Eelmisel nädalal riputati PasteBin-i tarkvaraarendusfoorumisse üles 10 000 Hotmaili parooli koos kasutajanimedega. Sellesisuline BBC uudis levis kiiresti üle maailma ning peatselt selgus, et varastatud on ka Gmaili ja Yahoo! Maili paroole.

Nii Microsoft kui Google eitavad sissemurdmist ja neil on õigus – kaotsiläinud paroolid andsid pättide kätte…

kasutajad ise.

Tundub, et paljud inimesed üle maailma on saanud sellise teate:

Pilt: neowin.net

Ehk siis neil on palutud kirjas, mis näeb välja täpselt nõnda, nagu ta oleks saadetud Windows Live administraatori poolt, minna etteantud aadressile, mis näeb pealiskaudsel vaatlemisel kuuluvat Windows Live domeeni, oma kasutajakontot seadistama.

Tegelikult suunas see link kasutaja sellisele veebilehele, mis nägi küll välja nagu Windows Live oma, kuid asus hoopis ühes teises serveris. Loomulikult üritas kasutaja sinna oma kasutajanime ja parooliga sisse logida, ja kui see ei õnnestunud, kordas oma katset, kinnitades kurjategijatele oma parooli veelkord üle.

Ilmselt rünnati samal viisil ka Gmaili, Yahoo Maili ja paljude teiste sotsiaalsete võrgustike kasutajate kontosid.Varastatud paroolid kuulusid öeldavasti Euroopas, täpsemini Lõuna-Euroopas asuvatele kasutajatele. Nii Microsoft kui Google kinnitavad, et pärast nimekirja avalikukstulekut sundisid nad neis olevaid kasutajaid oma salasõna vahetama.

Turvaspetsialistid toovad antud juhtumiga seoses välja veel kaks haavatavat kohta. Nimelt on paljudel paroolipõhistel autentimissüsteemidel ka meeldetuletusfunktsioon, mis küsib teilt kasutajatunnust ja vastust lihtsale turvaküsimusele. Vähemalt Windows Live ja Gmaili puhul on meiliaadress ühtlasi ka kasutajatunnuseks, väga paljude meilisüsteemide turvaküsimused aga olid kuni viimase ajani liiga lihtsad.

Sama on turvaspetsialistid üsna üksmeelselt väitnud ka lekkinud 10 000 salasõna kohta. Arvutikaitse on viletsatest salasõnadest ka varem kirjutanud.

Mida teha, kui kahtlustate, et ka teie parool on internetti lekkinud? Loomulikult tuleks parool vahetada, kasutades selleks mitte suvalises kirjas antud, vaid ise brauseriribale tipitud aadressi.

Hea poliitika on salasõnu ka perioodiliselt vahetada, meeldejätmiseks aga mitte loota mälule või kleepsupaberile, vaid paroolihaldustarkvarale. Viimastest soovitan näiteks selliseid:

Password Agent

KeePass

LastPass

Ka Peeter Marvet on kirjutanud meeldejäävaid paroole genereeriva skripti.
NB! Makrosid sisaldavad dokumendid, isegi kui need pärinevad Arvutikaitse lehelt, kontrollime enne koduses arvutis käimatõmbamist viirustõrjega üle – muudame selle endale harjumuseks!

boingboing.net on üles riputanud väljavõtte Windowsi turvaküsimustele spetsialiseerunud eksperdi Mark Burnetti raamatust “Perfect Passwords: Selection, Protection, Authentication“, milles on ära toodud 500 kõige rohkem kuritarvitatud salasõna. Eesti kultuuri- ja keelekeskkonnas on pilt mõistagi veidi teistsugune, kuid üldloogika peaks olema üsna sarnane.

576 kontoritöötaja peal tehtud katsest selgus, et 45% naistöötajaid ja 10% meestöötajaid olid valmis ütlema oma parooli täiesti võõrale inimesele, kui said selle eest tasuks tahvli Å¡okolaadi. Katse läbi viinud Infosecurity Europe’i üritusdirektori Claire Sellicki sõnul oli parooli küsimise ettekäändeks marketingiuuring ning Å¡okolaadi serveeriti kui vaevatasu küsimustiku täitmise eest. 62% nais- ja 60% meestöötajaid loovutas oma nime ja kontaktandmed lubaduse eest osaleda Pariisi-reisi väljaloosimisel.

Pooled kontoritöötajad väitsid end teadvat oma kolleegide salasõnu, 58% olid valmis enda oma ütlema inimesele, kes lihtsalt helistab ja väidab end olevat IT-osakonnast. 43% vahetab oma salasõna harva või üldse mitte.

See on väga hea ja asjakohane raamat. Mina kirjutasin selle 🙂

Tähendasin seal üles enamlevinud pahavara iseloomustused ning mõningad võtted, kuidas end internetiohtude vastu kaitsta. Üritasin vältida akadeemilist soliidsust ning lugeja koormamist tehniliste detailidega, nii et seda peaksid julgema kätte võtta ka need, kes end arvutiasjanduses väga kodus ei tunne.

Kõik nähtused on rühmitatud eraldi peatükkidesse ja esitatud tähestiku järjekorras. Kaanest kaaneni järjest läbilugemine ei ole kohustuslik, kavalam on leida registrist huvipakkuv märksõna ja lugeda konkreetset peatükki. Jah, paberil ei saa ikka nii mugavalt linkida kui internetis…

Irja Ahi tegi “Arvutikaitse ABC”-le võrratud ja vaimukad illustratsioonid, Sverre Lasn ägeda kujunduse. Väljaandmise korraldas sihtasutus Vaata Maailma, rahaliselt toetasid Hansapank, SEB, Elion ja EMT.

Esitlus on täna, 12.02 kell 14 Viru Keskuse Rahva Raamatu esitlussaalis. Osta saab esialgu Rahva Raamatust, kui trükikoda ülejäänud tiraaži valmis saab, siis ka Apollost ja mujalt.

Tulnud ühte Eesti küllaltki turvakriitilisse firmasse audiitor – kontrollima, kas kõik on ikka nii, nagu peab. Firma juht, üdini viisakas härrasmees, pakkunud audiitorile töötegemiseks oma töölauda. Seadnud siis audiitor ennast mugavalt istuma, nihutanud ka klaviatuuri veidi eemale… Ja klaviatuuri alt tulnud välja kollane kleepsupaber ettevõtte infosüsteemi peakasutaja paroolidega.

Tõestisündinud lugu.

Eesti Päevaleht kirjutab, et üks Tallinna Laagna gümnaasiumi 8. klassi õpilane oli õpetaja eKooli salasõna ära arvanud ja endal ise hindeid parandanud. Õpilast ähvardab nüüd kriminaalasi ning karistus arvutisüsteemi ebaseadusliku kasutamise eest.
Õpetaja tunnistab ise ka, et tema salasõna oli liiga lihtne. Sten Soosaar eKooli haldavast firmast soovitab aga kasutada isiku tuvastamiseks ID-kaarti.

Arvutikaitse on ka varem rääkinud sellest, millised paroolid on turvalised ja millised mitte, kuidas valida tugevat parooli ning millised on ID-kaardi eelised vananenud autentimisvahendite ees. Loodan, et see ebameeldiv intsident ei too kaasa tagasilööki toredale ja mugavale eKoolile ning et nii õpilased, õpetajad kui lapsevanemad ei ürita edaspidi enda autentimist ning seega ka võimalikke kuritarvitusi liiga lihtsaks teha 🙂