Andmeturve: tehnoloogia, koolitus ja reeglid: erinevus redaktsioonide vahel

Sissejuhatuseks

Pealkirjaks oleva lause andmeturbe kolmest komponendist on öelnud kunagine USA tagaotsituim inimene, keda FBI tulutult mitu aastat üle kogu riigi jahtis: Kevin Mitnick. Nüüdseks on temast saanud turvaekspert, kes ilmselt teab, millest räägib. Mitnicki sõnul on ka tegemist kolme komponendi korrutise, mitte summaga - kui üks neist on null või nullilähedane, on seda ka kogutulemus. Tänases teemas vaatlemegi andmeturbe eri aspekte - olgu aga öeldud, et see teema on äärmiselt suur ja samavõrd oluline, mistõttu iseseisev edasiuurimine on ülimalt soovitav.

Kujunemine

Andmeturbe juured ulatuvad kaugetesse aegadesse - info salastatusega tegeldi juba antiikajal (üheks tuntumaks näiteks võib pidada Caesari šifrit. Seosed IT-maailmaga tulevad samuti varakult - mainida võib Alan Turingit, aga ka näiteks külma sõja algusaegade UKUSA lepet ning sealt alguse saanud jälgimis- ja nuhkimissüsteeme "demokraatlikus" läänemaailmas.

Ühe korduva asjaoluna tuleks mainida, et kaagid ärkavad varakult. Esimesed laiema levikuga arvutiviirused ilmusid 80-ndate esimesel poolel, varsti peale esimese IBM PC tulekut, Interneti ärikeelu kaotamisele 1991. aastal järgnes esmalt suur spämmilaviin ja alles seejärel asjalikud e-teenused, sotsiaalmeediat on algusest peale saatnud petised ja trollid. Internetis avastati turvateema laiemalt alles peale 1988. aasta 2. novembri Musta Neljapäeva, mil Morrise uss suutis suure osa tollasest Internetist ära halvata...

Probleemid

Pahavara

• Viirused
• Trooja hobused
• Ussid
• Lunavara

Identiteedivargus

Ressursihõive

• botnetid
• nutistu

Pettused

• Levinumad skeemid
• Scambaiting

Manipulatsioon

• SE
• Dumpster diving
• Shoulder surfing

Trollimine

• 4chan
• sotsiaalmeedia
• trollivabrikud

Häktivism

• Näotustamine

Suur Vend

• UKUSA
• Wikileaks

Kübersõda

• Käopesa
• Stuxnet

Lahendused

Tehnoloogia

• Pahavaratõrje
• Tulemüürid
• Meepotid
• Tehnoloogiaeelistused - Windows ja teised

Koolitus

Selle punkti juures võiks esmalt meenutada, kuidas toimus hästituntud Tiigrihüppe programm Eestis:

• Esmalt jagati koolidesse arvutid. Koolitus jäi aga tahaplaanile.
• Siis saadi aru, et vaja on ka tarkvara. Sedagi jagati, ent koolitus jäi taas tahaplaanile.
• Seejärel leiti, et vaja on ka võrguühendust. Tõmmati kaablid, ent koolitus jäi ikka tahaplaanile.
• Viimaks hakati vaatama, et asi logiseb...

• Riist- ja tarkvara
• Turvaline arendus
• Võrgusuhtlus
• Protseduurid
• SE ja NTH vastumeetmed

Reeglid

• Standardid (ISKE jt)
• Sisekorraeeskirjad
• Turvaline arendus ja testimine

Mõned soovitused tavainimestele

NB! Need on sellises sõnastuses siinkirjutaja arvamus, kuid päris "lambist" see loodetavasti ei pärine.

Soovitused võiks esitada ajaloos läbiproovitud kümne käsu vormis (see on vaid üks võimalik valik):

1. Ära kasuta arvutit suuremates õigustes kui vaja - eeskätt tähendab eraldi kontode kasutamist tavategevusteks ja arvuti haldamiseks. See on turvalisem meetod ka Linuxite puhul!
2. Kasuta korralikke paroole. Hirmus habemega teema (esimene selleteemaline avalik dokument ilmus Internetti 1973. aastal), ent paraku inimesed ei õpi. Tänapäeval tasub soovitada pikemaid paroolifraase, mis on koostatud seostamata või jabura kombinatsiooniga sõnadest ("KalaKuuskMatemaatika", "KoerEiViiuldaEkraani" vms, täiendavat keerukust võib lisada "leetspeaki" ("kassikäpp" -> "Ka551K2pp") ja/või kirjavahemärkidega (kui need on lubatud).
3. Kui arvutil on mitu kasutajat, peab igaühel olema eraldi konto (vt ka eelmisi punkte).
4. Kaitsetarkvara tuleks tunda ja kasutada. See tähendab antiviirusi, nuhkvarapüüdjat, tulemüüri, skriptide ja reklaamide reguleerijaid veebilehitsejas jpm. Märkus: tihti unustatakse, et kuigi Linuxid ja "mäkid" Windowsi pahavaraga ei nakatu, siis on nendega paraku täiesti võimalik nakatunud faile järgmisele õnnetule vindosnikule edasi saata.
5. Tea, milline tarkvara on arvutis - nii operatsioonisüsteemi kui rakenduste osas.
6. Oska andmekandjatel orienteeruda. See tähendab nii konkreetse operatsioonisüsteemi failisüsteemi tundmist (mis on Program Files või /etc) kui ka näiteks peidetud failide leidmist, faililaiendite teadmist jne.
7. Uuenda tarkvara regulaarselt. Automaatsed uuendused on halbadest parim lahendus täieliku arvutivõhiku arvutis, asjatundja võiks seda teha vähemalt mingil määral käsitsi (ülevaate saamise mõttes, samuti on mõnedel süsteemidel aeg-ajalt kombeks uuenduste sildi all küsitavaid asju paigaldada).
8. Tunne enda arvuti riistvara põhielemente ja peamisi omadusi - protsessorit, videokaarti, kõvaketast jne. Vahel aitab see muuhulgas vältida mõnda tüngalõksu kukkumist ("AMD videodraiveri uuendus??? Mul on nVidia...").
9. E-kirjamanused ava ainult siis, kui oled saatjas täiesti kindel. Taas kord uskumatult habemega teema, aga ometi kukuvad ikka veel paljud selle otsa.
10. Ole uudishimulik ja õpivõimeline ning jälgi, mis arvutimaailmas toimub.

Kokkuvõtteks

Tänases maailmas on andmeturbest saanud igaühe asi. Arvutist on saanud autoga võrreldav tarbeese - nagu enamik autojuhte ei paranda ise autot, ei ole enamik arvutikasutajaid IT-inimesed. Ent nagu autojuht peab teadma liikluses parema käe reeglit, nii peab arvutiomanik hoolitsema vähemalt elementaarsel tasemel oma arvuti turvalisuse eest. Ning Mitnicki valem (tehnoloogia, koolitus, reeglid) kehtib ühtmoodi nii suurettevõttes, koolis kui ka koduses arvutikasutuses.

Viited

• ALDER, Raven et al. Stealing the Networkː How to Own an Identity. Syngress 2005.
• ALLSOPP, Wil. Unauthorised Accessː Physical Penetration Testing for IT Security Teams. John Wiley & Sons 2009.
• ANDREJEVIC, Mark. iSpy: Surveillance and Power in the Interactive Era. University Press of Kansas 2007
• GOLDSTEIN, Emmanuel. The Best of 2600: A Hacker Odyssey. Wiley 2008.
• Sarah GRANGER. Social Engineering Fundamentals, Part I: Hacker Tactics. SecurityFocus, December 18 2001
• Sarah GRANGER. Social Engineering Fundamentals, Part II: Combat Strategies. SecurityFocus, January 9 2002.
• HAGER, Nicky. Secret Power - New Zealand's Role in the International Spy Network. Craig Potton Publishing 1996. http://www.nickyhager.info/ebook-of-secret-power
• LONG, Johnny. No Tech Hacking - A Guide to Social Engeering, Dumpster Diving, and Shoulder Surfing. Syngress Publishing 2008 (a chapter is available at http://www.hackersforcharity.org/files/NTH_SAMPLE.pdf)
• MCCARTHY, Linda. IT Security: Risking the Corporation. Prentice Hall 2003.
• MITNICK, Kevin D.,SIMON, William L. (2002). The Art of Deception. John Wiley & Sons 2002
• MITNICK, Kevin D.,SIMON, William L. (2005). The Art of Intrusion. John Wiley & Sons 2005
• O'CONNOR, TJ. Violent Python: A Cookbook for Hackers, Forensic Analysts, Penetration Testers and Security Engineers. Syngress 2012
• OLLMANN, Gunter. The Phishing Guide: Understanding and Preventing Phishing Attacks. TechnicalInfo.net 2005
• STERLING, Bruce. Hacker Crackdown: Law and Disorder on the Electronic Frontier. Bantam Books 1992. http://www.mit.edu/hacker/hacker.html
• STOLL, Cliff. The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage. Pocket Books 2005
• VITALIEV, Dmitri. Digital Security and Privacy for Human Rights Defenders. Front Line 2007. http://www.frontlinedefenders.org/esecman/
• WINTERFELD, Steve, ANDRESS, Jason. The Basics of Cyber Warfare. Syngress 2013.
• Attrition.org: security. http://attrition.org/security/
• The Honeynet Project: Know Your Enemy. http://old.honeynet.org/papers/honeynet/
• SANS Information Security Resources. http://www.sans.org/security-resources/
• SANS Reading Room. http://www.sans.org/security-resources/
• http://www.whatsthebloodypoint.com
• http://www.scamorama.com
• http://www.419eater.com