Otse põhisisu juurde

Nädal 14: Andmeturveː tehnoloogia, koolitus ja reeglid

Pahalased
Olen erinevate ettevõtete IT juhtumitega mõneti kursis… ja ka seda poolt näinud mis puudutavad viiruseid ja pahalasi. Kuigi minu esimesed kogemused viirustega olid „laulvad“ viirused mis 286 ajastul vilgutasid klaviatuuri „tulukesi“ ning „PC-Speaker“ uirgas Yankyde tunnus muusikat on need viirused ajas hullumaks läinud. Toona olid minu jaoks hirmutavad kuulujutud (mis hiljem osutusid siiski meediaväljaannete järgi tõeseks), et arvutimängude loojad loovad teadlikult viiruseid mis aktiveeruvad diskettidel, kui tarkvaraliselt järeldatakse, et tegemist on piraatkoopiatega (ehk olukorrad kus tehakse tarkvarast koopiaid).

Ka mäletan ma pahalase aega, nimega CHI ja see oli juba tõsine õudusunenägu (õnneks lühiajaliselt). Levis ta muidugi taaskord piraatkoopiate kaudu, sest Poole plaadivabrikutes väljatulevad nakatunud tarkvara oli regiooniti lausa nagu katk. CHI oli viirus mis kirjutas „lihtsalt“ BIOSI üle (oli ajastu, mil ilmusid turule emaplaadid mis olid varustatud tarkvaraliselt ülekirjutatavate Biosidega).  Samas see õudus kujunes nii mõnelegi arvutiäriga tegelevale ettevõttele üsna tulusaks perioodiks, sest BIOSI uuesti üle kirjutamise eest küsiti toona kopsakat teenustasu.

Aga kirjutan hoopis uuemast pahalsest, kuid „vanast“ teemast, ehk Lunarahaviirusest. Lunarahaviirus on vana ära leierdatud teema. Kõik teavad seda une pealt, kuid ette ei võeta jätkuvalt isegi elementaarsemaid tegevusi. Põhjuseid on mitmeid, küll raha kokkuhoid, küll viitsimatus küll… no nagu vanasõna ütleb „Loll, kes vabandust ei leia!“

Nimelt ühes ettevõttes saime suhteliselt juhuslikult jälile failiserver krüpteerimisele (kirjutamise intensiivsus andis läbi monitooringu teada). Viirus oli hakanud tähestiku alguses krüptima kuid õnneks saime jaole enne kui oli jõudnud veerandi loetamatuks teha. Ja kuna meil varundus toimis reeglipäraselt läbi korraliku ülesehituse - ei olnud seal väga kurb see tagajärg (õdusama stsenaariumi kohaselt oleks pahalane olnud „tuduv“ lunaraha viirus mis oleks teatud aja pärast aktiveerunud (näiteks pool aastat) ja ajal kui ka kõik koopiad arhiivis oleks seda täis olnud). Õppetund „Nr 1“ Kasuta varundamisel alati vähemalt „3-2-1“ reeglit (ei ole selle korra teemaks) 
Kuid kui küsiti meie käest „Kuidas selline asi alguse sai?“ ja üsna peale seda „Miks läbi teie halduse üldse selline asi juhtuda sai?“ Oli vaja kiirest leida põhjus ja tõendatav põhjus.
Viirus ise oli kaval – ta suutis ennast teatud aegade tagant paljundada ühest „peidetud“ kataloogist teise. Seega oli ta nagu mitme peaga lohe, kus raiuda üks pea maha, kasvavs kaks asemele.  Siiski saime me ta nime teada ja ka viisi kuidas ta paljunes…
Süüdi oli FLASH, Macromeida flash. Sellesse käivitavasse interaktiivsemeedia faili on aegade jooksul palju pahalasi kirjutatud ja ega kasutaja ei oska kahtlustatagi. Flash meediafailina võidakse „cachida“ sinu arvutisse. Viiruse käivitamine on imelihtne, sest flash abil võib olla kujundatud veebilehe bänner või siis lause nupp „OK“.  Olime oma uurimuses jõudnud sammu lähemale.

Aga kus kohas või läbi kelle ta sinna pääses. Kuna me kasutame võrgu logi saame me seda ka uurida, KUID siin tuleb olla väga delikaatne ning ettevaatlik, et mitte minna pahuksisse andmekaitseseadusega mida võidakse ka tituleerida kui nuhkimist. Jõudsime lahendusele. Meie jaoks oli IP küll tuvastatav kuid selle me välistame, ehk logid muutsid pseudoemeerituks mis tähendab, et näpuga me kellegi peale ei näita – küll aga tahame teada mis võrgu toimub.
Statistika ei olnud nii võrd üllatav, sest sellega ikka tegeletakse – ehk oletatav põhjus. Nimelt külastati ettevõtte võrgus piisvalt pornograafilist sisuga (või sellele viitavaid) saite, nende hulgas ka vene domeeniga saite.

Oma raportit ettevõtte juhtivtöötajatele demonstreerides, sooviti pigem teha näidispoomist ja keelamist. Keelitasime, sest läbi selle ei saavutada soovitud tulemit. Tuleb koolitada ja teadvustada. Koolitus plaani kui sellist aga peab võtma kui ideoloogilist ristiretke, näiteks paroolide turvalisuse juttu teavad kõik aga tegudeni väga ei jõuta. Koolitus, ehk netikett või küberhügieen peab olema korduv tegevus mille eest peavad ettevõtted head seisma ja nagu profülaktilist hooldust, ettevõttetes teatud aja möödudes korduvalt läbi viima.

Sellest mõttes saavad olema tulevased aastat huvitavad, kuna 2018 jõustuva GDPR üldmääruse (ideoloogia) kohaselt proovitakse tekitada nihe inimeste teadlikust võrgus esinevate ohtude osas. Koolitajaks peavad olema tööandjad kes vastutavad võimalike (isiku) andmelekete eest.


Eks näis…

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Nädal 5: Netikett, ehk võrgusuhtlemise kümne käsu, üheksas käsk „Ära kuritarvita oma võimu“

Virginia Shea toob oma raamatus "Netiquette" välja kümme käsku. Käskude eesmärk on soovituste jagamine, kuidas peaks inimesed internetis käituma, et keskkond oleks kõigile nauditav. Neid käsku või õigemini reegleid lugedes on enamus nendest enesest mõistetavad. Miks? Sest enamiks on neist „minu enda teha“. Kõige mõtlevama panevamad nendest on minu jaoks siiski „ Austa teiste inimeste privaatsust“ ning „Ära kuritarvita oma võimu“. Selle viimase osas ma jäin siiski mõtisklema, kuna see on ka tugevalt seotud teise inimese ning teiste privaatsuste austamisega. Uueks majandusteguriks peetakse infot ja üsna põhjendatult, sest kui vanasti tehti konkreetselt midagi reaalset, ehk „tükki“ siis tänaseks tehakse ka, kuid selleks on info. Kes omab infot, omab materiaalset väärtust ja tegelikkuses ka otsest või kaudset võimu inimese üle (nt. manipulatsiooni tasandil). Et aga infot saada on sellel vaja esmalt ligi pääseda. Üha rohkem populaarsust võidavad pilveteenused ja see on
Postita kommentaar
Lisateave

Nädal 6: IT eetilised, sotsiaalsed ja professionaalsed aspektid/Arvutid ja paragrahvid Iː tants intellektuaalomandi ümber

Intellektuaalse omanduse pahupooleks võiks pidada siis Piraatlust. Kuna minu kokkupuude arvutiga algab 90ndate keskelt siis võiksin seda ajastut vohava piraatluse tõttu pidada ka „Kadakaturu ja Rauasauna ajastuks“ kus põhimõtteliselt kõik oli „vaba“. Vabadus sai alguse peamiselt Poola ja Venemaa turult, mida omakorda kodus reprodutseeriti kassettide,- plaatide, diskettide ning tindiprinteri abil (etikette tulid ka ju teha).  Kas ma sellist toonast käitumist õigustan või laidan!? Tegelikult ei kumbagi, sest piraatlusele kui sellisele ei mõelnud sellel ajal keegi – pigem peeti suuremaks probleemiks, et kuidas saada käima tarkvara ilma originaalplaadita. Võiksin pigem öelda, et ühiskond ei olnud küps sellist seisukohta võtma. Aga millised on siis minu mõtted tänaseks? Ma usun, et toonane perioodi oli Eestile vajalik, sest aitas arendada laiasilmaringi ja võimaldas tarkvaraga saada mingeidki kokkupuuteid. Tarkvara oli kallis ning ei esinenud sellist asja nagu „prooviversioon“ (kuigi
Postita kommentaar
Lisateave

Nädal 15: Eetika ja IT

Eetika ja õ igemini IT eetika. Ehk siis eesm ä rgiga anal üü sida m õ ne IT ettev õ tte Eetikakoodeksit. Esmalt m õ tlesin, et kirjutan EA – Electronic Arts eetikakoodseksist. Tegemist on ü he  US m ä ngulevitajaga kes on ka ü htlasi valitud kaks korda, aasta halvimaks ettev õ tteks. Taaskord p ä lvis ma mu t ä helepanu seoses T ä htes õ jaga m ä ngu ja filmiga. Nimelt olla ka seekord Disnay tulnud tal k ä si v ää nama kuna rahaahnuses mikrotehingud olla isegi Disany filmile halba valgust visanud. Aga mida EA  lehelt ei leidnud, oli muidugi Eetika koodeks (Code of Ethics). M õ ned p ä evad tagasi tuli k ä ra Apple suunas, kuna arvatavalt muutvat ta vanemad iPhone mudelid aeglasemaks, et  arvatavalt sundida kasutajaid mobiile uuemate mudelite vastu v ä lja vahetama. „ Ametlik “ selgitus oli, et seda oli vaja teha kuna kasutajaid on vaja aidata. P õ hjendus, ajas muutub akumahtuvus ning kuna akude vahetus on niiv õ rd keeruline tavakasutajate jaoks, v ä hendatakse mobiilsetesead
Postita kommentaar
Lisateave