkker Paul on saanud Google'i sertifikaadi ja ühtlasi on tal võimalus sekkuda heausksete kasutajate internetiliiklusesse. Kui mõni selline kasutaja, näiteks Eva, läheb nüüd lugema oma e-kirju aadressil mail. google.com, võib häkker Paul sekkuda. Eva sisestab oma kasutajanime ja parooli omateada päris Google'i postkasti (tabalukk on ju roheline!), kuid tegelikult jõuavad need Pauli kätte. Paul on teinud automaatse süsteemi, mis logib Eva parooliga nüüd päris Google'i postkasti ja saadab info tagasi Evale. Nõnda jõuavad Eva arvutisse tagasi tema õiged e-kirjad ja ta ei saa üldse arugi, et vahepeal on tema parool ja kogu kirjavahetus käinud Pauli käest läbi. Sama võib toimuda näiteks internetipanga puhul.
Võib spekuleerida, et eriti kasulikud on sellised vahendid riiklikele julgeolekuasutustele, kes oma riigi internetikasutajate järele nuhkida tahavad. Kuigi DigiNotar avastas oma süsteemi häkkimise juulis, ei teavitanud ettevõte sellest kedagi. Info hakkas liikuma alles augusti lõpus, kui levis info kahtlastest intsidentidest Iraani internetis, kirjutas arvutiturbefirma Agilebits. Alles siis teatas DigiNotar ametlikult sissemurdmisest.
Öine pressikonverents
Hollandi valitsus võttis DigiNotari häkkimist esialgu stoiliselt, kinnitades, et kõik saab korda. Olukorra tõsidust taibates andis Hollandi siseminister 3. septembri öösel kell veerand kaks pressikonverentsi, milles teatati, et DigiNotari sertifikaatide usaldamine lõpetatakse, ühtlasi uuritakse Iraani valitsuse seotust ' häkkimisega. New York Timesi andmetel on esialgne uurimine juba näidanud, et häkkerite jäljed viivad Iraani. Hollandi valitsusele on tegelikult kogu intsident kõige valusam. Peale mainekahju on probleem ka valitsuse internetiteenustega. Piltlikult öeldes hoidis valitsus kõiki mune ühes korvis ehk kasutati kõikjal vaid omamaist sertifikaatide väljastajat.
Mida tavalisel arvutikasutajal sellest õppida on vaja? Esiteks tuleks alati vähegi oluliste tegevuste puhul internetis tähelepanu pöörata interneti-lehitseja teavitustele. Kui internetipangas või muidu näiliselt usaldusväärsel lehel paistab punane tabalukk, tuleks hoolikalt järele mõelda, kas oma isikuandmeid sinna sisestada.
Teiseks tasub hoida oma tarkvara uuendatuna. Levinud veebilehitsejatel nagu Firefox, Internet Explorer ja Chrome on juba välja tulnud uus versioon, milles DigiNotari sertifikaatidega lehti ei usaldata. Maci süsteemis Safari kasutajatel tuleb aga käsitsi avada „Keychain Access", otsida üles DigiNotari sertifikaadid ja märkida need ebausaldusväärseks („never trust").
Kübersõja tanner Iraan
Rahvusvahelised arvutiturbe eksperdid tõmbavad praeguse DigiNotari rünnaku juurest kohe võrdlusjoone Stuxneti viiruseni. Mõlemad on viimase aja kübersõja ja e-spionaaži valdkonnas pommuudised.
Stuxnet avastati eelmisel aastal, tegu on ajaloos teadaolevalt esimese arvutiviirusega, mille eesmärk oli füüsilist hävingut tuua. Stuxneti viiruse tehnilist komplitseeritust ei saa DigiNotari rünnakuga võrreldagi, kinnitab Kaspersky arvutiturbe ekspert Roel Schouwenberg. Stuxnet levis mööda maailma arvuteid märkamatult ligi aasta, kuid ei aktiveerunud. — Hiljem avastati, et viirus jahtis ühes kindlas geograafilises asukohas olevaid väga konkreetset tüüpi arvutisüsteeme: suurima tõenäosusega Bushehri tuumajaama või Natanzi tuumaobjekti Iraanis. Viirus pidi tekitama tööstusseadmetes ülerõhku ja muid häireid, mis oleks tehaste töö rivist välja löönud.
Arvestades sihtmärkide tüüpi ja viiruse tehnilist keerukust, on spekuleeritud, et selle on loonud USA või Iisraeli valitsusasutused eesmärgiga saboteerida Iraani tuumaprogrammi.
DigiNotari intsident pole aga veel läbi. Soome arvutiturbe guru Mikko Hyppönen kirjutas, et DigiNotari varastatud sertifikaatidel oli ka võime kinnitada lisaks veebisaitidele ka arvutitarkvara ehtsust. See tähendab, et ohver võib enda arvutisse tõmmata turvauuenduse, mis tegelikult on pahalaste tehtud.
Autor tänab konsultatsiooni eest riigi infosüsteemide ametit.
