Praktikum 4 - Turvaline suhtlus

Update ... Kasutada keskkonda https://emkei.cz/ 2025 juhendis.

Tehnoloogia ja tehnika turvalisuse arengu tulemusena on üha levinumad ründed inimese kui süsteemi nõrgima lüli vastu. Tänase praktikumi esimeses osas tutvume e-mailide turvalisusega ning näitame, miks e-maili teel saabunud infot ei tohiks usaldada (ajakirjandusest leiab pidevalt kurbi näiteid, mis juhtub kui e-mailis olevat infot ei kontrollita -- libaarvete probleem või kellegi teise nimel e-kirja saatmine). Praktikumi teises pooles vaatame turvalise e-maili saatmise (krüpteeritud, signeeritud) ja turvalise suhtluse võimalusi (Signal) ning uurime kuidas võimalikult anonüümselt internetti külastada (torbrowser).

1. E-mailide turvalisus

E-mail on üks levinumaid digitaalselt info vahetamise kanaleid. Kahjuks oli (on siiani) e-mail seejuures suhteliselt ebaturvaline moodus infot edastada, sest on väga raske kontrollida saabunud info terviklikkust (integrity) ja tegelikku saatjat (origin). E-kirjade ebaturvalisusega seotud probleemide illustreerimiseks saadame tänases praktikumis erinevatel viisidel e-kirju. Teie ülesanne on leida vihjed, mille põhjal saaja suudaks tuvastada, et kirjas olev info ei pruugi olla usaldusväärne.

1.1 E-kirja saatmine TÜ sisevõrgust SMTP (Simple Mail Transfer Protocol)

E-kirjad liiguvad internetis ajalooliselt vägagi sarnaselt sellele, kuidas liiguvad füüsilises maailmas paberkirjad. Meil on olemas igas riigis (piirkonnas) postiteenuse osutaja kelle ülesandeks on e-kirjad kokku koguda ja õigete aadressaatideni kohale toimetada. Digitaalsel maailmas teevad seda nn e-maili serverid (kes tihti käituvad kui e-mail relay, MTA). TÜ-s on üks selline server mail.ut.ee mis hoolitseb selle eest, et kõik TÜ-st alguse saanud e-kirjad jõuaksid õigesse postkasti TÜ-s ja maailmas. Ajaloolistel põhjustel ei ole e-maili standardisse ja tehnilistesse lahendusse sisse kirjutatud ühtset standardit kuidas kontrollida, et saatja oleks see kes ta väidab end olevat ning kuidas kontrollida, et e-kirju vahepeal ei modifitseerita. Selle kõige tulemusena on mail.ut.ee nõus ilma autentimiseta vahendama TÜ sisevõrgust alguse saanud e-kirju soovitud sihtkohta. Seda ebaturvalisust üritab TÜ IT osakond järjest rohkem sulgeda, kuid ühilduvuse huvides ja soov toetada ka vanemaid tarkvarasid ja e-maili saatjaid, ei ole see kahjuks üldse lihtne. Siiski on aine õppejõududele vihjatud, et lähiajal selline kirja saatmise meetod sulgetakse ka TÜ-lis.

SMTP on protokoll meili saatmiseks. SMTP protokolli vaikimisi port on 25. Ühendus tuleks luua selle arvutiga, mis on märgitud DNS-is e-maili saaja domeeni meiliserveriks. Tavaliselt jõuab e-mail kohale ka siis, kui võtta ühendust suvalise koduvõrgu SMTP serveriga, nt mail.ut.ee - sel juhul need serverid vahendavad (relay) e-maili õigele serverile (kui neil vahendamine lubatud on). Varasemalt oli paljudel e-mailiserveritel vastav tegevus lubatud, kuid seoses suureneva võltsarvete ja muude e-mailiga saadetavate pettustega on hetkel raske leida avalikku e-maili serverit, mis autentimata kasutajale e-maile edastaks.

Boonuspunkt: Kui leiate "avalikult" kasutatava e-maili serveri, mis lubaks internetist ühenduda sinna telnet vahendusel porti 25 ja sealt kirju saata, siis andke sellest teada aine õppejõudule Alo Peets ja küsige boonuspunkte. Lahendused võib saata Alo e-mailile, Zulipis või esitada moodles Praktikum 0 - praktikumide boonuspunktid.

NB! Järgmist harjutust on soovitatav lahendada Andmeturve Linux Mint virtuaalmasinast, kuid saab teha ainult TÜ sisevõrgust (arvutiklassis kaablivõrk, Andmeturve-2GHz wifi levib arvutiklassis 2003 (parool aine kood) või Delta õppehoone eduroam, kusjuures isegi VPN-ühendus ei aita. Piirangust mööda pääsemiseks soovitame kõigil luua kõigepealt VPN ühendus TÜ sisevõrguga, kust saate ssh ühenduse luua adalberg.ut.ee serveriga ssh TÜkasutajatunnus@adalberg.ut.ee ja siis seal käsureal järgnevad tegevused sooritada. TÜ sisevõrgust saaks järgnevat tegevust teha ka autentimata ehk saata nö võltsitud saatja reaga e-kiri heausksele saajale. NB! Võltsitud (muudetud) saatja reaga e-maili saatmine on keelatud tegevus ja seadusega karistatav (ilma ohvri nõusolekuta, identiteedivargus). Seega järgnev tegevus muudetud saatja reaga e-maili saatmine on väljaspool LTAT.06.002 Andmeturve aine Praktikum4 ülesande lahendamiseks vajalikku lahendamist keelatud.

[alop@math ~]$ telnet mail.ut.ee 25
Trying 2001:bb8:2002:500::47...
Connected to mail.ut.ee.
Escape character is '^]'.
220 smtp2.it.da.ut.ee ESMTP Postfix
HELO ut.ee
250 smtp2.it.da.ut.ee
MAIL FROM:<oppejou.nimi@ut.ee>
250 2.1.0 Ok
RCPT TO:<eesnimi.perenimi@gmail.com>
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
From:Õppe Jõud<oppe.joud@ut.ee>
To:Eesnimi Perenimi<eesnimi.perenimi@gmail.com>
X-Mailer: telnet
Subject: e-maili test Turve2024
Content-Type: text/plain; charset=UTF-8
Käesolev kiri on saadetud telneti vahendusel ja illustreerib kuidas saata võõra nime ja aadressi alt e-maili. 
.
250 2.0.0 Ok: queued as C12B39006F
QUIT
221 2.0.0 Bye
Connection closed by foreign host.

Käskude selgitused:

HELO

sessiooni algust tähistav käsk, parameetriks klientarvuti nimi, varasemalt sageli ignoreeriti, kuid järjest enam nõutakse et see peab korrektne DNS mõttes lahenduv nimi olema.

MAIL FROM

parameetriks saatja meiliaadress.

RCPT TO

parameetriks saaja meiliaadress.

DATA

järgneb meili sisu - kõigepealt päised, siis tühi rida ja meili tekst. Lõpetamiseks punkt eraldi real.

QUIT

lõpetab sessiooni.

Päised:

• To: saaja aadress,
• From: saatja aadress,
• Subject: määrab e-maili teema,
• Content-Type: ütleb, et tegemist tavalise tekstilise e-mailiga (vastandina HTML e-mailile) ja sisu on kodeeritud UTF-8 kodeeringus.

Silma torkab, et nii saatja kui saaja aadressi on topelt - nii MAIL FROM/RCPT TO käsus, kui ka From/To päistes. MAIL FROM/RCPT TO moodustavad kirja "ümbriku" (envelope). RCPT TO on e-maili tegelik saaja, To: päises on esialgne saaja, nt listi puhul listi e-maili aadress. Praktikas meiliserver päiseid ei vaata vaid juhindub ainult ümbrikuaadressidest. Ja vastupidi - meilide lugemise programm ei tea midagi ümbrikuaadressidest. Nii on võimalik pimekoopia saatmine - pimekoopia saaja on ümbrikus saajana kirjas, aga päistes teda pole.

Nagu näha, ei nõua SMTP oma algsel kujul mitte mingit tõestust, et sul on õigus saatja nimel e-maili saata. See teebki lihtsaks e-maili ärakasutamise spämmerite ning viiruste poolt. Selle vastu võitlemiseks rakendatakse mitmesuguseid piiranguid:

• IP-aadresside piiramine, kust on SMTP-ühendused lubatud (näiteks mail.ut.ee ei luba väljaspoolt TÜ piiratud sisevõrgust e-maile saata).
• kasutajanime ja parooli ning krüpteeritud ühenduse (SSL/TLS) nõudmine (mitmed veebimajutusteenuse pakkujad).
• SPF reeglid DNS-s, mis loetlevad, millistelt IP-aadressidelt on lubatud antud saatja aadressiga e-maile saata.
• DKIM - e-mailide allkirjastamine serverile teadaoleva privaatse võtmega, mille avalik võti on DNS-s.
• DMARC - Täiendab SPF ja DKIM

Ülesanne 1: Saada iseendale telnetiga e-mail praktikumijuhendaja nimel adalberg.ut.ee serveri vahendusel (või TÜ sisevõrgust), pane saatjaks Alo Peets<alo.peets@ut.ee> ja lisa päisesse X-Mailer: rida väärtusega telnet. E-mail peab sisaldama korrektset teemarida (pealkiri) ja täpitähti. Lisa aruandesse pilt enda postkasti saabunud praktikumijuhendaja kirjast koos vaikimisi peidetud X-Mailer: reaga. X-Mailer info ja muu detailse saatja info nägemiseks on vaja meilikliendis avada detailne vaade.

• Gmail: ⋮ => Näita algset/Show original
• Outlook: ... (Seadete menüü)=> Kuva -> Kuva sõnumi üksikasjad / View -> View message details

1.2 Hotmail/Outlook keskkonnas e-maili konto loomine

Tänases praktikumis läheb sul vaja mitut erinevat e-maili aadressi:

1. sinu TÜ-emaili aadress, logi sisse aadressil https://kiri.ut.ee ja seal New mail/Uus kiri vaates saate näha vajadusel enda TÜ e-maili aadressi.
2. liba-konto http://hotmail.com (outlook.com ehk Microsoft Office 365) keskkonnas
   1. Minge lehele http://hotmail.com ja teid suunatakse uuele lehele, kus otsige nuppu Create free account
   2. Valige endale ajutine liba-aadress, mida kasutate ainult andmeturve kursuse raames. NB! Õppejõud soovitavad konto loomisel mitte kasutada enda päris andmeid vaid ajutisi väljamõeldud andmeid.
   3. Sisestage parool ja märkige see endale üles (läheb hiljem praktikumis vaja).
   4. Valige endale väljamõeldud nimi ja sünniaeg.
   5. Lahendage turvaülesanne ja viige konto loomine lõpule.
   6. Võib juhtuda, et Microsoft küsib ka telefoni numbrit lisa-autentimiseks, kui teie IP pealt tulnud hiljuti nende arust liialt palju konto loomisi. Alternatiivina (kui te ei taha enda telefoninumbrit Microsoftile anda) saab Thunderbirdi abil (vaata juhendi punkti 2) luua "tasuta" konto mailfence.com keskkonda, kus trial kontoga saab meile SMTP abil saata kuni 15 päeva jooksul.
   7. Logige värskelt loodud kontole sisse ja minge Sätted (Settings) -> Meili sünkroonimine (Sync email) -> POP ja IMAP kontrolli et Luba seadmetel ja rakendustel kasutada POP-protokolli. oleks lubatud (lükandnupp sinine).

1.3 Käsurealt e-maili saatmine

Eelnevalt saatsime punktis 1.1 endale näiliselt õppejõu nimel kirja telneti vahendusel. Vastava kirja saatmiseks oli meil vaja aga ennast autentida TÜ ssh serveri vastu või füüsiliselt asuda Tartu Ülikooli õppehoones kohapeal. Kusjuures telnetis kirja koostamine on suhteliselt tüütu ja vastava protsessi võiks ju ära automatiseerida. Järgnevalt vaatamegi kuidas käsurealt e-kirju saata, mis annab meile võimaluse e-kirjade saatmine ära automatiseerida.

1. Ava Linux Mint virtuaalmasin
2. paigalda programm nimega ssmtp (eelnevates praktikumides oleme Linuxis tarkvara paigaldamist õppinud)
3. Kui tegite outlook.com/hotmail.com lõpuga e-maili seadistus: modifitseeri (vajadusel lisa) faili /etc/ssmtp/ssmtp.conf faili järgmised seadistuse parameetrid:
   1. mailhub=smtp-mail.outlook.com:587
   2. FromLineOverride=YES
   3. UseSTARTTLS=YES
   4. AuthUser=andmeturve2024@outlook.com (asenda e-mail enda loodud hotmail/outlook e-mailiga)
   5. AuthPass=lisa_siia_enda_loodud_parool (asenda = järel kasutajat luues valitud parooliga)
4. Kui tegite mailfence.com lõpuga e-maili seadistus: modifitseeri (vajadusel lisa) faili /etc/ssmtp/ssmtp.conf faili järgmised seadistuse parameetrid:
   1. mailhub=smtp.mailfence.com:465
   2. FromLineOverride=YES
   3. UseTLS=YES
   4. AuthUser=andmeturve2024@mailfence.com (asenda e-mail enda loodud hotmail/outlook e-mailiga)
   5. AuthPass=lisa_siia_enda_loodud_parool (asenda = järel kasutajat luues valitud parooliga)
5. e-kirja sisu on mugav ssmtp programmile ette anda tekstifailina mail.txt sisu võiks olla näiteks:

To: Sinu Nimi <sinu.emaili.aadress@ut.ee>
Subject: Andmeturve e-mail SSMTP vahendusel
From: Alo Peets <andmeturve2024@outlook.com>
Content-Type: text/html; charset="utf8"

<html>
<body>

Käesolev kiri on saadetud asurealt SSMTP abiga ja kasutasime selles Microsofti e-maili servereid. Tegevus illustreerib kirja saatmise parameetrite modifitseerimist käsurealt.

<br>Andme Turve
<br>kursus 2024
</body>
</html>

Kui sul ei õnnestu e-maili saata, vaata üle seadistus ja võimalusel kasuta mobiilset internetti (mobiiliga hotspot ja host arvuti ühenda sinna internetti, virtuaalmasin saab ühenduse automaatselt NAT kaudu). Kuna käesoleva ja krüpteeritud kirja saatmise ülesanne on võrgupõhine tegevus siis osad internetiühendused piiravad väljuvaid käsitsi koostatud e-maile kahjuks.

1.4 E-maili detailse info uurimine

IT-maailmas on esimesel korral infot vaadates raske öelda milline on õige / vale seadistus, kui teil varasem kogemus puudub. Seega lisaks kahele eelnevalt enda poolt saadetud liba e-kirjale saadab õppejõud teile ühe kirja TÜ soovituslikku e-kirja saatmise vahendit Microsoft Outlook Office 365 veebikeskkonda kasutades ning võite võrdlusesse lisada ÕIS saadetava teate aine praktikumide kohta (või courses.cs.ut.ee tagasiside kirja).

Järgnevalt võrdleme nelja (4) erinevat e-kirja:

1. telnet saadetud adalberg.ut.ee vahendusel liba e-kiri
2. ssmtp saadetud outlook.com vahendusel liba e-kiri.
3. ÕIS e-kiri saadetud õppejõu poolt pealkirjaga LTAT.06.002 Andmeturve - ... teie TÜ e-posti aadressile
4. Õppejõu saadetud e-kiri teie TÜ e-posti aadressile Microsoft Outlook Office 365 veebikeskkonda (kiri.ut.ee) kasutades

Iga e-kirja puhul ava oma e-postirakenduses e-kirja lähtetekst (View Orginal, Näita algset jne vms, Thunderbird puhul View => "Message Source") ja proovi sealt üles leida päise rida (read), mis kõige paremini illustreerivad, mis keskkonna vahendusel kiri saadeti ja kes selle saatis.

Esmapilgul ei viita miski sellele, et e-maili saatja poleks aine õppejõud.

Kuid kui uurida veidi sügavamale, siis on vihjeid küll, et saatjaks on arvatavasti keegi teine. Käesolev pilt on näide varasemast aastast kus TÜ e-maili poliitika oli veidi vabam ning kohale jõudsid ka vigase SPF kirjega e-mailid.

1.5 Arvestuseks:

• Ülesanne 3: Uuri praktikumi esimeses osas saadetud/vastuvõetud erinevaid e-kirju ja esita praktikumi arvestuseks tekstiliselt viis (5) näidet koos lühikese tehnilise seletusega kuidas vastav parameeter/rida jne e-kirja detailses vaates aitab tuvastada kas kiri on õige või vale. - 0.5p

2. Krüpteeritud ja signeeritud e-kirja saatmine PGP

Järgneva harjutuse eesmärgiks on tutvustada meilide krüpteerimist ja signeerimist võimaldavat tarkvara PGP. Praktikumiülesannete lahendamiseks tuleb teil kasutada outlook.com / hotmail.com lõpuga e-meili kontot, mille lõime praktikumi esimeses osas. E-maili aadressilt peab olema võimalik Mozilla Thunderbirdi abil kirju alla laadida ning kirju saata - kui see toimib, siis tuleb veel loota, et teenusepakkuja ei blokeeri krüpteeritud sisuga kirju. Üldiselt töötab lahendus ka muude e-maili teenusepakkujatega, kui Microsofti ei soovi kasutada. Näiteks Thunderbirdi abil saab luua "tasuta" konto mailfence.com keskkonda, kus trial kontoga saab meile SMTP abil saata kuni 15 päeva jooksul.

Järgnevaid tegevusi saab teha nii enda arvutis kui ka virtuaalmasinas (Linux, Windows, iOS peaksid kõik sobima), kuid soovitame siiski tegevusi teha pigem Linux Mint virtuaalmasina turvalises keskkonnas.

2.1 Tavalise meilivahetusega seotud turvaprobleemid

E-kirjade edastamise protokollid ei ole algselt disainitud turvalisust ja privaatsust silmas pidades nagu demonstreerisime praktikumi esimeses osas. Seega on vaikimisi e-kirjad turvamata, mis tähendab seda, et e-kirju edastatakse tavatekstina (neid ei krüpteerita), samuti pole saatja tihti verifitseeritav. Mõningad SMTP serverid toetavad STARTTLS, mis võimaldab minna turvamata ühenduselt automaatselt üle krüpteeritud ühendusele, mis kasutab protokolli TLS. Siiski leidub veel teenusepakkujaid kus STARTTLS ei kasutata vaikimisi. Seega kui tarkvara ei sunnita kasutama turvaliseks meilivahetuseks mõeldud porti ehk TLS/SSL, siis edastatakse e-kirjad SMTP serverisse üle võrgu tavatekstina.

Meilide edastamiseks ühest serverist teise kasutatakse meilide edastamise agenti ehk MTA-d. Niisugune agent tegeleb nii kirjade vastuvõtmise kui edastamisega ehk kasutab mõlemat SMTP funktsionaalsust. Oluline on see, et erinevad meilide edastamise agendid ei pea omavahel suhtlema TLS/SSL abil vaid võivad kasutada turvamata ühendust. Võib tekkida olukord kus on vaja edastada e-kiri meiliserverile, mis ei toeta TLS/SSL. Seega kui meiliklient saadab turvatud kujul esimesele meiliedastamise serverile e-kirja, siis ei ole garantiid, et seda kirja ei saadeta edasi tavatekstina. Isegi kui e-kiri edastatakse terve teekonna vältel TLS/SSL abil, siis ei saa vältida seda olukorda, et e-kirja edastav server ei loe (salvesta) kirja sisu. Seega on vaja e-kirjade saatmisel usaldada meiliedastamise agente.

Source: OASIS

Oluline on see, et e-kirjade päises olevat infot ei krüpteerita. Seetõttu on e-kirja metaandmed nagu näiteks saatja meiliaadress, saaja meiliaadress, saatja IP, vastuvõtja IP, kuupäev, kell, pealkiri avalikud. Need andmed on avalikud ja neid on kasutusel olevate protokollide tõttu raske varjata. OpenPGP uuemad versioonid võimaldavad siiski asendada osa tundikke väljasid nagu "pealkiri" ajutise nö vähetundliku infoga ja tegelik pealkiri krüpteeritakse koos kirjaga ära.

Tavalise meilivahetusega seotud riskid:

• kirjavahetuse salvestamine
• kirja sisu muutmine
• kirja levitamine
• identiteedivargus (liba e-mailid)

Väga hea ülevaate meilivahetusega seotud probleemidest annab Google, Michigani ülikooli ja Illinoisi ülikooli poolt kirjutatud artikkel Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security (2015).

2.2 Lahendused - PGP / SMIME / otspunktkrüpteerimist võimaldavad sõnumirakendused

Ideaalset lahendust eelnevalt kirjeldatud probleemidele ei ole praegu olemas. Parimad olemasolevad lahendused kasutavad avaliku võtme krüptograafial põhinevat otspunktkrüpteerimist (end-to-end encryption). Otspunktkrüpteerimise korral krüpteeritakse sõnum saatja arvutis ja dekrüpteeritakse alles vastuvõtja arvutis, mistõttu sõnumi edastajad ei saa sõnumit dekrüpteerida.

Pretty Good Privacy (PGP) on 1991. aastal loodud arvutiprogramm, mis võimaldab digitaalsete andmetega teha mitmeid krüptograafilisi operatsioone, näiteks dokumente ja e-kirju krüpteerida ning signeerida. PGP põhineb avaliku võtme krüptograafial, kus igal kasutajal on oma võtmepaar. PGP on kommertstoode ning pole seega vabalt kättesaadav. Küll aga on selle järgi loodud OpenPGP standard, mida järgiv tarkvara on omavahel ühilduv. Kõige tuntum vabavaraline OpenPGP standardile vastav programm on GNU Privacy Guard (GnuPG ehk GPG). E-kirjade otspunktkrüpteerimiseks saabki kasutada OpenPGP standardit järgivat tarkvara GPG.

Alternatiiviks on loobuda e-kirjade kasutamisest ja kasutada tundliku info edastamiseks teisi otspunktkrüpteerimist võimaldavaid vahendeid. Üheks niisuguseks alternatiivseks võimaluseks oli Off-the-Record Messaging (OTR), aga viimasel ajal on populaarsemaks muutunud sõnumivahetusprogramm Signal, mis peaks pakkuma kõrgemat turvataset kui OTR . Signal'i kasutamist saate praktiseerida praktikumi ülesande 5 lahendamisel.

2.3 Juhend enda arvuti ettevalmistamiseks

• Paigaldage enda arvutisse Mozilla Thunderbird
  • Linux: sudo apt install thunderbird (Mint vaikimisi olemas)
  • Windows: https://www.thunderbird.net/en-US/thunderbird/all/
• Paigaldage GPG
  • Linux: sudo apt install gnupg (Mint vaikimisi olemas)
  • Windows: http://www.gpg4win.org/
• Varasemalt kasutatud Thunderbird-i laiendus Enigmail on alates Thunderbird 68-st sisseehitatud ja eraldi enigmail laiendust pole vaja paigaldada.
• Käivitage Thunderbird ning lisage emaili konto.
  • Selles harjutuses võiksite kasutada hotmail/outlook konto, mille tegime praktikumi esimeses osas.

Kui konto lisamine ei õnnestu võib olla vajalik lubada POP ühendused hotmail/outlook seadetest https://support.microsoft.com/en-us/office/pop-imap-and-smtp-settings-for-outlook-com-d088b986-291d-42b8-9564-9c414e2aa040

2.4 Võtmepaari genereerimine

Genereerige endale PGP võtmepaar.

Thunderbird -> Account Settings -> End-to-End Encryption -> Add Key -> Create a new OpenPGP Key või... Thunderbird -> Tools -> OpenPGP Key Manager -> Generate -> New Key Pair

Valitud peaks olema see konto, mille te seadistasite praktikumi alguses. Vaikeseaded sobivad, kuid võite valida, et teie võtme kehtivusaeg oleks 1 aasta. Parooli pole vaja eraldi seadistada, sest Thunderbird loob ise juhusliku parooli peamise konto parooli põhjal (vaikisi pole seadistatud). "Thunderbird uses an automatically created, random password to protect all the OpenPGP secret keys." https://support.mozilla.org/en-US/questions/1304363

2.5 Võtmeserver

Võtmeservereid kasutatakse avalike võtmete levitamiseks. Võtmeserverist on võimalik otsida teiste avalikke võtmeid nende nime / meiliaadressi / võti ID abil. Oluline on tähele panna, et võtmeserverisse laetud avalikku võtit ei saa sealt enam eemaldada (openPGP puhul näidatakse viimastes versioonides siiski ainult viimasena üleslaetud võtit iga e-maili aadressi kohta). Juhul kui vastav salajane võti on kaduma läinud või kui vastavat meiliaadressi enam ei kasutata, siis tuleks kasutada revocation sertifikaati, et märkida vastav avalik võti tühistatuks. Kuna ajalooliselt võtmeserverisse võtit laadides ei toimu autentimist, siis ei ole kindlust, kellele võtmeserveris olev võti kuulub. Seetõttu tuleks enne võtme allalaadimist kontrollida, et võtme ID vastab teie tuttava / kontaktisiku võtme ID-le. Hetkel siiski openpgp.org kasutab näiteks kontroll-emaili saatmist, et sul siiski on kontroll e-maili aadressi üle, mille võtit sa avalikustada soovid.

1. Thunderbirdi viimased versioonid kasutavad vaikimisi võtmeserverit: keys.openpgp.org ja Kuid ei lae sinna automaatselt võtit üles. Selleks, et teie võti oleks ka avalikult leitav peate oma võtme Thunderbirdis eksportima faili (Tools -> OpenPGP Key Manager -> parem klahv võtmel ja Export Keys To File -> salvestage fail arvutisse (uutes Thunderbirdi versioonides on olemas võtme juures ka nupp Publish, kuid edasi vaatame siiki kuidas seda tegevust käsitsi teha). Nüüd saate minna veebilehele https://keys.openpgp.org/upload ja sinna eelnevalt eksporditud avalik võti üles laadida. Oodake üleslaetud võtme verifitseerimise e-maili, see saabub enamasti 5 minuti jooksul.
2. OpenPGP Key Manager -> parem klahv võtmel -> menüüst saab luua ka Revoke Key juhuks kui peaks olema vajalik võti tühistada (ärge hetkel katsetage).

2.6 Krüpteeritud ja signeeritud kirjade saatmine

Järgmistes punktides on vaja saata iseendale e-kirju, selleks peaksite omama ka mõnda alternatiivset e-maili aadressi (näiteks ut.ee, gmail.com, outlook.com, hotmail.com, mail.ee, ee jne).

Saatke iseendale testimise eesmärgil signeeritud kiri. Selleks koostage uus kiri/Write ja Security -> Digitally Sign .

Märkus. Juhul kui e-maili saatmine ebaõnnestub, sest Thunderbird üritab e-maili saata SMTP protokolli kasutades smtp-mail.outlook.com aadressile, mida blokeerib TÜ võrgu seadistus (või teie kohalik võrguseadistus) -- sellisel juhul on ajalooliselt vaja e-maili kliendis seadistada Teie kasutatavale võrgule (interneti teenusepakkujale) vastav väljuv MTA server, mis on nõus omakorda kirja edastama outlook.com serverile.

Väljuv e-maili server on vanemate e-maili serverite puhul võrgu põhine (interneti teenuse pakkuja, ISP, internet Service provider). Ehk olenevalt millist võrku te kasutate sellest sõltub teie outgoing serveri seadistus Thunderbird kliendis. Praktikumis ja TÜ sisevõrgus kasutage seadistust mis näha juhendis oleval pildil mail.ut.ee, port 25 ja no authentication. Kasutades mail.ut.ee serveri e-kirja edastamise teenuseid võib kuluda kuni 30min, milla e-kiri aadressaadini jõuab. Rohkem infot aine õppejõududelt või Googlest PS! Mobiilse interneti abil saadetud kirjad töötavad kõige stabiilsemalt kui teil on probleeme enda peamise interneti vahendusel kirja saatmisega.

Peaksite saama oma e-postiaadressile e-kirja mille manuses on signature.asc nimeline fail. Avage fail tekstiredaktoriga (näiteks notepad) ja tutvuge manuse sisuga. Kui sama signeeritud e-kiri avada Thunderbird programmiga peaks ta teile kuvama teate Good signature (Seda pole vaja testida).

Teisele isikule krüpteeritud kirja saatmiseks on sul vaja teada tema PGP avalikku võtit. Õppejõud on laadinud enda andmeturve2024@outlook.com aadressi võtme keys.openpgp.org leheküljele ja esimest korda temale krüpteeritud kirja saates peaksite saama veateate, et teil puudub vajalik võti. Vajaliku võtme oskab Thunderbird ise veebist leida kui vajutate õigetele nuppudele (vaata juhendis järgnevat pilti).

• Ülesanne 4: Saatke krüpteeritud (Security -> Encrypt) ja signeeritud (Security -> Digitally Sign) e-mail õppejõule andmeturve2024@outlook.com. Kirja krüpteeritud sisu peab kindlasti sisaldama TEIE ees- ja perenime ning pealkirja Andmeturve - PGP kiri praktikum 4, et saaksime teie tegevuse arvestatuks märkida.

NB! Õppejõu arvutis olev Thunderbird saadab teile Auto Reply abil vastu kirja kättesaamise kohta kui teie saadetud kiri tundub tema jaoks krüpteeritud (kui õppejõu arvuti on väljalülitatud olekus või mitte internetis siis võivad vastused viibida). Õppejõud saadab teile kinnituseks vastu samuti krüpteeritud ja signeeritud kirja 1 nädala jooksul, seega saate kontrollida sooritust ja tagasisidet, kas teie e-kiri jõudis kohale. Hinded sisestame Moodles Praktikum 4 - krüpteeritud e-kiri alamülesande juurde.

2.7 DKIM info automaatne kontroll

Üks sagedasematest rünnetest, mille käigus inimesed või asutused reaalselt raha kaotavad, on õngitsusründed. Näiteks on olnud ka Eestis mitmeid reaalseid edukaid ründeid, kus võltsitud e-mailiga on saadetud raamatupidajale ülemuse poolt korraldus maksta kohe saadetud arve eest raha.

DKIM juurutamine on üks võimalustest kuidas vähendada võimalust õngitsusründe ohvriks langeda. Meil on varasemalt installeeritud Thunderbird ja lisatud hotmail/outlook e-mailikonto. Järgmiseks installeerime Thunderbird'le laienduse, mis teeb automaatselt DKIM-verifitseerimist ja kuvab info visuaalselt lihtsasti märgatavalt. Avage Thunderbird => (Tools menüü) => Add-ons and Themes => Extensions => (otsige "DKIM") => (üks leitudest peaks olema DKIM Verifier) => (lisage see Thunderbird'le ja vajadusel tehke Thunderbird'le taaskäivitus).

Nüüd saatke omale e-kiri Thunderbirdis seadistatud e-postile oma @ut.ee aadressilt (võite ka üritada mujalt saata, aga kõigil domeenidel ei pruugi olla DKIM seadistatud) ja teine kiri saatke e-maili saatjat taas võltsides (vaata eelnevat ülesannet vajadusel). Oluline on, et saatva e-posti-aadressi domeen oleks erinev e-kirja saatmiseks kasutatavast SMTP-serveri domeenist (simuleerime, et keegi üritab saata õngituskirja asutuse väliselt).

Nüüd võta Thunderbirdiga e-kirjad vastu ja kontrollime mõlema e-kirja "From" rida. Korrektsel e-kirjal peaks olema see sisaldama kirjet DKIM valid.

2.8 Outlook ja Gmail Turvaline e-kirja saatmine

Eelnevalt vaatasime kuidas saata PGP tüüpi krüpteeritud ja signeeritud e-kirja. Mitmed suuremad e-mailide teenusepakkujad on tänaseks krüpteeritud e-kirjade saatmise funktsionaalsuse lisanud oma teenusele. Näiteks kui sisenete enda TÜ kasutaja ja parooliga aadressile http://kiri.ut.ee ja seal valite New mail (uue kirja koostamise aken). Lisage Outlookis kirjale saaja (mõni muu enda e-maili aadress või eelnevalt loodud hotmail/outlook), pealkiri ja sisuks paar sõna. Nüüd otsige lisamenüüd .../Options/Suvandid vahelehte ja sealt valige Encrypt/luku märk). misjärel peaks tekkima infoteade kirja algusesse Encrypt: This message is encrypted. Recepients can't remove encryption. Proovige nüüd krüpteeritud kirja avada saaja (enda) e-maili postakstis.

Teise edumeelse näitena võib välja tuua GMail e-maili teenuse. Kus tuleb e-kirja koostamise aknas vajutada tabaluku ja kellaga ikoonile Turn confidential mode on/off. Järgnev harjutus on illustreeriva eesmärgiga ainult neile kes seda soovivad katsetada ja ei ole kohustuslik sooritada. Eriti mugav on, et krüpteeritud kiri on ka esmase jagamise kaitsega (ei saa kopeerida, printida ega edasi saata kogemata). Lisaks on võimalik krüpteeritud kirja saata ka mitte Gmaili e-mailile, misjuhul saadetakse teist kanalit pidi (SMS) avamise kood eraldi adressaadini.

Osad arvamused soovitavad kasutada ka Proton nimelist e-maili teenust, mille suurim reklaamlause on et sarnaselt PGP või krüpteeritud e-krijadega ei saa nö meiliserver või meili vahendajad sinu e-mailidele ligi (End-to-End-Encryted). https://proton.me/

3. Sõnumivahetusrakenduse "Signal" kasutamine.

Signal on avatud lähtekoodiga, krüptograafide poolt arendatud rakendus, mis pakub otspunktkrüpteeritud ühendusi. See toimib Android (alates 4.0) ja iOS (alates 9.0) seadmetel. Juhul kui rakendus on telefonis aktiveeritud, siis saab kasutada ka desktopi klienti (toetatud on Windows, MacOS, Debian/Arch baasil Linux distributsioonid). Teie ülesandeks on:

• Paigaldada Signal nutirakendus
• Lisa kontaktide hulka andmeturbe praktikumi jaoks kasutatav number: +372 5358 8426 NB! Signali kontaktid võetakse enamasti telefoniraamatust juhul kui mõni telefoniraamatus olev kontakt kasutab Signalit, kuid praktikumi arvestuseks võib keelata ligipääsu kontaktidele ja sisestada numbri käsitsi.
• Ava kontaktiga +372 5358 8426 (või muudetava usernamega andmeturve.24) uus suhtluskanal, ning kirjutada sinna enda eesnimi ja perenimi (saada turvatud sõnum)
  • Loe lisaks Signal sõnumirakenduse numbri saljasuse kohta https://signal.org/blog/phone-number-privacy-usernames/
  • 
• Ülesanne 5.1: Kirjuta numbrile 5358 8426 sõnum, mis automaatselt kustub 30 sekundi pärast kui adressaat on sõnumit näinud. (0.7p)
• Ülesanne 5.2: Too praktikumi esituses välja vähemalt kolm (3) selget erinevust turvalisuse seisuskohast Signal sõnumite ja klassikaliste SMS-ide vahel ning esita lahendus praktikumi aruandesse. NB! ärge kirjutage neid 3 erinevust Signali sõnumisse vaid esitage moodle.ut.ee keskkonda koos muu praktikumi lahendusega. (0.3p)

Tulemus peaks sarnanema parempoolsel pildil kujutatule. Kindlasti kirjutage enda täisnimi ning kasutage teise sõnumi korral automaatse kustumise funktsionaalsust.

NB! Eeldame, et kõik IT tudengid omavad kaasaegseid IT seadmeid ja on võimelised Signal ülesannet lahendama. Kui te ei taha kasutada isiklikku telefoni numbrit siis soovitame osta kõnekaardi numbri käesoleva ülesande lahendamiseks. Kui siiski teil tekib probleeme Signali kasutamisel isiklikus nutiseadmes või nutiseade üldse puudub võtke ühendust aine õppejõuga Alo Peets, kes pakub teile alternatiivse ülesande.

4. Tumeveeb (tor) ja anonüümne suhtlus - TorChat

Aegajalt võib olla teil soov suhelda anonüümselt teise kasutajaga ilma, et oleks võimalik kergesti tuvastada, kes on teisel pool kanalit suhtlemas ning kust ta suhtleb. Selliseid tarkvarasid kutsutakse anonüümseteks suhtluskanaliteks (anonymous messaging). Ühe näitena võib tuua tarkvara nimega TorChat või BRIAR. Mõlemad põhinevad TOR anonüümsel interneti võrgustikul mille idee on, et ei ole võimalik eri osapooltel kergesti tuvastada kes kellega millal suhtleb. Levinud on ka nn TOR veebilehitseja https://www.torproject.org/ ja Darkweb foorumite kasutamine anonüümseks suhtluseks ja info levitamiseks. TOR kasutades on väidetavalt võimalik enda interneti teenusepakkuja ja riiklike uurimisasutuste eest ära peita, mis lehti sa külastad (veebist leiab mitmeid arutelusid kui edukalt TOR kasutajaid kaitseb, kuid keskmise kodukasutaja jaoks lisab see kindlasti anonüümsust ja kaitset võrgu jälgimise vastu.). PS! Alates oktoobrist 2021 on .onion V2 lehekülgede tugi eemaldatud TOR browseri versioonist 11 ja edasi, seega olge TOR linke otsides teadlikud, et peaksite otsima pikemaid TOR V3 linke. Lisainfo: https://support.torproject.org/onionservices/v2-deprecation/

Paigaldage Linux Mint virtuaalmasinasse tor veebilehitseja torbrowser ja külastage mõnda küberturvalisusega seotud tumeveebi (.onion) aadressi. Tor veebilehitseja on soovitatav paigaldada TOR kodulehelt, sest paketihalduri pakutav versioon on liialt vana ja annab käivitamisel veateate. https://www.torproject.org/download/ (Vihje: Laadige alla Linuxi versioon, pakkige lahti ja kaustas avage esimesel korral fail Tor Browser Setup, järgnevatel kordadel kannab nime Tor Browser.

• Ülesanne 6.1: Külasta torbrowser veebilehitsejaga enda valitud küberturvalisusega seotud .onion tumeveebi lehte (ekraanivaade - 0.25p)
• Ülesanne 6.2: Kirjuta aruandesse, milliste andmete lekkimise eest riiklikele jälgimisasutustele TOR Browser veebilehitseja kasutamine aitab (0.25p).

Esitada Praktikum4:

Praktikumi ülesannete lahendamine annab neli punkti ja esitamiseks on kaks nädalat alates praktikumi toimumisajast.

• Ülesanne 1: Saada iseendale telnetiga e-mail praktikumijuhendaja nimel adalberg.ut.ee serveri vahendusel (või TÜ sisevõrgust), pane saatjaks Alo Peets<alo.peets@ut.ee> ja lisa päisesse X-Mailer: rida väärtusega telnet. Lisa aruandesse pilt enda postkasti saabunud praktikumijuhendaja kirjast koos vaikimisi peidetud X-Mailer: reaga. (0.5p)
• Ülesanne 2: Tehke ekraanivaade enda Linux Mint käsureast, kus üritate ssmtp programmiga kirja saata valede saatja andmetega ehk aadressilt alo.peets@ut.ee. Peaksid saama veateate: Recipient address rejected: Message rejected due to: SPF fail - not authorized. .... (0.5p)
• Ülesanne 3: Uuri praktikumi esimeses osas saadetud/vastuvõetud erinevaid e-kirju ja esita praktikumi arvestuseks tekstiliselt viis (5) näidet koos lühikese tehnilise seletusega kuidas vastav parameeter/rida jne e-kirja detailses vaates aitab tuvastada kas kiri on õige või vale. (0.5p)
• Ülesanne 4: Saatke krüpteeritud (Security -> Encrypt) ja signeeritud (Security -> Digitally Sign) e-mail õppejõule andmeturve2024@outlook.com. Kirja krüpteeritud sisu peab kindlasti sisaldama TEIE ees- ja perenime ning pealkirja Andmeturve - PGP kiri praktikum 4, et saaksime teie tegevuse arvestatuks märkida. (1p)
• Ülesanne 5.1: Kirjuta numbrile 5358 8426 sõnum, mis automaatselt kustub 30 sekundi pärast kui adressaat on sõnumit näinud. (0.7p)
• Ülesanne 5.2: Too praktikumi esituses välja vähemalt kolm (3) selget erinevust turvalisuse seisuskohast Signal sõnumite ja klassikaliste SMS-ide vahel ning esita lahendus praktikumi aruandesse. (0.3p)
• Ülesanne 6.1: Külasta torbrowser veebilehitsejaga enda valitud küberturvalisusega seotud .onion tumeveebi lehte (ekraanivaade - 0.25p)
• Ülesanne 6.2: Kirjuta aruandesse, milliste andmete lekkimise eest riiklikele jälgimisasutustele TOR Browser veebilehitseja kasutamine aitab (0.25p).

Esitada aine moodle keskkonda. Otselink: https://moodle.ut.ee/mod/assign/view.php?id=1260466

Boonuspunkt: Kui olete ise katsetanud, leiate internetist põnevaid juhendeid ja testite et need töötavad, siis õppejõud ootavad käesolevasse, aga ka kõikidesse teistesse praktikumi juhenditesse parandus ja/või täiendus ettepanekuid. Näiteks otsin ideid mida lisada järgmisesse Windowsi praktikumi hidden egg ehk boonusülesanneteks jne... Parimad saavad kindlasti Alo Peetsi käest ka boonuspunkte.

Lisamaterjalid

• Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security (2015).
• Perfect Forward Secrecy
  • Perfect Forward Secrecy
  • Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection
  • Why the Web Needs Perfect Forward Secrecy More Than Ever