Serverite ülekoormamise varjus kasutasid kübersõdalased kevadel Eesti vastu ka relvi, mille olemus on siiani jäänud mõistatuseks. Rünnete paremaks avastamiseks plaanib Eesti pöörata rohkem tähelepanu netiliikluse salvestamisele, kirjutab Alo Lõhmus.

Milline võiks välja näha tulevane kübersõda? Kevadise lahingu tagasi löönud Eesti arvutispetsialistid on praegu ametis äsjase kogemuse igakülgse lahtimõtestamisega, et teha järeldusi tulevikuheitluste kohta. Kuid sõjaajaloost on teada, et ükski uus sõda ei ole varasema kaksikvend ning kindralstaabid jäävad alati valmistuma eelmiseks, mitte järgmiseks sõjaks.

Samal teemal: Juhtkiri: kõik küberkaitseliitu! (9)

VIIMASED KOMMENTAARID osignasju OSI huvilistele  http://keeks.ioc.ee/ee  sti/55.HTML interne  t kui selline on tore  võrk aga keegi ei ... .OI Arvutid ja internet  pole veel elu ...  tõsi, üks üha kasvav  osa sellest. "see asi"  elustub ja hingest... Teised kommentaarid

«Räägitakse kaskaadrelvast,» viitab kaitseministeeriumi side- ja infotehnoloogia osakonna juhataja Mihkel Tammet ühele võimalikule tulevikustsenaariumile. «Rünnakut alustatakse teenusetõkkega, ent siis hakatakse tungima elutähtsatesse süsteemidesse ja riigi infrastruktuuri. See võib lõppkokkuvõttes halvata kogu ühiskonna tegevuse.»

Tõsine oht

Niisuguse küberründe tekitatavat segadust on kerge ette kujutada. Esmalt muutub võimatuks populaarsemate internetikülgede, sh meediaportaalide lugemine.

E-post seiskub, sest nutikad ründajad on Eesti meiliserverid registreerinud rahvusvahelises rämpsposti andmebaasis kui spämmilevitajad, mistõttu Eesti elanike kirjad blokeeritakse.

Internetipangad kukuvad maha nagu tänavu aprillis ja mais. Kuid selle varjus jõuavad ründajad ka serveriteni, mis eelmisel korral jäid puutumata. Valitsusside häirub. Mitmed elektriülekandevõrgud õnnestub välja lülitada. Telefonid jäävad tummaks.

Arstid ei näe enam e-haiguslugusid, apteekrid ei saa e-retseptide kinnijooksmise tõttu ravimeid müüa. Raadio- ja telejaamad, mis pole oma tööd lõpetanud elektrikatkestuse tõttu, teevad seda serverite rikkimineku pärast. Rünnatakse rahvastikuregistrit, äriregistrit, kinnisturegistrit…

«Arvan, et kõik relvad, mis praegu kübersõjas olemas on, näidati kevadel meile ära,» ütleb Riigi Infosüsteemide Arenduskeskuse infoturbeintsidentide käsitlemise osakonna juhataja Hillar Aarelaid. «See on väga hea – nüüd on meil enam-vähem teada, mida nad oskavad.»

Kuid vaenlane näitas muu hulgas ka relvi, mille olemust Eesti spetsialistid veel täielikult ei mõista.

Saladuslik katkestaja

Tänavu 27. aprillil alanud ja 18. maini kestnud kübersõja käigus kasutati Eesti sihtmärkide vastu väga mitmekülgset arsenali. Kõige massilisem ja tähelepanu äratavam oli lihtne serverite ülekoormuse tekitamine.

Aarelaiu sõnul sarnanes see rohkem sihitu laamendamisega, mille eesmärgiks võis olla lihtsalt pakkuda kattevarju tõsisematele rünnakutele. Sest mis mõte oli vaenlasel näha vaeva näiteks sõiduauto Ford Scorpio omanikke ühendava võrgulehekülje ja foorumi mahahäkkimisega? Ka parlamendi, presidendi ja teiste riigiasutuste lehekülgedele tehtud rünnakud edastasid küll poliitilist sõnumit, ent ei saanud kuigivõrd häirida Eesti riigi toimimist. «Me ei jõudnud enam üksikuid rünnakuid jälgidagi, jõudsime neid vaid liigitada,» iseloomustab Aarelaid teenustetõkke massiivsust.

Ülekoormuse varjus rakendati keerulisemat häkkimiskunsti. «Päris mitu korda tehti ka selliseid rünnakuid, mille kohta ei oska me mingit seletust anda. See nägi välja musta auguna, tühja graafikuna. Null. Ükski bitt ega bait, ükski pakett üheski suunas ei liikunud. Nagu oleks juhe katki lõigatud,» kirjeldab Aarelaid. «See on kõige hullem asi üldse. Mis see oli, seletust ei ole. Ei tea isegi, mille pihta see suunatud oli.»

Selle saladusliku relvaga õnnestus ründajail lühikeseks ajaks sulgeda nii mõnigi Eesti interneti välisühendus. Kuna niisuguseid ühendusi on palju ja ükski katkestus ei olnud pikaajaline, ei tekitanud relv seekord kuigi suurt kahju. Ent kui seda oleks rakendatud ühel ajal kõigis Eestit välismaailmaga ühendavates kanalites?

«Siis oleks olnud ai-ai,» tunnistab Aarelaid.

Mõttetute ülekoormusrünnakute varjus õnnestus ründajail üles leida ka näiteks mobiilifirmade teenindusserverid, mis pole avalikud. Ainult tänu firmade IT-teenistuse tulemuslikule tööle jäi mobiiliühendus toimima.

«Kuidas oskasid ründajad Kükametsa kooli võrgukülje häkkimise kõrval need serverid üles leida? Miks tekitasid nad olukordi, kus poes ei saanud maksta piima ja leiva eest ega bensiinijaamas bensiini eest? Ning miks jäid tänavatel autod just samal ajal seisma ja hakkasid signaalitama?» viitab Aarelaid kogu aktsiooni kõrgele koordineeritusele.

Interneti salvestamine

Eestit tabanud rünnakute analüüsi ja nende autorite avastamise muudab keeruliseks asjaolu, et ründajate andmeid ei õnnestunud sageli salvestada. Kui rünnak on serverit või ruuterit juba tabanud ja selle rivist välja viinud, ei salvestu ka enam ründaja logifailid ega muud identifitseerimist võimaldavad andmed.

Eesmärgiga ülekoormust vähendada loobusid paljud võrguhooldajad esimese asjana logifailide salvestamisest.

Läinud nädalal ministeeriumidevahelise töögrupi kokku pandud küberkaitse parandamise soovituste pakett näeb muu hulgas ette riigi võimekuse suurendamist just internetiliikluse salvestamisel. Valitsuse töölauale jõuab ettepanekute pakett uuel nädalal.

> Loe edasi