E-ITSPEA 14: Andmeturveː tehnoloogia, koolitus ja reeglid
Sissejuhatuseks
Pealkirjaks oleva lause andmeturbe kolmest komponendist on öelnud kunagine USA tagaotsituim inimene, keda FBI tulutult mitu aastat üle kogu riigi jahtis: Kevin Mitnick. Nüüdseks on temast saanud turvaekspert, kes ilmselt teab, millest räägib. Mitnicki sõnul on ka tegemist kolme komponendi korrutise, mitte summaga - kui üks neist on null või nullilähedane, on seda ka kogutulemus. Tänases teemas vaatlemegi andmeturbe eri aspekte - olgu aga öeldud, et see teema on äärmiselt suur ja samavõrd oluline, mistõttu iseseisev edasiuurimine on ülimalt soovitav.
Kujunemine
Andmeturbe juured ulatuvad kaugetesse aegadesse - info salastatusega tegeldi juba antiikajal (üheks tuntumaks näiteks võib pidada Caesari šifrit, samuti on tuntud asi scytale). Seosed IT-maailmaga tulevad samuti varakult - mainida võib Alan Turingit, aga ka näiteks külma sõja algusaegade UKUSA lepet ning sealt alguse saanud jälgimis- ja nuhkimissüsteeme "demokraatlikus" läänemaailmas.
Ühe korduva asjaoluna tuleks mainida, et kaagid ärkavad varakult. Esimesed laiema levikuga arvutiviirused ilmusid 80-ndate esimesel poolel, varsti peale esimese IBM PC tulekut, Interneti ärikeelu kaotamisele 1991. aastal järgnes esmalt suur spämmilaviin ja alles seejärel asjalikud e-teenused, sotsiaalmeediat on algusest peale saatnud petised ja trollid. Internetis avastati turvateema laiemalt alles peale 1988. aasta 2. novembri Musta Neljapäeva, mil Morrise uss suutis suure osa tollasest Internetist ära halvata...
Probleemid
Alljärgnev on mittetäielik ülevaade andmeturbe eri probleemvaldkondadest. Mitmed neist põimuvad omavahel, eri aegadel ja paigus on nende mõju olnud erinev ning kindlasti toob iga päev juurde uusi aspekte. Seetõttu tuleks selle valdkonna osas pidevalt "näppu järje peal" hoida.
Pahavara
Pahavara (malware) on üldine termin kahjuliku mõjuga tarkvara kohta. Siia kuuluvad näiteks
- Viirused - sarnaselt loodusliku viirusega on sedalaadi tarkvara suuteline ise levima (enamasti kas failide või andmekandjate nakatamise teel - reeglina aga peab protsessi käivitama kasutaja). Märkusena: pahavara on laiem mõiste kui viirus, niisamuti ei ole kõik arvutiviirused otseselt kahjulikud (on teada isegi "abistavaid" viirusi). "Puhtatõulist" arvutiviirust kohtab peamiselt vaid Microsofti süsteemides (on teada väga üksikuid erandeid).
- Trooja hobused on pahavara liik, mis sarnaselt legendaarse puuhobusega kasutavad inimeste kergeusklikkust. Puhtakujuline trooja hobune ise viiruse kombel ei levi, vaid vajab kasutaja abi (kõige lihtsam viis on mimikri ehk kellegi kasulikuna esinemine). Samas ei piira neid viirustega samal määral platvormid ja süsteemid (kasutaja aitab!).
- Ussid on pahavara, mis erinevalt viirustest suudavad süsteemides iseseisvalt levida (kasutades ära süsteemide nõrkusi ja turvaauke). Ehkki ka ussid on enimlevinud Microsofti platvormil, kohtab neid üha rohkem ka mujal (ka Linuxil - seal sihitakse eeskätt just võrguseadmeid ja muid nutistulahendusi, kuna serverihaldurid kipuvad vajalikud augud kiiresti ära lappima).
- Juurkomplektid on trooja hobuste sarnane pahavara, mille põhieesmärgiks on kasutaja "uinutamine", peites ära süsteemis leiduvad ründejäljed. Näiteks võib selline tarkvara näidata endiselt suurt vaba kettaruumi (ehkki tegelikult on ketas topitud täis mingit kahtlast nodi), peita ära põhimälus töötavad programmid jne. Nimi tuleneb Unixi süsteemide halduri kasutajanimest - root ehk juurkasutaja. Sedalaadi tarkvara on aga olemas kõigi levinud süsteemide tarvis.
- Nuhkvara on tarkvara, mis edastab arvutist privaatset infot välisele osapoolele. Piir lubatud ja lubamatu infokogumise ja -saatmise vahel on üsna hägune (paljud peavad ka Windows 10-t enda telemeetria tõttu siia rubriiki kuuluvaks) ning sedasorti tarkvara on üha laiemalt leviv. Erinevalt muust pahavarast on edukas nuhkvara selline, mis ei tee mingit nähtavat kahju, ei tarvita oluliselt arvuti ressursse ning on üldse nii nähtamatu kui võimalik. Nuhkvara on olemas kõigil levinud platvormidel (põhiline mängumaa on endiselt Windows). Eraldi mainimist väärib üks eriliik - klahvinuhk, mis salvestab kogu klaviatuurilt sisestatud info (sh paroolid) ja saadab selle "peremehele" edasi.
- Lunavara on tänapäeval levinud pahavaraliik, mis "võtab arvuti pantvangi", lukustades süsteemi või krüpteerides oluliseks peetavad failid (näiteks dokumendid) ja nõudes avamise eest lunaraha. Enamasti nõutakse maksmist krüptorahas.
Lisaks võib veel mainida mehhanisme, mis enamasti ei ole eraldiseisvad, vaid mõne pahavara omadused:
- Aegsütik - pahavara aktiveerub mitte arvutisse sattumisel, vaid teatud aja möödumisel või mingil kindlal ajahetkel (näiteks kuupäeval). Tuntud pahavarast sisaldas aegsütikut näiteks Michelangelo, mis aktiveerus nimikangelase sünnipäeval, 6. märtsil.
- Ümbersuunaja - veebi-pahavara komponent, mis suunab kasutaja märkamatult uuele aadressile. Enamasti kasutakse seda identiteedivarguse või andmepüügi eesmärgil (kasutaja satub võimalikult ohvriga sarnasele lehele ning arvab, et on endiselt seal). Seda kasutati muuhulgas ka Rove Digitali arvutikaakide poolt, kes nüüd Ameerikas vangis istuvad.
Väga sageli kombineerib tänane pahavara mitmeid elemente toodud loetelust. Tasub ka märkida, et mõnelgi juhul sõltub "kuri iseloom" kontekstist - näiteks kaugligipääsu arvutisse saab kasutada nii käkikeeramiseks kui hädasolijast võhiku aitamiseks.
Identiteedivargus
Teise inimese identiteedi omastamine on samuti tuntud hallidest aegadest, kuid internetiajastu pakub selleks kuhjaga uusi võimalusi. Väga tihti piisab lihtsamaks "teatritegemiseks" lihtsast guugeldamisest, veidi tõsisematel juhtudel tuleb jälgida inimese toimetamist sotsiaalmeedias veidi pikemalt ning õppida "temaks olemist" selle järgi. Sageli kasutatakse mitmeid sotsiaalmanipulatsiooni võtteid (vt allpool). Interneti kontekstis on aga levinud võtteks õngitsemine - ohvri peibutamine sisestama enda isikuandmeid võltsitud veebilehele, kus need pahalase kätte satuvad (lehe aadress saadetakse enamasti kas rämpsposti või mõnd kiirsuhtluskanalit kasutades),levinud on ka veebilehe pahatahtlik ümbersuunamine (vt eespool). Veel üheks õngitsemise vormiks on traadita võrkudes "kurja kaksikvenna" kasutamine - luuakse mõne avaliku võrguga sarnase nimega võrk, millesse logijate võrguliiklust kuulatakse pealt ja püütakse sealt vajalik info kinni.
Ressursihõive
Suur osa tänasest pahavarast on loodud ressursihõive eesmärgil - ohvri arvuti pannakse (tavaliselt paralleelselt seadusliku tegevusega ja võimaluse piires märkamatuks jäädes) ründaja heaks tööle, enamasti osana suuremast botnetist ehk robotvõrgust. Eesmärk võib olla ka ohvrile võrdlemisi kahjutu (näiteks krüptoraha "kaevandamine"), kuid enamasti kasutatakse sellist improviseeritud superarvutit (näiteks 2007. aastal väitis InformationWeek, et tollane Stormi robotvõrk edestas võimsuselt kõiki maailma superarvuteid) siiski kurjade kavatsustega. Levinumad kasutusviisid on rämpsposti levitamine ning teenusetõkestusründed (DDoS).
Uueks ohtlikuks tendentsiks on asjade interneti, värkvõrgu ehk nutistu (võrku ühendatud nutitelerid, võrguseadmed jms) ärakasutamine, mille eest asjatundjad on juba mõnda aega hoiatanud, et ometi on paljud seadmed kasutusel vaikimisi paroolidega (ja hullemal juhul ei olegi neid kasutajal võimalik muuta). Heaks näiteks on Mirai pahavara ja selle loodud robotvõrk.
Pettused
Kurikuulsad Nigeeria kirjad levisid juba tavaposti ajastul. Nigeeria "petiste riigina" on muide klassikaline näide maast, mis on ressurssidelt rikas ja mille rahvas on (piirkonna kohta) küllalt hästi haritud, kuid mida on kaua valitsenud korrumpeerunud võimumehed ning ühiskondlik ebavõrdsus on väga suur (üsna hea pildi annab CIA World Factbook). Tulemuseks on hulk haritud ja initsiatiivikaid inimesi, kes aga ei näe endal muud perspektiivi kui kuritegevus - sellest võiks õppida ka väga mitmete teiste riikide juhid (näiteks on "Euroopa Nigeeria" juba kaua asunud Rumeenias).
Internetipettuste laiema leviku algus langeb 90-ndate algusse - aega, mil veebi sünniga toodi Internet tavainimeseni ning sealt kadus ärikeeld. Esimene pettustelaine kasutas peamiselt rämpsposti ja oli osa 90-ndate keskpaiga spämmiuputusest (kuna ei seadusandlikud ega tehnilised vastumeetmed ei olnud veel välja kujunenud). Probleem muutus veel tõsisemaks sajandivahetuse kandis sotsiaalmeedia tekkega - ehkki suurte sotsiaalvõrgustike (Myspace, Orkut, hiljem Facebook) omanikud püüdsid petturitega võidelda, ei ole nendest seal lõpuni lahti saadud. Ning viimastel aastatel on täiendava tegurina lisandunud arvutite hõivamine ja robotvõrgud.
Mõnede levinud petuskeemidena võib mainida järgmisi:
- Ettemaksupettused - enamasti seotud mingi hinnalise, aga väikesemahulise kauba (kellad, ehted jms, mida on idee poolest lihtne kliendile postiga saata) müügiga - raha küsitakse ette, kaupa ei saadeta.
- klassikalised "Nigeeria kirjad" - pettur teatab, et on saanud teada mingist "ripakil olevast" suuremast rahasummast, mida nüüd tuleks ohvri abiga välismaale kantida, ohvrile lubatakse abi eest suurt protsenti. Kahjuks aetakse paljudes maailma nurkades tänini äri umbes samade põhimõtete järgi, nii et paremat sorti kirjad kõlavad üsna tõetruult. Ohvri nõustumine võib tuua erinevaid ebameeldivusi alates ettemaksupettustest ("vaja tolli määrida") kuni rahapesuni tema konto kaudu ja kodumaal selle eest pokrisattumiseni.
- autopettused - enamasti kasutatakse võltsitud pangatšekke, millega ohvri auto ära ostetakse (vahel on tšekk isegi suurem ja ohvril palutakse osa raha tagasi kanda). Teisalt on levinud ka teistpidi mehhanism (ettemaksupettus) - pakutakse ülisoodsalt mõnd luksusautot ja petetakse käsiraha välja. On ka "ausalt müümise" juhtumeid - ainult et auto on naaberriigist varastatud.
- kohtingutüngad - sarnaselt Nigeeria kirjadega lähtuvad need pettused reaalsetest olukordadest, kuna päris paljud endise N. Liidu alade inimesed otsivad elujärje parandamiseks kontakte läänemaailmas. Pettuse puhul aga võib kena tüdruku asemel olla päriselus kamp karvaseid kaake, kes suudavad ohvri edukalt "ära rääkida". Levinud variandis küsitakse mingil hetkel suurem rahasumma lennupileti jaoks ("saame viimaks kokku!") ja pärast seda on vaikus. On olnud aga ka juhtumeid, kus tüdruk tulebki - aga koos kahtlase saatjaskonnaga, kes hakkavad ohvrit eri viisidel pitsitama.
Vastukaaluks on aga olemas üks teine seltskond, kes tegeleb hämaravõitu "spordialaga" nimega scambaiting (ka mugu-baiting, eestikeelseks vasteks võiks sobida "pätikottimine"). Eesmärgiks on petisega kaasa mängida ning too ümber sõrme keerata - kohati on tegemist manipuleerimise tipptasemega (näiteks http://scamorama.com/smurf.html). On näiteid, kus petised on saatnud "sportlasele" ise raha, teinud endast totraid pilte või lennanud oma raha eest tühja kuhugi kaugesse paika "raha järele". Põhjenduseks tuuakse, et petturi aeg raisatakse teadliku inimese peale ning ta ei jõua samal ajal mõnd kergeusklikku paljaks teha - samas on siin tegu eetiliselt halli alaga, kuna ka petise petmine jääb petmiseks.
Manipulatsioon
Ingliskeelne social engineering tähendab eri teadusaladel eri asju (näiteks sotsioloogias on pigem positiivne termin, tähistades ühiskondlike protsesside suunamist paremuse poole), andmeturbes on see aga selgelt negatiivse tähendusega ja tähistab inimestega manipuleerimist mingi (enamasti pahatahtliku) eesmärgi saavutamiseks. Veel üheks seonduvaks terminiks on Johnny Longi pakutud no tech hacking ehk ligipääsu saavutamine mingile piiratud infole mitte tehnoloogilise ründe (kräkkimine ehk võrgupõhine sissemurdmine), vaid oskusliku suhtlemise, erinevate ettekäänete ja eelinfo kasutamise (pretexting - esmalt hangitakse mõne süütu päringuga mingi vähemoluline info, mille valdamine aga aitab esineda omainimesena) ning vahel ka näitlemise abiga. Näiteks helistades raamatupidamisse ja küsides otse "Mis on palgakulude kontonumber?" võidakse võõrale mitte vastata - kuid kui esmalt saadakse teada, et osakonnajuhataja assistent preili Kask töötab ruumis 116, võib märksa edukam kõne olla "Tere, siin Marta Kask 116-st. Mul on arvuti katki, mis on palgakulude kontonumber?".
Veel mõnedeks levinud võteteks on näiteks
- Üleõlapiilumine (shoulder surfing) - ohvri selja taga asudes püütakse näha salastatud infot (näiteks pangaautomaadi või koodluku PIN-koodi). Tänapäeval on väga lihtne ka mobiilseadmete piilumine (näiteks jalutada lennujaama ooteruumis mõne sülearvutisse süvenenud kodaniku selja taga).
- Sappavõtmine (tailgating) - piiratud ligipääsuga ustest sisenemine vahetult ohvri järel kõndides; oluline komponent on sobiva mimikri leidmine ukse ees sobiva ohvri ootamisel.
- Prügistuhnimine (dumpster diving) - tundliku sisuga info otsimine äravisatud prügist. Johnny Longi raamatus "No Tech Hacking" on palju häid näiteid.
Trollimine
Trollimine on küsitava väärtusega ajaviide, kus eesmärgiks on võrgus teiste inimeste šokeerimine või väljavihastamine. Termin on tõenäoliselt pärit Useneti hiilgeaegadest, kus mõnes grupis oli kombeks uustulnukaid nöökida - "vanad kalad" tegelesid "kollanokkade lantimisega" (trolling for newbies; sarnase alatooniga on ka Slashdoti portaalist tuntud lause you must be new here). Seega on see termin tõenäoliselt algselt pärit kalapüügiviisilt, mitte skandinaavia müütidest pärit tegelaselt.
Tõsiselt pahatahtliku internetitrollimise ajalugu aga loetakse sageli 4chani tekkest 2003. aastal, eriti aga sealset /b/ ehk "random"-sektsiooni. On teada päris mitmeid juhtumeid, kus sealt alguse saanud ahistamine (doxing) on viinud tõsiste tagajärgedeni. Probleemiks on ka sotsiaalmeedia ja ajakirjanduse piiride hägustumine, mis võib sensatsioonijanu ja kontrollimatu klikkidejahtimise kaudu kohati tuua "korralikku" tavameediasse üsna haigeid asju.
Trollimise kergemaks, lõbusamaks aspektiks võib lugeda erinevaid netimeeme ja -tüngasid (üks esimesi oli ilmselt rickrolling, tuntud asi on ka Lolcat).
Viimastel aastatel on üha laiemalt levinud ka trolliv riigivõim ehk sarnaste mehhanismide kasutamine riikidevahelises infosõjas, propagandas ja desinformatsiooni levitamisel. Eriti levinud on see Venemaal (Internet Research Agency Peterburis jt), aga ka Hiinas ja mujal.
Häktivism
Selle terminiga mõeldakse enamasti poliitiliselt motiveeritud tehnoloogilisi ründeid. Kergemakaalulised juhtumid on peamiselt seotud veebilehtede näotustamisega (defacement; sisuliselt võrreldav poliitilise grafitiga). Tõsisema otsa pealt aga võib see minna spionaaži töömaile (üht head näidet kirjeldab Cliff Stoll enda raamatus "Käomuna" - raamatus mainitud Chaos Computer Club loodi juba 1981 ning mingil perioodil sisaldas üksjagu punasevõitu ilmavaatega tegelasi, keda oli KGB-l lihtne enda heaks tööle värvata).
Tõenäoliselt tuntuim nimi selles vallas on Anonymous, mis sai sarnaselt trollidega alguse 4chanist (2004. aasta kandis). Ehkki tegu on igapidi virtuaalse rühmitusega, on nad ometi hakkama saanud mitmete reaalsete rünnetega (näiteks saientoloogide vastu suunatud Operation Chanology). Häktivismiga tegeleb ka ISISena tuntud seltskond, kes omakorda on olnud korduvalt Anonymouse sihtmärgiks. Veel üheks selle teemaga tegelenud seltsinguks on LulzSec.
Suur Vend
Riiklike jälgimismehhanismide ajalugu läheb samuti kaugele tahapoole IT-ajastust. Kõrgtehnoloogilise jälgimise üheks tinglikuks sünnipäevaks peetakse viie ingliskeelse riigi pakti (UKUSA lepe ehk "viis silma" - USA, Suurbritannia, Kanada, Austraalia, Uus-Meremaa), mis esmakordselt läks otseselt vastuollu varasema "aumeeste põhimõttega", mille järgi riik omaenda kodanike järel ei nuhkinud. Tõsi, see lahendati tõsise JOKKi abiga - inglased jälgisid kanadalasi, kanadalased ameeriklasi, ameeriklased austraallasi jne (üks versioon sellest skeemist leidub siin). Süsteemi tunti laiemalt koodnime ECHELON all. Tollal põhjendati selle vajadust peamiselt vajadusega võidelda kurjade kommunistide vastu - kommunismi kokkuvarisemise järel eelmise sajandi lõpus tuli sujuvalt asemele vajadus võidelda rahvusvahelise terrorismiga.
Suure Venna tegevusest annab teatavat aimu 2006. aastal alguse saanud Wikileaksi tegevus, ka on tänaseks võrgus küllalt vabalt saadaval külma sõja aegseid tegevusi puudutav info.
Kübersõda
Küberruum on tänaseks kujunemas veel üheks lahingutegevuse tandriks maa, õhu, vee ja kosmose kõrval. Kui varasemad selle valdkonna tegevused kuulusid eespoolvaadeldud valdkondadesse, siis tänaseks on olemas ka küberrelvad. Esimeseks sellelaadseks on peetud Stuxnetti, mis oli mõeldud Iraani Natanzi tuumaelektrijaama tsentrifuugide rivist välja viimiseks. Ehkki vaieldakse, kas Eestis ja Gruusias 2007. aastal tehtud küberrünnakud olid kübersõda või ei, on need selgelt samas reas Venemaal kanda kinnitanud hübriidsõja doktriiniga. Sarnaseid nähtusi leiab ka Hiinast, kus on moodustatud "punahäkkerite" (honke) organisatsioonid (nagu Punahäkkerite Liit.
Huvilistele võib soovitada edasiuurimiseks NATO küberkaitsekeskuse koostatud Tallinna manuaali.
Lahendused
Tehnoloogia
Siin võiks mainida järgmisi lahendusi:
- Pahavaratõrje - ehkki antiviirused ja muu sarnane tarkvara on eeskätt vajalik Microsofti keskkonnas, ei tasuks neid eirata ka mujal. Vastasel juhul riskime mõne turvaohu edasipõrkamisega meie juurest juba sobivama märklaua poole.
- Tulemüürid - sisuliselt lüüs, mis otsustab, millist liiklust läbi lubada ja millist mitte. Teatud ohtude vastu on need väga efektiivsed, teiste vastu aga mitte (hea näide on rünne seestpoolt).
- Nõrkuste avastajad - need on ühtviisi head tööriistad nii võrgukaagile kui turvatestijale. Siia kuuluvad näiteks pordiskannerid, andmebaaside ja veebiäppide analüüsijad jpm, tuntud näited on Nessus ja Nmap.
- Sissetungidetektorid (IDS) - analüüsivad liiklust (arvutis, alamvõrgus, traadita võrgus vm) ja annavad probleemidest teada (passiivsed) või võimaldavad ka ründe tõkestamist (aktiivsed).
- Meepotid - need on näiliselt kaitseta jäetud süsteemid, kus aga toimub tegelikult pidev jälgimine ning kus ründaja võime kurja teha on enamasti ära nullitud. Nii raiskab ründaja aega "tühja tulistades" (sarnaselt eespoolkirjeldatud pätikottimisele). Huvitav lugemine sel teemal on Project Honeyneti omaaegne Know Your Enemy -seeria (näiteks see).
- Logianalüüsi vahendid - logimine ehk süsteemis toimuvate tegevuste kirjapanek jõudis Microsofti süsteemidesse märksa hiljem (NT 1993 - tavakasutajate Windowsides aga alates alles 2000st ja XPst) kui Unixi perekonda, kus see on algusest peale olemas olnud. Tänaseks on aga kõigis levinumates süsteemiplatvormides toimiv logisüsteem ning seda saab kasutada süsteemis toimuva jälgimisel.
- Autentimissüsteemid - siia kuuluvad nii klassikaliste paroolidega tegelevad lahendused (tugevuskontroll, perioodiline vahetamine) kui ka erinevad muud lahendused (sõrmejälje või silmaiirise võrdlemine, kujundite ja mustritega autentimine, veebilehtedel kasutatav CAPTCHA jne).
Lisaks tuleks taas kord mainida tehnoloogiavalikuid kui olulist osa turvalisuse tõstmisel - seni, kuni väga suur hulk pahavara sihib otseselt üht konkreetset platvormi, ei ole mingit vabandust alternatiivide eiramisele.
Koolitus
Selle punkti juures võiks esmalt meenutada, kuidas toimus hästituntud Tiigrihüppe programm Eestis:
- Esmalt jagati koolidesse arvutid. Koolitus jäi aga tahaplaanile.
- Siis saadi aru, et vaja on ka tarkvara. Sedagi jagati, ent koolitus jäi taas tahaplaanile.
- Seejärel leiti, et vaja on ka võrguühendust. Tõmmati kaablid, ent koolitus jäi ikka tahaplaanile.
- Viimaks hakati vaatama, et asi logiseb...
Koolitus võib hõlmata järgmisi aspekte:
- üldine teadlikkus ("mina olen märklaud") - mitte keegi pole liiga väike/tähtsusetu või liiga suur/tark
- manipulatsioonid - eespoolkirjeldatud põhiliikide tundmaõppimine ja lihtsamad vastuabinõud
- internetitehnoloogiad (veeb, e-post, kiirsuhtlus, sotsiaalvõrgustikud, WiFi, mobiilseadmed, pilveteenused)
- erinevad kasutajagrupid - eriti a) IT-inimesed, b) tippjuhid, c) teenindav personal
- keskkond - füüsiline keskkond (lukud, uksed), kaug- ja kodutöö, IT-kodukaitse, IT ja reisimine
- andmete käitlemine - andmekandjad, sh paber (säilitamine, hävitamine jne)
- pahavara - kohati isegi see teadmine, et arvutiviirus ei saa mind ennast haigeks teha...
- organisatsiooni sisekaitse - kuidas vältida ohte seestpoolt
- intsidendihaldus - mida teha, kui midagi on juhtunud
- lastekaitse ja IT
- turvaline tarkvaraarendus
- ...
Reeglid
Paikapandud mängureeglitest on enamasti palju abi - paljud "ärarääkimised" saavad alguse just sellest, et inimene ei tea täpselt, kuidas ta selles olukorras peaks käituma ("võõraid ei tohi sisse lasta - aga kuidas ma löön ukse teise inimese nina ees kinni?"). Reeglid võivad hõlmata näiteks järgmisi valdkondi:
- Füüsiline ligipääs - kuidas ligi saab (koodid, paroolid, võtmed), kuidas õigusi antakse, millised õigused käivad koos milliste ametikohtadega, millistel aegadel ligi pääseb, kes vastutavad, kuidas lahendatakse intsidente jne
- Tehnoloogia - kes saab ligi, millised õigused tal on, kuidas hallatakse mobiilseadmeid, kuhu pääsevad külalised, kuidas lahendatakse kaugtöö, mida ja kuidas jälgitakse, kuidas saavutatakse üldine piisav teadlikkuse tase jne. Eraldi tuleks mainida turvalise arenduse reegleid tarkvaraarendusega tegelevates organisatsioonides.
Eestis on kasutusel Riigi Infosüsteemide Ameti hallatav infosüsteemide kolmeastmeline etalonturbe süsteem ISKE, millega soovitaks kõigil tutvuda.
Mõned soovitused tavainimestele
NB! Need on sellises sõnastuses siinkirjutaja arvamus, kuid päris "lambist" see loodetavasti ei pärine.
Soovitused võiks esitada ajaloos läbiproovitud kümne käsu vormis (see on vaid üks võimalik valik):
- Ära kasuta arvutit suuremates õigustes kui vaja - eeskätt tähendab eraldi kontode kasutamist tavategevusteks ja arvuti haldamiseks. See on turvalisem meetod ka Linuxite puhul!
- Kasuta korralikke paroole. Hirmus habemega teema (esimene selleteemaline avalik dokument ilmus Internetti 1973. aastal), ent paraku inimesed ei õpi. Tänapäeval tasub soovitada pikemaid paroolifraase, mis on koostatud seostamata või jabura kombinatsiooniga sõnadest ("KalaKuuskMatemaatika", "KoerEiViiuldaEkraani" vms, täiendavat keerukust võib lisada "leetspeaki" ("kassikäpp" -> "Ka551K2pp") ja/või kirjavahemärkidega (kui need on lubatud).
- Kui arvutil on mitu kasutajat, peab igaühel olema eraldi konto (vt ka eelmisi punkte).
- Kaitsetarkvara tuleks tunda ja kasutada. See tähendab antiviirusi, nuhkvarapüüdjat, tulemüüri, skriptide ja reklaamide reguleerijaid veebilehitsejas jpm. Märkus: tihti unustatakse, et kuigi Linuxid ja "mäkid" Windowsi pahavaraga ei nakatu, siis on nendega paraku täiesti võimalik nakatunud faile järgmisele õnnetule vindosnikule edasi saata.
- Tea, milline tarkvara on arvutis - nii operatsioonisüsteemi kui rakenduste osas.
- Oska andmekandjatel orienteeruda. See tähendab nii konkreetse operatsioonisüsteemi failisüsteemi tundmist (mis on Program Files või /etc) kui ka näiteks peidetud failide leidmist, faililaiendite teadmist jne.
- Uuenda tarkvara regulaarselt. Automaatsed uuendused on halbadest parim lahendus täieliku arvutivõhiku arvutis, asjatundja võiks seda teha vähemalt mingil määral käsitsi (ülevaate saamise mõttes, samuti on mõnedel süsteemidel aeg-ajalt kombeks uuenduste sildi all küsitavaid asju paigaldada).
- Tunne enda arvuti riistvara põhielemente ja peamisi omadusi - protsessorit, videokaarti, kõvaketast jne. Vahel aitab see muuhulgas vältida mõnda tüngalõksu kukkumist ("AMD videodraiveri uuendus??? Mul on nVidia...").
- E-kirjamanused ava ainult siis, kui oled saatjas täiesti kindel. Taas kord uskumatult habemega teema, aga ometi kukuvad ikka veel paljud selle otsa.
- Ole uudishimulik ja õpivõimeline ning jälgi, mis arvutimaailmas toimub.
Kokkuvõtteks
Tänases maailmas on andmeturbest saanud igaühe asi. Arvutist on saanud autoga võrreldav tarbeese - nagu enamik autojuhte ei paranda ise autot, ei ole enamik arvutikasutajaid IT-inimesed. Ent nagu autojuht peab teadma liikluses parema käe reeglit, nii peab arvutiomanik hoolitsema vähemalt elementaarsel tasemel oma arvuti turvalisuse eest. Ning Mitnicki valem (tehnoloogia, koolitus, reeglid) kehtib ühtmoodi nii suurettevõttes, koolis kui ka koduses arvutikasutuses.
Viited
- ALDER, Raven et al. Stealing the Networkː How to Own an Identity. Syngress 2005.
- ALLSOPP, Wil. Unauthorised Accessː Physical Penetration Testing for IT Security Teams. John Wiley & Sons 2009.
- ANDREJEVIC, Mark. iSpy: Surveillance and Power in the Interactive Era. University Press of Kansas 2007
- GOLDSTEIN, Emmanuel. The Best of 2600: A Hacker Odyssey. Wiley 2008.
- Sarah GRANGER. Social Engineering Fundamentals, Part I: Hacker Tactics. SecurityFocus, December 18 2001 (arhiivikoopia)
- Sarah GRANGER. Social Engineering Fundamentals, Part II: Combat Strategies. SecurityFocus, January 9 2002 (arhiivikoopia)
- HAGER, Nicky. Secret Power - New Zealand's Role in the International Spy Network. Craig Potton Publishing 1996. http://www.nickyhager.info/ebook-of-secret-power
- LONG, Johnny. No Tech Hacking - A Guide to Social Engeering, Dumpster Diving, and Shoulder Surfing. Syngress Publishing 2008. https://doc.lagout.org/Others/No%20Tech%20Hacking%20A%20Guide%20to%20Social%20Engineering%20Dumpster%20Diving%20%26%20Shoulder%20Surfing.pdf
- MCCARTHY, Linda. IT Security: Risking the Corporation. Prentice Hall 2003.
- MITNICK, Kevin D.,SIMON, William L. (2002). The Art of Deception. John Wiley & Sons 2002
- MITNICK, Kevin D.,SIMON, William L. (2005). The Art of Intrusion. John Wiley & Sons 2005
- O'CONNOR, TJ. Violent Python: A Cookbook for Hackers, Forensic Analysts, Penetration Testers and Security Engineers. Syngress 2012
- OLLMANN, Gunter. The Phishing Guide: Understanding and Preventing Phishing Attacks. TechnicalInfo.net 2005
- STERLING, Bruce. Hacker Crackdown: Law and Disorder on the Electronic Frontier. Bantam Books 1992. http://www.mit.edu/hacker/hacker.html
- STOLL, Cliff. The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage. Pocket Books 2005
- VITALIEV, Dmitri. Digital Security and Privacy for Human Rights Defenders. Front Line 2007. http://www.frontlinedefenders.org/esecman/
- WINTERFELD, Steve, ANDRESS, Jason. The Basics of Cyber Warfare. Syngress 2013.
- Attrition.org: security. http://attrition.org/security/
- The Honeynet Project: Know Your Enemy. https://web.archive.org/web/20160301091339/http://old.honeynet.org/papers/honeynet/ (arhiivikoopia)
- SANS Information Security Resources. https://www.sans.org/security-resources/
- https://www.whatsthebloodypoint.com
- http://www.scamorama.com
- https://www.419eater.com
Uuri ja kirjuta
Vali üks suurematest IT-turvariskidest (võib võtta tekstist, aga võib ka kirjeldada mõnda muud) ja analüüsi seda ajaveebiartiklis. Mida tuleks "Mitnicki valemi" kolme komponendi (tehnoloogia, koolitus, reeglid) selle maandamiseks ette võtta?
Tagasi kursuse esilehele
Käesoleva materjali kasutamine ja levitamine on sätestatud Creative Commonsi Autorile viitamine + Jagamine samadel tingimustel 3.0 Eesti litsentsi (inglise keeles CC Attribution-ShareAlike ehk BY-SA) või selle uuema versiooniga.