Praktikum 5 - Turvaline suhtlus

Tehnoloogia ja tehnika turvalisuse arengu tulemusena on üha levinumad ründed inimese kui süsteemi nõrgima lüli vastu. Tänase praktikumi esimeses osas tutvume e-mailide turvalisusega ning näitame, miks e-maili teel saabunud infot ei tohiks usaldada (ajakirjandusest leiab pidevalt kurbi näiteid, mis juhtub kui e-mailis olevat infot ei kontrollita -- libaarvete probleem või kellegi teise nimel e-kirja saatmine). Praktikumi teises pooles vaatame turvalise e-maili saatmise (krüpteeritud, signeeritud) ja turvalise suhtluse võimalusi (Signal) ning uurime kuidas võimalikult anonüümselt internetti külastada torbrowser.

1. E-mailide turvalisus

E-mail on üks levinumaid digitaalselt info vahetamise kanaleid. Kahjuks oli (on siiani) e-mail seejuures suhteliselt ebaturvaline moodus infot edastada, sest on väga raske kontrollida saabunud info terviklikkust (integrity) ja tegelikku saatjat (origin). E-kirjade ebaturvalisusega seotud probleemide illustreerimiseks saadame tänases praktikumis erinevatel viisidel e-kirju. Teie ülesanne on leida vihjed, mille põhjal saaja suudaks tuvastada, et kirjas olev info ei pruugi olla usaldusväärne.

1.1 Online.ee keskkonnas e-maili konto loomine

Tänases praktikumis läheb sul vaja mitut erinevat e-maili aadressi:

1. sinu TÜ-emaili aadress, logi sisse aadressil https://kiri.ut.ee ja seal New mail/Uus kiri vaates saate näha vajadusel enda TÜ e-maili aadressi.
2. liba-konto http://online.ee keskkonnas
   1. Minge lehele http://online.ee
   2. Looge seal uus kasutaja vajutades nupule REGISTREERI
   3. Väljad (k.a. alternatiivne e-posti aadress ja telefoninumber) täitke vabalt valitud infoga. Siinkohal soovitame mitte-kasutada infot ja nimesid, mis võiksid teile kui isikule viidata, sest kui te läbi viiksite päris rünnet siis oleks suhteliselt rumal seda teha enda nime alt.
   4. Alternatiivse e-posti aadressi ja telefoninumbri välja kuuluvust teile ei kontrollita ehk telefoninumbriks sobib ka "123456789"
   5. kirjutage parool ülesse (sisestage paroolihaldurisse), et te seda ära ei unustaks.

1.2 E-kirja saatmine TÜ sisevõrgust SMTP (Simple Mail Transfer Protocol)

E-kirjad liiguvad internetis vägagi sarnaselt sellele, kuidas liiguvad füüsilises maailmas paberkirjad. Meil on olemas igas riigis (piirkonnas) postiteenuse osutaja kelle ülesandeks on e-kirjad kokku koguda ja õigete aadressaatideni kohale toimetada. Digitaalsel maailmas teevad seda nn e-maili serverid (kes tihti käituvad kui e-mail relay, MTA). TÜ-s on üks selline server mail.ut.ee mis hoolitseb selle eest, et kõik TÜ-st alguse saanud e-kirjad jõuaksid õigesse postkasti TÜ-s ja maailmas. Ajaloolistel põhjustel samas ei ole e-maili standardisse ja tehnilistesse lahendusse sisse kirjutatud ühtset standardit kuidas kontrollida, et saatja oleks see kes ta väidab end olevat ning kuidas kontrollida, et e-kirju vahepeal ei modifitseerita. Selle kõige tulemusena on mail.ut.ee nõus ilma autentimiseta vahendama TÜ sisevõrgust alguse saanud e-kirju soovitud sihtkohta.

SMTP on protokoll meili saatmiseks. SMTP protokolli vaikimisi port on 25. Ühendus tuleks luua selle arvutiga, mis on märgitud DNS-is e-maili saaja domeeni meiliserveriks. Tavaliselt jõuab e-mail kohale ka siis, kui võtta ühendust suvalise koduvõrgu SMTP serveriga, nt mail.ut.ee või mail.neti.ee - sel juhul need serverid vahendavad (relay) e-maili õigele serverile (kui neil vahendamine lubatud on). Varasemalt oli paljudel e-mailiserveritel vastav tegevus lubatud, kuid seoses suureneva võltsarvete ja muude e-mailiga saadetavate pettustega on hetkel raske leida avalikku e-maili serverit, mis autentimata kasutajale e-maile edastaks.

NB! Järgmist harjutust saab teha ainult TÜ sisevõrgust (arvutiklassis kaablivõrk, Andmeturve-2GHz wifi või eduroam, kusjuures isegi VPN-ühendus ei aita. Piirangust mööda pääsemiseks soovitame kõigil luua kõigepealt ssh ühenduse adalberg.ut.ee serveriga ssh TÜkasutajatunnus@adalberg.ut.ee ja siis seal käsureal järgnevad tegevused sooritada. TÜ sisevõrgust saaks järgnevat tegevust teha ka autentimata ehk saata nö võltsitud saatja reaga e-kiri heauksele saajale. NB! Võltsitud (muudetud) saatja reaga e-maili saatmine on keelatud tegevus ja seadusega karistatav (ilma ohvri nõusolekuta, identiteedivargus). Seega järgnev tegevus muudetud saatja reaga e-maili saatmine on väljaspool LTAT.06.002 Andmeturve aine Praktikum5 ülesande lahendamiseks vajalikku lahendamist keelatud.

[alop@math ~]$ telnet mail.ut.ee 25
Trying 2001:bb8:2002:500::47...
Connected to mail.ut.ee.
Escape character is '^]'.
220 smtp2.it.da.ut.ee ESMTP Postfix
HELO ut.ee
250 smtp2.it.da.ut.ee
MAIL FROM:<oppejou.nimi@ut.ee>
250 2.1.0 Ok
RCPT TO:<eesnimi.perenimi@gmail.com>
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
From:Õppe Jõud<oppe.joud@ut.ee>
To:Eesnimi Perenimi<eesnimi.perenimi@gmail.com>
X-Mailer: telnet
Subject: e-maili test Turve2023
Content-Type: text/plain; charset=UTF-8
Käesolev kiri on saadetud telneti vahendusel ja illustreerib kuidas saata võõra nime ja aadressi alt e-maili. 
.
250 2.0.0 Ok: queued as C12B39006F
QUIT
221 2.0.0 Bye
Connection closed by foreign host.

Käskude selgitused:

HELO

sessiooni algust tähistav käsk, parameetriks klientarvuti nimi, varasemalt sageli ignoreeriti, kuid järjest enam nõutakse et see peab korrektne DNS mõttes lahenduv nimi olema.

MAIL FROM

parameetriks saatja meiliaadress.

RCPT TO

parameetriks saaja meiliaadress.

DATA

järgneb meili sisu - kõigepealt päised, siis tühi rida ja meili tekst. Lõpetamiseks punkt eraldi real.

QUIT

lõpetab sessiooni.

Päised:

• To: saaja aadress,
• From: saatja aadress,
• Subject: määrab e-maili teema,
• Content-Type: ütleb, et tegemist tavalise tekstilise e-mailiga (vastandina HTML e-mailile) ja sisu on kodeeritud UTF-8 kodeeringus.

Silma torkab, et nii saatja kui saaja aadressi on topelt - nii MAIL FROM/RCPT TO käsus, kui ka From/To päistes. MAIL FROM/RCPT TO moodustavad kirja "ümbriku" (envelope). RCPT TO on e-maili tegelik saaja, To: päises on esialgne saaja, nt listi puhul listi e-maili aadress. Praktikas meiliserver päiseid ei vaata vaid juhindub ainult ümbrikuaadressidest. Ja vastupidi - meilide lugemise programm ei tea midagi ümbrikuaadressidest. Nii on võimalik pimekoopia saatmine - pimekoopia saaja on ümbrikus saajana kirjas, aga päistes teda pole.

Nagu näha, ei nõua SMTP oma algsel kujul mitte mingit tõestust, et sul on õigus saatja nimel e-maili saata. See teebki lihtsaks e-maili ärakasutamise spämmerite ning viiruste poolt. Selle vastu võitlemiseks rakendatakse mitmesuguseid piiranguid:

• IP-aadresside piiramine, kust on SMTP-ühendused lubatud (näiteks mail.neti.ee ei luba väljaspoolt Telia'le kuuluvast aadressiruumist).
• kasutajanime ja parooli ning krüpteeritud ühenduse (SSL/TLS) nõudmine (mitmed veebimajutusteenuse pakkujad).
• SPF reeglid DNS-s, mis loetlevad, millistelt IP-aadressidelt on lubatud antud saatja aadressiga e-maile saata.
• DKIM - e-mailide allkirjastamine serverile teadaoleva privaatse võtmega, mille avalik võti on DNS-s.
• DMARC - Täiendab SPF ja DKIM

Ülesanne 1: Saada iseendale telnetiga e-mail praktikumijuhendaja nimel adalberg.ut.ee serveri vahendusel (või TÜ sisevõrgust), pane saatjaks Alo Peets<alo.peets@ut.ee> ja lisa päisesse X-Mailer: rida väärtusega telnet. E-mail peab sisaldama korrektset teemarida (pealkiri) ja täpitähti. Lisa aruandesse pilt enda postkasti saabunud praktikumijuhendaja kirjast koos vaikimisi peidetud X-Mailer: reaga. X-Mailer info ja muu detailse saatja info nägemiseks on vaja meilikliendis avada detailne vaade.

• Gmail: ⋮ => Näita algset/Show original
• Outlook: ... => View -> View message details

1.3 Käsurealt e-maili saatmine

Eelnevalt saatsime punktis 1.2 endale näiliselt õppejõu nimel kirja telneti vahendusel. Vastava kirja saatmiseks oli meil vaja aga ennast autentida TÜ ssh serveri vastu või füüsiliselt asuda Tartu Ülikooli õppehoones kohapeal. Kusjuures telnetis kirja koostamine on suhteliselt tüütu ja vastava protsessi võiks ju ära automatiseerida. Järgnevalt vaatamegi kuidas käsurealt e-kirju saata, mis annab meile võimaluse e-kirjade saatmine ära automatiseerida.

1. Ava Linux Mint virtuaalmasin
2. paigalda programm nimega ssmtp (eelnevates praktikumides oleme Linuxis tarkvara paigaldamist õppinud)
3. modifitseeri (vajadusel lisa) faili /etc/ssmtp/ssmtp.conf faili järgmised seadistuse parameetrid:
   1. mailhub=mail.hot.ee:587
   2. hostname=ut.ee (Parameeter on võrguühenduse põhine, kui sooritate praktikumi väljaspool praktikumiruumi peaksite muutma enda võrgule sobivaks. Lisainfo: https://www.online.ee/faq.php#faq/c_kkk/answer_c_kkk_9 )
   3. FromLineOverride=YES
   4. UseSTARTTLS=YES
   5. AuthUser=andmeturve2023@online.ee (asenda e-mail enda loodud online.ee e-mailiga)
   6. AuthPass=lisa_siia_enda_loodud_parool (asenda = järel olev enda parooliga online.ee keskkonnas.)
4. e-kirja sisu on mugav ssmtp programmile ette anda tekstifailina mail.txt sisu võiks olla näiteks:

To: Sinu Nimi <sinu.emaili.aadress@ut.ee>
Subject: Andmeturve e-mail online.ee vahendusel
From: Alo Peets <andmeturve@online.ee>
Content-Type: text/html; charset="utf8"

<html>
<body>

Käesolev kiri on saadetud online.ee vahendusel ja illustreerib kirja saatmise parameetrite modifitseerimist käsurealt.

<br>Andme Turve
<br>kursus
</body>
</html>

Kui sul ei õnnestu e-maili saata, vaata üle seadistus ja võimalusel kasuta mobiilset internetti (mobiiliga hotspot ja host arvuti ühenda sinna internetti, virtuaalmasin saab ühenduse automaatselt NAT kaudu). Kuna käesoleva ja krüpteeritud kirja saatmise ülesanne on võrgupõhine tegevus siis osad internetiühendused piiravad väljuvaid käsitsi koostatud e-maile kahjuks.

1.4 E-maili detailse info uurimine

IT-maailmas on esimesel korral infot vaadates raske öelda milline on õige / vale seadistus, kui teil varasem kogemus puudub. Seega lisaks kahele eelnevalt enda poolt saadetud liba e-kirjale saadab õppejõud teile ühe kirja TÜ soovituslikku e-kirja saatmise vahendit Microsoft Outlook Office 365 veebikeskkonda kasutades ning võite võrdlusesse lisada ÕIS saadetava teate aine praktikumide kohta (või courses.cs.ut.ee tagasiside kirja).

Järgnevalt võrdleme nelja (4) erinevat e-kirja:

1. telnet saadetud adalberg.ut.ee vahendusel liba e-kiri
2. ssmtp saadetud online.ee vahendusel liba e-kiri aadressilt alo.peets@ul.ee
3. ÕIS e-kiri saadetud õppejõu poolt pealkirjaga LTAT.06.002 Andmeturve - ... (alternatiivina võib kasutada courses.cs.ut.ee saadetud tagasiside teadet)
4. Õppejõu saadetud e-kiri Microsoft Outlook Office 365 veebikeskkonda kasutades

Iga e-kirja puhul ava oma e-postirakenduses e-kirja lähtetekst (View Orginal, Näita algset jne vms, Thunderbird puhul View => "Message Source") ja proovi sealt üles leida päise rida (read), mis kõige paremini illustreerivad, mis keskkonna vahendusel kiri saadeti ja kes selle saatis.

Esmapilgul ei viita miski sellele, et e-maili saatja poleks aine õppejõud.

Kuid kui uurida veidi sügavamale, siis on vihjeid küll, et saatjaks on arvatavasti keegi teine. Käesolev pilt on näide varasemast aastast kus TÜ e-maili poliitika oli veidi vabam ning kohale jõudsid ka vigase SPF kirjega e-mailid.

1.5 Arvestuseks:

• Ülesanne 3.1: Esita praktikumi arvestuseks neli (4) ekraanivaadet e-kirja detailsest infost (eri moodustel saabunud aine õppejõu nimel kirjadest) ja märgi selgelt näiteks punase kastiga kohad mis aitavad detailsest vaatest tuvastada kas kirja on saatnud aine õppejõud või mitte.
• Ülesanne 3.2: Kirjelda eelmises punktis valitud punaste kasti valikut ehk vähemalt 3 tehnilist parameetrit detailsemalt, mis aitab tuvastada kas kiri on õige või vale.

2. Krüpteeritud ja signeeritud e-kirja saatmine PGP

Järgneva harjutuse eesmärgiks on tutvustada meilide krüpteerimist ja signeerimist võimaldavat tarkvara PGP. Praktikumiülesannete lahendamiseks tuleb teil kasutada online.ee lõpuga e-meili kontot, mille lõime praktikumi esimeses osas. E-maili aadressilt peab olema võimalik Mozilla Thunderbirdi abil kirju alla laadida ning kirju saata - kui see toimib, siis tuleb veel loota, et teenusepakkuja ei blokeeri krüpteeritud sisuga kirju (online.ee on selleks sobivaim). Üldiselt töötab lahendus ka muude e-maili teenusepakkujatega, kui online.ee ei soovi kasutada. NB! online.ee uue meiliaadressi korral ei ole sinna esimesed ~4h võimalik kirju saata seega kui teete uue online.ee aadressi siis peaksite ootama 4h kuni saate sinna e-kirju saata edukalt. Alternatiivina võite kasutada ka (gmail.com, hotmail.com) jms aadresse.

Praktikumiülesandeid saab teha nii enda arvutis kui ka virtuaalmasinas (Linux, Windows, iOS peaksid kõik sobima).

2.1 Tavalise meilivahetusega seotud turvaprobleemid

E-kirjade edastamise protokollid ei ole algselt disainitud turvalisust ja privaatsust silmas pidades nagu demonstreerisime praktikumi esimeses osas. Seega on vaikimisi e-kirjad turvamata, mis tähendab seda, et e-kirju edastatakse tavatekstina (neid ei krüpteerita), samuti pole saatja tihti verifitseeritav. Mõningad SMTP serverid toetavad STARTTLS, mis võimaldab minna turvamata ühenduselt automaatselt üle krüpteeritud ühendusele, mis kasutab protokolli TLS. Siiski leidub veel teenusepakkujaid kus STARTTLS ei kasutata vaikimisi. Seega kui tarkvara ei sunnita kasutama turvaliseks meilivahetuseks mõeldud porti ehk TLS/SSL, siis edastatakse e-kirjad SMTP serverisse üle võrgu tavatekstina.

Meilide edastamiseks ühest serverist teise kasutatakse meilide edastamise agenti ehk MTA-d. Niisugune agent tegeleb nii kirjade vastuvõtmise kui edastamisega ehk kasutab mõlemat SMTP funktsionaalsust. Oluline on see, et erinevad meilide edastamise agendid ei pea omavahel suhtlema TLS/SSL abil vaid võivad kasutada turvamata ühendust. Võib tekkida olukord kus on vaja edastada e-kiri meiliserverile, mis ei toeta TLS/SSL. Seega kui meiliklient saadab turvatud kujul esimesele meiliedastamise serverile e-kirja, siis ei ole garantiid, et seda kirja ei saadeta edasi tavatekstina. Isegi kui e-kiri edastatakse terve teekonna vältel TLS/SSL abil, siis ei saa vältida seda olukorda, et e-kirja edastav server ei loe (salvesta) kirja sisu. Seega on vaja e-kirjade saatmisel usaldada meiliedastamise agente.

Source: OASIS

Oluline on see, et e-kirjade päises olevat infot ei krüpteerita. Seetõttu on e-kirja metaandmed nagu näiteks saatja meiliaadress, saaja meiliaadress, saatja IP, vastuvõtja IP, kuupäev, kell, pealkiri avalikud. Need andmed on avalikud ja neid on kasutusel olevate protokollide tõttu raske varjata. OpenPGP uuemad versioonid võimaldavad siiski asendada osa tundikke väljasid nagu "pealkiri" ajutise nö vähetundliku infoga ja tegelik pealkiri krüpteeritakse koos kirjaga ära.

Tavalise meilivahetusega seotud riskid:

• kirjavahetuse salvestamine
• kirja sisu muutmine
• kirja levitamine
• identiteedivargus (liba e-mailid)

Väga hea ülevaate meilivahetusega seotud probleemidest annab Google, Michigani ülikooli ja Illinoisi ülikooli poolt kirjutatud artikkel Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security (2015).

2.2 Lahendused - PGP / SMIME / otspunktkrüpteerimist võimaldavad sõnumirakendused

Ideaalset lahendust eelnevalt kirjeldatud probleemidele ei ole praegu olemas. Parimad olemasolevad lahendused kasutavad avaliku võtme krüptograafial põhinevat otspunktkrüpteerimist (end-to-end encryption). Otspunktkrüpteerimise korral krüpteeritakse sõnum saatja arvutis ja dekrüpteeritakse alles vastuvõtja arvutis, mistõttu sõnumi edastajad ei saa sõnumit dekrüpteerida.

Pretty Good Privacy (PGP) on 1991. aastal loodud arvutiprogramm, mis võimaldab digitaalsete andmetega teha mitmeid krüptograafilisi operatsioone, näiteks dokumente ja e-kirju krüpteerida ning signeerida. PGP põhineb avaliku võtme krüptograafial, kus igal kasutajal on oma võtmepaar. PGP on kommertstoode ning pole seega vabalt kättesaadav. Küll aga on selle järgi loodud OpenPGP standard, mida järgiv tarkvara on omavahel ühilduv. Kõige tuntum vabavaraline OpenPGP standardile vastav programm on GNU Privacy Guard (GnuPG ehk GPG). E-kirjade otspunktkrüpteerimiseks saabki kasutada OpenPGP standardit järgivat tarkvara GPG.

Alternatiiviks on loobuda e-kirjade kasutamisest ja kasutada tundliku info edastamiseks teisi otspunktkrüpteerimist võimaldavaid vahendeid. Üheks niisuguseks alternatiivseks võimaluseks oli Off-the-Record Messaging (OTR), aga viimasel ajal on populaarsemaks muutunud sõnumivahetusprogramm Signal, mis peaks pakkuma kõrgemat turvataset kui OTR . Signal'i kasutamist saate praktiseerida praktikumi ülesande 5 lahendamisel.

2.3 Juhend enda arvuti ettevalmistamiseks

• Paigaldage enda arvutisse Mozilla Thunderbird
  • Linux: sudo apt install thunderbird
  • Windows: https://www.thunderbird.net/en-US/thunderbird/all/
• Paigaldage GPG
  • Linux: sudo apt install gnupg (Mint vaikimisi olemas)
  • Windows: http://www.gpg4win.org/
• Varasemalt kasutatud Thunderbird-i laiendus Enigmail on alates Thunderbird 68-st sisseehitatud ja eraldi enigmail laiendust pole vaja paigaldada.
• Käivitage Thunderbird ning lisage emaili konto. Kui palutakse Enigmail seadistada, siis valige, et te ei soovi seda praegu teha.
  • Selles praktikumis võiksite kasutada online.ee konto, mille tegime praktikumi esimeses osas.

Üksikutes vameates versioonides võib olla vaja lisada ka Add Security Exception suhtlus.ee sertifikaadile Confirm Security Exception, sest millegipärast arvab aegajalt thunderbird, et nende kasutatav sertifikaat ei ole päris õige. Kui teil sellist veateadet ei tule võite juhendiga edasi minna.

2.4 Võtmepaari genereerimine

Genereerige endale PGP võtmepaar. Enne kui te järgmist tegevust teete proovige saata enda online.ee e-mailile kiri, kui vastus on negatiivne Address not found või Recipient address rejected: andmeturve2023@online.ee is expired account ei saa te veel kirju vastu saata online.ee aadressile. Uue online.ee e-maili postkasti üles seadistamine kirjade vastuvõtmiseks kulub umbes umbes 4h. Te võite võite praktikumiga edasi minna, ja saate kirju välja saata, kuid arvestage, et vastused õppejõult saate hilinemisega.

Thunderbird -> Account Settings -> End-to-End Encryption -> Add Key -> Create a new OpenPGP Key või... Thunderbird -> Tools -> OpenPGP Key Manager -> Generate -> New Key Pair

Valitud peaks olema see konto, mille te seadistasite praktikumi alguses. Vaikeseaded sobivad, kuid võite valida, et teie võtme kehtivusaeg oleks 1 aasta. Parooli pole vaja eraldi seadistada, sest Thunderbird loob ise juhusliku parooli peamise konto parooli põhjal (vaikisi pole seadistatud). "Thunderbird uses an automatically created, random password to protect all the OpenPGP secret keys." https://support.mozilla.org/en-US/questions/1304363

2.5 Võtmeserver

Võtmeservereid kasutatakse avalike võtmete levitamiseks. Võtmeserverist on võimalik otsida teiste avalikke võtmeid nende nime / meiliaadressi / võti ID abil. Oluline on tähele panna, et võtmeserverisse laetud avalikku võtit ei saa sealt enam eemaldada (openPGP puhul näidatakse viimastes versioonides siiski ainult viimasena üleslaetud võtit iga e-maili aadressi kohta). Juhul kui vastav salajane võti on kaduma läinud või kui vastavat meiliaadressi enam ei kasutata, siis tuleks kasutada revocation sertifikaati, et märkida vastav avalik võti tühistatuks. Kuna võtmeserverisse võtit laadides ei toimu autentimist, siis ei ole kindlust, kellele võtmeserveris olev võti kuulub. Seetõttu tuleks enne võtme allalaadimist kontrollida, et võtme ID vastab teie tuttava / kontaktisiku võtme ID-le.

1. Thunderbirdi viimased versioonid kasutavad vaikimisi võtmeserverit: keys.openpgp.org ja Kuid ei lae sinna automaatselt võtit üles. Selleks, et teie võti oleks ka avalikult leitav peate oma võtme Thunderbirdis eksportima faili (Tools -> OpenPGP Key Manager -> parem klahv võtmel ja Export Keys To File -> salvestage fail arvutisse. Nüüd saate minna veebilehele https://keys.openpgp.org/upload ja sinna eelnevalt eksporditud avalik võti üles laadida. Nüüd te satute enamasti probleemi otsa, kus online.ee uus e-mailiaadress ei võta veel kinnituskirja vastu, seega käesolevat tegevust teil otseselt teha pole vaja või tehke praktikumi lõpus kui on 4h möödunud online.ee konto tegemisest.
2. OpenPGP Key Manager -> parem klahv võtmel -> menüüst saab luua ka Revoke Key juhuks kui peaks olema vajalik võti tühistada (ärge hetkel katsetage).

2.6 Krüpteeritud ja signeeritud kirjade saatmine

Järgmistes punktides on vaja saata iseendale e-kirju, selleks peaksite omama ka mõnda alternatiivset e-maili aadressi (näiteks gmail.com, hotmail.com, mail.ee, online.ee jne).

Saatke iseendale testimise eesmärgil signeeritud kiri. Selleks koostage uus kiri/Write ja Security -> Digitally Sign .

Märkus. Juhul kui e-maili saatmine ebaõnnestub, sest Thunderbird üritab e-maili saata SMTP protokolli kasutades mail.hot.ee aadressile, mida blokeerib TÜ võrgu seadistus (või teie kohalik võrguseadistus) -- sellisel juhul on ajalooliselt vaja e-maili kliendis seadistada Teie kasutatavale võrgule (interneti teenusepakkujale) vastav väljuv MTA server, mis on nõus omakorda kirja edastama online.ee serverile (mail.hot.ee).

Väljuv e-maili server on vanemate e-maili serverite puhul võrgu põhine (interneti teenuse pakkuja, ISP, internet Service provider). Ehk olenevalt millist võrku te kasutate sellest sõltub teie outgoing serveri seadistus Thunderbird kliendis. Praktikumis ja TÜ sisevõrgus kasutage seadistust mis näha juhendis oleval pildil mail.ut.ee, port 25 ja no authentication@@. Kasutades mail.ut.ee serveri e-kirja edastamise teenuseid võib kuluda kuni 30min, milla e-kiri aadressaadini jõuab. Rohkem infot https://www.online.ee/faq.php#faq/c_kkk/answer_c_kkk_9 PS! Mobiilse interneti abil saadetud kirjad töötavad kõige stabiilsemalt kui teil on probleeme enda peamise interneti vahendusel kirja saatmisega.

Peaksite saama oma e-postiaadressile e-kirja mille manuses on signature.asc nimeline fail. Avage fail tekstiredaktoriga (näiteks notepad) ja tutvuge manuse sisuga. Kui sama signeeritud e-kiri avada Thunderbird programmiga peaks ta teile kuvama teate Good signature (Seda pole vaja testida).

Teisele isikule krüpteeritud kirja saatmiseks on sul vaja teada tema PGP avalikku võtit. Õppejõud on laadinud enda andmeturve2023@online.ee aadressi võtme keys.openpgp.org leheküljele ja esimest korda temale krüpteeritud kirja saates peaksite saama veateate, et teil puudub vajalik võti. Vajaliku võtme oskab Thunderbird ise veebist leida kui vajutate õigetele nuppudele (vaata juhendis järgnevat pilti).

• Ülesanne 4: Saatke krüpteeritud (Security -> Encrypt) ja signeeritud (Security -> Digitally Sign) e-mail õppejõule andmeturve2023@online.ee. Kirja krüpteeritud sisu peab kindlasti sisaldama TEIE ees- ja perenime ning pealkirja Andmeturve - PGP praktikum, et saaksime teie tegevuse arvestatuks märkida.

NB! Õppejõud saadab teile vastu samuti krüpteeritud ja signeeritud kirja 3 päeva jooksul, seega saate kontrollida sooritust ja tagasisidet, kas teie e-kiri jõudis kohale. Kui teil on kahtlus kas kiri jõudis kohale võite Teams vahendusel ühendust võtta ka aine õppejõuga Alo Peets.

2.7 DKIM info automaatne kontroll

Üks sagedasematest rünnetest, mille käigus inimesed või asutused reaalselt raha kaotavad, on õngitsusründed. Näiteks on olnud ka Eestis mitmeid reaalseid edukaid ründeid, kus võltsitud e-mailiga on saadetud raamatupidajale ülemuse poolt korraldus maksta kohe saadetud arve eest raha.

DKIM juurutamine on üks võimalustest kuidas vähendada võimalust õngitsusründe ohvriks langeda. Meil on varasemalt installeeritud Thunderbird ja lisatud online.ee e-mailikonto. Järgmiseks installeerime Thunderbird'le laienduse, mis teeb automaatselt DKIM-verifitseerimist ja kuvab info visuaalselt lihtsasti märgatavalt. Avage Thunderbird => (Tools menüü) => Add-ons and Themes => Extensions => (otsige "DKIM") => (üks leitudest peaks olema DKIM Verifier) => (lisage see Thunderbird'le ja vajadusel tehke Thunderbird'le taaskäivitus).

Nüüd saatke omale e-kiri Thunderbirdis seadistatud e-postile oma @ut.ee aadressilt (võite ka üritada mujalt saata, aga kõigil domeenidel ei pruugi olla DKIM seadistatud) ja teine kiri saatke e-maili saatjat taas võltsides (vaata eelnevat ülesannet vajadusel). Oluline on, et saatva e-posti-aadressi domeen oleks erinev e-kirja saatmiseks kasutatavast SMTP-serveri domeenist (simuleerime, et keegi üritab saata õngituskirja asutuse väliselt).

Nüüd võta Thunderbirdiga e-kirjad vastu ja kontrollime mõlema e-kirja "From" rida. Korrektsel e-kirjal peaks olema see sisaldama kirjet DKIM valid.

2.8 Outlook ja Gmail Turvaline e-kirja saatmine

Eelnevalt vaatasime kuidas saata PGP tüüpi krüpteeritud ja signeeritud e-kirja. Mitmed suuremad e-mailide teenusepakkujad on tänaseks krüpteeritud e-kirjade saatmise funktsionaalsuse lisanud oma teenusele. Näiteks kui sisenete enda TÜ kasutaja ja parooliga aadressile http://kiri.ut.ee ja seal valite New mail (uue kirja koostamise aken). Lisage Outlookis kirjale saaja (mõni muu enda e-maili aadress), pealkiri ja sisuks paar sõna. Nüüd otsige Send nupu kõrvalt rea lõpust lisamenüüd ... ja sealt valige Encrypt. misjärel peaks tekkima infoteade kirja algusesse Encrypt: This message is encrypted. Recepients can't remove encryption. Proovige nüüd krüpteeritud kirja avada enda e-mailipostakstis.

Teise edumeelse näitena võib välja tuua GMail e-maili teenuse. Kus tuleb e-kirja koostamise aknas vajutada tabaluku ja kellaga ikoonile Turn confidential mode on/off. Järgnev harjutus on illustreeriva eesmärgiga ainult neile kes seda soovivad katsetada ja ei ole kohustuslik sooritada. Eriti mugav on, et krüpteeritud kiri on ka esmase jagamise kaitsega (ei saa kopeerida, printida ega edasi saata kogemata). Lisaks on võimalik krüpteeritud kirja saata ka mitte Gmaili e-mailile, misjuhul saadetakse teist kanalit pidi (SMS) avamise kood eraldi adressaadini.

Osad arvamused soovitavad kasutada ka Proton nimelist e-maili teenust, mille suurim reklaamlause on et sarnaselt PGP või krüpteeritud e-krijadega ei saa nö meiliserver või meili vahendajad sinu e-mailidele ligi (End-to-End-Encryted). https://proton.me/

3. Sõnumivahetusrakenduse "Signal" kasutamine.

Signal on avatud lähtekoodiga, krüptograafide poolt arendatud rakendus, mis pakub otspunktkrüpteeritud ühendusi. See toimib Android (alates 4.0) ja iOS (alates 9.0) seadmetel. Juhul kui rakendus on telefonis aktiveeritud, siis saab kasutada ka desktopi klienti (toetatud on Windows, MacOS, Debian/Arch baasil Linux distributsioonid). Teie ülesandeks on:

• Paigaldada Signal nutirakendus
• Lisa kontaktide hulka andmeturbe praktikumi jaoks kasutatav number: +372 5902 3675 NB! Signali kontaktid võetakse enamasti telefoniraamatust juhul kui mõni telefoniraamatus olev kontakt kasutab Signalit, kuid praktikumi arvestuseks võib keelata ligipääsu kontaktidele ja sisestada numbri kästisi.
• Ava kontaktiga (+372 5902 3675) suhtluskanal, ning kirjutada sinna enda eesnimi ja perenimi (saada turvatud sõnum)
• Ülesanne 5.1: Kirjuta numbrile 5902 3675 sõnum, mis automaatselt kustub 30 sekundi pärast kui adressaat on sõnumit näinud. (0.7p)
• Ülesanne 5.2: Too välja vähemalt kolm (3) selget erinevust turvalisuse seisuskohast Signal sõnumite ja klassikaliste SMS-ide vahel ning esita lahendus praktikumi aruandesse. (0.3p)

Tulemus peaks sarnanema parempoolsel pildil kujutatule. Kindlasti kirjutage enda täisnimi ning kasutage teise sõnumi korral automaatse kustumise funktsionaalsust.

NB! Eeldame, et kõik IT tudengid omavad kaasaegseid IT seadmeid ja on võimelised Signal ülesannet lahendama. Kui te ei taha kasutada isiklikku telefoni numbrit siis soovitame osta kõnekaardi numbri käesoleva ülesande lahendamiseks. Kui siiski teil tekib probleeme Signali kasutamisel isiklikus nutiseadmes või nutiseade üldse puudub võtke ühendust aine õppejõuga Alo Peets, kes pakub teile alternatiivse ülesande.

4. Tumeveeb (tor) ja anonüümne suhtlus - TorChat

Aegajalt võib olla teil soov suhelda anonüümselt teise kasutajaga ilma et oleks võimalik kergesti tuvastada, kes on teisel pool kanalit suhtlemas ning kust ta suhtleb. Selliseid tarkvarasid kutsutakse anonüümseteks suhtluskanaliteks (anonymous messaging). Ühe näitena võib tuua tarkvara nimega TorChat või BRIAR, mõlemad põhinevad TOR anonüümsel interneti võrgustikul mille idee on, et ei ole võimalik eri osapooltel kergesti tuvastada kes kellega millal suhtleb. Levinud on ka nn TOR veebilehitseja https://www.torproject.org/ ja Darkweb foorumite kasutamine anonüümseks suhtluseks ja info levitamiseks. TOR kasutades on väidetavalt võimalik enda interneti teenusepakkuja ja riiklike uurimisasutuste eest ära peita, mis lehti sa külastad (veebist leiab mitmeid arutelusid kui edukalt TOR kasutajaid kaitseb, kuid keskmise kodukasutaja jaoks lisab see kindlasti anonüümsust ja kaitset võrgu jälgimise vastu.). PS! Alates oktoobrist 2021 on .onion V2 lehekülgede tugi eemaldatud TOR browseri versioonist 11 ja edasi, seega olge TOR linke otsides teadlikud, et peaksite otsima pikemaid TOR V3 linke. Lisainfo: https://support.torproject.org/onionservices/v2-deprecation/

Paigaldage Linux Mint virtuaalmasinasse tor veebilehitseja torbrowser ja külastage mõnda küberturvalisusega seotud tumeveebi (.onion) aadressi. Tor veebilehitseja on soovitatav paigaldada TOR kodulehelt, sest paketihalduri pakutav versioon on liialt vana ja annab käivitamisel veateate. https://www.torproject.org/download/ (Vihje: Laadige alla Linuxi versioon, pakkige lahti ja kaustas avage esimesel korral fail Tor Browser Setup järgnevatel kordadel kannab nime Tor Browser.

• Ülesanne 6: Külasta torbrowser veebilehitsejaga enda valitud küberturvalisusega seotud .onion tumeveebi lehte (ekraanivaade - 0.25p) ja too välja, milliste andmete lekkimise eest riiklikele jälgimisasutustele TOR Browser veebilehitseja kasutamine aitab (0.25p).

Esitada Praktikum5:

Praktikumi ülesannete lahendamine annab neli punkti ja esitamiseks on umbes kaks nädalat alates praktikumi toimumisajast ( kuni 22. märts tähtajani +1 päev lubatud hilinemist juhuks kui te pidite ootama online.ee e-maili aktiveerimist).

• Ülesanne 1: Saada iseendale telnetiga e-mail praktikumijuhendaja nimel adalberg.ut.ee serveri vahendusel (või TÜ sisevõrgust), pane saatjaks Alo Peets<alo.peets@ut.ee> ja lisa päisesse X-Mailer: rida väärtusega telnet. Lisa aruandesse pilt enda postkasti saabunud praktikumijuhendaja kirjast koos vaikimisi peidetud X-Mailer: reaga. - 0.5p
• Ülesanne 2: Tehke ekraanivaade enda Linux Mint käsureast, kus üritate ssmtp programmiga kirja saata valede saatja andmetega ehk aadressilt alo.peets@ut.ee. Peaksid saama veateate: Recipient address rejected: Message rejected due to: SPF fail - not authorized. .... - 0.5p
• Ülesanne 3: Esita praktikumi arvestuseks neli (4) ekraanivaadet e-kirja detailsest infost (eri moodustel saabunud aine õppejõu nimel kirjadest) ja märgi selgelt näiteks punase kastiga kohad mis aitavad origin kirjetest tuvastada kas kirja on saatnud aine õppejõud või mitte. Kirjelda eelmises punktis valitud punaste kasti valikut ehk vähemalt 3 tehnilist parameetrit detailsemalt, mis aitab tuvastada kas kiri on õige või vale. - 0.5
• Ülesanne 4: Saata PGP krüpteeritud ja signeeritud e-kiri õppejõule andmeturve2023@online.ee, mille sisuks on teie nimi - 1p
• Ülesanne 5: Saata Signal krüpteeritud kustuv sõnum numbrile +372 5902 3675 ja praktikumi esituse juures tuua selgelt välja 3 turvalisuse erinevust tavalisest SMS ja Signal vahel - 0.7 + 0.3p
• Ülesanne 6: Külasta torbrowser veebilehitsejaga enda valitud küberturvalisusega seotud .onion tumeveebi lehte (ekraanivaade - 0.25p) ja too välja, milliste andmete lekkimise eest riiklikele jälgimisasutustele TOR Browser veebilehitseja kasutamine aitab (0.25p).

Lisamaterjalid

• Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security (2015).
• Perfect Forward Secrecy
  • Perfect Forward Secrecy
  • Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection
  • Why the Web Needs Perfect Forward Secrecy More Than Ever