Lunavara ehk lunaraha nõudmine krüpteeritud failide tagasi saamise eest on muutunud kopsakaks äriks, kirjutab informaatik Agu Kivimägi.
Agu Kivimägi: failivargad teevad lunarahanõuetega suurt äri
Eelmise aasta tuluks hinnatakse lunaraha nõudjatele 1 miljard dollarit. Turvaspetsialistid annavad lunavara ohvriks langenud ettevõtetele vastakaid soovitusi, osa soovitavavad mitte mingil juhul maksta, kuna siis oledki märklaud ka järgmistele rünnetele, teised soovitavad maksta ja kiiresti, sest tüüpiliselt lunaraha nõue on tähtajaline, summa aja edenedes suureneb ja tähtaja saabudes on failid tõesti kadunud, kaubitsemiseks ruumi pole.
Kurikaelad on spetsialistid, aga mitte kõiges
Lunaraha nõudjad tunnevad IT-majandamist, lunaraha nõuded on üldjuhul kalkuleeritud nii, et isegi juhul, kui ettevõttel on korralik varundus, on siiski odavam maksta lunaraha, kui alustada taasteprotsessidega. Aeg, mis otsustamiseks antakse, on lühem, kui taasteprotsessiks kuluv aeg, seega ohvril puudub kindlus taaste õnnestumises. On olnud jutumeid, kus hargmaisel firmal on olnud korralik varundus, kui varundatud on juba krüpteeritud faile. Lõpuks leiti tsentraalsest hoidlast korralikud koopiad, kuid kogu protsess osutus asutusele 10 korda kallimaks, kui oleks olnud lunarahamakse.
Kuid mõnikord ei saa ka kurjamid aru, millise kullaaugu otsa nad on sattunud ja küsivad tühiseid summasid. Ühes Austria hotellis õnnestus rivist välja viia kõik digiteeritud süsteemiga töötavad ukselukud. Kes oli sees, oli sees, kes väljas, see väljas, ükski uks ei avanenud. Kurjamid küsisid ainult 1500 eurot, mille hotell kohe ära maksis.
Lunaraha nõutakse tavaliselt bitcoin'ides, millega enamik inimesi pole kokku puutunud. Musta huumorina võiks öelda, et asutustel tuleks kriisiõppuste käigus harjutada taaste kõrval ka kiiret bitcoin'ide ostmist.
Antiviirus lunavara vastu ei aita
Halb uudis lunavara juures on see, et antiviiruse tarkvara selle vastu ei aita. Klassikaline antiviiruse tarkvara tunneb ära tuntud kurivara, st keegi on juba kurivara ohvriks langenud ja saatnud kurivara näidise antiviiruse tootjale. Tootja töötab välja signatuuri, mis saadetakse üle maailma laiali kõikidesse arvutitesse, mis seda antiviiruse tarkvara kasutavad. Selle konkreetse kurivara suhtes on kaitse nüüd olemas.
Kuid lunavara tootjad on hakanud looma kurivara konkreetsete sihtmärkide jaoks. Näiteks ca 400 000 arvuti nakatamiseks kasutati 4000 erinevat kurivara, niisiis keskmiselt kasutati ühte kurivara 100 arvuti nakatamiseks. Lunavara loomist pakutakse ka veebiteenusena, sellel on ka oma nimetus RaaS (Ransomware as Service). Kuigi enamiku liikluse mahust annavad korduvkasutusega kurivarad, on tänapäeval 90 protsenti kurivarast selline, mida on leitud ainult üks eksemplar. Seega signatuuripõhine kaitse meid enam ei aita.
Kasutajate koolitamine ei pruugi ka soovitud tulemusi anda. Asutused võivad kehtestada karmid reeglid – USB-pulkasid ei tohi arvutiga ühendada, e-kirjades olevaid linke ei tohi klikkida, e-kirjade manuseid ei tohi avada jne – st arvuti normaalne kasutamine muudetakse väga tülikaks. Kuid ikkagi võib sattuda kurivara ohvriks, külastades näiteks täiesti soliidset päevalehe veebiväljaannet, kuhu kurjamid on ostnud reklaami. Piisab veebilehe avamisest, kui reklaambänneri taga asuv kurivara nakatab arvuti, kasutaja pole midagi valesti teinud, kuid on ikkagi ohvriks langenud.
Tavapärasele krüpteermisele on kurjamitel varuks veelgi tõhusamad meetodid raha välja pressida. Popiks hakkab muutuma failide avalikustamine, st kui ohver lunaraha ei maksa, siis lisaks krüpteerimisele hakatakse ohvri isiklikke faile internetis avalikustama. Olulist infot valdavate asutuste – ministeeriumite, haiglate, politsei jne jaoks on selline stsenaarium palju hullem.
Uus tehnoloogia kaitseb seninägemata kurivara eest
Olukord tundub lootusetu, kuid hea uudis on see, et sarnaselt kurjamitega nuputavad ka turbespetsialistid, mida uues olukorras ette võtta. Pidevalt tekib uusi firmasid, mis pakuvad tehnoloogiaid olukorraga toimetulekuks. Vaatamata vanade ja tuntud antiviiruse tootjate tohutule müügivõimele jõuavad uued tehnoloogiad ärksamate klientideni. Üks uus tulija on oma tootes isegi nii kindel, et pakub kliendile kuni miljoni dollarilise garantii – kompensatsiooni, kui tema tarkvaraga kaitstud arvutis failid hävivad.
Uued tehnoloogiad on seadnud eesmärgiks kaitsta arvutit kurivara eest, mida pole enne nähtud. Iga arvutisse jõudnud fail analüüsitakse, vaadatakse, mida programm teeb, millist tehnikat kasutab. Kuigi nõrkusi, mida kasutada ohvri nakatamiseks, on palju ja kurivara võib kasutada nõrkusi, mis on ainult talle teada, on ründetehnikaid suhteliselt vähe – alla kolmekümne.
Viimane uuendus tehnikate osas toimus mitu aastat tagasi. Kesisemad tarkvarad tunnevad ära paar ründetehnikat, kuid paremad suudavad pea kõik tuvastada. Üksikuna on e-posti manuse avamine, lingil klikkimine või veebilehel kasutajatunnuse ja parooli sisestamine normaalsed tegevused, kuid õngitsusründe puhul moodustavad äratuntava ründemustri, mille tänapäeva tehnoloogia ära tunneb ja tõkestab. Masinõpet kasutavad tehnoloogiad suudavad eristada ebanormaalset käitumist tavapärasest. Lisaks välistele rünnetele võimaldab see tuvastada ka asutusesisest ebalojaalset käitumist või isegi seda, kas kasutaja on kaine või narkootiliste ainete mõju all.
Tänapäeva seisukoht turbe tagamisel ei seisne enam mitte niivõrd lõppkasutaja pidevas harimises ning ahistamises karmide nõuetega, mis nii ehk nii soovitud tulemust ei anna, vaid enam tuleb turvajuhte harida uute tehnoloogiate valdkonnas, mis suudavad edukalt kurjamitega võidelda.