IT-turvarisk
Sellenädalaseks ülesandeks on analüüsida mõnda turvariski ja turvaekspert Kevin Mitnick-i "valemi" kolme komponendi (tehnoloogia, koolitus ja reeglid ) pakkuda võimalusi selle maandamiseks. Minevikule mõeldes pole kordagi suutnud "astuda reha otsa" ja sisestada oma andmeid mõnele võlts- või petusaidile, Nigeeria printsiks pole ka mahti pürgida olnud ja lunavarast olen ka pääsenud. Kuid üks asi millest ma pääsenud pole, on ettevõtete ignorantsus kasutajate tundlike andmete säilitamisel.
Kes IT-maailmaga kokku puutunud on, teavad et kasutajate paroole ei tohiks salvestada tavateksti kujul. Soolatud ja mitme(tuhande) kordselt hashitud parool tagab, et isegi kui andmed "rändama" lähevad ei saa neid mõistliku aja jooksul lahti murda. Tavateksti kujul pole pahadel tegelastel midagi lisaks vaja teha, saavad igale poole sisse, kus on kasutusel kättesaadud kasutajatunnus ja parool. Kuna inimesed on üldjuhul laisad ja kasutavad paljudes kohtades samu sisselogimis andmeid (siinkohal olen ka ise süüdi), siis saab nendega palju kurja teha. Ja seda viga on lähiajaloos teinud ka maailma mõttes hiiglaslikud ettevõtted, kellel peaks olema piisavalt ressurssi, et seda vältida.
Üritame nüüd Mitnick-i valemi järgi seda parandada:
Kes IT-maailmaga kokku puutunud on, teavad et kasutajate paroole ei tohiks salvestada tavateksti kujul. Soolatud ja mitme(tuhande) kordselt hashitud parool tagab, et isegi kui andmed "rändama" lähevad ei saa neid mõistliku aja jooksul lahti murda. Tavateksti kujul pole pahadel tegelastel midagi lisaks vaja teha, saavad igale poole sisse, kus on kasutusel kättesaadud kasutajatunnus ja parool. Kuna inimesed on üldjuhul laisad ja kasutavad paljudes kohtades samu sisselogimis andmeid (siinkohal olen ka ise süüdi), siis saab nendega palju kurja teha. Ja seda viga on lähiajaloos teinud ka maailma mõttes hiiglaslikud ettevõtted, kellel peaks olema piisavalt ressurssi, et seda vältida.
Üritame nüüd Mitnick-i valemi järgi seda parandada:
Tehnoloogia
Nagu ka enne mainitud sai, siis siin on üks konkreetne parandus: "just-don't-do-it". Ehk mitte mingil juhul ei tohiks paroole plaintextina salvestada. Krüptograafiliste funktsioonide tugi on pea igas programmeerimiskeeles olemas, implementeerimine käib lihtsalt ja ühtegi miinust ei tohiks asjal olla. Ausalt, isegi natukene on parem kui mitte midagi.
Koolitus
Ettevõtte arendajatele tuleks teha koolitusi, et nad saaks aru kuidas täpselt krüptograafia andmeid kaitsta aitab ja millised on parimad tavad. Umbestäpselt võivad kõik ju teada mis see krüptograafia on ja kuidas see käib, kuid sügavam mõistmine selle mehhanismidest ja metoodikatest tuleks kasuks.
Reeglid
Ettevõttes võiks paigas olla omad kindlaksmääratud reeglid, mis määravad ära minimaalse turvalisuse taseme projektides. Ehk kui oleks igale projektile algusest peale ette nähtud vaikimisi turvastandard, siis see võiks vähendada algsest prototüüpimisfaasist kaasalohisevat ebaturvalist andmete salvestussüsteemi.
Kindlasti pole see tegelikult nii laialtlevinud probleem kui tundub, aga kuna antud juhul pole vaja et kasutaja üldse midagi valesti teeks ja näiteks oma rahast ilma jääks, siis tasuks suhtuda sellesse täie tõsidusega. Kasutaja õnneks hakatakse aina enam pakkuma võimalust 2-facto-authenticationi jaoks, mis võiks muret sellega kõvasti vähendada.
Comments
Post a Comment