Kuidas küberpätid veebiservereid üle võtavad

Ülevõtmiste skeem on lihtne.   

1. Kodukasutaja või väikeäri peab pisikest veebisaiti (väikeäri või hobisait)

2. E-kurjategijad leiavad võimaluse see arvuti nakatada

3. Kurikaelad panevad pihta kasutajanime/parooli, millega kasutaja oma hobisaiti majandab

4. Kurikaelad sisenevad veebilehele võõra kasutajanimega ja muudavad märkamatult veebisaidi sisu

5. Veebisaiti külastades saavad kümned ja sajad kliendid sellesama arvutiviiruse

6. Osa klientidest on ise veebisaidi pidajad

7. Tekib suletud ring mis taastoodab iseennast

Sageli mainitakse seoses ülevõtmisega arvutiviirust Grumblar, kuid see on siiski vaid üks, kõige tuntum näide. On ka kümneid teisi viirusetõuge.

Miks on mainitud skeem ohtlik? Esiteks, kodukasutajal on alul raskusi probleemist arusaamisega — ta on harjunud, et hobisaidi pidamine on lihtne ja ohutu ja et “asi lihtsalt töötab”. Nüüd aga peab kodukasutaja teadlikkus tõusma, et ta saaks aru oma tegevuste ja tegevusetuse tagajärgedest. Teiseks, see skeem on jätkusuutlik — mida rohkem pisikesi hobisaite nakatatakse, seda enam järgmiste hobisaitide paroole korjab viirus kokku.

Hoiatus — kui vanasti muudeti sissemurdmise korral veebisaiti visuaalselt viisil, et igaüks muudatust märkas (mingi poliitiline teadaanne vms), siis täna peidetakse viirusnakkus lehe algteksti ridade vahele. Jaavaskript avab töölaual uue akna mõõtudega näiteks 1x1 punkti ning sealtkaudu suundub masin välismaale nakatuma. Kahjuks ei saa jaavaskripti ka välja lülitada, sest kommertsveebid ilma selleta ei tööta. Näiteks pole võimalik enamikku uudisteportaale ilma jaavaskriptita kasutada. See on koht, kus teenimislust on turvakaalutlused ohverdanud.

Kuigi igas arvutis peab olema viirustõrje, ei anna ükski viirusetõrje siiski 100% kaitset. Antiviirus lööb lokku siiski vaid senituntud viiruste peale, märkamata teisi, mis kurikaelad alles eile kirjutasid. Iga uue viiruse puhul kulub kuni päev selleks et õppida seda avastama.

Sellise nakatumisskeemi ingliskeelne nimetus on DriveBy. “Nohu” saadakse külge täiesti tavalist veebisaiti külastades ning sageli ei tõsta häiret ka viirustõrjetarkvara. Pehmemal juhul suunatakse kasutaja mitte viirusega nakatuma aga näiteks veebipoodi võlts-Viagrat ostma. Paraku on see sama ohtlik, kuivõrd juba homme võivad kurikaelad viagrapoe lingi asendada tundmatu arvutiviiruse omaga.

Kuidas näeb välja ülevõetud veebisait? Palja silmaga vaadates erinevust pole. Tuleb oma brauseris avada “View” -> “Page Source” (“Vaata” -> Lehe lähtekood”) ning uurida, kas seal on mingi silmaga nähtav jama.

On olemas meetodid, millega veebiteenuse pakkuja saab kontrollida, kas isik, kes tuleb hobisaiti majandama, on ikkagi selle õige omanik. Eesti hostijatest on häid tulemusi saavutanud Zone Media, kus suudetakse rikutud veebileht väga kiiresti avastada ja tõkestada.

Kasutaja riskiks on see, et kui ta ei pea oma koduarvutis puhtust, siis teiste inimeste kaitseks teenusepakkuja lihtsalt sulgeb tema veebisaidi — seda nagu polekski kunagi olnudki. Väikeärile tähendab aga veebikonto sulgemine täielikku katastroofi. Seega tuleks olulist veebisaiti majandada hoopis eraldi arvutist, millega juhuslikes kohtades ringi ei surfata.

Tegemist on uue kasvava ohuga, mille tõrjumisel väga palju oleneb kodukasutajate ja väikeäride teadlikkusest.