2004-12-14

Personaalarvutid turvaliseks

Originaalartikkel: Safe Personal Computing
Bruce Schneier
Tõlkinud Peeter P. Mõtsküla

Sageli küsitakse minult, mida saab keskmine internetikasutaja oma turvalisuse tagamiseks teha. Mu esimene vastus on tavaliselt "Mitte midagi -- sa oled omadega pees."

Aga see pole tõsi ning tegelikkus on märksa keerulisem. Sa oled omadega pees, kui sa enda kaitsmiseks midagi ette ei võta, kuid on hulk asju, mida tehes sa saad oma e-turvalisust parandada.

Kahe aasta eest avaldasin ma PC turvasoovituste nimekirja. Mu idee oli anda kodukasutajaile rida konkreetseid tegevusi, mida tehes nad oma turvalisust parandada saanuks. See siin on tolle nimekirja uuendus: tosin asja, mida sa saad oma turvalisuse tõstmiseks teha.

Üldine. Kui sa oma arvutit ei kasuta, lülita see välja. Eriti siis, kui sul on interneti püsiühendus.

Sülearvutite turvalisus. Kui sa just kodus pole, hoia oma sülearvutit alati enda juures; käsitle seda nii, nagu sa käsitled oma rahakotti või ridiküli. Kustuta regulaarselt oma sülearvutist tarbetuks muutunud failid. Sama kehtib ka pihuarvutite (PDA) kohta. Inimesed kalduvad pihuarvutites hoidma rohkem isiklikke andmeid -- sealhulgas paroole ja PIN-koode -- kui sülearvutites.

Varukoopiad. Tee varukoopiaid korrapäraselt. Salvesta varukoopiad kettale, lindile või CD-ROM-ile. On palju asju, mille vastu sa end kaitsta ei saa; värske varukoopia võimaldab sul vähemalt ründe tagajärgedest üle saada. Säilita vähemalt üks varukoopiate komplekt majast väljaspool (panga hoiulaegas on hea koht) ja vähemalt üks komplekt majas. Ära unusta vanu varukoopiaid hävitada. Parim viis CD-R ketaste hävitamiseks on neid viis sekundit täisvõimsusel mikrolaineahjus "küpsetada". Samuti võid sa nad pooleks murda või paremaist dokumendipurustajaist läbi lasta.

Operatsioonisüsteemid. Kui võimalik, ära kasuta Microsoft Windows'it. Osta Macintosh või kasuta Linuxit. Kui sa pead Windowsit kasutama, lülita sisse automaatvärskendus (Automatic Update), et saada automaatselt turvapaikasid. Ning kustuta failid "command.com" ja "cmd.exe".

Rakendusprogrammid. Piira oma masinas olevate rakenduste arvu. Kui sa midagi ei vaja, ära seda ka paigalda. Kui sa midagi enam ei vaja, eemalda see. Kaalu vabasid bürootarkvara pakette alternatiivina Microsoft Office'ile. Jälgi korrapäraselt oma kasutatavate rakenduste versiooniuuenduste saadavust ja paigalda need. Oma rakenduste "paigatuina" hoidmine on oluline, kuid ära seepärast veel unerahu kaota.

Veebi lehitsemine. Ära kasuta Microsoft Internet Explorerit, punkt. Piira küpsiste (cookies) ja minirakenduste (applets) kasutus nende väheste saitidega, mis annavad sulle vajalikke teenuseid. Häälesta oma veebilehitseja küpsiseid regulaarselt kustutama. Ära eelda, et veebisait on see, mis ta väidab end olevat, kui sa ei tippinud lehekülje aadressi (URL) ise. Veendu, et aadressireal on näidatud õige, mitte ligikaudu sarnane URL.

Veebisaidid. SSL (Secure Sockets Layer) krüpteeritud side kasutamine ei anna mingit garantiid internetikaupmehe usaldusväärsuse ega tema kliendiandmete baasi turvalisuse kohta.

Mõtle enne veebi kaudu tehingu tegemist järele. Piira veebisaidile saadetavate finants- ja isikuandmete hulka -- ära anna välja informatsiooni, kui sa ei näe selles enda jaoks väärtust. Kui sa ei taha välja anda isiklikke andmeid, valeta. Keeldu kõigist turundusteabe pakkumistest. Kui veebisait pakub sulle võimalust mitte salvestada oma isikuandmeid hilisemaks kasutamiseks, võta see vastu. Kasuta võrguostudeks krediit-, mitte deebetkaarti.

Paroolid. Piisavalt heade paroolide meelespidamine ei ole enam võimalik, nii et ära näe vaeva. Tekita kõrget turvalisust nõudvate veebisaitide -- näiteks pankade -- jaoks pikad juhusliku sisuga paroolid ja pane need kirja. Valva neid nagu sa valvad oma sularaha: näiteks hoia neid oma rahakotis vms.

Ära kunagi taaskasuta vana parooli oluliste asjade jaoks (samas võib sul olla üks lihtsasti meeldejääv parool madala turvalisusega saitide -- ajalehtede arhiivid jms -- jaoks). Lähtu eeldusest, et kõik PIN-id ja paroolid on kergesti murtavad.

Ära kunagi tipi ühtki olulist parooli, näiteks internetipanga oma, leheküljele, mis ei ole SSL-krüpteeringuga kaitstud. Kui su pank võimaldab seda teha, esita neile kaebus. Kui nad ütlevad sulle, et see on OK, ära neid usu; nad eksivad.

E-post. Lülita välja HTML-vormingu kasutamine e-postis. Ära eelda, et e-kirja saatja on see, kelle aadress on "From:" real.

Kustuta rämpspost ilma seda lugemata. Ära ava manustega (attachments) sõnumeid, kui sa ei tea, mida nad sisaldavad, vaid kustuta need viivitamatult. Ära ava koomikseid, videosid ja muid "naljakaid" faile, mida su heatahtlikud sõbrad sulle saadavad; kustuta need viivitamatult.

Ära kunagi klõpsa viitadele (hüperlinkidele) e-kirjas, kui sa pole selle kirja turvalisuses kindel; vajadusel kopeeri viit ja kleebi see oma veebilehitseja aadressireale. Ära kasuta Outlooki ega Outlook Expressi. Kui sa pead kasutama Microsoft Office'it, lülita sisse makroviiruste kaitse; Office 2000-s sea turvatase "kõrgeks" ja ära usalda ühtki vastuvõetud faili, kui sa just ei pea. Kui kasutad Windows'it, lülita välja "tuntud failitüüpide faililaiendite peitmine" ("hide file extensions for known file types"); muidu võivad Trooja hobused teist tüüpi failinimede taha peituda. Eemalda Windows Scripting Host, kui sa saad ilma selleta hakkama. Kui see pole võimalik, muuda oma failiseoseid (file associations) nii, et skriptifaile ei saadetaks automaatselt Scripting Host'ile, kui sa nende peal topeltklõpsad.

Viiruste ja nuhkvara (spyware) tõrje. Kasuta mõlemat -- kas kombineeritud programmina või kahe eraldi rakendusena. Lae alla ja paigalda uuendusi mitte harvemini kui kord nädalas või alati, kui sa loed uudist mõne uue viiruse kohta. Mõned viirusetõrjeprogrammid võimaldavad uuenduste saadavust automaatselt kontrollida; lülita see võimalus sisse ja seadista ta igapäevase kontrolli rezhiimile.

Tulemüür. Kuluta 500 krooni võrguaadresse transleeriva (NAT, Network Address Translation) tulemüüriseadme hankimisele; see on tõenäoliselt piisavalt hea juba "tehase" seadistustes. Kasuta oma sülearvutis isikliku tulemüüri (personal firewall) tarkvara. Kui võimalik, peida ära oma IP aadress. Pole mingit põhjust sisenevate ühenduste lubamiseks oma arvutisse.

Krüpteerimine. Paigalda e-posti ja failide krüpteerimistarkvara (näiteks PGP). Kogu oma e-posti või terve kõvaketta krüpteerimine on ebarealistlik, kuid mõned e-kirjad on avatekstina saatmiseks liiga tundlikud. Samuti võivad mõned su kõvakettal olevad failid olla liiga tundlikud selleks, et neid seal ilma krüpteerimata hoida.

Mitte ükski eelkirjeldatud meetmeist ei ole lollikindel. Kui kapo tahab su andmeid või andmesidet kätte saada, ei peata neid ükski selles nimekirjas toodud vastuabinõudest. Kuid kõik need ettevaatusabinõud on head "võrguhügieeni" vahendid, ja nad teevad sinu arvuti su naabri omast raskemini tabatavaks sihtmärgiks. Ning isegi siis, kui sa võtad tarvitusele vaid mõned olulisemad meetmed, väheneb su probleemidesse sattumise tõenäosus arvestatavalt.

Ma olen sunnitud kasutama Microsoft Windows'it ja Office'it, kuid ma kasutan veebis surfamiseks Operat ja e-kirjavahetuseks Eudorat. Mu viirusetõrjeprogramm uuendab end regulaarselt. Ma hoian oma arvuti võrdlemisi puhta ja kustutan kõik rakendused, mida ma ei vaja. Ma teen oma andmeist hoolsasti varukoopiaid ning säilitan igapäevaselt mittevajalikke andmefaile võrgust eraldatuina.

Ma olen peaaegu et paranoiliselt kahtlustav e-posti manuste ja veebisaitide suhtes. Ma kustutan küpsiseid ja nuhkvara. Ma jälgin URL-e veendumaks, et ma tean, kus ma olen, ning ma ei usalda masspostitatud e-kirju. Ma ei muretse madala turvalisusega paroolide pärast, kuid püüan kasutada häid paroole kõigi oma kontode jaoks, mis puudutavad mu raha. Ma ei kasuta siiani netipankasid. Mu tulemüür on seatud kõiki sissetulevaid ühendusi tagasi lükkama. Ja ma lülitan oma arvuti välja, kui ma seda ei kasuta.

See on lühidalt kõik. Tõepoolest, see polegi teab kui keeruline. Kõige keerulisem osa on e-kirju ja veebisaite puudutava intuitsiooni väljaarendamine. Aga siin ei aita miski peale kogemuse.


Selle essee on varem avaldanud ka CNet.

Kommentaare ei ole: