Digi
21.01.2017, 12:01

WebARX-i kommentaar: Kes on User98 ning miks ta Maksu- Ja Tolliameti veebilehte ründas?

 
Oliver Sild
Eesti veebiturvalisuse agentuuri ESEC tegevjuht
FOTO: Foto: Tanel Meos
17. jaanuari lõunal kell 12 jõudis WebARX-i logidesse järjekordne .EE domeen, mis oli lisatud ühte populaarsesse küber-intsidentide andmebaasi Defacer.id.

Sarnaselt Zone-H-ga on Defacer.id veebileht, mis hoiab endas andmebaasi veebilehtedest, millele on mõni kurikael ligi saanud ning kuhu edevamad pätid oma n-ö saavutusi teistele uhkustamiseks üles panevad.

Seekord ei olnud enam tegu mõne aegunud Wordpressi või Joomla platvormil loodud ettevõtte kodulehega, mis ei oleks just kõige erilisem nähtus.

Sellel korral vaatas vastu hoopis Maksu- Ja Tolliameti veebileht emta.ee, kuhu oli User98 nimeline küber-pätt üles laadinud enda sõnumiga tekstifaili lak1998.txt.

Sõnumi sisuks lihtsalt: “Hacked By User98 x Sorry Admin , Where Is Your Security? Patch Your System Now !! User98 Was Here !!” ja lisaks hulganisti teiste küberpättide nimesid.
ekraanitõmmis

Kes on User98 ning miks ta Maksu- Ja Tolliameti lehte ründas?

Tegu on ühe liikmega arvatavasti Indoneesiast pärinevast rühmitusest N45HT, kellel on isegi enda Facebooki-leht ja blogi.

Kui Facebookis nende “klubi” seina vaadata, siis on näha, et seltskond tegeleb suuremas osas veebilehtede häkkmise ja massrünnakute läbi viimisega. Lekitavad andmebaaside sisu/kasutajanimesid ning paigaldavad tagauksi ja muud pahavara. Lisaks sellele hoiavad nad oma Facebooki-kontol ilusti ka ülevaadet, kui palju ja kelle veebilehti nad on rünnanud.

Kui vaadata, mida User98 on Deface.id lehele veel postitanud, siis näeme, et Maksu-ja Tolliameti puhul oli tegu puhtalt juhusega.

Samal päeval, 17. jaanuaril ründas User98 veel 72 erinevat veebilehte. Kõik veebilehed kasutasid Drupal-sisuhaldussüsteemi ning kõigile nendele lehtedele oli täpselt samasse kataloogi laaditud üles fail lak1998.txt ning seda täiesti identse sisuga.

Infot, kuidas end selle eest kaitsta, leiate Drupalaidi lehelt
ekraanitõmmis

Kuidas saab ligi sadat eri veebilehte täpselt samamoodi rünnata?

Massrünnakuid viiakse tänapäeval läbi praktiliselt automaatselt. Otsitakse välja populaarne tarkvara ja sellega seotud haavatavus. Kasutatakse otsingumootoreid, et tuvastada võimalikult palju veebilehti, mis kasutavad täpselt sama haavatavat tarkvaraversiooni.

Peale seda on võimalik kogu see list panna varem valmis kirjutatud programmi, mis kõik need veebilehed ükshaaval läbi käib. Kui haavataval veebilehel puudub tulemüür ja kaitse, mis taolisi rünnakuid tuvastaks ja blokeeriks, siis ongi kuri karjas.

Mida saavad kõik veebilehtede omanikud sellest õppida?

Vale on laialt levinud arusaam, et “Kes minu kodulehte ikka ründab?”. Veebilehtede vastu toimuvad rünnakud viiakse läbi poolautomaatselt ja tihtipeale kasutatakse veebilehte ära reklaami suunamiseks, spämmiserveri paigaldamiseks, külastajaid pahavaraga nakatamiseks jne.

Haavatavused tekivad enamjaolt aegunud tarkvaraga. Hoidke oma veebilehel oleva tarkvara värske. Kui olete oma veebilehte alles arendamas siis küsige oma arendajalt ka hoolduspaketti, et oleks inimene, kes teie veebilehte ka peale valmimist uuendaks ja hooldaks.

Paigaldage kodulehele tulemüür, mis massrünnakuid tuvastaks ja blokeeriks. Antud lahendust on võimalik küsida ka Tehnopol Startup Inkubaatori iduettevõttelt WebARX.

Kuna tarkvara aegumine ja rünnakud toimuvad automaatselt, ei ole kohe kuidagi mõistlik kaitsta oma kodulehte käsitsi. Kasutada tuleb lahendust, mis jõuab reageerida rünnakutele sama kiiresti, kui neid läbi viiakse ning automaatselt.

Kui veebileht on olnud juba pikemat aega avalik siis pidage meeles, et tarkvara aegumine on peale kodulehe n-ö valmimist vaid nädalate küsimus. Kui te ise pole tehnilise haldusega tegelenud, siis sõltuvalt lisamoodulitest võib sinu koduleht juba praegu olla mõnele rünnakule haavatav.

Lõpetuseks

Nagu näha, siis juhtub ka parimatel, aga Maksu- Ja Tolliametil ilmselt vedas, et ründaja suure tõenäosusega ei olnud isegi mitte teadlik, mis veebilehele ta emta.ee näol sisse murdis. Samas on tegu karmi näitega, et veebilehtede vastu toimuvate rünnakute eest ei ole mitte keegi kaitstud.

Kodulehtede kaitse on tänaseks muutunud sama oluliseks, kui viirusetõrje programmid arvutite jaoks. Samuti on 2018 aastast uue EU andmekaitse regulatsiooniga ka kodulehtede omanikel vastutus märksa suurem.

WebARX, varasema nimega ESEC, on 2013. aastal loodud Eesti iduettevõte, mille tegevusalad on veebiturvalisus ja -arendus. WebARX liitus Tehnopol Startup Inkubaatori programmiga 2016. aasta alguses.

Tehnopol Startup Inkubaator on alustavate tehnoloogiaettevõtete kasvuprogramm, kuhu oodatakse ettevõtteid, kellel on eskaleeruv äriidee ja suur potentsiaal üleilmse turu vallutamiseks.

Kommenteeri Loe kommentaare
Delfi
Jaga
Kommentaarid