themes theme jeux izle-videolar ruya tabirleri logohaberleri sinema ruya

Veebilehitsejate turvalisus

7. august 2009 kirjutas Priit Aasmäe Vasta »

1.brauseridTänapäeval müüakse üsna palju arvuteid, millesse on tarkvara juba eelnevalt installeeritud. Kasutajatele on see suureks eeliseks, kuna ei pea enam operatsioonisüsteeme ise paigaldama ja võidakse kohe läbi interneti maailma vallutama minna. Ent vähesed hindavad selle juures kõigepealt riske – mis tarkvaraga on tegemist ja kui turvaliseks on see konfigureeritud, et internetist tulevatele rünnakutele vastu seista.

Näiteks Microsofti operatsioonisüsteemidega kaasneb automaatselt veebilehitseja Internet Explorer. Paljud jäävadki seda kasutama, ent teadlikumad tirivad selle kõrvale alternatiivina mõne teise brauseri , näiteks Mozilla Firefoxi , Opera,  Google Chrome’i jne. Ent paraku just siin tehaksegi eksiarvestus, et sellega on ka kogu turvalisus tagatud. Tegelikult aga ei Internet Exploreri ega ka teiste brauserite vaikesätted pole vaikimisi turvaliseks seatud, vaid seda tuleb ise teha.

Veebilehitseja omadused ja riskid

Veebilehitsejad on ühed enamkasutatavad arvutirakendused. Turvaliseks seadistamata brauseriga internetis surfates on aga suurim oht  arvutisse nakkusi saada. Ehkki brauserite haavatavusi on kurikaelte poolt varemgi ära kasutatud, siis just viimasel ajal näitab see aina suuremat kasvutendentsi.

Iga päevaga lisandub internetiavarustesse üha uusi põnevaid lehti, kutsudes kasutajad  kõikvõimalikel linkidel klikkima. Paraku ei pruugi esmapilgul arugi saada, et tegemist võib olla pahatahtliku veebisaidiga. Varjatult kontrollitakse üle kasutajate brauserid ja kui neist leitakse turvaauke, laetakse arvutisse pahavaralisi komponente, mis võivad tekitada väga erinevaid probleeme. Võidakse  varastada kasutajate andmeid, rikkuda arvutis olevaid faile, muuta arvuti ründevahendiks teiste arvutite suhtes ning  halvemal juhul  isegi haarata kontroll arvuti üle.

Nakatumine toimub tavaliselt kasutaja teadmata, ent sageli tema kaasabil. Paljudel on kalduvus klikata veebilehtedel igale lingile, mis seal pakutakse. Enamasti on tegu kas mõtlematuse või rumalusega, kuna kõiksugused teadaanded suure võidu kohta on vaid salakavalad peibutised.

2.võlts-reklaam

Suureks probleemiks on ka kasutajate tahtmatus, teadmatus või viitsimatus veebilehitsejaid uuendada.

Iga natukese aja tagant pakuvad arendajad veebilehitsejatele turvapaikasid või uusi versioone, mis parandavad seni teadaolevad vead. Näiteks Internet E xplorer  8 saab alla laadida siit või läbi Microsoft update’i, Mozilla Firefoxi ja Opera värskendamiseks  tuleb valida tööriistaribalt Help – Check for Updates, Google Chrome’is leida paremast nurgast mutrivõtme kujutis ning see lahti klõpsates valida Teave Google Chrome kohta.

3.google chrome update

Nakatumine on võimalik ka veebilehitsejale paigaldatud kolmanda osapoole tarkvara tõttu, kas selle suutmatusest vastu võtta üleüldiseid turvavärskendusi või on nende endi kaitsemehhanismid ebapiisavad või vananenud. Näiteks brauserile paigaldatud lisatööriistaribad või ka pluginad võivad teinekord  olla haavatavad.

Üsna oluliseks tuleb pidada ka ka veebilehtede omanike endi tööd oma saitide arendamisel ja turvamisel. Sageli tehakse siin järeleandmisi, mis võivad põhjustada sissemurdmist ja pahalaste istutamist või siis lehe kaaperdamist. See aga  omakorda haavab mitte midagi kahtlustavat veebilehele sisenejat, kes omateada külastab ohutut lehte.

TMõnikord on kasutaja ise tahtlikult turvafunktsioonid kinni pannud, kuna peab neid netis surfamisel tüütuteks. Paraku tõesti peab leppima sellega, et turvaliseks sätitud brauser  teeb kasutaja elu mõnevõrra ebamugavamaks , kuid parem kannatada see ära kui hiljem kahetseda.

Veebilehitseja funktsionaalsust ja turvalisust mõjutavad ka mitmed teised lisategurid.

  • ActiveX on tehnoloogia, mida kasutab ainult Internet Explorer Windows keskkonnas. See võib täiustada veebis surfamist ja aitab veebilehitsejale paigaldada uusi funktsioone. Näiteks IE baasil online viirusskannerid nõuavad ActiveX’i lubamist, samuti on see vajalik ID-kaardi paigaldamisel. Ka kodulehtede arvutist üleslaadimisel veebisaidile võib sellest abi olla. Paraku on AxtiveX komponentidel otsene juurdepääs opisüsteemile, seetõttu võivad need kujutada turvalisuse seisukohast suurt ohtu. Lisainfot siit.
  • Java on programmeerimiskeel, mille abil saab välja arendada interaktiivseid ja animeeritud sisu veebisaitidel. See aitab mängida online mänge ja vaadata pilte 3D mõõtmes. Java on lokaalsest platformist ja operatsioonisüsteemist sõltumatu. Javas kirjutatakse kahte liiki programme, rakendusi ja applette, mis abistavad WWW kliendiprogramme. Kuigi Javasse on rakendatud väga tugevad kaitsemehhanismid rünnakute vastu, on häkkerid neist ikka ja alati  leidnud turvaauke. Lisainfot siit.
  • Plug-ins ehk pluginad on pisikesed programmijupid, mis liidetakse abistava vahendina brauseri külge ja mis vastavalt oma eesmärgile täiendavad seda. Ent vahetevahel võib ka neis esineda puudusi või programmeerimisvigu, mis võivad põhjustavad näiteks puhvri ületäitumist programmides. Üsna sageli leitakse turvavigu näiteks brauserilaiendist  Adobe Flash Player, viimasest neist hoiatati alles mõned päevad tagasi.
  • Cookies ehk küpsised on tekstijupid, mis veebilehti külastades paigaldatakse kasutaja arvutisse. Küpsised salvestavad teavet külastatud saitide kohta,  aga sageli ka mõnda portaali sisenemiseks vajalikke salasõnu koos kasutajanimega või krediitkaardi numbreid. Küpsiseid kasutatakse tavaliselt  statistiliste andmete kogumiseks, jälgides kasutajate eelistusi saitide külastamisel, mis pole küll otseselt ohtlik, ent mida võiks nimetada isiku privaatsuse rikkumiseks, kui veebilehel  pole sellekohast teavet. Ent mis puudutab portaalide juurdepääsuõiguste salvestamist küpsistesse, siis häkkerite kätte sattudes võivad need kujutada suurt turvariski. Nende abil võidakse siseneda kasutaja kontole ja tegutseda seal oma äranägemise järgi.
  • JavaScript ja  VBScript on skriptikeeled, mis võimaldavad veebilehti täiustada erinevate funktsioonide ja efektidega. Võime käivitada skripte muudab veebilehti põnevamaks ja huvitavamaks, ent sama võimet kasutavad ära häkkerid nende haavamiseks. Kuna enamuse veebibrauserite vaikesätted lubavad skriptide tuge, siis võib see põhjustada pahavarasse nakatumisi. Kui Javascript on platvormist sõltumatu, siis VBScript toetab ainult Internet Explorerit.

Internet Explorer turvaliseks seadmine

Internet Explorer on üks osa Windowsi opsüsteemist. Ehkki näiteks nLite võimaldab Windows komponentide eemaldamist, siis Internet Exploreri mahainstalleerimisega tehakse kahju ainult iseendale. Paljud funktsioonid lakkavad töötamast ja  enam kui tõenäoline, et erinevad häired süsteemitöös  muutuvad nii segavaks, et peetakse paremaks OS-i uuesti paigaldamist.

Selleks, et muuta IE 8 sätteid turvalisemaks, tuleb avada veebilehitseja ja  valida sealt Tools  -  Internet Options.

4.ie8-1

Järgmisena tuleb valida vaheleht Security.  Sellel lehel on loetletud erinevad  turvalisuse tsoonid, mida IE oma töös kasutab (Internet, Local Internet, Trusted sites, Restricted sites).  Täpsemalt saab neist lugeda  siit. Kõigil nendel aladel on võimalik kahte moodi turvalisust seada:

  • Automaatselt saab määrata kõrgeim turvatase kui lohistada liugurit vaikimisi tasemelt (Medium high) High tasemele ja kinnitamiseks valitada Apply . See ühendab lahti mitmed funktsioonid nagu ActiveX, Active Scripting ja Java. Ehkki see on turvalisuse mõttes parim tase, tuleb arvestada, et internetis toimetamine ei pruugi enam olla nii sujuv kui varem – näiteks faile ei saa turvasätteid tagasi muutmata (vajutades Default level ja Apply) alla tirida või püüda Microsoft turvapaikasid otse lehelt laadida. Sobib aga  paljudesse töökohtadesse, kus internetiroll on asjaajamistel väike või enamusele tavakasutajatest, kes käivad internetis lihtsalt surfamas ja uudiseid lugemas.
  • Kohandatult ehk kasutaja enda soovide järgi saab valida sätteid, kui vajutada lingile Custom level. Avaneb uus aken, mille abil saab igaüks ise valida, milliseid rakendusi keelata (Disable), lubada (Enable) või rakenduse vajadusel küsida kasutajalt keelamise/lubamise kohta (Prompt). Näiteks ActiveX blokeerimiseks, mis on üheks sagedasemaks nakatamisallikaks, tuleb real Run ActiveX controls and plug-ins märkida punktikesega Disable , seejärel kinnitada oma otsust vajutades Yes ja OK.

NB! Näited on toodud Internet Explorer 8 põhjal, teiste IE versioonide menüü valikud võivad sellest veidi erineda.

5.ie8-2

Usaldusväärsete saitide tsoonis (Trusted sites) saab ise määrata veebilehed, mida usaldatakse ja millele ei kohandata üleüldisi turvasätteid. Nende lisamiseks või eemaldamiseks tuleb klikkida lingile Sites, mis avab uue akna. Kui varem oli valitud kõrgeim turvatase High ja mõnele lehele sattudes on märgata, et see ei tööta korralikult, ent ollakse kindel, et see ei sisalda pahatahtlikku sisu, saab selle nupu Add abil lisada nimistusse, millel turvasätteid ei rakendata.

Mõni veebileht võib nõuda ka ainult kontrollitud saidi (HTTPS) kaasamist sellesse tsooni. Selliseks saidiks on näiteks Microsoft Update. Turvataseme High korral tuleb siis käsitsi kopeerida ja kleepida aadressid https://update.microsoft.com või https://*.update.microsoft.com lahtrisse Add ja lisada lubatud tsooni. Trusted sites soovitatav turvatase on vähemalt Medium high.

6.ie8 trusted

Privaatsustabeli (Privacy) abil saab määrata küpsiste keelamise või lubamise seadeid. Siin soovitatakse avada link Advanced, märkida linnukesega Override automatic cookie handling ning valida küpsiste lubamiseks Prompt (Küsi). Kasutaja saab nüüd ise otsustada, kas veebilehel olles küpsiseid salvestakse arvutisse või mitte. Märkides linnukesega Always allow session cookies võimaldab läbi lubada ajutised küpsised, ilma et kasutajaid küsimisaknakesega häiritaks. Ajutised küpsised on ohutumad kui püsivad küpsised.

7.ie8-3 ie privacy

Vajutades Privacy aknas lingile Sites, saab igaüks ise hallata küpsiste seadeid konkreetsetel saitidel. Saab lisada mistahes veebilehti, millele määrata küpsiste salvestamise keeld (Block) või lubamine (Allow). Antud reeglid salvestatakse ning nende kohta kasutajalt nõu enam ei küsita.

Valides aga hüpikakende blokeerimise seaded ( Pop-up Blocker – Settings) saab ise määrata, millisele veebilehele on lubatud hüpikakende avamine. Selleks tuleb reale Address to website to allow kirjutada veebilehe aadress ja valida Add. Vaikimisi on enamus automaatseid hüpikaknaid keelatud, eraldi saab veel real Blocking level valida tasemeks High, mis keelab kõik hüpikaknad.

8.ie8 cookies ja pop-up

Tabeli  Advanced alla on koondatud seaded, mis kehtivad kõigil turvaaladel. Siin soovitatakse välja lülitada funktsioon  Enable third-party browser extensions , eemaldades linnukese ruudust  ja vajutades Apply. See valik lubab veebilehitsejale paigaldada kolmanda osapoole tööriistaribasid ja skriptiobjekte (BHO), millest mõned neist lisandmoodulitest võivad olla küll kasulikud, kuid võivad rikkuda ka kasutaja privaatsust  – koguda näiteks isikuandmeid või jälgida kasutaja harjumusi veebilehtede külastamisel.

Samuti soovitatakse märkida linnuke valikusse Always show encoded addresses, mis võimaldab paremini kaitsta õngitsemissaitidele sattumise eest, ning keelata ka valik Play sounds in webpages.

9.ie8 advanced3

Internet Explorer salvestab koopiaid külastatud lehtedest, portaalidesse sisselogimise paroole, küpsiseid jne selleks, et kiirendada hilisemat surfamist. Vaadata saab neid, avades tabeli General –Browsing history – Settings – View files. Soovitav oleks, kui kõik need andmed kustutataks veebilehitseja kinnipanemisel. Selleks tuleb märkida linnukesega Delete browsing history on exit. Käsitsi saab neid kustutada vajutades lingile Delete või avades veebibrauseris Safety – Delete Browsing History…

10.ie8 browsing history

Internet Explorer 8 pakub uue võimalusena funktsiooni, et internetiseansil ei salvestata andmeid surfamiseelistuste kohta. Selleks tuleb veebilehitsejas avada Safety – InPrivate Browsing. Privaatsel surfamisel avatakse uus IE aken, millest annab märku aadressiriba ette kuvatav kiri InPrivate.  Samuti on soovitav sisse lülitada InPrivate Filtering märkides selle linnukesega. Lisainfot siit .

11.ie8, inprivate

SmartScreen Filter aitab kaitsta andmepüügiga tegelevate veebisaitide eest. Selle sisselülitamiseks tuleb valida Safety – SmartScreen Filter ja vajutada kirjale Turn On SmartScreen Filter, seejärel  avanevas aknas valida kinnitamiseks uuesti samale  kirjele. Kahtluse korral saab veebilehte kontrollida käsitsi, valides Check this Website. Lisainfot siit.

12.ie8 smartscreen

Mozilla Firefox turvaliseks seadmine

Arvutisse võib paigaldada mitu veebilehitsejat.  Erinevate brauserite eeliseks on see, et ühe neist võib sättida üliturvaliseks, mille kaudu saab interneti-kaubamajadest vajalikku osta või pangas tehinguid teha, teist aga kasutada lihtsalt veebilehitsemiseks, failide tirimiseks või mängude mängimiseks. See vähendab  tundliku informatsiooni varastamise riski. Ent tuleb arvestada, et ka teine alternatiivne brauser tuleb turvalisemaks seada, et vähendada võimalust pahavarasse nakatumiseks.

Vaikebrauseriks, mida ma ise pidevalt kasutan, on Mozilla Firefox. See toetab paljusid samasid funktsioone nagu Internet Explorergi, välja arvatud ActiveX ja turvalisuse tsoonide mudel, milles saaks ise detailselt erinevaid sätteid keelata või lubada.

Mozilla Firefox turvalisemaks seadmiseks tuleb veebilehitsejas avada Tools – Options. Esimesel vahelehel Main võib märkida punktikesega  Always ask me where to save files (Alati küsi, kuhu salvestada faile). See välistab võimaluse, et mõni pahatahtlik leht ise püüab automaatselt mõnda faili arvutisse salvestada.

13.mf1

Alates Mozilla Firefox versioonidest 3.5, mille põhjal ma ka antud ülevaadet teen, on vahelehel Privacy võimalik märkida linnukesega Automatically start Firefox in a private browsing session, mis keelab veebilehitsemisel andmete salvestamise arvutisse.

14.ff2

Sama funktsiooni, kui keelatakse salvestada küpsiseid, külastatud lehti, salasõnasid, otsingusõnasid, allalaaditavate failide nimekirja jne. toetab ka Firefox will valik Never remember history. Valikuliselt saab vastavaid sätteid oma soovide järgi mugandada, kui eespool nimetatud lahtrisse Automatically… jäetakse linnuke panemata.

15.ff3

Paljud veebilehed pakuvad kasutamismugavust arvestades  kontodele sisselogimisparoolide salvestamist. Üldiselt soovitatakse selliseid funktsioone mitte kasutada, kuna nii pereliikmel, tuttaval või häkkeril on neile väga kerge ligipääs. Selleks piisab, kui avada Security – Saved Passwords –  Show Passwords. Kui antud funktsiooni  siiski kasutatakse, tuleks omakorda kasutada Master Password funktsiooni, mis krüpteerib andmed. Valida tuleks Use Master Password ja avanenud aknas määrata turvaline salasõna. Roheline kvaliteedimeeter annab märku loodud parooli häkkimiskindlusest. NB! Valitud salasõna ei tohi unustada!

16.ff4 password

Vahelehel Content soovitatakse linnuke eemaldada ruudust Enable Java. Kui veebileht seda nõuab ja kasutaja soovib selle uuesti sisse lülitada, siis peaks enne veenduma, et tegu ei ole pahatahtliku saidiga. Pärast turvalise veebilehe külastust soovitatakse uuesti see funktsioon välja lülitada. Samuti soovitatakse avada Advanced seaded ja kõikide skriptide eest linnukesed ära korjata.

17.ff5 java

Kindlasti tasuks Mozilla Firefox kindlamaks muutmisel kasutada erinevaid turvapluginaid, millest mõnedest on juttu olnud siin ja siin. Kuna eelnevalt sai mainitud, et ka neis võib vahetevahel esineda puudusi, siis kõige tähtsam on neid sarnaselt veebibrauseritele alati värskendada uuema versiooni vastu. Kõige lihtsam viis selleks oleks avada Advanced – Update ja märkida linnukestega kirjed Automatically check for updates to.

18.ff6 update

Artikli kirjutamisel on kasutatud US-CERT materjale.

Reklaam

3 kommentaari

  1. Lauri Säde ütleb:

    Väga kena õpetus 🙂
    Tänapäeval ei pea internetist midagi isegi alla laadima. Piisab vaid internetilehekülje avamisest ning paikamata tarkvara puhul oledki nakkuse osaks saanud. Näite sellest http://www.youtube.com/watch?v=1roTgk_SrMw

  2. Raido ütleb:

    Tänud väga kasulike vihjete eest.
    Oleks siiski üks küsimus IE seadistamisel tabi Advanced all. Kas mitte linnukesega ruudu fikseerimisel “Enable third-party browser extensions” all mitte just ei võimalda seda funktsiooni ja ruudu tühjaks jätmisel vastavalt siis on see välja lülitatud ehk disabled?

  3. Priit Aasmäe ütleb:

    Raido, tähelepanek on õige. Aitäh!