Paroolimurdjate edu sunnib kavalamaid salasõnu kasutama
Kas olete näinud tehnikauudiste lühinuppude rubriigis järjekordset teadet, et veebilehelt X varastati miljonite inimeste isikuandmed? Või lugenud uudisteportaalist, kuidas miljonid paroolid riputati avalikult võrku? Kui teile tundub, et selliseid teateid ilmub üha sagedamini, siis on teil õigus. Auklikult ehitatud internetilehed ja pea üleöö „demokratiseerunud” paroolide lahtimurdmise tehnikad on loonud olukorra, kus parooli kaitse on nõrgem kui kunagi varem.
Dan Goodin väljaandest Ars Technica märgib muutuste algust aastaga 2009, misjärel pole maastik enam endine. Toona murti lohakalt turvatud andmebaasi tõttu sisse populaarsesse võrgumängu portaali RockYou.com. Ettevõttele oli see valus hoop, veel tänavu pidi RockYou hooletuse eest USA valitsusele kohtukokkuleppe raames maksma veerand miljonit dollarit, kuid palju tõsisem kahju tekkis internetikasutajate turvalisusele. Nimelt said ründajad RockYoust kätte 32 miljonit parooli, mis ei olnud krüpteeritud või muul moel peidetud. Need 32 miljoni kasutaja paroolid andsid enneolematu seemne järgnevaks õitseajaks, kui paroolide murdmisega saab hakkama iga nutikam koolipoiss.
Paroole kogutakse
Varem pidi paroolimurdja oma fantaasiat kasutama ja selle abiga kombinatsioone proovima. Millest võiks kasutaja parool koosneda – mõni sõnastikust pärit sõna, numbrijada? RockYou leke, millest korduvate kirjete eemaldamise järel jäi järele 14,3 miljonit parooli, andis aga meeletult suure andmekogu päriselt kasutusel olevate reaalsete inimeste paroolidest. Algas RockYou paroolide analüüsimine ja töötlemine, mis andis arusaamise, kuidas inimesed tegelikult oma paroole valivad. Selliselt lekkinud või varastatud paroole levitatakse vabalt ligipääsetavatel lehekülgedel ja foorumites. Tulemusena on kasvanud paroolide murdmise üleüldine oskustase nii pahatahtlike häkkerite seas kui ka nn heade poolel, kes töötavad turvasüsteemide testimisega.
RockYou paroolide põhjal sai juba valmistuda järgmiste lekkinud või varastatud paroolide lahtimurdmiseks, isegi kui need olid krüpteeritud või räsitud (vt graafikat). Tulemuseks on lumepallina kasvav reaalsete paroolide kogum. Infoturbe konsultant hindas Ars Technicale, et kokku võib olla kogutud juba 100 miljonit parooli, mida järgmine kord ehk järgmise internetikeskkonna lekke puhul on lihtne lahti murda.
Kui lihtne? Sel suvel teatas ka eestlaste seas populaarne tööalane sotsiaalvõrgustik LinkedIn, et nende süsteemidesse on sisse tungitud. Sissetungijad avaldasid 5,8 miljoni kasutaja paroolid, mille LinkedIn oli turvalisuse nimel räsinud. Kuid tänu varem kogutud lahtimurtud paroolidele suudeti tervelt 90 protsenti kõigist paroolidest lahti murda vaid kuue päevaga!
Peale paroolikogumite on „demokratiseerunud” ka arvutite tehniline tase. See tähendab, et pea igaühele taskukohase hinnaga on võimalik soetada arvuti, mis suudab paroole lahti murda sama võimsusega, milleks veel kümme aastat tagasi läks vaja superarvutit. Võtmesõnaks on graafikaprotsessorid: need tuksuvad arvuti tavalise protsessori kõrval üldjuhul selleks, et näidata võimast 3D-graafikat. Kuid huvitava kõrvalnähuna on need ka äärmiselt efektiivsed kombinatsioonide läbiproovimisel. Mullu postitas India entusiast Vijay Devakumar oma blogisse näidise, kuidas paarisajaeurose ATI Radeon 5770 graafikakaardiga proovida paroole 3,3 miljardit kombinatsiooni sekundis. Sel suvel välja tulnud veidi kallim Radeon HD7970 kaart lubab lausa tempot 8,2 miljardit parooli sekundis!
Mõlemad nimetatud trendid teeb omakorda ohtlikumaks asjaolu, et keskmine internetikasutaja teeb üha enam kontosid eri keskkondadesse. Rohkem kontosid peaks tähendama rohkem erinevaid paroole, kuid inimvõimetel on piirid. Experian tegi tänavu Suurbritannias esindusliku uuringu, mille põhjal on keskmisel britil 26 erinevat kontot internetilehtedel või -teenustes, kuid kokku on tal vaid viis erinevat parooli. Koos paroolide kroonilise taaskasutamisega ei kipu inimesed ka vanu kontosid sulgema, kuigi neis on väärtuslikke isiku- või finantsandmeid.
IntervjuuAnto Veldre: digitaalses aedikus polegi võimalik turvaliselt hakkama saada
Hans Lõugas
tehnoloogiaajakirjanik
Riigi infosüsteemi ameti infoturbeeksperdi Anto Veldre sõnul on maailmas üha rohkem ebaturvalisi internetikeskkondi ja -teenuseid.
Häkkimis- ja sissemurdmisuudiseid lugedes jääb tunne, et paroolide turvalisus internetis praegusel ajal on üha väiksem – üha suurem on tõenäosus, et paroolid murtakse lahti.
Laiemalt võttes on tegemist autentimisega. Kuidas üldse suudab üks inimene (arvutikasutaja) arvutile tõestada, et see on just tema ja mitte keegi teine? Klassikaliselt tehakse seda nii, et arvuti ja inimene n-ö lepivad omavahel kokku kaks asja: kasutajanime ja parooli. Kasutajanime tohivad teada kõik (või paljud), parool aga on midagi, mis peab rangelt jääma selle inimese ja konkreetse masina/süsteemi vaheliseks saladuseks.
Saatan on peidetud pisiasjadesse. Et tänapäeval oma eluga hakkama saada, tuleb igasuguseid paroole ja PIN-koode meeles pidada 15–20. Nende mahakirjutamine on reeglitega keelatud, mälu aga hakkab streikima inimesest olenevalt kusagil 7–12 parooli kandis. Siis asub inimene sohki tegema, eelkõige samu paroole taaskasutama. Osa süsteeme sunnib paroole perioodiliselt muutma näiteks iga kolme kuu tagant, mis hägustab pilti veelgi.
Lääne traditsiooni kohaselt piinab iga arvutisüsteemi omanik vaest inimest omaenda jäikade paroolireeglitega. Üksikult võttes on kõik kena ja mõistlik, kuid kogupilt läheb hapuks – 20–30 parooli kindlasti peas ei püsi.
Eesti oludes saab vähemalt poolest probleemist lahti ID-kaardi kasutamisega. Siiski, ka siin on omad miinused – väheneb privaatsus. Igal mugavusteenuse osutajal (näiteks Tallinna ühissõidukisüsteemil või mupol) ei ole tegelikult vaja sõitja isikukoodi ja täisnime teada. ID-kaardi kasutamisel see aga paratamatult juhtub.
Kokkuvõttes on esmaseid rünnakuvektoreid kolm: esiteks, kehvasti ehitatud süsteem, kus paroolid on lahtise tekstiga kirjas või kust parooliräsid n-ö läbi imbuvad. Mõne teenuse puhul liigub parool (või parooliga hangitud sessioonipilet) siiamaani lahtiselt üle võrgu, nii et seda saab „pealt kuulata” (FireSheep). Teiseks, kehv süsteem, kus lubatakse järjest rohkem kui kolme parooli proovida (ja süsteem ei lukustu). Kolmandaks, kehv kaitse kasutajaarvutis – pahavara saab sealt parooli kätte „pealtkuulamisega”.
Teise ringi rünnakuvektor tekib seetõttu, et kõrvalistel isikutel moodustub suur pilt kasutaja kommetest ja harjumustest: inimene kasutab korduvalt kasutajanimesid ja/või paroole – igas keskkonnas sama või ainult pisut erinev komplekt. Teiseks, paroolid on toore jõuga lahtimurtavad – pätid kannavad juba aastaid laptop’is kaasas 50 miljoni sagedasema parooli räsitabelit. Sellise varustusega on parooli murdmine vaid sekundite küsimus. Kolmandaks, inimene ise ei täida nn hügieeninõudeid, näiteks antakse partnerile oma Facebooki parool.
Kas olete nõus hinnanguga, et keskmise internetikasutaja parooliga kaitstud andmed (nt sotsiaalvõrgustiku konto, e-postkast, netimängu keskkond) on rohkem ohus kui kolm aastat tagasi? Millest selline muutus?
Mina näen tendentsi, kus erafirmad, kasutades söödana inimhinge nõrku kohti (tunnustus- ja suhtlusvajadus), asutavad üha enam keskkondi, mille tegelik ärimudel on hoopis isikuandmete korjamine, süstematiseerimine ja müük. Esmalt peaks inimene põhjalikult järele mõtlema, millist infot enda kohta internetis jagada.
Kapitalistlikus ühiskonnas on ülim aade raha teenida. Kui seadused inimest ei kaitse, siis on inimene suurkapitali ees kaitsetu. Inimest vaadeldakse topisena, ta tiritakse ahvatluste ja meelitustega järjekordsesse keskkonda, pressitakse temalt välja võimalikult palju andmeid, agregeeritakse need kommertseesmärgil… Kuid kui süsteemil puudub tõhus kaitse (ja sageli see puudub), siis on sealne andmestik magus saak ka häkkeritele.
Paraku jääb lihtinimese teadlikkus oluliselt maha igasuguste nuhkimis- ja petuskeemide arengust, mis tähendab, et enamikul juhtudel saab inimene järjekordse värvilise lisaväärtuskeskkonnaga taas kord petta. Inimesed pannakse olukorda, kus neile täit tõde ei räägita ning kus (keskmise inimese teadmistega) polegi võimalik turvaliselt hakkama saada. Seda lõksu nimetatakse digitaalseks aedikuks. Parooliprobleem on digitaalse aediku murede kõrval alles teisejärguline, kuigi oluline.
Lõpuks – maailmas, kus kõik arvutid on omavahel ühendatud, ei saa varsti enam jätkata viisil, kus kasutajatele muudkui visatakse näkku tooreid ebaturvalisi tooteid ja pruugitakse kasutajaid tasuta tööjõuna nende toodete beetatestimisel. Võib ette näha, et tarkvara kvaliteet peab lähema 10–15 aasta jooksul suurusjärkudes tõusma ja et valitsused teevad selle nimel lausa seadusi.
Ühe tavalise kasutaja esimene reaktsioon on: kes minu parooli ja kontot ikka himustab? Kuivõrd on Eesti internetikasutajal põhjust muretseda mingite tundmatute häkkerite pärast?
Identiteedikuriteod on kõige koledamad asjad üldse. „Ärapätsatud” kontot saab kasutada inimestega suhtlemisel ning selle kaudu punuda skeeme, mis toovad sisse tuhandeid eurosid. Sissemurtud arvutit saab kasutada nn sillapeana – selle kaudu levitada rämpsposti, nakatada räige pahavaraga. Ülevõetud identiteeti saab kasutada sõpradelt raha küsimiseks, neile reklaamikirjade saatmiseks, kuriteo sooritamiseks. See on umbes nii, nagu keegi poeks sinu nahka ja käiks sinu näo ja nimega linna peal vargil. Pärast on väga raske politseile selgitada, et see ei olnudki mina, kes lastepornot tiris, presidendile sõimukirju saatis, netipoodi sisse murdis, ausõna
peale laenu võttis või „näoraamatus” töökaaslasi sõimas.
Millised kolm nõuannet annaksite keskmisele arvutikasutajale isikliku paroolipoliitika jaoks?
1. Nõuded parooli sisule: 8–9-tähelised paroolid on täna juba edukalt murtavad. Tuleb leiutada midagi pikemat. Parool peab olema piisavalt juhuslik ja äraarvamatu – see ei tohi sisaldada inimese või looma nimesid, autonumbreid, sünnipäevi vms. Parooli murdmine tuleb teha raskeks, pikkides sellesse juhuslikes kohtades numbreid, suurtähti ning kirjavahemärke. Paroole tuleb meeles pidada mälunippide abil.
2. Taaskasutuse keeld – mitte kunagi ei tohi sama parooli uuesti pruukida üheski teises keskkonnas. Miks? Sest kui murtakse üks, langevad doominona ka kõik teised kontod. Samal põhjusel ei tohiks lubada automaatset sisselogimist, paroolide meeldejätmist, automaagilist ristautentimist (FB õigustega Twitterisse või Eesti Päevalehte) ega muud säärast. Mugavus ja
turvalisus on sageli pöördvõrdelised nähtused.
3. Jagamise absoluutne keeld. Erinevalt lääne tavadest ei tohiks Eesti e-kultuuris isegi lapsevanem oma lapse parooli nõuda (see õpetab lastele väga väära suhtumist oma paroolidesse).
Eesti oludes on meil unikaalne võimalus kasutada ID-kaarti. See on igal juhul turvalisem kui tavaline parool.
Anto Veldre on tegelenud interneti turvalisuse teemadega juba interneti algusaegadest peale. Ta on kogunud teadmisi ja kogemusi mitmest eluvaldkonnast, olnud arvutiõpetaja, võrguedendaja, firma IT-juht ning infoturbejuht finantsasutuses. Nüüd teenib Veldre taas riigileiba – RIA-s infoturbeeksperdina, jutlustades internetiohte Eesti omapära võtmes.
SoovitusParoolihalduse tarkvara
Ühe ideaalse parooli, mis oleks umbes kümme tähemärki ega sisaldaks isikuandmeid vms, võib veel välja mõelda, aga kindlasti on seda raske teha, kui kontosid on mitukümmend. Siis tuleb appi paroolihalduse tarkvara, mis aitab paroole meeles pidada, vahetada, automaatselt sisestada. Neid on saadaval nii tasuta (LastPass, KeePass) kui ka tasu eest (RoboForm Everywhere, Kaspersky Password Manager, 1Password) ja parimad neist toetavad nii Windowsi, Maci, Linuxit, iPhone’i kui ka Androidi.
Hans Lõugas, tehnoloogiaajakirjanik
