Silt: turvalisus

Loll, aga järjekindel

Keegi tont üritas Budokani veebi ukse taga paroole proovida. Suht igapäevane asi, aga seekord tuli ta 300+ masinaga robotvõrguga. Lollina näitas end aga seetõttu, et proovis vaid üht (olematut) kasutajat ja lasi kogu botnetile kahekuulise bänni panna. Aga ju ta otsib järgmised masinad.

Geograafia oli seekord päris huvitav – peamiselt India, aga oli ka jupp Aafrikat, mõned saidid Euroopast ning isegi paar jaapanlast.

APDEIT 04.04: jätkus ka järgmisel päeval. Lihtsalt tilgub ca pooletunniste vahedega.

Hambaharjad ründavad

Sürr lugemine Ars Technica portaalist (ja selle peegeldus Slashdotis) sellest, kuidas Šveitsis tehti DDoS’i… hambaharjadega. Kolm miljonit “nutikat” hambaharja said robotvõrguks ning sellega tehti parajat pahandust.

Eesti keeles on hea kahtpidine lause: “Nutt tuleb peale”. Seda “nutti” topitakse tänapäeval ikka täiesti absurdsetesse kohtadesse. Ehk on edastatavatest andmetest mingitel seltskondadest tõepoolest kasu (on ka konspiratiivsemat sorti arusaamu), aga andmereostusest, energiaraiskamisest ja loomulikult turvalisus- ja privaatsusriivetest tulenev kahju on ikka kõvasti suurem. Nutt tulebki peale.

Ja nii tundub Walt Dismali nimelise kodaniku kommentaar Slashdotis sellest, kuidas varsti nutikad prill-lauad Pentagoni ründavad, ainult natukene jabur.

APDEIT 11.02: Nüüd väidetakse, et seda lugu tegelikult ei juhtunud. Samas on nutistu ebaturvalisus endiselt reaalne ning sedalaadi asjad sisuliselt praeguses seisus vältimatud. Nutistu (ja ka tehisaru) puhul tuleks pigem lähtuda põhimõttest “nii palju kui vajalik, nii vähe kui võimalik” – sinna, kus saab ka ilma, ei peaks neid asju toppima.

 

Küberfüüsilised süsteemid: hoiatav näide

NB! Järgnev lugu tuli läbi kolmanda inimese, aga olevat juhtunud hiljaaegu ühe lähedase tegelasega. Seega 100% tõestust pole, aga kuna asi kõlab realistlikult, siis panen kirja – õppetunnina igatahes väga värvikas.

Üks inimene võttis koera. Sellise varjupaiga lontu, kes oli üsna õnnelik, et uue kodu sai. Istus kenasti kodus, kui pererahvas ära oli, pahandust ei teinud.

Mõne aja pärast võeti majja robotist põrandapühkija. Aitas kenasti ka lontu kasukast kukkunud karvad kokku korjata, elu oli lihtsam.

Ühel päeval aga läks pererahvas tööle ja lontul läks kõht korrast ära. Valvekaamerast olla näha olnud, et istus õnnetu moega ukse juures ja tahtis välja, aga mis sa hädaga teed… Igatahes oli korter korralikult ära märgistatud.

Robot aga võtnud nõuks enda sisseprogrammeeritud koristusringi tegema minna. Põrandale ilmunud ainesega toime ei tulnud, küll aga suutis selle korraliku sõnnikulaoturi kombel laiali loopida (SHTF!) ning ka ratastega laiali kanda.

Asjade lõplik seis ei ole  teada, aga õppetund näib olevat väga suurte (pruunide) tähtedega kirjutatud… Ja seda annab tegelikult üksjagu laiendada ka muude suure hurraaga kasutuselevõetud tehnoloogiliste lahenduste peale.

Olen pätt

… või midagi sellesarnast – igatahes tuleb peaaegu iga päev mõni e-kiri, kus “Eesti Abipolitsei”, “Riiklik Sandarmeeria” või mõne muu sellise toreda nimega asutus (ükskord kirjutas Elmar Vaher ka!) tahab, et “Laske end kohtus kinni pidada” (vmms andekat) .  Juhtumisi on mõned neist .ru domeeniga (laiskvorstid, bljää!), kõigil on muidugi sabas ka mingisugune ärakrutitud PDF-fail.

Peaks mõned neist Garfile saatma ja laskma Sotsiaalmanipulatsiooni kursuse praktilistest seminaridest osavõtjatel sinna vastu kirjutada (näiteks stiilis, et me oleme siin Tähtis Ameerika Kolmetäheline ja ei salli mingite eesti amatööride tembutamist enda haldusalas…). 😛

Konkurendid ründavad

WordPressiga tehtud veebilehti üritatakse endiselt lihtsa nimede- ja paroolideproovimisega maha võtta. Seal näeb igasugu nimesid, ehkki enamasti on need kas saidi enda nimi või siis eestikeelne “Haldur”, mille pätid on ära õppinud (proovitavad paroolid on tõenäoliselt sama lihtsad). Täna nägi aga üht lausa ausat ründajat, kes proovis nime “konkurendid” (tõsi, kodanik ise tuli hoopis Türgist)…

Firefox ja PDFid

Selgus, et Firefoxi uuendus versioonile 88 tõi kaasa ühe üsna küsitava väärtusega muutuse, nimelt lülitati vaikimisi sisse PDFides JavaScripti käivitamise lubamine. Seda on tarvis vaid väga väheste PDFide juures (peamiselt mõnede PDF-kujul blankettide täitmisel), küll aga annab seda kurjasti kasutada.

Väljalülitamiseks tuleb avada Firefoxi häälestusleht about:config, klõpsata kinnitusnuppu (“Jätkan ettevaatlikult”), kirjutada otsingusse pdfjs.enableScripting, klõpsata selle väärtusel (true) ja seada see false’iks.  Nii saab vähemalt tundmatutest allikatest pärit PDF-e avada natuke turvalisemalt.

Turvatestijad tegutsevad

Mingid sellid on viimase 24 tunni jooksul hoolsasti Jorale pentesti teinud. Küll Rootsist, küll Soomest, küll siitsamast Eestist. Näib, et skriptijuntsud on mingi uue töövahendi kätte saanud – ühes ründes on koos nii Unixi kui Windowsi proovimised. Kui muud ei saa, siis ajavad vähemalt külastuste statistika lakke. 🙂

Oeh

Kulla ERR – kui tahate küberturbeteemadel lugu teha, siis Eestis on päris palju selle ala asjatundjaid. Miks te nende käest sedalaadi asjadele kommentaare ei küsi?

See jutt siin meenutab paraku “Häkkerite” filmi Richard Gilli. Juhtusin sama inimest kuulma ka laivis ühel selle aasta virtuaalkonverentsil, kus ta samamoodi “häkkerite kultuurist” rääkis – täielik puder klassikalistest tarkvarakogukondade häkkeritest ja internetipahalastest (piltlikult öeldes “siga ja kägu on ju mõlemad loomad!”).

Veel turvasoovitustest

Leidsin veebist ühe küberturbeteemalise loo.

Autorit tean veidi ka isiklikult ja ta on vaieldamatult peaga sell (väga huvitava elukäiguga pealegi). Selle kirjutise osas on aga taas väike hämmeldus – kas loetletud sammud on ikka need, mida tuleks praegu esmajärjekorras teha?

Võtame artikli eelduse, et “mitte linkidel klikkida on võimatu”. Esimene küsimus on, kas e-posti ikka peab üldse veebipõhiselt ja HTMLi vormis kasutama? Siinpool on “vana kooli” puht-tekstipõhine ja kohaliku postkastiga lahendus tänini täiesti adekvaatne (selle lisaplussiks on võimalus tuhnida enda varasemas postis ka hetkel, mil võrguühendus puudub).

Teiseks see, et kas tõesti on nii võimatu õpetada inimestele enne klikkimist hiirekursoriga lihtsalt lingile liikumist ja vaatamist, millist tegelikku aadressi veebilehitseja selle all näitab? Olgu, mitte alati ei ole sigadused sealt selgelt näha (ja nagu Kieren õigesti märgib, on aadresse võimalik võltsida) – aga kui kiri väidab, et “mine siit enda GMaili” ja link näitab suvalinenigeeriasait.com-i (ja väga tihti näitab!), siis äkki ei ole ka tädi Maali ja onu Madis nii tuhmid ja saavad aru, et “oot, see pole ju GMail!”? Samas sellega, et suure osa inimeste rumalus/mugavus ning eriti harimatus/teadmatus on “müüdid”, ei saa küll kuidagi nõus olla.

Ülejäänud soovitustekomplekt on kahjuks ebaühtlane ning mõeldud üsna erinevatele sihtgruppidele. Sotsiaalrünnete koolitus? Ülemused. Logianalüüs? Puhtalt IT-inimeste rida, pealegi enamasti reaktiivne ehk tagantjärgitarkus. RFC 2350-ga ei oska 99% inimestest muhvigi peale hakata. CERTi uudiskiri on abiks väga kitsale ringile, kes a) saab sellest aru ja b) ei ole seda infot juba mujalt kätte saanud.

Samas puudub siit artiklist muuhulgas
* sotsiaalmeediakasutuse reeglistiku ja juhiste olulisus (natuke on üldsõnaliselt mainitud isikliku info avaldamise kontrolli vajadust, aga selle koha peal on vist vaja palju täpsemaid suuniseid – kasvõi FB kohta);
* veebilehitseja valik ja haldamine/turvamine (eriti privaatsussätted ja skriptihaldus – märksõna NoScript);
* kaugtöö läbimõeldud korraldus ja õigete vahendite valik  (märksõnad: Zoom ja zoombombing – võrdluseks, Jitsit ja BigBlueButtonit ei tea ilmselt kuigi paljud);
* laste harimine selles vallas – praegusel massilise e-õppe ajastul kriitiliselt tähtis; eriti just seetõttu, et kooli peale reeglina loota ei saa, kuna õpetajad on a) ülekoormatud ja b) veelgi vähem asjas sees;
* mobiilseadme valik ja haldus (eriti BYODi puhul ehk olukorras, kus tööd tehakse isiklike seadmetega – eriti praegu, kus töö käib eri paigus ning näost-näkku infokontroll on palju nõrgem);
* …ja loomulikult eriti habemega asi – oskus valida arvuti operatsioonisüsteemi ning seda edukalt hallata.

Selles mõttes on Mikko Hyppöneni hiljutine avalik veebiseminar märksa kasulikum infoallikas. Ei oskagi arvata – ehk suutis üsna kergekaaluline veebiportaal Kiereni arvamusi omasoodu tõlgendada..?

Kaugtöö ja -nuhkimine

Praeguse pandeemiaga käib kaasas kahte liiki ebameeldivate kahejalgsete vohamine: ühed, kes üritavad haigust ära kasutades igasuguste pettuste abil raha teha (väga jälk seltskond), ja teised, kes ülemustena on kontrollifriigid ja peavad enda töötajaid pättideks. Õnneks endal ei ole sedalaadi ülemust kunagi olnud, aga kuulda on olnud mitmelt poolt ning nüüd on Slashdotis lugu sellest, et seadusliku nuhkvara tootjatel on õnnepäevad ja äri õitseb täiega.

Üks kommentaar toob väga õigesti välja, et sarnaselt tsensorvaraga on sel süsteemil kaks halba tulemust – see ei toimi vilunud kaakidega, kes leiavad alati viisi, kuidas ka sellisest kontrollist mööda hiilida. Samas on see väga efektiivne meetod enda parimatest töötajatest lahtisaamiseks.

Tuleb meelde üksvahe (arvata juba 10 aasta eest) TLÜ-s esinenud tööajatabelite epideemia. Õnneks ei ole pärast seda enam üheski töökohas midagi sarnast kohanud (europrojektide majandamisega pole pidanud tegelema). Nagu laulusalmis: head lapsed kasvavad vitsata.