Mis kinni ei jää,
saab kinni löödud

Kaido “Kakk” Kikkas
EIK / TLÜ
Turvalise Interneti päev
11.02.14

Kaido Kikkas 2014. K...
Idamaine tarkus: lihtsalt küsi
●

Tüng Shui meister Hui Junn Laxti õpetab:
“Aktiveeri enda rikkusekolle ükskõik millises
r...
PIBKAC
●

Heal lapsel mitu nime:
–

–

PICNIC (problem in
chair, not in computer)

–
●

PIBKAC, PEBKAC,
POBKAC...

ID-10T ...
Tegelikult on tõsine jama
●

Kujutage ette üht koledat muinaslugu:
–

–

… ja kõik autokoolid...

–

●

Kuri nõid tegi “PI...
Saage tuttavaks: Valdo Vänt
●
●

●

●
●

Tore lihtne mees, pereisa, ametilt mehaanik
Valdo otsustab Ülemiste keskuses šopa...
PIBKAC – aga millise tooli vahel?
●

Valdo Vänt ajas asju
–
–

●

●

tarkvarategijatega (enamasti läbi arvutimüüja)

–
●

...
Teistsugune aeg
●

●

●

Tänapäeva sõjas on kasulikum vastast
vigastada kui tappa – jääb teistele
koormaks!
Niisamuti ei k...
Boss käsib, jüngrid hüppavad
●

Tänapäeva häda - iga kurja geeniuse kohta
on olemas suur hulk skriptijuntsusid (ingl k.
sc...
Valdo: valel ajal vales kohas
●

Valdo Vänt kui isik ei huvitanud tegelikult
mitte kedagi

●

Huvitas sobivalt kaitsmata a...
“No ja siis...?”
●

●

●
●

Üsna tavapärane reaktsioon – “mina pole
tähtis nina, kes see ikka minu arvutit torkima
tuleb.....
Botnet

https://en.wikipedia.org/wiki/File:Botnet.svg
Mida sellega teha saab?
●

●

●
●

●

Saata väga suures koguses rämps- ja/või
petukirju
Korraldada teenusetõkestusründeid ...
Eelmise aasta hinnad
●

Hind sõltub kaaperdatud arvutite asukohast:
–

USA-s: 1000 masinat 120$, 5000 masinat
550$, 10 000...
Mida sinu arvutiga teha saab
●

●

●

Hoida oma pornokollektsiooni – mõningat
sorti porno on vägagi plahvatusohtlik
Ladust...
“Milleks paroolid?”
●
●

●

●

PIBKAC-i klassika :)
Üks tuntumaid näiteid Eestis: “kala” Eesti
Telefonis
“the four most-us...
Kuidas peaks olema
●

2014. aasta seisuga:
–
–

vähemalt 2 numbrit

–

●

vähemalt 2 teises registris tähte (suur/väike)

...
Dumbuser@smartphone
●

●

●

Tavaliselt unustatakse ära, et tänane
nutitelefon on sisuliselt täisvõimsusega arvuti
Püsiv n...
Näoraamat
●

●

●
●

Üks suurimaid murekohti (ja mitte ainult siin)
on sõbranimekiri
Inimlikult arusaadav: “No kuidas ma t...
Digifotokas
●

●

●

●

Tänapäeval võib tähendada nii video- kui
fotokaamerat, mobiili kui ka muid seadmeid
(sh läpakate v...
“Lollidelt tuleb raha ära võtta”
●

●

●

Suurel osal inimestest lülitub raha lõhna
tundes osa ajust välja - ja see ei sõl...
“Kurat naerab, kui varas varga
tagant varastab” (eesti vanasõna)
●

●

●

Lads from Lagos vs
Mugu-baiters
Lugu Leiva ja Ka...
Kokkuvõtlikult
●
●

Itt ja nett on lahedad asjad
Igal asjal on omad ohud – ning ka head ja
kasulikud asjad võivad lolli kä...
Edasilugemiseks
●

http://www.targaltinternetis.ee

●

http://www.päriseltkavõi.ee

●

Kevin Mitnicki raamatud

●

Johnny ...
Aitäh kuulamast

Slaidid leiab aadressilt
http://www.slideshare.net/UncleOwl
Upcoming SlideShare
Loading in...5
×

Turvalise Interneti päev 11. veebruaril 2014

306

Published on

Ettekanne Turvalise Interneti päeval IT kolledžis 11.02.14.

Published in: Education, Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
306
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
2
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Turvalise Interneti päev 11. veebruaril 2014

  1. 1. Mis kinni ei jää, saab kinni löödud Kaido “Kakk” Kikkas EIK / TLÜ Turvalise Interneti päev 11.02.14 Kaido Kikkas 2014. Käesoleva dokumendi paljundamine, edasiandmine ja/või muutmine on sätestatud ühega järgnevatest litsentsidest kasutaja valikul: * GNU Vaba Dokumentatsiooni Litsentsi versioon 1.2 või uuem * Creative Commonsi Autorile viitamine + Jagamine samadel tingimustel versioon 3.0 või uuem Eesti litsents (CC BYSA)
  2. 2. Idamaine tarkus: lihtsalt küsi ● Tüng Shui meister Hui Junn Laxti õpetab: “Aktiveeri enda rikkusekolle ükskõik millises rahvarohkes ruumis, vehkides seal tohutu kööginoa ja sildiga, kuhu on kirjutatud “ANDKE KÕIK OMA RAHA MULLE”” – Rohan Candappa, “Väike Tüng Shui käsiraamat”
  3. 3. PIBKAC ● Heal lapsel mitu nime: – – PICNIC (problem in chair, not in computer) – ● PIBKAC, PEBKAC, POBKAC... ID-10T error Automehaanikud räägivad lahtisest mutrist rooli taga, raadioinimesed lühisest kõrvaklappide vahel... http://somethinggeeky.com/program ming-t-shirts/pebkacmenstshirt
  4. 4. Tegelikult on tõsine jama ● Kujutage ette üht koledat muinaslugu: – – … ja kõik autokoolid... – ● Kuri nõid tegi “PINN!!”.. ja kaotas ära kõik liiklusmärgid... … ja enamiku liikluspolitseist takkapihta SIIS NÄEB LINNALIIKLUS VÄLJA PEAAEGU NAGU INTERNET
  5. 5. Saage tuttavaks: Valdo Vänt ● ● ● ● ● Tore lihtne mees, pereisa, ametilt mehaanik Valdo otsustab Ülemiste keskuses šopates perele uue arvuti osta – hea diil, printerskanner anti kauba peale ja kõik tarkvara oli kohe kaasas Valdo pakib arvuti lahti, järgmisel päeval paneb patsiga poiss neti sisse Paar päeva on kõik kena (lapsed on sillas) Siis hakkab arvuti aeglaseks kiskuma, krõbistab pidevalt kettaga ja ilmuvad mingid uued asjad
  6. 6. PIBKAC – aga millise tooli vahel? ● Valdo Vänt ajas asju – – ● ● tarkvarategijatega (enamasti läbi arvutimüüja) – ● arvutimüüjaga võrguteenuse pakkujaga Tema turvalisus ei huvitanud mitte kedagi Tulemus paistab näiteks siit: http://www.securelist.com/en/analysis Kole lugu: õppejõud ja tema arvuti
  7. 7. Teistsugune aeg ● ● ● Tänapäeva sõjas on kasulikum vastast vigastada kui tappa – jääb teistele koormaks! Niisamuti ei kohta täna enam vana aja viirusi, mis vormindasid kõvaketta päästmatult üle Tänane põhieesmärk – ohvri masin peab jääma tööle (vahel isegi lapitakse sel turvaaugud ära!) ja täitma ründaja antavaid ülesandeid (põhitööna – kui aega üle jääb, võib ka endist omanikku teenindada)
  8. 8. Boss käsib, jüngrid hüppavad ● Tänapäeva häda - iga kurja geeniuse kohta on olemas suur hulk skriptijuntsusid (ingl k. script kiddie), kel – – pole elu – ● pole erilisi oskusi ega teadmisi see-eest on roppumoodi vaba aega KÕIGE OHTLIKUM TEGELANE MAAMUNAL ON HÄSTIVARUSTATUD LOLL
  9. 9. Valdo: valel ajal vales kohas ● Valdo Vänt kui isik ei huvitanud tegelikult mitte kedagi ● Huvitas sobivalt kaitsmata arvuti ● “Ära võta isiklikult!” (kaks lasku pähe) ● Skriptijuntsu tüüpiline taktika on kammida mingit võrgusegmenti, otsides mingit kindlat turvaauku ja rünnates siis leitud sihtmärke mingi valmisvahendi abil (tihti oma lõbuks, üha enam on aga nad mõne suurema jõu teenistuses – N: Russian Business Network)
  10. 10. “No ja siis...?” ● ● ● ● Üsna tavapärane reaktsioon – “mina pole tähtis nina, kes see ikka minu arvutit torkima tuleb....” “Ja kui tuleb, keda see minu arvuti pahavara kotib?” MIND! Sest sinu arvuti ühineb tuhandete teiste samasugustega mõnes botnetis – JA MINA VÕIN JUBA SELLEGA PIHTA SAADA
  11. 11. Botnet https://en.wikipedia.org/wiki/File:Botnet.svg
  12. 12. Mida sellega teha saab? ● ● ● ● ● Saata väga suures koguses rämps- ja/või petukirju Korraldada teenusetõkestusründeid (denial of service attack) Murda lahti paroole Lisaks muud huvitavat – tegemist on sisuliselt omalaadse superarvutiga Tänapäeval on tegu “teenusega nagu iga teine”
  13. 13. Eelmise aasta hinnad ● Hind sõltub kaaperdatud arvutite asukohast: – USA-s: 1000 masinat 120$, 5000 masinat 550$, 10 000 masinat 1000$ – Kanadas, Suurbritannias ja Saksamaal: 1000 masinat 80$, 5000 masinat 350$, 10 000 masinat 600$ – Mujal Euroopas: 1000 masinat 50$, 5000 masinat 225$, 10 000 masinat 400$ – Mujal maailmas: 1000 masinat 25$, 5000 masinat 110$, 10 000 masinat 200$ http://www.webroot.com/blog/2013/02/28/how-much-does-it-cost-to-buy-10000-u-sbased-malware-infected-hosts/
  14. 14. Mida sinu arvutiga teha saab ● ● ● Hoida oma pornokollektsiooni – mõningat sorti porno on vägagi plahvatusohtlik Ladustada illegaalset tarkvara – BSA hakkab põrkama ja koledaid hääli tegema Tekitada kommunikatsioonikanal – näiteks IRC-kanal varastatud krediitkaartidega äritsemiseks ● Saata hulgaliselt nahaalkirju ● Rünnata kedagi (otse või vahelülide kaudu) ● Netipanka kasutada (sinu arvega)
  15. 15. “Milleks paroolid?” ● ● ● ● PIBKAC-i klassika :) Üks tuntumaid näiteid Eestis: “kala” Eesti Telefonis “the four most-used passwords are: love, sex, secret, and God” - The Plague 2013. aasta esikümme: 123456, password, 12345678, qwerty, abc123, 123456789, 111111, 1234567, iloveyou, adobe123 (http://gizmodo.com/the-25-most-popularpasswords-of-2013-god-help-us1504852434)
  16. 16. Kuidas peaks olema ● 2014. aasta seisuga: – – vähemalt 2 numbrit – ● vähemalt 2 teises registris tähte (suur/väike) – ● vähemalt 15(!) märki pikk vähemalt 1 kirjavahemärk Lihtne, kuid piisavalt pikk on parem variant kui keeruline ja lühike Üks variant: reaalsetest sõnadest, ent jabura tähendusega paroolilause (soovitavalt täiendavate moonutustega)
  17. 17. Dumbuser@smartphone ● ● ● Tavaliselt unustatakse ära, et tänane nutitelefon on sisuliselt täisvõimsusega arvuti Püsiv netiühendus, multimeedium, lisaks erinevad sidevariandid – eriti aga salvestamine ja asukoha määramine. MÕNES MÕTTES OHTLIKUM KUI ARVUTI Esmased asjad: – kõik mittevajalik välja lülitada / eemaldada – netiühendus töötab vaid siis, kui teda vaja on – suvalisi äppe ei paigalda! – kaitsetarkvara on üldjuhul hea mõte
  18. 18. Näoraamat ● ● ● ● Üks suurimaid murekohti (ja mitte ainult siin) on sõbranimekiri Inimlikult arusaadav: “No kuidas ma teda sõbraks ei võta, kui ta tahab?” KAS SÕBRAD ON IKKA SÕBRAD? Kaks varianti – mõlemad toimivad, aga mitte läbisegi! – – ● sõbralistis on ainult Päris Tõelised Sõbrad sõbralistis on kõik, kes soovivad SUHTUDA TULEB VASTAVALT!!!
  19. 19. Digifotokas ● ● ● ● Tänapäeval võib tähendada nii video- kui fotokaamerat, mobiili kui ka muid seadmeid (sh läpakate veebikaamerad) Ohtlik kombinatsioon on mobiilne jäädvustamine ja automaatne üleslaadimine – eriti FB-sse või mõnda muusse avalikku paika ning koos asukohaandmetega Päris kole näide: üks rootsi tüdruk ja tema peika reisimas Lihtsalt suur skandaal ühes USA koolis
  20. 20. “Lollidelt tuleb raha ära võtta” ● ● ● Suurel osal inimestest lülitub raha lõhna tundes osa ajust välja - ja see ei sõltu vanusest, soost, rahvusest ega haridusest Rusikareegel: kui midagi tundub liiga hea, et olla tõsi, siis see ilmselt ongi nii Mõned asjad, mida peaks endalt küsima: – miks mu sõber äkitselt inglise keeles räägib? – kuidas saab võita loteriil, kus pole osaletud? – kuskohast teab võõras onu Lagosest, kui tore ja aus inimene ma olen? – ...
  21. 21. “Kurat naerab, kui varas varga tagant varastab” (eesti vanasõna) ● ● ● Lads from Lagos vs Mugu-baiters Lugu Leiva ja Kala misjonist Lugu smurfidest, Paunost ja tema koleda nimega advokaadist http://www.419eater.com/html/kothapalli_rao.htm
  22. 22. Kokkuvõtlikult ● ● Itt ja nett on lahedad asjad Igal asjal on omad ohud – ning ka head ja kasulikud asjad võivad lolli käes kurja teha ● Mõtle omaenese peaga ● Ära torma teiste lollusi kohe kaasa tegema ● Ära jookse kiire ja kerge raha järele ● Õpi ise ja õpeta teisi
  23. 23. Edasilugemiseks ● http://www.targaltinternetis.ee ● http://www.päriseltkavõi.ee ● Kevin Mitnicki raamatud ● Johnny Long, “No Tech Hacking” ● Emmanuel Goldstein, “Best of 2600”
  24. 24. Aitäh kuulamast Slaidid leiab aadressilt http://www.slideshare.net/UncleOwl
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×