Kuidas küberturvalisuse eksperdid kalal käivad? Keset südasuve kogunevad nad ühte kinnisesse ruumi ja räägivad viis päeva õngitsemisest. Õpetavad üksteisele nippe ja trikke, kuidas paremini "kala" kätte saada. Ainult et kala, millest nemad räägivad, olete teie, hea arvuti taga istuv lugeja. Järgnev kalastamisjutt on korraga naljakas ja hirmutav, aga loodetavasti ka hariv.

Tobias Eggendorferi ettekanne on nagu püstijala komöödia, kus on rida lugusid digitaalsest õngitsemisest, üks naljakam kui teine. Nii kalamees kui kala ehk peamine probleem asub kõige sagedamini tooli ja klaviatuuri vahel.

Näide 1: Postkasti saabub kiri Nigeeriast, kus palutakse saata hädas olevale sõbrale mitu tuhat eurot. Kirja saaja aga saadab vastu, et saadan hea meelega raha, kuid enne vajan selle saatmiseks 500 eurot. Ja kirja algne saatja tõesti ka paneb raha teele…

Andmepüük ehk õngitsemine kannab inglise keeles nimetust phishing (tuletis sõnast fishing ehk kalastamine). Tegu on internetipettusega, kus arvutikasutajatelt püütakse välja petta isiklikku või või muul moel tundlikku ja väärtuslikku infot, näiteks krediitkaardiandmeid või identiteeti.

See võib saabuda teie postkassi e-kirjana, mis näib usaldusväärse organisatsiooni poolt saadetuna. Õngitsemise korral paneb "kalastaja" ehk ründaja välja "sööda" ehk saadab näiteks usaldusväärsena näiva e-kirja, milles kirjas olevale lingile klõpsates satute hoopis ründaja poolt kontrollitavale lehele.

Me oleme internetis rünnatavad mitmel moel. Passiivsete rünnete korral ei püüa ründaja muuta süsteemi, vaid kogub andmeid, näiteks "kuulab pealt" teie võrku ehk jälgib, kus te käite ja mida teete. Aktiivsete rünnete korral manipuleerib ründaja otseselt inimesega, kellelt soovib infot kätte saada. Õngitsemine ongi üks aktiivse ründe viis just sellest rääkis professor Eggendorfer.

Kas teie infot on kunagi õngitsetud? Küsin professorilt. "Muidugi, kindlasti!" vastab professor Eggendorfer ja jätkab, et iga päev tehakse sadu õngitsemise katseid nii tema kui tegelikult meist igaühe andmete järele. Krediitkaardiandmed, lennupileti ostuinfo, sotsiaalvõrgustiku kasutajatunnused ja paroolid.

Inimesed ei kujuta ette kui palju viise ja võimalusi on nende andmete kättesaamiseks, nendib Eggendorfer. See võib olla kiri Nigeeriast, mille puhul saate juba kehva keele järgi aru, et tegu on õngitsemisega. Aga see võib olla kiri teie kolleegi e-postilt või sotsiaalmeediakontolt, korralikus keeles ja täiesti usutav.

Eesmärk on enamasti teenida raha. Aga võib olla ka muud. Näiteks varastada teie identiteet. Enamikul inimestel ei ole muidugi aimugi, mida see tähendab ning sageli märgivad nad, et neil pole midagi varjata. "Mida te ütleksite inimestele, kel pole midagi varjata?" küsin Eggendorferilt. "Teie andmetega on nii mõndagi peale hakata. Näiteks kui mul on vaja identiteeti kellegi teise andmeid õngitsemiseks; või varastada kuskilt suur hulk andmeid; või kui mul on vaja identiteeti inimestelt raha välja petmiseks – politsei tuleb arreteerima teid, mitte mind, sest ma kasutasin valeidentiteeti," selgitab professor, kuidas asi ründaja vaatepunktist paistab.

Seega teie identiteet, arvuti IP ning muud andmed võivad varguse korral teid teha kurjategijaks.

Näide nr 2: Ahinguga kalastamine.
Ründaja esineb teie tuttava, näiteks kolleegi, identiteediga. Nii näib ta usaldusväärne, mis tähendab, et on suurem tõenäosus, et te klõpsate lingil või avate faili, mille õngitseja on teile saatnud. See on üks vorm spear phishingust ehk ahinguga püügis. See võiks välja näha näiteks nii:
Could you send me the paper you wrote on "some topic"?
Can't access it. It requires a login.
Here is the link to it.
Your.uni.library/paper?id=1234ABCD Selle lingi taga aga peitub juba lunavara, pahavara või viirus.

Ahinguga kalastamise puhul on eesmärk suurendada tõenäosust info kindlasti kätte saada. See peab näima igati usaldusväärne.

Võtame näiteks ettevõtte, kus on välja kuulutatud konkurss ühele töökohale. Ründaja esineb kandideerijana ning saadab töökuulutuse peale oma dokumendid Dropboxi kaudu – tundub igati mõistlik, sest kirjamanusesse ei pruugi nii mõnigi fail teine kord ära mahtuda. Dropboxi on aga üles laetud .exe fail, mis tegelikult ei ole muidugi kokku pakitud kandideerimisdokumendid, vaid hoopis trooja viirus. Seegi näide on juhtunud päriselt.

Tulen tagasi identiteedivarguse juurde ja uurin mida siis ikkagi minu sotsiaalmeediakontolt andmete õngitsemisega saab teha.

Professor Eggendorfer asub loetlema: "Kui pääsen ligi teie Facebooki kontole, on mu kiiresti suur hulk uusi sõpru, naiste kontod on ses osas eriti head. Ma saaksin selle konto kaudu minna õngitsema teie sõprade andmeid, sest teie sõbrad ei tea, et te olete õngitseja. Ma võin saada ligi teie muudele tegevustele, kui mul on teie salasõna. Eriti hea on see siis, kui kasutate sama salasõna mitmes kohas: Facebookist saan ligi teie e-postile, mille kaudu saan omakorda teie telefonioperaatoril paluda saata uus SIM-kaart, mis näiteks Saksamaal võimaldab ligi pääseda enamikule pangateenustest. Eestis saan üle võtta ID-kaardiga seotud teenused, nutitelefoni sisse pääsedes saan ligi krediitkaardiandmetele, kui need on seotud mõne rakendusega."

Näide nr 3: Ajakirjanik läheb küberturvalisuse professori juurde pärast tema ettekannet, et paluda ettekandes nähtud video faili. Ajakirjanik ulatab professorile mälupulga. Professor vaatab seda ja ütleb, et ma olen selleks liiga kogenud, et usaldada mälupulka, aga ma võin saata lingi videole.

Mälupulga abil on võimalik arvutisse viia erinevat pahavara ilma arvutiomaniku teadmiseta.

Viimase aja üha kasvav trend küberrünnakutes on aga hoopis asjade internet (Internet of Things ehk IoT). See võib olla teie internetti ühendatud televiisor, nutirakendusega juhitav küttesüsteem. "Või ka nõudepesumasin – ma muidugi ei tea, miks keegi üldse oma nõudepesumasinas internetti vajab," toob Eggendorfer näite hiljutisest juhtumist, kus inimese kodusesse võrku pääseti just nõudepesumasina kaudu.

PEBCAK on humoorikas lühend väljendist Problem Exists Between Chair And Keyboard ehk probleem asub tooli ka klaviatuuri vahel, teisisõnu algavad turvariskid enamasti arvutikasutajast. Mida saab tavaline arvutikasutaja tarbijana teha, et mitte luua soodsat võimalust ründajal oma andmeid õngitseda?

5 soovitust:

• Uuendage oma arvuti tarkvara. Oma arvuti ja nutiseadmed tasub seadistada automaatsetele tarkvarauuendustele, kuna tarkvaratootjad parandavad pidevalt oma tarkvaras turvaauke.
• Saage tarkvara kasutamiseks "juhiluba". Professor Eggendorfer toob näite esimeste autode teedele tulekust, kus oli väike hulk inimesi, kes oskasid autot juhtida. Kuid sellest hetkest, kus autokasutajate hulk suurenes plahvatuslikult, oli turvalise liiklemise huvides tarvis väljaõpet, mille tunnistuseks on tänapäeval juhiluba. Sama moodi on interneti ja infotehnoloogia kasutamisega: selleks, et seda teha turvaliselt on vaja teadmisi ja teadlikku käitumist. Selleks ettevalmistused peaksid Eggendorferi hinnangul algama juba koolis. Siia alla käivad elementaarsed teadmised nagu: ärge klõpsake lingil, mille puhul pole kindel, kuhu see viib; ärge edastage oma parooli või privaatseid andmeid isegi kui neid küsib pealtnäha usaldusväärne osapool - interneti teel selliseid andmeid ei küsita; ärge avage manuseid, mille puhul te pole kindel, kellelt need tulnud on; kontrollige manuseid antiviirusega; kasutage erinevaid paroole, mis sisaldavad erinevaid paljudest tähtedest ja numbritest koosnevaid kombinatsioone.
• Kasutage nende arendajate tarkvara, mis annavad kaasa turvalisuse garantii. Eggendorfer toob näite Saksamaalt, kus tarkvaratootjad väidavad, et tarkvara on nii keeruline, et seda pole võimalik teha täiesti turvaliseks. "See on nonsenss!" ütleb Eggendorfer. See nõuab suures mahus kvaliteedikontrolli, mis toob kaasa lisakulu, mis omakorda jätab vähem raha ja aega turunduseks. Aga turvalist tarkvara on võimalik toota ning selleks on vaja lõppkasutajate mõttemaailma muutust, sedastab Eggendorfer. Me peame saama olla kindlad, et tarkvara, mida kasutame, on turvaline. Võtame kasvõi Windows10, millel on mõned turvalisuse garantiid, kuid mitte midagi, mis tagaks kasutaja privaatsuse. Euroopa Liidu andmekaitsedirektiivi kohaselt (General Data Protection Regulation ehk GDPR) rikub see kasutajate õigusi.
• Valitsusasutused ja avaliku sektori organisatsiooni, kasutage vaid turvalisuse garantiid andvat tarkvara. Praegu kasutavad paljud valitsusasutused samuti Windowsi tarkvara ning mõne kuu eest olnud suur lunavaranõue näitas, kui ebaturvaline see võib olla. "Ma ei kujutaks ette, et mõni autotootja laseks turule ilma näidikuteta auto – see kutsutaks tänavalt väga kiiresti tagasi. Tarkvaraga seda millegi pärast ei tehta."
• Mitte ostmine on võimalus. Eelistada korporatiivtarkvarale teisi alternatiive, näiteks Linuxit, mis aitaks tervikuna mitmekesistada tarkvaratootjate turgu ning seeläbi valida turvalisim ning ka iga inimese privaatsust tagav tarkvara.

Professor Tobias Eggendorfer viibib Eestis rahvusvahelise küberkaitse suvekooli raames, kus ta pidas ettekande teemal How (not) to be phished.