Lunavara hype on vist üle läinud, ettevõtted on olukorraga harjunud ning käitumist muutnud ja teisalt päris „lahtiste ustega“ süsteemid on otsa ka saanud. Kuid teema on ilmselt mõnda aega aktuaalne ning ilmselt suudavad järgmisel mõned lained veel üsna palju paha teha. Mõte on ju geniaalne, krüpteerime kogu andmestiku ning muudame selle abil andmed kasutajale kättesaamatuks. Tahad andmeid tegelikult ka lugeda, oled sunnitud endale ostma krüptovõtme, mis krüpteeringu jälle maha võtab.

Kuidas sellega võidelda?


Eks see sõltub tegelikult sellest, millist turvanõrkust süsteemis konkreetne lunavara on disainitud ära kasutama. Näiteid on erinevaid, alates kasutajate isetegevust nõudvatest lahendustest (ehk siis kasutaja peab midagi avama, klikkama jne) kuni lahendusteni, mis kasutavad ära (operatsiooni) süsteemide turvaauke ning rünnatakse sihitult ja teadlikult aegunud süsteeme. Loomulikult on võimalikud ka erinevad kombinatsioonid neist ning kõigest, mis nende valikute vahele jäävad.

Raketiteadust ei oska siinkohal välja pakkuda, mina sõnastaks järgnevuse selliselt: koolita, sea reeglid ning jõusta tehnoloogilised lahendused.

Kasutajate koolitamine


Kasutajate koolitamine on ainus universaalne ja üks odavamaid lahendusi turvataseme tõstmiseks. Koolitus peab olema korduv ning süstemaatiline. Tihti eksitakse selles punktis, arvatakse et räägime korra ära ja ongi kõik, kuid inimloomus töötab teisiti. Tekib mugavusstoon, ohutunne kaob ja … see turvavärk on ikka maru ebamugav ja võtab aega, teeks lihtsamalt. Seega peaks turvalane koolitus toimuma vähemalt korra aastas, olema alati veidi erinev ning kindlasti olema üles ehitatud nii, et inimesed oleks sunnitud ise selle koolituse käigus midagi analüüsima. „Üks tark räägib lollidele“ lähenemine ei ole jätkusuutlik ning inimesed ei süvene. Keskenduda tuleks baasasjadele:

·        Ära ava tundmatult saatjalt saadud kahtlaseid dokumente

·        Kui midagi tundub kahtlane, siis see seda tavaliselt ka on (kui eesti keeles Sinuga kirjutav inimene kirjutab korraga mõnes teises keeles, kui täitsa tavaliselt inimesest saab päevadega düsgraafik, kui firma, kellega sul midagi pistmist pole, saadab Sulle ühel päeval arve jne)

·        Kui midagi on liiga ilus või hea, siis see tavaliselt seda ka on

·        Kui meil on reegel, siis on selleks põhjus, kui sulle tundub, et see on mõttetu, siis tule ja küsi, võib-olla ongi, aga ära palun eira reegleid

·        Turvalisus on meie kõigi mure, sellest sõltub meie maine, töö ja meelerahu

See ei ole tegelikult üldse lunavara-keskne lähenemine, kuid lunavara puhul tuleb eriti arvestada sellega, et me ei tea, millist rünnakuvektorit pahalased järgmiseks kasutavad. Arendada tuleb üldist turvakäitumist ja -teadlikust.

Reeglid


Reeglid tähendavad kõige lihtsamalt seda, et me oleme midagi läbi mõelnud ja selle tulemuse kirja pannud. Kui me oleme teadlikult, et lunavara võib ühel hetkel olla meid ohustav probleem, siis on mõistlik hinnata millised on head tavad, mitte-jõustatud piirangud ja millised on piirangud millised, me võimalused tehnoloogia abil jõustame ning need ilmutatult ka kirja panna.

Lunavara tähendused võiks need minimaalselt olla järgnevad:

·        Kasutajad ei tohi ilma selge näidustuseta kasutada süsteeme juurkasutaja õigustes

·        Paigaldada tohib vaid eelnevalt lubatud rakendusi

·        Tagavarakoopiad tuleb luua ja uuendada vähemalt kord päevas

·        Kõik seadmed ja süsteemid tuleb võimalusel aegsasti uuendada

·        Ligipääs tagavarakoopiatele peab olema piiratud ning osa tagavarakoopiatest tuleb hoiustada mitteühendatud viisil

·        Andmed tuleb hoida failiserveris / keskses reprositooriumis

Pooled reeglid siis selleks, et võimaliku lunavara õnnestunud rünnaku riski vähendada ning teised selleks, et õnnestunud rünnaku korral kahjusid vähendada.

Tehnoloogiline jõustamine


Võimalusel võiks lubatud rakendused white-listida, tagavarakoopiate loomine automatiseerida ning disainida mitmekihilisena. Võimalusel tuleks ka kasutajate lõppseadmetest tagavarakoopiad luua. Praktilises elus on keeruline kasutajatelt juurkasutajaõiguste eemaldamine ning vastavate õiguste kasutuse minimiseerimine, sest kui kasutajale need õigused korra juba on antud, siis on keerukas tagada nende õigustega kasutajakontode minimaalne võimalik kasutamine, sest reeglina tähendab see kasutaja jaoks kas enesetunde halvenemist (olen alati olnud Jumal, kuidas siis nüüd korraga mitte) ja/või kasutajakogemuse või -mugavuse halvenemist ning inimene on tihti oma loomuselt laisk.

Samuti on keeruline autoriseeritud rakenduste white-listimine ning seeläbi siis tagamine, et kasutusel on vaid turvalisest kanalist pärit usaldatud tarkvara.

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Edasikandumisklausel

Selle nädala uurimisülesanne on sõnastatud järgmiselt: „Mismoodi mõjutab vabade litsentside juures edasikandumisklausel ( copyleft ) litsentsivalikut? Analüüsi seda ajaveebiartiklis ning too iga variandi kohta mõni näide.“ Tutvustame siinkohal siis ka mängijaid: ·         Väga tugev copyleft, näiteks AGPL, nõuab tuletatud loomingu edastamist samade tingimuste alusel ning seda ka tarkvarade puhul, mida kasutatakse üle veebi (ehk tarkvara pakkuja väidab, et see on tema oma tarbeks kasutamine) ·         Tugev copyleft, näiteks GNU GPL, nõuab tuletatud loomingu edastamist samade tingimuste alusel. ·         Nõrk copyleft, näiteks GNU LGPL, nõuab tuletatud loomingu edastamist samade tingimuste alusel, kuid võimaldab näiteks linkimist ärivaraliste teekidega. ·         Puuduv copyleft, näiteks BSD või Apache, ei nõua tuletatud loomingu edastamist samade tingimuste alusel. Kui igasugune vaht kõrvale jätta, siis võib öelda, et kui ma oma tootes soovin kasutada AGPL või GPL
Lisateave

Tugilahendus – mitte väga uudne, kuid siiski

Selle nädala teema on Kakk sõnastanud niimoodi „Vali üks enda jaoks kõige uudsem tugilahendus ja kirjelda seda ajaveebiartiklis“. Mõtlesin pikalt ja midagi väga tarka pähe ei tulnud, seega mõtlesin, et kirjutan veidi teise nurga alt. Diabeetik Et kõik ausalt ära rääkida, siis tuleb alustada algusest. Nimelt üks kümme aastat tagasi tekkisid mul Viljandi Folgil suured kõhuvalud, päris suured kohe. Nii suured, et seadsin sammud meditsiinipunkti ning seal hakkasid inimesed minu kirjelduse pealt targalt noogutama ning käsutasid mu autosse ning sõit läks haigla poole. Haiglas hakkasid inimesed minu kirjelduse peale targalt noogutama. Siis sai minu mõõt täis ja ma nõudsin aru, et mida paganat need inimesed nii targalt noogutavad. „See on pimesool, kohe hakkame Sind operatsiooniks ettevalmistama!“ kõlas vastuseks. Kuna olin ka varem arstidega kokku puutunud, siis arvasin omalt poolt, et meil 21. sajand MRT, ultraheli uuringud ja juba mõnda aega olemas ka vana hea vereproov, need v
Lisateave