Kompromiss on kõige võti

Kumbki pool ei saa hetkel nende andmetega suurt midagi peale hakata. Kui installida homebrew pakihaldus, siis tuleks samuti jälgida, et see saaks tehtud tavakasutaja õigustes, mitte abil ssh võtmed peaksid olema kindlasti parooliga kaitstud. Moodsates brauserites on paroolide salvestamine ja täitmine samuti sisse ehitatud, kuid paroolihaldur töötab brauserite ja platvormiüleselt. Kuna genereerimine võib olla liiga kulukas, siis saame väärtusele lisada ka kaunteri – iga kord kui teeme väärtusest räsi ja selle tulemus ei vasta tingimustele, suurendame kaunterit ühe võrra ja proovime uuesti. Kui kõik klapib, võib saaja kirja ehtsaks pidada. Hea uudis on, et veidi saame selle nime kuju siiski kontrollida – seda juhul kui genereerime nii palju erinevaid võtmeid, et lõpuks leiame sellise, kus räsi ongi soovitud kujul. Mobiiliseadmetest on iPhone hinna poolest küll kallim kui suurem osa Androidi analooge, kuid pikas plaanis ei pruugi hinnavahet üldse olla. Lõppude lõpuks on turvalisus alati kompromiss. Paroolihalduri korral tuleb meeles pidada vaid üht parooli ehk paroolihalduri ülemparooli paroolifailile ligipääsuks. Õnneks on mõeldud välja mugav lahendus virtuaalmasinate näol, mina kasutan selleks tasuta VirtualBox tarkvara. Kommertspakkujad saaksid sama protkolli kaudu pakkuda tunduvalt paindlikumat teenust, näiteks kõigepealt tuvastada tellija organisatsioon ja edaspidi lubada tuvastatud kasutajal tellida ka OV/EV serte. Eraldi VPS'i seadistada pole viitsinud ning teenust osta pole raatsinud. Ühesõnaga, iga kord kui teeme reegleid keerulisemaks, suurendab see tublisti võimalike variantide arvu, mida brute force ründaja peaks kasutaja parooli murdmiseks läbi proovima. Saatja peab kirja saatmiseks investeerima mõnevõrra CPU tsükleid ehk siis maksma "margi" eest, kus "margiks" on töö tulemus ning margi olemasolu kirja päises tõestaks saatja panust. Eelkõige võiks "klientideks" olla ikka need, kes suudavad selle voo automatiseerida. Palju parem oleks ju kui saaksime selle nime ise valida. Asja tuum on iseenesest lihtne: üks osapool saab hashcashi abil teisele tõestada, et on teinud mingi küsimuse lahendamise nimel märkimisväärse hulga tööd. Täna muidugi ei saa milleski liiga kindel olla, kuid OSX "viirused" on reeglina siiski kasutaja poolt ise lolli peaga masinasse lubatud troojalased, mitte iseseisvalt sinna roninud. Kui telefoni tarkvaras on aga teada olevad turvaaugud ning parandust neile kuskilt ei paista, ei ole väga mõtet sellist telefoni pikalt pidada. Paroolihaldurite tarkvara võib laias laastus jagada kolme kategooriasse:Tarkvara, mis töötab ainult kasutaja arvutis ning sellest paroolide kätte saamiseks tuleb kasutada - meetodit. Edaspidi saab serte tellida ja uuendada puhtalt tarkvara abil ilma igasuguse inimesepoolse sekkumiseta, mis ongi tegelikuks revolutsiooniks. Lisaks triviaalsele ehk suvaliste mailimanuste mitte-avamise ning võõraste mälupulkade mitte-kasutamise kõrval eelistan selliseid vahendeid, mis sobiks lõppkasutajale ja mis ei nõuaks liiga detailseid teadmisi või keerulist konfigureerimist. Isegi kui ülemparool ei ole teada, võib paroolifaili sisu saada kätte kasutaja arvuti mälust. Lisaks on ka Eestis olemas kohtulahend, kus inimene jäi süüdi küberründes, kuna kasutas Tor võrku samal ajal, kui toimus rünnak Tor võrgust. Kuigi idee poolest tore, ei ole inimese aju mõeldud suures koguses suvaliste sümbolijadade meelde jätmiseks ja selline lähenemine lõpeb varem või hiljem paroolidega kollasel märkmepaberil kuvari küljes. Selline on näiteks LastPass. Suure tahtmise korral oleks siiski võimalik paroolid pähe õppida või vähemalt kirjutada kuskile märkmikku, mis asub salajases kohas saja luku taga, kuid tavakäitumises on mugavus siiski väga oluline. E-posti puhul oleks pidanud see töö kujunema elektroonilise postmargi hinnaks. Tuntud turvauurija Bruce Schneier väidabki, et XKCD pakutud lahendus ei ole selle tõttu täna enam turvaline. Tegu pole millegi vähemaga kui revolutsiooniga SSL sertifikaatide väljastamises. Ma ei ole teoreetik, vaid praktik, seega ei oska öelda, et kas see on päris eraldiseisev või hoopis sümmeetrilise krüptograafia erivorm, kuid erinevus tavalisest sümmeetrilisest krüpteerimisest seisneb selles, et andmete avamiseks on vaja mitut võtit. Absoluutselt kõike ei tasu seega sinna jätta, näiteks ID-kaardi PIN koodid võiksid olla siiski peas, mitte paroolihalduris. Seega ideaalne arendaja-arvuti. Alternatiivina on võimalik kasutada ka TrueCrypt kloone, näiteks VeraCrypt, mille arendus käib erinevalt TrueCrytptist edasi. Vastasel korral pole nagu erilist mõtet üldse peidetud teenust püsti panna, see ei oleks ju enam peidetud. Unix teatavasti on suhteliselt turvaline operatsioonisüsteem, ka OSX on aastaid uhkustanud viiruste puudumise üle ja suures osas on see olnud õigustatud. Halb uudis on, et domeeninimi tuletatakse räsina salajasest võtmest, seega peabki see näima juhuslik. Veebiserveri kasutaja ei saa kuidagi järgi vaadata, et mis IP aadressi taga veebiserver asub ja et kellele see aadress kuulub. Paremate võimalustega paroolihaldur võib maksta küll veidi raha, kuid kui üldse oma raha mingi tarkvara alla panna, siis võiks see just olla paroolihalduri tarkvara. Traditsioonilise isikutuvastuse tegemiseks tuleb minna ID-Punkti.

Andris Reinman

. Kui varasemalt oli juttu kahefaktorilisest autentimisest, siis seekord vaatleks autentimise esimest faktorit ehk paroole. Kõige olulisem oleks, et meil on üldse mingi veebiserver, mida Tor võrku välja näidata. Peamiselt kirjutan sellest, et mis tarkvara ja vahendeid pean turvaliseks ja ise ka kasutan. Ütleme, et tahame nüüd uuesti vaadata, et mis need salajased andmed olid. Muidugi saab nii luua tõeliselt turvalisi paroole, kuid ise "juhuslikult" sõnu valides võib tegelik saada olevate sõnade ring olla ikka üsna väike. Kui paroolihaldur seda võimaldab, tuleks autentimiseks kindlasti kasutada ka teist faktorit. Kui võtta puhtalt kasutatud sümbolite arvu järgi, siis oleks "correct horse battery stable" tõesti eeskujulik parool, probleemiks on, et tegu on nn. Need küsimused ei ole samas käesoleva näite puhul väga olulised, kuna eesmärk oli lihtsalt tutvustada jagatud saladuste kontseptsiooni. Sellisel juhul teaks kasutaja üht jagatud saladuse kahest vajalikust võtmest ja server teaks teist. Shamiri jagatud saladuste algoritmi puhul võime genereerida suvalise  arvu võtmeid, kusjuures saladuse taastamiseks on vaja teada ainult  võtit, kus võib olla võrdne või väiksem kui. Facebook Messenger on turvaline selles mõttes, et seda ei saa jälgida samas võrgus olevad pahalased, sest käib üle HTTPS protokolli. Esineb ka soovitusi moodustada lauseid, aga kasutada vaid sõnade esitähti jne. Kuigi inimese jaoks on see hulk juba liiga suur, siis arvutile on veel jõukohane. Aga proovime edasi, suurendame kaunterit nii kaua, kuni leiame soovitud väärtuse. Lisaks peaks saaja kirja panema ka , sest ükski teine mark sama väärtust enam kasutada ei saa. Teiseks muidugi see, et OSX pole muud kui Unixi skinn, mis tähendab, et OSX shell on enamvähem sama funktsionaalsusega kui Linuxi shell. Installime Onion ruuteri Tor tarkvara saamiseks on meil vaja lisada Tor repositooriumi andmed. Maha tuleks keerata X-Powered-By, ja muud seonduvad vastusepäised. Tor peidetud teenuse domeeninime leidmisega tegeleb näiteks Shallot. Ütleme, et server saadab selle jaoks meile mingi koodiga SMS sõnumi, sisestame sõnumis olnud koodi ja nüüd saadab server meile ka teise osa jagatud saladusest. Apache veebiserveri puhul tasuks üle vaadata ServerTokens ja ServerSignature seadistused, samuti ka valik, kuid kõige parem oleks üldse mitte Apachet kasutada. Piraattarkvara ma põhimõtteliselt ei kasuta ja just seetõttu, et ma ei saa kindel olla, et mida see tegelikult sisaldab.. Peale konfigureerimist jääb teha viimane liigutus, milleks on Tor teenuse taaskäivitus$ service tor restart Nüüdsest peakski olema valitud aadress Tor võrgu kaudu ligipääsetav. Mida nende jagatud saladustega peale hakata, on juba igaühe enda välja mõelda. Sellisel juhul võime tavabrauseris avada veebilehe läbi onion.to veebiproksi. exit node'i ehk seda masinat, mille kaudu suunatakse liiklus ümber Tor võrgust vabasse võrku, sest veebiserver ise ongi sellisel juhul exit node'iks. Kompromiss on kõige võti.

Ma ei kasuta eelkõige seetõttu, et mul on kodus küll VPN võimeline võrguketas, kuid ma ei taha väljastpoolt mitte mingeid ühendusi koduvõrku lubada. Kui kasutada ametlikku letsencrypt klienti, siis taustal toimuvat üldse ei näegi, kõik tundub üsna maagiline – sisestad käsureal soovi, et tahad endale uusi serte ja järgmisel hetkel on kehtivad serdid juba ettemäärtud kaustas olemas. Konfigureerime Tor HiddenService andmed Praeguseks on kõik eeldused täidetud ja üle jääb vaid peidetud teenus aktiveerida. Loomulikult on mul igal pool kus võimalik, sisse lülitatud kahefaktoriline autentimine. Enne ostu tasuks muidugi võrrelda tasuta ja tasulise pakkumise erinevust, võibolla tasuline variant ei annagi midagi vajalikku juurde, kõik sõltub konkreetsest kasutajast. Kui kasutaja nüüd suudab tõendada serverile teise faktori olemasolu, saadab server kasutajale enda teada oleva saladuse, kasutaja paneb kaks saladust kokku ja saabki võtme oma andmete avamiseks. Esiteks on tegu väga hea hinna ja kvaliteedi suhtega, arvutid on vastupidavad, alumiiniumkorpus ei kulu, klahvid käivad sujuvalt ka peale aastaid kasutamist. Teiseks põhjuseks on see, et peidetud teenus on, nagu nimigi ütleb, peidetud. Näiteks veebihostingu pakkujad jmt. Domeenikinnitusega domeenide väljastamine on sertide müüjatele muutunud nii odavaks, et nende eest nagu polekski enam põhjust üldse raha küsida ja seda Let's Encrypt teebki – annab DV domeene kõikidele soovijatele tasuta. Onion ruuter deb.torproject.org-keyring on Tor'i võtmerõngas Kui kõik õnnestub, on meil serveris töökorras Onion ruuter. Heaks näiteks oleks Facebooki onion domeen facebookcorewwwi.onion, kuid siin tuleb jälle üks halb uudis – iga täiendav sümbol kasvatab domeeni arvutamisele kuluvat aega eksponentsiaalselt. Pealegi, paroolihalduriga seotud riske saab maandada ka teise faktori kasutuselevõtuga. See võiks tõesti vastata kõikidele nendele eelpool kirjeldatud reeglitele, sest kõigest ühe keerulise parooli meeles pidamine ei tohiks siiski olla üle võimete. Samuti on vaja lahendada mõistlik autoriseerimisprotsess, kus krüpteeritud andmeid saaks laadida ja salvestada ainult õige isik. DNS kaudu ei puutu konkreetne masin üldse asjasse. Ühesõnaga, kainet mõistust! Ei tasu õnnega mängida, aga ei tasu ka üle mõelda. Facebook Messenger on siin heaks näiteks, ilmselt ei kaitse see mind NSA eest, küll aga saan selle kaudu kontakti pea igaühega ning samas on selle turvalisuse tase piisavalt kõrge, et päris igaüks neid vestlusi lugeda ei saa. Kui on teada, et tuleb teha rohkem tegevusi root kasutajana, on mõistlik minna kasutaja režiimi käsuga ning sisestada see parool ühekordselt, mitte iga natukese aja tagant uuesti. Kõigepealt jälle kvaliteet, aastane iPhone on normaalse kasutuse juures peaaegu nagu uus, samas kui kõik Androidi mudelid, vähemalt need mis mul on olnud, näitavad juba väsimuse märke. Kusjuures margiks ei ole mitte räsi ise, vaid väärtus, millest sellise räsi saime. tavaliste sõnadega, mille arv on üsna piiratud. TimeMachine võimaldab varukoopiad samuti krüpteerida. Seega on meil olemas kõik vajalik, et andmed taastada. Kloonide probleemiks on peamiselt litsentsiküsimused, sest TrueCrypt oli küll tasuta tarkvara, aga mitte open source selles mõttes et igaüks tohiks koodi kopeerida. Kui ründaja saab kätte paroolifaili ja mõistatab/varastab ülemparooli paroolifaili avamiseks, siis on kõik ligipääsud ründajal käes. Järgmiseks tuleks leitud domeeninimi lisada Tor konfiguratsiooni. Lühidalt ütleks, et kõigi nende reeglite täpne täitmine on siiski mission impossible. Eelkõige tuleks hinnata võimalikke riske ning kui riske pole, siis pole mõtet ka liiga palju turvata. Märts 2019 Krediidihaldur Kiirlaen , Krediidikonto , Laenud. Telegram on turvaline samuti krüpto tõttu, kuid selle lahendus ei ole just kuulikindel. Selle jaoks tuleks siis tekitada mingi virtuaalmasin, installida kõik uuendused ja teha sellest. Revolutsioonilisus seisneb hoopis milleski muus kui hinnas, nimelt viisis kuidas neid serte üldse soetatakse. Samas ei ole tasuta sertifikaadid mingi uudis, näiteks StartSSL pakub neid juba aastaid. Rakenduse kood oli nähtav ainult sõltumatute auditite tegemiseks, mitte enda tarkvaras kasutamiseks.Paroolide majandamine Paroolidega majandamiseks kasutan paroolihaldurit. Peidetud teenuse tunnuseks on domeeninimi. Selliste soovituste probleemiks on tihti võlts-turvalisustunne.  Kui parooli moodustamise meetodist teavad "tavainimesed," siis päris kindlasti on sellega juba kursis ka kõik paroolikräkkerid. Näiteks kehtivad Let's Encrypt sertide genereerimisel pirangud, samuti genereeritakse ainult DV serte. Nginx on tunduvalt parem, aga kõige mõistlikum oleks võibolla ehitada minimaalne staatilist sisu serveeriv Node.js põhine server, siis võib kindel olla, et kuskil ei ole kogemata jäänud mõni konfiguratsiooniparameeter korrektselt seadmata. Üle mõeldes tekib oht vindi pealekeeramiseks ning tulemuseks võib olla hoopis ebaturvaline lahendus, näiteks hiljuti tähelepanu leidnud PHP CodeIgniter klass RSA krüptograafiaks. Ütleme, et tahame saata kirja aadressile [email protected] ning nüüd on meil vaja genereerida selle aadressi jaoks üks mark. Serdi genereerimiseks peab tellija tõestama valdust valitud domeeninime üle. Kui enam õigusi pole vaja, siis panna terminali aken kinni või minna tavakasutaja režiimi tagasi käsuga. Let's Encrypt on nimelt esimeseks ACME ehk  protokolli implementeerijaks, mis kirjeldab ära sertifikaadi tellimise automatiseeritud protsessi. Seega kasutan võõras võrgus HTTP saitidega ühendumiseks tavaliselt ssh tunneli põhist proksit. Kuigi tegu on kõige turvalisema variandiga, võib selline pidev käsitsi paroolide ringi tõstmine olla üsna ebamugav. See tähendab, et veebilehele jõudmiseks ei ole vaja läbida nn. Sellepärast küsime serverist kõigepealt peidetud andmed ja seejärel teeme läbi kahefaktorilise autentimise. Kusjuures hind ei pruugi olla üldse seotud sertide arvuga, kommertspakkuja saaks serte müüa näiteks ka subscriptioniga kus serte võib genereerida X hulgal niikaua kui tellijal on müüja juures kehtiv kuutasuline subscription. See muidugi ei tähenda, et tasuta poleks võimalik – suur osa paroolihalduritest ongi täiesti tasuta või siis osaliselt tasuta. Kui teenus on püsti, saame seda kontrollida ka ilma Tor brauserita. LastPass sisselogimise teiseks faktoriks kasutan Yubikey OTP võtit ning iPhones on LastPass avamiseks Touch ID ehk sõrmejälg. Populaarne koomiks XKCD soovitab kasutada paroolina lauseid, Diceware soovitab valida parooliks samuti sõnu, kuid valida need täringuheitega. WhatsApp, iMessage, Facetime on turvalised selles mõttes, et kasutavad krüptot, nii et seda ei saa pealt kuulata ka teenusepakkuja, kuid samal ajal ei saa kindel olla, et kas on teenusepakkuja poolt ikka sisse lülitatud. See on samuti üsna turvaline kuna paroolifail on kasutaja kontrolli all, kuid liidestus brauseriga tekitab omad riskid. Kolmanda kaitsemeetmena peab saaja jälgima ka kuupäeva, et see ei oleks liiga kaugel minevikus ega ka tulevikus. Veebiserver ise ei pea seega Tor võrgust mitte midagi teadma, veebiserver kuulab nagu ikka mingil kindlal TCP pordil sisenevaid päringuid, et neid teenindada ja Tor ei puutu kuidagi asjasse. Paraku ei saanud hashcash postmarkidest kunagi eriti asja. Seetõttu kuulemegi üsna tihti inimestest, kes Gmaili kaudu "kojusõiduks rahapalveid" laiali saadavad, aga ei kuule nendest, kelle paroolihaldur oleks ära häkitud ja sellest paroolid kätte saadud. Domeeni omandust saab tõestada kas HTTP või DNS abil. TrueCrypt krüpteeritud ketaste loomiseks on endisel kasutuskõlbulik, kuigi selle autorid on kutsunud üles TrueCrypti enam mitte kasutama. Tulevikus võtavad sama protokolli tõenäoliselt üle ka teised sertide müüjad, see ei ole sugugi mõeldud olema ainult Let's Encrypt keskne. Let's Encrypt muudab kõike seda. Täpsemalt jagab FileVault ketta kaheks partitsiooniks – väikeseks boot partitsiooniks, kus asuvad parooliga lukustatult võtmed ning siis nende võtmetega krüpteeritud partitsiooniks, kus asuvad kõik failid. Paroolikräkkerid reeglina ei proovi läbi kõiki paroole vahemikus "aaa…" kuni "zzz…", kuna see võtaks liiga kaua aega, selle asemel alustavad nad ikka enim tõenäolistest variantidest. Aastal sai eurost Eesti ametlik valuuta

Märkused