Arvutiteaduse instituut
  1. Esileht
  2. Infoturve koolis
EN
Logi sisse

Infoturve koolis

  • Sissejuhatus infoturbesse
  • I plokk - Infoturbest
    • 1.1 Sissejuhatus töökeskkonda
      • 1.1.1 Windows 10 paigaldamine
    • 1.2 Krüpteerimine
    • 1.3 Veebibrauserid
    • 1.4 Autentimine
    • 1.5 Sotsiaalmeedia
    • 1.6 Google ja alternatiivid
    • 1.7 Pilvteenused
  • II plokk - Operatsioonisüsteemid
    • 2.1 Windowsi haldamine
    • 2.2 Windowsi turvamine
    • 2.3 Nutiseadmete turvalisus
    • 2.4 Linux
    • 2.5 Internet ja Wi-Fi
    • 2.6 ID-kaart
    • 2.7 Kahjurvara ja kuritegevus
  • Lisamaterjal

I plokk - Infoturbest

  • Infoturve - Vikipeedia
  • Information security - Wikipedia

Põhiterminid

Infoturve (information security)
Teabe ning infosüsteemide kaitsmise protsess, mille eesmärk on tagada andmete terviklus, käideldavus ning konfidentsiaalsus.
Terviklus (integrity)
Infoturbe põhiprintsiip, mille eesmärk on tagada informatsiooni ning süsteemide täpsus ja usaldusväärsus ning takistada lubamatuid muudatusi. Näiteks tuleks tagada, et keegi ei saa muuta valimistel antud elektroonilist häält nii, et seda hiljem tuvastada ei saa.
Käideldavus (availability)
Infoturbe põhiprintsiip, mille eesmärk on tagada süsteemide töökindlus ning õigeaegne ligipääs andmetele ja ressurssidele selleks volitatud isikutele. Näiteks peaks populaarsed veebisaidid kasutajatele alati ligipääsetavad olema.
Konfidentsiaalsus (confidentiality)
Infoturbe põhiprintsiip, mille eesmärk on tagada piisav informatsiooni salastatuse tase ning takistada kolmandate isikute ligipääsu. Konfidentsiaalsus satub ohtu näiteks seadme varguse või parooli äraarvamise korral. Samuti sõnumi või e-kirja valele adressaadile saatmisel.
Privaatsus
Isiku õigus kontrollida tema isikliku teabe avaldamist ja kasutamist.
Isiklik teave
Isikut tuvastav diskreetne informatsioon, mis hõlmab näiteks dokumendi numbreid, terviseandmeid, poliitilisi või usulisi tõekspidamisi, pangakaardi numbrit, paroole ning PINi. Lisaks võib isiklikuks teabeks lugeda ka ostuharjumused, otsingupäringud, veebikasutuse ajaloo, emailid, pildid, asukoha ja muu seesuguse.
Anonüümsus
Teenuste või süsteemide kasutamine oma tõelise identiteedi avaldamiseta. Teenusepakkujatele ning administraatoritele võib (aga ei pruugi) olla teada kasutaja tegevus, aga pole teada isik ehk anonüümsuse eesmärk on saavutada eristamatus teistest kasutajatest (inimestest).

Kes on isiklikust teabest huvitatud?

Isikliku teabe kontrollitud ja piiratud levitamine internetis iseenesest ohtlik ei ole. Probleem tekib andmete soovimatute kolmandate osapoolte kätte sattumisel või omaniku nõusolekuta avalikuks saamisel.

Isiklikule teabele ligipääsu saamisest on huvitatud näiteks:

  • Reklaamifirmad
  • Luureasutused
  • Kuritegelikud häkkerid ehk kräkkerid
  • Pahatahtlikud tuttavad
  • Pangad, kindlustusfirmad, tööandjad jne

Kompromiss privaatsuse ja kasutusmugavuse vahel

Privaatsus ning infoturve on pigem protsess, mitte ühekordne lahendus. Uusi ründeid ning turvaauke avastatakse igapäevaselt ning seetõttu vajab turvalisuse säilitamine lisaks ühekordsele uute lahenduste kasutuselevõtmisele ning kasutusharjumuste muutmisele ka pidevat muutustega kursisolekut.

Andmete kaitse Eestis, Euroopa Liidus ning maailmas

Euroopas on vähe väga suuri ülemaailmseid tehnoloogiafirmasid (200st suurimast internetifirmast kõigest 8), kuid regulatiivselt on Euroopa Liit väga mõjukas. Heaks näiteks on 2016. aasta kevadel vastu võetud ning kaks aastat hiljem kehtima hakanud isikuandmete kaitse üldmäärus.

Isikuandmete kaitse üldmäärus (GDPR)

  • Andmekaitse ja netiprivaatsus - Teie Euroopa (europa.eu)
  • Isikuandmete kaitse üldmäärus - Euroopa Liidu Teataja (27.04.2016)

Isikuandmete kaitse üldmäärus (ingl General Data Protection Regulation ehk GDPR) on Euroopa Liidu määrus, mis jõustus 2018. aasta mais. Lisaks üleeuroopalisele andmekaitse ühtlustamisele sätestas see printsiibi, mille kohaselt peavad üksikisikud saama otsustada kuidas nende kohta käivaid andmeid kasutatakse. Samuti sunnib määrus firmasid andmete töötlemist ning levitamist põhjendama. GDPR kehtib kõikidele ettevõtetele ja asutustele, mis koguvad või töötlevad Euroopa Liidu elanike isikuandmeid, mistõttu on selle mõju ülemaailmne. Määruse eesmärk on sundida firmasid kaitsma andmeid, mille abil kasutajaid identifitseerida saab. Seetõttu katab see näiteks ka IP-aadresside ning asukohaandmete kasutamist ning levitamist. Määruse rikkumise korral ähvardab ettevõtteid ja asutusi trahv, mille suuruseks on kuni 4% aastasest käibest.

Täpsema kirjelduse GDPR-ist annab ingliskeelne kolmeminutiline The Wall Street Journali video:

Privaatsuspoliitikad

Privaatsuspoliitika on veebisaitidel olev deklaratsioon või dokument, mis teatab, kuidas omanikud koguvad, kasutavad, avaldavad ning haldavad klientide andmeid. See on olemas kõikidel suurematel veebisaitidel, teenustel ning tarkvaradel.

Otselingid levinumate firmade ning teenuste privaatsuspoliitikatele:

  • Spotify
  • Microsoft
  • Apple
  • Facebook
  • Google
  • Google Chrome

Kuigi Euroopa Liidu määrused on seda viimastel aastatel parandanud, on privaatsuspoliitikad tihti pikad ning raskesti loetavad. Seetõttu on loodud kasutajaõiguste initsiatiiv Terms of Service; Didn’t Read. Nende väitel on "ma olen lugenud ja nõustun teenusetingimustega" nupul vajutamine suurim vale internetis. Nad hindavad ja sildistavad veebisaitide privaatsuspoliitikat väga heast ("A") väga halvani ("F"). Lisaks kirjeldatakse viidete ja aruteludega lühidalt privaatsuspoliitika tähtsamaid punkte. Loodud on ka brauserilaiendus, mis info külastatava veebisaidi kohta ühe klikiga kättesaadavaks teeb.

Privaatsusprobleemid

Privaatsus tähendab inimese õigust kontrollida tema kohta käiva isikliku teabe avaldamist ja kasutamist. Kuigi privaatsusprobleeme leidus juba enne arvutite (või isegi kirjakeele) loomist, tegid suure arvutusvõimsusega seadmed võimalikuks suuremahulise andmete kogumise ja nendest seoste leidmise. Kuna privaatsus on osa konfidentsiaalsusest, on see üks aspekt infoturbest.

Tehnoloogiafirmad

Seitse maailma kümnest väärtuslikuimast ettevõttest on tehnoloogifirmad. Peale Apple'i, mis teenib raha tooteid konkurentidest suurema kasumimarginaaliga müües ning Microsofti, mis teenib peamiselt teistele firmadele tarkvara ning teenuste pakkumisega, on kõigi ärimudeliks andmete sidumine inimestega. Google ja Facebook tahavad teada nii palju kui võimalik kasutajate huvide, tegevuste, sõprade ja pere kohta neile personaliseeritud reklaamide kuvamiseks. Amazon omab detailset ülevaadet tarbijate käitumisharjumustest. Tencent ja Alibaba on digitaalseks rahakotiks sadadele miljonitele hiinlastele – mõlemad teavad tarbijatest piisavalt, et pakkuda laialtkasutatavaid krediidireitinguid.

Seda, et andmed on väga väärtuslikud, mõistavad järjest enam ka inimesed ise. Andmete arvutistamine suurendab veelgi nende väärkasutuse riski. Või hoopis hooletut kaotamist - ajakirjandusest võib murettekitavalt tihti lugeda isikuandmete lekkimisest, häkkimisest või varastamisest.

Ometi on vähesed inimesed oma käitumist internetis muutnud või uudistes pidevalt suurte rikkumistega silma paistvaid tehnoloogiafirmasid (näiteks Facebook) boikoteerinud. Üheks põhjuseks võib pidada seda, et ise enda andmete haldamine on keeruline ning aeganõudev. Populaarsed internetis tasuta pakutavad teenused ei pruugi seista kasutajate privaatsushuvide eest, kuid on kasutajate jaoks lihtsasti ning mugavalt kasutatavad. Sotsiaalvõrgustike puhul on oluline ka see, et kontaktid (sõbrad ja tuttavad) samuti sama teenust kasutaks. See raskendab oluliselt rohkem privaatsust pakkuvatele alterniivsete teenuste kasutamise.

Ohtude modelleerimine (threat modeling)

Tähtis komponent info turvamisel on ohumudel. See aitab määrata mõistliku turvataseme või sammud teabe efektiivseks kaitsmiseks. Oluline on läbi mõelda ja keskenduda tegelikele ning tõenäolistele ohtudele, kuna neist selget sihti omamata on seadmeid raske kaitsta.

Skriptinagad (script kiddie) ehk häkkerikultuuris võhiklikud (aga pahatahtlikud) arvutikasutajad sooritavad oskuste puudumise tõttu ründeid teiste loodud kahjurvaraga. Sellised ründajad on pahatahtlike ekspertide poolt tehtavatest oluliselt levinumad. Tihti ei ole neil vajadust või soovi konkreetse isiku või seadme ründamiseks ning seepärast valitakse ohvriks kõige kergemini ligipääsetavad sihtmärgid. Seetõttu aitab juba elementaarsete turvameetmete kasutamine ennetada suurt osa rünnakutest. Siiski on internetis palju ekspertide poolt kasutatavaid häkkimisvahendeid kõigile tasuta kättesaadavad ning suurt kahju tekitava rünnaku sooritamine nõuda vaid õigele tööriistale internetist kopeeritud käsu andmist.

Sihtründed (targeted attack) on spetsialiseeritud konkreetsele isikule, organisatsioonile, süsteemile või tarkvarale. Kui ründajaks on ulatuslikke ressursse ja globaalset haaret omavad riiklikud küberründeüksused või muu ekspertidest koosnev grupp, on ennast keskendatud sihtründe eest praktiliselt võimatu kaitsta. Võimalus, et keskmine arvutikasutaja selliste ründajate huviorbiiti satub on kaduvväike, kuid ründajate võimekuse teadmine aitab valdkonda paremini mõista. Ründajate jaoks on kõik internetti ühendatud seadmed millisekundite kaugusel ning operatsioonisüsteemis või tarkvaras avastatud turvanõrkus võib ohtu seada kõik selle kasutajad.

Edward Snowden

Suur osa massjälituse kohta käivast infost on tänaseni salastatud, kuid 2013. aastal lekitas endine Ameerika Ühendriikide Riikliku Julgeolekuagentuuri (NSA) ning Luure Keskagentuuri (CIA) lepinguline töötaja Edward Snowden ajakirjanikele suures koguses ülisalajase kitsenduspiiranguga teavet.

Esimesena avaldati 5. juunil The Guardianis kohtumäärus, mille kohaselt olid Föderaalne Juurdlusbüroo (FBI) ja NSA kogunud infot 120 miljoni telekommunikatsioonikonglomeraadi Verizoni kliendi kõneajaloo kohta (osapoolte asukoht, kõne aeg, kestus). Järgmisel päeval paljastati PRISM koodnimega järelevalvetegevus, mille raames koguti suurfirmade Microsoft, Google, Yahoo!, Facebook, PalTalk, Youtube, Skype, AOL ning Apple kasutajate andmeid, e-kirju, reaalajas teksti- ja videovestlusi, sisselogimisi, salvestatud andmeid ja faile ning eritaotlustega ka muud infot. Lisaks avalikustati veel mitu järelevalveprogrammi, mille eesmärk oli koguda kasutajate internetikasutuse ajalugu ning sisu nende hilisemaks töötlemiseks ning arhiveerimiseks.

Slaid Ameerika Ühendriikide Riikliku Julgeolekuagentuuri (NSA) dokumendist (aprill 2013).

Kogutud andmed võimaldasid NSA töötajatel näiteks nime, e-posti- või IP-aadressi sisestamisega jälgida reaalajas praktiliselt iga internetikasutaja tegevust, asukohta, kasutusajalugu ning sõpru. Lisaks arhiivist otsimisele oli kasutajaid võimalik ka märgistada, et saada edaspidi reaalajas teateid konkreetse isiku tegevuse kohta.

Glenn Greenwald ja tema töökaaslased said sellest tehtud reportaažide eest Pulitzeri auhinna ning Laura Poitrase film “Citizenfour”, milles Snowdenit lekete avalikustamise ajal intervjueeriti, parima dokumentaalfilmi Oscari.

Inimesed peaksid teadma kuidas enda kohta käivaid andmeid kaitsta ning privaatsust tagada. Laialt on levinud arvamus, et massjälitus ei põhjusta kahju – ainult inimestel, kes tegelevad halbade asjadega, on midagi varjata. Sellest järeldub kaudselt, et maailmas on ainult kahte liiki inimesi - head ja halvad. Tegelikkuses saab juba massjälituse definitsiooni põhjal öelda, et suuremat kahju põhjustab see ühiskonnast valdava osa moodustavale süütutele inimestele

Põhjus, miks inimesed privaatsust praktiliselt universaalselt ja instinktiivselt soovivad seisneb psühholoogias. Olukorras, kus meid jälgitakse muutub käitumine dramaatiliselt – potentsiaalsete valikute hulk väheneb ja on oluliselt konformistlikum ehk mõtlemine ja käitumine muutub enamiku teiste inimestega samaks ja kaob soov teistest erineda. See on fakt inimloomusest, mida on tõestanud kümned psühholoogiauuringud ning tunnistatud praktiliselt igas valdkonnas. Potentsiaalse häbi tõttu tehakse otsuseid, mis ei põhine enda soovidel, vaid ühiskondlikel ootustel.

Privaatsusmeetmete rakendamisega väheneb ka võimalus inimeste kontrollimiseks või mõjutamiseks.

USA dokumentaalsarja VICE episood "State of Surveillance" (27.05.2016). Selles intervjueeritakse Edward Snowdenit ning arutatakse valitsuste jälgimisprogrammide üle.

XKeyscore

  • XKeyscore

XKeyscore on keeruline süsteem ning eri autoritel on selle võimekusest lahkuminevad arvamused. Edward Snowdeni ja Glenn Greenwaldi sõnul võimaldab süsteem peaaegu piiramatut järelevalvet kõigi maailma inimeste üle. Riiklik Julgeolekuagentuur väidab seevastu, et süsteemi kasutus on oluliselt kitsendatum ja see on mõeldud peamiselt terroristide tegevuse jälgimiseks.

The Washington Posti sõnul on XKeyscore NSA andmeotsimise süsteem, mis koosneb suurest hulgast kasutajaliidestest, andmebaasidest, serveritest ja tarkvaradest. See võimaldab selekteerida teatud tüüpi andmeid ja metaandmeid, mida NSA on varem muude meetoditega kogunud.

Saksamaa ringhääling Norddeutscher Rundfunk küsis teleintervjuus Edward Snowdenilt: "Mida on võimalik XKeyscore'i kasutades teha?" ja ta vastas:

„Sa saad lugeda kõigi maailma inimeste e-kirju, kelle e-posti aadressi sa tead. Saad vaadata igale veebisaidile suunduvat ja sealt pärit veebiliiklust. Saad jälgida kõiki kasutuses olevaid arvuteid. Iga sülearvuti puhul saab vaadata selle liikumist üle maailma. Süsteem võimaldab ühest kohast ligipääsu kõikidele NSA poolt kogutud andmetele. ... Saad märgistada isikuid ... Ütleme, et sa töötad suures Saksamaa korporatsioonis ja ma tahan pääseda ligi selle võrgule. Ma saan jälgida sinu kasutajanime sisestamist veebivormidesse teistel saitidel, saan jälgida sinu pärisnime, saan jälgida assotsiatsioone sõpradega ja luua selle põhjal "sõrmejälje". Sellest moodustub sind unikaalselt identifitseeriv võrguliiklus, mis tähendab, et oled leitav ükskõik kuhu sa maailmas lähed, ükskõik kus sa nii-öelda proovid varjata oma interneti kasutamist ja identiteeti.“

Analüütikutele pakub XKeyscore levinud andmetüüpide jaoks suurt hulka vaateid, mille põhjal kiiresti päringuid saab teha. Otsinguid tehakse petabaitite suurusest töötlemata andmehulgast, mida sadade serveritega üle maailma kogutud on. Andmemahud olid juba 2013. aastal mitmes asukohas 125 gigabaiti ehk terabitt sekundis.

Kuna XKeyscore teeb otsinguid toorest ja osaliselt filtreerimata andmehulgast, saavad analüütikud põhjalikumaks otsimiseks lisaks "tugevatele selektoritele" nagu e-posti aadressid kasutada ka "nõrku selektoreid". Näiteks saab e-kirjade, vestlussõnumite ning dokumentide sisust otsida inglise-, araabia- või hiinakeelseid võtmesõnu. See on kasulik, kuna suur osa kasutajate tegevusest internetis on "anonüümne" ehk pole kindla kontoga seotud. Seetõttu jääb pelgalt isiku e-posti aadressi selektorina kasutades palju sisust analüüsimata.

Lisaks selektorite kasutamisele saavad analüütikud kasutada ka muid XKeyscore'i funktsioone:

  • Vaadata sihtmärgiks olevate isikute Google Mapsi kasutamist ja otsinguid, et leida kahtlustäratavaid asju ja kohti.
  • Otsida andmetest "anomaaliaid" konkreetsele isikule keskendumata.
  • Tuvastada krüpteerimist kasutavaid isikuid, tehes otsinguid nagu "kogu PGP kasutus Iraanis". Hoiatatakse, et liiga laia otsingu puhul võib analüütikule tulemusena tagastatav andmemaht olla väga suur.
  • Vaadata virtuaalsete privaatvõrkude kasutamist ja seadmeid, millesse saab küberspionaažiüksuse Tailored Access Operations (TAO) abil potentsiaalselt sisse häkkida.
  • Selgitada välja dokumentide, mida on juba korduvalt edastatud, autor ja allikas.
  • XKeyScore'i kasutatakse ka Tor anonüümsusvõrgustiku kasutajate, privaatsuse teemadel otsinguid tegevate isikute ning Linux Journali lugejate tähelepanelikuks jälgimiseks.

Tempora

  • Tempora - Wikipedia

Tempora oli Suurbritannia Valitsusside Peakorteri (GCHQ) poolt loodud maailma esimene full take jälitusprogramm. See tähendab, et lisaks metaandmetele salvestati täies mahus kõiki andmeid.

Miks privaatsus on oluline, kui mul pole midagi varjata?

"Kui sa kannad riideid, kasutad paroole, sulged uksi, kasutad ümbrikuid või räägid mõnikord vaiksemalt, siis sul juba on midagi varjata."

Glenn Greenwald oli esimene ajakirjanik, kes Snowdeni lekitatud dokumente avalikustas. Alljärgnev video on tema 2014. aasta sügisel TED konverentsil peetud loengust, milles ta argumenteerib, et privaatsust vajavad ka "head" inimesed.

Video on kakskümmend minutit pikk ning inglise keeles. Sellele on saadaval subiitrid 33 keeles, kuid eesti keel nende hulka ei kuulu.

Glenn Greenwald Brasiilia ajakirjanikele tehtud kõnes:

"Ameeriklaste õigustus kõigele pärast 11. septembri rünnakuid on terrorism. Valitsuse sõnul tehakse kõike rahvusliku turvalisuse huvides ja inimeste kaitsmiseks. Reaalsus on aga vastupidine – väga paljudel dokumentidel pole terrorismi või rahvusliku julgeolekuga mingit pistmist. Selle asemel käsitlevad need riikidevahelist konkurentsi ja firmade tööstuslikke ning majanduslikke teemasid.
Teiseks XKeyScore. Kui me alustasime artiklite avaldamisega oli USA valitsuse kaitse see, et nad ei jälgi suhtluste sisu, vaid ainult metaandmeid. See tähendab osalevate inimeste nimesid, kes kellele helistab ning kõnede pikkusi. Aga kui ma tean kõiki inimesi kellega sa suhtled ning kõiki kellega nemad suhtlevad, nende asukohti suhtlemise ajal ning kõnede kestvusi, saan ma teada juba väga palju su iseloomu, tegevuste ja elu kohta. See on tõsine privaatsuse rikkumine.
Lisaks on reaalsuses see kaitse täielik vale. USA valitsusel on võime koguda mitte ainult metaandmeid, vaid ka e-kirjade ning telefonikõnede tegelikku sisu, sõnu mida Google otsingutesse kirjutad, külastatavaid veebisaite ning teistele saadetavaid dokumente. Süsteem suudab jälgida praktiliselt kõike mida kõik inimesed internetis teevad.
Seega kui sa oled ajakirjanik, kes uurib Ameerika valitsust; kui sa töötad firmas, millel on Ameerikas konkurendid; töötad inimõiguste nimel, mis Ameerika valitsust puudutavad, või ükskõik millises teises valdkonnas, saavad nad väga lihtsalt su suhtlust pealt kuulata.
Kui sa oled USAs elav ameeriklane, peavad nad selleks kohtult õiguse saama, kuid see antakse alati. Kui sa pole ameeriklane, ei vaja nad midagi, mitte mingit spetsiaalset luba. Arvan, et privaatsuse kaotamise tagajärjed on raskesti ennustatavad, kuid peame mõistma, et sellel on tohutu mõju. Rahvaste võime korraldada demonstratsioone või organiseeruda on privaatsuse puudumisel oluliselt raskendatud.

Kordamisküsimused

  1. Kirjelda olukorda või rakendust, mis vajab: a) terviklust ja käideldavust, kuid ei vaja konfidentsiaalust; b) terviklust ja konfidentsiaalsust, kuid ei vaja (kõrget) käideldavust; c) terviklust, käideldavust ning konfidentsiaalsust
  2. Kes on Edward Snowden ning mida ta avalikustas? Kas teie arvates oli see tegu õige? Kas see oli seaduslik?
  3. Kas enamikke infosüsteeme on võimalik lõpuni turvaliseks muuta?
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused