Pealkirjaks olev "vanasõna" on küll ühe teise kohandus, kuid hoopis olulisema lause andmeturbe kolmest komponendist on öelnud kunagine USA tagaotsituim inimene, keda FBI tulutult mitu aastat üle kogu riigi jahtis: Kevin Mitnick. Nüüdseks on temast saanud turvaekspert, kes ilmselt teab, millest räägib. Andmeturve tuleneb nimelt kolmest erinevast komponendist, milleks on a) tehnoloogia, b) koolitus ja c) eeskirjad. Mitnicki sõnul on ka tegemist kolme komponendi korrutise, mitte summaga - kui üks neist on null või nullilähedane, on seda ka kogutulemus. Tänases teemas vaatlemegi andmeturbe eri aspekte - olgu aga öeldud, et see teema on äärmiselt suur ja samavõrd oluline, mistõttu iseseisev edasiuurimine on ülimalt soovitav.
Ühe suure sõlmküsimusena võib ka mainida turberikkumiste motivatsiooni. Ühelt poolt on olemas selged ründajad, teisalt puudub ka kaitsjatel motivatsioon probleemi lõplikuks lahendamiseks - ilmselt ei oleks ükski suur turvaettevõte (IT-maailmas näiteks Symantec või Kaspersky) väga õnnelik, kui mõni võlur ühel päeval kogu pahavara lihtsalt ära kaotaks...
Andmeturbe juured ulatuvad kaugetesse aegadesse - info salastatusega tegeldi juba antiikajal (üheks tuntumaks näiteks võib pidada Caesari šifrit, samuti on tuntud asi scytale). Seosed IT-maailmaga tulevad samuti varakult - mainida võib Alan Turingit, aga ka näiteks külma sõja algusaegade UKUSA lepet ning sealt alguse saanud jälgimis- ja nuhkimissüsteeme "demokraatlikus" läänemaailmas.
Ühe korduva asjaoluna tuleks mainida, et kaagid ärkavad varakult. Esimesed laiema levikuga arvutiviirused ilmusid 80-ndate esimesel poolel, varsti peale esimese IBM PC tulekut, Interneti ärikeelu kaotamisele 1991. aastal järgnes esmalt suur spämmilaviin ja alles seejärel asjalikud e-teenused, sotsiaalmeediat on algusest peale saatnud petised ja trollid. Internetis avastati turvateema laiemalt alles peale 1988. aasta 2. novembri Musta Neljapäeva, mil Morrise uss suutis suure osa tollasest Internetist ära halvata...
Steven Levy (keda oleme korduvalt tsiteerinud) ja paljud teised on maininud, kuidas MIT häkkerid eesotsas Richard Stallmaniga suhtusid 1977. aastal sisseviidud paroolisüsteemi mitte kui turvaabinõusse, vaid kui ahistavasse tõkkesse vaba infolevi teel. Nii muukis Stallman süsteemi paroolid lahti, saatis need omanikele koos soovitusega asja mitte ülearu keeruliseks ajada, vaid jätta parool üldse tühjaks. Nii võis igaüks arvutit kasutada, kui konto omanik seda hetkel ei vajanud (muidugi ei tuleks tänapäeval sellest midagi head, kuid see on heaks näiteks olukorra muutumisest).
Olud on tõepoolest teised - kui häkkerite algaegadel oli arvuti väheste proffide privileeg, siis nüüd võib arvuti olla ka kodutul. Tänaseks on arvuti massides ning see on viinud ühiskonda tublisti edasi - paraku on aga olemas ka Nigeeria stiilis "ärimehed", võrku kolinud organiseeritud kuritegevus ning mis peamine - suur armee hästivarustatud lolle.
Alljärgnev on mittetäielik ülevaade andmeturbe eri probleemvaldkondadest. Mitmed neist põimuvad omavahel, eri aegadel ja paigus on nende mõju olnud erinev ning kindlasti toob iga päev juurde uusi aspekte. Seetõttu tuleks selle valdkonna osas pidevalt "näppu järje peal" hoida.
Pahavara (malware) on üldine termin kahjuliku mõjuga tarkvara kohta. Siia kuuluvad näiteks
Lisaks võib veel mainida mehhanisme, mis enamasti ei ole eraldiseisvad, vaid mõne pahavara omadused:
Väga sageli kombineerib tänane pahavara mitmeid elemente toodud loetelust. Tasub ka märkida, et mõnelgi juhul sõltub "kuri iseloom" kontekstist - näiteks kaugligipääsu arvutisse saab kasutada nii käkikeeramiseks kui hädasolijast võhiku aitamiseks.
Teise inimese identiteedi omastamine on samuti tuntud hallidest aegadest, kuid internetiajastu pakub selleks kuhjaga uusi võimalusi. Väga tihti piisab lihtsamaks "teatritegemiseks" lihtsast guugeldamisest, veidi tõsisematel juhtudel tuleb jälgida inimese toimetamist sotsiaalmeedias veidi pikemalt ning õppida "temaks olemist" selle järgi. Sageli kasutatakse mitmeid sotsiaalmanipulatsiooni võtteid (vt allpool). Interneti kontekstis on aga levinud võtteks õngitsemine - ohvri peibutamine sisestama enda isikuandmeid võltsitud veebilehele, kus need pahalase kätte satuvad (lehe aadress saadetakse enamasti kas rämpsposti või mõnd kiirsuhtluskanalit kasutades),levinud on ka veebilehe pahatahtlik ümbersuunamine (vt eespool). Veel üheks õngitsemise vormiks on traadita võrkudes "kurja kaksikvenna" kasutamine - luuakse mõne avaliku võrguga sarnase nimega võrk, millesse logijate võrguliiklust kuulatakse pealt ja püütakse sealt vajalik info kinni. Samalaadseid asju (bluejacking, bluesnarfing) tehakse tänapäeval üha enam ka Bluetoothiga (mida tavainimesed hoiavad reeglina enda nutiseadmetes aktiivsena). Ja viimaks võib siia liigitada ka erinevad domeeniründed, olgu siis lihtsalt petliku sarnasusega (N: paypal-online.com vms) või homoglüüfide kasutamisega (sarnased tähemärgid eri tähestikes/kooditabelites).
Suur osa tänasest pahavarast on loodud ressursihõive eesmärgil - ohvri arvuti pannakse (tavaliselt paralleelselt seadusliku tegevusega ja võimaluse piires märkamatuks jäädes) ründaja heaks tööle, enamasti osana suuremast botnetist ehk robotvõrgust. Eesmärk võib olla ka ohvrile võrdlemisi kahjutu (näiteks krüptoraha "kaevandamine"), kuid enamasti kasutatakse sellist improviseeritud superarvutit (näiteks 2007. aastal väitis InformationWeek, et tollane Stormi robotvõrk edestas võimsuselt kõiki maailma superarvuteid) siiski kurjade kavatsustega. Levinumad kasutusviisid on rämpsposti levitamine ning teenusetõkestusründed (DDoS).
Uueks ohtlikuks tendentsiks on asjade interneti, värkvõrgu ehk nutistu (võrku ühendatud nutitelerid, võrguseadmed jms) ärakasutamine, mille eest asjatundjad on juba mõnda aega hoiatanud, et ometi on paljud seadmed kasutusel vaikimisi paroolidega (ja hullemal juhul ei olegi neid kasutajal võimalik muuta). Heaks näiteks on Mirai pahavara ja selle loodud robotvõrk.
Kurikuulsad Nigeeria kirjad levisid juba tavaposti ajastul. Nigeeria "petiste riigina" on muide klassikaline näide maast, mis on ressurssidelt rikas ja mille rahvas on (piirkonna kohta) küllalt hästi haritud, kuid mida on kaua valitsenud korrumpeerunud võimumehed ning ühiskondlik ebavõrdsus on väga suur (üsna hea pildi annab CIA World Factbook). Tulemuseks on hulk haritud ja initsiatiivikaid inimesi, kes aga ei näe endal muud perspektiivi kui kuritegevus - sellest võiks õppida ka väga mitmete teiste riikide juhid (näiteks on "Euroopa Nigeeria" juba kaua asunud Rumeenias).
Internetipettuste laiema leviku algus langeb 90-ndate algusse - aega, mil veebi sünniga toodi Internet tavainimeseni ning sealt kadus ärikeeld. Esimene pettustelaine kasutas peamiselt rämpsposti ja oli osa 90-ndate keskpaiga spämmiuputusest (kuna ei seadusandlikud ega tehnilised vastumeetmed ei olnud veel välja kujunenud). Probleem muutus veel tõsisemaks sajandivahetuse kandis sotsiaalmeedia tekkega - ehkki suurte sotsiaalvõrgustike (Myspace, Orkut, hiljem Facebook) omanikud püüdsid petturitega võidelda, ei ole nendest seal lõpuni lahti saadud. Ning viimastel aastatel on täiendava tegurina lisandunud arvutite hõivamine ja robotvõrgud.
Mõnede levinud petuskeemidena võib mainida järgmisi:
Kõrvalepõikena - miks ikkagi on "kurja juureks" just Nigeeria? Põhjusi on palju, sealhulgas:
Tulemuseks on paraku ka see, et Nigeeria seaduskuulekad kodanikud satuvad tihti võrgus kannatajate ossa - paljudele adminnidele piisab Nigeeria IP-st, et kasutaja automaatselt /dev/null'i poole teele saata...
Vastukaaluks on aga olemas üks teine seltskond, kes tegeleb hämaravõitu "spordialaga" nimega scambaiting (ka mugu-baiting, eestikeelseks vasteks võiks sobida "pätikottimine"). Eesmärgiks on petisega kaasa mängida ning too ümber sõrme keerata - kohati on tegemist manipuleerimise tipptasemega (näiteks http://scamorama.com/smurf.html). On näiteid, kus petised on saatnud "sportlasele" ise raha, teinud endast totraid pilte või lennanud oma raha eest tühja kuhugi kaugesse paika "raha järele". Põhjenduseks tuuakse, et petturi aeg raisatakse teadliku inimese peale ning ta ei jõua samal ajal mõnd kergeusklikku paljaks teha - samas on siin tegu eetiliselt halli alaga, kuna ka petise petmine jääb petmiseks.
Ingliskeelne social engineering tähendab eri teadusaladel eri asju (näiteks sotsioloogias on pigem positiivne termin, tähistades ühiskondlike protsesside suunamist paremuse poole), andmeturbes on see aga selgelt negatiivse tähendusega ja tähistab inimestega manipuleerimist mingi (enamasti pahatahtliku) eesmärgi saavutamiseks. Veel üheks seonduvaks terminiks on Johnny Longi pakutud no tech hacking ehk ligipääsu saavutamine mingile piiratud infole mitte tehnoloogilise ründe (kräkkimine ehk võrgupõhine sissemurdmine), vaid oskusliku suhtlemise, erinevate ettekäänete ja eelinfo kasutamise (pretexting - esmalt hangitakse mõne süütu päringuga mingi vähemoluline info, mille valdamine aga aitab esineda omainimesena) ning vahel ka näitlemise abiga. Näiteks helistades raamatupidamisse ja küsides otse "Mis on palgakulude kontonumber?" võidakse võõrale mitte vastata - kuid kui esmalt saadakse teada, et osakonnajuhataja assistent preili Kask töötab ruumis 116, võib märksa edukam kõne olla "Tere, siin Marta Kask 116-st. Mul on arvuti katki, mis on palgakulude kontonumber?".
Veel mõnedeks levinud võteteks on näiteks
Manipulatsiooniteema lõpetuseks: Web 2.0 ehk ajaveebid, wikid, veebipõhised sotsiaalvõrgustikud jpm tõi sajandivahetuse paiku kaasa palju uusi, huvitavaid ja kasulikke viise suhelda kaasinimestega, keda muidu ehk kunagi ei kohtaks. Paraku avas see ka uue tööpõllu manipulaatoritele. Kui eespoolkirjeldatud tüngatehnikaid kombineerida paljudes Web 2.0 rakendustes esinevate "usaldusvõrgustikega" (näiteks Orkuti sõbralist), on tulemuseks üpris ohtlik segu. Pea kõik manipulatsioonid algavad usalduse tekitamisest rühdaja ja ohvri vahel. Kui Mitnick oma tavatelefoniga pidi usaldust võitma ikka ja jälle uuesti, siis praeguses võrgus on tihti olemas valmiskujul suhtevõrgustik, mida ära kasutada.
Mitnickil tuli kogutud infotükid käsitsi kokku panna. Tänastes veebipõhistes võrgustikes on aga vahel suur osa tööd kurikaela eest ära tehtud - paljudel populaarsetel teenustel on üks omanik (Microsoft, Yahoo!, Google jt). Mida keerukamaks eri teenuste omavaheline põimumine läheb, seda kergem on manipulaatori elu (muuhulgas on tõenäolisem ka turvaaukude avastamine). Näiteks YouTube'is turvaaugu leidmine ja sealtkaudu kasutaja Google'i parooli kättesaamine annab kurjategija kätte ka sama inimese GMaili postikonto ning Google+ profiili. Siit omakorda satuvad ohtu kõik ohvri sõbrad, kuna manipulaator võib esineda "omainimesena" ja kasutada teiste usaldust ära.
Manipulaator võib kasutada sotsiaalvõrgustikku potentsiaalsete ohvrite võrgustiku loomiseks, kellelt siis üritatakse petta välja piisavalt isiklikku infot, et seda identiteedipettusteks kasutada. Seepärast on väga oluline vaadata kriitilise pilguga üle kogu info, mis sellistes võrgustikes avaldatakse. Üks kõige paremaid näiteid eespoolöeldust oli Gazzag.com (praeguse nimega Octopop.com), mis käivitus 2006. aastal ja mida reklaamiti võrgus "uue vinge sotsiaalvõrgustikuna". Registreerumisel pakuti kasutajale Orkuti kontaktide importimise võimalust ning küsiti selleks parooli. Tegu oli muidugi Google'i üldparooliga ja sellega said kõrvalised isikud ligipääsu ka kasutaja postkastile. Kõige tipuks saatis süsteem peale registreerumist uue kasutaja nimel liitumiskutse kõigile tema kontaktinimekirja liikmetele...
See sai alguse juba Interneti varajastel päevadel (esimene teadaolev masspostitus toimus tollases ARPAnetis 1978. aastal, kui Gary Thuerk saatis ühe projektireklaami 600-le kasutajale), "paisu murdumine" aga toimus 1991. aastal, mil Internetis kadus ärikeeld. Esimesena reageerisid paraku pätid - ja kuna ontlikud inimesed ei osanud kohe midagi ette võtta (kuna reegleid, mida võib ja mida mitte, ei olnud keegi piisava täpsusega kirja pannud), siis sai alguse tänini kestev netinuhtlus. Varasemate aastate hinnangutel oli 75-90% internetiliiklusest rämps ning 2010. aastal hinnati päevaseks rämpsukoguseks 200 miljardit rämpssõnumit - ent viimastel aastatel on täheldatud teatavat langustrendi. 2018. aasta eri allikad (Kaspersky jt) pakuvad rämpsuprotsendiks 50-85% kõigist e-kirjadest (see on muuhulgas seletatav ka e-posti olulisuse mõningase langusega viimasel aastakümnel).
Õnneks on tänaseks õpitud rämpsposti vähemalt vastuvõtvate serverite tasemel talitsema, nii et suur osa rämpspostitustest ei jõuagi adressaadini - samas on rämpsposti saatmine nii odav (eri hinnangutel maksab ühe sõnumi saatmine 1/10000 sendi ringis), et juba ühe eduka "müügiga" saab ära katta miljonite sõnumite saatmiskulu.
Spämmitud on erinevaid asju, ent väga suur osa on rämpsreklaamil. Pikka aega on üheks valitsejaks olnud ravimid - kuna need on läänemaailmas (ebaõiglaselt?) kallid, siis on palju pakutavast kraamist võltsing, kuid leidub ka althõlma kaubitsemist päris ravimitega. Viimastel aastatel on siia lisandunud ka erinevad toidulisandid ja dieet-tooted. Lisaks on pikka aega spämmitud erinevaid "püstiajavaid" asju ning võltsdiplomeid. Mõnevõrra vähenenud on "pump and dump" aktsiaskeemid.
Ebaeetilise rämpsposti tipuks võib ilmselt pidada sõnumeid, mis üritavad kasu lõigata erinevatest õnnetustest - olgu siis tegu Vaikse ookeani tsunami, Fukushima tuumakatastroofi või mõne lennuõnnetusega. Viimasel ajal on Google Translate võimaldanud saata ka üsna viisakas eesti keeles sõnumeid kelleltki tuttavalt, kes olevat välismaal õnnetusse sattunud ja palub nüüd veidi raha saata...
Huvitav on märkida, et spämmi päritolu on hakanud muutuma - kui varem oli "suureks kolmikuks" USA, Hiina ja Venemaa, siis Cyreni 2014. aasta raport näitab kirjumat pilti. Päris tugevalt on esile kerkinud hispaaniakeelne maailm, lisaks on tulnud juurde mitmed Lääne-Euroopa maad (Itaalia, Saksamaa). Samas tuleb arvestada, et rämpsu saatmiseks kasutatav server võib asuda hoopis teises maailma otsas kui selle tegelik saatja.
Trollimine on küsitava väärtusega ajaviide, kus eesmärgiks on võrgus teiste inimeste šokeerimine või väljavihastamine. Termin on tõenäoliselt pärit Useneti hiilgeaegadest, kus mõnes grupis oli kombeks uustulnukaid nöökida - "vanad kalad" tegelesid "kollanokkade lantimisega" (trolling for newbies; sarnase alatooniga on ka Slashdoti portaalist tuntud lause you must be new here). Seega on see termin tõenäoliselt algselt pärit kalapüügiviisilt, mitte skandinaavia müütidest pärit tegelaselt.
Tõsiselt pahatahtliku internetitrollimise ajalugu aga loetakse sageli 4chani tekkest 2003. aastal, eriti aga sealset /b/ ehk "random"-sektsiooni. On teada päris mitmeid juhtumeid, kus sealt alguse saanud ahistamine (doxing) on viinud tõsiste tagajärgedeni. Probleemiks on ka sotsiaalmeedia ja ajakirjanduse piiride hägustumine, mis võib sensatsioonijanu ja kontrollimatu klikkidejahtimise kaudu kohati tuua "korralikku" tavameediasse üsna haigeid asju.
Trollimise kergemaks, lõbusamaks aspektiks võib lugeda erinevaid netimeeme ja -tüngasid (üks esimesi oli ilmselt rickrolling, tuntud asi on ka Lolcat).
Viimastel aastatel on üha laiemalt levinud ka trolliv riigivõim ehk sarnaste mehhanismide kasutamine riikidevahelises infosõjas, propagandas ja desinformatsiooni levitamisel. Eriti levinud on see Venemaal (Internet Research Agency Peterburis jt), aga ka Hiinas ja mujal.
Selle terminiga mõeldakse enamasti poliitiliselt motiveeritud tehnoloogilisi ründeid. Kergemakaalulised juhtumid on peamiselt seotud veebilehtede näotustamisega (defacement; sisuliselt võrreldav poliitilise grafitiga). Tõsisema otsa pealt aga võib see minna spionaaži töömaile (üht head näidet kirjeldab Cliff Stoll enda raamatus "Käomuna" - raamatus mainitud Chaos Computer Club loodi juba 1981 ning mingil perioodil sisaldas üksjagu punasevõitu ilmavaatega tegelasi, keda oli KGB-l lihtne enda heaks tööle värvata).
Tõenäoliselt tuntuim nimi selles vallas on Anonymous, mis sai sarnaselt trollidega alguse 4chanist (2004. aasta kandis). Ehkki tegu on igapidi virtuaalse rühmitusega, on nad ometi hakkama saanud mitmete reaalsete rünnetega (näiteks saientoloogide vastu suunatud Operation Chanology). Häktivismiga tegeleb ka ISISena tuntud seltskond, kes omakorda on olnud korduvalt Anonymouse sihtmärgiks. Veel üheks selle teemaga tegelenud seltsinguks on LulzSec.
Riiklike jälgimismehhanismide ajalugu läheb samuti kaugele tahapoole IT-ajastust. Kõrgtehnoloogilise jälgimise üheks tinglikuks sünnipäevaks peetakse viie ingliskeelse riigi pakti (UKUSA lepe ehk "viis silma" - USA, Suurbritannia, Kanada, Austraalia, Uus-Meremaa), mis esmakordselt läks otseselt vastuollu varasema "aumeeste põhimõttega", mille järgi riik omaenda kodanike järel ei nuhkinud. Tõsi, see lahendati tõsise JOKKi abiga - inglased jälgisid kanadalasi, kanadalased ameeriklasi, ameeriklased austraallasi jne (üks versioon sellest skeemist leidub siin). Süsteemi tunti laiemalt koodnime ECHELON all. Tollal põhjendati selle vajadust peamiselt vajadusega võidelda kurjade kommunistide vastu - kommunismi kokkuvarisemise järel eelmise sajandi lõpus tuli sujuvalt asemele vajadus võidelda rahvusvahelise terrorismiga.
Suure Venna tegutsemisest annab teatavat aimu 2006. aastal alguse saanud Wikileaksi tegevus, ka on tänaseks võrgus küllalt vabalt saadaval külma sõja aegseid juhtumeid puudutav info.
Küberruum on tänaseks kujunemas veel üheks lahingutegevuse tandriks maa, õhu, vee ja kosmose kõrval. Kui varasemad selle valdkonna tegevused kuulusid eespoolvaadeldud valdkondadesse, siis tänaseks on olemas ka küberrelvad. Esimeseks sellelaadseks on peetud Stuxnetti, mis oli mõeldud Iraani Natanzi tuumaelektrijaama tsentrifuugide rivist välja viimiseks. Ehkki vaieldakse, kas Eestis ja Gruusias 2007. aastal tehtud küberrünnakud olid kübersõda või ei, on need selgelt samas reas Venemaal kanda kinnitanud hübriidsõja doktriiniga. Sarnaseid nähtusi leiab ka Hiinast, kus on moodustatud "punahäkkerite" (honke) organisatsioonid (nagu Punahäkkerite Liit.
Huvilistele võib soovitada edasiuurimiseks NATO küberkaitsekeskuse koostatud Tallinna manuaali.
Siin võiks mainida järgmisi lahendusi:
Lisaks tuleks taas kord mainida tehnoloogiavalikuid kui olulist osa turvalisuse tõstmisel - seni, kuni väga suur hulk pahavara sihib otseselt üht konkreetset platvormi, ei ole mingit vabandust alternatiivide eiramisele.
Selle punkti juures võiks esmalt meenutada, kuidas toimus hästituntud Tiigrihüppe programm Eestis:
Koolitus võib hõlmata järgmisi aspekte:
Paikapandud mängureeglitest on enamasti palju abi - paljud "ärarääkimised" saavad alguse just sellest, et inimene ei tea täpselt, kuidas ta selles olukorras peaks käituma ("võõraid ei tohi sisse lasta - aga kuidas ma löön ukse teise inimese nina ees kinni?"). Reeglid võivad hõlmata näiteks järgmisi valdkondi:
Eestis on kasutusel Riigi Infosüsteemide Ameti hallatav infosüsteemide kolmeastmeline etalonturbe süsteem ISKE, millega soovitaks kõigil tutvuda.
NB! Need on sellises sõnastuses siinkirjutaja arvamus, kuid päris "lambist" see loodetavasti ei pärine.
Soovitused võiks esitada ajaloos läbiproovitud kümne käsu vormis (see on vaid üks võimalik valik):
Tänases maailmas on andmeturbest saanud igaühe asi. Arvutist on saanud autoga võrreldav tarbeese - nagu enamik autojuhte ei paranda ise autot, ei ole enamik arvutikasutajaid IT-inimesed. Ent nagu autojuht peab teadma liikluses parema käe reeglit, nii peab arvutiomanik hoolitsema vähemalt elementaarsel tasemel oma arvuti turvalisuse eest. Ning Mitnicki valem (tehnoloogia, koolitus, reeglid) kehtib ühtmoodi nii suurettevõttes, koolis kui ka koduses arvutikasutuses.
Tagasi Kaku Akadeemia esilehele
Back to the Academy front page
1995-2024 Kaido Kikkas. Käesoleva dokumendi paljundamine, edasiandmine ja/või muutmine on sätestatud kas GNU Vaba Dokumentatsiooni Litsentsi versiooni 1.2 või uuemaga (Litsentsi ingliskeelne täistekst) või Creative Commonsi Autorile viitamine + Jagamine samadel tingimustel 3.0 Eesti litsentsi või uuemaga.
1995-2024, by Kaido Kikkas. This document is distributed under either GNU Free Documentation License (v1.2 or newer) or Creative Commons Attribution-ShareAlike Estonia license v3.0 or newer.