ICR2018: paar mõtet

Käisin eile TTÜ-s ühel turvateemalisel üritusel. Asi oli hästi korraldatud ja kohal oli põnev seltskond (palju tuttavaid sealhulgas). Kaitsmistenädal oli paraku nii kapsaks võtnud, et õhtusel seltskondlikul ǘritusel jäi käimata.  Ettekandjatest jättis eriti ägeda mulje Kieren Lovell, Cambridge’i taustaga sell, kes nüüd on (nagu domeenist näha) vist eestlaseks hakkamas. Nii head teravat ja “asjast” rääkivat ettekannet ei kuule just tihti. Eriti andekas termin oli “organic networks” ehk ülikoolides levinud praktika, kus kohalik arvutivõrk kasvab nagu kummipuu potis ja keegi ei tea, kuidas täpselt, või et kes selle eest hoolt peaks kandma.

Aga ikkagi – kogu küberturve on suurel määral vastu tuult laskmine senikaua, kuni tavakasutajate seas domineerib (üsna keerutamata öeldes) spekter ausast teadmatusest ülbe juhmuseni ning enamik kasutab endiselt Windowsi (kuna “teised on ju nii keerulised”). Olukord sarnaneb katsega kuklasepesa metsatulekahju eest evakueerida – asukad ei saa aru, mis toimub, kas jooksevad eest ära või teevad päästjale destruktiivse tegevuse eest kambaka. Ja kui nad viimaks aru hakkavad saama, on juba hilja. Windows on nagu SMS-laen – võtavad need, kes tegelikult endale seda kõige vähem võiksid lubada.

Ja siis imestatakse, miks DDoS nii efektiivne on – spetsialistide koolitamisest on vähe kasu, kui kaakidele annavad põhirelva kätte tuhanded ignorandid, kelleni turvainimeste käsi ei küüni. Väike võrdlus: kaua aega peeti Londonis Trafalgari väljakul sealsete tuviparvedega võitlemist lootusetuks ürituseks – viimaks aga võeti asi selle sajandi alguses käsile ja tehtigi ära; pärast selgus, et Nelsoni ausamba essust puhtaksrookimine maksis 140 kilonaela…

Tegelikult tuleks tänapäeval suurema IT-sõltuvusega riikides võtta suund sellele, et IT põhilahendused (teenuseplatvormid) riigistada või viia mittetulundussfääri (sihtasutuse stiilis) – pealisehitis võib jääda äriliseks, kuid alus oleks riiklik; sarnaselt riigikaitsega on see liiga oluline sektor, et lasta mõnel lipsuga aferistil kogu kupatus kokku jooksutada.

Üks näide on Eestis juba olemas ID-kaardi taristu näol – samasugust lähenemist oleks vaja ka riikliku operatsioonisüsteemi ja pilveteenuse näol. Tegelikult oleks ehk isegi mingi variant teha seda kogu EL tasemel (arvestades praegust pidevat hõõrumist Donaldiga lombi taga oleks see eurokraatide vaates ehk isegi sobiv ninanips, kui USA ühel suurfirmal vaipa natuke alt tõmmata).

3 kommentaari postitusele “ICR2018: paar mõtet”

  1. vaba ütleb:

    Minu visioon oleks kui oleks ainult üks biomeetriline pass rahval ja interneti jaoks kasutaja ise genereeriks endale salajase võtme ja publik võtme saadaks e-posti sidumiseks passikeskusesse!
    Siis viiks passi e-posti /e-psoti võtme vahetamisel korral uuesti passide teenindusse ja tal lisatakse üks hologram-kleebis juurde, millel on publikvõtme sõrmejälg.

    Puudub see tobe id-kaart, selle uuendamine ja muud lollused!!
    Kleepeka vahetamise teenus on odavam!!
    nagu mark tatiga paberile kleepimine!

  2. vaba ütleb:

    https://m.postimees.ee/section/524/4502977

  3. vaba ütleb:

    See on sajandi uudis: OpenBSD lülitab Inteli SMT hyper-threadingu toe välja!
    https://thehackernews.com/2018/06/openbsd-hyper-threading.html

    Üks turvalisemaid non-free tarkvaraga OS-e on sunnitud non-free firmwarega käivituvat hyper-th. toetust ära keelama!! Spectre taoliste rünnakute eest!

    Seega, koolid ja küberkaitse võiks kasutada linux-libre või äärmisel juhul OpenBSD platvormi!!

Kommenteeri