Küberkaitse

Legendiks saanud küberkaitselahing

«Esiteks loo .bat fail ja käivita. Soovitatavalt 4-6 tükki paralleelselt. Eesti valitsuse koduleht on juba maas. Mis on järgmine? Sina otsustad!» ässitas anonüümne Vene häkker varjunimega Patriot veebifoorumis. Oli 2007. aasta 30. aprill ja väikeriik Eesti tuli maailmast ära lõigata.

Teleturu-maiguline üleskutse oli banaalselt lihtne. Lugejal pruukis oma arvutisse vaid paar rida käsklusi kopeerida ja «enter» vajutada. Iga koolipoiss pidi hakkama saama. Patriot polnud kitsi: ta jagas ka soovitusi, milliseid valitsuse lehti rünnata ja keda spämmida. «Maksa Eesti valitsusele kiusamise eest kätte! Levita seda sõnumit kogu oma kontaktilistis!» laias postituse autor.
Kood ise polnud midagi muud kui lihtne loop. Kui see tööle panna, esitab arvuti valitud sihtmärgile massiliselt sisutühje kajataotlusi ehk ping-päringuid. Kui seda teeb korraga mitu masinat, tekib DDoS rünnak – kõige lihtsam teenustõkestusrünne. Mage, aga alguseks piisab. Õige pea pidid ju rakenduma tasulised botnetid. Turmtuli võis alata.

Klaid Mägi, toonane Elisa võrguadministraator, oli Tallinnas teisel pool rindejoont. «See näeb välja nii, et tuleb klient ja kurdab, et tema leht ei ole kättesaadav,» meenutas ta. Liiklus oli tõusnud taevasse. Osa sihtmärgiks valitud veebilehti olid maine poolest üliolulised: presidendi ja valitsuse omad.
Spetsialistil pole vaja pikalt mõistatada. Kogu iva seisneb võrgu ülesehituses. Eesti on maailmaga ühendatud nagu puuleht juurtega. Tüvi kannab internetti Amsterdamist Stockholmi, sealt Helsingi või Hiiumaa kaudu Tallinna. Teel muutuvad «torud» järjest kitsamaks. Kusagil siinse internetiteenuse pakkuja ja kliendi vahel olid need nii ahtad, et pahalaste päringud ummistasid liikluse. Et see ei halvaks ka teisi kliente, tuli - maksku mis maksab – hakata liiklust piirama.

Seis polnud kiita. Riigi Infosüsteemi Ameti (RIA) küberintsidentide lahendamise üksus ehk CERT loodi alles 2006. aastal. Pronksöö ajaks oli seal ametis kaks meest, üks neist toonane CERTi juht Hillar Aarelaid.
«Aarelaid tegi jumala õigesti – ta ei üritanudki seda ise ära lahendada. Ta meenutas kõiki mehi, keda ta teab. Minule ta helistas. «Oled tööl? Aega on? Mul on sulle tööd»,» meenutas toona Sampo pangas töötanud Anto Veldre.
Mis edasi juhtus, oli omalaadne IT-mobilisatsioon. Veldre sai alustuseks nimekirja 25 Eesti leheküljest, kuhu oli sisse murtud. Nende omanikud tuli läbi helistada ja veenda tegutsema.

Teiseks tuli kätte saada kogu oma IT-oskustega sõpruskond, kes oleks suuteline ühe või teise töö ära tegema. Laupäeval tuli inimesed üles leida kas või maalt vanaema juurest. Kahe päevaga suudeti nii tööle panna 50-150 inimest. «Meil oli vene nimesid selles grupis, ja mitte ükski ei reetnud,» meenutab Veldre uhkusega.

Rünnete maht oli vahepeal kasvanud meeletuks. Raskekahurväeks olid botnetid – 25-100 dollari eest renditavad kriminaalsed arvutivõrgustikud üle maailma, mida sai palgata ründama kokkulepitud kodulehti. Suurimad DDoS ründed leidsid aset 4., 9.-10., 15. ja 18. mail, kus osales mõnisada tuhat kuni miljon masinat. Üks ägedamaid rünnakulaineid algas 8. mail kell 23 ehk Moskva aja järgi täpselt võidupüha, 9. mai südaööl.
Mida teha? Eestlased asusid tuvastama botneti kuuluvate arvutite IP-aadresse ja neid blokeerima. «See kippus võtma 15 minutit, ja siis oli 45 minutit rahulik, sest botnetid vahetasid tunni pärast uuesti aadresse,» kirjeldas Veldre. «27.-29. aprillil oli esimene tipp, siis me alles õppisime kaitsma. See oli päris kole.»
Ründed läksid keerukamaks. Riistvara koormamiseks hakati saatma suuri andmepakette. Polnud harv, et failide sisse oli peidetud venekeelseid solvavaid sõnumeid peaminister Andrus Ansipile.

Kavalpead pikkisid DDoS rünnakute vahele katseid lehtedelt andmeid varastada. Seda nimetatakse SQL-ründeks, mille mõte on kahjustada sisselogitavaid keskkondi. Kuna valitsuse võrgud olid piisavalt hästi ehitatud ning ründajad ei teadnud taristu ülesehitust, ei õnnestunud andmeid pihta panna.
Õige pea sai selgeks, et mängus on profid. «Telekomis esines selliseid nähtusi, et ruuterid kukkusid lihtsalt maha. Neid raviti, kirjutati mingeid filtreid ette, aga tekkisid sügavad kahtlused, et äkki on kellelgi nende juurde tagauks,» kirjeldas Veldre.
Osa panku otsustas mitte riskida ja lasi kindlat marki ruuterid paariks päevaks seisata. See tähendas, et poes ei saanud sel ajal kaardiga maksta.

Samal ajal sulgesid eestlased kamaluga välismaiseid IP-aadresside ligipääse. Kui näiteks mõni botneti kuulunud arvuti asus USAs CNNi lähistel, võis keelatud arvutite nimekirja sattuda ka sarnase IP-ga meediaväljaande arvuti. Olukorda kasutas kohe ära vene propaganda, kes veenis lääne meediat, et Eesti on ära lõigatud. «Sellest tekkis legend, et Eestis mitte miski ei töötanud. Kommunikatsioonis me jäime alla,» möönis Veldre.
Välismaa analüütikud on mõõtnud, et ainuüksi 27. aprillist 11. maini toimus Eesti vastu 128 unikaalset DDoS rünnet. Peamiselt häiriti valitsuse, presidendi, rahandusministeeriumi ja politsei lehti. Enamik ründeid kestis kuni tunni, seitse neist aga venis enam kui kümnetunniseks.

«Loed oma mehed kolmeks, paned vahetustega magama ja nii ongi,» kirjeldas Veldre kaitsetaktikat. Ta arvutas, et kokku võis Eestis 22 päeva vältel töötada paarsada IT-eksperti, igaüks 15 tundi päevas.
See polnud ainus kulu, mis riigile tekkis. Kaitsjad otsustasid paigutada osa riigi veebilehti rahvusvahelise teenusepakkuja Akamai serveritesse. Need talitlesid «pesumasinana» ja blokeerisid ründajate valepäringuid. «See arve, mis pärast Eesti riigile kirjutati, ei olnud väike. Seda solgutati pärast mitu kuud, et millise rea alt see ära maksta,» meenutas Veldre.
Üksnes mikroskoopiline osa enda peitmiseks jänesehaake teinud ründajatest õnnestus mingil moel tuvastada. 2008. aastal karistas kohus 20-aastast Eesti tudengit Dmitri Galuškevitšit 17 500 kroonise trahviga Reformierakonna serveri ründamise eest. Aasta hiljem väitis Vene duumasaadik Sergei Markov, et üks rünnaku korraldajatest oli tema nõunik.

Küberkaitse tähetund
Veldre arvab, et rünnakud võisid algselt olla planeeritud hoopis 9. maiks, ent pronksiöö tõttu tuli ründajatel tõtata. Eesti kaitsmisest kujunes maailmas ainulaadne sündmus, mis toob tänini siia uudistama väliseksperte. «Arusaamine, et tegime selles olukorras midagi, mida maailmas hinnatakse, oli issanda kingitus,» sõnas ta. Eestlastel on nüüd hea küberist rääkida, sest meid kuulatakse.
Klaid Mägi juhib praegu RIA intsidentide käsitlemise osakonda CERT. Ta ütleb, et pronksiöö järel on Eestis loodud raamatupaksune protokoll, mis peab rakenduma mõne minuti jooksul rünnaku algusest.

Tippspetsialiste ei pea taga otsima, vaid nad on reaalajas kättesaadavad spetsiaalses vestlusaknas. Peaminister saab ülevaate 30 minuti jooksul. Esimese kolme-nelja tunni vältel Eesti rahvusvahelist abi ei küsi. Küll aga kasutatakse liitlasi siis, kui on ammendanud kogu ressurss – kaitseliidu ja kaitseväe küberüksused ja muud.
Tõsi, kümne aastaga pole internetiliiklust läbi laskvad «torud» Eestis oluliselt suuremaks muutunud. Kui meid ründaks miljon seadet, tekiks probleem. Tulevikuründes võidakse aga kasutada hoopis asjade internetti, kuhu on ühendatud 25 miljardit seadet.
Veldre ja Mägi prognoosivad, et ründajad võivad tulevikus pruukida uusi, jäävama mõjuga strateegiaid. Kui küberruum mullu NATO Varssavi tippkohtumisel viiendaks sõjaliseks domeeniks nimetati, paiskasid ründajad internetti Poola kaitsmata veebidest varastatud mitteavalikke andmeid, et Poolat diskrediteerida.
«Kõige ohtlikum ongi see olukord, kui Eestist on midagi pihta pandud ja see tuuakse välja sel hetkel, kui oleme kõige rohkem maailmapildis,» pakkus Mägi. Eestil seisab ees Euroopa Liidu eesistumine ja sajas aastapäev. Just sel põhjusel teeb RIA praegu ennetustööd, et nõrgad Eesti veebid tuvastada ning nende omanikke harida.

Kuidas toimus küberrünne?
27-29.04.2007 Spontaansed üksiküritajad
Algasid võrdlemisi lihtsad DoS ründed valitsuse veebiserverite ja uudisteportaalide vastu.
27. aprillil õnnestus ründajatel näotustada Reformierakonna koduleht, kuhu pandi lühikeseks ajaks üles peaminister Andrus Ansipi võltsvabandus.
Vene foorumites 2ch.ru ja xaker.ru levisid üleskutsed ja juhised, kuidas rünnata Eesti IT-võrke. Samas arutlesid ründajad, kuidas leida raha suurte botnetide rentimiseks.
Foorumites hakati spämmisihtmärkidena levitama e-posti aadresse, näiteks riigikogu liikmete, aga ka lihtsate politseiametnike omi.
Uudisteportaalide kommentaariumid sattusid spämmirobotite rünnaku alla, mistõttu need ajutiselt suleti.

30.04-18.05.2007 Põhiründefaas: botnetid hakkavad tööle
Tekkisid hästi koordineeritud, mitmetüübilised suurte botnetide rünnakud eesmärgiga halvata kriitilist infrastruktuuri.
Rünnakute sagenemise tõttu pidi Eesti sammhaaval suurendama valitsuse võrgu läbilaskevõimet, et ründajatel ei õnnestuks süsteeme üle koormata.
Suurimad DDoS ründed valitsuse vastu leidsid aset 4., 9-10, 15 ja 18. mail, kus osales potentsiaalselt mõnisada tuhat kuni miljon masinat. Üks ägedamaid rünnakulaineid algas 8. mail kell 23, ehk Moskva aja järgi täpselt vene võidupüha, 9. mai südaööl.
Rünnati interneti teenusepakkujate ruutereid ja DNS-servereid, osa lakkas töötamast. Valitsuse kommunikatsioon oli ajutiselt häiritud.

10. mail sattus Hansabank 2-päevase ründe alla, mille käigus oli panga süsteemid kaks tundi rivist väljas. 15. mail kordus sama SEB pangaga.

19.05.2007-... Järelrünnakute faas
Ilmselt lõppesid botnetide rendiajad. Ülisuured massründed lakkasid.
Internetiteenuse pakkujad olid suutnud rakendada piisavalt filtreid, mis vähendasid sissetulevid ründeid 4-5 miljonilt paketilt sekundis vaid 7-8 tuhandeni.
Allikas: Riigi Infosüsteemi Amet, NATO Küberkaitsekeskus