Küberturvalisus on praegu väga populaarne teema. Ilmselt on kõik päri, et meie andmete turvalisus on oluline. Andmelekkel, kas üksikisiku, organisatsiooni, riigi või rahvusvahelisel tasandil, on meie elule tohutu emotsionaalne, rahaline ja sotsiaalne mõju. Küberturbe võtmeküsimuseks on avalik luure ja suhtlusründed iseenda vastu. Käesolevas artiklis keskendumegi sellele, mida saab igaüks ise teha selleks, et end küberrünnakute eest kaitsta.
Kõige tavalisem ja kõige suuremat mõju avaldav, kuid ka kõige vähem tehnilist oskust nõudev ründeviis on niinimetatud avaliku luure (open-source intelligence, OSINT) kasutamine ehk suhtlusründed (social engineering, SocEng). Sellisel juhul kogutakse avalikku teavet ja kasutatakse seda siis rünnakute käivitamiseks. Tegemist pole sugugi uue rünnakuviisiga: esimene teadaolev suhtlusründe juhtum ulatub tagasi 17. sajandisse ja seda nimetatakse Hispaania vangide pettuseks.
Tol ajal pöörduti mõne Inglismaa elaniku poole, öeldes, et tal on ammu kadunud nõbu, kes on Hispaanias sõja ajal röövitud. See nõbu on väga rikas ja kui maksad tema eest väikese lunaraha, vabastatakse ta ja nõo naasmisel saad temalt raha kümnekordselt tagasi. Muidugi oli see kõik suunatud rünnak, mis tehti avaliku teabe põhjal. Rünnaku plaanijad kogusid andmeid inimese sugupuu kohta ja valisid välja inimesed, kelle sugulased olid Inglismaa-Hispaania sõja ajal lähetatud Hispaaniasse. Kasutades ära kesiseid suhtlusvõimalusi, loodi kontakt, mida sai kasutada sihtmärgi vastu. Tänapäevasem versioon sellest on nn Nigeeria loteriipettused.
Kõigepealt tuleb aga vaadelda üht küberturvalisuse valdkonnaga seotud müüti: kasutajad klikivad linkidel, sest a) nad on rumalad ja b) nad pole saanud koolitust.
See lihtsalt pole nii: kõik inimesed klikivad linkidel. TalTechi avaliku luure ja suhtlusrünnete harjutuste käigus on tulnud välja, et kõik, kelle oleme rünnaku sihtmärgiks valinud, klikivad linkidel. 100%. Seejuures on oluline rõhutada, et neid sihtmärke on eetiliselt teavitatud, et nende vastu suunatakse rünnakuid ja neile on tavaline õpetus “ära kliki linkidel” üle korratud.
Kas küberturvalisuse tagamise nõuanded tegelikult töötavad?
- Nõuanne: ärge kunagi klikkige e-kirjades linkidel
See on võimatu, kui te just ei ela ilma internetita täiesti antisotsiaalset elu või teile ei meeldi üldse mingit tööd teha. E-post on muutunud keskseks kõiges, mida teeme. Klikime linkidel, mis tulevad Office 365, Google Docsi, LinkedIni kaudu. Jaburus seisneb aga selles, et reegliga “ära kliki linkidel” paralleelselt saame ka sisselogimisteateid ja -hoiatusi e-kirjades… linkidena! “Tee minu sõnade, mitte tegude järgi!” ei ole kunagi efektiivne olnud.
- Nõuanne: kaksikautentimine leevendab probleemi
Kaksikautentimine (two-factor authentication, 2FA) leevendab probleemi, kuid ei lahenda seda. Kaksikautentimise protsessi kasutamine on rünnakuprofiilis tavaline ja sellega võib tegelikult panna kasutaja klikkima sellisel lingil või esitama sellist informatsiooni, mida ta muidu ei teeks.
- Nõuanne: kontrollige alati, kas saatja e-posti aadressis on õigekirjavigu
See töötab tavalise rämpsposti puhul, kuid ei toimi suunatud rünnakute korral. Hiljutises katses õnnestus meil teeselda (spoofing) e-posti aadresse Jesus@God.com ja Bill.Gates@Microsoft.com, LinkedIni ja Google’i tugiteenuseid.
Kuna e-post on väga vana tehnoloogia ja kui te pole oma e-posti lahenduses, kõigis oma võrgustikes ning sõprade ja pere võrgus DMARC-d, SPF-i ja DKIM-i õigesti seadistanud, saab seda lähenemisviisi kasutada.
Hea näide turvaprotokollide kasutamisest rünnakvektoris on ka PGP digitaalallkirjaga meilisõnumid. Outlook ei suuda vaikimisi PGP digitaalallkirja mingil viisil dekodeerida ja kinnitada, kuid siiski kuvatakse tihti logo, mis ütleb, et see on digitaalselt allkirjastatud. Protsesse, protseduure ja põhimõtteid saab kasutada teie vastu suunatud rünnakus.
Kas tegemist on lootusetu seisuga?
Ei, kuid meil tuleks keskenduda kahele valdkonnale, millele praegu tähelepanu ei pöörata.
Esiteks, me anname ise enda kohta kogu avalik luure jaoks kasutatava info välja. Üksikisikute, perede ja organisatsioonidena peaksime kontrollima, mida me veebis avalikult kuvame: lekkinud kasutajanimed ja paroolid, vananenud ja avalikud internetiga süsteemid, isikuandmed, mida saab kasutada teie vastu kohandatud rünnakuprofiili koostamiseks. Isegi üliväike hulk andmeid võib paljastada teie nõrkused.
Kas eesmärk on saada täiesti (küber)turvaliseks? Ei.
Meie soov peaks olema see, et ärakasutamine muutuks keerulisemaks, täielikku turvalisust tagada ei ole võimalik.
Mõelge põhiteenustele, mida kasutate. Facebooki administraatori õigused? LinkedIn? Google Drive? Näiteks kui mõni rahulolematu töötaja teie organisatsioonist lahkub, siis kas teil on võimalik enne temaga lepingu lõpetamist veenduda, et kõik talle antud õigused on tühistatud? Kas guugeldate end vahel ise, et näha, milline teave teie kohta veebis leitav on?
Tööandjad võiksid vahel analüüsida olukorda just rahulolematu töötaja vaatenurgast. Pettunud inimestel on motivatsiooni, mis pole õpitav. Veebis aga on palju tehnilist teavet, juhendeid, protsesse, pahavara kui teenust jms. Häkkimine on õpitav, motivatsioon mitte.
Lõpuks – kui rünnak toimub, ei tasu paanitseda. Juhtumist tuleb teada anda, nagu annaksite teada tulekahjust või sissemurdmisest. Mida kiiremini teave õigete inimesteni jõuab, seda kiiremini on rünnak tuvastatav ja peatatav. Enamik väikeseid juhtumeid võivad eskaleeruda suurteks seepärast, et neid ei märgata või neid häbenetakse.
Mida saab igaüks ise teha?
1. Guugeldage ennast/ettevõtet, kontrollige saidil haveIbeenpwned.com, kas on esinenud andmelekkeid.
2. Veenduge, et teie veebisaidil oleks RFC 2350 ehk tekstidokument, millel on teie turvakontakti e-posti aadress, telefoninumber ja PGP krüptimisvõti, et saaks edastada rikkumisteavet või toetavat teavet CSIRT/CERT turbespetsialistilt. Nagu varem öeldud, on kõige olulisem juhtumist võimalikult kiiresti õigetele inimestele teatada, et sellele saaks reageerida adekvaatselt.
3. Katsetage suhtlusründeid enda vastu: katsetage sihitud e-posti kampaaniaid ning ärge süüdistage kasutajaid, kui nad lingil klikivad. Harjutage reageerimisprotsessi ja veenduge, et seda ka päriselt kasutatakse! Enamikul organisatsioonidel on küll suurepärased tegevuskavad, aga n-ö päriselus neid ei kasutata.
4. Lugege CERT.ee uudiskirju. Olge kursis uusimate suundumustega.
5. Kontrollige oma logisid. Enamik asutusi kontrollib logisid pärast juhtumit, aga varasema teadmise puudumisel on raske erisusi leida.
Kui käsitlete seda probleemi organisatsiooni probleemina, mitte ainult infotehnoloogia probleemina, on teie turvalisuse lähtetase palju parem.
***
Kieren Niĉolas Lovell on küberturbe ekspert, kes on spetsialiseerunud juhtumitele reageerimisele (CSIRT/CERT) ning reaalajas toimuvatele küberturvalisuse simulatsioonidele ning harjutustele. Enne Tallinna Tehnikaülikoolis (TalTech) tööle asumist oli Kieren Cambridge’i ülikooli intsidentidele reageerimise meeskonna (CERT) juht. Ta on olnud NATO esimese mereväerühma lahingukapten ja osalenud Norra kuningliku mereväe koosseisus operatsioonidel Adeni lahel. Samuti oli ta kaksteist aastat Suurbritannia kuninglikus mereväes kommunikatsiooni- ja IT-spetsialist, teenides tuumaallveelaevadel, miinijahtijatel ja patrull-laevadel.
Küberturvalisuse rubriigi eesmärk on tõsta lugejate teadlikkust selle valdkonna probleemidest ja edusammudest nii Eestis kui ka mujal. Artikliseeria avab teemat muu hulgas tehnoloogia, juhtimise, majanduse, teaduse, riigihalduse ja rahvusvaheliste suhete vaatenurgast.