SpeedTouch’i vaikeseaded tuleb kindlasti muuta!

Juba mõnda aega on liikvel võtmegeneraator, mille abil saab SpeedTouch´i WiFi ruuteri SSID-st tuletada ruuteri poolt kasutatava WEP-i võtme. SSID on ruuteri poolt avalikult väljakuvatav võrguidentikaator, WEP-i võtit teades aga võib nii ruuterisse siseneda kui ka ruuteri ja selle kaudu internetti ühendatud arvuti võrguliiklust pealt kuulata.

Suuremad võrguteenuse pakkujad, kes varustavad oma kliente ka vajaliku riistvaraga, lasevad näiteks ruuterid juba tehases eelnevalt seadistada (kui kasutusse läheb sadu või isegi tuhandeid seadmeid kuus, käib seadmete individuaalne konfigureerimine ISP-le lihtsalt üle jõu). Tehastes aga on seadistamisprotsess automatiseeritud, iga seadme muutuvad parameetrid (MAC-aadress, SSID, krüptovõti) genereeritakse teatud algoritmi järgi. Näib, et häkkeritel õnnestus SpeedTouch’i installeerimisrakendus lahti võtta, krüptovõtme tuletamise algoritm teada saada ning kirjutada selle põhjal programm, mis suudab SSID järgi krüptovõtme tuletada. Võtmetuletusgeneraator on internetis vabalt kättesaadav.

Eestis tarnib SpeedTouch´i ruutereid oma klientidele näiteks Elion, kes soovitab seadme kasutusjuhendis võimalusel kasutada WPA krüpteeringut, MAC-i põhist filtrit ning võrgu nimi ära peita. Arvutikaitse omalt poolt soovitab käsitleda mistahes vaikeseadmetega võrguseadmeid kui turvariski. Esimeseks mureks pärast vastsoetatud ruuteri käivitamist olgu ikka administraatori- ja võrguparoolide muutmine! Samuti ei tasu loota ka muudetud seadetega WEP-i turvalisusele – ka nn toore jõuga kulub selle krüpteeringu murdmiseks vaid minuteid. Samas soovitan neil, kes ülalviidatud võtmegeneraatorist teavad, seda mitte kasutada – arvuti, arvutisüsteemi või arvutivõrgu ebaseadusliku kasutamise eest koodi, salasõna või muu kaitsevahendi kõrvaldamise teel on ette nähtud kuni kolmeaastane vabadusekaotus (KarS § 217).

Tänud wifi.ee-le tähelepanu juhtimise eest. Muide, tehase vaikeseaded, mis võimaldavad ruuterisse sisse murda, pole ainult SpeedTouch’i probleem, sama mure on esinenud ka mõnede Linksys’i ja Netgear’i vanemate mudelite juures.

Täna, viisteist aastat tagasi

Hoolimata valdopandilikust pealkirjast ei soovi ma vaadelda konkreetset päeva, vaid seda ajajärku veidi laiemalt. Umbes viisteistaastat tagasi – 90-ndate alguses – oli Eestis organiseeritud kuritegevuse hiilgeaeg. Põhilised tuluartiklid olid räkit, prostitutsioon, relvakaubandus aga samuti ka salaviin ja -sigaretid. Grupeeringute vahelised arveteõiendused olid üsna igapäevaseks nähtuseks – Vabaduse Platsil plahvatasid pommid ning Mustamäel harrastati laskeharjutust “jooksev inimene”. Aastal 2008 paistab olukord olevat tunduvalt rahulikum, kuid kas ikka on?

Kuna igasuguse kuritegevuse puhul on tegemist peamiselt sotsiaalmajandusliku nähtusega, siis kirjeldan meeldetuletuseks lühidalt toonast olukorda. Viisteist aastat tagasi oli eesti riik veel väga noor. Seadusi polnud eriti veel jõutud kehtestada ja isegi neid, mis olid, ei järgitud, kuna korravalveorganid olid vastloodud ja veel nõrgad. Vene väed olid lahkumas ning lahkudes üritasid nad võimalikult palju maha müüa – käsirelvad ja nende laskemoon olid kaalukaup, samuti võis rahulikult osta tanke, suurtükke ja isegi lennumasinaid. Ettevõtlus oli väga noor – nõuka aja lõpust pärinevad kooperatiivid hakkasid ümber formeeruma aktsiaseltsideks ja osaühinguteks. Peamine oli metalliäri – seda aeti igasuguste vahenditega, küll legaalsete ja mittelegaalsetega. Metalli kokkuostupunkte oli isegi kesklinnas, näiteks praeguse Norde Centrumi kohal oli lausa kaks tükki.

Organiseeritud kuritegevuse üks kurikuulsamaid sissetulekute allikaid on olnud räkit ehk nn. “katuse pakkumine”. Asja olemus oli lihtne – astusid mingid tüübid firmasse sisse ning pakusid kaitset, kuna vastasel korral võib juhtuda väga imelikke asju. Ehkki vahel astuti sisse ka täiesti suvalisse firmasse, valiti ohvrid üldjuhul siiski sellised, kus liikus eeldatavasti palju sularaha ning kel seetõttu võis riigi ees olla täitmata kohustusi (näiteks maksmata maksude näol). Põhjus selliseks valikuks oli lihtne – taoliste firmade juhid ei julgenud politsei poole pöörduda, kuna kardeti teist laadi pahandusi. Juhul, kui omanik näitas selgroogu, siis oli tavaliseks “korralekutsumise” meetodiks kas äri põlema panemine või õhkulaskmine. Tulemuseks oli see, et äritegevus oli mõneks ajaks peatatud ning sellele lisandus ka taastamise kulu.

Prostitutsioon oli sel ajal pool-legaalne tegevus. Otseselt tänaval klientide püüdmist ei olnud, kuid ööklubides ja hotellides oli pakkujaid päris palju. Samuti toimus pakkumine taksojuhtide ja ajalehekuulutuste kaudu. Teenuse enda osutamine toimus majades või korterites või sõideti kliendi juurde välja.

Läbi aegade on organiseeritud kuritegevus tegelenud relvakaubandusega. Endise N-Liidu territooriumil oli „tooraine” hankimine eriti lihtne, kuna lahkuvad väeosad jätsid maha või müüsid väga palju varustust ja sõjatehnikat. Kauba müük toimus pool-avalikult. Näiteks Keskturul oli teatav putka, kus müüja käest võis küsida ja saada peaaegu kõike.

Suur osa piraatkaupade vahendamisest oli organiseeritud kuritegevuse kontrolli all. Sel ajal olid põhilisteks kaubaartikliteks Nike’i toss ja Adidase dress, kuid samas olid ka helikassetid ja CD-d. Lisaks võiks nimetada ka võltsitud krediitkaartide äri, mis eestis ei olnud küll eriti levinud.

Kuid milleks rääkida, kohas, kus käsitletakse arvutiturvalisust, sellistest asjadest? Asi on selles, et täna viisteistaastat tagasi tegelesin ma aktiivselt füüsilise turvalisusega ning puutusin nende tegude aga samuti ka tegijatega kokku. Täna, aastal 2008, tegelen ma aktiivselt arvutiturvalisusega ning olen sunnitud nentima: kõik teod, aga samuti ka tegijad on tuttavad! Konkreetseid näiteid ei hakka ma välja tooma – kes teab, see teab, kes ei tea, pole vaja ka kiusatust tekitada. Väärib märkimist, et Eesti Ekspressilt küsiti üsna täieliku informatsiooni eest miljon eurot ja miljon krooni. Võimalik et informatsiooni pakkujaks oli keegi, kes soovib sellest ärist välja astuda, kuid kättemaksu vältimiseks peab ta jäljetult kaduma ning seda kadumist on vaja kuidagi finantseerida.

Organiseeritud kuritegevuse üks kurikuulsamaid sissetulekute allikaid – räkit – on kolinud internetti. Ohvriteks otsitakse ettevõtteid, kelle tegevusest oluline osa toimib üle võrgu, näiteks e-poed või online kasiinod. „Katusest” keeldumise puhul tehakse pikemaajalisema mõjuga DoS-tüüpi rünnak (DDoS, viirus sisevõrgus vmt) Tulemuseks on see, et äritegevus on mõneks ajaks peatatud ning sageli lisandub sellele ka taastamise kulu. Eestis pole sellistest rünnakutest kuulda olnud, kuid ilmselt tuleneb see eestlase liigsest tagasihoidlikkusest – lähim selline uudis pärineb Rootsist.

Prostituudi teenust interneti kaudu ei saa pakkuda (kui virtuaalseksi mitte arvestada), samas on teenuse reklaam kolinud internetti, sealhulgas kõigile teada-tuntud suhtluskeskkondadesse. Kuna vahepeal on politsei tugevamaks muutunud ja seksiäri kõvasti pigistanud, siis suuremahulist teenuseosutamist majades enam ei toimu. Samas toimub teenuse osutamine endiselt korterites sildi „tüdruk kutsub külla” all. Samas on oluliseks sissetulekuallikaks muutunud pornograafiga (sh lastepornoga) äritsemine.

Samuti nagu seksi puhul, on ka tulirelvade müügil internet ainult vahenduskeskkonnaks. Samas on   virtuaalmaailmas võimalik saada relvi küberräkiti tarbeks – viiruseid ja botnette. Kusjuures on võimalik osta ka garantii, et relv toimib. Näiteks viirustele on on võimalik suhteliselt väikese lisaraha eest osta garantii, et viirusetõrje seda ei avasta. Juhul, kui sellise viiruse signatuur ilmub viirusetõrjujate andmebaasidesse, tekib kohe sellele ka modifikatsioon, mis muudab ta jälle nähtamatuks.

Piraatkaupade äri käib ka internetis, tõsi, kaubaartikliteks on nüüd muusika, filmid ja mängud – asjad, mida on võimalik virtuaalmaailmas edastada. Samuti käib internetis krediitkaardiäri, kusjuures enam ei kaubelda mitte füüsiliste kaartidega, vaid kaartide informatsiooniga, mida saab kasutada veebipoodidest ostmiseks. Jällegi on tegemist asjaga, mida on võimalik virtuaalmaailmas edastada.

Loomulikult on seoses tehnika arenguga rünnakute olemus veidi muutunud. Võimalik, et need rünnakud ei ole enam nii letaalsed, kui 90-ndate omad. Samas, kui meelde tuletada, siis aastal 2000 Põhja-Ameerikas toimunud Black Out nõudis ka inimohvreid.

Internet on kurjategijate jaoks muutunud päris maailma jätkuks. Mis saab edasi? Loodetavasti muutub Eesti küberpolitsei ka natuke tugevamaks, samuti nagu muutus päris politsei viisteist aastat tagasi. Lihtne inimene saab kurikaelade tegevust piirata eelkõige sellega, et hoiab oma masina pahavarast puhtana ning internetis olles enne mõtleb, kui midagi teeb. Tahaksin väga loota, et viietestkümne aasta pärast ei ole vajadust kirjutada kuritegeliku maailma metamorfoosidest.

Leedu veebisaitide massiline näotustamine

Interfax väidab, et vastuseks punasümboolika keelustamisele Leedus asusid “teiste riikide territooriumilt lähtuvad häkkerid” ründama Leedu riigiasutuste kodulehekülgi. Kuivõrd muuhulgas topiti venekeelset sõimu ka Leedu Sotsiaaldemokraatliku Partei ning Leedu ametieetika peakomisjoni veebisaitidele, nimetas Leedu kaitseminister Juozas Olekas toimuvat Leedu-vastaseks küberrünnakuks.

Leedukeelsed allikad väidavad (võin ka midagi segi ajada, mu leedu keel pole kõige parem), et sisse murti ühe konkreetse teenusepakkuja serverisse, kus majutati tuhandeid kodulehekülgi, näotustada õnnestus umbes 300. Selleks teenusepakkujaks tundub olevat Mickrolinki Leedu tütarfirma HOSTEX, mis avaldas ka vastavasisulise teate (jällegi leedukeelne link). Väidetavalt taastati näotustatud koduleheküljed küllaltki kiiresti varukoopia abil.

Kui keegi leedu keelt oskab, siis võib siinsamas täiendada ja parandada.

Tööandja sidevahendite kasutamine

Oma igapäevatöös puutun aeg-ajalt kokku küsimusega tööandja sidevahendite kasutamisest isiklikuks otstarbeks. Enamasti mõeldakse selle all eelkõige e-posti kasutamist, kuid samas võib seda vaadelda ka veidi laiemalt – käsitleda sidevahendite teema all ka telefoni ja veebi kasutamist. Konkreetselt meie asutuse poliitika ei keela seda, kuid tungiv soovitus on asutuse sidevahendeid isiklikuks otstarbeks mitte tarbida. Vaatlengi hetkel veidi üldisemalt, kuidas ühel või teisel juhul käituda ning milliseid tagajärgi sellised käitumised endaga kaasa toovad.

Ühest küljest on Eestis kehtestatud põhiseaduslik õigus edastatud sõnumite saladusele ning seda õigust on võimalik rikkuda ainult kuriteo tõkestamiseks või kriminaalmenetluses tõe väljaselgitamiseks. Teisest küljest on töötajale antud sidevahendid tööandja omand ning tööandjal on õigus oma töövahendite osas kehtestada poliitikaid ja nende poliitikate järgimist kontrollida.

Tööandja telefoni kasutamine

Üldiselt on sel puhul asi lihtne – töötaja kasutab telefoni mingi limiidi ulatuses ning mis üle läheb, peetakse palgast kinni. Samas tasub teada, et üldjuhul on tööandja tellinud ka kõnede väljavõtte, mis tähendab, et tööandjale on teada kõik valitud telefoninumbrid, nende valimise aeg ning kõnede kestus. See tähendab, et kui soovite teha kõnesid, millest tööandja ei teaks, siis tuleb kasutada mõnd teist telefoni. Samuti tasub arvestada, et tööandja üldjuhul ei hüvita teenusnumbritele (näiteks annetustelefonid) tehtud kõnesid ning SMS-e.

Lisaks sellele on teatud asutustes ette nähtud, et kõik kõned lauatelefonidelt salvestatakse kohalikus keskjaamas. Kindlasti tehakse seda klienditeeninduses ja telefonimüügis, kuid ilmselt on selliseid firmasid veelgi. Mõne aasta tagusest ajast tuleb näiteks meelde juhus, kus üks autopood salvestas oma müügimeeste lauatelefonide kõnesid. Ametlikuks põhjuseks oli tookord suhtlemisoskuse lihvimine.

Töö- ja erakõnede lahushoidmiseks olen mina isiklikult valinud liitumise TwinSIM paketiga (ka teistel teenusepakkujatel on samalaadsed paketid olemas). Samas ei sobi selline lahendus juhul, kui isiklik number ja tööandja oma on erinevate teenusepakkujate juures. Samuti ei ole enne kõne valimist numbri vahetamine just kõige mugavam tegevus, samuti ei näita TwinSIM seda, kummale numbrile sissetulev kõne tuleb. Seega ootan ma põnevusega, millal Eestis kahe kaardipesaga telefonide valik suuremaks muutub.

Tööandja e-posti kasutamine

Eeldame, et tööandja ei keela oma e-posti kasutamist isiklikul otstarbel ning töötaja kasutab seda võimalust. Siin peab ta arvestama, et ülima tõenäosusega läbivad e-kirjad tööandja serverit. Üldjuhul sisaldab see server viirusetõrjet ning rämpsposti kontrolli, aga sageli ka reegleid faililaiendite kontrolliks. Näiteks meie asutuses pole lubatud .exe, .com ja .bat lõpulised failid. Samas võib selliste kontrollelementide nimekiri olla oluliselt pikem. Vaatame kuidas sellised piirangud mõjutavad kirjade liikumist.

Viirusetõrjega pole enamasti probleemi, välja arvatud juhul, kui kasutajale saadetakse parooliga pakitud faile või kui faili sisu ja nime laiend ei lange kokku. Sellisel juhul kipub viirusetõrje käe vahele panema ning kiri kasutajani ei jõua. Juhul, kui kasutaja teab, et selline kiri peab temani jõudma, või kui server saadab talle veateate, siis on võimalik see kiri sealt lõpuks siiski kätte saada. Samas võib niisugune asjaolu tekitada tööandjal kahtlusi – miks saab tema töötaja konfidentsiaalse sisuga isiklikku posti. Isiklikult minul on kunagi olnud probleem OpenOffice failidega – sisuliselt on tegemist pakitud zip-failiga, kuid tema laiendiks on midagi muud ning viirusetõrje arvas teda „pahaks” ja pidas ta kinni.

Rämpsposti kontrollijaga on natuke keerulisem, kuna siin kontrollib masin, ega mingi kirjas sisalduv märgijada ei klapi tema andmebaasis olevaga. Selliseid „pahasid” märgijadasid võib olla väga palju ja väga erinevaid ning probleem on enamasti selles, et mingi osa neist „pahadest” märgijadadest võib kattuda ka „heade” märgijadadega. Tüüpiline näide on märgijada „sex” ning seda sisaldav linna nimi Essex. Eesti keeles võiks näitena tuua märgijadad „seks” ja „terviseks”. Kui kiri rämpspostifiltrisse kinni jääb, on jällegi võimalus ta sealt kätte saada, kuid samas on rikutud inimese põhiõigust sõnumite saladusele.

Lisaks eelpool räägitule tuleb arvestada, et tööandjal võivad olla kehtestatud mingid reeglid töötaja puhkuse või ajutise äraoleku ajaks. Näiteks meie asutuses on kohustuslik, et e-post on puhkuste või komandeeringute ajal asendajale edasi suunatud, kusjuures see reegel sunnitakse peale automaatselt. See tähendab, et edasi suunatakse ka kõik isiklikud kirjad. Kui kirjad tulevad teada-tuntud inimestelt ja aadressidelt, siis on võimalik reeglile erandeid kirjutada. Samas võib juhtuda, et kirjad tulevad täiesti juhuslikelt saatjatelt, näiteks mõne personaliotsingufirma pearahakütilt. Samuti tuleb arvestada, et juhul, kui toimub töökoha vahetus, tuleb kõiki sõpru-tuttavaid teavitada ka e-posti aadressi vahetusest.

Siinkirjutaja on lahendanud asja nii, et on tekitanud mitu eraldi e-posti aadressi erinevate identiteetide jaoks. Nii on olemas tööandja poolt antud e-post, kuid lisaks sellele on olemas ka ametlik personaalne e-posti konto ning mõned lihtsamad virtuaalsete sõpradega suhtlemise jaoks. Ametlk isiklik e-posti konto tasuks kindlasti teha kujul eesnimi.perenimi@teenusepakkuja.kuskil, alternatiiv oleks kasutada ID-kaardiga kaasa tulevat e-eesti keskkonna e-posti aadressi. Põhjus on lihtne – ametlik suhtlemine on suures osas kolinud e-posti keskkonda ning väga veider tundub saada ametliku sisuga kiri (näiteks töösoovi avaldus) aadressilt seksiboy@hotmail.com või hotlips69@mail.ru.

Kokkuvõtteks mõned lühisoovitused – hoidke oma tööasjad ja eraelu kindlalt lahus ning kasutage erinevate identiteetide jaoks erinevaid telefoninumbreid ja e-posti aadresse. See on küll mõnevõrra tülikam hallata, kuid pikemas perspektiivis tasub selline käitumine ennast ära.

Nüüd siis ka Läti petukirjad

Mulle kirjutab Igors Dolomanovs, Mihhail Hodorkovski endine assistent, kellel oleks hädasti vaja abi Jukosest järgijäänud 16 miljoni dollari lahtikülmutamisel. Minu osa noosist oleks 20%.

Tegelikult ei ole muidugi kindel, et härra Dolomanovsil ka tegelikult Lätiga midagi pistmist on, samas on mu postkasti viimase paari nädala jooskul tõepoolest keskmisest rohkem just Lätist saadetud spämmi laekunud.

Aga kiri ise ka:

Dear Friend,

My name is Mr. Igors Dolomanovs, Personal Assistant to Mr. Boris Mikhail Khodorkovsky, the arrested Chairman/ CEO of Yukos Oil and Bank Menatep SPB in Russia who is presently in jail.

I have the documents of a large amount of funds which he handed over to me before he was detained and tried in Russia for financing political parties (the Union of Right Forces, led by Boris Nemtsov and Yabloko, a Liberal/ Social Democratic Party led by Gregor Yavlinsky) opposed to the Government of Mr. Vladmir Putin, the former President and now the current Prime Minister of Russia, thereby leading to the freezing of his finances and assets.

You can read more about his ordeal from the following sites:
Http://www.supportmbk.com
Http://news.bbc.co.uk/2/hi/business/3042850.stm
Http://www.nationmaster.com/encyclopedia/Mikhail-Khodorkovsky

After searching through the books of your Country’s Chambers of Commerce and Industries here in Russia, I am contacting you to assist me to re-profile the funds and equally invest same on his behalf. The total amount of funds to be re-profiled is Sixteen Million United State Dollars (USD$16,000,000.00) and you will be paid 20% for your management services.
All I need from you is to stand as the beneficiary of the above quoted Sum and I will re-profile the fundwith your name, which will enable the European Bank transfer the sum to you.

As soon as I receive your acceptance through my personal email address below:
dolomanovs@aol.co.uk

I will send you the necessary details and my personal identification documents.

Yours Sincerely,
Mr. Igors Dolomanovs

Yukos Oil/Gas and Bank Menatep SPB

Nagu näha, kasutatakse juba Nigeeria kirjadest tuttavaid ettekäändeid, ka summad on sarnased. Kas on kellelegi veel vaja korrata, et ei ole mõtet härra Igorsile oma teeneid pakkuda?

Rootsi hakkab pealt kuulama ka Eesti välissidet

Rootsi Riksdag otsustas nimelt, et alates 1. jaanuarist 2009 on kohalikul raadioluureametil õigus jälgida kogu Rootsi piire läbivat telekommunikatsiooniliiklust – e-kirju, andmesidet, kiirsuhtlus- ja muid sõnumeid ning telefonikõnesid. Kuna mitmed Eesti välissidekaablid kulgevad läbi Rootsi, hakatakse enesestmõistetavalt pealt kuulama ka andmeliiklust Eestisse ja Eestist välja.

Uudis rõõmustab kindlasti Skype’i turundajaid (Skype krüpteerib oma andmepaketid), need aga, kelle kirjakast asub mõnes välismaises serveris, võiksid samuti kontrollida, kas nad käivad oma kirju lugemas ikka üle krüpteeritud ühenduse.