Turvapoliitika

Tehnoloogia ja turvalisuse arengu tulemusena on ründed inimese kui süsteemi nõrgima lüli vastu järjest levinumad. Tänase praktikumi esimeses osas tutvume e-mailide turvalisusega ning miks e-maili teel saabunud infot ei tohiks usaldada. Praktikumi teises pooles vaatame tehnilisemalt kui lihtne on krüpteerimata Windows failidele ligi pääseda kui sul on arvutile füüsiline ligipääs. Koduseks ülesandeks on käesoleval nädalal uurida nutiseadme turvapoliitikat ning rakenduste õigusi.

e-mailide turvalisus

E-mail on üks levinumaid digitaalselt info vahetamise kanaleid. Kahjuks on e-mail seejuures suhteliselt eba-turvaline moodus infot edastada, sest on väga raske kontrollida saabunud info terviklikkust (integrity) ja tegelikku saatjat (origin). E-kirjade ebaturvalisusega seotud probleemide illustreerimiseks saadame tänases praktikumis erineval viisil e-kirju ning süsteemidest. teie ülesanne on leida vihjed, mille põhjal saaja suudaks tuvastada, et kirjas olev info võib olla modifitseeritud.

Tänases praktikumis läheb sul vaja mitut erinevat e-maili aadressi:

1. sinu põhi-emaili aadress (see, mis ÕISis kirjas), ainult kirjade vastuvõtmine
   1. Kui mingil põhjusel teil puudub ligipääs ÕISis olevale e-mailile palun informeerige sellest (saatke enda rühma juhendajale e-kiri) uue e-mailiaadressiga kuhu soovite kirju saada.
2. liba-konto http://online.ee keskkonnas
   1. Minge lehele http://online.ee
   2. Looge seal uus kasutaja vajutades nupule REGISTREERI
   3. Väljad (k.a. alternatiivne e-posti aadress ja telefoninumber) täitke vabalt valitud infoga. Siinkohal soovitame mitte-kasutada infot ja nimesid, mis võiksid teile kui isikule viidata, sest kui te läbi viiksite päris rünnet siis oleks suhteliselt rumal seda teha enda nime alt.
   4. Alternatiivse e-posti aadressi ja telefoninumbri välja kuuluvust teile ei kontrollita ehk telefoninumbriks sobib ka "123456789"
   5. kirjutage parool ülesse, sest online.ee keskkonnas loodud kasutajat läheb meil vaja ka Praktikumis 7, kui tegeleme veel e-mailidega.

Käsurealt e-maili saatmine

Järgnevalt vaatame kuidas käsurealt e-kirju saata, mis annab meile rohkem võimalusi modifitseerida saatja infot.

1. Ava Linux Mint virtuaalmasin
2. paigalda programm nimega ssmtp
3. modifitseeri (vajadusel lisa) faili /etc/ssmtp/ssmtp.conf faili järgmised seadistuse parameetrid:
   1. UseSTARTTLS=YES
   2. mailhub=mail.hot.ee:587
   3. hostname=online.ee
   4. FromLineOverride=YES
   5. AuthUser=andmeturve999@online.ee (asenda e-mail enda loodud online.ee e-mailiga
   6. AuthPass=lisa_siia_enda_loodud_parool (asenda = järel olev enda parooliga online.ee keskkonnas.
4. e-kirja sisu on mugav ssmtp programmile ette anda tekstifailina mail.txt sisu võiks olla näiteks:

To: Sinu Nimi <sinu.emaili.aadress@gmail.com>
Subject: Andmeturve e-mail online.ee vahendusel
From: Alo Peets <alo.peets@ut.ee>
Content-Type: text/html; charset="utf8"

<html>
<body>

Käesolev kiri on saadetud online.ee vahendusel ja illustreerib kui kerge on võõra isiku nimel saata suhteliselt usutavat kirja. Rohkem infot siin https://www.youtube.com/watch?v=RKU6x1n9Hak


Alo Peets
Andmetuve aine õppejõud
</body>
</html>

• E-kirja saad saata nüüd käsureal käsuga ssmtp -v sinu.emaili.aadress@gmail.com < mail.txt
• Kontrolli, et kiri jõudis kohale ja vaata kas Gmail või mõni muu e-maili rakendus märkis sinu kirja rämpsuks (spam) või hoiatab et saatja pole alo.peets@ut.ee ?

E-kirja saatmine TÜ sisevõrgust

NB!! Järgnevat ülesannet saate teha ainult TÜ sisevõrgust eduroam või Andmeturve-2GHz nimelistest wifi-dest. Õppejõududele teadaolevalt üle VPN ilma kasutajatunnust ja parooli sisestamata (/etc/ssmtp&ssmtp.conf failis) nagu eelmises ülesandes e-kirju saata ei ole võimalik.

E-kirjad liiguvad internetis vägagi sarnaselt sellele, kuidas liiguvad füüsilises maailmas paberkirjad. Meil on olemas igas riigis (piirkonnas) postiteenuse osutaja kelle ülesandeks on e-kirjad kokku koguda ja õigete aadressaatideni kohale toimetada. Digitaalsel maailmas teevad seda nn e-maili serverid (kes tihti käituvad kui e-mail relay). TÜ-s on üks selline server mailhost.ut.ee mis hoolitseb selle eest, et kõik TÜ-st alguse saanud e-kirjad jõuaksid õigesse postkasti. Ajaloolistel põhjustel samas ei ole e-maili standardisse ja tehnilistesse lahendusse sisse kirjutatud ühtset standardit kuidas kontrollida et saatja oleks see kes ta väidab end olevat ning kuidas kontrollida, et e-kirju vahepeal ei modifitseerita. Selle kõige tulemusena on mailhost.ut.ee nõus ilma suurema kontrollimiseta vahendama TÜ sisevõrgust alguse saanud e-kirju soovitud sihtkohta.

Selle testimiseks:

1. modifitseeri (soovitavalt kommenteeri välja) faili /etc/ssmtp/ssmtp.conf faili järgmised seadistuse parameetrid:
   1. mailhub=mailhost.ut.ee:25
   2. hostname=ut.ee
   3. FromLineOverride=YES
   4. #UseSTARTTLS=YES - kommenteeri välja kasutades #
   5. #AuthUser=andmeturve999@online.ee - kommenteeri välja kasutades #
   6. #AuthPass=lisa_siia_enda_loodud_parool - kommenteeri välja kasutades #
2. modifitseeri mail.txt sisu näiteks:

To: Sinu Nimi <sinu.emaili.aadress@gmail.com>
Subject: Andmeturve e-mail ut.ee vahendusel
From: Alo Peets <alo.peets@ut.ee>
Content-Type: text/html; charset="utf8"

<html>
<body>

Käesolev kiri on saadetud ut.ee vahendusel ja illustreerib kui kerge on võõra isiku nimel saata suhteliselt usutavat kirja.  Rohkem infot siin https://www.youtube.com/watch?v=RKU6x1n9Hak

Alo Peets
Andmetuve aine õppejõud
</body>
</html>

• E-kirja saad saata nüüd käsureal käsuga ssmtp -v sinu.emaili.aadress@gmail.com < mail.txt

E-maili detailse info uurimine

IT-maailmas on esimesel korral infot vaadates raske öelda milline on õige / vale seadistus, kui teil varasem kogemus puudub. Seega lisaks kahele eelnevalt enda poolt saadetud liba e-kirjale saadab õppejõud teile ühe kirja TÜ soovituslikku e-kirja saatmise vahendit Exchange Online (Office365) kasutades ning võite võrdlusesse lisada courses.cs.ut.ee saadetava teate praktikumi hindamise kohta (või ÕISi kirja).

Järgnevalt võrdleme nelja (4) erinevat e-kirja:

1. ssmtp saadetud online.ee vahendusel e-kiri
2. ssmtp saadetud ut.ee vahendusel e-kiri
3. Õppejõu saadetud kiri Exchange Online (Office365) kasutades
4. courses.cs.ut.ee automaatselt saadetud tagasiside kiri (alternatiivina võib kasutada ÕISi saadetud teadet)

Iga kirja puhul ava oma e-mailirakenduses võimalikult detailne saatja info vaade (View Orginal, Näita algset jne vms) ja proovi sealt üles leida rida (read), mis kõige paremini illustreerivad, mis keskkonna vahendusel kiri saadeti ja kes selle saatis.

Esmapilgul ei viita miski sellele, et e-maili saatja poleks aine õppejõud.

Kuid kui uurida veidi sügavamale, siis on vihjeid küll, et saatjaks on arvatavasti keegi teine.

Arvestuseks:

1. Esita praktikumi arvestuseks neli (4) ekraanivaadet e-kirja detailsest infost (eri moodustel saabunud aine õppejõu nimel kirjadest) ja märgi selgelt näiteks punase kastiga kohad mis aitavad origin kirjetest tuvastada kas kirja on saatnud aine õppejõud või mitte.
2. Kirjelda vähemalt 3 tehnilist parameetrit detailsemalt, mis aitab tuvastada kas kiri on õige või vale (üks neist võiks olla SPF).

Sissejuhatus järgmisesse praktikumi - andmete lugemine krüpteerimata kettalt

Teie ülesandeks on importida järgnev virtuaalmasin ning lugeda selle salvestusseadme Desktopil oleva tekstifaili sisu ("Parool_avalik.txt"). Jagatud Windowsi virtuaalmasinasse ei saa te kohe sisse logida, sest te ei tea õiget parooli. Seetõttu tuleb kõigepealt probleemne salvestusseade ühendada enda Linux Mint virtuaalmasinaga ning siis saate vastavalt salvestusseadmelt vajaliku info kätte. Ülesande lahenduseks tuleb esitada kaks ekraanitõmmist, esimene tekstifaili Parool_avalik.txt (Mis asub Windows kasutaja Desktop kaustas) sisust Linux Mint masinas ning teine sama faili sisust Windows masinas. Punktide saamiseks peab Parool_avalik.txt failis näha olema ka teie nimi.

Windowsi sisselogimiseks peate kasutajalt parooli eemaldama või siis kasutaja parooli ära muutma. Kõige lihtsam on selleks kasutada Linux-i masinat ning külge haagitud Windowsi kettal kasutaja info ära muuta. Selleks saate kasutada vahendit nimega chntpw.

sudo apt-get install chntpw

Kõigepealt peate üles leidma Windowsi ketta oma arvuti failisüsteemistja selle lisama Virtualboxis Linux Mint virtuaalmasina külge. Pärast seda saate kasutada käsku lsblk tuvastamaks millise identifikaatoriga eelpool mainitud ketas Linux operatsioonisüsteemis ära tunti. Kontrollige kas lisatud ketas on juba haagitud mingi kausta külge. Kui ei ole siis haakige see ise kasutades käsku mount (failisüsteemi tüübiks on ntfs). Vajadusel uurige mount käsu näiteid internetis ja man mount abil. Pärast haakimist (mount) navigeerige vastavasse kausta (kuhu ketta haakisite). Seejärel minge kataloogi Windows/System32/config/ ning siis saate hakata chntpw kasutama. Kõigepealt uurige kuidas chntpw töötab (man chntpw) ning seejärel uurige välja, mis kasutajad on vastavas Windowsi masinas olemas. Eemaldage teile huvi pakkuvalt Windows-i kasutajalt parool, salvestage muudatus, sulgege masin ning avage Windowsi virtuaalmasin, et tulemust testida. Vihje: Windows masinas on töölaua (Desktop) failid peidetud kahel erineval moodusel. Teie ülesanne on need iseseisvalt uuesti nähtavaks muuta. Pärast parooli muutmist ja ekraanipildi tegemist ärge unustage Windowsi ketast lahti haakida umount käsuga. Samuti on tõrgete vältimiseks soovituslik teha Linux Mint masinale viisakas väljalülitus (shutdown).

Esitage Parool_avalik.txt faili sisust kaks ekraanitõmmist. Parool_avalik.txt asub Windows virtuaalmasinas kasutaja Desktop kaustas. Üks ekraanitõmmis peab olema tehtud Linux Mint masinas ning teine Windows-i masinas. Mõlemal juhul peab Parool_avalik.txt failis olema kirjas teie nimi ning see peab olema ekraanitõmmise peal näha.

Boonuspunktid! Windows masina töölaud sisaldab ka faili Parool_salajane.txt, mis on ühe linnukese tegemisega faili õigustes kaitstud kõrvaliste pilkude eest (Vähemalt Microsofti arvates). Kui teil õnnestub antud faili sisule ligi pääseda siis saada lahendus (kuidas ligi pääsesid) koos faili sisuga (juhuslik arv) Alo Peets'ile (alo.peets <ät> ut.ee) ja iga unikaalne lahendus teenib boonuspunkte.

Tagasiside

Praktikumi lõpus palume anda tagasisidet, sest see võimaldab meil antud praktikumi ja ka järgmisi praktikume paremaks muuta. Tagasiside on anonüümne ja tagasiside vormi leiate järgneva lingi abil: tagasiside ankeet.

Praktikumi ülesanded

Praktikumi ülesannete lahendamine annab kaks punkti. Praktikumi ülesanne võiks valmis saada praktikumi lõpuks, aga juhul kui see ei õnnestu, siis on võimalik lahendust esitada nädala jooksul.

Arvestuseks:

1. Esita praktikumi arvestuseks neli (4) ekraanivaadet e-kirja detailsest infost (eri moodustel saabunud aine õppejõud kirjadest) ja märgi selgelt näiteks punase kastiga kohad mis aitavad origin kirjetest tuvastada kas kirja on saatnud aine õppejõud või mitte. (0.5p)
2. Kirjelda vähemalt 3 tehnilist parameetrit detailsemalt, mis aitab tuvastada kas kiri on õige või vale (üks neist võiks olla SPF). (0.5p)
3. Esitage Parool_avalik.txt faili sisust kaks ekraanitõmmist. Parool_avalik.txt asub Windows virtuaalmasinas kasutaja Desktop kaustas. Üks ekraanitõmmis peab olema tehtud Linux Mint masinas ning teine Windows-i masinas. Mõlemal juhul peab Parool_avalik.txt failis olema kirjas teie nimi ning see peab olema ekraanitõmmise peal näha. (1p)

Lahendusi võtame vastu järgmistes failiformaatides: .txt, .pdf, .zip.

4. Praktikum 4 - Turvapoliitika

Kodune ülesanne

Koduse ülesande lahendamine annab ühe punkti ja esitamiseks on aega üks nädal. Koduse ülesande lahendus tuleb esitada aine kodulehelt. Küsimustele vastuste leidmiseks võib vaja minna lisamaterjalide, mille leiate Google'st.

Endale teadvustamata loobume tihti vabatahtlikult oma privaatsusest ja andmetest mida me kaitsta üritame. Nutiseadmetes on levinud, et kolmandate tootjate rakendused (nn need mis paigaldab kasutaja rakenduste poest ntx Google Play) küsivad ligipääsu sinu seadme riistvarale ja andmetele. Levinud õiguste kategooriad Android keskkonnas on:

• Calendar
• Camera
• Contacts
• Location
• Microphone
• Phone
• SMS
• Storage

Kirjuta iga õiguste kategooria juurde üks populaarne rakendus, mis seda ligipääsu õigust küsib ja juhtumi kirjeldus kuidas selle õigusega tungida inimese eraellu või saada ligipääs tundlikele andmetele.

Näidislahendus:

Storage - Taxify takso kutsumise app. Kuna antud rakendus küsib ligipääsu telefoni storage'le ehk telefonis olevatele failidele on rakenduse autoritel soovi korral võimalik telefonis olevaid faile muuta, filtreerida märksõna järgi ja huvitavamad saata Taxify serverisse. Seega peaks väga hoolikalt kaaluma enne iga rakenduse paigaldamist kas antud rakendus on ikka vajalik, usaldusväärse looja poolt kirjutatud ning mis juhtub kui ta lekitab sinu nutiseadmes (telefonis) olevaid faile.

Teie ülesanne on eelnevalt mainitud 8 levinuima nutiseadme õiguste kategooria kohta leida üks populaarne rakendus mis konkreetseid õigusi küsib ja kirjutada juhtumikirjeldus, kuidas antud õigusi saab rakenduse autor kurjasti ära kasutada. Rakenduste õigustega saate tutvuda Android või Apple rakenduste poest enne rakenduste allalaadimist. Rakendust ei tohi korrata seega kokku peate leidma vähemalt 8 unikaalset rakendust, mille õigusi analüüsite.

Lahendusi võtame vastu järgmistes failiformaatides: .txt, .doc, docx, .pdf, jne.

19. Kodune ülesanne 4

Lisamaterjalid

• Nutiseadmete turvalisus
  • Nutiseadmete turvalisus
  • Smartphone Security
  • OWASP Mobile Security Project
  • Cyber security report 2017
  • Threat report 2015
  • MOBILE THREAT REPORT Q1 2014
  • MOBILE THREAT REPORT July-September 2013
  • Android Security, Pitfalls, Lessons Learned and BYOD
• Nutiseadmete turvapoliitika
  • How to formulate an effective smartphone security policy
  • Sample Mobile Device Security Policy
• Failisüsteemide haakimine Operatsioonisüsteemide aine praktikumis