Silt: turvalisus

Küberfüüsilised süsteemid: hoiatav näide

NB! Järgnev lugu tuli läbi kolmanda inimese, aga olevat juhtunud hiljaaegu ühe lähedase tegelasega. Seega 100% tõestust pole, aga kuna asi kõlab realistlikult, siis panen kirja – õppetunnina igatahes väga värvikas.

Üks inimene võttis koera. Sellise varjupaiga lontu, kes oli üsna õnnelik, et uue kodu sai. Istus kenasti kodus, kui pererahvas ära oli, pahandust ei teinud.

Mõne aja pärast võeti majja robotist põrandapühkija. Aitas kenasti ka lontu kasukast kukkunud karvad kokku korjata, elu oli lihtsam.

Ühel päeval aga läks pererahvas tööle ja lontul läks kõht korrast ära. Valvekaamerast olla näha olnud, et istus õnnetu moega ukse juures ja tahtis välja, aga mis sa hädaga teed… Igatahes oli korter korralikult ära märgistatud.

Robot aga võtnud nõuks enda sisseprogrammeeritud koristusringi tegema minna. Põrandale ilmunud ainesega toime ei tulnud, küll aga suutis selle korraliku sõnnikulaoturi kombel laiali loopida (SHTF!) ning ka ratastega laiali kanda.

Asjade lõplik seis ei ole  teada, aga õppetund näib olevat väga suurte (pruunide) tähtedega kirjutatud… Ja seda annab tegelikult üksjagu laiendada ka muude suure hurraaga kasutuselevõetud tehnoloogiliste lahenduste peale.

Olen pätt

… või midagi sellesarnast – igatahes tuleb peaaegu iga päev mõni e-kiri, kus “Eesti Abipolitsei”, “Riiklik Sandarmeeria” või mõne muu sellise toreda nimega asutus (ükskord kirjutas Elmar Vaher ka!) tahab, et “Laske end kohtus kinni pidada” (vmms andekat) .  Juhtumisi on mõned neist .ru domeeniga (laiskvorstid, bljää!), kõigil on muidugi sabas ka mingisugune ärakrutitud PDF-fail.

Peaks mõned neist Garfile saatma ja laskma Sotsiaalmanipulatsiooni kursuse praktilistest seminaridest osavõtjatel sinna vastu kirjutada (näiteks stiilis, et me oleme siin Tähtis Ameerika Kolmetäheline ja ei salli mingite eesti amatööride tembutamist enda haldusalas…). 😛

Konkurendid ründavad

WordPressiga tehtud veebilehti üritatakse endiselt lihtsa nimede- ja paroolideproovimisega maha võtta. Seal näeb igasugu nimesid, ehkki enamasti on need kas saidi enda nimi või siis eestikeelne “Haldur”, mille pätid on ära õppinud (proovitavad paroolid on tõenäoliselt sama lihtsad). Täna nägi aga üht lausa ausat ründajat, kes proovis nime “konkurendid” (tõsi, kodanik ise tuli hoopis Türgist)…

Firefox ja PDFid

Selgus, et Firefoxi uuendus versioonile 88 tõi kaasa ühe üsna küsitava väärtusega muutuse, nimelt lülitati vaikimisi sisse PDFides JavaScripti käivitamise lubamine. Seda on tarvis vaid väga väheste PDFide juures (peamiselt mõnede PDF-kujul blankettide täitmisel), küll aga annab seda kurjasti kasutada.

Väljalülitamiseks tuleb avada Firefoxi häälestusleht about:config, klõpsata kinnitusnuppu (“Jätkan ettevaatlikult”), kirjutada otsingusse pdfjs.enableScripting, klõpsata selle väärtusel (true) ja seada see false’iks.  Nii saab vähemalt tundmatutest allikatest pärit PDF-e avada natuke turvalisemalt.

Turvatestijad tegutsevad

Mingid sellid on viimase 24 tunni jooksul hoolsasti Jorale pentesti teinud. Küll Rootsist, küll Soomest, küll siitsamast Eestist. Näib, et skriptijuntsud on mingi uue töövahendi kätte saanud – ühes ründes on koos nii Unixi kui Windowsi proovimised. Kui muud ei saa, siis ajavad vähemalt külastuste statistika lakke. 🙂

Oeh

Kulla ERR – kui tahate küberturbeteemadel lugu teha, siis Eestis on päris palju selle ala asjatundjaid. Miks te nende käest sedalaadi asjadele kommentaare ei küsi?

See jutt siin meenutab paraku “Häkkerite” filmi Richard Gilli. Juhtusin sama inimest kuulma ka laivis ühel selle aasta virtuaalkonverentsil, kus ta samamoodi “häkkerite kultuurist” rääkis – täielik puder klassikalistest tarkvarakogukondade häkkeritest ja internetipahalastest (piltlikult öeldes “siga ja kägu on ju mõlemad loomad!”).

Veel turvasoovitustest

Leidsin veebist ühe küberturbeteemalise loo.

Autorit tean veidi ka isiklikult ja ta on vaieldamatult peaga sell (väga huvitava elukäiguga pealegi). Selle kirjutise osas on aga taas väike hämmeldus – kas loetletud sammud on ikka need, mida tuleks praegu esmajärjekorras teha?

Võtame artikli eelduse, et “mitte linkidel klikkida on võimatu”. Esimene küsimus on, kas e-posti ikka peab üldse veebipõhiselt ja HTMLi vormis kasutama? Siinpool on “vana kooli” puht-tekstipõhine ja kohaliku postkastiga lahendus tänini täiesti adekvaatne (selle lisaplussiks on võimalus tuhnida enda varasemas postis ka hetkel, mil võrguühendus puudub).

Teiseks see, et kas tõesti on nii võimatu õpetada inimestele enne klikkimist hiirekursoriga lihtsalt lingile liikumist ja vaatamist, millist tegelikku aadressi veebilehitseja selle all näitab? Olgu, mitte alati ei ole sigadused sealt selgelt näha (ja nagu Kieren õigesti märgib, on aadresse võimalik võltsida) – aga kui kiri väidab, et “mine siit enda GMaili” ja link näitab suvalinenigeeriasait.com-i (ja väga tihti näitab!), siis äkki ei ole ka tädi Maali ja onu Madis nii tuhmid ja saavad aru, et “oot, see pole ju GMail!”? Samas sellega, et suure osa inimeste rumalus/mugavus ning eriti harimatus/teadmatus on “müüdid”, ei saa küll kuidagi nõus olla.

Ülejäänud soovitustekomplekt on kahjuks ebaühtlane ning mõeldud üsna erinevatele sihtgruppidele. Sotsiaalrünnete koolitus? Ülemused. Logianalüüs? Puhtalt IT-inimeste rida, pealegi enamasti reaktiivne ehk tagantjärgitarkus. RFC 2350-ga ei oska 99% inimestest muhvigi peale hakata. CERTi uudiskiri on abiks väga kitsale ringile, kes a) saab sellest aru ja b) ei ole seda infot juba mujalt kätte saanud.

Samas puudub siit artiklist muuhulgas
* sotsiaalmeediakasutuse reeglistiku ja juhiste olulisus (natuke on üldsõnaliselt mainitud isikliku info avaldamise kontrolli vajadust, aga selle koha peal on vist vaja palju täpsemaid suuniseid – kasvõi FB kohta);
* veebilehitseja valik ja haldamine/turvamine (eriti privaatsussätted ja skriptihaldus – märksõna NoScript);
* kaugtöö läbimõeldud korraldus ja õigete vahendite valik  (märksõnad: Zoom ja zoombombing – võrdluseks, Jitsit ja BigBlueButtonit ei tea ilmselt kuigi paljud);
* laste harimine selles vallas – praegusel massilise e-õppe ajastul kriitiliselt tähtis; eriti just seetõttu, et kooli peale reeglina loota ei saa, kuna õpetajad on a) ülekoormatud ja b) veelgi vähem asjas sees;
* mobiilseadme valik ja haldus (eriti BYODi puhul ehk olukorras, kus tööd tehakse isiklike seadmetega – eriti praegu, kus töö käib eri paigus ning näost-näkku infokontroll on palju nõrgem);
* …ja loomulikult eriti habemega asi – oskus valida arvuti operatsioonisüsteemi ning seda edukalt hallata.

Selles mõttes on Mikko Hyppöneni hiljutine avalik veebiseminar märksa kasulikum infoallikas. Ei oskagi arvata – ehk suutis üsna kergekaaluline veebiportaal Kiereni arvamusi omasoodu tõlgendada..?

Kaugtöö ja -nuhkimine

Praeguse pandeemiaga käib kaasas kahte liiki ebameeldivate kahejalgsete vohamine: ühed, kes üritavad haigust ära kasutades igasuguste pettuste abil raha teha (väga jälk seltskond), ja teised, kes ülemustena on kontrollifriigid ja peavad enda töötajaid pättideks. Õnneks endal ei ole sedalaadi ülemust kunagi olnud, aga kuulda on olnud mitmelt poolt ning nüüd on Slashdotis lugu sellest, et seadusliku nuhkvara tootjatel on õnnepäevad ja äri õitseb täiega.

Üks kommentaar toob väga õigesti välja, et sarnaselt tsensorvaraga on sel süsteemil kaks halba tulemust – see ei toimi vilunud kaakidega, kes leiavad alati viisi, kuidas ka sellisest kontrollist mööda hiilida. Samas on see väga efektiivne meetod enda parimatest töötajatest lahtisaamiseks.

Tuleb meelde üksvahe (arvata juba 10 aasta eest) TLÜ-s esinenud tööajatabelite epideemia. Õnneks ei ole pärast seda enam üheski töökohas midagi sarnast kohanud (europrojektide majandamisega pole pidanud tegelema). Nagu laulusalmis: head lapsed kasvavad vitsata.

Ohjah

See tekst siin on huvitav lugemine.  Soovitused sarnanevad igasuguste moodsate kampaaniate omadega, stiilis “kui kepid ringi, kasuta kummi!”.  See idee, et paroole (eriti pangakaartide jms omad) ei ole arukas veebilehitsejasse salvestada, ei näi üldse kellelegi pähe tulevat. Või et brauseritel on olemas privaatrežiim, küpsised jms saasta saab välja visata, brausereid on üldse erinevaid (kasvõi Brave) ning NoScript on üks kasulik jupp (Chrome’ile saab siit). Muust “raketiteadusest” (ära kasuta W….) ei hakka üldse rääkimagi. Või on CERT juba eos käed püsti tõstnud (dambjuuserid…)?

Selliseid kirjutisi on tegelikult vaja. Aga neid võiks kirjutada… teistmoodi. Päriselt ka, see oleks taas üks koht, kus ei tohiks lasta head kriisi raisku minna. Hädaolukordades jõuab inimestele reaalsus palju paremini kohale.

APDEIT 25.03: Täna hommikul sain postkasti kirja ühelt ehitusteaduskonna õppejõult, keda isiklikult ei tunne ja kes kutsus avama üht TTÜ enda SharePointis (!) olevat  PDF-i. Ei näppinud ja kustutasin (pärast hiljem mõtlesin, et oleks pidanud õppevahendina säilitama) – pealelõunal saatis IT-osakond üldise hoiatuse. M.O.T.T.

Litsid mehed need hollandi omad

Sain järjekordse kirja “EU Business Registeri” pättidelt. Seesama seltskond, kes tegutseb Hollandimaal juba vähemalt 20 aastat (ühe tutvustuse 2010. aastast leiab siit, aga sain samasuguse kirja juba 90-ndate lõpus paberil – kusjuures TTÜ ametliku posti kaudu). Skeem on lihtne ja töökindel, kuna totude osakaal ühiskonnas ei näita just langustrendi – saadetakse laiali pakkumine “registreerida enda ettevõte äriregistris” ja lubatakse  “tasuta uuendusi”, blanketil on aga peenes kirjas allakirjutaja poolne lubadus maksta esmase kolmeaastase registreerimise eest umbes ühe kiloeuri kanti raha. Kui järjekordne ignorant alla kirjutab, hakatakse “lepingu järgi” raha välja pressima. Kusjuures reaalselt seda registrit ei eksisteeri.

Oleksin väga üllatunud, kui tegu oleks päriselt hollandlastega. Küll on aga (esialgu) vist hollandlased sealsed võimuesindajad, kes peaksid need tegelinskid välja nuhkima ja “äri” ära lõpetama. Urjuh, häbi.