Mart Parve ja Anto Veldre olid tänasteks stuudiokülalisteks, sest tekkis tahtmine rääkida kuritarkvara arengutest ja arvutikaitse.ee/loos (loositingimuste digiallkirjastajate vahel läheb jagamisele 30k reis, mõned 20k maksvad Delli läpakad ja hulk mobiilofone) promo sobis kenasti sinna kõrva. EDIT: vt ka kommentaare eelmise postituse juures
Aga kuna saates sai mainitud ka mitut kirjatükki mis on küll mu del.icio.us’i söötest läbi jooksnud ning RSSi-tellijatele teada ent laiema üldsuse eest varjul… siis olgu need siinkohal ära toodud.
- cio.com: Who’s Stealing Your Passwords? Global Hackers Create a New Online Crime Economy (kokku kolm osa, jätkulink artikli all, vaata ka illustreerivaid ekraanilaske ja videot)
- Studying Malicious Websites and the Underground Economy on the Chinese Web (PDF 18lk)
- zdnet: Cracking open the cybercrime economy
- Washington Post & Brian Krebs: Shadowy Russian Firm Seen as Conduit for Cybercrime, Taking on the Russian Business Network, Mapping the Russian Business Network (ja vt ka blogiRussian Business Network (RBN))
- Krebsi blogi võiks muideks täies mahus lugemislisti panna. Lehes on muidugi üldloetavam tekst, aga ka blogi ei peaks enam-vähem keskmisele arvutikasutajale hull olema. Ahjah, lehest veel aastakokkuvõte Cyber Crime 2.0
- Sealt jäi muideks silma järjekordne turva-jama — nimelt kurivaralised Flash-reklaamid, seejuures isegi tuntud kohtades nagu MySpace ja Excite. Täpsemalt vt Sandi Hardmeier.
Teate, neid linke võiks ma siia veel ja veel ja veel tuua. Lugege vähemalt Cyber Crime 2.0 ja Cracking open the cybercrime economy läbi, peaks ülevaate kätte saama…
24 Kommentaarid
Natukene teemaväline kommentaar, aga tolles 30.12.2007 salvestatud saates Sa(Peeter) mainisid, et Eestis ei ole võimalik läänemuusika MP3-faile litsenseerida.
Minu kogemus näitab, et saab küll. Olen seda vähemalt 2 eri kohas teinud, üks neist on näiteks: http://www.naturesounds.ca/
Ma saan aru, et see raha ei läbi “mafiakampa” nimega Autorikaitse ühing, aga kuidas on võimalik vahet teha, kas ma viibisin ise, füüsiliselt, samas riigis ja ostsin selle sealses internetikohvikus olles või tegin seda oma kodunt? Selliste asjade tuvastamiseks oleks vaja lausa mingit politseiriigisarnast nähtust.
Natukene teemaväline kommentaar, aga tolles 30.12.2007 salvestatud saates Sa(Peeter) mainisid, et Eestis ei ole võimalik läänemuusika MP3-faile litsenseerida.
Minu kogemus näitab, et saab küll. Olen seda vähemalt 2 eri kohas teinud, üks neist on näiteks: http://www.naturesounds.ca/
Ma saan aru, et see raha ei läbi “mafiakampa” nimega Autorikaitse ühing, aga kuidas on võimalik vahet teha, kas ma viibisin ise, füüsiliselt, samas riigis ja ostsin selle sealses internetikohvikus olles või tegin seda oma kodunt? Selliste asjade tuvastamiseks oleks vaja lausa mingit politseiriigisarnast nähtust.
http://www.schneier.com/blog/archives/2007/05/do_we_really_ne.html
Kas me üldse vajame turvatööstust? Kas turvatooted üksi üldse on kellelegi vajalikud või müüdavad…
http://www.schneier.com/blog/archives/2007/05/do_we_really_ne.html
Kas me üldse vajame turvatööstust? Kas turvatooted üksi üldse on kellelegi vajalikud või müüdavad…
See kampaania: http://arvutikaitse.ee/loos/
Ehk see sama Parve vastaks:
1. miks ei ole HTTPS ühendust?
2. miks mulle enne allkirjastamist ei näidata, millele ma allkirja annan? Ei ole just tark koolitada inimesi igal lehel allkirja andma, kui ta ei harju veenduma, millele allkiri antakse!
See kampaania: http://arvutikaitse.ee/loos/
Ehk see sama Parve vastaks:
1. miks ei ole HTTPS ühendust?
2. miks mulle enne allkirjastamist ei näidata, millele ma allkirja annan? Ei ole just tark koolitada inimesi igal lehel allkirja andma, kui ta ei harju veenduma, millele allkiri antakse!
@Martin – jah loomulikult on kohtasid kust saab, lisaks ka näiteks emusic.com ja magnatune.com (mõlemast olen leidnud muusikat mis iPodis ikka arulagedalt mitu mängimiskorda on saanud), aga paraku on muusika üks osa kodanike sotsiaalsest staatusest ja enamuse jaoks tähendab see paraku mainstreami järgmist… ja selles osas pole nagu suurt midagi ju.
@Martin – jah loomulikult on kohtasid kust saab, lisaks ka näiteks emusic.com ja magnatune.com (mõlemast olen leidnud muusikat mis iPodis ikka arulagedalt mitu mängimiskorda on saanud), aga paraku on muusika üks osa kodanike sotsiaalsest staatusest ja enamuse jaoks tähendab see paraku mainstreami järgmist… ja selles osas pole nagu suurt midagi ju.
Ja kuidas oleks, kui läheks kuhugi Abja-või Antsla kanti ja hakkaks pakkuma inimestele selles lahedas loosimises osalemise teenust. täiesti tasuta – et Anna oma id-kaart koos pin-koodidega korraks minu kätte ja osaleme seal ära!
Ja kuidas oleks, kui läheks kuhugi Abja-või Antsla kanti ja hakkaks pakkuma inimestele selles lahedas loosimises osalemise teenust. täiesti tasuta – et Anna oma id-kaart koos pin-koodidega korraks minu kätte ja osaleme seal ära!
Kuulasin saadet ning see kattis probleemi üsna hästi nuhkvara ning selle ohtlikuse koha pealt. Samas aga jättis see kuulajatele vale mulje ID-kaardi turvalisusest. Kui arvutis on nuhkvara, siis on selles ID-kaardi kasutamine peaaegu sama ebaturvaline kui pangapinide sisestamine. Esiteks saab sniffida ID kaardi PIN-e, teiseks saab ID-kaarti kaaperdada ning kolmandaks ID-kaardi PIN-id välisesse andmebaasi salvestada. Kui PIN-id on snifitud, siis on ID-kaart panga PIN-idest turvalisem vaid ühe aspekti poolest ründe ajal pead ID-kaart lugejas olema. Kuna inimene jätab tahestahtmata ID-kaardi 10-15 minutiks arvutisse, siis on see sama hästi kui ründaja kasutuses.
Seega ID-kaarti kasutamine muudab interneti-teenused turvaliseks umbes 3-4 aastaks (seni kuni see võetakse kasutusele mõnes suuremas riigis), siis muutub ID-kaardi kasutamine jälle sama ebaturvaliseks kui panga PINide kasutamine. Siit ka minu ettepanek. Äkki teeks lausreklaami kampaania (liiga vara turule toodud toote jaoks) asemel kriitilist kampaaniat:
– ID-kaart tõstab turvalisust aga ainult siis kui seda mõistlikult kasutatakse
– Ära kasuta ID-kaarti võõrastes arvutites
– Kasuta ID-kaarti vaid oluliste teenuste jaoks (2-3 teenust)
– Ära topi ID-kaarti suvalistesse elektroonilistesse seadmetesse
Lisaks jäi kõrva riivama ka proxy-authentication kriitika. E-panga kasutamine teiste teenuste jaoks identifitseerimiseks on üks mõistlikumaid lahendusi üldse. Pankadel on sadu tuhandeid kliente erinevalt e-teenuse pakkujast kellel on võibolla 100 klienti, seega ei saa e-teenuse pakkuja kunagi tagada sellist turvataset, mida saab pakkuda pank. Teiseks on sellisel lahendusel palju vähem ründevektoreid ning seda saab paremini kaitsta. Mida vähemates kohtades inimene ID-kaarti kasutab seda parem!
Kuulasin saadet ning see kattis probleemi üsna hästi nuhkvara ning selle ohtlikuse koha pealt. Samas aga jättis see kuulajatele vale mulje ID-kaardi turvalisusest. Kui arvutis on nuhkvara, siis on selles ID-kaardi kasutamine peaaegu sama ebaturvaline kui pangapinide sisestamine. Esiteks saab sniffida ID kaardi PIN-e, teiseks saab ID-kaarti kaaperdada ning kolmandaks ID-kaardi PIN-id välisesse andmebaasi salvestada. Kui PIN-id on snifitud, siis on ID-kaart panga PIN-idest turvalisem vaid ühe aspekti poolest ründe ajal pead ID-kaart lugejas olema. Kuna inimene jätab tahestahtmata ID-kaardi 10-15 minutiks arvutisse, siis on see sama hästi kui ründaja kasutuses.
Seega ID-kaarti kasutamine muudab interneti-teenused turvaliseks umbes 3-4 aastaks (seni kuni see võetakse kasutusele mõnes suuremas riigis), siis muutub ID-kaardi kasutamine jälle sama ebaturvaliseks kui panga PINide kasutamine. Siit ka minu ettepanek. Äkki teeks lausreklaami kampaania (liiga vara turule toodud toote jaoks) asemel kriitilist kampaaniat:
– ID-kaart tõstab turvalisust aga ainult siis kui seda mõistlikult kasutatakse
– Ära kasuta ID-kaarti võõrastes arvutites
– Kasuta ID-kaarti vaid oluliste teenuste jaoks (2-3 teenust)
– Ära topi ID-kaarti suvalistesse elektroonilistesse seadmetesse
Lisaks jäi kõrva riivama ka proxy-authentication kriitika. E-panga kasutamine teiste teenuste jaoks identifitseerimiseks on üks mõistlikumaid lahendusi üldse. Pankadel on sadu tuhandeid kliente erinevalt e-teenuse pakkujast kellel on võibolla 100 klienti, seega ei saa e-teenuse pakkuja kunagi tagada sellist turvataset, mida saab pakkuda pank. Teiseks on sellisel lahendusel palju vähem ründevektoreid ning seda saab paremini kaitsta. Mida vähemates kohtades inimene ID-kaarti kasutab seda parem!
@swen – ma olen mitme mõttega nõus, eriti see IDkaardi ainult olulisteks asjadeks kasutamine (ja mitte arvutisse vedelema jätmine seniks kuniks sa Delfis kommenteerid). Ja ma olen nõus, et see on lahendus n-ö neljaks aastaks, sellega on nõus ka pangad: oluline on olla muust maailmast turvalisem. AGA selle proxy-auth osas… ma kardan, et 100 kliendiga e-teenindaja (mmm… Eesti Energia äriklienditeenindus oli jutuks, samuti Elisa) turvalisus on pigem temas endas kinni (minuteada ei tee pank autentimise kasutajale turva-auditit?).
@swen – ma olen mitme mõttega nõus, eriti see IDkaardi ainult olulisteks asjadeks kasutamine (ja mitte arvutisse vedelema jätmine seniks kuniks sa Delfis kommenteerid). Ja ma olen nõus, et see on lahendus n-ö neljaks aastaks, sellega on nõus ka pangad: oluline on olla muust maailmast turvalisem. AGA selle proxy-auth osas… ma kardan, et 100 kliendiga e-teenindaja (mmm… Eesti Energia äriklienditeenindus oli jutuks, samuti Elisa) turvalisus on pigem temas endas kinni (minuteada ei tee pank autentimise kasutajale turva-auditit?).
Swenile vastuseks.
ID-kaardi turva kritiseerimine on hetkel poliitiliselt pisut ebakorrektne tegevus. Mitte keegi, kes asjaga kuidagiviisigi seotud on, ei taha seda teemat täna ette võtta. Sõnaga, seis sama nagu Gruusia valimistega. Isegi otsesed ja tiitliga kriitikud on kuss.
Põhjused:
1. midaiganes, aga on ikkagi turvalisem kui eelnevad asjad
2. veab Eestit edasi poliitilisel areenil (Jean Hardouini argumentatsiooni http://www.minut.ee/article.pl?mode=nested&sid=07/03/07/0811205) . Pärast pronksiööd on see teema läinud veel kriitilisemaks – praktiliselt ainuke suur positiivne asi meie muidu jampslikus välispoliitilises bilansis
3. kui suured jamad tekivad, küll siis asjaomased tegelevad. Keegi ei kavatse teoreetilisi rünnakuid ignoorida, asjad on juba aastate eest tagatoas läbi arutatud, aga kuniks nad on teoreetilised ja mitte praktikas tõestatud, pole mõtet pappi minema visata ja omaenda saba hammustada. Meenuta – turvalisus on kompromiss, mitte üksnes puhas teooria.
4. Pole mõtet võimalikke ründevektoreid ise avalikustada ja seejärel kritiseerida, et kriminaalmajandus neid analüüse loeks. Las need kutid ikka ise raiskavad aega barjääride ründamiseks. Ka kuritegevuses valitseb otstarbekus – võetakse sealt kust on kasulik ning alles siis kui kasum langeb, asutakse uut tehnoloogiat tutkima. Pole tark hetkel seda tasakaalu rikkuda.
5. EMTi mobiilne ID-kaart pisut veelgi komplitseeris olukorda, ID-kaardist rääkides peaks siis ka selle kitsaskohtadele osutama ning see pole midagi mida oleks poliitiliselt hea teha – osa kaasnevat mõttetut paska (emti turundus, maine jms) võib ventilaatorisse sattuda. Kaasa tulevad teemad nagu rate ja kõneminuti hind ja see vaidlus teeb kahju rohkem kui vaja.
Sinu positiivne programm realiseerub tõenäoliselt alles pärast esimesi rünnakuid. Ma ei usu et keegi nö puhta teaduse nimel võtaks endale hetkel selle nö halvustamise riski.
Swenile vastuseks.
ID-kaardi turva kritiseerimine on hetkel poliitiliselt pisut ebakorrektne tegevus. Mitte keegi, kes asjaga kuidagiviisigi seotud on, ei taha seda teemat täna ette võtta. Sõnaga, seis sama nagu Gruusia valimistega. Isegi otsesed ja tiitliga kriitikud on kuss.
Põhjused:
1. midaiganes, aga on ikkagi turvalisem kui eelnevad asjad
2. veab Eestit edasi poliitilisel areenil (Jean Hardouini argumentatsiooni http://www.minut.ee/article.pl?mode=nested&sid=07/03/07/0811205) . Pärast pronksiööd on see teema läinud veel kriitilisemaks – praktiliselt ainuke suur positiivne asi meie muidu jampslikus välispoliitilises bilansis
3. kui suured jamad tekivad, küll siis asjaomased tegelevad. Keegi ei kavatse teoreetilisi rünnakuid ignoorida, asjad on juba aastate eest tagatoas läbi arutatud, aga kuniks nad on teoreetilised ja mitte praktikas tõestatud, pole mõtet pappi minema visata ja omaenda saba hammustada. Meenuta – turvalisus on kompromiss, mitte üksnes puhas teooria.
4. Pole mõtet võimalikke ründevektoreid ise avalikustada ja seejärel kritiseerida, et kriminaalmajandus neid analüüse loeks. Las need kutid ikka ise raiskavad aega barjääride ründamiseks. Ka kuritegevuses valitseb otstarbekus – võetakse sealt kust on kasulik ning alles siis kui kasum langeb, asutakse uut tehnoloogiat tutkima. Pole tark hetkel seda tasakaalu rikkuda.
5. EMTi mobiilne ID-kaart pisut veelgi komplitseeris olukorda, ID-kaardist rääkides peaks siis ka selle kitsaskohtadele osutama ning see pole midagi mida oleks poliitiliselt hea teha – osa kaasnevat mõttetut paska (emti turundus, maine jms) võib ventilaatorisse sattuda. Kaasa tulevad teemad nagu rate ja kõneminuti hind ja see vaidlus teeb kahju rohkem kui vaja.
Sinu positiivne programm realiseerub tõenäoliselt alles pärast esimesi rünnakuid. Ma ei usu et keegi nö puhta teaduse nimel võtaks endale hetkel selle nö halvustamise riski.
Rääkisin lugu õnnetust kodanikust kellelt varastati talle elutähtis domeen ja siis üritati raha välja pressida et seda tagasi saada. Siin siis ka lingid asja kohta, äkki pakub huvi: http://www.webappsec.org/projects/whid/byid_id_2007-72.shtml
Sisuliselt autode tagasimüümise protsess virtuaalmaailma ülekantuna, masendav.
Rääkisin lugu õnnetust kodanikust kellelt varastati talle elutähtis domeen ja siis üritati raha välja pressida et seda tagasi saada. Siin siis ka lingid asja kohta, äkki pakub huvi: http://www.webappsec.org/projects/whid/byid_id_2007-72.shtml
Sisuliselt autode tagasimüümise protsess virtuaalmaailma ülekantuna, masendav.
@Anto Veldre:
> Sinu positiivne programm realiseerub tõenäoliselt alles pärast esimesi
> rünnakuid. Ma ei usu et keegi nö puhta teaduse nimel võtaks endale hetkel
> selle nö halvustamise riski.
See pole päris tõsi. Ross Anderson-i uurimisgrupp on seda Inglismaal juba teinud (tõsi kyll kiipidega krediit-kaartidega, aga see on samaväärne) ning mul endal on see mitu korda pähe tulnud, aga ikka on midagi olulisemat ette tulnud.
Paradoksaalsel kombel on rynnete realiseerimine Linux-i maailmas olulisemalt lihtsam, sest on olemas avatud lähtekoodidega draivderid ning tagauksega draiverite kirjutamine on olulisemalt lihtsam.
Ilmselt oleks võimalik sellest ka vastav teaduslik kleptograafia artikkel kirjutada ning avaldada, aga see ei vääri vaeva.
Turvalisus on eelkõige kasutajakoolitus. Siiamaani maksame me lõivu reklaamlausele “Internet ja email on tore ja turvaline, avasta maailma” ning kulub veel kümneid aastaid enne kui see meem meie mõtetest kaob. Kas on siis mõistlik luua meemi “ID-kaart on turvaline”.
@Anto Veldre:
> Sinu positiivne programm realiseerub tõenäoliselt alles pärast esimesi
> rünnakuid. Ma ei usu et keegi nö puhta teaduse nimel võtaks endale hetkel
> selle nö halvustamise riski.
See pole päris tõsi. Ross Anderson-i uurimisgrupp on seda Inglismaal juba teinud (tõsi kyll kiipidega krediit-kaartidega, aga see on samaväärne) ning mul endal on see mitu korda pähe tulnud, aga ikka on midagi olulisemat ette tulnud.
Paradoksaalsel kombel on rynnete realiseerimine Linux-i maailmas olulisemalt lihtsam, sest on olemas avatud lähtekoodidega draivderid ning tagauksega draiverite kirjutamine on olulisemalt lihtsam.
Ilmselt oleks võimalik sellest ka vastav teaduslik kleptograafia artikkel kirjutada ning avaldada, aga see ei vääri vaeva.
Turvalisus on eelkõige kasutajakoolitus. Siiamaani maksame me lõivu reklaamlausele “Internet ja email on tore ja turvaline, avasta maailma” ning kulub veel kümneid aastaid enne kui see meem meie mõtetest kaob. Kas on siis mõistlik luua meemi “ID-kaart on turvaline”.
@Marvet
> AGA selle proxy-auth osas… ma kardan, et 100 kliendiga e-teenindaja
> (mmm… Eesti Energia äriklienditeenindus oli jutuks, samuti Elisa) turvalisus
> on pigem temas endas kinni (minuteada ei tee pank autentimise kasutajale
> turva-auditit?).
Nii nagu krediiitkaardi kasutamine pole mõistlik veebi hämaramates otsades ja selleks tuleb kasutada teenuseid nagu PayPal tasumiseks, on mõistlik kasutada ka proxy-autentimist imelikesse kohtadesse sisse logimiseks. Vähemalt on siis teoreetiliselt võimalik kontrollida kuhu ja kuna sa oled ennast autentinud. Tehnofoobina ei tea ma, kas see Eestis ka nii toimib, aga see oleks teenus, mis muutub aastate jooksul üha olulisemaks. Täpselt nagu on see toimunud krediitkaardi teenuste juures.
@Marvet
> AGA selle proxy-auth osas… ma kardan, et 100 kliendiga e-teenindaja
> (mmm… Eesti Energia äriklienditeenindus oli jutuks, samuti Elisa) turvalisus
> on pigem temas endas kinni (minuteada ei tee pank autentimise kasutajale
> turva-auditit?).
Nii nagu krediiitkaardi kasutamine pole mõistlik veebi hämaramates otsades ja selleks tuleb kasutada teenuseid nagu PayPal tasumiseks, on mõistlik kasutada ka proxy-autentimist imelikesse kohtadesse sisse logimiseks. Vähemalt on siis teoreetiliselt võimalik kontrollida kuhu ja kuna sa oled ennast autentinud. Tehnofoobina ei tea ma, kas see Eestis ka nii toimib, aga see oleks teenus, mis muutub aastate jooksul üha olulisemaks. Täpselt nagu on see toimunud krediitkaardi teenuste juures.
Enda kommentaari kohta ka pisut selgitust, Petsile sai seda korra suuliselt räägitud. Mu märkuse ajend oli tegelikult meie “küberelu” haavatavus,
iseenesest see et järjekordne kodanik tünga sai pole muidugi mingi uudis.
Kodanikule tehti ära nii et tema Google postkastile istutati peale reegel mis teatud mailid forwardis ning seejärel kustutas inboxist mööda minnes. Sedalaadi sigadust ei saa ilmselt lõplikult välistada ei veebipõhise maili kui ka Outlooki, Thunderbirdi vms. kliendi korral. Kui kurilane saab aga täieliku kontrolli postkasti üle siis saab juba väga palju paha teha. Eks meil kõigil ole tõenäoliselt kuhugi registreerimise järel postkasti sattunud kinnitusmaile kus kasutajakonto ja parool plain tekstina sees. Hoopis halvem lugu on aga see et mitmel pool on kombeks hajameelsete kasutajate (kes oma paroolid ära unustavad) aitamiseks lihtne override kus isikusamasust kontrollitakse vaid seeläbi et saad kokkulepitud aadressil saadetud maili kätte. Rääkimata sellest et oluliste operatsioonide korral on piisav kinnitus kontrollmailile vastamine, nii läks ka selle õnnetu domeen väljapressija kätte.
Enda kommentaari kohta ka pisut selgitust, Petsile sai seda korra suuliselt räägitud. Mu märkuse ajend oli tegelikult meie “küberelu” haavatavus,
iseenesest see et järjekordne kodanik tünga sai pole muidugi mingi uudis.
Kodanikule tehti ära nii et tema Google postkastile istutati peale reegel mis teatud mailid forwardis ning seejärel kustutas inboxist mööda minnes. Sedalaadi sigadust ei saa ilmselt lõplikult välistada ei veebipõhise maili kui ka Outlooki, Thunderbirdi vms. kliendi korral. Kui kurilane saab aga täieliku kontrolli postkasti üle siis saab juba väga palju paha teha. Eks meil kõigil ole tõenäoliselt kuhugi registreerimise järel postkasti sattunud kinnitusmaile kus kasutajakonto ja parool plain tekstina sees. Hoopis halvem lugu on aga see et mitmel pool on kombeks hajameelsete kasutajate (kes oma paroolid ära unustavad) aitamiseks lihtne override kus isikusamasust kontrollitakse vaid seeläbi et saad kokkulepitud aadressil saadetud maili kätte. Rääkimata sellest et oluliste operatsioonide korral on piisav kinnitus kontrollmailile vastamine, nii läks ka selle õnnetu domeen väljapressija kätte.
Üks trackback-viide
[…] arvutikaitse ja kuritarkvara […]