"Saada sõbrale"

“The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards.”

– Gene Spafford

"Soovita sõbrale"

Tänapäeval on väga lihtne teha tavainimesel endale koduleht. Selleks on olemas erinevad sisuhaldustarkvarad (Wordpress), vastavad online-tööriistad (wix.com) jne. Kõikide lahenduste puhul räägitakse, kui lihtne on neid paigaldada ja alustada aga kogu turvalisuse pool jäetakse tahaplaanile.

Näiteks selline väike asi, et Wordpressi kasutades tuleks kustutada või üldse mitte luua kasutajat kasutajanimega "admin". Kes kasutavad enda sisuhaldustarkvara kaitsmiseks mõnda security pluginat  näevad kindlasti, et kõige rohkem üritatakse sisse logida just kasutajanimega "admin".

Kuid veidi põhjalikumalt sooviksin peatuda ühel teisel asjal, millega võib endale teadmatusest päris palju probleeme tekitada. Väga (liigagi?) paljudel kodulehtedel on tänapäeval olemas veel vorm "saada sõbrale", kuhu kodulehe külastaja saab sisestada enda e-maili aadressi, saaja e-maili aadressi ning ka mingi teksti. Ideaalis peaks olema seal saatja ja tema sõbra aadressid ning tekstiks "Hei. Leidsin sellise toreda kodulehe, vaata ka.". Pahatihti kasutatakse neid samu vorme aga hoopis muul eesmärgil.


Oletame, et ma olen pahalane ja teenin raha spämmi saatmisega. Mul on 100 000 000 e-maili aadressi, kuhu võiks spämmi saata ja ma ei taha seda kindlasti enda nime alt teha. Lisaks on minu domeen juba ammu igas spämmilistis. Aga nüüd leian ma kodulehe, kus on e-mailide saatmise võimalus olemas - sisestan sinna saaja aadressi, saatjaks märgin näiteks sealt samast kodulehelt leitud mõne kontakti e-maili aadressi ning sisuks on "Osta Viagrat". Kui selle kodulehe omanik või haldaja ei ole ühtegi tõsisemat vastumeedet ette seadnud saangi saata enda 100 000 000 spämmkirja välja. Ja spämmijaks on see sama kodulehe omanik. Lõpp hea, kõik hea - spämmid on saadetud ja musta nimekirja ei satu mitte mina, vaid see keegi teine, kes lubab enda kodulehe kaudu seda teha.

Mida siis ette võtta, et minu kodulehel sellist asja ei saaks juhtuda? Tehnilise poole pealt on võimalik kindlasti keelata sama IP-aadressi pealt näiteks teatud aja jooksul üle 5 e-maili saatmine. Samas ei ole IP-aadresside muutmine häkkeritele suureks probleemiks. Teiseks tuleks kindlasti kasutada CAPTCHA lahendusi ehk lasta saatjal lugeda pildilt tähti ja need eraldi sisestada.

Samas ei ole pahalasel lihtsa masinõppe programmijupi kasutamisel ka selle murdmisega suuri probleeme.

Veidi vähem tehnilise poole pealt võiks mõelda läbi kas lubada üldse kasutajal sellisele vormile e-maili sisu lisada. Võib-olla saab kasutada tüüpteksti, mis saadetakse kõigile ühtmoodi? Kui ma olen spämmija ja ma ei saa saata enda spämmkirja sisu siis ei ole mul soovi ka seda vormi kasutada.

Viimasena võiks ka mõelda, kas sellist vormi on üldse enda kodulehele vaja? Tunduvalt mugavam on kopeerida aadressirealt selle kodulehe aadress ja lisada otse sõbra suhtlusaknasse. Mina ei ole isiklikult mitte kunagi üheltki sõbralt saanud ühtegi "kutset" e-mailile vaatamaks mõnda kodulehte. Küll aga saadetakse põnevaid linke igapäevaselt näiteks Facebook Messengeri vestluste kaudu.

Aga miks see mind üldse puudutab?

See hakkab väga kiirelt mõjutama juhul, kui sinu e-maili aadressi kasutades on saadetud välja need 100 000 000 spämmkirja ja oled igas mõeldavas spämmilistis. See tähendab, et ka sinu enda kirjad ei jõua enam ühelegi saajale kohale.

Lisaks ei või kunagi teada, millist sisu selle vormiga saadetakse. See ei pruugi olla ainult süütu reklaam, vaid ka midagi tõsisemat ning sel juhul tuleb juba ka enda kodulehe majutuse teenusepakkujale või mõnele õiguskaitseorganile aru anda.

Lahendused

Kuidas siis taolist olukorda ära hoida? Eelnev oli vaid üks konkreetne näide, kuidas tahtmatult ja reeglina teadmatusest sattuda väga täbarasse olukorda.

Kindlasti tuleks internetiturvalisusest rohkem rääkida ja tuua välja näiteid, kuidas on võimalik küberrünnaku alla sattuda. Nagu näha siis lahendused ei pruugi alati väga keerulised olla aga neid peaks teadma. Käesolevas postituses välja toodud näite puhul oleks kindlasti aidanud juba see, kui kodulehe omanik oleks osanud enne läbi mõelda kas sellist e-maili vormi on üldse tema lehele tingimata vaja.

Kogu muu info seas ei ole interneti-turvalisuse teemaga tavainimesel reeglina aega tutvuda, seetõttu tulekski seda vaikselt "peale suruda". Alustades näiteks selle sama serveriteenuse pakkujaga, kes võiks näiteks pidada blogi ja saata enda klientidele igakuiselt kasulikku infot, mis kliente ka reaalselt puudutab ja aitab.


Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Infoühiskond - minevik ja tulevik

Seekordseks teemaks on infoühiskond ja selle mõju üldiselt. Käesoleva kirjutise aluseks on Pekka Himaneni 2004.a. raport infoühiskonna ees seisvatest väljakutsetest - " Challenges of the global information society ". Aasta 2004 on siinkohal üpris oluline - see tähendab, et me saame juba täna analüüsida kas autori ennustused on täide läinud või mitte ja kas nende täitumine on reaalne. Himanen toob esmalt välja globaalse trendid, mis mõjutavad infoühiskonna tekkimist, näiteks: Suurenev riikidevaheline maksudega võistlemine, et meelitada endale suuri tegijaid Lihttööde liikumine odava tööjõuga riikidesse Rahvastiku vananemine Surve tervishoiusüsteemidele Bio- ja geenitehnoloogia ja areng Linnastumine Rikkuse ja vaesuse lõhe suurenemine ja sellest tingitud pinged Nagu näha on suur osa eelnevaid punkte globaalse mõjuga ning üksikisikutel ja isegi riikidel ei ole nende vastu suurt midagi teha. Seega tuleb valmis olla muutusteks ning nendele reageerimiseks tuleks neid m
Lisateave

Copyright Reform

Selle nädala teemaks on intellektuaalomand, autoriõigus ja nende kaitse. Sel teemal on avaldatud raamat " The Case for Copyright Reform " (autorid Christian Engström Mep ja Rick Falkvinge), milles kirjeldatud lahendusi püüangi nüüd hinnata. Kogu probleem saab alguse sellest, et olemasolevad seadused on liiga ranged ning piiravad loominguvabadust ja uute ning huvitavate lahenduste tekkimist. Põhjuseks on see, et autoriõigustega kaitstud sisu ei tohi kasutada isegi isiklikuks tarbeks ning mingil moel seda töödelda. Lisaks riivab nende õiguste kontroll inimeste õigust privaatsusele - näiteks selleks, et tõestada keelatud sisu tarbimist peab läbi kontrollima kogu tarbitud sisu, ka legaalse osa.  Uus süsteem peaks olema selline, mis annab inimestele kätte rohkem vabadust, kuid ei piira oluliselt ka olemasolevate ja uute äriettevõtete tegevust, kes teenivad autoriõiguste pealt kasumit. Autoriõigused ei ole kindlasti halb nähtus, selle piirid on lihtsalt kohati ebaõiglaselt paik
Lisateave

Hacker - HOWTO

Selle nädala teemaks on häkkerid ja kuidas üheks neist saada. Sellest on väga hästi kirjutanud Eric S. Raymond oma teoses " How To Become A Hacker " ( eestikeelne tõlge ). Alustaks aga hoopis sõna "häkker" tähendusest ja kuidas seda üldiselt mõistetakse. Ilmselt ei ole kellelegi uudiseks, et suurema osa ühiskonna jaoks assotsieerub see pigem kuritegevuse ja pahatahtlikkusega. Põhjus on ilmselt selles, et sellised tegevused (süsteemidesse sissemurdmine) saavad meedias suuremat kõlapinda ja kui keegi ajakirjanik või poliitik on neid inimesi nimetanud häkkeriteks siis lugejad võtavad selle kiiresti omaks. Häkkerite tegelikust maailmast ja selle mõiste tähendusest ei ole ilmselt aga nii põnev massimeedias kirjutada ja nii ongi see pool varju jäänud. Jesse Sheidlower on öelnud, et seda arusaama ei saagi ilmselt lõplikult muuta ja parandada. Ja konkreetse mõiste selgitamine või muutmine ei lahendaks probleemi. Ilmselt aitab siin pigem ühiskonna harimine ja aeg, sest
Lisateave