1. “Loll saab Internetis kah peksa”
(eesti vanasõna, XXI sajand)
Kaido Kikkas
TTÜ IT kolledž
17.09.21
Kaido Kikkas 2021. Käesoleva dokumendi paljundamine, edasiandmine ja/või muutmine on
sätestatud ühega järgnevatest litsentsidest kasutaja valikul:
* GNU Vaba Dokumentatsiooni Litsentsi versioon 1.2 või uuem
* Creative Commonsi Autorile viitamine + Jagamine samadel tingimustel 3.0 Eesti litsents
(CC BY-SA) või uuem
2. 2
Alguseks paar küsimust/väidet suurele
ringile (iseendale vastamiseks)
□
Kasutan arvutit pidevalt administraatori õigustes
□
Hoian nutiseadmes netiühendust pidevalt sees
□
Salvestan paroolid veebilehitsejasse
□
Taaskasutan paroole (mitmes kohas)
□
Minu arvutis/nutiseadmes on programme/äppe,
mille otstarvet ma ei tea
□
Usun, et olen piisavalt lihtne ja tavaline inimene,
et arvutipättidele mitte huvi pakkuda
3. 3
(IT-)turvalisus
□
...on asi, mille eest tuleb maksta – ent on enda
teha, kuidas:
◊ Maksan ajas – leian aega, et endale
ohutu käitumise põhimõtted selgeks
teha
◊ Maksan rahas vmm ressursiga – leian
kellegi, kes minu turvalisuse eest
hoolitseb
□
On olemas ka kolmas variant, mis tuleb
eelkõige siis, kui kumbagi kahest eelmisest ei
valita. Ja see ei ole hea variant
4. 4
Me oleme kõik… administraatorid
https://commons.wikimedia.org/wiki/File:Cartoon_Man_Approving_His_New_Computer.svg
5. 5
Üks suur eksiarvamus
□
“Mina olen liiga pisike tüdruk/poiss, et ma (ja
minu arvuti) kedagi huvitaks.”
□
Jüri või Mari ei huvitagi kedagi, küll aga
huvitab tema arvuti või nutiseade – sellega
saab igasugu asju (sh sigadusi) ette võtta
□
Halvemal juhul peab Jüri või Mari pärast
tõestama hakkama, et tema ei olnud see, kes
kirikumõisa poiste parve jõepõhja lasi
7. 7
Üks tüüpstsenaarium
□
Mingis süsteemis avastatakse turvaauk
□
Info levib võrgus; mõni andekas, ent paha
inimene kirjutab selle jaoks ründevahendi
(exploit)
□
Viimase laadib alla palju inimesi (eri motiividel)
□
Skaneeritakse mingit suurt võrguosa (näiteks
kogu ülikooli võrku) ja otsitakse sealt
konkreetse turvaaugu lahti jätnud (<=
enamasti uuendamata) arvuteid
□
Lahtised arvutid võetakse enda kontrolli alla
8. 8
Järeldus
□
Enda seadmeid tuleb tunda ja suuta neid
hallata – igaüks on enda seadmete
administraator
□
Erandiks on tööandja antud ja keskselt
hallatavad vahendid – aga isegi seal tasub
vähemalt teada, mis sinna paigaldatud on
9. 9
(natuke kahtlane) lohutus
□
K: Kui kaks tüüpi põgenevad lõvi eest, siis kui
kiiresti peavad nad jooksma?
□
V: Kiiremini kui lõvi teine tüüp.
□
Ilmas on külluses aeglasi jooksjaid ja võhikute
arvuteid – seega piisab mõistlikust pingutusest!
https://commons.wikimedia.org/wiki/File:Let_the_Lion%27s_Roar_Last_Forever_!!!!!!
_(2646557294).jpg
10. 10
Ükskord Ameerikas
□
… elas poiss nimega Kevin
□
Kevin oli juba koolis paras naakmann ja leiutas
viisi, kuidas terve Los Angeles bussiga läbi
sõita, selle eest sentigi maksmata
□
Talle meeldis näppida telefone ja arvuteid ning
teistele tünga teha
□
Viimaks sai Kevinist paras kaak ja teda aeti üle
kogu Ameerika igasugu pollarite poolt taga
□
Kevin saadi viimaks kätte ja pandi pokri
□
Kui Kevin välja sai, hakkas ta turvaeksperdiks
11. 11
Kevin Mitnicki turvavalem
□
Turvaekspert Mitnick:
turvalisus koosneb kol-
mest komponendist
◊ Tehnoloogia: arvutid,
tarkvara, võrgud, tulemüürid jne
◊ Koolitus/väljaõpe
◊ Eeskirjad/reeglid
□
Korrutis, mitte summa: kui üks neist on null
või selle lähedal, on sama ka kogu tulemus!
https://en.wikipedia.org/wiki/Kevin_Mitnick#/media/
File:Cyber_Incursion_event_at_the_City_of_London.jpg
12. 12
Mitnicki valem praktikas
□
Näiteks ettevõttes või asutuses:
◊ Kas tehnoloogilised lahendused on
piisavad, ajakohased ja korralikult
hallatud?
◊ Kas töötajad saavad aru, mida erinevad
seadmed teevad, ning oskavad enda
tööks vajalikke seadmeid kasutada?
◊ Kas on olemas piisavad mängureeglid, kas
töötajad on nendega kursis, saavad
nende vajadusest aru ja teavad, mida
nende eiramine kaasa toob?
13. 13
Paralleel teie õppeaine kontekstis
□
Infosüsteemi lihtsaim definitsioon on
◊ Tehnoloogia (IT)
◊ Inimesed
◊ Protsessid
□
Mitnicki valem on sisuliselt sellesama
definitsiooni peegeldus turvalisuse
valdkonnas!
□
Edasi tasuks siit uurida turvastandardeid –
Eestis oli varem ISKE ja nüüd on E-ITS,
teistes maades on omad samalaadsed
14. 14
Kolm ohtlikku seltskonda
□
Eraldi tähelepanu tuleb pöörata kolmele
töötajate grupile:
◊ Juhtkond – suurim üldine võim; võivad
tahta ebamõistlikke privileege/kompro-
misse turvalisuse osas, ülehinnata enda
teadmisi/oskusi või langeda lihtsalt
edevuse ohvriks
◊ Tehnoloogia tippspetsialistid – suurim
tehnoloogiline võim, samad probleemid
◊ Tugipersonal (valvurid, riidehoidjad,
koristajad, kullerid…) - vähe võimu,
vähe raha ja paras siiber, aga palju
võimalusi
15. 15
Ajuk… - vabandust,
sotsiaalmanipulatsioon
□
Tüng Shui meister
Hui Junn Laxti õpetab:
”Aktiveerige oma rikkuse-
kolle ükskõik millises rahva-
rohkes ruumis,vehkides seal
tohutu kööginoa ja sildiga,
kuhu on kirjutatud “Andke
kõik oma raha mulle!”.”
◊ Rohan Candappa, “Väike Tüng Shui
käsiraamat”, Tauno Vahteri tõlge
□
Oluline on osata ÕIGESTI küsida
https://www.raamatuvahetus.ee/img/998592696X.jpg
16. 16
Aga päriselt ka
□
Inglise keeles kasutatakse termineid social
engineering ja no-tech hacking:
◊ Pretexting – poosetamine; eelnevalt
kogutud info kasutamine, ettekäänded
ja tõetruu rolliesitus
◊ Shoulder surfing – üleõlapiilumine
◊ Tailgating – sappavõtmine (uksed!)
◊ Dumpster diving – prügistuhnimine
◊ Mimikri ehk omainimeseks kehastumine
□
Loe edasi: Kevin Mitnick, Christopher Hadnagy,
Johnny Long
17. 17
Näitestsenaarium
□
Osakonna raamatupidaja tädi Maalile helistab
„Martin Meri siseauditi osakonnast“. Küsib
järjekorras (ja kiiresti) selliseid küsimusi:
◊ Mitu töötajat on teie osakonnas?
◊ Kui palju on kõrgharidusega töötajaid?
◊ Kui tihti korraldatakse osakonnas
täienduskoolitusi?
◊ Mis on osakonna personalikulude
kontonumber raamatupidamises?
◊ Mitu töötajat on lahkunud viimase aasta
jooksul?
◊ Milline on osakonna üldine tööõhkkond?
□
Mis siin valesti on...?
18. 18
Natuke tehnilisemad
□
Õngitsemine e. kalastamine (phishing) – lihtsamal
kujul lihtsalt rämpsposti abil kirjasaajate
pettaüritamine; kuulus näide on
http://anton.tkwcy.ee/kraam/tekstid/hanza.html
□
Harpuunimine e. suunatud õngitsemine (spear
phishing) – konkreetsele saajale suunatud
pettus; õnnestumistõenäosus on reeglina palju
suurem (ca 10x)
□
Peibutamine (baiting) – pahavaraga nakatatud
andmekandjate (enamasti mälupulkade) jätmine
käidavatesse kohtadesse
□
Kaevumürgitamine (waterholing) – hästi turvatud
ohvri ründamine kehvemini kaitstud partneri
kaudu (ettevõtte töötajad külastavad saiti X)
19. 19
Kuidas vältida?
□
Mitnicki valem… Eriti kaks tagumist punkti
□
Strateegilised ja suure mõjuga otsused kas läbi
mitme inimese või ajalise viivitusega
□
Läbimõeldud töökeskkond (nii füüsiline kui
virtuaalne ruum)
□
Töötajate motiveerimine ja tagasiside
arvestamine
□
Erandid reeglites on… erandid
20. 20
Vahele natuke kurja nalja
□
Netipetturid ja nigeeria kirjad on paras nuhtlus
□
Juba mõnda aega on aga olemas ka vastukaal
– spordiala nimega scambaiting ehk
pätikottimine
□
Eesmärk: mängida pätile võimalikult
loomingulisel viisil potentsiaalset ohvrit (võib
ka mitut korraga), ajada võimalikult palju
kägu ja lõpetada asi suure värvilise tüngaga
□
Vt näiteks whatsthebloodypoint.com,
scamorama.com, 419eater.com
□
Eetilises mõttes täiesti hall tsoon!
21. 21
Üks väga habemega teema
□
Paroolid…
□
Tänapäeval salasõna => salalause (arvutuslik
piir on kusagil 15 märgi kandis)
□
Reeglina ei kirjutata üles ega taaskasutata,
vajadusel võiks aga kasutada parooliseifi
□
Tähendus tegelikult võib olla, kuid algus ei
tohiks anda välja lõppu – üsna hea
keskteevariant on absurdne eestikeelne lause
◊ N: KalaKuumadVedrud (või selle
edasiarendusena Ka!aKuuMaDW3druD.)
22. 22
Tavakasutaja arvutiturve
□
Ära võta liigseid õigusi
□
Paroolid…
□
1 kasutaja, 1 konto
□
Tunne ja kasuta kaitsetarkvara
□
Tea, mis arvutisse on paigaldatud
□
Oska andmekandjatel orienteeruda
□
Uuenda tarkvara regulaarselt (võhik pigem
automaatselt, oskaja pigem käsitsi)
□
Tunne enda arvuti peamisi riistvaraosi
□
E-postimanused…
□
Viitsi uurida ja õppida
23. 23
Soovitusi nutiseadmetele
□
Tuleta endale meelde: nutiseade on arvuti
(seega kõik eelmise slaidi punktid kehtivad)
□
Ava sidekanalid (mobiil-Internet, WiFi,
Bluetooth, GPS) vastavalt vajadusele
□
Ära kasuta vaikimisi ligipääsukoode
□
Kasuta korralikku ekraanilukku
□
Äppe paigalda nii palju kui vaja, nii vähe kui
võimalik – ja enne paigaldamist uuri tausta
□
Kui paigaldad, tee endale selgeks (sh õigused)
□
Meenutus: selles seadmes on mikrofon,
kaamera ja asukohatuvastus!
24. 24
Veebilehitseja kaitsmisest
□
Sajandivahetuse paiku oli tavainimeste
arvutites põhitegijaks kontoritarkvara
(enamasti MS Office)
□
Tänapäeval on põhirolli võtnud veebis/pilves
asuvad rakendused – isegi MS Office on
osaliselt veebi kolinud
□
Paharettidel tasub seega veebibrauseri
“vallutamine” ennast kuhjaga ära
25. 25
Mõned soovitused
□
Tee veebilehitseja osas teadlik valik (mitte “see
tuli arvutiga kaasa”)
□
Tutvu privaatsuse ja turvalisuse sätetega
□
Uuri, milliseid lisapakette on olemas (eriti
turvalisuse osas) ja tee sealt sobiv valik
□
Võimaluse korral reguleeri skriptide
(veebilehtede poolt lehitsejas käivitatavad
programmid) käivitamisõigusi
□
Soovitav oleks lehitsejasse mitte midagi
salvestada (sh ajalugu ja paroolid) –
mugavus kannatab, turvalisus kasvab tublisti
26. 26
Paar mõtet sotsiaalmeediast ka
□
Enamik sotsiaalseid võrgustikke moodustavad
nn usaldusvõrgustikud (sõbralisti liikmed on
„omad“)
□
Kohati kaugelt liiga palju isiklikku infot!
□
Enamik manipulatsioone algab usalduse
tekitamisest – sellise võrgustiku puhul on
väga suur hulk tööd tihti juba ette ära tehtud
□
Suur probleem – teenuste põimumine (“logi
sisse Facebooki või Google’iga”)
□
Gazzag.com'i juhtum 2006. aastal
27. 27
Kokkuvõtteks
□
Natuke “at-at!”-jutt oli, aga vahel on seda vaja
□
Hästi toimiv ja hallatud IT on kratistki vägevam
abiline – aga “äravihastatuna” paneb veel
hullemini maja põlema
□
Põhiline turvaprobleem asub endiselt klaveri ja
tooli vahel
□
“Piisavalt vähetähtsat inimest” pole olemas
□
Mitnicki valemi võiks kõrva taha panna
28. 28
Edasilugemiseks
□
Kevin Mitnicki raamatud (“The Art of
Deception”, “Ghost in the Wires” jt)
□
Johnny Longi “No Tech Hacking”
□
Steven Hadnagy’i “Social Engineering” (ja
https://www.social-engineer.org/)