KALEV PIHL: Ära ole toode nutimaailmas!

, Sertifitseerimiskeskuse juht
Copy
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Kalev Pihl
Kalev Pihl Foto: SK

Üldiselt ei ole nutiseadmete ja nendele rakenduste loojad filantroobid, kes soovivad meie kõigi hüvanguks oma isiklikku aega ja raha kulutada. Seetõttu on mõistlik alati küsida, milles seisneb tohutult odavat või isegi tasuta kraami pakkuva ettevõtte tegelik äri ning kas ma olen kasutajana nõus sellises ettevõtlusvormis osalema.

Kas ma olen nõus kasutama äppi, kui tean, et selle madalam hind kompenseeritakse tavaliselt funktsionaalsusega, mis on tahtmatult või teadlikult kirjeldamata jäetud? Kas ma olen nõus tasuma rakenduse või seadme kasutamise eest oma andmete ja infoga? Kas nõustun sellega, et tegelik toode, mille pealt nutirakenduse valmistaja teenib, olen ma ise?

Aidata saab seda, kes end ise aitab!

Maailmas tehakse üle poole kõikidest veebikülastustest nutiseadmega, sama trendi on märgata ka Eestis. Samas ei räägita nutiseadmega seotud ohtudest just liiga palju. Visa on kujunema arusaam, et nutiseade ei ole enam ammu ainult helistamisvahend, vaid võimas arvuti, mida pahad tegelased rünnata soovivad ja ka reaalselt ründavad.

Kui veel pool aastat tagasi oleks olnud keeruline selgitada tavalisele inimesele nutiseadmete sisulist ohtlikkust, siis Samsungi „showcase“ plahvatava Galaxy Note7 näitel on seda koormat pisut vähendanud. Muidugi ei ole nuhvli peamiseks ohuks tema plahvatusohtlikkus ja -võimekus, vaid ikka andmed, mis selle sees või nende kaudu kättesaadav on. Kahjuks tuleb tunnistada, et ka siin on rahvusvahelised suurfirmad näidanud, et tohutu usk nendesse ei ole alati õigustatud.

Novembris tuli avalikuks, et üks Hiina tehas on oma toodetud seadmetesse paigaldanud turvaaugu, mis võimaldas süsteemivärskenduse käigus kontrollimatut ligipääsu seadmele. Peatselt tulid samasisulised uudised ka teiste Hiina mobiilitootjate kohta. Õnneks ei ole ükski neist seadmetest Eestis väga levinud.

Teinegi hoiatav lugu viimasest kuust puudutab Hiinat. Nimelt kogus USA telefonitootja BLU Products, mille seadmeid müüdi ka näiteks maailma suurimas veebikaubamajas Amazon, kõikide nende toodete kasutajate kõnelogid, kontaktid, asukohainfo ja SMSid (koos sisuga) ning saatis need iga 24-72 tunni tagant Shanghais asuvasse serverisse.

Samuti suutis madala hinnaga BLU nutiseade omavoliliselt mööda minna Androidi õiguste hierarhiast ning ümber programmeerida kogu seadme. Põhimõtteliselt tähendab see, et BLU seadmete kasutajatel puudus igasugune kontroll selle üle, mida nende seade teeb.

Lisaks eelnevale on Hiinaga seotud ka lugu, kus ettevõte oli eeldefineeritud domeenina paljudes seadmetes usaldusväärsena sisse kirjutatud, kuid siis ei võtnud vaevaks seda domeeni enam endale registreerida.

Nutiseadmetega toimuva juures väärib tähelepanu ühe vea mõju kogu keskkonnale. Näiteks on teada, et alates 2012. aastal tutvustatud Androidi versioonist 3.6 on läbi erinevate veaparanduste ja uute versioonide käinud alati kaasas turvaviga, mis ohustab praeguseks 80% Androidi kasutajatest ehk 1,4 miljardit seadet.

Kas Apple on teistsugune?

Jätkuvalt on suur uskumus, et Apple teeb tooteid, mida ei saa lihtsalt rünnata ja seal pole vaja millegi pärast muretseda. Kuid siiski tõid viimased paar kuud meieni taaskord uudiseid iOS seadmete tõsistest turvapaikamistest.

Näiteks on abiline Siri (alates iOS versioonist 8) valmis abistama nii heasoovlikke kui ka pahatahtlikke külalisi telefoni ekraanilukust mööduma ning näitama neile telefonis olevaid kontakte, pilte ja sõnumeid. Ligipääsu saamiseks võõrale telefonile ei pea ründajal olema isegi erilisi tehnilisi oskusi.

Novembri teisel nädalal saime teada, et võõra iPhone’iga on võimalik teha kõnesid suvalisele numbrile. Ebameeldiva lisafunktsionaalsusena pole kasutajatel võimalik ründaja alustatud kõnet ka lõpetada. Kuidas sellise vea ohvriks langeda? Piisab, kui paigaldad oma Apple’i telefoni Twitteri või LinkedIni äpi (sest mõlemad kasutavad ühte vigast komponenti).

Leitud on ka Apple’i telefonidesse installeeritavat illegaalset tarkvara, mis ei eelda eelnevat telefoni rootimist ehk siis tarkvara võib teha telefonis muudatusi, milleks tal volitused puuduvad.

On ka arvatud, et Apple’i rakendused on turvalisemad ja suhtuvad kasutajate andmetesse ettevaatliku austusega. Oktoobri lõpus avaldas Zscaler uuringu, millest selgus, et päris nii see siiski pole – iOSile loodud rakendused lekitavad rohkem kasutajainfot kui Androidi omad. Ainuüksi viimase poole aasta jooksul avastas Zscaler 200 000 juhtumit, kus Apple’i telefonidesse installeeritud tarkvara lekitas kasutajate telefoninumbreid, e-posti aadresse, asukohainfot, IMEI-, MAC- ja IMSI-numbreid, SIM-kaardi infot jne.

Pärast FBI ja ühe terroristiga seotud juhtumit saavutas Apple palju positiivset meediatähelepanu oma võitlusega kasutajate õiguse eest seadet krüpteerida ilma, et seda saaks lahti murda. FBI kulutas üle miljoni dollari, et San Bernardino tulistaja telefon lahti muukida.

Nüüd on Cambridge’i ülikooli teadlane Skorobogatov tõestanud, et seda krüptograafiat on võimalik siiski murda. Kusjuures sellise murdmise hind on kõigest paarsada dollarit.

Nuhkvara levib ka nutiseadmetel

Turvateadlikud inimesed teenivad elatist ka nuhkvara loomisega. Hiljuti jõuti jälile ühele Itaalia grupile, mille loodud tarkvarajupp saavutab lihtsa vaevaga kontrolli iga Androidi telefoni üle ning ühendub märkamatult veebiaadressidega, millest kasutajat ei teavitata.

Kuigi erinevalt kaotatud privaatsusest on kaitseta telefoniomanikul võimalik varastatud raha tagasi teenida, on üsna kurvastav, kui üks telefoni installeeritud rakendus paneb pihta su pangakonto login’id ja teeb ülekandeid ilma sinu loata. Ja pärast seda kustutab kogu telefoni sisu.

Just sellise mitu-ühes rakenduse, kuhu on koondatud erinevad kahjulikud funktsioonid, leidsid Fortineti uurijad. Kõnealune äpp sihtis peaaegu saja USA, Saksamaa, Prantsusmaa, Austraalia, Poola, Türgi ja Austria suurpankade kliente.

Spetsiifilisi nuhkvarasid luuakse ka. Näiteks Exaspy on loodud spetsiaalselt ettevõtte juhtidelt infot varastama.

Androidi pahavara nimega Tondrow on spetsialiseerunud telefonist fotode ja Chrome’i andmebaaside varastamisele.

CallJam aga helistab lihtsalt tasulistele numbritele.

Palju on kajastatud lunavara ründeid, mis puudutavad arvutivõrke ja tuntud ettevõtteid. Kevadel sai meediast lugeda ka Eesti ettevõtete vastu suunatud rünnakutest. Palju vähem on juttu aga sellest, et samasugused ründed on sooritatavad ka nutiseadmetel. Näiteks pahavara Android.Lockscreen hiilib mööda automaatkäivituse tõkkest esitledes end launcherina.

Vastavalt Austria teadlaste kevadisele avastusele on sajad miljonid Android seadmed avatud ARMageddon nimelisele rünnakule, mis ohustab kõik ARM protsessoreid, mida nutiseadmetes kasutatakse. Google parandas vea õnneks juba selle aasta märtsis.

Lihtsad asjad tuleb ise ära teha

See maailm, milles opereerimiseks me oma nutiseadmeid igapäevaselt kasutame, ei ole turvaline ega sõbralik koht. Seal varitsevad ohud on sama reaalsed, kui reede öösel kell kolm Tallinna vanalinnas kõikuva sammuga kodu poole suundudes pätikambast mööduda. Need on ohud, millest me reeglina saame teadlikuks alles siis, kui on juba hilja.

Seepärast tuleb panustada ennetusele – regulaarselt hoolitseda oma seadme turvalisuse eest kohe pärast selle ostmist.

Väga laias laastus jagunevad turvaaugud kaheks – need, millest on juba avalikult räägitud ja mis on tarkvarauuendustega parandatud; ja need, mida veel avalikult teadvustatud ei ole. Esimestega saab hakkama, kui uuendad oma telefonis tarkvara (nii operatsioonisüsteemi kui rakendusi) kohe, kui seda võimalust pakutakse.

Teistega aitab hakkama saada terve talupojamõistus: installid rakendusi ainult ametlikust ja kontrollitud keskkonnast, kasutad oma seadmes usaldusväärset turvatarkvara, uuendad oma turvatarkvara andmebaasi ja mootorit, jätad vajutamata kõik need põnevad lingid, mille usaldusväärsuses kasvõi natuke kahtled, lukustad nii oma telefoni ekraani kui ka krüpteerid telefoni sisu ja mõistad, et tasuta lõunaid ei ole olemas.

Ja igaks juhuks võiksid oma andmetest aeg-ajalt ka varukoopiaid teha, sest hoolimata hoolikusest võib telefoniga ikka mõni äpardus juhtuda ning väärtuslik info hävida.

Eelnevat kokku võttes on näha, et tehnika areneb ja sellega kaasnevad vead. Meil siin väikeses Eestis pole paraku muud teha, kui anda endast parim vältimaks suuri lollusi ja loota, et need, kes meid meie rumaluse eest kaitsta püüavad, ei väsi veel niipea! Proovi igapäevaselt ikka Nuti-Matist targem olla.

Headus ei ole tehnikamaailmast otsas, see lihtsalt ei saa nii palju lehepinda.

Kommentaarid
Copy
Tagasi üles