A presentation at AfgREN-WS-6 in Dubai on May 10, 2014 - describing the progress of Internet in Estonia and giving some ideas for developing online infrastructure in Afghanistan.
Of Hobbits, Amish, Hackers and Technology 2014Kaido Kikkas
A new version of the 2007 lecture, held at the Estonian Information Technology College in the "Deploying IT Infrastructure Solutions" Intensive Programme on April 3, 2014 (updated from the 2013 version in April'04).
Hüüru Teabetoas 16. veebruaril 2013 toimunud arvuti algõppeseminari slaidid - põhiteemadeks olid arvuti üldmõisted, elementaarne hooldus ja turvamine ning turvaline käitumine Internetis
A presentation at AfgREN-WS-6 in Dubai on May 10, 2014 - describing the progress of Internet in Estonia and giving some ideas for developing online infrastructure in Afghanistan.
Of Hobbits, Amish, Hackers and Technology 2014Kaido Kikkas
A new version of the 2007 lecture, held at the Estonian Information Technology College in the "Deploying IT Infrastructure Solutions" Intensive Programme on April 3, 2014 (updated from the 2013 version in April'04).
Hüüru Teabetoas 16. veebruaril 2013 toimunud arvuti algõppeseminari slaidid - põhiteemadeks olid arvuti üldmõisted, elementaarne hooldus ja turvamine ning turvaline käitumine Internetis
1. “Loll saab Internetis kah peksa”
(eesti vanasõna, XXI sajand)
Kaido Kikkas
TTÜ IT kolledž
17.09.21
Kaido Kikkas 2021. Käesoleva dokumendi paljundamine, edasiandmine ja/või muutmine on
sätestatud ühega järgnevatest litsentsidest kasutaja valikul:
* GNU Vaba Dokumentatsiooni Litsentsi versioon 1.2 või uuem
* Creative Commonsi Autorile viitamine + Jagamine samadel tingimustel 3.0 Eesti litsents
(CC BY-SA) või uuem
2. 2
Alguseks paar küsimust/väidet suurele
ringile (iseendale vastamiseks)
□
Kasutan arvutit pidevalt administraatori õigustes
□
Hoian nutiseadmes netiühendust pidevalt sees
□
Salvestan paroolid veebilehitsejasse
□
Taaskasutan paroole (mitmes kohas)
□
Minu arvutis/nutiseadmes on programme/äppe,
mille otstarvet ma ei tea
□
Usun, et olen piisavalt lihtne ja tavaline inimene,
et arvutipättidele mitte huvi pakkuda
3. 3
(IT-)turvalisus
□
...on asi, mille eest tuleb maksta – ent on enda
teha, kuidas:
◊ Maksan ajas – leian aega, et endale
ohutu käitumise põhimõtted selgeks
teha
◊ Maksan rahas vmm ressursiga – leian
kellegi, kes minu turvalisuse eest
hoolitseb
□
On olemas ka kolmas variant, mis tuleb
eelkõige siis, kui kumbagi kahest eelmisest ei
valita. Ja see ei ole hea variant
4. 4
Me oleme kõik… administraatorid
https://commons.wikimedia.org/wiki/File:Cartoon_Man_Approving_His_New_Computer.svg
5. 5
Üks suur eksiarvamus
□
“Mina olen liiga pisike tüdruk/poiss, et ma (ja
minu arvuti) kedagi huvitaks.”
□
Jüri või Mari ei huvitagi kedagi, küll aga
huvitab tema arvuti või nutiseade – sellega
saab igasugu asju (sh sigadusi) ette võtta
□
Halvemal juhul peab Jüri või Mari pärast
tõestama hakkama, et tema ei olnud see, kes
kirikumõisa poiste parve jõepõhja lasi
7. 7
Üks tüüpstsenaarium
□
Mingis süsteemis avastatakse turvaauk
□
Info levib võrgus; mõni andekas, ent paha
inimene kirjutab selle jaoks ründevahendi
(exploit)
□
Viimase laadib alla palju inimesi (eri motiividel)
□
Skaneeritakse mingit suurt võrguosa (näiteks
kogu ülikooli võrku) ja otsitakse sealt
konkreetse turvaaugu lahti jätnud (<=
enamasti uuendamata) arvuteid
□
Lahtised arvutid võetakse enda kontrolli alla
8. 8
Järeldus
□
Enda seadmeid tuleb tunda ja suuta neid
hallata – igaüks on enda seadmete
administraator
□
Erandiks on tööandja antud ja keskselt
hallatavad vahendid – aga isegi seal tasub
vähemalt teada, mis sinna paigaldatud on
9. 9
(natuke kahtlane) lohutus
□
K: Kui kaks tüüpi põgenevad lõvi eest, siis kui
kiiresti peavad nad jooksma?
□
V: Kiiremini kui lõvi teine tüüp.
□
Ilmas on külluses aeglasi jooksjaid ja võhikute
arvuteid – seega piisab mõistlikust pingutusest!
https://commons.wikimedia.org/wiki/File:Let_the_Lion%27s_Roar_Last_Forever_!!!!!!
_(2646557294).jpg
10. 10
Ükskord Ameerikas
□
… elas poiss nimega Kevin
□
Kevin oli juba koolis paras naakmann ja leiutas
viisi, kuidas terve Los Angeles bussiga läbi
sõita, selle eest sentigi maksmata
□
Talle meeldis näppida telefone ja arvuteid ning
teistele tünga teha
□
Viimaks sai Kevinist paras kaak ja teda aeti üle
kogu Ameerika igasugu pollarite poolt taga
□
Kevin saadi viimaks kätte ja pandi pokri
□
Kui Kevin välja sai, hakkas ta turvaeksperdiks
11. 11
Kevin Mitnicki turvavalem
□
Turvaekspert Mitnick:
turvalisus koosneb kol-
mest komponendist
◊ Tehnoloogia: arvutid,
tarkvara, võrgud, tulemüürid jne
◊ Koolitus/väljaõpe
◊ Eeskirjad/reeglid
□
Korrutis, mitte summa: kui üks neist on null
või selle lähedal, on sama ka kogu tulemus!
https://en.wikipedia.org/wiki/Kevin_Mitnick#/media/
File:Cyber_Incursion_event_at_the_City_of_London.jpg
12. 12
Mitnicki valem praktikas
□
Näiteks ettevõttes või asutuses:
◊ Kas tehnoloogilised lahendused on
piisavad, ajakohased ja korralikult
hallatud?
◊ Kas töötajad saavad aru, mida erinevad
seadmed teevad, ning oskavad enda
tööks vajalikke seadmeid kasutada?
◊ Kas on olemas piisavad mängureeglid, kas
töötajad on nendega kursis, saavad
nende vajadusest aru ja teavad, mida
nende eiramine kaasa toob?
13. 13
Paralleel teie õppeaine kontekstis
□
Infosüsteemi lihtsaim definitsioon on
◊ Tehnoloogia (IT)
◊ Inimesed
◊ Protsessid
□
Mitnicki valem on sisuliselt sellesama
definitsiooni peegeldus turvalisuse
valdkonnas!
□
Edasi tasuks siit uurida turvastandardeid –
Eestis oli varem ISKE ja nüüd on E-ITS,
teistes maades on omad samalaadsed
14. 14
Kolm ohtlikku seltskonda
□
Eraldi tähelepanu tuleb pöörata kolmele
töötajate grupile:
◊ Juhtkond – suurim üldine võim; võivad
tahta ebamõistlikke privileege/kompro-
misse turvalisuse osas, ülehinnata enda
teadmisi/oskusi või langeda lihtsalt
edevuse ohvriks
◊ Tehnoloogia tippspetsialistid – suurim
tehnoloogiline võim, samad probleemid
◊ Tugipersonal (valvurid, riidehoidjad,
koristajad, kullerid…) - vähe võimu,
vähe raha ja paras siiber, aga palju
võimalusi
15. 15
Ajuk… - vabandust,
sotsiaalmanipulatsioon
□
Tüng Shui meister
Hui Junn Laxti õpetab:
”Aktiveerige oma rikkuse-
kolle ükskõik millises rahva-
rohkes ruumis,vehkides seal
tohutu kööginoa ja sildiga,
kuhu on kirjutatud “Andke
kõik oma raha mulle!”.”
◊ Rohan Candappa, “Väike Tüng Shui
käsiraamat”, Tauno Vahteri tõlge
□
Oluline on osata ÕIGESTI küsida
https://www.raamatuvahetus.ee/img/998592696X.jpg
16. 16
Aga päriselt ka
□
Inglise keeles kasutatakse termineid social
engineering ja no-tech hacking:
◊ Pretexting – poosetamine; eelnevalt
kogutud info kasutamine, ettekäänded
ja tõetruu rolliesitus
◊ Shoulder surfing – üleõlapiilumine
◊ Tailgating – sappavõtmine (uksed!)
◊ Dumpster diving – prügistuhnimine
◊ Mimikri ehk omainimeseks kehastumine
□
Loe edasi: Kevin Mitnick, Christopher Hadnagy,
Johnny Long
17. 17
Näitestsenaarium
□
Osakonna raamatupidaja tädi Maalile helistab
„Martin Meri siseauditi osakonnast“. Küsib
järjekorras (ja kiiresti) selliseid küsimusi:
◊ Mitu töötajat on teie osakonnas?
◊ Kui palju on kõrgharidusega töötajaid?
◊ Kui tihti korraldatakse osakonnas
täienduskoolitusi?
◊ Mis on osakonna personalikulude
kontonumber raamatupidamises?
◊ Mitu töötajat on lahkunud viimase aasta
jooksul?
◊ Milline on osakonna üldine tööõhkkond?
□
Mis siin valesti on...?
18. 18
Natuke tehnilisemad
□
Õngitsemine e. kalastamine (phishing) – lihtsamal
kujul lihtsalt rämpsposti abil kirjasaajate
pettaüritamine; kuulus näide on
http://anton.tkwcy.ee/kraam/tekstid/hanza.html
□
Harpuunimine e. suunatud õngitsemine (spear
phishing) – konkreetsele saajale suunatud
pettus; õnnestumistõenäosus on reeglina palju
suurem (ca 10x)
□
Peibutamine (baiting) – pahavaraga nakatatud
andmekandjate (enamasti mälupulkade) jätmine
käidavatesse kohtadesse
□
Kaevumürgitamine (waterholing) – hästi turvatud
ohvri ründamine kehvemini kaitstud partneri
kaudu (ettevõtte töötajad külastavad saiti X)
19. 19
Kuidas vältida?
□
Mitnicki valem… Eriti kaks tagumist punkti
□
Strateegilised ja suure mõjuga otsused kas läbi
mitme inimese või ajalise viivitusega
□
Läbimõeldud töökeskkond (nii füüsiline kui
virtuaalne ruum)
□
Töötajate motiveerimine ja tagasiside
arvestamine
□
Erandid reeglites on… erandid
20. 20
Vahele natuke kurja nalja
□
Netipetturid ja nigeeria kirjad on paras nuhtlus
□
Juba mõnda aega on aga olemas ka vastukaal
– spordiala nimega scambaiting ehk
pätikottimine
□
Eesmärk: mängida pätile võimalikult
loomingulisel viisil potentsiaalset ohvrit (võib
ka mitut korraga), ajada võimalikult palju
kägu ja lõpetada asi suure värvilise tüngaga
□
Vt näiteks whatsthebloodypoint.com,
scamorama.com, 419eater.com
□
Eetilises mõttes täiesti hall tsoon!
21. 21
Üks väga habemega teema
□
Paroolid…
□
Tänapäeval salasõna => salalause (arvutuslik
piir on kusagil 15 märgi kandis)
□
Reeglina ei kirjutata üles ega taaskasutata,
vajadusel võiks aga kasutada parooliseifi
□
Tähendus tegelikult võib olla, kuid algus ei
tohiks anda välja lõppu – üsna hea
keskteevariant on absurdne eestikeelne lause
◊ N: KalaKuumadVedrud (või selle
edasiarendusena Ka!aKuuMaDW3druD.)
22. 22
Tavakasutaja arvutiturve
□
Ära võta liigseid õigusi
□
Paroolid…
□
1 kasutaja, 1 konto
□
Tunne ja kasuta kaitsetarkvara
□
Tea, mis arvutisse on paigaldatud
□
Oska andmekandjatel orienteeruda
□
Uuenda tarkvara regulaarselt (võhik pigem
automaatselt, oskaja pigem käsitsi)
□
Tunne enda arvuti peamisi riistvaraosi
□
E-postimanused…
□
Viitsi uurida ja õppida
23. 23
Soovitusi nutiseadmetele
□
Tuleta endale meelde: nutiseade on arvuti
(seega kõik eelmise slaidi punktid kehtivad)
□
Ava sidekanalid (mobiil-Internet, WiFi,
Bluetooth, GPS) vastavalt vajadusele
□
Ära kasuta vaikimisi ligipääsukoode
□
Kasuta korralikku ekraanilukku
□
Äppe paigalda nii palju kui vaja, nii vähe kui
võimalik – ja enne paigaldamist uuri tausta
□
Kui paigaldad, tee endale selgeks (sh õigused)
□
Meenutus: selles seadmes on mikrofon,
kaamera ja asukohatuvastus!
24. 24
Veebilehitseja kaitsmisest
□
Sajandivahetuse paiku oli tavainimeste
arvutites põhitegijaks kontoritarkvara
(enamasti MS Office)
□
Tänapäeval on põhirolli võtnud veebis/pilves
asuvad rakendused – isegi MS Office on
osaliselt veebi kolinud
□
Paharettidel tasub seega veebibrauseri
“vallutamine” ennast kuhjaga ära
25. 25
Mõned soovitused
□
Tee veebilehitseja osas teadlik valik (mitte “see
tuli arvutiga kaasa”)
□
Tutvu privaatsuse ja turvalisuse sätetega
□
Uuri, milliseid lisapakette on olemas (eriti
turvalisuse osas) ja tee sealt sobiv valik
□
Võimaluse korral reguleeri skriptide
(veebilehtede poolt lehitsejas käivitatavad
programmid) käivitamisõigusi
□
Soovitav oleks lehitsejasse mitte midagi
salvestada (sh ajalugu ja paroolid) –
mugavus kannatab, turvalisus kasvab tublisti
26. 26
Paar mõtet sotsiaalmeediast ka
□
Enamik sotsiaalseid võrgustikke moodustavad
nn usaldusvõrgustikud (sõbralisti liikmed on
„omad“)
□
Kohati kaugelt liiga palju isiklikku infot!
□
Enamik manipulatsioone algab usalduse
tekitamisest – sellise võrgustiku puhul on
väga suur hulk tööd tihti juba ette ära tehtud
□
Suur probleem – teenuste põimumine (“logi
sisse Facebooki või Google’iga”)
□
Gazzag.com'i juhtum 2006. aastal
27. 27
Kokkuvõtteks
□
Natuke “at-at!”-jutt oli, aga vahel on seda vaja
□
Hästi toimiv ja hallatud IT on kratistki vägevam
abiline – aga “äravihastatuna” paneb veel
hullemini maja põlema
□
Põhiline turvaprobleem asub endiselt klaveri ja
tooli vahel
□
“Piisavalt vähetähtsat inimest” pole olemas
□
Mitnicki valemi võiks kõrva taha panna
28. 28
Edasilugemiseks
□
Kevin Mitnicki raamatud (“The Art of
Deception”, “Ghost in the Wires” jt)
□
Johnny Longi “No Tech Hacking”
□
Steven Hadnagy’i “Social Engineering” (ja
https://www.social-engineer.org/)