Lapsi peab internetiohtude eest eelkõige lapsevanem kaitsma

Mart Parve: Eesti Päevaleht (loe siit) pärib Elioni meediasuhete juhi Ain Parmase käest aru, miks Neti.ee portaalis ripuvad pornolehekülgede reklaamid – ajalehe mureks on, et lapsed sattuvad ebasobilikku materjali kaema. Teema on muidugi tõsine – keegi ei taha, et väljakujunemata väärtushinnangutega järeltulev põlv saaks mõjutust virtuaalseksi müüjate propagandast. Teisalt on tänane reaalsus, et iga lapsevanem peab oma võsukesi ise kaitsma, sest laps leiab porno vabalt üles ka ilma Neti.ee-ta.

Ain Parmas vastab EPL küsimustele: “Lingid seksilehtedele on ainult ühes, väga selgelt eristatud rubriigis.
Alaealiste internetikasutust on vanematel võimalik “lapseluku” jms tarkvaraliste vahenditega piirata.”

Jah, me võime Hiina või Afganistani totalitaarrežiimide eeskujul keelustada Eestis asuvates serverites teatavat liiki sisu esitamise – olgu selleks porno või poliitpropaganda, kuid on täiesti kindel, et selleliigiline sisu ei kao globaalsest internetist kuhugi.

Mida siis teha?

Parmas viitab nn lapselukule – see on tarkvara, mille abil saab piirata laste ligipääsu teatavat sorti lehekülgedele (näiteks seksilehekülgedele). Edumeelsemate lapsevanemate jaoks kõlab see idee võib-olla pisut eemaletõukavalt, kuid tegu on ainukese reaalse võimalusega lapse netikasutust reguleerida (kui selja taga seismine välja arvata).

Lapselukk sisaldub Elioni pakutavas Arvutikaitse tootes, millele hetkel kehtib 6-kuuline tasuta prooviperiood. Lähemalt loe siit: http://www.elion.ee/arvutikaitse

Kes on katsetanud mõnd teist lapseluku tarkvara, võiks sellest kirjutada aadressile mart[ät]tehnokratt.net

SMS.ac pettus

Eriti eestlaste seas on üsna populaarne liituda ühe teatava SMS.ac nimelise veebiteenusega, mis võimaldab tasuta sms-ide saatmist. Tasuta lõunaid ei ole, ning sellegi teenuse puhul on tegu pettusega. Juriidiliselt on kõik küll korrektne, kuid SMS.ac-ga liituja tõmbab oma sõpradele kaela tõelise rämpsposti sopalaviini.
SMS.ac-ga liitujalt küsitakse tema Hotmaili, Gmaili või muu e-postiteenuse kasutajanime ja parooli, et “sünkroniseerida kontaktide andmebaasid”.

Need “sünkroniseeritaksegi” – nimelt saavad SMS.ac haldajad oma valdusesse sinu sõprade e-posti-aadressid. Need aadressid müüb SMS.ac väidetavalt rämpsposti saatjatele edasi või saadab ise rämpsposti.

Sellist pettust tähistatakse mujal maailmas terminiga “Hi5 scam” (Hi5 pettus) – hi5.com nimelise veebisaidi järgi.

Patuseid on veelgi. Lisaks nimetatud Hi5-le ja SMS.ac-le ka näiteks Ringo, aga ka paljud teised.

Juriidiliselt on muide kõik korrektne – liituja “nõustub” keskmise raamatupeatüki pikkuse Lõppkasutaja Litsentsilepinguga (EULA, End User License Agreement), kus seisab kirjas, et tema sõpradele hakatakse “huvitavaid pakkumisi” saatma.

Üldine soovitus kõlab nii:
Kui mõni veebiteenus küsib sult sinu sõprade e-posti-aadresse, teiste veebikeskkondade ligipääsuandmeid või muud privaatset, siis siirdu Google.com otsimootorisse ja sisesta otsireale selle veebiteenuse nimi. Kui tegu on pettusega, siis kisendab juba mõni esimestest linkidest “fraud” või “scam” või “spam”.

Baasteadmisi krüpteerimisest

Krüpteerimine on andmete teisendamine loetamatule kujule. Kaasajal IT maailmas kasutatakse krüpteerimist kahel eesmärgil:
• salajase teabe sisu peitmiseks võõraste pilkude eest (konfidentsiaalsus)
• teabe muutumatuse tagamine koos selle võimaliku sidumisega teabe autoriga (terviklus ehk tõestusväärtus)

Kaasaja võrgupõhises maailmas on paljudes kohtades masskasutusel seepärast, et sideliine ei ole võimalik füüsiliselt turvata nii, et oleks välistatud nendes edastatava teabe pealtkuulamine ning kuritahtlik muutmine (võltsimine). Järelikult jääb üle vaid krüptograafia.

Hästi krüpteeritud teave näeb pealevaadates välja nagu ta oleks juhuslike märkide jada. Arvutieelsel ajastul võis see olla nii numbrite kujul (56784 81479 …) tähtede kujul (ADKTH LNERT …) või ka mingite erisümbolite kujul Arvutiajastul näeb krüpteeritud teave tavaliselt välja nagu juhuslik bitijada ehk binaarfail.

Krüpteerimiseks kasutatavad võtted ja algoritmid on tavaliselt avalikud, kogu salastus põhineb kasutataval salajasel võtmel.

Traditsioonilise krüpteerimise korral toimib nii teabe krüpteerimine (teisendamine loetamatule kujule) kui ka deÅ¡ifreerimine (loetamatule kujule teisendatud teabe tagasiteisendamine loetavale kujule) ühe ja sama salajase võtmega. Selliseid krüptoalgoritme nimetatakse sümmeetrilisteks ehk salajase võtmega krüptoalgoritmideks ning need võimaldavad tagada teabe salastust ehk konfidentsiaalsust.

Kaasajal loetakse sümmeetrilisi krüptoalgoritme praktikas turvaliseks alates 80 biti pikkusest võtmest. Nende tuntuim esindaja on kaasajal AES ehk Rjindael, mis lubab nii 128, 192 kui ka 256 biti pikkust võtit. Levinud on ka algoritmid IDEA (128 bitine võti), Skipjack (80 bitine võti), Blowfish, Twofish jne. Varasematel aastakümnetel levinud DES (56 biti pikkune võti) on kaasajal kasutamiseks juba ebaturvaline – seda võib pruukida ainult erijuhtudel ning kolmekordse krüpteerimise resiimis (3×56 =168 bitise võtmega).

Avaliku võtmega krüptoalgoritmide ehk asümmeetriliste krüptoalgoritmide korral on võtmeid kaks ja need esinevad paaridena – privaatvõti ja avalik võti. Nende korral saab privaatvõtmega krüpteeritud (loetamatule kujule teisendatud) teavet deÅ¡ifeerida (loetavaks tagasi teisendada) avaliku võtmega. Ning vastupidi – avaliku võtmega krüpteeritud (loetamatule kujule teisendatud) teavet saab deÅ¡ifeerida (loetavaks tagasi teisendada) sellele vastava võtmega. Avalik võti on tavaliselt avalik, kuid privaatvõti on mingi subjekti (inimese, arvuti, programm vm) ainuomanduses. Ühest võtmest teist praktikas leida ei saa.

Avaliku võtmega krüptoalgoritme kasutatakse kahel eesmärgil:
• turvaliseks võtmevahetuseks (see ei vaja pealtkuulamiskindlat kanalit)
• andmete muutumatuse (tervikluse) tagamiseks.

Kui avaliku võtmega krüptoalgoritmi kasutatakse muutumatuse (tervikluse) tagamiseks, nimetatakse arvutatavat tulemit tavaliselt signatuuriks. Signatuuri erijuhus on digitaalallkiri (digiallkiri), millel on Eesti Vabariigis õiguslik tähendus – digiallkirjaga varustatud failil on nimelt sama jõud nagu omakäelise allkirjaga varustatud paberdokumendil. Digiallkirja korral on privaatvõtme kandjaks füüsiline ese (Eestis ID kaart).

Kasutatavaim (ja ka preaktiliselt ainus) avaliku võtmega krüptoalgoritm on RSA, mida loetakse turvaliseks alates 1024 biti pikkusest võtmest.

Lisaks sümmeetrilisele ja asümmeetrilisele krüptoalgoritmile on masslevinud ka kolmandat tüüpi krüptoalgoritm – krüptograafilise sõnumilühendi ehk krüptoräsi algoritm. Krüptoräsi leiab suvalise pikkuse failist (sõnumist) teatud kindla pikkusega lühikese sõnumi nii, et lühendi põhjal ei ole sõnumit võimalik enam taastada. Seega – kui meil on olemas mingi sõnum (fail) ja tema lühend, siis me võime olla alati kindlad, et see lühend on just konkreetsest sõnumist arvutatud. Krüptoräsi algoritm “aitab” avaliku võtmega krüptoalgoritmi, võimaldades viimasele pika faili asemel “ette sööta” lühikese räsi.

Praegu levinud krüptoräsi algoritmidest võib pidada praktikas turvaliseks kahte alögoritmi – SHA-1 ja RIPEMD-160. Mõlemad neist leiavad failist 20 baidi ehk 160 biti pikkuse räsi. Varem (1990ndatel) aastatel massevinud MD-perekonna räsifunktsioonid (MD2, MD4 , MD5) ei ole kaasajal enam turvalised ning neid ei soovita kasutada.

Krüptovõtete ja -algoritmide kasutamisel tuleb silmas pidada, et nad ei ole imerelvad – nad ei lahenda kogu turvaprobleemi, vaid nihutavad turvaprobleemi teraviku ühelt küsimusele teisele. Nimelt igasuguse krüpteerimise kasutamisel tõstatub alati võtmehalduse probleem – kes võtmeb loob (genereerib) ning kuidas neid (turvaliselt) hoitakse ja edastatakse. Paljude praktilise ülesannete korral võtmehalduse edukas lahendamine keerulisemgi kui krüpteerimise enda kasutamine.

Teksti autor:
Valdo Praust, mois@mois.ee

USA rohelise kaardi loterii pettused

liberty.jpgIgal aastal loosib Ameerika Ühendriikide riigidepartemang spetsiaalsel loteriil välja 50 000 immigrandiviisat ehk “rohelist kaarti” (green card). Sellele loteriile saab registreeruda internetis ning kuna paljud, eriti vähemjõukate maade kodanikud unistavad heast elust Ameerikas, rajatakse rohelise kaardi loteriile erinevaid internetipettusi.
Rohelise Kaardi Loterii tuntust kasutavad ära petised, kes väidavad sageli, et:
– nad on seotud USA valitsusega;
– loteriil osalemiseks on vaja erilisi oskusi või spetsiaalseid blankette;
– kõik nende firma kaudu osalenud on loteriil võitnud;
– nende firma saab tõsta osaleja võiduvõimalusi;
– loteriil osalemine on tasuline.
Parim moodus ennast kaitsta on teha endale selgeks, kuidas loterii töötab.

* Loteriil osalemine on tasuta ning seda saab teha riigidepartemangu veebilehel www.dvlottery.state.gov. Pead vastama mõnele küsimusele ning andma enda passipildi. Peale taotluse esitamist saad mailitse kinnituse. Sa võid küll palgata esindaja, kuid esindaja läbib täpselt sama protseduuri.

* Liitu loteriiga vaid üks kord või sind diskvalifitseeritakse.

* Valik on juhuslik. Mõlemad abikaasad võivad liituda ning kui üks neist võidab, saavad mõlemad USA-sse.

* Ole ettevaatlik veebisaitide suhtes, mis lubavad täita reisi- või elamisloadokumente interneti kaudu. Kui loterii välja arvata, tuleb enamik selliseid asju korda ajada isiklikult saatkonda minnes.

* Kaalu põhjalikult, kellele oma isiklikke dokumente saata. Kui sul ei ole ettevõttega väljakujunenud usaldusvahekorda, ära saada neile oma sünnitunnistust, passi, juhiluba, abielutunnistust ega muid dokumente ega nende koopiaid. Neid võidakse kasutada identiteedivarguse läbiviimiseks.

* Suhtu skeptiliselt veebilehtedesse, mis väidavad, et on USA riigi omad. Nende aadressid, kujundused, vapid, lipud ja muu selline võib üheselt viidata, et tegu on USA riigi leheküljega. Kuid kui aadress ei lõppe “.gov” ga “nt http://www.state.gov/”, siis ei ole see USA riigi lehekülg, vaid võltsing. Võltsitud leheküljed võivad küsida raha loteriiga liitumise või blankettide eest. Ära maksa – õigelt lehelt saad need tasuta.