Näide, et ajalugu areneb spiraali mööda:
1960-70 oli päris mitmeid arvutimudeleid, mis võisid süttida ja tekitada tulekahju
1980ndatel võis valesti termineeritud SCSI1 ahel süttida ja tekitada tulekahju
2025 on meil isesüttiv rtx5090
Ei näe lugeda, mis see on? 11/780?
DEC PDP-11
DEC RL02
On neil piltidel veel mingeid teisi tähelepanuväärseid seadmeid ja aparaate näha?
Kolin siia ühe Armetu Eesti Kaubanduse all hargnenud mõttevahetuse. Et AEK väga mööda ei triiviks:
“[quote=“Uiboupin-Toomas, post:1055, topic:29533”]
Ole hea ja tõesti hari. Et ta saab mul tule laes kustu keerata v pesupesemisest keelduda, see on häiriv, aga üleelatav. Kui nad panevad maja lukku v auto sleepi, siis natuke probleemsem jah. Aga kodumasinate osas…?
[/quote]”
Alustame sellest, et varastatakse seda, mis on väärtuslik. Meie puhul siis andmeid. Või ressurssi.
Võime julgelt aluseks võtta, et sõna otseses mõttes “kopikaid” maksev arvutikomplekt, mille võimekus ÜLETAB 1990ndate laua-arvuti töötulusvõimekust ja salvestusmahtu sadu kordi on võimalik suruda mõne ruutsentimeetrisele trükkplaadile. Seega, “ründaja vaates” meil ressursipuudust ei ole. Läheneme esialgu nii, et “mida tahame, seda teemegi”.
Meil on mingi “tark seade”, olgu või pesumasin ja me ühendame selle oma koduvõrku. Vähemalt keskmise kasutaja kodus on kõik “üks suur sõbralik LAN” koos on seal telekad, “targad” koduseadmed, mängukonsoolid, nutitelekad, digiboxid, laste mängu-arvutid ja tööläpakas kõik üheskoos.
Kuna “pahatahtlik seade” kutsuti ise üle läve (mäletate vampiiridele seatud piiranguid), siis tulemüürist meil suuremat tolku ei ole. Sest me oleme JUBA seespool perimeetrit.
Näiteid võimalikest rünnetest:
Esimese asjana võib selline pahatahtlik seade teha võrgu kaardistuse. Mis seadmed võrgus asuvad, mis opsüsteem, mis version, mis teenused kusagilt paistvad, mis seadmega on tegu.
See kaardistus rändab “häkkeri serverisse” kus AI analüüsib seda, koostab võimalike nõrkuste nimekirja ja võimalike rünnete paketi. Seda saab teha peaaegu täis-automaatselt. Hand-crafted on muidugi efektiivsem. Aga kui meil on kümnbeid tuhandeid potentsiaalseid ründe-objekte siis on “gatling gun” e. “shotgun” strateegia lihtsam ja odavam.
“Pahade” serveris pannakse kokku “ründepakett” – no näiteks “metasploit” baasil ja selle laeb “paha seade” endale alla ja kukub ketrama.
Palju polegi ju vaja. Olgu näiteks kusagil uuendamata nutitv või digibox, kust sa oled ostnud mõne “pey per view” filmi, seal on sinu krediitkaardiandmed ja …
Teine võimalik, lihtne ründevektor. Sinu “tark seade” toimib Zombina. Sinna istutatakse (või õigemini “tuleb juba tehasest”) pahavara mis võimaldab sinu välisühendust kasutada dDOS rünnete tegemiseks. Selliseid “bundleid” kus on üle võetud 10 000+ erinevate kodukasutajate arvuteid ja mida saab kasutada dDOS rünnete, SPAM saatmiseks, SCAM skeemideks, “vahehüppeplatvormina” oma jägede varjamiseks, mistahes muuks küberkuritegevuseks, Neid müüakse DarkWebis oksjonitel.
See on õigupoolest kõige lihtsam, ründaja jaoks ja üsna lukratiivne. Kasutada sinu identiteeti (sinu ühendust Interneti suunas) mistahes sigaduste tegemiseks ja jätta sulle (leping on sinu nimel) vastutus ja “meeldiv” võimalus tõestada, et sa pole kaamel ja ei proovinud “CIA severitesse sisse häkkida”.
Tehniline vahemärkus. Tulemüür töötab nagu märk SISSESÕIDU KEELD, mitte nagu märk LIIKLUSE KEELD. Seega, perimeetris SEES asuv seade saab ALAGATDA ühenduse väljaspoole. Algatada. Kord juba üles seatud “tunnel” on KAHESUUNALINE. Sealtkadu saab “väljast sisse” astuda. Ehk siis, kordan veelkord. “Vaenulik” seade sinu sisevõrgus, mis saab “seest välja” ühenduse algatada (ja 99.9% tavakasutaja koduvõrgus SAAB) tähendab "pärani ust vaenuliku seadme üle kontrolli omavale isikule.
Natuke keerukam rünne. Tehniliselt ei takista meid mitte miski ka üles seada “rogue AP” sinu SSIDd dubleerides. WiFI võrgud on nii ehitatud, et sama SSID kohates valib sinu seade tugevama signaali. Palju kodukasutajaid õieti tähele paneb et “koduwifi” on võrkude nimekirjas 2 korda esindatud. Edasi? Edasi saab pealt kuulata kogu WiFIst läbi käivat liiklust. Saab üles seada oma DHCP + DNS ja routeri ja suunata KOGU sinu sisevõrgus toimuv liiklus läbi oma seadme. (Jah, see eeldab juba veidi hand-crafitmist, aga on tehtav. ) Kui hoolega kammida, siis varem või hiljem MIDAGI ikka leiad.
Allikate mürgitamine. Kui juba KOGU võrguliiklus käib läbi “kurja seadme” saab mängida DNS nimelahendusega (DNS võltsimisest ma olen kusagil ülalpool kirjutanud).
Suunata sinu päringud kusagile “kuratteabkuhu”. Kui muud ei saa, siis Rove Digitali moodi “reklaamivahetusskämmi” ikka saab teha.
Sinu sisevõrku sokutatud “rogue” Wifi-pääsupunkt, DHCP + DNS server + marsruuter komboga saab teha uskumatult palju pahandust. Sisuliselt pea kõike mis “pähe tuleb” võrgukihis.
Ja muide, DNS-over-HTTP mida google ja firefox pakuvad, võib siinkohas osutuda hoopis turvariskiks. Sest… “tegin Internetilehitseja lahti ja kõik on korras”. Aga kõik muud öljard asja mis http(s) protokolli ja süsteemset DNS-i kasutavad???
Ja kui paljud meist “self signed certificate” hoiatuse peale päriselt ka vaatavad, et “mis värk õige on”???
Toomas, Ineterneti seeme pandi mulda 60ndatel. Avalikkuks sai see 1980. Juurteenused, näiteks DNS või NTP arendati siis välja. DNS muide on VÄGA HÄSTI LÄBI MÕELDUD ja SUUREPÄRASELT DISANITUD teenus. Aga see on 1980ndate tehnoloogia. Kõik, absoluutselt KÕIK võrgus oli “pimesi usalduse” peale. TLS/SSL, ssh, BGP, kõik krüpto ja võtmevahetuse ja turvalise identifitseerimise ja autentimise teemad on HILISEMAD nähtused. Ja DNS usaldusahel on väga palju hilisemast ajast ja see ei ole mass-kasutuses. 1980ndatel poleks ükski võrguseade võtmevahetuse-turvalise-serdiga-identifitseerimise-tugeva-krüptotunneli arvutuskoormust ka ära suutnud vedada. Väga Palju Raha oleks tulnud välja käia.
tl;dr;
Interneti alusprotokollid ja teenused on tehtud 20. sajandil “(pool)pimesi usalduse ja “walled garden”” “turva” peale. Kõik turva on hiljem selga isutatud nagu sadul seale. Turva ei ole ühtlane, ühetaoline ja kindlasti mitte “igal pool”
Isegi kui sinu “andmed” jalutama ei lähe, on sinu sisevõrgus olevat vaenulikku seadet võimalik kasutada muude küberkuritegude sooritamiseks anonümiseeriva “hüppeplatvormina”. Siin hakkab mängima “massiefekt”. 1-2 “üle võetud” võrku on nohu. 10 000 üle võetud koduühendust on PROBLEEM.
Ma nüüd lõpetan, muidu Ullar Pauk varastab siit selle teksti, kirjutab valesti ümber ja avaldab Digiretakas oma nime all. ![]()
Mina küberkuritegevusega ei tegele ja pole isegi mitte küberturbespetsialist vaid IT taristu spetsialist üldisemalt, aga kirjeldan lihtsat, primitiivset, robsutset, lollikindlat ründevektorit.
OLETAME, et ma tahaks oma jälgi kenasti peites mingi sigaduse korda saata. Ostan peotäie odavaid Android-TV pulki. Nende rootimine on käkitegu. Lisan sinna oma “äpi” mis peamenüüs kusagil ei paista vaid töötab taustal. Kõib näiteks kord tunnis kasvõi siinsamas, lhv foorumis mingit posti otsimas. Või Delfi kommentaariumis. Kui leiab “maagilise stringi” olgu selleks või “S33samAv4ne” algatab kusagile pilve tunneli ja kuulab seal nt. tunnikese või ootab “maagilist koputust”.
Pulgad jagan “tasuta asjade” FB grupis laiali või … viin kasvõi Pääsküla jäätmejaama tasuta asjade riiulisse või… neid variante kuidas nad uue omaniku leiavad, neid on küll ja veel.
KUI suur on tõenäosus, et “tasuta kommi” saanud kodanik taipab “factory reset” teha. Kaduvväike.
Pakun et hiljemalt nädalaga on mul “nii palju kui pulki jagasin, nii palju on “ownitud” koduvõrke”. Ja sealt edasi on “delo tehniki”. Halva fantaasia küsimus, mida edasi peale hakata.
NB! kui natuke disainiga vaeva näha, siis on täitsa võimalik sellele pulka minevale pahavarale sisee ehitada nii “self destruct” kui “jälgede peitmine” ja mine püüa siis tuult väljal.
Või täpsemalt “nõela heinakuhjast”.
Nüüdsest hakkame ministri jumalikul juhatusel “jõuga” inimesi optikaga liitma:)
"Kõige olulisem uuendus on aga see, et toetuse väljamaksmine seotakse otseselt tulemusega ja jaotatakse kolme etappi. Esimesed 30% toetusest saab ehitaja kätte alles pärast ehitusteatiste esitamist. Järgmise osa siis, kui pooled lubatud liitumisvõimalused on rajatud. Viimane ja kõige kaalukam osa makstakse välja alles siis, kui kõik lubatud aadressid on ühendatud ning mis peamine – prognoositud arv kliente on ka tegelikult võrguga liitunud.
Kui projekti lõpuks on liitumisvõimalus loodud vähem kui 90%-le plaanitud aadressidest või kui tegelike liitujate arv jääb prognoositule alla, kärbitakse toetuse suurust ühe aadressi kohta 30%. See on konkreetne sanktsioon, mis peaks panema ehitajaid senisest rohkem pingutama tegelike klientide leidmise nimel.
„Nüüd peab kaabliehitaja asja niimoodi läbi mõtlema, et kuidas ta jõuab reaalsete liitumisteni,“ selgitab Pakosta."
Mõistlik ehitaja tõenäoliselt lubab realistliku või siis pigem veidi väiksema reaalsete liitujate arvu ja võrreldes senisega ei muutu midagi. Aga millised loosungid…
Peab märkima, et Toomase (jt. teiste) tõstatatud probleem “mis nad kodukasutajale ikka teha saavad” ei ole uus probleem. See on, vastupidi, VÄGA VANA probleem. Kui “päris” Internets DSL ühenduste kujul 2K alguses Eestis massiliselt levima hakkas, siis ilmus sinna DSLide otsa, otse avalikku internetti ka massiliselt Win95 ja Win98 masinaid ilma igasuguse tulemüürita.
Olukord oli nii masendav, et isegi umblollidel “vinnilistel alaealistel skriptitattidel” koondnimetusega Aatiplex oli pidu. “Share Finder” ja edasijõudnumatel “Back Orifice”.
Anto Veldre jt. gurud rääkisid tõsimeeli “arvutijuhiloa” sisse seadmise vajadusest. Noh, et selleks, et üldse Inerneti püsiühenduse leping sõlmida peaks enne mingi minimaalsete turva-teadmiste testi tegema.
Probleemi juurpõhjus täpselt sama mis täna, 2025. Turvamata seadmetega “online” lennates ei ole sa ohuks mitte ainult Endale, oma isikuandmetele ja rahakotile - sa oled ohuks teistele!!! Pakkudes “malicious userile” toredat, anonümiseerivat ja/või “teiseks isikuks” kehastuda võimaldavat ründeplatvormi.
Ajad läksid edasi. MS tegi omajagu tööd aukude lappimisel, lisati soft-firewall, ISPd hakkasid ühendusi NATi ja tulemüüri taha pistma. Kasutaja jäi ikka täpselt sama kasutajaks. Vaatamata RIA ja co. pingutustele, tasuta koolitustele, kooliprogrammi sisse viidud Küberhügieeni tundidele (tänud, Birgy Lorenz, pingutuse eest) jne. On tase ikka umbes täpselt sama olematu.
Ja NÜÜD realiseerub sama oht teise ründevektori kaudu. “Targad Seadmed” mis uPnPga tulemüüri “auke puurivad”. Kurat teab mis teenusepakkuja portaalides ennast möllivad. Kurat teab kuidas (üldiselt ebaturvaliselt) ennast “kaugelt” äpi kaudu juhtida lasevad ja mille püsivara on kokku häkkinud pohmellis hiina IT tudeng 15 daalase päevapalga eest ja mis jätab kuulsa šveitsi juustu ja isegi sõelad “auklikkuse” poolest kaugele selja taha.
See “tark seade” tassitakse oma koju, sissepoole tulemüüri ja 20 aastat tootjate pingutusi ühes sektoris … VASTU MAAD. Plärts. “Pahatahtlikele” pakutakse uut platvormi massi-rünnete korda saatmiseks. Vana jama uues kuues ;(
Pildi teeb masendavamaks veel android platvormi “turvalisus” ja muude püsivarade mitte väga lihsate vahenditega avatavus. Kui koduarvuti+DSL kombo puhul oli ohtude kaardistamine ja riskide vähendamise võimaluste välja pakkumine täitsa keskmise spetsialisti pädevuses, sest süsteemi “kõhtu” oli “minigusugunegi” ligipääs olemas, siis “tarkade seadmetega” on lugu keerulisem.
Jah, neile saab KA ligi, aga selleks, et teada saada, mis “karu kõhus” toimub, on vaja hoopis kõrgema taseme spetsialisti. Tavakasutaja jaoks on see seade “lukus”. Keskmise “windowsiguru” jaoks on see ka “must kast”. Aga mis siis kui pahavara on sinna paigaldatud juba tehases??? Mis siis kui pahavara pannakse sinna “intentionally” ja siis jagatakse second hand turul (nagu ma eelpool kirjeldasin ühte võimalikku ründevektorit). Aga mis siis, kui tootja lihsalt ei lapi “auguga teenust” ära…
Offf, head loengud. Nüü palun koosta ka nimekiri nippidest, kuidas võimalikult palju enda seadmeid kaitsta.
Parim “vinnilise teismelise” nali oli, et ShareFinder" sai kirjutatud qBasicus ![]()
Kas mitte siiski Microsoft Visaul Basic mingis kompileeritavas versioonis ei olnud? EXE kujul ta igatahes levis. Miks oli vaja mitmekümne-megabaidist monstrumi, kui sama töö teinuks ära pisike .CMD fail tsükli, ping ja nbtstat utikaga… no nii kilobaidike ehk kokku. Mina ei tea.
60-100k oli. Käivitatud dosi käskude väljund ,mis netti haldasid, sai tuimalt tekstifaili saadetud, kust siis programm vajaliku välja sõelus ja edasi tegutses.
CMD oli NT masina shelli jaoks. Dos ja Windows 95 majandas .bat failidega. Lisaks tuli kurja vaeva näha, et nendele masinatele üldse mingi võrgutugi külge saada. Qbasicul polnud üldse mingit võrgutuge IIRC. Nii et ju see mingi Visual Basic oli.
DOS ja Win 3 vajasid eraldi, kolmanda partei TCP/IP pinu paigaldamist (a la Trumpet Winsock). Sellest oli siinsamas teemas eelpool juttu. WfW 3.11 viimastele “reliisidele” lisati tasuta add-on kujul TCP/IP tugi. Win95 esimene ja “paljas” versioon, mitte OSR2 ei sisaldanud samuti TCP/IP tuge “karbist võttes”. Installika kõhus oli kaasas ja tuli eraldi paigaldada. OSR2 reliisis oli juba vaikimisi eel-paigaldatud.
Muide, ka NT 3.51 “installika kõhus” oli TCP kaasas aga vaikimisi seda ei paigaldatud.
Võrgukaardi tüürelite tõmbamine ja siis teises arvutis flopile panemine oli veel omaette tore disku.
Muide, mul on siiamaani alles 2 karpi flopisid kõikvõimalike ne2k, rtl8…, 3Com, Intel jne draiveritega DOS+Win311 ja Win9x tarbeks.
Ma mäletan, et mingeid ulme-häkke sai ka vahel tehtud. Mingeid NT4 draivereid 2K peal tööle vägistatud ja muud sarnast. Mingit “musta maagiat” nende INF failidega tehes olid MINGID tüürelid “ise porditavad” mingi teise win versiooni peale. Juhul kui tootja ei suvatsenud sinu lemmik Win versioonile espetsiaalselt tehtud tüürelit pakkuda.
Kuna riiulil ootavad järjest 386, 486, Pentium 120, K-6 2 ja P2 400, siis varsti saab ehk seda diskut DOS, Win3.11, Win95, Win98 ja OS/2 Warp maailmas jälle meelde tuletada.
Ja muidugi debianid potatu ja woody, ei maksa ka neid unustada ![]()
Aitäh hea sõna eest. Tegelikult on kõige lihtsam nipp sama mis saatanaga lepingute sõlmimise suhtes – DONT!!! On sul ikka päriselt ka vaja Interneti-võimelist külmkappi, mudaodavat saast androidupulka, tundmatu-hiina-tootja marsruuterit, WiFiga pesumasinat. Ikka päriselt päriselt. Pealegi “tark” on nagu AI… seda topitakse mõttetult igale poole, sinna kuhu ON vaja ja sinna kuhu üldsegi vaja EI OLE. (ja paljudesse kohtadesse kuhu oleks vaja/võiks toppida, jällegi ei topita). Pole turvaauku, pole probleemi lappimise või kinni toppimisega.
Olevipoeg, see oli win98 tuleku järgne aeg. Dosi all olid käsid olemas.
Üks hea nipp on wifi jaoks eraldi võrk teha kodus ja hoida seda lahus kaabliga seadmete võrgust. Selliseid koduruutereid peaks nagu leiduma küll, mis seda teha võimaldavad.
Teine nipp on kasutada interneti teenusepakkuja DNS serverite asemel mõnda muud, mis filtreerib välja ebaturvalised domeeninimed. Näiteks Quad Nine.
Kolmas nipp on harida oma pereliikmeid maast-madalast, et nad igasugu mõttetutele linkidele ei klikkaks ega igasugu jama oma arvutisse ei paigaldaks. Teismelised mängurid on eriline oht.
Ükski meede ei taga loomulikult turvalisust 100%.
Tegelikult on sul vaja ikka umbes 3 WiFi võrku. Selle jaoks on 802.1Q
- “keskmine turvaklass” – olulised asjad
- Opossumid – mängukonsoolid, laste arvutid, TV, BR, stereo jms,
- Külalised
Ja natuke pikem vastus. Ma aitaks, kui ma saaks, aga ma EI SAA. Iga tootja seadmed, kasutajaliidesed ja võimalused on “oma nägu”. Mingid üldsemaid turva-meetmeid saab muidugi soovitada, aga EITS ja selle eelkäia ISKE on selle koha pealt ka täiesti pädevad ja absoluutselt rakendatavad ka “targa kodu” ja “koduvõrgu” kontekstis.
Ja siit tuleb PROBLEEM… nende meetmete implementeerimine on keerukas. Ja kuna igal tootjal on oma “nägu” ja mõnedel suisa tootja-põhised mitte-standardsed protokollid kasutusel, siis eeldab sellise võrgu turvamine üsna põhjalikke alusteadmisi. Alusteadmisi, mida kodukasutajal ei ole. Alusteadmisi mille rakendamise eest tuleks ebamõistlikult palju raha välja käia.
Meta-Probleem on ka. Paljud tootjad viskavad Seadmele[tm] mingi suvalise veebiliidese külge ja “käib kah”. Ei käi!!! KASUTATAVUS. Graafilise Kasutajaliidese mõte on selles, et ta ABISTAB kasutajat mõista, mida too peaks tegema. Tegema “keerulised asjad lihtsaks”
Näide:

Päriselt ka, eeldame, et “keskmine arvutivõhikust kodukasutaja” siit midagi aru saab?
Või siit:
HEA kasutajaliidese tegemine ja UX testimine on vääääääga kulukas lõbu.
Enamasti kukutakse kas sinna äärmusesse, et kõik on ülimalt kirju, miljon optsiooni ja need on üsna ebaloogiliselt grupeertitud või tehakse “Nagu Huawei”. 99,9% asjadest mida see purk VÕIKS osata teha on liideses lihsalt implementeerimata.
Vot selle pärast olekski IMHO vaja EU-STANDARDI, mis veidi standardiseeriks
Ma võin ju servast minna “turvalise nutikodu” võrgu eihtamine teemasse, aga kohe pab hakkama kasutama koledaid sõnu PKI, ACME, AAA… jne. Ei taha!
Standardnõuded, mis VÕIKS IMHO olla EUs kehtestatud
- Meil on keskne, lihsalt hallatav “usalduspunkt” (implementatsiooni detailid jätame kõrvale) (tehnilises slängis PKI second tier CA ja AAA)
- Kõik uued koduvõrku ühendatavad seadmed möllitakse “kohaliku usaldusahela” tipus (võimalik, et suisa digiallkirjaga kinnitades, siis jääb tootjale ka veidi taganemisruumi)
- Enne “usaldusahelaga liitmist” ei liigu mitte üks bitt mitte üheski suunas
- EU pakub oma kodanikele “usaldusahela teenust” (CA). Noh, nii nagu täna on meil SK. Mis on küll eraettevõte. Kas see peaks olema riiklik moodustis või ostetakse CA teenus sisse, delo tehniki. Meil on, kurat võtku, 21. sajand. Seega peaks sertifikaatide usaldusteenus olema sama elementaarne riiklik teenus nagu emaksukas, kiirabi või üldharidus.
- Meil on EU keskne andmebaas, kus tootjad registreerivad “välised otspunktid” kuhu nende seade võib kodust välja ühenduda. Kusagil on “whitelist” mida kodukasutaja marsruuter saab perioodiliselt uuendada. Kui sind “whitelistis” ei ole, siis “õue” ei saa. Punk! (see tähendab, et halduskoormus ja eurokraatia jääks tootja kanda)
- AAA ja PKI teenus on “delegeeritud”. Kohalik otspunkt ei vaja riiliku teenuse “püsti olekut” 24 7 vaid suudab toimida autonoomselt.
- EUs müüdavad marsruuterid on juba vaikeseades selle “whitelist” süsteemiga ühendatud.
- Ääremärkus AAA kohta. “Rong” on natuke juba läinud. Meil on “microsofti konto” ja “google konto”. Identfitseerimine-Autentimine-(Autoriseerimine). Mõtleme nüüd peaga, korraks. Eesti vabariigi kodanikele, kes on laiemast perspektiivis EU kodanikud, pakuva AAA teenust üsna suvalised USA ettevõtted. WÄT. Ja üks neist (teate isegi kumb) PRESSIB seda AAA teenust väga agressiivselt jõuvõtetega peale. Päriselt, kas teile ei tundu sellel pildil midagi Väga Valesti???
- TPM, UEFI… parem ärge tõmmake mind üldse käima.
Kas see tõstaks sedamete hinda. KINDLASTI. Aga kui arvestame massi-efektiga a la Samsungi, siis võiks see koormus olla marginaalne, tootjale ja jaotuda vägavga paljude klientide vahel.
EU saaks tootjatele pakkuda valmis standardi (tootja vaates) MIS nõuetele peavad seadmed vastama. See teeks tootja jaoks implementatsiooni samuti odavaks ja mugavamaks.
On muidugi veel asju, mida peaks silmas pidama, aga ega ma siia teile turva-õppekava bakatööd ei hakka kirjutama (ja kesse viitsiks seda ka lugeda).
tl;dr AAA - Identifitseerimise-Autentimise-Autoriseerimise teenus tuleks tuua LÕPPKASUTAJA KOJU… läbi delegatsiooni mudeli kus kõrgema kihi AAA on EUs kas riiklik või riigihankega soetatud teenus.
Usaldusahela teenus tuleks tuua “kasutaja koju” “intermediate” kihti. Usaldusahela tipp on EUs kas riiklik või riigihankega soetatud teenus.
Neile, kes EU-d usaldusahela tipuna ei usalda peab olema jäetud võimalus terve ahel koos delegatsioonidega ringi tõsta.
Kõik koju tassitavad “targad seadmed” peavad olema võimelised usaldusaehlaga liituma (muidu neid üldse EUs müüa ei lubatagi), saavad võrguühenduse AINULT siis kui nad on usaldusahelas ja autenditud-autoriseeritud. Ja müüa tohib AINULT selliseid “tarku seadmeid” mis suudavad oma põhifunktsooni täita ka ilma igasuguse võrkuühedamiseta.
Tehniliselt on see kõik tehtav. Tehniliselt tänu massi-efektile per-ühik hind tõuseks marginaalselt. Puudu on vaid tahtmisest ja ARUSAAMISEST miks see on vajalik. Eriti viimasest, sest prioriteet on ju “p2p chatis on peduviilid ja rahapesijad” pandke nad kinni!!!
Tehnika lippab eest. Regulatsioon roomab 20-40 aastat aegunud tasemel. Eraettevõtetele on see võimalus hallil alal asuv “auk” täita (ja oma taskuid unustamata). Minu riik, hallooo? Mida sa teed nende riskide leevendamiseks? Minu Unioon, hallooooo? Miks ma ei näe riskide leevendamise meetmeid?
Must Stsenaarium: OLETAME, et homme tuleb tõsisem tõrge “Microsofti kontosid” teenindava pilvega. MIS SAAB? Umbes 50% Win10 kasutajatest ja Win11 kasutajatest valdav osa ei saa oma seadmesse sisse logida. (No, ok saab, MS on väikese fallbacki sinna jätnud) aga JAMA on kõvasti.
Ja nüüd mõtleme – kas stsenaarium kus ühe inimese võimalus OMA seadet kasutada sõltub mingi suurfirma suvast ja tema taristu tomimimisest – ON SEE NORMAALNE?!?
külalised…
kas eestis on veel “külalisi” kes muidu külla ei tule kui seal wifi vörku ei pakuta… ?!?
Turvalisuse ABC algab sellest küsimusest, et kas asi peab olema internetis või ei pea.
Võib-olla turvakaamerate puhul on see küsimus kõige parem. Jah, kaugelt sisse logida ja reaalajas pilti vaadata on üks mugavus, aga kui eesmärk on salvestada ja hiljem tuvastada kahtlast liikumist, siis võib olla piisab ka sellest, et salvestatakse lokaalselt.
Asjad, mis ei ole võrgus, ei ole kaugelt rünnatavad.
Võib-olla tundub kiviaegne mõtteviis, aga nii vähendad ka riskide hulka, mida pead IT turvameetmetega maandama.
