Veebilehitsejate turvalisus

1.brauseridTänapäeval müüakse üsna palju arvuteid, millesse on tarkvara juba eelnevalt installeeritud. Kasutajatele on see suureks eeliseks, kuna ei pea enam operatsioonisüsteeme ise paigaldama ja võidakse kohe läbi interneti maailma vallutama minna. Ent vähesed hindavad selle juures kõigepealt riske – mis tarkvaraga on tegemist ja kui turvaliseks on see konfigureeritud, et internetist tulevatele rünnakutele vastu seista.

Näiteks Microsofti operatsioonisüsteemidega kaasneb automaatselt veebilehitseja Internet Explorer. Paljud jäävadki seda kasutama, ent teadlikumad tirivad selle kõrvale alternatiivina mõne teise brauseri , näiteks Mozilla Firefoxi , Opera,  Google Chrome’i jne. Ent paraku just siin tehaksegi eksiarvestus, et sellega on ka kogu turvalisus tagatud. Tegelikult aga ei Internet Exploreri ega ka teiste brauserite vaikesätted pole vaikimisi turvaliseks seatud, vaid seda tuleb ise teha. Loe edasi: Veebilehitsejate turvalisus

Tasuta süsteemitaastaja Macrium Reflect

Aasta algul kirjutasin ülevaate Acronis True Imagest, mida isiklikult pean  turulolevatest parimaks kahjustatud süsteemi taastajaks.  Ent maitsed ja arvamused on erinevad – mõnele tunduvad Acronise tooted ka samm-sammult õpetust järgides  liialt keerulised, pealegi maksavad nad mitu raha. Praegusel majandussurutise  ajal  on  siiski kõige otstarbekam tutvustada mõnda tasuta pakutavat süsteemiennistajat, millel küll võrreldes tasuliste versioonidega puuduvad mitmed lisavõimalused, ent sellegipoolest teevad nad oma töö stiilselt ära. Loe edasi: Tasuta süsteemitaastaja Macrium Reflect

Rünnete ennetamine Linux ja Mac keskkonnas

Eelmisel korral kirjutasin rünnete ennetamisest Windows keskkonnas. Windows ei ole aga mitte ainus keskkond, mida rünnatakse. Järgnevalt teen ülevaate, kuidas ennetada ründeid Linux, Mac ja BSD keskkondades.

Elementaarne turve

Kui Windows puhul näib loomulik, et arvutis on olemas nii personaalne tulemüür kui ka antiviirus (ning pahavara vastane rakendus), ei ole need rakendused sugugi mitte levinud teistes keskkondades. Elementaarne tulemüür on siiski enamikes olemas, kuid tavaliselt piirdutakse ip või pordi järgi siseneva liikluse filtreerimisega. See ei ole tihti siiski piisav ning soovitav on omada tulemüüri, mis kontrollib suhtlust ka rakenduste järgi ning võimaldab filtreerida väljuvat suhtlust. Tegelikkuses on see kõik võimalik ka operatsioonisüsteemidega Linux ja BSD tihti kaasas oleva iptables tarkvaraga, Maci tulemüür aga nii detailset konfigureerimist ei toeta. Linuxi tavakasutajatele mõeldud distributsioonid sisaldavad tihtipeale ka graafilist rakendust tulemüüri seadistamiseks ning mõnel juhul on ka vaikimisi seadistus juba päris korralik. Sealjuures on kasutajaliides tihti sarnane Windowsi tulemüürile, mis küsib väljuva võrguliikluse korral kasutajalt, kas ta soovib rakendust võrku lubada. Maci tulemüüri seadistamise juhendi leiate siit, iptables seadistamise graafilise rakenduse Firewall Builder kohta leiate infot siit.

Linuxi (ja kohati ka Mac) kasutajate seas on levinud arvamus, et nende platvormi niikuinii ei rünnata, mistõttu pole ka arvutit aeglasemaks tegevat antiviirusprogrammi vaja. See arvamus kaob pärast paari intsidenti viiruse või kahtlase võrguliiklusega (Linux ja Mac on eelistatud/levinud botnettide juhtimisserverite platvormid). Parem on olla valmis ning kasutada antiviirusprogrammi – see võib leida üht-teist huvitavat ja teie jaoks tundmatut teie arvutist. Antiviirusprogramme on nii Linux-le, BSD-le kui ka Mac-le mitmeid, sealjuures ka vabavaralisi. Valiku vabavaralisi antiviirusprogramme võite leida VabaVaraVeebist. KDE kasutajate jaoks on tõenäoliselt mugavaim kasutada KlamAV-d, Gnome kasutajate jaoks ClamTk-d. Mõlemad neist on ClamAV graafilised kasutajaliidesed. ClamAV omab versioone ka Windowsil, Solarisel ja mitmetel teistel operatsioonisüsteemidel (Mac-i tuge tal pole). Tuntuim vabavaraline Mac antiviirus on iAntivirus, mille leiate siit. Veel aasta tagasi soovitas Apple Mac OS kasutajatel kasutada Mac OS platvormil korraga vähemalt kahte erinevat antiviirusprogrammi. Nüüdseks on soovitus muutunud ning soovitatakse kasutada vähemalt ühte antiviirusprogrammi.

NX/XD bitt (riistvaraline DEP)

Windowsis vastas protsessori NX (No eXecute) / XD (eXecution Disabed) võimalusele DEP (Data Execution Prevention) tehnoloogia. NX/XD tähistab protsessori oskust eristada käitatavaid andmeid mitte-käitatavatest (kirjutatavast mäluosast).

NX/XD bitti toetavad nii BSD, Linux kui ka Mac OS. Erinevalt Windowsist, kus biti kasutamine on lihtsalt sisse-välja lülitatav, oleneb nii Linux kui Mac OS puhul biti kastumine kasutatavast tuumast. Uuemad Mac OS X-d (alates versioonist 10.5) on NX biti kasutamine sisse lülitatud, vanematel see puudub (10.4.4 omas piiratud NX biti kasutamise tuge). Ka uuemad Linuxi distributsioonid omavad NX biti tuge, kuid tihti on see tuumas välja lülitatud, et tagada paremat ühilduvust vanema riistvaraga. Näiteks on Fedora Linux puhul NX biti kasutamiseks vajalik vaiketuuma (kernel) asendamine “kernel-PAE” paketiga. Linuxi distributsioonide turvatud (hardened) versioonid reeglina kasutavad NX bitti. Uuemad BSD distributsioonid (alates FreeBSD 5.3 ja OpenBSD 3.4) kasutavad NX bitti.

Seega lihtsam viis kontrollimiseks, kas teie Linux, Mac OS X või BSD kasutab protsessori pakutavat NX bit tuge, on kontrollida oma operatsioonisüsteemi (või selle tuuma) versiooni ning vajadusel uuendada seda. Riistvaralise DEP-i kasutamise ja sisse lülitamise kohta saab lugeda ka NSA juhendist.

Kasutajakonto turve

Peamine reegel kasutajakontode kasutamisel on, et alati tuleks kasutada kasutajakontot, millel on igapäevategevusteks piisavad õigused ja vähe õigusi, mida igapäevaselt ei kasuta. See tähendab, et arvuti igapäevaseks kasutamiseks peaks alati kasutama piiratud õigustega kasutajakontot, mitte administraatori (root) kontot. See vähendab võimalust, et sinu külastatava veebilehe või avatava e-kirja (või käivitatava programmi) tulemusel saab ründaja või pahavara ligi sinu operatsioonisüsteemi kriitilistele osadele ning ei põhjusta süsteemi töökõlbmatuks muutumist.

Peaaegu kõigis uuemates operatsioonisüsteemides on võimalik käivitada rakendusi mõne teise kasutajana kui aktiivne töölaua kasutaja. Nii on Windowsis käsk runas (menüüvalik “käivita kui …”) ja Linuxis käsk su (ja selle sarnased sudo, kdesu jt.). Nende käskude kasutamine on eelistatud viis operatsioonisüsteemi konfigureerimistegevuste teostamiseks (sh. uute rakenduste paigaldamine). Viimasel ajal on populaarne automaatne administraatori konto andmete küsimine juhul kui operatsioonisüsteem tuvastab, et rakendus vajab  administraatori õigusi. Tihtipeale on selline küsimine seotud tegevustele kinnituse küsimisega. Windowsis nimetatakse sellist käitumist UAC-ks (User Access Control), kuid selline käitumine on olemas ka turvalisusele orienteeritud Linuxi versioonides (sh. Fedora Linux).

Kokkuvõtteks

Kuigi Linux, BSD ja Mac OS X puhul ei räägita palju rünnete ennetamise tehnoloogiatest nagu DEP, UAC, ASLR jt., on neil vastav tugi olemas. Nende tehnoloogiate kasutamine on aga vähem tähele pandav kui Windowsi puhul. See tähendab, et nende võimaluste sisse/välja lülitamine või töös oleku kontrollimine on tihti keerulisem või lausa võimatu. Seega eeldab näiteks Linuxi turvaline kasutamine enamasti paremaid teadmisi operatsioonisüsteemi ja süsteemsete rakenduste kohta, kui Windowsi (või Mac OS X) turvaline kasutamine.

Suurim probleem Linux, BSD ja Mac OS X platvormidel on vähene pahavara vastaste rakenduste (nt. antiviirused, pahavara eemaldajad) levik. Seda peamiselt seetõttu, et neid platvorme reklaamitakse kui pahavara vabasid, mida nad tegelikult ei ole. Kaspersky Labs asutaja Eugene Kaspersky ennustab nendel platvormidel pahavara leviku kiiret kasvu juba lähitulevikus. Sama meelt on ka mitmed teised turvakonsultandid, kelle arvates ei ole Linux, BSD ega Mac OS X kasutajaskond veel ületanud piiri, millest alates nende ründamine annab märgatava tulemuse. Seega tuleks nende platvormide kasutajatel kindlasti veenduda, et nad kasutavad antiviirust, tulemüüri ja administraatori konto on kasutusel vaid eriolukordades (nt. uue rakenduse paigaldamine või olemasoleva ümber konfigureerimine või eemaldamine).

Andmefailide ehtsuse kontrollimine

Viimasel ajal on teravalt päevakorda kerkinud  teemad, kui  kasutajad tirivad juhuslikult veebilsaidilt või ka torrentitest ja P2P programmidega1.encryption arvutisse faile, mida peetakse ehtsaks, ent paraku on sellesse peidetud pahatahtlik kood.

Mis kood see on ja mis on selle ülesanne, selgub tavaliselt alles hiljem, kui viirusetõrje spetsialistid on selle kindlaks teinud.  Siis võib aga hilja olla, kuna trooja, viiruse või muu pahalase esimene ülesanne on juba täidetud -  kas on siis varastatud kasutajate privaatseid andmeid, näiteks pangaparoole ja –koode,  või lülitatud kasutaja arvuti botnet võrgustikku.  Kõik oleneb nüüd kurjategijast endast, mis ta saadud andmetega või kaaperdatud arvutiga edasi teeb – võibolla hakkab ta ise vähehaaval kasutaja pangakontot tühjendama, võibolla aga  soovib korraga suuremat noosi  saada ja müüb näiteks nakatunutest arvutitest moodustunud võrgu edasi teistele kuritegelikele gruppidele. Pole teab mis suur saladus, et internetisügavustest võib leida poode, kus kaubeldakse just nende samade kasutajatelt  varastatud andmetega või tuhandetest arvutitest koosnevatest zombie-võrgustikega.

Mis on hash

Mõned väljavõtted Valdo Praust loengukursusest:

Krüptoräsi ehk krüptograafiline sõnumilühend (cryptographic message digest, hash, fingerprint, thumbprint)  on ükskõik kui pikast sõnumist (failist) teatud matemaatiliste eeskirjade järgi arvutatav lühike (paarsada bitti) teabekogum. Loe edasi: Andmefailide ehtsuse kontrollimine

Microsoft Security Essentials

Aare kirjutas, et jaanipäevaks üllitab Microsoft beetaversiooni oma uuest tasuta viirusetõrjest ja nii see oligi. Kuna mu näpud 1.MSEiconsügelevad igat uut programmi katsetama, siis tõttasin minagi seda kohe tirima.

Valmistusin halvimaks, kuna Microsofti saamatusest räägitakse legende, ent seekord üllatusin positiivselt. Ainuke asi, mida Security Essentialsi juures võib väikeseks miinuseks pidada, on paigaldusfaili enda arvutisse saamine, mis võib ehk mõne kärsituma kasutaja sellest loobuma panna. Keerulist siiski midagi pole, tuleb vaid läbida 12 erinevat  sammu, mis võtab aega kuni viis minutit. Seda muidugi juhul, kui ikka väga põhjalikult süvenetakse tingimustesse. Loe edasi: Microsoft Security Essentials

Web Of Trust

Veebis surfates tunneme end tavaliselt turvaliselt. Näiteks igapäevaselt külastatavatel lehtedel nagu hot.ee või neti.ee

Viimasel ajal on aga sagenenud juhused, mil usaldusväärselt internetileheküljelt toimub ümbersuunamine viirust kandvale leheküljele. Samuti ei saa me kindlad olla, et igapäevaselt külastatavad lehed on ikka turvalised ning pole ära kräkitud. Näitena võib tuua hiljutisi probleeme http://www.smartad.ee/ reklaamiskriptidega erinevatel lehekülgedel. Nende peale andsid häiret nii AVG kui ka Bitdefenderi viirustõrjed. Järgnes muidugi sõim veebilehtede omanike aadressil, et nende leht on nakatunud. Skript sisaldas vigast koodi ja viirustõrjed märkisid selle  iFramer troojaks. Tegelikult oli tegemist valehäirega (false positive), Smartad parandas oma skripti ning tänaseks on probleem unustatud.

Kuidas aga kindlaks teha, kas tegemist on usaldusväärse veebilehega või peaks olema ettevaatlik? Loe edasi: Web Of Trust