Kindlasti on lugejale kõrva jäänud mõni uudis selle kohta, kuidas arvuti vahendusel on kellelegi kahju tekitatud. Üks võimalik viis arvutikasutaja tööd ja vara kahjustada on kahjurvara kasutades.

Kahjurvara, või nagu meie rikas eesti keel lubab sünonüümidena kasutada – pahavara või kurivara –, mille alamliigiks on ka arvutiviirus, ei ole miskit muud kui tarkvara.

Ka kahjurvara on tarkvara

Tarkvara on ühtpidi võttes tehnoloogia, aga nii nagu me võime näiteks nuga kasutada mitmel otstarbel, kas lõunasöögi valmistamiseks, puust tööriistade vestmiseks, inimese tapmiseks või arsti käes skalpellina inimelu päästmiseks, on ka tarkvara võimalik kasutada väga mitmel eesmärgil. Ehk ühe teesina võime öelda, et tarkvara ise ei ole paha.

Teisest küljest, kui mõtiskleda tarkvara olemuse üle, ei ole see muud kui käskude jada ning seda võib kirjutada väga lihtsustatud tasemel. Kui tahta ise järele proovida, siis Google on avaldanud mitmeid tarkvara kirjutamise mänge. Ühes neist näiteks tuleb panna jänes mööda kindlat rada porgandeid sööma. Nii nagu mängus suunatakse jänest kavatsusega kõik porgandid ära süüa, võib igasugune tarkvara tegija kavatsust sisaldada. Kahjurvara puhul võivad need lõimedesse sisse kootud kavatsused kellegi või millegi suhtes pahatahtlikud olla.

Kuidas ründajad tarkvara kasutavad?

Tarkvarafirma F-Secure asutaja Mikko Hyppönen räägib oma loengutes erinevatest pahalaste kategooriatest: uudishimulikud, aktivistid, kuritegelikud ja riiklikud ründajad. Samas ei ole nende erinevate kategooriate vahel alati selgeid piire.

Kui mõelda nüüd, kelle tehtud kahjurvara tavalist arvutikasutajat ohustab, siis kõige tõenäolisem on sattuda tavalise küberkurjami küüsi. Küberkurjam püüab oma ohvreid väga laia lehega, tema jaoks võib ohver olla ükskõik millisest riigist. Püüdmiseks kasutab ta sageli ära sinu inimlikke nõrkusi (vt Kahneman, D., 2011. Thinking, Fast and Slow. Straus & Giroux), väsimust ja ka laiskust või alustarkvara vigu. Inimeste ärakasutamist oleme puudutanud ka ühes meie varasemas artiklis. Eesmärk võib olla üsna otsene ja nähtav, nagu lunaraha nõudmine andmete krüpteerimise läbi. See võib olla ka salajane, kus kurjam tegeleb sinu andmete vargusega või kasutab lihtsalt sinu arvuti või nutiseadme ressursse.

Niisiis see, millise ründaja pärast muret tunda, sõltub väga selgelt ründe sihtmärgist ehk sinu profiilist. Mõnikord on ründaja kavatsus selle kaudu, kuidas tarkvara käivitub, väga selgelt arusaadav. Alati see nii ei ole ja pigem on see enamjaolt arusaamatu.

Kuidas õpitakse tundma, mismoodi tarkvara/kahjurvara toimib?

Arvutit kaitsevad sageli selliste rünnakute eest viirusetõrjeprogrammid. Viirusetõrjeprogramm üritab rünnakut ennetada või kurje kavatsusi sisaldavat koodiosa tabada. See põhineb enamasti eeldusel, et keegi on aru saanud, mida see konkreetne kahjurvara teeb, kuidas ta süsteemi sulandub ning selle kahjurvara tuvastamiseks vastava mustri loonud.

Tarkvara ja sealjuures ka kahjurvara toimimise mõistmiseks ehk pöördteisenduseks kasutatakse mitmeid meetodeid. Tavaliselt jaotatakse need kaheks: staatilisteks ja dünaamilisteks meetoditeks. Staatiliste meetodite puhul tarkvara ei käivitata ja üritatakse toimemehhanismidest aru saada nii palju kui võimalik koodi lugedes ja tarkvara komponente uurides. Dünaamiliste meetodite puhul aga tarkvara käivitatakse spetsiaalselt ette valmistatud masinates. Neid meetodeid tutvustame sissejuhatavalt ka tavaarvutite halduritele küberkaitseprogrammi raames.

Protsess nõuab alati uurimisküsimust ja teaduslikku lähenemist. Uurimisküsimuseks võib olla, mida tarkvara teha oskab, kuhu ta ühendub, kas tarkvara või selle komponendid ja antud käsud paljastavad kurjami kavatsused.

Tarkvara esmane uurimine, nii nagu ka tarkvara kirjutamine, oleneb selle keerukusest ja segastatuse astmest ning võib olla minutite küsimus ja tehtav ühe inimese poolt. Aga see võib võtta ka kuid ja mitmete organisatsioonide ressursse või jäädagi pisut arusaamatuks, kuna sageli ei soovi kahjurvara kirjutajad, et nende eesmärgid kohe avalikuks tuleksid.

Nimelt, mida kauem kahjurvarast arusaamine ja äratundmine aega võtab, seda suurem on nakatumisvõimalus ja seda suuremat hulka arvuteid on kurjamil võimalik oma kontrolli alla saada ja neid seal hoida. Sinu arvuti on ju ometi tarviline ressurss.

Tavakasutaja saab anda oma panuse kahjurvara avastamisse

Tavakasutaja võib uue kahjurvara äratundmise protsessile kaasa aidata, jagades temale saabunud kahtlast faili või linki uurijatega selliste veebilehtede kaudu nagu näiteks cuckoo.cert.ee või www.virustotal.com. Nendel veebilehtedel on võimalik kontrollida, kas sulle saadetud fail võib sisaldada pahavara või pigem mitte. Kuid kindlasti ei tasu sinna üles laadida enda jaoks tundliku sisuga dokumente ja andmeid, kuna neid faile jagatakse erinevate viirusetõrjeprogramme tootvate firmadega.

Igaüks võib viirusega pihta saada. Sellisel juhul on oluline sellest teada anda organisatsioonis infoturbega tegelevale inimesele, küsida nõu tuttava arvutihalduri käest või mõnikord isegi kaasata politseid või informeerida suuremahuliste küberintsidentidega tegelevat CERT-EE-d.

Nüüdsel viiruse ringiliikumise perioodil antakse nõu, et peske käsi ja katke nägu maskiga. Ka kahjurvaraga nakatumise tõenäosuse vähendamiseks võiks olla virk ja hügieenist lugu pidada. Organisatsiooni puhul räägime 20 lihtsamast tegevusest. Eraisiku puhul tuleks järgida nõuandeid, näiteks mitte töötada iga päev arvutis administraatorina, omada viirusetõrjeprogrammi, paigaldada programmiuuendused ja küsida endalt, kas see isik ikka pidi sulle seda tüüpi failiga e-kirja saatma või kas selle lingi taga antud tarkvara pean ma kindlasti käima panema. Ehk mõtle kriitiliselt ning ole terve!

Toomas Lepik on TalTechi Küberkriminalistika ja küberjulgeoleku keskuse nooremteadur ja infoturbe ekspert TalTechi IT-osakonna juures.

Küberturvalisuse rubriigi eesmärk on tõsta lugejate teadlikkust selle valdkonna probleemidest ja edusammudest nii Eestis kui ka mujal. Artikliseeria avab teemat muu hulgas tehnoloogia, juhtimise, majanduse, teaduse, riigihalduse ja rahvusvaheliste suhete vaatenurgast.