Author Archives: Rauno Veri

Kuhu heidame usaldusankru?

Riigi Infosüsteemi Ameti analüütik Anto Veldre kirjutab usaldusnimekirjade aegumisest.

5_500

Allikas: http://oceanexplorer.noaa.gov/history/readings/gulf/media/5_500.jpg

Internetis leidub üks ressurss, mida tavainimene otseselt ei vaja – nimelt TLTrusted List. Küll aga vajab seda ressurssi ID-kaardi baastarkvara, eriti ja eelkõige siis DigiDoc3 klient (programm). Ehk siis – sama programm, mida kasutatakse oma arvutis digiallkirja andmiseks.

Tegelikult – DigiDoc3 klientprogramm küsib kohe käivitudes netist järele, keda ta allkirjade küsimuses üldse peaks usaldama. Teistpidi sõnastades, TL on Euroopa poolt heaks kiidetud, sertifitseeritud ja muidu toredate teenusepakkujate nimekiri (list), ilma milleta on arvutis pea võimatu digiallkirju anda või verifitseerida.

Peatselt aga seisab meil ees sündmus, kus TL vana versiooni (v30) kehtivusaeg saab ümber, mistõttu digiallkirjadega toimetavad programmid peavad endale hankima Trusted Listi uue versiooni. Kõige uuem ja praegu kehtiv TL kannab muide versiooninumbrit 32.

Mis seal salata, vahepeal õppisid kontorite itimehed usaldusankrut pisut “sättima”. Selmet kogu kontoris tarkvara ära uuendada, trikitasid nad oma ankru merre TL vana versiooni kohal. Ent nagu öeldud, detsembris saab see epohh läbi, sest TL v30 lihtsalt aegub, lõpetab kehtivuse.

Ja nüüd asub kontorisündmusi juhtima pisuke “lisamure”. Vahepeal nimelt uuendati kogu Euroopas TL vormingut. Kui Trusted List v30 avalikustati veel vanas vormingus (v4), siis praegu kehtiv TL on sõnastatud juba järgmises, v5 vormingus. Seega, iga programm, mis soovib digiallkirjadega toimetada (koduarvutis, tööarvutis, teenuseserveris), peab suutma TL v5 vormingut lugeda.

Mäletatavasti juulist ajaarvamine muutus ning pärast usaldusteenuste üleminekut eIDASele saame üle-euroopalises kontekstis vaid ülejäänud Euroopaga sama jalga käia. Trikitamisvõimalused on otsas.

Kodukasutaja

Klientide pool jookseb piir baastarkvara v 3.12.4 juurest. Teisisõnu, usaldusteenuse pakkujate nimekirja uut vormingut suudab töödelda ID-kaardi tarkvara alates versiooninumbrist 3.12.4. Kõik eelmised versioonid jäävad uue vormingu lugemisega hätta.

tarkvara-klient

Allikas: id.ee

Kodukasutajal pole vaja teha suurt muud, kui tuua aadressilt installer.id.ee endale ID-kaardi tarkvara uusim versioon ning see paigaldada. Uuendamine toimub kiiresti ning juba viie minuti pärast töötab kõik taas. Versiooninumbrid… nende teadmine kahju ei tee, kuid kaasajal saab ka ilma mõtlemata – uusim tarkvara töötab kõige paremini.

Kui kristalselt aus olla, siis võiks kasutaja veel üle vaadata, ega mõni brauseriplugin järsku sättimist ei vaja… sirvikutootjad on läinud väga täpseks ja võib juhtuda, et sirviku pluginates vajab mõni linnuke tegemist.

Ent Vista ja XP? See rong on läinud, neid operatsioonisüsteeme ei toetata juba poolteist aastat. Põhjus lihtne – pole mõtet maksumaksja raha surnud hobusesesse pumbata.

Teekide ajaloost

Kogu edasine jutt on mõeldud asutuste ja firmade asjapulkadele – kodukasutajale pole järgnev info ülearu põnev. Et siis millal täpselt tekkis vajadus jDigiDoc välja vahetada DigiDoc4j vastu?

Vanasti kasutasid asutused ja firmad digitaalallkirjastamiseks ja allkirjade kontrolliks teeki (ingl.k. library) nimega jDigiDoc. DDOC formaadiga sai see teek kenasti hakkama, kuid siis ajad muutusid – saabus BDOC vorming, saabusid euronõuded. Et saada hakkama ka digitaalallkirja uuemate vormingutega, nagu BDOC või suisa ASiC-E, valmis uus teek nimega DigiDoc4j (muide, vahel kasutatakse DigiDoc4j asemel ka lühendit DD4J.)

DD4J tuleku ajalugu (lihtsalt selleks, et keegi ei saaks öelda, et ta pole probleemipüstitusest kunagi varem kuulnud):

versioon-avaldatud

Allikas: id.ee

Vajadusest uuele teegile üle minna hakati rääkima juba päris ammu. Infohommiku materjal märtsist 2015. Novembris 2015 avalikustati DigiDoc4j teegi versioon 1.00. Vajadust vana teek kiiremas korras välja vahetada toonitati veel kord mais 2016. Lõpuks, oktoobris 2016 käib jutt juba üksnes uue teegi uuemast versioonist, eeldatakse, et vana jDigiDoc teek enam kasutuses pole.

Kontoris

Kontorikasutajaga on keerulisem lugu. Teatavasti kontorikasutaja ei saa ise oma tarkvaraversiooni muuta, seda teeb tema eest itimees. Itimehel on aga muresid palju – mõne tarkvara mingi versiooni tõstmine või langetamine pole itimehe jaoks primaarne tegevus, kuni ähvardab otsene oht. Vahel mõjutavad itimehe tööd ka suured ülemused, kes sätivad itimehe prioriteete eelarve kaudu. Ent.

Kontorites leidub kaks olulist tarkvara. Kõigepealt juba seesama eelpoolmainitud ID-kaardi baastarkvara, mis tuleb tõsta versioonile 3.12.4. Paraku on kontoreid, kus ajaloolistel ja eelarvelistel põhjustel on otsustatud jätkuvalt DDOCi küljes rippuda, selmet töövood BDOCi või ASiC-E peale häälestada. Nüüd, novembri lõpus, läheb neil kontoritel ikka väga kiireks. Juhul kui kontoriarvutites pole ID-kaardi tarkvara versiooninumbriga vähemalt 3.12.4, siis Euroopa poolt etteantud usaldusankrute listi lugeda ega lahti parsida ei õnnestu. Mis tähendab, et tööprotsessid lähevad katki.

Asutuste ja firmade serveriruumides leidub veel teinegi huvitav tarkvara, nimelt jubin, millega süsteemid automaatselt allkirju annavad ja kontrollivad. Need kontorid, kes ongi juba üle läinud tarkvarale DigiDoc4j, ei peaks väga muretsema. Kui installeeritud on vähemasti versioon 1.0.3 sellest teegist, siis osatakse 3. detsembril kaelakukkuv uus v5 vormingus usaldusnimekiri kenasti välja lugeda. Kui on installeeritud versioon 1.0.0, siis selle tõstmine versioonile 1.0.3 on ikkagi kordades lihtsam kui infosüsteemi sügavamat putitamist nõudev teegivahetus muldvanalt JDigiDoc teegilt moodsale euroteegile DigiDoc4j.

Pole saladus – osa kontoreid on ikkagi nipitanud ja jätnud vana teegi JDigiDoc pealt uuele teegile DigiDoc4j üle minemata, kuigi ülemineku vajadusest on kõigis meediakanalites pröögatud juba vähemalt poolteist aastat. Miks nad nii teevad? Sest IT arengust loobumine tähendab kokkuhoidu. Ju oli raha vaja kusagil mujal.

Ent nüüd on käes tõesti tagumine hetk. Juhul kui firma serverites ongi kasutusel muldvana jdigidoc, siis hakkab ilmnema üha rohkem probleeme – kodukasutaja (või hoopis välismaalane) saadab asutusse täiesti korrektselt allkirjastatud dokumendi, kuid asutuses pruugitav vana teek ei pruugi seda heaks kiita.“.

Pisut vähem paanikat tekib neis asutustes, kus DigiDoc4J on küll installeeritud ja infosüsteemiga sobitatud, kuid versiooninumber pisut liiga varane (1.0.2 või väiksem). Neis kohtades on olukord soodsam seetõttu, et infosüsteem ise on ju uuele teegile üle viidud ja suuremad juurutustööd sooritatud, jäänud on vaid koera saba pikendamine versiooninumbri või paari võrra, mis reeglina on suhteliselt kiire tegevus. Kahe nädalaga veel jõuab!

Patustajaid otseselt nimetamata tsiteerime üht varasemat blogikirjet (juuni 2016): “Vana ja aegunud JDigiDoc teeki (mille eluiga ja tugi on ammu lõppenud) pruugitakse täna 98% digiallkirjade loomiseks. Uus, euroühtesobiv DD4J teek on seni kasutusel vaid 0,05% digiallkirjade loomisel.”.

Multiautentimisest

Tänavu on kõige populaarsem turvasõna 2FA. RIA analüütik Anto Veldre selgitab, mida multifaktorsus tähendab, mida kõigi nende fa-fa-faa’dega peale hakata ning miks on mõne säärase pruukimine hädatarvilik.

kusimargiga-kubar

Allikas: http://10ways10days.org/wordpress/defense-of-identity/

Identiteet

Teenuste kasutamiseks Internetis tuleb inimesel masinale tõestada, kes ta on. Turvaõpik räägib identiteedist, asjast, mis (vahel ka mitu) on olemas igal inimesel.

Eestis on asi lihtne – riik annab igale inimesele isikukoodi ja see ongi inimese esmane identiteet. Kõik teised identiteedid toetuvad isikukoodile. Eestlane ei saa maksuametisse minnes väita, et ta on Miki Hiir või Sammalhabe.

Seevastu Facebookis ja Google’is saab igaüks luua kasutajakonto, tuginedes vabalt valitud nimele ja suvakohas loodud meiliaadressile. Kindlasti tuleks eristada identiteeti kontost – esimene neist määratleb indiviidi, teine moodustub alles teenuse ning kasutaja koostoimes. Eestis tagab isikusamasuse eelkõige riik, muus kontekstis võib identiteedi ja konto mõiste kergesti sassi minna.

Autentimine

Turvaõpikute järgi on autentimine tegevus, mille käigus tarbija (või teenust saada sooviv isik) masinale tõestab, et ta on just tema ja mitte keegi teine. Õpik ütleb, et turvamehega suheldes tuleb teha kaht asja: alustuseks esitada mingi väide selle kohta, kes sa selline üldse oled, teise asjana tuleb esitada identsustõend – miski, mis tõestab, et sina ikka oled sina.

token

Allikas: https://en.wikipedia.org/wiki/RSA_SecurID

Identsustõendeid saab liigitada kolmeks:

  • miski, mida Sa tead – (something you know) – näiteks PIN-kood või parool.
  • miski, mis Sul on – (something you have) – näiteks puuhalg, RSA tõuken riistvarapääsmik või ID-kaart.
  • miski, mida Sa oled – (something you are) – siia liigituvad biomeetrikud (ehk biomeetrilised tõendid) – sõrmejäljed, vikerkestamustrid, klaviatuuril tippimise viis jms.
kaks-lukku

Allikas: http://lifehacker.com/5932700/please-turn-on-two-factor-authentication

Topelt ei kärise

Identsustõenditega on see häda, et keegi võib need ära varastada ja siis kuritarvitada. Parooli sisestamist võidakse pealt vaadata, või kui veebisait ei kasuta https’i, siis võrgukihis pealt kuulata. ID-kaart võidakse varastada ning võõra inimesena esinedes kallis telekas osta.

Mistõttu, kui on vaja saavutada keskmisest kõrgemat turvalisust, nõutakse kaht identsustõendit korraga, eelistatult eri liikidest. Kui inimeselt tahetakse saada kaht identsustõendit korraga, siis öeldakse, et tegu on kaksikautentimisega ehk kahefaktorilise autentimisega (lühendist 2FA – two factor authentication). Kasutusel on ka sõnad kaheastmeline autentimine või kinnitamine.

Purism

Seega – turvaõpikute ja AKITi järgi on 2FA säärane autentimisviis, kus korraga pruugitakse kaht eri kategooriasse kuuluvat ning ühtlasi sõltumatut identsustõendit. Näiteks – ID-kaart (miski, mis mul on) avaneb vaid juhul, kui sisestada õigesse kohta õige PIN-kood (miski, mida ma tean). eIDAS lausa nõuab, et kõrge turvalisusega autentimisvahend sisaldaks mõlemat aspekti: eset (turvalist, mittelahtimurtavat eset) ja teadmust.

Nii nagu sel pildil kujutatud, et tohi kunagi teha!!!

kaardi-tagakulg

Allikas: http://www.wikihow.com/Keep-Your-Debit-Card-Number-(PIN)-Safe

Milline on tõenäosus, et kurjategija saab korraga oma valdusse nii ID-kaardi kui minu peast PIN-koodi? Nullilähedane! See on põhjus, miks ei peaks PIN-koode kaardi tagaküljele kirjutama ega tohi neid ka (pihtapandavas) rahakotis hoida. Siis pole ju tegemist eri kategooriatesse kuuluvate tõenditega, sest omanik omaenda käega tõstis PIN-koodi “ma tean”-sahtlist ümber “ma oman” sahtlisse.

Kvantsiire

Biomeetrikutega peaks ette vaatama – firmad kipuvad neid liiga kergekäeliselt pruukima multiautentimise ühe faktorina. Sest kui pättidel on ikka väga vaja uksest sisse saada, siis võib juhtuda õnnetus – tabamatust “miskist”, mida ma just olin, võib saada ese, mida pätid omavad.

snipes

Kaader filmist Purustaja (Demolition Man). Allikas: http://actionagogo.com/2016/01/13/demolition-man-send-a-maniac-to-catch-a-maniac-2/

Biomeetria pole ehk veel päris kasutusküps. Lekkinud parooli vahetamine on imelihtne. Kui pihta pannakse ID-kaart, siis saab üsna kiiresti uue, ent kui mõnest andmebaasist pannakse pihta sõrmejäljed, siis kuidas peaks inimene oma sõrmi vahetama?

roheline-sorm

https://blog.kaspersky.com/biometric-atms/13259/

Parooli või turvaseadme puhul, kui just pole juhtunud mõnd räiget teostusviga, saab isiku tuvastada 100% täpsusega. Biomeetria numbrid on kehvemad – valepositiivsete ja valenegatiivsete otsuste hulk on ikka häirivalt kõrge.

kolm-lukku

Allikas: http://www.helpmecore.com/two-factor-authentication/

Pooleteisttoobine 1,5FA

Kui eelneva pinnalt hinnta Google’i või Facebooki autentimist, siis lühend 2FA tekitab pisut segadust. Meenutame: ID-kaardi kasutamine Eestis on üsna unikaalne. Turvaline kandja, mille sees olevat sertifikaati saab kasutada vaid PIN-koodi abil – seda muidu IT eesliinil paiknevas USAs lihtsalt pole. Kuid identiteedikuritegusid on neil rohkem kui meil. Ainult paroolist ei piisa pangas käimiseks ega blogipidamiseks – pahaaimamatu kasutaja identiteet võidakse ära varastada.

Selles olukorras, et mitte kliente kaotada, tuleb midagi välja mõelda. Mõeldigi. Teise faktorina saab kasutada midagi, mis on kasutajal olemas – näiteks telefoninumber või e-mail.

Paar aastat tagasi, kui identiteedivarguste hulk USAs hakkas kasvama, taasloodi 2FA, kuid kasutati turvaõpikus toodust pisut erinevaid „faktoreid“. Kontoomanik logib sisse küll parooli abil, kuid: omanikule antakse igast sisselogimiskatsest teada e-kirja või SMSiga. Google’i või Facebooki nn „2FA“ on seega pigem 1,5FA – segu teadmusest, kokkulepitud sidekanalist ning kasutaja senisest käitumisajaloost. Mingit kaitset see meetod ju ikkagi pakub, sest kui kurjategija üritab kontot kaaperdada, siis esimesest „võõrast“ sisselogimisest antakse konto omanikule kohe teada, või isegi küsitakse luba, kas võõralt IP-aadressilt tulnu üldse tohib tema kontole minna.

sinised-mullid

Allikas: https://www.telesign.com/mobile-identity/

1,5FA puudus – et see töötaks, peab teenusepakkuja kliendi kohta parasjagu palju teadma (et mitte öelda – pidevalt juurde nuhkima).

Samas on stsenaariume, kus sedasorti 2FA-st pole kasu. Seda eriti siis, kui ründaja saabub sama IP-aadressi tagant sama seadet kasutades – nii juhtub näiteks kodus ja töö juures. Sestap tuleks säärast kontrolliviisi pigem nimetada pooleteistfaktoriliseks autentimiseks (1,5FA).

Siiski on Google ja Facebook oma klientide kaitseks teinud parima, mis neis tingimustes võimalikuks osutus. Meil siin on peamine aru saada, et sertifikaatidega sisselogimine, eriti kui neid hoitakse turvalises seadmes, on ikkagi kordades turvalisem 1,5FA teavitusskeemidest. Aastal 2016 on pelgalt parooliga Facebookis käimise riskid juba liiga suured. Kui 1,5FA meetodit pakutakse, olgugi siis „2FA“ nime all, tuleks seda sellegipoolest kasutada.

Kõige põnevamalt on käitunud Microsoft – kasutades termineid Duo Authentication ja Modern Authentication.

Boonus

Alljärgnev otsusepuu peegeldab parooliga ringikäimise õiget viisi aastal 2016.

anto-skeem

Autor: Anto Veldre, vabakasutus (copyleft)

Blogist leiad ka juhised:

MS petukõned

Riigi Infosüsteemi Ameti intsidentide käsitlemise osakond (CERT-EE) kirjutab “Microsofti” petukõnedest.

prillidega-onu

Allikas: http://www.scam-detector.com/telephone-scams/microsoft-tech-support

Petturid on alati meist üks samm ees, olles innovaatilised ja julged. Nüüd nad teevad petukõnesid ka Eestis. Microsofti (MS) kasutajatoe nime alt tehtud petukõnesid on tehtud 2009. aastast kogu maailmas, alates Ameerika Ühendriikidest, lõpetades Uus-Meremaaga.

Pettuse ülesehitus on lihtne: helistaja tutvustab end Microsofti kasutajatoe või partnerasutuse töötajana. Microsofti nime alt helistav pettur on viisakas ja väga abivalmis, ta väidab, et soovib sinu arvutit korrastada. Selleks räägib ta sulle loo, kuidas teda teavitati masina nakatumisest. Teise legendina võib ta rääkida, et kas arvuti ise või sinu asutuse IT-inimesed on edastanud abipalve MS kasutajatoele, kes nüüd justkui peaks parandama sinu arvutis ilmnenud probleeme.

Siinkohal mainime: MS on oma kasutajatoe lehel välja toonud, et nemad ei paku enda initsiatiivil tuge ega helista kasutajale kunagi omaalgatuslikult.

ms-jutt

Allikas: https://www.microsoft.com/en-us/safety/online-privacy/avoid-phone-scams.aspx

Petukõne eesmärgid olenevad petukampaaniast. Näiteks võib pettur üritada müüa sulle hirmuvara (scareware) tooteid, mis justkui leiavad sinu arvutist pahavara ning makstes summa X saad nendest pahalastest lahti nagu naksti.

On ka võimalus, et petturi eesmärk on varastada sinu kontode või krediitkaardi andmeid.

Hirmuvara pettus

must-kast

Allikas: https://www.welt.de/img/wirtschaft/webwelt/mobile116828023/2801629777-ci23x11-w1136/zgbdc5-6abh2opem4wd60yw1dj-original-png.jpg

Oma eesmärgi saavutamiseks paluvad petturid külastada teatud veebisaiti, kust pead tõmbama alla kaughaldustarkvara või pahavara. Kaughaldustarkvara, enamikul puhkudel tarkvara nimega TeamViewer, lubab telefoni otsas oleval petturil sinu masina üle võtta.

sinine-kast

Allikas: https://upload.wikimedia.org/wikipedia/en/thumb/7/71/TeamViewer_Screenshot_on_a_machine_running_Windows_8.png/300px-TeamViewer_Screenshot_on_a_machine_running_Windows_8.png

Konkreetne tarkvara ei ole kuidagi seotud petturitega. TeamViewer on laialt levinud kaughalduse tarkvara, mida petturid kasutavad tööriistana.

Pettur räägib, kui täbarad lood on ikka sinu masinaga, viidates hirmuvara skannimistulemustele. Alternatiivina soovitavad vaadata arvuti veateadete logisid ning väidavad, et need näitavad samuti pahavara olemasolu.

Pettur jätkab kirjeldamist, kuidas ta teeb sinu masina nüüd puhtaks, muidugi teatud summa eest. Tegelikult eemaldab ta hoopis enda alla laetud hirmuvara. Petturid üritavad saada sinult kohest makset nt Paypal’i kasutades, varastades nii sinu krediitkaardi andmed, sest jälgivad kaughaldustarkvara vahendusel hoolikalt makse tegemist. Sellega jätab pettur mulje, et ta on justkui sangar, kes sind aitab.

Isikuandmete pettus

Teine, levinum ja mitte nii tehniline pettus on petturi palve parooli muutmiseks minna petturi soovitatud lehele. Pettur räägib, et see on Microsofti standardprotseduur nakatunud kasutajate andmete lekke ärahoidmiseks. Juhime tähelepanu, et oma paroole ei tohi kunagi kolmanda osapoole lehekülgedele sisestada, ning kasutajatugi ei viita kunagi lingile, mis asub teises domeenis.

Loo moraal: tasuta lõunaid pole olemas.

Petturid, kes kõne teevad, pole alati teadlikud, mis eesmärgil nad sinu arvutisse tarkvara installivad. Nad on tavalised „üheksast-viieni“ töötajad, kes lasevad kui lindilt üht sama teksti ja installivad tarkvara, mis on neile ette antud. Tõeline pahalane on see, kes kõnekeskuse teenust sisse ostab. Oluline on mõista pettuse tagamaid ja osata selles olukorras käituda.

Kuidas käituda, kui petis sulle helistab?

  1. Kõne tehakse inglise keeles, alustades sõnadega:

„Hi, I’m calling from Microsoft Support” – „Tere, helistan teile Microsofti kasutajatoest!“.

Nüüd tuleks kõne kohe katkestada!

Meenutame, et Microsoft ei helista, kui Sa pole nendega eelnevalt kontakti võtnud.

  1. Teavita oma IT-tugiisikut toimunust, koos järgmiste detailidega:
  • Kõne algusaeg
  • Mis numbrilt helistati?
  • Mis numbrile helistati? (kas isiklik või töönumber?)
  • Kui Sa ei jõudnud kõnet kohe katkestada, siis ka: millisele netiaadressile (URL) sind suunati.

Kui sa ei pannud telefoni hargile ja tegid koostööd petturiga, siis teavita toimunust KOHE oma IT-osakonda või CERT-EE-d (aadressil cert@cert.ee), lisa eelnevalt mainitud detailid. Lisaks sellele kirjelda protsessi, mida pettur sinu masinas tegi, kui sul oli võimalik seda jälgida.

  1. Juhul, kui tegid makse, tühista see kontakteerudes oma pangaga.
  1. Vaheta paroolid, mis võisid ründe käigus lekkida.
  1. Käivita masinas viirustõrjeprogramm.
  1. Eemalda arvuti võrgust, kuniks antiviirus teeb oma tööd.