Andmekaitse koosneb kolmest lahutamatust komponendist: andmete konfidentsiaalsuse, terviklikkuse ja käideldavuse kaitsest. Jälgides Andmekaitse Inspektsiooni tegevust, samuti lugedes uut isikuandmete kaitse seadust, tundub mulle paraku, et kogu AKI juriidiline, intellektuaalne ja haldussuutlik kapatsiteet võitleb, nii et veri ninast väljas, ainult ühe komponendi, see tähendab konfidentsiaalsuse eest, seda paraku kahe ülejäänud komponendi arvelt.
Rubriik: Arvamus
Mikko Tallinnas
Mõned F-Secure’i turvapealiku Mikko Hypponeni mõtted tema tänasest ettekandest Estonia talveaias.
F-Secure’i turvalaborisse tuleb 17 000 pahavarakahtlusega koodinäidist päevas, tegelikku pahavara on sellest 300-500 ühikut. Mida on sellegipoolest palju 🙁 Hetkel on teada 250 000 ühikut pahavara, Mikko ennustab selle kahekordistumist aasta jooksul.
10 aastat tagasi tuli muretseda kurjategijate pärast, kes tegutsesid sinuga samas linnas. Nüüd tuleb muretseda arvutikurjategijate pärast, kes tegutsevad näiteks Brasiilias. Hullem veel – kurjategijat ei huvitagi, kes te olete või kus te asute – teda huvitab ainult see, kuidas teilt teie raha ära võtta.
Mikko jutustas ka Tariq al-Daour’ist, kes mängis varastatud krediitkaardinumbritega pokkerit ning ostis nende kaudu kaotatud summade (kokku 2 mln eurot) varustust Iraagi mässulistele.
Tõenäoliselt vene päritolu Storm Worm’i grupi rünnak algas 18.01.2007, kõigepealt lihtsalt exe-failidest manustega. Kuna enamus tulemüüre pidasid selle spämmi kinni, hakati saatma võltslinke youtube’i, mis nõudis videoklipi näitamiseks “plugina” allalaadimiseks. Jätkati pühadekaartidega. Kokku saadi ligi miljonist arvutist koosnev p2p-põhine botnet, millel polnud keskserverit, mida maha võtta. Ehk siis superarvuti, mida ei kontrolli mitte valitsus või suurkorporatsioon, vaid kurjategijad. Lisaks sellele oli botnetil ka viirustõrjujavastane hoiatussüsteem, mis ründas kogu oma võimsusega neid, kes üritasid seda uurida.
Tekkinud superarvutit kasutatakse seesuguse spämmi renderdamiseks, mida tavalistel spämmitõrjetööriistadel raske töödelda. Kui saata välja miljon ühikut spämmi päevas ning sellele reageerib ka 0,0001 protsenti saajatest, teenitakse ikkagi tuhandeid.
Mikko arvates kasutaja harimine ei tööta kunagi – nagunii klikivad ja topivad igale poole oma krediitkaardinumbreid. Kavalamad troojalased, näiteks Torpig, viskavad popup-akna ette siis, kui logite oma pärispanka, küsides lisaautentimist krediitkaardinumbriga. Samuti kasutatakse pärisülekannete tegemisel pisiparanduste tegemist, suunates ülekande näiteks kurjategija arvele. Selliste nõksude vastu kasutajate harimine ei aita.
10-15 aasta pärast on põhiosa internetikasutajaid Aasias (hetkel on seal internetikattuvus vaid 10%). Kes neid kõiki harida jõuab? on Mikko lootusetu. Samas on tema hinnangul tavaliste kurjategijate kõrval kasvamas täppisinfot otsivate spioonide osakaal.
Suurem osa rünnakuid tuleb Ida-Euroopast (eriti Moskva ja Peterburi ümbrusest), Brasiiliast, Ida-Aasiast ja USA-st.
Häkkerifoorumitest saab osta varastatud krediitkaardinumbreid ja turvakleepse, pahavara ja spetsiaalselt teie konkurentide vastu suunatud rünnakuid. Suur osa kevadistest rünnakutest Eesti vastu tuli üüritud botnettidelt. Rahapesuks värvatakse tankiste (soovitavalt kriminaalkorras karistamata :)). Eelmisel aastal kasutati Rootsis ligi tuhandet tankisti ligi 9 miljoni Rootsi pankadel arvetelt varastatud Rootsi krooni väljavõtmiseks…
Netikommentaarid ja politseinikud
Mõned päevad tagasi ilmus uudis, et politsei taotleb meediaettevõtteilt internetikommentaaride autorite tabamiseks tarvilikke IP-aadresse. Sellega seoses tahaks viidata kahele seigale, mis sellise tegevuse üsnagi kahtlaseks teevad.Esiteks ei võimalda IP-aadress isikut üheselt tuvastada. Juhul, kui konkreetse IP-aadressi taga on ainult üks arvuti (nii nagu ta enamikes eesti peredes on), siis on võimalik kindlaks teha üks arvuti, kuid mitte seda, kes kommentaari sisestamise hetkel masinat kasutas. Eriti põnevaks läheb olukord siis, kui selle IP-aadressi otsas levib WiFi (näiteid võib lugeda siit ja siit). Seega on IP-aadressi abil võimalik tuvastada ainult see, kelle nimel on seda aadressi kasutav leping.
Samas on aga euroopa andmekaitsjate töögrupp avaldanud seisukoha, mis ütleb üheselt, et IP-aadressid on isikut tuvastavad andmed. Selline seisukoht on ohtlik, kuna on loodud pretsedent ning seda võidakse arvestada ka Eesti Vabariigi kohtus.
Teine asi, millele sooviks tähelepanu juhtida, on EV põhiseaduse §45 kehtestatud sõnavabaduse kaitse. Niipalju, kui ma netiajakirjanduse kommentaariume olen lugenud, on seal tõesti üsnagi palju lihtsat tatipritsimist. Samas hakkab silma ka täielikule masendusele viitavaid kommentaare, kusjuures on näha, et inimese frustratsioon on tekkinud just ühe või teise poliitiku tegevuse või tegevusetuse tõttu.
Ehkki käesoleva artikli kirjutaja ei ole absoluutse liberalismi pooldaja, on antud juhul sõnavabaduse seisukohalt tegemist siiski vägagi piiripealsete asjadega. Lisaks annavad sellised juhtumid poliitikutele väga head võimalused neid kritiseerinute või nende mustade tegude päevavalgele toojatega arveid õiendada. Samas võib see aga ka pahaaimamatule pereisale kaasa tuua kopsaka trahvi või kahjutasunõude.
Taoliste juhtumite vältimiseks tasub alati paar hetke mõelda, enne kui mistahes kommentaar teele saata. Ontlikel pereisadel tasuks kindlasti aga oma järglastega suhelda – eelkõige netikasutuse teemadel. Samuti tasuks üle vaadata, kuidas nende koduseinte vahel leviv WiFI turvatud on. Vastavaid õpetusi leiab ka arvutikaitse.ee artiklite hulgast.
Arvutikuritegude karistused karmimaks
Mart Siilivask Justiitsministeeriumi avalike suhete talitusest teatab, et Justiitsministeerium saatis valitsusse eelnõu, mis täpsustab arvutisüsteemi vastu suunatud rünnetega seotud kuriteokoosseise ning karmistab selliste kuritegude eest mõistetavaid karistusi. Mis iseenesest on igati tervitatav. Aga.
Kuivõrd ma ise pole seda eelnõu veel näinud, siis loodetavasti leiavad edaspidise töö käigus positiivse lahenduse ka alljärgnevad võimalikud probleemid:
1. Justiitsministeeriumi karistusõiguse ja menetluse talituse nõuniku Markko Künnapu sõnul näeb eelnõu lisaks senisele arvutiviiruse levitamisele ette vastutuse ka nuhkvara või pahavara levitamise eest.
Huvitav, kas nüüd lõpuks hakkab ka tavakasutaja vastutama selle eest, et tema arvuti ei nakatuks ning omakorda teisi võrgus olevaid masinaid ei nakataks? Et siis vabandus, et ma ei teadnud, et mu arvutis mingi pahalane möllab, enam ei päde? Ja millised saavad olema sanktsioonid turvanaiivsuse eest? 🙂
2. Samuti kriminaliseerib eelnõu arvutikuritegude ettevalmistamise. See on staadium, kus isik kas kogub andmeid või valmistab programme selleks, et kasutada neid arvutikuritegude toimepanemiseks.
Saksamaa analoogne seadus kriminaliseerib sel viisil muuhulgas ka turvaspetsialistide töö. Jubedalt tahaks loota, et Eesti seaduses õnnestub sarnaseid töllakusi vältida.
3. Muudatuse kohaselt loetakse terrorikuriteoks ka andmetesse sekkumine, arvutivõrgu toimimise takistamine ning selliste tegude toimepanemisega ähvardamine, kui see on toime pandud muuhulgas näiteks eesmärgiga sundida riiki midagi tegema või tegemata jätma, häirida riigi põhiseaduslikku, majanduslikku või ühiskondlikku korraldust või tõsiselt hirmutada elanikkonda.
Jällegi jääb lootus, et mõni üliagar ametnik sellele klauslile toetudes näiteks www.arvutikaitse.ee-d kinni ei pane. Mitte ei tahaks siin tulevikus kirjutada, et tegelt on viirused ja troojalased täitsa nunnud ning karta neid küll mõtet ei ole 🙂
Võibolla teen ma praegu tublidele õiguskaitseametnikele ränka ülekohut ning kahtlustan neid täiesti alusetult soovis Eesti olematut infoturbetööstust eos lämmatada. Aga igaks juhuks lähen siiski konserve ja kuivikuid varuma 😉
Sotsiaalsed võrgustikud ja privaatsus
Oma viimastes artiklites olen lahanud sotsiaalse tarkvara riske ning püüdnud näidata, kuidas on võimalik neid ära kasutada identiteedivargusteks. Seekord vaatleme, kuidas on võimalik kasutada sotsiaalsetes võrgustikes olevat informatsiooni inimese enda vastu.
Mõni aeg tagasi pakkus Eesti üks esihäkkereid väiksemas vestlusringis välja idee, et võiks proovida koostada andmebaasi informatsioonist, mida inimesed on ise enda kohta erinevates sotsiaalsetes võrgustikes jaganud. Proovisin ka ise (puhtalt uudishimust) millist informatsiooni on võimalik niimoodi hankida. Valisin LinkedIn-ist suvalise inimese, kes oli oma asukohaks märkinud Eesti, kuid oma ees- ja perekonnanime oli jätnud märkimata. Kuna isik oli avalikuks jätnud oma skype aadressi, siis oli mul kümne minuti jooksul olemas tema täielik nimi, töökoht, kontaktandmed ja suhtevõrgustik. Ilmselt oleks veidi sügavamalt kaevates leidnud tema kohta veelgi informatsiooni, mis oleks sellest inimesest andnud juba üsnagi põhjaliku pildi.
Seega, nagu me nägime, on taolise andmebaasi koostamine üsnagi lihtne ning tegelikult ei vaja see mingeid eriteadmisi – peale otsimootorite kasutamise oskuse. Kuidas aga sellist andmebaasi on võimalik kasutada?
Arvestades, et noored ei kipu endale eriti oma teguviisidest aru andma, võib eeldada, et nad käituvad samuti ka internetis, seda enam, et internet loob anonüümsuse tunde. Samas ei ole võimalik garanteerida, et mõni tänane teismeline rate.ee-st ei ole homme president või peaminister. Kuna sellistes suhtluskeskkondades kipuvad olema eelkõige just aktiivsemad ja suhtlemisaltimad noored, siis on tõenäosus mõne taolise noore kiireks karjääriks vägagi suur. Samas pakuks ilmselt kõvasti kõneainet mõne poliitiku poolalasti pildid või tema ropu keelekasutusega sõnavõtt mõne teise reidika aadressil. Viimase aja sündmustest võiks siinjuures nooruse rumaluse näitena tuua kindlasti noortepeod presidendi residentsis või ühe üsnagi eduka laulja ammu tehtud teod.
Mis takistaks taolist andmebaasi loomast? Puhttehniliselt mitte miski – otsimootorid on vabalt kättesaadaval kõigile, samuti on võimalik kirjutada ise otsimootor, optimeerides seda mingite kindlate sündmuste leidmiseks.
Juriidilise poole pealt ei ole ka sellist tegevust midagi keelamas, kuna inimesed ise (juriidilises keeles andmesubjektid) on need andmed ise sinna üles riputanud. Isegi juhul, kui andmed kogumina sisaldavad delikaatseid isikuandmeid, ei reguleeri seda miski, senikaua kuni seda andmebaasi peetakse isiklikuks otstarbeks. Samas on aga oht, et selline andmebaas võidakse varastada ja see edasi müüa kollasele ajakirjandusele või näiteks väljapressimistega tegelevatele organisatsioonidele.
Lõpetuseks tahaks veelkord meelde tuletada vana tõde – enne, kui mingit informatsiooni netis olevasse vormi sisestate, tuleb üheksa korda mõelda.
Vene häkkerluse eripärad
New York Times’i Moskva korrespondent Clifford J. Levy lahkab põhjusi, miks just Venemaalt pärit arvutikurjategijaid peetakse kõige paadunumateks.
Ehkki Venemaal on vaid 28 miljonit internetikasutajat, suudavad nendega samaväärse hulga küberkuritegevust genereerida vaid Ameerika Ühendriigid (210 miljonit internetikasutajat) ning Hiina (150 miljonit internetikasutajat). Eriti ohtlikuks teeb vene arvutikuritegevuse selle läbipõimumine teiste organiseeritud kuritegevuse struktuuridega, mis võimaldab neil hõlpsasti oma teadmised rahaks teha.
Vene häkkerluse sügavamad juured on Levy arvates ühelt poolt selles, et sealne haridussüsteem annab traditsiooniliselt tugeva matemaatika ja teiste reaalainete põhja, millega aga hiljem tööjõuturul suurt midagi peale pole hakata, teiselt poolt aga nõukogude ajast pärit suhtumises, et seadused ei ole alati täitmiseks kohustuslikud. Viimast suhtumist kultiveerib ka muuhulgas Vene ametivõimude hoiak, et arvutikuritegevuse mõju on Läänes üle tähtsustatud. Ja eks me kõik mäelta, et kevadiste küberrünnakute organisaatorid tõsteti sealpool Peipsit vaat et rahvuskangelaste staatusesse.
Eesti keeles refereerib nimetatud artiklit ka Eesti Ekspress.