Arvutiteaduse instituut
  1. Kursused
  2. 2019/20 kevad
  3. Andmeturve (LTAT.06.002)
EN
Logi sisse

Andmeturve 2019/20 kevad

  • Pealeht
  • Loengud
  • Praktikumid
  • Referaat
  • Kirjandus
  • Turvauudised
  • Lingid

Turvapoliitika

Tehnoloogia ja tehnika turvalisuse arengu tulemusena on ründed inimese kui süsteemi nõrgima lüli vastu järjest levinumad. Tänase praktikumi esimeses osas tutvume e-mailide turvalisusega ning miks e-maili teel saabunud infot ei tohiks usaldada (ajakirjandusest leiab pidevalt kurbi näiteid mis juhtub kui e-mailis olevat infot ei kontrollida -- võlts arvete probleem). Praktikumi teises pooles vaatame tehnilisemalt kui lihtne on krüpteerimata Windows failidele ligi pääseda kui sul on arvutile füüsiline ligipääs. Koduseks ülesandeks on käesoleval nädalal uurida nutiseadme turvapoliitikat ning rakenduste õigusi.

e-mailide turvalisus

E-mail on üks levinumaid digitaalselt info vahetamise kanaleid. Kahjuks on e-mail seejuures suhteliselt eba-turvaline moodus infot edastada, sest on väga raske kontrollida saabunud info terviklikkust (integrity) ja tegelikku saatjat (origin). E-kirjade ebaturvalisusega seotud probleemide illustreerimiseks saadame tänases praktikumis erineval viisil ning süsteemidest e-kirju. Teie ülesanne on leida vihjed, mille põhjal saaja suudaks tuvastada, et kirjas olev info võib olla modifitseeritud.

Tänases praktikumis läheb sul vaja mitut erinevat e-maili aadressi:

  1. sinu põhi-emaili aadress (see, mis ÕISis kirjas), ainult kirjade vastuvõtmine
    1. Kui mingil põhjusel teil puudub ligipääs ÕISis olevale e-mailile palun informeerige sellest (saatke enda rühma juhendajale e-kiri) uue e-mailiaadressiga kuhu soovite kirju saada.
  2. liba-konto http://online.ee keskkonnas
    1. Minge lehele http://online.ee
    2. Looge seal uus kasutaja vajutades nupule REGISTREERI
    3. Väljad (k.a. alternatiivne e-posti aadress ja telefoninumber) täitke vabalt valitud infoga. Siinkohal soovitame mitte-kasutada infot ja nimesid, mis võiksid teile kui isikule viidata, sest kui te läbi viiksite päris rünnet siis oleks suhteliselt rumal seda teha enda nime alt.
    4. Alternatiivse e-posti aadressi ja telefoninumbri välja kuuluvust teile ei kontrollita ehk telefoninumbriks sobib ka "123456789"
    5. kirjutage parool ülesse, sest online.ee keskkonnas loodud kasutajat läheb meil vaja ka Praktikumis 6, kui tegeleme veel e-mailidega.

Käsurealt e-maili saatmine

Järgnevalt vaatame kuidas käsurealt e-kirju saata, mis annab meile rohkem võimalusi modifitseerida saatja infot.

  1. Ava Linux Mint virtuaalmasin
  2. paigalda programm nimega ssmtp
  3. modifitseeri (vajadusel lisa) faili /etc/ssmtp/ssmtp.conf faili järgmised seadistuse parameetrid:
    1. UseSTARTTLS=YES
    2. mailhub=mail.hot.ee:587
    3. hostname=online.ee
    4. FromLineOverride=YES
    5. AuthUser=andmeturve2020@online.ee (asenda e-mail enda loodud online.ee e-mailiga
    6. AuthPass=lisa_siia_enda_loodud_parool (asenda = järel olev enda parooliga online.ee keskkonnas.
  4. e-kirja sisu on mugav ssmtp programmile ette anda tekstifailina mail.txt sisu võiks olla näiteks: 
To: Sinu Nimi <sinu.emaili.aadress@gmail.com>
Subject: Andmeturve e-mail online.ee vahendusel
From: Alo Peets <alo.peets@ut.ee>
Content-Type: text/html; charset="utf8"

<html>
<body>

Käesolev kiri on saadetud online.ee vahendusel ja illustreerib kui kerge on võõra isiku nimel saata suhteliselt usutavat kirja. Rohkem infot siin https://www.youtube.com/watch?v=iM-MR0yQvTg


<br>Alo Peets
<br>Andmetuve aine õppejõud
</body>
</html>
  • E-kirja saad saata nüüd käsureal käsuga ssmtp -v sinu.emaili.aadress@gmail.com < mail.txt
  • Kontrolli, et kiri jõudis kohale ja vaata kas Gmail või mõni muu e-maili rakendus märkis sinu kirja rämpsuks (spam) või hoiatab et saatja pole alo.peets@ut.ee ?

E-kirja saatmine TÜ sisevõrgust

NB!! Järgnevat ülesannet saate teha ainult TÜ sisevõrgust eduroam või Andmeturve-2GHz (parool:aine kood) nimelistest wifi-dest. Õppejõududele teadaolevalt üle VPN ilma kasutajatunnust ja parooli sisestamata (/etc/ssmtp&ssmtp.conf failis) nagu eelmises ülesandes e-kirju saata ei ole võimalik.

E-kirjad liiguvad internetis vägagi sarnaselt sellele, kuidas liiguvad füüsilises maailmas paberkirjad. Meil on olemas igas riigis (piirkonnas) postiteenuse osutaja kelle ülesandeks on e-kirjad kokku koguda ja õigete aadressaatideni kohale toimetada. Digitaalsel maailmas teevad seda nn e-maili serverid (kes tihti käituvad kui e-mail relay). TÜ-s on üks selline server mail.ut.ee mis hoolitseb selle eest, et kõik TÜ-st alguse saanud e-kirjad jõuaksid õigesse postkasti. Ajaloolistel põhjustel samas ei ole e-maili standardisse ja tehnilistesse lahendusse sisse kirjutatud ühtset standardit kuidas kontrollida et saatja oleks see kes ta väidab end olevat ning kuidas kontrollida, et e-kirju vahepeal ei modifitseerita. Selle kõige tulemusena on mail.ut.ee nõus ilma suurema kontrollimiseta vahendama TÜ sisevõrgust alguse saanud e-kirju soovitud sihtkohta.

Selle testimiseks:

  1. modifitseeri (# rea välja kommenteerimiseks) faili /etc/ssmtp/ssmtp.conf järgmised seadistuse parameetrid:
    1. mailhub=mailhost.ut.ee:25
    2. hostname=ut.ee
    3. FromLineOverride=YES
    4. #UseSTARTTLS=YES - välja kommenteeritud
    5. #AuthUser=andmeturve999@online.ee - välja kommenteeritud
    6. #AuthPass=lisa_siia_enda_loodud_parool - välja kommenteeritud
  2. modifitseeri mail.txt sisu näiteks: 
To: Sinu Nimi <sinu.emaili.aadress@gmail.com>
Subject: Andmeturve e-mail ut.ee vahendusel
From: Alo Peets <alo.peets@ut.ee>
Content-Type: text/html; charset="utf8"

<html>
<body>

Käesolev kiri on saadetud ut.ee vahendusel ja illustreerib kui kerge on võõra isiku nimel saata suhteliselt usutavat kirja.  Rohkem infot siin https://www.youtube.com/watch?v=RKU6x1n9Hak

<br>Alo Peets
<br>Andmetuve aine õppejõud
</body>
</html>

E-kirja saad saata nüüd käsureal käsuga ssmtp -v sinu.emaili.aadress@gmail.com < mail.txt

E-maili detailse info uurimine

IT-maailmas on esimesel korral infot vaadates raske öelda milline on õige / vale seadistus, kui teil varasem kogemus puudub. Seega lisaks kahele eelnevalt enda poolt saadetud liba e-kirjale saadab õppejõud teile ühe kirja TÜ soovituslikku e-kirja saatmise vahendit Exchange Online (Office365) kasutades ning võite võrdlusesse lisada ÕIS saadetava teate aine praktikumide kohta (või courses.cs.ut.ee tagasiside kirja).

Järgnevalt võrdleme nelja (4) erinevat e-kirja:

  1. ssmtp saadetud online.ee vahendusel e-kiri
  2. ssmtp saadetud ut.ee vahendusel e-kiri
  3. Õppejõu saadetud e-kiri Exchange Online (Office365) kasutades
  4. ÕIS saadetud e-kiri (alternatiivina võib kasutada courses.cs.ut.ee saadetud teadet)

Iga e-kirja puhul ava oma e-postirakenduses e-kirja lähtetekst (View Orginal, Näita algset jne vms, Thunderbird puhul View => "Message Source") ja proovi sealt üles leida päise rida (read), mis kõige paremini illustreerivad, mis keskkonna vahendusel kiri saadeti ja kes selle saatis.

Esmapilgul ei viita miski sellele, et e-maili saatja poleks aine õppejõud.

Kuid kui uurida veidi sügavamale, siis on vihjeid küll, et saatjaks on arvatavasti keegi teine.

Arvestuseks:

  1. Esita praktikumi arvestuseks neli (4) ekraanivaadet e-kirja detailsest infost (eri moodustel saabunud aine õppejõu nimel kirjadest) ja märgi selgelt näiteks punase kastiga kohad mis aitavad origin kirjetest tuvastada kas kirja on saatnud aine õppejõud või mitte.
  2. Kirjelda vähemalt 3 tehnilist parameetrit detailsemalt, mis aitab tuvastada kas kiri on õige või vale (üks neist võiks olla SPF).

Sissejuhatus järgmisesse praktikumi - andmete lugemine krüpteerimata kettalt

Teie ülesandeks on importida järgnev virtuaalmasin Win10Turve2020.ova (parool:ainekood) ning esitada ekraanivaade selle salvestusseadme Oppejoud kasutaja Desktopil oleva tekstifaili sisust ("praktikumi arvestuseks.txt"). Jagatud Windowsi virtuaalmasinasse ei saa te kohe sisse logida, sest te ei tea õiget parooli. Seetõttu tuleb kõigepealt probleemne salvestusseade ühendada enda Linux Mint virtuaalmasinaga ning siis saate vastavalt salvestusseadmelt vajaliku info kätte. Ülesande lahenduseks tuleb esitada ekraanitõmmis, Windows Oppejoud Desktop kaustas) faili sisust pärast Windows masinasse edukat sisselogimist. Punktide saamiseks peab praktikumi arvestuseks.txt failis näha olema ka teie nimi.

Windowsi sisselogimiseks peate kasutajalt parooli eemaldama või siis kasutaja parooli ära muutma. Üks moodus on selleks kasutada Linux-i masinat ning külge haagitud Windowsi kettal kasutaja info ära muuta. Kõigepealt peate üles leidma Windowsi ketta oma arvuti failisüsteemist ja selle lisama Virtualboxis Linux Mint virtuaalmasina külge. Enne Windowsi ketta Linux'i külge lsiamist palun sulgege WIndows 10 virtuaalmasin "viisakalt" kasutajaliidesest Shut down, muidu jääb NTFS failisüsteem avatuks ja Linux annab veateate read only filesystem või permission denied. Pärast Windows virtuaalketta lisamist Linuxi külge saate kasutada käsku lsblk tuvastamaks millise identifikaatoriga eelpool mainitud ketas Linux operatsioonisüsteemis ära tunti. Kontrollige kas lisatud ketas on juba haagitud mingi kausta külge. Kui ei ole siis haakige see ise kasutades käsku mount (failisüsteemi tüübiks on ntfs). Vajadusel uurige mount käsu näiteid internetis ja man mount abil. Pärast haakimist (mount) navigeerige vastavasse kausta (kuhu ketta haakisite).

  • Vihje:Failisüsteemide haakimine Operatsioonisüsteemide aine praktikumis

Windowsi parooli teadmata sisenemiseks on mitu erinevat võimalust:

  1. kasutada vahendit nimega chntpw. sudo apt-get install chntpw või
    1. Seejärel minge kataloogi Windows/System32/config/ ning siis saate hakata chntpw kasutama. Kõigepealt uurige kuidas chntpw töötab (man chntpw) ning seejärel uurige välja, mis kasutajad on vastavas Windowsi masinas olemas. Eemaldage teile huvi pakkuvalt Windows-i kasutajalt tudeng parool, salvestage muudatus, sulgege masin ning avage Windowsi virtuaalmasin, et tulemust testida. Vihje: Windows masinas on töölaua (Desktop) failid peidetud kahel erineval moodusel.
  2. Kopeerige Windows\System32\cmd.exe faili Windows\System32\sethc.exe asemele
    1. Soovitatav on lisaks ümber nimetada ka viirusetõrje fail, et ta ei käivituks automaatselt. Program Files\Windows Defender\MsMpEng.exe -> Program Files\Windows Defender\MsMpEng-orig.exe
    2. järgmisel Windowsi käivitamisel saate nüüd 5x SHIFT klahvi vajutades avada Stickey Keys asemel süsteemi õigustes käsurea ja sisestada käsud whoami, net user ja parooli muutmiseks net user kasutajatunnus uusparool
    3. nüüd saate sisse logimise aknas uue parooli sisestada

Pärast muudatuste tegemist ärge unustage Windowsi ketast lahti haakida umount käsuga. Samuti on tõrgete vältimiseks soovituslik teha Linux Mint masinale viisakas väljalülitus (shutdown).

PS! Juhul kui teie Windows 10 virtuaalmasin ei käivitu või käivitub veateatega võib olla viga asjaolus, et vältida käivitumise vigu uusimate CPU-dega peab parandusena määrama virtuaalmasinale vanema CPU "Intel Core i7-6700K" https://forums.virtualbox.org/viewtopic.php?f=2&t=95783&sid=2ac954058e8a320a0bd3f7e775bb1f18&start=30 Samas praktikumides selgus, et see tekitab jällegi probleeme osade vanemate protsessoritega. Kui ka teil esineb see probleem sulgege kõik virtuaalmasinad ja Virtualbox programm. Seejärel minge kausta kuhu Windows 10 importisite (C:\Users\TeieKasutaja\VirtualBox VMs\Win10Turve2020\) ja otsige sealt faili Win10Turve2020.vbox, mille seest eemaldage (19. realt) tekst CpuProfile="Intel Core i7-6700K" ja salvestage fail. Korrake tegevust Win10Turve2020.vbox-prev failiga. Nüüd võiks Windows 10 virtuaalmasin jälle käivitada ka vanemate ja erilisemate CPU-dega.

Esitage praktikumi arvestuseks.txt faili sisust ekraanitõmmis. Fail praktikumi arvestuseks.txt asub Windows virtuaalmasinas Oppejoud Desktop kaustas. Ülesande lahenduseks tuleb esitada ekraanitõmmis, Windows Oppejoud Desktop kaustas) faili praktikumi arvestuseks.txt sisust pärast Windows masinasse edukat sisselogimist. Punktide saamiseks peab praktikumi arvestuseks.txt failis näha olema ka teie nimi.

Boonuspunktid! Windows masina töölaud sisaldab ka faili boonus.txt, mis on ühe linnukese tegemisega faili õigustes kaitstud kõrvaliste pilkude eest (Vähemalt Microsofti arvates "encrypt"). 2020 vastava ülesande boonuspunktid on juba jagatud ja rohkem ei jaga selle boonuse eest.

Tagasiside

Praktikumi lõpus palume anda tagasisidet, sest see võimaldab meil antud praktikumi ja ka järgmisi praktikume paremaks muuta. Tagasiside on anonüümne ja tagasiside vormi leiate järgneva lingi abil: tagasiside ankeet.

Praktikumi ülesanded

Praktikumi ülesannete lahendamine annab kaks punkti. Praktikumi ülesanne võiks valmis saada praktikumi lõpuks, aga juhul kui see ei õnnestu, siis on võimalik lahendust esitada nädala jooksul kuni tähtajani 26. veebr 2020 23.59 .

Arvestuseks:

  1. Esita praktikumi arvestuseks neli (4) ekraanivaadet e-kirja detailsest infost (eri moodustel saabunud aine õppejõud kirjadest) ja märgi selgelt näiteks punase kastiga kohad mis aitavad origin kirjetest tuvastada kas kirja on saatnud aine õppejõud või mitte. (0.5p)
  2. Kirjelda vähemalt 3 tehnilist parameetrit detailsemalt, mis aitab tuvastada kas kiri on õige või vale (üks neist võiks olla SPF). (0.5p)
  3. Esitada ekraanitõmmis, Windows 10 kasutaja Oppejoud Desktop kaustas faili praktikumi arvestuseks.txt sisust pärast Windows masinasse edukat sisselogimist. Punktide saamiseks peab praktikumi arvestuseks.txt failis näha olema ka teie nimi. (1p)

Lahendusi võtame vastu järgmistes levinud failiformaatides: .txt, docx, .pdf, .zip jne.

2. Praktikum 2 - Turvapoliitika (e-mail + Windows)
Sellele ülesandele ei saa enam lahendusi esitada.

Kodune ülesanne

Koduse ülesande lahendamine annab ühe punkti ja esitamiseks on aega üks nädal. Koduse ülesande lahendus tuleb esitada aine kodulehelt. Küsimustele vastuste leidmiseks võib vaja minna lisamaterjalide, mille leiate Google'st.

Endale teadvustamata loobume tihti vabatahtlikult oma privaatsusest ja andmetest mida me kaitsta üritame. Nutiseadmetes on levinud, et kolmandate tootjate rakendused (nn need mis paigaldab kasutaja rakenduste poest näiteks Google Play) küsivad ligipääsu sinu seadme riistvarale ja andmetele. Levinud õiguste kategooriad Android keskkonnas on:

  • Calendar
  • Camera
  • Contacts
  • Location
  • Microphone
  • SMS
  • Storage
  • Telephone

Kirjuta iga õiguste kategooria juurde üks populaarne rakendus, mis seda ligipääsu õigust küsib ja juhtumi kirjeldus kuidas selle õigusega tungida inimese eraellu või saada ligipääs tundlikele andmetele.

Näidislahendus:

Storage - Bolt takso kutsumise app. Kuna antud rakendus küsib ligipääsu telefoni storage'le ehk telefonis olevatele failidele on rakenduse autoritel soovi korral võimalik telefonis olevaid faile muuta, filtreerida märksõna järgi ja huvitavamad saata Taxify serverisse. Seega peaks väga hoolikalt kaaluma enne iga rakenduse paigaldamist kas antud rakendus on ikka vajalik, usaldusväärse looja poolt kirjutatud ning mis juhtub kui ta lekitab sinu nutiseadmes (telefonis) olevaid faile.

Teie ülesanne on eelnevalt mainitud 8 levinuima nutiseadme õiguste kategooria kohta leida üks populaarne rakendus mis konkreetseid õigusi küsib ja kirjutada juhtumikirjeldus, kuidas antud õigusi saab rakenduse autor kurjasti ära kasutada. Rakenduste õigustega saate tutvuda Android või Apple rakenduste poest enne rakenduste allalaadimist. Rakendust ei tohi korrata seega kokku peate leidma vähemalt 8 unikaalset rakendust, mille õigusi analüüsite.

Lahendusi võtame vastu järgmistes failiformaatides: .txt, .doc, docx, .pdf, jne.

17. Kodune ülesanne 2 - Nutiseade
Sellele ülesandele ei saa enam lahendusi esitada.

Dilberti koomiks (allikas)

Lisamaterjalid

  • Nutiseadmete turvalisus
    • Nutiseadmete turvalisus
    • Smartphone Security
    • OWASP Mobile Security Project
    • Cyber security report 2017
    • Threat report 2015
    • MOBILE THREAT REPORT Q1 2014
    • MOBILE THREAT REPORT July-September 2013
    • Android Security, Pitfalls, Lessons Learned and BYOD
  • Nutiseadmete turvapoliitika
    • How to formulate an effective smartphone security policy
    • Sample Mobile Device Security Policy
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused