Sotsiaalne tarkvara ja võrgukogukonnad/Asotsiaalne tarkvara ehk sotsiaalmeedia pahupool

Hallidel aegadel...

edit

... oli rohi rohelisem ja taevas sinisem. Ja Internetti ei kasutatud sigatsemiseks.

Tõsi - huumor, tüngategemine ja "praktilised naljad" on kuulunud arvutimaailma selle loomisest peale. Murphy seadusedki on suurel määral pärit erinevatest tehnokultuuridest ning MIT kuulus häkkerikogukond oli lisaks tehnilisele kõrgpilotaažile kuulus ka oma tempude poolest, mis on sealses koolis tänini osa selle näost (seda tunnistab täiel määral sellele pühendatud veebilehe http://hacks.mit.edu loomine). Tembutamine on osa häkkerlikust playful cleverness -mõttemallist (vt http://www.catb.org/jargon/html/index.html) ja vahel aitab selline lähenemine leida omalaadseid väljapääse ka rumalatest olukordadest (hea näide on lugu teler-trükimasinast: http://www.catb.org/jargon/html/tv-typewriters.html).

Materiaalse kasu lõikamine kaasinimeste teadmatuse (ja vahel ka lolluse) pealt oli aga pikka aega tabu (ilmselt ka seetõttu, et äritegevust ei toimunud paljudes selle ala hällides pikka aega üldse). Esimeseks selle piiri ületajaks olid ilmselt phreaker'id ehk telefonimuukijad eesotsas John "Cap'n Crunch" Draperiga. Juba 1969. aastal oli pime noormees Joe Engressia avastanud, et teatud moel telefoni vilistades on võimalik teha tasuta kaugekõnesid. Cap'n Crunch aga sai oma hüüdnime samanimeliste krõbuskite pakilt, paki sees aga oli boonusena mänguvile, mis andis todasama 2600Hz kaugekõnesagedusega vilet. Crunch ehitas varsti esimese blue box'i, mis võimaldas teha tasuta kaugekõnesid - sellele järgnes hiljem terve rida "erinevat värvi" seadmeid analoogtelefonivõrgu eri funktsioonide ärakasutamiseks. Samasse sarja võiks paigutada ka noore Kevin Mitnicki (kellest hiljem sai arvutiajaloo üks kuulsamaid võrgupaharette) - oma raamatus "The Art of Deception" kirjeldab ta nii varajast kaugekõneseadet, mis pettis telefoniautomaadi ära mündikolksatust järele aimates, kui ka mittetehnoloogilisi "häkke" nagu kohaliku bussipiletisüsteemi ärakasutamine tasuta sõidu saamiseks.

Järgnevatel aastatel kasvas võrgus tehtavate pättuste arv, kuid need jäid enamasti liigsest uudishimust ajendatud kräkkimiste tasemele (ehkki esimesed organiseeritud kräkkerirühmitused nagu Legion of Doom pärinevad juba kaheksakümnendatest. 90-ndate keskpaigast alates aga hakkame nägema olukorra halvenemist - 1994. aastasse jääb nii kurikuulus Vladimir Levini pangapettus kui ka Kevin Mitnicki arreteerimine, kelle kasutuses kinnivõtmise hetkel olid 20 000 krediitkaardi andmed (mida ta kasutas oma "jooksvate kulude" katmiseks).

Esimesed suuremad netipettused pärinevad ilmselt samast ajajärgust kui rämpspost - veebi loomisele järgnenud üldine plahvatuslik Interneti levik üle maailma aktiveeris nii rämpsreklaamijad (mille vastu pikka aega ei osatud midagi ette võtta) kui ka petised. Need kaks seltskonda on üsna algusest peale koostööd teinud - petturid "tellisid postitusteenust" ja maksid kas kindla tariifi järgi või andes "levitajale" teatud protsendi "kasumist".

Tegemist on tänaseks aga suure äriga. Netipettusi kajastav USA Tarbijate Liiga veebileht fraud.org on kogunud pettuste statistikat 1997. aastast ning hetkel pärineb seal värskeim info 2007. aastast. Suurimaks pettusteliigiks on tõusnud küll tšekivõltsimised ning näiteks Nigeeria kirjade protsenti hinnatakse vaid 11-ks, ometi on sealne keskmine kahju isiku kohta üle 4000 dollari (kõigi pettuseliikide keskmine on ca 1500 dollarit).

Netipettused

edit

Esimesed "tüngad" olid lihtsad - enamasti pakkus keegi mingit asja väga soodsalt müüa, soovis ettemaksu ega saatnud kaupa kunagi. Neidki üritusi leidub võrgus tänapäevani, kuid võrgukaubanduse arenedes ning suurtegijate (eBay, Amazon jpt) tulekuga muutus sedalaadi tegevus keerulisemaks. Juba esimene tõsine eksimus ausa mängu vastu viis petturi väljaheitmiseni ning ta pidi endale uue jahimaa otsima. Enamasti on müügiartikliteks väikesed esemed nagu ehted, kellad, foto- ja videotarbed jms. Mõned petised tegelevad ise ka rämpspostitusega ("turundustöö" ohvrite otsimiseks), tihti aga tehakse koostööd "oma ala proffidega" (ning piir spämmeri ja legaalse turundusettevõtte vahel on teinekord üsna hägune - ka Eestist on mõni näide tuua).

Mõned levinumad pettuseliigid:

  • krediitkaardipettused - taas kord üsna suuri võrgustikke koondav "tööstusharu". Siin löövad petturitega mesti kurjemat sorti progejad ehk pahavara autorid, kelle looming (näiteks trooja hobused ja klahvivajutuste püüdjad) aitab nuhkida välja krediitkaardiandmeid, mida siis kasutatakse võrgus erinevate kaupade ja teenuste eest tasumisel. Andmete hankimiseks võib aga kasutada ka otsest kaardivargust, andmeid sisaldavate arvutite vargust, andmebaasidesse sissemurdmist või erinevaid väljapetmisviise. Tuleb ka meenutada, et isegi internetipanga turvakanal ei pruugi olla turvaline, kui "vaheltlõige" tehakse enne seda (näiteks püütakse klahvivajutusi).
  • Nn Nigeeria kirjad ehk ettemaksupettused - siinmail ilmselt tuntuim netipettuseliik, mis võib olla nii üksiküritajate hobi kui ka suurte võrgustike töö tulemus. Lihtsamalt öeldes pakutakse ohvrile võimalus saada väga suur summa raha (enamasti althõlma - see tekitab ohvris keelatud tegevuse tunde ega lase tal nii kergesti võimude poole pöörduda). Raha päritolu kirjeldused võiks seejuures liigitada lausa omaette kirjandusžanriks - enamasti räägib lugu kellegi ropprikkast sugulasest, kes sai surma ja jättis kuhugi hunniku raha, mida aga kirjutaja mingil põhjusel ise kätte ei saa ning vajab kellegi abi välismaalt. Kui ohver on konksu alla neelanud, siis petetakse temalt "ülekandekulude", "teenustasude" ja "vajalike määrimistena" välja väga arvestatavad rahasummad. Et tegu on suures osas organiseeritud kuritegevusega, näitab kasvõi Nigeeriasse oma raha otsima läinud inimeste halb käekäik sealkandis.
  • tšeki- ja muud pangapettused - tänaseks üsna suurel määral USA-spetsiifiline fenomen, kuid seal laialt levinud (fraud.org nimetab seda 2007. aastal suurima pettusteklassina). Tšekid on Lääne-Euroopast peaaegu kadunud ning Põhja-Euroopas ammu ajalugu (Eestisse need ei jõudnudki), ent USA-s kasutatakse laialdaselt elektroonilise ülekandeinfo väljapetmist ning selle alusel võltstšekkide väljastamist. Sealmail on veel teinegi pettusetüüp, mida Euroopas harva kohtab - rahakaardipettused (rahakaart ehk USA terminina postal money order oli NL ajal kasutusel ka Eestis, ent vajus tehnoloogia arenedes peagi unustusse).
  • autopettused - vahel pakutakse odavalt kallist autot ja soovitakse väikest ettemaksu "tehingukulude katteks". Teine variant on saata mõnele automüüjale võltstšekk suuremale summale ("eelmisest tehingust jäi üle") ja lasta vahe tagasi maksta. Tšekk tunnistatakse tühiseks, vaheraha ja auto on aga läinud.
  • kohtingutüngad - sageli otseselt sotsiaalset tarkvara kasutav pettuseliik, ohvreid otsitakse erinevate sotsiaalvõrgustike (MySpace, Facebook jpt) kaudu. Peale piisavalt pikka "külje alla pugemise" perioodi pakutakse ohvrile välja küllatuleku võimalus ja palutakse aidata reisirahaga. Vahel kasutatakse ohvreid ka muude petuskeemide juures (näiteks postkastina väljapetetud kauba vastuvõtul ja edasisaatmisel).
  • mänguportaalide kontode vargused - lihtsameelseid inimesi meelitatakse oma konto parooli välja ütlema ning seejärel muudetakse nende konto parool ära, nii et konto originaalomanik ei pääse enam oma kontole ligi. Ohvri kontol olevad mängu-punktid, esemed, portaali-spetsiifiline raha kantakse üle ründaja kontole.
  • suhtlusvõrgustike identiteedivargused - portaalis X pakutakse kasutajale K "elu mugavamaks tegemise võimalust", kus ta sisestab portaali X seadistustesse portaali Y (Facebook, Google, mõni muu e-posti teenus) kasutajanime ja parooli. Pärast portaali Y konto andmete teada saamist toimub portaali X tarkvara loojate poolt automatiseeritud rünnak, mille käigus kõigile kasutaja K kontaktidele portaalis Y saadetakse kasutaja K enda kontolt kasutaja K nime all rämpsposti. (Iva: kasutaja K kirjad jäävad tema kontaktide rämpspostifiltritesse väiksema tõenäosusega kinni kui ülejäänud kirjad.) Pärast kasutaja K poolset portaali Y konto parooli vahetust võib kasutaja K kontaktidele rämpsposti edasi saata pannes saatja andmeteks kasutaja K andmed.

Kõrvalepõige - miks Nigeeria?

edit

Miks just see Lääne-Aafrika riik on saanud internetikelmuste sümboliks? Põhjusi on mitmeid, ent mõnda neist oleks ka meie võimuesindajatel kasulik teada. Näiteks:

  • pikk korruptsioonitraditsioon koos ulatusliku majandusliku ebakindlusega - Nigeeria on maavaradelt (peamiselt nafta) rikas maa, kuid olnud pidevalt sõjaväevõimu all ning omandanud sellise korruptsioonitaseme, mis paigutab ta aastaid vastavate nimekirjade lõppu. USA Kaitseministeeriumi 2002. aasta aruandes oli otse öeldud, et kaubandus riigiga on "strongly discouraged" ehk väga ebasoovitav. Viimastel aastatel on olukord ehk veidi paranenud, ent mitte oluliselt.
  • suur vaesus ja ebavõrdsus - 60% elanikkonnast elab allpool vaesuspiiri, 10% rikkaimatest aga tarbib 40% ressurssidest. Maailmapanga hinnangul koondub 80% naftatulust 1% elanikkonna kätte.
  • üsna suur maa paljude aeg-ajalt vaenujalal olevate rühmitustega (ehk piisavalt palju peidukohti sigaduste eest).
  • inglise keel praktilise ühiskeelena (Nigeerias on üle 250 eri rahvusrühma).
  • piirkonna kohta üsna hea põhihariduse tase - CIA Factbook annab kirjaoskuse tasemeks 68%
  • suhteliselt hea IT-infrastruktuur - CIA Factbook paneb 2004. aasta andmete põhjal Nigeeria mobiiltelefonide kasutuse poolest 40. kohale Belgia ette ning Interneti kasutuse pooolest 2005. aasta andmete põhjal Iirimaa järele 57. kohale.
  • pettuste ajalugu ulatub kaugele Interneti-eelsesse aega, samasuguseid "äritavasid" on sealkandis aastakümneid rakendanud nii kohalikud kuritegelikud rühmitused, naftatööstus kui ka riigivõim (mõned viited).

Seetõttu pole eriti tõenäoline, et Nigeeria imago lähiajal kuigivõrd muutub. Suurimateks kannatajateks on aga Nigeerias elavad ausad inimesed (tegemist on suure riigiga ja kokku tuleb ka neid päris palju) - väga paljudes kohtades näiteks on automaatselt blokeeritud kogu Nigeeriast lähtuv internetiliiklus, kodanikele tehakse reisimisel takistusi jne. Kokkuvõttes võib see aga veelgi süvendada maal toimuvaid protsesse ning halvemal juhul tekitada Lääne-Aafrikasse suuremat sorti konfliktikolde.


Sotsiaalne vastupanu - partisanid

edit

See pole otseselt seotud niivõrd sotsiaalse tarkvaraga, kuivõrd just sellega kaasneva "Do-it-yourself" vaimuga. Ehk kui riigivõim on petiste vastu jõuetu, siis haaratakse initsiatiiv ning hakatakse sama mõõduga vastu andma. Tegemist on sotsiaalse manipulatsiooni kõrgtasemega - petturite endi petmisega. Üldine meetod on vastata mõnele "Lagose miljonäri" kirjale, mängida lolli valget meest/naist (tihti ka mitut erinevat vaheldumisi - kõige jaburamad lood on pärit just sellest vallast) ning üritada tolle aega hästi palju ära raisata, tekitada talle vastikuid olukordi ja vahel isegi otsest majanduslikku kahju (mõnel on läinud korda ise väiksem rahasumma saada).

Viisakas termin sellise tegevuse kohta on inglise keeles "scambaiting" (petisenarrimine), ent paralleelselt on kasutuses ka "mugu-baiting" (mugu-narrimine). Nimelt on Lääne-Aafrika keeltes sõna "mugu", mis tähendab suurt lolli ja mida sealsed petised oma ohvrite kohta kasutavad. Nüüd aga katsuvad narrijad "laua teistpidi keerata" ja õnnetu kaabaka enda muguks teha. Selle "spordialaga" tegelevaid seltsinguid leiab näiteks aadressidelt http://www.scamorama.com, http://www.whatsthebloodypoint.com, http://www.419eater.com ja mujaltki.

Nagu päriselu vabadusvõitlejad on sageli teinud ka sigadusi, nii on ka see tegevus kahtlemata eetiliselt hall tsoon - samasse kanti, ent juba kindlalt musta poole peale võib liigitada tavakodanike kaasamise küberrünnakute sooritamisse mõnedes riikides.


Social engineering: inimfaktori ärakasutamine

edit

Seda sõnapaari kasutatakse eri ringkondades eri viisil - sotsioloogidele on see positiivne termin, mis tähendab sekkumist ühiskondlikesse protsessidesse (umbes nagu arst ravib haigust). Politoloogidele tähendab see suurte inimrühmade mõjutamise kunsti (meedia, seadusandluse, maksude vmm abil), mida saab kasutada nii heal kui halval otstarbel. Infoturbe vallas aga tähistab see sõnapaar üht suurimat ohuallikat - inimestega manipuleerimist ligipääsu saavutamiseks mingile olulisele ressursile. Seda võtab hästi kokku vana, ehkki ülbevõitu maksiim "Suurim IT-turvarisk asub klaviatuuri ja tooli vahel". Kevin Mitnick on seda defineerinud järgmiselt:

"Manipuleerimine tähendab inimeste mõjutamist ja veenmist manipulaatori poolt pidama teda kellekski teiseks. Selle tulemusena on manipulaatoril võimalik kasutada inimesi ära info hankimisel, olgu siis tehnoloogia abil või ilma selleta."

Tähelepanu väärib viimane lõik - "olgu siis tehnoloogia abil või ilma selleta". Tegelikult pani meedia poolt tihti "maailma kõige kurjemaks arvutihäkkeriks" (meedia paneb terminiga mööda nagu alati) nimetatud Mitnick oma suurimad tembud toime kas üldse tehnoloogiat kasutamata või siis niivõrd lihtsa aparaadi abil kui tavatelefon. Ta kirjeldab oma esimest vempu oma raamatus nii:

"Ühel päeval bussiga sõites taipasin, et bussipiletite süsteem baseerub kompostrimustritel, millega bussijuhid tähistasid päeva, kellaaega ja marsruuti. Sõbralik bussijuht, kes mu hoolikalt sõnastatud küsimusele vastas, andis mulle teada, kust sellist kompostrit saada võib.

Bussipiletid pidid võimaldama vahetada bussi ja sõita edasi sihtkohta, kuid ma uurisin välja, kuidas kasutada neid tasuta sõiduks ükskõik kuhu. Tühjade piletite hankimine oli käkitegu - busside lõpp-peatuste prügikastid olid alailma täis poolikuid piletiraamatuid, mille juhid olid vahetuse lõpus minema visanud. Paki tühjade piletite ja kompostri abil võisin teha omaenda pileteid ja sõita ükskõik kuhu Los Angeleses. Ei läinud kaua, kui mul oli pea kogu bussisüsteemi graafik peas (see oli varajane näide mu üllatavast mälust teatud tüüpi info tarvis; ma mäletan tänini telefoninumbreid, paroole ja muud pudi-padi isegi lapsepõlvest alates)." (Kevin Mitnick, "The Art of Deception")

Siit siirdus ta telefonimuukimise (phreaking'u) valda ja keskkoolis murdis sisse esimesse arvutisse (enda kooli omasse). Kuid tema kuri kuulsus tuli just tegudest, mis ei vajanud arvutit.

Mitnick kirjeldab oma raamatus ka Stanley Mark Rifkini skeemi. Too varastas ühest USA pangast 10,2 miljonit dollarit, kasutades üksnes telefoni ja pealtkuulatud ülekandekoodi. Ta tegi ülekande ühte Šveitsi panka, lendas Genfi, ostis sealselt vene firmalt 8,1 miljoni dollari eest teemante ning smugeldas kalliskivid tagasi USA-sse. Vahele jäi ta alles kive müüa üritades. Miskipärast on seda nimetatud "suurimaks arvutipettuseks", ehkki arvutit ei kasutatud siin üldse.

Web 2.0 või Nuhk 2.0?

edit

Web 2.0 - ajaveebid, wikid, veebipõhised sotsiaalvõrgustikud jpm - tõi sajandivahetuse paiku kaasa palju uusi, huvitavaid ja kasulikke viise suhelda kaasinimestega, keda muidu ehk kunagi ei kohtaks. Paraku avas see ka uue tööpõllu manipulaatoritele.

Manipulatsioonidel on mõningasi kokkupuuteid teiste võrguhädadega nagu paroolide "kalastamine" (phishing) ja rämpsulevi. Ehkki rämpspost oma klassikalisel kujul on eeskätt tavareklaami väga nahaalne sugulane, kasutatakse seda ka mitmesuguste manipulatsiooniskeemide käitamiseks (tuntuimaks sellelaadseks on ilmselt nn Nigeeria kirjad, mida tänapäeval saadetakse peamiselt masspostitustena). Ka "kalapüügi" tehnikaid (veebilehtede ümbersuunamine, leheväline skriptimine (XSS) jne) saab edukalt kasutada suuremate "tüngade" osana.

Ehkki viirused ja muu pahavara pole otseselt manipulatsioonidega seotud, saab ka neid selleks kasutada. Näide: "Trooja hobusega" nakatatud MSN Messenger saadab esialgse ohvri kontaktidele veebiviite, milles sisaldub konkreetne isikunimi (mis on kasutaja andmetest välja õngitsetud). Viidatud lehel on küsitud MSN-i kasutajanime ja parooli. Saatja on justkui tuttav, libaleht on tehtud ka originaali sarnane. Nii on võimalik koguda infot ja seda kasutada kas otse ohvri vastu või jätkata skeemi identiteedivargusega.

Kui eespoolöeldut kombineerida paljudes Web 2.0 rakendustes esinevate "usaldusvõrgustikega" (näiteks Orkuti sõbralist), on tulemuseks üpris ohtlik segu. Pea kõik manipulatsioonid algavad usalduse tekitamisest ründaja ja ohvri vahel. Kui Mitnick oma tavatelefoniga pidi usaldust võitma ikka ja jälle uuesti, siis praeguses võrgus on tihti olemas valmiskujul suhtevõrgustik, mida ära kasutada.


Pildi kokkupanek

edit

Vahel suudab andekas "insener" saavutada soovitud tulemuse üheainsa hästisihitud telefonikõnega, kuid enamasti pole asi nii lihtne. Manipuleerimise põhitõeks on väikeste infokildude kogumine - mis eraldi võttes ei näi kuigi paljastavad - ja pärast "pildi kokkupanek". Mitnicki raamatust leiab häid näiteid piisavalt.

Telefoni kasutades tuleb tükid käsitsi kokku panna. Tänastes veebipõhistes võrgustikes on aga vahel suur osa tööd kurikaela eest ära tehtud - paljudel populaarsetel teenustel on üks omanik (Microsoft, Yahoo!, Google jt). Mida keerukamaks eri teenuste omavaheline põimumine läheb, seda kergem on manipulaatori elu (muuhulgas on tõenäolisem ka turvaaukude avastamine). Näiteks YouTube'is turvaaugu leidmine ja sealtkaudu kasutaja Google'i parooli kättesaamine annab kurjategija kätte ka sama inimese GMaili postikonto ning Orkuti profiili. Siit omakorda satuvad ohtu kõik ohvri sõbrad, kuna manipulaator võib esineda "omainimesena" ja kasutada teiste usaldust ära.

Manipulaator võib kasutada ka Orkutit, Facebooki või muud sarnast võrgustikuportaali potentsiaalsete ohvrite võrgustiku loomiseks, kellelt siis üritatakse petta välja piisavalt isiklikku infot, et seda identiteedipettusteks kasutada. Seepärast on väga oluline vaadata kriitilise pilguga üle kogu info, mis sellistes võrgustikes avaldatakse.

Üks kõige paremaid näiteid eespoolöeldust oli Gazzag.com (praeguse nimega Octopop.com), mis käivitus 2006. aastal ja mida reklaamiti võrgus "uue vinge sotsiaalvõrgustikuna". Registreerumisel pakuti kasutajale Orkuti kontaktide importimise võimalust ning küsiti selleks parooli. Tegu oli muidugi Google'i üldparooliga ja sellega said kõrvalised isikud ligipääsu ka kasutaja postkastile. Kõige tipuks saatis süsteem peale registreerumist uue kasutaja nimel liitumiskutse kõigile tema kontaktinimekirja liikmetele.


Mida ikkagi teha?

edit

Kevin Mitnickist sai peale vanglat turvakonsultant (vahetades poolt nagu paljud kaagid enne teda) ja nii annab ta oma raamatu lõpus hulganisti head nõu manipulatsioonidega võitlemiseks. Üks hea printsiip on "Turvalisus tuleb tehnoloogia, väljaõppe ja protseduurireeglite kaudu".

1. Tehnoloogia - kuigi ükski tulemüür ega antiviirus ei ole üksi suuteline arvuteid kaitsma, on see siiski esmane kaitseliin. See võib tähendada ka ebasoovitavate inimeste eemalhoidmist, võrguliikluse piiramist vmm. Vahetevahel suudab tehnoloogia korvata ka väljaõppe või protseduurireeglite puudujääke - näiteks kui inimesed ei ole õppinud turvaliste paroolide koostamist, võib süsteem nõuda liiglühikeste või ainult tähti sisaldavate paroolide väljavahetamist. 2. Väljaõpe - kõik asjaosalised peavad tundma manipulatsioonidega kaasnevaid riske. Inimesed peavad arvestama, et sedalaadi üritusi tuleb varem või hiljem. Mõningased teadmised võimalikest manipulatsioonidest tulevad kindlasti kasuks, lisaks aga peab väljaõpe kindlasti kajastama ka protseduurireegleid. 3. Protseduurireeglid - kindlaksmääratud turvapoliitika ja -nõuded. Kuigi esineb olukordi, kus reeglitest ei saa kinni pidada, on hästikavandatud turvanõuetest väga palju abi.

Kuigi Mitnick kirjutab eeskätt (suur)firma turvalisuse aspektist, saab samu põhimõtteid rakendada ka tavakasutajale: 1. Tehnoloogia - kasuta piisavaid kaitsevahendeid (antiviirus, tulemüür, nuhkvarapüüdja jne) ja/või kasuta alternatiivseid tarkvaraplatvorme 2. Väljaõpe - õpi tundma levinumaid ründe- ja petuskeeme 3. Protsedurireeglid - loo regulaarselt kasutatav kontrollimehhanism ning ole valmis võimalikuks intsidendiks (tea, kust saab abi jne)


SANS Institute'i dokument "A Multi-Level Defense Against Social Engineering" pakub Mitnicki ideedele üsna sarnaseid asju. Ühe huvitava abinõuna võiks mainida "maamiinide" kasutamist - need on inimesed, reeglid või lahendused, mis on sarnaselt oma plahvatavate nimekaimudega mõeldud varitsema võimalikke ründajaid. Maamiiniks võib olla oma nina igale poole toppida armastav koristaja, kelle "kiiksust" on firma teinud turvamehhanismi ja andnud talle vaikse loa töötajaid kontrollida. See võib olla ka mõni konksuga küsimus potentsiaalse kliendiga suhtlemisel.

Kui resursse on rohkem kasutada, siis võib lisaks tava-võrgule paigaldada ettevõtte võrku ka spetsiaalselt ründajate lollitamiseks ja uurimiseks mõeldud alamvõrgu, niinimetatud "meepoti". Sellega raisatakse ära ka suur kogus sissemurdja aega, sest sissemurdja ei tea, et ta murdis sisse spetsiaalselt sissemurdmiseks mõeldud võrku.

Tulles tagasi Web 2.0 juurde, võib Mitnicki ja SANSi mõtteid rakendada ka siin:

  • kasuta võrgustiku/rakenduse enda turvamehhanisme maksimaalselt
  • kui võimalik, ära kasuta konsolideeritud sisselogimist (N: Google'i parool)
  • Ära taaskasuta paroole
  • õpi tundma tarkvara võimalikke vigu ja tuntumaid ründevariante
  • loo isiklik turvapoliitika erainfo avaldamise jaoks (mida võib üles panna, mida mitte)

Kokkuvõtteks

edit

Miks on võrgusigadused ikkagi niivõrd levinud? Mitnick annab jällegi hammustavalt täpse vastuse: "Lollust ei saa lappida" (There is no patch for stupidity). Süsteeme saab parandada, paigata ja uuendada, inimesi paraku ei saa. Isegi Albert Einstein pidi omal ajal tunnistama: " Ainult kaks asja on lõputud - universum ja inimlik lollus. Ja universumi osas pole ma päris kindel." Kuid väga paljudel juhtudel ei pea inimene üldse loll olema. Teadmatusest piisab täiesti.

Viited

edit


Nädala ülesanne

edit
  • Kirjelda ajaveebis kolme õpetlikku juhtumit manipulatsioonide ja pettuste vallast.