IT Kolledžis esineb avaliku loenguga F-Secure laborite juht Mikko Hyppönen

Keda huvitab viirustõrje argipäev ja tulevikusuunad, see võib minna kuulama F-Secure viirustõrje laborite juhti Mikko Hyppöneni, kes peab 11. mail kell kolm päeval IT Kolledžis loengu teemal “Viimaseid näiteid küberkuritegelikust maailmast“.

IT Kolledži rektori Kalle Tammemäe sõnul on infoturbe maailma tippguru Mikko Hyppönen Eestis väga oodatud külaline kuivõrd turbeküsimused on tõestatult missioonikriitilised nii iga organisatsiooni kui üksikisiku vaates. „Meil on hea meel kuulda uusimatest arengutest turbevaldkonnas vahetult tippklassi turbetarkvara tootva firma juhtivalt arendajalt ja ideoloogilt“, sõnas Tammemäe.

Ettekanne on inglise keeles ja loeng toimub IT Kolledžis, aadressil Raja 4C, Tallinn.

Huvilistel palutakse registreerida e-posti (malle@itcollege.ee) või telefoni (6285 800) teel. Loengust toimub ka reaalajas videoülekanne, mida on võimalik jälgida IT Kolledži kodulehel.

Kaameratega kütusehindade vastu

Laupäeva möödasaatmiseks on erinevaid viise. Võib magada, sügada koera kõrva tagant, olla niisama mõttetu ja puhata või… avastada ennast elektriposti otsas kõlkumast. Pärast teist tundi novembrikuu värskendavates tuuleiilides pidin isegi imestama, et kuidas ma ometi siia sattusin 🙂
Valvekaamerat paigaldamas
Vanarahvas ütleks, et kui liiga palju lobised, siis omad vitsad peksavad. Minu puhul sai “saatuslikuks” rida IP-kaamerate teemalisi artikleid ja oma sügav huvi toredate tehnikasaavutuste vastu. Ja nii juhtuski, et kui sõber küsis esmalt lihtsalt konsultatsiooni, kuidas ta saaks oma suvekodu ehitusel kaameratega silma peal hoida, siis lõpuks arenes pelgalt konsultatsioonist välja täiemahuline tööprojekt. Ei, mitte valesti mõista, tegelikult mulle kõik väga meeldis. Vahel on väga kasulik ka praktilisi kogemusi värskendada, muidu on oht pelgalt teoreetikuks ja eluvõõraks jääda. Postiotsas kõlkudes pani lihtsalt situatsioon muigama ja mõtlesin seda siingi teistega jagada.

Kuidas siis kaameratega kütusehindade vastu sõditakse? Värk lihtne. Kujutage ette, et hakkate ehitama või renoveerima suvekodu. Enamgi veel, mitte ei ehita ise, vaid lasete ehitada. Aga et suvekodu ja “päriskodu” vahele peab jääma erinevate segavate faktorite koosmõju välistamiseks jääma vähemalt 50 km (mõnede arvates rohkemgi), siis iga õhtu (või iga nädal) ise kohalesõitmine oleks märkimisväärne kütuse- ja ajakulu. Lahenduseks on paigaldada IP-kaamerad, millega saab rahulikult kodust või kontorist palgatud ehitusmeestel silma peal hoida. NB! Ehitajaid tasub oma ideest teavitada enne lepingu sõlmimist 😉

Kõnealune projekt sai väga korralik. Kuna õnneks igat krooni lugema ei pidanud, siis võis kasutada professionaalset tehnikat. Ja ega vähemaga hakkama polekski saanud, sest olud olid rasked. Vaja salvestada ehitusfirmaga võimalike vaidluste tarbeks kogu ehitusprotsess (4-5 kuud, enamus sellest pimedal ajal), võimaldada üle Interneti jälgimist ja kõik seadmed peavad vastu pidama välioludes. Ja mitte ainult ilmastikule vaid ka võimalike pikanäpumeeste mõistes. Sest kes garanteerib, et varas huvitub põrandalaudadest, kui samas kõrval on mitmete tuhandete eest IT tehnikat?

Nii saigi paigaldatud AXIS 221 kaamera välikorpuses elektriposti otsa, selle kohale liikumisanduriga varustatud lisaprožektor. Teine, veelgi parem kaamera, mida saab kaugjuhtimisega liigutada, AXIS 215PTZ-E niipalju kõrvale, et pakkuda teist vaatenurka. Samas näevad ja valvad kaamerad üksteist. Kinnituspoltidelt on kandid maha käiatud, kogu süsteem saab toite PoE tehnoloogiaga üle võrgukaablite, keskus omakorda UPS-iga varustatud. Internetiühendus tuleb Elioni WiMAX lahendusega 20 meetrise masti otsast. Kõik juhtmed saavad kokku ühes kindlalt suletavas, aga täiesti kütteta kõrvalhoone seina külge polditud seadmekapis. Seal omakorda väga võimalusterohke Frit!box 7270 ruuter ja Synology DS209+II server, mis oskab kaamerate pilti salvestada ja üle võrgu nähtavaks teha. Infapunakahur ja üht-teist nipet-näpet veel mujalgi. Projekti maksumuseks kujunes küll päris kopsakas ~50 000 krooni (millest enamuse moodustas kaamerate hind), aga arvestades, et nii server, ruuter kui kogu võrgulahendus läheb seal kohapeal hiljemgi aktiivselt ja teisteski funktsioonides kasutusse, polegi ehk summa nii suur. Südamerahu, võimalus pidevalt ehitusel silma peal hoida ja kokkuhoitud kütuseliitrid pealekauba.

USA küberkaitse ekspert Eestis

IT Kolledž andis teada, et järgmisel kolmapäeval, 7. oktoobril kell 16:00 esineb IT Kolledži avalike loengute sarjas USA küberkaitse ekspert Larry Clinton loenguga teemal „Küberkaitse poliitika ja koordineerimine“. Keda huvitab teema või jänkide käsitlus asjast, minge ja kuulake!

Ettekanne on inglise keeles ja toimub IT Kolledži õppehoones Mustamäel, Raja 4C, ruum 314 (aula). Huvilistel palutakse registreerida e-posti (malle@itcollege.ee) või telefoni (6285 800) teel. Loengust toimub ka reaalajas videoülekanne, mida on võimalik jälgida IT Kolledži veebilehel http://www.itcollege.ee

IT ja poliitika

Taas kord on IT segatud poliitikasse – seekord arvustatakse erakondade kodulehekülgi. Räägin loost „Häkker Tõnu Samuel kondas Keskerakonna kodukal” ja Keskerakonna vastusest seal toodud kriitikale, mida saab lugeda siit. Lühidalt öeldakse seal, et Samuel valetab.

Teemast kirjutama ajendasid mitmed Samueli väited ning teisalt Keskerakonna järgmine kommentaar: “Selge on, et Tõnu Samuel häkkis Keskerakonna kodulehte ja erakond pöördub selles küsimuses selguse saamiseks politsei poole.”

Etteruttavalt võin öelda, et häkkimise koha pealt olen ma pärast Samueli video vaatamist küll kategooriliselt teisel seisukohal – mingit häkkimist pole toimunud – ent Keskerakonna teises väites peitub kahjuks suur hulk tõtt. Tsiteerin: „Ajakirjandusliku eetika juurde kuulub alati faktide kontrollimine ja laimatavale poolele vastulause andmise võimalus. Paraku meie ajakirjandus seda elementaarset tava ülearu tihti ei praktiseeri.”

Kuna karta on, et Eesti ajakirjanduses ei tööta just mitte liiga palju IT asjatundjaid ning Samueli ja Keskerakonna vaidlus taandub kiirelt pelgalt emotsioonidele ja sõnavahule, vaataks IT ajakirjanikuna, täiesti erapoolikult, millega siis tegu ja on kummal õigus.

Kas Samuel räägib tõtt või valetab, kas oli tegu häkkimisega või mitte?

Samueli teeb kriitikat põhiliselt kolme asja kohta. Esiteks ei avane Keskerakonna kodulehel mõned lingid. Tõsi, ei avane. Hetk uurimist ning selgub, et tegu pole mitte tehnilise probleemi vaid segase ülesehitusega – lingi avamiseks tuleb klõpsata teksti flash-animatsiooni. Veebiarendaja praak.

Teiseks kritiseerib Samuel http://www.keskerakond.ee turvaprotokolliga seotud sertifikaati. Tõsi, kui kasutada mõnd uuemat veebilehitsejat (IE7 või FireFox 3.x), siis annavad need turvalise ühenduse loomisel veateate. Ent millega on täpselt tegu?

Tegu ei ole mingi tehnilise probleemi, pettuse ega veaga selle klassikalises mõttes. Lihtsalt raha kokkuhoiu, hoolimatuse või teadmatusega – Keskerakond pole sertifikaati ostnud, vaid on selle ise teinud. (Kes tahab täpsemalt lugeda, mis asi on sertifikaat, palju see ametlikult maksab ja kuidas ise tegemine käib, siis selle jutu lühiduse huvides eraldi postist.)

https://www.keskerakond.ee/tulumaks saadab isetehtud sertifikaadi, mis on tehtud 14. mail käesoleval aastal (kui autori arvuti kellaaeg oli õige), organisatsiooniks on kirja pandud Keskerakond ja autoriteks peeter@keskerakond.ee, henno.olljum@eurorscg.ee (reklaamiagentuur Idea AD AS), rainer@pointhree.ee (Php, IT arendus, tarkvaraarendus). (Vabandust mainitud inimeste ees, kui nende nimesid peaks olema keegi kuritarvitanud ning neil tegeliku seost selle sertifikaadiga pole). Kõik see info on sertifikaadi lisainfo all kõigile nähtavalt kirjas.

Kui ülaltoodu on fakt, siis nüüd tuleks anda asjale hinnang. Samuel andis sellele hävitava hinnangu, öeldes, et veebilehekülg on vigane. Mina nii kategooriline poleks. Kui Keskerakond tahaks aga siinkohal heast küljest silma paista, ostaksid nad muidugi vähemalt Eesti Sertifitseerimiskeskuse sertifikaadi.

Kõige enam teeb kriitikat Samuel hääletussüsteemi kohta. Niigi pikaksveninud postitust natukenegi lühendades annan vaid hinnangu – jah, süsteem ei ole korrektne.

Hääle kinnitamiseks küsitakse vaid isikutuvastamise PIN-koodi (PIN1). Kuigi sellekohase viite leiab ka kampaania tingimuse 11. punktis: „Kampaanias ID-kaardiga osaleja on kohustatud sisestama enda isiku tuvastamiseks õige PIN1 koodi. E-valimistel on hääletamise kinnitamiseks vajalik PIN2 sisestamine, kuid kuna antud Kampaania raames ei oma antud hääled juriidilist mõju, siis PIN2 ei küsita.“

Tähendab see aga seda, et hääled ei ole digitaalselt allkirjastatud (süsteem ei küsi kordagi PIN2 koodigi) ning hääletamise hetk jääb ebaselgeks. Kui olete läinud veebilehele, mille pealkiri on „Toetan astmelise tulumaksu kehtestamist Eestis,“ loete läbi kampaaniatingimused ja klõpsate nuppu „Kinnitan ID-kaardiga“, siis oletegi juba hääletanud kampaania poolt. Mis sest, et järgmisel lehel küsitakse kõik veel üle ning palutakse sisestada teie kontaktandmed. Jah, see on segane, ent semantiliselt siiski õige. Lehekülje pealkirjaks ju on „Toetan.“

Ehk arvestades segasevõitu ülesehitust ning tehnilist lahendust, mis jätab häälte kuritarvitamise ohu (ning ilma digiallkirjata pole võimalik kellegil tagantjärgi tõestada, kas ja kes ikkagi hääletas), siis kõik see vähendab minu silmis hääletustulemuste usaldusväärtust.

Kokkuvõttes: leheküljel on probleeme, aga Samuel kritiseerib kogu süsteemi mitteobjektiivselt.

Omaette probleem on Keskerakonna peasekretäri väide, et Tõnu Samuel häkkis Keskerakonna kodulehte ja erakond pöördub selles küsimuses selguse saamiseks politsei poole. Minu hinnangul pole Samuel teinud mitte ühtegi liigutust, mis oleks seadusevastane ega isegi mitte eetiliselt häkkerluseks kategoriseeritav või taunitav (tõsi, seda eeldades, et kasutatud ID-kaardi omanik viibis tema kõrval ja andis kogu tegevusele loa). Veebilehe koodi lugemine ei ole häkkimine. Samuti pole seda vigaselt töötava leheküljele loominguliselt lähenemine. Piltlikult öeldes – kui te saate hommikul postkasti ajalehe, millel on teid huvitava uudise kohal koera porine käpajälg ning te võtate appi nuustiku ja luubi, et sealt siiski tekst välja lugeda, siis millega on tegu? Kõik, mis on juba avalikult veebi pandud on juba mõeldud avalikustamisele ja on avalik, isegi siis, kui tehnilised probleemid (olgu tahtlikud või tahtmata) takistavad selle informatsiooni lugemist. Keskerakonna peasekretär Priit Toobal võiks endale selle selgeks teha.

Lahtiütlus: Autor ei ole ühegi erakonna liige, toetaja ega kaasamõtleja. Samuti ei toeta mina astmelist tulumaksu. Olen õppinud Stockholmi ülikoolis ja näinud ühte astmelise tulumaksuga ühiskonda natuke lähemalt – tänan, ei.

Mis loomad on veebisertifikaadid

Ühest IT-poliitilisest sündmusest ajendatult seletaks natuke, mis asi on veebisertifikaat (SSL certificate) ja kuidas see töötab (ehk mis juhtub siis, kui avate turvalise veebilehekülje, mille aadressil on ees https://, mitte tavaline http://).

Kui tavalist veebiliiklust on lihtne pealt kuulata, sest kogu info liigub piki juhtmeid kodeerimata kujul, siis vähegi turvalisust nõudvates kohtades (pangad, e-poed, isikuandmeid töötlevad veebilehed) on vaja paremat lahendust. Selleks on leiutatud krüpteerimine ehk lihtsamalt öeldes salakeel.

Turvalise, krüpteeritud ühenduse loomiseks vahetavad veebileht ja sinu veebibrauser salakooditabeli. Matemaatiliselt on tegu keerulise lahendusega, kuid oluline on teada, et asi põhineb usaldusel. Usaldusel selles mõttes, et teie usaldate, kes on teiselpool. Näiteks peaksite endalt küsima, kas te usute, et olete ühenduses tõelise pangaga mitte „naabripoisi“ loodud veebileheküljega, kes on teie võrgujuhtme oma arvuti taha ühendanud. Kõlab ehk jaburalt, aga ega seda polegi võimalik tegelikult niisama lihtsalt kontrollida (meenutage uudiseid sellest, kuidas häkkerid on inimeste pangakontodelt raha välja petnud meelitades neid Hansapanga kodulehega väga sarnasel, ent tegelikult kurjategijate veebilehel pangakoode sisestama).

Vahendiks, mille abil veebikasutajad peaksid saama kindluse, et tegemist on õige veebileheküljega, on sertifikaadid. Need tagavad usalduse samal põhimõttel nagu raha. Igaüks võiks ju oma kodus trükkida mingeid rahatähti, aga rahana usaldavad inimesed riikide poolt väljaantud rahatähti. Sertifikaate, mida veebibrauserid (nagu IE või FireFox) automaatselt usaldavad, annavad välja maailmas vaid ligikaudu 50 eri firmat, ent üle poole turust kuulub ühele firmale, VeriSign (http://www.securityspace.com/s_survey/data/man.200704/casurvey.html andmetel, tütarfirmad kokkuarvestatult). Protsess näeks välja nii – lähete näiteks VeriSign kodulehele, avaldate sertifikaati ostusoovi, annate oma andmed (kes te sellised olete), VeriSign kontrollib, kas teie olete tõesti teie ja väljastab digitaalse sertifikaadi. Teie panete saadud sertifikaadi oma veebiserverisse ning brauserid avavad turvalise ühenduse teie veebisaidiga edaspidi probleemideta. Samuti võivad nad klõpsata sertifikaadi nuppu ja lugeda, kes on selle veebisaidi autor.

Konks ilusas skeemis on… raha. Nimelt on sertide turg üks väga kinnine moosipurk, klubi peamiselt USA-s tegutsevatest firmadest, kes ei taha uusi tegijaid teps mitte ligi lasta. Kui ma mõni aeg tagasi uurisin Eesti ID-kaartide sertifikaate väljastav AS Sertifitseerimiskeskusest, miks pole Eesti ID-kaart maailmas aktsepteeritud ega nemad Internet Exploreri või FireFoxi ega Adobe poole tunnustatud, siis nad vastasid, et tegu on neile rahaliselt üle jõu käiva liitumisprotsessiga. Nad ei ole firmana piisavalt suured, et täita kasvõi eelarve suuruse nõuet, et saada liikmeks. Vihje selle kohta, miks seda turgu nii kiivalt kaitstakse, annab külaskäik VeriSigni kodulehele – kiire surfamise käigus saan teada, et üks korralik veebisaidi sertifikaat maksab 995 dollarit ja kehtib see vaid ühe aasta.

AS Sertifitseerimiseksus pakub sama teenust tunduvalt odavamalt, 1500 krooni eest aastas (http://www.sk.ee/pages.php/02020401,39). See on odav ja hea alternatiiv, sest Eestis neid ju teatakse, kuid tõsi, veebibrauserid annavad ikkagi veateate…

Nüüd et enamus inimesi jätab ülaltoodud informatsioon sügavalt ükskõikseks ja klõpsatakse nagunii kiirelt nuppe arvutis, et vaid tülikast veateatest mööda pääseda, siis enamik väikefirmasid kasutab isetehtud sertifikaate. Ing. k. Self-signed certificate kohta saate täpsemalt lugeda siit (http://en.wikipedia.org/wiki/Self-signed_certificate). Neid saab luua igaüks, kes kasvõi Googlest leitud juhendis näpuga järge ajab ning maksma ei lähe see midagi. Sinna saab sisestada ka autori nime, kuid miski ei garanteeri, et te ikka õige nime sisestate.

Mille poolest on isetehtud sert halvem? Pealtkuulamise osas vahet pole, ühendus krüpteeritakse samal viisil. Vahel on selles, et võite sattuda võltsitud leheküljele ise sellest midagi teadmata. Ning ebamugavam on ka – veebibrauser hoiatab, et sisenete mingile „kahtlasele“ leheküljele. Teisalt ei toeta mina küll sertifikaadimonopoli nuumamist. Mingit kolmandat lahendust oleks vaja. Riik võiks näiteks oma käe alla panna, et mõni Eesti ID-kaardi sertifikaadid maailmas tunnustuse saaks. Või noh, piisaks kokkuleppest kolme firmaga – Microsoft, Mozilla ja Adobe. Idee valimisplatvormisk – „Meie lubame, et Microsoft hakkab Eesti ID kaarti tunnustama.“ ? 