Monthly Archives: July 2015

(Taas kord) veebilehtede ülevõtmisest

why-my-website-sells-viagra-1-728

(Allikas: http://www.slideshare.net/armeda/wp-endusersecurity)

Anto Veldre, RIA analüütik

Tänapäeval on info jagamine ja kodulehe asutamine muutunud erakordselt lihtsaks. Sead kusagil interneti ääres üles serveri (või suisa koduarvuti), paigaldad sellele veebiserveerimise tarkvara, näiteks tasuta saadaoleva WordPressi või Joomla ning maailmale infojagamise punkt ongi loodud. RIA on veebiserverite turvalisuse teemal mitu korda nõu jaganud.

Asja pahupoolelt – tänapäeva elutempo juures muutub tarkvara turva-auklikuks juba mõne kuuga. Ning kui jätta kodulehe mootor uuendamata ja unustusse, siis statistiliselt umbes kolme kuu pärast tulevad pahad poisid ja murravad kodulehele sisse.

Küsimus, mida sageli küsitakse, et miks just minu koduleht? Sissemurdmine käib tegelikult automaatselt, ründeskripti abil. Tegelikult on pättidel ükskõik, kuhu täpselt sisse saadakse. Peaasi, et mõni koduleht oleks sissemurtav ja et keegi teine maksaks elektri ja võrguühenduse eest.

Pättidel vaja nüüd teha otsus, mida ülevõetud serveriga peale hakata – kuidas panna see raha teenima.

Valikuid on mitmeid:

  1. Kui on väga kiire server, panna see BitCoin’i arvutama.
  2. levitada poliitilist meemi.
  3. levitada pahavara (a.k.a. arvutiviirust). Arvutiviirustega teenib palju, aga rajalt maha võetakse ka kiiresti.
  4. müüa võlts-Viagrat. Isik, kel ihuliikmed ei liigu nagu vaja, ja kes valehäbist kardab arstile minna, sisestabki sinna oma krediitkaardi numbrid. Kui hästi läheb, saab ta postiga jahutablette, kui halvasti, siis kuritarvitatakse ka isiku krediitkaarti. Kui läheb VÄGA halvasti ning libaravim sisaldabki rotimürki, võib naiivitar kaotada elu.
  5. lapsporno. Enamik pätte on normaalse orientatsiooniga ega salli säärast kraami silmaotsaski, kuid on ka juhtumeid, kus kooli kodulehest tehakse “sihukeste” piltide levituskoht.
  6. SEO. Veebileht pannakse tegelikku levituskohta üles kiitma.

Kui küberkurjamite muud rahateenimisviisid on Eesti avalikkusele aja jooksul enam-vähem lahti selgitatud, siis võlts-ravimite müügist on seni räägitud pisut vähem.

Äriskeem on iseenesest päris lihtne. Keegi kusagil (üldsegi mitte Eestis) vorbib oma kuuris tablette. Enamasti pole tableti farmakoloogiline sisu üldse see, mis pakendil kirjas – kas on kraam lahjem või suisa platseebo. Selline võltsravimiäri aga vajab reklaami – kust muidu ikka kliente saada?!

Rove Digitali ehk nn DNS Changer’i juhtumis selgus ka, kuidas täpselt kodukasutajate arvuteid pahavaraga üle võetakse. Pahavara asendab kasutaja ekraanil nn seadusliku reklaami mitu taset hämaramate teenuste (sealhulgas võlts-Viagra) reklaamiga.

Küsimus nüüd selles, et kas Eesti elanik on ohustatud. Kuigi võlts-Viagrat serveeritakse vahel ka Eesti kodulehtedel, ei tähenda see veel, et libatabletid jõuaksid Eestisse – toll tõkestab säärast kaubandust väga efektiivselt. Veebis aga pole vahet, kus riigis reklaam asub – Eestis paiknevat “müügisaiti” kasutatakse enamjaolt hoopis muude riikide kodanike peal.

Seega, kui keegi avastab mõnest Eestiga seotud serverist võltsravimite reklaami, siis kõige targem on sellest teada anda kodulehe omanikule ning CERT-EE‘le, kes siis suhtleb internetiteenuse pakkujatega ning laseb sissemurtud kodulehe kiiresti välja ravida. Ühtlasi tuleks alati informeerida politseid (sest kui ise avaldust ei kirjuta, siis ei saa nemad pätte püüda!).

Võib pikalt vaielda selle üle, milline kodulehe ärakurvitamise viis on omanikule kõige ohutum. Kriminaalasi võib kaela tulla iga kuritarvitusviisiga. Mistõttu, kui olete kord juba kodulehe üles pannud, tuleks selle eest ka korralikult hoolitseda, installeerida turvapaikasid ja monitoorida kasutuslogisid. Kui ise ei oska, saab seda teenust osta mõnelt veebifirmalt.

Suuremad sirviku-uuendused sel suvel

ID-kaart

Allikas: www.id.ee

Anto Veldre, RIA analüütik

Mujal maailmas kasutavad veebis kiipkaarti vaid lipsustatud riigiametnikud ning vahel harva ehk ka sõjaväelased – nemad ainukesena vajavad oma süsteemides nii turvalist sisenemisviisi.

Eesti oma e-ühiskonnaga on aga täiesti teistsugune riik. Meil on kiipkaart (ID-kaart) taskus nii tädi Maalil kui onu Voldemaril ning lihtsurelikud tegelikult oskavadki selle riistapuuga edukalt ringi käia. See on põhjus, miks meil siin suured kübervargused ja identiteedipettused on pea olematud.

Väga sageli pruugitakse ID-kaarti brauseri (ehk internetisirviku) kaudu. Iga kord, kui mõni
suurem tootja teeb suurema muudatuse internetisirvikus või operatsioonisüsteemis, tuleb meil Eestis selle muudatusega arvestada ning muudatus ID-kaardi ökosüsteemiga sobitada (mõningate kriitikute ideaalses maailmas käiksid maailma suurimad IT-firmad ise enne iga uuendust Eesti käest nõu küsimas, kuid olgem realistid!). Muudatustel on vaja silm hoolikalt peal hoida, kuniks ID-kaart muutub maailmas universaalseks ning suured IT-firmad ise hakkavad hoolitsema kiipkaardi liidestamise eest.


Sel suvel toimub suisa kaks otsapidi ID-kaardisse puutuvat uuenduslikku sündmust. Kõigepealt tuleb Microsoft 29. juulil välja Windows 10 nimelise uudistootega, milles sisaldub täiesti uus ja seninägematu brauser Edge (*). Õnnelikel kasutajatel tuleb ära õppida, et Internet Explorer paikneb nüüd Accessories/Tarvikud menüüs, õnnetutel teenuseomanikel aga üle kontrollida, et Edge’i ja IE vaheline teatepulga üleandmine ikka toimuks nagu välja reklaamitud.

Teise uudisena viib Google sügiseks lõpuni oma sirviku Chrome modifitseerimise, mistõttu veebiteenuste omanikud Eestis peavad ID-kaardiga allkirjastamise teenuseid pisut kohendama (installeerima hwcrypto.js nimelise teegi). Lihtkasutajale see umbes 15. augustil aset leidev muudatus koormust ei pane, küll aga teenuseomanikele.

Microsoft Edge ja ID-kaardi tugi

Microsoft_Edge_logo

Allikas: Wikimedia Commons, autor: Microsoft Corporation.

29. juulil avalikustab Microsoft kauaoodatud operatsioonisüsteemi Windows 10. Juba enne saabumist muutus see toode rahva seas populaarseks, sest võimaldab ka kõige hinnatundlikumal tarbijal (end Insaiderina registreerides) oma arvuti tasuta Windows 7 või 8 pealt uuemale versioonile uuendada. Arvata võib, et seda võimalust kasutavad Eestis päris paljud. Esialgu suunatakse Win 10 kodukasutajale, kuid ehk aasta pärast jõuab Windows 10 ka asutustesse ja firmadesse.

Kasulik on teada, et Microsoft korraldas interneti sirvimise pisut ringi. Senine Internet Explorer ei kao kusagile, kuid asub nüüdsest menüüs Tarvikud/Accessories, mistõttu päris esimesel korral võib IE leidmine osutuda pisut keeruliseks. ID-kaardi tugi IE-le jääb kenasti käima ning uuendusi selle kasutamises pole.

Uuendus on hoopis Edge brauser – täiesti uus internetisirvik, mis peaks aja jooksul IE rolli üle võtma. Eesti mure kirjeldub viisil, et Windows 10 koos Edge’iga on algusetapil suunatud põhiliselt ikka kodukasutajatele, sestap puudub ID-kaardi tugi – kuivõrd teistes riikides ja teistel turgudel tädi Maali kiipkaarti ei vaja. Microsoft on Edge’i puhul öelnud kindla JAHi ka kiipkaardi toele, kuid see saabub “pisut hiljem”.

Kasutajal on nüüd päris mitu võimalust:

  • leida IE, tuua selle ikoon töölauale ning kasutada ID-kaardi jaoks IEd edasi nagu muiste,
  • Edge’is juba avanenud veebilehele öelda – avane nüüd parem Internet Exploreris,
  • minna selguse saabumiseni üle m-ID-le (mis teatavasti pole brauseritundlik),
  • pruukida mõnda konkureerivat OSi (Mac, Linux) või sirvikut (Firefox, Chrome).

Võimalusi on palju, sestap ID-kaardi kasutamine seisma ei jää. Tehnikafriigile kõige põnevam võimalus on lausa revolutsiooniline:

  • lasta Edge’il endal otsustada, millal juhtimine IE-le üle anda.

Edge peaks olema sedavõrd tark, et tunneb ise ära veebilehed, kus vajatakse ID-kaardiga sisselogimist ning kutsub sealkohas ise välja Internet Exploreri. Võimalik, et mõne e-teenuse sobitamiseks selle uue võimalusega tuleb omanikul siiski pisut ka HTTP päiseid timmida.

Autentimise (ehk sisselogimise) lisamine Edge’ile saab olema lihtne. Allkirjastamise (ehk signeerimise) lisandus kujuneb pisut ajamahukamaks, saades võimalikuks alles siis, kui Edge’ile saabub vastav lisamoodul (plugin, laiendus, extension). Võib oletada, et signeerimise lisakomponent saab olema Javaskripti põhine.

Google vs NPAPI

Vananenud tehnoloogia tuleb mingil hetkel välja vahetada. Küsimus vaid selles, et mida täpselt lugeda vanaks ning kui äkitselt saabub hetk. Saksamaal on terve ports linnasid, kuhu minu 20 aasta vanust ameerika autot saastekaalutlustel enam sisse ei lubata. Aastast 2016 on minu vanale autole näiteks suletud juba ka Pariis.

1971_Buick_Riviera_(15685013874)

Allikas: Wikimedia Commons, autor: jeremyg3030

Ka internetimaailmas võib eristada tehnoloogilisi põlvkondasid. Aastal 1995 mõistis keegi, et paljasjalgse brauseriga Internetis suurt äri teha ei saa ning mõtles tollasele Netscape’ile juurde pluginate süsteemi. Kust saab brauser teada, et nüüd on vaja muusikat mängida? Aga palun, HTTP päistesse kirjutatakse “audio/mp3”. Juhul kui brauseril on helivõimeline plugin, siis just see käivitataksegi, selmet faili alla laadida.

Tehniline standard, millega lisamoodulid sirviku külge sobitati, sai nimeks NPAPI. Naljakas üle korrata, aga aasta oli siis 1995 (ning praegu on 2015). Seega pidas NPAPI standard vastu umbes 20 aastat, mida on IT ja interneti kohta ikka häbematult palju.

800px-Floppy_Disk_of_Netscape_Navigator

Allikas: Wikimedia Commons, autor: Toshihiro Oimatsu.

Paraku hakkas nii lihtne liidestamine ühel hetkel ohustama sellesama internetiäri turvalisust. Igasugused moodulid ja pluginakesed muudkui istutasid endid sirviku küürule ning tegid seal koledaid asju, näiteks luurasid rahaülekannete ja isikuandmete järele.

2013. a septembris otsustas Google, et NPAPI asendatakse uuema ja pisut kontrollituma tehnoloogiaga, mil nimeks Native Messages. Põhikaalutlus oli ikkagi turvalisus: et edaspidi ei saaks keegi sirviku seljas ratsutades andmeid pealt kuulata.

Pluginasõltuvuse teisest küljest on paraku vähem räägitud. Nimelt, kui sirviku poolel plugina-standard ringi teha, siis peavad ka info pakkujad (st serverid) esitama omi teenuseid pisut teisel kujul. NPAPI –> NativeMessages ülemineku hetkel peab serveriomanik omi teenuseid pisut kõpitsema.

Eesti eesrindliku riigna on säärastest tehnoloogiavahetusest märkimisväärselt mõjutatud, on ju Chrome brauseri turuosa hetkel vaid komakoha võrra alla 50%. Meie penetreeritus (mis paha sõna!) igasuguste e-teenustega, mida me ID-kaardi abil söögi alla ja peale tarbime, on sedavõrd suur, et brauserivahetus ei pruugi minna päris märkamatult.

Kodukasutaja poolel tehti edukas muudatus ära juba mais ning kajastasime seda ka oma blogis. Kuid juba augustis saabub Chrome ver 45 ja sellega sooritatav muudatus survestab nüüd serveriomanikku, kes enam ei saa teenuse uuendamist edasi lükata. E-riigi puhul tähendab uuendus, et ID-kaardi allkirjastamise tehnoloogia tuleb uuema vastu välja vahetada (ühildumaks juba sooritatud brauserimuudatustega). RIA on välja töötanud ja kasutamiseks tasuta kättesaadavaks teinud ühe uue teegi, nimeks hwcrypto. Kõik, kes tahavad, et nende e-teenuses töötaks allkirjastamine ka pärast Chrome 45 saabumist, peaksid nüüd oma veebiteenust pisut ajakohastama. Muide, jutt ei käi vaid avalikest teenustest, vaid ka töötajatele sisetarbimiseks mõeldud süsteemidest (töövood, puhkuseavaldused vms, kõik kohad, kus PIN2 abil allkirjastamine toimub ilma DigiDoc3 abita).

Häda neile, kes pole augustiks omi süsteeme hwcrypto peale uuendanud. Sest 15. augustil saabub Chrome 45 ja laiskus muutub kliendile nähtavaks.

Rõhk kliendisuhtel

ZOETERMEER - Callcenter Teleperformance in Zoetermeer. ANP PHOTO XTRA LEX VAN LIESHOUT

Allikas: Wikimedia Commons; autor: Dutch central government, ANP PHOTO XTRA LEX VAN LIESHOUT

Mõlemi muudatuse puhul saab oluliseks teenusepakkuja poolt kliendile osutatav tugi. Ennustatavalt hakkavad kliendid oma Edge’i ja Chrome 45 muudatuste tõttu helistama, kirjutama ning joonistama – et mis teil seal ikkagi lahti, et ID-kaart ei tööta. Tegelikult töötab ID-kaart nagu kulda, piisab vaid asjalikest selgitustest ja pisukesest käehoidmisest. Teenuseomanikel tuleb ülekoormuse perioodideks seega valmistuda ning planeerida oma kasutajatoele tavalisega võrreldes 2–3-kordne resurss.

* – Sirviku Edge varasem nimi (arendusprojekti vältel) oli Spartan.