Isoleeritud AP avalikus võrgus

Veljo Haamer WiFi.ee-st küsib: “Teenusepakkuja paigaldab avalikesse kohtadesse WiFi kodukarpe, milles “AP Isolation” puudub -> kliendid pääsevad üksteisele ligi. Kas peate seda normaalseks?”

Iseenesest  on tore, kui traadita võrgu ruuter suudab erinevad kasutajad üksteisest isoleerida, nii et need samas kohtvõrgus üksteisele ligi ei pääse. Samas tuleks silmas pidada, et ükski mõistlik arvutikasutaja ei lülita avalikku võrku arvutit, millel tulemüür välja lülitatud, pordid lahti ja ressursid välja jagatud. Ning kui on kaks võimalust, kas ilma sellise lisafunktsioonita AP või üldse mitte mingit AP-d, ei tohiks valik olla väga keeruline 🙂

Nii et jah, erinevate kasutajate isoleerimine samas kohtvõrgus on kasulik lisaturvaelement, kuid igal avaliku võrgu kasutajal tuleb oma arvuti kaitsmise eest siiski eelkõige ise hoolitseda.

IT Grupp lõi kokku Eestis ringleva spämmi

IT Grupi ja Vacumer.ee maikuise statistika kohaselt liikleb Eestis ööpäevas 37,5 miljonit rämpskirja kogumahuga 187,5 gigabaiti. Maailma mastaabis on eraldi kategooriaks liigitunud poliitiline spämm, ameerika arvutikasutajaid aga on hakatud kimbutama libakohtukutsetega – selleks, et saada teada, kuhu ja kuna tuleb ilmuda, tuleb alla laadida terve ports dokumente, millega koos paigaldub arvutisse ka pahavara.

IT Grupi teate täsiteksti saab lugeda siit.

Äripäeva infoturbe seminarist

Äripäev on läbi aastate teinud tänuväärset tööd ettevõtjate infoturbe alasel harimisel ning eile, 28. mail, õnnestus mul osaleda Äripäeva järjekordsel IT-turbe seminaril „Mida tähendab IT turvalisus ettevõtte jaoks?”

Arvestades möödunud aasta aprillis-mais toimunud sündmusi, oleks võinud eeldada, et tegemist on kuuma teemaga ning osalejaid on palju, kuid kahjuks jäi osalejate arv 30-40 ümber. Sellest on kahju, sest minu arvates on tegemist siiski olulise teemaga ning ka esinejad olid oma ala professionaalid.

Teemad ja esinejad

  •  IT turvalisuse trendid. Mis on selles valdkonnas hetkel aktuaalne? – Andres Salu, TÜ infotehnoloogiajuht
  •  Kuidas turvalisusega mitte üle pingutada? – Erkki Leego, Hansson, Leego & Partner OÜ juhtivpartner
  •  Kuidas planeerida äri jätkusuutlikuks (Business Continuity Planning)? – Avo Aasma, CISA BBM projektijuht
  •  ISKE – riiklik turvanõuete süsteem: kas lihtsam kui arvatakse? – Mari Seeba, Cybernetica AS IS audiitor
  •  Millel põhineb identiteedihaldus? – Marti Toropov, Microlink Eesti AS, valdkonnajuht (identiteedihaldus)
  •  Milliseid võimalusi pakub NATO Kooperatiivse Küberkaitse Ekstsellentsikeskus Tallinnas? – Peeter Lorents, NATO Kollektiivse Küberkaitse Ekstsellentsikeskuse loomise projektimeeskonna juht ja EBS’i IT õppetooli juhataja, professor
  •  Epistel küberruumi olukorrast ja hääd mõtted. – Toomas Lepik, CERT Eesti (Riigi infosüsteemide arenduskeskus) infoturbe ekspert

Millest räägiti
Andres Salu rääkis hetkel andmetöötluse ja -turbe trendidest suurima delikaatsete isikuandmete töötleja seisukohast. Mõned meeldejäänud märksõnad ja laused, millest räägiti:

Informatsioonil on tekkinud omaette väärtus, mis on suurem, kui tavaliselt arvatakse. Sageli pole väärtus mitte ainult andmetes endis, vaid ka esitlusviisis. Informatsiooni kontrollib ka kolmas osapool, näiteks Selveri Partnerkaardi alusel toimub tarbimisharjumuste analüüs. Kõige suuremaks ohuks on lõppkasutajad ning seda ennekõike teadmatusest. Siinjuures märkis ta ära arvutikaitse.ee positiivse mõju lõppkasutajate harimisel.

Pahavara on muutunud intelligentseks – ta oskab muteeruda, mis raskendab tema avastamist. Turvapaigad tuleb installeerida võimalikult kiiresti, kuna on tekkinud hulk inimesi, kes uurivad, mida üks või teine turvapaik teeb ning organiseerivad vastavalt selle ka mõne ründe. Seadusandlik surve peaks tekitama olukorra, kus mittetehnoloogilised aspektid muutuvad tehnoloogilistest olulisemaks. Näiteks et arvuti sulgemine muutuks sama tavapäraseks kui ukse lukustamine.

Lõpetas ta oma sõnavõtu viie märksõnaga, millele tuleks tema arvates senisest enam tähelepanu pöörata: X-tee, ISKE, kodanikuportaal, ID-kaart ja mobiil-ID.

Erkki Leego sõnul on absoluutse turvalisuse tagamine võimatu, ühtlasi hakkab turvataseme suurendamisel kasvavad kulud hüppeliselt. Kulutuste mõistlikul tasemel hoidmiseks tuleks teha riskide hindamine ning paika panna lubatud jääkriski tase. Turvalisusele kuluvad summad tuleks eraldada sellest lähtuvalt. Nii oleks võimalik maandada oma olulisemad riskid, hoides seejuures kulud kontrolli all.

Ettekandes toodi välja ka põhilised kulude kohad – need on olukorra hindamine ja dokumenteerimine, infrastruktuuri planeerimine ja seadistamine, tarkvara litsentsid, füüsilise turbe tagamine, koolitus.

Avo Aasma rääkis, kuidas ehitada infrastruktuuri mõttes jätkusuutlikku ettevõtet. Eelkõige tuleks alustada riskide hindamisest ja võimalike tagajärgede mõju hindamisest. Infotehnoloogilises plaanis on oluline koht varundusel ning selles osas oleks vajalik teha kõigepealt korralik varundusplaan. Samas plaanist ning selle järgi tegutsemisest üksi ei piisa – vajalik on teha ka taasteplaan ning see korralikult läbi testida. Mõned inglisekeelsed märksõnad: Business Impact Analyse, Backup planning, Disaster recovery planning.

Mari Seeba käsitles riigi ja kohaliku omavalitsuse andmekogude pidamise infosüsteemides kohustuslikust ISKE-t. ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem, mida võivad kasutada ka äriettevõtted oma IT varade turvalisuse tagamiseks. Ettekandes räägiti ISKE rakendamise protsessi põhietappidest ning sellest, kuidas neid etappe lihtsam läbida oleks.

Marti Toropov rääkis sellest, kuidas inimesed turvaliselt siduda andmete ja teiste ressurssidega. Arvestades, et tänapäeval on veidigi aktiivsemal kasutajal keskmiselt 20 erinevat kontot (kasutajanime ja parooli), on oht, et inimene hakkab seal kasutama samu paroole. See on aga suur risk, sest juhul, kui ühes kohas saab parool avalikuks, on võimalik sisse saada ka teistesse kohtadesse. Ettekandes analüüsiti tsentraalses identiteedi halduse häid ja halbu külgi. Lisaks vaadeldi ka ID-kaardi ja Mobiil-ID ning Open-ID võimalusi tsentraalse identiteedi loomisel.

Peeter Lorents jutustas Eestisse loodava NATO küberkaitsekeskuse minevikust, olevikust ja tulevikust ning andis ülevaate keskuse tegevuse põhivaldkondadest. Ettekandes mainiti ka, et viiest teadustöötaja kohast on täidetud juba kolm ning nimetas ka kaks nime, mida ma siinkohal turvakaalutlustel kordama ei hakka. Samas seonduvad need nimed mul rohkem tehisintelligentsi ja andmekaevandusega ning minu jaoks jäi arusaamatuks, kuidas on sellel pinnal võimalik välja pakkuda ka info- või IT-infrastruktuuriturbe analüüse ja kontseptsioone. Ettevõtjatel soovitati hoida ja arendada kontakte ning suhteid, kuna NATO keskusest saadav teadmus annaks kindlasti mingi tehnoloogilise eelise maailmas läbi löömiseks.

Toomas Lepik tegi kiire ülevaate Eesti ja rahvusvahelisest küberruumi olukorrast. Muuhulgas märkis ta, et hinnanguliselt on Eestis umbes 270 000 internetiühendusega arvutit, millest iga päev nakatub pahavaraga umbes 500. Ettekandes toodi välja olulisemad hetkel valitsevad trendid pahategude tegemisel internetikeskkonnas (märksõnad: automatiseeritud ründed, koduseadmete ründed, pool-legaalsed viisid raha teenimiseks). Lisaks andis ta nõuandeid, mida jälgida oma informatsiooni kaitsmiseks. Siin tooks eriti välja idee, et kasutaja vajab harimist ning et internet on üks suur keskkond, kus ühe tegemised mõjutavad ka kõiki teisi.

Selle seminari kohta leiab informatsiooni ka Äripäeva kodulehel. Samuti peaks sinna lähiajal ilmuma ka ettekannete slaidid.

Nõuanded pettuste vältimiseks: minuraha.ee

Finantsinspektsioon kirjeldab oma tarbijaveebis minuraha.ee enamlevinud petuskeeme ning jagab soovitusi, kuidas pettasaamist vältida.

Tõenäoliselt on paljud arvutikasutajad puutunud kokku Nigeeria petukirjade, müstiliste loteriivõitude, ebaausate abipalvete, soodsate tööpakkumiste või investeerimisskeemidega. Ka krediitkaardiandmete või pangaparoolide väljapetmine on üha reaalsem hädaoht. Seega on minuraha.ee soovitused vägagi asjakohased.

Kuna küll küllale liiga ei tee, siis kordan peamised pettusele viitavad ohumärgid ka siin veelkord üle.

Finantspettustega tegelevad isikud reeglina:

  • Kontakteeruvad sinuga omal algatusel kas e-kirja, posti või telefoni teel.
  • Jätavad usaldusväärse inimese mulje, on korrektsed, viisakad, lahked ning sõbralikud.
  • Kasutavad pealtnäha ametlikke kirjablankette ning nende poolt saadetud dokumendid on korrektselt koostatud.
  • Kiirustavad sind tagant, et langetaksid kohe otsuse või allkirjastaksid kohe lepingu.
  • Paluvad sul saata raha nende arvele kindlasti enne kui avaneb ahvatlev pakkumine või kantakse üle nö võidetud rahasumma.

Tavaliselt pakutakse midagi väga ahvatlevat. Näiteks:

  • Tuleb teade, et sa oled võitnud loteriil või rahalise auhinna, kuigi sa ei ole sellisest loteriist ega loosimisest kunagi osa võtnud.
  • Tehakse eksklusiivne ettepanek just sulle osaleda skeemis, mis kindasti teenib kiiresti korraliku kasumi.
  • Pakutakse võimalust teenida kergesti väga suur summa selle eest, et sa aitad kanda mitmete miljonite ulatuses raha pakkujate asukohariigist välja.
  • Pakutakse võimalust osaleda investeerimisskeemis, mille tulemusena on võimalik teenida suur summa jne.

Enamikel juhtudel palutakse pettuse puhul:

  • Saata sul mingi summa ettemaksuna – kas teenustasuna või muu näiliselt vajaliku maksuna. Nimekiri põhjustest, miks peaks raha ette ära maksma, on lõputu. Reeglina tähendab ettemaksu küsimine võimalikku pettust.
  • Palutakse edastada isiklikud pangaandmed – arveldusarve number, krediitkaardi number, paroolid jms või isikuandmed.
  • Teatatakse, et enne võidu või preemia kättesaamist pead ostma mingit teenust ja tasuma selle eest ettemaksu.

Pane tähele!

Ära kunagi saada raha ega enda isiku- või pangaandmeid kellelegi enne, kui oled kontrollinud konkreetse eraisiku või ettevõtte tausta ning veendunud tehingu usaldusväärsuses! Kui sulle saabub ahvatlev investeerimispakkumine ning selles esinevad mõned ülaltoodud tunnustest, siis tõenäoliselt on tegemist pettusega.

Flashi mängijas on turvaviga!

CERT Eesti hoiatab: Adobe Flashi mängijas oleva turvavea abil saavad pahalased paigaldada pahaaimamatute internetisurfajate arvutitesse pahavara. Arvuti nakatamiseks piisab mõne nakatunud veebilehe väisamisest.

Kindlalt on teada, et on turvaveaga on flashi mängija versioonid 9.0.124.0 ja 9.0.115.0. Turvaveaga on ka hetkel veebist allalaetav viimane versioon ning ei saa välistada, et vigased on ka need versioonid, mida teates nimetatud ei ole.

Turvaviga võimaldab spetsiaalse faili abil installeerida kasutaja arvutisse viimase teadmata klahvivajutuste püüdja või pahalaste kasutatava “tagaukse”. Flashi turvavea intensiivne kasutamine arvutite nakatamiseks on kõrgendanud tarkvaratootja Symantec internetiturvalisuse mõõdikut ühe pügala võrra – roheliselt kollasele – mis viitab probleemi tõsidusele.

Flashi mängija turvaveaga võitlemiseks on soovitav blokeerida oma brauseris Flashi näitamine või eemaldada turvaveaga Flashi mängija arvutist seniks, kuni Adobe pole ilmutanud oma mängija parandust või uut versiooni mängijast.

Flashi mängija turvaviga ärakasutav rünnak tehakse tavaliselt viimasel ajal väga laialdaselt levinud andmebaasi turvavea kaudu. Selle abil lisatakse tavalisetele suure külastatavusega veebilehtedele peidetud viited pahavara sisaldavatele veebilehtedele (andmebaasi turvavea tõttu nakatunud veebilehtede arv ületab mõningatel hinnangutel poolt miljonit). Teadaolevalt on nakatunud veebilehtede hulgas ka mitmete riikide asutuste ametlikud veebilehed.

Flashi mängija näitab veebilehtedele lisatud interaktiivset või animeeritud sisu ning on Adobe omanduses olev tehnoloogia.

Vea kohta saab lugeda täpsemalt siit.
Symanteci Interneti turvalisuse mõõdiku kohta info on siin.

Omalt poolt lisaksin, et Firefoxi kasutajad võiksid kaaluda Noscript-plugina paigaldamist.