Veel turvasoovitustest

07.04.2020

Leidsin veebist ühe küberturbeteemalise loo.

Autorit tean veidi ka isiklikult ja ta on vaieldamatult peaga sell (väga huvitava elukäiguga pealegi). Selle kirjutise osas on aga taas väike hämmeldus – kas loetletud sammud on ikka need, mida tuleks praegu esmajärjekorras teha?

Võtame artikli eelduse, et “mitte linkidel klikkida on võimatu”. Esimene küsimus on, kas e-posti ikka peab üldse veebipõhiselt ja HTMLi vormis kasutama? Siinpool on “vana kooli” puht-tekstipõhine ja kohaliku postkastiga lahendus tänini täiesti adekvaatne (selle lisaplussiks on võimalus tuhnida enda varasemas postis ka hetkel, mil võrguühendus puudub).

Teiseks see, et kas tõesti on nii võimatu õpetada inimestele enne klikkimist hiirekursoriga lihtsalt lingile liikumist ja vaatamist, millist tegelikku aadressi veebilehitseja selle all näitab? Olgu, mitte alati ei ole sigadused sealt selgelt näha (ja nagu Kieren õigesti märgib, on aadresse võimalik võltsida) – aga kui kiri väidab, et “mine siit enda GMaili” ja link näitab suvalinenigeeriasait.com-i (ja väga tihti näitab!), siis äkki ei ole ka tädi Maali ja onu Madis nii tuhmid ja saavad aru, et “oot, see pole ju GMail!”? Samas sellega, et suure osa inimeste rumalus/mugavus ning eriti harimatus/teadmatus on “müüdid”, ei saa küll kuidagi nõus olla.

Ülejäänud soovitustekomplekt on kahjuks ebaühtlane ning mõeldud üsna erinevatele sihtgruppidele. Sotsiaalrünnete koolitus? Ülemused. Logianalüüs? Puhtalt IT-inimeste rida, pealegi enamasti reaktiivne ehk tagantjärgitarkus. RFC 2350-ga ei oska 99% inimestest muhvigi peale hakata. CERTi uudiskiri on abiks väga kitsale ringile, kes a) saab sellest aru ja b) ei ole seda infot juba mujalt kätte saanud.

Samas puudub siit artiklist muuhulgas
* sotsiaalmeediakasutuse reeglistiku ja juhiste olulisus (natuke on üldsõnaliselt mainitud isikliku info avaldamise kontrolli vajadust, aga selle koha peal on vist vaja palju täpsemaid suuniseid – kasvõi FB kohta);
* veebilehitseja valik ja haldamine/turvamine (eriti privaatsussätted ja skriptihaldus – märksõna NoScript);
* kaugtöö läbimõeldud korraldus ja õigete vahendite valik  (märksõnad: Zoom ja zoombombing – võrdluseks, Jitsit ja BigBlueButtonit ei tea ilmselt kuigi paljud);
* laste harimine selles vallas – praegusel massilise e-õppe ajastul kriitiliselt tähtis; eriti just seetõttu, et kooli peale reeglina loota ei saa, kuna õpetajad on a) ülekoormatud ja b) veelgi vähem asjas sees;
* mobiilseadme valik ja haldus (eriti BYODi puhul ehk olukorras, kus tööd tehakse isiklike seadmetega – eriti praegu, kus töö käib eri paigus ning näost-näkku infokontroll on palju nõrgem);
* …ja loomulikult eriti habemega asi – oskus valida arvuti operatsioonisüsteemi ning seda edukalt hallata.

Selles mõttes on Mikko Hyppöneni hiljutine avalik veebiseminar märksa kasulikum infoallikas. Ei oskagi arvata – ehk suutis üsna kergekaaluline veebiportaal Kiereni arvamusi omasoodu tõlgendada..?

Kaugtöö ja -nuhkimine

28.03.2020

Praeguse pandeemiaga käib kaasas kahte liiki ebameeldivate kahejalgsete vohamine: ühed, kes üritavad haigust ära kasutades igasuguste pettuste abil raha teha (väga jälk seltskond), ja teised, kes ülemustena on kontrollifriigid ja peavad enda töötajaid pättideks. Õnneks endal ei ole sedalaadi ülemust kunagi olnud, aga kuulda on olnud mitmelt poolt ning nüüd on Slashdotis lugu sellest, et seadusliku nuhkvara tootjatel on õnnepäevad ja äri õitseb täiega.

Üks kommentaar toob väga õigesti välja, et sarnaselt tsensorvaraga on sel süsteemil kaks halba tulemust – see ei toimi vilunud kaakidega, kes leiavad alati viisi, kuidas ka sellisest kontrollist mööda hiilida. Samas on see väga efektiivne meetod enda parimatest töötajatest lahtisaamiseks.

Tuleb meelde üksvahe (arvata juba 10 aasta eest) TLÜ-s esinenud tööajatabelite epideemia. Õnneks ei ole pärast seda enam üheski töökohas midagi sarnast kohanud (europrojektide majandamisega pole pidanud tegelema). Nagu laulusalmis: head lapsed kasvavad vitsata.

Ohjah

24.03.2020

See tekst siin on huvitav lugemine.  Soovitused sarnanevad igasuguste moodsate kampaaniate omadega, stiilis “kui kepid ringi, kasuta kummi!”.  See idee, et paroole (eriti pangakaartide jms omad) ei ole arukas veebilehitsejasse salvestada, ei näi üldse kellelegi pähe tulevat. Või et brauseritel on olemas privaatrežiim, küpsised jms saasta saab välja visata, brausereid on üldse erinevaid (kasvõi Brave) ning NoScript on üks kasulik jupp (Chrome’ile saab siit). Muust “raketiteadusest” (ära kasuta W….) ei hakka üldse rääkimagi. Või on CERT juba eos käed püsti tõstnud (dambjuuserid…)?

Selliseid kirjutisi on tegelikult vaja. Aga neid võiks kirjutada… teistmoodi. Päriselt ka, see oleks taas üks koht, kus ei tohiks lasta head kriisi raisku minna. Hädaolukordades jõuab inimestele reaalsus palju paremini kohale.

APDEIT 25.03: Täna hommikul sain postkasti kirja ühelt ehitusteaduskonna õppejõult, keda isiklikult ei tunne ja kes kutsus avama üht TTÜ enda SharePointis (!) olevat  PDF-i. Ei näppinud ja kustutasin (pärast hiljem mõtlesin, et oleks pidanud õppevahendina säilitama) – pealelõunal saatis IT-osakond üldise hoiatuse. M.O.T.T.

Litsid mehed need hollandi omad

07.02.2020

Sain järjekordse kirja “EU Business Registeri” pättidelt. Seesama seltskond, kes tegutseb Hollandimaal juba vähemalt 20 aastat (ühe tutvustuse 2010. aastast leiab siit, aga sain samasuguse kirja juba 90-ndate lõpus paberil – kusjuures TTÜ ametliku posti kaudu). Skeem on lihtne ja töökindel, kuna totude osakaal ühiskonnas ei näita just langustrendi – saadetakse laiali pakkumine “registreerida enda ettevõte äriregistris” ja lubatakse  “tasuta uuendusi”, blanketil on aga peenes kirjas allakirjutaja poolne lubadus maksta esmase kolmeaastase registreerimise eest umbes ühe kiloeuri kanti raha. Kui järjekordne ignorant alla kirjutab, hakatakse “lepingu järgi” raha välja pressima. Kusjuures reaalselt seda registrit ei eksisteeri.

Oleksin väga üllatunud, kui tegu oleks päriselt hollandlastega. Küll on aga (esialgu) vist hollandlased sealsed võimuesindajad, kes peaksid need tegelinskid välja nuhkima ja “äri” ära lõpetama. Urjuh, häbi.

Raamatuhoiatus: Eddy Willems, “Cyberdanger: Understanding and Guarding against Cybercrime”

31.05.2019

Kevad on alati olnud muuhulgas ka raamatute hankimise aeg ja ühena mitmest sai soetatud ka ülalmainitud teos. Autoriks üks hollandlasest härrasmees, kellest ausalt öeldes varem väga kuulnud ei olnud – aga kuna tudengitele on ka vaja lugemismaterjali soovitada ja tutvustav tekst äratas huvi, sai see Krisost tellitud.

Alustaks positiivsest. Ladusalt kirjutatud ja kohati muhedaid isiklikke lugusid täis lektüür. Üksikute põnevate faktide osas tasus täitsa lugemist.

Negatiivne pool aga ei lase seda raamatut algajate õpikuna (milleks ta on suuresti mõeldud) soovitada. 2019. aasta raamat ei maini üldse tumeveebi, sotsiaalmeedia käsitlus on üsna minimaalne, sotsiaalmanipulatsiooni käsitletakse vähe ja viletsasti, Linuxit  mainitakse vaid möödaminnes (Kali? TAILS?) IoT-d ja mobiilindust käsitlevad osad on lahjavõitu ning avatud lähtekoodi rolli turvamaailmas ei leia sealt samuti.

See raamat on oma olemuselt pärit, no ma ei teagi, aastast 1999? Tegelikult ongi hollandikeelne originaal varem ilmunud ning karta on, et autor lasi vana rasva peal liugu. Rääkimata veel sellistest pärlitest nagu “Unix = Multics – security” ja “C is the language which is unsuitable for programming reliable systems” (vaatasin võrdluseks Wikipedia artiklit, seal seisab “C is widely used for system programming in implementing operating systems and embedded system applications.”). Selle turvaeksperdi maailm piirdub tänini veel Windowsi ja omandvaraga – muidu ei oleks midagi selle vastu, aga siis tulnuks seda otse öelda.

Seega algajatele otse lugemiseks anda ei saa (küll aga saab mõned huvitavad detailid välja nokkida ja siis neid kasutada).

ICR2018: paar mõtet

10.06.2018

Käisin eile TTÜ-s ühel turvateemalisel üritusel. Asi oli hästi korraldatud ja kohal oli põnev seltskond (palju tuttavaid sealhulgas). Kaitsmistenädal oli paraku nii kapsaks võtnud, et õhtusel seltskondlikul ǘritusel jäi käimata.  Ettekandjatest jättis eriti ägeda mulje Kieren Lovell, Cambridge’i taustaga sell, kes nüüd on (nagu domeenist näha) vist eestlaseks hakkamas. Nii head teravat ja “asjast” rääkivat ettekannet ei kuule just tihti. Eriti andekas termin oli “organic networks” ehk ülikoolides levinud praktika, kus kohalik arvutivõrk kasvab nagu kummipuu potis ja keegi ei tea, kuidas täpselt, või et kes selle eest hoolt peaks kandma.

Aga ikkagi – kogu küberturve on suurel määral vastu tuult laskmine senikaua, kuni tavakasutajate seas domineerib (üsna keerutamata öeldes) spekter ausast teadmatusest ülbe juhmuseni ning enamik kasutab endiselt Windowsi (kuna “teised on ju nii keerulised”). Olukord sarnaneb katsega kuklasepesa metsatulekahju eest evakueerida – asukad ei saa aru, mis toimub, kas jooksevad eest ära või teevad päästjale destruktiivse tegevuse eest kambaka. Ja kui nad viimaks aru hakkavad saama, on juba hilja. Windows on nagu SMS-laen – võtavad need, kes tegelikult endale seda kõige vähem võiksid lubada.

Ja siis imestatakse, miks DDoS nii efektiivne on – spetsialistide koolitamisest on vähe kasu, kui kaakidele annavad põhirelva kätte tuhanded ignorandid, kelleni turvainimeste käsi ei küüni. Väike võrdlus: kaua aega peeti Londonis Trafalgari väljakul sealsete tuviparvedega võitlemist lootusetuks ürituseks – viimaks aga võeti asi selle sajandi alguses käsile ja tehtigi ära; pärast selgus, et Nelsoni ausamba essust puhtaksrookimine maksis 140 kilonaela…

Tegelikult tuleks tänapäeval suurema IT-sõltuvusega riikides võtta suund sellele, et IT põhilahendused (teenuseplatvormid) riigistada või viia mittetulundussfääri (sihtasutuse stiilis) – pealisehitis võib jääda äriliseks, kuid alus oleks riiklik; sarnaselt riigikaitsega on see liiga oluline sektor, et lasta mõnel lipsuga aferistil kogu kupatus kokku jooksutada.

Üks näide on Eestis juba olemas ID-kaardi taristu näol – samasugust lähenemist oleks vaja ka riikliku operatsioonisüsteemi ja pilveteenuse näol. Tegelikult oleks ehk isegi mingi variant teha seda kogu EL tasemel (arvestades praegust pidevat hõõrumist Donaldiga lombi taga oleks see eurokraatide vaates ehk isegi sobiv ninanips, kui USA ühel suurfirmal vaipa natuke alt tõmmata).

Sõss kärneriks?

27.02.2018

Üks sõber saatis eile väljavõtte ühest säutsust. Töötasin jupp aega nende firmas ja kirjutasin turvakoolitustele lugusid peale. Säuts oli ühelt pahaselt kliendilt, kellele kohe üldse ei meeldinud asjaolu, et loos oli abivajaks naiste- ja abistajaks meesterahvas (ning mõned asjad veel samast ooperist).

Jäin natuke mõtlema. Kõige lihtsam oleks lihtsalt õlgu kehitada ja öelda midagi stiilis “opinions are like assholes, everybody got one” (koos mentaalse noogutusega “järjekordne lumehelbeke”).  Paraku aga muudab asja see, kus see  lugu juhtus.

Tegemist oli IT-ala turvakoolitusega. Maailma kõigis armeedes on küberüksused ning tõsine küberrünne on tänapäeval juba peaaegu casus belli.  Seega ei ole see valdkond enam ammu “nohikute mängumaa”.  Lahinguväljal vedelakslöömist karistati vanas Roomas detsimeerimisega (üksus rivistati üles, iga kümnes löödi maha).  Selles vallas ei ole päästikuhoiatusi ega turva-alasid (tänapäeva sõsside mõistes, millest siin natuke varem kirjutasin). Ja kui luure ütleb, et konkreetse kaitsja saab rajalt maha võtta millegi nii elementaarsega kui oskuslikult solvav e-kiri, siis seda ka raudselt tehakse.

Olgu – oletame, et kodanik hakkab tegelema millegi lihtsamaga, näiteks Wal-Marti IT-d turvama (tegu oli ameeriklasega). Tekib paralleel poesaali turvamehega, kellele pätt paneb rusika (või ka noa) nina alla ja käratab “Mis sa siin töllad, pede sihuke? Mine munni, juudijunn!” (see peaks küll igasugused päästikud tööle panema).  Kas siis hakatakse nutma ja joostakse kaebama? Või keeratakse ütlejal käsi selja peale ja tüüp kõhuli maha?

Karta on, et kui inimene hakkab põrkama juba nii väikesest asjast kui soorollid õppeloos, siis ei ole tal päriselus just suurt lootust hakkama saada. Ei küber- ega pärisruumis.

Uus on unustatud vana

27.06.2017

Tänased uudised järjekordsest pahavarakampaaniast.

Meenutus LWN 1999. aasta kroonikast: “Melissa creates difficulties worldwide. Linux users yawn.

Rohkem pole vist mõtet midagi lisada.

Hoiatav lugu

22.02.2016

… sellest, kuidas Linuxis pahandust teha. Taas kord on probleem suuresti klaveri ja tooli vahel…  Ja sedalaadi asjadega peab edaspidi üha rohkem arvestama (kusjuures mitte ainult suvaliste pättide puhul – tänapäeva maailmas on üha enam seltskondi, kel oleks otsene huvi võimalikult paljude  inimeste arvutid enda kontrolli alla saada).

Turvalood ajakirjas “30 pluss”

11.12.2015

Sügisel 2015 tehti ettepanek hakata kirjutama tavakasutajale suunatud IT-teemalisi (peamiselt turvalisuse ja privaatsuse teemal) artikleid. Saime toimetusega kokkuleppele ning nüüd avaldan enda lood peale ilmumist ka Kakupesas.  Võib-olla tasub mõnele väiksemate kogemustega arvutikasutajale lugeda anda.