SlideShare a Scribd company logo

"Loll saab Internetis kah peksa"

Kaido Kikkas
Kaido Kikkas

2. külalisloeng TTÜ kursusel "Tarkvaratehnoloogiad" (MMT5790).

Education
1 of 29
Download to read offline
“Loll saab Internetis kah peksa” (eesti vanasõna, XXI sajand) Kaido Kikkas TTÜ IT kolledž 17.09.21 Kaido Kikkas 2021. Käesoleva dokumendi paljundamine, edasiandmine ja/või muutmine on sätestatud ühega järgnevatest litsentsidest kasutaja valikul: * GNU Vaba Dokumentatsiooni Litsentsi versioon 1.2 või uuem * Creative Commonsi Autorile viitamine + Jagamine samadel tingimustel 3.0 Eesti litsents (CC BY-SA) või uuem
2 Alguseks paar küsimust/väidet suurele ringile (iseendale vastamiseks) □ Kasutan arvutit pidevalt administraatori õigustes □ Hoian nutiseadmes netiühendust pidevalt sees □ Salvestan paroolid veebilehitsejasse □ Taaskasutan paroole (mitmes kohas) □ Minu arvutis/nutiseadmes on programme/äppe, mille otstarvet ma ei tea □ Usun, et olen piisavalt lihtne ja tavaline inimene, et arvutipättidele mitte huvi pakkuda
3 (IT-)turvalisus □ ...on asi, mille eest tuleb maksta – ent on enda teha, kuidas: ◊ Maksan ajas – leian aega, et endale ohutu käitumise põhimõtted selgeks teha ◊ Maksan rahas vmm ressursiga – leian kellegi, kes minu turvalisuse eest hoolitseb □ On olemas ka kolmas variant, mis tuleb eelkõige siis, kui kumbagi kahest eelmisest ei valita. Ja see ei ole hea variant
4 Me oleme kõik… administraatorid https://commons.wikimedia.org/wiki/File:Cartoon_Man_Approving_His_New_Computer.svg
5 Üks suur eksiarvamus □ “Mina olen liiga pisike tüdruk/poiss, et ma (ja minu arvuti) kedagi huvitaks.” □ Jüri või Mari ei huvitagi kedagi, küll aga huvitab tema arvuti või nutiseade – sellega saab igasugu asju (sh sigadusi) ette võtta □ Halvemal juhul peab Jüri või Mari pärast tõestama hakkama, et tema ei olnud see, kes kirikumõisa poiste parve jõepõhja lasi
6 Robotvõrk ehk botnet https://commons.wikimedia.org/wiki/File:Zombie-process.svg
7 Üks tüüpstsenaarium □ Mingis süsteemis avastatakse turvaauk □ Info levib võrgus; mõni andekas, ent paha inimene kirjutab selle jaoks ründevahendi (exploit) □ Viimase laadib alla palju inimesi (eri motiividel) □ Skaneeritakse mingit suurt võrguosa (näiteks kogu ülikooli võrku) ja otsitakse sealt konkreetse turvaaugu lahti jätnud (<= enamasti uuendamata) arvuteid □ Lahtised arvutid võetakse enda kontrolli alla
8 Järeldus □ Enda seadmeid tuleb tunda ja suuta neid hallata – igaüks on enda seadmete administraator □ Erandiks on tööandja antud ja keskselt hallatavad vahendid – aga isegi seal tasub vähemalt teada, mis sinna paigaldatud on
9 (natuke kahtlane) lohutus □ K: Kui kaks tüüpi põgenevad lõvi eest, siis kui kiiresti peavad nad jooksma? □ V: Kiiremini kui lõvi teine tüüp. □ Ilmas on külluses aeglasi jooksjaid ja võhikute arvuteid – seega piisab mõistlikust pingutusest! https://commons.wikimedia.org/wiki/File:Let_the_Lion%27s_Roar_Last_Forever_!!!!!! _(2646557294).jpg
10 Ükskord Ameerikas □ … elas poiss nimega Kevin □ Kevin oli juba koolis paras naakmann ja leiutas viisi, kuidas terve Los Angeles bussiga läbi sõita, selle eest sentigi maksmata □ Talle meeldis näppida telefone ja arvuteid ning teistele tünga teha □ Viimaks sai Kevinist paras kaak ja teda aeti üle kogu Ameerika igasugu pollarite poolt taga □ Kevin saadi viimaks kätte ja pandi pokri □ Kui Kevin välja sai, hakkas ta turvaeksperdiks
11 Kevin Mitnicki turvavalem □ Turvaekspert Mitnick: turvalisus koosneb kol- mest komponendist ◊ Tehnoloogia: arvutid, tarkvara, võrgud, tulemüürid jne ◊ Koolitus/väljaõpe ◊ Eeskirjad/reeglid □ Korrutis, mitte summa: kui üks neist on null või selle lähedal, on sama ka kogu tulemus! https://en.wikipedia.org/wiki/Kevin_Mitnick#/media/ File:Cyber_Incursion_event_at_the_City_of_London.jpg
12 Mitnicki valem praktikas □ Näiteks ettevõttes või asutuses: ◊ Kas tehnoloogilised lahendused on piisavad, ajakohased ja korralikult hallatud? ◊ Kas töötajad saavad aru, mida erinevad seadmed teevad, ning oskavad enda tööks vajalikke seadmeid kasutada? ◊ Kas on olemas piisavad mängureeglid, kas töötajad on nendega kursis, saavad nende vajadusest aru ja teavad, mida nende eiramine kaasa toob?
13 Paralleel teie õppeaine kontekstis □ Infosüsteemi lihtsaim definitsioon on ◊ Tehnoloogia (IT) ◊ Inimesed ◊ Protsessid □ Mitnicki valem on sisuliselt sellesama definitsiooni peegeldus turvalisuse valdkonnas! □ Edasi tasuks siit uurida turvastandardeid – Eestis oli varem ISKE ja nüüd on E-ITS, teistes maades on omad samalaadsed
14 Kolm ohtlikku seltskonda □ Eraldi tähelepanu tuleb pöörata kolmele töötajate grupile: ◊ Juhtkond – suurim üldine võim; võivad tahta ebamõistlikke privileege/kompro- misse turvalisuse osas, ülehinnata enda teadmisi/oskusi või langeda lihtsalt edevuse ohvriks ◊ Tehnoloogia tippspetsialistid – suurim tehnoloogiline võim, samad probleemid ◊ Tugipersonal (valvurid, riidehoidjad, koristajad, kullerid…) - vähe võimu, vähe raha ja paras siiber, aga palju võimalusi
15 Ajuk… - vabandust, sotsiaalmanipulatsioon □ Tüng Shui meister Hui Junn Laxti õpetab: ”Aktiveerige oma rikkuse- kolle ükskõik millises rahva- rohkes ruumis,vehkides seal tohutu kööginoa ja sildiga, kuhu on kirjutatud “Andke kõik oma raha mulle!”.” ◊ Rohan Candappa, “Väike Tüng Shui käsiraamat”, Tauno Vahteri tõlge □ Oluline on osata ÕIGESTI küsida https://www.raamatuvahetus.ee/img/998592696X.jpg
16 Aga päriselt ka □ Inglise keeles kasutatakse termineid social engineering ja no-tech hacking: ◊ Pretexting – poosetamine; eelnevalt kogutud info kasutamine, ettekäänded ja tõetruu rolliesitus ◊ Shoulder surfing – üleõlapiilumine ◊ Tailgating – sappavõtmine (uksed!) ◊ Dumpster diving – prügistuhnimine ◊ Mimikri ehk omainimeseks kehastumine □ Loe edasi: Kevin Mitnick, Christopher Hadnagy, Johnny Long
17 Näitestsenaarium □ Osakonna raamatupidaja tädi Maalile helistab „Martin Meri siseauditi osakonnast“. Küsib järjekorras (ja kiiresti) selliseid küsimusi: ◊ Mitu töötajat on teie osakonnas? ◊ Kui palju on kõrgharidusega töötajaid? ◊ Kui tihti korraldatakse osakonnas täienduskoolitusi? ◊ Mis on osakonna personalikulude kontonumber raamatupidamises? ◊ Mitu töötajat on lahkunud viimase aasta jooksul? ◊ Milline on osakonna üldine tööõhkkond? □ Mis siin valesti on...?
18 Natuke tehnilisemad □ Õngitsemine e. kalastamine (phishing) – lihtsamal kujul lihtsalt rämpsposti abil kirjasaajate pettaüritamine; kuulus näide on http://anton.tkwcy.ee/kraam/tekstid/hanza.html □ Harpuunimine e. suunatud õngitsemine (spear phishing) – konkreetsele saajale suunatud pettus; õnnestumistõenäosus on reeglina palju suurem (ca 10x) □ Peibutamine (baiting) – pahavaraga nakatatud andmekandjate (enamasti mälupulkade) jätmine käidavatesse kohtadesse □ Kaevumürgitamine (waterholing) – hästi turvatud ohvri ründamine kehvemini kaitstud partneri kaudu (ettevõtte töötajad külastavad saiti X)
19 Kuidas vältida? □ Mitnicki valem… Eriti kaks tagumist punkti □ Strateegilised ja suure mõjuga otsused kas läbi mitme inimese või ajalise viivitusega □ Läbimõeldud töökeskkond (nii füüsiline kui virtuaalne ruum) □ Töötajate motiveerimine ja tagasiside arvestamine □ Erandid reeglites on… erandid
20 Vahele natuke kurja nalja □ Netipetturid ja nigeeria kirjad on paras nuhtlus □ Juba mõnda aega on aga olemas ka vastukaal – spordiala nimega scambaiting ehk pätikottimine □ Eesmärk: mängida pätile võimalikult loomingulisel viisil potentsiaalset ohvrit (võib ka mitut korraga), ajada võimalikult palju kägu ja lõpetada asi suure värvilise tüngaga □ Vt näiteks whatsthebloodypoint.com, scamorama.com, 419eater.com □ Eetilises mõttes täiesti hall tsoon!
21 Üks väga habemega teema □ Paroolid… □ Tänapäeval salasõna => salalause (arvutuslik piir on kusagil 15 märgi kandis) □ Reeglina ei kirjutata üles ega taaskasutata, vajadusel võiks aga kasutada parooliseifi □ Tähendus tegelikult võib olla, kuid algus ei tohiks anda välja lõppu – üsna hea keskteevariant on absurdne eestikeelne lause ◊ N: KalaKuumadVedrud (või selle edasiarendusena Ka!aKuuMaDW3druD.)
22 Tavakasutaja arvutiturve □ Ära võta liigseid õigusi □ Paroolid… □ 1 kasutaja, 1 konto □ Tunne ja kasuta kaitsetarkvara □ Tea, mis arvutisse on paigaldatud □ Oska andmekandjatel orienteeruda □ Uuenda tarkvara regulaarselt (võhik pigem automaatselt, oskaja pigem käsitsi) □ Tunne enda arvuti peamisi riistvaraosi □ E-postimanused… □ Viitsi uurida ja õppida
23 Soovitusi nutiseadmetele □ Tuleta endale meelde: nutiseade on arvuti (seega kõik eelmise slaidi punktid kehtivad) □ Ava sidekanalid (mobiil-Internet, WiFi, Bluetooth, GPS) vastavalt vajadusele □ Ära kasuta vaikimisi ligipääsukoode □ Kasuta korralikku ekraanilukku □ Äppe paigalda nii palju kui vaja, nii vähe kui võimalik – ja enne paigaldamist uuri tausta □ Kui paigaldad, tee endale selgeks (sh õigused) □ Meenutus: selles seadmes on mikrofon, kaamera ja asukohatuvastus!
24 Veebilehitseja kaitsmisest □ Sajandivahetuse paiku oli tavainimeste arvutites põhitegijaks kontoritarkvara (enamasti MS Office) □ Tänapäeval on põhirolli võtnud veebis/pilves asuvad rakendused – isegi MS Office on osaliselt veebi kolinud □ Paharettidel tasub seega veebibrauseri “vallutamine” ennast kuhjaga ära
25 Mõned soovitused □ Tee veebilehitseja osas teadlik valik (mitte “see tuli arvutiga kaasa”) □ Tutvu privaatsuse ja turvalisuse sätetega □ Uuri, milliseid lisapakette on olemas (eriti turvalisuse osas) ja tee sealt sobiv valik □ Võimaluse korral reguleeri skriptide (veebilehtede poolt lehitsejas käivitatavad programmid) käivitamisõigusi □ Soovitav oleks lehitsejasse mitte midagi salvestada (sh ajalugu ja paroolid) – mugavus kannatab, turvalisus kasvab tublisti
26 Paar mõtet sotsiaalmeediast ka □ Enamik sotsiaalseid võrgustikke moodustavad nn usaldusvõrgustikud (sõbralisti liikmed on „omad“) □ Kohati kaugelt liiga palju isiklikku infot! □ Enamik manipulatsioone algab usalduse tekitamisest – sellise võrgustiku puhul on väga suur hulk tööd tihti juba ette ära tehtud □ Suur probleem – teenuste põimumine (“logi sisse Facebooki või Google’iga”) □ Gazzag.com'i juhtum 2006. aastal
27 Kokkuvõtteks □ Natuke “at-at!”-jutt oli, aga vahel on seda vaja □ Hästi toimiv ja hallatud IT on kratistki vägevam abiline – aga “äravihastatuna” paneb veel hullemini maja põlema □ Põhiline turvaprobleem asub endiselt klaveri ja tooli vahel □ “Piisavalt vähetähtsat inimest” pole olemas □ Mitnicki valemi võiks kõrva taha panna
28 Edasilugemiseks □ Kevin Mitnicki raamatud (“The Art of Deception”, “Ghost in the Wires” jt) □ Johnny Longi “No Tech Hacking” □ Steven Hadnagy’i “Social Engineering” (ja https://www.social-engineer.org/)
29 Aitäh kuulamast! Need slaidid leiab aadressilt https://www.slideshare.net/UncleOwl

Recommended

Arvutikasutaja turva-aabits
Arvutikasutaja turva-aabitsArvutikasutaja turva-aabits
Arvutikasutaja turva-aabitsdaniellabo
 
Alustav ettevõtja ja tarkvaralitsentsid 190522.pdf
Alustav ettevõtja ja tarkvaralitsentsid 190522.pdfAlustav ettevõtja ja tarkvaralitsentsid 190522.pdf
Alustav ettevõtja ja tarkvaralitsentsid 190522.pdfKaido Kikkas
 
Avatud e-kursuse kogemusi COVID-19 ajastul
Avatud e-kursuse kogemusi COVID-19 ajastulAvatud e-kursuse kogemusi COVID-19 ajastul
Avatud e-kursuse kogemusi COVID-19 ajastulKaido Kikkas
 
Tants intellektuaalomandi ümber
Tants intellektuaalomandi ümberTants intellektuaalomandi ümber
Tants intellektuaalomandi ümberKaido Kikkas
 
Digital Survival Skills: A Course for TalTech Employees
Digital Survival Skills: A Course for TalTech EmployeesDigital Survival Skills: A Course for TalTech Employees
Digital Survival Skills: A Course for TalTech EmployeesKaido Kikkas
 
A Different Kind of E-Learning
A Different Kind of E-LearningA Different Kind of E-Learning
A Different Kind of E-LearningKaido Kikkas
 
Itti püsti & pikali
Itti püsti & pikaliItti püsti & pikali
Itti püsti & pikaliKaido Kikkas
 
One Flew Over the Hackers' Nest...
One Flew Over the Hackers' Nest...One Flew Over the Hackers' Nest...
One Flew Over the Hackers' Nest...Kaido Kikkas
 

Recommended

Arvutikasutaja turva-aabits
Arvutikasutaja turva-aabitsArvutikasutaja turva-aabits
Arvutikasutaja turva-aabitsdaniellabo
 
Alustav ettevõtja ja tarkvaralitsentsid 190522.pdf
Alustav ettevõtja ja tarkvaralitsentsid 190522.pdfAlustav ettevõtja ja tarkvaralitsentsid 190522.pdf
Alustav ettevõtja ja tarkvaralitsentsid 190522.pdfKaido Kikkas
 
Avatud e-kursuse kogemusi COVID-19 ajastul
Avatud e-kursuse kogemusi COVID-19 ajastulAvatud e-kursuse kogemusi COVID-19 ajastul
Avatud e-kursuse kogemusi COVID-19 ajastulKaido Kikkas
 
Tants intellektuaalomandi ümber
Tants intellektuaalomandi ümberTants intellektuaalomandi ümber
Tants intellektuaalomandi ümberKaido Kikkas
 
Digital Survival Skills: A Course for TalTech Employees
Digital Survival Skills: A Course for TalTech EmployeesDigital Survival Skills: A Course for TalTech Employees
Digital Survival Skills: A Course for TalTech EmployeesKaido Kikkas
 
A Different Kind of E-Learning
A Different Kind of E-LearningA Different Kind of E-Learning
A Different Kind of E-LearningKaido Kikkas
 
Itti püsti & pikali
Itti püsti & pikaliItti püsti & pikali
Itti püsti & pikaliKaido Kikkas
 
One Flew Over the Hackers' Nest...
One Flew Over the Hackers' Nest...One Flew Over the Hackers' Nest...
One Flew Over the Hackers' Nest...Kaido Kikkas
 
Garage48 accessibility talk 261114
Garage48 accessibility talk 261114Garage48 accessibility talk 261114
Garage48 accessibility talk 261114Kaido Kikkas
 
Vaba ja tasuta...?
Vaba ja tasuta...?Vaba ja tasuta...?
Vaba ja tasuta...?Kaido Kikkas
 
"If I Don't Like Your Online Profile, I Will Not Hire You!"
"If I Don't Like Your Online Profile, I Will Not Hire You!""If I Don't Like Your Online Profile, I Will Not Hire You!"
"If I Don't Like Your Online Profile, I Will Not Hire You!"Kaido Kikkas
 
EeNET: development and lessons
EeNET: development and lessonsEeNET: development and lessons
EeNET: development and lessonsKaido Kikkas
 
Turvalise Interneti päev 11. veebruaril 2014
Turvalise Interneti päev 11. veebruaril 2014Turvalise Interneti päev 11. veebruaril 2014
Turvalise Interneti päev 11. veebruaril 2014Kaido Kikkas
 
„The four most-used passwords are love, sex, secret, and God“: password secur...
„The four most-used passwords are love, sex, secret, and God“: password secur...„The four most-used passwords are love, sex, secret, and God“: password secur...
„The four most-used passwords are love, sex, secret, and God“: password secur...Kaido Kikkas
 
Of Hobbits, Amish, Hackers and Technology 2014
Of Hobbits, Amish, Hackers and Technology 2014Of Hobbits, Amish, Hackers and Technology 2014
Of Hobbits, Amish, Hackers and Technology 2014Kaido Kikkas
 
Hüüru Teabetoa arvutikoolitus 16.02.13
Hüüru Teabetoa arvutikoolitus 16.02.13Hüüru Teabetoa arvutikoolitus 16.02.13
Hüüru Teabetoa arvutikoolitus 16.02.13Kaido Kikkas
 
Code of Ethics in E-learning
Code of Ethics in E-learningCode of Ethics in E-learning
Code of Ethics in E-learningKaido Kikkas
 
Võrgustikuseminar 260412 wikiversity
Võrgustikuseminar 260412 wikiversityVõrgustikuseminar 260412 wikiversity
Võrgustikuseminar 260412 wikiversityKaido Kikkas
 
Teeme ise muinasjuttu - Wesnothi õpituba
Teeme ise muinasjuttu - Wesnothi õpitubaTeeme ise muinasjuttu - Wesnothi õpituba
Teeme ise muinasjuttu - Wesnothi õpitubaKaido Kikkas
 
Open Courses: The Next Big Thing in E-Learning?
Open Courses: The Next Big Thing in E-Learning?Open Courses: The Next Big Thing in E-Learning?
Open Courses: The Next Big Thing in E-Learning?Kaido Kikkas
 
Necessary freedoms for information society
Necessary freedoms for information societyNecessary freedoms for information society
Necessary freedoms for information societyKaido Kikkas
 
IT Kolledži uudishimupäev 2011
IT Kolledži uudishimupäev 2011IT Kolledži uudishimupäev 2011
IT Kolledži uudishimupäev 2011Kaido Kikkas
 
Võrgumaailm kui kõverpeegel
Võrgumaailm kui kõverpeegelVõrgumaailm kui kõverpeegel
Võrgumaailm kui kõverpeegelKaido Kikkas
 
Mis ma andsin, see mul on
Mis ma andsin, see mul onMis ma andsin, see mul on
Mis ma andsin, see mul onKaido Kikkas
 
Creative Commons: väiteid ja näiteid
Creative Commons: väiteid ja näiteidCreative Commons: väiteid ja näiteid
Creative Commons: väiteid ja näiteidKaido Kikkas
 
Sotsiaalne tarkvara ja võrgukogukonnad: kursuse tutvustus
Sotsiaalne tarkvara ja võrgukogukonnad: kursuse tutvustusSotsiaalne tarkvara ja võrgukogukonnad: kursuse tutvustus
Sotsiaalne tarkvara ja võrgukogukonnad: kursuse tutvustusKaido Kikkas
 
Mõtteid professionaalsusest
Mõtteid professionaalsusestMõtteid professionaalsusest
Mõtteid professionaalsusestKaido Kikkas
 
Vaba tarkvara kõrgharidussfääris
Vaba tarkvara kõrgharidussfäärisVaba tarkvara kõrgharidussfääris
Vaba tarkvara kõrgharidussfäärisKaido Kikkas
 

More Related Content

More from Kaido Kikkas

Garage48 accessibility talk 261114
Garage48 accessibility talk 261114Garage48 accessibility talk 261114
Garage48 accessibility talk 261114Kaido Kikkas
 
Vaba ja tasuta...?
Vaba ja tasuta...?Vaba ja tasuta...?
Vaba ja tasuta...?Kaido Kikkas
 
"If I Don't Like Your Online Profile, I Will Not Hire You!"
"If I Don't Like Your Online Profile, I Will Not Hire You!""If I Don't Like Your Online Profile, I Will Not Hire You!"
"If I Don't Like Your Online Profile, I Will Not Hire You!"Kaido Kikkas
 
EeNET: development and lessons
EeNET: development and lessonsEeNET: development and lessons
EeNET: development and lessonsKaido Kikkas
 
Turvalise Interneti päev 11. veebruaril 2014
Turvalise Interneti päev 11. veebruaril 2014Turvalise Interneti päev 11. veebruaril 2014
Turvalise Interneti päev 11. veebruaril 2014Kaido Kikkas
 
„The four most-used passwords are love, sex, secret, and God“: password secur...
„The four most-used passwords are love, sex, secret, and God“: password secur...„The four most-used passwords are love, sex, secret, and God“: password secur...
„The four most-used passwords are love, sex, secret, and God“: password secur...Kaido Kikkas
 
Of Hobbits, Amish, Hackers and Technology 2014
Of Hobbits, Amish, Hackers and Technology 2014Of Hobbits, Amish, Hackers and Technology 2014
Of Hobbits, Amish, Hackers and Technology 2014Kaido Kikkas
 
Hüüru Teabetoa arvutikoolitus 16.02.13
Hüüru Teabetoa arvutikoolitus 16.02.13Hüüru Teabetoa arvutikoolitus 16.02.13
Hüüru Teabetoa arvutikoolitus 16.02.13Kaido Kikkas
 
Code of Ethics in E-learning
Code of Ethics in E-learningCode of Ethics in E-learning
Code of Ethics in E-learningKaido Kikkas
 
Võrgustikuseminar 260412 wikiversity
Võrgustikuseminar 260412 wikiversityVõrgustikuseminar 260412 wikiversity
Võrgustikuseminar 260412 wikiversityKaido Kikkas
 
Teeme ise muinasjuttu - Wesnothi õpituba
Teeme ise muinasjuttu - Wesnothi õpitubaTeeme ise muinasjuttu - Wesnothi õpituba
Teeme ise muinasjuttu - Wesnothi õpitubaKaido Kikkas
 
Open Courses: The Next Big Thing in E-Learning?
Open Courses: The Next Big Thing in E-Learning?Open Courses: The Next Big Thing in E-Learning?
Open Courses: The Next Big Thing in E-Learning?Kaido Kikkas
 
Necessary freedoms for information society
Necessary freedoms for information societyNecessary freedoms for information society
Necessary freedoms for information societyKaido Kikkas
 
IT Kolledži uudishimupäev 2011
IT Kolledži uudishimupäev 2011IT Kolledži uudishimupäev 2011
IT Kolledži uudishimupäev 2011Kaido Kikkas
 
Võrgumaailm kui kõverpeegel
Võrgumaailm kui kõverpeegelVõrgumaailm kui kõverpeegel
Võrgumaailm kui kõverpeegelKaido Kikkas
 
Mis ma andsin, see mul on
Mis ma andsin, see mul onMis ma andsin, see mul on
Mis ma andsin, see mul onKaido Kikkas
 
Creative Commons: väiteid ja näiteid
Creative Commons: väiteid ja näiteidCreative Commons: väiteid ja näiteid
Creative Commons: väiteid ja näiteidKaido Kikkas
 
Sotsiaalne tarkvara ja võrgukogukonnad: kursuse tutvustus
Sotsiaalne tarkvara ja võrgukogukonnad: kursuse tutvustusSotsiaalne tarkvara ja võrgukogukonnad: kursuse tutvustus
Sotsiaalne tarkvara ja võrgukogukonnad: kursuse tutvustusKaido Kikkas
 
Mõtteid professionaalsusest
Mõtteid professionaalsusestMõtteid professionaalsusest
Mõtteid professionaalsusestKaido Kikkas
 
Vaba tarkvara kõrgharidussfääris
Vaba tarkvara kõrgharidussfäärisVaba tarkvara kõrgharidussfääris
Vaba tarkvara kõrgharidussfäärisKaido Kikkas
 

More from Kaido Kikkas (20)

Garage48 accessibility talk 261114
Garage48 accessibility talk 261114Garage48 accessibility talk 261114
Garage48 accessibility talk 261114
 
Vaba ja tasuta...?
Vaba ja tasuta...?Vaba ja tasuta...?
Vaba ja tasuta...?
 
"If I Don't Like Your Online Profile, I Will Not Hire You!"
"If I Don't Like Your Online Profile, I Will Not Hire You!""If I Don't Like Your Online Profile, I Will Not Hire You!"
"If I Don't Like Your Online Profile, I Will Not Hire You!"
 
EeNET: development and lessons
EeNET: development and lessonsEeNET: development and lessons
EeNET: development and lessons
 
Turvalise Interneti päev 11. veebruaril 2014
Turvalise Interneti päev 11. veebruaril 2014Turvalise Interneti päev 11. veebruaril 2014
Turvalise Interneti päev 11. veebruaril 2014
 
„The four most-used passwords are love, sex, secret, and God“: password secur...
„The four most-used passwords are love, sex, secret, and God“: password secur...„The four most-used passwords are love, sex, secret, and God“: password secur...
„The four most-used passwords are love, sex, secret, and God“: password secur...
 
Of Hobbits, Amish, Hackers and Technology 2014
Of Hobbits, Amish, Hackers and Technology 2014Of Hobbits, Amish, Hackers and Technology 2014
Of Hobbits, Amish, Hackers and Technology 2014
 
Hüüru Teabetoa arvutikoolitus 16.02.13
Hüüru Teabetoa arvutikoolitus 16.02.13Hüüru Teabetoa arvutikoolitus 16.02.13
Hüüru Teabetoa arvutikoolitus 16.02.13
 
Code of Ethics in E-learning
Code of Ethics in E-learningCode of Ethics in E-learning
Code of Ethics in E-learning
 
Võrgustikuseminar 260412 wikiversity
Võrgustikuseminar 260412 wikiversityVõrgustikuseminar 260412 wikiversity
Võrgustikuseminar 260412 wikiversity
 
Teeme ise muinasjuttu - Wesnothi õpituba
Teeme ise muinasjuttu - Wesnothi õpitubaTeeme ise muinasjuttu - Wesnothi õpituba
Teeme ise muinasjuttu - Wesnothi õpituba
 
Open Courses: The Next Big Thing in E-Learning?
Open Courses: The Next Big Thing in E-Learning?Open Courses: The Next Big Thing in E-Learning?
Open Courses: The Next Big Thing in E-Learning?
 
Necessary freedoms for information society
Necessary freedoms for information societyNecessary freedoms for information society
Necessary freedoms for information society
 
IT Kolledži uudishimupäev 2011
IT Kolledži uudishimupäev 2011IT Kolledži uudishimupäev 2011
IT Kolledži uudishimupäev 2011
 
Võrgumaailm kui kõverpeegel
Võrgumaailm kui kõverpeegelVõrgumaailm kui kõverpeegel
Võrgumaailm kui kõverpeegel
 
Mis ma andsin, see mul on
Mis ma andsin, see mul onMis ma andsin, see mul on
Mis ma andsin, see mul on
 
Creative Commons: väiteid ja näiteid
Creative Commons: väiteid ja näiteidCreative Commons: väiteid ja näiteid
Creative Commons: väiteid ja näiteid
 
Sotsiaalne tarkvara ja võrgukogukonnad: kursuse tutvustus
Sotsiaalne tarkvara ja võrgukogukonnad: kursuse tutvustusSotsiaalne tarkvara ja võrgukogukonnad: kursuse tutvustus
Sotsiaalne tarkvara ja võrgukogukonnad: kursuse tutvustus
 
Mõtteid professionaalsusest
Mõtteid professionaalsusestMõtteid professionaalsusest
Mõtteid professionaalsusest
 
Vaba tarkvara kõrgharidussfääris
Vaba tarkvara kõrgharidussfäärisVaba tarkvara kõrgharidussfääris
Vaba tarkvara kõrgharidussfääris
 

"Loll saab Internetis kah peksa"

  • 1. “Loll saab Internetis kah peksa” (eesti vanasõna, XXI sajand) Kaido Kikkas TTÜ IT kolledž 17.09.21 Kaido Kikkas 2021. Käesoleva dokumendi paljundamine, edasiandmine ja/või muutmine on sätestatud ühega järgnevatest litsentsidest kasutaja valikul: * GNU Vaba Dokumentatsiooni Litsentsi versioon 1.2 või uuem * Creative Commonsi Autorile viitamine + Jagamine samadel tingimustel 3.0 Eesti litsents (CC BY-SA) või uuem
  • 2. 2 Alguseks paar küsimust/väidet suurele ringile (iseendale vastamiseks) □ Kasutan arvutit pidevalt administraatori õigustes □ Hoian nutiseadmes netiühendust pidevalt sees □ Salvestan paroolid veebilehitsejasse □ Taaskasutan paroole (mitmes kohas) □ Minu arvutis/nutiseadmes on programme/äppe, mille otstarvet ma ei tea □ Usun, et olen piisavalt lihtne ja tavaline inimene, et arvutipättidele mitte huvi pakkuda
  • 3. 3 (IT-)turvalisus □ ...on asi, mille eest tuleb maksta – ent on enda teha, kuidas: ◊ Maksan ajas – leian aega, et endale ohutu käitumise põhimõtted selgeks teha ◊ Maksan rahas vmm ressursiga – leian kellegi, kes minu turvalisuse eest hoolitseb □ On olemas ka kolmas variant, mis tuleb eelkõige siis, kui kumbagi kahest eelmisest ei valita. Ja see ei ole hea variant
  • 4. 4 Me oleme kõik… administraatorid https://commons.wikimedia.org/wiki/File:Cartoon_Man_Approving_His_New_Computer.svg
  • 5. 5 Üks suur eksiarvamus □ “Mina olen liiga pisike tüdruk/poiss, et ma (ja minu arvuti) kedagi huvitaks.” □ Jüri või Mari ei huvitagi kedagi, küll aga huvitab tema arvuti või nutiseade – sellega saab igasugu asju (sh sigadusi) ette võtta □ Halvemal juhul peab Jüri või Mari pärast tõestama hakkama, et tema ei olnud see, kes kirikumõisa poiste parve jõepõhja lasi
  • 7. 7 Üks tüüpstsenaarium □ Mingis süsteemis avastatakse turvaauk □ Info levib võrgus; mõni andekas, ent paha inimene kirjutab selle jaoks ründevahendi (exploit) □ Viimase laadib alla palju inimesi (eri motiividel) □ Skaneeritakse mingit suurt võrguosa (näiteks kogu ülikooli võrku) ja otsitakse sealt konkreetse turvaaugu lahti jätnud (<= enamasti uuendamata) arvuteid □ Lahtised arvutid võetakse enda kontrolli alla
  • 8. 8 Järeldus □ Enda seadmeid tuleb tunda ja suuta neid hallata – igaüks on enda seadmete administraator □ Erandiks on tööandja antud ja keskselt hallatavad vahendid – aga isegi seal tasub vähemalt teada, mis sinna paigaldatud on
  • 9. 9 (natuke kahtlane) lohutus □ K: Kui kaks tüüpi põgenevad lõvi eest, siis kui kiiresti peavad nad jooksma? □ V: Kiiremini kui lõvi teine tüüp. □ Ilmas on külluses aeglasi jooksjaid ja võhikute arvuteid – seega piisab mõistlikust pingutusest! https://commons.wikimedia.org/wiki/File:Let_the_Lion%27s_Roar_Last_Forever_!!!!!! _(2646557294).jpg
  • 10. 10 Ükskord Ameerikas □ … elas poiss nimega Kevin □ Kevin oli juba koolis paras naakmann ja leiutas viisi, kuidas terve Los Angeles bussiga läbi sõita, selle eest sentigi maksmata □ Talle meeldis näppida telefone ja arvuteid ning teistele tünga teha □ Viimaks sai Kevinist paras kaak ja teda aeti üle kogu Ameerika igasugu pollarite poolt taga □ Kevin saadi viimaks kätte ja pandi pokri □ Kui Kevin välja sai, hakkas ta turvaeksperdiks
  • 11. 11 Kevin Mitnicki turvavalem □ Turvaekspert Mitnick: turvalisus koosneb kol- mest komponendist ◊ Tehnoloogia: arvutid, tarkvara, võrgud, tulemüürid jne ◊ Koolitus/väljaõpe ◊ Eeskirjad/reeglid □ Korrutis, mitte summa: kui üks neist on null või selle lähedal, on sama ka kogu tulemus! https://en.wikipedia.org/wiki/Kevin_Mitnick#/media/ File:Cyber_Incursion_event_at_the_City_of_London.jpg
  • 12. 12 Mitnicki valem praktikas □ Näiteks ettevõttes või asutuses: ◊ Kas tehnoloogilised lahendused on piisavad, ajakohased ja korralikult hallatud? ◊ Kas töötajad saavad aru, mida erinevad seadmed teevad, ning oskavad enda tööks vajalikke seadmeid kasutada? ◊ Kas on olemas piisavad mängureeglid, kas töötajad on nendega kursis, saavad nende vajadusest aru ja teavad, mida nende eiramine kaasa toob?
  • 13. 13 Paralleel teie õppeaine kontekstis □ Infosüsteemi lihtsaim definitsioon on ◊ Tehnoloogia (IT) ◊ Inimesed ◊ Protsessid □ Mitnicki valem on sisuliselt sellesama definitsiooni peegeldus turvalisuse valdkonnas! □ Edasi tasuks siit uurida turvastandardeid – Eestis oli varem ISKE ja nüüd on E-ITS, teistes maades on omad samalaadsed
  • 14. 14 Kolm ohtlikku seltskonda □ Eraldi tähelepanu tuleb pöörata kolmele töötajate grupile: ◊ Juhtkond – suurim üldine võim; võivad tahta ebamõistlikke privileege/kompro- misse turvalisuse osas, ülehinnata enda teadmisi/oskusi või langeda lihtsalt edevuse ohvriks ◊ Tehnoloogia tippspetsialistid – suurim tehnoloogiline võim, samad probleemid ◊ Tugipersonal (valvurid, riidehoidjad, koristajad, kullerid…) - vähe võimu, vähe raha ja paras siiber, aga palju võimalusi
  • 15. 15 Ajuk… - vabandust, sotsiaalmanipulatsioon □ Tüng Shui meister Hui Junn Laxti õpetab: ”Aktiveerige oma rikkuse- kolle ükskõik millises rahva- rohkes ruumis,vehkides seal tohutu kööginoa ja sildiga, kuhu on kirjutatud “Andke kõik oma raha mulle!”.” ◊ Rohan Candappa, “Väike Tüng Shui käsiraamat”, Tauno Vahteri tõlge □ Oluline on osata ÕIGESTI küsida https://www.raamatuvahetus.ee/img/998592696X.jpg
  • 16. 16 Aga päriselt ka □ Inglise keeles kasutatakse termineid social engineering ja no-tech hacking: ◊ Pretexting – poosetamine; eelnevalt kogutud info kasutamine, ettekäänded ja tõetruu rolliesitus ◊ Shoulder surfing – üleõlapiilumine ◊ Tailgating – sappavõtmine (uksed!) ◊ Dumpster diving – prügistuhnimine ◊ Mimikri ehk omainimeseks kehastumine □ Loe edasi: Kevin Mitnick, Christopher Hadnagy, Johnny Long
  • 17. 17 Näitestsenaarium □ Osakonna raamatupidaja tädi Maalile helistab „Martin Meri siseauditi osakonnast“. Küsib järjekorras (ja kiiresti) selliseid küsimusi: ◊ Mitu töötajat on teie osakonnas? ◊ Kui palju on kõrgharidusega töötajaid? ◊ Kui tihti korraldatakse osakonnas täienduskoolitusi? ◊ Mis on osakonna personalikulude kontonumber raamatupidamises? ◊ Mitu töötajat on lahkunud viimase aasta jooksul? ◊ Milline on osakonna üldine tööõhkkond? □ Mis siin valesti on...?
  • 18. 18 Natuke tehnilisemad □ Õngitsemine e. kalastamine (phishing) – lihtsamal kujul lihtsalt rämpsposti abil kirjasaajate pettaüritamine; kuulus näide on http://anton.tkwcy.ee/kraam/tekstid/hanza.html □ Harpuunimine e. suunatud õngitsemine (spear phishing) – konkreetsele saajale suunatud pettus; õnnestumistõenäosus on reeglina palju suurem (ca 10x) □ Peibutamine (baiting) – pahavaraga nakatatud andmekandjate (enamasti mälupulkade) jätmine käidavatesse kohtadesse □ Kaevumürgitamine (waterholing) – hästi turvatud ohvri ründamine kehvemini kaitstud partneri kaudu (ettevõtte töötajad külastavad saiti X)
  • 19. 19 Kuidas vältida? □ Mitnicki valem… Eriti kaks tagumist punkti □ Strateegilised ja suure mõjuga otsused kas läbi mitme inimese või ajalise viivitusega □ Läbimõeldud töökeskkond (nii füüsiline kui virtuaalne ruum) □ Töötajate motiveerimine ja tagasiside arvestamine □ Erandid reeglites on… erandid
  • 20. 20 Vahele natuke kurja nalja □ Netipetturid ja nigeeria kirjad on paras nuhtlus □ Juba mõnda aega on aga olemas ka vastukaal – spordiala nimega scambaiting ehk pätikottimine □ Eesmärk: mängida pätile võimalikult loomingulisel viisil potentsiaalset ohvrit (võib ka mitut korraga), ajada võimalikult palju kägu ja lõpetada asi suure värvilise tüngaga □ Vt näiteks whatsthebloodypoint.com, scamorama.com, 419eater.com □ Eetilises mõttes täiesti hall tsoon!
  • 21. 21 Üks väga habemega teema □ Paroolid… □ Tänapäeval salasõna => salalause (arvutuslik piir on kusagil 15 märgi kandis) □ Reeglina ei kirjutata üles ega taaskasutata, vajadusel võiks aga kasutada parooliseifi □ Tähendus tegelikult võib olla, kuid algus ei tohiks anda välja lõppu – üsna hea keskteevariant on absurdne eestikeelne lause ◊ N: KalaKuumadVedrud (või selle edasiarendusena Ka!aKuuMaDW3druD.)
  • 22. 22 Tavakasutaja arvutiturve □ Ära võta liigseid õigusi □ Paroolid… □ 1 kasutaja, 1 konto □ Tunne ja kasuta kaitsetarkvara □ Tea, mis arvutisse on paigaldatud □ Oska andmekandjatel orienteeruda □ Uuenda tarkvara regulaarselt (võhik pigem automaatselt, oskaja pigem käsitsi) □ Tunne enda arvuti peamisi riistvaraosi □ E-postimanused… □ Viitsi uurida ja õppida
  • 23. 23 Soovitusi nutiseadmetele □ Tuleta endale meelde: nutiseade on arvuti (seega kõik eelmise slaidi punktid kehtivad) □ Ava sidekanalid (mobiil-Internet, WiFi, Bluetooth, GPS) vastavalt vajadusele □ Ära kasuta vaikimisi ligipääsukoode □ Kasuta korralikku ekraanilukku □ Äppe paigalda nii palju kui vaja, nii vähe kui võimalik – ja enne paigaldamist uuri tausta □ Kui paigaldad, tee endale selgeks (sh õigused) □ Meenutus: selles seadmes on mikrofon, kaamera ja asukohatuvastus!
  • 24. 24 Veebilehitseja kaitsmisest □ Sajandivahetuse paiku oli tavainimeste arvutites põhitegijaks kontoritarkvara (enamasti MS Office) □ Tänapäeval on põhirolli võtnud veebis/pilves asuvad rakendused – isegi MS Office on osaliselt veebi kolinud □ Paharettidel tasub seega veebibrauseri “vallutamine” ennast kuhjaga ära
  • 25. 25 Mõned soovitused □ Tee veebilehitseja osas teadlik valik (mitte “see tuli arvutiga kaasa”) □ Tutvu privaatsuse ja turvalisuse sätetega □ Uuri, milliseid lisapakette on olemas (eriti turvalisuse osas) ja tee sealt sobiv valik □ Võimaluse korral reguleeri skriptide (veebilehtede poolt lehitsejas käivitatavad programmid) käivitamisõigusi □ Soovitav oleks lehitsejasse mitte midagi salvestada (sh ajalugu ja paroolid) – mugavus kannatab, turvalisus kasvab tublisti
  • 26. 26 Paar mõtet sotsiaalmeediast ka □ Enamik sotsiaalseid võrgustikke moodustavad nn usaldusvõrgustikud (sõbralisti liikmed on „omad“) □ Kohati kaugelt liiga palju isiklikku infot! □ Enamik manipulatsioone algab usalduse tekitamisest – sellise võrgustiku puhul on väga suur hulk tööd tihti juba ette ära tehtud □ Suur probleem – teenuste põimumine (“logi sisse Facebooki või Google’iga”) □ Gazzag.com'i juhtum 2006. aastal
  • 27. 27 Kokkuvõtteks □ Natuke “at-at!”-jutt oli, aga vahel on seda vaja □ Hästi toimiv ja hallatud IT on kratistki vägevam abiline – aga “äravihastatuna” paneb veel hullemini maja põlema □ Põhiline turvaprobleem asub endiselt klaveri ja tooli vahel □ “Piisavalt vähetähtsat inimest” pole olemas □ Mitnicki valemi võiks kõrva taha panna
  • 28. 28 Edasilugemiseks □ Kevin Mitnicki raamatud (“The Art of Deception”, “Ghost in the Wires” jt) □ Johnny Longi “No Tech Hacking” □ Steven Hadnagy’i “Social Engineering” (ja https://www.social-engineer.org/)
  • 29. 29 Aitäh kuulamast! Need slaidid leiab aadressilt https://www.slideshare.net/UncleOwl