Loll saab Internetis kah peksa

ARHIIVIKOOPIA

Paar mõtet alustuseks

Esmalt vana IT-rahva tõdemus: "Suurim turvarisk asub alati klaviatuuri ja tooli vahel" ehk suurimaks riskiteguriks jääb alati inimfaktor. Teine hea tsitaat pärineb ühelt amishi talumehelt, keda külastas tehnikaajakirjanik Howard Rheingold ja tundis huvi, miks amishid tehnoloogiasse niivõrd ettevaatlikult suhtuvad: "Lollikindlat masinat ei ole võimalik luua, sest lollid on ülimalt leidlikud.". Kolmandaks olgu tsiteeritud võrgukaakide omaaegset kroonimata kuningat Kevin Mitnickit: "Ei ole küsimus, KAS süsteemi sisse murtakse, vaid MILLAL.". Ja viimaks veel üks tsitaat ühelt väljamõeldud paharetilt - Eugene "The Plague" Belford annab filmis "Hackers" väga valusa matsu kõigile maailma dambjuuseritele, öeldes "Me oleme samuraid... klaviatuurikauboid... Ja kõik need teised, kel pole toimuvast halli aimugi, on lehmad. Muuuu!".

Ehk nagu tõdesime juba mitmes varasemas loengus: tehnoloogia areneb edasi, inimene paraku mitte eriti.

Vanal ajal...

... jättis pererahvas kodunt lahkudes luua vastu ust - sellest teadis iga tulija, et elanikke pole kodus. Väikestel saartel ja kaugetes maanurkades on sarnane "räige ebaturvalisus" tänini säilinud, meie maailmas paraku enam mitte. Ent ometi teeb teinekord ka turvalisuse areng kummalisi pöördeid (kui mäletame, siis rääkis Robert Theobald mõtteraputusest ehk olukorrast, mil senine arusaam tuleb ümber pöörata) - nii näiteks hoidis Lääne-Eesti saared pikka aega massiturismist ja ka kuritegevusest üsna puhtana paljukirutud NL okupatsioon, kes piiritsoonis passikontrolli pidas. Sarnaseid asju leiame ka IT-maailmas - eriti hea näide on muutus paroolide kasutamises ja neisse suhtumises.

Algne häkkerikultuur oma playful cleverness-mentaliteediga soosis kahjutuid vempe ja aasimisi ning ei öelnud ka ära väikesest mägramängimisest rumalatele ja pretensioonikatele inimestele. Näitena võib tuua baggypantsingu Georgia Tehnikaülikoolis, MIT kuulsa häkitraditsiooni või ka Jargon File'is esineva loo teler-trükimasinast. Ent sedasorti tembud ei olnud kunagi pahatahtlikud.

Steven Levy (keda oleme korduvalt tsiteerinud) ja paljud teised on maininud, kuidas MIT häkkerid eesotsas Richard Stallmaniga suhtusid 1977. aastal sisseviidud paroolisüsteemi mitte kui turvaabinõusse, vaid kui ahistavasse tõkkesse vaba infolevi teel. Nii muukis Stallman süsteemi paroolid lahti, saatis need omanikele koos soovitusega asja mitte ülearu keeruliseks ajada, vaid jätta parool üldse tühjaks. Nii võis igaüks arvutit kasutada, kui konto omanik seda hetkel ei vajanud (muidugi ei tuleks tänapäeval sellest midagi head, kuid see on heaks näiteks olukorra muutumisest).

Olud on tõepoolest teised - kui häkkerite algaegadel oli arvuti väheste proffide privileeg, siis nüüd võib arvuti olla ka kodutul. Tänaseks on arvuti massides ning see on viinud ühiskonda tublisti edasi - paraku on aga olemas ka Nigeeria stiilis "ärimehed", võrku kolinud organiseeritud kuritegevus ning mis peamine - suur armee hästivarustatud lolle.

Password, password, hakka pähe...

Esimesed massidesse jõudnud operatsioonisüsteemid - Microsofti MS-DOS ja hiljem Windows - olid ühekasutajasüsteemid, mis oma algsel kujul ei kasutanud ei võrku ega paroole (mõlemad lisandusid hiljem). Nii kasvas mitu põlvkonda tavapärasemaid arvutikasutajaid üles arusaamadega, mis hilisemal võrgustumise ajajärgul osutusid väga ohtlikuks. Näiteks Windows 95 tõi küll kasutusse parooli, kuid see "kaitses" üksnes kasutaja seadistusi (taustapilt jms) ning sellest möödaminekuks piisas üksnes Esc-klahvi vajutamisest. Tulemuseks oli hulk inimesi, kes saatuse irooniana järgisid Stallmani algset ideed - kasutajanimeks pandi näiteks "a" ja parool jäeti tühjaks. See, mis toimis üsna edukalt omaaegses MIT eliitseltskonnas, ei sobinud paraku enam massiarvutite ja viiruste ajastusse.

Nõnda sündiski, et kui Windows sai NT-seeriaga endale reaalse, üsna pidava paroolikaitse, olid inimesed juba harjunud lõdva või puuduva paroolisüsteemiga ning jätkasid tihti vanamoodi. Tulemuseks oli ebmeeldivate asjade järjest laiem levik - ei XP, Vista ega 7 ei ole suutnud tuua olulist paranemist turvalisuse vallas.

Miks ikkagi Microsoft?

Microsofti on palju kirutud ebakvaliteetse tarkvara eest ja paraku on hulk kriitikat ka ausalt välja teenitud. Siiski aga tuleb nende kaitseks öelda, et pahavara muutumine pea 99% Windowsi platvormi monopoliks ei ole üksnes tingitud tarkvara kehvast kvaliteedist. Microsoft ise armastab toonitada, et nad on lihtsalt "suurim märklaud" - see on kahtlemata tõsi ning sel on oma mõju. Pika turuvalitsemise üheks negatiivseks tagajärjeks on aga asjaolu, et keskmise kasutaja kompetentsuse võrdluses jääb Windows kindlalt alla teistele, vähemlevinud platvormidele. IT negatiivset kasutaja-arhetüüpi, "dambjuuserit", kujutatakse pea alati Windowsi platvormil ja mitte asjata - Linux on jäänud esialgu väikese turuosaga eliitsüsteemiks (ehkki selle kasutus laieneb - ning sedamööda tuleb juurde ka vähemoskajaid), Mac seostub tänini veel haridus-, kunsti- ja multimeediagurudega - nii jääbki Joe Sixpackile Windows. Ja kummalisel kombel selgub üha enam, et paljudel juhtudel pole kurikaeltel vaja üldse Windowsi turvaauke otsida - piisab tollest suurest turvaaugust klahvistiku ja istme vahel.

Seega omandab kasutajate harimine ja koolitamine lähitulevikus veelgi olulisema koha, kui soovitakse hoida võrgumaailma muutumast kübersooks. F-Secure'i turvaspets Jarno Niemelä, kes mõne aasta eest ITK-s esines, kandis oma sülearvuti kaanel kleepsu "HUMAN ENGINEERING SPECIALIST: because there is no patch for stupidity".

Pahavara- ja turvatööstus

XXI sajandi alguse IT suurimaks nuhtluseks perverssed ärimudelid ehk olukord, kus sigadustega on võimalik kõvasti teenida - taas kord on näide sellest, kuidas demokraatia üldidee "mis pole keelatud, on lubatud" ning seaduste ajale jalgujäämise koosmõju tulemusena läheb kord käest ära. See on väga lai valdkond - alates nahaalturundusest ("Ma tean, et sa käid veebist pidevalt kalapüügivärki uurimas, nii et pakun sulle õngeritvu ja kummikuid" - mõne jaoks on väga mõnus teenus, teise jaoks aga privaatsuse rikkumine) ja lõpetades otsese kuritegevusega (identiteedivargused, pealtkuulamine). Üheks põhiprobleemiks on aga - kuidas kaotada ära pahavara loojate stiimulid? Rämpspost on kuhjaga tasuv tegevus ka väga väikese positiivse tagasiside (näiteks 1 rämpskirja saaja 5000-st ostab tegelikult reklaamitavat kaupa), sama käib ka internetipettuste kohta.

Turvatööstuse juurde tulles meenub lugu kahest arstist, isast ja pojast. Poeg imestab: "Isa, sina ravisid hr. Smithi 7 aastat, mina tegin ta kahe kuuga terveks!" Isa muigab seepeale: "Poeg, ma kasutasin tema raha sinu koolitamiseks."

Turvalisuse eest on makstud hallidest aegadest peale: Ja juba varakult taibati, et

Vahel saavad turvalisuse müüjad ja ohustajad ka otseselt kokku mängida - lugusid valvurite äraostmisest ja valitseja tapmisest on teada palju läbi kogu ajaloo. Ja internetiajastu pole kahjuks erand.

Suur Vend ja tema pahad päkapikud

Riigipooolne sekkumine kasvab enim just nn. demokraatlikes riikides. Heaks näiteks selle kohta on USA-s peale 2001. aasta septembrit toimuma hakanud muuutused, mille näidetena võib IT-maailmas mainida Carnivore -paketisnifferit ning Magic Lantern - klaviatuurisalvestit, lisaks veel juba pika tegutsemisajaga Echelon. Vahetevahel käsib Vend aga tööstusel mitte end segada - näiteks antiviirustel mitte avastada mõnd vajalikku "viirusesarnast eset" (vrdl samalaadsed probleemid tsensuuritarkvaraga). Tegu on üsna tõsise ja kasvava probleemiga.

Veelgi levinumad on aga poliitiliselt motiveeritud privaatsuserikkumised (mida kohtab palju Eestist veidi ida pool) ning majanduslikult motiveeritud rikkumised "avalik-õiguslike" libaorganisatsioonide (mis esinevad jällegi peamiselt lääne pool ning on tegelikult puhtalt ärid - näiteks BSA, MPAA, RIAA ja nüüd ka eestimaine Eesti Autorite Ühing) poolt. Eriti häirivaks on muutumas piiri hägustumine legaalse lobitöö ja riigivõimu korrumpeerumise vahel.

Pilk tagasi: varajased vembud

Arvutikräkkimise üheks algtõukeks on peetud Joe Engressia nimelise pimeda noormehe avastust 1969. aastal, mis võimaldas tal kindlat tooni vilistades saavutada kontroll telefoniliini üle. Kaks aastat hiljem järgneb talle juba kuulsam tegelane, John "Cap'n Crunch" Draper, kes loob ka esimese "blue boxi" telefoniliini hõivamiseks. Ka Kevin Mitnick alustas pigem häkkerliku avastamisrõõmu kui paharetluse pinnalt - tema esimesteks vägitükkideks peetakse bussipiletite häkkimist (tasuta bussisõidud kompostrisüsteemi tundmaõppimise ning kompostri ja tühjade piletiraamatute hankimise teel) ja mündi kukkumise heli abil telefoniautomaadi ärapetmist. Hiljem järgnesid aga juba tõsisemad ja pahatahtlikumad teod.

Üheks teetähiseks netisigaduste alal loetakse 1994. aastat. Sellest ajast on teada esimene rämpspostitus (adresseerimata äriline kiri) Usenetis, Vladimir Levini suurafäär Citibankiga ning Kevin Mitnicki esmane vahistamine (mille järel leitakse ca 20 000 krediitkaardinumbrit, mis on mõeldud tema jooksvate arvete tasumiseks...). Interneti ärile avamise must pool hakkab nägu näitama.

Mõned levinumad skeemid

Järgnevad mõned petuskeemid, mis töötavad erinevates variatsioonides edukalt juba pikka aega, kasutavad oskuslikult ära inimlikke nõrkusi ning mis peamine - suudavad kohaneda palju kiiremini kui seadustik suudab muutuda.

Lihtsad manipulatsioonitüngad

Tavalisemat sorti "cheap offer, no delivery" ehk "liiga hea, et olla tõsi" (pandi müüki kallis asi madala hinnaga, kasseeriti raha ette ja pandi plagama) -tüüpi tüngad. Alguses õnnestus sigatseda pikalt samas paigas, hiljem pidid sulid hakkama rändama, kuna enamik netikeskkondi arenes edasi ja hakkas viimaks petistele jahti pidama. Tüüpiliseks kaubitsemisobjektiks on väikesed, käepärased ja kallid esemed (kellad, ehted, varem väga palju ka foto- ja videotehnika, mis nüüdseks kõvasti odavamaks läinud ja osa atraktiivsusest seeläbi kaotanud). Vahel kombineeritakse rämpspostiga kas siis sama saatja või tolle "partnerite" poolt - lisaks otsesele pettusele hangitakse ka ohvrite kontaktid ja kasutatakse spämmi levitamiseks.

Identiteedipettused

Tõusev trend - numbreid ja isikuandmeid hangitakse kas pahavara, sissekräkkimise või "traditsioonilise" kuritegevuse abil (kontorisse sissemurdmine, arvutivargus). Väga suureks veeks pättide veskile on inimeste võhiklikkus - ka turvaline netipangakanal ei aita, kui klient on turvaalal täiesti võhik ja laseb endale arvutisse klahvisalvesti istutada (mis töötab enne turvakanali algust).

Pangapettused

Enam levinud USA-s, kus kasutatakse endiselt laialt tshekke ja rahaülekandeid ning tshekivõltsimine on juba sajandipikkuse traditsiooniga amet. Tüüpskeem on firmalt rahaülekande info väljapetmine, seejärel kasutatakse seda võltstshekkide tegemiseks ja nendega kaupade eest tasumiseks. Veel üks ameerikalik nähtus on rahakaartide võltsimine - neid kasutatakse endiselt laialdaselt ning kuni lähiminevikuni puudusid neil arvestatavad kaitsemehhanismid.

Autopettused

Tüüpiliselt üks kahest skeemist. Üks on kalli auto pakkumine odavalt, küsitakse "vaid veidi raha ülekandekuludeks" ja muidugi ei näe inimene kaupmeest ega autot hiljem kusagil. Teises variandis saadetakse võltstshekk suuremale summale ja palutakse vahe tagasi maksta - hiljem selgub võltsimine ning ostja kaotab tagasikantud summa.

Kohtingutüngad (ehk tibitillikad)

Üks kõige sotsiaalsemat sorti pettus - veendakse "oma tulevast kaasat" (kellega tutvutakse MSNi, MySpace'i vmm kanali kaudu) saatma "veidi raha reisikuludeks", mille järel tegelane haihtub, mõnel juhul aga lüpstakse "tulevaselt" ka muid hüvesid välja (näiteks kasutatakse teda postkastina, vt allpool). Vahel on "tibi" ka tegelikult naisterahvas, sageli on aga tegu hoopis karvase onkliga...

Krediitkaardipettused

Esmalt spämmmitakse firmade aadressidele päringud küsimusega, kas saab maksta kaardiga. Vastanutelt tellitakse varastatud krediitkaartidega kaupu, kahju jääb muidugi kaupmehele. Levinud on ka edasisaatjaga skeem - kasutatakse kedagi Läänes kontaktisikuna (tihti mõnd kohtingutünga ohvrit), see saadab "kauba" edasi N. riiki. Reeglina jääb vahele vaid kontaktisik.

Phishing

Üldise terminina tähistab kellegi petmist avaldama enda isiklikku infot. "Ph"-algus võib siin tähistada nii tüüpilist kräkkerislängi (vrdl "phone" > "fone") kui "password harvesting"-i. Varasem kuldne jahimaa oli AOL, tänapäeval on selleks erinevad sotsiaalportaalid (eriti MySpace)

Tehnotüngad

Lai valik tehnilisemat laadi ründeid:

Netimanipulaatori põhitõed

IT-manipulatsioonid sisaldavad tihti ka n.ö. füüsilist (RL ehk real life) komponenti:

Näide 1: Martini audit

Osakonna raamatupidaja tädi Maalile helistab kiirel tööajal "Martin Meri siseauditi osakonnast" ning küsib järjekorras selliseid küsimusi:

  1. Mitu töötajat on teie osakonnas?
  2. Kui palju on kõrgharidusega töötajaid?
  3. Kui tihti korraldatakse osakonnas täienduskoolitusi?
  4. Mis on osakonna personalikulude kontonumber raamatupidamises?
  5. Mitu töötajat on lahkunud viimase aasta jooksul?
  6. Milline on osakonna üldine tööõhkkond?

Mis siin valesti on...?

Näide 2: abivalmis helpdesk

Vajalik varustus: mobla + kõnekaart

(Telefon pärast prügikasti - muidugi enne teha mälu tühjaks ja võtta aku välja)

Näide 3: laud teistpidi!

Uus spordiala: mugu-baiting! Põhiidee on vastata mõne "Dr Mobutu" kirjale, mängida lolli valget meest (stiilipunkte annab endale võimalikult napaka nime väljamõtlemine nagu "sir Gerald Womo Milton Glockenspiel, elukutseline kärbidresseerija") ja üritatakse seejärel õnnetu "ettevõtja" igasuguseid asju tegema panna. Parimad pojad on saanud ise raha või lennutanud nigeerlase tema enda kulul New Yorki kohtuma... Häid lugusid leiab siit, siit ja siit. Üks kõige sürrimaid lugusid on ilmselt Jörö Brümmbär und die Schlümpfen...

Ekskurss: Nigeeria™

Miks ikkagi just nemad? Põhjusi on palju:

Tulemuseks on paraku see, et Nigeeria seaduskuulekad kodanikud satuvad tihti võrgus kannatajate ossa - paljudele adminnidele piisab Nigeeria IP-st, et kasutaja automaatselt /dev/null'i poole teele saata...

Web 2.0 või Nuhk 2.0?

Web 2.0 - ajaveebid, wikid, veebipõhised sotsiaalvõrgustikud jpm - tõi sajandivahetuse paiku kaasa palju uusi, huvitavaid ja kasulikke viise suhelda kaasinimestega, keda muidu ehk kunagi ei kohtaks. Paraku avas see ka uue tööpõllu manipulaatoritele.

Kui eespoolkirjeldatud tüngatehnikaid kombineerida paljudes Web 2.0 rakendustes esinevate "usaldusvõrgustikega" (näiteks Orkuti sõbralist), on tulemuseks üpris ohtlik segu. Pea kõik manipulatsioonid algavad usalduse tekitamisest rühdaja ja ohvri vahel. Kui Mitnick oma tavatelefoniga pidi usaldust võitma ikka ja jälle uuesti, siis praeguses võrgus on tihti olemas valmiskujul suhtevõrgustik, mida ära kasutada.

Mitnicki ja Rifkini kombel tavatelefoni kasutades tuleb kogutud infotükid käsitsi kokku panna. Tänastes veebipõhistes võrgustikes on aga vahel suur osa tööd kurikaela eest ära tehtud - paljudel populaarsetel teenustel on üks omanik (Microsoft, Yahoo!, Google jt). Mida keerukamaks eri teenuste omavaheline põimumine läheb, seda kergem on manipulaatori elu (muuhulgas on tõenäolisem ka turvaaukude avastamine). Näiteks YouTube'is turvaaugu leidmine ja sealtkaudu kasutaja Google'i parooli kättesaamine annab kurjategija kätte ka sama inimese GMaili postikonto ning Orkuti profiili. Siit omakorda satuvad ohtu kõik ohvri sõbrad, kuna manipulaator võib esineda "omainimesena" ja kasutada teiste usaldust ära.

Manipulaator võib kasutada ka Orkutit, Facebooki või muud sarnast võrgustikuportaali potentsiaalsete ohvrite võrgustiku loomiseks, kellelt siis üritatakse petta välja piisavalt isiklikku infot, et seda identiteedipettusteks kasutada. Seepärast on väga oluline vaadata kriitilise pilguga üle kogu info, mis sellistes võrgustikes avaldatakse.

Üks kõige paremaid näiteid eespoolöeldust oli Gazzag.com (praeguse nimega Octopop.com), mis käivitus 2006. aastal ja mida reklaamiti võrgus "uue vinge sotsiaalvõrgustikuna". Registreerumisel pakuti kasutajale Orkuti kontaktide importimise võimalust ning küsiti selleks parooli. Tegu oli muidugi Google'i üldparooliga ja sellega said kõrvalised isikud ligipääsu ka kasutaja postkastile. Kõige tipuks saatis süsteem peale registreerumist uue kasutaja nimel liitumiskutse kõigile tema kontaktinimekirja liikmetele...

Mida teha?

Suur roll on seadusandlikel sammudel, eriti aga seaduste muutmine paindlikumaks, seadusloomeprotsessi kiirendamisel ning uue tehnoloogiaga vastavusse viimisel.

Hästi defineeritud eeskirjad aitavad tihti just tavakasutajatel lollustest hoiduda. "Oi, see on ju eeskirjade vastane" peatab nii mõnegi kergeuskliku töötaja, kes muidu laseks end vabalt alt tõmmata.

Ülimalt oluliseks saab piisav tehniline teadlikkus, eriti aga tavakasutajate harimine. Ükski tehnoloogia ei suuda tagada süsteemi turvalisust, kui klaviatuuri ja tooli vahel laiutab turvaauk...

Ka kodanikualgatuse korras vastutegevus on võimalik, nagu nägime 3. näites. Siiski tuleb arvestada, et tegu on eetiliselt hall tsooniga, kohati võivad "narrimised" aga võtta ka seadusevastase värvingu - seega tuleb hästi teada, millega tegeldakse.

SANS Institute'i dokument "A Multi-Level Defense Against Social Engineering" pakub Mitnicki ideedele üsna sarnaseid asju. Ühe huvitava abinõuna võiks mainida "maamiinide" kasutamist - need on inimesed, reeglid või lahendused, mis on sarnaselt oma plahvatavate nimekaimudega mõeldud varitsema võimalikke ründajaid. Maamiiniks võib olla oma nina igale poole toppida armastav koristaja, kelle "kiiksust" on firma teinud turvamehhanismi ja andnud talle vaikse loa töötajaid kontrollida. See võib olla ka mõni konksuga küsimus potentsiaalse kliendiga suhtlemisel.

Tulles tagasi Web 2.0 juurde, võib Mitnicki ja SANSi mõtteid rakendada ka siin:

Kokkuvõtteks

Tänase IT-maailma pahupool on vastik kokteil võrgu laiast levikust, lahjadest seadustest, ebaeetilistest ärihuvidest ja inimlikust lollusest. Tehnoloogiale jalga taha panna ei ole mõtet, seega on Leninile omistatav "õppida, õppida, õppida" igati asjakohane ja ilmselt ka peamine vastuabinõu. Lisada aga tuleks kindlasti ka "õpetada!".

Viiteid


Tagasi Kaku Akadeemia esilehele

Back to the Academy front page

1995-2024 Kaido Kikkas. Käesoleva dokumendi paljundamine, edasiandmine ja/või muutmine on sätestatud kas GNU Vaba Dokumentatsiooni Litsentsi versiooni 1.2 või uuemaga (Litsentsi ingliskeelne täistekst) või Creative Commonsi Autorile viitamine + Jagamine samadel tingimustel 3.0 Eesti litsentsi või uuemaga.

GNU FDL Creative Commons BY-SA 3.0 Estonia

1995-2024, by Kaido Kikkas. This document is distributed under either GNU Free Documentation License (v1.2 or newer) or Creative Commons Attribution-ShareAlike Estonia license v3.0 or newer.