Tõnu Tammer, CERT-EE juht
Igal kodulehe omanikul või e-posti kasutajal tekib varem või hiljem küsimus: kui turvaline on minu IT-lahendus ja kuidas see kogu maailmale välja paistab? Selleks, et üht või teist nüanssi testida, ei ole vaja IT-haridust ega arusaamist Linuxi konsoolist. Kodulehe või e-posti turvalisuse testimine pole kunagi varem olnud nii lihtne kui praegu.
Internetist leiab mitmeid turvalisuse testimise tööriistu, mida saab kasutada igaüks. Näiteks blogi pidaja või ettevõtte juht saab nende abil vaadata, kui hästi või halvasti on tema koduleht või e-posti server seadistatud.
Toome välja mõned tööriistad, mida kasutame ka ise, et üht või teist nüanssi testida.
Tööriistad, millega saab testida kodulehe ja e-posti seadistusi
Hardenize
See on eriti hea ja universaalne tööriist, mis võimaldab kontrollida, et sinu internetiaadressi ehk domeeni seadistused oleksid sellisel tasemel nagu tänapäeval olla võiksid. Samuti saab sealt kontrollida, kas meiliserveri seaded tagavad heal tasemel sõnumisaladuse ja andmekaitse ning kas kodulehe puhul on tagatud kasutajate turvalisus. Eesti turult leiab teenusepakkujaid, kelle kõige odavama, vähem kui 10€ kuus maksva paketiga on võimalik koduleht ja e-post seadistada nii, et enamik testitavatest aspektidest läbitakse edukalt ehk tulemus on roheline. See tähendab, et teenusepakkuja on teinud enda poolt mõistlikud sammud ja kodulehe/domeeni haldaja on teinud ära teise poole.
Näide Hardenize’ist: kõik testid on võimalik läbida edukalt
Security Headers
Sobib kodulehe pisut põhjalikumaks testimiseks.
Tööriist võimaldab testida, milliseid juhiseid annab koduleht brauserile. Nende juhistega on võimalik piirata või keelata ebasoovitavaid tegevusi. Näiteks saab vähendada seda infohulka, mis muidu kasutaja kohta edasi liiguks, kui ta sinu kodulehelt ära läheb.
A+ ja A on eeskujulikud tulemused, kuid B, C, D ja F nõuavad kindlasti kodulehe omaniku tähelepanu.
Security Headers: A tulemuse saavutamine ei ole samuti keeruline
Qualis SSL Labs
https://www.ssllabs.com/ssltest/analyze.html
Hea ja universaalne tööriist, millega saab kontrollida, kas suhtlus kodulehega on krüpteeritud selliselt, et tagatud on andmete turvalisus ja kasutaja privaatsus. Tänapäeval võiks juba iga veebileht avaneda vaid TLS 1.2 või TLS 1.3 protokolliga. Kindlasti ei tohi enam kasutada SSL 3 ja SSL 2 protokolle, mis ei taga turvalisust. Protokollide TLS 1.0 ning TLS 1.1 kasutamine on samuti mõistlik lõpetada, sest neis esineb turvanõrkusi, mis on uuemates versioonides parandatud.
Tulemused A+ ja A on eeskujulikud, kuid B, C, D ja F nõuavad kindlasti kodulehe omaniku tähelepanu.
SSL Labs: A+ tulemuse saamine ei ole keeruline
TLS
https://www.checktls.com/TestReceiver
Võimaldab testida meiliserveri seadistusi.
See tööriist on samuti väga võimekas. Kui valida „Output format“ alt „SSLProbe“, siis kaardistatakse kõik e-posti serveri võimalused (sarnaselt eelmises punktis toodud SSL Labsi testiga). Ka e-posti serverite puhul võiks kirjavahetus käia vaid TLS 1.2 või TLS 1.3 protokolliga. SSL 3 ja SSL 2 kasutamine ei taga turvalisust ning protokollide TLS 1.0 ja TLS 1.1 kasutamine on samuti mõistlik lõpetada. Testi tulemuste lugemise teeb lihtsaks asjaolu, et punasega kuvatavaid tulemusi ei tohiks olla ning sobilikud on üksnes roheliselt kuvatud tulemused.
Rohelisega kuvatakse hea tulemus
Punasega kuvatakse need aspektid, mis nõuavad kindlasti meiliserveri omaniku tähelepanu
MECSA
https://mecsa.jrc.ec.europa.eu
Euroopa Komisjoni teadus- ja arendustegevuse üksus JRC on loonud e-kirja testimiseks universaalse tööriista. Erinevalt paljudest teistest võimaldab see testida nii e-kirja saatmise kui vastuvõtmise turvalisust. Kuna saatmise ja vastuvõtmise seadistusi tuleb e-postiserveris seadistada eraldi, võivad eri suunas liikuvatel e-kirjadel olla erinevad seadistused.
Selle testi eripära on see, et testimiseks tuleb sisestada testija e-posti aadress ning saadud kirjale tuleb saata vastuskiri.
Üldine ülevaade on “Summary” all ning vahelehelt “Advanced” näeb rohkem tehnilist infot.