Vienkārši par Kiberu – VPN un piktās kameras

Šoreiz uzskatīšu ka mani bloga ieraksti par Kiberu ir izauguši no izmēģinājumu pamperiem un līdz ar to ieguvuši patstāvīgu nosaukumu. Pēc pagājušā ieraksta saņēmu ieteikumu pastāstīt vairāk par VPN jeb Virtual Private Network. Liels paldies lasītājiem par palīdzību tēmu izvēlē – tad nu šajā ierakstā tiks iekļauta sīkāka informācija par šo tēmu. Vēl, lai labāk izprastu stāstu par piktajām kamerām apskatīšu un paskaidrošu vēl divus terminus – DNS un DDoS. Tā kā šis būs ieraksts kurā varēsiet atrast arī nedaudz teorijas.

Audioblogs

Kārtējais apraksts par Kiberu daudz neatšķirsies no pirmā. Tāpat kā iepriekš, domāju par to, ka kādā brīdī šie ieraksti iegūs arī audio formātu. Un tāpat kā iepriekš, noteikumi paliek tie paši:
1. Es mēģināšu stāstīt par Kiberu samērā vienkārši – šeit Jūs neatradīsiet sarežģītus procesu aprakstus.
2. Arī es par Kiberu tikai mācos, tāpēc, ja kāds acīgāks lasītājs pamana kādu kļūdu vai neprecizitāti – droši komentējat un norādiet uz tām.
3. Ja Jums liekas, ka es rakstot esmu aizmirsis paskaidrot kādu terminu vai ir kāda lieta, kuru būtu vērts paskaidrot plašāk – dodiet man ziņu, nākamajās sērijās mēģināšu iekļaut šos skaidrojumus.

Esiet sveicināti pirmajā 2017. gada ierakstā. Lai šis gads ir vēl interesantāks un vēlams arī drošāks. Paldies maniem lasītājiem, kas ir saņēmušies un izlasījuši iepriekšējos ierakstus. Paldies @kibrika par papildus informāciju par parolēm. Un paldies RedStar7 par komentāru un ierosmi vienai no šīs nedēļas tēmām – VPN.

  1. Pēc pagājušās nedēļas ieraksta RedStar7 ieteica aprakstīt plašāk tādu lietu, kā VPN (Virtual Private Network) vai Latviski – Virtuālais privātais tīkls. Papildus informācijā ir Vikipēdijas ieraksts par šo tēmu, bet es mēģināšu to aprakstīt vairāk no manas pieredzes un avotiem, kas likās interesanti. Atšķirībā no WAN (Wide Area Network), kurā lai savienotu vairākas attālinātas vietas izmanto speciālus pieslēguma veidus, atsevišķas pieslēguma līnijas un savienojumus, šis tīkls vai pieslēgums ir virtuāls. Mēs to varētu vizualizēt kā cauri Interneta mākonim izvilktu necaurspīdīgu trubu no mūsu datora līdz VPN pieslēguma vietai. Necaurspīdīgu, jo dati kas tiek pārraidīti pa šo trubu tiek šifrēti un līdz ar to nodrošina to, ka neviens tā vienkārši nevar redzēt, kas tiek pārraidīts. Otrā galā atkarībā no tā, kam šis pieslēgums ir paredzēts, Jūs vai nu pieslēdzaties kādas organizācijas tīklam tā, it kā atrastos šīs organizācijas fiziskajā tīklā, vai arī Jūsu pieslēgums tiek savienots ar internetu. Otrajā gadījumā, parasti, par Jūsu savienojumu ar VPN neviens nezina un Internetā, kā vieta no kurienes Jūs darbojaties, uzrādās VPN pieslēguma punkts un nevis Jūsu reālā pieslēguma vieta.
    Šoreiz par VPN pieslēgumu organizācijām daudz nerunāšu, to vajadzības gadījumā Jums izstāstīs šīs organizācijas tīkla administrators. Es vairāk apskatīšu VPN lietojumu privātām vajadzībām.
    Tātad, privāti parasti izmanto vairāku iemeslu dēļ – lai nodrošinātu datu drošību starp Jūsu reālo pieslēgumu (brīvie WiFi pieslēgumi, publiskie interneta pieslēgumi) un internetu, lai interneta lapas apmānītu un liktu tām noticēt, ka esat pavisam citā vietā nekā īstenībā, vai lai slēptu kādas savas darbības internetā – mēģinātu kļūt anonīms.
    Tie, kas vēlas internetā kļūt anonīmāki (bet nesacerieties, pilnīgi anonīms nav neviens) parasti izvēlas VPN servisus, kas apgalvo, ka viņi nesaglabā ierakstus par to, ko Jūs darāt tad kad esat pieslēgušies viņu servisam. Jūs pieslēdzaties viņu servisam un tālāk internetā Jūs ejat paslēpušies aiz viņu adresēm. Kā vienu no šādu pakalpojumu sniedzējiem varētu minēt “HideMyAss” vai latviski runājot – PiesedzManuPakaļu.
    Par anonimitāti varētu būt skaidrs, bet kādēļ lai kāds vēlētos internetā mainīt savu atrašanās vietu? Tapēc, ka ir dažādi servisi, kas ir pieejami tikai konkrētās valstīs vai reģionos. Piemēram kādreiz tādi servisi kā Spotify un Netflix Latvijas interneta lietotājiem nebija pieejami. Tad nu tie, kas vēlējās šos servisus izmantot, izmantojot VPN servisu spēja piemānīt šos servisus un iestāstīt, ka patiesībā viņi atrodas Anglijā vai ASV. Arī Latvijas uzņēmumiem, kas piedāvā elektronisko saturu internetā (piemēram LattelecomTV) ir ierobežojumi kurā reģionā viņi var šo saturu izplatīt. Un ja Jūs kādreiz esat mēģinājuši pieslēgties pie šī servisa no ārzemēm, tad visdrīzāk esat saņēmuši pieklājīgu atteikumu. Tad nu ir dažādi VPN servisi, kas ļauj Jums pašam izvēlēties, kādā valstī Jūs virtuāli vēlētos atrasties. Tādi servisi kā NordVPN ļauj izvēlēties no 57 valstīm – Latviju ieskaitot.
    Bet šādiem servisiem ir arī mīnuss – par saviem pakalpojumiem tie prasa zināmu samaksu. Tapēc, ja Jūs vēlaties izmantot VPN servisu lai padarītu sakarus no publiskajiem piekļuves punktiem drošākus un kā papildus bonusu iegūt iespēju izlikties ka darbojaties no mājas tad, kad esat ārzemēs, tad pastāv iespēja savu VPN serveri izveidot arī mājās. Tātad – vienkāršākais un lielākajai daļai lasītāju arī piemērotākais veids būtu – iegādāties mājas rūteri, kurā jau ir iebūvēta šī funkcionalitāte. Viena no iekārtām, ko pats esmu mēģinājis ir Asus RT-N66u ar samērā vienkāršu konfigurāciju. Bet šis rūteris maksā ap 100EUR. Vēl ir iespējams sameklēt rūterus, kas atbalsta, vai kuros jau ir instalēta DD-WRT parogrammatūra, bet tas jau prasīs zināmas tehniskās iemaņas. VPN serveri iespējams uzstādīt arī nemainot rūteri, uzinstalējot to uz mājas datora (tam gan visu laiku tad jābūt ieslēgtam) vai arī uz Raspberry PI – neliela, cigarešu paciņas izmēra datora. Pats gan neesmu mēģinājis, bet ir pieejama vienkāršota OpenVPN servera instalācija priekš RaspberryPi – PiVPN. Tā, kā mans RaspberryPI ir iesaistīts citā projektā, tad PiVPN tiks izmēģināts kaut kad drīzumā, kad atnāks jaunais RaspberryPI un tad arī uzrakstīšu plašāku aprakstu.
    Nākamā lieta, ja VPN serveris nav tieši uz rūtera, ir tas kā ienākošajiem datiem, kas trāpa uz rūteri, pateikt, lai tie dodas tālāk uz Jūsu VPN serveri. Pamatā OpenVPN izmanto UDP portu 1194, kuru tad arī vajadzētu novirzīt uz Jūsu VPN serveri izmantojot tādu rūtera opciju, kā “port forwarding”.
    Pēdējā, bet ne vienkāršākā no problēmām ir – kā uzzināt savu mājas interneta adresi, jeb IP? Lai pieslēgtos pie sava VPN servera mums ir jāzin mūsu mājas pieslēguma publiskā IP adrese (tā, ar kuru mūsu mājas pieslēgumu pazīst internetā). Lielākā problēma ir tā, ka bieži vien pakalpojuma sniedzēji izmanto dinamiskās IP adreses, kas ik pa laikam mainās. Viena no iespējām ir palūgt savam pakalpojumu sniedzējam piešķirt Jums pastāvīgu IP adresi (piemēram Lattelecom tas ir maksas pakalpojums). Vai arī izmantot kādus servisus, kas piešķir Jūsu pieslēgumam fiksētu, vārdisku adresi, kas pārvirza datus uz Jūsu IP adresi un ik pa laikam pārbauda vai Jūsu IP adrese nav mainījusies. Ja adrese ir mainījusies, dati tiek pārvirzīti uz jauno IP adresi. Šobrīd ļoti daudziem rūteriem šo servisu atbalsts jau ir iebūvēts un to var atrast zem vārda “Dynamic DNS”. Ja Jūsu rūterim nav iebūvēts dinamiskā DNS atbalsts, tad iespējams šos servisus izmantot reģistrējoties un uzinstalējot speciālu aplikāciju uz tā datora, kur darbojas Jūsu VPN serveris, vai jebkura cita datora, kas atrodas tajā pašā tīklā. Šādi servisi ir pieejami bez maksas – piemēram DNSDynamic vai no-ip.
    Tas būtu tāds pamats par VPN – ja ir kādi jautājumi par lietošanu, vai kādiem iestatījumiem rūteros – droši rakstiet un jautājiet, mēģināšu paskaidrot sīkāk un vienkāršāk.
    Papildus informācija latviešu valodā
  2. Ja jau reiz esmu pieķēries dažiem terminiem un lai tiktu līdz piktajām kamerām ir drusku jāielūkojas dziļāk tajā, kādas tehnoloģijas darbojas fonā tam, ko mēs saucam par internetu. Viena no tādām tehnoloģijām ir DNS, vai pilnā vārdā Domain Name System, kas latviski ir iztulkots kā Domēnu Nosaukumu Sistēma. Mēs visi zinām ļoti daudz domēnu vārdus un ja darbojamies internetā, tad regulāri tos lietojam. Piemēram google.lv vai martinszb.wordpress.com. Šīs adreses internetā norāda uz kādu datoru (vai vairākiem) uz kuriem atrodas mums interesējošā informācija. Bet datori paši savā starpā patiesībā nesazinās izmantojot šos domēna nosaukumus. Viņiem vajadzīgas precīzas koordinātes (gandrīz kā dabā – visvieglāk atrast objektu, ja zinām precīzas tā koordinātes) un kā šādas koordinātes internetā darbojās IP adreses. Tās ir četru skaitļu kombinācijas, kas atdalītas ar punktu (IPV4, jeb ceturtā versija. Ir arī sestā versija, bet ar to šoreiz galvas Jums nejaukšu.) piemēram 172.217.22.163 ir adrese domēnam google.lv. Lai atvieglotu mums dzīvi, tika ieviests DNS serviss, kura uzdevums ir piemeklēt mūsu prasītā domēna IP adresi, lai tad mūsu dators varētu datoram, kas atrodas šajā adresē pieprasīt vajadzīgo informāciju. DNS serveri glabā milzīgas datubāzes ar domēna vārdiem un tiem atbilstošajām IP adresēm. Kad Jūs pieslēdzaties internetam, Jūsu datoram tiek iedota adrese, kā arī informācija pie kādas adreses griezties, ja vēlaties izkļūt ārpus sava tīkla (pieslēgties kiberam), kā arī DNS servera adrese, kuram prasīt lai domēna vārdus pārtulko IP adresēs. DNS serveri parasti nedarbojas vienatnē, tie ir saslēgti kopā un tiem vienmēr ir iespēja paprasīt adresi kolēģim, ja pats to nezina. Uzzinājis šo adresi, DNS serveris to pavēsta Jūsu datoram, kā arī noglabā to savā pagaidu datubāzē. Pagaidu, jo pirmkārt serveris un Jūsu dators zin, ka adrese var mainīties (atceraties, ka runājām par VPN, es pieminēju dinamiskos DNS, kas ik pa brīdim pārbauda vai adrese nav mainījusies) un pēc adreses maiņas, šī iegaumētā IP adrese vairs nebūs derīga. Kā arī  kāpēc atcerēties, ja vēlāk varēs pajautāt atkal? 🙂
    Bieži vien var būt tā, ka vienam domēnam ir vairākas IP adreses un atkarībā no kurienes šo adresi pieprasa, tiek izsniegtas dažādas adreses. Jo, iedomājieties kas notiktu, ja visi interneta lietotāji sāktu savus svarīgos jautājumus uzdot vienam vienīgam datoram, kas būtu pieslēgts pie interneta vienā vienīgā vietā! Tāpēc pa pasauli ir izmētāti vairāki datori, kas rūpējas, lai to saturs būtu identisks (gandrīz vienmēr..) un lai katram būtu iespēja tam piekļūt.
    Vēl var būt iespēja, ka uz vienas IP adreses atrodas vairāki domēni vai apakšdomēni. piemēram martinszb.wordpress.com atrodas uz datora, uz kura atrodas vēl arī vairāki citi blogi. Tad bez IP adreses mājas lapu vai e-pastu serveris ņem vērā arī to, kādu domēnu vai apakšdomēnu es no šīs adreses esmu pieprasījis.
    Katram domēnam ir kāds galvenais (parasti vairāki) serveris, kas glabā DNS ierakstus par to. Šis galvenais serveris ir tas, kurš pastāsta par to citiem serveriem, kā arī painformē, cik ilgi atcerēties pirms prasīt atkal. Ir kompānijas, kam DNS serveru uzturēšana ir to pamatbizness. Tās glabā DNS ierakstus par daudz un dažādiem domēniem, rūpējas par rezerves kopijām, kā arī to, lai serveri vienmēr būtu pieejami, kad kāds vēlas uzzināt šo domēnu IP adreses.
    Tas tad būtu pamats par DNS – tas ir serviss, kas pārtulko domēna vārdus adresēs, ko saprot datori – IP adresēs.
    Papildus informācija latviešu valodā
    Papildus informācija angļu valodā
  3. Kā jau solīju ir vēl viena lieta, kas man jāpaskaidro, pirms ķeramies pie piktajām kamerām. Tas ir DDoS uzbrukums. DDoS (Distributed Denial of Service) vai latviski to varētu saukt par pakalpojuma pārtraukšanas uzbrukumu. Piemēram, ja Jums ir mājaslapa, tad uzbrucēji padara šo mājaslapu nepieejamu. Konkrēti DDoS gadījumā uz Jūsu mājas lapu tiek sūtīti tik daudz pieprasījumu, ka tā vairs nespēj atbildēt. Gan datora resursa, uz kuras atrodas mājas lapa, gan arī interneta pieslēguma ātruma dēļ. DDoS uzbrukumā, uzbrucēji sūta tik daudz informācijas un pieprasījumus, ka beigās to nesaņem neviens – arī tie cilvēki, kas vienkārši vēlas apskatīt Jūsu mājas lapu. Kādreiz hakeru grupas šādus uzbrukumus veica izmantojot daudz cilvēkus – uzrakstīja programmiņu, kas sūtīja datus uz kādu adresi, tad izdalīja šo programmiņu saviem atbalstītājiem un tie katrs no sava pagraba sūtīja datus uz šo adresi, neļaujot parastajiem lietotājiem piekļūt šai adresei. Nezinu kā Latvijā, bet ASV par piedalīšanos šādā uzbrukumā var dabūt reālu cietumsodu, tāpēc vēlāk šajās programmās tika iebūvētas papildus fīčas, kas slēpa uzbrucēju īstās adreses. Jums varbūt liekas, ka nobloķēt piekļūšanu kādam resursam ir pupu mizas – kas tur liels, nepaskatīsies šodien mājas labu, paskatīsies rīt! Bet piemēram bankām vai interneta veikaliem šādi uzbrukumi var būt gana finansiāli sāpīgi. Un diemžēl uzbrucēji var neaprobežoties tikai ar tādiem servisiem, kā mājas lapas. ASV drošības speciālisti ceļ trauksmi par iespējām nobloķēt palīdzības dienestu telefonus. Iedomājieties, ka notiek kāda liela nelaime un neviens nespēj izsaukt ātro palīdzību, jo visas līnijas ir aizņemtas… Un tur nemaz nav vajadzīga kāda īpaša tehnika, jo uz ārkārtas palīdzības nummuru var piezvanīt no jebkura mobilā telefona bez SIM kartes. Tāpēc uzbrukumi ar mērķi bloķēt piekļuvi kādam resursam ir ļoti aktuāli IT drošības jomā.
    Papildus informācija angļu valodā
  4. Tad nu es beidzot esmu nokļuvis līdz piktajām kamerām. Jūs jau droši vien sapratāt, ka te būs saistība gan ar DNS, gan DDoS, un tā arī ir. Nu jau pagājušā gada 21. oktobrī tika veikts ļoti iespaidīgs DDoS uzbrukums uzņēmumam Dyn, kas nodrošina DNS pakalpojumus vairākiem lieliem servisiem, ieskaitot Twitter. Datu apjoms, kas tika nosūtīts uz Dyn serveriem bija tik liels, ka tie nespēja atbildēt un līdz ar to, nevarēja pateikt uz kādu IP adresi jāiet, lai piekļūtu, piemēram, Twitterim. Kā mēs zinām, tad kādu laiku DNS serveri glabā šos ierakstus savās pagaidu datubāzēs, bet pēc kāda noteikt laika, tie veco ierakstu izmet un dodas pie galvenā servera, jautāt pēc adreses, vai tā nav mainījusies. Ja galvenais serveris neatbild un neizsniedz adresi, tad Jūsu DNS serveris atbild Jums, ka šis serviss nav pieejams. Ja uzbrucēji spēj nobloķēt galveno DNS serveri pietiekoši ilgi, tad visi pārējie DNS serveri izmet vecos ierakstus un jaunus nesaņem. Lai gan serviss atrodas savā adresē un strādā, neviens to neapmeklē, jo nezina adresi. Tādā veidā uzbrūkot tikai DNS serverim uz kura glabājas informācija par daudziem dažādiem domēniem, var ar vienu vēzienu nobloķēt visus šos domēnus. Un tā arī notika. Jūs jautāsiet, bet kāds tur sakars ar piktajām kamerām? Vistiešākais! Jo šo uzbrukumu veica apmēram 100000 internetam pieslēgtas ierīces (pārsvarā IP kameras). Diemžēl šobrīd arvien vairāk un vairāk ierīču tiek pievienotas internetam – spuldzītes, kameras, TV dekoderi un spēļu konsoles. Lai šīs ierīces varētu vadīt no jebkuras vietas, pie tām ir iespēja piekļūt ikvienam. Diemžēl šo iekārtu ražotāji ne vienmēr ir padomājuši par drošību (Kā Jūs domājat, cik drošības speciālistu ir strādājuši pie Ķīnā ražotās IP kameras par 5$?). Tad nu ļaunie uzbrucēji šīs drošības problēmas ātri atrada un ierakstīja tajās savas ļaunās programmas, izveidojot tā saukto botnetu (inficētu ierīču tīklu). Konkrētajam botnetam ir pat vārds – Mirai-botnets. Lai izveidotu šādus botnetus, bieži vien inficē kādu ierīci un pirmais, ko tai liek darīt – meklēt internetā citas ierīces, kuras arī iespējams inficēt un pievienot arī tās tīklam. Drošības speciālisti eksperimentā secināja, ka viņu ierīce tika inficēta apmēram 19 sekunžu laikā pēc pieslēgšanas internetam. Tā, šādam milzīgam inficētu IP kameru pūlim, tiek dots uzdevums, visiem vienlaicīgi sūtīt pieprasījumus uz Dyn DNS serveriem. Ierīces īpašnieks pat nesajūt to, ka viņa IP kamera kādam uzbrūk, jo uzbrucēji bija viltīgi saprogrammējuši šīs ierīces, ka tās uzbrukumā izmantoja pavisam nelielu daļu savu resursu, bet sasummējot kopā resursus no visām inficētajām ierīcēm, datu apjoms sanāca milzonīgs. Tagad drošības ekspertiem ir jauna galvassāpe – šādas ierīces ir ar samērā ilgu mūžu. Ja kāds ir nopircis AliExpresā savu kameru, pieskrūvējis pie sienas, tad tā tur droši vien karāsies kamēr izbeigsies, un tas var būt ļoti ilgi. Lielākā daļa bezvārda ražotāju arī nekad nedomā atjaunināt šo ierīču programmatūru, lai tās pasargātu no inficēšanas un šādu ierīču ir miljoniem. Varbūt arī Jūsu tīklā dzīvo kāda internetam pieslēgta ierīce, kas pa slepeno piedalās Pikto kameru uzbrukumos! Šajā adresē varat pārbaudīt, vai no Jūsu adreses nedarbojas kāda Piktā kamera. Un lai visu padarītu vēl ļaunāku, Mirai-botneta izveidotāji ir padarījuši savu kodu, ar kuru tie inficēja šīs ierīces, brīvi pieejamu internetā. Nupat jau ir parādījušies vairāki dažādi botneti, kas viens ar otru konkurē, mēģinot inficēt internetam pieslēgtās ierīces. Drošības speciālisti prognozē, ka arī 2017. gadā mēs jutīsim kā internetā plosās Piktās kameras.
    Papildus informācija angļu valodā
  5. Un vēl par dāvanām. Uz kādu brīdi, viena no Amerikas populārākajām hakerēm bija sešgadīgā Ešlija Hovela. Kamēr viņas mamma saldi gulēja, Ešlija izmantoja mammas īkšķi, lai atbloķētu telefonu un pasūtītu sev Pokemonu dāvaniņas apmēram 250$ vērtībā. Kad apjumusī mamma saņēma apmēram 13 pirkuma apstiprinājumus, viņa iedomājās, ka mazā meitiņa ir kaut ko netīšām saspaidījusi telefonā, vai arī kāds digitālais ļaundaris ir piekļuvis viņas kontiem. Bet sešgadīgā Ešlija mammai esot paskaidrojusi, ka viņa vienkārši esot iepirkusies! 🙂
    Papildus informācija angļu valodā
  6. Tā varētu būt laba tradīcija, ka es ar Jums padalos arī ar interesantiem gadžetiem, ko esmu atradis Kibera plašumos, vai par ko esmu dzirdējis cilvēkus runājam. Šobrīd Lasvegasā notiek liela jauno tehnoloģiju izstāde CES. Tad nu šī ierīce tiks prezentēta tieši tur. Franču kosmētikas ražotājs L`Oreal ir izveidojuši gudro matu suku, kurā būs iestrādāti sensori, kas novērtēs Jūsu matu veselīgumu. Tā jūs varēsiet saprast arī to, vai šis šampūns, ko lietojat tiešām padara Jūsu matus košus un dzīvelīgus, vai tomēr lēnām tos nobeidz. Cena gudrajai ķemmei būšot “zem 200$”. Es tikai ceru, ka ķemmes neņems aktīvu dalību interneta uzbrukumos…
    Papildus informācija angļu valodā

Tas tad arī viss manā šīs nedēļas informatīvi izklaidējošajā ierakstā. Ceru, ka Jums tā lasīšana sagādāja tādu pat prieku, kā man rakstīšana. Nākamās nedēļas galvenā tēma ir plānota – mākslīgais intelekts, bet ja kāds ieteiks kādu interesantāku tēmu, tad iespējamas arī izmaiņas! Jebkurā gadījumā gaidīšu atsauksmes un ieteikumus!

One Reply to “Vienkārši par Kiberu – VPN un piktās kameras”

  1. Pingback: Vienkārši par Kiberu – kosmoss. | Martins Zabarovskis Blog

Vēlies par to parunāt?