themes theme

Artiklid alates ‘Salasõnad’ rubriigist

Kas häkkerid kirjutavad tõesti mulle mu enda postkastist?

1. veebruar 2019

Arvutikaitse.ee poole pöördus Kristi sellise murega:

Tahtsin küsida, kas on võimalik, et õngitsuskiri on saadetud minu enda e-posti aadressilt? Panin manusesse väljavõtte saadetud kirjast, see kiri jätkub, aga kahjuks ei mahtunud ekraanivaatesse.

Seesuguse kirja näol on tegemist on laialt levinud petuskeemiga – spetsiaalse skripti abil saadetakse tuhandetele kasutajatele kirju ähvardusega, et nende kontole/arvutisse on sisse murtud ning võimalik ka, et on leitud midagi kompromiteerivat, mida ülejäänud maailmaga jagada. Selleks, et häbist pääseda, peaks kirja saaja kandma teatud summa bitcoine mõnele anonüümsele krüptoraha aadressile. Nagu näha juuresoleval pildil, kirjutab spetsiaalne programmijupp kirja sisusse ka selle saatja aadressi – käsitsi oleks ju ebamugav kõikidele tuhandetele saajatele personaalseid aadresse kirjutada.

Selliseid kirju saadetakse korraga tuhandetele aadressidele lootuses, et vähemalt mõni saajatest ehmub ja maksabki raha ära. Kirjades viidatud aadressid ja paroolid pärinevad aastatetagustest andmeleketest, kusjuures andmed on lekkinud tavaliselt mitte kõnealusesse postkasti sissemurdmisest, vaid mõnele teisele saidile sama aadressiga registreeritud kontolt. Ei ole tarvis lisada, et kirjas näidatud kontole tegelikult sisse murtud ei olegi, väljapressijad kasutavad lihtlabast pettust ja hirmutamist.

Kas siis kiri ikka on saadetud kirja saaja enda postkastist ja mida nüüd ette võtta?

Saatja aadressi on väga lihtne võltsida, seda saab teha ka tavalise meilikliendiga ning selliste petukirjade puhul nii ka tehakse – lihtsalt selleks, et “häkkerite” ähvardused kõlaksid usutavamalt. Võimalus, et kirja saaja kontole/arvutisse ka tegelikult sisse on murtud, on kaduvväike, tüüpilise väljapressimiskirja puhul pole seda tegelikult mitte kunagi toimunud.

Sellegipoolest tuleks aegajalt oma paroole vahetada ja arvuteid pahavaratõrjega üle kontrollida ka ilma selliseid ähvarduskirju saamata. Salasõna ei tohiks jätta vahetamata ka nendes kohtades, kuhu olete sama meiliaadressiga kasutajaks registreerunud või, mis veel hullem, kus te olete sama salasõna veel kasutanud. Kui parool hiljuti vahetatud ning sama salasõna kindlasti mujal ka ei kasutata, võib niisuguseid kirju edaspidi rahulikult ignoreerida.

Failide krüpteerimine Drag’n’Crypt abil

11. aprill 2013

1Kõigile tasuta Drag’n’Crypt ULTRA on äärmiselt lihtne ja mugav failide krüpteerimise programm, mille abil saab kaitsta tundlikke ning salajasi andmeid võõraste silmade eest. Näiteks, kui ühte arvutit kasutab mitu inimest, saab igaüks oma privaatsed failid selle krüpteerimisprogrammi abil salasõnaga kaitsta.

Drag’n’Crypt ULTRA kasutab turvalist Twofish krüpteerimisalgoritmi. Krüpteerimiseks tuleb teha vajalikul failil (või failidel) paremklikk, leida rippmenüüst Drag’n’Crypt Ultra (sätetest märkida linnukesega Use Context Menu), avada programmi aken ning sisestada kaks korda parool. Korraga võib krüpteerida ka kogu kausta seal olevate failidega. Samuti võib krüpteerimist vajava faili või kausta koos failidega lohistada Drag`n`Crypt ikoonile.

2

Vahend sobib krüpteeritult salasõnaga kaitsma igasuguseid faile – erinevaid dokumente, arhiivifaile, videosid, fotosid, audiofaile jne. Ei pea kasutama ühte ja ainust salasõna, nii nagu paljud teised krüpteerimisrakendused nõuavad, vaid erinevatele failidele saab määrata erinevaid paroole – just seetõttu sobib see ideaalselt arvutisse, kus mitmed inimesed saavad selle abil just omale tähtsaid faile isikliku salasõnaga kaitsta.

3

Mida pikem salasõna, seda turvalisem. Kõige turvalisema parooli saamiseks kasutage salasõnas ka suuri tähti, numbreid, punkte, komasid, kooloneid jne. Ärge kasutage salasõnade määramisel kõike seda, mis puutub teie lemmikutesse, sest teid hästi tundev sama arvuti kasutaja võib seda teilt eeldada. Samuti võib faili nimesid muuta, et pealkiri ei tekitaks teistes arvuti ühiskasutajates ebaharilikku huvi – näiteks dokumendi „Minu isiklik päevik“ võib ümber nimetada „MIP“ või kuidas keegi iganes soovib. Faili nime peab teiseks muutma enne krüpteerimist! Kindlasti tuleks krüpteerimisel lähtefail kustutada, märkides programmi sätetes linnukesega „Secure erase of the source file“.

4

Krüpteeritud failide avamiseks tuleb teha failil topeltklikk ja avanevasse aknasse kirjutada õige parool. Kui soovitakse terve kaustatäis krüpteeritud faile avada, siis kaustal paremklikk ja valige Drag’n’Crypt Ultra. NB! Failidele määratud salasõna või erinevaid salasõnu loomulikult ei tohi unustada, sest siis peate palvetama, et parool meelde tuleks (parafraseerides rakenduse kodulehel olevaid sõnu), muidu  ei suuda te ise ka neid enam avada ning mõni väga oluline fail võibki jääda kadunuks.

Tegemist on portatiivse ehk kaasaskantava rakendusega, mida saab kasutada USB-pulkadel, välistel kõvaketastel, mälukaartidel jne. Kõik vähegi salajane, tundlik ja isiklik informatsioon on soovitatav välistel andmekandjatel krüpteerida, kuna sageli unustatakse neid tuttavate poole või kaotatakse ära.

Kuna erinevatesse süsteemidesse paigaldades võib igal programmil erineda vigasid, siis kõigepealt katsetage, et kõik laimatult töötaks – looge mittevajalikud failid ja kontrollige töökindlust!

Sobib operatsioonisüsteemidele Windows 2000, Windows XP, Windows Vista, Windows 7 (32-bit).

Tutvustav video:

 

Free file encryption software for windows Drag ‘n Crypt ULTRA from arvutiturve on Vimeo.

Kuidas võõras sinu e-kirjadele ligi pääseb?

19. jaanuar 2012

Viimaste sündmuste valguses võib see mure ehk vaevata teisigi peale poliitikute. Alltoodud loetelu pole kaugeltki ammendav, kuid võib-olla aitab siiski kaitsta meie igaühe põhiseaduslikku õigust oma kirjavahetuse puutumatusele.

1. Käisid oma kirju lugemas sel ajal, kui olid ühendatud avalikku krüpteerimata WiFi võrku. Sellises võrgus liigub su postkasti kasutajanimi ja parool lahtise tekstina, spetsiaaltarkvara abil saab seda hõlpsasti pealt kuulata ning edasiseks kasutamiseks salvestada. Kui kasutad veebipõhist postkasti, saab niisuguses võrgus salvestada sinu sessiooniküpsise ning kasutada seda su postkasti avamiseks mõnes teises arvutis.

Avalikus võrgus tuleks võimaluse korral kasutada VPN-i (krüpteeritud võrguühendus sinu arvuti ja mõne usaldusväärse serveri vahel), samuti võiks olla krüpteeritud sinu postiserveri ja meilikliendi vaheline võrguliiklus.

2. Käisid oma kirju lugemas avalikus või muus võõras arvutis. Mõni aasta tagasi uuriti hotellide fuajeedes asuvaid üldkasutatavaid arvuteid ning enamikus neist leiti klahvinuhk. Võõras arvuti aga võib olla lihtsalt seadistatud kasutajanimesid ja paroole meelde jätma – see on üldlevinud mugavusfunktsioon, mis aga võib pöörduda pahaaimamatu külalise vastu.

Katsu vältida oma mistahes kasutajanime ja parooli sissetoksimist võõrasse arvutisse, isegi kui need pole sinu postkasti omad – me kõik teame, et laisk nagu sa oled, kasutad sa sama parooli nagunii ka igal pool mujal. Hädaolukordade eest pole me aga keegi kaitstud, seega vaheta oma salasõna kohe, kui jälle turvalisse arvutisse tagasi jõuad.

3. Sinu arvutisse on sattunud pahavara. Nuhkvara edastab sinu arvutist leitud kasutajanimed ja salasõnad etteantud aadressile või salvestab need sel hetkel, kui sa need ise sisse toksid. Samuti võib pahavara kuvada su tavapärase veebipostkasti asemel sellega äravahetamiseni sarnast, kuid siiski võltsitud avalehte, kuhu sa oma kasutajanime ja parooli ise sisse toksid.

Kasuta töötavat viirustõrjet, jälgi, et su operatsioonisüsteem installeeriks regulaarselt turvapaiku ning uuenda oma brauserit, kui uuem ja turvalisem variant välja tuleb. Veebilehitseja võiks varustada ka turvapluginatega, mis hoiatavad võltsitud või muidu kahtlaste saitide eest ning ei lase pahatahtlikel skriptidel käivituda.

4. Jätsid oma arvuti sisselogituna ning automaatselt rakenduva ekraanisäästjata ripakile. Piisab mälupulgast ja paarist minutist, et sinu postkasti koopiaga minema jalutada. Arvutisse salvestatud salasõnade kaasavõtmiseks kulub veel vähem aega.

Väga paranoiliseks minna muidugi ei maksa, kuid kuldne põhimõte: “Lahkudes kustuta valgus!” kehtib ka arvuti puhul.Vähim, mida sa teha saad, on seadistada oma ekraanisäästja mõistliku ajavahemiku järel sisse lülituma ja uuesti töölaua kallale pääsemiseks parooli küsima.

5. Sinu parooli teab veel keegi peale sinu. Statistika väidab, et tervelt kolmandik arvutikasutajaid jagab salasõnu oma lähedastega. Samuti võivad postkastile ligi pääseda töökaaslased, IT tugi või lihtsalt tuttav, kellel palusid uurida, miks su arvuti korralikult ei tööta.

Parool on isiklik, ära jaga seda mitte kellegagi. Ja katsu erinevate teenuste ja rakenduste jaoks mitte kasutada samu paroole.

6. Sul on liiga lihtne salasõna. Ehk siis selline, mis koosneb sinu ees- ja/või perekonnanimest, lihtsast numbrikombinatsioonist, sinu auto numbrimärgi tähe- ja numbrikombinatsioonist, sinu laste või lemmiklooma nimest või enamlevinud vandesõnadest.  Või midagi selle nimekirja valikust.

Paroolihaldus aitab sind keerukamate salasõnade loomisel ja meeldejätmisel, kasuta ka oma isiklikku fantaasiat.

7. Su salaküsimuse vastus on lihtsasti äraarvatav. Või guugeldatav. Väidetaval liiga lihtsa turvaküsimuse abil murti sisse mitmete ookeanitaguste kuulsuste, sealhulgas presidendikandidaat Sarah Palini isiklikesse postkastidesse avalikes meilserverites.

Kui sinu kasutatav server lubab, koosta oma salaküsimus ise – nii on võimalus, et keegi selle ära arvab, oluliselt väiksem.

8. Sa printisid kõik oma kirjad ise välja ning jätsid need kontoris lauanurgale vedelema.

Tundub, et sa ei ole e-kirjavahetuse mõttest päriselt aru saanud. Meie ühise planeedi heaks võiksid nüüd vähemalt paar puud istutada.

Identiteedivarguste vastu kaitsmine internetis – KeyScrambler

14. juuni 2011

KeyScrambler Personal on tasuta turvarakendus veebilehitsejatele Mozilla Firefox ja Internet Explorer, mis kaitseb kasutaja poolt internetis sisestatud salasõnu, pangaparoole, krediitkaardi koode, portaalidesse sisselogimise andmeid, privaatset infot jne varastamise eest. Kõik klahvivajutused ehk siis tähed, numbrid, sümbolid ja moodustatud laused krüpteeritakse KeyScrambler poolt info-varguse programmide (nuhkvara, klahvinuhid, troojad jne) jaoks ja seega ka kräkkerite ehk küberkurjategijate jaoks tundmatusse formaati, mis isegi informatsiooni varastamise õnnestumise korral teeb see neile saadud andmed loetamatuks ja kasutuks. KeyScrambler on asendamatuks vahendiks online identiteedivarguste vastu.

Ükskõik millisele veebilehele püüab kasutaja sisse logida, kas Facebook, Twitter, YouTube või kasvõi oma isiklik koduleht, siseneda postkastidesse Hotmail, Gmail, Live.Hot.ee jne või sisestada pankades paroole ja tehes e-poodides maksmise tehinguid, krüpteeritakse numbri ja tähekombinatsioonid arvuti kernel tasandil hoopis teistesse väärtustesse kui need tegelikult on. Näiteks, kui kasutaja sisestab Facebook e-posti kasutajatunnuseks „salasõna@hotmail.com“, siis kübervaraste kätte sattudes saaksid nad e-posti kasutajanimeks järgnevad andmed: „r9)., i[,h ),´k7i`-<+t“. Sisestatud salasõna krüpteeritakse täpselt samuti mõttetuteks numbrite-tähted-sümbolite jadaks, millega kräkkeritel pole midagi teha, sest need on dešifreerimatud (vähemalt rakenduse loojate ja turvaspetsialistide sõnul).

KeyScrambler kaitseb nii tuntud kui veel tundmatute klahvinuhkide ehk keylogger´ite eest ka siis, kui arvutis on viirusetõrjete poolt veel seniavastamata info-varguse tööriist. Töötab pidevalt reaalajas ja krüpteerib iga klahvivajutust, kui te olete internetis. Paigaldusfaili arvutisse tirida on kõige mõttekam sellelt lehelt, valides Free Download alt Alternate Download. (Paigaldamine on näidatud allolevas videos).

Krüpteerimise edukusest annab märku veebilehitseja nurka ilmuv KeyScrambler roheline infokiri sõnadega Encrypted Keystokes:.

Kui infokirja kuvatakse punaselt ja selles teatatakse: „Encryption module error“, siis püüdke see kohe parandada. Mõnel üksikul juhul tuleb KeyScrambler arvutist eemaldada ja uuesti paigaldada, kuid sageli, eriti just Mozilla Firefox turvaplugina töökorda seadmiseks piisab, kui avate veebilehitseja, valite sealt File (või uuemal versioonil New Tab) > Open File – otsige failiredeli abil üles KeyScrambler installatsioonikaust (tavaliselt C-ketas – Program Files – KeyScrambler), seejärel tehke hiirega aktiivseks fail keyscrambler.xpi, avage see (Open) ja järgige edasisi juhendeid. Täpsemaid juhiseid saate ka siit. Samuti on see näidatud allolevas videos.

Vahetevahel võivad krüpteerimisprogrammi paigaldamist segada ka Kaspersky- ja AVAST viirusetõrje või ThreatFire. Sel juhul sulgege need rakendused, installeerige uuesti KeyScrambler ja taaskäivitage arvuti. Pärast seda, kui rakendus töötab, lülitage viirusetõrje jälle sisse.

Sobib süsteemidele : Windows 2000, 2003, XP, Vista, or Windows 7 (32-bit or 64-bit).

Rakendust tutvustavas videos on näidatud KeyScrambler Personal arvutisse tirimine ja installeerimine, selle uuendamine värskema versiooni vastu, kui see on saadaval, tutvustatud väga lihtsat ja kõigile arusaadavat kasutajaliidest ning kuidas KeyScrambler jälle tööle saada, kui see ei tööta:

KeyScrambler protects browsers against… by arvutiturve
Varem olen põgusalt peatunud sellel internetis salasõnade-, pangaparoolide-, isikliku infot- ja sisselogimisandmeid varastamise eest kaitsval programmil artiklis Mozilla Firefox veel turvalisemaks ja Lauri Säde on teinud hea ülevaate sellest rakendusest Arvutikaitses nime all KeyScrambler Personal. Kuna nii maailma- kui ka Eesti arvestuses kasutatakse kõige laialdasemalt just brausereid Internet Explorer ja Mozilla Firefox, siis pidasin õigeks ütlust, et kordamine on tarkuse ema.

Paroolide väljapetmine – see on imelihtne!

20. november 2010

Tõlge: Rob väidab, et tegi veidra avastuse – kui tippida Facebooki staatuse uuendusse või kommentaari oma parool, asendatakse see automaatselt tärnidega. “Tõestuseks” toksivad Rob ja sõber Liesl sisse rodu tärne, mispeale Jeremy, Heather ja Sandi sisestavad kommentaaridena oma pärisparoolid. Arvata on, et lisaks Facebookile kasutavad nad samu salasõnu ka muudes rakendustes.

Turvalise salasõna loomine

24. märts 2010

Turvalise ja lihtsa salasõna loomisest on Arvutikaitse kirjutanud varemgi. Paraku aga siis, kui hakatakse kiiruga salasõna välja mõtlema, midagi head pähe ei tule. Mõeldakse üht, siis mõeldakse teist, lõpuks lüüakse käega ja valitakse parooliks 123456 või xxxxx.

Paar kuud tagasi väsinuna olin ma väga hajameelne ning lõin oma meilikontole kasutajanimeks pp ja ka parooliks pp. Uskuge või mitte, aga ma pääsesin kellegi kontole. Loomulikult ma seal ringi ei tuhlanud, vaid väljusin sellest postkastist ja teavitasin omanikku äärmiselt naeruväärsest  ja lihtsast salasõnast.

Mida aga teha, kui on kiiresti vaja salasõna ja hetkega midagi pähe ei turgata?

Tasuta Iobit Random Password Generator on väga lihtne ja väike rakendus, mille abil saab luua turvalise parooli, mida on väga raske murda. Utiliit võimaldab genereerida nii suuri ja väikseid tähti, numbreid kui ka sümboleid. Samamoodi saab hallata selles kõiki oma paroole erinevatele saitidele  või postkastidesse sisenemiseks ja meeles on vaja pidada vaid ühte, kõige tähtsamat parooli, mis avab programmi enda.

Parooli juhuslikult genereerides on selles ka nn salasõna tugevuse määraja, mis aitab kasutajal otsustada, kui kergesti võiks kräkker  või lihtsalt mõni naljamees (loe ka identiteed kuritarvitamisest) valitud parooli lahti murda.

Kõigepealt võtke nüüd endale veidi aega ja väga hoolikalt mõelge välja meeldejääv ent suhteliselt raske salasõna, mis jääb teile nö peamiseks parooliks. Alles siis tirige programm arvutisse ja klikake paigaldusfailil. Alternatiivne allatirimislink asub siin.

Paigaldamine möödub lihtsalt, ent tuleks arvestada, et kui ei soovita tüütut Iobit lisatööriistariba (Iobit Toolbar), siis tuleb tärnikesed eemaldada kastidest I Agree to Install Iobit Toolbar. Kui programm on paigaldatud, kuvatakse kohe ekraanile aken, kuhu nüüd tulebki sisestada peamine parool, millega saab edaspidi seda rakendust avada, et ligi pääseda ka teistele sinna salvestatud salasõnadele.

Järgnevalt on kasutaja enda otsustaja, millist ja kui tugevat salasõna ta tahab luua. Kasutaja peab otsustama, mitu tähte peaks paroolis olema (Password Length), kas kasutatakse suuri tähti (Include Capital Letter) ja/või väikeseid tähti (Include Small Letter), kas kaasatakse ka numbrid (Include Numbers) ja sümbolid (Include Punctuation). Kui soovitakse korraga genereerida mitu salasõna, mille seast oleks lihtsam valida omale meeldivaim, siis tuleb reale Quantity kirjutada vastav arv. Hiljem saab ebavajalikud paroolid kustutada  kui valitakse Delete Record.

Seejärel vajuta lingile Create Password(s). Järgmises aknas on juhuslikult valitud salasõnad juba genereeritud ja nende tugevusest annavad märku erinevad värvid – punane tähendab kehva ja nõrka salasõna, kollane on keskmise tugevusega, roheline suhteliselt tugev ja helesinine parima tugevusega parool. Salasõna real paremklikki tehes võib selle kohe salvestada ka programmi andmebaasi (Save to database).

Järgmisena võib paremklikiga kopeerida salasõna (Copy Password) ning lahtril Add Record klikkides kleepida see avanevas hüpikaknas Password reale ja teistesse lahtritesse kirjutada tunnuslauseid, mille järgi saab tuvastada, millisele kontole mingi parool kuulub. Kui programmist väljutakse, siis hiljem saab rakendust avada vaid nii, kui avanevas Authentication aknas lüüakse Password reale peamine parool ja vajutatakse OK.

Rakendus sobib opisüsteemidele Windows 7, Vista, XP and 2000