Mida paigaldada uude arvutisse?

Arvutikaitse muidugi ei garanteeri, et Jõuluvana teile uue arvuti toob, aga kui see siiski juhtub, tuleks mõelda, kuidas see seadistada nii, et viirused sisse ja isiklikud andmed välja ei trügiks. Jätame sellest ülevaatest välja Mac-id ja Chromebookid – nende turvaloogika on natuke teistsugune. Samuti eeldan, et kasutaja, kelle arvutis jookseb mõni Linux, teab väga täpselt, mida ta teeb ja millest hoidub.

Uus Windowsi-arvuti tuleb tavaliselt juba poes paigaldatud operatsioonisüsteemiga, vähegi viisaka tootja puhul on paigaldatud ka draiverid ning mitte nii viisakate tootjate puhul ka mitmesugused lisa- ja reklaamprogrammid. Viimaste eemaldamisest tulekski alustada.

Kahetsusväärsel kombel kipub selle nn tüütvara (sõnast tüütama) hulka kuuluma ka mitmeid nime pooles turvalisusega tegelevaid rakendusi – viirustõrjujate prooviversioonid, aga ka ketta- ja mälupuhastusutiliidid. Ehkki viirustõrjet on arvutisse kindlasti vaja, tuleks kindlasti hoiduda nendest, mis ise arutisse tükivad. Ühe erandiga – Windows Defender pannakse originaal-Windowsiga kaasa ning see teeb oma tööd võibolla mitte nii ladusalt kui mõne kallima tootja viirustõrje, kuid saab arvuti kaitsmisega üldjoontes kenasti hakkama.

Kas arvutisse peaks paigaldama ka mõne muu viirustõrje? Nagu öeldud, tuleb arvutis juba olemas olev Windows Defender enamiku maailmas ringlevate viirustega toime küll. Kui aga tahta edevamaid funktsoone ning võibolla ka natuke paremat kaitset, võib mõne kogenud tootja pahavaratõrjuja eest natuke raha välja käia küll. Arvutikaitse julgeb viirustõrjetootjatest soovitada F-Secure’i, Malwarebytes’i, ESET’it ja Trend Microt.

Eesti Vabariigi kodaniku (või alalise elamisloa omaniku) elu teeb kindlasti mugavamaks ID-kaardi tarkvara, seda ka juhul, kui teil kaardilugejat pole – aegajalt saadetakse teile ikka mõni digiallkirjastatud dokument, mida avada ja allkirja kontrollida võib ilma olla üsna keeruline.

Brauser on programm, mille seltsis iga arvutikasutaja kipub veetma suure osa, kui mitte enamiku arvuti taga oldud ajast. Windowsiga kaasa tulev Edge on pälvinud teenitud kiidusõnu ning selle turvalisusega pole samuti suuri probleeme olnud. Kui aga olete paranoilisem või tahate kasutada rohkem/paremaid pluginaid, võib installerida näiteks Brave’i või siis äraproovitud Firefoxi koos asjakohaste turvapluginatega.

Ka tavapärase brauseri, näiteks Chrome’i saab laiendustega muuta turvalisemaks. Näiteks korjab reklaamiblokeerija lisaks reklaamidele maha ka paljud õngitsuskatsed – nagu näiteks õngitsemised stiilis “Oled võitnud uue telefoni! Kliki siia, sisesta oma andmed ja saa oma auhind kätte!” Parimaks reklaamiblokeerijaks loetakse jätkuvalt uBlock Origin’i (saadaval paljudele erievatele brauseritele).

Teine brauseritega (ja mitte ainult nendega) kaasnev tüüpiline häda on vajadus hoida meeles kümneid, kui mitte sadu erinevaid paroole ja neid aegajalt vahetada. Tegemist ei ole kasutajate kiusamisega – maailmas ringleb ilmselt tuhandeid paroolinimekirju, mis on kas kusaglit lekkinud või lihtviisiliselt ära arvatud, seega tulebki kasutada erinevates keskkondades erinevaid paroole ning neid ka aegajalt vahetada. Selle töö muudab lihtsamaks paroolihaldur, mida võib paigaldada nii brauserilaienduse kui eraldiseisva rakendusena. Sellised on näiteks Lastpass või Keepass.

Turvaprobleemiks kipub kujunema ka PDF-failide lugeja – Adobe Acrobat Reader on oma turvaaukude poolest kurikuulus ja Arvutikaitse soovitab selle oma arvutist pigem eemaldada. PDF-dokumentide avamisega tuleb kenasti toime ka Windowsiga kaasa pandud Edge või mõni teine brauser.

Koodikaardiga ei saa enam e-teenustesse siseneda

Tänasest alates ei saa enam e-teenustesse koodikaarti kasutades sisse logida. Kui Sa senini kasutasid e-teenustesse sisenemiseks pangalinki ja panka sisenemiseks koodikaarti, siis tänasest alates saab e-teenustesse siseneda vaid ID-kaardi, mobiil-ID, Smart-ID või PIN-kalkulaatori abil.

Allikas: https://www.id.ee

 

Kuigi koodikaarte näevad paljud kui mugavaimat autentimisvahendit kuna Sul on kõik koodid ühes kohas ning Sa ei pea ID-kaarti lugejasse sisestama ega telefoni ega PIN-kalkulaatorisse veel eraldi koodi sisse toksima. Siiski tähendab see, et paroolikaarti on ülimalt lihtne nii koopiamasinat kasutades kui ka telefoniga pildistades kopeerida ning see teeb temast nõrgima turvalisusega isikutuvastamisvahendi.

 

 

Koodikaardi pildistamiseks kulub vaid mõni sekund

 

Turvaliste autentimisvahendite plussid, miinused ja lisainfo leiad allolevast tabelist (Allikas: SEB koduleht)

 

 

 

 

 

Kas minu ID-kaarti on kuritarvitatud?

Seoses täna avalikustatud haavatavusega ID-kaartide kiipides tasub aeg-ajalt kontrollida, milliseid tehinguid minu digitaalse identiteediga tehtud on. Seda saab teha SK kodulehel (päring võib seoses lähipäevade suure koormusega ajutiselt mitte töötada). Vaadata saab oma ID-kaardi, Digi-ID ja Mobiil-ID-ga tehtud autentimisi ning allkirjastamisi. Toimingute andmed ei ole reaalajas, neid kuvatakse umbes 24-tunnise hilinemisega.

Vaata ka lisainfot www.id.ee lehel.

E-valimiste turvalisusest

Anto Veldre kommenteerib väiteid kohe-kohe toimuvate Europarlamendi valimiste e-hääletuse turvalisuse osas ning avab veidi ka e-valimised ära jätta soovitanud ekspertide tausta.

Kokkuvõtvalt ütleb Anto järgmist:

1. Kriitika Eesti e-valimiste aadressil on pigem PR-projekt kui tõsine tuvaanalüüs.

2. Kriitikud on esitanud üldsõnalisi kirjeldusi ründe võimalikkusest, kuid pole suutnud anda Vabariigi Valimiskomisjonile selle tehnilist kirjeldust.

3. Kriitikute väide, et hääletaja arvuti võib olla nakatunud pahavaraga, on hääletuse korraldajate jaoks aktsepteeritav risk, mis Eesti küberhügieeni oludes on nagunii küllalt madal. Pealegi aitab riski vähendada PIN-padiga ID-kaardi lugeja ning iga arvutikasutaja mõistlik arvutikäitumine.

4. Kõigil neil, kes oma arvuti turvalisuses kindlad pole, on alati õigus ja võimalus minna valimisjaoskonda ja hääletada seal.

5. E-hääletus eestis ja USA-s on kaks täiesti erinevat nähtust. Esiteks hääletatakse Ameerikas valimisjaoskonnas ja eraldi hääletusmasinatega, mis tõepoolest pole kuigi turvalised. Teiseks puudub Ameerikas meie ID-kaardi sarnane süsteem kodanike elektrooniliseks identifitseerimiseks, nii et neil seal pole meie internetihääletuse sarnane süsteem võimalikki. Ameerika kogemuse Eestisse ülekandmine pole seega asjakohane.

6. Meie, eestlaste, ajalooline kogemus on, et hoopis pabervalimisi on hõlpsam võltsida.

7. Vaatamata OS ja riistvara riskidele on võimalik selle peale siiski ehitada tarkvara ja protseduurid, mille omanik on Eesti riik ning sidekanal Internet. Igast riiklikult olulisest liigutusest jäävad logid, e-hääletust tagavad kümned IT-inimesed. 

ID-kaardi tarkvara paigaldamise kaks tüüpilist viga

1Üsna sageli küsitakse minult nõu, mida teha siis, kui ID-tarkvara installeerimise ajal visatakse lahti aken kirjadega „Service Smart Card (SCardSvr) failed to start. Verify that you have sufficient privileges to start system services“ või „Service Ceritificate Propagation (SertPropSvc) failed to start“. Vajutades „Retry“ avaneb sama aken uuesti ja tarkvara installeerimist ei viida lõpule.

2

Loe edasi: ID-kaardi tarkvara paigaldamise kaks tüüpilist viga

SSL turvaauk – kuidas töötab

4. novembril aadressil http://extendedsubset.com/ publitseeritud info SSL protokolli nõrkuse (“SSL Authentication Gap”) kohta on leidnud elavat vastukaja, Internet kubiseb blogijate postitustest ning on olemas ka kodumaine näide.

Ette rutates võib öelda, et soovitus ID-kaardid sahtlisse panna on enneaegne. Kliendituvastusega (client authentication) SSL/TLS protokolli kasutamine on ja jääb alati turvalisemaks kui ilma selleta. Paneme tähele, et kõik teised autentimisvahendid (paroolikaart, PIN-kalkulaator, Mobiil-ID) ei kasuta kliendituvastusega SSL protokolli ning on seetõttu olulisel määral rohkem altid vahemehe (Man-in-The-Middle) rünnakutele, kus ohver juhatatakse võltslehele ning vahendatakse sobivalt tema suhtlust „pärislehega“.

Milles siis jutu all olev nõrkus seisneb?  Olukorra lihtsustamiseks vaatleme näidet, kus SSL veebiserver on konfigureeritud aktsepteerima ID-kaarti, kuid see ei ole „kohustuslik“, s.t. eksisteerib serveri alamosa, mida saab kasutada siis, kui ID-kaardiga ei ole autenditud või autentimine ebaõnnestus. Nii on meil konfigureeritud enamus veebiservereid, kuna kasutajasõbralikkuse huvides on ID-kaardiga autentimise ebaõnnestumise korral ilus näidata browser error’i asemel mingit ilusamini kujundatud pilti.

Nende kahe SSL oleku (on klient autenditud või ei) vahetamist nimetatakse SSL renegotiation’iks ehk siis maakeeli „ümberleppimiseks“. Häda on nüüd selles, et enamus SSL realisatsioone ei pea järge selle üle, kas ümberleppimise-eelne sessioon oli sama mis ümberleppimis-järgne.

Kujutame nüüd ette olukorda, kus ohver alustab serveriga sessiooni nii, et kliendituvastust veel ei nõuta. Kommunikatsioonikanalil asuv ründaja aga varastab selle sessiooni ning asub suhtlema ohvri eest. Peale SSL ühenduse saavutamist teeb ründaja päringu, mille täitmiseks server nõuab kliendituvastust. Hakkab toimuma ümberleppimine, ründaja annab nüüd „otsad ära“, vahendades pakette edasi-tagasi, ja laseb ohvril sooritada kliendi autentimise. Peale edukat autentimist on aga serveril kohustus täita esitatud päring (mida ründaja tegi). Päringu tulemused kuvatakse muidugi ohvrile, ründaja neid enam ei näe.

Tüüpiliselt kasutatud näide on see, kui ohver on näljane ning teeb päringu:

GET /pizza?täidis=kana?aadress=Kana8 HTTP/1.1
Cookie: minuküpsis

Singilembeline ründaja aga topib selle päringu ette paar rida (ilma reavahetuseta lõpus) ja tulemus on:

GET /pizza?täidis=sink;aadress=Kurja3 HTTP/1.1
X-Ignore-This: GET /pizza?täidis=kana?aadress=Kana8 HTTP/1.1
Cookie: minuküpsis

Tulemuseks saab ohver jahmatava kinnitusteate väärastunud soovi kohta, kurjam aga võib palvetada (kuna ta serveri vastust ei näe), et kunagi tasuta pizza tuleb. Rohkem ründaja selles seansis osaleda ei saa.

Paneme tähele, et sellise ründe edukus sõltub mitmest asjaolust:

  • Ründaja peab asuma ohvri ja serveri-vahelise kommuikatsioonikanali vahel, s.t. ründajal peab olema kontroll mõne marsruuteri või tulemüüri üle ning olema võimeline manipuleerima seal infovooge. Lihtsalt ohvriga samas kohtvõrgus viibides võiks see ka teoreetiliselt võimalik olla kuid praktikas on rünne kohtvõrgust väga väikese õnnestumise tõenäosusega.
  • Server aktsepteerib GET-päringuid, mille esmakordse töötlemise tulemuseks on kohe reaalne tegevus (s.t. pizza pannakse teele).
  • Server peab olema konfigureeritud nii, et ta suhtleks nii ID-kaardiga autendituna kui ka ilma ning seetõttu SSL ümberleppimine on võimalik.

Kokkuvõtteks võib öelda, et ajalugu on näinud palju hullemaid SSL turvaauke, kummatigi pole maailm veel kokku vajunud ning tundlikud e-teenused eksisteerivad edasi. Eriti paranoilistele e-teenuste pidajatele võiks aga soovitada seda, et ID-kaardi autentimist kasutav e-teenus asuks eraldi IP-aadressil ning kliendituvastus oleks konfigureeritud kohustuslikuks. Võib-olla kaalub 100% turvalisus (antud puuduse mõttes) üles kasutaja frustratsiooni, kes autentimise ebaõnnestumise korral browser error’i saab.