Koroona- ja energiakriis peidab interneti haavad

Uus koroonatüvi ja energiakriis jättis varju viimase aja ühe ohtlikuma interneti turvanõrkuse. Kuigi inimeste mälumaht on piiratud, suudame seega loodetavasti aasta pärast mäletada sellest midagi õpetlikku, märgib R2 tehnikakommentaaris Kristjan Port.
Mälu väärtust on raske ülehinnata. Mälul rajaneb kogu meie vaimne võimekus. Sinna talletub varasem kogemus ehk tarkus. Töömälus hoitakse jooksvalt uute olukordade lahenduste sünteesimiseks vajalikke infopalu. Keerukad probleemid sisaldavad palju infot ja kui samal ajal analüüsi kaasatavaid elemente napib, on otsus enamasti piiratud, arenematu, kitsapiiriline, pime jne. Segava info või väsimuse poolt piiratud töömälu tõttu on pärsitud ka intellektuaalne võimekus.
Sama näeme masinate puhul, mille töö on andmete mällu kirjutamine ja sealt pärimine, et siis töötlemise järel need samuti mällu talletada. Sealt korjab need üles siis järgmine protsess, teeb oma tööd jne. Siit ka seos, miks arvuti või nutitelefoni puhul pööratakse nii palju tähelepanu seadmes leiduvale mälule.
Mida rohkem mälu, seda väärtuslikum on seade, mis kajastub kallimas hinnas. Pakkudes mäluga seotud teenust tasuta, saavutab see kindlasti suure leviku. Mõelge interneti otsingumootoritele, sotsiaalmeediale jne.
Praegu on paras aeg mälu testida. Arvatavalt võib mõnest mälust veel leida kilde eelmise aastavahetuse meeleoludest. Esireas olid sapised ja kiirustama õhutavad kommentaarid, et see 2020. aasta jääks kiiremini seljataha. Põhjus seisnes soovis jätta kogu Covid-19 jätta kustuvasse aastasse ja võimalikult kiiresti alustada tervenemise optimismis nüüdseks lõppeva aastaga.
Olles järjekordse aastavahetuse künnisel, domineerib kõigi kurvastuseks taas meelehärm. Lõppev aasta osutus raskeks ja enne lõppu püüab olla veel eriti kiuslik Covidi uue omikroni tüve, energiahinna kriisi ja võimalik, et seni suurima infosüsteemi turvaskandaaliga. Viimasena nimetatule pole avalikkus veel ärganud, mis on ka arusaadav. Kahe juba mainitud kriisi kõrval on uuele tähelepanu leidmine raske. Lisaks puudutab see näiliselt suurte serverite omanikke. Seejuures unustame, et nende serverite peal toimibki tänapäeva infoühiskond.
Vahest äratavad vajalikku tähelepanu ettevõtete nimed: Twitter, Amazon, Microsoft, Apple, IBM, Oracle, Cisco, Google ja kasvõi Minecraft. Kõik need ettevõtted, lisaks lugematutele organisatsioonidele üle maailma kasutavad Log4j nimelist tarkvara. Krüptilise nime taga on kaks juba tuttavat teemat – tasuta ja mälu.
Aastate eest vabatahtlike koostatud ja tasuta levitatav tarkvara tegeleb serveritel kasutatavate loendamatute programmide ajaloo ehk mälu organiseerimisega. Tänu taolisele digitaalsele päevikule saab kõrvaldada tarkvaras leiduvaid vigu ja juhtida selle tööd. Üks kõigile tuttav, kuigi hoomamatu tarkvaraliik on veebiteenused. Log4j on kriitiliselt oluline abistav tarkvara ja see on tasuta. Nõnda võeti Log4j kõikjal kasutusele.
Rõhk on sõnal "kõikjal", st veebimängudest kriitilise taristu tööd tagavate arvutisüsteemide, sõjaväe ja luureteenistuseni välja. Samal ajal oli "kõikide" kasutus omamoodi turvalisuse garantii.
Ainult et see ei pidanud paika. Selle aasta 9. detsembril hakkas levima info avastatud ohust, et teatud lihtsa meetmega võidakse tarkvara turvaaugu kaudu tungida serverisse, kuni selle ülevõtmiseni. Kulusid vaid mõned tunnid olukorra tõsiduse mõistmiseks, kui algas heade ja pahade võidujooks. Headest edukamad kuulutasid välja kriisiolukorra ja alustasid süsteemi turvamist. Aeglasemad jäid rünnakurahe alla, sest mõned päevad hiljem registreerisid infoturbe ettevõtted 3,7 miljonit uut võimalust ekspluateerivat häkkimiskatset.
Neist osa pidid olema edukad, millest omakorda veelgi väiksemast osast teavitati avalikkust. Näiteks teatas Belgia kaitseministeerium rünnaku alla sattumisest. Seejuures nad ei soovinud avalikustada, kas tegemist oli lunavararünnakuga, piirdudes selgitusega, et nad isoleerisid "nakatunud osad" ja võtsid kiiresti kasutusele "karantiinimeetmed". Tõenäolisem rünnak ongi lunaraha väljapressimiseks arvutisüsteemide digitaalne pantvangistamine.
Krüptoraha tõttu on see üpris turvaline kuritegevusliik. Enamik ohvreid maksab kära tegemata. Kurjategijaid motiveerib teadmine, et lõppeval aastal tehti lunaraha maksmisel maailmarekord, kui üks kindlustusfirma maksis süsteemi töö taastamise eest 40 miljonit dollarit.
Lisaks lunavararünnakutele registreeriti palju vaenutsevate riikide korraldatud rünnakuid. Microsoftil on tõendeid, et turvaauku tormasid kasutama vähemalt Hiina, Iraani, Põhja-Korea ja Türgi riiklikult toetatud häkkimisrühmitused.
Kõige sellega arvestades ähvardab oht ka lõppkasutajad, sest veebiteenusesse tunginud kurjategijad pääsevad nakatama külastavate klientide arvuteid. Kliente ei ohusta Log4j, vaid ka kõik muud räpaseks ja ohtlikuks loodud rakendused. Sellega arvestades hoiatavad eksperdid, et tegemist on seni kõige pöörasema infoturbe riskiga. Inimesi ja sealhulgas nende ajukude ohustava Covid-19 kõrvale võib nüüd lisada, et 2021. aasta lõppeb interneti aju kahjustava viiruserünnakuga. Hea oleks kogu aasta seljataha jätta.
Loodetavasti suudame aasta pärast mäletada midagi õpetlikku. Näiteks seda, kuidas peeti keset tormi rahulikke pühi. Seega, teid on hoiatatud! Ometi, olge mõnusad!