Silt: turvalisus

Olen pätt

… või midagi sellesarnast – igatahes tuleb peaaegu iga päev mõni e-kiri, kus “Eesti Abipolitsei”, “Riiklik Sandarmeeria” või mõne muu sellise toreda nimega asutus (ükskord kirjutas Elmar Vaher ka!) tahab, et “Laske end kohtus kinni pidada” (vmms andekat) .  Juhtumisi on mõned neist .ru domeeniga (laiskvorstid, bljää!), kõigil on muidugi sabas ka mingisugune ärakrutitud PDF-fail.

Peaks mõned neist Garfile saatma ja laskma Sotsiaalmanipulatsiooni kursuse praktilistest seminaridest osavõtjatel sinna vastu kirjutada (näiteks stiilis, et me oleme siin Tähtis Ameerika Kolmetäheline ja ei salli mingite eesti amatööride tembutamist enda haldusalas…). 😛

Konkurendid ründavad

WordPressiga tehtud veebilehti üritatakse endiselt lihtsa nimede- ja paroolideproovimisega maha võtta. Seal näeb igasugu nimesid, ehkki enamasti on need kas saidi enda nimi või siis eestikeelne “Haldur”, mille pätid on ära õppinud (proovitavad paroolid on tõenäoliselt sama lihtsad). Täna nägi aga üht lausa ausat ründajat, kes proovis nime “konkurendid” (tõsi, kodanik ise tuli hoopis Türgist)…

Firefox ja PDFid

Selgus, et Firefoxi uuendus versioonile 88 tõi kaasa ühe üsna küsitava väärtusega muutuse, nimelt lülitati vaikimisi sisse PDFides JavaScripti käivitamise lubamine. Seda on tarvis vaid väga väheste PDFide juures (peamiselt mõnede PDF-kujul blankettide täitmisel), küll aga annab seda kurjasti kasutada.

Väljalülitamiseks tuleb avada Firefoxi häälestusleht about:config, klõpsata kinnitusnuppu (“Jätkan ettevaatlikult”), kirjutada otsingusse pdfjs.enableScripting, klõpsata selle väärtusel (true) ja seada see false’iks.  Nii saab vähemalt tundmatutest allikatest pärit PDF-e avada natuke turvalisemalt.

Turvatestijad tegutsevad

Mingid sellid on viimase 24 tunni jooksul hoolsasti Jorale pentesti teinud. Küll Rootsist, küll Soomest, küll siitsamast Eestist. Näib, et skriptijuntsud on mingi uue töövahendi kätte saanud – ühes ründes on koos nii Unixi kui Windowsi proovimised. Kui muud ei saa, siis ajavad vähemalt külastuste statistika lakke. 🙂

Oeh

Kulla ERR – kui tahate küberturbeteemadel lugu teha, siis Eestis on päris palju selle ala asjatundjaid. Miks te nende käest sedalaadi asjadele kommentaare ei küsi?

See jutt siin meenutab paraku “Häkkerite” filmi Richard Gilli. Juhtusin sama inimest kuulma ka laivis ühel selle aasta virtuaalkonverentsil, kus ta samamoodi “häkkerite kultuurist” rääkis – täielik puder klassikalistest tarkvarakogukondade häkkeritest ja internetipahalastest (piltlikult öeldes “siga ja kägu on ju mõlemad loomad!”).

Veel turvasoovitustest

Leidsin veebist ühe küberturbeteemalise loo.

Autorit tean veidi ka isiklikult ja ta on vaieldamatult peaga sell (väga huvitava elukäiguga pealegi). Selle kirjutise osas on aga taas väike hämmeldus – kas loetletud sammud on ikka need, mida tuleks praegu esmajärjekorras teha?

Võtame artikli eelduse, et “mitte linkidel klikkida on võimatu”. Esimene küsimus on, kas e-posti ikka peab üldse veebipõhiselt ja HTMLi vormis kasutama? Siinpool on “vana kooli” puht-tekstipõhine ja kohaliku postkastiga lahendus tänini täiesti adekvaatne (selle lisaplussiks on võimalus tuhnida enda varasemas postis ka hetkel, mil võrguühendus puudub).

Teiseks see, et kas tõesti on nii võimatu õpetada inimestele enne klikkimist hiirekursoriga lihtsalt lingile liikumist ja vaatamist, millist tegelikku aadressi veebilehitseja selle all näitab? Olgu, mitte alati ei ole sigadused sealt selgelt näha (ja nagu Kieren õigesti märgib, on aadresse võimalik võltsida) – aga kui kiri väidab, et “mine siit enda GMaili” ja link näitab suvalinenigeeriasait.com-i (ja väga tihti näitab!), siis äkki ei ole ka tädi Maali ja onu Madis nii tuhmid ja saavad aru, et “oot, see pole ju GMail!”? Samas sellega, et suure osa inimeste rumalus/mugavus ning eriti harimatus/teadmatus on “müüdid”, ei saa küll kuidagi nõus olla.

Ülejäänud soovitustekomplekt on kahjuks ebaühtlane ning mõeldud üsna erinevatele sihtgruppidele. Sotsiaalrünnete koolitus? Ülemused. Logianalüüs? Puhtalt IT-inimeste rida, pealegi enamasti reaktiivne ehk tagantjärgitarkus. RFC 2350-ga ei oska 99% inimestest muhvigi peale hakata. CERTi uudiskiri on abiks väga kitsale ringile, kes a) saab sellest aru ja b) ei ole seda infot juba mujalt kätte saanud.

Samas puudub siit artiklist muuhulgas
* sotsiaalmeediakasutuse reeglistiku ja juhiste olulisus (natuke on üldsõnaliselt mainitud isikliku info avaldamise kontrolli vajadust, aga selle koha peal on vist vaja palju täpsemaid suuniseid – kasvõi FB kohta);
* veebilehitseja valik ja haldamine/turvamine (eriti privaatsussätted ja skriptihaldus – märksõna NoScript);
* kaugtöö läbimõeldud korraldus ja õigete vahendite valik  (märksõnad: Zoom ja zoombombing – võrdluseks, Jitsit ja BigBlueButtonit ei tea ilmselt kuigi paljud);
* laste harimine selles vallas – praegusel massilise e-õppe ajastul kriitiliselt tähtis; eriti just seetõttu, et kooli peale reeglina loota ei saa, kuna õpetajad on a) ülekoormatud ja b) veelgi vähem asjas sees;
* mobiilseadme valik ja haldus (eriti BYODi puhul ehk olukorras, kus tööd tehakse isiklike seadmetega – eriti praegu, kus töö käib eri paigus ning näost-näkku infokontroll on palju nõrgem);
* …ja loomulikult eriti habemega asi – oskus valida arvuti operatsioonisüsteemi ning seda edukalt hallata.

Selles mõttes on Mikko Hyppöneni hiljutine avalik veebiseminar märksa kasulikum infoallikas. Ei oskagi arvata – ehk suutis üsna kergekaaluline veebiportaal Kiereni arvamusi omasoodu tõlgendada..?

Kaugtöö ja -nuhkimine

Praeguse pandeemiaga käib kaasas kahte liiki ebameeldivate kahejalgsete vohamine: ühed, kes üritavad haigust ära kasutades igasuguste pettuste abil raha teha (väga jälk seltskond), ja teised, kes ülemustena on kontrollifriigid ja peavad enda töötajaid pättideks. Õnneks endal ei ole sedalaadi ülemust kunagi olnud, aga kuulda on olnud mitmelt poolt ning nüüd on Slashdotis lugu sellest, et seadusliku nuhkvara tootjatel on õnnepäevad ja äri õitseb täiega.

Üks kommentaar toob väga õigesti välja, et sarnaselt tsensorvaraga on sel süsteemil kaks halba tulemust – see ei toimi vilunud kaakidega, kes leiavad alati viisi, kuidas ka sellisest kontrollist mööda hiilida. Samas on see väga efektiivne meetod enda parimatest töötajatest lahtisaamiseks.

Tuleb meelde üksvahe (arvata juba 10 aasta eest) TLÜ-s esinenud tööajatabelite epideemia. Õnneks ei ole pärast seda enam üheski töökohas midagi sarnast kohanud (europrojektide majandamisega pole pidanud tegelema). Nagu laulusalmis: head lapsed kasvavad vitsata.

Ohjah

See tekst siin on huvitav lugemine.  Soovitused sarnanevad igasuguste moodsate kampaaniate omadega, stiilis “kui kepid ringi, kasuta kummi!”.  See idee, et paroole (eriti pangakaartide jms omad) ei ole arukas veebilehitsejasse salvestada, ei näi üldse kellelegi pähe tulevat. Või et brauseritel on olemas privaatrežiim, küpsised jms saasta saab välja visata, brausereid on üldse erinevaid (kasvõi Brave) ning NoScript on üks kasulik jupp (Chrome’ile saab siit). Muust “raketiteadusest” (ära kasuta W….) ei hakka üldse rääkimagi. Või on CERT juba eos käed püsti tõstnud (dambjuuserid…)?

Selliseid kirjutisi on tegelikult vaja. Aga neid võiks kirjutada… teistmoodi. Päriselt ka, see oleks taas üks koht, kus ei tohiks lasta head kriisi raisku minna. Hädaolukordades jõuab inimestele reaalsus palju paremini kohale.

APDEIT 25.03: Täna hommikul sain postkasti kirja ühelt ehitusteaduskonna õppejõult, keda isiklikult ei tunne ja kes kutsus avama üht TTÜ enda SharePointis (!) olevat  PDF-i. Ei näppinud ja kustutasin (pärast hiljem mõtlesin, et oleks pidanud õppevahendina säilitama) – pealelõunal saatis IT-osakond üldise hoiatuse. M.O.T.T.

Litsid mehed need hollandi omad

Sain järjekordse kirja “EU Business Registeri” pättidelt. Seesama seltskond, kes tegutseb Hollandimaal juba vähemalt 20 aastat (ühe tutvustuse 2010. aastast leiab siit, aga sain samasuguse kirja juba 90-ndate lõpus paberil – kusjuures TTÜ ametliku posti kaudu). Skeem on lihtne ja töökindel, kuna totude osakaal ühiskonnas ei näita just langustrendi – saadetakse laiali pakkumine “registreerida enda ettevõte äriregistris” ja lubatakse  “tasuta uuendusi”, blanketil on aga peenes kirjas allakirjutaja poolne lubadus maksta esmase kolmeaastase registreerimise eest umbes ühe kiloeuri kanti raha. Kui järjekordne ignorant alla kirjutab, hakatakse “lepingu järgi” raha välja pressima. Kusjuures reaalselt seda registrit ei eksisteeri.

Oleksin väga üllatunud, kui tegu oleks päriselt hollandlastega. Küll on aga (esialgu) vist hollandlased sealsed võimuesindajad, kes peaksid need tegelinskid välja nuhkima ja “äri” ära lõpetama. Urjuh, häbi.

Raamatuhoiatus: Eddy Willems, “Cyberdanger: Understanding and Guarding against Cybercrime”

Kevad on alati olnud muuhulgas ka raamatute hankimise aeg ja ühena mitmest sai soetatud ka ülalmainitud teos. Autoriks üks hollandlasest härrasmees, kellest ausalt öeldes varem väga kuulnud ei olnud – aga kuna tudengitele on ka vaja lugemismaterjali soovitada ja tutvustav tekst äratas huvi, sai see Krisost tellitud.

Alustaks positiivsest. Ladusalt kirjutatud ja kohati muhedaid isiklikke lugusid täis lektüür. Üksikute põnevate faktide osas tasus täitsa lugemist.

Negatiivne pool aga ei lase seda raamatut algajate õpikuna (milleks ta on suuresti mõeldud) soovitada. 2019. aasta raamat ei maini üldse tumeveebi, sotsiaalmeedia käsitlus on üsna minimaalne, sotsiaalmanipulatsiooni käsitletakse vähe ja viletsasti, Linuxit  mainitakse vaid möödaminnes (Kali? TAILS?) IoT-d ja mobiilindust käsitlevad osad on lahjavõitu ning avatud lähtekoodi rolli turvamaailmas ei leia sealt samuti.

See raamat on oma olemuselt pärit, no ma ei teagi, aastast 1999? Tegelikult ongi hollandikeelne originaal varem ilmunud ning karta on, et autor lasi vana rasva peal liugu. Rääkimata veel sellistest pärlitest nagu “Unix = Multics – security” ja “C is the language which is unsuitable for programming reliable systems” (vaatasin võrdluseks Wikipedia artiklit, seal seisab “C is widely used for system programming in implementing operating systems and embedded system applications.”). Selle turvaeksperdi maailm piirdub tänini veel Windowsi ja omandvaraga – muidu ei oleks midagi selle vastu, aga siis tulnuks seda otse öelda.

Seega algajatele otse lugemiseks anda ei saa (küll aga saab mõned huvitavad detailid välja nokkida ja siis neid kasutada).