themes theme

Artiklid alates ‘Arvamus’ rubriigist

Windows turvapaigad igasse arvutisse

16. detsember 2009

1. Bill Gates genuine  logoEi mäletagi täpselt, oli see neli või viis aastat tagasi, kui üks mu tolleaegne tuttav arvutipoest pakkus mulle ühe pisikese teene eest tasuta  Windows XP originaalplaadi tõmmist. Asi olevat ametlik ja ehtne, kuna arvutipoodidel teatavasti on sellised plaadid alati olemas, mida nad ilma opisüsteemita DOS- arvutitesse paigaldavad.

Mis siin salata, loomulikult olin ma juba eelnevalt teistelt tuttavatelt kuulnud, et mees ajab opisüsteemi paigaldamisega ka väikestviisi äri – sellise piraat-originaal XP installeerimise eest klientide arvutisse küsiti tollal umbes 500 kuni 600 krooni puhtalt kätte. Muuseas, ka tänapäeval pole taoline äri kuskile kadunud, ikka ja jälle kuulen tuttavatelt, viimati umbes kaks kuud tagasi, kuidas üsna suurtes ja prestiižsetes arvutisalongides pakuvad mõned müüjad tehingut – kas osta originaal CD-plaat poe riiulilt või lasta neil endil paigaldada soovija arvutisse samuti “ehtne” opisüsteem, ent CD-d kaasa ei saa….siis läheks see maksma kõigest 300-350 krooni, loomulikult ainult sulas ja ilma arveta. See on kõigile teada avalik saladus.

Minul aga saadud ametlik ja ehtne Windows XP originaalsüsteem  kuvas paari kuu möödudes arvutinurka värvika genuine-kellukese, mis teatas, et tegu EI OLE õige versiooniga. Arvatavasti oli mulle kingitud tõmmist kasutatud juba kümnetel (või sadadel) teistel arvutitel ja ühel hetkel Microsoft lihtsalt avastas selle.  Ja Windows turvavärskendustel (Microsoft Update) oli nüüd kriips peal.

Sellest ajast peale olen kasutanud ainult ehtsat XP opisüsteemi, mis sai soetatud tuntud firmapoest. Ehkki nõudmisel, et “soovin osta XP plaati”, kus eriliselt rõhutasin sõna “OSTA”, vaatas nooruke müüjatar mulle otsa sellise ehmatuse ja üllatusega justkui kurjategijale, kes küsib Kalashnikovi automaati koos pidemetäie padrunitega , et massimõrva korraldada. Sellist jahmatust võis tõlgendada – no oled sina ikka puhta loll, kes siis tänapäeval enam opisüsteeme OSTAB!

2.Windows genuine-victim

Aga noh, igatahes eluaegset traumat ma sellisest suhtumisest siiski ei saanud, kuna tean juba ammu, et omakasupüüdlik must äri opisüsteemide paigaldamisega mõne tegelase  poolt ei kao tõenäoliselt ka tulevikus ja kannatajateks jäävad ikka ja ainult raha kokku hoidvad  kliendid. Odav ei ole alati hea! Mõnedest sellistest tõestisündinud juhtumistest petta saanud inimestelt saab lugeda siit.

Kas piitsa või präänikut?

Sõprade ja tuttavate arvuteid viirustest puhastades või registrivigu parandades olena aga sageli ise üsna hädas. Autentsuse kelluke vilgub kurvalt nurgas ja süsteem on turvapaikadega lappimata.

Teinekord on üsna raske tõestada, et viirus on arvutisse pugenud just värskenduste puudumise tõttu, ent see on enam kui võimalik. Eriti just selliste pahalaste puhul, mis peamiselt levisid paar-kolm aastat tagasi, ent paikadega sai nende suurem sissetung tõkestatud. Ka Confickeri olen leidnud, ehkki Microsoftil on sellele turvalapp olemas.

Mida ma peaksin sellistel juhtudel tegema?  Ma ei saa ju hakata oma tuttavate sõrmi sahtli vahele lapikuks lööma või neid piitsaga nüpeldama. Ka parastamine ei anna midagi, kuna enamustele on taoline “ehtne” piraat- opisüsteem paigaldatud kellegi kolmanda poolt, ilma et arvutiomanik ise midagi halba aimaks. Ja siin on veel üks nüanss  – isegi, kui arvutil endal on garantiiaeg olemas, siis probleemide korral ei saa seda suunata remonti, sest seal võidakse väga hästi öelda, et vead on põhjustatud piraat-opisüsteemi kasutamise tõttu. Ning siis ei olegi midagi vastu vaielda ning abivajajal endal tuleb taskuid kergendada.

Olen ka märganud puhast hoolimatust oma arvuti korrashoiu suhtes (andku tuttavad mulle need karmid sõnad andeks!). Millalgi aegu tagasi on nende arvuti opisüsteemi Windows installiplaadiga parandatud, misjärel Microsoft Update on lakanud toimimast. Ja seejärel pole isegi proovitud seda uuesti tööle saada, kuna ei peeta seda eriti vajalikuks. Peaasi, et internetti saab, MSN-is lobiseda või mõnusaid mänge mängida.  Aga uskumatult raske ja aeganõudev on just selliseid paikamata arvuteid korda teha.

Samas, isegi kui tegu pole ehtsa opisüsteemiga,  teen alati kõik võimaliku, et kasutaja ei oleks ohtlik ei endale ja eriti just teistele arvutikasutajatele, kaasaarvatud mulle. Ega siis ilmaasjata internetiteenuste pakkujad mõnedel kasutajatel internetiühendusi piira. Kõige kurvem asja juures ongi just see, et viirustega nakatatakse just teisi internetti ühendatud arvuteid, ilma et sellest aru saadakse (vahel ei tahetagi seda tunnistada, ehkki aimatakse). Ja esmasteks kannatajateks on tavaliselt parimad semud  ja head kamraadid, kes ühel hetkel lihtsalt loobuvad nakatunud arvutiomanikuga suhtlemast.

Mida teha opisüsteemi turvalisuse tõstmiseks?

Kõigepealt tuleb loomulikult kõikvõimalikust õelvarast  lahti saada, vahet ei ole, kas tegu legaalse või mittelegaalse opisüsteemiga. Eraldi linke ei hakka siin välja tooma, kuna kõik viiruste- ja nuhkvara eemaldamiste vahendid on lihtsasti  leitavad Arvutikaitse rubriigist Tõrjujad.

Järgmisena võiks nii ehtsa- kui piraatsüsteemi omanikud üle kontrollida, kui palju haavatavusi nende opisüsteemis leidub.

Tasuta kõigile Protector Plus – Windows Vulnerability Scanner on väga lihtne ja ülikiire vahend nende tuvastamiseks, mis lisaks teatab, kas tegu on kriitilise-või vähemolulise haavatuvusega. Utiliidiaknas lingile klikkides suunatakse kõigepealt Microsoft lehele täiendava info lugemiseks, kust leiab ka eraldi lingid konkreetse turvalapi allatirimiseks. Loomulikult tuleb valida just opisüsteemi versiooni  järgi sobiv allatirimislink. Utiliit sobib süsteemidele Windows 7, Vista, XP,2000. Nii kodulehel kui utiliidis endas on kirjas kuupäev, millal seda on viimati värskendatud, uusima  versiooni peab alati uuesti kodulehelt arvutisse tirima.
3.winvuln scan

Seejärel võiks nii ehtsa- kui piraatsüsteemi omanikud kontrollida üle, kas kõik vajalikud opisüsteemi värskendused on arvutisse paigaldatud.

Kõigile tasuta Windows Update Scanner sobib süsteemidele 2000, XP (32-ja 64bit) ning Server 2003. Selle abil on  võimalik leida arvutist puuduvad Windows värskendused  ja suunava lingi abil jõuda otse Microsoft kodulehel konkreetse allalaadimisleheni.

Utiliidi arvutisse paigaldamisel tuleks jätta linnuke kastikesse Verknüpfung (lingiviited) ja valida sobiv keel.

4.mõned abistavad lingid ja keelevalik

Utiliidi enda uuendamiseks tuleb valida Help – Check for updates, viimane signatuuride versioon arvutisse tirida ning pärast seda vajutada Scan.

5.kontrolli värskendusi

Süsteemis juba olevad turvavärskendused märgistatakse linnukesega, puuduvate paikade taha kuvatakse rist. Eraldi võib valida List not installed updates, et näha ainult puuduvaid paiku. Ehkki info on saksa keeles, siis siniselt märgitud link To the KB-Download viib Microsoft kodulehele, kus on kirjas  informatsioon turvavärskenduse kohta, mille võib sealtsamast kohe arvutisse tirida ja paigaldada.

6.link allatirimiseks

Kui aga ikkagi ei saa värskendusi mingil põhjusel läbi Microsoft Update kätte, näiteks viirused on tee Microsoft kodulehele blokeerinud või on tegemist on fataalse süsteemiveaga, mis värskendusi ei luba, siis üheks võimaluseks on proovida seda parandada  selle õpetuse abil või tirida arvutisse Microsoft Windows Update Agent.

Aga kui ka selle abil ei saa probleemi lahendatud?  Tean, et paljud kasutavad oma opisüsteemi lappimiseks RyanVM’s Windows XP Post-SP2/ SP3 Update Pack või Windows Update Scanner autori Manuel Hoefs loodud Windows värskenduste komplekti Windows XP Pre SP4 UpdatePack, mis sisaldab kõiki viimaseid turvapaikasid opisüsteemidele XP. Kuigi olen viimase komplekti ise oma arvuti peal ära proovinud ja  veendunud, et põhimõtteliselt see kahju ei tee ega sisalda pahavara, siis sellised kolmanda osapoole värskenduste allalaadijad peaksid olema siiski äärmised abinõud, et süsteem uuendatud  saaks. Eelkõige tuleks värskendusi tirida ikkagi Microsoft originaallehelt – http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=en-us .

Tähelepanuks!

Enne uuenduste allalaadimist tuleb alati luua süsteemi taastepunkt ja/või kasutada alternatiivseid süsteemitaastajaid. Sest paraku on Microsoft uuendustega nii, et need ei pruugi kõikide süsteemidega alati hästi sobida. Näiteks mul endalgi tõid viimased automaatsed uuendused arvutisse paiga, mis rikkusid ära taaskäivitusele (restart) mineku.

Rate.ee kavalad rahapommijad

9. november 2009

Kahe päevaste vahedega on mu meestuttavatele saadetud  rate.ee postkasti mesimagusid kirju. Kirjad on täpselt samasisulised, ehkki saatjateks on erinevate nimedega tüdrukud – Reili ja Angel. Avaldan ühe kirja postituse saaja teadmisel ja nõusolekul, kaasaarvatud suhteliselt hägusa pildi, mis õnnestus enne kätte saada, kui saatja selle rate keskkonnast eemaldas.

” Tere kenake:) Mul oleks üks palve. Kas saaksid mind aidata mõne SOL´ga kuna tahaksin panna mõned kümned. Võiksin siis sulle ka panna koos armsa kommentaariga. Ma ei oska sulle midagi vastutasuks pakkuda kui aidata saaksid. Väljavalituks sa ilmselt ei soovi mind aga kui tahad siis võin panna. Tutvuda võime alati kui soovid.
Palun saada, sest väga on vaja ja ei oska enam kuskilt küsida. Kalli

Saada sms sisuga: SOL 2141612
Numbrile: 15154 ”

2.kri rate

Kuna kirja saaja on neljakümnendates eluaastates mees ja rates on tal konto tema enda sõnul „ise ka ei tea millepärast“, siis ta vastus plikale oli selline (vastust lühendatud):

„Aitäh komplimendi eest.
Ausalt öeldes ei tea ma midagi SOL´idest. Sellel kontol käin ma üliharva ja pole siinsete värkidega kursis. Küll aga võin ma sind aidata arvutialaselt, kuna tööalaselt tegelen sellega. …Aga kindlasti uurin välja, mis see SOL on ja kuidas seda saaja peale kümnete panemiste veel kasutada saab. … Kuna mul on naine ja lapsed olemas, siis väljavalituks oleks vist tõesti imelik mind panna…ja ka tutvusega on raskusi eelnimetatud põhjustel, kuigi välimuselt oled sa priima – heledad pikad juuksed ja ka valge kleit on nii seksikalt rinnakõrgusele tõstetud….”

3.26dd15780874Viimase lause oli ta meelega lisanud vürtsikaks vihjeks, et on pilti näinud, ehkki see oli tüdruku poolt viimasel hetkel kustutatud.

Kui nüüd analüüsida seda kirja, siis tundub, et see tüdruk muud rohkemat ei tahagi, kui ainult panna….ma mõtlen kümneid, armast kommentaari ja väljavalituks, sest sõna „panna“ on lausa kolmel korral lühikeses tekstis esindatud.  Ja tundub, et panemisega on tal ikka üsna kiire, kuna  ta jättis tähele panemata, et mõlemal mehel olid üleval perepildid naise ja lastega. Sellegipoolest tahtis ta mehi väljavalituks ja ka lähemalt tutvuda. Huvitav, kas selliste kirjade läbi võivad tulla ka abielurikkumised?

Tõenäoliselt oli tüdruk selle peal väljas, et ka „vana hobu tahab kaeru“, kuna teine kirja saajast meesterahvas  hakkab samuti vanuselt neljakümnele lähenema. Kindlasti neiu lootis, et vanemate meeste süda heldib kiiremini ahvatlema panevalt suurest murest kuuldes … sellest, et tüdruk ei saa panna, ehkki ta nii väga tahab. See on ju tüdrukute suhtes kohutav ülekohus, et nad ei saa panna Rates kümneid!

Aga kui sellise tüdrukuga tutvuda, nagu neiu soov on?  On see üldse kindel, et kohtamisele tuleb sama isik, kes pildil? Võibolla sarnaneb see lugu siis hoopis  “hispaanlanna” juhtumile, kus väidetavast tüdrukust sai ühtäkki mees, omasooihaleja. Ma arvan, et isegi Rate.ee ei saa anda garantiid, kes tegelikult selle nn. tüdruku konto taga tegelikult peitub.

Nii et eriti just keskeas ja neist veel vanemad mehed ning vastupidi, verinoored poisid, kellel veri hakkab vemmeldama soontes iga tüdruku puusapaljastuse peale, peaksid eriliselt ettevaatlikud olema taoliste kirjade suhtes või muidu kooritakse nad lihtlabaselt paljaks. Annetusi ju võib teha, aga pigem siis lastekodudele ja –haiglatele või kasvõi loomade varjupaikadele, aga mitte omakasupüüdlikele tibidele.

Sellistest kirjadest tuleks kohe Rate tegijatele teada anda. Igas postkastis on link Anna spämmist teada. Ja pole vaja muretseda, et keegi kättemaksuks hindab teie pilti halvasti. No ja mis siis, kui pannakse pildile hindeks 1 – võõras mure. Eriti just vanemad inimesed peaksid arvestama, et rate on pigem laste ja mürsikute ning teismeliste mängumaa. Pole vaja põdeda nartsissismi, et küll ikka mina olen ilus ja hea ning et halvad hindamised hävitavad mu maine. Ei nad hävita ühtegi – ainult see, kes kahtleb iseendas, on hirmul selle üle, mida arvavad temast teised!

4.rate44 spamm

Mida saab teha SOL´idega?

Võttes lahti Rate.ee reeglid ja kerides allapaoole kirjeni Sisemine valuuta, võib lugeda:

„Rate.ee kasutajatel on võimalus osta Rate.ee teenuseid eesti kroonide eest. Lehel sinu raha on sissemakse tegemiseks välja toodud erinevad makseviisid – sissemakse tulemusena tekivad kasutaja kontole SOL-id, mida saab vahetada teenuste vastu. Teenuste nimekiri ja hinnad on ära toodud teenuste lehel. …

… Rate.ee kasutajatel on teatud tingimustel õigus sissemakstud raha oma pangakontodele saada, tellides väljamakse väljamaksete lehel.  …Eduka väljamakse puhul saadetakse raha kasutaja pangakontole kolme pangapäeva jooksul, raha võib pangakontole jõuda veidi hiljem, sõltuvalt pankade kiirusest. …”

Lõpetuseks

Võibolla rahanurumissoovidega kirjad on saadetud Ratest endast eeskuju võttes. Rate on ise ka mingis mõttes hõlptulu teenimise peal väljas – pakutakse ju müüa kõiksuguseid vidinaid ja teenuseid, millest mõned tunduvad täiesti arusaamatud.

Näiteks Konto avamine(siin saad avada kellegi konto, mis on moderaatori poolt blokeeritud). Saan aru nii, et kui eelkirjutatud spämmisaatjast tüdruku konto blokeeritakse pahateo eest, siis saab ta ikkagi selle uuesti raha eest avada ja jälle spämmima hakata. No tore küll!

Või siis Sünniaja muutmine (siin saad oma sünniaega muuta). Saan aru sellest nii, et kui tahan mõnele tulisele 17-aastasele tüdrukule “keelt kõrva ajama hakata”, siis kustutan lihtsalt oma pildid ära ja muudan oma sünniaja nooremaks. Täitsa kihvt – nagu teine elu!

Ja isegi boonuspunkte saab raha eest osta! Huvitav, kas emmed-issid teavad juba, kui mõttetute asjade peale kulub nende laste taskuraha, mis on higi, vere ja pisaratega teenitud!

5.mõttetu

Kriminaliseeriti identiteedi kuritarvitamine

28. oktoober 2009

Muude seadusparanduste hulgas kuulutas meie president THI 27-ndal oktoobril välja nn laseriga lennukipimestamise ja identiteedivarguse seadusmuudatuse (530 SE). Et see allakirjutus toimus Pronksiöö seadusest tingitud kisa-kära õhkkonnas, siis siinkohal kordame üle, mida identiteedi vargus või kuritarvitus üldse tähendab.

Lühidalt kokku võttes – karistusseadustikku tekkis uus paragrahv §157², mille sisu on järgmine:

”§ 157². Teise isiku identiteedi ebaseaduslik kasutamine
Teist isikut tuvastavate või tuvastada võimaldavate isikuandmete
tema nõusolekuta edastamise, nendele juurdepääsu võimaldamise või
nende kasutamise eest eesmärgiga luua teise isikuna esinemise teel
temast teadvalt ebaõige ettekujutus, kui sellega on tekitatud kahju
teise isiku seadusega kaitstud õigustele või huvidele, või varjata
kuritegu –
karistatakse rahalise karistuse või kuni kolmeaastase vangistusega.”

Hästi lühidalt kokku võttes tähendab uus paragrahv seda, et Jaan Kundla libablogi või  Anu Saagimi libablogi loomise ja pidamise eest saab nüüdsest  kellegi vangi panna küll.

Pisut pikemalt seletades takerdus selliste libasaitide uurimine varemalt sinna taha, et politseil polnud nende lugude suhtes jälitustegevuste õigust. Tüüpiline asjade käik oli, et kui inimene nägi netis oma nimel avaldatud asju mida ta tegelikult ega ikka ei kirjutanud küll, siis viis kodaniku tee kõigepealt politseisse, sealt Andmekaitse Inspektsiooni ning kui mingit juhuslikku pidepunkti ei avastatud, siis jäi tegelik tegija avastamata. Nüüd aga on meil uus seadusesäte.

Seoses sellega mainigem, et §157² asjades on nüüd politseil ka jälitustegevuse õigus.

Kokkuvõttes – libablogide pidajad, värisege!

Kuid muudatus ei puuduta üksnes blogisid. Kui keegi näeb, et tema rate.ee konto on üle võetud ja sealtkaudu tehakse mingeid põhjapanevaid avaldusi, siis on shanss, et pätt ongi juba “teise isikuna esinemise teel loonud temast ebaõige ettekujutuse” ja siis on pätil soolas rahatrahv või kuni kolm aastat kinnimajas.

Seoses sellega: ettevaatust lapsed, kes te olete harjunud oma klassikaaslaste kontosid “pulli pärast” üle võtma, selle äriga on nüüd lõpp – asi on riiklikult kriminaaliseeritud. On pisut raske hinnata, kui populaarne alaealiste hulgas säherdune tegevus täpselt on, aga ilmselt me räägime sadadest juhtumitest aastas.

Ettevaatust, lapsevanemad – teie laste süütu nali kriminaliseeriti ära. Pidage siis oma võsukestele loeng sellest mis juhtub kui võõra isiku kontoga “natuke nalja” teha.

Paraku, nagu Eestis ikka ja tavaliselt, ega siis ükski seadus kohe esimese korraga õigesti välja ei tule, alati jäävad mingid agad. Uue §157² puhul seisneb paratamatu kaasnähtus selles, et kriminaliseeriti mitte üksnes isiku ees- ja perekonnanime väärkasutamine, vaid – kindluse mõttes – identiteedi  kui hoomamatult laia mõiste kuritarvitamine. Mis minu kui mittejuristi hinnangul tähendab, et interneti nickid nagu kiisuke37, MikiHiir ja blabla omavad nüüd kraadi võrra kangemat kaitset kui on kaubamärkidel.

Nimelt, kui kodaniku põhiline identiteet netis on sigalind69 ja ta tunneb, et keegi teine on sama nime kasutamise pluss mõne väljaütlemisega tema mainet rikkunud (näiteks öelnud, p-sse *erakond! – mida tema kunagi ei ütleks), siis muretsejal on alus politseisse minna, avaldus kirjutada ning lasta oma identiteedi väärkasutaja vastutusele võtta. Juristid küll nii mures pole, nad eeldavad, et politseis ja kohtus on mõistlikud inimesed, kes suudavad igal konkreetsel juhul otsustada. Samas, nagu ütles THI ise (küll ühes teises asjas) – “Oluline on ka põhimõte, et karistusseadustik ei saa tegeleda tõenäosusprobleemidega, vaid peab sisaldama õigusselgust eriti selliste tegude suhtes, millega kaasnevad kriminaalõiguslikud tagajärjed,” kommenteeris president Ilves. “Seesugustes küsimustes peab valitsema vastutuse ja mõistete täielik selgus, mida on korduvalt rõhutanud ka riigikohus.” Küsin tsitaadi valguses üle – mis siis ikkagi on identiteet?

Kartaago hävitamise repliigina lisan, et kuivõrd identiteedi kuritarvituse  puhul on nüüdsest võimalik politseitöös kasutada jälitustegevust, siis vähemasti teoreetiliselt eksisteerib võimalus, et võlts-sigalind69 kodust leitakse arvuti, täis piraat-tarkvara ning sekka peoga ka lapspornot. Ning siis pole enam tähtis, mis oli kuritöö esialgne kvalifikatsioon. Arvuti kui töövahend liigub kuudeks ekspertiisi ning paragrahve tuleb kaela päris mitu.

Meenutan – hindamisi vähemalt 40% kodudes on piraat-tarkvara ja muid autoriõiguse rikkumisi nii et maa must, liiatigi, kui majas on mõni mees, siis iga 100 ühiku porno kohta leidub statistiliselt ka 1-2 ühikut lapsporri.

Diskussioon on teretulnud.

Lisainfot [2009-11-04 11:50]:  Martin Paljaku arutlus identiteedist (palju huvitavaid linke).

P2P vs pedofiilia

14. oktoober 2009

Kas on võimalik, et täiesti tavaline inimene saab üleöö pedofiiliks? Väidan, et P2P kasutamisel, jah – see on vägagi võimalik. Allpool tuleb juttu järgnevast:

  • Peer-to-Peer failivahetuskeskkonnas võib lapsporno kaela tulla pahaaimamatult (ja tulebki);
  • pedofiilia ja sellega seonduvad mõisted pole ühiskonnas selgeks räägitud, jäme ots on muidukaagutajate käes;
  • hirm pedoparagrahvi alla sattuda takistab inimestel avastatud kuritööst teatamast;
  • sekka muid arutlusi

Tisklaimer: Siikohal on esitatud eraisiku sügavalt isiklikud ning osaliselt alles arengujärgus arvamused, mis üldse ei pruugi kokku langeda eelmiste, praeguste või tulevaste tööandjate väärtushinnagute, arvamuste või korporatiivsete eeskirjadega.

Sõna ise – PEDOFIIL –  on viimasel ajal natuke üle-ekspluateeritud. Iga tegevus, mis vähegi sinnapoole kisub, nimetatakse kohe pedofiiliaks, siis on lugejate kindel huvi tagatud ja lehereklaam müüb masu ajal paremini.

P2P kasutamine on siinkandis üpris levinud, “kõik tirivad” Internetist faile. Neli suurimat P2P kategooriat on tarkvara, filmid, muusika ja porno. Ning pornol omakorda on alamliigid – sh lapsporr ja loomaporr. » Loe edasi: P2P vs pedofiilia

Kuidas tõestada riski olemasolu ja selle suurust?

16. august 2009

Käesoleval ajal on turvaanalüütikute suurimaks probleemiks saamas turvariskide tõestamine. Küsimus polegi enamasti selles, kas risk kui selline tegelikkuses eksisteerib, vaid just nimelt see, kui suur on mingi asja sündimise tõenäosus.

Enamasti hindavad turvamehed riske kõrgemalt kui need tegelikkuses aset võiksid leida. Eks niisugusel suhtumisel ole ka omad objektiivsed ja subjektiivsed põhjused. Ühest küljest, nagu ütleb Murphy – kui mingi asi saab metsa minna, siis ta kindlasti sinna ka läheb. Teisest küljest puutuvad turvamehed keskmisest rohkem kokku kõige halvaga ning see muudab nad (võib-olla et ülemäära) paranoiliseks.

Samas kipuvad need, kelle käes on ettevõtte rahakott, hindama riske (oluliselt) madalamalt, kui need tegelikult realiseerima kipuvad. Tüüpiline suhtumine on niisugune, et kui turvamees väidab midagi probleemiks olevat, tahavad otsustajad riski taga näha statistilist tõenäosust ning ütlevad, et ilma kindlate tõendite ja taustsüsteemita peavad nad seda järjekordseks uudiseks kurioosumite rubriigis: „Täna sai jälle üks peasapallur välgulöögist surma“.

Mõnes mõttes on selline suhtumine arusaadav. Kuna turvalisuse esmane eesmärk on halbade asjade ärahoidmine, siis turvameeste korrektse tegevuse korral enamasti midagi ei juhtugi. Samas on turvameetmete rakendamine suhteliselt kallis ja tülikas. Äärmuslikul juhul on sellest tulenev turvalisuse ignoreerimine läinud niikaugele, et firma turvapoliitika ongi: „Ei mingeid turvameetmeid ning kõik kahjud loeme äritegevuse loomulikuks osaks“.

Eriti keerukas on riskide tõestamine arvutiturbe alal. Riskid ise tekivad ja kaovad oluliselt kiiremini ning tagajärjed on, vähemalt esimesel pilgul, palju vähem fataalsed. Näiteks on enamik viiruseid küberkriminaalidele kasulikud esimese 24-48 tunni jooksul. Pärast seda on viiruste signatuurid juba viirustõrjefirmade poolt kirjeldatud, viirustõrje suudab pahalase ära tunda ja eemaldada ning  suurt kahju see  enam teha ei saa.

Samuti ei ole Eesti ettevõtetel ja asutustel kahjuks kohustust raporteerida turvaintside toimumisest. See aga vähendab riskide tead(us)liku analüüsi võimalusi. Eelkõige selles osas, mis puudutab reaalset statistikat selle kohta, mis on ohtlik ja millistele sihtrühmadele.

Nii ongi, et spetsialistid hoiatavad riskide eest ja (tava)inimesed peavad nende hoiatusi lihtsalt hirmutamiskampaaniateks. Tüüpilise näitena võib siinjuures tuua AssaPauk kampaania ja selle kajastusi Eesti blogosfääris.

Kahjuks ei ole mul hõbekuuli probleemi lahendamiseks, kuid arutleda võiks selle üle, kas ettevõtetele või vähemalt riigiasutustele peaks panema kohustuse intsidentidest teavitada (näiteks CERT.EE-d). Teisest küljeks võiks CERT.EE avaldada oma „tormihoiatusi“ kindla regulaarsusega, näiteks igakuiselt. Võib-olla parandaks see otsustajate turvateadlikkust ja riskitunnetust?

Nett kinni?

26. aprill 2009

CERT.EE juht Hillar Aarelaid tegi käesoleva nädala algul avaldatud Eesti Päevalehe artiklis ettepaneku viirusega nakatunud arvutitel internetiühendus kinni keerata. Idee konkreetne teostus võiks olla selline, et kui arvuti nakatub viirusega ja see kõvasti juba ka väljapoole paistab, siis juhib internetiteenust pakkuv firma sellele kohe kliendi tähelepanu, suunates kasutaja soovitud lehe asemel hoiatuslehele. Raskemate juhtumite korral peatataks internetiühendus täielikult, lubades külastada ainult tarkvara- ja viirustõrjeuuendusete lehekülgi.

Otse loomulikult tekitavad nii radikaalsed meetmed vastakaid arvamusi. Ka viidatud Päevalehe artiklis võtab sõna üks jurist ja püüab argumenteerida kahju tekitamise proportsionaalsuse teemal. Artikli kommentaariumis püütakse väita, et toimuma hakkab lausa inimõiguste piiramine.

Loomulikult tekitab netiühenduse blokeerimine eraisikutele ebamugavusi ning firmadele ärikahju. Kuid kuna mitte ükski arvuti pole internetis üksi, siis tuleb vaadata ka seda, millist kahju võib arvuti tekitada ümbritsevale keskkonnale – teistele internetis olijatele.

On olemas firmasid, kes teevadki oma äriplaani arvestusega, et nad oma arvuteid ei turva ning kannavad kõik sellest tulenevad jamad ärikahjumiks. Eraisikute puhul on selline käitumine enamasti seotud teadmatusega või siis ignorantsusega. Millegipärast mõeldakse, et keegi teine peale internetiteenuse osutaja (ISP) kahju ei kanna, kuigi tegelikult on selline arvamus ekslik.

Keegi ei ole internetis üksi – näitlikustamise huvides võiks seda kooslust võrrelda kortermajaga. Kui keegi keerab oma korteris muusika väga valjuks, siis kostab see ka naaberkorteritesse. Kui keegi ei pea hügieenist eriti lugu, siis on hais tunda terve koridori peal.

Samamoodi on ka internetis. Kui kellegi arvuti hakkab saatma spämmi (haisema), siis pannakse musta nimekirja terve võrgusegment (kortermaja) ning siis ei liigu ka teiste poolt saadetud kirjad. Arvuti hügieeni seisukohalt võib tuua võrdluse prussakatega. Samuti nagu kortermajas püüavad prussakad korterist korterisse levineda, püüab ühes arvutis olev viirus levida teistesse, naabruses olevatesse arvutitesse.

Neile, kes üritavad argumenteerida inimõiguste teemal, tsiteeriksin Allar Jõksi poolt konverentsil “Vabandused ei vabanda” öeldud sõnu: “Eesti Põhiseadus sätestab isiku õiguse vabalt liikuda ning koosolekuid pidada, kuid samas on võimalik nende õiguste piiramine nakkushaiguse leviku tõkestamiseks. Kui juba põhiseadusega on meil viiruse leviku piiramise eesmärgil õigus piirata inimeste õigusi, siis miks puudub meil selline õigus arvutite puhul?”

Tõesti, miks?