Andmeturve (Nädal 14)


ITSPEA 14. Nädala teemaks oli Andmeturve. Koduseks ülesandeks jäi valida üks IT-turvariskidest ja analüüsida selle maandamist "Mitnicki valemi" kolme komponendi abil.

Andmepüük

Andmepüük on internetipettus, kus ohvrilt püütakse välja petta isiklikke või tundlikke andmeid.

Üks võimalik andmepüügi meetod näeb välja selline:

Ohvrile saadetakse võimalikult usaldusväärsena väljanägev sõnum e-maili või mõne muu kiirsuhtlusmeetodi abil. Sõnumi peamine eesmärk on kasutaja kindlale veebilehele edasi suunata. Veebileht on tõetruu koopia ametlikust veebilehest. Erinevus seisneb selles, et sellele veebilehele sisestatud info liigub eeldatud koha asemel kurjategija kätte ja selle juhtudes on andmepüük edukalt õnnestunud.

Ise olen kokku puutunud olukorraga, kus üritatakse ühe minu poolt kasutava teenuse kasutajakontole ligi pääseda. Selleks saadetakse võimalikult ametlikuna näivad e-maile, kus väidetakse, et nad on eelnimetatud teenusepakkuja esindaja.

Saadetud e-maili sisud on siiamaani olnud kahte tüüpi:

1) E-mail, kus teatati, et minu kasutajakonto on osutunud mingi boonuse õnnelikuks võitjaks ja selle aktiveerimiseks pean kohe kasutajale sisse logima.

2) E-mail, kus teatati, et olen vahetanud oma kasutajakontoga ühendatud e-maili aadressi. Kuna ma seda tegelikult teinud ei ole, siis esimene reaktsiooni peaks olema antud viga kiiremas korras ära parandada.

Mõlemal juhul asus kirja lõpus suur nupp soovitud tegevuse tegemiseks. Nupp, aga avas päris teenusepakkuja veebilehe asemel ametliku veebilehe koopia.

Ise olen õnneks tänu oma teadlikkusele ja õnnele suutnud hullemast hoiduda, kuid kahjuks kõigil potentsiaalsetel ohvritel nii hästi ei lähe. Sellepärast kirjeldaks järgnevalt võimalikke lahendusi "Mitnicki valemi" kolme komponendi alusel.

Lahendused "Mitnicki valemi" järgi:

Tehnoloogia

Ideaalis võiks e-maili klient ära blokeerida kõik mitteametlikud e-mailid. Sama võiks toimuda ka veebilehtede pahatahtlikel eesmärkidel loodud koopiate puhul. Uuem tarkvara mingil määral selle vastu aitab, kuid kahjuks tundub tihti, et head petturid on erinevast filtritest alati sammu võrra ees.

Koolitus

Arvan, et see on üks põhilisi vahendeid kõige hullema ärahoidmiseks. Kuna ma olin antud pettuseviisist teadlik, siis oskasin ma mulle saadetud sõnumeid kriitilisema pilguga vaadata.

Reeglid

Teoreetiliselt on võimalik keelata/blokeerida kõigile mitte eelnevalt aktsepteeritud veebilehtede külastamine. Samuti on võimalik keelata e-mailis leiduvate linkide avamine. Olen kahtleval seisukohal selles osas kuidas seda praktikas võimalik teha on ilma seadmata suuri piiranguid kasutajate tavapärasele käitumisele.

Comments

Post a Comment

Popular posts from this blog

Häkkerid (Nädal 10)

10. Nädala ITSPEA aine teemaks olid häkkerid ja häkkerlus. Selle mõiste definitsioon ja olemus. Koduseks tööks jäi läbi lugeda Eric S. Raymondi Hacker-HOWTO ( EST / ENG ). Häkkeri määratlusi on erinevaid. Enamasti peetakse tähtsaks tehnilisi oskusi ja armastust probleemide lahendamise vastu. Eric S. Raymondi Inglise keelse pealkirjaga dokument „How to Become a Hacker“ annab lühiülevaate häkkeri olemusest, häkkerlikust suhtumisest ning nippe kuidas ise algajana samme häkkeri tiitli poole astuda. Häkkerile omasele suhtumise põhipunktid on: probleemide lahendamine, topelt lahenduste loomise vältimine(jalgratast pole vaja 2 korda leiutada), töö tegemise huvitavaks muutmine(igava ja nüri töö tegemise vältimine), vabadus(autoritaarsuse vastasus, aga mõistlikkuse piires). Suhtumisest tähtsam on siiski kompetents. Mistõttu tuuakse dokumendis välja ka häkkeriks saamiseks vajaminevad põhioskused. Nendeks on loomulikult esimesena programmeerimine, aga ka linux/unix tundmine, HTMLi tundmine ja hea
Read more

IT juhtimine ja riskihaldus (Nädal 9)

9. Nädala ITSPEA aine teemaks oli IT juhtimine ja riskihaldus. Koduseks tegevuseks jäi leida 2 erineva juhtimisstiiliga IT juhti. Ma valisin nendeks Larry Page’i ja Steve jobsi. Larry Page Larry Page on arvutiteadlane ja ettevõtja, Google'i üks asutajatest ning Google'i emafirma Alphabet endine tegevjuht. Hetkel maailmas rikkuselt 8. inimene. Larry Page juhitud ettevõtetes hinnatakse ja väärtustatakse töötajaid kõrgelt. Arenduses võetakse arvesse töötajate mõtteid ja ideid. Google’t on tunnustatud 20% concept populariseerimise eest. 20% tööajast peaks töötaja tegema vabalt valitud tegevusega, mida ta peab ettevõttele kõige kasumlikumaks. Page innustab töötajaid andma endast maksimumi. Suhtudes töötajatesse hästi nagu sõpradesse või pereliikmetesse. Sellepärast arvan, et Larry Page’i juhtimisstiil ITSPEA artiklis välja toodutest sobitub kõige paremini seguga treeneri/juhendaja (coach) ja mentor/õpetaja (mentor) rollidest.   Steve Jobs Steve Jobs oli USA infotehnoloog ja ett
Read more

IT-eetikakoodeks (Nädal 15)

ITSPEA 15. Nädala ehk viimaseks teemaks oli eetika ja IT. Koduseks ülesandeks jäi valida ühe ettevõtte või organisatsiooni IT-eetikakoodeks. Mina valisin selleks ettevõtteks Google. Google eetikakoodeks on üks Google väärtuste realiseerimise viisidest. Kõik Googlega seotud tegevus peab järgima ärieetika kõrgemaid standardeid. Google pühendumus kõrgemate standarditeni aitab palgata suurepäraseid inimesi, luua suurepäraseid tooteid ja tõsta kasutajate usaldust Google vastu. Austusest oma kasutajate vastu on Google ülesanne anda endast parim iga päev. Google väärtuste tutvustamiseks on loodud Google eetikakoodeks( Google Code of Conduct ). Selle järgimine on eeldatud igalt Google töötajalt ja juhatuse liikmelt. Google eetikakoodeks on jaotatud seitsmeks peatükiks. I. Google kasutajate teenimine Google kasutajad hindavad Googlet lisaks headele toodetele ja teenustele ka Google suhtumise tõttu oma kasutajatesse. Järgnevad põhimõtted kindlustavad et me suudame seda taset hoida: terviklikkus,
Read more