[Tanel]

Riigi Infosüsteemi Ameti (RIA) intsidentide käsitlemise osakond (CERT-EE) lõi lahenduse, mis kaitseb nutiseadmeid pahatahtlike veebilinkide ja pahavara eest.

„Valminud lahenduse idee sündis 2021. aasta alguses ja esimese versiooni tegime kättesaadavaks sama aasta 18. juunil. Siiani testisime ja täiendasime rakendust ning lisasime uut infot selle taga olevasse domeeninimede süsteemi (DNS). Ehk piltlikult öeldes täiendasime interneti aadressiraamatut, mis juhatab päringud õigetesse serveritesse. Kui oleme lahendusele öelnud, et see aadress sisaldab viirust, õngitsuslehte või midagi muud pahatahtlikku, siis lahenduse abil tuvastab nutiseade ohtliku lingi ega ava seda,“ ütles CERT-EE juht Tõnu Tammer.

Lahendus suudab kaitsta nende pahatahtlikku sisu sisaldavate domeenide eest, mille kohta RIA-l on info olemas. „CERT-EE saab iga päev nii Eesti inimestelt kui ka koostööpartneritelt infot tuhandetest küberohtudest, mis moel või teisel tahavad inimeste ja ettevõtete küberturvalisust õõnestada. Selleks töötasimegi välja viisi, kuidas meil olevat infot kõige efektiivsemalt kasutada ja nutiseadmete omanikke võimalikult vähe koormata,“ lisas idee autor Tammer.

Rakendus blokeerib pahavara ja õngitsusi ning filtreerib DNSi abil kasutaja eest pahatahtlikke linke.


Lahendus töötab nii iOSi (iOS 14 ja uuem) kui ka Androidi (Android 9 ja uuem) operatsioonisüsteeme kasutavatel nutiseadmetel. Apple nutiseadmete puhul tuleb äpp nimega Encrypted DNS (äpi tootja on RIA) esmalt AppStore’ist alla laadida ning seejärel aktiveerida. Selleks tuleb valida menüüs Settings – General – VPN & Device Management – DNS ning valida Encrypted DNS.

Androidile on sarnane rakendus sisseehitatud ning seda pole vaja eraldi alla laadida. Lahenduse kasutamiseks tuleb aktiveerida võrgusätete all olev Privaatne DNS ning määrata teenuse asukohaks dns.cert.ee.
NB! Androidi puhul ei tööta lahendus juhul, kui soovite samaaegselt kasutada privaatset DNSi ja VPN teenust.

Lahenduses liiguvad DNS päringud võrgus krüpteeritult ehk kolmandatel isikutel ei ole võimalik pealt kuulata, milliseid domeene nutiseadmega soovitakse külastada. „Samuti ei käi äpi kasutades süsteemidest läbi kasutaja liiklus. Teenust kasutades küsitakse meie küberohte tõrjuva DNS serveri käest vaid nimelahendust,“ selgitas Tammer selle ülesehitust.

Teenus töötab nii Eestis kui ka välismaal. „Jätkame teenuse arendamist, et pakkuda kasutajatele võimalust end paremini kaitsta ja välistada teatud kübeintsidentide õnnestumine,“ lisas CERT-EE juhataja.

Kolmkeelse rakenduse töötasid välja RIA eksperdid ning ideest teostuseni kulus enam kui aasta. Tänaseks on Apple’i jaoks loodud rakendust alla laaditud rohkem kui 5000 korda.

Allikas: https://www.ria.ee/

[Draqula]

Huvitav palju ja mida RIA maha logib selle lahenduse juures.

[LKits]

[Draqula]

[Etz]

Draqula, kõik logib maha, su teleri, külmkapi, naise, lapsed...kassi...hoia aga heaga eemale sellest äpist...

[Draqula]

[LKits]

Ja on privaat-DNS-i kasutamisest üldse palju kasu?
On keegi teinud analüüsi kui paljudel (alam)domeenidel on unikaalne IP ehk kui paljudel on jagatud IP?
Sellest saab väga lihtsalt tuletada ka IP-põhiselt, mis oletatavat domeeni külastatakse ja teenust (port) kasutatakse, pole vaja DNS kirjeid analüüsida.

[mahno]

Tasuks ikkagi plussid-miinused ritta panna ja siis otsustada, kas tasub kasutada või mitte.

Ainus miinus - serveri omanikul (CERT EE) on potentsiaalne võimalus logida maha kõik su dns päringud.

Plussid:
- pakutav DNS ei lahenda teadaolevalt "pahasid" nimesid, mis vähendab võimalust pihta saada erineva pahavaraga või takistab pahavara toimimist, kui see toimimine sõltub nimelahendustest; osaleda vastu tahtmist mõnes botnetis jne.

-Teenuse tarbimisega ei kaasne kulusid ja nii kasutuselevõtt kui loobumine on lihtsad.

-kuna teenust pakkuv serverikomplekt asub füüsiliselt eestis, siis võiks nimelahendus olla kiirem, kui mõne meretaguse dns kasutamisel.

- Pakutavaid nimeservereid ei pea sugugi vaid telefonist kasutama, vaid võib kätte anda läbi dhcp väikestes võrkudes või näiteks panna domeenikontrolleritel dns forwarderiteks suurematel. Milleks - selleks et saada täiendav turvakiht nullkuluga.

-DNS päringutele vastatakse nii krüptoga kui ilma (teenuse tarbija valib). Krüpteeritud dns päringute kasutamine võimaldab suurema privaatsuse näiteks avalikus wifis (sest tavapärane dns päring on teatavasti vabatekstis UDP või TCP liiklus).

[LKits]

Kindlasti ei ole see ainus miinus.
Veel üks väga suur miinus võib olla teenuse mittetöötamine ning selle tagajärjel denial-of-service.
Küll aga CERT puhul kahtlen mõlemas toodud miinuses - siiski need eksisteerivad.

[mahno]

Mittetöötamise vastu seadistad näiteks esimeseks dns-iks CERTi oma, teiseks midagi muud - Cloudflare, Google, Telia või kedaiganes usaldad ja armastad.

[LKits]

Täiesti nõus, et alternatiivne DNS oleks sellisel juhul lahenduseks.
Aga mis kasu on turvalise DNS-i kasutamisest, kui see minule mitte-teadaoleval hetkel ei tööta ja süsteem lülitub automaatselt "vähem-turvalise" DNS-i peale?
Kui soovin kasutada turvalist lahendust, siis soovin seda alati kasutada.

Teine pilt oleks see, kui too rakendus tekitaks nii öelda lokaalses seadmes asuva DNS serveri, mis pärib otse domeenide info.
Jah, see võtaks rohkem telefoni ressurssi.
Jah, see oleks kindlasti turvalisem ka paranoilistele kasutajatele.

Küll, aga kui on soov kasutada rakendust (praegusel juhul tegelikult alternatiivset ja "turvalist" DNS serverit) DNS filtering eesmärgil, siis selline lahendus on juba olemas aastaid:
AdGuard

[mahno]

Sul on see itimeeste viga, et sa tahad 100% töötavat lahendust, mida ei ole. Ja siis ei saagi nagu midagi teha.

Aga miks mitte kasutada lahendust, mis tegelikult 99% ajast töötab, opt-in ja opt-out on lihtsad ja kulu sellega ei kaasne. Ja kui rikkamaks saad, siis ostad näiteks Palo IPSu, kogud kõik logid SIEMi ja palkad asjatundliku 24/7 SOCi.

[MaXakas]

Noh, niipalju siis certi poiste DNSist Kas Eestis on krüptoraha keelatud? Binance on laksu- ja molliameti poolt bännitud nagu võõramaised kassinid? Minu jaoks jätkus selle DNSi katsetust ca 15 minutiks ehk kuni selgus, et binance.com seal ei lahene.

[Etz]

MaXakas, krüptorahaga tegelevad ainult häkkerid ja allilmategelased ning diktaatorid.