Turvaekspert Rik Farrow demonstreerib, kuidas Metasploiti abil koostatud spetsiaalse veebilehe abil saab seda lehekülge külastanud iPhone’is juurkasutaja õigused, mis lubab Apple’i uues imetelefonis toimetada samu asju mis selle omanik – kuulata kõnesid, lugeda postkasti sisu, paigaldada ja käivitada mistahes programme.
Demonstratsiooni tellinud Fastcompany.com kinnitab, et samalaadse rünnaku ohvriks võib langeda tegelikult mistahes muu nutitelefon. iPhone’i puhul tegi rünnaku lihtsamaks turvaauk, mis lubas pärast ühe rakenduse edukat ründamist käitada ka kõiki ülejäänuid juurkasutaja õigustes. Viimaste turvaparandustega on kasutatud auk küll lapitud, kuid laias maailmas on liikvel miljoneid kräkitud iPhone’e, millele turvapaika panna ei saa…
Netikommentaarid ja politseinikud
Mõned päevad tagasi ilmus uudis, et politsei taotleb meediaettevõtteilt internetikommentaaride autorite tabamiseks tarvilikke IP-aadresse. Sellega seoses tahaks viidata kahele seigale, mis sellise tegevuse üsnagi kahtlaseks teevad.Esiteks ei võimalda IP-aadress isikut üheselt tuvastada. Juhul, kui konkreetse IP-aadressi taga on ainult üks arvuti (nii nagu ta enamikes eesti peredes on), siis on võimalik kindlaks teha üks arvuti, kuid mitte seda, kes kommentaari sisestamise hetkel masinat kasutas. Eriti põnevaks läheb olukord siis, kui selle IP-aadressi otsas levib WiFi (näiteid võib lugeda siit ja siit). Seega on IP-aadressi abil võimalik tuvastada ainult see, kelle nimel on seda aadressi kasutav leping.
Samas on aga euroopa andmekaitsjate töögrupp avaldanud seisukoha, mis ütleb üheselt, et IP-aadressid on isikut tuvastavad andmed. Selline seisukoht on ohtlik, kuna on loodud pretsedent ning seda võidakse arvestada ka Eesti Vabariigi kohtus.
Teine asi, millele sooviks tähelepanu juhtida, on EV põhiseaduse §45 kehtestatud sõnavabaduse kaitse. Niipalju, kui ma netiajakirjanduse kommentaariume olen lugenud, on seal tõesti üsnagi palju lihtsat tatipritsimist. Samas hakkab silma ka täielikule masendusele viitavaid kommentaare, kusjuures on näha, et inimese frustratsioon on tekkinud just ühe või teise poliitiku tegevuse või tegevusetuse tõttu.
Ehkki käesoleva artikli kirjutaja ei ole absoluutse liberalismi pooldaja, on antud juhul sõnavabaduse seisukohalt tegemist siiski vägagi piiripealsete asjadega. Lisaks annavad sellised juhtumid poliitikutele väga head võimalused neid kritiseerinute või nende mustade tegude päevavalgele toojatega arveid õiendada. Samas võib see aga ka pahaaimamatule pereisale kaasa tuua kopsaka trahvi või kahjutasunõude.
Taoliste juhtumite vältimiseks tasub alati paar hetke mõelda, enne kui mistahes kommentaar teele saata. Ontlikel pereisadel tasuks kindlasti aga oma järglastega suhelda – eelkõige netikasutuse teemadel. Samuti tasuks üle vaadata, kuidas nende koduseinte vahel leviv WiFI turvatud on. Vastavaid õpetusi leiab ka arvutikaitse.ee artiklite hulgast.
Arvutikuritegude karistused karmimaks
Mart Siilivask Justiitsministeeriumi avalike suhete talitusest teatab, et Justiitsministeerium saatis valitsusse eelnõu, mis täpsustab arvutisüsteemi vastu suunatud rünnetega seotud kuriteokoosseise ning karmistab selliste kuritegude eest mõistetavaid karistusi. Mis iseenesest on igati tervitatav. Aga.
Kuivõrd ma ise pole seda eelnõu veel näinud, siis loodetavasti leiavad edaspidise töö käigus positiivse lahenduse ka alljärgnevad võimalikud probleemid:
1. Justiitsministeeriumi karistusõiguse ja menetluse talituse nõuniku Markko Künnapu sõnul näeb eelnõu lisaks senisele arvutiviiruse levitamisele ette vastutuse ka nuhkvara või pahavara levitamise eest.
Huvitav, kas nüüd lõpuks hakkab ka tavakasutaja vastutama selle eest, et tema arvuti ei nakatuks ning omakorda teisi võrgus olevaid masinaid ei nakataks? Et siis vabandus, et ma ei teadnud, et mu arvutis mingi pahalane möllab, enam ei päde? Ja millised saavad olema sanktsioonid turvanaiivsuse eest? 🙂
2. Samuti kriminaliseerib eelnõu arvutikuritegude ettevalmistamise. See on staadium, kus isik kas kogub andmeid või valmistab programme selleks, et kasutada neid arvutikuritegude toimepanemiseks.
Saksamaa analoogne seadus kriminaliseerib sel viisil muuhulgas ka turvaspetsialistide töö. Jubedalt tahaks loota, et Eesti seaduses õnnestub sarnaseid töllakusi vältida.
3. Muudatuse kohaselt loetakse terrorikuriteoks ka andmetesse sekkumine, arvutivõrgu toimimise takistamine ning selliste tegude toimepanemisega ähvardamine, kui see on toime pandud muuhulgas näiteks eesmärgiga sundida riiki midagi tegema või tegemata jätma, häirida riigi põhiseaduslikku, majanduslikku või ühiskondlikku korraldust või tõsiselt hirmutada elanikkonda.
Jällegi jääb lootus, et mõni üliagar ametnik sellele klauslile toetudes näiteks www.arvutikaitse.ee-d kinni ei pane. Mitte ei tahaks siin tulevikus kirjutada, et tegelt on viirused ja troojalased täitsa nunnud ning karta neid küll mõtet ei ole 🙂
Võibolla teen ma praegu tublidele õiguskaitseametnikele ränka ülekohut ning kahtlustan neid täiesti alusetult soovis Eesti olematut infoturbetööstust eos lämmatada. Aga igaks juhuks lähen siiski konserve ja kuivikuid varuma 😉
Piinlik juhtum audiitori ja paroolidega
Tulnud ühte Eesti küllaltki turvakriitilisse firmasse audiitor – kontrollima, kas kõik on ikka nii, nagu peab. Firma juht, üdini viisakas härrasmees, pakkunud audiitorile töötegemiseks oma töölauda. Seadnud siis audiitor ennast mugavalt istuma, nihutanud ka klaviatuuri veidi eemale… Ja klaviatuuri alt tulnud välja kollane kleepsupaber ettevõtte infosüsteemi peakasutaja paroolidega.
Tõestisündinud lugu.
Sotsiaalsed võrgustikud ja privaatsus
Oma viimastes artiklites olen lahanud sotsiaalse tarkvara riske ning püüdnud näidata, kuidas on võimalik neid ära kasutada identiteedivargusteks. Seekord vaatleme, kuidas on võimalik kasutada sotsiaalsetes võrgustikes olevat informatsiooni inimese enda vastu.
Mõni aeg tagasi pakkus Eesti üks esihäkkereid väiksemas vestlusringis välja idee, et võiks proovida koostada andmebaasi informatsioonist, mida inimesed on ise enda kohta erinevates sotsiaalsetes võrgustikes jaganud. Proovisin ka ise (puhtalt uudishimust) millist informatsiooni on võimalik niimoodi hankida. Valisin LinkedIn-ist suvalise inimese, kes oli oma asukohaks märkinud Eesti, kuid oma ees- ja perekonnanime oli jätnud märkimata. Kuna isik oli avalikuks jätnud oma skype aadressi, siis oli mul kümne minuti jooksul olemas tema täielik nimi, töökoht, kontaktandmed ja suhtevõrgustik. Ilmselt oleks veidi sügavamalt kaevates leidnud tema kohta veelgi informatsiooni, mis oleks sellest inimesest andnud juba üsnagi põhjaliku pildi.
Seega, nagu me nägime, on taolise andmebaasi koostamine üsnagi lihtne ning tegelikult ei vaja see mingeid eriteadmisi – peale otsimootorite kasutamise oskuse. Kuidas aga sellist andmebaasi on võimalik kasutada?
Arvestades, et noored ei kipu endale eriti oma teguviisidest aru andma, võib eeldada, et nad käituvad samuti ka internetis, seda enam, et internet loob anonüümsuse tunde. Samas ei ole võimalik garanteerida, et mõni tänane teismeline rate.ee-st ei ole homme president või peaminister. Kuna sellistes suhtluskeskkondades kipuvad olema eelkõige just aktiivsemad ja suhtlemisaltimad noored, siis on tõenäosus mõne taolise noore kiireks karjääriks vägagi suur. Samas pakuks ilmselt kõvasti kõneainet mõne poliitiku poolalasti pildid või tema ropu keelekasutusega sõnavõtt mõne teise reidika aadressil. Viimase aja sündmustest võiks siinjuures nooruse rumaluse näitena tuua kindlasti noortepeod presidendi residentsis või ühe üsnagi eduka laulja ammu tehtud teod.
Mis takistaks taolist andmebaasi loomast? Puhttehniliselt mitte miski – otsimootorid on vabalt kättesaadaval kõigile, samuti on võimalik kirjutada ise otsimootor, optimeerides seda mingite kindlate sündmuste leidmiseks.
Juriidilise poole pealt ei ole ka sellist tegevust midagi keelamas, kuna inimesed ise (juriidilises keeles andmesubjektid) on need andmed ise sinna üles riputanud. Isegi juhul, kui andmed kogumina sisaldavad delikaatseid isikuandmeid, ei reguleeri seda miski, senikaua kuni seda andmebaasi peetakse isiklikuks otstarbeks. Samas on aga oht, et selline andmebaas võidakse varastada ja see edasi müüa kollasele ajakirjandusele või näiteks väljapressimistega tegelevatele organisatsioonidele.
Lõpetuseks tahaks veelkord meelde tuletada vana tõde – enne, kui mingit informatsiooni netis olevasse vormi sisestate, tuleb üheksa korda mõelda.
eKooli paroolid jäid ripakile, jama nii õpetajal kui õpilasel
Eesti Päevaleht kirjutab, et üks Tallinna Laagna gümnaasiumi 8. klassi õpilane oli õpetaja eKooli salasõna ära arvanud ja endal ise hindeid parandanud. Õpilast ähvardab nüüd kriminaalasi ning karistus arvutisüsteemi ebaseadusliku kasutamise eest.
Õpetaja tunnistab ise ka, et tema salasõna oli liiga lihtne. Sten Soosaar eKooli haldavast firmast soovitab aga kasutada isiku tuvastamiseks ID-kaarti.
Arvutikaitse on ka varem rääkinud sellest, millised paroolid on turvalised ja millised mitte, kuidas valida tugevat parooli ning millised on ID-kaardi eelised vananenud autentimisvahendite ees. Loodan, et see ebameeldiv intsident ei too kaasa tagasilööki toredale ja mugavale eKoolile ning et nii õpilased, õpetajad kui lapsevanemad ei ürita edaspidi enda autentimist ning seega ka võimalikke kuritarvitusi liiga lihtsaks teha 🙂