Viimasel nädalal on minuni jõudnud teadmised päris tõsiste turvaaukude kohta. Ning kõige üllatavam on see, et ma poleks oodanud nende ilmemist sellistes kohtades.
Esimene on siis ülemaailmset tähelepanu köitnud Mozilla Firefoxi laiendus Firesheep, mis laseb paroolita wifi võrkudes (muul juhul ohtu pole) mõne klikiga pääseda ligi selliste saite nagu näiteks Facebook, Twitter, Wordpress, Windows Live, Google jne. kontodele. Samuti on kuulduste järgi ka mitmed eesti sotsiaalsed saidid samamoodi haavatavad. Kasutades iidvana koodijuppi pääsetakse ligi võrgus sisselogitud kasutajate küpsistele ligi ja kasutatakse neid. Valmiskirjutatud laienduse tõttu saab sellega hakkama iga minimaalse arvutikasutuse oskusega inimene. Minu seisukohalt väga vägev viis tõmmata tähelepanu puudustele ja laiskusele, mida veebisaitide omanikud on püütnud vältida/peidus hoida. Lahendus on iseenest lihtne: on vaja kasutada krüpteeritud HTTPS protokolli (see sama, mis näiteks internetipankades). Soovitan lugeda laienduse autori blogist. Seal on välja toodud eesmärgid ja järgnenud üldsuse vastukaja.
Lahendus: Liigu virtuaalsest sotsiaalvõrgustikust tagasi pärisellu või kasutada mõnd lisa, mis sunnib lehekülgi suhtlema HTTPS kaudu. Näiteks Force TLS FF jaoks.
Teise turvaaugu pärast olen ma eriti pettunud. Suure hurraaga reklaamitud ja meeletu rahastusega ID-kaardil on veel turvaauke. Kui 2002 saadeti ID-kaardi paroolid (PIN-id ja PUK) ümbrikus, mida oli võimalik laualambiga läbivalgustada ja koodid vabalt välja lugeda, siis nüüdne probleem on seotud ID-kaardi tarkvaraga. Täpsemalt on see seotud ametliku ehk AS Sertifitsserimiskeskuse poolt arendatud tarkvaraga. Suvaline sait saab lugeda ID-kaardilt nime ja isikukoodi. Seda probleemi saab vaadelda lehel: http://id.anttix.org/leak/leak.html.
Lahendus: Külastada tihedamini pangatellerit ja vedada end valimiskasti juurde või kasutada vabatahtlike poolt edasi arendatud (turvalisemat) tarkvara.
0 kommentaari:
Postita kommentaar