Silt: turvalisus

Windowsi võrgukettad ja VPN

ITK-sse kolimisega tuli täna läbi teha suur keemia kahe ülalmainitud tehnoloogiaga, mis siinmajas paraku Windows 2003 serveril jooksevad. Et Kakul pole pikast Linuxi-staažist hoolimata olnud nendega kuigivõrd varasemat kokkupuudet, tuli nüüd asjad ära klaarida ja selleks kulus üksjagu aega.

Ühesõnaga, Windowsi võrguketta lisamiseks Ubuntu 8.04 Hardy Heronile tuleb teha järgmist:

* luua sobiv kataloog (näiteks /media/vorguketas – nõnda näidatakse seda ikoonina kohe töölaual)

* installida smbfs-pakk: sudo apt-get install smbfs

* redigeerida faili /etc/nsswitch.conf ja kirjutada hosts:-iga algavale reale “dns” ette “wins”

* installida winbind-pakk: sudo apt-get install winbind

* käivitada võrk uuesti (/etc/init.d/networking restart) või teha masinale taaskäivitus

* luua fail /root/.smbcredentials ja kirjutada sinna kaks rida: username=windowsi_kasutaja ja password=windowsi_parool

* teha too fail loetavaks üksnes adminile: sudo chmod 700 /root/.smbcredentials

* lisada /etc/fstab-faili järgmine pikk lohe (NB! kõik ühele reale): //windowsi_server/kataloog/    /media/vorguketas   cifs  credentials=/root/.smbcredentials,iocharset=utf8,file_mode=0777,dir_mode=0777  0  0

* teha masinale taaskäivitus

VPN-iga läks rohkem aega, kuna temaatika oli veel võõram – süsteem ruigas pidevalt, et “VPN Connection failed.” (ja ei midagi täpsemat… Äbiäbi selle jupi progejatele). Viimaks selgus, et asi oli väga tühise detaili taga kinni.  Kokkuvõttes on süsteem järgmine:

* paigaldada kaks vajalikku pakki: sudo apt-get install pptp-linux network-manager-pptp

* seejärel klõpsata ekraani paremas ülaservas võrguhalduri ikoonile – sinna peaks olema kaabli- ja wifi-ühenduste kõrvale tekkinud eraldi alajaotus “VPN ühendused”. Sealt tuleb valida seadistamine.

* Seadistused on muidu lihtsad – esmalt tuleb valida tüübiks “PPTP tunnel”, seejärel panna järgmisel ekraanil ühendusele nimi ning lisada VPN-serveri aadress. Kuid NB! – lisaks tuleb avada “Autentimise” sakk ning teha linnukesed nii EAP kui ka CHAP keelamise kastidesse (alguses pannakse vaid üks linnuke – see oligi too kurja juur!). Seejärel võib seadistuse lõpetada.

* Uuesti võrguhalduri VPN-alajaotusse ning klõps ühenduse nimele (mis seadistamise alguses sisestatud sai). Nüüd peaks võrguhalduri ikooni ümber tekkima miski kuldse tuulispasa moodi asi ning eduka ühendumise korral kümnekonna sekundi pärast lisandub võrguhalduri ikoonile kuldne tabalukk.

Nii et sebimist jätkus tänaseks küllaga. Ehk aitab see inf mõnel seda vältida.

Oeh…

Paraku peab seekord kristlastele sataniste tsiteerima: kahju, et rumalus inimesele haiget ei tee.

Taustast: Osa fundamentalistlikumast kristlaskonnast (eriti USA lõunaosariikides) [L] usub, et ühel päeval (paljude arvates suhteliselt lähitulevikus) korjatakse kõik “õiged” maailmast üles taevasse ja ülejäänud saavad siis kolm ja pool aastat igasugust nuhtlust, enne kui järgneb tuhandeaastane rahuriik ja seejärel kõik lõplikult läbi saab. Sel teemal on Ameerikamaal kirjutatud mitmeid raamatuid ning tehtud filme ja isegi arvutimänge.

Nüüd on üks abivalmis inimene [L] loonud süsteemi, mis võimaldab peale enda ülesviimist mahajäänud sõpradele sõnumeid saata ning jätta neile ka enda maise vara ligipääsuks vajalik info (loogiline ju, kes teispoolsuses ikka PIN-koode vajab, mahajääjad aga saaksid selle abil nuhtlusi paremini üle elada. Iseenesest ilus mõte). See kõik istutatavat krüpteeritud kujul süsteemi, mis siis saadab kuus päeva peale X-päeva need etteantud aadressidel. Isegi teatavat sorti “surnud käe lüliti” on tehtud – selgituse järgi toimib asi nii, et kui vähemalt kolm viiest asja vedavast tegelasest ei logi kolme päeva jooksul mingisse kohta sisse, järeldab süsteem X-päeva toimunud olevat ning veel kolme päeva pärast saadab kirjad laiali.

Ei hakka siin X-päeva võimalikkuse või võimatuse osas sõna võtma. Küll aga on asi juba tehniliselt ligaloga (päris hästi saab asjast aimu ühest kirjast, mille üks asja autor saatis [L] Wiredi vastava artikli peale). Kas tõesti on kõik asja tegijad ikka nii kindlad, et nad ISE tol päeval sinna ülespoole jõuavad (süsteem näib seda eeldavat)? Ja mis peamine: asi maksab 40 taala aastas ning õelamad inimesed on arvanud, et süsteemi salvestatud infot annab asja tegijatel väga edukalt enda huvides kasutada (lisaks veel kolmanda osapoole ründe võimalus – oletades, et näiteks kasvõi 1% USA elanikkonnast salvestab sinna oma sensitiivse info, on tegu tohutu kullaauguga). Selle kõige peale tuleb meelde üks mees, kes ca kahe tuhande aasta eest Jeruusalemma templis rahavahetajatele ja liigkasuvõtjatele piitsa andis.

APDEIT: [L] Bruce Schneieri blogi sissekanne on ka huvitav lugemine.

Kah e-riik

Aeg-ajalt tuleb Jora peale ikka kommentaarispämmi, mis muidugi avalikkuse ette ei jõua – Akismet teeb väga head tööd ja mõni üksik sealt läbiminev jääb modereerimisse. Täna hommikul aga laekus uue asjana kolm päris eestikeelset spämmi, mida ka Akismet ära ei tundnud (jäi modereerimisjärjekorda). “Tasuta Porno Videosid” pakkunud kodanik tuli IP järgi otsustades Starmani võrgust, seega saatsin neile vastava teate. Võib ju olla tegu ka zombie-arvutiga, aga pigem eeldaksin mõnd kohalikku noort hakkajat “ärimeest” – Eestis asuv arvuti, mida haldab eemalt teine kohalik, ei tundu väga tõenäoline.

Eesti on aga paraku niivõrd väike, et siinmail mingi sarnase asjaga tegelemine end ilmselt ära ei tasu. Seega soovitus – sõber, otsi endale mõni muu tegevus.

ITK vilistlasõhtu

… oli eile päris vahva.

Rahvaesindajate kõned olid lõbusad – eriti Anttix, kes vilistlaste esindajana tuletas “hea sõnaga” meelde omaaegset riski- ja ohutusõpetust (mis tudengite poolt üsna räigelt välja vilistati ning misjärel Kalle selle asemel yours truly [L] ITSPEAd lugema kutsus). Ei tahaks küll õppejõu nahas olla, kes sellise kustumatu mälestuse jätab… 🙁

Seina peale oli ka kogutud erinevaid kilde nii õppejõududelt kui tudengitelt. Mõned mälu järgi meelde tuletatuna:

* Näide sõltumatutest sündmustest: õppejõud jääb joomisega vahele, kuid valitakse aasta õpetajaks

* Ettevõttes loodi uus ametikoht: pihuseadmete spetsialist

* Filosoofilisest vaatenurgast on see veidi perversne.

* Kurat, ise tahate hästimakstud häkkeriteks saada!

* Tudeng: Aga x läheneb ju pii kahendikule! Õppejõud: No las ta kurat läheneb!

Päris hea folkloor igatahes. 🙂 Allakirjutanu tsitaatidest oli muide seal “teete lolli nägu ja jalajälgi”…

Aga hästi tore oli kõiki neid inimesi näha. Seltskond on päris suur, samas on kõik peale I lennu ka ITSPEAst läbi käinud ja tuttavad näod. Selles mõttes oli Anttixil täitsa õigus, et väga palju ei peakski enam kasvama – loodetavasti aga jääb selline omainimeste tunne ka edaspidi alles.

Mikko Hyppönen ITK-s

Täna pidas mainit härra siis ITK-s loengut võrguturbe kohta. Väga asjalik jutt oli – tuline kahju, et sain vaid veidi üle poole kuulata, siis pidi enda loengusse kobima. Kogu asi oli muidugi põhiliselt Windowsi-keskne nagu pahavarajutud ikka, aga hea oli kuulata tõelist proffi (mingi hetkel mitte meeldetulev allikas mainib Hyppöst maailma 50 tähtsaima IT-inimese hulgas).

Kõige ilmekam lugu rääkis Inglismaal elavast (nüüd trellide taga istuvast) Tariq al-Daour’ist (tegelikult olid temaga koos kohtu all veel kaks selli), kes kasutas pahavara edukalt Iraagi mässuliste rahastamiseks alljärgneva skeemiga:

* nuhkvara abil koguti krediitkaardinumbreid, pangaparoole ja muud sarnast.

* raha pesti pokkerisaitidel puhtaks – istuti pokkerilaua taha Me, Myself & I’ga (ehk siis mängiti ise eri kanaleid kaudu kõiki osapooli) ja üks osapool sai endale puhta “mängus võidetud” raha.

* Raha eest osteti mässulistele vajalikku kraami – magamiskotte, GPS-seadmeid, nuge jne.

(sama asja kohta on ka sissekanne [L] F-Secure’i ajaveebis).

Nutikas süsteem igatahes. Ja heaks õpetuseks selle kohta, kui põhjapanev mõju võib olla tavakasutaja tüüprumalusel ja -ükskõiksusel.

Huvitav kogemus

Kakk läks täna Laagri Maksimarketis SEB-i automaadist raha võtma. Kaart sisse, PIN… ja core dump. Windows keeras segi. Kaart aga jäi sisse…

Mõne aja pärast tegi masin siiski külma restardi ja sülitas kaardi välja. Asi võttis aga piisavalt kaua aega (ikka päris mitu minutit), et IT-võõras inimene oleks jõudnud mitu korda paanikasse sattuda (“Ukraadinaaaa! Masin sõi kaardi ära!”).

Päris huvitav oli näha ka käivituva süsteemi poolt ekraanile visatud detaile. Mõnele kräkkerile oleks see ilmselt üsna huvipakkuv olnud. Too Maksimarketi automaat on üldse vist kõige õnnetum omataoline – seal on eri aegadel õnnestunud näha päris mitut Windowsi mahasuremise viisi.

Mida ühist on vaalasõnniku uurijal ja MS turvaspetsil?

Vastus: mõlemad kuuluvad ajakirja Popular Science avaldatud [L] 10 kõige sandima teadusvaldkonna ameti hulka. Loeksime siis ka esikümne ette (tõlkida hetkel ei viitsi):

* 10: Whale-Feces Researcher
* 9: Forensic Entomologist
* 8: Olympic Drug Tester
* 7: Gravity Research Subject
* 6: Microsoft Security Grunt
* 5: Coursework Carcass Preparer
* 4: Garbologist
* 3: Elephant Vasectomist
* 2: Oceanographer
* 1: Hazmat Diver

Mõned asjad on muidugi üllatavad – aga okeanograafide juures mainitakse tegelikult tänamatult rasket tööd. Suhteliselt lõbusa kommentaariumi asja kohta leiab [L] Slashdotist.

Veidi seonduva märkusena: käesolev sissekanne on kirjutatud Keldrimäe majade vahel autos Kiisut arstilt tagasi oodates. Taas leidus paar lahtist WiFi-purki nimega linksys

Jõrinat

Ilmselt paljud arvavad, et Kakk kirub va Pisipehmet liiga palju. Vahel tundub endale ka – aga ainult sinnamaani, kus järgmine värvikas asi sealtpoolt tuleb.

Seekord on see [L] Billi intervjuu Newsweekis. Mõned lahedad tsitaadid:

  • ‘Actually, if you look at Windows strength versus Linux, or versus anything, it’s done very well, because we have this big ecosystem. Next time around we’re going to have a lot more agility.’
  • ‘You’re [referring to] the fact that there have been some security updates already for Windows Vista. This is exactly the way it should work. When somebody comes to us [after discovering a vulnerability] we’ve got [a fix] before there is any exploit. So it’s totally according to plan, and that’s why we have the whole Windows Update thing. We made it way harder for guys to do exploits. The number [of violations] will be way less because we’ve done some dramatic things [to improve security] in the code base. Apple hasn’t done any of those things.’
  • ‘Well, certainly we’ve done a better job letting you upgrade on the hardware than our competitors have done. You can choose to buy a new machine, or you can choose to do an upgrade. And I don’t know why [Apple is] acting like it’s superior. I don’t even get it. What are they trying to say?’
  • ‘security guys break the Mac every single day. Every single day, they come out with a total exploit, your machine can be taken over totally. I dare anybody to do that once a month on the Windows machine.’
  • ‘The more avid users download the upgrades in between, but of XP users how many downloaded a browser that was more advanced than the one they had? Maybe you and the people you know all did, but most people don’t.’
  • Interviewer: ‘So you feel in 2010-2011 Microsoft will be back with the next big one?’ Bill: ‘Absolutely. We’ll tell you how Vista just wasn’t good enough, and we’ll know why, too.’

See intervjuu on seda väärt, et ESR selle oma tavalise piprase kommentaariga varustatuna [L] Halloweeni dokumentidesse lisaks. Kui autorit ei teaks, oleksin surmkindel, et see on MS valvekloun Ballmeri tavaline hülgekõne. Aga ju lähevad kolleegid pikapeale üksteise nägu. Lõpetaks tsitaadiga loo algusest, kus Billil palutakse tuua näide, kuidas ta selgitaks kiiresti ja lihtsalt Vista eeliseid:

The most effective thing would be if I could sit down with them and just take them through the new look for a couple of minutes, show them the Sidebar, show them the way the search lets you go through lots of things, including lots of photos. Set up a parental control. And then I might edit a high-definition movie and make a little DVD that’s got photos. As I went through, they’d think, “Wow, is that something I could use, would that make a difference for me?”

Bzzzt. Wrong.

Intervjuu tropiga

Eespool sai kirjutatud kunni alamatest, kelle pangaarved ära puhastati. Nüüd on hakkajad svenssonid nuhkinud välja konkreetse tegija (võite 3x arvata, kust tüüp pärit on) ja saanud talt isegi [L] intervjuu – teeseldes Suurt Kurja Onu, kes tahab kolme tuhande ameerika raha eest teistele inimestele käkki keerata ja selleks tolle jobu programmi vajab. Õpetlik lugemine. Loodetavasti saab see laip (tüübi pseudonüüm on Corpse) varsti ära tuhastatud.