Arvutiteaduse instituut
  1. Esileht
  2. Infoturve koolis
EN
Logi sisse

Infoturve koolis

  • Sissejuhatus infoturbesse
  • I plokk - Infoturbest
    • 1.1 Sissejuhatus töökeskkonda
      • 1.1.1 Windows 10 paigaldamine
    • 1.2 Krüpteerimine
    • 1.3 Veebibrauserid
    • 1.4 Autentimine
    • 1.5 Sotsiaalmeedia
    • 1.6 Google ja alternatiivid
    • 1.7 Pilvteenused
  • II plokk - Operatsioonisüsteemid
    • 2.1 Windowsi haldamine
    • 2.2 Windowsi turvamine
    • 2.3 Nutiseadmete turvalisus
    • 2.4 Linux
    • 2.5 Internet ja Wi-Fi
    • 2.6 ID-kaart
    • 2.7 Kahjurvara ja kuritegevus
  • Lisamaterjal

1.3 Veebibrauserid

  • Internet privacy - Wikipedia
  • Privaatsus ja anonüümsus veebis - Tartu Ülikooli infoturbe kursus
  • Turvaline veebiliiklus: HTTPS - Tartu Ülikooli infoturbe kursus
  • Veebiründed - Tartu Ülikooli infoturbe kursus
  • Block Me If You Can: A Large-Scale Study of Tracker-Blocking Tools (PDF)

Internet loodi 1960ndatel Ameerika Ühendriikide valitsuse ja kaitseministeeriumi sponsorluse ning arendustöö tulemusena. Kuni üheksakümnendate alguseni oli ärikasutus vähelevinud ning internet koosnes suuresti teadus-, haridus- ja valitsusasutustest. Tänaseks on olukord muutunud – valdav osa igapäevaselt kasutatavatest veebisaitidest ning teenustest on loodud eraettevõtete poolt.

Ettevõtete eesmärk on muidugi teenida kasumit. Aastal 1993 loodud veebibrauser Mosaic populariseeris interneti kasutamise ning järgneva kümnendi jooksul asutati internetis raha teenimise eesmärgil palju uusi ettevõtteid. Jätkusuutliku ning stabiilse kasumi teenimine õnnestus neist väga vähestel. Selgus, et inimesed on nõus ostma internetist esemeid ning maksma teenusepakkujale, kuid sisu eest enamasti maksta ei taheta. Kogu veeb on liikunud tasuta informatsiooni mudeli suunas.

Kuidas makstakse kogu selle tasuta sisu eest? Laialt levinud reklaamidelt ning sponsoritelt või sisuturundusest küll teenitakse, aga mitte piisavalt. Palju rohkem teenitakse tarbijate kasutusharjumuste ning sirvimisajaloo jälgimisega, mis võimaldab näha trende ning avaldab kasutajate huvid. Sellised andmed on reklaamijatele väga kasulikud, kuna võimaldavad kuvada personaliseeritud reklaame eeskätt neile, kes on varasemalt sarnase teema vastu huvi tundnud. Selle tulemusena on väga tõenäoline, et otsides mõnelt veebilehelt infot, püüab samal ajal veebileht või sellele lisatud teiste osapoolte jälgimismehhanismid ka kasutaja kohta võimalikult palju teada saada. Personaliseeritud reklaamid on veebisaidi teema või konkreetse otsingupäringu põhjal kuvatavatega võrreldes oluliselt kasumlikumad.

Oma isikuandmete ja privaatsuse kaitsmine algab enda poolt internetis jagatava informatsiooni koguse teadvustamisest. Kõiki jagatavaid andmeid on võimalik tulu teenimiseks ära kasutada. Pärast andmete jagamist loovutatakse tihti firmadele kontroll nende edaspidise leviku üle.

Küpsised

Enamik veebilehti kasutavad kasutaja seadistuste ning veebisessioonide haldamiseks või ostukorvi meelespidamiseks küpsiseid. Küpsised (cookies) on lühikesed tekstifailid, mis sisaldavad kasutaja kohta infot – tavaliselt mitte nime või e-posti aadressi, vaid kasutajat identifitseerivat sümbolite jada. See võimaldab andmeid kasutaja kohta hoiustada veebisaidi serverites ning küpsiste põhjal neid õiges seadmes kuvada. Küpsised saadetakse arvutisse veebisaidi külastamisel ning need võimaldavad järgnevatel külastustel brauseri uuesti ära tunda. Igal veebilehel on oma küpsised ning teiste saitide poolt loodud küpsistele neil ligipääs puudub.

Siiski kujutavad küpsised endast riski kasutaja privaatsusele. Nimelt on brauseri vaikesätete puhul kontroll küpsiste üle peaaegu täielikult veebilehtede käes. Nad võivad luua küpsiseid, mis kehtivad aastaid. Seejuures ei pruugi kasutaja küpsiste olemasolust teadlikki olla. Samuti ei piirdu veebilehed ainult enda poolt loodud elementide ehk veebileheosade laadimisega.

Veebibrauserite puhul võib küpsiste piiramine sirvimist mõnevõrra vähem ladusamaks muuta, kuid privaatsuse suurendamine on seda väärt.

Uurides näiteks delfi.ee esilehte, näeme et elemente laetakse rohkem kui kümnelt erinevalt domeenilt. See aga tähendab, et kõik need võivad sellel lehel ka küpsiseid (ning muid jälgimismehhanisme) kasutada. Selliseid küpsiseid nimetatakse kolmanda osapoole küpsisteks ning neid kasutatakse laialdaselt kasutajate sirvimisajaloo ning käitumismustrite jälgimiseks internetis. Seda kasutavad ära reklaamifirmad, kes saavad kasutajatele nende veebikasutuse ajaloo põhjal näidata personaliseeritud reklaame. Lisaks reklaamifirmadele on enamikul saitidel kasutusel ka Google Analytics ning sotsiaalvõrgustike jagamisnupud.

Brauseri sõrmejälg

Küpsised pole sugugi ainsaks ohuks kasutajate privaatsusele. Iga veebilehe külastamisel saadab brauser veel suurel hulgal infot nii arvuti seadistuste (fondid, laiendused, operatsioonisüsteem jne) kui ka riistvara kohta. Kuigi võiks arvata, et Windows 10 ning Google Chrome'i vaikesätetega kasutades ei ole brauser teistest eristuv, kuna seda kasutavad sajad miljonid inimesed, siis nii siiski pole. Heaks tööriistaks oma brauseri unikaalsuse kontrollimiseks on Electronic Frontier Foundationi poolt loodud tööriist Panopticlick ning deviceinfo.me.

HTTPS

HTTPS-i kasutades on brauseri ning veebisaidi vaheline liiklus krüpteeritud. See tähendab, et suhtlus toimub kõrvaliste isikute (vahepealsete võrguseadmete) jaoks loetamatul kujul ning ühendus on paljude rünnete eest kaitstud.

Siiski ei muuda krüpteerimise kasutamine külastatud veebisaitide nimekirja privaatseks või anonüümseks. Konkreetsete külastatud veebilehtede sisu pole küll enam nähtav, kuid veebiliiklus (külastatud veebisait) on.

Brauseri sätted

Laialt levinud brauserid pole vaikimisi kavandatud kasutajate privaatsust tähtsaks pidama. Google'i käibest üle 85% moodustab nende interneti suurim reklaamivõrgustik. Peaaegu kogu Mozilla käive (95%) pärineb lepingutest Google'i ning Yahoo! otsingumootoritega, mida kasutatakse seetõttu vaikimisi.

Suure kasumi teenimiseks on küpsiste ning muude jälgimisviiside vaikimisi lubamine reklaamifirmadele vajalik, kuna valdav osa kasutajatest brauseri vaikesätteid ei muuda. Siiski on mõlemas brauseris võimalused privaatsuse oluliseks suurendamiseks olemas.

ETag (entity tag)

Cookieless Cookies

Lisaks küpsistele ja jälgimisskriptidele on veel üks võimalus kasutajate tuvastamiseks. Nimelt salvestavad brauserid veebisaite külastades osa sisust puhvrisse ja laevad neid järgnevatel külastamistel sealt. See võimaldab sagedasti külastatud veebilehti kiiremini laadida ning andmemahtu säästa, kuna internetist tuleb edaspidi laadida ainult lehtede muutunud osad.

Iga puhvrisse salvestatud fail saab veebilehe poolt erineva identifikaatori (kujul 7b449ce9c). Kui fail muutub, saab see uue identifikaatori ja laetakse internetist. Kui fail on jäänud samaks, saab selle laadida puhvrist. Selleks peab brauser identifikaatorid kontrolliks veebilehele saatma. Kui aga veebileht saadab igale kasutajale erinevaid identifikaatorid, on need kasutatavad täpselt nagu küpsised.

Selle vastu aitab privaatse/inkognito režiimi kasutamine või kettapuhvri väljalülitamine.

Anonüümsus

Näilikkusest hoolimata pole internet kunagi anonüümne vahend olnud. Seda arvestamata käituvad inimesed tihti käituvad nagu nad oleksid anonüümsed, postidades veebisaitidele ebameeldivaid kommentaare ning külastades “inkognito” või “privaatse sirvimise” režiimis küsitava sisuga veebilehti.

Anonüümsus tähendab teenuste või süsteemide kasutamist oma tõelise identiteeti avaldamiseta. Veebisaitidele võib küll nähtav olla kasutaja tegevus, aga pole teada isik. Anonüümsus võib olla meetod teiste väärtuste (näiteks privaatsus või vabadus) realiseerimiseks. Veebisaite külastades või rakendusi kasutades võib tunduda, et nendega ollakse otseühenduses, kuid tegelikult läbivad andmepaketid ka muid võrguseadmeid, kus neid salvestada ning analüüsida võidakse. Seejuures on kõigile vahepealsetele seadmetele nähtav ka kasutaja IP-aadress. Täpselt nagu kirja saatmiseks on vaja postiaadressi, on internetis andmepakettide edastamiseks vaja IP-aadressi. Seetõttu ei piisa anonüümseks sirvimiseks vaid oma seadmes muudatuste tegemisest, vaid on vaja saavutada eristamatus teistest.

Ülesanded

1. ülesanne - Firefoxi ja privaatsuslaienduste paigaldamine ning seadistamine

Firefox

Protect your privacy - Firefox help

about:config
  • Firefox: Privacy Related "about:config" Tweaks - Privacy Tools
  • user.js - Firefox configuration hardening

Tee eelistusele peale klõpsates järgnevad muudatused. Tõeväärtust saab muuta topeltklikiga ning arvulise väärtuse muutmiseks avaneb uus aken.

privacy.firstparty.isolate = true
Isoleerib identifikaatorid (küpsised ja palju muud) aadressiribal olevale domeenile.
privacy.resistFingerprinting = true
Vähendab oluliselt brauseri sõrmejälje unikaalsust.
privacy.trackingprotection.fingerprinting.enabled = true
Püüab blokeerib veebisaitide poolt konfiguratsiooni või muude välistunnuste järgi tehtavat kaugtuvastust.
privacy.trackingprotection.cryptomining.enabled = true
Blokeerib pahatahtlike veebisaitide poolt kasutaja nõusolekuta krüptorahade kaevandamise
geo.enabled = false
Blokeerib veebisaitide poolt asukoha tuvastamise.
browser.safebrowsing.malware.enabled = false
browser.safebrowsing.phishing.enabled = false
Peatab külastatavate veebilehtede Google’ile kontrolliks saatmine.
browser.cache.offline.enable = false
Keelab vahemälu kasutamise
network.http.referer.XOriginPolicy = 2
network.http.referer.XOriginTrimmingPolicy = 2
network.http.referer.trimmingPolicy = 2
Lõpetab eelneva veebilehe (viitaja) saatmise vajutatud lingile.
network.cookie.cookieBehavior = 1
Lubab küpsiseid ainult aadressiribal olevalt domeenilt (blokeerib kolmanda osapoole küpsised).
webgl.disabled = true
WebGL (Web Graphics Library) on potentsiaalne turvarisk.

Lisaks eelistustele täieneb iga Firefoxi versiooniga ka graafiliselt brauseri sätetest muudetavate valikute hulk. Mõningaid jälgimismeetodeid on juba vaikesätetega blokeerima asutud. Kuid maksimaalset privaatsust pakkuvad sätted võivad veebilehti katki teha, heaks tasakaaluks on näiteks sellised sätted (mõnda neist sai muudetud juba about:config lehel):

Laiendused

Ainult sätete muutmisest ei pruugi soovitava privaatsustaseme saavutamiseks piisata. Õnneks on nii Google Chrome'ile kui ka Mozilla Firefoxile loodud mitmeid privaatsust tõstvaid laiendusi (extension), mida Firefoxi puhul nimetatakse erinevalt teistest brauseritest lisadeks (add-on). Firefoxi puhul saab neid lisada ka Androidi versioonile, kuid ülejäänud brauserid ning iOS neid ei toeta.

HTTPS Everywhere (autor EFF)

Firefox | Chrome

How HTTPS Everywhere Keeps Protecting Users On An Increasingly Encrypted Web - Electronic Frontier Foundation

Privacy Badger (autor EFF)

Firefox | Chrome

Privacy Badger õpib veebisirvimise käigus automaatselt jälgimist blokeerima.
Samuti sisaldab muid privaatsuse kaitsmise meetodeid. Näiteks saadetakse veebilehtedel "Do Not Track" signaal, mille järel mõned veebisaidid jälgimise peatavad.
Lisaks asendab Privacy Badger artiklite sotsiaalmeedias jagamise nupud privaatse versiooniga, mis ei saada nendele firmadele kõiki teie poolt külastatud veebilehti, vaid ainult need, mida tõesti jagada soovite. Soovi korral saab need ka täielikult eemaldada

uBlock Origin (autor Raymond Hill)

Firefox | Chrome

uBlock Origin on efektiivseim veebilehtede sisu blokeerija, mis blokeerib lisaks reklaamidele ka jälgijaid, pahavara ning muid veebikasutaja jaoks tüütuid elemente (näiteks küpsiste lubamise küsimine). Sisaldab palju filtriliste, millest mõned on vaikimisi kasutusel ning ülejäänud märkeruuduga aktiveeritavad.
Võimaldab ka ise filtreid luua, mis tähendab, et igalt veebilehelt saab eemaldada osasid, mida te enam näha ei soovi.

Decentraleyes (autor Thomas Rientjes)

Firefox | Chrome

Kolmandatelt osapooltelt laetakse järjest enam ka veebisaidi kujunduseks olulisi elemente. Need on taaskasutatavad tarkvarakomponendid, mis kiirendavad veebisaitide arendust ja parandavad kvaliteeti. Tuntuimateks näideteks on JavaScripti teegid jQuery ja AngularJS, mis iseenesest ei jälgi kasutaja tegevust, kuid pärinevad sisuedastusvõrkudest (näiteks Google Hosted Libraries). Sealt vajaliku osa allalaadimine saadab päringuga kaasa ka külastatava veebilehe aadressi. Reklaame ja ainult jälgimiseks mõeldud osasid saab ilma negatiivsete tagajärgedeta blokeerida, kuid teekide puudumisel veebileht enam ei töötaks.
Decentraleyes sisaldab suurt osa neist teekidest, mis võimaldab veebilehe külastamisel need laadida enda arvutist ja päringu tegemata jätta. Juhul kui teek laienduses puudub eemaldatakse päringust külastatava veebilehe aadress, mis säilitab kasutaja privaatsuse. Laiendus töötab kohe pärast paigaldamist ning seadistamist ei vaja.

Cookie Autodelete (autor Kenny Do)

Firefox | Chrome

Brauserisse paigaldatav laiendus Cookie AutoDelete kustutab ebavajalikud küpsised automaatselt pärast lehe sulgemist.
Algselt ühtegi küpsist ei kustutata. Kustutamise lubamiseks vajuta laienduse ikoonile ning seejärel punasele „Auto-clean disabled“ nupule ja selle kõrval rohelisele „Notification enabled“ nupule. Kui soovite mõnel saidil sisselogimist või ostukorvi sisu pärast brauseri sulgemist alles jätta, on see paari klikiga võimalik tagasi muuta. Selleks vajutage saidil olles laienduse ikoonil ning seejärel sinist „Whitelist“ nuppu.

2. ülesanne - Tor Browser

Tor Browser

Lihtsaim ning levinum viis anonüümseks veebisirvimiseks on kasutada Tor Browserit. See on Mozilla Firefox ESR-i põhjal loodud brauser, mis üritab minimaliseerida info lekkimist ning kasutab ühenduste loomiseks Tor vaheservereid.

Tor Browseris on paljud digitaalsõrmejäljena kasutatavad funktsioonid asendatud enamlevinud võltsväärtustega või välja lülitatud. Võrguliiklus saadetakse krüpteerituna läbi ülemaailmse tunneli, mis koosneb vaikimisi kolmest juhuslikult valitud sõlmest (serverist). Kõigil kasutajatel pole küll sama väljundsõlm ja IP-aadress, kuid võimalikke tunneli viimaseid sõlmi on alla tuhande. Tor Projecti statistika kohaselt on Toril päevas umbes kaks miljonit kasutajat. Kuna iga veebisaidi jaoks vahetatakse tunneli servereid (v.a esimest), näivad veebisaitidele (ja vahepealsetele võrguseadmetele) kõik selle brauseri kasutajad ühesugustena. Neile on näha, et külastus pärineb Tori võrgust, kuid pole teada mis IP-aadressilt algne päring tehti. Siiski nõuab anonüümsuse säilitamine ka teatavat kasutusharjumuste muutmist. Näiteks pole soovitatav Tori kaudu sisse logida kasutajat identifitseerivatesse kontodesse. Kuigi teoreetiliselt on erinevaid veebisaidid ja vahelehed üksteisest eraldatud, ei saa selles kindel olla ning näiteks Facebooki sisselogimine võib aidata isikut tuvastada ka teistel saitidel.

Tor suunab võrguliikluse läbi tasuta ülemaailmse rohkem kui seitsmest tuhandest serverist koosneva võrgustiku. See suurendab oluliselt kasutajate isiklikku privaatsust ja vabadust ning võimekust internetis konfidentsiaalselt suhelda. Tor püüab ära hoida pealtkuulamist ning varjata kasutaja füüsilist asukohta ja identiteeti.

or krüpteerib andmeid mitmekihiliselt, mis tagab tulevikusalastuse (perfect forward secrecy) ja millest tuleneb ka sibula metafoor – iga server dekrüptib vaid ühe kihi, millest avaldub järgneva serveri IP-aadress, kuhu allesjäänud krüpteeritud kihid edasi saata. Alles viimane neist (vaikimisi kolmas) saab ligipääsu andmetele, et need sihtpunkti saata, seejuures algse saatja kohta mingit infot omamata. Päringu vastus tagastatakse vastupidises järjekorras.

Kuna osa andmeid on igal hüppel varjatud, eemaldab see meetod nõrgad kohad, mis suudaks mõlemad ühenduse otspunktid kindlaks määrata. Lisaks näeb külastatud sait, et kommunikatsiooni alustaja on viimane Tori sõlm (väljundsõlm), mitte algne saatja. Iga domeeni jaoks kasutatakse eraldi väljundsõlme ja umbes kümne minuti järel vahetatakse serverid teiste vastu. Tori kasutamist veebisaitide eest ei varjata ning Tori serverite IP-aadressid on avalikud.

Tor browser on Tori kasutamiseks kohandatud versioon Firefoxist, millele on tehtud sadu privaatsust ja anonüümsust suurendavaid muudatusi. Eesmärk on kõik kasutajad üksteisest eristamatuteks muuta. Seetõttu ei soovita The Tor Project kasutajatel brauseri seadistusi muuta ning laiendusi paigaldada. Ainus erand on uBlock Origini lisamine, kuid ka selle seadeid (ja filtriliste) ei tohiks anonüümsuse säilitamiseks muuta. Jälgimist pole vaja ise täiendavalt blokeerida, kuna seda tehakse vaikimisi.

Esmakordsel kävitamisel avab Tor Browser akna ühenduse seadistamiseks. Täiendavate valikute tegemine on vajalik ainult juhul, kui riik või teenusepakkuja Tori kasutamist blokeerida üritab. Eestis seda ei tehta ning seetõttu tuleb vajutada ainult "Connect" nuppu. Järgnevatel käivitamistel seda akent enam ei kuvata.

Tor Browser põhineb Mozilla Firefoxi veebibrauseril, millega kasutajaliides on praktiliselt identne. Vaikimisi avaneb brauseri käivitamisel "About Tor" vaheleht, mille üleval vasakust nurgast saab käivitada lühikese brauseri tutvustusjuhendi. Esmakordsel kasutamisel on see brauseri funktsioonide ning eripäraga tutvumiseks soovitatav läbida.

Brauserile on vaikimisi lisaks Tori kasutamiseks vajalikele muudatustele paigaldatud kaks laiendust: NoScript ja HTTPS Everywhere. B

3. ülesanne - küpsiste kopeerimine (cookie hijacking)

Session hijacking - Wikipedia

Kuna küpsiseid kasutatakse kasutajate identifitseerimiseks ning sessioonide haldamiseks, on tähtis need ründajate ning teiste arvutikasutajate eest varjatuna hoida. Teiste identifitseerimismeetodite piiratuse ning haavatavus tõttu on küpsised enamikul veebisaitidel ainsaks sessioonide haldamiseks kasutatavaks meetodiks.

Laenates sõbrale korraks oma arvutit, mille veebibrauseris on kasutajakontod sisselogitud, võiks arvata, et ainus oht kontole on tehtav selles arvutis. Kuna loodetavasti pole teie parool avalikult seadmesse salvestatud ning konto parooli vahetamine nõuab eelneva parooli teadmist, ei saa sõber teie meeldejäetud kontole teisest seadmest parooliga ligi.

Kuid küpsiste abil on see siiski võimalik. Vajutas veebibrauseris saidile sisselogituna F12 klahvi, avanevad arendajatel mõeldud tööriistad. Muuhulgas leiab sealt kõik veebisaidi poolt salvestatud küpsised ning nende väärtused.

Ainult nende väärtuste veebisaidile saatmisest piisab, et see teie kontosse sisselogitud seisukorras avaneks. Seda ka juhul, kui küpsised (väärtused) teise seadmesse kopeerida. Väärtuste leidmiseks ning nende kopeerimiseks või telefoniga pildi tegemiseks kulub seejuures vaid paar sekundit.

Lisaks brauserist (arvutist) küpsiste väärtuste leidmisele on sessioonikaaperdus võimalik ka üle interneti (krüpteerimata ühenduse korral). Näiteks loodi 2010. aastal Firefoxile laiendus Firesheep, mis võimaldas kaaperdada sama Wi-Fi võrgu kasutajate sessioonid paljudel populaarsetel veebisaitidel (muuhulgas Facebook ja Twitter). Lisaks on võimalik skriptisüst (cross-site scripting) ehk XSS, mis võimaldab ründajal veebisaitide nõrkusi ära kasutades kasutajate brauseri kahjurkoodi (mis tundub pärinevalt algselt veebisaidilt) kävitada. Neljas tuntud võimalus on pahavara, mis võib leida kasutaja seadmest vajalikud failid küpsise väärtustega.

Firefox

Chrome

Muud brauserid

Brave

Google Chrome

Chrome'i brauser - privaatsuseeskirjad

Google Chrome on 2019. aasta sügisel StatCounteri järgi vaieldamatult kõige populaarsem veebibrauser nii traditsioonilistes arvutites (69.1%) kui ka kõigil platvormidel kokku (63.7%).

Chrome saadab Google'ile palju andmeid kasutajate ja nende tegevuste kohta. Mõned neid jälgimismehhanismidest on valikulised ja kasutaja poolt välja lülitavad, teised kohustuslikud.

Põhjalikum ülevaade ja tabel jälgimismehhanismidest on leitav Google Chrome'i Wikipedia artikli User tracking concerns peatükist.

  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused