(TAIRO LUTTER)

Kujutame ette maailma, kus ostad ametlikult sissetoojalt uue BMW ning avastad, et auto põhja all on spetsiaalne nupp, mis avab uksed, käivitab auto ja eemaldab alarmi.

Kujutleme maailma, kus lased paigaldada oma korterile uusima Abloy luku ja avastad, et seda natuke näpuga toksides kukub lukk lihtsalt eest ära. Kusjuures tegemist pole defektiga, vaid tootja on selle võialuse teadlikult sisse ehitanud. Noh, juhuks kui luku tootja soovib sinu korterit inspekteerida või auto tootja ei soovi taksosõidu eest maksta ja laenaks hea meelega su neljarattalist. Jabur, kas pole? IT-maailmas on aga täpselt selline olukord.

Noor arvutiturbehuviline Eloi Vanderbeken veetis jõulud pärapõrgus oma vanemate talus ja soovis ruuteris (kodune seade, mille kaudu internetiühendus sisse tuleb) piirata ülejäänud pere netiühenduse kiirust, et oma arvutisse kiiremat ühendust saada. Kahjuks oli ta koduse Linksys WAG200G ruuteri parooli ära unustanud. See teda aga ei takistanud. Pärast mõningaid ponnistusi leidis ta Linksysi kodulehelt ruuteris jooksva tarkvara koopia ja hakkas seda uurima. Üsna kiiresti õnnestus tal leida eraldi pordil jooksev teenus, mis ilma ühtegi parooli küsimata võimaldas teha ruuteris sisuliselt kõike. Ta oli avastanud tootja ehitatud tagaukse.

Laialt levinud probleem

Teatud Linksysi ja Netgeari ruuteritel on see tagauks kättesaadav ka üle interneti, mitte ainult kohalikus võrgus. Väike Google'i otsing näitas, et Eestiski müüakse sellise tagauksega ruutereid.

Juba on välja ilmunud ka viirus nimega TheMoon, mis internetist tagauksega koduseid ruutereid otsib, neid nakatab ja kellegi tundmatu viiruselooja täielikule kontrollile allutab.
See pole üksikjuhtum. Kaks kuud varem leiti samasugune tagauks D-Linki kodustest ruuteritest. Kes vähegi viitsis ruuteri tarkvara endale veebist alla laadida ja seda uurida, võis sealt välja lugeda parooli, mis tagaukse avas: "xmlset_roodkcableoj28840ybtide". Kurioosumina on seal isegi sõna "backdoor" ("tagauks") sees, tagurpidi. Probleemi leidnud arvutiturbeekspert otsis seda salasõna Google'iga ja avastas, et ühest Venemaa häkkerifoorumist oli salasõna läbi käinud juba aastal 2010.

Ka selliseid ruutereid müüakse Eestis ning juba kasutusel olevad tagauksega ruuterid on vastava otsingumootoriga hõlpsasti internetist leitavad. Leitud ruuteri võib nii lollitav teismeline kui ka tõsine küberkurjategija mõne klikiga oma kontrolli alla võtta.

Tagauksi ei leidu vaid kodukasutajale mõeldud riistvaras. Näitasin artikli mustandit ühele riigiasutuses töötavale sõbrale, kes tõi kohe näite kalli raha eest asutusse ostetud seadmest, kust tema kolleeg dokumenteerimata tagaukse leidis. Õnneks on sellised seadmed peidus tulemüüri taga, kuid kes mingil põhjusel korraks sisevõrku sattunud, võib neid tagauksi kasutades igasugust "koju helistavat" nuhkvara ära peita.

Tagauks kui kriminaalkuritegu?

Meil on praegu olukord, kus poes müüakse seadmeid, millel tootja poolt sisse ehitatud tagauks. Selle tagaukse avastamine ei ole keeruline ja kui juba kord avastatud, siis selle kaudu sinu kodusesse arvutivõrku tungimine on IT-spetsialistile triviaalne ülesanne. Sisuliselt müüakse inimestele poodides ukselukke, mis õige nurga alt näpuga toksides eest ära kukuvad, ja tegemist polegi defektiga, vaid tootja tõesti täiesti teadlikult ehitaski asja niimoodi.

Eestis on praegu käsil karistusseadustiku reform, mille raames vaadatakse üle ka arvutikuriteod. Äkki oleks aeg muuta üldkasutatavasse infosüsteemi või arvutiseadmesse tagaukse ehitamine samuti kriminaalkuriteoks? Isegi kui mõnesaja tuhande eurone trahv rahvusvahelist tootjat väga ei heiduta, siis sellega kaasnev globaalne meediakära võib siiski piisavalt aktsiahinda kõigutada, et tulevikus suhtutaks turvaküsimustesse veidike tõsisemalt.

Jaga artiklit

5 kommentaari

A
ahhnii  /   21:25, 2. märts 2014
Loho üritab jälle maailma õpetada. Seadust täiendatakse kõigepealt ikka võõrasse varasse sissemurdjate osas. Sest mis inimese tehtud, selle oskab inimene ka lahti teha.
Peale maailma õpetaja kuulsuse see riigikogu baari seinale urineerimise punase lipsuga aktivisti kuulsus. Kas see mitte ei jää kauemaks külge.
Ta pidi ju olema kahtlaselt sarnane selle Saaremaa suurküüditaja ja metsavendade tapja Boris Lohoga, kes kuulus seda maailma revolutsiooni kaudu õpetada tahtnud tegelaste ridadesse.

Päevatoimetaja

Telefon 51993733
online@ohtuleht.ee

Õhtuleht sotsiaalmeedias

Õhtuleht Mobiilis