Krüpteeritud sõnumirakendused: e-salastusmeetod, mida peab igaüks kasutama
Kuigi uudistekülgedel seostatakse krüpteeritud sõnumivahetust tihti tumeveebi küberpahalaste ja terroristidega, märgivad Eesti küberjulgeoleku spetsialistid, et usaldusväärselt krüpteeritud ning tuntud sõnumirakenduse kasutamine võiks olla vähemalt nutiseadmete omanike seas norm
Facebook ja Twitter on sotsiaalmeedia platvormid, kus võime jagada informatsiooni avalikult pea kogu maailmaga. Samas on maailmas kasvamas inimeste arv, kes soovivad omavahelise suhtluse ja sisu jagamise hoida krüpteeritud kübermüüride vahel. Nende inimeste hulka kuulub nii demokraatia eestvõitlejaid kui ka fundamentalistlikke terroriste.
Viimase kümne aasta jooksul on taoliste võrgustike arv märkimisväärselt kasvanud. Araabia kevade ajal kasutasid ühiskonna aktivistid side pidamisel ja välismaailmaga ühenduse hoidmisel peaasjalikult WhatsAppi ja Twitterit. Praeguseks on nende kahe keskkonna kõrvale tekkinud arvukalt uut tarkvara, mis lubavad täielikku krüpteeritud privaatsust.
Demokraatlik abivahend
Näiteks kasutasid eelmise aasta lõpus Iraani valimiste järel meelt avaldama tulnud miitingute organiseerimiseks Venemaal arendatud Telegrammi. Samal ajal oli Iraani valitsus ära blokeerinud Facebooki, YouTube'i ja palju erinevaid VPN teenuseid, mille abil oleksid kasutajad saanud valitsuse blokeeringutest mööda hiilida.
Kuigi Telegram kustutas Iraani palvel Amad Newsi konto, keeldus Telegrami looja Pavel Durov kustutamast kõiki soovitud kontosid. Seejärel sulgesid Iraani internetiteenuse pakkujad ligipääsu rakendusele ehk blokeerisid enda serverites Telegrami kasutatavad aadressid.
USA aktivistid kasutavad peaasjalikult Open Whisper Systemsi arendatud rakendust Signal, mis varjab oma sõnumivahetust suurte domeenide taha nagu näiteks Google ja Amazon. Varjamiseks muudab Signal rakenduses saadetud sõnumid tavapärasteks "otsinguteks", mida on üldises päringutemeres raske tuvastada.
Signal on eelkõige lääneriikide aktivisitide sidevahend, sest kui mõni valitsus prooviks Signalit sulgeda, peaks ta blokeerima suurdomeeni, mille taha Signali andmevahetus on peidetud. Sestap riikides nagu Hiina ja Iraan on võimatu Signali rakendust kasutada, kuna riigid on piiranud ligipääsu globaalsetele otsingumootoritele, näiteks Google'le. Samas kui proovida Signali liiklust välja lülitada mõnes demokraatlikkusse madalaseisu sattunud lääneriigis, siis näiks see radikaalse netitsensuurina.
Terrorismi katalüsaator?
Sellegipoolest peavad lääneriikide valitsused mõtlema kommunikatsiooniliinide blokeerimise peale. Eriti valusalt avaldus see vajadus alates 2015. aastast Euroopas alanud terrorilaine ja samal perioodil hoogustunud rändekriisi puhul.
Nii Belgia, Prantsusmaa kui ka Saksamaa julgeolekuasutused tõdesid toona, et suurem osa ISIS-e “üksikutest huntidest” pidasid omavahel sidet just Telegrami vahendusel. Lisaks sellele rääkisid Kreekasse ja Itaaliasse jõudnud migrandid, et parim viis smugeldaja leidmiseks on kasutada selleks WhatsAppi.
Veelgi enam: 2016. aastal teatas tehnoloogiablogi TechCrunch, et šiiitlik äärmusrühmitus ISIS on loonud oma krüpteeritud suhtlusrakenduse Alwari. Viimast ei saa loomulikult allalaadida mitte ühestki avalikust rakenduspoest, vaid seda tuleb otsida tumeveebist.
Valitsused ei saa tumeveebi tarkvara vastu võidelda, küll aga on mobiilitootjatel ja operatsioonisüsteemide arendajatel võimalus luua tagauksed, mis annaksid ligipääsu seadmele installitud tarkvara andmetele.
Dilemma aga seisneb selles, kui palju barjääre on tehnoloogiahiiud nõus oma süsteemidesse ehitama. Mida rohkem kasutajate vabadusi piiratakse, seda enam süüdistatakse arendajad jälituskultuuri loomises. Kui Google ja Apple blokeeriksid näiteks Alwari koodi kasutamise Android või iOS platvormil, pärsiksid nad kaude oma platvormi arengut.
Õilsad tagauksed
Teine mõtlemiskoht platvormide omanikele on koostöö demokraatlike režiimidega. Riigi Infosüsteemi Amet (RIA) tõdeb 2016. aasta küberturbe aastaraportis, et üha rohkem toimub muutusi krüptograafiaga seotud õigusruumis. Näiteks tuuakse Madalmaad ja Suurbritannia.
Kui Madalmaad otsustasid 2016. aasta jaanuaris mitte kehtestada krüptograafiat puudutavaid õigusi, siis Ühendkuningriigis võeti sama aasta sügisel vastu jälitustegevuse seadus, mis annab ametkondadele laialdased õigused internetiliikluse jälgimiseks ning juurdepääsuks kasutaja andmetele. Muu hulgas võimaldab see nõuda teenuseosutajatelt krüpteeringu kõrvaldamist või luua teenustes tagauksi. Tugeva krüptograafia piiramist terrorismivastases võitluses on toetanud ka Prantsusmaa ja Saksamaa.
Eesti seisab selles arutelus krüptovabaduste eest, kuna meie e-teenuste seisukohast tugev krüptograafia on e-Eesti usaldusväärsuse garantii. Seetõttu ei toeta Eesti krüpteeritud süsteemidesse tagauste loomist. Seega e-riigina oleme võtnud tark- ja riistvaraarendajate poole, kes pigem loovad veekindlaid süsteeme, mida on isegi arendajal keeruline lahti murda.
Kõigile vajalik, kuid aeguv turvalahendus
Ka Tallinna tehnikaülikooli (TTÜ) küberkriminalistika ja küberjulgeoleku keskuse juhi Rain Ottise sõnul on õiguskaitseorganitele õilsa eesmärgiga loodud tagauste idee naiivne. “See käsitlus eeldab, et kurjategijad kasutaksid ainult mingite riikide ametitega kooskõlastatud tarkvara,” leiab Ottis.
Tema hinnangul kannataksid “tagauste” tõttu peamiselt tavakasutajad, kes oleksid sunnitud kasutama teadlikult haavatavaks ehitatud lahendusi. “Kurjategijad hangiks endale turvalise alternatiivi ning suure tõenäosusega hakkaks riiklikult planeeritud haavatavusi kasutama kodanike, ettevõtete ja ka riigiametite ründamiseks,” selgitab Ottis.
Seejuures rõhutab ta, et võimalusel tuleb alati eelistada krüpteeritud suhtluskanaleid. Seda nii e-kirjade, tavalise sõnumivahetuse kui ka sotsiaalmeedia kasutamise puhul. Krüpteeritud kanalite eelistamine vähendab märkimisväärselt andmete kõrvalistesse kätesse sattumise riski. “Ühest küljest kaitseb see inimesi kurjategijate ja muidu liiga uudishimulike osapoolte eest,” sõnab Ottis.
Krüpteerimist ei kasutata enam ammu üksnes teabevahetuse konfidentsiaalsuse tagamisel, vaid krüptograafiast on saanud standard andmete terviklikkuse tagamisel.
Nõrkus on endiselt ekraani ja klaviatuuri vahel
Kuid sellegipoolest pole krüpteerimine TTÜ teadlase väitel võluvits, vaid pigem see muudab probleemi olemust ning annab teabe kaitsjatele eelise. Kui andmed on piisavalt hea ja korrektselt rakendatud algoritmiga krüpteeritud, siis saab kaitsja keskenduda kõikide andmete kaitsmise asemel “vaid” krüpteerimisvõtmete kaitsmisele.
Teisalt mõiste “piisavalt hea krüpteering” muutub ajas, kuna tehnoloogiaarengu ning arvutusvõimsuste kasv muudab siiani kõlblikud krüpteeringud aja möödudes paratamatult lahtimurtavaks.
“Lisaks on alati võimalik, et algoritmi rakendamisel on tehtud viga tarkvaras, riistvaras või mõnes haldusprotsessis, mis muidu turvaliseks peetud lahenduse haavatavaks teeb,” märgib Ottis. Seega on krüpteeringu üks nõrgemaid koht siiski inimene ehk arendaja või teenusepakkuja, kelle vigase töö või turvamata andmebaasi tõttu on kliendi andmetele ikkagi võimalik ligipääseda.
Ottis lisab, et seetõttu nõuab osa riikidest kasutajate andmete säilitamist samas riigis, kus teenuse kasutaja algselt registreeriti. “Need meetodid on riigiti erinevalt reguleeritud ning võivad omada erisusi näiteks luure või terrorismivastase võitluse kontekstis,” täpsustab Ottis.
Lisaks sellele tuleb mõista, et krüpteeritud suhtluskanali murdmisel on kõige ebaefektiivsem krüpto enda murdmine. See võtab lihtsalt enamasti ebamõistlikult palju ressurssi ning ei pruugi anda tulemust. “Selle asemel tuleks keskenduda algoritmi nõrkustele, rakenduse nõrkustele või võtmete kättesaamisele,” ütleb Ottis.
Tema sõnul proovitakse kasutada eelpool mainitud seaduslikku sundi, aga ka häkkimisründeid, pahavara ning teisi varjatud jälgimis- ja teabekogumismeetodeid.
Taust loeb
Sestap tuleks tähelepanelikult jälgida tark- ja riistvara päritolu, mis võib kaasa tuua lisariske. Nii on mitu lääneriiki piiranud Vene ja Hiina päritolu tehnoloogia kasut, et vältida jälgimise riski. Näiteks alles mõne nädala eest teatasid USA võimud, et ei soovita ameeriklastel soetada Hiina päritolu nutiseadmeid.
Siinkohal tuleb aga silmas pidada globaliseeruvat tehnoloogiaturgu. “Keerukamad lahendused on tihtipeale rahvusvaheliste suurfirmade toodetud ning nende lahenduste päritolu määramine võib osutuda probleemiks, kui toote erinevad osad toodetakse erinevates riikides,” nendib Ottis.
CERT-EE infoturbe eksperdi Sille Laksi väitel pole Eestis praeguseni toimunud mitte ühtegi teadaolevat küberintsidenti, mida võiks seostada mõne krüpteeritud sõnumirakendusega. "Küll aga on esinenud juhtumeid, kus Skype’i kaudu jagatakse inimese kontaktidele pahatahtlikke linke, sest turvameetmed on ebapiisavad: näiteks nõrk parool, kasutajainfo on sisestatud õngitsuslehele, puudub kaheastmeline autentimine," märgib Laks.
Õngitsevad rämpsrakendused
Infoturbe eksperdi hinnangul on kõige ohtlikumad rakendused, mille on arendanud tuvastamatu eraisik või ettevõte. "Nende rakenduste puhul pole teada, milliseid andmeid suhtlusrakendus saadab tundmatutele osapooltele," selgitab Laks. Nii võib näiteks juhtuda, et rakenduse omanik kasutab andmete hoiustamiseks kolmanda osapoole serverit, kelle tegevuse üle tal kontroll puudub. Serveri omanik võib lisakasumi saamiseks need andmed omakorda edasi müüa.
"Suhtlusrakenduses vahetatud infot analüüsides võimalik teada saada inimese käitumis- ja suhtlemisharjumused, välja võib lugeda ka tema suhtluspartnerite käitumisharjumused," ütleb Laks. Selliseid hägusa taustaga tarkvara pakuvad võimalusi küberkurjategijatele, kes kasutavad näiliselt turvalisi rakendusi hõlptulu teenimiseks.
Näiteks toob CERT-EE infoturbe ekspert mullu Suurbritannias avastatud WhatsAppi võltsrakenduse, mis oli tegelikult mõeldud veebireklaamidele vaatamiste kogumiseks ning suutis väidetavalt installida seadmesse nö sõsar-rämpsäppe. "Enam kui miljon Androidi kasutajat laadis oma telefoni võlts-Whatsappi rakenduse. Selle nimi oli “Update-WhatsApp” ja Google Play poes kuvati selle arendajana WhatsAppi tegelikku arendajat WhatsApp Inc," möönab Laks.
Kokkuvõttes on igal nutiseadme süvakasutajal mõistlik endale allalaadida mõni krüpteeritud teabevahetust võimaldav rakendus. Teisalt kui pead enne kontaktide nimekirja sulgema viis vilkuvat reklaami või vaatama mõnda nutimängu treilerit, siis pole tõenäoliselt tegemist turvalise keskkonnaga, kus enda isiklikke andmeid ja dokumente jagada.
Jätkub...
Kui paljud küberkurjategijaid on Eesti kasutajate andmeid jahtinud Laks öelda ei oska, sest RIA sõnumirakenduste liiklust ei jälgi ega dekrüpteeri võrguliiklust. Pöördusin krüpteeritud sõnumirakenduste kuritegelikul eesmärgil kasutamise teemal kommentaari saamiseks ka politsei- ja piirivalveameti (PPA) poole. Kahjuks on PPA kübervaldkonna inimesed sel nädalal hõivatud, kuid politsei pressiesindaja sõnul saadavad nad kommentaari järgmise nädala algul.
Teisalt nentis kõneisik, et PPA ei saa vastuste andmisel detailidesse minna, mistõttu kirjeldab politsei olukorda üldisemalt.
Avaldame PPA kommentaari esimesel võimalusel.