Autor: Aare Kirna

Mida peaks Windows XP kasutaja tegema pärast 8. aprilli?

8. aprillil lõpetab Microsoft peaaegu 13 aasta vanuse operatsioonisüsteemi Windows XP toe. Selle kasutajatele on juba mõnda aega näidatud ka vastavat hoiatust koos soovitusega võtta kasutusele uuem Windowsi versioon. Mida peaks sellest teadma ning kas on mõtet tormata poodi uut Windowsi ostma?

Kui teil on kodus või tööl Windows XP-ga arvuti, saate sellega edasi toimetada ka peale koleda kuupäeva kukkumist. Muutub niipalju, et pärast 8. aprilli lõpetab Microsoft Windows XP-le tugiteenuse pakkumise ning ei väljasta sellele enam täiendusi ja parandusi. Samuti ei ole pärast nimetatud kuupäeva võimalik XP-ga arvutisse paigaldada Microsofti tasuta viirusetõrjet Security Essentials (enne 8. aprilli installeeritud SE siiski töötamast ei lakka ning ka igapäevased uuendused tulevad sellele endiselt). Küll aga rõhutab Mcrosoft, et pärast toe lõppemist pole XP enam nii turvaline kui seni.

Olgu kohe öeldud, et aastast 2001, kui XP välja tuli, on nii maailm, arvutiasjandus kui ka internet muutunud palju keerulisemaks, koos sellega on kasvanud ka mitmesuguste ohtude ja riskide hulk ka keerukus. On kurb tõsiasi, et Windows XP pole tegelikult juba aastaid enam kuigi turvaline olnud, nii et toe lakkamine ei saa selle niigi madalat turvataset enam hüppeliselt allapoole nihutada. Samas, kui kasutate oma Windows XP-ga arvutit korraliku tulemüüri taga, selles on toimiv viirustõrje ning ka te ise järgite põhilisi internetihügieeni reegleid, on teie arvuti nakatumisrisk väiksem ning jääb selliseks ka pärast 8. aprilli.

Siiski ei tee paha mõelda oma turvalisuse suurendamisele. Võib-olla oleks ikka mõttekas oma vanale arvutile uus Windows peale panna?

Kardan, et see pole nii lihtne, nagu Microsofti müügimeestele meeldiks uskuda. Arvutites, mis on ehitatud Windows XP süsteeminõudeid silmas pidades, võib uuem Windows küll käima minna, kuid on siiski üsna tõenäoline, et selle riistvara jääb uuema ja ressursinõudlikuma opsüsteemi jaoks liiga nõrgaks. Lisaks on arvutid, milles jookseb veel XP, reeglina juba üsna eakad, nende komponendid väsinud, kulunud ja oma kasutusressursi viimasel piiril. Kui uuem Windows niisuguses arvutis tööle hakkab, on väga hästi, kuid ei maksa imestada ega pahaks panna, kui näiteks Windows 8.1 sellisesse arvutisse üldse ei installeeru või siis töötab selles piinava aegluse ja tõrgetega.

Arvutikaitse soovitab oma vanas arvutis Windowsi mitte välja vahetada, vaid osta uus Windows juba koos uue arvutiga.

Kui eelarve uut arvutit välja ei kannata, turvalisus aga ikka mureks, soovitan vaadata mõnd Linuxi eestikeelset varianti, näiteks vähese ressursitarbega Xubuntu, natuke nõudlikum, kuid see-eest ilusam Ubuntu või spetsiaalselt kohalikele oludele kohandatud Estobuntu.

Muidugi saab teha turvalisuse osas teatud mööndusi ning kasutada XP-d edasi. Sealjuures aga soovitan võtta tarvitusele mõned ettevaatusabinõud:

  1. Hoiduge XP-ga arvuti kasutamisest avalikus võrgus, näiteks traadita interneti levialas, hotellides või avalikes hoonetes.
  2. Tulemüür (soovitavalt mitte Windowsi enda oma) ja viirustõrje (kui selleks on Security Essentials, siis paigaldatud enne 8. aprilli) on kohustuslikud.
  3. Kasutage administraatoriõigusi ainult siis, kui see on hädavajalik. Igapäevased toimetused tehke tavakasutajana.
  4. Kui vähegi võimalik, kasutage enda autentimiseks ID-kaarti või Mobiil-ID-d. Kui te ID-kaarti parasjagu ei kasuta, võtke see kaardilugejast välja.
  5. Paigaldage oma internetibrauserile reklaami ja skriptide blokeerijad.

Ja katsuge viimased täiendused ja uuendused ikka aegsasti enne 8. aprilli ära teha!

Kas krüpto on nüüd surnud?

Snowdeni viimased paljastused väidavad, et Ameerika Ühendriikide ja Suurbritannia valitsusasutused suudavad kuulata pealt krüpteeritud võrguliiklust, mis toimub näiteks teie arvuti ja Hotmaili, Yahoo, Google’i või Facebooki vahel. Et see võimalik oleks, kuulatakse pealt rahvusvahelisi sidekaableid ja võrgusõlmi, sunnitakse tarkvaratootjaid kirjutama oma krüptotoodetesse tagauksi ning püütakse kirjutada krüptostandardeid ümber selliselt, et need oleksid vähem muukimiskindlad.

Kas see tähendab, et kogu krüptograafiline usaldusahel, mis laseb meil suhteliselt muretult internetis raha kulutada, petta saamist kartmata valitsuse, ettevõtete ja üksteisega suhelda ning olla kindlad, et meie info ei jõua valedesse kätesse, on nüüd mõttetuks muutunud ning me peaksime paberi ja pastaka juurde tagasi pöörduma?

Jah ja ei.

On tõsi, et kui näiteks HTTPS, SSL ja VOIP sisaldavad tagauksi ja turvaauke NSA jaoks, võivad neidsamu auke kasutada ka kõik teised peale NSA. Ja isegi kui tagaustes on (ehkki tõenäoliselt pigem pole) korralikud kontrollmehhanismid, mis välistavad nende kuritarvitamist, on NSA motiivid igal juhul kaheldavad. Tasub meeles pidada, et Eesti ei ole veel Ameerika Ühendriikide osariik ning meie riigi ja selle kodanike huvid ei pruugi nende omadega kaugeltki kattuda. Pealegi, nagu Bruce Schneier väga õigesti märgib, on Hiinal, Venemaal ja teistel sarnastel režiimidel nüüd hea ettekääne internetti samal viisil kuritarvitada.

Samas, kui väidetavasse pealtkuulamismehhanismi veidi süveneda, siis selgub, et krüptoalgoritme, see tähendab matemaatilisi põhimõtteid, mille alusel krüpteeritud sõnumeid kokku pannakse, NSA-l siiski murda pole õnnestunud. Aga ega neil seda vaja ei olegi, sest palju aega ja ressurssi nõudvast koodimurdmisest lihtsam on murda inimesi, kes koodi töötlevat tarkvara kirjutavad või krüpteeritud sõnumeid edastavat infrastruktuuri käigus hoiavad. Sellest, kuidas Ameerika valitsusasutused terrorismi tõkestamise või mõnel muul ettekäändel Facebooki, Google’i või mõne teise suure sotsiaalvõrgustiku haldaja käest täiesti otse ja seaduslikult nende kasutajate andmeid küsivad, on viimasel ajal juba väga palju räägitud, samuti ka seda, et ookeanitaguste sotsiaalvõrgustike või tasuta meili- ja sõnumiteenuste kasutajaist on väga naiivne oma andmete privaatsust eeldada.

Turvaekspertide hinnangul on juhul, kui Snowdeni väited tõele vastavad, pealtkuulatavad enamik suurte Ameerika tarkvaratootjate krüptotoodetest. Rahulikumad võivad olla selliste toodete kasutajad, mille lähtekood on avalik või mis ühilduvad rohkem kui ühe tarkvarafirma toodetega. Seda põhjusel, et tagaustel on väga raske jääda märkamatuks, kui sama koodi uurib mitu sõltumatut tarkvaraarendajat. Samuti ei ole mõtet murda sisse suvalise kasutaja arvutisse – asjatu vahelejäämise risk on liialt suur.

Kas see kõik puudutab ka meid siin Eestis?

Kas me võime julgelt oma e-panku kasutada ja e-Eestiga edasi suhelda? Kas Keskerakonnal ongi õigus ning ID-kaart kõlbab nüüd ainult autoklaasilt jää kaapimiseks?

Mis e-valimistesse puutub, siis nii palju kui mina tean ja ajaloost õppinud olen, on pabersedelitega valimistel oluliselt lihtsam ja odavam susserdada kui e-häälte puhul.

ID-kaardi turvalisus peaks olema oluliselt kõrgem kui lõppkasutaja arvuti oma. Selle krüptot pole minu teada veel murda õnnestunud, samuti pole kuulda olnud, et keegi ID-kaardi tarkvara arendajatele täiendavate tagauste sisseprogrammeerimise eest maksnud oleks (ja niipalju kui mina tarkvaraarendusest tean, tasuta seda tööd vaevalt et keegi ette võtaks). Mõistagi poleks sugugi liigne valitsuse esindajate kinnitus, et meie riik ei tee tagauste teemal NSA-ga koostööd.

obama-ATM

Eestis tegutsevad pangad on oma e-kanalite turvalisuse pärast muretsenud juba pikka aega. See on väljendunud näiteks koodikaardi ülekandelimiitide koomaletõmbamises ning ID-kaardi ja Mobiil-ID propageerimises. Teoreetiliselt peakski ID-kaardiga krüpteeritud pangasessioon olema turvalisem kui USA teenusepakkujalt ostetud veebiserveri sertifikaadiga krüpteeritud turvakanal, mida kasutatakse juhul, kui logite panka sisse koodikaardiga.

Mida saame meie, tavakasutajad teha selleks, et meid pealt ei kuulataks?

1. Seda, et meie poliitikud lombitagusele Suurele Vennale iitsatada julgeksid, et Eesti Vabariigi kodanikel on ka mingid inimõigused ning ootused oma privaatsuse austamiseks, on vist natuke palju tahetud. Aga valimised ei olegi nii väga kaugel ja praktika näitab, et sel ajal vähemalt tehakse nägu, et valijaid kuulatakse. Nii et, hea kodanik – suhtle oma saadikuga, päri aru ja küsi tulevikuplaanide kohta!

2. Pidage meeles, et kui kasutate Facebooki, Gmaili ja muid sarnaseid teenuseid, siis kõik, mis liigub läbi Ameerika serverite, jääb sealse jurisdiktsiooni alla ja Ameerika valitsusel pole meie kui välismaalaste suhtes isegi neid kohustusi, mida ta omaenda kodanike suhtes Snowdeni väitel ignoreerib.

3. Eesti on väike, kõik tunnevad üksteist ja iga vähegi suurem sigadus tuleb ükskord välja. Seega tasub kohalikke teenusepakkujaid ning võrke usaldada rohkem kui ookeanitaguseid, olgu need siis meili- või hostinguteenuse pakkujad, digitaalsete sertifikaatide või muude kohalike turvatoodete müüjad.

4. Avatud lähtekoodiga tarkvara on üldiselt nuhkimiskindlam. See ei tähenda, et peaksite loobuma näiteks Microsofti toodetest, eriti kui need on muutunud teie igapäevase töö ja meelelahutuse lahutamatuks osaks. Ehkki Ameerika firmad on muidugi kohustatud tegema seda, mida nende valitsus käsib, on nende peamiseks eesmärgiks siiski kasum, ja nad on täiesti valmis astuma vägagi otsustavaid samme, veenmaks oma miljoneid kliente, et nende privaatsusega on lood hulga paremad kui viimaste uudiste valguses paistab. Aga kui teil on pidevalt tegemist ärisaladustega või tahate lihtsalt elada teadmisega, et teie eraleu pole kellegi teise asi, võiksite eelistada Linuxi-põhiseid lahendusi.

Veel samal teemal.

Asutuse andmesüsteemi turvareeglid

Koostöös oma heade koostööpartneritega pakub Arvutikaitse kõigile ettevõtetele, kellel pole väljakujunenud turvarutiine, võimalust võtta eeskujuks alltoodud juhtnöörid.

Eelkõige väikekontoris kasutamiseks mõeldud IT turvareeglite koostamisel on lähtutud aastatega kujunenud kogemusest ja üldlevinud headest tavadest. Igaühel on vaba voli kohandada näidiseeskirja oma ettevõtte vajadustele sobivamaks, samuti on teretulnud mistahes ettepanekud ja täiendused.

Asutuse andmesüsteemi turvareeglid 1.0-1 (RTF)

Asutuse andmesüsteemi turvareeglid 1.0-2 (PDF)

Asutuse andmesüsteemi turvareeglid 1.0 (Word 2003 dokument)

Asutuse andmesüsteemi turvareeglid 1.0 (ODT)

Näidisturvareeglite valikut pakub ka RIA: https://www.ria.ee/raamdokumentide-naidised/

RIA: 2012. aasta oli Eesti küberruumis rahulik

Lisaks soovitusele Windows XP lähema aasta jooksul mõne uuema opsüsteemi vastu välja vahetada on Riigi Infosüsteemi Amet sel nädalal avaldanud ka ülevaate küberturbe seisust Eestis aastal 2012.

RIA hinnangul 0li eelmine, 2012. aasta Eesti küberruumis rahulik, suuremaid vahejuhtumeid polnud, hädaolukordadest rääkimata. Järelvalve registreeris 41 olulist intsidenti, neist meedia tähelepanu pälvisid Elioni katkestused, kaardimaksete süsteemi tõrked või lennujuhtimissüsteemi häired, ka nn “#opEstonia” juhtum, mis ei mõjutanud kriitiliste infosüsteemide tööd ning lahendati tavapärasest intensiivsema töö käigus. Tõsiseks saab veel lugeda paari kuritegelikku rünnet, mille käigus üritati petukirjade abil saada juurdepääsu pangakontodele.

Üldistatult on arvutikuritegevuse tase jäänud samale tasemele varasemate aastatega. 2012. aastal alustas Politsei- ja Piirivalveameti Keskkriminaalpolitsei menetlusbüroos tööd V talitus, mille põhiülesandeks määrati kohtueelse menetluse teostamine infotehnoloogiaga seotud rasketes ja rasketes peitkuritegudes, samuti osalemine valdkonna tervikkoordineerimises.
Politsei- ja Piirivalveameti hinnangul mõjutasid politsei tööd küberkuritegevusega võitlemisel 2012. aastal enim:

  • Trojanite sõjad (Venemaa ja USA ning ka Hiina viirusetootjate vahelised vastasseisud) raha parast jätkusid. Sõjad on muutunud kommertslikumaks.
  • Küberkurjategijad otsisid jätkuvalt varastatud infole müügikanaleid.
  • Jätkus teenusteks muutunud ja teenustena pakutavate kelmuste arendamine.
  • Küberkurjategijate võrgust eraldamised sundisid neid arenema (Man-in-the-browser (MITB) – st püüdu varastada infot otse brauserist).
  • Häktivismi tõus.
  • Kiire infovahetus lihtsustas gruppide tabamist ja botnettide operaatorite (e pahavara kasutajad, kes juhivad ja koordineerivad ründeid) tabamist.
  • Erinevad teismeliste küberkiusamised saavutasid Child Groomingu (veebi kaudu ahvatletakse laps endast alasti pilte tegema ning siis algab raha väljapressimine ähvardusega, et muidu pannakse pildid nt Facebooki) mõõtmed.
  • Tabatud lapsporno levitajad peavad enda moraalselt väärastunud tegevusi tavanormiks.

Samad trendid jätkuvad PPA hinnangul ilmselt ka 2013. aastal.

RIA 2012. aasta küberturbe ülevaate täistekst.

Autoomanikud, olge valvsad!

Euroopa Liidu infoturbeagentuur ENISA hoiatab pahavara eest, mis levib seni tavatus keskkonnas – sõiduautode juhtajudes. Turvaekspertide väitel üritab obd.backdoor.1.3-nimeline pahavara kirjutada üle auto juhtaju tehaseseaded, näiteks asendab BMW 725 firmware Audi 80 omaga. Kui see ei õnnestu, lülitab pahavara sisse alarmi ja immobilisaatori, hoides neid töös niikaua, kuni aku tühjaks saab. Teatud versioonid hoiavad mootori pöördeid pidevalt 7000 ning salongi kliimaseadet +37 kraadi peal. Pahavarast levib ka versioon obd.motorup.1.4, mis muudab juhtaju seadeid nii, et mootori kütusekulu langeb 2,7/100-le.

ENISA spetsialistide kinnitusel pahavara otse ühest autost teist nakatada siiski ei suuda. Nakkus antakse autodele edasi odomeetri tagasikerimiseks kasutatava tarkvara kaudu. Kuna ükski autoremonditöökoda pole seni tagasikerimist üles tunnistanud, jätkuvad nakkusallika otsingud üle teve Euroopa Liidu.

Seni aga palub ENISA kõigil, eriti kasutatud autode omanikel oma sõiduriista käitumist tähelepanelikult jälgida ning kõikidest kahtlustest kohe teada anda.

Tarkvarapiraatluse kahjud näivad olevat tugevasti liialdatud

BSA ja Microsoft väidavad täna, 13.03 avaldatud kampaaniateates, et käesoleval, 2013. aastal hakkavad tavatarbijad kulutama piraattarkvara kasutamisest põhjustatud pahavarainfektsioonidega võitlemiseks 22 miljardit dollarit ning 1,5 miljardit töötundi, ettevõtted aga samal otstarbel ning koos kaasnevate kuludega lausa 114 miljardit dollarit, mis teeb 8% kogu IT tööjõukulust (Eesti ajakirjanduse erinevates kajastustes olid millegipärast erinevad numbrid, seetõttu võtsin aluseks originaaluuringu).

Viidatud uuring on üldse huvitav lugemine. Sealt saame teada, et BSA arvates on keskeltläbi 42% kogu maailma PC-desse installitavast tarkvarast piraatlikku päritolu, meiesugustel arengumaadel on vastav protsent aga suisa 60. Kahjuks või õnneks aga tervelt 80 % piraatidest ei teagi, et nende arvutites olev tarkvara ei vasta päriselt litsentsitingimustele – nad olevat soetanud selle heas usus, et tegemist on originaaltarkvaraga, on aga paraku petta saanud.

Uuringu autorite hinnangul sisaldab iga kaheksas kodukasutaja arvutisse ja iga üheksas ettevõtte arvutisse installitud tarkvarapakett mingit liiki pahavara. Edasine arutluskäik jääb minu jaoks veidi segaseks, kuid kuidagi tuletavad nad ühe keskmise nakatumise otsesteks ja kaudseteks kuludeks Kesk- ja Ida-Euroopas keskmiselt 1062$, Lääne-Euroopas 2499$ ja Põhja-Ameerikas 2315$. Korrutades need keskmised eeltoodud nakatumiste arvu ning BSA antud piraatlusprotsendiga, saadaksegi uudistes toodud metsikud kulunumbrid.

Minu tagasihoidliku arvamuse kohaselt on pea kõikide küberkuritegevusest tekitatud kahjude (hinnanguliselt 50-60 mrd $) ja IT turbe kulutuste (hinnanguliselt 80 mrd $, kuid alles aastal 2017) piraattarkvara kraesse lükkamine kergelt liialdatud. Seda enam, et uuringus viidatud teine uuring ütleb selgelt, et 81% rünnakuvektoritest pärinevad väljastpoolt süsteemi (kasutavad ära olemasoleva tarkvara turvaauke, lohakat konfiguratsiooni või kasutaja järelemõtlematut tegevust) ning ainult alla 1% on tarkvarasse sisse ehitatud.

Natuke soliidsem, Cambridge’i, Münsteri, Delfti, Cardiffi, Dallase ja California ülikoolide teadlaste uuring on tarkvarapiraatlusest põhjustatud nakatumiste ja nende tagajärgede hindamisel märksa tagasihoidlikum. Nende hinnangul suutsid tarkvarapiraadid 2010. aastal üle maailma tekitada vaid 22 miljoni dollari eest kahju.

Ka 22 miljonit on muidugi suur raha ning Arvutikaitse on oma lugejaid alati piraattarkvara kasutamise ja sellega seotud ohtude eest hoiatanud. Kuid piraatlusevastane võitluse nimel ei tohiks siiski kasutada kallutatud uuringuid ega väänatud statistikat.