Alustuseks - inimlik probleem
Erinevates netikeskkondades ja vestlusringides on tulnud ilmsiks 2 väga inimlikku probleemi:
- inimesed ei tea, mis on turvaline (keeruline, raskesti äraarvatav) salasõna ja kuidas seda luua
- kuidas neid kõiki keerulisi salasõnu meeles pidada.
Hügieen arvutivõrgus
Alustuseks mõned elementaarsed turvareeglid tänapäevases julmas internetidžunglis ellu jäämiseks:
- ära MITTE KUNAGI kasuta oma e-postikonto salasõna kuskil mujal kui sellele e-postikontole sisselogimiseks.
Põhjendus: Sinu E-posti kontol leiduva info tähtsus on aja möödudes määratult kasvanud. Asi on selles, et oma peamise e-postikonto kaudu registeerud Sa erinevatele veebilehtedele kasutajaks, lased sinna saata nende keskkondade salasõnade meeldetuletusi jne. Võib-olla on Sul e-kirjakastis koguni mõned salasõnad ja võib-olla on Sul e-kirjade hulgas koguni selliseid, mis mitte mingil juhul ei tohiks võõra pilgu alla sattuda (olgu seal ettevõtte tundlik info, Sinu kirjavahetus armastatuga või mis iganes).
- ära MITTE KUNAGI kasuta ühte parooli rohkem kui ühel saidil.
Põhjendus: Sa ei tea mitte kunagi konkreetse veebilehe turvataset ja seda, kuidas nad Sinu parooli hoiavad. Eestis konkreetse näitena lasering.ee netipood hoiab salasõna lahtise tekstina andmebaasis. Kui ma olin salasõna unustanud, siis ma palusin nende netilehel saata mulle uue salasõna, aga nad saatsid vana salasõna. See on täiesti lubamatu salasõnade hoidmisviis juba vähemalt 5-7 aastat. Eraldi pikk jutt on see, kuidas salasõnu korrektselt hashitud kujul hoida jne, aga mõte on selles, et ei tohi usaldada veebilehe arendajat või omanikku Sinu salasõna käitlemisel. Kui Sinu salasõna on veebilehe andmebaasis lahtiselt ja sinna andmebaasi sisse murtakse ja seesama salasõna on Sul kasutusel veel kuskil, siis võid olla üsna kindel, et Sinu kontodele logitakse võõraste poolt peagi sisse. Veebileht, mille IT-tase on selline, salasõnad on baasis lahtiselt, langeb VÄGA SUURE tõenäosusega ka kräkkimise ohvriks. Sa ei taha, et lasering.ee andmebaasist pärit salasõnaga saab sisse logida Sinu mailikontole, facebooki, dropboxi, gmaili jne jne. Seega kasuta unikaalseid salasõnu!
- ära MITTE KUNAGI logi krüpteerimata veebilehele sisse, kui oled WIFI võrgus.
Põhjendus: WIFI võrke on üsna lihtne "pealt kuulata". Piisab sellest, kui kurikael on kas samas WIFI võrgus (avalikud WIFI-d, kohvikud, hotellid, kaitsmata WIFI purk kodus jne) või istub oma sülearvutiga kuskil lähedal. Kui võrguliiklus Sinu arvuti ja konkreetse veebilehe vahel on krüpteerimata, siis on see sama hea kui alasti karjuda keset Viru tänavat "Peeter on loll" ja oodata, millal esimene suvaline Peeter Sulle füüsilise noomituse teeb.
KUidas aru saada, kas veebileht kasutab krüpteeritud ühendust? Krüpteeritud ühendus käib reeglina HTTPS (SSL, TLS ja muud head nimed) ühenduse kaudu. See tähendab, et:
- Brauseril on aadressirea alguses https://, mitte http://. Väike "s" on oluline erinevus.
- Vähegi uuemate brauserite aadressiriba algus muutub roheliseks, läheb konkreetselt rohelist värvi. Kui see on punane, siis on asi juba kahtlane. Pöördu teisi kanaleid pidi veebilehe haldaja poole ja palu tal oma veebileht korda (turvaliseks) teha.
- ära MITTE KUNAGI logi sisse oma maili- ja sotsiaalmeediakontodele ühiskasutatavatest arvutitest (näiteks reisil olles internetikohvikutest, hotelli fuajee "üldkasutatavast" arvutist jne).
Põhjendus: need võõrad arvutit on reeglina väga ebaturvalised, kasutavad ebaturvalist Windows operatsioonisüsteemi ja on täis viiruseid. Mõnikord on neisse installitud ka keyloggerid ehk tarkvara või riistvaralised seadmed, mille ülesandeks on salvestada kõik klahvivajutused (ja edastada need kurikaeltele). Ja ongi Su paroolid läinud. Edasi kasuta fantaasiat. Kui reisil olles virutatakse ära Sinu Facebooki parool ja logitakse sinna sisse, siis:
- Saab Sinuna esinedes saata Su sugulastele-tuttavatele "abipalveid" (saatke palun raha sinna ja sinna panka)
- Saab kätte kogu sinu privaatse pildikogu joomingutest, mida Sa otsustasid Facebookis hoida ja sellega asuda Sinult raha välja pressima
- Asuda Sinuna esinedes korda saatma kõikmõeldavat kurja. Lase mõttel lennata!
- Eriline hoiatus Eesti kohta on seoses ID-kaardi kasutamisega.
- Ära kasuta ID-kaarti võõras arvutis (avalikus arvutis, näiteks Politseiametis passi eest riigilõivu makstes jne). Sa ei tea, kas see arvuti on turvaline. Parem kasuta mobiil-ID-d. Mobiil-ID on turvalisem kui ID-kaart. Seda väga lihtsal põhjusel - andmeid edastav seade (arvuti) ja autentimiseks kasutatav seade (mobiiltelefon + SIM-kaart) on füüsiliselt lahus. Arvutiviirus ei mõjuta Mobiil-ID teenuse toimimist. Mobiil-ID-d saad kasutada muretult ka seal, kus ei ole ID-kaardilugejat.
- Ära hoia ID-kaarti lugejas kauem kui on tarvis konkreetse teenuse (näiteks netipanga) kasutamiseks.
- Mobiil-ID-ga tuleb ALATI kontrollida n.ö sessiooninumbrit. See on see 4-kohaline number, mida koht, kuhu sisse logid kuvab, ja mida kuvab Sinu telefoni Mobiil-ID PIN-koodi sisestamise dialoog. See koht, kuhu sisse logid ja Sinu telefon peavad näitama sama numbrit. Mitte kunagi, MITTE KUNAGI ära autendi seda päringut, mida Sa pole ise just praegu algatanud.
See oleks praeguseks kõik. Internetis leiduvaid ohte on võrreldamatult rohkem, aga neid elementaarseid reegleid järgides peaks esmatasandi turvalisus olema tagatud. Loomulikult käivad siia juurde veel kõik n.ö "vanad reeglid" nagu ära ava tundmatuid faile, ära suhtle võõrastega, ära käi kahtlastel netilehtedele, ära hoia arvutis seadusevastaseid faile (lasteporno, piraatfilmid ja -muusika jne jne jne).
Salasõnad - keerulised ja kergesti meelespeetavad
Lühike ja turvaline variant
Hea variant on kasutada n.ö password manageri ehk programmi, mis on mõeldud salasõnade meelespidamiseks. Neid programme on hästi palju. Tuntuimad on vast OSX-i sisse ehitatud Keychain Access ja paljudel platvormidel töötav KeePass (http://keepass.info/). Kõigi nende tööpõhimõte on üks:
- on üks n.ö tugev master-salasõna, mis avab teised salasõnad.
Ehk siis Sul on vaja meeles pidada ainult üks, hea ja keeruline master-salasõna ja teised salasõnad leiad Sa password manageri andmebaasist. Selle meetodi miinuseks on asjaolu, et alati ei ole see arvuti käepärast, kuhu on installitud password manager. Selle häda vastu on loodud programmid, mis hoiavad salasõnu (tihti turvaliselt) võrgus (nö pilves) ja siis Sa saad neid kätte nii oma tööarvutist, nutitelefoniga kui ka kodusest arvutist. Siiski tuleb arvestada nõrgenenud turvalisusega, sest "mis võrgus, see võrgus":)
NB! Brauser ei ole password manager hoolimata sellest, et see pakub Sulle salasõnade meelespidamise võimalust!
Pikk, keeruline ja veel turvalisem variant
Pikem, keerulisem ja tegelikult kõige turvalisem variant on hoida kõik salasõnad oma peas. Kui neid on aga kümneid (sest - mäletad - igal keskkonnal peab olema OMA salasõna), siis kuidas seda küll saavutada? Kellegi mälu pole kummist ja pea pole prügikast.
Kuidas siis ikkagi saavutada paljude, ent samas keeruliste (keeruline tähendab "raskesti äraarvatavate"
Põhimõtteliselt on vaja meeles pidada ainult 3 salasõna.
Esiteks jaga veebikeskkonnad turvakriitilisuse järgi klassidesse:
1. suvalised veebilehed
2. sotsiaalmeedialehed ja pilveteenused, mis sisaldavad sinu isikuandmeid (Facebook, Dropbox jne)
3. mailikontod, internetipangad, eesti.ee jm kõrgendatud turvalisust nõudvad kohad, mis sisaldavad tundlikke isikuandmeid
1. klassi paroolid võiks olla vähemalt 8 tähemärki. Need peaks sisaldama suur- ja väiketähti ja numbreid.
2. klassi paroolid võiks olla vähemalt 12 tähemärki. Need võiks lisaks numbritele ja suurtele ning väikestele tähtedele sisaldada ka tühikuid (mitte küll alguses ega lõpus vältimaks segadust)
3. klassi paroolid võiks olla vähemalt 16 tähemärki ja need võiks sisaldada kõikmõeldavad klaviatuuril leiduvaid märke.
Nüüd lood paroolid:
1. klassi paroolide näited:
suvaline sait 1: kaelaNihestus21
suvaline sait 2: kaelaNihestus22
suvaline sait 3: kaelaNihestus23
jne jne
2. klassi paroolide näited
Facebook: Kassiraibe_Hüppas-Facebooki
Dropbox: Kassiraibe_Hüppas-Dropboxi
Suvaline järgmine pilveteenus: Kassiraibe_Hüppas-Suvalisseteenusesse
3. klassi paroolide näited
eesti.ee: Ajakirja "Horisont" aastatellimus #1981
gmail.com: Ajakirja "Horisont" aastatellimus #1982
suvaline tähtis koht: Ajakirja "Horisont" aastatellimus #1983
Ole hea ja tee mulle teene - ära palun kasuta siintoodud salasõnu 1:1 mitte kusagil. Selleks hetkeks, kui Sa seda blogipostitust loed, on kräkkerid selle juba ära skänninud ja need salasõnad on nende andmebaasides olemas.
Lohutus
Lisan veel juurde, et kräkkerid (õigupoolest nende kasutuses olev väga võimas riistvara veelgi võimsama tarkvaraga) skännivad tänapäeval läbi kõik digitaalselt saadaolevat raamatud ja neil on kõik enamlevinud sõnad, fraasid ja NENDE KOMBINATSIOONID teada. Oluline on aru saada, et keegi ei murra, proovi ega mõistata paroole käsitsi. Seda teevad väga targad programmid, mis suudavad sekundis läbi proovida väga suure hulga erinevaid variante.
Meie - eesti keelt kasutavate inimeste - kasuks räägib asjaolu, et meie keelt räägitakse maailmas väga vähe, veel vähesemad kräkkerid saavad sellest ja selle loogikast aru ja seega on meil mõnevõrra turvalisem kasutada üldlevinud eesti keele sõnu (hea, kui need s
õnad sisaldavad t
äpit
ähti). See eelis meil ajapikku väheneb, sest mida rohkem eestikeelset kirjandust digiteeritakse ja läbi skännitakse, seda rikkamaks saavad kurikaelte käsutuses olevad andmebaasid ja targemaks nende iseõppivad murdja-programmid.
Ässitus
Ässitan teid kõiki õiendama, sõimama ja kaklema lollide, hoolimatute veebilehepidajatega, kes ei hooli turvalisusest. Kui näete, et mõni lehepidaja eksib elementaarsete reeglite vastu, siis saatke talle kohe kuri kiri ja ähvardage andmekaitseinspektsiooni, politsei ning kasvõi NATO küberkaitsekeskuse ekspertide kaelasaatmisega. Kui mõni veebileht on piiranud salasõna maksimaalse pikkuse vähema kui 32 märgiga või siis selles sisalduvate märkide hulga (näiteks, et tühikuid või . või - ei tohi seal olla), siis tuleks neile anda kaigast. Virtuaalselt ja reaalselt.
Meie kõigi ülesandeks on nõuda arendajatelt ja otsustajatelt vastutust ja turvalisemat internetti!
P.S. Nagu võisid märgata, ei kasutanud ma üldlevinud sõna "häkker". Idioodist ajakirjanikud ja muud lollpead on selle sõna tähenduse ära rikkunud. Häkker oma algses tähenduses ei ole halb ega kuri. Kuri, halb IT-mees, kes siseneb võõrastesse süsteemidesse, varastab salasõnu jm infot, on kräkker. See tuleb sõnast "kräkkima" (to crack) ehk murdma (turvalisust murdma, turvabarjäärist läbi murdma). Häkker on tihti heatahtlik nohik, n.ö patsiga poiss, kes lihtsalt jagab hullult hästi IT-d, võib-olla oskab progeda ja häkib asju kokku (ehk siis paneb käima tarkvara ja riistvara, mis ei taha algul hästi käima minna jne jne).