Rubriik: Kuidas käituda

Sülearvuti turvasüsteem…

…ehk kuidas muuta varga elu keerulisemaks

Sülearvutite laialdasest levikust tingituna on neist saanud varaste lemmikobjekt. Igal aastal varastatakse üle miljoni sülearvuti, tagasi õnnestub neist saada alla kolme protsendi. Samas suureneb igal aastal sülearvutitesse salvestatud salastatud ja isiklike andmete hulk. Seetõttu on äärmiselt oluline läbi mõelda, kuidas vältida vargust ning kuidas tagada varguse korral andmete turvalisus.

Järgnevad seitse punkti ei garanteeri ei teie arvuti ega sellesse salvestatud andmete turvalisust sajaprotsendiliselt, kuid nende järgimine vähendab oluliselt varguse ning andmelekke tõenäosust. Lisaks sellele suureneb ka võimalus varastatud arvutit veel kunagi näha.

  1. Mitte ükski koht ei ole turvaline. Samahästi võiks suure rahapatakas kusagile lauapeale vedelema jätta. Ära jäta kunagi sülearvutit üksi! Isegi kui sa lähed ‘vaid hetkeks’ eemale. Rahvarohketes kohtades ole eriti tähelepanelik. Tualetti minnes on kõige turvalisem jätta arvuti mõne (usaldusväärse) sõbra kätte.
  2. Kasuta lukku! Enamikule sülearvutitest saab külge panna trossiga luku. Lukku soetades ei tohiks valida kõige odavamaid, sest need saab sageli isegi tavaliste kääridega katki lõigata.
  3. Paigalda arvutisse tarkvaraline alarm. Need töötavad samamoodi kui autoalarmid: kui keegi hakkab sinu sülearvutit näppima (eemaldab voolujuhtme, liigutab hiirt, jne) käivitub alarm ning kõigi ruumisviibijate silmad on sinu arvutil ja potensiaalsel vargal. Laptop Alarm v2.0beta on esialgu tasuta allalaetav ja kasutatav, kuid lähiajal peaks välja tulema tasuline versioon. Programm ei vaja eraldi installeerimist, allalaetud fail tuleb lihtsalt käivitada. Esmasel käivitamisel tuleb programmi kasutustingimustega nõustuda (Accept). Edasi teavitatakse kasutajat, et kõrvaklappe ja alarmi ei tohiks samaaegselt kasutada, kuna see võib kõrvu kahjustada.

    Seejärel avanevas peaaknas saab valida, mille peale alarm käivitub:

    • toitejuhtme eemaldamine (või elektrikatkestus!)
    • arvuti väljalülitamine (või välja logimine)
    • USB hiire eemadamine
    • hiireliigutus

    Valikute (options) alt tuleks kindlasti määrata alarmile parool. Sealt saab määrata ka, kui suur hiireliigutus alarmi käivitab.
    Seejärel vajutus nupul ‘Lock Computer’ ja arvuti ongi alarmi all.

    Alarmi tühistamiseks tuleb sisestada eelnevalt määratud parool ning vajutada enterit.

    Maci kasutajatele on valida kahe programmi vahel, iAlertU ja Lockdown, mis tunnevad ära ka arvuti enda liigutamise (kui arvuti riistvara seda toetab).

  4. Veebikaamera tõhusaks turvakaameraks.
    Yawcam (samuti tasuta) võimaldab tavalise veebikaamera muuta liikumist tuvastavaks turvakaameraks, mis salvestab teatud ajavahemiku tagant pildi ning võimaldab selle ka mõnda serverisse üles laadida. Programmi kasutajaliides on küll veidi kohmakas, kuid võimalusi see-eest väga palju.

    Maci kasutajatele on analoogiline programm Gawker.

  5. Kui aga juhtub, et sülearvuti satub ikkagi varaste ohvriks, siis mitmete programmide abil on võimalik arvutit “jälitada” ning seega suurendata arvuti tagasisaamise võimalust. LaptopLock võimaldab lisaks varastatud arvuti “asukoha” (ip-aadressi) määramisele veel varastatud arvutis:
    • faile turvaliselt kustutada
    • faile krüpteerida
    • kasutajale sõnumit näidata
    • mingit muud programmi käivitada või muud korda saata


    LaptopLock’i kasutamiseks tuleb kõigepealt kodulehel ennast kasutajaks registreerida, misjärel on võimalik programm alla laadida. Installeerimise ajal tuleb määrata, kuidas programm arvuti varguse korral peaks käituma. Sülearvuti varguse korral tuleb varem tehtud kontosse sisse logida ja ära märkida, et arvuti on varastatud. Kui nüüd programm internetti pääseb, saab see teada, et arvuti on varastatud ning viib läbi installeerimise ajal määratud toimingud.

    Adeona on samuti programm varastatud arvuti asukoha kindlaks määramiseks. Tegemist on avatud lähtekoodiga programmiga, mis jookseb nii Windowsi, Maci kui ka Linuxi arvutites.

  6. Andmete turvalisuse seisukohalt on kõige olulisem kasutada korralikku krüpteerimistarkvara. Vabavaraline ja samuti avatud lähtekoodiga TrueCrypt võimaldab tekitada virtuaalse krüpteeritud ketta. Sellisele kettale salvestatud faile on ilma paroolita võimatu avada. Tegelikult pole võimalik isegi näha, kas või millised failid krüpteeritud on. Peale parooli sisestamist ja “külgepookimist” ilmub uus, näiliselt täiesti tavaline ketas. Tavaliselt käivad sellel kettal ka kõik failioperatsioonid (kopeerimine, loomine jne).
  7. Selle korra viimane soovitus: ärge kunagi hoidke paroole, ei paberil ega digitaalsel (krüpteerimata) kujul, sülearvuti läheduses. See oleks sama rumal kui kirjutada pangakaardi PIN-kood kaardi tagaküljele.

Välismaised lingid samadel teemadel:
How to Set Up a Laptop Security System
Computer Theft & Recovery Statistics
Lost and Stolen laptop numbers
Laptop Security Guidelines

Kui turvalised on turvaküsimused?

Kui kerge on murda sisse sinu Gmaili kasutajakontosse? Või Yahoo! ja Windows Live omasse? Kui sa vastad konto registreerimisel esitatavatesse parooli meeldetuletuseks mõeldud turvaküsimustele tõeselt, siis on sinu kontot päris kerge muukida.

Vaadake Yahoo! turvaküsimusi:

Kas neile küsimustele ikka tasub oma parooli hoidmist usaldada? Mina nii ei ütleks.
Kõik, kes teavad minu aadressi, saavad kergelt välja uurida minu kooli. Kõik mu tuttavad ja lähedased teavad mu koera nime ja isa nime. Samuti teavad kõik, et mu lemmikmeeskond on Real Madrid. Mis saladusi ma nende taha peita saan?
Selline küsimustik seab päris suuresti ohtu mu kasutajakonto, sest see lubab kõikidel, kes mind natukenegi tunnevad, minu kasutajakontot kaaperdada.

Windows Live sarnaneb Yahoo!’le

Gmail on aga erinev

Gmail on neist ainus, mis lubab küsimust endal koostada. See on aga väga hea, sest nii teate ainult teie nii oma küsimust kui ka selle vastust.

Kui te siiski ei kasuta Gmaili, valige küsimuseks näiteks oma esimene kool (first school) ning vastuseks pange hoopis telefoninumber, näiteks vanaema oma. Hiljem tuleks seda asendust siis muidugi ka meeles pidada…

Refereeritud artiklist “The Security Question Vulnerability

Gmail turvalisemaks!

Google’i e-posti teenus Gmail on sünnist saati kasutanud oma sisselogimislehel https-protokolli, kust kasutaja pärast autentimist tavalisele http-lehele tagasi suunati. Nüüd aga on https-i võimalik kasutada ka peale sisselogimist – kirjade saatmisel ja lugemisel.

Aga milleks see https üldse kasulik on?

Http (HyperText Transfer Protocol) on võrguprotokoll failide üles- ja allalaadimiseks. Enamus veebilehti jõuab kasutajani http protokolli vahendusel.

Https (Hyper Text Transfer Protocol Secure) on http turvaline versioon. Turvaline tähendab, et andmete vahetus serveri ja kasutaja brauseri vahel toimub krüpteeritult, nii et võrguliikluse pealtkuulaja ei saa andmete sisust aru. Https’i kasutatakse sageli panganduses ja kriitilistesse süsteemidesse sisselogimisel.

Kui veebilehe aadress algab kujul https:// (mitte http://), on tegemist turvalise lehega. Paljud brauserid (IE, Firefox ja teised) kuvavad turvalise lehe puhul aadressi- või tööriistariba juures ka tabaluku ikoonikest.

Https’i suurimaks miinuseks on see, et teatud juhtudel võib veebilehe laadimisaeg oluliselt pikeneda, kuna nii server kui ka brauser (ehk kasutaja arvuti) peavad andmete krüpteerimiseks ja dekrüpteerimiseks lisatööd tegema.

Kuigi https on tunduvalt turvalisem kui http, on leitud meetod ka Gmaili sisselogimissessiooni kaaperdamiseks. Ohustatud olete eelkõige siis, kui kasutate Gmaili turvamata veebikeskkonnas (veebikohvikutes ja teistes wifi levialades). Turvatud võrgus (kodus, tööl ja mujal) on oht tunduvalt väiksem. Loe lisaks. Kui veebipõhine postkast kasutab https-i kogu sessiooni vältel, pole sisselogimise kaaperdamine võimalik.

Seadista Gmail alati https’i kasutama:

  • Logi Gmail’i sisse.
  • Kliki lehe ülal lingil ‘Seaded’ (Settings).
  • Vali ‘Brauseri ühenduse’ alt ‘kasuta alati https-i’ (Browser Connection/Always use https).
  • Vajuta nupule ‘Salvesta muudatused’ (Save changes).
  • Värskenda gmaili.

    • Gmail Notifier kasutajad peavad tõmbama tarkvara paranduse.
    Mobiilsed rakendused ei pruugi selle seadistusega (veel) töötada.

    Lisaks https’ile tutvustas Gmail hiljuti veel üht turvalisust tõstvat võimalust:

    Hiljutine kontotegevus ja kaug-väljalogimine

    See võimaldab näha viit viimast sisselogimist teie kontole, kuvades juurdepääsu tüübi (brauser, mobiil, pop3 jne), IP aadressi (numbrikombinatsioon, mis määrab teie arvuti „asukoha“ internetis) ja aja. Hiljutist kontotegevust näeb klikkides lehe allosas lingile ‘Detailid’.

    Kaug-väljalogimine on kasulik, kui olete Gmaili külastanud näiteks mõne sõbra juures, kuid ei mäleta, kas logisite välja. Antud teenus võimaldab kõikidest teistest sessioonidest välja logida. Kui te olete teises asukohas Gmaili sisselogitud, kuvatakse lehe alaosas vastavasisuline tekst.

    Teistest sessioonidest väljalogimiseks klikkige lingile ‘Detailid’ ning avanenud aknas vajutage nupule ‘Logi kõikidest teistest sessioonidest välja’.

    Kasutajad saavad uuesti sisse logida, kui nad teavad teie parooli või kui nad on selle oma arvutisse salvestanud. Kui kahtlustate, et kellelgi on juurdepääs teie kontole, muudke koheselt oma parool ära!

    Gmaili ametlikud teadaanded:
    Making security easier
    Remote sign out

    Kas sa kasutad värskeimat versiooni oma veebilehitsejast?

    Turvaeksperdid ETH Zurichst, Google’ist ja IBM Internet Security Systemsist uurisid, kui paljud internetikasutajad on uuendanud oma brauserit. Analüüsides Google’i saite külastanud veebibrauserite versioone selgus, et 637 miljonit internetis surfajat ei kasuta oma brauseri viimast versiooni.

    Kõige aldimad (92,2%) on oma brauserit uuendama Mozilla Firefoxi kasutajad. Seevastu Microsoft Internet Exploreri kasutatest kõigest pooled (52,5%) kasutavad viimast versioon (IE7), mis on palju turvalisem oma vanemast eelkäiast.

    Brauserite vanemates versioonides esineb tihti olulisi turvaauke, samuti pole neil erinevalt uuematest versioonidest mitmeid sisseehitatud turvamehhanisme (näiteks automaatne õngitsemissaitide kontroll, cross-site scriptingu vastane kaitse ja palju muud).

    Probleem on suuresti ka selles, et paljud kasutajad lihtsalt ei tea, kas nad kasutavad oma brauseri uusimat versiooni. Turvaeksperdid soovitavad paigutada veebisirvjale nähtav hoiatus, et väljas on tarkvara  uuem versioon:

    Oma lemmikbrauseri uuendamiseks külastage selle kodulehekülge, laadige sealt alla värskeim versioon ning installeerige see arvutisse.

    SpeedTouch’i vaikeseaded tuleb kindlasti muuta!

    Juba mõnda aega on liikvel võtmegeneraator, mille abil saab SpeedTouch´i WiFi ruuteri SSID-st tuletada ruuteri poolt kasutatava WEP-i võtme. SSID on ruuteri poolt avalikult väljakuvatav võrguidentikaator, WEP-i võtit teades aga võib nii ruuterisse siseneda kui ka ruuteri ja selle kaudu internetti ühendatud arvuti võrguliiklust pealt kuulata.

    Suuremad võrguteenuse pakkujad, kes varustavad oma kliente ka vajaliku riistvaraga, lasevad näiteks ruuterid juba tehases eelnevalt seadistada (kui kasutusse läheb sadu või isegi tuhandeid seadmeid kuus, käib seadmete individuaalne konfigureerimine ISP-le lihtsalt üle jõu). Tehastes aga on seadistamisprotsess automatiseeritud, iga seadme muutuvad parameetrid (MAC-aadress, SSID, krüptovõti) genereeritakse teatud algoritmi järgi. Näib, et häkkeritel õnnestus SpeedTouch’i installeerimisrakendus lahti võtta, krüptovõtme tuletamise algoritm teada saada ning kirjutada selle põhjal programm, mis suudab SSID järgi krüptovõtme tuletada. Võtmetuletusgeneraator on internetis vabalt kättesaadav.

    Eestis tarnib SpeedTouch´i ruutereid oma klientidele näiteks Elion, kes soovitab seadme kasutusjuhendis võimalusel kasutada WPA krüpteeringut, MAC-i põhist filtrit ning võrgu nimi ära peita. Arvutikaitse omalt poolt soovitab käsitleda mistahes vaikeseadmetega võrguseadmeid kui turvariski. Esimeseks mureks pärast vastsoetatud ruuteri käivitamist olgu ikka administraatori- ja võrguparoolide muutmine! Samuti ei tasu loota ka muudetud seadetega WEP-i turvalisusele – ka nn toore jõuga kulub selle krüpteeringu murdmiseks vaid minuteid. Samas soovitan neil, kes ülalviidatud võtmegeneraatorist teavad, seda mitte kasutada – arvuti, arvutisüsteemi või arvutivõrgu ebaseadusliku kasutamise eest koodi, salasõna või muu kaitsevahendi kõrvaldamise teel on ette nähtud kuni kolmeaastane vabadusekaotus (KarS § 217).

    Tänud wifi.ee-le tähelepanu juhtimise eest. Muide, tehase vaikeseaded, mis võimaldavad ruuterisse sisse murda, pole ainult SpeedTouch’i probleem, sama mure on esinenud ka mõnede Linksys’i ja Netgear’i vanemate mudelite juures.

    Tööandja sidevahendite kasutamine

    Oma igapäevatöös puutun aeg-ajalt kokku küsimusega tööandja sidevahendite kasutamisest isiklikuks otstarbeks. Enamasti mõeldakse selle all eelkõige e-posti kasutamist, kuid samas võib seda vaadelda ka veidi laiemalt – käsitleda sidevahendite teema all ka telefoni ja veebi kasutamist. Konkreetselt meie asutuse poliitika ei keela seda, kuid tungiv soovitus on asutuse sidevahendeid isiklikuks otstarbeks mitte tarbida. Vaatlengi hetkel veidi üldisemalt, kuidas ühel või teisel juhul käituda ning milliseid tagajärgi sellised käitumised endaga kaasa toovad.

    Ühest küljest on Eestis kehtestatud põhiseaduslik õigus edastatud sõnumite saladusele ning seda õigust on võimalik rikkuda ainult kuriteo tõkestamiseks või kriminaalmenetluses tõe väljaselgitamiseks. Teisest küljest on töötajale antud sidevahendid tööandja omand ning tööandjal on õigus oma töövahendite osas kehtestada poliitikaid ja nende poliitikate järgimist kontrollida.

    Tööandja telefoni kasutamine

    Üldiselt on sel puhul asi lihtne – töötaja kasutab telefoni mingi limiidi ulatuses ning mis üle läheb, peetakse palgast kinni. Samas tasub teada, et üldjuhul on tööandja tellinud ka kõnede väljavõtte, mis tähendab, et tööandjale on teada kõik valitud telefoninumbrid, nende valimise aeg ning kõnede kestus. See tähendab, et kui soovite teha kõnesid, millest tööandja ei teaks, siis tuleb kasutada mõnd teist telefoni. Samuti tasub arvestada, et tööandja üldjuhul ei hüvita teenusnumbritele (näiteks annetustelefonid) tehtud kõnesid ning SMS-e.

    Lisaks sellele on teatud asutustes ette nähtud, et kõik kõned lauatelefonidelt salvestatakse kohalikus keskjaamas. Kindlasti tehakse seda klienditeeninduses ja telefonimüügis, kuid ilmselt on selliseid firmasid veelgi. Mõne aasta tagusest ajast tuleb näiteks meelde juhus, kus üks autopood salvestas oma müügimeeste lauatelefonide kõnesid. Ametlikuks põhjuseks oli tookord suhtlemisoskuse lihvimine.

    Töö- ja erakõnede lahushoidmiseks olen mina isiklikult valinud liitumise TwinSIM paketiga (ka teistel teenusepakkujatel on samalaadsed paketid olemas). Samas ei sobi selline lahendus juhul, kui isiklik number ja tööandja oma on erinevate teenusepakkujate juures. Samuti ei ole enne kõne valimist numbri vahetamine just kõige mugavam tegevus, samuti ei näita TwinSIM seda, kummale numbrile sissetulev kõne tuleb. Seega ootan ma põnevusega, millal Eestis kahe kaardipesaga telefonide valik suuremaks muutub.

    Tööandja e-posti kasutamine

    Eeldame, et tööandja ei keela oma e-posti kasutamist isiklikul otstarbel ning töötaja kasutab seda võimalust. Siin peab ta arvestama, et ülima tõenäosusega läbivad e-kirjad tööandja serverit. Üldjuhul sisaldab see server viirusetõrjet ning rämpsposti kontrolli, aga sageli ka reegleid faililaiendite kontrolliks. Näiteks meie asutuses pole lubatud .exe, .com ja .bat lõpulised failid. Samas võib selliste kontrollelementide nimekiri olla oluliselt pikem. Vaatame kuidas sellised piirangud mõjutavad kirjade liikumist.

    Viirusetõrjega pole enamasti probleemi, välja arvatud juhul, kui kasutajale saadetakse parooliga pakitud faile või kui faili sisu ja nime laiend ei lange kokku. Sellisel juhul kipub viirusetõrje käe vahele panema ning kiri kasutajani ei jõua. Juhul, kui kasutaja teab, et selline kiri peab temani jõudma, või kui server saadab talle veateate, siis on võimalik see kiri sealt lõpuks siiski kätte saada. Samas võib niisugune asjaolu tekitada tööandjal kahtlusi – miks saab tema töötaja konfidentsiaalse sisuga isiklikku posti. Isiklikult minul on kunagi olnud probleem OpenOffice failidega – sisuliselt on tegemist pakitud zip-failiga, kuid tema laiendiks on midagi muud ning viirusetõrje arvas teda „pahaks” ja pidas ta kinni.

    Rämpsposti kontrollijaga on natuke keerulisem, kuna siin kontrollib masin, ega mingi kirjas sisalduv märgijada ei klapi tema andmebaasis olevaga. Selliseid „pahasid” märgijadasid võib olla väga palju ja väga erinevaid ning probleem on enamasti selles, et mingi osa neist „pahadest” märgijadadest võib kattuda ka „heade” märgijadadega. Tüüpiline näide on märgijada „sex” ning seda sisaldav linna nimi Essex. Eesti keeles võiks näitena tuua märgijadad „seks” ja „terviseks”. Kui kiri rämpspostifiltrisse kinni jääb, on jällegi võimalus ta sealt kätte saada, kuid samas on rikutud inimese põhiõigust sõnumite saladusele.

    Lisaks eelpool räägitule tuleb arvestada, et tööandjal võivad olla kehtestatud mingid reeglid töötaja puhkuse või ajutise äraoleku ajaks. Näiteks meie asutuses on kohustuslik, et e-post on puhkuste või komandeeringute ajal asendajale edasi suunatud, kusjuures see reegel sunnitakse peale automaatselt. See tähendab, et edasi suunatakse ka kõik isiklikud kirjad. Kui kirjad tulevad teada-tuntud inimestelt ja aadressidelt, siis on võimalik reeglile erandeid kirjutada. Samas võib juhtuda, et kirjad tulevad täiesti juhuslikelt saatjatelt, näiteks mõne personaliotsingufirma pearahakütilt. Samuti tuleb arvestada, et juhul, kui toimub töökoha vahetus, tuleb kõiki sõpru-tuttavaid teavitada ka e-posti aadressi vahetusest.

    Siinkirjutaja on lahendanud asja nii, et on tekitanud mitu eraldi e-posti aadressi erinevate identiteetide jaoks. Nii on olemas tööandja poolt antud e-post, kuid lisaks sellele on olemas ka ametlik personaalne e-posti konto ning mõned lihtsamad virtuaalsete sõpradega suhtlemise jaoks. Ametlk isiklik e-posti konto tasuks kindlasti teha kujul eesnimi.perenimi@teenusepakkuja.kuskil, alternatiiv oleks kasutada ID-kaardiga kaasa tulevat e-eesti keskkonna e-posti aadressi. Põhjus on lihtne – ametlik suhtlemine on suures osas kolinud e-posti keskkonda ning väga veider tundub saada ametliku sisuga kiri (näiteks töösoovi avaldus) aadressilt seksiboy@hotmail.com või hotlips69@mail.ru.

    Kokkuvõtteks mõned lühisoovitused – hoidke oma tööasjad ja eraelu kindlalt lahus ning kasutage erinevate identiteetide jaoks erinevaid telefoninumbreid ja e-posti aadresse. See on küll mõnevõrra tülikam hallata, kuid pikemas perspektiivis tasub selline käitumine ennast ära.