esmaspäev, 9. november 2015

Kuidas kübermaailmas turvaliselt toimetada

Järgnev postitus pole mitte absoluutne tõde, vaid minu nägemus ja isiklikud soovitused kübermaailmas ringi toimetamiseks. Peamiselt kirjutan sellest, et mis tarkvara ja vahendeid pean turvaliseks ja ise ka kasutan. Lisaks triviaalsele ehk suvaliste mailimanuste mitte-avamise ning võõraste mälupulkade mitte-kasutamise kõrval eelistan selliseid vahendeid, mis sobiks lõppkasutajale ja mis ei nõuaks liiga detailseid teadmisi või keerulist konfigureerimist. Kuna mul ei ole mingeid erilisi saladusi mida kaitsta, siis on full-paranoid mode minu jaoks küll veidi võõras, kuid see ei tähenda, et ei peaks ettevaatlik olema – ka näiteks perefotosid tuleb turvata, sest nende pealt on hea planeerida parimat aega vargile tulekuks.

Apple seadmed

Olen töötanud Eesti, Saksa ja Ameerika startuppide heaks ja kõikjal on kasutatud just Apple arvuteid. Esiteks on tegu väga hea hinna ja kvaliteedi suhtega, arvutid on vastupidavad, alumiiniumkorpus ei kulu, klahvid käivad sujuvalt ka peale aastaid kasutamist. Teiseks muidugi see, et OSX pole muud kui Unixi skinn, mis tähendab, et OSX shell on enamvähem sama funktsionaalsusega kui Linuxi shell. Seega ideaalne arendaja-arvuti. Unix teatavasti on suhteliselt turvaline operatsioonisüsteem, ka OSX on aastaid uhkustanud viiruste puudumise üle ja suures osas on see olnud õigustatud. Täna muidugi ei saa milleski liiga kindel olla, kuid OSX "viirused" on reeglina siiski kasutaja poolt ise lolli peaga masinasse lubatud troojalased, mitte iseseisvalt sinna roninud. Piraattarkvara ma põhimõtteliselt ei kasuta ja just seetõttu, et ma ei saa kindel olla, et mida see tegelikult sisaldab.

Mobiiliseadmetest on iPhone hinna poolest küll kallim kui suurem osa Androidi analooge, kuid pikas plaanis ei pruugi hinnavahet üldse olla. Kõigepealt jälle kvaliteet, aastane iPhone on normaalse kasutuse juures peaaegu nagu uus, samas kui kõik Androidi mudelid, vähemalt need mis mul on olnud, näitavad juba väsimuse märke. Teiseks saavad ka 4 aasta vanused iOS seadmed loetud päevade jooksul viimased tarkvarauuendused (4S jooksutab uusimat iOS versiooni, kuigi anti välja juba 2011), samas kui Androidi maailmas pole haruldane, et eelmise hooaja seadmele peab tarkvarauuendust ootama pool aastat ja üleeelmise hooaja telefonile ei tulegi enam kunagi ühtegi uuendust. Kui telefoni tarkvaras on aga teada olevad turvaaugud ning parandust neile kuskilt ei paista, ei ole väga mõtet sellist telefoni pikalt pidada. Varem viitsisin tegeleda igasugu ruutimiste ja CyanogenMod tarkvaraga, aga enam mitte, mulle piisab kui need paar äppi mida reaalselt vajan, töötaks turvaliselt ja sellega saab iPhone suurepärast hakkama.

Ketaste krüpteerimine

FileVault (System Preferences → Security & Privacy → FileVault) võimaldab krüpteerida terve ketta. Täpsemalt jagab FileVault ketta kaheks partitsiooniks – väikeseks boot partitsiooniks, kus asuvad parooliga lukustatult võtmed ning siis nende võtmetega krüpteeritud partitsiooniks, kus asuvad kõik failid. Kui arvuti käima panna, laetakse boot partitsioonilt OSX kasutajaliidest meenutav sisselogimisvaade, peale kasutaja valimist ja parooli sisestamist lukustatakse krüpteeritud partitsioon lahti ning algab tegelik süsteemi käivitus.
FileVault on selles arvutis sisse lülitatud

TimeMachine võimaldab varukoopiad samuti krüpteerida. Selle jaoks tuleb TimeMachine ketta valikul teha linnuke kasti "Encrypt backups".

TimeMachine puhul tuleks jälgida, et linnuke oleks kastis "Encrypt backups"
TrueCrypt krüpteeritud ketaste loomiseks on endisel kasutuskõlbulik, kuigi selle autorid on kutsunud üles TrueCrypti enam mitte kasutama. Alternatiivina on võimalik kasutada ka TrueCrypt kloone, näiteks VeraCrypt, mille arendus käib erinevalt TrueCrytptist edasi. Kloonide probleemiks on peamiselt litsentsiküsimused, sest TrueCrypt oli küll tasuta tarkvara, aga mitte open source selles mõttes et igaüks tohiks koodi kopeerida. Rakenduse kood oli nähtav ainult sõltumatute auditite tegemiseks, mitte enda tarkvaras kasutamiseks.

Paroolide majandamine

Paroolidega majandamiseks kasutan paroolihaldurit. Varasemalt olen paroolihalduritest juba juttu teinud, ise kasutan kõikide paroolide jaoks (va. ID kaardi PIN koodid, mis on peas) just LastPass haldurit ning täpsemalt selle tasulist versiooni hinnaga $12 aastas. LastPass sisselogimise teiseks faktoriks kasutan Yubikey OTP võtit ning iPhones on LastPass avamiseks Touch ID ehk sõrmejälg. Loomulikult on mul igal pool kus võimalik, sisse lülitatud kahefaktoriline autentimine.

sudo parooli saab visudo kaudu maha võtta, kuid see ei ole soovitav ja mina pole nii ka teinud. Kui on teada, et tuleb teha rohkem tegevusi root kasutajana, on mõistlik minna root kasutaja režiimi käsuga sudo su ning sisestada see parool ühekordselt, mitte iga natukese aja tagant uuesti. Kui enam root õigusi pole vaja, siis panna terminali aken kinni või minna tavakasutaja režiimi tagasi käsuga exit. Kui installida homebrew pakihaldus, siis tuleks samuti jälgida, et see saaks tehtud tavakasutaja õigustes, mitte sudo abil

ssh võtmed peaksid olema kindlasti parooliga kaitstud. OSX võimaldab võtme parooli Keychaini salvestada (kuna ma ei ole paranoid modes, siis kasutan Keycahini palju, kuid kui on põhjust paranoiline olla, siis tasuks seda muidugi vältida või vähemalt panna Keychainile eraldi parool ja iCloudi seda mitte sünkida), sellisel juhul pole vaja parooli edaspidi üldse käsitsi sisestada, aga kui keegi peaks id_rsa failist kuidagi koopia tegema, ei saa ta seda ilma paroolita kasutada.

OSX jooksutab rss-agent tarkvara automaatselt, seega tuleb ssh võtme parool sisestada vaid korra. Kahjuks on keegi hull arendaja otsustanud, et sellele parooliväljale ei saa teksti pasteerida, seega on pika parooli sissetoksimine üsna tüütu

Tor võrgu kasutamine

Tor brauser ei ole imevahend, tegu on tavalise Firefox klooniga, mis jätab süsteemi sarnaselt Firefoxiga erinevaid jälgi. Lisaks on ka Eestis olemas kohtulahend, kus inimene jäi süüdi küberründes, kuna kasutas Tor võrku samal ajal, kui toimus rünnak Tor võrgust. Tor võrgust kirjutan võibolla mõni teine kord pikemalt, eelkõige siis hidden service'ite tegemisest, aga praegu mainin vaid ära, et Tor brauser on lihtsalt teise nimega Firefox, millel on maha keeratud mitmeid featuure, mis võiks potentsiaalselt anda välja kasutaja identiteedi ning mis on seadistatud ühenduma internetti läbi SOCKS5 proksi pordil 9150. Kõige olulisem tarkvara Tor süsteemis on ikkagi Onion ruuter, mis ühelt poolt ühendub Tor võrku ja teiselt poolt tekitab teistele rakendustele kasutamiseks sellesama SOCKS5 proksi.

Turvaline e-post

PGP e-posti krüpteerimiseks on kõige parem tarkvara GPGTools, mis on OSX Mail rakenduse plugin. S/MIME toetus on mailirakendustes reeglina parem, kuid see on rohkem enterprise kasutajatele. Tavakasutajate jaoks on de facto mailikrüpto lahendus ikkagi PGP ning praeguseks on selle taga ka näiteks Saksa riik. GPGTools on tunduvalt stabiilsem kui näiteks Enigmail ning selle ainsaks miinuseks on mõningane viide uute OSX versioonide toetamisel.

Sõnumineerimine

Sõnumiäppide puhul on privaatsustasemeid mitu ning valida tuleks endale sobivaim, sest kõige turvalisem ei tähenda kõige mugavamat ja vastupidi. Täiesti out on vanad lahendused nagu MSN Messenger (see vist enam ei töötagi?), ICQ jne. Facebook Messenger on turvaline selles mõttes, et seda ei saa jälgida samas võrgus olevad pahalased, sest käib üle HTTPS protokolli. WhatsApp, iMessage, Facetime on turvalised selles mõttes, et kasutavad end-to-end krüptot, nii et seda ei saa pealt kuulata ka teenusepakkuja, kuid samal ajal ei saa kindel olla, et kas end-to-end on teenusepakkuja poolt ikka sisse lülitatud. Telegram on turvaline samuti end-to-end krüpto tõttu, kuid selle lahendus ei ole just kuulikindel. CryptoCat on teoorias turvaline kuid praktikas leitakse sellest tihti olulisi turvalisust vähendavaid vigu. Signal on turvaline end-to-end tõttu (erinevalt Telegramist kasutab ka turvalist protokolli) ning see on samal ajal kontrollitav, kuid selle kasutajaid on vähem kui muudel teenustel. Ühesõnaga, kui kardate nuuskivaid kolleege, siis on juba Facebook Messenger piisavalt turvaline (eeldusel, et arvutis ei ole registreeritud ettevõtte CA serti ja liiklus ei käi läbi ettevõtte proksi, mis HTTPS liklust murraks), kui aga muretsete välisriikide luureteenistuste pärast, siis oleks Signal õige valik.

Võrdluseks, terroristid kasutavad Amn Al-Mujahid krüpteerimistarkvara, mida annab välja Al Fajr Media Center Technical Committee, kuid see tarkvara laetakse miskipärast HTTP protokolli kaudu ning seetõttu ainult jumal teab, mis sealt tegelikult alla tuleb, tõenäoliselt hoopis mingi NSA spyware.

VPN ja turvalised ühendused

Ma ei kasuta VPN'i, aga kui see on võimalik, siis teistel kindlasti soovitan. Ma ei kasuta eelkõige seetõttu, et mul on kodus küll VPN võimeline võrguketas, kuid ma ei taha väljastpoolt mitte mingeid ühendusi koduvõrku lubada. Eraldi VPS'i seadistada pole viitsinud ning teenust osta pole raatsinud. Seega kasutan võõras võrgus HTTP saitidega ühendumiseks tavaliselt ssh tunneli põhist proksit. Juhul kui on ligipääs mõnda VPS serverisse, on tunneli ülesseadmine imelihtne ja see ei vaja mingit lisatarkvara, piisab vaid järgmisest käsust:

ssh -f -N -D 1080 vpshost

kus 1080 on port, millel hakkab toimetama SOCKS5 proksi ja vpshost on mõne VPS serveri hostname või IP aadress. Brauser tuleb seadistada kasutama netti ühendumiseks sedasama localhost:1080 proksit ja edasi käibki ühendus krüpteeritud kujul ja võõras võrgus nuuskijate pärast pole vaja enam muretseda.

Virtuaalmasinate kasutamine

Juhul kui on tarvis siiski külastada kahtlasi veebisaite või käivitada kahtlasevõitu rakendusi, siis ei tasu seda kindlasti teha omaenda arvutis. Õnneks on mõeldud välja mugav lahendus virtuaalmasinate näol, mina kasutan selleks tasuta VirtualBox tarkvara. Selle jaoks tuleks siis tekitada mingi virtuaalmasin, installida kõik uuendused ja teha sellest snapshot. Kui nüüd on vaja toimetada kahtlastes nurgatagustes, siis võibki seda teha selles virtuaalmasinas. Kui vajalikud toimingud on tehtud, tuleks taastada virtuaalmasina esialgne snapshot ning kui midagi märkamatut sattuski virtuaalmasinasse, siis kõik vahepeal toimunud muudatused kaovad snapshoti taastamisel ning tulemuseks on täpselt samasugune masin nagu see enne kasutamist oli.

Kokkuvõtteks

Üritan elada turvalist elu, samas end mitte lolliks mõeldes. Eelkõige tuleks hinnata võimalikke riske ning kui riske pole, siis pole mõtet ka liiga palju turvata. Facebook Messenger on siin heaks näiteks, ilmselt ei kaitse see mind NSA eest, küll aga saan selle kaudu kontakti pea igaühega ning samas on selle turvalisuse tase piisavalt kõrge, et päris igaüks neid vestlusi lugeda ei saa. Üle mõeldes tekib oht vindi pealekeeramiseks ning tulemuseks võib olla hoopis ebaturvaline lahendus, näiteks hiljuti tähelepanu leidnud PHP CodeIgniter klass RSA krüptograafiaks.

Jah, just nii tuleb valida RSA algarve, see viib turvalisuse uutesse kõrgustesse

Ühesõnaga, kainet mõistust! Ei tasu õnnega mängida, aga ei tasu ka üle mõelda.

Kommentaare ei ole: