Oliver Laas: Circlesi nuhkvarast laiemas kontekstis
Citizen Lab on Toronto ülikooli juures töötav interdistsiplinaarne labor, mille hiljutine raport avaldas nimekirja riikidest, mis kasutavad Iisraeli ettevõtte Circles poolt loodud nuhkvara. Lisaks Austraaliale, Araabia Ühendemiraatidele ja Taile figureerib nimekirjas ka Eesti, vahendab Vikerraadio päevakommentaaris Oliver Laas.
Teadaolevalt haldas asjakohaseid IP-ühendusi riigi infosüsteemide amet (RIA), mis ei ole siinsete ridade kirjutamise hetkel veel teistele riigiametitele nuhkvara kasutamise kohta selgitusi andnud. Millega on täpsemalt tegemist? Mida see kõik tähendab tavakasutaja jaoks? Millised pikemaajalised trendid on sellise olukorrani viinud?
NSO Group on Iisraelis tegutsev tehnoloogiafirma, mis sattus laiema avalikkuse tähelepanu alla tänu nuhkvarale Pegasus, mis võimaldas nii iOS-i kui ka Androidi kasutavatesse nutitelefonidesse murda, nende asukohta tuvastada ja neis leiduvaid sõnumeid lugeda, kõnesid ning rakendusi jälgida.
Circles on NSO Groupi sõsarfirma, mis on Citizen Labi raporti andmetel loonud lahendused, mis kasutavad ära mobiilsidevõrkude nõrkusi ja võimaldavad ilma telefonidesse sisse murdmata ega neisse jälgi jätmata ülemaailmselt tuvastada nende asukohti, lindistada kõnesid ja talletada sõnumeid.
Teadaolevalt kasutab Circles ära SS7 protokollide turvaauke. 1970. aastatel välja töötatud ja Signaling System No. 7 ehk SS7-e nime all tuntud protokolle kasutati algselt tavatelefonidelt tehtud kõnede ühendamiseks erinevates operaatorvõrkudes. Lisaks operaatorvõrkude vaheliste kõnede ühendamisele kasutatakse neid protokolle tänapäeval veel mobiiltelefonide rändluseks ja SMS-ide edastamiseks.
Näiteks mõnelt teises operaatorvõrgus paiknevalt telefonilt tuleva SMS-i edastamiseks saadab see võrk SS7-e vahendusel päringu teie võrgule, et see edastaks teie telefoni ja selle asukoha tuvastamiseks vajalikud andmed ning võimaldaks seeläbi SMS-i kohaletoimetamise.
SS7 protokollide peamine turvaauk seisneb päringute autentimise vahendite puudumises. Kuna kogu süsteem põhineb usaldusel, siis kohtlevad sideoperaatorid kõiki nende võrkudesse tulevaid päringuid legitiimsetena.
Tänu sellele on nii riigiasutustel, luureagentuuridel kui ka teistel võrkudele juurdepääsu omavatel asjaosalistel võimalik krüpteerimata sõnumeid lugeda, telefonikõnesid salvestada ja mobiilpositsioneerimise kaudu telefonide asukohti kindlaks teha.
Ühe raporti kohaselt on suurem osa maailma telekommunikatsioonivõrkudest haavatavad. SS7-ga seotud turvaaukudest on teatud juba üle kümne aasta, kuid sideoperaatorid on senini nende olulisust pisendanud, et vältida turvaaukude paikamisega seotud kulutusi. Criclesi rakendused kasutavad teadaolevalt ära neid SS7-e samu turvaauke.
Tavakasutaja jaoks on tõenäoliselt üheks pakilisemaks SS7-e turvaaukudega seotud probleemiks krüpteerimata sõnumite turvalisus. Suhtlemise osas aitab seda osaliselt leevendada Signali ja teiste krüpteeritud rakenduste kasutamine.
Suurem probleem on SMS-e kasutavate kaheastmelise autentimise (2FA) rakendustega, mis nõuavad kasutajalt soovitud kontole ligipääsemiseks lisaks paroolile ka SMS-i teel saadetud koodi sisestamist. Kuna SMS-id ei ole krüpteeritud ja neid edastatakse SS7 protokollide abil, siis on need tänu turvaaukudele sisuliselt teiste osapoolte poolt loetavad.
Mõne aasta eest kasutasid kurjategijad Saksamaal seda ära, et SMS-ide abil kaheastmelist autentimist rakendanud pangakontodelt raha varastada. See on üks paljudest põhjustest, miks eksperdid on juba aastaid soovitanud SMS-e kasutavatest kaheastmelise autentimise rakendustest loobumist.
Lõpetuseks on Circlesiga seotud uudis lihtsalt uusim meeldetuletus juba üle kümne aasta kestnud protsessist, mille käigus on suurenenud luureagentuuridele ja valitsustele jälgimisteenuseid pakkuvate eraettevõtete hulk. Väljakujunenud olukorda on Bruce Schneier nimetanud avalik–privaatseks jälgimispartnerluseks.
Vähemalt ühe uurimuse kohaselt on esile kerkinud jälgimistööstus alareguleeritud. Seda kinnitavad näiteks teated eraettevõtete poolt loodud jälgimistehnoloogiate inimõigusi rikkuvast kasutamisest mitmel pool maailmas.
ÜRO Inimõiguste Ülemvoliniku Ameti raporti hinnangul on olukord hetkel piisavalt halb, et kuni inimõigusi kaitsvate seaduslike regulatsioonide vastuvõtmiseni tuleks kehtestada moratoorium nii selliste tehnoloogiate ekspordile kui ka kasutamisele.
Kõiki Vikerraadio päevakommentaare on võimalik kuulata Vikerraadio päevakommentaaride lehelt.
ERR.ee võtab arvamusartikleid ja lugejakirju vastu aadressil [email protected]. Õigus otsustada artikli või lugejakirja avaldamise üle on toimetusel. Artikli kommentaariumist eemaldatakse autori isikut ründavad ja/või teemavälised, ropud, libainfot sisaldavad jmt kommentaarid.
Toimetaja: Kaupo Meiel