CERT Eesti saatis meile nõuandeid algavaks puhkustehooajaks:
Hoolimata ilmataadi tembutustest on ilmselge, et suvi tulemata ei jää. Suvega kaasnevad paratamatult puhkused, ununenud paroolid ja alalõpmata kadunud IT hooldustehnik, kellele helistades kostab tavaliselt taamal kohin, mille ta serveriruumi konditsioneeriks nimetab, ent mis meenutab pigem merd … Enne lühikese, ent vihmase puhkuse nautimist soovitaks mõelda mõnedele nippidele, mis aitavad puhkust turvalisemalt veeta.
Eesti pangad pakuvad konto seisu muudatustest teavitavaid SMS-sse, soovitaks selle kindlasti tellida, vähemalt puhkuseperioodiks. Kui pahalased peaks oma valdusesse saama teie pangakaardi või tegema sellest koopia, annab see võimaluse neil sabast kinni saada enne, kui suurem häda sündida jõuab. Krediitkaardi puhul tuleks kindlasti jälgida väljavõtteid, mis esitatakse enne igakuist arveldamist.
Aktiivse netitegevuse käigus võib teie valdusesse sattuda parooli all olevaid pakitud faile, millele lisatud tekstis palutakse faili lahtilukustamiseks käivitada lisatud abifailike, olgu tolle nimi siis “Password Generator.exe” või muu sarnane. Kuigi selle .exe käivitamine varustab teid tõenäoliselt vajaliku parooliga, võib peale seda teie arvutisse jääda tegutsema soovimatu lisaprogramm – lihtsam on vältida probleeme ja kustutada kohe need failid, mis vajavad kasutamiseks selliseid lisaliigutusi. Veel parem on selliseid faile netist üldse mitte tõmmata, vaid netisurfamise asemel tegeleda päris surfamisega 😉
Just äsja avaldas Microsoft turvapaigad enda toodete kasutajatele – kindlasti tuleks paigad peale panna. Seda kasvõi sellepärast, et kriitiliseks on märgitud pea igale kontorirotile tuttav rakendus Word. Lisaks Wordile olid parandused kriitilistele vigadele andmebaasimootoris Jet ja küljendusprogrammis Publisher.
Kuna tavaliselt muutub suvel erakordselt populaarseks kaugtöö, siis tuleks selleks võimaluste (VPN, SSH vms) loomisel kindlasti mitte eirata elementaarsed tõdesid ja soovitusi:
- kontorivõrgule ligipääsemiseks antud paroolid ei tohi olla triviaalsed (nt. kasutaja “jaan” parool “jaan”);
- ligipääsuks sobilikke kasutajanimesid-paroole ei tasu kirjutada toredatele kollastele kleepekatele ja kleepida need arvuti külge;
- kontod, mis loodud vaid selleks otstarbeks, et kontorivõrgule ligi pääseda, peaksid aeguma mõistliku aja jooksul automaatselt;
- võimaluse korral peaks vältima kontorivõrgule ligipääsu võimaldavate võrgusõlmedega ühendumise lubamist kogu maailmast;
- parooliproovimised peaksid lõppema peale paari ebaõnnestunud katset kas konto lukustumise või paroole proovivale internetiaadressile ligipääsu piiramisega.
Turvalisuse maailmast on pommuudis Debiani äpardus openssl paketi muudatustega. Need muutsid potentsiaalselt haavatavaks kõik Debiani openssl-i abil genereeritud sertifikaadid. Uued sertifikaadid peaks genereerima siis kõik need, kes kasutasid selleks Debiani openssl-i, mis on avaldatud peale 2006nda aasta septembrit ja on hilisemad kui versioon 0.9.8c-1.
Vabavara pooldajatele on positiivne uudis avatud koodiga kontoritarkvara OpenOffice kolmanda versiooni proovivariandi avaldamisest. Kõigile proovida soovijatele on pakett allalaetav aadressilt http://marketing.openoffice.org/3.0/announcementbeta.html.
CERT Eesti soovib kõigile mõnusat suve algust ja turvalist puhkust.
Sellest konto muudatuste teatamisest SMS-iga ei ole kasu siis, kui varas ostab minu kaardiga poest. Asi selles, et see summa algul broneeritakse, kus ta võib seista õige mitu päeva, vahest isegi nädala. Alles siis, kui broneeringust on raha üle kantud, teatatakse sellest SMS-iga. Niimoodi on see vähemalt SEB pangas. Hea oleks, kui SMS saabuks kohe siis, kui ost on sooritatud. Siis saaks küll kiirelt jälile.
Vähemalt Hansas on kontoseisu muutumisest teavitamise sms hind 3 eeku kord.
Kui nüüd kogu eesti jälgib CERT Eesti soovitust, siis on see päris kena nuts pankadele.