E-kirjade jälgimine on legaalne nuhkimine



Olen arvamusel, et diskussioon eraelu kaitse üle töösuhetes, on vägagi positiivne. On ju hetkel seda valdkonda reguleeriv seadusandlus üsna vana ja tegelikult on „halli ala“ suhteliselt palju. Näiteks on täielikult reguleerimata töötaja taustakontroll enne tööle võtmist ja tööle võtmise ajal. Mis aga puudutab ettevõtte poolt oma töötajate e-posti jälgimist, siis see on vajalik ja, ehkki servapidi hallis alas, ka juriidiliselt korrektne.

Sisuline külg

Tööandja poolt töötajale kasutamiseks antud vahendid, sealhulgas arvuti, internetiühendus ja e-posti aadress, on tööandja omand. Juhul, kui nendega mingisugune pahandus peaks toimuma, vastutab selle eest tööandja. Loe edasi: E-kirjade jälgimine on legaalne nuhkimine

Suurimad riskid küberturbes

Nagu ma ühes oma eelnevas artiklis mainisin, on veebist lähtuv oht väga suur. Nagu mõned päevad tagasi SANS poolt avaldatud uuringust selgub, on selline risk suurimaks turvaintsidentide põhjuseks.

Oht veebist

SANS uuringu andmetel on tavaline veebilehitsemine turvaintsidendi põhjuseks lausa 60%-l juhtudest. Pahalane kasutab siinjuures ära kas siis lohakalt kirjutatud veebilehte või mõnda veebilehe all oleva tehnoloogia nõrkust, mille kaudu pannakse täiesti legaalsele veebilehele mõni pahavara sisaldav programmijupp, video või dokument. Programmijupp käivitatakse kasutaja veebilehitsejas ning video või dokumendi sees olev pahavara hakkab kasutaja arvutis tegutsema, kasutades ära mõnda kasutaja arvutis oleva tarkvara nõrkust. Siit jõuame kohe ka suuruselt järgmise riskini.

Turvaparandusteta tarkvara

Riski suuruse poolest järgmisel kohal on turvaparandusteta tarkvara kasutamine. Riskantseimad on ses osas Adobe PDF, Apple QuickTime, Adobe Flash ja Microsoft Office. Tõmmates veebist mõne dokumendi või video ning avades selle turvaparandusteta tarkvara abil, on pahalasel võimalus saavutada kasutaja arvuti üle täielik kontroll.

Operatsioonisüsteemi turvavead

Kolmandal kohal on operatsioonisüsteemi turvavead, kusjuures üle 90% rünnetest on suunatud erinevate Windowsi opsüsteemide pihta. Põhiliselt kasutatakse ära mõne laiendusteegi (dll) nõrkust. Vastavalt SANS uuringu andmetele on suurim oht Conficker/Downadup, kuid levivad ka ammu avastatud viirused nagu Sasser (avastatud 2003) ja Blaster (avastatud 2004). See näitab, et kasutajate poolt on turvaparanduste paigaldamine ja turvatarkvara kasutamine väga nigelal järjel.

Soovitused

Pahalaste esmaseks eesmärgiks on arvuti üle kontrolli saavutamine. See annab neile võimaluse jälgida kasutaja tegevust – varastada pangaparoole ja muud isiklikku informatsiooni, samuti saab kontrolli all olevat arvutit kasutada sillapeana järgmiste rünnete tegemisel näiteks (suurema asutuse puhul) sisevõrgu või teiste arvutite vastu. Mida siis teha, et pahalased meie arvuti üle kontrolli ei saavutaks?

  • Kasuta alati turvatarkvara – tulemüüri ja pahavara tõrjujat.
  • Kasuta arvutit alati tavakasutaja (mitte administraatori) õigustes.
  • Tegele regulaarselt turvaparanduste paigaldamisega – jälgi, et opsüsteem ja rakendusprogrammid oleks alati uuendatud.
  • Kustuta arvutist tarkvara, mida ei kasuta – igas tarkvaras avastatakse varem või hiljem mingi nõrkus ning kuhugi kettanurgale ununenud tarkvara muutub ohu allikaks.

Veebirakenduste pidajad peaksid regulaarselt kontrollima oma veebilehti potentsiaalsete ohtude vastu – SQL augud, Cross Site Scriptingu vead, PHP ebaturvalised funktsioonid on pahalaste lemmikud uute sigaduste välja mõtlemisel.

Veidigi suurema võrgu omajad peaksid aga mõtlema juba võrgujälgimise seadmete hankimisele – sissetungi avastamise süsteem (Intrusion Detecrion System- IDS) ja auditilogide pidamise vahendid ei ole enam kallid ning on suurepäraseks abivahendiks kõikvõimalike turvaintsidentide avastamisel.

Refereeritud artikkel

Kokkuvõte 1

Kokkuvõte 2

Kas tead, mida su lapsed tegid möödunud suvel?

Äsja lõppes lastel suvevaheaeg. Kindlasti oli see nende jaoks tore aeg – kes käis malevas tööl, kes maal vanavanemate juures. Palju vaba aega andis ka võimaluse surfata rohkem internetis, mängida online-mänge, kasutada rohkem suhtluskeskkondi. Samas pidid vanemad oma majalaenu ja autoliisingu maksmiseks rohkesti tööd rabama ja nii nappis neil aega oma lastega rääkimiseks milline võiks olla internetikeskkondades sobiv käitumine.

Kas tead, mida su lapsed otsisid möödunud suvel?

Symantec on OnlineFamily.Norton nimelise programmi abiga koostanud Top-100 nimekirja laste poolt kasutatud otsingusõnadest. Võiks öelda, et tulemused on üllatavad. Loe edasi: Kas tead, mida su lapsed tegid möödunud suvel?

Ohud veebilehitsemisel

Vaevu oli Anto Veldre jõudnud avaldada oma artikli veebilehitsemise ohtudest, kui see Delfi poolt üles korjati ja avaldati ka seal. Otse loomulikult olid kohal ka targad, kes väitsid, et tegemist on järjekordse hirmutamiskampaaniaga.

Kuidas aga lood tegelikult on?

Vaatleme kõige lihtsamat arvuti taga tehtavat tegevust – veebilehitsemist. Loe edasi: Ohud veebilehitsemisel

Kuidas tõestada riski olemasolu ja selle suurust?

Käesoleval ajal on turvaanalüütikute suurimaks probleemiks saamas turvariskide tõestamine. Küsimus polegi enamasti selles, kas risk kui selline tegelikkuses eksisteerib, vaid just nimelt see, kui suur on mingi asja sündimise tõenäosus.

Enamasti hindavad turvamehed riske kõrgemalt kui need tegelikkuses aset võiksid leida. Eks niisugusel suhtumisel ole ka omad objektiivsed ja subjektiivsed põhjused. Ühest küljest, nagu ütleb Murphy – kui mingi asi saab metsa minna, siis ta kindlasti sinna ka läheb. Teisest küljest puutuvad turvamehed keskmisest rohkem kokku kõige halvaga ning see muudab nad (võib-olla et ülemäära) paranoiliseks.

Samas kipuvad need, kelle käes on ettevõtte rahakott, hindama riske (oluliselt) madalamalt, kui need tegelikult realiseerima kipuvad. Tüüpiline suhtumine on niisugune, et kui turvamees väidab midagi probleemiks olevat, tahavad otsustajad riski taga näha statistilist tõenäosust ning ütlevad, et ilma kindlate tõendite ja taustsüsteemita peavad nad seda järjekordseks uudiseks kurioosumite rubriigis: „Täna sai jälle üks peasapallur välgulöögist surma“.

Mõnes mõttes on selline suhtumine arusaadav. Kuna turvalisuse esmane eesmärk on halbade asjade ärahoidmine, siis turvameeste korrektse tegevuse korral enamasti midagi ei juhtugi. Samas on turvameetmete rakendamine suhteliselt kallis ja tülikas. Äärmuslikul juhul on sellest tulenev turvalisuse ignoreerimine läinud niikaugele, et firma turvapoliitika ongi: „Ei mingeid turvameetmeid ning kõik kahjud loeme äritegevuse loomulikuks osaks“.

Eriti keerukas on riskide tõestamine arvutiturbe alal. Riskid ise tekivad ja kaovad oluliselt kiiremini ning tagajärjed on, vähemalt esimesel pilgul, palju vähem fataalsed. Näiteks on enamik viiruseid küberkriminaalidele kasulikud esimese 24-48 tunni jooksul. Pärast seda on viiruste signatuurid juba viirustõrjefirmade poolt kirjeldatud, viirustõrje suudab pahalase ära tunda ja eemaldada ning  suurt kahju see  enam teha ei saa.

Samuti ei ole Eesti ettevõtetel ja asutustel kahjuks kohustust raporteerida turvaintside toimumisest. See aga vähendab riskide tead(us)liku analüüsi võimalusi. Eelkõige selles osas, mis puudutab reaalset statistikat selle kohta, mis on ohtlik ja millistele sihtrühmadele.

Nii ongi, et spetsialistid hoiatavad riskide eest ja (tava)inimesed peavad nende hoiatusi lihtsalt hirmutamiskampaaniateks. Tüüpilise näitena võib siinjuures tuua AssaPauk kampaania ja selle kajastusi Eesti blogosfääris.

Kahjuks ei ole mul hõbekuuli probleemi lahendamiseks, kuid arutleda võiks selle üle, kas ettevõtetele või vähemalt riigiasutustele peaks panema kohustuse intsidentidest teavitada (näiteks CERT.EE-d). Teisest küljeks võiks CERT.EE avaldada oma „tormihoiatusi“ kindla regulaarsusega, näiteks igakuiselt. Võib-olla parandaks see otsustajate turvateadlikkust ja riskitunnetust?

Anti-CAPTCHA teenus

Aadressil http://anti-captcha.com/ (95.129.145.16) on hakatud pakkuma CAPTCHA (Completely Automatic Public Turing Test to Tell Computers and Humans Apart) lahtimuukimise teenust.

captcha11

Ehkki esimamulje võib olla selline, et asi toimub automaatselt, pole see sugugi nii. Tekst leheküljel ütleb: „Meiega töötab kümneid tuhandeid inimesi SRÜ maadest, kes on valmis väikese tasu eest teisendama Teie poolt saadetud pildi tekstiks”. Teenuse kirjeldus ütleb, et pilt läheb serverisse, server saadab selle edasi inimesele, need teisendavad selle tekstiks ja siis tuleb teisendatud tekst sama teed mööda tagasi.

Reklaamis lubatakse, et lahtimuukimise aeg ei ületa üldjuhul 20 sekundit ning lahti suudetakse muukida 90-95 % piltidest. Hind pole kõrge – 1 USD 1000 pildi eest. Lisaks lubatakse, et raha tagastatakse ebaõige teksti eest, samuti tagastatakse raha juhul, kui pildi lahtimuukimine võtab aega kauem, kui 60 sek.

Teenuse osutajad väidavad, et nad osutavad teenust ainult tutvustaval eesmärgil ning soovivad demonstreerida, et arusaam CAPTCHA headusest turvavahendina on väär. Teenuse kasutamiseks tuleb ennast registreerida ning registreerida saab ainult kutsetega.
captcha21