INFOSÜSTEEMIDE KOLMEASTMELINEETALONTURBE SÜSTEEM

ISKE

ISKE rakendusjuhendi lisa 2: Kataloog G

Versioon 8.05Mai 2018

c© 2018 Riigi Infosüsteemi Amet. Kõik õigused kaitstud.c© 2018 BSI. Kõik õigused kaitstud.

Käesolev ISKE kataloog on kaitstud autoriõigustega. Dokumendi paljundamine jaallalaadimine on lubatud üksnes isiklikel ja mitteärilistel eesmärkidel. Igasugustelmuudel eesmärkidel dokumendi kopeerimine, paljundamine, muutmine, tõlkimine,töötlemine, salvestamine või taasavaldamine on ilma volituseta keelatud.

Sisukord

Sisukord 3

ISKE kataloogide versiooni 8.05 muutelugu 19Lisatud ohud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Muudetud ohud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

ISKE ohtude kataloog G 24G 1.1 Personali väljalangemine . . . . . . . . . . . . . . . . . . . 26G 1.2 IT-süsteemi avarii . . . . . . . . . . . . . . . . . . . . . . . . 27G 1.3 Äike . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29G 1.4 Kahjutuli . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30G 1.5 Vesi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31G 1.6 Kaablite süttimine . . . . . . . . . . . . . . . . . . . . . . . 32G 1.7 Lubamatu temperatuur ja niiskus . . . . . . . . . . . . . . . 33G 1.8 Tolm, saastumine . . . . . . . . . . . . . . . . . . . . . . . 34G 1.9 Tugevast magnetväljast tingitud andmekadu . . . . . . . . . 35G 1.10 Laivõrgu tõrge . . . . . . . . . . . . . . . . . . . . . . . . . 36G 1.11 Keskkonnaõnnetuste mõjud . . . . . . . . . . . . . . . . . 37G 1.12 Massiüritustest tingitud probleemid . . . . . . . . . . . . . 38G 1.13 Tormid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39G 1.14 Tugevast valgusest tingitud andmekadu . . . . . . . . . . . 40G 1.15 Muutuvast rakenduskeskkonnast tingitud kahjustused . . . 41G 1.16 Kaablijaotusseadmete väljalangemine põlengu tõttu . . . . 42G 1.17 Raadiovõrgu väljalangemine . . . . . . . . . . . . . . . . . 43G 1.18 Hoone väljalangemine . . . . . . . . . . . . . . . . . . . . 44G 1.19 Teenusepakkuja või tarnija väljalangemine . . . . . . . . . 45

ISKE ohtude kataloog G 47G 2.1 Reeglite puudumine või puudulikkus . . . . . . . . . . . . . 53G 2.2 Reeglite puudulik tundmine . . . . . . . . . . . . . . . . . . 54G 2.3 Puuduvad, puudulikud või ühildumatud ressursid . . . . . . 55G 2.4 Turvameetmete ebapiisav järelevalve . . . . . . . . . . . . . 56G 2.5 Hoolduse puudumine või puudulikkus . . . . . . . . . . . . . 57G 2.6 Volitamata pääs ruumidesse . . . . . . . . . . . . . . . . . . 58G 2.7 Õiguste volitamata kasutamine . . . . . . . . . . . . . . . . 59G 2.8 Ressursside kontrollimatu kasutamine . . . . . . . . . . . . 60G 2.9 Halb kohanemine IT muutustega . . . . . . . . . . . . . . . 61G 2.10 Probleemid andmekandjate kättesaadavusega . . . . . . . 62G 2.11 Liinide väike läbilaskevõime . . . . . . . . . . . . . . . . . 63

3 / 781

G 2.12 Kaablite puudulik dokumenteerimine . . . . . . . . . . . . 64G 2.13 Kaitsmata elektrikilbid . . . . . . . . . . . . . . . . . . . . 65G 2.14 IT halb tõhuses töötingimuste tõttu . . . . . . . . . . . . . 66G 2.15 Konfidentsiaalsusaugud Unix-süsteemis . . . . . . . . . . 67G 2.16 Sülearvuti reguleerimata edasiandmine . . . . . . . . . . . 68G 2.17 Andmekandjate puudulik märgistus . . . . . . . . . . . . . 69G 2.18 Andmekandjate väär saatmine . . . . . . . . . . . . . . . . 70G 2.19 Krüpteerimise halb korraldus . . . . . . . . . . . . . . . . . 71G 2.20 Kulumaterjalide ebapiisav või vale varu . . . . . . . . . . . 72G 2.21 Korraldamata kasutajavahetus . . . . . . . . . . . . . . . . 73G 2.22 Logiandmete analüüsimata jätmine . . . . . . . . . . . . . 74G 2.24 Kaitsetus välisvõrgu vastu . . . . . . . . . . . . . . . . . . 75G 2.26 Ebapiisavad või puuduvad tarkvara katsetamis- ja teavitus-

protseduurid . . . . . . . . . . . . . . . . . . . . . . . . . 76G 2.27 Ebapiisav või puuduv dokumentatsioon . . . . . . . . . . . 77G 2.28 Autoriõiguste rikkumine . . . . . . . . . . . . . . . . . . . . 79G 2.29 Tarkvara testimine tootmisandmetega . . . . . . . . . . . . 80G 2.32 Võrgu ebapiisav võimsus . . . . . . . . . . . . . . . . . . . 81G 2.36 Kasutajakeskkonna ebasobiv piiramine . . . . . . . . . . . 82G 2.37 Sideliinide kontrollimatu kasutamine . . . . . . . . . . . . . 83G 2.38 Installimata või piisavalt aktiveerimata andmebaasi turva-

mehhanismid . . . . . . . . . . . . . . . . . . . . . . . . . 84G 2.39 Andmebaasi haldussüsteemi keerukus . . . . . . . . . . . 85G 2.40 Andmebaasipöörduse keerukus . . . . . . . . . . . . . . . 87G 2.41 Andmebaasi kasutajate vahetumise halb korraldus . . . . . 89G 2.44 Ühildamatud võrgu aktiiv- ja passiivkomponendid . . . . . . 90G 2.45 Võrgu konseptuaalsed puudused . . . . . . . . . . . . . . 91G 2.46 Maksimaalse lubatava kaabli- või siinipikkuse või ringi suu-

ruse ületamine . . . . . . . . . . . . . . . . . . . . . . . . 93G 2.47 Failide ja andmekandjate ebaturvaline transport . . . . . . 94G 2.48 Andmekandjate ja dokumentide puudulik hävitamine . . . . 95G 2.49 Kaugtöötajate ebapiisav või puuduv koolitamine . . . . . . 96G 2.50 Hilistused kaugtöötajate ajutise piiratud kättesaadavuse tõttu 97G 2.51 Kaugtöötajate halb integratsioon infovoogu . . . . . . . . . 98G 2.53 Kaugtöötajate asendamise puudulikud eeskirjad . . . . . . 99G 2.54 Konfidentsiaalsuse kadu jääkinfo kaudu . . . . . . . . . . . 100G 2.55 Rühmatarkvara reguleerimata kasutamine . . . . . . . . . 102G 2.57 Andmekandjate puudulik talletus hädajuhtumi korral . . . . 103G 2.59 Registreerimata komponentide kasutamine . . . . . . . . . 104G 2.60 Võrgu- ja süsteemihalduse puuduv või ebasobiv strateegia 105G 2.61 Isikuandmete volitamatu kogumine . . . . . . . . . . . . . 107G 2.62 Turvaintsidentide puudulik käsitlus . . . . . . . . . . . . . . 108G 2.63 Fakside kontrollimatu kasutamine . . . . . . . . . . . . . . 109G 2.66 Puudulik infoturbehaldus . . . . . . . . . . . . . . . . . . . 110G 2.67 Pääsuõiguste puudulik haldus . . . . . . . . . . . . . . . . 112G 2.68 Active Directory kasutamise ebapiisav või puuduv planeeri-

mine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113G 2.69 Novell eDirectory kasutamise ebapiisav või puuduv planee-

rimine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

4 / 781

G 2.70 Novell eDirectory partitsioonide ja replikatsioonide ebapii-sav või puuduv planeerimine . . . . . . . . . . . . . . . . . 116

G 2.71 Novell eDirectory LDAB-pöörduse ebapiisav või puuduv pla-neerimine . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

G 2.72 Arhiivisüsteemide üleviimise puudused . . . . . . . . . . . 119G 2.73 Arhiivisüsteemide puudulikud kontrolljäljed . . . . . . . . . 121G 2.74 Arhiivide indekseerimisvõtmete puudused . . . . . . . . . 122G 2.75 Arhiivi salvestuskandjate ebapiisav maht . . . . . . . . . . 123G 2.76 Arhiivipöörduste puudulik dokumenteerimine . . . . . . . . 124G 2.77 Paberdokumentide elektroonilise arhiveerimise puudused . 125G 2.78 Arhiveeritud andmestike regenereerimise puudused . . . . 127G 2.79 Arhiivisäilikute digitaalsignatuuride regenereerimise puu-

dused . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128G 2.80 Arhiveerimisprotseduuride puudulik auditeerimine . . . . . 129G 2.81 Arhiivi andmekandjate puudulik hävitamine . . . . . . . . . 130G 2.82 Arhiivisüsteemi asukoha halb planeerimine . . . . . . . . . 131G 2.83 Halb väljasttellimise strateegia . . . . . . . . . . . . . . . . 132G 2.84 Puudused välisteenusepakkujaga sõlmitud lepingu tingi-

mustes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133G 2.85 Ebapiisavad tingimused väljasttellimise kasutamise lõpeta-

miseks . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135G 2.86 Sõltuvus välisteenusepakkujast . . . . . . . . . . . . . . . 137G 2.87 Ebaturvalised protokollid avalikes võrkudes . . . . . . . . . 138G 2.88 Väljast tellitava projekti negatiivne mõju organisatsiooni si-

sekliimale . . . . . . . . . . . . . . . . . . . . . . . . . . . 139G 2.89 Puudulik infoturve väljasttellimise sissejuhatavas etapis . . 140G 2.90 Välisteenusepakkujaga seotud nõrgad kohad . . . . . . . . 141G 2.91 Exchange 5.5-lt Exchange 2000le ülemineku halb planeeri-

mine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142G 2.92 Exchange 2000 brauseripääsu halb reguleerimine . . . . . 143G 2.93 Puudulik jätkusuutlikkuse planeerimine väljasttellimise korral 144G 2.95 Halb meetod meilisüsteemide ühendamiseks Exchan-

ge’i/Outlookiga . . . . . . . . . . . . . . . . . . . . . . . . 145G 2.96 Aegunud või väär teave veebisaidil . . . . . . . . . . . . . 146G 2.98 Marsruuterite ja kommutaatorite kasutamise väär kavanda-

mine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147G 2.99 zSeriesi süsteemikeskkonna halb või väär konfigureerimine 148G 2.100 Interneti domeeninimede taotlemise või haldamise vead . 149G 2.101 Turvalüüsi ebapiisav hädaolukorra ennetamise plaan . . . 151G 2.102 Inimeste infoturbeteadlikkuse ebapiisav suurendamine . . 152G 2.103 Töötajate ebapiisav koolitamine . . . . . . . . . . . . . . 153G 2.104 Oma ja võõra IT-süsteemi ühildumatus . . . . . . . . . . . 155G 2.105 Õigusaktide ja lepinguliste kokkulepete rikkumine . . . . . 156G 2.106 Turbeintsidentidest tingitud häiringud tööprotsessides . . . 157G 2.107 Puudulikust infoturbehaldusest tingitud ressursside eba-

ökonoomne kasutamine . . . . . . . . . . . . . . . . . . . 158G 2.108 SAP süsteemi ebapiisav või puuduv planeerimine . . . . . 160G 2.109 Salvestisüsteemi ebapiisav või puuduv planeerimine . . . 162G 2.110 Andmebaasi versiooniuuenduste ja üleviimise puudulik or-

ganiseerimine . . . . . . . . . . . . . . . . . . . . . . . . . 164

5 / 781

G 2.111 Pääsuõiguste kuritarvitamine teenusepakkuja vahetumisel 165G 2.112 IP-kõne kasutamise ebapiisav planeerimine . . . . . . . . 166G 2.113 Võrgumahu ebapiisav planeerimine IP-kõne juurutamisel . 167G 2.114 Windowsi Serveri ühtimatud SMB, RPC ja LDAP turbesea-

distused . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168G 2.115 Standardsete turvagruppide ebapädev kasutamine Win-

dowsi alates Server 2003-st . . . . . . . . . . . . . . . . . 169G 2.116 Andmekadu andmete kopeerimisel ja teisaldamisel alates

Windowsi Server 2003-st . . . . . . . . . . . . . . . . . . . 171G 2.117 Traadita kohtvõrgu ebapiisav või puuduv planeerimine . . 173G 2.118 Traadita kohtvõrgu kasutamise ebapiisav reguleerimine . 174G 2.119 Traadita kohtvõrgu autentimismeetodite ebaõnnestunud

valik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176G 2.120 Turvalisust tagavate IT-süsteemide ebasobiv paigutus . . 177G 2.121 Traadita kohtvõrkude ebapiisav kontrollimine . . . . . . . 178G 2.122 Mitmefunktsiooniliste seadmete ebasobiv kasutamine . . 179G 2.123 Kataloogiteenuste ebapiisav või puuduv planeerimine . . 180G 2.124 Kataloogiteenuse partitsioonide ja replikatsioonide väär

või puudulik planeerimine . . . . . . . . . . . . . . . . . . 181G 2.125 Kataloogiteenuse juurdepääsu väär ja ebapiisav planeeri-

mine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182G 2.126 Active Directory muudatuste ebapiisav logimine . . . . . . 183G 2.127 Domeenikontrolleri andmevarundusmeetodite ebapiisav

planeerimine . . . . . . . . . . . . . . . . . . . . . . . . . 184G 2.128 VPN-i juurutamise ebapiisav või puuduv planeerimine . . 185G 2.129 VPN-i kasutamise ebapiisavad või puuduvad reeglid . . . 186G 2.130 VPN-i krüpteerimisprotseduuri ebaõnnestunud valik . . . 188G 2.131 VPN-i puudulik seire . . . . . . . . . . . . . . . . . . . . 189G 2.132 Tööprotsesside puudulik arvestamine turvapaikade ja

muudatuste haldamisel . . . . . . . . . . . . . . . . . . . . 190G 2.133 Kohustuste puudulik jaotus turvapaikade ja muudatuste

haldamisel . . . . . . . . . . . . . . . . . . . . . . . . . . 191G 2.134 Ebapiisavad ressursid turvapaikade ja muudatuste halda-

misel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192G 2.135 Puudulik side turvapaikade ja muudatuste haldamisel . . 193G 2.136 Puudulik ülevaade IT-kooslusest . . . . . . . . . . . . . . 194G 2.137 Ebapiisav või puuduv planeerimine turvapaikade ja muu-

datuste evitamisel . . . . . . . . . . . . . . . . . . . . . . 195G 2.138 Puudulikud taastamisvõimalused turvapaikade ja muuda-

tuste haldamisel . . . . . . . . . . . . . . . . . . . . . . . 197G 2.139 Puudulik arvestamine mobiilsete terminalidega turvapai-

kade ja muudatuste haldamisel . . . . . . . . . . . . . . . 198G 2.140 Ebapiisav hädaolukorraks valmisoleku kontspetsioon tur-

vapaikade ja muudatuste haldamisel . . . . . . . . . . . . 199G 2.141 Märkamata jäänud turvaintsidendid . . . . . . . . . . . . 200G 2.142 Tõendite hävitamine turvaintsidentide käsitlemisel . . . . 201G 2.143 Informatsioonikadu andmete kopeerimisel ja teiseldamisel

Samba ühiskasutuses . . . . . . . . . . . . . . . . . . . . 202G 2.144 Samba serveri ebapiisav valmisolek hädaolukorraks . . . 203

6 / 781

G 2.145 Triviaalse andmebaasi failide ebapiisav varundamine Sam-bas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

G 2.146 Vista klientsüsteemide kasutuskõlblikkuse kaotus tingitunareaktiveerimise tegemata jätmisest enne SP1 . . . . . . . 205

G 2.147 Võrdõigusteenustest tulenev puuduv tsentraliseerimine . . 207G 2.148 Virtualiseerimise puudulik planeerimine . . . . . . . . . . 211G 2.149 Virtuaalsete IT-süsteemide ebapiisav salvestusvõimsus . 215G 2.150 Külastaja tööriistade väär integreerimine virtuaalsetes IT-

süsteemides . . . . . . . . . . . . . . . . . . . . . . . . . 218G 2.151 Virtuaalsetel IT-süsteemidel kasutatavate rakenduste eba-

piisav tootjatugi . . . . . . . . . . . . . . . . . . . . . . . . 220G 2.152 DNS-i kasutamise ebapiisav või puudulik planeerimine . . 223G 2.153 Terminaliserveri keskkonna edastuskanalite ebapiisav turve 225G 2.154 Ebasobivad rakendused terminaliserveritel kasutamiseks 226G 2.155 OpenLDAP ebapiisav või puuduv planeerimine . . . . . . 227G 2.156 Ühilduvusprobleemid Active Directory funktsioonitasandi

suurendamisel . . . . . . . . . . . . . . . . . . . . . . . . 229G 2.157 Veebirakenduste halb valik või kontseptsioon . . . . . . . 230G 2.158 Veebirakenduste arendamise ja laiendamisega seotud

puudused . . . . . . . . . . . . . . . . . . . . . . . . . . . 232G 2.159 Isikuandmete ebapiisav turve veebirakendustes . . . . . . 233G 2.160 Ebapiisav või puuduv logimine . . . . . . . . . . . . . . . 234G 2.161 Logiandmete konfidentsiaalsuse ja tervikluse kadu . . . . 235G 2.162 Isikuandmete töötlemise loa puudumine . . . . . . . . . . 236G 2.163 Isikuandmete töötlemise sihtotstarbe eiramine . . . . . . 237G 2.164 Isikuandmete töötluse õigustatuse põhimõtte eiramine . . 238G 2.165 Ebapiisav või puuduv tarbetute korduste ja andmete kuh-

jumise mittevältimine isikuandmete töötlemisel . . . . . . . 239G 2.166 Andmesaladuse põhimõtte eiramine isikuandmete töötle-

misel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240G 2.167 Puudulik või ebapiisav eelkontroll isikuandmete töötlemisel 241G 2.168 Isikute õiguste rikkumine isikuandmete töötlemisel . . . . 242G 2.169 Andmetöötlusprotsessi ebapiisav või puuduv kaitse isiku-

andmete töötlemisega seotud tellimustöödes . . . . . . . . 243G 2.170 Puudulik läbipaistvus andmekaitse kontrolliinstantside ja

asjakohaste isikute jaoks . . . . . . . . . . . . . . . . . . . 244G 2.171 Etteantud kontrollieesmärkide ohustamine isikuandmete

töötlemisel . . . . . . . . . . . . . . . . . . . . . . . . . . 245G 2.172 Andmetöötlusprotsessi ebapiisav või puuduv kaitse isiku-

andmete töötlemisel välisriikides . . . . . . . . . . . . . . 247G 2.173 Lubamatud automaatsed otsused üksikjuhtumite kohta isi-

kuandmete töötlemisel . . . . . . . . . . . . . . . . . . . . 248G 2.174 Puuduv või puudulik andmekaitsekontroll . . . . . . . . . 249G 2.181 Veebiteenuste rakendamise puudulik planeerimine ja kont-

septsioon . . . . . . . . . . . . . . . . . . . . . . . . . . . 250G 2.182 Salvestisüsteemide puuduv või ebapiisav käitamise kont-

septsioon . . . . . . . . . . . . . . . . . . . . . . . . . . . 252G 2.183 Puuduv või puudulik tsoonide kontseptsioon . . . . . . . . 253G 2.185 Tarkvara puuduv või puudulik hooldus (Maintenance) ja

paigahaldus (Patch Level Management) . . . . . . . . . . 254

7 / 781

G 2.186 Salvestisüsteemidega seotud vastutusalade puuduv võipuudulik reguleerimine või rollide ebaselge piiritlemine . . . 255

G 2.187 Salvestisüsteemide puuduv või puudulik simultaanteenin-duse halduskontseptsioon . . . . . . . . . . . . . . . . . . 256

G 2.188 Pilvteenuse litsentsihalduse puudulik regulatsioon . . . . 257G 2.189 Pilvteenuse kasutamise puuduv või puudulik strateegia . . 258G 2.190 Pilvteenuse kasutamise ebapiisav administreerimismudel 259G 2.191 Ebapiisav rollide ja volituste kontseptsioon . . . . . . . . . 260G 2.192 Piisava kvalifikatsiooniga personali puudus . . . . . . . . 261G 2.193 Institutsiooni ebapiisav kohandamine pilvteenuste kasuta-

misega . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262G 2.194 Pilvteenuste kasutamise ebapiisav nõuete haldus . . . . . 264G 2.195 Teenuste osutamise puudulik seire . . . . . . . . . . . . . 265G 2.196 Pilvteenuste tervikliku kasutustsükli puuduv tulude ja kulu-

de analüüs . . . . . . . . . . . . . . . . . . . . . . . . . . 266G 2.197 Pilvteenuste ebapiisav sidumine enda IT-lahendustega . . 268G 2.198 Pilvteenustele üleviimise puudulik planeerimine . . . . . . 270G 2.199 Pilvteenuste teenusepakkuja puudulik valimine . . . . . . 271G 2.200 Ebapiisav planeerimine mobiil- ja nutitelefonide ning

tahvel- ja pihuarvutite soetamisel . . . . . . . . . . . . . . 272G 2.201 Ebapiisav arvestamine töökeskkonnas aset leidnud muu-

datustega . . . . . . . . . . . . . . . . . . . . . . . . . . . 273G 2.202 Lock-in-efekt . . . . . . . . . . . . . . . . . . . . . . . . . 274G 2.203 Integreeritud pilve-funktsioon . . . . . . . . . . . . . . . . 276G 2.204 TPM-i kasutamine . . . . . . . . . . . . . . . . . . . . . . 278G 2.205 Puuduv hädaolukorra ennetamise kava teenusele suuna-

tud arhitektuuride jaoks . . . . . . . . . . . . . . . . . . . 280G 2.206 Mitteküllaldased turvanõuded integreeritud süsteemide

väljatöötamisel . . . . . . . . . . . . . . . . . . . . . . . . 281G 2.207 Kaitsmata sisend- ja väljundliidesed integreeritud süs-

teemides . . . . . . . . . . . . . . . . . . . . . . . . . . . 283G 2.208 Integreeritud süsteemide elektrooniliste komponentide mit-

teküllaldane füüsiline kaitse . . . . . . . . . . . . . . . . . 284G 2.209 Tarkvara jaoks väära arenduskeskkonna valimine . . . . . 285G 2.210 Arenduskeskkondade ebapiisavalt turvatud kasutamine . 286G 2.211 Väära protsessimudeli valik tarkvaraarenduseks . . . . . 287G 2.212 Ebapiisav arvestamine konfiguratsioonivalikutega tarkva-

raarenduses . . . . . . . . . . . . . . . . . . . . . . . . . 288G 2.213 Tarkvaraarenduse protsessi puuduv või puudulik kvaliteedi

tagamine . . . . . . . . . . . . . . . . . . . . . . . . . . . 289G 2.214 Identiteedi- ja volituste halduse puuduv või mitteküllaldane

kontseptsioon . . . . . . . . . . . . . . . . . . . . . . . . . 291G 2.E5 ID-kaardi või sarnase seadme kehtivusaja lõppemine . . . 292G 2.E6 Digiallkirja andmine või autentimine ilma võtmepaari oma-

niku teadmata . . . . . . . . . . . . . . . . . . . . . . . . . 293G 2.E7 Asutusega mitteseotud digiallkirjade andmine asutuse juur-

depääsutõendi ressursside arvelt . . . . . . . . . . . . . . 294G 2.E8 Digiallkirjastatud dokumendi vormingureeglite mitmetimõis-

tetavus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295

8 / 781

G 2.E9 Digitempli andmise seadme kasutuseõiguse väljumine asu-tuse poolt määratud subjektide ringist . . . . . . . . . . . . 296

G 2.E10 Juurdepääsutõendiga määratud digiallkirjade mahu am-mendumine . . . . . . . . . . . . . . . . . . . . . . . . . . 297

G 2.E11 Signeerimistarkvara puudus, mis võimaldab anda digiall-kirja autentimisvõtmepaari ja PIN1-koodi kasutades . . . . 298

G 2.E12 Pin-pad’i mittekasutamine . . . . . . . . . . . . . . . . . 299

ISKE ohtude kataloog G 300G 3.1 Andmete konfidentsiaalsuse või tervikluse kadu kasutaja vea

tõttu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304G 3.2 Seadme või andmete hävitamine hooletuse tõttu . . . . . . . 305G 3.3 Hooletus turvameetmete suhtes . . . . . . . . . . . . . . . . 306G 3.4 Lubamatud kaabliühendused . . . . . . . . . . . . . . . . . 307G 3.5 Liinide juhuslik kahjustamine . . . . . . . . . . . . . . . . . 308G 3.6 Koristajad jm väljastpoolt tellitud töötajad . . . . . . . . . . . 309G 3.7 Käsitsemisvea tõttu tekkinud kodukeskjaama (PBX) rike . . 310G 3.8 IT-süsteemi väär kasutamine . . . . . . . . . . . . . . . . . 311G 3.9 IT-süsteemi väär haldus . . . . . . . . . . . . . . . . . . . . 312G 3.10 Failisüsteemide väär eksport Unixis . . . . . . . . . . . . . 314G 3.11 Sendmaili väär konfiguratsioon . . . . . . . . . . . . . . . 315G 3.12 Andmekandjate kaotamine saatmisel . . . . . . . . . . . . 316G 3.13 Väära või soovimatu andmekogumi saatmine . . . . . . . . 317G 3.14 Faksi juriidilise siduvuse ülehindamine . . . . . . . . . . . 319G 3.16 Väär pääsuõiguste haldus . . . . . . . . . . . . . . . . . . 320G 3.17 Arvutikasutajate väär vahetumine . . . . . . . . . . . . . . 321G 3.21 Mehaaniliste koodlukkude väär kasutamine . . . . . . . . . 322G 3.22 Registri väär modifitseerimine . . . . . . . . . . . . . . . . 323G 3.23 Andmebaasisüsteemi hooletu haldus . . . . . . . . . . . . 324G 3.24 Andmete juhuslik manipuleerimine . . . . . . . . . . . . . 325G 3.27 Aja väär sünkronisatsioon . . . . . . . . . . . . . . . . . . 326G 3.28 Võrgu aktiivkomponentide ebasobiv konfiguratsioon . . . . 327G 3.29 Ebasobiv või puuduv segmentimine . . . . . . . . . . . . . 329G 3.30 Kaugtööjaamade volitamatu kasutamine eraotstarbel . . . 330G 3.31 Struktureerimata andmekorraldus . . . . . . . . . . . . . . 331G 3.32 Seaduste rikkumine krüptoprotseduuride kasutamisel . . . 332G 3.33 Krüptomoodulite väär kasutamine . . . . . . . . . . . . . . 333G 3.34 Võrguhaldussüsteemi ebasobiv konfiguratsioon . . . . . . 334G 3.35 Töötava serveri elektritoite väljalülitamine . . . . . . . . . . 335G 3.36 Sündmuste väär tõlgendamine . . . . . . . . . . . . . . . . 336G 3.37 Tulemusteta otsingud . . . . . . . . . . . . . . . . . . . . . 337G 3.38 Vead konfigureerimisel ja kasutamisel . . . . . . . . . . . . 338G 3.40 Vead VPN-ide autentimisteenuse kasutamisel . . . . . . . 340G 3.41 VPN-teenuste väär kasutamine . . . . . . . . . . . . . . . 341G 3.42 VPN-klientsüsteemide kaugpöörduse ebaturvaline konfigu-

ratsioon . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342G 3.43 Puudulik paroolihooldus . . . . . . . . . . . . . . . . . . . 343G 3.44 Teabe hooletu kasutamine . . . . . . . . . . . . . . . . . . 345G 3.45 Sidepartnerite puudulik autentimine . . . . . . . . . . . . . 347G 3.46 Lotus Notes Serveri väär konfiguratsioon . . . . . . . . . . 348

9 / 781

G 3.48 Windowsiga töötavate IT-süsteemide väär konfiguratsioon . 350G 3.49 Active Directory väär konfiguratsioon . . . . . . . . . . . . 351G 3.50 Novell eDirectory väär konfiguratsioon . . . . . . . . . . . 352G 3.51 Novell eDirectory pääsuõiguste väär andmine . . . . . . . 353G 3.52 Novell eDirectoryt kasutava intranet-klientsüsteemi pöör-

duse väär konfiguratsioon . . . . . . . . . . . . . . . . . . 354G 3.53 Novell eDirectoryt kasutava LDAP-pöörduse väär konfigu-

ratsioon . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355G 3.54 Ebasobiva andmekandja kasutamine arhiveerimiseks . . . 356G 3.55 Õiguslike raamtingimuste rikkumised arhiivsüsteemide ka-

sutamisel . . . . . . . . . . . . . . . . . . . . . . . . . . . 357G 3.56 IIS-i väär integreerimine süsteemikeskkonda . . . . . . . . 358G 3.60 Exchange 2000 serverite väär konfiguratsioon . . . . . . . 359G 3.61 Outlook 2000 klientsüsteemide väär konfiguratsioon . . . . 361G 3.64 Marsruuterite ja kommutaatorite väär konfiguratsioon . . . 362G 3.65 Marsruuterite ja kommutaatorite väär haldamine . . . . . . 363G 3.66 Märkide väär teisendus z/OS-i kasutamisel . . . . . . . . . 364G 3.67 z/OS-operatioonisüsteemi puudulik või väär konfiguratsioon 365G 3.68 z/OS-veebiserveri puudulik või väär konfiguratsioon . . . . 367G 3.69 Unixi süsteemiteenuste (USS) väär konfigureerimine z/OS-is 368G 3.70 z/OS-i süsteemi failide ebapiisav turve . . . . . . . . . . . 369G 3.71 z/OS-süsteemide väär süsteemiaeg . . . . . . . . . . . . . 370G 3.72 z/OS-i turbesüsteemi RACF väär konfiguratsioon . . . . . . 371G 3.73 z/OS-i süsteemifunktsioonide väär kasutamine . . . . . . . 373G 3.74 z/OS-i süsteemiseadistuste puudulik kaitse dünaamiliste

muudatuste vastu . . . . . . . . . . . . . . . . . . . . . . . 375G 3.75 z/OS-i pakktööde puudulik kontroll . . . . . . . . . . . . . . 377G 3.76 Vead kaasaskantavate seadmete sünkroniseerimisel . . . . 378G 3.77 Infoturbe vähene aktsepteerimine . . . . . . . . . . . . . . 379G 3.78 Seadmekaablite halb paigutus ruumis . . . . . . . . . . . . 380G 3.79 SAN salvestivõrgu ressursside vale jaotamine . . . . . . . 381G 3.80 Andmebaaside sünkroniseerimisvead . . . . . . . . . . . . 382G 3.81 Turvamallide väär kasutamine alates Windows Server 2003-st383G 3.82 IP-kõne vahendustarkvara väär konfiguratsioon . . . . . . 385G 3.83 IP-kõne komponentide väär konfiguratsioon . . . . . . . . . 386G 3.84 Traadita kohtvõrgu taristu väär konfiguratsioon . . . . . . . 387G 3.85 Tuletõkete kahjustamine . . . . . . . . . . . . . . . . . . . 388G 3.86 Printerite, koopiamasinate ja multifunktsionaalsete seadme-

te reguleerimata ja hooletu kasutus . . . . . . . . . . . . . 389G 3.87 Kataloogiteenuste väär konfiguratsioon . . . . . . . . . . . 391G 3.88 Väär pääsuõiguste andmine . . . . . . . . . . . . . . . . . 392G 3.89 Kataloogiteenuse LDAP-juurdepääsu väär konfiguratsioon . 393G 3.90 VPN-ide väär haldus . . . . . . . . . . . . . . . . . . . . . 394G 3.91 Väärkasutusest tingitud VPN-ühenduse katkemine . . . . . 396G 3.92 Turvapaikade ja muudatuste prioriteetide väär hindamine . 397G 3.93 Väär ümberkäimine defektsete andmekandjatega . . . . . 398G 3.94 Samba sideprotokollide väär konfiguratsioon . . . . . . . . 399G 3.95 Samba serveri operatsioonisüsteemi väär konfiguratsioon . 400G 3.96 Samba serveri väär konfiguratsioon . . . . . . . . . . . . . 401

10 / 781

G 3.97 Konfidentsiaalsuse kadu vaatamata draivide krüpteerimise-le BitLockeriga . . . . . . . . . . . . . . . . . . . . . . . . 402

G 3.98 BitLockeriga krüpteeritud andmete kadu . . . . . . . . . . 403G 3.99 Virtualiseerimisserveri valed võrguühendused . . . . . . . 404G 3.100 Virtuaalsete IT-süsteemide snapshot’ide ebakompetentne

kasutamine . . . . . . . . . . . . . . . . . . . . . . . . . . 407G 3.101 Külastaja tööriistade väär kasutamine virtuaalsetes IT-

süsteemides . . . . . . . . . . . . . . . . . . . . . . . . . 409G 3.102 Aja vale sünkroniseerimine virtuaalsetes IT-süsteemides . 411G 3.103 Vale domeeniinfo . . . . . . . . . . . . . . . . . . . . . . 412G 3.104 DNS-serveri väär konfiguratsioon . . . . . . . . . . . . . 414G 3.105 Väliste teenuste volitamata kasutamine . . . . . . . . . . 417G 3.106 Väär käitumine interneti kasutamisel . . . . . . . . . . . . 418G 3.107 Mainekahjud . . . . . . . . . . . . . . . . . . . . . . . . . 419G 3.108 Mac OS X väär konfiguratsioon . . . . . . . . . . . . . . . 421G 3.109 FileVault-krüpteerimise väär kasutamine . . . . . . . . . . 422G 3.110 OpenLDAP väär konfiguratsioon . . . . . . . . . . . . . . 424G 3.111 OpenLDAP offline- ja online-pöörduste ebapiisav lahutamine425G 3.112 Image’ite volitamata või väär rakendamine Windows

DISM-i kasutamisel . . . . . . . . . . . . . . . . . . . . . . 426G 3.113 Lotus Notesi kliendi või võõra, Lotus Dominole juurdepää-

su omava kliendi väär konfiguratsioon . . . . . . . . . . . . 428G 3.114 Logimisprotseduuride väär haldus . . . . . . . . . . . . . 430G 3.115 Oluliste logiandmete väär valik . . . . . . . . . . . . . . . 431G 3.116 Aja sünkroniseerimata jätmine logiandmete analüüsimisel 432G 3.119 Standardite väär kasutamine . . . . . . . . . . . . . . . . 433G 3.120 Orkestreerimise vead . . . . . . . . . . . . . . . . . . . . 435G 3.121 Veebiteenuste konfigureerimise ja haldamise vead . . . . 436G 3.122 Pilveteenuse väär kasutus . . . . . . . . . . . . . . . . . 438G 3.123 Mobiil- ja nutitelefonide ning tahvel- ja pihuarvutite keela-

tud kasutamine eraotstarbel . . . . . . . . . . . . . . . . . 439G 3.E1 ID-kaardi, digi-ID või mobiil-ID hooletu üleandmine teisele

isikule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440

ISKE ohtude kataloog G 441G 4.1 Toitevõrgu katkestus . . . . . . . . . . . . . . . . . . . . . . 444G 4.2 Sisevõrkude katkestus . . . . . . . . . . . . . . . . . . . . . 445G 4.3 Turvavahendite tõrge . . . . . . . . . . . . . . . . . . . . . . 446G 4.4 Keskkonnast tingitud liinihäired . . . . . . . . . . . . . . . . 447G 4.5 Läbikoste . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448G 4.6 Pinge kõikumine/ ülepinge/ vaegpinge . . . . . . . . . . . . 449G 4.7 Defektsed andmekandjad . . . . . . . . . . . . . . . . . . . 450G 4.9 Sisemise toiteallika tühjenemine . . . . . . . . . . . . . . . 451G 4.10 Keerukad ligipääsuvõimalused võrgustatud IT-süsteemides 452G 4.11 NIS-serveri ja NIS-klientsüsteemi vahelise autentimisvõima-

luse puudumine . . . . . . . . . . . . . . . . . . . . . . . . 453G 4.12 Autentimisvõimaluste puudumine X-serveri ja X-kliendi vahel 454G 4.13 Salvestatud andmete hävimine . . . . . . . . . . . . . . . 455G 4.14 Spetsiaalse faksipaberi pleekumine . . . . . . . . . . . . . 456G 4.15 Faksi saatmine vääral aadressil . . . . . . . . . . . . . . . 457

11 / 781

G 4.20 Andmekadu andmekandja täitumise tõttu . . . . . . . . . . 458G 4.21 Tasandusvoolud varjes . . . . . . . . . . . . . . . . . . . . 459G 4.22 Tüüptarkvara turvaaugud või vead . . . . . . . . . . . . . . 460G 4.23 Vahetatavate andmekandjate automaattuvastus . . . . . . 461G 4.25 Lahutamata ühendused . . . . . . . . . . . . . . . . . . . 462G 4.26 Andmebaasi rike . . . . . . . . . . . . . . . . . . . . . . . 463G 4.27 Pääsukontrollist kõrvalehoidumine ODBC kaudu . . . . . . 464G 4.28 Andmebaasi andmekadu . . . . . . . . . . . . . . . . . . . 465G 4.30 Andmebaasi tervikluse ja vastavuse kadu . . . . . . . . . . 466G 4.31 Võrgukomponentide rike või tõrge . . . . . . . . . . . . . . 467G 4.32 Sõnumi kaotsiminek . . . . . . . . . . . . . . . . . . . . . 470G 4.33 Autentimise puudumine või puudulikkus . . . . . . . . . . . 471G 4.34 Krüptomooduli rike . . . . . . . . . . . . . . . . . . . . . . 473G 4.35 Ebaturvaline krüptoalgoritm . . . . . . . . . . . . . . . . . 474G 4.36 Vead krüpteeritud andmetes . . . . . . . . . . . . . . . . . 476G 4.37 Rühmatarkvara puudulik usaldusväärsus . . . . . . . . . . 477G 4.38 Võrgu- või süsteemihaldussüsteemi komponendi rike . . . 478G 4.39 Tarkvarakontseptsiooni viga . . . . . . . . . . . . . . . . . 479G 4.41 Mobiilsidevõrgu rike . . . . . . . . . . . . . . . . . . . . . . 481G 4.42 Mobiiltelefoni või PDA tõrge . . . . . . . . . . . . . . . . . 482G 4.43 Dokumenteerimata funktsioonid . . . . . . . . . . . . . . . 483G 4.44 Novell eDirectory rike . . . . . . . . . . . . . . . . . . . . . 484G 4.45 Arhiivipäringute hilinemine . . . . . . . . . . . . . . . . . . 485G 4.46 Indeksiandmete väär sünkroniseerimine arhiveerimisel . . 486G 4.47 Vananenud krüptomeetodid . . . . . . . . . . . . . . . . . 487G 4.48 Välisteenusepakkuja süsteemide rike . . . . . . . . . . . . 488G 4.49 Marsruuterite ja kommutaatorite ebaturvalised vaikesätted . 489G 4.50 z/OS-operatsioonisüsteemi ülekoormus . . . . . . . . . . . 490G 4.51 Pihuarvutite puudulikud turbemehhanismid . . . . . . . . . 492G 4.52 Kaasaskantava seadme andmekadu . . . . . . . . . . . . 493G 4.53 Salvestite ebaturvalised vaikesätted . . . . . . . . . . . . . 495G 4.54 Turbe kadu krüptofailisüsteemi (EFS) kasutamisel . . . . . 496G 4.55 Andmekadu alates Windows Server 2003 / XP parooli taas-

tamisel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498G 4.56 IP-kõne arhitektuuri rike . . . . . . . . . . . . . . . . . . . 499G 4.57 Häired IP-kõne kasutamisel üle VPNi . . . . . . . . . . . . 501G 4.58 IP-kõne lõppseadmete puudused . . . . . . . . . . . . . . 503G 4.59 IP-kõne kasutuskõlbmatus NAT tõttu . . . . . . . . . . . . 505G 4.60 Raadiolainete kontrollimatu levi . . . . . . . . . . . . . . . 506G 4.61 Traadita kohtvõrgu ebausaldusväärsed või puuduvad turbe-

mehhanismid . . . . . . . . . . . . . . . . . . . . . . . . . 507G 4.62 Ebapiisav pistikupesade arv . . . . . . . . . . . . . . . . . 509G 4.63 Tolmunud ventilaatorid . . . . . . . . . . . . . . . . . . . . 510G 4.64 Printerite, koopiamasinate ja multifunktsionaalsete seadme-

te keerukus . . . . . . . . . . . . . . . . . . . . . . . . . . 511G 4.65 Printerite ja multifunktsionaalsete seadmete side ebapiisav

turve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514G 4.66 Printeritest, koopiaseadmetest ja multifunktsionaalsetest

seadmetest tingitud negatiivne mõju tervisele ja keskkon-nale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515

12 / 781

G 4.67 Kataloogiteenuste rike . . . . . . . . . . . . . . . . . . . . 516G 4.68 Ebavajalikust replikeerimisest tingitud tõrked Active Direc-

tory töös . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517G 4.69 Probleemid IPSec-i konfigureerimisel . . . . . . . . . . . . 518G 4.70 VPN-i komponentide ebaturvaline standardseadistus . . . . 519G 4.71 Probleemid paikade ja muudatuste automaatsel teavitamisel 520G 4.72 Triviaalse andmebaasi vormingus andmebaaside ebakõlad

Samba keskkonnas . . . . . . . . . . . . . . . . . . . . . . 521G 4.73 Tarkvara funktsioonide kahjustamine Windowsi versioonide

ühilduvusprobleemide tõttu . . . . . . . . . . . . . . . . . . 522G 4.74 IT-komponentide tõrge virtualiseeritud keskkonnas . . . . . 524G 4.75 Virtualiseerimiskeskkondade võrgutaristu rike . . . . . . . 526G 4.76 Virtualiseerimissüsteemide haldusserverite tõrge . . . . . . 528G 4.77 Külastaja tööriistade valest funktsioonist virtuaalses kesk-

konnas tingitud ressursside kitsaskohad . . . . . . . . . . 530G 4.78 Virtuaalsete masinate väljalangemine lõpetamata andme-

varundusprotsesside tõttu . . . . . . . . . . . . . . . . . . 532G 4.79 Bluetooth’i kasutuselevõtul tehtud vead . . . . . . . . . . . 534G 4.80 Bluetooth’i ebausaldusväärsed või puuduvad turvamehha-

nismid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536G 4.81 Laiendatud õigused terminaliserveril programmdialoogi kaudu538G 4.82 Terminaliserveri rivist väljalangemine ja mitte kättesaadavus 540G 4.83 Enda arendatud makrode väärfunktsioonid Outlookis . . . 541G 4.84 Veebirakenduste sisendi- ja välundiandmete ebapiisav vali-

deerimine . . . . . . . . . . . . . . . . . . . . . . . . . . . 542G 4.85 Veebirakenduste ebapiisav või puuduv tõrkekäsitlus . . . . 544G 4.86 Turbe jaoks oluliste sündmuste ebapiisav kontrollitavus vee-

birakendustes . . . . . . . . . . . . . . . . . . . . . . . . . 545G 4.87 Konfidentsiaalse info ilmsikstulek veebirakendustes . . . . 546G 4.88 EMC nõuetele mittevastav elektrisüsteem . . . . . . . . . . 547G 4.89 Logimise puuduv või ebapiisav hoiatamiskontseptsioon . . 548G 4.94 Volitamata juurdepääs teise teenusetarbija andmetele vee-

birakendustes ja veebiteenustes . . . . . . . . . . . . . . . 550G 4.95 Salvestisüsteemi komponendi rike . . . . . . . . . . . . . . 551G 4.96 Salvestisüsteemi komponendi tõrge . . . . . . . . . . . . . 552G 4.97 Välisteenuse osutajaga seotud kitsaskohad . . . . . . . . . 553G 4.98 Pilvteenuste haldustööriistade tõrked pilvteenuste kasuta-

misel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555G 4.99 Rakenduste ebapiisavad või puuduvad turbemehhanismid . 556G 4.100 Integreeritud süsteemide riistvara tõrked ja riistvara vead . 558G 4.101 Keskse identiteedi- ja volituste halduse süsteemi tõrge . . 559G 4.E1 Teenusekatkestuste oht SSOga ühislogimisel . . . . . . . 560

ISKE ohtude kataloog G 561G 5.1 IT-seadmete või -tarvikute manipuleerimine ja hävitamine . . 566G 5.2 Andmete või tarkvara manipuleerimine . . . . . . . . . . . . 567G 5.3 Volitamatu sisenemine hoonesse . . . . . . . . . . . . . . . 568G 5.4 Vargus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569G 5.5 Vandalism . . . . . . . . . . . . . . . . . . . . . . . . . . . 570G 5.6 Füüsiline rünne . . . . . . . . . . . . . . . . . . . . . . . . . 571

13 / 781

G 5.7 Liinide pealtkuulamine . . . . . . . . . . . . . . . . . . . . . 572G 5.8 Liinide manipuleerimine . . . . . . . . . . . . . . . . . . . . 573G 5.9 IT-süsteemide volitamata kasutamine . . . . . . . . . . . . . 574G 5.10 Kaughooldeportide väärkasutus . . . . . . . . . . . . . . . 575G 5.11 Kodukeskjaamas (PBX) salvestatud andmete konfident-

siaalsuse kadu . . . . . . . . . . . . . . . . . . . . . . . . 576G 5.12 Telefonikõnede ja andmesaadetiste pealtkuulamine . . . . 577G 5.13 Pealtkuulamine kodukeskjaama (PBX) lõppseadmete

ruumides . . . . . . . . . . . . . . . . . . . . . . . . . . . 578G 5.14 Telefoniteenuste vargus . . . . . . . . . . . . . . . . . . . 579G 5.15 Kodukeskjaama rakenduste väärkasutus . . . . . . . . . . 580G 5.16 Ohud hoolde- ja haldustööde ajal . . . . . . . . . . . . . . 581G 5.18 Süstemaatiline paroolide mõistatamine . . . . . . . . . . . 582G 5.19 Kasutajaõiguste väärkasutus . . . . . . . . . . . . . . . . . 584G 5.20 Administraatori õiguste väärkasutus . . . . . . . . . . . . . 585G 5.21 Trooja hobused . . . . . . . . . . . . . . . . . . . . . . . . 586G 5.22 Kaasaskantava IT-süsteemi vargus . . . . . . . . . . . . . 587G 5.23 Pahavara . . . . . . . . . . . . . . . . . . . . . . . . . . . 588G 5.24 Sõnumite korduv sisestamine . . . . . . . . . . . . . . . . 589G 5.25 Maskeerimine . . . . . . . . . . . . . . . . . . . . . . . . . 590G 5.26 Sõnumivoo analüüsimine . . . . . . . . . . . . . . . . . . . 591G 5.27 Sõnumi salgamine . . . . . . . . . . . . . . . . . . . . . . 592G 5.28 Teenuse halvamine . . . . . . . . . . . . . . . . . . . . . . 593G 5.29 Andmekandjate volitamata kopeerimine . . . . . . . . . . . 594G 5.30 Faksiaparaadi või -serveri volitamata kasutamine . . . . . . 595G 5.31 Saabuvate fakside volitamata lugemine . . . . . . . . . . . 596G 5.32 Faksiaparaadi ja -serveri jääkinfo lugemine . . . . . . . . . 597G 5.33 Väära identiteedi kasutamine faksi saatmisel . . . . . . . . 598G 5.34 Faksi sihtaadressiklahvide ümberprogrammeerimine . . . . 599G 5.35 Faksisaadetistest tulenev ülekoormus . . . . . . . . . . . . 600G 5.39 Sissetung arvutitesse modemi kaudu . . . . . . . . . . . . 601G 5.40 Pealtkuulamine ruumis arvuti mikrofoni kaudu . . . . . . . 602G 5.41 Unix-süsteemi väärkasutus UUCP-ga . . . . . . . . . . . . 603G 5.42 Inimestega manipuleerimine (Social Engineering) . . . . . 604G 5.43 Makroviirused . . . . . . . . . . . . . . . . . . . . . . . . . 606G 5.44 Kodukeskjaama (PBX) kaughooldusportide väärkasutus . . 607G 5.48 IP-aadressi võltsimine . . . . . . . . . . . . . . . . . . . . 608G 5.49 Lähtemarsruutimise väärkasutus . . . . . . . . . . . . . . 609G 5.50 ICMP-protokolli väärkasutus . . . . . . . . . . . . . . . . . 610G 5.51 Marsruutimisprotokollide väärkasutus . . . . . . . . . . . . 611G 5.52 Windows NT administraatoriõiguste väärkasutus . . . . . . 612G 5.53 Mugavusest tingitud andmekappide väärkasutus . . . . . . 613G 5.57 Võrguanalüüsi tööriistad . . . . . . . . . . . . . . . . . . . 614G 5.61 Marsruuterite kaughaldusportide väärkasutus . . . . . . . 615G 5.63 ISDN-i D-kanali manipulatsioonid . . . . . . . . . . . . . . 616G 5.64 Andmete või tarkvara manipuleerimine andmebaasisüs-

teemides . . . . . . . . . . . . . . . . . . . . . . . . . . . 617G 5.65 Teenusetõkestus andmebaasisüsteemis . . . . . . . . . . 618G 5.66 IT-süsteemide volitamatud võrguühendused . . . . . . . . 619G 5.67 Võrguhaldusfunktsioonide volitamatu käivitamine . . . . . . 620

14 / 781

G 5.68 Volitamata juurdepääs aktiivsetele võrgukomponentidele . 621G 5.69 Varguseoht kodutöökohas . . . . . . . . . . . . . . . . . . 622G 5.70 Pereliikmete või külaliste manipulatsioonid kodutöökohas . 623G 5.71 Tundliku informatsiooni konfidentsiaalsuse kadu . . . . . . 624G 5.72 Rühmatarkvarasüsteemi kuritarvitamine . . . . . . . . . . . 625G 5.73 Saatja aadressi võltsimine . . . . . . . . . . . . . . . . . . 626G 5.75 Ülekoormus siseneva meili tõttu . . . . . . . . . . . . . . . 627G 5.77 Võõraste meilide lugemine . . . . . . . . . . . . . . . . . . 628G 5.78 DNS-i võltsimine . . . . . . . . . . . . . . . . . . . . . . . 629G 5.79 Windowsi süsteemide administraatoriõiguste volitamatu

omandamine . . . . . . . . . . . . . . . . . . . . . . . . . 631G 5.80 Pettemeilid . . . . . . . . . . . . . . . . . . . . . . . . . . 632G 5.81 Krüptomooduli volitamata kasutamine . . . . . . . . . . . . 633G 5.82 Krüptomooduli manipulatsioon . . . . . . . . . . . . . . . . 634G 5.83 Krüptograafiliste võtmete paljastamine . . . . . . . . . . . 635G 5.84 Võltsitud sertifikaadid . . . . . . . . . . . . . . . . . . . . . 636G 5.85 Tundliku informatsiooni tervikluse kadu . . . . . . . . . . . 637G 5.86 Haldusparameetrite manipulatsioon . . . . . . . . . . . . . 639G 5.87 Veebilehe võltsimine . . . . . . . . . . . . . . . . . . . . . 640G 5.88 Aktiivsisu väärkasutus . . . . . . . . . . . . . . . . . . . . 642G 5.89 Võrguühenduse ülevõtt . . . . . . . . . . . . . . . . . . . . 643G 5.90 Aadressi- ja levitusloendite manipuleerimine . . . . . . . . 644G 5.92 VPN-klientsüsteemi kasutamine VPN-serverina . . . . . . 645G 5.93 VPN-ühenduse kasutamise võimaldamine kõrvalistele isi-

kutele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646G 5.94 SIM-kaardi kuritarvitamine . . . . . . . . . . . . . . . . . . 647G 5.95 Pealtkuulamine ruumis mobiiltelefonidega . . . . . . . . . . 648G 5.96 Mobiiltelefoni ehituse muutmine . . . . . . . . . . . . . . . 649G 5.97 Volitamata andmeedastus mobiiltelefonide kaudu . . . . . 650G 5.98 Mobiilikõnede pealtkuulamine . . . . . . . . . . . . . . . . 651G 5.99 Mobiiltelefonikõnede ühenduseandmete analüüs . . . . . . 652G 5.100 Aktiivsisu väärkasutus Lotus Notesi poole pöördumisel . . 653G 5.101 Lotus Notesi häkkimine . . . . . . . . . . . . . . . . . . . 654G 5.102 Sabotaaž . . . . . . . . . . . . . . . . . . . . . . . . . . . 655G 5.103 Veebimeili väärkasutus . . . . . . . . . . . . . . . . . . . 656G 5.104 Infoluure . . . . . . . . . . . . . . . . . . . . . . . . . . . 657G 5.105 Arhiivisüsteemi teenuste halvamine . . . . . . . . . . . . 658G 5.106 Arhiivi andmekandjate volitamata ülekirjutamine ja kustu-

tamine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659G 5.107 Välisteenusepakkuja poolne andmete paljastamine kol-

mandatele isikutele . . . . . . . . . . . . . . . . . . . . . . 660G 5.110 Veebilutikad . . . . . . . . . . . . . . . . . . . . . . . . . 661G 5.111 Meilide aktiivsisu kuritarvitamine . . . . . . . . . . . . . . 662G 5.112 ARP-protokolli tabelitega manipuleerimine . . . . . . . . . 663G 5.113 MAC-aadresside võltsimine . . . . . . . . . . . . . . . . . 664G 5.114 Genereeriva puu (Spanning Tree) väärkasutus . . . . . . 665G 5.115 Virtuaalsete kohtvõrkude vaheliste piiride ületamine . . . 666G 5.116 z/OS-i konfiguratsiooni manipuleerimine . . . . . . . . . . 667G 5.117 z/OS-i manipuleerimise varjamine . . . . . . . . . . . . . 669G 5.118 Suuremate õiguste volitamatu omandamine RACF-is . . . 670

15 / 781

G 5.119 Võõraste kasutajatunnuste kasutamine z/OS-is . . . . . . 671G 5.120 Linux/zSeries-i konfiguratsiooni manipuleerimine . . . . . 672G 5.121 z/OS-süsteemi rünne TCP/IP-ühenduse kaudu . . . . . . 674G 5.122 z/OS-i RACF-i atribuutide väärkasutus . . . . . . . . . . . 675G 5.123 Ruumide pealtkuulamine kaasaskantavate seadmetega . 676G 5.124 Kaasaskantavate seadmete teabe väärkasutus . . . . . . 677G 5.125 Volitamatu andmeedastus kaasaskantavate seadmetega . 678G 5.126 Volitamatu pildistamine ja filmimine kaasaskantavate

seadmetega . . . . . . . . . . . . . . . . . . . . . . . . . 679G 5.128 Volitamatu juurdepääs andmetele seoses võõra koodi lisa-

misega SAP tarkvarasse . . . . . . . . . . . . . . . . . . . 680G 5.129 Andmete manipuleerimine salvestisüsteemi kaudu . . . . 681G 5.130 Salvestisüsteemi konfiguratsiooni manipuleerimine . . . . 682G 5.131 SQL-injektsioon . . . . . . . . . . . . . . . . . . . . . . . 683G 5.132 RDP-seansi kompromiteerimine alates Windows Server

2003-st . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684G 5.133 Veebipõhiste administreerimisvahendite volitamata kasu-

tamine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 685G 5.134 Telefonikõne osapoolte puudulik identifitseerimine . . . . 686G 5.135 SPIT ja Vishing . . . . . . . . . . . . . . . . . . . . . . . 688G 5.136 Vaba ligipääsuga telefoniliinide kuritarvitamine . . . . . . 689G 5.137 Traadita sideühenduse andmete analüüs . . . . . . . . . 690G 5.138 WLAN-i komponentide vastu suunatud ründed . . . . . . 691G 5.139 WLAN-i side pealtkuulamine . . . . . . . . . . . . . . . . 693G 5.140 Printerite, koopiamasinate ja multifunktsionaalsete sead-

mete jääkinfo lugemine . . . . . . . . . . . . . . . . . . . . 694G 5.141 Andmevargus kaasaskantavate andmekandjatega . . . . 695G 5.142 Pahavara levimine kaasaskantavate andmekandjate kaudu 696G 5.143 Man-in-the-Middle tüüpi rünne . . . . . . . . . . . . . . . 697G 5.144 Kataloogiteenuste kompromiteerimine volitamata juurde-

pääsu kaudu . . . . . . . . . . . . . . . . . . . . . . . . . 698G 5.145 Andmete ja utiliitide manipuleerimine turvapaikade ja muu-

datuste haldamisel . . . . . . . . . . . . . . . . . . . . . . 699G 5.146 Saalimisfailidest tingitud konfidentsiaalsuse kadu . . . . . 700G 5.147 Volitamata lugemine või segamine virtualiseerimisvõrgus . 701G 5.148 Virtualiseerimisfunktsioonide kuritarvitamine . . . . . . . 703G 5.149 Külalistööriistade kuritarvitamine virtuaalsetes IT-

süsteemides . . . . . . . . . . . . . . . . . . . . . . . . . 705G 5.150 Virtuaalsete IT-süsteemide hüperviisori kompromiteerimine 707G 5.151 DNS-i üleujutamine ja teenusetõkestamine . . . . . . . . 709G 5.152 DNS-i kaaperdamine . . . . . . . . . . . . . . . . . . . . 710G 5.153 DNS-i ülevõimendamine . . . . . . . . . . . . . . . . . . 711G 5.154 DNS-i info lekkimine . . . . . . . . . . . . . . . . . . . . . 712G 5.155 DNS-i dünaamiliste värskenduste ärakasutamine . . . . . 713G 5.156 Robotvõrgud . . . . . . . . . . . . . . . . . . . . . . . . . 714G 5.157 Andmepetturlus ja Pharming . . . . . . . . . . . . . . . . 716G 5.158 Sotsiaalvõrgustike väärkasutus . . . . . . . . . . . . . . . 717G 5.159 Liikumisprofiilide koostamine Bluetooth’iga . . . . . . . . 719G 5.160 Bluetooth’i profiilide väärkasutus . . . . . . . . . . . . . . 720G 5.161 Võltsitud vastused XDMCP-levisaatele terminaliserveritel 721

16 / 781

G 5.162 X-Windowsi seansside ümberjuhtimine . . . . . . . . . . 723G 5.163 Exchange’i süsteemide vastu suunatud ründed . . . . . . 724G 5.164 Programmeerimisliideste väärkasutus Outlookis . . . . . 725G 5.165 Volitamata juurdepääs veebirakenduse andmetele või and-

mete manipuleerimine . . . . . . . . . . . . . . . . . . . . 726G 5.166 Automatiseeritud kasutusest tingitud veebirakenduste

väärkasutus . . . . . . . . . . . . . . . . . . . . . . . . . . 727G 5.167 Veebirakenduste loogikavead . . . . . . . . . . . . . . . . 728G 5.168 Veebirakenduste turbefunktsioonide kasutamise eiramine

klientprogrammides . . . . . . . . . . . . . . . . . . . . . . 729G 5.169 Veebirakenduste ja veebiteenuste puudulik seansihaldus . 730G 5.170 Murdskriptimisründed (XSS) . . . . . . . . . . . . . . . . 731G 5.171 Cross-Site Request Forgery (CSRF, XSRF, Session Riding) 733G 5.172 Veebirakenduste ja veebiteenuste autentimise eiramine . 734G 5.173 Võõraste andmete ja pahavara koodi smugeldamine vee-

birakendustesse . . . . . . . . . . . . . . . . . . . . . . . 736G 5.174 Injektsiooniründed . . . . . . . . . . . . . . . . . . . . . . 738G 5.175 Klõpsurööv (clickjacking) . . . . . . . . . . . . . . . . . . 739G 5.176 Logiandmete edastuse kompromiteerimine tsentraalses

logimises . . . . . . . . . . . . . . . . . . . . . . . . . . . 740G 5.177 Lühi-URL-ide või QR-koodide kuritarvitamine . . . . . . . 742G 5.179 Logide vastu suunatud ründed . . . . . . . . . . . . . . . 744G 5.180 Registrite ja hoidlate vastu suunatud ründed . . . . . . . . 745G 5.181 Veebiteenuste isikutuvastuse ja pääsuõiguste halduse

vastu suunatud ründed . . . . . . . . . . . . . . . . . . . . 746G 5.182 Marsruutide manipuleerimine (Routing Detours) . . . . . . 748G 5.183 XML-i vastu suunatud ründed . . . . . . . . . . . . . . . . 749G 5.184 Andmete hankimine veebiteenuste kaudu . . . . . . . . . 752G 5.185 Füüsiline juurdepääs salvestusvõrgu kommutaatoritele

(SAN-switch’idele) . . . . . . . . . . . . . . . . . . . . . . 754G 5.186 Juurdepääs teiste teenusetarbijate andmetele WWN-

Spoofing’uga . . . . . . . . . . . . . . . . . . . . . . . . . 755G 5.187 Võrgu loogiliste lahutuspiiride ületamine . . . . . . . . . . 756G 5.189 Salvestipõhiste replikeerimismeetodite konfidentsiaalsuse

kadu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757G 5.190 Teenuste väärkasutus . . . . . . . . . . . . . . . . . . . . 758G 5.191 Teenusarvete andmete manipuleerimine . . . . . . . . . . 759G 5.192 Helistaja või SMS-i saatja telefoninumbri võltsimine . . . . 760G 5.193 Nutitelefonide, tahvel- ja pihuarvutite ebapiisav kaitse pa-

havara eest . . . . . . . . . . . . . . . . . . . . . . . . . . 761G 5.194 GSM-koodide smugeldamine telefonifunktsioonidega

lõppseadmetesse . . . . . . . . . . . . . . . . . . . . . . . 762G 5.195 Turvaaukude ärakasutamine Backend-rakendustes . . . . 763G 5.196 Teabe ja teenuste sünkroniseerimise takistamine jaotatud

SOA-keskkonnas . . . . . . . . . . . . . . . . . . . . . . . 764G 5.197 SAML-pääsmiku väärkasutus SOA-keskkonnas . . . . . . 765G 5.198 WS-Notification-Broker’i väärkasutus SOA-s . . . . . . . . 766G 5.199 SOAP-suhtluse ebapiisav kaitse . . . . . . . . . . . . . . 767G 5.200 Suuniste manipuleerimine SOA-s . . . . . . . . . . . . . 768

17 / 781

G 5.201 Manipuleeritud tarkvaravärskenduste ja uute versioonidepaigaldamine integreeritud süsteemides . . . . . . . . . . 769

G 5.203 Füüsikaline sekkumine integreeritud süsteemi . . . . . . . 770G 5.204 Sissetungimine ja manipuleerimine integreeritud süs-

teemide suhtlusliidese kaudu . . . . . . . . . . . . . . . . 771G 5.205 Võltsitud komponentide kasutamine . . . . . . . . . . . . 772G 5.206 Pöördkonstrueerimine . . . . . . . . . . . . . . . . . . . . 773G 5.E4 PIN-koodide vargus ja/või volitamata kasutamine . . . . . . 774G 5.E5 ID-kaardi või sarnase seadme vargus või röövimine . . . . 775G 5.E6 PIN koodi ja ID-kaardi (või sarnase seadme) üheaegne var-

gus või röövimine . . . . . . . . . . . . . . . . . . . . . . . 776G 5.E7 Pahavara rünne signeerimis- või autentimissüsteemile . . . 777G 5.E8 Välise teenuseosutaja poolne käideldavuse häirimine . . . 779G 5.E9 Välise teenuseosutaja poolne tervikluse häirimine . . . . . 780G 5.E10 Välise teenuseosutaja poolne konfidentsiaalsuse häirimine 781

18 / 781

ISKE kataloogide versiooni 8.05muutelugu

Lisatud ohud

G 2.202 Lock-in-efektG 2.203 Integreeritud pilve-funktsioonG 2.204 TPM-i kasutamineG 2.205 Puuduv hädaolukorra ennetamise kava teenusele suunatud arhitektuuri-de jaoksG 2.206 Mitteküllaldased turvanõuded integreeritud süsteemide väljatöötamiselG 2.207 Kaitsmata sisend- ja väljundliidesed integreeritud süsteemidesG 2.208 Integreeritud süsteemide elektrooniliste komponentide mitteküllaldanefüüsiline kaitseG 2.209 Tarkvara jaoks väära arenduskeskkonna valimineG 2.210 Arenduskeskkondade ebapiisavalt turvatud kasutamineG 2.211 Väära protsessimudeli valik tarkvaraarenduseksG 2.212 Ebapiisav arvestamine konfiguratsioonivalikutega tarkvaraarendusesG 2.213 Tarkvaraarenduse protsessi puuduv või puudulik kvaliteedi tagamineG 2.214 Identiteedi- ja volituste halduse puuduv või mitteküllaldane kontseptsioonG 4.100 Integreeritud süsteemide riistvara tõrked ja riistvara veadG 4.101 Keskse identiteedi- ja volituste halduse süsteemi tõrgeG 5.195 Turvaaukude ärakasutamine Backend-rakendustesG 5.196 Teabe ja teenuste sünkroniseerimise takistamine jaotatud SOA-keskkonnasG 5.197 SAML-pääsmiku väärkasutus SOA-keskkonnasG 5.198 WS-Notification-Broker’i väärkasutus SOA-sG 5.199 SOAP-suhtluse ebapiisav kaitseG 5.200 Suuniste manipuleerimine SOA-sG 5.201 Manipuleeritud tarkvaravärskenduste ja uute versioonide paigaldamineintegreeritud süsteemidesG 5.203 Füüsikaline sekkumine integreeritud süsteemiG 5.204 Sissetungimine ja manipuleerimine integreeritud süsteemide suhtlusliid-ese kauduG 5.205 Võltsitud komponentide kasutamineG 5.206 Pöördkonstrueerimine

19 / 781

Muudetud ohud

G 1.1 Personali väljalangemineG 1.2 IT-süsteemi avariiG 1.4 KahjutuliG 1.5 VesiG 1.7 Lubamatu temperatuur ja niiskusG 1.8 Tolm, saastumineG 1.9 Tugevast magnetväljast tingitud andmekaduG 1.10 Laivõrgu tõrgeG 1.14 Tugevast valgusest tingitud andmekaduG 1.18 Hoone väljalangemineG 1.19 Teenusepakkuja või tarnija väljalangemineG 2.1 Reeglite puudumine või puudulikkusG 2.2 Reeglite puudulik tundmineG 2.3 Puuduvad, puudulikud või ühildumatud ressursidG 2.4 Turvameetmete ebapiisav järelevalveG 2.5 Hoolduse puudumine või puudulikkusG 2.6 Volitamata pääs ruumidesseG 2.7 Õiguste volitamata kasutamineG 2.8 Ressursside kontrollimatu kasutamineG 2.9 Halb kohanemine IT muutustegaG 2.10 Probleemid andmekandjate kättesaadavusegaG 2.15 Konfidentsiaalsusaugud Unix-süsteemisG 2.17 Andmekandjate puudulik märgistusG 2.19 Krüpteerimise halb korraldusG 2.21 Korraldamata kasutajavahetusG 2.22 Logiandmete analüüsimata jätmineG 2.24 Kaitsetus välisvõrgu vastuG 2.26 Ebapiisavad või puuduvad tarkvara katsetamis- ja teavitusprotseduuridG 2.27 Ebapiisav või puuduv dokumentatsioonG 2.28 Autoriõiguste rikkumineG 2.29 Tarkvara testimine tootmisandmetegaG 2.32 Võrgu ebapiisav võimsusG 2.44 Ühildamatud võrgu aktiiv- ja passiivkomponendidG 2.45 Võrgu konseptuaalsed puudusedG 2.46 Maksimaalse lubatava kaabli- või siinipikkuse või ringi suuruse ületamineG 2.48 Andmekandjate ja dokumentide puudulik hävitamineG 2.54 Konfidentsiaalsuse kadu jääkinfo kauduG 2.62 Turvaintsidentide puudulik käsitlusG 2.66 Puudulik infoturbehaldusG 2.67 Pääsuõiguste puudulik haldusG 2.72 Arhiivisüsteemide üleviimise puudusedG 2.73 Arhiivisüsteemide puudulikud kontrolljäljedG 2.74 Arhiivide indekseerimisvõtmete puudusedG 2.75 Arhiivi salvestuskandjate ebapiisav mahtG 2.76 Arhiivipöörduste puudulik dokumenteerimineG 2.77 Paberdokumentide elektroonilise arhiveerimise puudusedG 2.78 Arhiveeritud andmestike regenereerimise puudusedG 2.79 Arhiivisäilikute digitaalsignatuuride regenereerimise puudused

20 / 781

G 2.80 Arhiveerimisprotseduuride puudulik auditeerimineG 2.81 Arhiivi andmekandjate puudulik hävitamineG 2.82 Arhiivisüsteemi asukoha halb planeerimineG 2.83 Halb väljasttellimise strateegiaG 2.84 Puudused välisteenusepakkujaga sõlmitud lepingu tingimustesG 2.85 Ebapiisavad tingimused väljasttellimise kasutamise lõpetamiseksG 2.86 Sõltuvus välisteenusepakkujastG 2.87 Ebaturvalised protokollid avalikes võrkudesG 2.88 Väljast tellitava projekti negatiivne mõju organisatsiooni sisekliimaleG 2.89 Puudulik infoturve väljasttellimise sissejuhatavas etapisG 2.93 Puudulik jätkusuutlikkuse planeerimine väljasttellimise korralG 2.102 Inimeste infoturbeteadlikkuse ebapiisav suurendamineG 2.103 Töötajate ebapiisav koolitamineG 2.105 Õigusaktide ja lepinguliste kokkulepete rikkumineG 2.106 Turbeintsidentidest tingitud häiringud tööprotsessidesG 2.107 Puudulikust infoturbehaldusest tingitud ressursside ebaökonoomnekasutamineG 2.133 Kohustuste puudulik jaotus turvapaikade ja muudatuste haldamiselG 2.134 Ebapiisavad ressursid turvapaikade ja muudatuste haldamiselG 2.135 Puudulik side turvapaikade ja muudatuste haldamiselG 2.136 Puudulik ülevaade IT-kooslusestG 2.137 Ebapiisav või puuduv planeerimine turvapaikade ja muudatuste evita-miselG 2.138 Puudulikud taastamisvõimalused turvapaikade ja muudatuste haldamiselG 2.139 Puudulik arvestamine mobiilsete terminalidega turvapaikade ja muuda-tuste haldamiselG 2.140 Ebapiisav hädaolukorraks valmisoleku kontspetsioon turvapaikade jamuudatuste haldamiselG 2.141 Märkamata jäänud turvaintsidendidG 2.142 Tõendite hävitamine turvaintsidentide käsitlemiselG 2.151 Virtuaalsetel IT-süsteemidel kasutatavate rakenduste ebapiisav tootjatugiG 2.167 Puudulik või ebapiisav eelkontroll isikuandmete töötlemiselG 2.188 Pilvteenuse litsentsihalduse puudulik regulatsioonG 2.189 Pilvteenuse kasutamise puuduv või puudulik strateegiaG 2.190 Pilvteenuse kasutamise ebapiisav administreerimismudelG 2.191 Ebapiisav rollide ja volituste kontseptsioonG 2.192 Piisava kvalifikatsiooniga personali puudusG 2.193 Institutsiooni ebapiisav kohandamine pilvteenuste kasutamisegaG 2.195 Teenuste osutamise puudulik seireG 2.196 Pilvteenuste tervikliku kasutustsükli puuduv tulude ja kulude analüüsG 2.197 Pilvteenuste ebapiisav sidumine enda IT-lahendustegaG 2.198 Pilvteenustele üleviimise puudulik planeerimineG 2.199 Pilvteenuste teenusepakkuja puudulik valimineG 2.201 Ebapiisav arvestamine töökeskkonnas aset leidnud muudatustegaG 3.1 Andmete konfidentsiaalsuse või tervikluse kadu kasutaja vea tõttuG 3.2 Seadme või andmete hävitamine hooletuse tõttuG 3.3 Hooletus turvameetmete suhtesG 3.5 Liinide juhuslik kahjustamineG 3.6 Koristajad jm väljastpoolt tellitud töötajadG 3.8 IT-süsteemi väär kasutamine

21 / 781

G 3.11 Sendmaili väär konfiguratsioonG 3.13 Väära või soovimatu andmekogumi saatmineG 3.17 Arvutikasutajate väär vahetumineG 3.31 Struktureerimata andmekorraldusG 3.32 Seaduste rikkumine krüptoprotseduuride kasutamiselG 3.33 Krüptomoodulite väär kasutamineG 3.34 Võrguhaldussüsteemi ebasobiv konfiguratsioonG 3.36 Sündmuste väär tõlgendamineG 3.37 Tulemusteta otsingudG 3.38 Vead konfigureerimisel ja kasutamiselG 3.43 Puudulik paroolihooldusG 3.44 Teabe hooletu kasutamineG 3.48 Windowsiga töötavate IT-süsteemide väär konfiguratsioonG 3.54 Ebasobiva andmekandja kasutamine arhiveerimiseksG 3.77 Infoturbe vähene aktsepteerimineG 3.92 Turvapaikade ja muudatuste prioriteetide väär hindamineG 3.97 Konfidentsiaalsuse kadu vaatamata draivide krüpteerimisele BitLockerigaG 3.105 Väliste teenuste volitamata kasutamineG 3.122 Pilveteenuse väär kasutusG 3.123 Mobiil- ja nutitelefonide ning tahvel- ja pihuarvutite keelatud kasutamineeraotstarbelG 3.E1 ID-kaardi, digi-ID või mobiil-ID hooletu üleandmine teisele isikuleG 4.7 Defektsed andmekandjadG 4.10 Keerukad ligipääsuvõimalused võrgustatud IT-süsteemidesG 4.13 Salvestatud andmete hävimineG 4.20 Andmekadu andmekandja täitumise tõttuG 4.22 Tüüptarkvara turvaaugud või veadG 4.26 Andmebaasi rikeG 4.30 Andmebaasi tervikluse ja vastavuse kaduG 4.33 Autentimise puudumine või puudulikkusG 4.35 Ebaturvaline krüptoalgoritmG 4.57 Häired IP-kõne kasutamisel üle VPNiG 4.73 Tarkvara funktsioonide kahjustamine Windowsi versioonide ühilduvus-probleemide tõttuG 4.87 Konfidentsiaalse info ilmsikstulek veebirakendustesG 4.98 Pilvteenuste haldustööriistade tõrked pilvteenuste kasutamiselG 5.7 Liinide pealtkuulamineG 5.18 Süstemaatiline paroolide mõistatamineG 5.23 PahavaraG 5.71 Tundliku informatsiooni konfidentsiaalsuse kaduG 5.85 Tundliku informatsiooni tervikluse kaduG 5.87 Veebilehe võltsimineG 5.143 Man-in-the-Middle tüüpi rünneG 5.181 Veebiteenuste isikutuvastuse ja pääsuõiguste halduse vastu suunatudründedG 5.190 Teenuste väärkasutusG 5.E10 Välise teenuseosutaja poolne konfidentsiaalsuse häirimine

22 / 781

23 / 781

24 / 781

ISKE ohtude kataloog G

Ohtude nimekiri

G 1.1 Personali väljalangemine . . . . . . . . . . . . . . . . . . . 26G 1.2 IT-süsteemi avarii . . . . . . . . . . . . . . . . . . . . . . . . 27G 1.3 Äike . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29G 1.4 Kahjutuli . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30G 1.5 Vesi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31G 1.6 Kaablite süttimine . . . . . . . . . . . . . . . . . . . . . . . 32G 1.7 Lubamatu temperatuur ja niiskus . . . . . . . . . . . . . . . 33G 1.8 Tolm, saastumine . . . . . . . . . . . . . . . . . . . . . . . 34G 1.9 Tugevast magnetväljast tingitud andmekadu . . . . . . . . . 35G 1.10 Laivõrgu tõrge . . . . . . . . . . . . . . . . . . . . . . . . . 36G 1.11 Keskkonnaõnnetuste mõjud . . . . . . . . . . . . . . . . . 37G 1.12 Massiüritustest tingitud probleemid . . . . . . . . . . . . . 38G 1.13 Tormid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39G 1.14 Tugevast valgusest tingitud andmekadu . . . . . . . . . . . 40G 1.15 Muutuvast rakenduskeskkonnast tingitud kahjustused . . . 41G 1.16 Kaablijaotusseadmete väljalangemine põlengu tõttu . . . . 42G 1.17 Raadiovõrgu väljalangemine . . . . . . . . . . . . . . . . . 43G 1.18 Hoone väljalangemine . . . . . . . . . . . . . . . . . . . . 44G 1.19 Teenusepakkuja või tarnija väljalangemine . . . . . . . . . 45

25 / 781

G 1.1 Personali väljalangemine

Personali väljalangemine võib suuresti mõjutada nii asutusi kui ka nende äriprot-sesse. Personal võib ootamatult välja langeda näiteks haiguste, õnnetuste, surmavõi streikide tõttu. Lisaks tuleb arvestada ka personali ettenähtud väljalangemise-ga näiteks puhkuse, edasiõppe või töölepingu lõpetamise korral. Seda eriti juhul,kui järelejäänud tööaega lühendatakse veel omakorda puhkuse väljavõtmisega.

Kõikidel juhtudel võib tagajärg olla see, et personali väljalangemise tõttu ei oleenam võimalik täita olulisi ülesandeid. See on eriti kriitiline juhul, kui puudutatudisikul on äriprotsessis võtmeroll ja puuduvate erialateadmiste tõttu ei saa teisedisikud teda asendada. Tulemuseks võivad olla tõrked IT kasutamises. See võibhäirida ka asutuse teiste osakondade ja protsesside tööd.

Personali väljalangemine võib endaga kaasa tuua teadmiste ja salastatudinformatsiooni kao, mis välistab vastava töö üleandmise teistele isikutele.

Näited

• Pikema haigusperioodi tõttu jäi ettevõtte võrguadministraator tööst kõrvale.Ettevõtte võrk töötas alguses täiesti normaalselt. Kahe nädala pärast jooksissüsteem kokku ja keegi ei olnud võimeline viga kõrvaldama, kuna peale selleadministraatori ei tegelenud võrgusidega mitte keegi. Selle tõttu oli võrk mitupäeva maas.

• Administraatori puhkuse ajal oli asutuses vaja andmevarunduseks ligi pää-seda andmevarundusseifi varunduslintidele. Seifi ligipääsukoodi muudeti al-les hiljuti ja koodi teadis ainult puhkusel olev administraator. Andmed olivõimalik taastada alles mitme päeva pärast, kuna vastavat administraatoritei saadud kiiremini kätte.

• Pandeemia tulemusena langes järjest välja üha rohkem töötajaid – kas hai-gestumise tõttu, vajadusest lähedaste eest hoolitseda, hoida lapsi, kes eisaanud kooli või lasteaeda minna, või hirmust ühistranspordis või asutusesnakkust saada. Teha sai ainult vajalikke töid. Vajalikke süsteeme, olgu nen-deks siis keskne server või andmekeskuse kliimaseade, ei olnud enam või-malik hooldada. Seetõttu langes rivist välja järjest rohkem süsteeme.

26 / 781

G 1.2 IT-süsteemi avarii

Kesksete komponentide avariiIT-süsteemi ühe komponendi väljalangemine võib põhjustada kogu IT käituse

hädaolukorra, mis tähendab oluliste tööprotsesside seiskumist. Kogu süsteemiavariini võivad viia just IT-süsteemi kesksed komponendid, nt kohtvõrguühenduseserver või võrguühenduselemendid. Kogu IT-süsteemi võivad hädaolukorda viiaka tehnilise infrastruktuuri üksikud komponendid, nt kliima- või toitevõrguseade.

Tehnilised rikked / inimveadMitte alati ei tulene IT-süsteemi avarii tehnilisest rikkest (nt G 4.1 Toitevõrgu

katkestus ). Hädaolukorra põhjuseks võivad olla ka inimvead (nt G 3.2 Seadmevõi andmete hävitamine hooletuse tõttu ) või inimese tahtlik tegevus (nt G 5.4Vargus või G 5.102 Sabotaaž ). Tehnilisi rikkeid võib põhjustada ka puudulikhooldus, nt hoolduspersonali puudumine. Samuti võivad kahju tekitada väärama-tud jõud (nt tuli, pikselöök, keemiaõnnetus). Viimasel juhul on kahjud peaaeguneljandiku võrra suuremad.

Kui avarii toimub IT-süsteemis, millega käitatakse kiireloomulisi andmeid, onkogu süsteemi väljalangemise tagajärjel tekkivad kahjud väga suured – sedajuhul, kui tööd ei ole võimalik mujal jätkata.

Näited

• Toitevõrgu ülepinge tõttu saab kahjustada olulise IT-süsteemi üks võrguosa.Kuna tegemist on vanema mudeliga, ei ole asendusosa võimalik kohe han-kida. Kogu päeva kestvate parandustööde ajal ei saa IT-süsteemi kasutada.

• IT-süsteemi sisestati püsivara, mis ei ole mõeldud sellele süsteemitüübile.See põhjustab IT-süsteemis vigu ja nii peab tootja muutma kogu süsteemitaas käitatavaks.

• Internetiteenuse pakkuja (ISP) salvestussüsteemi toitevõrgu rike põhjustabsalvestussüsteemi väljalülitumise. Kuigi tegeliku rikke saab kiiresti kõrvalda-da, ei saa vastavaid IT-süsteeme seejärel taas käitada, kuna andmesüstee-mis esineb ebakõlasid. Kuniks kõik üleskerkinud probleemid kõrvaldatakse,ei ole ISP käitatavad veebiserverid mitu päeva kättesaadavad.

• Elektroonilisel arhiveerimisel võib dokumendi esmakordse arhiveerimisekuupäeva pidada ekslikult dokumendi koostamise kuupäevaks, kui ei olemuid tõendeid dokumendi koostamise aja kohta, nt ei kasutata kuupäeva-templit. See puudutab eelkõige tööprotsesse, milles on nähtavalt ühendatudelektroonilise arhiveerimise kõik tõendiandmed. Sellisel juhul saab arhiivi-komponendi avarii tõttu üht tõendiandmete osa arhiveerida alles päev hil-jem. Ainukirjutusega andmekandja dokumenteerib dokumentide füüsilise ar-hiveerimise järjekorra siiski õigesti. Dokumenteerimata jäeti aga arhiivikom-ponendi avarii põhjustatud arhiveerimisviivitus, mida tavaolukorras ei esine.

27 / 781

Seepärast jäi hilisemal kontrollimisel mulje, et süsteemiga on tagantjärelemanipuleeritud.

28 / 781

G 1.3 Äike

Hoonele ja selles olevale IT-tehnikale kujutab äikese ajal kõige suuremat ohtuvälk. Välgulöögid saavutavad rohkem kui 100 000 voldise pinge juures 200 000amprise voolutugevuse ning see ülimalt suur hulk elektrienergiat vabastatakse jamaandatakse 50–100 mikrosekundi jooksul. Selline välk, mis lööb sisse umbes 2km kaugusel, põhjustab hoone elektrikaablites ikkagi pinge, mis võib viia tundlikeelektriseadmete purunemiseni. Need kaudsed kahjud suurenevad välgu sisselöö-gikauguse vähenemisega.

Kui välk lööb otse hoonesse, tekivad välgu dünaamilise energia tõttu kahjud.Nendeks võivad olla hoone kahjud (katus ja fassaad), põlenguga tekkivad kahjudvõi elektriseadmetel tekkivad ülepingekahjud.

Näited

• Ühes suures lennujaamas lõi äike sisse kontrolltorni vahetusse lähedusse.Välisest piksevardast hoolimata käivitus IT-osakonnas tulekustutussüsteem,mis seiskas lennujaama töö ligi kaheks tunniks.

• Otseste kahjude kõrval on äikeselöökidega sageli seotud ka kaugemale ula-tuvad kahjud. Näiteks 1999. aasta aprillis põhjustas äikeselöök Darmstad-ti piirkonnas asuva kõrgepingeliini lühiajalise voolukatkestuse, mis mõjutasumbes 80 000 isikut.

29 / 781

G 1.4 Kahjutuli

Lisaks hoonele ja selle sisustusele tulekahju tõttu tekkivatele otsestele kahjudeleon võimalik välja tuua ka hilisemaid kahjusid, millel võib olla laiaulatuslik kahjupo-tentsiaal ennekõike IT-tehnika jaoks. Veekahjud ei teki mitte ainult põlengukohas– need võivad tekkida ka hoone kaugemates osades. PVC (polüvinüülkloriid)põlemisel tekivad kloorigaasid, mis moodustavad koos õhuniiskuse ja kustutus-veega soolhappe. Kui soolhappeaurud kanduvad kliimaseadme kaudu edasi,võivad need kahjustada ka tulekoldest väga kaugel asuvaid tundlikke elektroonilisiseadmeid. Samamoodi võib ka „tavaline” suits mõjuda IT-ettevõttele kahjulikult.

Tulekahju ei teki ainult tulega hooletult ümberkäimise tõttu (näiteks järelevalvetajäetud lahtine leek, tinutus- ja keevitustööd), vaid ka elektrooniliste seadmete vää-ra kasutamise korral (näiteks järelevalveta jäetud kohvimasin, pikendusjuhtmeteülekoormus). Tulekahju põhjuseks võib olla ka elektroonilise seadme tehniline de-fekt.

Tulekahju levikut soodustavad muu hulgas:

• tuleeralduste blokeerimine kiiludega,• kergestisüttivate materjalide vale hoiustamine (näiteks vanapaber),• tulekahju ärahoidmise normide ja eeskirjade eiramine,• puuduvad teavitusseadmed (näiteks suitsuandurid),• puuduvad käsikustutid või automaatsed kustutussüsteemid (näiteks gaasi-

kustutussüsteem) või nende kasutuskõlbmatus,• ebapiisav tulekahjuennetus (näiteks kaablitrassidel puudub tulekaitse või

seinte ja heli isoleerimiseks kasutatakse ebasobivat isolatsioonimaterjali).

Näited

• 1990. aastate alguses sai üks suur andmekeskus ulatuslikke põlengukah-jusid, mille tulemusel langes asutus täies ulatuses rivist välja.

• Ikka ja jälle juhtub, et väikesed elektriseadmed, nagu näiteks kohvimasinadvõi laualambid, on valesti paigaldatud ning põhjustavad tulekahju.

30 / 781

G 1.5 Vesi

Kontrollimatult hoonesse või ruumidesse tungiva vee põhjused võivad muu hulgasolla järgmised:

• vihm, kõrgvesi, üleujutused,• tõrked veevarustuses või reoveesüsteemis,• küttesüsteemi defekt,• veeühendusega kliimaseadme defekt,• kustutussüsteemi defekt,• tulekahju kustutamiseks kasutatud vesi ja• sabotaaž, näiteks veekraanide avamine ja äravoolude ummistamine.

Olenemata sellest, millisel moel vesi hoonesse või ruumidesse jõuab, võivadvarustussüsteemid või IT-komponendid kahjustada saada või rivist välja langeda(lühis, mehaaniline kahjustus, rooste jne). Kui hoone kesksed varustussüsteemid(voolu-, telefoni-, andmesidesüsteemi peakilp) on paigutatud keldriruumidesse,millel pole eraldi kuivendust, võib sissetungiv vesi põhjustada suuri kahjustusi.

Näited

• Paljud ettevõtted ei näe suurvees märkimisväärset ohtu. Nii sattus üks ette-võte korduvalt hämmingusse, kui suurvesi andmekeskuses „üllatas” – and-mekeskus ujus 14 kuu jooksul juba teist korda sõna otseses mõttes minema.Tekkinud kogukahju ulatus mitmesaja tuhande euroni ja kindlustus seda eikatnud.

• Serveriruumis oli lae alla paigaldatud kipsplaatidega kaetud veetoru ja ühtlekkivat toruühendust ei märgatud õigel ajal. Torust tulev vesi kogunes es-malt katte kõige sügavamasse punkti, väljus siis katte seest, langes katte allasuvale elektrikilbile ja põhjustas lühise. Selle tõttu oli kogu vastava hoone-osa vee- ja vooluvarustus remonditööde lõpuni katkenud.

31 / 781

G 1.6 Kaablite süttimine

Kaabli süttimisel on tõsised tagajärjed olenemata sellest, kas see süttis ise või tulemõjul.

• Kaabliisolatsiooni hävimisega võivad kaasneda lühised või kehaühendused,mis viivad vastavate kaitsevahendite (kaitselülitid või kaitsmed) käivitumisenija ühenduse katkemiseni.

• Katkeda võib üksikute kaablisoonte või terve kaabli ühendus. Eriti kriitilineon ainult maanduse (PE) katkemine siis, kui aktiivsed juhid (L ja N) on ikkaveel kasutuses. Kaitsemeetmed on sellisel juhul kehtetud. Otsene oht tekibsiis, kui PEN-juhe langeb TNC-võrgust välja. Sel juhul hakkaksid esimeseturbeastme seadmete korpused äkitselt voolu juhtima. Elektrilöögi oht onsel juhul ilmselge.

• Tekkida võivad agressiivsed gaasid. Ühest küljest võivad need tekitada kor-rosiooni, st kahjustada IT- ja sidetehnikat. Teisest küljest võivad need gaasidolla ka toksilised, st tekitada kahju inimestele (näiteks mürgitused). Korro-siooni põhjustavad gaasid võivad ka rünnata nt raudbetoonist lagesid, seinuja kandvaid hoonekomponente. See aga tekitab hilisemal kaablitulekahjusaneerimisel staatilisi probleeme.

• Tulekahju võib edasi kanduda kaablitel, mille isolatsioonimaterjal ei ole ise-kustuv. Samas isegi tuletõkked ei takista tuld täielikult, ainult aeglustavadselle levikut.

• Tihedalt täidetud trassides võib tekkida hõõgumine, mis jääb alguses mär-kamata. Hõõgumine soodustab tule levikut pikka aega enne seda, kui seetegelikult lahvatab. Kaablite soojenemise tulemuseks on vähendatud läbi-laskevõime ja silmuse takistuse suurenemine. Seeläbi võib tekkida lisasoo-jenemine, mis veel omakorda kriitilist protsessi kiirendab.

Kaablipõlengute tekkestaadiumis tõuseb temperatuur minimaalselt. Seetõttu onlisaoht, et „külma” suitsu tõttu tekivad suitsukahjustused juba enne, kui lakke pai-galdatud suitsuandurid reageerida jõuavad.

Näide

• Haldushoones ei asendatud ühte elektrikaablit, kuna see oleks kaasa too-nud kulutusi. Selle asemel koormati kaabel teadlikult üle. Vajalikud sobitus-tööd jäeti tegemata, kuna peatselt koliti uude haldushoonesse.

• Ülekoormatud liinid kuumenesid ja kaablite tiheda paigutuse tõttu tekkiskuumuse kogumine, mis võis omakorda viia kaablite hõõgumiseni. Olukordavastati alles siis, kui kaablid suure kuumuse tõttu rivist välja langesid. Tule-kahju tõttu kannatada saanud töökohtade nõuetelevastavuse taastamisekskulus mitu päeva.

32 / 781

G 1.7 Lubamatu temperatuur ja niiskus

Igal seadmel on temperatuurivahemik, milles see toimib veatult. Kui ruumitemperatuur ületab selle vahemiku ülempiiri või jääb vahemikust allapoole,võivad tekkida tõrked. Samuti võib seade rivist välja langeda. Näiteks muudavadserveriruumis paiknevad seadmed elektrienergia soojuseks, mis viib ruumisoojenemiseni. Ebapiisava õhutuse korral võidakse seadmete lubatud kasuta-mistemperatuur ületada. Otsese päikesevalguse korral võib ruumi temperatuurtõusta üle 50 ?C. Ruumi õhutamiseks avatakse tihtipeale serveriruumi aknad.Üleminekuperioodidel (kevad, sügis) võib see suurte temperatuurikõikumistetõttu viia selleni, et kiire mahajahutamisega ületatakse lubatud õhuniiskusemäär. Pikaajaliste digitaalsete andmekandjate hoiustamisel võivad liiga suuredtemperatuurimuutused või liiga kõrge õhuniiskus viia andmevigade ja lühendatudsalvestusajani.

Mõned tootjad märgivad pikaajaliste andmekandjate optimaalseteks talletamis-tingimusteks 40-protsendise õhuniiskuse ja temperatuurivahemiku 20 kuni 22 C.Ka analoogsed salvestusmeediumid, nagu paber ja mikrofilm, vajavad kindlaidladustamistingimusi. Kui paberit hoitakse liiga niiskes kohas, võib see hallitamaminna või laguneda.

Näide:

• Ühes ametkonnas paigutati kogu andmevarundussüsteemi juht- ja analüü-sielektroonika tuppa, kus oli täpselt veel nii palju ruumi, kui oli vaja seadme-kappide uste avamiseks. Turvalisuse huvides olid nii kapid kui ka ruum isetugevate ustega suletud. Kui rajatis sügisel valmis, töötas see tõrgeteta. Su-vel esinesid esmalt seletamatud käitusvead ja natuke hiljem jooksis süsteemtäiesti kokku. Kõik see juhtus ilma tuvastatava „mustrita”. Nii tehnilisi kui kainimressursse hõlmanud mitmepäevane otsing ei andnud mingeid tulemusi.Juhuslikult avastati, et kui välistemperatuur on kõrgem kui 30 C, kuumenebsüsteem üle. Viga kõrvaldati jahutusseadmete paigaldamisega.

33 / 781

G 1.8 Tolm, saastumine

Vaatamata sellele, et infotehnoloogias kasutatakse üha rohkem elektroonikat, eiole ilma mehaaniliste komponentideta töö veel täiesti võimalik. Siinkohal võiks ni-metada diskette, kõva- ja irdkettaid, disketiajameid, printereid, skannereid ningprotsessorite ja võrguosade ventilaatoreid. Üha kõrgemate kvaliteedinõuete ja kii-ruse tõttu peavad ka seadmed töötama üha täpsemalt. Juba väikseimgi saastevõib viia seadmete tõrgeteni.

Tolm ja saastumine võivad olla põhjustatud näiteks:

• seinte, topeltpõrandate või hoone teiste osade remonditöödest,• riistvara jms ümberkorraldustest,• seadmete lahtipakkimisest (näiteks üleskeerutatavast polüstüreenitolmust).

Loetletu tõttu võib riistvara rivist välja langeda. Tänu seadmetes paiknevate-le turvalülititele lülituvad seadmed enamasti õigel ajal välja. See hoiab küll kah-ju väiksena, taastamiskulutused madalatena ja väljalangemisaja lühikesena, kuidviib selleni, et vastavat seade ei saa enam kasutada.

Näited:

• Kui server paigaldati koos koopiamasina ja tavalise faksiseadmega mee-diaruumi, langesid protsessori ja võrgutoite ventilaatorid järjest rivist välja.See oli tingitud ruumi liiga suurest tolmusaastest. Protsessori ventilaatoriväljalangemine põhjustas omakorda serveri juhuslikke rivist väljalangemi-si. Võrgutoite ventilaatori väljalangemine viis lõpuks võrgutoite ülekuume-nemise ja lühiseni, mis põhjustas omakorda serveri täieliku rivist väljalange-mise.

• Seinatahvli paigutamiseks puuris majatehnik kontoriruumi seina augud.Töötaja oli selle tarvis korraks oma kabinetist lahkunud. Pärast töökohalenaasmist avastas ta, et tema arvuti ei tööta enam. Selle põhjuseks oli puuri-mistolm, mis sisenes õhutusavade kaudu arvuti toiteplokki.

34 / 781

G 1.9 Tugevast magnetväljast tingitud andmekadu

Disketid, valimisplaadid, kassetid ja lindid on tüüpilised magnetilist andmekandjatsisaldavad salvestid. Informatsiooni saadakse lugemis- ja kirjutamispeade kaudu.Nõnda magnetiseeritud andmekandjad on häiriva magnetilise kiirguse suhtestundlikud ja seetõttu tuleks sellistele kiirgusallikatele lähenemist vältida. Kiirgusetugevusest olenevalt võib see põhjustada suuremat või väiksemat andmekadu.Eriti kriitiline on oht failide korral, mis muutuvad täiesti kasutuks juba omavormingu tõttu (näiteks PostScripti failid, andmepangad).

Näiteid häiriva magnetkiirguse allikate kohta:

• elektrimootorid,• transformaatorid,• magnetväljal põhinevad kaardilugejad.

35 / 781

G 1.10 Laivõrgu tõrge

Laivõrke (wide area networks, WAN) kasutatakse kõne- ja andmeedastusekssuurte vahemaade tagant ning nad võivad omavahel ühendada erinevaid koht-võrke, aga ka üksikuid arvuteid. Laivõrke haldavad üldjuhul sidehaldurid, aga kaera-võrgukäitajad. Võib ka olla, et nad kuuluvad kindlatele asutustele ja neid ka-sutatakse ainult seal. Seepärast võib kommunikatsiooniühenduste kvaliteet ollaerinev.

Laivõrgu tõrke võivad põhjustada erinevad asjaolud. Seepärast on võimalik, etvõrgutõrge puudutab vaid üksikuid kasutajaid, teenusepakkujat või kindlat piirkon-da. Tihti on tegemist vaid lühiajaliste tõrgetega, kuid tuleb ette ka pikemaajalisi,millega võivad kaasneda mitmed teised probleemid.

Võrgutõrke liik ja viis on oluline juhul, kui laivõrgu kaudu ühendatud IT-süsteemiskäitatakse ajatundlikke rakendusi. Võrgutõrge võib kaasa tuua kahjusid, misvõivad osutuda küllalt suurteks juhul, kui puuduvad varuvõimalused, nagu nt ühen-damine teise kommunikatsioonivõrku, või kui internetiteenuste varumeetmeid eiole ette nähtud või määratud.

Näited

• Suurel internetiteenuse pakkujal langes rivist välja keskne serverisõlm.Liiasesse serverisõlme ümberlülitamise katse ebaõnnestus. Seepärast ei ol-nud umbes 250 000 selle teenusepakkuja juurde majutatud domeeni mõnepäeva jooksul kättesaadavad.

• Egiptuse lähedal Vahemeres asuva kolme merekaabli korraga katkemisetõttu oli 2008. aastal 90% Euroopa, Lähis-Ida ja Aasia vahelisest interneti-ühendusest halvatud.

36 / 781

G 1.11 Keskkonnaõnnetuste mõjud

Ametiasutuse või ettevõtte ümbruses tekkinud probleemid võivad viia nii töötõr-gete kui -õnnetusteni. Nendeks võivad olla tehnilised õnnetusjuhtumid või inimes-tega juhtunud õnnetused, aga ka ühiskondlikud või poliitilised rahutused, näiteksdemonstratsioonid või mässud (vt ka G 1.12 Massiüritustest tingitud probleemid).

Asutuste omandit võivad ohustada liiklus (teed, rööpad, õhk, vesi), naabrusesasuvad ettevõtted või elamurajoonid. Ohtlikud võivad olla ka tulekahjud, plahvatu-sed, tolm, gaas, lõhkamised, kiirgus, emissioonid (keemiatööstusest).

Ettevaatusabinõud või päästemeetmed võivad seejuures omandit otseselt mittepuudutada. Majatehnika ja IT-rajatiste keerukuse tõttu võivad tekkida ka kaudsedprobleemid.

Näide

• Andmekeskuse läheduses (linnulennult umbes 1000 m) toimunud keemia-ettevõtte põlengust tekkis suur suitsupilv. Andmekeskuses oli kliima- ja õhu-tusseade, puudus aga välisõhuandur. Ainult tänu ühe suitsupilve tekkimist jalevikut märganud töötaja tähelepanelikkusele (õnnetus juhtus tööajal) suu-deti välisõhu pealevool õigel ajal käsitsi sulgeda.

37 / 781

G 1.12 Massiüritustest tingitud probleemid

Ametkondade ja ettevõtete korrapärast tööd võivad takistada igat laadi massiüri-tused. Nende alla kuuluvad muuhulgas ka kontserdid, demonstratsioonid, suuredspordi- ja tänavaüritused. Selliste ürituste eskalatsioon võib endaga kaasa tuuaveel teisigi mõjusid, nagu näiteks töötajate hirmutamist või nende suhtes jõu ka-sutamist ja hoone kallal vandaalitsemist.

Näited

• Kuumal suvepäeval toimus ühe andmekeskuse läheduses demonstratsioon.Olukord väljus kontrolli alt ja inimesed hakkasid vägivallatsema. Kõrvaltäna-vas oli andmekeskuse aken lahti jäänud. Demonstreerijad kasutasid sisse-tungivõimalust ja eemaldasid olulist teavet sisaldava IT-riistvara.

• Suure laadaplatsi ehitamisel purustati kogemata suur elektrikaabel. Seepõhjustas sama kaabliga ühendatud andmekeskuse rivist väljalangemise,mis tuli korvata varuvooluvõrgu kasutuselevõtmisega.

38 / 781

G 1.13 Tormid

Tihtipeale alahinnatakse tormi või orkaani mõju välistele rajatistele, mida on and-mekeskuse kasutamiseks otseselt vaja. Välised rajatised võivad saada kahjusta-da või isegi hävida. Lahti murtud ja tormituulega kaasa lennanud esemed võivadomakorda põhjustada lisakahjustusi. Lisaks võidakse mõjutada ka tehniliste kom-ponentide funktsioone.

Näited

• Kliimaseadme jahutusvoolikud (painduvad, kõvad PVC-voolikud) olid paigu-tatud andmekeskuse katusele, ent ei olnud raskustega katuse külge kinni-tatud. Orkaan rebis voolikud katuselt ära ja seejuures purunesid ka ühen-dused. Jahutusvedelik voolas süsteemist välja ning see tuli mitmeks tunniksseisata. Kuna oli oht, et tormituul võib ka inimesed katuselt alla puhuda, siisei olnud võimalik kahjusid tormi ajal parandada. Umbes 12 000 kasutajatvarustanud serveripark langes 12 tunniks rivist välja.

• Teisel juhul kukkus sisse lamellsein, mis kattis ühe ettevõtte katusel paik-nenud jahutustorni. Teravad plekiservad lõikasid jahutustorni elektrijuhtmedläbi. Tekkis lühis ja sädemed süütasid tormist üles kistud katuse. Samal ajaloli ümberkukkunud kate osaliselt ka tuuletõkke eest, kuid lasi ikkagi veelnii palju tuult läbi, et tuli süttiks. Leegid liikusid trapetspleki ja tihendusriba-de vahelise isolatsiooni kaudu edasi. Tõsine kahju hoiti ära ainult õnnelikujuhuse tõttu.

39 / 781

G 1.14 Tugevast valgusest tingitud andmekadu

CD-ROM, CD-R, CD-RW, DVD-ROM, DVD-R, DVD+R, DVD-RAM, DVD-RW jaMO on tüüpilised optilised andmekandjad. Informatsiooni kirjutatakse ja loetakselaseri abil, ainult MO korral kirjutatakse andmeid magnetiliselt ja loetakse optili-selt. Sedasi kirjutatud andmekandjad on tundlikud tugeva valguse, eriti UV-kiirgusesuhtes ja nende paigutamist taoliste valgusallikate lähedusse tuleks vältida. Kiir-guse tugevusest ja kestusest olenevalt võib see põhjustada suuremat või väik-semat andmekadu. Eriti kriitiline on see oht failide korral, mis muutuvad täiestikasutuks juba oma vormingu tõttu (näiteks PostScripti failid, andmepangad võikrüpteeritud failid).

Näiteid tugevate valgusallikate kohta:

• päikesevalgus (eelkõige pilvitutel päevadel või kõrgemates kohtades),• halogeenlambid,• spetsiaalsed luminofoorlambid.

Asjakohased uuringud on näidanud, et päikesevalguse või teiste UV-valgusallikate negatiivne mõju on erinevate andmekandjate puhul erinev. Tava-meetodil paljundatud CD-/DVD-ROM-ide korral on see minimaalne. Ühekordseltkirjutatavatele andmekandjatele (CD-R, DVD-R, DVD+R) on pikemaajalisem ot-sene päikesevalgus kahjulik, kuna see võib muuta salvestuskihi optilisi omadusi.Mitmekordselt kirjutatavatele salvestusmeediumitele, nagu näiteks CD-/DVD-RW,on valgusel väike mõju. Kõigi andmekandjate korral tekib enamik kahjusid otsesepäikesevalguse tekitatud kuumuse tõttu.

40 / 781

G 1.15 Muutuvast rakenduskeskkonnast tingitud kahjustused

Mobiilseid andmekandjaid ja seadmeid kasutatakse erinevates keskkondades jaseetõttu varitsevad neid erinevad ohud. Siia alla kuuluvad näiteks kahjustavadkeskkonnamõjud nagu liiga kõrge või liiga madal temperatuur, aga ka tolm ja niis-kus. Teistlaadi probleemide hulka kuuluvad seadmete mobiilsusega kaasnevadtranspordikahjud.

Mobiilsete andmekandjate ja seadmete korral on tähtis ka see, et neidkasutatakse erineva turbeastmega piirkondades. Mõne keskkonna korral onturbeaste kasutajatele teada, teise korral aga mitte. Mobiilsuse kõrval on PDA-de,sülearvutite ja teiste mobiilsete seadmete kasutamisel oluliseks ohuks nendekommunikatsioonivõime teiste IT-süsteemidega. Seetõttu tuleb vaadelda kaprobleeme, mis tulenevad nende seadmete suhtlemisest teiste IT-süsteemidega.Asutuse sees on IT-süsteemide usaldusväärsust võimalik teatud piirini kindlaksmäärata. Võõras keskkonnas on see aga raskem. Kommunikatsioon tundmatuteIT-süsteemidega ja võrkudega kätkeb endas alati ohtu mobiilsele süsteemile, sellerakendustele ja andmetele. Teiste IT-süsteemidega kontakti loomisel võidakseedastada ka näiteks arvutiviiruseid või trooja hobuseid.

Seepärast tuleb ka pärast mobiilsete andmekandjate ja IT-süsteemide tagasta-mist alati mõelda, kus USB-pulk, PDA või sülearvuti on juba kasutusel olnud javõtta vastavaid ettevaatusabinõusid.

Võõra infrastruktuuri kasutamisel, näiteks kui messidel laaditakse informat-siooni alla, on üheks probleemiks kasutatavate teenuste ebapiisav läbipaistvus.Paljud teenusepakkujad salvestavad klientide andmeid profiilide koostamiseks,et nad saaksid pakkuda oma klientidele täpselt nende vajadustele kohandatudteenuseid ja neid teistele teenusepakkujatele edasi müüa. Näiteks on võimalikluua profiile juba pelgalt kasutajate asukohtade ja sidekäitumise analüüsimisega(milliseid teenuseid, millal, kui tihti ja kellega nad kasutavad). Seda võib juhtudaka mobiilsete lõppseadmete rakendustega, mis koguvad andmeid (näiteks kasu-tustiheduse ja –liigi kohta) ning saadavad need võrguühenduse loomisel koheedasi.

Ikka ja jälle kaotatakse mobiilseid andmekandjaid ja varastatakse seadmeid.Mida väiksemad ja ihaldatumad on sellised seadmed, näiteks kallid nutitelefonidja PDA-d, seda suurem on varguse risk. Rahalise kahju kõrval võib pahandusttekitada ka tähtsate ja konfidentsiaalsete andmete avalikuks tulemine.

41 / 781

G 1.16 Kaablijaotusseadmete väljalangemine põlengu tõttu

Kaablijaotusseadmed ja juhtmejagajad, millesse sisenevad majasisese võrgukaablid ja avaliku võrgu kaablid, võivad tulekahjus niivõrd kannatada saada, etnende kaudu ei ole enam võimalik andmeid veatult edastada. Kahju ei tekita see-juures mitte ainult tule kuumus – ka suits üksi võib tundlikku ühendustehnikat tu-gevasti kahjustada. Kustutusvahendite kasutamine (vesi, kustutuspulber, kustu-tusvaht) põhjustab siinkohal lisakahjustusi.

Pärast taolist kahjujuhtumit ei ole tavaliselt võimalik varuriistvara sel moel kah-justatud kaablijaotusseadmete külge ühendada ega vähemalt hädapärast kasu-tust jälle enam-vähem toimima saada.

Üldjuhul on vaja väga mahukaid, kalleid ja aeganõudvaid parandustöid, millegakaasneb ka IT-süsteemi pikaajalisem rivist väljalangemine.

42 / 781

G 1.17 Raadiovõrgu väljalangemine

Raadiovõrkudes kasutatakse andmete edastamiseks elektromagnetilisi raadiolai-neid. Olukorras, kus elektromagnetilisi laineid kiirgavaid allikaid on rohkem kui üks,võivad need hakata traadita andmesidet segama ning halvimal juhul WLAN-i toimi-mise isegi täiesti halvata. Segavateks allikateks võivad tahtmatult osutuda ka tei-sed tehnilised lahendused (nt Bluetooth-seadmed, teised WLAN-id, mikrolaineah-jud, meditsiiniseadmed, raadiolevil töötavad turvakaamerad jne), aga ka teadlikultkasutatavad rikkeallikad (segajad), mis üritavad toime panna nn Denial-Of-Service-tüüpi ründeid. Lisaks on võimalikud ka sellised Denial-Of-Service -tüüpi ründed,mille puhul kaob raadiovõrgu käideldavus ära seetõttu, et hakatakse kordama tea-tud juht- ja reguleerimissignaalide edastamist.

Näited

• Välisantenni jaoks välja valitud ebasobiv paigalduskoht ja ebapiisavalt pla-neeritud kaitse võimaliku pikselöögi ja ilmastikuolude vastu võib viia WLAN-itöö katkemiseni.

• WLAN-süsteemidele, mis töötavad standardil IEEE 802.11b ja IEEE802.11g, ISM-sagedusel 2,4 GHz, võivad rikkeid tekitada ka suur arv tei-si samal sagedusel töötavaid seadmeid nagu Bluetooth, mikrolaineahjud,teised WLAN-võrgud.

43 / 781

G 1.18 Hoone väljalangemine

Hooned võivad muutuda ootamatult kasutuskõlbmatuks. See võib olla põhjustatudhoone osalisest või täielikust hävinemisest, näiteks tulekahju, tormi, üleujutuse,maavärina või plahvatuse tagajärjel. Hoone väljalangemine võib olla põhjustatudka sellest, et ligipääs hoonele on muutunud võimatuks.

Selle põhjused võivad olla järgmised:

• hoonele liginemise keeld keemiaõnnetuse või pommi (ja selle hilisema õhki-mise) tõttu,

• üleujutuse või tulekahju tõttu või maa-alustest kaevandustöödest (näiteksmetrooehitusest) tingitud pinnasemuutused (tekkinud kraatrid),

• keskse ligipääsukontrolli rivist väljalangemine,• valvepersonali streik,• hoone sulgemine asbestisaaste või tuleohutusnõuete mittetäitmise tõttu –

viimase tagajärjel on ametivõimud hoone kasutamise keelanud.

Olenevalt sellest, millena hoonet kasutatakse (kas andmekeskuse, laoruumi,filiaali, kontori- või tootmishoonena), avaldab hoone väljalangemine äritegevuseleerinevat mõju.

44 / 781

G 1.19 Teenusepakkuja või tarnija väljalangemine

Pea ükski asutus ei tööta tänapäeval enam teenusepakkujateta, nt tarnijate võiväliste teenuste (sh pilvteenuste) pakkujateta. Kui organisatsiooni üksused sõl-tuvad teenusepakkujatest, võib väliste teenuste väljalangemine nt IT-süsteemidevõi infrastruktuuri sidemete puhul põhjustada olukorra, kus ülesandeid ei ole enamvõimalik täita. Välise teenusepakkuja või tarnija täielik või osaline väljalangeminevõib süsteemi kasutamise jätkusuutlikkust tugevasti mõjutada, seda eelkõige krii-tiliste protsesside korral.

Töö katkemise põhjused võivad seejuures olla erinevad:

• maksejõuetus,• lepingu ühepoolne ülesütlemine teenusepakkuja või tarnija poolt,• loodusjõududest või personali väljalangemisest tingitud probleemid,• kvaliteediprobleemid,• mainekahju.

Pilvandmetöötluse jaoks on seejuures iseloomulik kõrge dünaamika, mis põh-justab sageli pilvteenuse pakkujate ülevõtmist konkurentide poolt. Sellega kaas-nev teenuste portfelli muutmine võib kasutaja jaoks mõjutada teenuste käidelda-vust, terviklust ja konfidentsiaalsust.

Väliselt kasutatavate IT-süsteemide ja rakenduste puhul võib teenusepakkujaIT-süsteemide ebapiisav struktureerimine või isolatsioon viia selleni, et isegikui väljalangenud süsteem ei kuulu teenuse saajale, võib see mõjutada temaäriprotsesse. Probleemiks võib see osutuda siis, kui IT üksikuid komponentekasutatakse koos ühe teenusepakkuja erinevate ülesannete täitmiseks. Selliseljuhul võib viga välise teenusepakkuja suvalise kliendi andmetes viia selleni, ethosti töötlemisel tuleb vigase konfiguratsiooni tõttu seisata mitme teise kliendipakktöötlused. Sarnased probleemid tekivad siis, kui katkeb ühendus väliseidteenuseid kasutava organisatsiooni ja välise teenusepakkuja vahel.

Näited

• Ettevõte paigutas oma serveri välise teenusepakkuja andmekeskusesse.Pärast andmekeskuses toimunud tulekahju ei olnud ettevõtte finantsosa-kond enam võimeline töötama. Ettevõte kannatas suurt rahalist kahju.

• Ettevõtte tellimustootmine sõltus väliste teenusepakkujate ressursside tar-netest. Pärast seda, kui ühe teenusepakkuja veoauto rikke tõttu rivist väljalanges, jäid hädavajalikud osad hiljaks. Seetõttu pidurdus ka tootmine.

• Pank transportis raha alati ühe sularahaveofirma kaudu. Ootamatult kuu-lutas see firma välja oma pankroti. Uue transpordiettevõttega kokkulepetesõlmimine ja teekondade planeerimine kestis mitu päeva. See tõi endagakaasa suuri probleeme ja hilinemisi pangafiliaalide rahaga varustamisel jaraha äraveol. Pangale tähendas vahejuhtum suurt mainekahju.

• Töötajate vallandamise tõttu teise teenusepakkuja ülevõtmise tagajärjelkaotab pilvteenuse pakkuja oskusteabe kandjaid. Seetõttu tekivad ettevõtte

45 / 781

ülevõtmisel ebakõlad, nagu näiteks selgusetus seoses teenuse muutmise-ga, ning see toob kaasa olukorra, kus ei peeta kinni teenusetaseme lepin-gutest (SLA) ja lepinguliselt kooskõlastatud teenused jäävad osutamata.

46 / 781

ISKE ohtude kataloog G

Ohtude nimekiri

G 2.1 Reeglite puudumine või puudulikkus . . . . . . . . . . . . . 53G 2.2 Reeglite puudulik tundmine . . . . . . . . . . . . . . . . . . 54G 2.3 Puuduvad, puudulikud või ühildumatud ressursid . . . . . . 55G 2.4 Turvameetmete ebapiisav järelevalve . . . . . . . . . . . . . 56G 2.5 Hoolduse puudumine või puudulikkus . . . . . . . . . . . . . 57G 2.6 Volitamata pääs ruumidesse . . . . . . . . . . . . . . . . . . 58G 2.7 Õiguste volitamata kasutamine . . . . . . . . . . . . . . . . 59G 2.8 Ressursside kontrollimatu kasutamine . . . . . . . . . . . . 60G 2.9 Halb kohanemine IT muutustega . . . . . . . . . . . . . . . 61G 2.10 Probleemid andmekandjate kättesaadavusega . . . . . . . 62G 2.11 Liinide väike läbilaskevõime . . . . . . . . . . . . . . . . . 63G 2.12 Kaablite puudulik dokumenteerimine . . . . . . . . . . . . 64G 2.13 Kaitsmata elektrikilbid . . . . . . . . . . . . . . . . . . . . 65G 2.14 IT halb tõhuses töötingimuste tõttu . . . . . . . . . . . . . 66G 2.15 Konfidentsiaalsusaugud Unix-süsteemis . . . . . . . . . . 67G 2.16 Sülearvuti reguleerimata edasiandmine . . . . . . . . . . . 68G 2.17 Andmekandjate puudulik märgistus . . . . . . . . . . . . . 69G 2.18 Andmekandjate väär saatmine . . . . . . . . . . . . . . . . 70G 2.19 Krüpteerimise halb korraldus . . . . . . . . . . . . . . . . . 71G 2.20 Kulumaterjalide ebapiisav või vale varu . . . . . . . . . . . 72G 2.21 Korraldamata kasutajavahetus . . . . . . . . . . . . . . . . 73G 2.22 Logiandmete analüüsimata jätmine . . . . . . . . . . . . . 74G 2.24 Kaitsetus välisvõrgu vastu . . . . . . . . . . . . . . . . . . 75G 2.26 Ebapiisavad või puuduvad tarkvara katsetamis- ja teavitus-

protseduurid . . . . . . . . . . . . . . . . . . . . . . . . . 76G 2.27 Ebapiisav või puuduv dokumentatsioon . . . . . . . . . . . 77G 2.28 Autoriõiguste rikkumine . . . . . . . . . . . . . . . . . . . . 79G 2.29 Tarkvara testimine tootmisandmetega . . . . . . . . . . . . 80G 2.32 Võrgu ebapiisav võimsus . . . . . . . . . . . . . . . . . . . 81G 2.36 Kasutajakeskkonna ebasobiv piiramine . . . . . . . . . . . 82G 2.37 Sideliinide kontrollimatu kasutamine . . . . . . . . . . . . . 83G 2.38 Installimata või piisavalt aktiveerimata andmebaasi turva-

mehhanismid . . . . . . . . . . . . . . . . . . . . . . . . . 84G 2.39 Andmebaasi haldussüsteemi keerukus . . . . . . . . . . . 85G 2.40 Andmebaasipöörduse keerukus . . . . . . . . . . . . . . . 87G 2.41 Andmebaasi kasutajate vahetumise halb korraldus . . . . . 89G 2.44 Ühildamatud võrgu aktiiv- ja passiivkomponendid . . . . . . 90G 2.45 Võrgu konseptuaalsed puudused . . . . . . . . . . . . . . 91

47 / 781

G 2.46 Maksimaalse lubatava kaabli- või siinipikkuse või ringi suu-ruse ületamine . . . . . . . . . . . . . . . . . . . . . . . . 93

G 2.47 Failide ja andmekandjate ebaturvaline transport . . . . . . 94G 2.48 Andmekandjate ja dokumentide puudulik hävitamine . . . . 95G 2.49 Kaugtöötajate ebapiisav või puuduv koolitamine . . . . . . 96G 2.50 Hilistused kaugtöötajate ajutise piiratud kättesaadavuse tõttu 97G 2.51 Kaugtöötajate halb integratsioon infovoogu . . . . . . . . . 98G 2.53 Kaugtöötajate asendamise puudulikud eeskirjad . . . . . . 99G 2.54 Konfidentsiaalsuse kadu jääkinfo kaudu . . . . . . . . . . . 100G 2.55 Rühmatarkvara reguleerimata kasutamine . . . . . . . . . 102G 2.57 Andmekandjate puudulik talletus hädajuhtumi korral . . . . 103G 2.59 Registreerimata komponentide kasutamine . . . . . . . . . 104G 2.60 Võrgu- ja süsteemihalduse puuduv või ebasobiv strateegia 105G 2.61 Isikuandmete volitamatu kogumine . . . . . . . . . . . . . 107G 2.62 Turvaintsidentide puudulik käsitlus . . . . . . . . . . . . . . 108G 2.63 Fakside kontrollimatu kasutamine . . . . . . . . . . . . . . 109G 2.66 Puudulik infoturbehaldus . . . . . . . . . . . . . . . . . . . 110G 2.67 Pääsuõiguste puudulik haldus . . . . . . . . . . . . . . . . 112G 2.68 Active Directory kasutamise ebapiisav või puuduv planeeri-

mine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113G 2.69 Novell eDirectory kasutamise ebapiisav või puuduv planee-

rimine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114G 2.70 Novell eDirectory partitsioonide ja replikatsioonide ebapii-

sav või puuduv planeerimine . . . . . . . . . . . . . . . . . 116G 2.71 Novell eDirectory LDAB-pöörduse ebapiisav või puuduv pla-

neerimine . . . . . . . . . . . . . . . . . . . . . . . . . . . 118G 2.72 Arhiivisüsteemide üleviimise puudused . . . . . . . . . . . 119G 2.73 Arhiivisüsteemide puudulikud kontrolljäljed . . . . . . . . . 121G 2.74 Arhiivide indekseerimisvõtmete puudused . . . . . . . . . 122G 2.75 Arhiivi salvestuskandjate ebapiisav maht . . . . . . . . . . 123G 2.76 Arhiivipöörduste puudulik dokumenteerimine . . . . . . . . 124G 2.77 Paberdokumentide elektroonilise arhiveerimise puudused . 125G 2.78 Arhiveeritud andmestike regenereerimise puudused . . . . 127G 2.79 Arhiivisäilikute digitaalsignatuuride regenereerimise puu-

dused . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128G 2.80 Arhiveerimisprotseduuride puudulik auditeerimine . . . . . 129G 2.81 Arhiivi andmekandjate puudulik hävitamine . . . . . . . . . 130G 2.82 Arhiivisüsteemi asukoha halb planeerimine . . . . . . . . . 131G 2.83 Halb väljasttellimise strateegia . . . . . . . . . . . . . . . . 132G 2.84 Puudused välisteenusepakkujaga sõlmitud lepingu tingi-

mustes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133G 2.85 Ebapiisavad tingimused väljasttellimise kasutamise lõpeta-

miseks . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135G 2.86 Sõltuvus välisteenusepakkujast . . . . . . . . . . . . . . . 137G 2.87 Ebaturvalised protokollid avalikes võrkudes . . . . . . . . . 138G 2.88 Väljast tellitava projekti negatiivne mõju organisatsiooni si-

sekliimale . . . . . . . . . . . . . . . . . . . . . . . . . . . 139G 2.89 Puudulik infoturve väljasttellimise sissejuhatavas etapis . . 140G 2.90 Välisteenusepakkujaga seotud nõrgad kohad . . . . . . . . 141

48 / 781

G 2.91 Exchange 5.5-lt Exchange 2000le ülemineku halb planeeri-mine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

G 2.92 Exchange 2000 brauseripääsu halb reguleerimine . . . . . 143G 2.93 Puudulik jätkusuutlikkuse planeerimine väljasttellimise korral 144G 2.95 Halb meetod meilisüsteemide ühendamiseks Exchan-

ge’i/Outlookiga . . . . . . . . . . . . . . . . . . . . . . . . 145G 2.96 Aegunud või väär teave veebisaidil . . . . . . . . . . . . . 146G 2.98 Marsruuterite ja kommutaatorite kasutamise väär kavanda-

mine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147G 2.99 zSeriesi süsteemikeskkonna halb või väär konfigureerimine 148G 2.100 Interneti domeeninimede taotlemise või haldamise vead . 149G 2.101 Turvalüüsi ebapiisav hädaolukorra ennetamise plaan . . . 151G 2.102 Inimeste infoturbeteadlikkuse ebapiisav suurendamine . . 152G 2.103 Töötajate ebapiisav koolitamine . . . . . . . . . . . . . . 153G 2.104 Oma ja võõra IT-süsteemi ühildumatus . . . . . . . . . . . 155G 2.105 Õigusaktide ja lepinguliste kokkulepete rikkumine . . . . . 156G 2.106 Turbeintsidentidest tingitud häiringud tööprotsessides . . . 157G 2.107 Puudulikust infoturbehaldusest tingitud ressursside eba-

ökonoomne kasutamine . . . . . . . . . . . . . . . . . . . 158G 2.108 SAP süsteemi ebapiisav või puuduv planeerimine . . . . . 160G 2.109 Salvestisüsteemi ebapiisav või puuduv planeerimine . . . 162G 2.110 Andmebaasi versiooniuuenduste ja üleviimise puudulik or-

ganiseerimine . . . . . . . . . . . . . . . . . . . . . . . . . 164G 2.111 Pääsuõiguste kuritarvitamine teenusepakkuja vahetumisel 165G 2.112 IP-kõne kasutamise ebapiisav planeerimine . . . . . . . . 166G 2.113 Võrgumahu ebapiisav planeerimine IP-kõne juurutamisel . 167G 2.114 Windowsi Serveri ühtimatud SMB, RPC ja LDAP turbesea-

distused . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168G 2.115 Standardsete turvagruppide ebapädev kasutamine Win-

dowsi alates Server 2003-st . . . . . . . . . . . . . . . . . 169G 2.116 Andmekadu andmete kopeerimisel ja teisaldamisel alates

Windowsi Server 2003-st . . . . . . . . . . . . . . . . . . . 171G 2.117 Traadita kohtvõrgu ebapiisav või puuduv planeerimine . . 173G 2.118 Traadita kohtvõrgu kasutamise ebapiisav reguleerimine . 174G 2.119 Traadita kohtvõrgu autentimismeetodite ebaõnnestunud

valik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176G 2.120 Turvalisust tagavate IT-süsteemide ebasobiv paigutus . . 177G 2.121 Traadita kohtvõrkude ebapiisav kontrollimine . . . . . . . 178G 2.122 Mitmefunktsiooniliste seadmete ebasobiv kasutamine . . 179G 2.123 Kataloogiteenuste ebapiisav või puuduv planeerimine . . 180G 2.124 Kataloogiteenuse partitsioonide ja replikatsioonide väär

või puudulik planeerimine . . . . . . . . . . . . . . . . . . 181G 2.125 Kataloogiteenuse juurdepääsu väär ja ebapiisav planeeri-

mine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182G 2.126 Active Directory muudatuste ebapiisav logimine . . . . . . 183G 2.127 Domeenikontrolleri andmevarundusmeetodite ebapiisav

planeerimine . . . . . . . . . . . . . . . . . . . . . . . . . 184G 2.128 VPN-i juurutamise ebapiisav või puuduv planeerimine . . 185G 2.129 VPN-i kasutamise ebapiisavad või puuduvad reeglid . . . 186G 2.130 VPN-i krüpteerimisprotseduuri ebaõnnestunud valik . . . 188

49 / 781

G 2.131 VPN-i puudulik seire . . . . . . . . . . . . . . . . . . . . 189G 2.132 Tööprotsesside puudulik arvestamine turvapaikade ja

muudatuste haldamisel . . . . . . . . . . . . . . . . . . . . 190G 2.133 Kohustuste puudulik jaotus turvapaikade ja muudatuste

haldamisel . . . . . . . . . . . . . . . . . . . . . . . . . . 191G 2.134 Ebapiisavad ressursid turvapaikade ja muudatuste halda-

misel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192G 2.135 Puudulik side turvapaikade ja muudatuste haldamisel . . 193G 2.136 Puudulik ülevaade IT-kooslusest . . . . . . . . . . . . . . 194G 2.137 Ebapiisav või puuduv planeerimine turvapaikade ja muu-

datuste evitamisel . . . . . . . . . . . . . . . . . . . . . . 195G 2.138 Puudulikud taastamisvõimalused turvapaikade ja muuda-

tuste haldamisel . . . . . . . . . . . . . . . . . . . . . . . 197G 2.139 Puudulik arvestamine mobiilsete terminalidega turvapai-

kade ja muudatuste haldamisel . . . . . . . . . . . . . . . 198G 2.140 Ebapiisav hädaolukorraks valmisoleku kontspetsioon tur-

vapaikade ja muudatuste haldamisel . . . . . . . . . . . . 199G 2.141 Märkamata jäänud turvaintsidendid . . . . . . . . . . . . 200G 2.142 Tõendite hävitamine turvaintsidentide käsitlemisel . . . . 201G 2.143 Informatsioonikadu andmete kopeerimisel ja teiseldamisel

Samba ühiskasutuses . . . . . . . . . . . . . . . . . . . . 202G 2.144 Samba serveri ebapiisav valmisolek hädaolukorraks . . . 203G 2.145 Triviaalse andmebaasi failide ebapiisav varundamine Sam-

bas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204G 2.146 Vista klientsüsteemide kasutuskõlblikkuse kaotus tingituna

reaktiveerimise tegemata jätmisest enne SP1 . . . . . . . 205G 2.147 Võrdõigusteenustest tulenev puuduv tsentraliseerimine . . 207G 2.148 Virtualiseerimise puudulik planeerimine . . . . . . . . . . 211G 2.149 Virtuaalsete IT-süsteemide ebapiisav salvestusvõimsus . 215G 2.150 Külastaja tööriistade väär integreerimine virtuaalsetes IT-

süsteemides . . . . . . . . . . . . . . . . . . . . . . . . . 218G 2.151 Virtuaalsetel IT-süsteemidel kasutatavate rakenduste eba-

piisav tootjatugi . . . . . . . . . . . . . . . . . . . . . . . . 220G 2.152 DNS-i kasutamise ebapiisav või puudulik planeerimine . . 223G 2.153 Terminaliserveri keskkonna edastuskanalite ebapiisav turve 225G 2.154 Ebasobivad rakendused terminaliserveritel kasutamiseks 226G 2.155 OpenLDAP ebapiisav või puuduv planeerimine . . . . . . 227G 2.156 Ühilduvusprobleemid Active Directory funktsioonitasandi

suurendamisel . . . . . . . . . . . . . . . . . . . . . . . . 229G 2.157 Veebirakenduste halb valik või kontseptsioon . . . . . . . 230G 2.158 Veebirakenduste arendamise ja laiendamisega seotud

puudused . . . . . . . . . . . . . . . . . . . . . . . . . . . 232G 2.159 Isikuandmete ebapiisav turve veebirakendustes . . . . . . 233G 2.160 Ebapiisav või puuduv logimine . . . . . . . . . . . . . . . 234G 2.161 Logiandmete konfidentsiaalsuse ja tervikluse kadu . . . . 235G 2.162 Isikuandmete töötlemise loa puudumine . . . . . . . . . . 236G 2.163 Isikuandmete töötlemise sihtotstarbe eiramine . . . . . . 237G 2.164 Isikuandmete töötluse õigustatuse põhimõtte eiramine . . 238G 2.165 Ebapiisav või puuduv tarbetute korduste ja andmete kuh-

jumise mittevältimine isikuandmete töötlemisel . . . . . . . 239

50 / 781

G 2.166 Andmesaladuse põhimõtte eiramine isikuandmete töötle-misel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

G 2.167 Puudulik või ebapiisav eelkontroll isikuandmete töötlemisel 241G 2.168 Isikute õiguste rikkumine isikuandmete töötlemisel . . . . 242G 2.169 Andmetöötlusprotsessi ebapiisav või puuduv kaitse isiku-

andmete töötlemisega seotud tellimustöödes . . . . . . . . 243G 2.170 Puudulik läbipaistvus andmekaitse kontrolliinstantside ja

asjakohaste isikute jaoks . . . . . . . . . . . . . . . . . . . 244G 2.171 Etteantud kontrollieesmärkide ohustamine isikuandmete

töötlemisel . . . . . . . . . . . . . . . . . . . . . . . . . . 245G 2.172 Andmetöötlusprotsessi ebapiisav või puuduv kaitse isiku-

andmete töötlemisel välisriikides . . . . . . . . . . . . . . 247G 2.173 Lubamatud automaatsed otsused üksikjuhtumite kohta isi-

kuandmete töötlemisel . . . . . . . . . . . . . . . . . . . . 248G 2.174 Puuduv või puudulik andmekaitsekontroll . . . . . . . . . 249G 2.181 Veebiteenuste rakendamise puudulik planeerimine ja kont-

septsioon . . . . . . . . . . . . . . . . . . . . . . . . . . . 250G 2.182 Salvestisüsteemide puuduv või ebapiisav käitamise kont-

septsioon . . . . . . . . . . . . . . . . . . . . . . . . . . . 252G 2.183 Puuduv või puudulik tsoonide kontseptsioon . . . . . . . . 253G 2.185 Tarkvara puuduv või puudulik hooldus (Maintenance) ja

paigahaldus (Patch Level Management) . . . . . . . . . . 254G 2.186 Salvestisüsteemidega seotud vastutusalade puuduv või

puudulik reguleerimine või rollide ebaselge piiritlemine . . . 255G 2.187 Salvestisüsteemide puuduv või puudulik simultaanteenin-

duse halduskontseptsioon . . . . . . . . . . . . . . . . . . 256G 2.188 Pilvteenuse litsentsihalduse puudulik regulatsioon . . . . 257G 2.189 Pilvteenuse kasutamise puuduv või puudulik strateegia . . 258G 2.190 Pilvteenuse kasutamise ebapiisav administreerimismudel 259G 2.191 Ebapiisav rollide ja volituste kontseptsioon . . . . . . . . . 260G 2.192 Piisava kvalifikatsiooniga personali puudus . . . . . . . . 261G 2.193 Institutsiooni ebapiisav kohandamine pilvteenuste kasuta-

misega . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262G 2.194 Pilvteenuste kasutamise ebapiisav nõuete haldus . . . . . 264G 2.195 Teenuste osutamise puudulik seire . . . . . . . . . . . . . 265G 2.196 Pilvteenuste tervikliku kasutustsükli puuduv tulude ja kulu-

de analüüs . . . . . . . . . . . . . . . . . . . . . . . . . . 266G 2.197 Pilvteenuste ebapiisav sidumine enda IT-lahendustega . . 268G 2.198 Pilvteenustele üleviimise puudulik planeerimine . . . . . . 270G 2.199 Pilvteenuste teenusepakkuja puudulik valimine . . . . . . 271G 2.200 Ebapiisav planeerimine mobiil- ja nutitelefonide ning

tahvel- ja pihuarvutite soetamisel . . . . . . . . . . . . . . 272G 2.201 Ebapiisav arvestamine töökeskkonnas aset leidnud muu-

datustega . . . . . . . . . . . . . . . . . . . . . . . . . . . 273G 2.202 Lock-in-efekt . . . . . . . . . . . . . . . . . . . . . . . . . 274G 2.203 Integreeritud pilve-funktsioon . . . . . . . . . . . . . . . . 276G 2.204 TPM-i kasutamine . . . . . . . . . . . . . . . . . . . . . . 278G 2.205 Puuduv hädaolukorra ennetamise kava teenusele suuna-

tud arhitektuuride jaoks . . . . . . . . . . . . . . . . . . . 280

51 / 781

G 2.206 Mitteküllaldased turvanõuded integreeritud süsteemideväljatöötamisel . . . . . . . . . . . . . . . . . . . . . . . . 281

G 2.207 Kaitsmata sisend- ja väljundliidesed integreeritud süs-teemides . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

G 2.208 Integreeritud süsteemide elektrooniliste komponentide mit-teküllaldane füüsiline kaitse . . . . . . . . . . . . . . . . . 284

G 2.209 Tarkvara jaoks väära arenduskeskkonna valimine . . . . . 285G 2.210 Arenduskeskkondade ebapiisavalt turvatud kasutamine . 286G 2.211 Väära protsessimudeli valik tarkvaraarenduseks . . . . . 287G 2.212 Ebapiisav arvestamine konfiguratsioonivalikutega tarkva-

raarenduses . . . . . . . . . . . . . . . . . . . . . . . . . 288G 2.213 Tarkvaraarenduse protsessi puuduv või puudulik kvaliteedi

tagamine . . . . . . . . . . . . . . . . . . . . . . . . . . . 289G 2.214 Identiteedi- ja volituste halduse puuduv või mitteküllaldane

kontseptsioon . . . . . . . . . . . . . . . . . . . . . . . . . 291G 2.E5 ID-kaardi või sarnase seadme kehtivusaja lõppemine . . . 292G 2.E6 Digiallkirja andmine või autentimine ilma võtmepaari oma-

niku teadmata . . . . . . . . . . . . . . . . . . . . . . . . . 293G 2.E7 Asutusega mitteseotud digiallkirjade andmine asutuse juur-

depääsutõendi ressursside arvelt . . . . . . . . . . . . . . 294G 2.E8 Digiallkirjastatud dokumendi vormingureeglite mitmetimõis-

tetavus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295G 2.E9 Digitempli andmise seadme kasutuseõiguse väljumine asu-

tuse poolt määratud subjektide ringist . . . . . . . . . . . . 296G 2.E10 Juurdepääsutõendiga määratud digiallkirjade mahu am-

mendumine . . . . . . . . . . . . . . . . . . . . . . . . . . 297G 2.E11 Signeerimistarkvara puudus, mis võimaldab anda digiall-

kirja autentimisvõtmepaari ja PIN1-koodi kasutades . . . . 298G 2.E12 Pin-pad’i mittekasutamine . . . . . . . . . . . . . . . . . 299

52 / 781

G 2.1 Reeglite puudumine või puudulikkus

Seoses infotöötluse kasvuga, aga ka töödeldava info kaitsevajadusega, muutubkogu asutust hõlmavate reeglite ja juhendite tähtsus üha suuremaks. Selle ees-märk on tagada info turvalisus. Reeglid võivad hõlmata erinevaid valdkondi alatespädevuse küsimusest kuni kontrollülesannete jagamiseni. Reeglite puudumise võipuudulikkuse mõju käsitletakse näidete varal koos teiste ohtudega ohukataloogisG2.

Tihti ei sobitata informatsiooni turvalisuse seisukohalt olulisi tehnilisi, organisat-sioonilisi või isikkooseisu muudatusi olemasolevate reeglitega. Vananenud reeglidvõivad põhjustada tõrkeid. Probleeme võivad tekitada ka arusaamatud või halvastisõnastatud reeglid, mida võidakse valesti mõista.

Seda, et reeglite puudulikkus võib põhjustada kahju, ilmestavad järgmised näi-ted:

• Puuduliku halduskorralduse tõttu ei saa arvutuskeskus tööde tähtaegadestkinni pidada, kuna printeripaber on otsa lõppenud ning seda ei ole juurdetellitud.

• Käsikustutite soetamisel tuleb reguleerida ka nende korrapärane hooldus,et need oleksid tulekahju korral töökorras.

• Veeavarii ajal saab kannatada ka avariikoha all paiknev serveriruum. Seal eiole aga võimalik avarii tagajärgi likvideerida, kuna keegi ei tea, kus serveri-ruumi võti parajasti asub. See aga suurendab oluliselt kahju ulatust.

53 / 781

G 2.2 Reeglite puudulik tundmine

Reeglite järgimiseks ja süsteemide tõrgeteta käitamiseks ei piisa üksnes reeglitekehtestamisest. Kehtivaid reegleid peab tundma iga töötaja, aga eelkõige muidugineed töötajad, kelle töö on konkreetse seadmetega soetud. Reeglite mittetundmi-sest tulenevat kahju tekitamist ei saa välja vabandada sõnadega: „Ma ei teadnud,et ma selle eest vastutan” või „Ma ei teadnud, mida ma oleksin pidanud tegema”.

Näited:

• Kui töötajaid ei ole informeeritud, kuidas mobiilseid andmekandjaid ja e-postikorrektselt kasutada, on oht, et nende kaudu levib ettevõttesse või asutussekahjurvara. Nende kaudu võivad aga ka salajased andmed sattuda koge-mata kolmandate isikute valdusesse.

• Arvutuskeskuses kehtestati uus reegel, mis nägi ette, et turva- ja tuletõr-jesignalisatsiooni tõrgete tõttu tuleb uksehoidja teenust kasutada ka öösiti.Turvaspetsialist jättis selle teabe uksehoidjale edastamata. Selle tulemuseloli arvutuskeskus öösiti mitu nädalat ebapiisavalt kaitstud.

• Ühes riigiasutuses oli andmevarunduse jaoks mitmeid reegleid, mis lepitiaja jooksul IT turbespetsialisti ja IT-talituse vahel suuliselt kokku. Küsitlusnäitas, et reegleid tundma pidanud töötajad ei olnud tehtud „kokkulepetest”teadlikud, samuti ei teadnud nad, kelle poole pöörduda. Ka andmevarun-duse reeglid ei olnud dokumenteeritud. Paljud kasutajad ei olnud oma arvu-tis olevaid andmeid varundanud, kuigi keskselt ja regulaarselt varundati vaidserverites olevaid andmeid.

• Asutuses kehtib reegel, et mobiilitelefoni kaotamistest tuleb teatada kohejuhtimiskeskusesse, et oleks võimalik sulgeda SIM-kaart. Üks töötaja eiteadnud seda reeglit. Ta andis oma telefoni kadumisest teada alles mitu päe-va pärast lähetusest naasmist. Vahepeal helistati kaotatud telefoniga erine-vatele tasulistele teenustele ja saadeti sinna lühisõnumeid. Selle tõttu tekkismärkimisväärne majanduslik kahju.

54 / 781

G 2.3 Puuduvad, puudulikud või ühildumatud ressursid

Ressursside puudumine võib ettevõtet suuresti mõjutada. Tõrked võivad tekkidasiis, kui vajalikke ressursse ei ole vajalikus koguses olemas või kui neid ei ole õi-geks kuupäevaks kohale toimetatud. Lisaks võib juhtuda, et hangitakse sobimatudvõi ühildumatud ressursid, mida pole võimalik kasutada.

Näited

• Uue renditud internetiühenduse sisseseadmise eest unustati teenusepak-kujale tasuda, mille tõttu ei lülitanud teenusepakkuja ühendust sisse. Sedaühendust kasutama pidanud IT-protsessi sai seetõttu võtta kasutusele hili-nemisega.

• Ebasobivaks ressursiks loetakse keerukat ja ajakriitilist rakendust, näiteksgraafiliselt nõudlikku CAD-rakendust, mida tahetakse installida ebapiisavajõudlusega arvutile.

• Näide ühildumatutest ressurssidest on erinevad viigud printerite ühenda-miseks.

• Kui andmete vahetamiseks kahe IT-süsteemi vahel on mitu võimalust, tekibtihtipeale probleem, et mõlemal arvutil on andmevahetuseks vähemalt kolmliidest, mis aga ei ühildu omavahel. Tüüpiline enne andmevahetust tekkivküsimus on, kas kasutada näiteks disketti, CD-d, DVD-d, USB-mälupulkavõi Bluetoothi.

• Tööarvutile tahetakse paigaldada operatsioonisüsteemi uus versioon. Ku-na operatsioonisüsteemi uue versiooni jaoks ei pakuta draiverite tuge, eiole kasutatavad riistvarakomponendid operatsioonisüsteemi uue versiooni-ga osaliselt ühilduvad.

• Arvutite ja serverite kõvaketaste ning mobiilsete andmekandjate salvestus-maht kasvab pidevalt. Kahjuks unustatakse sageli, et regulaarse andmeva-runduse tarvis on vaja muretseda piisava mahutavusega IT-komponendid jaandmekandjad.

55 / 781

G 2.4 Turvameetmete ebapiisav järelevalve

Kui juba kehtestatud turvameetmeid (nt teabe klassifitseerimine, andmekaitse,juurdepääsukontroll, juhised käitumiseks hädaolukordades) järjepidevalt ei muu-deta ja korrapäraselt ei kontrollita, võib juhtuda, et need ei ole tõhusad või neidei järgita. Järelevalve käigus tuvastatud puudused saab enamasti ilma kahjudetakõrvaldada. Kui vead ilmnevad alles kahjujuhtumi korral, ei ole sageli enam või-malik õigel ajal ja olukorra kohaselt reageerida.

Pilvtöötluse puhul on suurem oht, et kasutaja ei saa teostada teiste osapoolterakendatud turvameetmete järelevalvet. Lisaks leidub ka selliseid turbemeetmeid,mille õige toime avaldub ainult koos asjakohaste kontrollidega. Siia kuuluvadnäiteks logimisfunktsioonid, mille turbeomadused rakenduvad alles pärast logi-andmete analüüsimist.

Näited:

• Võib juhtuda, et kuritegude ettevalmistamise käigus vahetavad volitamataisikud välja välisuste lukusüdamikud. Sissepääsude puhul, mida kasutatak-se kas harva või ainult avariiväljapääsudena, kontrollitakse kontrollkäikudelsageli vaid seda, kas need tagavad väljumisvõimaluse paanikaolukorras. Lu-kusüdamike sulgemisfunktsioon jäetakse sageli tähelepanuta.

• Asutuse turvaeeskirjad näevad ette, et töötajatele usaldatud nutitelefone eitohi privileegida ega „vanglast välja murda” (lahtimurdmine), sest nii võidak-se vältida operatsioonisüsteemi turvaomadusi. Selliste modifitseeritud nuti-telefonide kasutamine asutuse sees ei ole enam turvaline. Kui selle nõudetäitmist ei kontrollita, on võimalik, et ebakindla nutitelefoniga töötaja kasutabseadmes asutuse võrku või kaitsmist vajavat teavet.

• Asutuses kasutatakse mõningaid Unix-servereid väliseks andmesideks.Unix-serverid on väga olulised IT-süsteemid, mistõttu näeb nende turvakont-septsioon ette, et nende terviklust tuleb iga nädal kontrollida. Kuna kontrol-lide reaalset toimumist regulaarselt ei kontrollita, selgub alles ühe turvaint-sidendi lahendamise käigus tõsiasi, et IT-osakond on kontrollide tegemisestloobunud. Põhjuseks toodi osakonna liiga väike isikkoosseis.

• Ettevõttes oli täitmata z/OS-turbeaudiitori ametikoht. Selle tagajärjel tekkisaja möödudes olukord, kus RACFi seadistused ei vastanud enam ettevõt-te turbega seatud ettekirjutustele. Olukord, kus mõningatel kasutajatel olidlaialdasemad volitused kui nende tööks tarvis, avastati alles siis, kui toot-misprotsessis tekkis seisak. Töötajad olid kogemata peatanud kõigest ühetootmiseks vajaliku rakenduse.

56 / 781

G 2.5 Hoolduse puudumine või puudulikkus

Selleks, et oleks tagatud kasutusele võetud tehnika toimimine, tuleb seda korra-päraselt hooldada. Kui hooldust ei tehta või kui hooldust tehakse puudulikult, võibsee põhjustada suurt otsest või kaudset kahju.

Näited:

• Katkematu pingetoite allika (UPS) patareidel ei ole puuduliku hoolduse tõt-tu vajalikku võimsust (liiga madal happesisaldus). Voolukatkestuse korral eivõimalda UPS enam arvutisüsteemi vajaliku aja jooksul töös hoida.

• Tulekustutites ei ole puuduliku hoolduse tõttu enam piisavalt rõhku, mis tä-hendab, et tulekahju korral ei ole nende kustutusvõime tagatud.

• Laserprinter seiskub ülekuumenemise tõttu. Põhjus: õhutusvõret ei olnudettenähtud viisil puhastatud.

• Serveriruumis on palju soojust tekitavaid seadmeid. Kui siis ka suvel on väl-jas kõrge temperatuur ja ruumis ei ole tagatud jahutust (nt puuduv või defekt-ne kliimaseade), võib mõni seade ülekuumenemise tõttu rivist välja langeda.Kliimaseadmeid, kui need kord juba paigaldatud, tuleb seepärast korrapära-selt hooldada ja puhastada. Nii tagatakse seadmete kindel ja tõrgeteta töö.

57 / 781

G 2.6 Volitamata pääs ruumidesse

Kõik ruumid, kus hoitakse või töödeldakse turvet vajavat informatsiooni või kustalletatakse turvet vajavaid seadmeid, on turvet vajavad ruumid. Sellised ruumidon näiteks kontoriruumid, aga ka arhiivid, kus hoitakse andmekandjaid ja faile.Lisaks kuuluvad siia alla jaotusruumid, kus paiknevad kesksed komponendid,nagu jaotusvõrk, võrguühenduselemendid ja serverid. Volitamata isikud võivadsellistes ruumides tekitada kahju rünnete (näiteks manipulatsioon või vandalism)ja tahtmatu tegevuse (näiteks puudulikud teadmised) tõttu. Isegi siis, kui otseseidkahjustusi näha ei ole, on võimalik, et süsteemi kasutamist häiritakse isegisüsteemi uurides. Tuleb selgeks teha, kuidas selline juhtum võimalik oli, kason tekkinud kahjusid ja kas süsteemi on teatud moel manipuleeritud. Sisse-tungijad on võinud näiteks taastada vanu paroole, pääseda serveritele otse ligivõi manipuleerida võrgukomponente. Lisaks võib juhtuda, et nad on muutnudandmekandjatele salvestatud tundlikke andmeid või võtnud neid paberkujul kaasa.

Volitamata ligipääsu eest ei tule kaitsta mitte ainult asutuses, vaid ka koduspaiknevaid ruume, mida töö jaoks kasutatakse. Koduste töökohtade puhul eikasutata turvasüsteeme (näiteks akende lukustatavad käepidemed, turvalukudja turvariivid ning turvaklaasid välisuksel) tihtipeale just kulutustega seotudpõhjustel. Seetõttu on kaugtöökohtade korral turve madalam kui näiteks ettevõttevõi asutuse töökohtade puhul.

Näited:

• Ettevõtte kogu infotehnoloogia paigutati ainsasse serveriruumi, mis varusta-ti piirava ja kaasaegse ligipääsukontrolliga. Suvel avastati, et nii paljude IT-süsteemide jaoks on jahutus ebapiisav. Seepärast avati kuumematel päeva-del ruumi jahutamiseks uksed ja aknad. Natuke aega hiljem oli üks täiestiuus ja kasutamata server kadunud.

• Töötajal oli kodus kaugtöö jaoks küll eraldi töötuba, aga see ei olnud pi-devalt lukustatud. Valveta jäänud väikelapsed läksid lukustamata töötuppamängima. Seejuures kasutati joonistuspaberina tähtsaid dokumente. Lisakstopiti kõik arvuti avaused täis mänguasju ja küpsiseid, mis muutsid arvutitöökõlbmatuks.

• Ettevõttes võisid kõik töötajad kasutada kõiki printimisruume. Seetõttu oliründajal võimalik printerile füüsiliselt ligi pääseda ja muuta selle konfigurat-siooni. Pärast seda salvestati kõik prinditud dokumendid printeri kõvakettale,kust neid hiljem ei kustutatud. Kui kõvaketas oli täis, vahetas ründaja selleuue, tühja ketta vastu ning analüüsis täis kõvakettale salvestatud andmeidenda arvutis.

58 / 781

G 2.7 Õiguste volitamata kasutamine

Õigusi, nagu näiteks ligi- ja juurdepääsuõigust, kasutatakse organisatsioonilisteõigustena, et kaitsta informatsiooni, äriprotsesse ja IT-süsteeme volitamataligipääsu eest. Kui sellised õigused antakse valedele inimestele või kui õigustkasutatakse volitamata, võib tekkida suur hulk ohtusid, mis mõjutavad andmeteterviklust ja konfidentsiaalsust või arvutite jõudlust.

Näited:

• Tööde ettevalmistaja, kellel puudub juurdepääsuluba andmekandja arhiivi-le, võtab arhiivihalduri äraolekul magnetlindid, et paigaldada varukoopiad.Kontrollimatu kasutamise tõttu ei värskendata andmekandja arhiivi inventarinimekirja ja lindid ei ole selles ajavahemikus enam leitavad.

• Üks töötaja on haigestunud. Tema toakaaslane on tähele pannud, kus seetöötaja märkmepaberil oma salasõna hoiab, ja saab juurdepääsu teise töö-taja arvutisse. Seoses sellega, et ta on hiljuti ühest telefonikõnest kuulnud,et kolleeg peab esitama ühe erialase arvamuse, võtab ta selle kolleegi üles-ande ilma volituseta endale, kuigi ta ei ole kõnealuse teema hetkeseisugakursis. Sellest tulenevalt vajatakse haldusosakonnas pakkumisdokumendikoostamisel funktsionaalses spetsifikatsioonis ammu vananenud riistvara-komponenti, sest sealsed töötajad usaldasid täielikult kogenud kolleegi eri-alast arvamust.

59 / 781

G 2.8 Ressursside kontrollimatu kasutamine

Ükskõik millist laadi ressursse võib kasutada ainult selleks ettenähtud moel. Res-sursside hankimise ja kasutamise eest vastutavad isikud peavad keelama loatakasutuse ning kontrollima korrektset kasutust. Kui ressursside kasutamist ei kont-rollita piisavalt, võivad selle tulemusena tekkida mitut sorti ohud.

Näited:

• Isikliku andmekandja kasutamisel, mille turvalisuses pole eelnevalt veendu-tud, võivad tööarvutid nakatuda kahjurvaraga.

• Valed puhastusvahendid võivad kuvareid kahjustada.• Tindiprinterites vale tindi kasutamine võib viia printeri väärtalitluseni.• Ettevõttes ei kontrollitud DVD-de kasutamist. Alles juhusliku kontrolli käigus

selgus, et viimase poole aasta jooksul on kasutatud seletamatult suurt hulkaDVD-sid. Pärast järelepärimisi selgus, et paljud töötajad kasutasid neid väi-keste andmemahtude salvestamiseks. Kuna töötajatele ei oldud seletatud,et DVD-sid saab mitmeseansilises režiimis väikeste andmemahtude korralkorduvalt kasutada, viskasid töötajad DVD-d lihtsalt minema.

60 / 781

G 2.9 Halb kohanemine IT muutustega

Spetsiaalselt infotehnoloogia jaoks koostatud organisatsioonilised reeglid, aga kaasutuse ning ettevõtte kogu töökeskkond on pidevas muutuses. Olgu need siiskas või sellised lihtsad muutused nagu töötajate lahkumine ja uute lisandumine,bürooruumide vahetamine, uue riist- või tarkvara soetamine või bürootarbeid tar-niva firma pankrotiteade.

Fakti, et organisatsiooniliste meetmete kohandamata jätmine võib endaga kaasatuua ohte, tõendavad järgmised näited:

• Hoones tehtavate ehituslike muudatuste tõttu muutuvad evakuatsiooniteed.Kuna töötajad ei ole muudatustega piisavalt kursis, pole inimesi võimalikettenähtud aja jooksul hoonest evakueerida.

• Teatud IT-protseduuri ümberkorralduse tõttu läheb tarvis senisest suurematkogust trükipaberit. Kuna varumisosakonnale jäeti info edastamata, tekivadIT-süsteemide kasutuse probleemid.

• Elektrooniliste dokumentide või failide vastuvõtmisel ei toimu automaatsetarvutiviiruste kontrolli, sest puudub viirusetõrjetarkvara.

• Elektrooniliste dokumentide saatmisel jäetakse arvestamata, kas adressaatsuudab edastatavas failivormingus dokumenti avada või mitte.

• Üha suureneva pilvteenuste kasutamise ning seire- ja pealtkuulamistehno-loogia kiire arenemise tõttu võib juhtuda, et konfidentsiaalsed dokumendidei ole enam alati piisavalt kaitstud.

• Kui rakenduste päritolu ja volitusi ei kontrollita piisavalt, peituvad nende ka-sutamises ja üha suurenevas mitmekesisuses uued turvariskid.

61 / 781

G 2.10 Probleemid andmekandjate kättesaadavusega

Andmekandjate õige kasutamine on paljude äriprotsesside ja IT-meetmete jaoksolulise tähtsusega. Juba väikesed vead, näiteks puudulik märgistus, vale ladusta-miskoht või andmekandjaarhiivis puuduvad sisestus- ja väljastuskinnitused võivadviia selleni, et andmekandjat ei ole võimalik etteantud ajaga üles leida. Sellesttulenevad viivitused võivad viia suurte kahjudeni.

Näited:

• Äriaruande koostamisel selgus ettevõttes, et toimikutest ei leita audiitori all-kirjastatud aruannet. Kuna seda oli aga tarvis originaalkujul, tehti suuri jõu-pingutusi, et see kõikide toimikute hulgast üles otsida. Vaatamata sellele,et vajalik aruanne lõpuks leiti, ei saanud aruannet enam õigeks tähtajaksesitada.

• Andmevarunduslindid viidi kogemata välisesse andmevarundusarhiivi. Kunalinte ei saadud kohe kätte, tekkis vajalike andmete taastamisel hilinemine.

• Erineva sisuga andmevarunduslindid tähistati kogemata ühtmoodi. Arhiivihaldaja lasi tahtmatult kustutada kõige uuema lindi. Nii sai kasutada ainultvananenud andmevarunduslinti.

• z/OS operatsioonisüsteemis kasutavad lindihaldussüsteemid andmevarun-duslintide aegumiskuupäeva märgistamiseks ja nende ülekirjutamise luba-miseks pakktöötlust. Kui pakktöötlus katkeb või ei käivitu, ei ole teatud juh-tudel edasiseks varunduseks piisavalt tühje linte (scratch tapes) ja linttööt-luses võivad tekkida probleemid.

62 / 781

G 2.11 Liinide väike läbilaskevõime

Võrkude, serveriruumide või andmekeskuste planeerimisel tehakse tihti see viga,et nende funktsionaalsuse, võimsuse või tehnilise turbe juures arvestatakse ainulthetkevajadusi. Seejuures jäetakse kahe silma vahele, et:

• võrgu ja arvutite võimsust tuleb kasvavate andmemahtude või uute teenustekasutamise korral suurendada,

• tehniliste standardite muutmine võib endaga kaasa tuua ehituslikke või tur-betehnilisi kohandamisi,

• tihtipeale on võrku vaja laiendada kasutusmuudatuste tõttu,• uued nõudmised võrgule tähendavad isegi uute kaablite paigaldamist.

Näited

• Võrku on võimalik laiendada ainult ulatuses, mis on paigaldatud kaablite võikaablite paigaldamiseks mõeldud lisaruumiga ette antud. Eelkõige suletudtrassides (torud, kivipõrandaga kaetud põranda all asuvad kanalid jne) ei oletihtipeale nii palju ruumi, et lisakaableid saaks paigaldada ilma uusi ja vanukaableid kahjustamata. Ainukeseks lahenduseks on sel juhul kõik kaablidtrassist eemaldada, et siis nii vanad kui uued kaablid koos trassi sisestada.Sedasi tekkinud kasutuspiirangud ja kulutused on küllaltki suured.

• Andmekeskust planeeriti alguses ainult esteetilisest vaatepunktist lähtuvalt.Infrastruktuuri ja tehnilise turbega seotud nõuded olid jäetud tagaplaanile jamäärati kindlaks alles pärast karkassi ehitamist. Ehituse valmimine hilines,kuna puudusid vajalikud trassid, ruumid olid liiga väikesed ja valesti paigu-tatud. Hilisema töö ajal oli väga raske muudatusi teha.

• Ettevõttes planeeriti pärast kümneaastast tööd täiesti uut võrgustruktuuri jaIT-kaabeldust. Pärast järelepäringut selgus, et järgmisel aastal plaaniti uuen-dada keskjaama ja selle kaableid, mis siiani olid paigutatud samasse trassi,kus paiknesid ka IT-kaablid. Ilma nende meetmete kooskõlastamiseta olekstrasside juures vaja olnud topelttööd. Lisaks oleks võib-olla planeeritud kaliiga väikesed trassid.

63 / 781

G 2.12 Kaablite puudulik dokumenteerimine

Kui dokumentatsiooni puudulikkuse tõttu ei ole kaablite täpne asukoht teada,võivad hoone sees või sellest väljaspool tehtavate ehitustööde käigus tekkidakaablikahjustused. Ei saa lähtuda sellest, et kõik kaablid on paigaldatud standardi-le vastavalt. Olenevalt süsteemist võib betoneerimistööde käigus tekkida vajaduskaablite asukoha muutmise järele, seda eriti betooni sisse paigutatud torude kor-ral või uute kaablite paigaldamisel. Lisaks juhtub tihtipeale ka kipsplaatidest sein-te ehitamisel, et kaablite paigutamise tööd ei ole kooskõlastatud. Kui kaablid onpaigaldatud põrandasse või lakke, võib olla valitud kas geomeetriline või otsenekaablipaigaldus. Lisaks on võimalik ka kaablite juhuslik paigutus, nii et põranda-tel ja lagedes nähtavate seadmete (lambid, lülitid, mahutid jne) järgi ei saa tehajäreldusi kaablite paigutuse kohta. Kaablikahjustuste tõttu võib süsteem pikemaksajaks rivist välja langeda. Teatud juhtudel võivad tekkida isegi eluohtlikud olukor-rad, näiteks elektrilöögi tõttu.

Ebapiisav dokumentatsioon raskendab ka kaablite kontrollimist, hooldamist japarandamist.

64 / 781

G 2.13 Kaitsmata elektrikilbid

Vooluvarustuse jaotuskilpidele pääseb vabalt ligi nii koridorides kui ka trepikoda-des. Seega võib igaüks neid jaotuskilpe avada ja nendega manipuleerida ningteatud juhtudel põhjustada voolukatkestuse. Sellistest elektrikilpidest võib tulene-da ka suurem oht, kuna pärast kruvikaitsme ja selle sokli eemaldamist pääsetakseligi pinget juhtivate osadele. Peale selle võivad jaotuskilpide lahtised uksed takis-tada liikumist ning klemmid või teravad ukseservad võivad põhjustada vigastusi.

65 / 781

G 2.14 IT halb tõhuses töötingimuste tõttu

Töökoht või töökeskkond, mis ei ole korraldatud ergonoomiliselt (nt kus on häiredmüra või tolmu tõttu), võib viia selleni, et olemasolevat IT-d ei saa kas üldse võioptimaalselt kasutada.

Enamik võimalikke häireid ei mõjuta otseselt IT-d. Pigem mõjutab kasutajaidsee, et nad ei saa oma ülesannetele piisavalt keskenduda. Häirimine hõlmab kõikealates mürast või intensiivsest, korraldamata kliendivoost kuni ebapiisava valgus-tuse ja halva ventilatsioonini. Sellise häirimise esimesed märgid võivad aeglustadaülesannete täitmist ja suurendada väikeste vigade arvu (tähtede vahetusseminek,kirjavead). See ei halvenda üksnes otsest töötulemust. Ka salvestatud andmetesvõib olla vigu ning andmeterviklus väheneb.

66 / 781

G 2.15 Konfidentsiaalsusaugud Unix-süsteemis

Mitmesuguste Unix-programmide abil saab esitada päringuid andmete kohta, mi-da IT-süsteem kasutaja kohta salvestab. Siia alla käivad ka niisugused andmed,mis võivad anda teavet kasutaja teenuseprofiilist. Seepärast tuleb andmekaitse-aspekte järgida samamoodi kui ohtu, et selline teave hõlbustab ärakasutamist.

Näide:

• Lihtsa programmi abil, mis analüüsib kindla aja tagant teavet, mida saadabkäsk who, saab iga kasutaja luua konto kohta täpse kasutusprofiili. Näitekssaab nii kindlaks määrata süsteemiülema(te) äraolekuajad, et kasutada neidaegu volitamata tegevusteks. Pealegi on võimalik kindlaks teha, millisteleterminalidele on privileegidega juurdepääs. Samasuguseid ärakasutamisevõimalusi pakuvad ka programmid finger ja ruser.

67 / 781

G 2.16 Sülearvuti reguleerimata edasiandmine

Sülearvuteid antakse sageli teisele kasutajale lihtsalt edasi. See tähendab, et ena-masti ei veenduta, kas seadmes on veel konfidentsiaalseid andmeid või kas seadeon arvutiviirusega nakatunud. Lisaks sellele ei ole mõnda aega võimalik kontrol-lida, kes millal sülearvutit kasutas või kes seda praegu kasutab. Reguleerimataüleandmine, ilma et mälu oleks kontrollitud ja dokumentatsioon täidetud, võib see-ga pärssida seadme käideldavust ja põhjustada kõvaketta jääkandmete konfident-siaalsuse kadu.

68 / 781

G 2.17 Andmekandjate puudulik märgistus

Kui andmekandja on puudulikult märgistatud, siis ei ole tihtipeale juba üsnavarsti võimalik kontrollida, kellele andmekandja kuulub, milline teave on sellelesalvestatud või mis on selle eesmärk. Kui andmekandjate vahetamisel ei olevahetatav andmekandja nõuetekohaselt märgistatud, siis ei ole vastuvõtjal sagelivõimalik kindlaks teha, kes on andmekandja saatnud või kas on vaja arvestadajuurdepääsupiirangutega. Kui samalt saatjalt tuleb mitu andmekandjat, võibjärjekord puuduva märgistuse tõttu segi minna.

Näited:

• Sageli saadetakse tasutud postimaksuga ümbrikuid palvega saata brošüü-re või CD-sid. Ikka ja jälle juhtub, et aadressi pole märgitud ei kirjale egavastusümbrikule.

• Saatja saadab adressaadile DVD teabega, mille puhul on terviklus väga olu-line. Järgmisel päeval avastab saatja, et andmed olid puudulikud, saadabõige versiooni ja teatab sellest adressaadile. Postitöötluses jõuab teine DVDesimesest ette, nii et adressaat arvab puuduliku märgistuse tõttu, et kõige-pealt saadud DVD-l on valed andmed.

• Enne tarkvara muutmist kirjutati olulised kasutusandmed andmevarun-duseks CD-ROM-idele. Kuna see tegevus oli kavandatud lühiajalisena, siisei märgistatud CD-ROM-e nõuetekohaselt, vaid pandi ainult numbrid. KuigiCD-ROM-idele salvestati konfidentsiaalsed kliendiandmed, jäid need pärastinstalleerimist kontorisse vedelema. Kui see mõne nädala pärast meelde tu-li, olid pooled CD-ROM-id juba kadunud.

69 / 781

G 2.18 Andmekandjate väär saatmine

Andmekandjate vääral saatmisel või reguleerimata kättetoimetamisel on oht, etandmekandjatele salvestatud konfidentsiaalne teave satub valedesse kätesse võiei jõua soovitud sihtkohta õigel ajal.

Näited

• Valesti adresseeritud - Vale aadressi tõttu võib juhtuda, et andmekandjadantakse üle volitamata adressaadile.

• Halvasti pakendatud- Ebapiisava pakendamise tõttu võivad andmekandjadkahjustuda, kuid see võimaldab neile ka volitamata juurdepääsu, mida eisaa kindlaks teha.

• Kui adressaadil ei ole vastutusalad kindlaks määratud, võib juhtuda, et saa-bunud andmekandjat töödeldakse alles hilinenult.

• Kui saatmisviis pole kindlaks määratud, võib vale saatmisviisi valimise tõttuandmekandja liiga hilja kohale jõuda.

• Kui ei ole selgelt reguleeritud, kes on saatja poolel pädev andmekandjaidkoostama ja saatma, võib tulemuseks olla see, et tähtaegadest ei suudetakinni pidada, sest teave ei jõua adressaadini õigel ajal.

70 / 781

G 2.19 Krüpteerimise halb korraldus

Kui konfidentsiaalsuse kaitseks määratakse edastatavatele andmetele krüpteeri-missüsteem, võib soovitud kaitse krüpteerimise halva korralduse tõttu kaotsi min-na, kui

• võtmed koostatakse või neid hoitakse ebaturvalises keskkonnas;• koostatakse ebasobivad või kergesti äraarvatavad võtmed;• krüpteerimiseks või dekrüpteerimiseks koostatud võtmed ei jõua sidepart-

nerini turvalisel moel.

Näited:

• Kõige lihtsam negatiivne näide on krüpteeritud teabe ja kasutatud võtmesaatmine ühel ja samal disketil. Sel juhul saab igaüks, kelle kätte diskettsatub, teabe dekrüpteerida eeldusel, et krüpteerimisel kasutatud meetod ontuttav.

• Halb juhuslikkuse allikas – krüptograafilisi võtmeid koostatakse ja töödeldak-se vajaduse korral üldiselt juhusliku valiku abil. Kui kasutatav juhuslikkuseallikas on ebasobiv, siis ei pruugi koostatud võtmed olla turvalised.

• Võtmete halb valik – krüptograafiliste võtmete, eriti peaparoolide koosta-misel on turvalisuse seisukohast otsustava tähtsusega, et ei koostataks nõr-ka krüptograafilist võtit. Sellised võivad olla näiteks kergesti äraarvatavadvõtmed või võtmed, mis ei sobi krüpteerimiseks (nt nõrgad ja poolnõrgadDES-võtmed).

• Kui alusvõtmete (master key) arvutamisel ei kontrollita, kas koostatud võtion nõrk või mitte, võib töökeskkonda sattuda nõrk võti.

• Kui Triple DESi puhul kasutatakse identseid osavõtmeid, siis on Triple DE-Si krüpteerimine üksnes lihtne DES-krüpteerimine. Turvalisuse kasu lähebkaotsi.

• Suuri probleeme võib tekitada mitte üksnes krüptograafiliste võtmete avali-kustamine, vaid ka nende kaotamine.

• Krüptograafilised võtmed võivad kaotsi minna või ununeda või ei pruugi ol-la enam kättesaadavad (nt juhul, kui võtme omanik on firmast lahkunud),võivad hävineda, kui need kogemata kustutatakse või kui neid muudetak-se, nt andmekandja tõrke või bitivea tõttu. Kui võtmed ei ole enam kätte-saadavad, siis ei saa nendega kaitstud andmeid dekrüpteerida ega nendeautentsust kontrollida.

71 / 781

G 2.20 Kulumaterjalide ebapiisav või vale varu

Paljudel kontoris iga päev kasutatavatel seadmetel, nt faksiaparaatidel, printeritel,magnetlintsalvestitel, on tõrgeteta ja katkestusteta tööks vaja piisavas kogusesmaterjale. Kui kulumaterjale on puudu, võib töö kulg olla suuresti häiritud. Häda-olukorras võib tegutsemisvõime olla tugevasti pärsitud ja see võib kalliks maksmaminna, kui kulumaterjale pole piisavas koguses kasutada.

Näited

• Kui paberi- või tahmavaru on otsas, siis ei saa saabuvaid fakse välja trük-kida, kuigi need võeti nõuetekohaselt vastu. Puhvermälu saab oma piiratudmälumahu tõttu faksisaadetiste tagasisaatmist või kaotsiminekut ainult edasilükata, mitte pika aja vältel ära hoida.

• Muretseti uus magnetlintsalvesti, mis ei ühildu vanade lintidega. Uusi sobi-vaid linte ei ole muretsetud, mistõttu ei saa päevade kaupa andmeid varun-dada.

• Oluline printimistöö vajab tegemist, kuid varuks muretsetud tahmakassett eisobi printerile.

72 / 781

G 2.21 Korraldamata kasutajavahetus

Kui ühe kohaga IT-süsteemis töötavad ajaliselt vaheldumisi mitu kasutajat, toimubparatamatult kasutajate vahetus. Kui see ei ole piisavalt korraldatud ja reguleeri-tud, siis ei toimu see teatud tingimustel ohutult.

See võib hõlbustada ärakasutamist, nt kui:

• töötavaid rakendusi ei suleta õigesti;• ajakohaseid andmeid ei salvestata;• jääkandmed jäävad põhimällu või ajutistesse failidesse;• eelmine kasutaja ei logi end IT-süsteemist välja;• uus kasutaja ei logi end nõuetekohaselt IT-süsteemi sisse.

73 / 781

G 2.22 Logiandmete analüüsimata jätmine

Enamikul IT-süsteemidel ja rakendustel on funktsioonid operatsioonide kasuta-mise, nende järjekorra ja tagajärgede logimiseks. IT-süsteemi elutsükli jooksulkasutatakse erinevaid logimisplaane. Arendusfaasis koostatakse üksikasjalikudlogid, et vea korral saaks logiandmeid kasutada probleemi detailseks analüüsiksja et viga oleks kergem kõrvaldada. Sissejuhatavas faasis kasutatakse logisidselleks, et optimeerida muu hulgas IT-süsteemi kasutusjõudlust või kontrollidaturbekontseptsiooni tõhusust esmalt praktikas. Tööfaasis koostatakse logisidpeamiselt nõuetekohase kasutuse tagamiseks.

Logiandmed võimaldavad tagantjärele kindlaks teha, kas IT-süsteemis ontoimunud turvarikkumisi või sooritatud ründekatseid. Logiandmeid kasutataksekahjujuhtumi korral vea analüüsimiseks ja põhjuse väljaselgitamiseks või tervik-luse kontrollimiseks. Logimise abil võib kindlaks määrata ka teo toimepanija jaseega potentsiaalseid toimepanijaid eemale peletada. Logiandmete korrapärastanalüüsi kasutades saab IT-süsteemi vastu suunatud tahtlikke rünnakuid teatudtingimustel juba varakult tuvastada. Kui logiandmeid ei analüüsita või ei analüüsitaneid piisavalt, siis ei saa neid ennetusmeetmetena kasutada.

Mõnede IT-süsteemide või rakenduste puhul puuduvad piisavad logimisvõima-lused. Tihtipeale ei ole logimist süsteemi oma vahenditega võimalik sündmusteliigi alusel diferentseerida või on see väga keeruline. Ositi ei ole logimine üleüldseette nähtud.

Näide:

• Volitamata kasutaja proovib saada juurdepääsu andmebaasi serverile, püü-des ära arvata teadaoleva kasutajanime paroole. Süsteemis logitakse eba-õnnestunud autentimiskatsed. Kuna logiandmeid ei analüüsita, siis ründe-katseid ei tuvastata. Volitamata kasutaja võib jätkata ründekatset tuvasta-matult kuni võimaliku õnnestumiseni.

74 / 781

G 2.24 Kaitsetus välisvõrgu vastu

Sellisesse välisvõrku nagu internet ühendatud võrgust, millel puudub tulemüür,saab välisvõrgust pärida mitmesuguseid sisevõrgu andmeid, nt e-posti aadres-se, IP-numbreid, arvuti- ja kasutajanimesid. Seeläbi saab teha järeldusi sisevõr-gu struktuuri ja selle kasutajate kohta. Mida rohkem teavet ründaja potentsiaalsesihtmärgi kohta saab, seda rohkem ründevõimalusi tal on. Kui ründaja teab näi-teks IT-süsteemi kasutajanime, võib ta proovida selle parooli ära arvata või sedasõnaraamaturündega leida (vt G 5.18 Süstemaatiline paroolide mõistatamine ).

75 / 781

G 2.26 Ebapiisavad või puuduvad tarkvara katsetamis- jateavitusprotseduurid

Kui uut riist- või tarkvara ei katsetata piisavalt või ei katsetata üldse ning see evita-takse installeerimiseeskirjadeta, võib juhtuda, et riist- või tarkvara vigu ei tuvasta-ta või et hädavajalikke installeerimisparameetreid ei tuvastata või ei järgita. Needpuuduvast või puudulikust tarkvara katsetamis- või teavitusprotseduurist tingitudriistvara-, tarkvara- või installeerimisvead kujutavad endast IT-süsteemide kasu-tusele märkimisväärset ohtu.

Uue riist- või tarkvara probleemideta installeerimist usaldades jäetakse sagelitähelepanuta, et võimalikud kahjud ei ole võrdelised kuludega, mida nõuab kor-ralik katsetamis- ja teavitusprotseduur. Programme või IT-süsteeme katsetataksepuudulikult ja need antakse koos vigadega tootmisse. Vead häirivad edaspidinende kasutust, mis on seni olnud laitmatu.

Näited:

• Ressursid – programme või programmide värskendusi ei saa mõistlikult ka-sutada, sest vastuvõetav töötlemistempo nõuab arvatust rohkem ressursse(nt põhimälu, protsessori võimsus). Kui seda katsega ei tuvastata, võivadselle tagajärjena tekkida märkimisväärsed vale- või järelkulud. Edaspidistekulude ärahoidmiseks võetakse sageli vastu sellised otsused, mille tulemu-sel IT-süsteemid või rakendused küll ostetakse ja nende eest tasutakse, kuidneid ei kasutata.

• Töö takistused – pärast uue tarkvara installeerimist on sisseharjunud töö-protsessid oluliselt takistatud. Programmi installeerimisel silmas peetud ka-su ilmneb märksa hiljem, sest töötajaid ei koolitatud ja nad polnud program-mi uutest funktsioonidest teadlikud.

• Vigadega DBMS-standardtarkvara värskenduse installeerimisel ei saa and-mebaasi enam kasutada või tekib andmekadu.

• Mõned tarkvaratooted installeerivad andmebaasina Microsoft Server Desk-top Engine’i (MSDE), ilma et kasutajale sellest teada antaks. Seejuureson tegemist Microsofti SQL Serveri vormiga, millel on andmebaasisüstee-mi tüüpilised ohud. Sageli ei ole toote kasutajad või administraatorid, kestoote installeerivad, neist ohtudest piisavalt teadlikud ega võta vajalikke tur-vameetmeid. Nii luuakse sageli seoses MSDE-ga andmebaasi administraa-tori jaoks kasutajakonto, mis ei ole põhiinstallatsioonis parooliga kaitstud.Niiviisi võivad ründajad saada täieliku juurdepääsu andmetele ja võimalusekorral isegi operatsioonisüsteemile.

• Ühes pangas värskendati operatsioonisüsteeme mitmete võrgukomponenti-dega. Seejärel blokeeris paketifiltri uus versioon ühe harva kasutatava, kuidäärmiselt olulise andmebaasil põhineva kriitilise tähtsusega kauplemissüs-teemi kommunikatsioonipordi. Selle tagajärjel ei pääsenud panga kliendidenam rakendusele ligi ega saanud olulisi teenuseid kasutada. Kahjunõuetetõttu sai pank finantskahju.

76 / 781

G 2.27 Ebapiisav või puuduv dokumentatsioon

Vaatluse alla võib võtta dokumentide mitmesugused kujud: tootekirjelduse,administraatori ja kasutajate dokumentatsiooni toote kasutamise kohta ningsüsteemidokumentatsiooni.

Kasutatavate IT-komponentide puuduv või puudulik dokumentatsioon võibosutuda väga tähtsaks nii toote valimisel ja otsustamisel kui ka töökeskkonnasaset leidva kahjujuhtumi korral. Kui dokumentatsioon on puudulik, võib kahjujuh-tumi, nt riistvara rikke või programmide tõrgete korral vigade diagnoosimine jakõrvaldamine võtta oluliselt kauem aega või olla täiesti teostamatu. See kehtibka hoone infrastruktuuri siseste kaablikanalite ja juhtmestiku dokumentatsioonikohta. Kui puuduliku dokumentatsiooni tõttu ei ole teada juhtmete täpne asukoht,võivad juhtmed saada hoone välis- või siseehitustööde käigus kahjustada. Seevõib põhjustada pikemaid seisakuaegu (hädaolukorda) või teatud tingimustel isegieluohtlikke olukordi, nt elektrilöögi tõttu.

Näited:

• Uue tarkvaratoote installeerimisel muudetakse olemasolevaid konfigurat-sioone. Teised, seni tõrgeteta töötanud programmid saavad seetõttu valedsätted ja võivad kokku joosta. Kui tarkvara installeerimisel on muudatusedüksikasjalikult dokumenteeritud, saab vea kiiresti kindlaks teha ja kõrvalda-da.

• Kui programm vahesalvestab töötulemusi ajutistes failides, ilma et see olekspiisavalt dokumenteeritud, võib juhtuda, et ajutised failid ei ole vajalikul mää-ral kaitstud ja konfidentsiaalne teave muutub avalikuks. Kui puudub nendefailide juurdepääsukaitse või kui ajutiselt kasutatavate piirkondade füüsilinelahendus ei ole õige, võivad volitamata isikud teabele ligi pääseda.

• Ühes z/OS-installatsioonis käivitati igal õhtul automaatselt pakktööd kasu-tusandmete töötlemiseks. Töötlemisel oli oluline, et pakktööd kulgeksid õi-ges järjekorras. Kui automaatika ühel õhtul ei töötanud, tuli tööd käivitadakäsitsi. Puuduva dokumentatsiooni tõttu käivitati pakktööd vales järjekorras.Seetõttu tekkisid kasutusandmete töötlemises katkestused ja tootmine lük-kus mitu tundi edasi.

• Ühes suuremas ettevõttes paigaldas IT-kaablid teine firma. Dokumentat-siooni koostamine ei olnud teenuste mahus hõlmatud. Kuna pärast juhtmes-tiku paigaldamist ei sõlmitud firmaga hoolduslepingut, ei olnud asutusel va-jalikke dokumente. Võrku oli võimalik laiendada ainult märkimisväärse ajali-se viivitusega (vt ka G 2.12 Kaablite puudulik dokumenteerimine ).

• Kui IT-komponentide dokumentatsioon ei kajasta piisava detailsusega neiskasutatavaid krüptograafilisi algoritme, nende teostusi ja seadistusi, siis võibvananenud või muul viisil ebaturvaliseks muutunud krüptograafiline lahen-dus jääda õigel ajal välja vahetamata.

• elliste pooljuhtmälude nagu SRAM (static random access memory) ja DRAM(dynamic random access memory) andmekaartide puudumise tõttu võib juh-

77 / 781

tuda, et mälusid ei kustutata nõuetekohaselt ja nii võib konfidentsiaalne tea-ve saada avalikuks.

• Ühes ettevõttes oli vaja USB mälupulgad (püsimäluga salvestid) tühjaks te-ha. Tootekirjeldust ei olnud kusagilt leida. Seepärast töödeldi USB mälupulkisaadaoleva kustutustööriistaga. Tootja iseärasuste tõttu ei saanud siiski kõi-ki andmeid nõuetekohaselt ja turvaliselt kustutada.

Kontrollküsimus:

• Kas IT-komponentide dokumentatsioon kajastab kõikides IT-komponentideskasutatavaid krüptograafilisi algoritme?

78 / 781

G 2.28 Autoriõiguste rikkumine

Litsentseerimata tarkvara kasutamine võib osutuda autoriõiguste rikkumiseks,millel võivad omakorda olla nii tsiviil- kui ka karistusõiguslikud tagajärjed. Asutus-telt ja ettevõtetelt, kes kasutavad piraatkoopiaid, võivad autoriõiguste omanikudnõuda kahjude hüvitamist organisatsiooni vastutuse raames ning see ei sõltu süüliigist (tahtlikkus või hooletus).

Näited:

• Ettevõttes rakendati suurt hulka kasutajaliideseid ilma selleks vajalikke lit-sentse soetamata. Litsentside tagantjärele soetamise kulud ja kahjuhüvitisautoriõiguste omanikele maksid kokku neli korda rohkem kui oleks kulunudlitsentside õigeaegsele soetamisele.

• Ettevõttes on installeeritud tarkvara, mille litsentsivõti kehtib ainult kindlateleversioonidele. Olukord, kus paigaldatakse sama tarkvara uuem versioon,ilma et litsentsitingimusi kontrollitaks, võib mõjutada tarkvara toimimist javiia isegi tsiviil- või karistusõiguslike tagajärgedeni.

• Firmas rakendatava tarkvara installeerimist ja kasutusse lubamist ei juhitudtervet ettevõtet hõlmava muudatuste haldusprotsessiga. Iga osakond instal-leeris talle vajaliku tarkvara iseseisvalt. Kuna mitte keegi polnud installeeri-tud tarkvara ja soetatavate litsentside tükiarvu omavahel võrrelnud, soetatilitsentse kohati liiga vähe ja kohati vajatust enam. Esimene olukord võibendaga kaasa tuua tarkvaratootja kahjunõude ja kriminaalmenetluse. Teineseevastu on näide olemasolevate ressursside ebamõistlikust kasutusest.

79 / 781

G 2.29 Tarkvara testimine tootmisandmetega

Tarkvaratestide läbiviimisel kasutatakse sageli tootmisandmeid. Oluliste põhjus-tena nimetatakse, et ainult olemasolevate töötulemuste otsese võrdlusega saabanda lõpliku hinnangu toote funktsioonile ja jõudlusele. Lisaks on protseduurikasutamise põhjustena nimetatud ka puudulikku turvateadlikkust, liigset usaldusttestitava tarkvara suhtes ja puuduvaid teadmisi võimalike kahjulike mõjude kohta.

Tootmisandmetega testimisel võivad tekkida järgmised probleemid:

• Tarkvara testimine tootmisandmete koopiatega toimub isoleeritud testimis-keskkonnas. Kui uut tarkvara testitakse anonüümseks muutmata andme-tega, võivad volitamata töötajad või kolmandad isikud, kelle ülesanne ontarkvaratesti läbiviimine, näha andmeid, mis võivad sisaldada ka konfident-siaalset teavet.

• Tarkvara testimine tootmisandmetega toimub regulaarse töö käigus. Testi-mise käigus tekkivad tarkvara funktsioonihäired võivad lisaks eelnevalt kir-jeldatule viia selleni, et lisaks tootmisandmete konfidentsiaalsusele saavadkahjustada ka nende terviklus ja käideldavus.

• Erinevate programmide ühildumatuse tõttu võivad tekkida kõrvalefektid, misvõivad teisi süsteemikomponente jäädavalt kahjustada. Võrgustatud süs-teemide korral võivad tagajärjed ulatuda jõudluse kadumisest süsteemi kok-kuvarisemiseni.

• Testitava tarkvara vigade või kasutamisvigade tõttu võib esineda tootmis-andmete tahtmatut muutmist. Selliseid muutusi ei õnnestu alati tuvasta-da. Kuna mittevajaliku varundamise vältimiseks kasutavad andmekogumeidkoos üha enam erinevaid programme, võivad tekkinud vead avaldada mõjuka teistele IT-rakendustele. Kahjustuse korral tuleb valmis olla kulutusteks,mida tuleb teha andmete rekonstrueerimiseks ning juba olemasolevate töö-tulemuste tervikluse kontrollimiseks.

80 / 781

G 2.32 Võrgu ebapiisav võimsus

Võrkude planeerimisel tehakse tihti see viga, et võimsuse arvestamisel võetaksearvesse vaid hetkevajadusi. Seejuures ei pöörata tähelepanu asjaolule, et võrku-de võimsusele esitatavad nõuded kasvavad pidevalt, nt kui võrku integreeritakseuued IT-süsteemid või suureneb ülekantavate andmete hulk.

Kui võrgu võimsus on ebapiisav, väheneb ülekandekiirus ning võib halvenedaka andmete kättesaadavus võrgus selle kasutajatele. Näiteks kui võrgus on samalajal palju teisi kasutajaid.

Näide:

• Ühte ruumi lisatakse arvutitöökohti, kujundades ruumid ümber suurbüroo-deks. Lõppseadmete ühendamine toimub vastavas büroos lihtsate hub’ideja switch’ide abil ning lahtise kaabeldusega. Kui võetakse kasutusele uuemsüsteemi- ja rakendustarkvara, mis laeb pidevalt internetist või asutuse hal-dusserverilt värskendusi, tekivad tõsised tõrked normaalsetes tööprotses-sides, kuna juhtmete olemasolev võimsus ei vasta värskendustega seotudandmehulgale.

81 / 781

G 2.36 Kasutajakeskkonna ebasobiv piiramine

Enamik operatsioonisüsteeme võimaldab kasutajakeskkonda iga kasutaja jaoksindividuaalselt piirata. Kui seda ei võimaldata, võib siinkohal üldiselt kasutadaspetsiaalseid turvatooteid. Seejuures on kaks põhilist võimalust:

• Teatud funktsioonid lubatakse, kõik ülejäänud keelatakse.• Teatud funktsioonid keelatakse, kõik ülejäänud lubatakse.

Mõlemal juhul on võimalus kasutajat sedavõrd piirata, et ta ei saa enam kindlaidfunktsioone teostada, või et ei ole enam isegi võimalik IT-süsteemiga efektiivselttöötada.

Veel üks võimalus kasutajakeskkonna piiramiseks on kasutatava salvestusma-hu piiramine. Kui olemasolevast salvestusmahust enam ei piisa, ei ole võimalik uutinformatsiooni salvestada. Sõltuvalt vastava IT-süsteemi liigist ja jaotusest võivadmõjutatud olla suur hulk kasutajaid ja rakendusi. Kui seejuures loobuti andme- jasüsteemisektsiooni eraldamisest, võib kogu IT-süsteem rivist välja langeda, kunapuudub ruum töömälu saalimiseks (swap).

Näited:

• Ühes ettevõttes on administraator kokkuhoiu tõttu jätnud töötajatele meili-serverile väga vähe ruumi, et töötajaid distsiplineerida. Töötajad peaksidmeilid salvestama vastavasse töökausta ja mitte jätma neid meiliprogrammisisendkausta. Seetõttu olid meilipostkastid juba pärast paari meili saabumisttäis ja kasutajad ei saanud uusi meile vastu võtta.

• Ühes asutuses oli kindlaks määratud, et kindlad turbespetsiifilised andmed,näiteks sisselogimiskatsed, tuleb üks kord aastas protokollida. Kuna logi-andmete jaoks ei olnud serveril piisavalt ruumi, kustutati need automaatseltühe nädala pärast. Kui märgati, et ettevõtte jaoks oluliste andmetega oli ma-nipuleeritud, oli võimalik avastada küll turvaauk, aga ei olnud enam võimalikkindlaks teha, kuidas ja kes seda ära kasutas.

82 / 781

G 2.37 Sideliinide kontrollimatu kasutamine

Sidekaartide kasutamisel IT-süsteemi siseselt (faksi-, modemi- või ISDN-kaardid)ei ole kasutajale alati ilmselge, mida lisaks tema kasulikule ja logimisinfole ülekantakse. Pärast sidekaardi aktiveerimist on põhimõtteliselt võimalik, et see loobilma kasutaja algatuseta ühendusi soovimatu kaugserveriga, või võtavad sellegaühendust kolmandad isikud kasutajale tundmatute kaugpöördumise funktsioonidekaudu.

Näited:

• Suur hulk modemikaarte toetab kaugjuurdepääsu IT-süsteemidele. Neidpääsusid on osaliselt võimalik turvata isegi kaartidele integreeritud mehha-nismidega (tagasihelistamise suvand ja numbri autentimine), eelseadistusaga puudub. Selliselt konfigureeritud IT-süsteemiga on modemikaardi kau-du väljastpoolt võimalik manipuleerida.

83 / 781

G 2.38 Installimata või piisavalt aktiveerimata andmebaasiturvamehhanismid

Igal andmebaasi standardtarkvaral on üldjuhul mitmeid turvamehhanisme, milleabil saab kaitsta andmeid volitamata juurdepääsu vms eest. Need turvamehha-nismid ei pruugi olla automaatselt aktiivsed, enamasti peab andmebaasi haldajaneed käsitsi sisse lülitama. Kui neid ei kasutata, siis ei saa tagada ei andmetekonfidentsiaalsust ega terviklust. Sellisel juhul ei ole enamasti võimalik niisugu-seid kaitserikkumisi tuvastada ja logida. Tagajärjeks võib olla andmekadu või ma-nipulatsioon, kuid see võib viia ka andmebaasi hävitamiseni.

Näide

• Andmebaasi MS Access puhul on paroolikaitse aktiveerimine vabatahtlik.Seetõttu võib lihtsal moel pääseda andmebaasisüsteemile ja seega ka sealsalvestatud andmetele volitamata ligi. Sel juhul ei ole võimalik andmebaasikasutamist kontrollida.

84 / 781

G 2.39 Andmebaasi haldussüsteemi keerukus

Andmebaasi haldussüsteemi (DBMS) kontseptsioonis määratakse kindlaks ka-vandatud süsteemi valikut, ülesehitust, kasutust ja võimalikku täiendamist puu-dutavad nõuded.

Andmebaasi standardtarkvara valik ja kasutamine nõuavad DBMS-i hoolikat ka-vandamist, installimist ja konfigureerimist, et oleks tagatud tõrgeteta kasutus. Või-malike ohtude rohkus peaks selgemaks saama järgmiste näidete varal.

Valitud andmebaasi standardtarkvara on ebasobiv

• Valitakse DBMS, mis ei suuda kavandatud kasutuskeskkonnas töötada. Seevõib olla tingitud sellest, et DBMS on seotud konkreetse operatsioonisüstee-miga või ei ole täidetud riistvara miinimumnõuded.

• Valitud DBMS kujutab endast turvariski, sest tootja antud turvamehhanismi-dest ei piisa andmete nõutud käideldavuse, tervikluse ja konfidentsiaalsusetagamiseks.

• Andmebaasi standardtarkvara vale installatsioon või konfiguratsioon• Soovitatavad turvameetmed on vigased, puudulikud või hoopiski puudu.

Näited

• Andmebaasi süsteemi kontrollfaile ei peegeldata või ei salvestata peegelda-tud kontrollfaili teisele kõvakettale. On suur tõenäosus, et ketta kokkujooks-mise tõttu andmebaas hävib.

• Installimise ajal määrati automaatselt loodud süsteemiülema tunnusele liigalihtne parool, mida edaspidi ei muudeta.

• Andmete füüsiline jaotus on ebapiisav (juhul kui DBMS nõuab füüsilist jao-tust). Kui rakenduse spetsiifilisi andmeid ei salvestata üksteisest füüsiliselteraldi, võib ühe kõvaketta rike põhjustada kõikide rakenduste rivist väljalan-gemise.

• Valede parameetrite seadistamine võib takistada juurdepääsu teatud and-metele.

• Vale asukohamaa seadistamine andmebaasi tarkvaras võib muuta täpitäh-tede kuvamise võimatuks.

Andmebaasi vale kontseptsioonAndmebaasi kontseptsioonis kujutatakse üksikute tabelite ning nende veergude

ja võtmete kõrval ka tabelite omavahelisi suhteid.Tabeli elemendiga võivad olla seotud teise tabeli üks või mitu elementi. Nendest

seostest tulenevad piirangud, mida tuleb kustutus-, värskendus- või sisestusope-ratsioonide puhul andmebaasi tervikluse säilitamiseks arvesse võtta.

Näide

• Igal elanikul peab olema elukoht. Elanikul võib olla mitu elukohta. Kui elaniksureb, muutuvad kehtetuks kõik temaga seotud elukohad. Ühes elukohasvõib olla mitu elanikku. Elukohad võivad seista tühjana.

Andmebaasis kujutatakse niisugust seost lisatabelis, mis sisaldab seose (ntelanik/elukoht) iga elemendi jaoks selle juurde kuuluvate andmekirjete võtmeid

85 / 781

viidetena andmekirjetele. Kui elanike või elukohtade tabelis kustutatakse üks and-mekirje, siis ei tohi jaotusseose tabelis enam olla ühtegi viidet sellele andmekir-jele. Niisuguste tingimuste järgimine võib olla juba andmebaasis määratud kastingimuste või automaatsete toimingute kaudu.

Nende konstruktide koosmõjul võib tulemuseks olla andmebaasi operatsioonidekaskaad, millele rakendatakse erinevates DBMS-ides mitmesuguseid piiranguid.Kui üksikute tabelite vahel puuduvad seosed, võib see tuua kaasa andmebaasi nnviitetervikluse kao, juhul kui rakendus seda funktsiooni ei imiteeri.

Näited

• Kustutatakse elukoht, kontrollimata, kas sellega on seotud veel elanikke.• Andmebaasi triggerite vale kasutamise tõttu võivad tekkida andmete ebakõ-

lad, kui rakendus ise neid ei arvesta.• Elanik sureb ja ta kustutatakse seejärel andmebaasist. Pärast kustutusope-

ratsiooni kustutab kustutustriger lisatabelist kõik andmekirjed, mis kirjelda-vad surnud elaniku erinevaid elukohti.

• Andmebaasi triggerite kasutamise puuduliku kontseptsiooni tõttu võib ka-duda andmeterviklus või võivad esineda andmete kontrollimatud manipulat-sioonid.

86 / 781

G 2.40 Andmebaasipöörduse keerukus

Kasutajad pääsevad andmebaasi haldussüsteemi (DBMS) kaudu ligi ühele võimitmele andmebaasile. See juurdepääs on kas otsene või võimalik rakendusekaudu. Andmebaasi tervikluse tagamiseks peab keskne punkt kontrollima kõi-ki andmebaasipöördusi. Andmebaasipöörduste puuduliku kontseptsiooni tõttuvõivad muu hulgas tekkida järgmised turvaprobleemid.

Kasutajaõigused

• Kui kasutajaõigused on liiga piiratud, võivad teatud tööd tegemata jääda.• Kui kasutajaõigused on liiga suured, võib juhtuda, et volitusteta saab and-

meid manipuleerida või vaadata.• Kui kasutajatel on otsene juurdepääs andmebaasile (vastupidi rakenduse

kaudu loodavale juurdepääsule), siis põhimõtteliselt on oht, et andmeba-asi terviklus võib andmete manipuleerimise tõttu kaduda, kuid kasutajad eipruugi osata seda hinnata.

• Teadmiseks: nagu andmebaasi tegelikke andmeid, nii salvestatakse tabe-lites omakorda ka üksikute andmebaasiobjektide omadused, nt struktuur,indeksid, tabeli võti, millele pääseb ligi SQL-käskude kaudu.

• Kui andmebaasi objektid ei ole vastava õiguste ja juurdepääsuplaaniga sel-gelt kaitstud, siis on oht, et muudetakse andmebaasi objekte endid (nt tabeliväljade või indeksite muutmine). See võib kaasa tuua rohkelt probleeme kuniandmebaasi hävimiseni.

• Teadmiseks: pääsuõiguste andmisel tekib Data-Warehouse’i, Online Analy-tic Processingu süsteemide (OLAP) ja päringutööriistade kasutamisel tihti-peale turvakonflikt. Ühest küljest on otsustajatele hindamiseks vaja võima-likult palju andmeid heterogeensetest andmeallikatest, teisalt peavad konfi-dentsiaalsed andmed olema volitamata juurdepääsu eest kaitstud. Pääsu-õigused tuleks kujundada nii, et need vastaksid nii andmekaitse ja andmetekonfidentsiaalsuse nõuetele kui ka analüüsinõuetele.

Kaugpöördus

• Kui andmebaasi saab kasutada võrgu kaudu, võivad andmebaasi kaugpöör-duse puudulikud turvameetmed kaasa tuua nii andmete manipuleerimise kuika volitamata sirvimise (vt ka G 5.64 Andmete või tarkvara manipuleerimineandmebaasisüsteemides ).

Andmebaasipäringud

• Kui pääsuõigused ei ole erinevate kasutajagruppide jaoks konkreetse üles-andega piiratud, võivad kaitset vajavad andmed volitamata juurdepääsu tõt-tu konfidentsiaalsuse kaotada.

• Kasutajate ja rakenduste päringud ja käivitamised andmebaasis peavad toi-muma ühiselt kokkulepitud süntaksi alusel või normitud keeltes, mida kasu-tatakse vastavalt päringut esitavale DBMS-ile (nt ANSI-SQL-99 relatsiooni-lise andmebaasi puhul). Kui käivitatav lehekülg ei järgi seda süntaksit, võibjuhtuda, et DBMS-i andmebaasipäringuid ei saa töödelda ja need lükataksetagasi. See oht tekib eelkõige siis, kui kasutatakse erinevate teenusepakku-jate DBMS-i ja päringud esitatakse kesksest rakendusest.

87 / 781

• Kui kasutatakse ebatäpselt formuleeritud andmebaasipäringuid, võib juhtu-da, et andmebaasiobjektide muutuse tõttu saab andmebaasipäring valedvõi ootamatud tulemused. Teatud tingimustel võivad mõttetud päringud ko-gu andmebaasisüsteemi niivõrd hõivata, et see ei suuda enam tegelikkueesmärki täita.

88 / 781

G 2.41 Andmebaasi kasutajate vahetumise halb korraldus

Kui mitu andmebaasi kasutajat jagavad üht ja sama töökohta, siis on juhuslikevõi sihilike andmebaasimanipulatsioonide oht, juhul kui kasutajate vahetus ei olekorraldatud või kui see ei vasta nõuetele. Ka ei ole siis andmete konfidentsiaalsusenam tagatud.

Näide

• Kui andmebaasi pääsevat rakendust ei suleta enne kasutaja vahetumistnõuetekohaselt, tekitavad vastavate kasutajate erinevate õigustega profiilideelmainitud ohte. Nii minnakse mööda ka andmebaasi logimehhanismist,sest see fikseerib aktiivse kasutajatunnuse andmete muutused ja tegevu-sed. Kuid sel juhul ei vasta see tunnus tegelikule kasutajale. Seetõttu ei saaandmete muutusi enam ühetähenduslikult ühele kasutajale omistada.

89 / 781

G 2.44 Ühildamatud võrgu aktiiv- ja passiivkomponendid

Võrgu ühildumatute aktiivkomponentide tõttu võivad tekkida probleemid, mis esi-nevad standardiseerimata või puudulikult standardiseeritud kommunikatsiooni-meetodi keskkonnas, nt ATM või märgendkommutatsioon. Asjakohase kommu-nikatsioonimeetodi kasutamiseks on tootjad puuduvate või ainult osaliselt olemas-olevate standardite alusel sunnitud rakendama firmaomaseid teostusi.

Seda tüüpi ühildumatuse probleemid võivad tekkida siis, kui olemasolevaidvõrke täiendatakse teise tootja aktiivkomponentidega või kui rajatakse võrgud eritootjate võrgukomponentidega.

Kui ühes võrgus kasutatakse koos sama kommunikatsioonimeetodi eri teostu-sega aktiivkomponente, võib kaduda kogu võrgu, üksikute osade või teatud tee-nuste kättesaadavus. Ühildamatuse tüübi järgi saab eristada kahesuguseid juhtu-meid.

Kommunikatsioonimeetodi ühildamatute teostuste tõttu võib juhtuda, et asjagaseotud komponentide kaudu ei toimu mingit kommunikatsiooni.

Ka võrgu ühildumatute passiivkomponentide kombinatsioon võib võrgu kätte-saadavust ohustada. Nii on keerdpaarjuhtmete jaoks olemas 100- ja 150-oomisedteostused, mida ei tohi ilma repiiterita koos kasutada. Võrgu aktiiv- ja passiivkom-ponentide ebasobiv kombinatsioon võib halvendada ka kättesaadavust, kui võrgukülastuslogi toimib selleks mittemääratud vahendi abil. Näiteks ei saa ATM-i kasu-tada 50-oomise koaksiaalkaabli kaudu.

90 / 781

G 2.45 Võrgu konseptuaalsed puudused

Võrgu talitluse õnnestumise seisukohast on ülioluline see, kuidas on kavanda-tud võrgu rajamine ja arendamine. Eriti infotehnoloogia aina lühemaks muutuvateuuendustsüklite puhul võivad võrgud, mida ei saa kontseptsiooni järgi uute vaja-dustega kohandada, kiiresti kitsaskohani jõuda.Võrgu kavandamisel tuleb lähtuda sellest, millised on võrgus osalejate (nt töörüh-made) nõuded andmete konfidentsiaalsusele ja võrgu terviklusele. Muidu võivadteised, volitamata võrgus osalejad sirvida töörühma konfidentsiaalseid andmeid.Sellest aspektist võib konfidentsiaalsus kaduda ka töörühmas osalejate või kogutöörühma ümberkolimise tõttu, kui ei ole võimalik võrgus uusi konfidentsiaalseidpiirkondi luua või muuta. See oht puudutab samavõrra nii võrgu kui ka võrgu-segmentide terviklust.

• Töörühma jaoks, kelle puhul kehtivad andmete konfidentsiaalsuse ja tervik-luse erinõuded, loodi oma osavõrk, mis on marsruuteriga eraldatud. Seesegment on kaablite tõttu piiratud ühe hoonega. Pärast selle töörühma mit-mete liikmete ümberkolimist teise hoonesse peavad nad üksteisega tavali-se võrgu kaudu suhtlema. Andmete konfidentsiaalsust ega terviklust ei saaenam tagada. Kui võrgus kasutatakse uusi rakendusi, mille ribalaiuse va-jadus on kavandatud vajadusest suurem, võib see kiiresti kaasa tuua koguvõrgu kättesaadavuse kadumise, kui võrgu infrastruktuuri ei ole kontsep-tuaalsete puuduste tõttu enam võimalik skaleerida (kättesaadavuse kadu-mine ülekoormuse tõttu). Olenevalt võrgu valitud segmentide jaotusest võibkättesaadavuse kadumine puudutada üksnes võrgu üksikut segmenti.

• Tänapäeval veel sageli esinevates vajadusele orienteeritud suurenevatesvõrkudes on ajaloolistel põhjustel palju väiksema maksimaalse ribalaiusegamagistraalsegmente, nt lubaringvõrgu või Etherneti segmendid. Kuna ma-gistraalpiirkonnas on neil kiirusepiirangud, puudutab suur lisakoormus ko-gu võrgu kättesaadavust. Võrgud, mis sobivad ühendamiseks üksnes fir-maomastesse süsteemidesse, võivad samuti olla kättesaadavuse kadumisepõhjuseks, kui võrku lülitatakse ebasobivaid süsteeme (kättesaadavuse ka-dumine võrgukomponentide tõttu, mis ei ole koostalitlusvõimelised).

• Universaalse süsteemita võrgud esinevad eelkõige suurarvuti keskkonnas,et moodustada suurarvuti võrk selle juurde kuuluvate terminalidega. Tihti-peale on need võrgud, mis installiti terminali või printeri kasutamiseks, janeed ei sobi teiste arhitektuuride (nt Etherneti) kasutamiseks. See käib niikasutatud kaablite kui ka võrgu aktiivkomponentide kohta. Kui seda siiskiproovitakse, ei ole firmaomane võrk üldiselt enam kättesaadav. Üks võima-lus kahte arhitektuuri integreerida on teatud tingimustel lüüsi kaudu ühenda-mine. Kui kasutatakse võrgu aktiivkomponente, mis ei ole mõeldud kasuta-miseks teatud protokollidega, siis ei pruugi olla võimalik vajalikke lisateenu-seid või protokolle kasutada.

• Võrgus, mis on loodud üksnes niisuguste aktiivkomponentidega, mis toeta-vad ainult IP marsruutimist või IP kommutatsiooni, ei saa kasutada SPX-i/IPX-i baasil Novell Netware’i võrguoperatsioonisüsteemi. Kui kasutataksevõrgu passiivkomponente, millel on rakendatavate võrgupääsuprotokollidetõttu piirangud, siis ei saa võrku tulevikus teatud asjaoludel enam skaleeri-da.

• Võrgus, mis on rajatud üksnes 50-oomise koaksiaalkaabliga, ei saa ATM-i

91 / 781

kasutada. Võrkudes, mis on rajatud 150-oomiste keerdpaarjuhtmetega, eisaa kasutada 100-oomiseid Etherneti komponente. Eelmainitud, osaliseltajaloost tingitud kontseptuaalsete puuduste tagajärjeks on võrgu infrastruk-tuuri kulukad muudatused. Võrgud võivad olla teostatud küll rakenduse, süs-teemi ja teenuste suhtes universaalselt, kuid nende väga heterogeensetekomponentide tõttu tekivad hoolduskulud, mida käitav personal ei saa en-dale lubada. Selle tulemuseks on võrgu kättesaadavuse kadumine, kui võr-gu passiiv- või aktiivkomponentide tõrkeid või rikkeid ei suudeta puuduvapersonali tõttu enam piisavalt kiiresti kõrvaldada.

• Kui rakendusi kasutatakse võrgus suurema läbilaskevõimega kui planeeri-mise ajal arvestati, võib sellega kiiresti kaasneda kogu võrgu kättesaada-vuse kaotus, kui võrgutaristut ei saa kontseptuaalsete puuduste tagajärjelenam piisavalt skaleerida (kättesaadavuse risk koormuse tõttu). Olenevaltvalitud võrgu segmenteerimisest võib kättesaadavuse kaotus puudutada kaüksnes üksikuid võrgusegmente.

Näide.Tänapäeval veel sageli esinevates, vajadusepõhiselt kasvanud võrkudes on aja-loolistel põhjustel olemas palju madala maksimaalse bitiedastuskiirusega magist-raalvõrgu segmente, nt väikese bitiedastuskiirusega Etherneti segmendid. Läbi-laskevõime piirangu tõttu magistraalvõrgu piirkonnas mõjutab see suure lisakoor-muse korral kogu võrgu kättesaadavust.

92 / 781

G 2.46 Maksimaalse lubatava kaabli- või siinipikkuse või ringisuuruse ületamine

Asjakohaste standarditega on vastavalt kaablitüübile, topoloogiale ja edastusviisi-le võrgu funktsionaalsuse tagamiseks selle standardi raames kindlaks määratudmaksimaalsed kaabli- ja siinipikkused ning ringi suurused. Liiga pikkade kaabliteja siinide ning ka liiga suurte ringide puhul muutuvad signaliseerimiskiirused asja-kohase edastusviisi jaoks ettenähtust pikemaks, nii et võrgusegmendi käideldavusvõi kommunikatsiooni ribalaius väheneb.

Esinevad fenomenid sõltuvad pöördusmeetodist:

• Nendes võrgusegmentides, kus kasutatakse pääsumeetodit CSMA/CD(Carrier Sense Multiple Access / Collision Detection), on kõikidel lõppsead-metel võrdväärne ligipääs, kuigi andmekandjat saab kasutada vaid üks lõpp-seade. Selleks kontrollib iga lõppseade kõigepealt, kas andmekandja on ka-sutamiseks kättesaadav (Carrier Sense). Kui see nii on, alustab lõppsea-de andmeedastust. Kui sellega tegelevad mitu lõppseadet korraga (MultipleAccess), tekib kokkupõrge, mille lõppseadmed tuvastavad (Collision De-tection). Selle tulemusena kontrollitakse andmekandjat uuesti ja korratakseandmeedastust.

• Andmekandjale signaalide saatmise maksimumkiiruse ületamisel ei pruu-gita kokkupõrkeid jõuda ettenähtud aja jooksul tuvastada (Collision Detec-tion). See tähendab, et üks lõppseade on juba andmete edastamist alus-tanud, kui teine lõppseade tuvastab, et andmekandja on veel vaba. Sel ju-hul tekivad nn hilinenud põrked, mis muudavad andmepaketi kasutuks jablokeerivad andmekandja sõltuvat andmepaketi pikkusest tasu abil. Seelä-bi võib andmekandja kasulik andmeedastuse ribalaius tugevasti väheneda.Üldjuhul ei teki võrgupääsulogide varundamise tõttu teabekadu, kuigi üksi-kud andmepaketid kaovad. Edastusviisi CSMA/CD kasutavad näiteks Ether-net ja kiire Ethernet.

• Edastusviisid, mis põhinevad loa kettedastusmeetodil, kasutavad spetsiaal-set andmepaketti (nn luba), et teha kindlaks, milline lõppseade võib andme-kandja hõivata. Kui lõppseade saab loa, hõivab see andmekandja ja annabolenevalt rakendatud loa kettedastusmeetodist loa järgmisele lõppseadmeleedasi. Sellega tagatakse, et andmekandja on alati ainult ühe lõppseadmegahõivatud.

• Loa kettedastusmeetodiga kasutatavate võrgusegmentide puhul on olulinekonstantse bitikiirusega sünkroonne andmeedastus. Kui andmekandja onhõivatud, kasutatakse andmepaketi edastamiseks erinevate bittide vasta-vaid ajaintervalle; kui andmekandja on vaba, kasutatakse loa edasiandmiseajaintervalle.

• Maksimaalse ettenähtud signaliseerimisaja ületamisel ei pruugi edastusviisijaoks ette nähtud konstantne bitikiirus enam säilida, nii et kommunikatsioonhalvatakse. Loa kettedastusmeetodil põhineb näiteks loaring või FDDI.

• Lisaks signaliseerimisajale suurendab pikem kaabel ka summutust. Asja-omase standardiga määratud kaablipikkuse ületamisel võib kaabli summu-tus nii suureks muutuda, et erinevaid signaliseerimistasemeid ei ole võimalikstandardi kohaselt üksteisest eristada. Sel juhul ei ole vastavate kaablisoon-te või klaaskiudude kaudu võimalik tagada kommunikatsiooni kogupikkuses.

93 / 781

G 2.47 Failide ja andmekandjate ebaturvaline transport

Kui dokumente, andmekandjaid või faile transporditakse asutuse ja teiste kohtade,nt kodukontori vahel, on reaalsed järgmised ohud:

• transporditeel kaduma minek;• vargus transporditeel;• transporditeel lugemine või muutmine;• valele adressaadile üleandmine.

Eriti suurt kahju võib hävimine, konfidentsiaalsuse kadumine või manipuleerimi-ne tekitada juhul kui tegemist on ainueksemplariga.

94 / 781

G 2.48 Andmekandjate ja dokumentide puudulik hävitamine

Kui andmekandjaid või dokumente ei hävitata ettenähtud viisil, võib neist teatudasjaoludel lekkida teavet, mis ei tohiks sattuda kolmandate isikute kätte.

Näited:

• Ründajad ei pea IT-süsteemide puudujääkide kohta teabe hankimiseks ala-ti keerulisi tehnilisi rünnakuid välja mõtlema. Palju lihtsam ja tulemuslikumvõib olla teabe hankimine prügikonteinerist (prügisorimine). Kontoriprügi (ntdisketid, CD-ROM-id, ettevõttesisesed telefoniraamatud või ka ajakohasededuaruanded) ei ole üldiselt eriti räpane ning võib sisaldada palju huvitavatja taaskasutatavat teavet.

• CD-ROM-e saab taaskasutuseks anda paljudesse kohtadesse. Kahjuks eimõelda sageli seejuures sellele, et ka vanade andmevarunduste või muu-de failidega CD-ROM-id võivad sisaldada kõrvaliste isikute jaoks huvitavatteavet. Pealispinna kriipimisest ei piisa, et takistada huvilisel teabe ärakasu-tamist.

• Ka vanad või defektsed IT-süsteemid sisaldavad sageli rohkelt põnevat tea-vet. Ühe arvutiajakirja kontrollostudest selgus, et 90% kasutatuna ostetudkõvaketastest sisaldas eelmise kasutaja täielikku teavet.

• Asutuse väljavahetatud arvuti ostja pöördus Andmekaitse Inspektsiooni japressi poole, kui ta oli suutnud pärandikohtu ainult näiliselt kustutatud and-med rekonstrueerida.

• Kui kodukontori kaugtöötajatel puudub sobiv võimalus andmekandjaid ja do-kumente õigesti hävitada, satuvad need enamasti olmeprügi hulka. Ka seljuhul, kui töötatakse n-ö teel olles (nt hotellis või rongis), tavatsetakse kah-juks mustandid ja muu ebavajalik lähimasse paberikorvi visata või lihtsaltmaha jätta.

• Naabrilapsed meisterdasid patsiendi toimikutest paberlennukeid. Need toi-mikud oli kaugtöötaja vanapaberina maja ette äraviimiseks valmis pannud.Kuna seejärel võis neid paberlennukeid ümbruskonnas igalt poolt leida, saivarsti kohalikust lehest lugeda uudist kliiniku kehvast andmekaitsest.

95 / 781

G 2.49 Kaugtöötajate ebapiisav või puuduv koolitamine

Kaugtöötajad on kodukontoris kõige enam omapead. See tähendab, et nad pea-vad tundma infotehnoloogiat paremini kui nende kolleegid asutuses, kus on või-malik kiiresti IT-spetsialisti poole pöörduda. Kui kaugtöötaja ei ole infotehnoloogiakasutamiseks piisavat väljaõpet saanud, võib see tekitada pikemaid seisakuae-gu, sest vajaduse korral peab IT-nõustaja asutusest kaugtöötaja kodukontorissesõitma, et seal probleemid kõrvaldada.

Näide

• Kaugtöötaja peab suutma oma andmetest iseseisvalt varukoopiaid teha. Kuikaugtöötaja käsutuses on lisasalvestusseade (nt magnetlintsalvesti), peabta oskama seda kasutada.

96 / 781

G 2.50 Hilistused kaugtöötajate ajutise piiratud kättesaadavuse tõttu

Tavaliselt ei ole kaugtöötajal kodukontoris kindlaid tööaegu. Lepitakse kokku üks-nes kindlad ajad, millal ta on kättesaadav. Vahelduva kaugtöö puhul on tööajadjaotatud kodukontori ja ettevõttesisese töökoha vahel. Kui tekib lühiajaline prob-leem, et kaugtöötajalt ei saa teavet kätte või kaugtöötajale pole võimalik teavetüle anda, võivad kättesaadavuse keerulisuse tõttu tekkida hilistused. Isegi tea-be edastamine e-kirjaga ei lühenda reaktsiooniaega piisavalt, sest pole kindel, etkaugtöötaja loeb e-kirja kohe.

97 / 781

G 2.51 Kaugtöötajate halb integratsioon infovoogu

Kuna kaugtöötajad ei viibi iga päev asutuses, vaid töötavad peamiselt kodus, siisnad ei pruugi saada osa ülemuste ja kolleegide otsesest infovahetusest. On oht,et nad lõigatakse ettevõtte sündmustest ära, ja seega väheneb ka asutusega sa-mastumine.

Lisaks võib juhtuda, et puuduliku infovoo tõttu ei jõua IT turvalisuse jaoks olulineteave kaugtöötajani piisavas mahus või õigel ajal. Näiteks võib olla raskendatudarvutiviiruste kohta käivate teadete kiire edastamine.

98 / 781

G 2.53 Kaugtöötajate asendamise puudulikud eeskirjad

Kaugtöötaja ülesanded on üldjuhul kavandatud nii, et ta saab täiesti iseseisvalttöötada. Seetõttu võib haiguse korral olla keeruline kaugtöötajale asendajat leida.Eriti probleemne on vajalike dokumentide või andmete edastamine kaugtööarvu-tist asendajale, kui puudub juurdepääs kaugtöötaja kodukontorile.

99 / 781

G 2.54 Konfidentsiaalsuse kadu jääkinfo kaudu

Andmete elektroonilise ülekandmise või andmekandjate edasiandmise puhul juh-tub sageli, et edastatakse ka andmeid, mis ei tohiks asutusest välja sattuda.

Ettekavatsemata infoedastuse võimalikke põhjuseid kajastavad järgmised näited:

• Failis on varjatud vorminguga tekstilõike, mis võivad sisaldada märkusi, misei ole mõeldud vastuvõtja jaoks.

• Standardtarkvara (nt tekstitöötlus- või tabelarvutusprogrammide) abil tehtudfailid võivad sisaldada lisateavet kataloogi struktuuri, versioonide, töötlejate,kommentaaride, töötlusaja, viimase väljatrüki kuupäeva, dokumendi nimevõi kirjelduse kohta. Sellega seoses tuleb eriti rõhutada funktsioone, misvõimaldavad mitmel kasutajal töödelda ühte ja sama dokumenti. Sellisedfunktsioonid ei kustuta tegelikult dokumendist kasutaja kustutatud tekstilõi-ke, vaid ainult märgivad need kustutatuks. Seega saavad hilisemad kasuta-jad muudatusi tervikuna või osaliselt tagasi võtta. Sellist võimalust pakuvadpraktiliselt kõik praegused Office’i versioonid (Microsoft Office, StarOffice,OpenOffice). Kui selliste muudatuste andmeid enne edastamist ei eemalda-ta, võib vastuvõtja lisaks dokumendile saada ka hulgaliselt lisainfot.

• Praktiliselt kõigis kasutusel olevates Office’i versioonides on olemas doku-mentide kiirsalvestuse võimalus, mille puhul salvestatakse ainult dokumendimuudatused. See võtab vähem aega kui täielik salvestamine, mille käigussalvestab Office täielikult ümbertöödeldud dokumendi. Täielik salvestus võ-tab vähem kõvakettaruumi kui kiirsalvestus. Otsustav puudus on aga asja-olu, et kiirsalvestuse puhul võib fail sisaldada tekstifragmente, mida koostajaedastada ei soovi.

• Veel üks näide võimalusest, kuidas võidakse kõrvalistele isikutele edastadaneile mitte mõeldud infot, on funktsioonid, mis võimaldavad näiteks teks-tidokumenti või esitlusse lisada tabeli, mis pärineb otse selles dokumen-dis töödeldavast tabelarvutusdokumendist. Sellise tekstidokumendi edasta-misel võib tabelarvutusdokumendist palju rohkem infot edasi kanduda, kuitekstidokumendist näha on.

• Faili disketile kopeerimisel täidetakse füüsiline salvestuspiirkond (blokk) täie-likult. Kui originaal kogu blokki ei vaja, täidetakse see (pärast faililõputähis-tust) IT-süsteemi suvalise jääkinfoga.

• z/OS-süsteemides ei kirjutata kustutatud elementi z/OS-süsteemi teegis(PDS – sektsioonitud andmehulk) kohe üle, vaid elemendi sissekanne PDS-kataloogis (directory) ainult kustutatakse. Alles siis, kui PDS vajab vaba sal-vestusruumi, kirjutatakse vanade elementide info üle. Ülekirjutamata and-meid saab lugeda abiprogrammidega.

• Kui failid z/OS-süsteemides kõvakettalt kustutatakse, märgitakse nad köi-te sisukorras (VTOC) kustutatuks, kuid faili ennast kõvakettalt ei kustutata,vaid kirjutatakse üle alles siis, kui vaba ruum lõppeb ja kettale salvestatak-se uued andmed. Kui köite sisukorrast õnnestub faili salvestuskohta lugeda,on võimalik andmeid eriprogrammidega kuvada ja taastada. See kehtib kakettaruumi kohta, mis on tähistatud küll tühjana, kuid pole veel üle kirjutatud.

• Peidetud jääkinfo andmekandjatel

100 / 781

Enamiku failisüsteemide puhul juhtub, et kustutuskäsu andmisel faili tegelikultei kustutata – info ei lähe kaotsi ja failisüsteemi haldussüsteemist kustub ainultviide failile (FAT-süsteemi puhul failipaigutustabelist) ja failile kuuluvad blokid tä-histatakse vabana. Blokkide tegelik sisu andmekandjal jääb aga alles ja vastavatetööriistadega saab seda taastada. Andmekandja kolmandale isikule edasiand-misel, näiteks arvuti mahakandmisel ja müügil, katkise arvuti remontiviimisel võigarantiikorras väljavahetamisel või andmekandjate vahetuse käigus äripartnerileüleandmisel võib konfidentsiaalne info sattuda asutusest väljapoole.

Näited:

• MIT teadlased Simson Garfinkel ja Abhi Shelat ostsid 2000. ja 2002. a vahelinternetioksjonifirma eBay kaudu erinevatelt kauplejatelt hulgaliselt kasuta-tud kõvakettaid ja uurisid nende jääkinfot. Nad leidsid hämmastavas kogu-ses andmeid ja avaldasid tulemused ühes IEEE ajakirjas.

• Üks kasutaja avastas teise redaktori kasutamisel juhuslikult, et ärasaatmise-le kuuluv fail sisaldab erinevaid URL-e, sealhulgas ühe veebiserveri kasuta-janime ja parooli. Lühendiga URL (Uniform Resource Locator) tähistatakseveebidokumendi aadressi. Juurdepääs veebiküljele võib olla parooliga kaits-tud.

• Asutus väljastas Microsoft PowerPointi failidena tehtud esitlusi. Hiljem sel-gus, et koos esitlustega edastati ka infot kasutaja arvutikeskkonna kohta(näiteks milliseid uudisgruppe kasutaja on tellinud ja milliseid uudiseid luge-nud).

• Kahe konkureeriva firma müügimehed vahetasid ühel üritusel omavahelesitlusi. Üks PowerPointi dokument sisaldas väikest tabelit firma toodete jalõplike kliendihindadega. Esitluse avamisel avastas saaja, et see väike ta-bel oli osa väga mahukast esitlusse peidetud tabelarvutusdokumendist, missisaldas konkurentettevõtte kogu hinnakalkulatsiooni.

101 / 781

G 2.55 Rühmatarkvara reguleerimata kasutamine

Kui rühmatarkvara kasutamine ei ole piisavalt reguleeritud, tekib oht, et konfident-siaalsed andmed satuvad volitamata isikute kätte või soovitud eesmärk jääb õi-geks ajaks saavutamata.

Näited

• E-kiri võidakse saata valele aadressile ehk volitamata kasutajale. Meililisti-de unarusse jätmise korral võidakse meilid saata vastuvõtjatele, kes olekstulnud meililistist välja jätta.

• Vastuvõtja puudulike või vigaste organisatsiooniliste eeskirjade puhul võibjuhtuda, et vastuvõetud meili töödeldakse hilinemisega.

• Vastuvõtja puudulike või vigaste organisatsiooniliste eeskirjade puhul ei olekindel, et andmed saadetakse õigeks ajaks.

• Kui rühmatarkvararakenduste kaudu toimuva andmevahetuse puhul ei oleandmete kirjeldus piisavalt läbi mõeldud, ei ole teistele kasutajatele selge,kes on andmed üles pannud ja edastanud, millist infot need sisaldavad, kasneed on veel aktuaalsed ja millist eesmärki need teenivad.

102 / 781

G 2.57 Andmekandjate puudulik talletus hädajuhtumi korral

Kui andmeid on vaja pärast nende hävimist taastada, tuleb varundatud andmedsageli eraldi andmekandjatele uuesti installida. See on vajalik eelkõige keeruka-mate andmestruktuuride, nt andmebaaside puhul, sest taastamine ei pruugi kul-geda alati ladusalt ja veatult. Kui vajalikku mälumahtu ei hoita hädajuhtumi tar-beks tallel, võib hädajuhtumi korral ennatliku tegutsemisega veelgi rohkem and-meid kaotsi minna.

Näide

• Suure andmebaasirakendusega ettevõttes andis andmebaasi haldussüs-teem (DBMS) märku, et andmebaasis on ebakõlad. Selle peale võttis süs-teemihaldus andmebaasi kasutuselt maha ja taastas tootmissüsteemis vii-mati varundatud andmete seisu. Näiliselt olid rikutud üksnes andmebaasistvarundatud logi- ja konfiguratsioonifailid. Seetõttu läksid kaotsi kõik alatesviimasest varundamisest tehtud andmete muutused, sest DBMS-i seni tund-matu vea tõttu ei olnud muutuste pärimine võimalik. Logi- ja konfiguratsiooni-failide analüüsist selgus seejärel, et andmebaasis ei olnud tegelikult ebakõ-lasid. Kui kettaruumi oleks olnud piisavalt ka rekonstruktsiooni jaoks, oleksvana tootmissüsteem ainult näilise ebakõla tuvastamise ja kõrvaldamise jä-rel uuesti kasutusvalmis olnud, ilma et andmed oleksid seejuures kaotsi läi-nud.

103 / 781

G 2.59 Registreerimata komponentide kasutamine

Üldjuhul peaksid süsteemiadministraatorid tundma kõiki võrgu komponente. Kor-ralduslikul tasandil peab olema tagatud, et süsteemiadministraatorid registree-rivad ja kinnitavad uued komponendid, nt varumisosakonna automaatteatega võikomponente kasutava organisatsiooni allüksuse avaldusega.

Registreerimata komponendid kujutavad endast turvariski, sest need ei ole seo-tud ettevõttesiseste korralduslike toimingute ega kontrollidega. See võib ühest kül-jest põhjustada ohte registreerimata komponentide kasutajatele (nt andmekadu,sest süsteem ei ole andmevarundusega ühendatud), kuid see võib ohustada kateisi võrgukomponente, nt võivad tekkida turvaaugud võrgu registreerimata pää-supunktide tõttu, kui need on volitamata juurdepääsu eest halvasti kaitstud võitäiesti kaitsmata. Kuna need komponendid ei kuulu võrgu- ja/või süsteemihaldusekontrolli alla, võivad eelkõige kohaliku süsteemi konfiguratsioonivead turvaaugutekitada.

Näide

• Administraator ootab kasutatava SNMP-l põhineva võrguhaldussüsteemijaoks süsteemihalduse kaudu paroole (community names). Üks töörühmotsustab osta uued võrguarvutid, kuid unustab neist tsentraalsele halduse-le teatada. Kohaliku SNMP deemoni parool (community name) on instal-latsiooni seades „public”. See parool on hästi tuntud. Nüüd võivad rün-dajad käivitada SNMP-l põhineva rünnaku, sest neil on täielik juurdepääsSNMP andmetele. Niimoodi ohustatud arvutist võib saada edasiste sisevõr-gu rünnakute lähtepunkt. Nii võiks sinna installida näiteks parooli nuhuta-ja(keylogger).

104 / 781

G 2.60 Võrgu- ja süsteemihalduse puuduv või ebasobiv strateegia

Kui võrguhalduse ja/või süsteemihalduse jaoks ei määrata kindlaks üleorganisat-sioonilisi haldusstrateegiaid, võib eriti keskmistes ja suurtes võrkudes, kus on pal-ju haldusdomeene, võib üksikute aladomeenide väär koordineerimine põhjustadakonfiguratsioonivigu, mis omakorda võivad tekitada raskeid probleeme, mille taga-järjel võib süsteem võrgu tasandil isegi täielikult kokku variseda.

Selle tõttu on haldusstrateegia kindlaksmääramine ja läbiviimine hädavajalik.Järgnevalt mõned näited probleemide kohta, mis on tingitud võrgu- ja süsteemi-halduse puuduvast või ebapiisavast strateegiast.

Puudulik vajaduste analüüs enne haldusstrateegia kindlaksmääramistVõrgu- ja/või süsteemihaldusstrateegia kindlaksmääramiseks tuleb eelnevalt

analüüsida vajadusi. Ilma haldusvajaduste kindlaksmääramiseta (nt Millised halla-tavad võrguühenduselemendid on olemas? Kui dünaamiline on hallatav tarkvara?)ei ole võimalik määratleda haldusstrateegiale esitatavaid nõudeid. Kuna haldusst-rateegiast sõltub ka soetatav tarkvara, võib juhtuda, et võetakse vastu valed otsu-sed.

Kui rakendatakse nt mingit haldustoodet, millel on liiga vähe funktsioone, võibsee puudus omakorda muutuda turvaprobleemiks, kuna vajalik funktsioon tulebkäsitsi sisse seada. Suuremates süsteemides võib kergesti tagajärjeks olla väärkonfigureerimine.

Mittehallatavate komponentide soetamineKui arvutikoosluse haldamine toimub võrgu ja/või süsteemihaldussüsteemi abil,

tuleb uute komponentide soetamisel jälgida, et need oleks integreeritavad olemas-olevasse haldussüsteemi, mis võimaldaks neid kaasata haldusprotsessi. Vastaseljuhul suurenevad vähemalt halduskulud, kuna ka haldussüsteemiga mittehallata-vatele komponentidele tuleb rakendada kindlaksmääratud haldusstrateegiat. Kunaneed komponendid ei ole integreeritud haldussüsteemi automatiseeritud haldus-protseduuridesse, võib ette tulla väära konfigureerimist. See kätkeb endas koos-kõlastamata konfiguratsiooni tõttu turvariski.

Naabervaldkondade koordineerimata haldamine (community ’d, domee-nid)

Kui haldussüsteemiga hallatud arvutite võrgus on olemas mitmed haldusvald-konnad, mida teenindavad oma süsteemihaldurid, tuleb nende kompetentsuse pii-rid haldusstrateegia abil ühemõtteliselt kindlaks määrata. Vastasel juhul võivadüksikute komponentide koordineerimata halduse tõttu tekkida turvaprobleemid.

Kui näiteks ühelt poolt toimub üksikute komponentide haldamine sarnaselt võr-guühenduselementidega ekslikult kahe haldusvaldkonna poolt (see võib juhtuda,kui ei kasutata erinevaid SNMP-paroole (Community Strings )), võivad konfigurat-siooniparameetrite koordineerimata seadistamise tõttu tekkida turvaaugud.

Kui teiselt poolt kasutatakse komponente (nt printer) kahes haldusvaldkonnasning kui teise haldusvaldkonna usaldussätted (nt Windows NT ühis-võrgualad) eiole korrektselt sisse seatud, võib see märkamatult viia turvaprobleemideni, kuipääsuõigus on antud ka volitamata kolmandatele isikutele.

Integreerimata haldustarkvaraKeskmiste ja suurte süsteemide haldamisel tuleb pärast haldussüsteemi juuru-

tamist vahel süsteemi integreerida uued komponendid, mille haldamiseks on vaja

105 / 781

funktsioone, mida kasutatav haldussüsteem ei toeta. See kehtib eriti rakendushal-duse kohta. Kui uute komponentide haldamiseks kasutatakse haldustarkvara, mi-da ei ole võimalik rakendatavasse haldussüsteemi integreerida (nt programmeeri-misliidese või nn lüüside kaudu), ei ole koordineeritud sidumine haldussüsteemigavõimalik. Seetõttu ei allu uus komponent siiski „automatiseeritud” haldusele, mis-tõttu on vajalik „käsitsi haldamine”. Kindlaksmääratud haldusstrateegiat tuleb nüüdrakendada kahele süsteemile, mille tõttu võivad tekkida konfiguratsioonivead, misomakorda võivad tekitada turvaauke.

106 / 781

G 2.61 Isikuandmete volitamatu kogumine

Haldussüsteemide kasutamisel jääb tavalise töö korral ära ka paljude logiandme-te automaatne koostamine ja analüüs. See puudutab eriti võrgu- ja süsteemisei-re valdkonda. Süsteemi toimingute üksikasjaliku logimiseta ei ole võimalik näiteksturvarikkumisi avastada. Kuid seire raames kehtib ka nõue, et konkreetsete juurde-pääsuõiguste jagamine kasutajatele peab olema selge. Seega tuleb jälgitavaid ka-sutajatoiminguid logida ka isikuga seotult. Üldjuhul määratakse haldusstrateegiaabil organisatsiooniüleselt ja kokkuleppel andmekaitseametnikega kindlaks, milli-seid kasutajatoiminguid turvalisuse huvides jälgitakse. Sellest tuleb asjaomaseidkasutajaid teavitada. Haldusstrateegias kindlaks määratud nõuete täitmist tulebsüsteemi kontrolli raames kontrollida. Peale selle on võimalik, et haldussüsteemloob regulaarse funktsiooni abil ajutised logifailid, s.t failid, mis salvestatakse vähekaitstud piirkonnas ajutiste failidena. Logifailid on vähemasti oma olemasolu ajalkättesaadavad ja need võivad sisaldada ka kasutajateavet.

107 / 781

G 2.62 Turvaintsidentide puudulik käsitlus

Praktikas ei ole võimalik turvaintsidente välistada. See kehtib ka juhul, kui on võe-tud arvukalt turvameetmeid. Kui tõsistele turvaintsidentidele ei reageerita sobivalt,võib see teatud tingimustel tuua kaasa suuri kahjusid või lõppeda lausa katastroo-figa.

Näited:

• Kahjulike funktsioonidega uusi arvutiviiruseid esineb alguses harva, seejä-rel hulgi. Kui õigel ajal ei reageerita, võivad organisatsiooni üksused teatudtingimustel muutuda tervikuna töövõimetuks.

• Veebiserveris on seletamatult muudetud sisud. Kui seda ei käsitleta kui vii-det võimalikele häkkeri rünnakutele, võivad serveri vastu suunatud edasisedrünnakud kahjustada teatud tingimustel ka ohvri mainet.

• Tulemüüri logifailides on silmatorkavad sissekanded. Kui kohe ei uurita, kasneed võivad olla märgid häkkimiskatsest, saavad ründajad tulemüürist edu-ka rünnakuga märkamatult jagu ja tungivad asutuse sisevõrku.

• Kasutatavates IT-süsteemides tuvastatakse turvaaugud. Kui seda teavet eisaada õigel ajal kätte ega võeta viivitamata vajalikke vastumeetmeid, siis onoht, et ründajad saavad neid turvaauke ära kasutada.

• Leidub viiteid selle kohta, et ettevõtte andmeid on manipuleeritud. Kui ma-nipulatsioone ei uurita põhjalikult, võivad tundmatutel manipulatsioonidel ol-la tõsised tagajärjed, nt ebaõige laoseis, valed raamatupidamisandmed võikontrollimatult kadunud rahalised vahendid.

• Kui ettevõtte konfidentsiaalsete andmete ohustamise viiteid ei uurita, võibveelgi rohkem konfidentsiaalseid andmeid kaduma minna.

Need näited selgitavad, et turvaintsidendid tuleb varakult ära tunda ja andaneist kiiresti teada vastutavatele ametnikele. Kiire reageerimine ja asjasse puutu-vate isikute teavitamine on kahjude minimeerimise või ennetamise seisukohastülioluline.

Kui turvaintsidentide käsitlemiseks ei ole toimimisviisi kindlaks määratud, või-dakse kiirustades ja pinge all teha valesid otsuseid, mis võivad muu hulgas kaasatuua järgmisi tagajärgi:

• pressiesindajad saavad valeinfot;• asjasse puutuvaid süsteeme või komponente ei käsitleta olukorra kohaselt

ning need lülitatakse välja liiga vara või liiga hilja;• oma süsteemidega kahjustatakse kolmandaid isikuid;• ei ole ette nähtud mingisuguseid varu- ega taastamismeetmeid, nt ohustatud

komponentide väljavahetamist või andmete taastamist.

108 / 781

G 2.63 Fakside kontrollimatu kasutamine

Faksiaparaatide või -serverite kontrollimatu kasutamine kujutab endast ohtu, etkonfidentsiaalsed andmed võivad sattuda volitamata isikute kätte või ei jõua soo-vitud sihtkohta õigel ajal.

Näited

• Vale aadress - vale aadressi tõttu võidakse faksiteated saata volitamata ad-ressaadile. Kui aadressiraamatuid ja saajate nimekirju ei korrastata, võidak-se faksiteated saata adressaatidele, kes ei oleks tohtinud neid saada.

• Faksiserveri puudulik haldamine võib kaasa tuua selle, et saabuvad faksi-teated jagatakse töötajatele, kes ei tohiks nende sisust teadlikud olla.

• Ebausaldusväärne töötlemine• Kui adressaadil ei ole vastutusalad kindlaks määratud, võib juhtuda nii, et

vastuvõetud faksiteadet töödeldakse alles hilinenult.• Saatja puudulikud või puuduvad regulatsioonid võivad kaasa tuua selle, et

ei suudeta kinni pidada faksiga saadetava sõnumi lubatud tähtajast.• Kui kasutajaid ei ole õpetatud faksiserverit kasutama, võib juhtuda, et ad-

ressaadile saadetakse kogemata mustand, mis ei oleks pidanud organisat-sioonist sellisel kujul välja minema.

109 / 781

G 2.66 Puudulik infoturbehaldus

Paljud meetodid ja toimimisviisid, kuidas äriprotsessides teavet käsitleda, töö-delda ja salvestada, võivad kiiresti kaasa tuua selle, et äri seisukohast oluliseteabe kaitsevajadust hinnatakse valesti ja seda kaitstakse seetõttu ebapiisavalt.Seepärast on turvatoimingute kavandamisel, rakendamisel ja kontrollimiselorganiseeritud meetodid tingimata vajalikud. Kogemus näitab, et üksnes turva-meetmete võtmise käsust ei piisa, sest üksikutelt asjasse puutuvatelt isikutelt,eelkõige IT kasutajatelt, nõutakse seetõttu tihtipeale valede eriteadmiste japuuduliku ajaressursi tõttu liiga paljut. Selle tagajärjel jäetakse turvameetmedsageli üldse võtmata, mistõttu ei saavutata rahuldavat turvaolekut. Isegi kuisobiv turvatase kord saavutatakse, tuleb turbeprotsessi pidevalt kohandada japarandada, et see toimiks pikaajalisel töötamisel nõuetekohaselt.

Ebapiisav turbehaldus on sageli märk puudulikult korraldatud turbeprotsessist.Järgnevad ebapiisava turbehalduse tulemusena tekkivate ohtude näited.

• Isikliku vastutuse puudumine. Kui asutuses ei ole loodud infoturbehaldusemeeskonda või infoturbespetsialisti kohta ja isiklik vastutus üksikmeetme-te võtmisel ei ole selgelt kindlaks määratud, siis on tõenäoline, et paljudtöötajad keelduvad määratud hierarhiatasandile viidates infoturbega seotudvastutusest. Selle tagajärjel ei võeta turvameetmeid, sest need kujutavadendast peaaegu alati sisseharjunud tööga võrreldes eelkõige suuremat töö-mahtu.

• Juhtkonna tasandi toetuse puudumine. Tavaliselt ei ole infoturbespetsialistasutuse või ettevõtte juhatuse tasandilt. Kui turvalisuse eest vastutavaidspetsialiste juhatuse tasandil täielikult ei toetata, võib olla raske nõuda va-jalikke meetmeid ka isikutelt, kes paiknevad otseses liinis kõrgemal. Selliseljuhul ei saa turbeprotsessi terviklikult teostada.

• Ebapiisavad strateegilised ja kontseptuaalsed nõuded. Paljudes asutusteskoostatakse küll turbekontseptsioon, kuid selle sisu on tihtipeale teada ainultvähestele asjasse pühendatuile. Selle tagajärjel ei täideta nõudeid kas tead-likult või teadmatusest nendel ametikohtadel, kus oleks vaja korralduslikultvaeva näha. Kuni turbekontseptsioonis on strateegilised eesmärgid, peetak-se seda sageli üksnes kavatsuste kogumiks ega anta selle rakendamisekspiisavalt vahendeid. Tihtipeale lähtutakse ekslikult sellest, et automatisee-ritud keskkonnas tekib turvalisus automaatselt. Oma asutuses või sarnasestruktuuriga asutustes esinenud kahjujuhtumid toovad mõnikord küll kaasakas rohkem või vähem aktiivse tegevuse, kuid selle käigus parandataksetihtipeale parimal juhul vaid mõningaid aspekte.

• Ebapiisavad või valesti paigutatud investeeringud. Asutuse juhtkonnale tu-leb esitada korrapäraselt selgeid prioriteete sisaldavad ohutusaruanded äri-toimingute, IT-süsteemide ja rakenduste turvaoleku ning olemasolevate puu-duste kohta. Piisava teabeta lähtub juhtkond valedest eeldustest. Siis on tõe-näoline, et turbeprotsessi jaoks ei eraldata piisavalt rahalisi vahendeid või eikasutata neid otstarbekohaselt. Viimasel juhul võib tulemuseks olla see, etühe valdkonna turbeaste on liiga kõrge ja teises on tõsised puudused. Sa-geli võib täheldada ka seda, et kalleid tehnilisi turbesüsteeme kasutatakse

110 / 781

valesti, mistõttu need ei toimi või kujutavad endast hoopis ohuallikat.• Turvameetmete ebapiisav rakendatavus. Läbiva ja sobiva turbeastme saa-

vutamiseks on vaja, et ühe asutuse erinevate vastutusalade esindajad teek-sid omavahel koostööd. Strateegiliste juhtmõtete puudumise ja ebaselgeteeesmärkide püstitamise tõttu võidakse infoturbe tähendust tõlgendada vahelerinevalt. Seetõttu võib juhtuda, et näiliselt puuduva vajaduse või infoturbeülesande ebapiisava prioriteetsuse tõttu ei jõuta lõppkokkuvõttes koostööniega võeta turvameetmeid.

• Turbeprotsessi ei uuendata. Uued äritoimingud, rakendused ja IT-süsteemid,kuid ka uued ohud mõjutavad asutusesisest turvalisust pidevalt. Kui puu-dub tõhus korrigeerimiskontseptsioon, mis suurendaks ka teadlikkust uutestohtudest, väheneb turbeaste ja reaalne turvalisus muutub vargsi ohtlikuksnäiliseks turvalisuseks.

111 / 781

G 2.67 Pääsuõiguste puudulik haldus

Juhul kui pääsuõiguste jagamine on halvasti korraldatud, võib see tekitada kiirestisuuri turvaauke, nt kontrollimatut õiguste jagamist. Paljudes organisatsioonideson pääsuõiguste haldamine äärmiselt töömahukas ülesanne, sest see on halvastikorraldatud või kasutatakse selleks valesid tööriistu. Seetõttu võib juhtuda, et tehatuleb palju „käsitööd”, mis kujutab endast väga soodsat pinda vigade tekkeks.Pealegi on selle protsessiga sageli seotud paljud töökohad ja isikuterühmad, niiet kergesti võib kaduda ülevaade täidetud ülesannetest.

Lisaks on olemas ka organisatsioonid, kellel pole üldse ülevaadet erinevate IT-süsteemide kasutajatest ja nende õigustest. Tavaliselt toob see kaasa olukorra,kus kasutajad leiavad endale kontod, mille asutus või ettevõte on ammu mahakandnud või millele on vahelduvate tegevuste tõttu liiga palju õigusi kuhjunud.

Kui pääsuõiguste haldamiseks on valitud kehvad tööriistad, siis ei ole needenamasti piisavalt paindlikud, et neid organisatsiooni struktuurimuutuste võiIT-süsteemide vahetusega kohandada.

Kasutajate rollid võivad olla valesti jaotatud, mistõttu tekivad turvaaugud, nt kuirühmades on kasutajad valesti korraldatud või kui on antud liiga suured õigused.Kasutajatele võidakse anda rollid, mis ei vasta nende ülesannetele (liiga palju võiliiga vähe õigusi) või mida neil nende ülesannete tõttu olla ei tohiks (rollikonfliktid).

112 / 781

G 2.68 Active Directory kasutamise ebapiisav või puuduvplaneerimine

Active Directory globaalsel struktuuril, ka domeenide jaotusel on laiaulatuslik mõjunende ressursside turvalisusele, mida Active Directory abil hallatakse. Probleemidtulenevad siin eelkõige sellest, et eri domeenidele kehtivad erinevad turvanõudedvõi domeenid kuuluvad organisatsiooni eri valdkondadele.

Kui planeerimine on puudulik või puudub hoopis, võivad tekkida järgnevad do-meeniülesed ohud.

• Ühildumatud skeemimuutused - Kõik ühe Active Directory domeenid peavadkasutama sama skeemi. Kui ainult ühele domeenile installitakse tarkvara,mis vajab skeemimuutust, tuleb kõik teised domeenid muutusesse kaasata.Erinevatest tarkvaratoodetest tingitud ühildamatud skeemimuutused võivadkaasa tuua selle, et tarkvara ei saa installida või see töötab valesti.

• Andmekaitse - Iga domeeni kasutuses on Active Directoryst (globaalsestkataloogist) pärinevad kasutajaandmed. Seejuures võib juhtuda, et rikutak-se andmekaitsenõudeid, kui selle teabe liik ja üksikasjalikkus ei ole piisavaltkooskõlastatud.

• Konto blokeerimine viivitusega - Forest Root Domaini administraatoritel onohtralt volitusi ka teistes domeenides. Kui administraatori konto automaat-se blokeerimise aeg on liiga pikk, võivad kolmandad isikud administraatoriõigusi ära kasutada.

• Kui domeenid on jaotatud paljude asukohtade vahel, mis on üksteisegakehvasti võrku ühendatud, võib konto blokeeringu jõustumine kõikides asu-kohtades liiga kaua aega võtta. Seetõttu võib blokeeritud kontoga kasutajateatud tingimustel teistes asukohtades veel süsteemi sisse logida.

Ka domeeni sees peab Active Directory ülesehitus olema hoolikalt planeeritud,vastasel juhul võivad tekkida järgmised ohud.

• Kui arvutid ja kasutajakontod on domeenis korraldatud konteineritesse „Ar-vuti” ja „Kasutaja”, siis ei ole kasutajakontode või arvutite tüüpidest lähtuvrühmaeeskirjadele vastav konfiguratsioon võimalik. Selle abil saaks näiteksrühmaeeskirjade kaudu saavutatud õiguste piirangut kohaldada vastavalearvutitüübile.

• Kui organisatsiooni allüksused (Organizational Units, OU-d) on väga liigen-datud, siis ei pruugi domeeni struktuur olla enam piisavalt ülevaatlik, nii etActive Directorys võib esineda tavapärasest rohkem konfiguratsioonivigu.Lisaks väheneb

Active Directory teenuse jõudlus, kui OU-d on liiga liigendatud, s.t liigendatudrohkem kui neljaks tasandiks.

113 / 781

G 2.69 Novell eDirectory kasutamise ebapiisav või puuduvplaneerimine

eDirectory on ressursside haldamise võrgutööriist. Seda kasutatakse heterogeen-ses IT-keskkonnas paljude toetatavate operatsioonisüsteemidega. Kogu süsteemiturvalisus sõltub loomulikult iga alamsüsteemi turvalisusest. Operatsioonisüstee-mi, eriti failisüsteemi turvalisus on alus, millele tugineb eDirectory turvalisus.

Kuna eDirectoryt ja kasutatavat klienttarkvara saab installida ja kasutada pal-jude operatsioonisüsteemidega, võivad sellest tuleneda mitmekülgsed, kasutata-vatest operatsioonisüsteemidest pärinevad turbeseadistused. See nõuab tõsise-mat planeerimist ja kõikide hõlmatud operatsioonisüsteemide tundmist. Seetõttuon oht, et kui kogulahendus on väga heterogeenne, siis eDirectory kasutamist eiplaneerita üksikasjalikult ega piisava põhjalikkusega.

Intranetis kasutamisel on eriti puustruktuuri planeerimine ja seetõttu ka et-tevõtte taristu kujutamine väga oluline. Puuduliku planeerimise korral on oht,et kataloogiteenuse ülesehituses on ebakõlad või on ülesehitus liiga keeruline.Selle tulemuseks võivad olla konfiguratsioonivead ja süsteemi vale või ebapiisavkasutus.

eDirectory kataloogiteenuse globaalsel puustruktuuril on laiaulatuslik mõju eDi-rectory installatsiooni turvalisusele. Probleemid tekivad siin eelkõige siis, kui erialampuudele kehtivad erinevad turvanõuded või kui alampuud kuuluvad organi-satsiooni eri valdkondadele. Üksiku objekti tegelikult toimivate, efektiivsete õigus-te arvestamise reeglite varjatud edasiandmismehhanismid ja keerukus esitavadsüsteemi planeerimisele ranged nõuded.

Varjatult kasutatud CA (sertifitseerimisasutus) on eDirectory turvalisuse olulinekomponent. Ka siin võib vale planeerimine kataloogiteenuse turvalisust vähenda-da.

Süsteemi turvalisuse üks olulisimaid teemasid on kataloogiteenuse pääsuvõi-maluste planeerimine. See kehtib nii intranetis kasutamisel kui ka eriti eDirectorykasutamisel LDAP-serverina internetis.

Lisaks sellele on oluline ka kataloogiteenuse halduse planeerimine. eDirectoryvõimaldab kasutada nii rollipõhist halduskontseptsiooni kui ka haldusülesannetedelegeerimist. See on vajalik eelkõige turbehalduse aspektist. Halduse planee-rimine nõuab äärmist hoolikust ja ettevaatlikkust, muidu on oht, et volitustetasüsteemikasutajad saavad soovimatud pääsuvõimalused.

114 / 781

Lisaks pakub eDirectory tarkvara tööriista iMonitor-Tool, mis võimaldab veebi-põhiselt jälgida pääsu eDirectory serverisse ja kataloogisüsteemi. Selle funktsioo-ni kasutamise puudulik planeerimine annab teatud tingimustel volitamata kasuta-jatele juurdepääsu eDirectory installatsiooni siseasjadele.

Oluline punkt eDirectory kasutamisel on ka kataloogiteenuse partitsioonide jareplikatsioonide loomine. Siin võib ebapiisava planeerimise tulemuseks olla veadtöös, ebakõlad andmete säilitamises või isegi andmekadu.

eDirectory kataloogiteenus võimaldab kataloogi andmebaasi rollipõhist hal-dust ja üksikute haldusülesannete delegeerimist. Seejuures peab haldusrollideja delegeerimisvõimaluste planeerimine olema kooskõlas määratavate turbe-eeskirjadega. Haldusülesannete ebapiisava planeerimise või planeerimatusekorral on oht, et süsteemi hallatakse ebaturvaliselt või ebapiisavalt.

eDirectory võimaldab kataloogiandmeid DirXML-i kaudu teiste kataloogitee-nustega sünkroniseerida. DirXML koosneb mootorist (engine) ja spetsiaalsetestdraiveritest (nt Windows 2000 Active Directory, Lotus Notesi, SAP r/3, Netscape’ijt jaoks), mis võimaldavad vahetada kataloogiteavet XML-vormingus. Seejuuresvõivad võõrad kataloogiteenused nn Publisher Channeli kaudu eDirectorylemuudatusi edastada. Konkreetsest sihtsüsteemist sõltuvate õiguste korral muu-tuvad need muudatused siis ka eDirectorys aktiivseks. Välised kataloogid võivadomakorda eDirectorys registreeruda, et eDirectory teabeseisu muudatustestselle kanali kaudu (subscriber channel) teada saada ja oma kataloogi selle järgikohandada. Selle sünkroniseerimise jaoks on vaja üksikasjalikku planeerimist,sest muidu võib juhtuda, et teatud tingimustel võivad konfidentsiaalsed andmedsattuda automaatse paljunduse tõttu väljapoole. Teisalt võidakse soovimatudandmed teatud tingimustel niiviisi üle kirjutada. Andmete kaitsmiseks edastamiseajal võib kasutada SSL-i. Planeerimisel tehtavad vead võivad muu hulgas tuuakaasa kataloogiandmete tervikluse ja konfidentsiaalsuse kao.

Vähem oluline pole ka kasutajate ja kasutajagruppide sisselogimisskriptide ka-sutamise planeerimine. Ebapiisava või puuduva planeerimise korral võivad siintekkida ebakõlad kehtestatud turbe-eeskirjadega.

Lisaks võivad ebapiisava või puuduva planeerimise tõttu tekkida järgmisedprobleemid:

• halduspääs süsteemi võib olla ebapiisavalt turvatud;• avaliku võtme taristu kasutamine võib olla puudulik;• süsteemi jõudlus võib olla väike;• võivad tekkida andmekaod, kui replikatsioone ja varundust piisavalt ei jälgi-

ta.

115 / 781

G 2.70 Novell eDirectory partitsioonide ja replikatsioonide ebapiisavvõi puuduv planeerimine

eDirectory kataloogiteenuse partitsioonide ja replikatsioonide loomine on planee-rimise oluline aspekt.

Partitsioonide loomisel jagatakse eDirectory kataloogiandmed erinevatessealamvaldkondadesse (partitsioonidesse). Jagamine ei tohi toimuda suvaliselt, vaidjärgida tuleb teatud reegleid, mille annab ette puustruktuuri hierarhiast tulenev loo-gika. Partitsioonide loomise üks eesmärke on kataloogisüsteemi koormuse jaota-mine, teiseks on sellega võimalik kataloogiandmete salvestuskohti füüsiliselt eral-dada, nt vastavalt organisatsiooni asukohtadele. Lisaks võivad partitsioonid kuju-tada endast ka kataloogisüsteemi haldusüksusi.

Joonis. Partitsioonideks jaotatud eDirectory kataloogiteenuse näideeDirectory partitsioonide replikeerimise esmane ülesanne on kataloogisüsteemi

käideldavust suurendada ja koormust hajutada. Lisaks suureneb andmete liiasuse

116 / 781

tekitamisega ka süsteemi rikkekindlus.Planeerimistöö on siin määrava tähtsusega, sest partitsioonide ja replikatsiooni-

de loomist puudutavaid sätteid on küll võimalik ka tagantjärele muuta, kuid sellinetegevus võib viia ebakõladeni.

eDirectorys tehtavad muudatused jõustuvad alles teatud aja möödudes. Nii võibtekkida ajaintervall, mille kestel on eDirectorys ebakõlad. Sellised ebakõlad võivadtekitada probleeme eelkõige autentimisandmete defineerimisel või ka eDirectoryobjektide pääsuõigustes.

eDirectory kataloogide jaotamisel partitsioonideks on otsene mõju pääsuõigus-te edasiandmisele (Access Control Lists, ACL). Õiguste andmise reeglite säili-tamiseks olemasolevas eDirectory puus teavitab süsteem partitsioonide loomiseluue partitsiooni juurobjekti ülem-ACL-ist kui inherited ACL-ist.

eDirectory kataloogiteenuse jaotamisel partitsioonideks on mõju kogu süsteemireplikeerimistegevusele. Et tervest puust saaks objekte lihtsamini otsida (tree wal-king), määrab eDirectory automaatselt nn Subordinate Reference Replicad, missisaldavad peaasjalikult edastusaadresse. Ebapiisava planeerimise korral võibnäiteks juhtuda, et lihtsa puustruktuuri replikeerimisse kaasatakse liiga laiad vald-konnad. Kui replikeerimisring on väga suur, siis on teatud tõenäosus, et vähemaltüks sinna kuuluv eDirectory server ei ole vajalikul hetkel kohe kättesaadav. Selliseljuhul koostatakse vea- ja olekuteated igas järgmises replikeerimisringi eDirectoryserveris. See võib tuua kaasa suurema haldusmahu, mis võib laieneda kataloogi-puu suurte osadeni.

Lisaks sellele võib kataloogiteenuse partitsioonide ja replikatsioonide ebapiisavvõi puuduv planeerimine põhjustada ka andmekadu ja ebakõlasid andmesäilita-mises, samuti võib tagajärjeks olla kataloogiteenuse väike käideldavus, süsteemivähene jõudlus ning halvimal juhul ka süsteemi rikked.

117 / 781

G 2.71 Novell eDirectory LDAB-pöörduse ebapiisav või puuduvplaneerimine

LDAP-pöörduse võimalikkus eDirectory kataloogiteenuses on tarkvaratoote oluli-ne näitaja. Kasutaja pääseb juurde LDAP v3 protokolli kaudu, mis on laialt levinudinternetistandard. Need, kes kasutavad eDirectoryt eBusinessi platvormina, an-navad tavaliselt oma kasutajate käsutusse spetsiaalsed klientprogrammid. LDAP-kliendina võivad toimida ka lihtsad veebisirvijad või meilikliendid.

Lisaks tagab LDAP-liides võrgurakenduste ja nende teenuste ligipääsu ka ka-taloogiteenusele. See juurdepääsuvõimalus nõuab põhjalikku planeerimist, sedaeelkõige seoses rakenduste otstarbekohaseks kasutamiseks vajalike eDirectoryõigustega.

LDAP-pöörduse planeerimine sõltub suurel määral sellest, milline on eDirectorykasutusvaldkond. Põhimõtteliselt on eDirectory seisukohast LDAP-kliendi jaokskolm ühendusliiki:

• [Public] objekt (anonymous bind). Selle puhul ei pärita autentimisteavet ning[Public] objektil on tavaliselt alati kataloogipuu piiramatu sirvimisõigus.

• Proxy User (proxy user anonymous bind). Anonüümse sisselogimise ase-mel võib valida selle konfiguratsioonivõimaluse. Proxy Userit tuleb seejuureskonfigureerida eDirectory poolelt.

• NDS User (NDS user bind) . Siin logib kasutaja end kataloogiteenusessesisse oma eDirectory õigustega. Kasutajaobjekt peab olema eDirectoryssalvestatud.

Planeerimisel tuleb arvestada seda, kas ja milliseid andmeid tohib organisat-siooni turbe-eeskirjade kohaselt avatekstina edastada. See kehtib nii intraneti pu-hul kui ka internetiühenduse loomisel.

Seejuures on küsimus ka selles, kas kasutajate paroole võib avatekstina edas-tada ja kui järjekindlalt kasutatakse SSL protokolli. Seega toetab eDirectory stan-dardi LDAP v3 kohaselt kahte ühendusliiki, milleks on:

• anonymous bind : kasutajanime ja paroolita;• clear-text password bind : autentimiseks kasutajanimi ja parool avatekstina.

Lisaks toetatakse LDAP-d SSL-iga. eDirectory poolel tuleb konfigureerida, kastoetatakse mõlemat ühendusliiki.

SSL-i toetatakse kahes režiimis: ühe- ja kahepoolses autentimises. Kahepoolseautentimise korral peavad üldiselt ligipääsetavad olema vajalikud mandaadid, muuhulgas sertifitseerimisasutuse juursertifikaat.

Kuna LDAP-pöörduse jaoks on eDirectory kataloogiteenuses rohkelt konfigurat-sioonivõimalusi, millele ka eespool osutati, võivad kergesti sisse tulla konfigurat-sioonivead. Selliste konfiguratsioonivigade tagajärjeks võib olla:

• väär pääsuõiguste andmine;• volitamata juurdepääs eDirectory kataloogiteenusele;• kasutajate paroolide edastamine avatekstina;• krüpteerimata teabe väljauurimine;• LDAP-pöörduste vead, eriti võrgupõhistes rakendustes, näiteks• kogu süsteemi ebapiisav jõudlus.

118 / 781

G 2.72 Arhiivisüsteemide üleviimise puudused

Arhiveeritud andmed peavad tavaliselt jääma väga pikaks ajaks salvestatuks.Selle aja jooksul võivad aluseks olevad tehnilised süsteemikomponendid, and-mekandjad ja -vormingud füüsiliselt või tehnoloogiliselt vananeda ning seetõttukasutuskõlbmatuks muutuda. Lisaks võivad aja jooksul tekkida probleemidkasutatud andmevormingute ühilduvusega.

Kui olemasoleva süsteemi vananemisele ei reageerita, tuleb pikemas perspek-tiivis arvestada sellega, et:

• arhiveeritud toorandmed (raw data) ei ole arhiivi andmekandjatelt enam füü-siliselt loetavad;

• arhiveeritud andmed muutuvad arhiivisüsteemi ja andmekandjate füüsilistevigade tõttu;

• riistvara komponentide varuosasid ei ole enam saada;• tarkvara komponentide täiendusi ei ole enam saada;• kasutatud andmevormingud ei vasta enam tervikluse nõuetele;• elektroonilised allkirjad muutuvad kasutuskõlbmatuks;• krüpteeritud andmed muutuvad volitamata isikutele loetavaks.

Ka siis, kui süsteemi komponendid on õigel ajal vahetatud või andmed kopeeri-tud, võib ikkagi esineda probleeme krüptograafilise meetodi kasutamisel. Näiteksvõivad tekkida nõrgad kohad terviklust tagavas meetodis, sest krüpteerimis- jaallkirjastamisalgoritmid võivad aja jooksul ja suureneva arvutusvõimsuse tõttukaitsetoime kaotada (vt ka G 2.79 Arhiivisäilikute digitaalsignatuuride regeneree-rimise puudused ).

Näited:

• Andmekandjaid võivad kahjustada pikaajalised füüsilised mõjud (materjalikulumine, deformeerumine, kriimud andmekandja pealispinnal, pehmene-mine). Olenevalt sellest, kas andmekandjat kasutatakse süsteemi või arhiiviandmekandjana, võib arhiivisüsteemi töö olla häiritud või arhiivi andmekand-jale salvestatud andmed võivad kaotsi minna.

• Arhiivisüsteemi tootja oli kontekstandmetesse määranud dokumentide jaokssilumisvälja. Arhiivisüsteemi esmaetapis arhiveeriti katsetamise eesmärgiltavalise ärikasutuse dokumendid, kusjuures silumisteabes järgiti katseole-kut. Tööetappi üleminekul katsedokumente ei kustutatud, sest need olid ar-hiveeritud WORM-andmekandjatele, silumisteabega tähistatud dokumentelihtsalt enam ei näidatud. Järgmise süsteemi tarnis teine tootja, kel oli silu-misteave kujutatud teistmoodi. Kui arhiiviandmed viidi uude arhiivisüsteemiüle, jäi vana silumisväli juhuslikult analüüsimata. Vanad katsedokumendidolid pärast andmete üleviimist ikka veel arhiivis, kuid ilmusid hilisema otsin-gu käigus siiski näiliselt autentsete dokumentidena äkki välja.

119 / 781

• Elektroonilisi allkirjastamismeetodeid võiks ohustada allkirjavõtme proovimi-ne või matemaatiline meetod. Kui seda kasutatakse arhiveerimise ajal, siison võimalik elektroonilisi allkirju ka tagantjärele võltsida.

• Kui arhiveeritud digitaalallkirjad on krüptograafiliste meetodite vananemisevastu kaitstud ajatemplitega, siis ka ajatemplid ise võivad muutuda aja jook-sul rünnatavateks. Ka sellisel juhul võib digitaalallkirjade võltsimine tagant-järele võimalikuks muutuda.

120 / 781

G 2.73 Arhiivisüsteemide puudulikud kontrolljäljed

Arhiveerimistoimingu kontrollimisel tuleb arvesse võtta nii korralduslikke kui katehnilisi kriteeriume. Seepärast peab arhiivisüsteemide kontroll lisaks süsteemikonfiguratsiooni hindamisele hõlmama ka pääsuõiguste jagamise ja kasutamisekontrolli. Kui valitud arhiivisüsteemil pole seejuures vajalikku tehnilist tuge, nt spet-siaalseid kontrollimiseks mõeldud kasutajakontosid, jälgimise tööriistu või tervik-lust kaitsvaid logifaile (vt G 2.76 Arhiivipöörduste puudulik dokumenteerimine ),võib kontrolltoiming osutuda väga töömahukaks. Peale selle on oht, et see tehakseüksnes osaliselt ja olulised punktid jäetakse välja. Arhiveerimisprotsessi kontroll-toiming võib seega tervikuna ohtu sattuda. Sellest võib tuleneda otsene õiguslik jamajanduslik kahju, nt arhiveeritud dokumentide tõendusjõu puudumise tõttu.

121 / 781

G 2.74 Arhiivide indekseerimisvõtmete puudused

Elektroonilised arhiivid võivad sisaldada väga suurt kogust andmeid. Üksikuteandmekirjete salvestamiseks ja uuesti leidmiseks on kasutusel indekseerimisvõt-med, mida tuleb eristada dokumentide haldussüsteemi (DMS) ja arhiivisüsteemiindeksandmetest.

DMS-i indekseerimisvõtmed on mõeldud selleks, et hallata konteksti ja sisu-andmeid koos vastava dokumendiga. Kontekstvõtmete ebasobiva valiku tõttu võibjuhtuda, et arhiveeritud dokumente ei saa üldse või saab ainult suure ajakulu-ga uuesti uurida või ei ole arhiveeritud dokumentide semantika üheselt määratav.Kontekstvõtmete suur arv omakorda suurendab haldusmahtu ja vähendab arhi-veeritud dokumentide arvu kasvades dokumendi haldussüsteemi jõudlust.

Arhiivisüsteemi indekseerimisvõtmed on seevastu pigem tehnilist laadi. Needon mõeldud üksikute toorandmete identifitseerimiseks ja nende salvestuse korral-damiseks andmekandjatel. Nende valikut ei määra üldjuhul DMS, vaid arhiiviser-veri ülesehitus ja selle aluseks olev salvesti arhitektuur. Oluline nõue on dokumen-ditunnuse ühetähenduslikkus. Kui seda nõuet rikutakse, st kui kahel dokumendilon sama tunnus, võib juhtuda, et olenevalt otsingumeetodist antakse DMS-ile pä-ringu esitamisel vale dokument ja seal varustatakse see uue dokumendikonteks-tiga. Leidmata jäänud dokument oleks füüsiliselt küll olemas, kuid seda ei saaksenam ühetähenduslikult DMS-ile anda.

Arhiveerimisprotsessi kontrollimise turvalisus sõltub suurel määral kõikide vana-nenud dokumentide ühetähenduslikust märgistusest ning dokumendi ja kontekst-teabe seose tõestatavusest.

122 / 781

G 2.75 Arhiivi salvestuskandjate ebapiisav maht

Kui andmehulka hinnatakse arhiveerimisel valesti, võidakse kasutada liiga väike-seid arhiivi andmekandjaid, mistõttu võib arhiveerimine olla ebatäielik või toimudaviivitusega. Vajaliku andmemahu hindamisel võetakse ainsa mõjurina tihtipealearvesse üksnes salvestatavate dokumentide oletatavat maksimaalset suurust. Te-gelikult on aga mälumahu vajadus arhiivisüsteemides mitmekordne, sest seda mõ-jutavad oluliselt ka andmete salvestamise liik ja dokumentide muutmissagedus.Ainukirjutusega (write once read multiple, WORM) andmekandjatele andmeid ar-hiveerides salvestatakse näiteks dokumente paratamatult mitmes versioonis, stpärast iga muutmist salvestatakse uus dokument. Seetõttu võib ka väikeste doku-mentide puhul olla suure muutmissageduse tõttu tegemist suure andmemahuga.

Dokumentide vanu versioone ei saa enam hiljem arhiivi andmekandjalt kustuta-da. Peale mahutavusega seotud probleemide võivad siin tekkida ka andmekaitse-või konfidentsiaalsusprobleemid, sest andmed üksnes märgitakse kustutamiseleminevaks, kuid tegelikult neid ei kustutata.

123 / 781

G 2.76 Arhiivipöörduste puudulik dokumenteerimine

Nagu teiste IT-süsteemide puhul, nii on ka arhiivisüsteeme võimalik manipu-leerida, kui süsteemid on halvasti kaitstud. Kasutajad võivad üritada sisestadaarhiivi võltsitud dokumente ja määrata need dokumendid vastava konteksttea-bega olemasolevate haldustoimingute külge või võltsida täiesti uusi toiminguid.Süsteemiadministraatorid võivad arhiivisüsteemis korraldada manipulatsioone janeid logifailide muutmisega varjata.

Üldiselt peetakse logifaile vähem oluliseks kui arhiveeritavaid dokumente. Seeväljendub logifailide sageli lühemates säilitustähtaegades ja hooletumas käsitse-mises. Kui arhiveeritud dokumente on hilisemates haldustoimingutes vaja, peabkindlasti olema võimalik tõendada nende autentsust, samuti on vaja eristada õi-geid dokumente manipuleeritutest ja tõendada vaieldavate dokumentide puhul do-kumendiajalugu.

Seda võivad ohustada:

• arhiivipöördused, eriti salvestustoimingute ebapiisav logimine;• logiandmete ebapiisav kaitse nii kasutajate kui ka süsteemiadministraatorite

manipulatsioonide vastu;• logiandmete kadumine;• logiandmete liiga lühikesed säilitustähtajad.

Kui arhiveeritavad dokumendid on liigitatud konfidentsiaalsusastmete alusel,peab alati olema võimalik kontrollida, kes ja mis ajal on dokumente vaadanud.Seda ei ole võimalik teha, kui lugemispöördusi ja päringuid ei dokumenteerita.

Näited:

• Arhiiviotsingu käigus leitakse dokument, mis paneb ühele inimesele käsil-olevas haldusmenetluses teatud süü. Koos dokumendiga salvestatud kon-tekstteabe alusel peetakse dokumenti autentseks. Kuid dokumendi koostasomal ajal volitusteta isik, kes sisestas teadlikult vale kontekstteabe (sh do-kumendi koostaja ja koostamiskuupäeva), et saaks hiljem kõnealust isikutsüüdistada. Kuna arhiivipöörduste logifailid on vahepeal kustutatud, ei saaseda aga nüüd enam tuvastada. Asjasse puutuvat töötajat süüdistatakseseetõttu ekslikult.

• Administraatori õigustega kasutaja manipuleerib arhiivisüsteemi vahemälusfaile, enne kui need püsivatele andmekandjatele salvestatakse. Manipulat-siooni ei saa kontrollida, sest kasutaja on arhiivisüsteemis nii andmeid kuika logifaile manipuleerinud.

124 / 781

G 2.77 Paberdokumentide elektroonilise arhiveerimise puudused

Paljudesse elektroonilistesse arhiividesse salvestatakse korrapäraselt dokumen-te, mis esialgu olid olemas ainult paberil ja mis tuleb seepärast viia elektroonilissevormi. Selle käigus säilitatakse originaaldokumendi valitud tundemärgid.

Dokumentide kasutusotstarbest tulenevad mitmed erinõuded. Nii võidakse nõu-da, et koopia välisilme vastaks originaalile, kui kasutatakse näiteks pildifaili. Vajalikvõib olla ka tekstilõikude kooskõla, nt tekstifaili korral, või teiste tundemärkide, ntbiomeetriliste või kontekstandmete kujutised.

Alati ei pruugi teksti- või pildifailina salvestamisest piisata, et tõendada doku-mendi vastavust originaalile, sest võib esineda nii manipulatsioone kui ka vigu.

• Teksti- ja pilditöötlusprogrammidega saab olemasolevaid dokumente mani-puleerida.

• Skaneerimisel tekkinud vigade tõttu võib sisestatud andmete tähendus muu-tuda valeks ning sellest võivad tuleneda väärtõlgendused ja -arvestused.Näiteks võivad dokumendi olulised osad skaneerimise käigus ununeda.

Mõnes arhiveerimismudelis on ette nähtud, et paberil asuvad dokumendid hä-vitatakse pärast skaneerimist ruumi kokkuhoiu eesmärgil. Seejuures tuleb arves-tada, et pärast originaaldokumendi hävitamist ei ole enam võimalik tõendada koo-pia ja dokumendi vastavust originaalile. See tähendab, et kõik originaaldokumen-di hilisemaks tõendamiseks vajalikud tundemärgid peavad olema kaasatud jubaelektroonilisse vormi ülekandmisel ja see peab olema salvestatud nii, et neid saabkontrollida. Kui selle käigus ei arvestata tundemärke (nt originaaldokumendi lehe-külgede arvu) või kui need unustatakse, siis on dokumendi tõestusjõud märkimis-väärselt väiksem, sest originaaldokumendi tunnuseid pole tihtipeale enam hiljemvõimalik järele pärida. Ebapiisav tegutsemine dokumentide ülekandmisel ohustabdokumendi mõjuvõimu ja töötlusprotsessi edaspidist kontrollitavust ning lõpuks kaarhiveeritud dokumentide korrektsust.

Näited:

• Originaalid hävitatakse – asutuse saabuv kirjavahetus skaneeritakse hilise-maks töötluseks ja salvestatakse arhiivi. Kogemata aga unustati ühe kirjatagumine külg sisse skaneerida. Kuna saabunud kirjavahetus hävitataksepärast skaneerimist, ei saa kirja originaalolekut hiljem enam tõendada.

• Tekst tuvastatakse valesti – teksti skaneerimisel ja automaatsel üleskirjuta-misel jäävad välja või on valesti kirjutatud lõigud, mida optiline märgituvas-tusprogramm (optical character recognition, OCR)ei tuvastanud korrektselt.See võib puudutada nt kehva värviga või ebaselges kirjas trükitud teksti,kuid ka dokumentide käsikirjalisi täiendusi või tindiprinterite ähmast trüki-pilti. Ka valesti tuvastatud arvesummad (nt tuvastamata komad) võivad ollahilisemate arusaamatuste allikaks.

• Käsitsi kirjutatud allkiri ei ole kontrollitav – dokumentide käsikirjalised allkir-jad skaneeritakse sisse pildina. Kui hiljem peaks dokumendi ja allkirja ehtsu-se pärast tekkima õigustüli, ei saa grafoloogiline ekspertiis selget tunnistustanda, sest esitatud pildifaili võib olla pilditöötlusprogrammiga manipuleeritud

125 / 781

või on teine dokument kopeeritud. Originaaldokumendi tunnuseid, nt kasu-tatud paberi omadusi ja koostist või käsikirjalise allkirja survetugevust, ei oleenam võimalik kontrollida.

126 / 781

G 2.78 Arhiveeritud andmestike regenereerimise puudused

Andmekandjad võivad vananeda nii füüsiliselt kui ka tehnoloogiliselt. Ka andme-vorminguid laiendatakse aeg-ajalt uute süntaktiliste või struktuursete tunnustega.Mõlemal juhul võib juhtuda, et arhiveeritud andmed ei ole enam loetavad (vt G2.72 Arhiivisüsteemide üleviimise puudused ). Seepärast tuleb elektrooniliseltarhiveeritud dokumendid kopeerida aja jooksul uutele andmekandjatele võikanda üle uutesse, tänapäevasematesse andmevormingutesse. Selle juures onoht, et andmete ülekandmisel uutele andmekandjatele lahutatakse dokumendidoma kontekstist või tehakse teise andmevormingusse kopeerimisel kogematasemantilisi muudatusi. Lisaks on andmete ülekandmisel uuele salvestuskand-jale manipulatsioonide võimalus. Muuta saab isegi WORM-andmekandjatelesalvestatud andmeid. Pärast andmestike üleviimist võib olla vajadus vanadandmekandjad hävitada. Sellega seotud ohtudele viidatakse jaotises G 2.81Arhiivi andmekandjate puudulik hävitamine .

Näited:

• Andmestike üleviimise käigus kustutatakse ruumivajaduse tõttu salvestatuddokumentide eelmised versioonid, kuigi neid on tõestamise jaoks veel vaja.

• Failid, mis salvestati alguses muutmiskindlana (kontrollimiskindlana)WORM-andmekandjatele, kantakse üle uutele andmekandjatele. Seejuuresvahetatakse kopeerimise käigus failid välja, st mõningaid faile ei kanta uueleandmekandjale üle, vaid nende asemele pannakse võltsitud failid.

127 / 781

G 2.79 Arhiivisäilikute digitaalsignatuuride regenereerimisepuudused

Digitaalsignatuuride puhul kasutatavaid algoritme ja võtme pikkusi peab nendekaitsetoime tagamise eesmärgil regulaarselt kohandama tehnika hetkeseisuga (vtG 4.47 Vananenud krüptomeetodid ). See tähendab, et kasutatud krüptograafilis-tel võtmetel ja nende juurde kuuluvatel sertifikaatidel on usaldusväärne kehtivusvaid piiratud aja jooksul. Arhiivi taotlusliku kestusega võrreldes on see suhteliseltlühike ajavahemik. Seepärast tuleb digitaalsignatuuride tõendusjõu säilitamiseksiga üksiku dokumendi elektroonilist allkirja õigel ajal uuendada.

Arhiveeritud dokumentide regulaarsel taasallkirjastamisel võivad muu hulgaskerkida esile järgmised turbeprobleemid:

• Kui varem kehtetu või puuduva elektroonilise allkirjaga dokumendid saavadeksikombel uue kehtiva allkirja, võib neid dokumente pidada edaspidi eksli-kult autentseks.

• Dokumendid unustatakse – võib juhtuda, et taasallkirjastamisel dokumendidunustatakse, st need ei saa uut kehtivat allkirja, kuigi olid varem kehtiva all-kirjaga. Seetõttu võib juhtuda, et dokumendi autentsust või terviklust ei saaedaspidi teiste tunnuste alusel alternatiivse tõendamise puudumisel enamüldse tõendada.

• Ohustatud krüptograafilised meetodid – taasallkirjastamise hetkeks võib alu-seks olev krüptograafiline meetod olla juba ohustatud või on algne allkirja-võti juba teatavaks saanud (nt suure arvutustöö tulemusena kindlaks teh-tud). Seetõttu on võimalik volitamata isikutel koostada dokumente ja varus-tada need tehniliselt kehtiva allkirjaga, vajaduse korral ka suvalise ajasig-natuuriga (ajatempliga). Kui neil õnnestub need dokumendid taasallkirjas-tamise protsessi lisada, võidakse neid dokumente eksikombel autentsekspidada.

128 / 781

G 2.80 Arhiveerimisprotseduuride puudulik auditeerimine

Elektrooniline arhiveerimine esitab paberdokumentide muutmisele elektroonilis-teks dokumentideks väga ranged nõudmised. Arhiveerimistoimingud peavad ole-ma menetlusdokumentides täpselt kirjeldatud ning neid peab olema võimalik kont-rollida logide kaudu, kuhu on märgitud, milline kasutaja millal ja milliseid toiminguidarhiivis tegi.

Arhiveerimise või salvestatud logiandmete liiga harv ja ebatäpse kontrollimisegavõib kaasneda olukord, kus arhiveerimisprotsessi nõuetekohasuses ja seega kaarhiveeritud dokumentide õigsuses hakatakse kahtlema.

129 / 781

G 2.81 Arhiivi andmekandjate puudulik hävitamine

Arhiivisüsteemid ei anna tavaliselt salvestatud andmetele ainult oma salvestus-kandjatega juurdepääsukaitset. Selle asemel täidab seda funktsiooni kõrgemalseisev dokumentide haldussüsteem (DMS). Kui arhiivi andmekandjad on ligipää-setavad väljaspool arhiivikeskkonda (arhiivisüsteemi ja DMS-i), tuleb arvestada, etigaüks, kes saab andmekandjat lugeda, pääseb ligi ka sellele salvestatud teabele.

Eriti juhul, kui arhiveeritud andmed kopeeritakse ümber uutele andmekandjate-le, on märkimisväärne oht, et vanu, kasutatud arhiivi andmekandjaid, mida nõue-tekohaselt ja täielikult ei hävitata, kasutatakse vääralt teabe hankimiseks.

Ka krüpteeritult arhiveeritud andmete puhul võib andmekandjate nõuetele mit-tevastav hävitamine probleeme tekitada, sest krüptoalgoritmide turvalisust saabtagada üksnes piiratud aja jooksul (vt G 4.47 Vananenud krüptomeetodid ). See-pärast ei anna ühekordne krüpteerimine pikaajalist kaitset andmete väärkasutusevastu.

130 / 781

G 2.82 Arhiivisüsteemi asukoha halb planeerimine

Salvestatud andmete konfidentsiaalsuse ja väga pika säilitusaja tõttu esitataksesalvestus- või arhiivisüsteemide puhul andmete salvestamise kvaliteedile küllaltkirangeid nõudmisi. Salvestus- või arhiivisüsteemi asukoha valikul on sellele suurmõju.

Seetõttu tuleb tähelepanu pöörata järgmistele potentsiaalsetele turbeprobleemi-dele:

• Ebapiisavad kliimatingimused – liiga kõrge või liiga madal temperatuur võika liiga suur õhuniiskus võib põhjustada salvestus- ja arhiivisüsteemide teh-niliste komponentide rikkeid ja arhiivi andmekandjate kahjustumist. Sedavõimendab kliimatingimuste pidev muutlikkus. Sellist kliimakoormust võivadesile kutsuda ka sekundaarkahjud. Näitena võib tuua seinte auramise, misvõib esineda pärast kõrvalruumis toimunud tulekahju.

• Ebapiisav füüsiline kaitse – salvestus- või arhiivisüsteemide ebapiisav kaitsevolitamata ligi- ja juurdepääsu vastu võib soodustada ettekavatsetud tege-vusi (nt vargust, manipulatsiooni või saboteerimist).

• Ebapiisav kaitse muude keskkonnamõjude vastu – arhiivisüsteemi või sal-vestuskandjate tehnilisi komponente võivad kahjustada ka muud keskkon-namõjud (nt vibratsioon või suur tolmuhulk). Eriti halb on olukord, kui kahju-likud mõjud olid juba ette teada, nt ehitustööde käigus.

Näide:

• Kui tsentraalne IT-piirkond paikneb tootmisseadmete läheduses, esineb sealaeg-ajalt vibratsiooni. Selle tagajärjel esineb ikka ja jälle arhiivisüsteemi teh-niliste komponentide rikkeid, sest arhiivisüsteem on just IT-piirkonnas.

131 / 781

G 2.83 Halb väljasttellimise strateegia

Projekti väljast tellimise otsusel võivad olla kaugeleulatuvad tagajärjed. Sellegaasetab ettevõte või asutus end välisteenusepakkujaga tihedasse sõltuvussuhtes-se. Sellega seotud väärotsustel võivad olla korralduslikud, tehnilised ja tõsisedfinantsilised mõjud.

Välisteenusepakkuja puhul ei pruugi turbeprobleemid (nt puuduliku käidelda-vuse tõttu) olla üksnes kulukad, vaid ka eksistentsi ähvardavad. Ent ka väljasttelliva organisatsiooni valehinnangutel võivad olla tõsised tagajärjed. Kui näiteksalahinnatakse ajakulu (nt dokumentide koostamisele, katsetamisele, süsteemideturvaliseks muutmisele kuluvat aega), siis on oodata ajalisi viivitusi. Kaotatud ajatasategemiseks ja raha säästmiseks tavatsetakse sageli vähendada katsetustelekuluvat aega, mis võib omakorda turvalisust vähendada.

132 / 781

G 2.84 Puudused välisteenusepakkujaga sõlmitud lepingutingimustes

Kui tekivad olukorrad, mis ei ole lepingus selgelt sätestatud, võib tellija (nt väljasttellitud projekti või pilvteenuse raames) kannatada kahju. Nii võib võtta väljast telli-ja vastutusele näiteks turvalisusega seotud puuduste tõttu, mis on küll välisteenu-sepakkuja mõjualas, kuid ei ole lepingus selgelt kirjas. Lepingupartnerite vahel te-kivad probleemid peamiselt seetõttu, et kuluhinnangud on olnud liiga optimistlikud.Kui selgub, et välisteenusepakkuja ei suuda teenust arvestatud ja pakutud kulu-dega pakkuda või ei jõuta kokkuleppele selles, mis on enesestmõistetav, võib seetekitada otseseid turbeprobleeme. Infoturbe pealt hoitakse tavaliselt kokku siis,kui teistes valdkondades on kulusurve, mida saab lahendada nii, et tagajärjed eiole otseselt nähtavad. Seega on tellija ja tööde teostaja vahel sõlmitava lepingusätete väljakujundamine otsustava tähtsusega. Ainult see, mis on algusest pealelepingus fikseeritud, saab hiljem ka kindlasti ellu viidud.

Pilvteenuse ja väljasttellimise pakkujad kasutavad oma teenuste osutamiselsageli kolmandate isikute teenuseid. Kui siin on tegemist ebapiisavate lepin-guliste kokkulepetega, võib see mõjutada ka teenuste osutamist. Kui ei järgitalepingutingimustes olevaid sõltuvussuhteid teenusepakkuja ja kolmanda isikuvahel, võib see kaasa tuua puuduliku läbipaistvuse teenusepakkuja tegevuses jaebakindluse vastutusvaldkondades või kokkulepitud teenuse kvaliteedi tagamises.

Välise teenusepakkujaga sõlmitud lepingu ebapiisavad sätted võivad tuua kaa-sa näiteks järgmisi olukordi:

• Teavitamiskohustus – tellija ei saa täita teavitamiskohustust järelevalveasu-tuse või audiitori ees, kui teenusepakkujal puudub juurdepääs oma ruumi-dele või ligipääs vajalikele dokumentidele.

• Seadused – tellija peab vastutama kehtivate seaduste rikkumise eest, kuiteenusepakkujat pole nende seaduste järgimiseks kohustatud.

• Arusaamatused ja kohandamine – ülesanded, tulemuse parameetrid ja ku-lud on kirjutatud üles kas ebapiisavalt või arusaamatult, nii et turvameetmeidei kasutata kas teadmatusest või puuduvate ressursside tõttu.

• Vastutus – tellija ei saa täita uusi nõuded (nt eriala, seaduslikke eeskirju,käideldavust, tehnilist arengut puudutavaid nõudeid), kui muutuste haldus jasüsteemi kohandamine ei ole lepinguga piisavalt reguleeritud.

• Kaitsevajadus – väljast tellitud projekti puhul vastutab telliva asutuse või et-tevõtte juhtkond teatud tingimustel väljast tellitud ärivaldkondade eest täieli-kult, kuid ei tule selle ülesandega toime, sest puuduvad kontrollivõimalused.

• Sanktsioonid – väljast tellitud andmete või süsteemide kaitse pole piisav, kuivälisteenusepakkuja ei ole nende kaitsevajadusest teadlik. Teenuse kvali-teet on halb ja sekkumisvõimalused puuduvad, sest lepingus ei sätestatudsanktsioone.

• Töötajad – teenusepakkuja ei paku kvalifitseeritud töötajaid või põhiperso-nali esindajatel puudub piisav ettevalmistus valdkonnas, mis võib tekitadaturbeprobleeme.

• Organisatsioonivälised andmed või süsteemid on ebapiisavalt kaitstud, kuinende kaitsevajadus või hoopis sellest tulenevad nõudmised turvalisusele

133 / 781

on väljasttellimise pakkujale tundmatud.

Lisaprobleemid kerkivad esile sageli siis, kui teenuselepingud lõppevad (vt G2.85 Ebapiisavad tingimused väljasttellimise kasutamise lõpetamiseks ) ja kui seeolukord ei ole lepingus piisavalt sätestatud.

134 / 781

G 2.85 Ebapiisavad tingimused väljasttellimise kasutamiselõpetamiseks

Kui väljast tellitakse lahendus või pilvteenus, tähendab see üldjuhul tellija oskus-teabe kadumist ja tellija sõltumist teenusepakkujast. Seetõttu võivad lepingusuhe-te võimaliku lõpetamise ebapiisaval sätestamisel olla tellijale rasked tagajärjed.

Probleemid kipuvad tekkima eelkõige siis, kui ootamatult kerkib esile tellija sei-sukohast kriitiline juhtum, nt väljasttellimise või pilvteenusepakkuja maksujõuetusvõi müük.

Näited:

• Tellija konkurent ostab välisteenusepakkuja.• Riiklik julgeolekuasutus on tellinud protsessid välisest arvutikeskusest, mille

ostab hiljem välismaine ettevõte.• Tellija ja välisteenusepakkuja vahel on juriidilised vaidlused teenuste halva

kvaliteedi või turvalisusega seotud tõsiste puuduste tõttu ning selle tulemu-sena tahab üks lepingupooltest lepingu lõpetada. Piisava ettenägelikkuse jatäpsete lepingusäteteta on alati oht, et tellijal on väga keeruline teenusepak-kujaga sõlmitud lepingust taganeda. Sellisel juhul on raske või isegi võimatuväljast tellitud või pilvteenusesse majutatud valdkonda näiteks teisele tee-nusepakkujale üle anda või see taas oma ettevõtte koosseisu võtta, kui seevajalikuks osutub.

Alljärgnevalt on kirjeldatud näitlikult veel mõningaid probleeme, mis võivad sel-lises olukorras tekkida.

• Lepingu jäikade lõpetamissätete tõttu ei saa tellija vajaduse korral lepingutlõpetada.

• Liiga lühike etteteatamisaeg teenusepakkujale lepingu ülesütlemisel tä-hendab seda, et ei jää aega korraldatud üleminekuks.

• Ebapiisavad regulatsioonid kasutatud riist- ja tarkvara (tarkvaraliideste, töö-riistade, pakkfailide, makrode, litsentside, varukoopiate) omandiõiguse koh-ta võivad takistada nende korraldatud üleandmist (nt uuele välisteenusepak-kujale).

• Ebapiisavad regulatsioonid dokumentide üleandmise kohta võivad tuua kaa-sa olukorra, kus IT-süsteeme ei saa korralikult edasi käitada.

• Kui andmete kustutamine välisteenusepakkuja või pilvteenuse pakkuja pooltpole piisavalt reguleeritud, võivad konfidentsiaalsed andmed sattuda kol-mandate isikute kätte.

• Tellija ei saa oma ülesandeid teatud tingimustel enam täita, sest käideldavusei ole enam tagatud.

• Likvideerimisprotsessi viimases etapis ei pruugi andmed ja süsteemid ollaenam piisavalt kaitstud, sest neid peetakse vanaks.

• Puuduvad tingimused (näiteks andmevormingud) salvestatud teabe (kasuli-kud andmed) väljaandmiseks teenusepakkuja kaudu toovad kaasa viivitusiüleminekul teisele pakkujale või teenuse sidumisel institutsiooniga.

• Puudulike lepingutingimuste tõttu ei ole teenusepakkuja vahetumisel taga-tud pilvteenuste koostalitusvõime.

135 / 781

• Üleminek ühelt väljasttellimise või pilvteenuse pakkujalt teisele toob teatudtingimustel kaasa tugiteenuste vajaduse olemasoleva teenusepakkuja kau-du. Kui kohustus selle täitmiseks ei ole lepinguliselt sätestatud, võib teenu-sepakkuja toest keelduda või selle eest eraldi tasu nõuda.

136 / 781

G 2.86 Sõltuvus välisteenusepakkujast

Kui asutus vajab välisteenuse- või pilvteenusepakkuja teenuseid, satub ta alativastavatest teenusepakkujatest sõltuvusse. Sellest tulenevad järgmised tüüpilisedohud:

• Organisatsioonivälistes äriprotsessides läheb vastav organisatsioonisiseneoskusteave kaduma.

• Tellija töötajad lahkuvad ettevõttest või nad viiakse mujale üle ja nad võtavadoskusteabe kaasa.

• IT-süsteemid ja ressursid jäävad välisteenusepakkujale, nii et nende üle eiole enam täielikku kontrolli.

• Tellija ja teenusepakkuja hindavad organisatsioonivälise teabe kaitsevaja-dust erinevalt, näiteks suhtlemises esinevate arusaamatuste või erineva tur-vakultuuri tõttu. Nii võivad kasutusele võetud turvameetmed olla ebapiisavadvõi valesti hoitud.

Liiga suure sõltuvuse korral võivad lisaks esineda järgmised tagajärjed, midatuleb tähele panna:

• Seesttellimine on üldjuhul kallis ja halvimal juhul isegi võimatu.• Teenusepakkuja vahetamine on üldjuhul raske ja võib kaasa tuua eksistentsi

ohustavaid olukordi (käideldavus, kulud).• Raamtingimuste muutumisel (nt omanikuvahetus välisteenuse- ja pilvteenu-

sepakkujatel, kehtivate seaduste muutumine, kahtlus välisteenuse- ja pilv-teenusepakkuja usaldusväärsuses) võidakse teatud tingimustel valesti rea-geerida.

Kui välisteenuse- või pilvteenusepakkuja avastab tellija suure sõltuvuse, võivadsellega seoses tekkida ka järgmised probleemid:

• teenusepakkuja tõstab märkimisväärselt hindu;• teenuse kvaliteet halveneb;• ähvardust, et teenus kohe lõpetatakse, kasutatakse survevahendina (nt le-

pingu ülesütlemisel või vaidluste korral).

137 / 781

G 2.87 Ebaturvalised protokollid avalikes võrkudes

Avalike võrkude, eriti interneti kaudu suhtlemisel on hulgaliselt ohte, mis tulene-vad ebaturvaliste protokollide kasutamisest. Suur oht on see, et konfidentsiaalneteave võib sattuda võõrastesse kätesse. Ebaturvaliseks tuleb pidada eelkõige nii-suguseid protokolle, mille kaudu edastatakse teavet avatekstina. Kuna andmepa-keti teekond internetis ei ole etteaimatav, siis on sellisel juhul võimalik edastatavatteavet mitmes kohas lugeda.

Eriti kriitiline on olukord siis, kui see puudutab:

• autentimisandmeid, nt kasutajanimesid ja paroole;• autoriseerimisandmeid, nt ülekandenumbreid internetipanganduses või

elektroonilises maaklerluses;• Telnet, http, ftp, SMTP jne;• muud konfidentsiaalset teavet, nt e-kirjaga saadetavate dokumentide teavet.

Protokollid, milles kogu teave edastatakse avatekstina, on näiteks järgmised:

• hüperteksti edastusprotokoll http, mida kasutatakse veebilehitsejate ja vee-biserverite vaheliseks kommunikatsiooniks;

• Telneti protokoll, mida kasutatakse mõnes kohas veel kaug-sisselogimisejaoks;

• failiedastusprotokoll ftp, mida kasutatakse veel sageli serveripöördusteksfailide allalaadimise võimaldamiseks;

• lihtne meiliedastusprotokoll SMTP, mida kasutatakse e-kirjade edasta-miseks;

• protokollid rsh (remote shell), rlogin (remote login) jms.

Nende protokollide puhul saab kogu edastatud teavet lugeda ja vajaduse korralka muuta igas arvutis, millel on vastav ühendus. Kriitiline on näiteks krediitkaardi-numbrite või paroolide edastamine veebis http-ühenduse kaudu.

Klahvilogerite (keylogger) abil on võimalik esimeses etapis paroolid süsteemileedastamisel kinni püüda. See võimaldab ründajal seejärel sellesse IT-süsteemipääseda ja edasisi rünnakuid lokaalselt arvutis teha.

Mainitud protokollide (eriti http ja Telneti) puhul on ka vahendusrünnete võiseansi ülevõtmise oht (vt G 5.89 Võrguühenduse ülevõtt ). Sellist tüüpi rünnakutepuhul pole ründajal võimalik üksnes teavet näha, vaid ta võib tekitada ka aktiivsetkahju, muutes toimuvaid tehinguid. Näiteks võivad äride hinnad või tellimiskogu-sed olla internetis niiviisi muudetud, et tellija näeb ainult artiklit või tarneaadressija saab kinnituse, mille ta on sisestanud, samal ajal kui ründaja saadab müüjaleoluliselt suurema koguse ja teise tarneaadressi.

Peale nende protokollide, mille puhul edastatakse kogu info avatekstina, on ole-mas ka sellised protokollid, mille puhul vähemalt autentimisandmed edastataksekrüpteeritult. Kuid ikkagi on seejuures oht, et edastatavat kasulikku teavet saabkõrvalt lugeda.

138 / 781

G 2.88 Väljast tellitava projekti negatiivne mõju organisatsioonisisekliimale

Väljast tellitavad projektid ei mõjuta olenevalt liigist ja mahust mitte üksnesäriprotsesse, vaid ka ettevõtte või asutuse töötajaid. Seejuures on peale tellijaoodatavate positiivsete mõjude töötaja seisukohast võimalikud ka negatiivsedmõjud.

Näited:

• Väljasttellitavas valdkonnas võib tulla ette ametikohtade koondamist ja see-tõttu ka töötajate üleviimist või vallandamist.

• Äritoimingute väljasttellimise tõttu muutuvad tavapärased tööprotsessid.• Väljast tellitava projekti eel, ajal või järel võib tekkida liiga suur töökoormus.• Välisteenusepakkuja töötajatega või väljaspool asuvate nõustajatega

tehtava koostöö tõttu võib olla vaja, et mõned töötajad peavad pädevusestvõi vastutusest loobuma. Samamoodi võib juhtuda, et töötajad peavad võt-ma endale muu valdkonna eest vastutuse, ja seetõttu tunnevad nad, et neiltnõutakse liiga palju.

• Väljast tellitava projektiga seotud ümberkujunduste tõttu võib juhtuda, et töö-tajad peavad vahetama tööandjat (nt üleminek tütarfirmasse või välisteenu-sepakkuja alluvusse). Seejuures võib töötaja olla sunnitud aktsepteerimahalvemaid tingimusi või vähemalt võib ta nii arvata.

Nende või teiste selliste muudatuste tõttu võib ettevõtte sisekliima halveneda.Muu hulgas on võimalikud järgmised potentsiaalsed ohud:

• Ründed – töötajad või endised töötajad võivad püüda kätte maksta.• Kohustuste täitmata jätmine – töötajad on halvasti motiveeritud ja jätavad

kohustused, eriti turvameetmed, tahtmatult või sihilikult hooletusse.• Oskusteabe kadumine – oskusteabe kandjad (nt IT-juhid ja administraato-

rid) võivad sissejuhatava etapi ajal töölt lahkuda. Selle tagajärjeks võib olla,et väljast tellitavat projekti ei rakendata nagu vaja või ei rakendata üldse,mis võib omakorda ohustada eksistentsi. Sageli loodab välisteenusepakku-ja sellele, et vastutavad oskusteabe kandjad tulevad tema poolele üle.

139 / 781

G 2.89 Puudulik infoturve väljasttellimise sissejuhatavas etapis

Väljast tellitav projekt viiakse tavaliselt ellu mitmes etapis. Sissejuhatava etapi-ga kaasnevad enamasti tellija poolel suured sisemised muudatused. Peale sellekaasnevad väljast tellitava projektiga ranged tähtaegade ja rahaliste võimalustepiirtingimused. Tihtipeale ei jää aega reeglipärasteks turvakontrollideks ja auditi-teks. Eelarvest ja tähtaegadest kinnipidamise nimel kannatab sissejuhatavas eta-pis sageli töö kvaliteet ja turbekontseptsioonid jäetakse hooletusse. See aga aval-dab infoturbele märkimisväärset mõju.

Infoturbe võimalikud ohud on muu hulgas ka järgmised:

• Üleminekulahenduste kasutuselevõtul lähtutakse leebetest turvastandardi-test. Seejuures tuuakse tihti argumendiks: „Peaasi, et töötab!” Ometi on sel-lised üleminekulahendused mitmesugustel põhjustel veel aastaid käigus.

• Aja ja ressursi puudumise tõttu jäetakse vanad süsteemid uutega töötamiseajaks hooletusse. Suure töökoormuse ja ajalise surve tõttu tekkinud prob-leeme võimendatakse teadlike või mitteteadlike puuduste või vigadega.

Põhjused võivad olla järgmised:

• Sissejuhatavas etapis peavad väljast tellitavad süsteemid töötama paralleel-selt.

• Välisteenusepakkujaga seotus tekitab palju uusi korralduslikke ja tehnilisiliideseid.

• Töötajad peavad harjuma uute tööülesannetega, see aga nõuab ressursse.• Väljast tellitava projektiga kaasneb uue tark- ja riistvara kasutamine. Ohud

tulenevad seejuures puudulikest või hoopis puuduvatest katsetustest, uuteturvamehhanismidega seotud kogenematusest, installatsiooni- või haldusvi-gadest või ka tarkvaravigadest.

Infoturbega seotud puudused võivad olla tingitud ka sissejuhatava etapi korral-duslikest puudustest. Põhjused võivad olla näiteks järgmised:

• Kommunikatsiooni alustamise raskused – tellija ja välisteenusepakkuja töö-tajate või väljastpoolt pärinevate nõustajate koostöö ei toimi korralikult. Põh-juseks võivad olla näiteks tehnilist või isiklikku laadi kommunikatsiooniprob-leemid. Kuna alguses ei ole ka vastaspoole kontaktisik veel tuttav, võivadselles etapis eriti kergelt õnnestuda inimestega manipuleerimise rünnakud.

• Otsustushierarhia ei toimi veel või ei ole kontaktisikud ja vastutusalad veelselgeks tehtud või vahetuvad need sageli. Selle tulemusena ei võeta ot-suseid vastu või toimub see suure viivitusega. See toob teatud tingimustelkaasa olukorra, kus turbe-eeskirju ei järgita, neist hiilitakse mööda või neidei kontrollita.

Kogu selle probleemistikuga on kokku puutunud näiteks üks nimekas finantsa-sutus. Sel ajal, mil töötati uue veebiserveri rakendamise kallal, ei hooldatud vanasüsteemi enam piisavalt ja selle ründamisel sattusid kliendiandmed ohtu. Meedia-kanalite kaudu said sellest sündmusest teada miljonid.

140 / 781

G 2.90 Välisteenusepakkujaga seotud nõrgad kohad

See oht on 14. täiendusega välja jäetud. Sisu integreeriti osasse G 4.97 Välistee-nuse osutajaga seotud kitsaskohad .

141 / 781

G 2.91 Exchange 5.5-lt Exchange 2000le ülemineku halb planeerimine

Exchange 2000 e-postisüsteemi värskest installimisest sagedamini minnaksepraktikas olemasolevalt Exchange 5.5 installatsioonilt üle Exchange 2000-le. Pal-judel juhtudel on see üleminek seotud sellega, et Windows NT operatsioonisüs-teem asendatakse Windows 2000-ga. Exchange 2000 serveri töö jaoks ongi eel-tingimuseks operatsioonisüsteemi vahetus.

Peale operatsioonisüsteemi vahetuse on vajalik ka NT-domeeni kontseptsiooniüleminek Windows 2000 kataloogiteenusele Active Directory. See on planeerimis-ja korraldustegevust puudutav ülesanne, mis nõuab eriti turvalisuse seisukohasthoolikat sissetöötamist ja põhjalikku kavandamist (vt M 2.249 Exchange 5.5 ser-verite Exchange 2000-le üleviimise planeerimine).

Ülemineku puuduliku planeerimise tõttu võivad esineda järgmised turbeproblee-mid:

• NT-domeeni konfiguratsioonid võidakse Windows 2000 Active Directoryssevalesti või mittetäielikult kopeerida, sest see kujutab endast senise taristutäiesti uut kontseptsiooni. Lisaks võib halb ühendus Active Directoryga tuuakaasa selle, et Windows 2000 ja Access Control Listsi (ACL) süsteemi ees-kirjad ei toimi.

• Võrgukohad - Üks või mitu Exchange 5.5 võrgukohta võidakse ebapiisa-valt Exchange 2000 Routing Groupi kopeerida, sest see tähendab teatudasjaoludel Exchange’ serveri ümberkorraldamist. Oht seisneb siin eelkõigevaledest logisätetest või muudest konfiguratsioonivigadest tingitud talitlus-häiretes.

• Rollid ja rühmad - Teatud asjaoludel võib süsteemi haldamine olla kavan-datud asjatundmatult ja halduspiirid määratud ebaselgelt, sest need võivadhaldusrühmade rakendamisega Exchange 2000-s Exchange 5.5-ga võrrel-des muutuda. Exchange 5.5 administraatori rolli Exchange 2000-s enam eiole ja domeenikasutajad tuleb konfigureerida. Kui sellele kasutajarühmaleõiguste andmine on valesti kavandatud, võib see kaasa tuua turvaauke võitakistada süsteemi haldamist.

• Eeskirjad - Turbeseadete üleviimise vale kavandamise tõttu võib juhtuda, etorganisatsioonis kehtivaid turbe-eeskirju rakendatakse puudulikult. See käibnii serveri pääsuvõimaluste kui ka seal salvestatud andmetele juurdepääsukohta.

• Andmekadu - Andmed ja teave võivad ülekande käigus kaduma minna, eritikui süsteem jookseb ülekande ajal kokku.

• Rike - Konfiguratsiooni hilisem parandamine tootmissüsteemides võib kaasatuua tootmisseisaku.

142 / 781

G 2.92 Exchange 2000 brauseripääsu halb reguleerimine

Nagu juba Exchange 5.5, nii pakub ka Exchange 2000 võimalust brauseri kaudumeilikontole juurde pääseda. Uus on Exchange 2000 puhul aga HTTP-l põhinevWebDAV-protokolli tugi. Selle kaudu pääseb ligi failisüsteemile Installable File Sys-tem (IFS) ning sellega toetatakse veebipoe ja veebifoorumite funktsioneerimist. Li-saks kasutatakse infoteenust Internet Information Services (IIS), mis on Exchange2000 serveri installatsiooni püsikomponent.

Peamiseks ohuks on asjatundmatu kavandamise ja puudulike regulatsioonidekorral väljastpoolt kontrollimatult sisevõrku pääsemise võimalikkus.

Konfiguratsioonivead puudutavad esmajoones veebikliendi autentimist Exchan-ge 2000 serveri kaudu ning teabe kaitstud edastamist IP-võrgus. Kui nõutavad au-tentimismeetodid on liiga nõrgad, võivad volitamata isikud teatud tingimustel saa-da juurdepääsu meiliandmetele ja süsteemiressurssidele. Kui rakendatud krüp-teerimismehhanismid ei ole piisavalt tugevad, siis on oht, et andmeid jälgitaksesalaja. Ebapiisavate autentimis- ja krüpteerimismehhanismide puhul võivad kol-mandad isikud teatud tingimustel olemasolevad ühendused üle võtta. Lisaks onoht, et OWA-kanali kaudu satuvad meiliserverisse viirused või muud kahjulikudkoodid.

Lisaks tuleb arvestada mitmesuguste ohtudega. Võimalikud ohud on näiteks:

• Meiliaadresside väljanuhkimine.• Volitamata isikud saavad juurdepääsu meilifunktsioonidele.• Võimalikud rämpspostirünnakud.• Volitamata isikud saavad siseinfot ettevõtte või asutuse kohta.• Sisevõrgu vastu suunatud otsesed rünnakud.

143 / 781

G 2.93 Puudulik jätkusuutlikkuse planeerimine väljasttellimise korral

Vajakajäämised hädaolukorra ennetamisel põhjustavad väljasttellimisel või pilv-teenuse kasutamisel kiiresti tõsiseid tagajärgi.Täiendavad raskused tekivad seetõttu, et probleemid võib üldiselt jagada kolmekriitilise tähtsusega valdkonda:

1. tellija IT-süsteemid;2. välisteenuse või pilvteenuse pakkuja IT-süsteemid;3. liidesed (nt võrguühendus, marsruuter, sideteenuse pakkuja) tellija ja teenu-

sepakkuja vahel.Vea esinemisel tuleb see kõigepealt õigesti lokaliseerida, mis on olenevalt vea

liigist keeruline, sest erinevatel vigadel võivad esineda sarnased tunnused, nt kom-munikatsiooniühenduse katkemine või teenusepakkuja süsteemi tõrge. Alles pä-rast vea tuvastamist saab võtta mõistlikke avariimeetmeid.

Vajakajäämised tellija või teenusepakkuja IT-süsteemide hädaolukorra enneta-mise kavades ja ka liidestes toovad osalise või täieliku katkestuse korral alati kaa-sa liiga pikad katkestusajad koos vastavate tagajärgedega tellija tootlikkusele võiteenusele. Lisaks sellele võib hädaolukordade puudulik kooskõlastamine tellija jateenusepakkuja vahel kaasa tuua lüngad hädaolukorra ennetamises.

144 / 781

G 2.95 Halb meetod meilisüsteemide ühendamiseksExchange’i/Outlookiga

Antud IT-maastikud on nii kasutatavaid operatsioonisüsteeme kui ka rakendusisilmas pidades enamasti heterogeensed. See peegeldab sageli ettevõtte võiasutuse organisatsioonistruktuuri kasvamise ja struktuuriüksuste kokkukasvamiseajalugu.

Exchange 2000 on Windows 2000 operatsioonisüsteemiga tihedalt läbi põi-munud ja sobitub välissüsteemidega ainult hädapärast. Teiste meilisüsteemidegasuhtlemiseks pakub Exchange 2000 ühendajaid, mille abil saab Exchange’i süs-teemi välissüsteemidega ühendada.

Turvalisuse seisukohast on oht, et Windows 2000 turbeseaded, mis käivad Exc-hange 2000 meilisüsteemi kohta, ei kehti väljaspool homogeenset Microsofti kesk-konda.

Loomulikult on ka vastupidine oht: välissüsteemis kindlaks määratud turbe-eeskirjad ei pruugi kehtida Exchange 2000 süsteemi kohta. Erinevate alamsüs-teemide eraldi haldamisel võivad alati tekkida ebakõlad.

Erinevate meilisüsteemide asjatundmatu ühendamise tagajärjeks võib olla kaandmekadu või süsteemi blokeering.

145 / 781

G 2.96 Aegunud või väär teave veebisaidil

Organisatsiooni veebilehel avaldatud info korrektsus ja värskus ei mõjuta mitteüksnes veebilehe menukust. Olukord, kus veebilehel avaldatakse valeandmeid,võib märkimisväärselt kahjustada organisatsiooni mainet avalikkuse ees.

Mõningatel juhtudel võivad valeinfo avaldamisega kaasneda ka finantskahjudvõi õiguslikud tagajärjed (nt ülesütlemised). Veelgi hullemad tagajärjed võivad ol-la sellel, kui veebiserverile satub eksikombel sisekasutuseks mõeldud (konfident-siaalne või koguni salajane) info, mida ei oleks tohtinud mitte mingil juhul avaldada.

Negatiivseid tagajärgi võib tekitada isegi olukord, kus veebiserveritel hoitav infoon kõigest aegunud. Näiteks võib vananenud kontaktandmete avaldamine häiridatööprotsesse.

Näide

• 2002. aastal leidsid ajakirjanikud ühe Rootsi firma veebiserverilt faili selleettevõtte kvartaliaruandega, mida oleks tohtinud avaldada alles mõni päevhiljem. Peale kõige muu kaasnes sellega ettevõtte aktsiakursi lühiajaline lan-gus.

146 / 781

G 2.98 Marsruuterite ja kommutaatorite kasutamise väärkavandamine

Aktiivsete võrgukomponentide kasutuse planeerimisel on enamasti esiplaanilfunktsionaalsuse ja jõudluse aspekt. Kui marsruuterite ja kommutaatorite kui kesk-sete võrguelementide kasutus ei ole ühendatud ettevõtte turbekontseptsiooniga,siis ei saa tagada nende komponentide turvalist kasutust.

Marsruuterite ja kommutaatorite kasutuse planeerimisel tehtud vead kuuluvadenamasti ühte järgmistest kategooriatest.

Seadmete kasutusotstarbe ebapiisav arvessevõtmineMarsruuterite ja kommutaatorite kasutuse planeerimisel on otsustava tähtsuse-

ga eelkõige nende komponentide kasutusotstarve. Tihtipeale ei võeta planeeri-misel komponentide kasutusotstarvet piisavalt arvesse, nt VLAN-ide kasutamisel.Vastupidi sageli kuuldud reklaamile ei töötatud VLAN-e välja selleks, et täita turva-nõudeid võrkude eraldamisel. VLAN-idel on palju pääsupunkte, nii et eriti kaitsetvajavate võrkude eraldamisel tuleb kasutada lisameetmeid.

Ka marsruutimisprotokollide kasutuse planeerimisel võib ette tulla vigu. Kuimarsruutereid kasutatakse demilitariseeritud tsoonides (DMZ-ides), võib dünaa-miliste marsruutimisprotokollide kasutamine ohustada kaitstava võrgu käidelda-vust, konfidentsiaalsust ja terviklust.

Turvamehhanismide ebapiisav arvestamineSageli ei võeta planeerimisel piisavalt arvesse olemasolevaid turvamehhanisme

(nii olemasoleva võrgu kui ka võrgukomponentide puhul, mille kasutust planeeri-takse). Näiteks võivad vajalikuks osutuda lisameetmed, kui seade ei toeta teatudturvamehhanisme. Kui seda juba planeerimise ajal ei arvestata, võib see tekitadaprobleeme hiljem, kui selle järele tuntakse vajadust.

Oluline punkt, mida planeerimisel sageli ei arvestata, on näiteks eraldatud hal-dusvõrgu loomine (ribaväline haldus). Kui valitud või olemasolevad seadmed toe-tavad ainult ebaturvalisi protokolle, nt SNMPv1, SNMPv2 või Telnetit, siis on hal-dusvõrgu loomine tingimata vajalik. Paljudel juhtudel ei pöörata sellele tähelepanuning seetõttu satutakse teatud asjaoludel hiljem haldusvõrgu loomisel raskustes-se, sest vajalikke ühenduskohti ei ole.

Puudulik või puuduv teave ja dokumentatsioonVahel ei ole planeerimisetapis vajalik teave kättesaadav, sest pakkuja ei ole

dokumentatsiooni esitanud või ei võeta dokumente arvesse. Puuduliku dokumen-tatsiooni tõttu tehtud väärotsuseid on tihtipeale äärmiselt raske korrigeerida, kuinäiteks hiljem selgub, et seade ei toeta teatud funktsioone kas üldse või ei toetaneid piisavalt.

147 / 781

G 2.99 zSeriesi süsteemikeskkonna halb või väär konfigureerimine

zSeriesi arhitektuuri ressursid võimaldavad käitada ühes füüsilises arvutis mituttootmis- ja katsetamissüsteemi. Sellest tuleneb suur ohupotentsiaal, sest zSeriesisüsteemikeskkondade väär piiramine lubab teatud tingimustel soovimatut juurde-pääsu võõrastele ressurssidele.

Shared DASD (Direct Access Storage Device)

• LPAR-is on võimalik z/OS-operatsioonisüsteemi kettaid konfigureerida nii,et neid saavad kasutada kõik arvuti z/OS-süsteemid (vastava alamkanaliaadressi konfigureerimisel protsessi Host Configuration Definition Prozessabil). Sellega on seotud oht, et andmete eraldamine LPAR-ide vahel ei oleenam tagatud.

• LPAR1 kettaid on võimalik online teisele LPAR2-le asetada. Siis on uue ket-ta andmed LPAR2 kasutuses ning neid saab vastavalt selle LPAR2 RACF-definitsioonidele töödelda. Kui LPAR2 RACF-definitsioonid on LPAR1 oma-dest nõrgemad, siis on teatud tingimustel võimalik andmeid volitamatult ma-nipuleerida või lugeda.

Katsetootmise asjatundmatu eraldamineTurbeprobleemid võivad tekkida ka katse- ja tootmiskeskkondade asjatundma-

tu eraldamise tõttu. Kui katsetamist ja tootmist käitatakse erinevatelt LPAR-idelt(veel parem erinevates zSeriesi süsteemides), siis on piiramine lihtsam. Katseta-mise ja tootmise käitamine on põhimõtteliselt võimalik ka samal LPAR-il (kindlastituleb siin võtta arvesse G 3.70 z/OS-i süsteemi failide ebapiisav turve ), kuid seljuhul on eraldamine märksa keerulisem. Kui keskkonnad ei ole üksteisest õigestieraldatud, siis on võimalik, et katseandmed satuvad tootmisse või tootmisandmedkatsetamisse. Mõlemal juhul on suur ohupotentsiaal.

Näide

• Välisteenusepakkuja käitas oma arvutikeskuses kahe autotööstuse konku-reeriva ettevõtte rakendusi ühes z/OS-süsteemis. Ebaturvalise konfigurat-siooni tõttu oli kliendil B võimalik kliendi A kettaid võrgus hõivata. Klient Bkasutas seda ära, et andmete väljanuhkimise abil kliendi A ees konkurentsi-eelist saavutada.

148 / 781

G 2.100 Interneti domeeninimede taotlemise või haldamise vead

Interneti domeeninimesid (tähistatakse sageli ka lihtsalt terminiga domains ) eisaa vabalt valida, vaid need tuleb registripidajate juures registreerida. Registreidhaldavad organisatsioonid saavad väljastada ühe või mitu nn tipptaseme domeeni(Top Level Domainsi) nime. Domeene ei osteta, vaid registreeritakse teatud ajaks.Tähtaja möödudes tuleb registreeringut tasu eest pikendada. Domeeninimede re-gistreerimisel ja registreeringu pikendamisel tehakse sageli vigu, mis võivad insti-tutsioonile tekitada ühelt poolt märkimisväärseid kulutusi ning teiselt poolt kahjus-tada ka tema mainet. Järgnevad mõned lühikesed veanäited.

Sarnaste domeeninimedega arvestamata jätmineSageli registreeritakse ainult üks ja „õige” domeeninimi, mida organisatsioon

soovib kasutada, nt firmanimi.ee. Samas jäetakse arvestamata, et internetikasu-tajad, kes näiteks firma või asutuse täpset domeeninime ei tea, proovivad kindlastika selliseid nimesid nagu firmanimi.com või firmanimi.eu.

Sageli on juhtunud, et sarnase domeeninime registreerivad endale petturid, keskasutavad seda ärilisel eesmärgil konkureerivate veebilehtede loomiseks. Selli-seid veebilehti on küll võimalik kohtu teel sulgeda, kuid sulgemisprotsess kestabenamasti üpris kaua ning selle aja jooksul võib märkimisväärselt kannatada orga-nisatsiooni maine.

Näide

• 2000. aastal pidi üks ülikool pöörduma kohtusse pornograafilist sisu pak-kuva veebilehe vastu, mille omanik oli oma domeeninime registreerimiselkasutanud ülikooli nime koos laiendiga .com .

• 2004. aastal õnnestus ühel noorukil registreerimise protseduurilist viga endakasuks ära kasutada nõnda, et lühikeseks ajaks registreeriti tema nimeleühe internetipõhise oksjoniportaali domeeninimi.

• Petturid võivad sarnaseid domeeninimesid ära kasutada selleks, et luua ori-ginaaliga äravahetamiseni sarnaseid veebilehti. Sellised andmepetturluseründed (õngitsusründed) luuakse eesmärgiga petta külastajatelt välja kasehtsa veebilehe pääsuandmeid või maksetehinguteks vajalikke krediitkaar-diandmeid. Varastatud andmetega luuakse juurdepääs õigetele serveritelevõi tehakse ohvri kulul sisseoste.

Kaubamärgiõiguste rikkumineDomeeninimede registreerimisel jäetakse sageli kontrollimata, kas väljavalitud

nimi võib tekitada konflikte seoses mõne teise institutsiooni registreeritud toote-nimega. Kaubamärgiõiguse rikkumise avastavad kaubamärgi omanikud enamastiväga kiiresti. Kaubamärkide omanikud ja hoiatamisele spetsialiseerunud advokaa-did analüüsivad regulaarselt uusi domeeninimesid, et avastada võimalikke kau-bamärgiõiguste rikkumisi, ning saadavad maksekohustusega hoiatusi. Lisaks onkaubamärgi omanikul õigus kohtulikul teel nõuda domeeninime tagastamist võikustutamist. Selle tagajärjel võivad tekkida märkimisväärsed kulutused ja kanna-tada organisatsiooni maine.

Vead domeeninimede pikendamisel ja registripidajate vahetamiselDomeeninime registreeringut tuleb regulaarselt pikendada, makstes registripi-

dajale haldustasu. Kui makse jäetakse õigel ajal tegemata, läheb õigus domee-ninimele kaduma ja teistel organisatsioonidel tekib võimalus see domeeninimi en-da nimele registreerida. Olukordades, kus domeeninimi ei ole seotud institutsiooni

149 / 781

spetsiifikaga, võib halvimal juhul ära kaduda igasugune võimalus endist domee-ninime tagasi saada. Sellisel moel orvuks jäänud domeeninime võivad oma nimeleregistreerida konkureerivad ettevõtted või organisatsioonid, kes hakkavad selleltaadressilt levitama kahtlast või koguni illegaalset sisu.

Kahjude tekkeni võivad viia ka juhud, kus petturitest registripidajad helistavadoma konkurentide klientidele ja väidavad, et registreerimistähtaega on ületatud janüüd on kätte jõudnud aeg seda tasu eest uuendada. Teenustasu maksmisegaannavad kliendid automaatselt oma nõusoleku registripidaja vahetamiseks.

Probleeme võib tekkida isegi siis, kui registripidaja vahetus on teadlik ja soo-vitud, nt paremate teenusetingimuste tõttu. Registripidaja vahetamise käigus ettetulevad vead võivad luua olukorra, kus vana registripidaja juures on registreeringjuba tühistatud, kuid uue registripidaja juures on domeeninimi veel registreerima-ta, ning selle aja jooksul on põhimõtteliselt igaühel võimalik domeen oma nimeleregistreerida. Domeeninime tagasisaamine võib tähendada suurt aja- ja rahakuluning see võib ka ebaõnnestuda.

150 / 781

G 2.101 Turvalüüsi ebapiisav hädaolukorra ennetamise plaan

Puudulik ettevalmistus turvalüüsi käitamisel ettetulevateks hädaolukordadeks võibprobleeme märgatavalt süvendada ja pikendada seisakuaegu.

Peale üldiste vigade, mis seonduvad pigem hädaolukordade puuduliku enneta-misega, tehakse turvalüüside puhul vahel ka küllaltki spetsiifilisi vigu, mille taga-järjel võib sündmustele reageerimine muutuda kas väga raskeks või koguni või-matuks. Järgnevad mõned veanäited.

• Kui hädaolukordade likvideerimist ei ole planeeritud ega ole välja töötatudkonkreetseid tegutsemisjuhiseid, on tõenäoline, et hädaolukorrale ei ole või-malik efektiivselt reageerida. Keerulistes, mitmetasandilistes turvalüüsidesvõib lisaprobleeme tekitada olukord, kus erinevate komponentide sõltuvus-seosed pole teada, kui need on jäetud dokumenteerimata või kui nendegaei ole süsteemi planeerimisel piisavalt arvestatud.

• Kui oluliste riistvarakomponentide jaoks ei ole saada asendatavaid sead-meosasid või asendusseadmeid ning kui tootja või tarnijaga pole sõlmitudasjakohaseid kokkuleppeid (nt teenindusleppeid või leppeid seadmete kiireväljavahetamise kohta kindlaksmääratud aja piires), võivad tagajärjeks ollapikad seisakuajad ja suured kulud.

• Kui konfiguratsioon ja tööks olulised parameetrid ei ole kas üldse dokumen-teeritud või on dokumenteeritud ebapiisavalt, võib toimiva konfiguratsioonitaastamine pärast hädaolukorda osutuda väga raskeks. Halb dokumentat-sioon võib viia ka selleni, et konfiguratsioonivead jäävad esialgu avastama-ta, ning kui tekivad probleemid, siis kulub vigade ülesleidmisele väga paljuaega.

• Hädaolukorra likvideerimine võib tunduvalt venida, kui puuduvad veadiag-nostikaks vajalikud vahendid ja kui administraatorid ei oska vahendeid õi-gesti kasutada.

• Kui logimisprotsessiga ei koguta piisaval hulgal olulisi andmeid, võib seeraskendada olukorra liigitamist ja selle tõsiduse hindamist või selle kogunivõimatuks teha.

• Süsteemi taastamisel pärast hädaolukorda võib tekkida vajadus paigaldadamõni vanem konfiguratsioon. Olukorras, kus konfiguratsiooniandmeid (eri-ti andmepakettide filtreerimise reegleid) ei ole hallatud versioonide kaupa,muutub see kas väga raskeks või võimatuks.

151 / 781

G 2.102 Inimeste infoturbeteadlikkuse ebapiisav suurendamine

Et info jõuaks õigete adressaatideni, tuleb töötajate infoturbeteadlikkuse suuren-damisel lähtuda institutsiooni tööprotsessidest ja IT-keskkonnast. See võib tähen-dada, et tuleb tegeleda paljude teemadega. Selleks tuleb hoolikalt planeerida as-jakohane koolitustegevus ja hoolitseda selle eest, et see ka läbi viidaks. Koge-mused on näidanud, et see, kui teadlikkuse suurendamise meetmed ainult väljakuulutatakse või kohustuslikuks tehakse, ei vii reaalsete tulemusteni.

Teadlikkuse suurendamise järjepidevust segavad tihti järgmised asjaolud:

• Kui juhtkond selle protsessi toimimist kõikvõimalikel tasanditel ei toeta,võivad tekkida erinevad konfliktiolukorrad.

• Erinevate valdkondade töötajad ei saa infoturvet käsitlevate koolituste jaokstöölt vabaks.

• Kuna ülemused ei mõista, et infoturve on nende organisatsiooni eduka toi-mimise üks eeldusi, ei pea nad koolitusi oluliseks või peavad neid kogunitähtsusetuks ning seetõttu jätavad nad oma käitumisega ka oma alluvatelemulje, et see on valdkond, millesse ei ole tarvis tõsiselt suhtuda.

• Teadlikkuse suurendamise meetmete planeerimine jääb puudulikuks.• Teadlikkuse suurendamise programmi eesmärk jääb defineerimata või defi-

neeritakse ebaselgelt.• Koolituse tõhusust ei kontrollita. Kui juhtkond ei saa teadlikkuse suurenda-

mise meetmete kohta üldist tagasisidet või mitte mingit tagasisidet, siis kaobkiiresti ka juhtkonna huvi selle valdkonna vastu ja valdkond liigitatakse vä-hem prioriteetsete tegevuste hulka.

• Infoturbeteadlikkuse suurendamisega tegeletakse väga harva. Olukorras,kus need meetmed ei ole teiste turbemeetmetega piisavalt seotud, võib tek-kida rohkem kahju kui kasu. Näiteks võib see töötajaid segadusse ajada võivähendada nende motivatsiooni.

• Infoturvet puudutavatele kampaaniatele eraldatakse liiga vähe raha või inim-ressurssi. Sageli soetatakse küll kallid seadmed või töötatakse suure vaeva-ga välja asjakohased turbekontseptsioonid, kuid töötajad, kes peaksid hak-kama neid kasutama ja rakendama, jäetakse koolitamata. Nii võivad ka hästiläbimõeldud turbelahendused osutuda mõttetuks.

152 / 781

G 2.103 Töötajate ebapiisav koolitamine

Paljusid mis tahes IT-süsteemide kasutajaid ei koolitata enne süsteemidega tööleasumist piisavalt. Kahjuks kehtib see sageli ka nende töötajate kohta, kes tegele-vad süsteemide haldamise ja kasutajate nõustamisega. Tihti soetatakse küll kallidsüsteemid ja rakendused, kuid IT-seadmete kasutajate koolituse jaoks jäetakseraha kas üldse eraldamata või eraldatakse seda liiga vähe.

Teadmatusest tingitud väärkasutus, väärkonfiguratsioonid ja valed töövahendidvõivad viia väga suurte turbeprobleemideni. Sageli jätavad kasutajad uued, äsjajuurutatud turbemeetmed võtmata seepärast, et nad ei tea, kuidas neid kasutada,ning nende iseseisev tundmaõppimine tundub liiga ajamahukas ja segab töötajaigapäevast tööd. Seega tuleb arvestada, et turbetarkvara toimimiseks ei piisa, kuisee ainult soetatakse ja installeeritakse.

Näited:

• Andmesisestuse käigus ilmus töötaja arvutiekraanile talle seni tundmatuveateade. Kuna töötaja eelnev kogemus näitas, et klõpsamisega valikul „ok”ei kaasne midagi halba, otsustas ta ka nüüd sama valiku kasuks. Sel kor-ral lülitas aga süsteem ennast hoopis välja ja kõik andmed, mis töötaja olijõudnud enne seda valikut sisestada, läksid kaduma.

• Soetati tulemüürisüsteem. Ühe teise IT-süsteemi administraatorit patsuta-ti õlale ja ta määrati tulemüürisüsteemi administraatoriks. Kuna administ-raatorit peeti eksperdiks ja kõik rahalised vahendid olid kulunud süsteemisoetamisele, juhtus nii, et talle ei tutvustatud ei süsteemi platvormi ega karakendatava tulemüüri tüüpi. Organisatsioonivälisest koolitusest keelduti jajuurde ei ostetud ka käsiraamatuid. Kaks kuud pärast tulemüürisüsteemi ka-sutuselevõttu selgus, et tulemüüri väärkonfiguratsiooni tõttu on sisevõrgusüsteemid internetist vabalt ligipääsetavad.

• Ettevõttes valmistuti üleminekuks vanalt operatsioonisüsteemilt uuele. Vas-tutav töötaja tundis küll väga hästi vana, st seni kasutatud operatsioonisüs-teemi, kuid uued süsteemid, mille kasutuselevõttu alles arutati, olid talle võõ-rad ja ühtki asjakohast koolitust polnud ta saanud. Seetõttu osales ta ühetootja mõningatel tasuta koolitustel, misjärel oli ta veendunud, et eelistadatuleks just selle firma tooteid. Tagajärjeks oli see, et kasutusele võeti ebaso-biv toode, millele kulutati väga suur summa.

• Interneti turvalisemaks kasutamiseks ajal, mil töötajad viibivad töölähetusel,installeeriti sülearvutitesse tulemüürid (personaalsed tulemüürid). Töötajaidei õpetatud, kuidas tulemüüre kasutada ja nende seadistamisel ei arvesta-tud töötajate vajadustega. Selle tagajärjel lülitasid paljud töötajad tulemüürilihtsalt välja, sest nii said nad oma tööks vajalikke internetilehekülgi edasikasutada. Juba mõne nädala möödudes seisti silmitsi probleemiga, et pal-jud sülearvutid on nakatunud kahjurvaraga. Lisaks andmekaole tekkis kamärkimisväärne mainekahju, sest kahjurvara jõudis meilidega ka ettevõtteklientideni.

• Ettevõttes peeti süsteemiülemat spetsialistiks krüptograafia alal, kuid tegeli-kult ta krüptograafiaga aktiivselt ei tegelnud, mistõttu tema teadmised ae-gusid. Ettevõte ei eraldanud piisavalt ressursse süsteemiülema regulaar-seks koolitamiseks ja info vananevatest krüptograafilistest algoritmidest eijõudnud seetõttu ettevõttesse. Tulemusena ei reageerinud ettevõte piisavaltkiiresti krüptograafiliste algoritmide nõrgenemisele ja ettevõtte infosüsteem

153 / 781

muutus ebaturvaliseks. Seetõttu lekkisid tundlikud isikuandmed ja ettevõtepidi tasuma märkimisväärse trahvi.

154 / 781

G 2.104 Oma ja võõra IT-süsteemi ühildumatus

Kuna kaasaskantavate IT-süsteemide hulk aina suureneb, siis esineb üha sage-damini probleem, et IT-süsteeme ei ole võimalik kasutada nii, nagu soovitakse,sest süsteemid ei ühildu. Olukord, kus IT-seadmed on spetsiaalselt kaasa võetud,kuid kohapeal selgub, et tööd ei saa teha, tekitab ootamatu ajakao või halvemaljuhul tuleb kulutada hulk aega alternatiivi leidmiseks töö tegemiseks. Lisaks onoht, et püüd IT-süsteeme ühendada võib kahjustada nii seadmeid kui ka neissesalvestatud andmeid.

Näited

• Kliendiga kohtumiseks on kõik olulised andmed ette valmistatud ja need onsalvestatud sülearvutisse. Kliendi juures selgub, et sülearvutit ei õnnestusealsete IT-süsteemidega ühendada. Kuna süsteemide liidesed on erinevad,ei saa ka andmeid sülearvutist mitte ühtegi kliendi IT-süsteemi ümber laadi-da. Kohtumise ettevalmistamiseks kulunud aeg ja vaev on jooksnud tühja.

• Kahe IT-süsteemi ühendamisel ilmub veateade, mis viitab sellele, et prob-leem on draiveris. Uskudes ühe kolleegi soovitusi, püütakse probleemi la-hendada sellega, et ühte IT-süsteemi installitakse uus draiver. Selle tagajär-jel pole seda süsteemi enam võimalik käivitada.

155 / 781

G 2.105 Õigusaktide ja lepinguliste kokkulepete rikkumine

Kui asutuse teave, äriprotsessid ja IT-süsteemid ei ole piisavalt turvatud (ntpuudulik infoturbehaldus), võib see põhjustada infoturbealaste õigusaktide võiäripartneritega sõlmitud lepingute rikkumist. See, milliseid seadusi tuleb järgida,sõltub asutuse liigist või selle äriprotsessidest ja teenustest. Olenevalt asutuseasukohast võidakse järgida ka erinevaid riigisiseseid ja rahvusvahelisi eeskirju.

Kui asutusel ei ole piisavalt teadmisi rahvusvahelistest juriidilistest nõuetest (ntandmekaitse, teavitamiskohustus, pankrotiõigus, vastutus või kolmandate isikutejuurdepääs teabele), suurendab see vastavate rikkumiste esinemise riski. Seepõhjustab õiguslikke tagajärgi.

Alljärgnevad näited selgitavad võimalikke ilminguid:

• Isikuandmete kasutamine on Eestis reguleeritud paljude eeskirjadega. Siiahulka kuuluvad Eesti isikuandmete kaitse seadus (IKS) jpt, aga ka mit-med tegevusvaldkondade eeskirjad. Kui kahe äriüksuse vahelises suhtlusesedastatakse isikuandmeid (nt patsientide konfidentsiaalseid andmeid) avali-ke võrkude kaudu ilma kaitseta, võivad sellega teatud tingimustel kaasnedaõiguslikud tagajärjed.

• Ettevõtte juhtkond on kohustatud olema kõikide äriprotsesside teostamiselpiisavalt hoolikas. Siia alla kuulub ka tunnustatud turbemeetmete järgimine.

• Raamatupidamiskannetega seotud andmete nõuetekohane käitlemine onreguleeritud erinevate õigusaktidega. Teabe nõuetekohane käitlemine hõl-mab loomulikult ka selle turvalist käitlemist. Mõlemat tuleb regulaarselt kont-rollida, näiteks audiitorite kaudu majandusaasta aruande kontrollimisel. Kuiseejuures tehakse kindlaks tõsised turvapuudujäägid, ei saa koostada posi-tiivset kontrolliaruannet.

• Paljudes valdkondades (nt autotööstus) on tavaline, et tootja kohustab omatarnijaid kinni pidama teatud kvaliteedi- ja turvastandarditest. Sellega seo-ses esitatakse ka teabeturbele järjest enam nõudeid. Kui lepingupool rikublepinguga sätestatud turbenõudeid, võib see kaasa tuua lepingutrahvid, agaka lepingu lõpetamise ja ärisuhete kaotuse.

Ainult vähesed turbenõuded tulenevad otseselt seadustest. Seadusandlus läh-tub saavutatava turvataseme puhul tavaliselt siiski tehnikatasemest kui üldisesthindamise alusest. Kui asutuse turvanõuded ei ole tasakaalus kaitstavate väär-tuste ja tehnikatasemega, võivad sellel olla tõsised tagajärjed.

156 / 781

G 2.106 Turbeintsidentidest tingitud häiringud tööprotsessides

Turbeintsidente võib põhjustada mõni üksik sündmus või ka erinevate sündmusteõnnetu kokkusattumus ning selle tagajärjel saab kannatada IT-süsteemide konfi-dentsiaalsus, terviklus või käideldavus. Selline olukord võib hakata väga kiirestipärssima kogu institutsiooni kõiki tööprotsesse. Turbeintsidendid võivad tugevalthäirida koostööd äripartnerite ja klientidega isegi siis, kui avalikkus nendest mittemidagi teada ei saa. Kõige raskemad ja kõige negatiivsemate tagajärgedegaturbeintsidendid ei teki sageli sugugi mitte suurtest turvaaukudest. Paljudeljuhtudel saab üüratu kahju alguse hoopis väikeste asjaolude kokkulangemisest.

Näited:

• Arvutiprobleemi tõttu juhtus, et kahe tunni jooksul ei saanud USA kõikideslennujaamades kahe lennufirma lennukid õhku tõusta. Põhjusena toodi väljarike andmebaasis, mis haldas jooksvalt väljuvate lendude infot. Selle taga-järjel venis mitmesaja lennu algus, tekkisid viivitused ümberistumisel ningmitu tuhat reisijat ei saanud õigel ajal liikuma.

• Kui kasutajate andmesisestuste õigsust ei kontrollita, võivad ka väiksed nä-puvead viia raskete tagajärgedeni. Näiteks langes Londoni börsi FTSE in-deks järsult 200 punkti võrra, kui börsimaakler oli sisestanud kõigest ühenulli rohkem kui tarvis.

• Ühel hotelliketil jäi üks null andmebaasi lisamata ja juhtus nii, et Vaikseookeani rannikul asunud hotellide luksusnumbritubasid reklaamiti hinnaga,mis moodustas ainult ühe kümnendiku nende õigest hinnast.

• Suurettevõttes paigaldati tarkvaravärskendus, mis viis ettevõtte sisevõrgu16 tunniks rivist välja. Katkes 5000 töötaja töö ja ettevõttel jäi vastamata1700 kliendipäringule. Kokkulepitud tähtaegadest ei suudetud kinni pidada.Haldusosakonna niigi ülekoormatud töögraafikusse lisandus 6000 kliendi-toepäringut.

157 / 781

G 2.107 Puudulikust infoturbehaldusest tingitud ressurssideebaökonoomne kasutamine

Infoturve on kõikide institutsiooni tööprotsesside tõrkevaba toimimise eeldus. Sa-mas on see valdkond ka väga lai, mistõttu on täieliku infoturbe saavutamine prak-tikas peaaegu võimatu. Seega on ülitähtis, et infoturbeosakond seaks õiged priori-teedid ja investeeriks sellistesse valdkondadesse, millest on organisatsioonile kõi-ge rohkem kasu. Selliseid otsuseid saab langetada ainult siis, kui on olemas tervetinstitutsiooni hõlmav infoturbehaldus.

Infoturbehalduse ülesanne on määrata kindlaks institutsiooni reaalsed tur-bevajadused ja selgitada välja, millised on tagajärjed, kui neid turbevajadusi eiarvestata.

Kogutud info põhjal tuleb otsustada:

• kas kaitsemeetmetesse investeeritakse;• kas tööülesannete ümberkorraldamise või väljasttellimisega on võimalik viia

turbetööde maht vastuvõetava tasemeni;• kas riskidega lepitakse.

Need otsused on infoturbe jaoks määrava tähtsusega ning need tuleb kindlastidokumenteerida. Puuduv või ebapiisav turbehaldus võib viia järgmiste vigadeni:

• Sageli investeeritakse kallitesse turbelahendustesse, kuid hädavajalikudtöökorralduslikud meetmed jäetakse välja töötamata. Kui töötajate vastu-tus ja pädevus on reguleerimata, võivad ka kallid investeeringud lõppedasiiski raskete turbeintsidentidega. Näide: Ettevõttele soetati kallis tulemüür,kuid administraatoreid ei koolitatud piisavalt ja vastutusalad jäeti kindlaksmääramata. Selle tagajärjel ei olnud tulemüüri konfiguratsioon turvaline egavastanud ettevõtte vajadustele. Tekkis ridamisi turbeintsidente, sest admi-nistraatorid lülitasid ikka ja jälle sisse erinevaid teenuseid ning paljud turbe-funktsioonid jäid kasutamata.

• Sageli investeeritakse institutsioonides infoturbesse valdkondades, kus onvajalikud vahendid niigi olemas ja mille vastutavad töötajad on infoturbestväga teadlikud. Seevastu teistesse valdkondadesse, mis on tööülesannetetäitmiseks või ärieesmärkide saavutamiseks võib-olla isegi tähtsamad, in-vesteeritakse vähem, sest vahendeid napib või vastutavatel töötajatel puu-dub selle vastu huvi. Näide: raamatupidamisosakonnas kasutatava raken-duse käideldavuse suurendamiseks soetati kallis klastrisüsteem. Seevastuklienditeeninduse tööks hädavajalikud rakendused töötasid rahaliste vahen-dite nappuse tõttu edasi vanas serveris, mis võis iga hetk rikki minna.

• Klienditeeninduse rakenduste käideldavus oli ettevõtte jaoks ülitähtis, kuidkuna vahendite jagamisel ei olnud mitte keegi prioriteete kindlaks määra-nud, jäi see asjaolu kahe silma vahele. Näide: osakonna käsutusse antiuus turbelahendus. Seevastu elektritoite lahendusena kasutati edasi vanaja kaua aega kasutuseta seisnud puhvertoiteallikat (UPS). Seetõttu jäid ter-viksüsteemi alles märkimisväärsed turvaaugud.

158 / 781

• Kui turbe alustalade tõhusust suurendatakse ebaühtlaselt, võib tagajärjeksolla turbe vähenemine. Näide: ettevõte kasutab esmaklassilist krüpteeri-mismehhanismi, kuid selle tagajärjel muutub arvete koostamine väga ae-ganõudvaks. Valikut tehes jäeti arvestamata, et süsteemide puhul on nendekäideldavuse tagamine vähemalt sama tähtis kui nende konfidentsiaalsuseeest hoolitsemine.

• IT-toodete ebaühtlane ja kooskõlastamata kasutamine võib viia selleni, etsee nõuab väga palju raha ja personali. Näide: suures ettevõttes tegelevadinfoturbega mitu osakonda üksteisest eraldi. Selgus, et kaks osakonda olidostnud viirusetõrjetarkvara firmalitsentsi. Lisaks tuvastati, et ettevõttes onsamaks otstarbeks kasutusel mitu erinevat krüpteerimistoodet. Tagajärjenatekkisid probleemid haldamisel ja suurenenud vastuvõtlikkus vigadele.

159 / 781

G 2.108 SAP süsteemi ebapiisav või puuduv planeerimine

Ebapiisavalt planeeritud SAP süsteemi kasutamine võib põhjustada mitmeid prob-leeme. Muu hulgas tekivad alati ka turbeprobleemid. Järgnevalt on kirjeldatud ai-nult mõningaid probleeme, mis näitavad, et SAP süsteemi tuleb enne kasutamisthoolikalt planeerida.

• Keskmise suurusega ettevõttes taheti hakata kasutama SAP süsteemi. Süs-teem otsustati installida ühte arvutisse (single-host -installatsioon). Aja kok-kuhoidmiseks jäeti ära ressursside planeerimine. Kulude kokkuhoidmisekssoetati sooduskampaanias reklaamitud arvuti. Pärast installimist selgus, etarvutil on liiga vähe põhimälu ja riistvarapiirangud ei lase seda ka enamlisada. Tööprotsessis tekkisid viivitused ja ettevõte pidi leppima märkimis-väärsete lisakuludega, sest soetada tuli siiski uus ja sobiv riistvara.

• Haldamiskontseptsiooni alla kuuluvate tööülesannete ebapiisava planeeri-mise tõttu pääseb administraator ligi kõikidele R/3 süsteemi HR-andmetele.

• Muudatuste haldusega seotud vastutusalad ja haldamiseks vajalikud protse-duurid ning SAP süsteemi hädaolukorraks valmisoleku kontseptsioon jäetiplaneerimata. Seega on arendajatel tootmissüsteemile täielik juurdepääs,sest juurdepääs on „kiirparanduste jaoks ilmtingimata vajalik”. See võimal-dab muu hulgas juurdepääsu kõikide ettevõtte klientide konto- ja krediitkaar-diandmetele.

• Need inimesed, kellel on tootvatele SAP süsteemidele arendaja-tüüpi juur-depääs (neid antakse volitusobjektiga S_DEVELOP), saavad SAP süsteemiturbemehhanismidest mööda minna ning funktsioonidele ja andmetele voli-tamatult ligi pääseda.

• SAP süsteemi tehingute volitamata käivitamisel võivad olla kaugeleulatuvadtagajärjed. Tavaliselt on sellisel juhul võimalik kasutajal ligi pääseda funkt-sioonidele ja andmetele, millele ta ligi pääseda ei tohiks. Kui see puudutabhaldamisega seotud tehinguid, võib see süsteemi turbe täielikult hävitada.

• Kui ründaja pääseb ligi SAP süsteemi operatsioonisüsteemile, saab ta muu-ta SAP süsteemi konfiguratsiooni. Näiteks pääseb ta ligi profiili parameet-ritele, mis võimaldab tal muu hulgas ka juurdepääsupiiranguid vähendada(muuta konto sulgemise seadistusi). Sellisel juhul on võimalik ligi pääsedaJava pinu konfiguratsiooniandmetele ja neid muuta. See võib turvet tugevastivähendada. Kui ohvriks langeb arvuti, milles töötab SAP süsteemi andme-baas, saab andmebaasi sisu kätte väga lihtsalt, kõigest faili kopeerimisega.Seeläbi muutuvad SAP süsteemi turbemehhanismid kasutuks.

• Tüüpinstallatsioonid pole tavaliselt seadistatud selliseks, et need vastaksidkohe tööprotsesside turbenõuetele. Kui komponente käitatakse siiski tüüp-konfiguratsiooniga, siis on suur oht, et süsteemi ja andmete turve pole ta-gatud. Ründevõimalused võivad tekkida erinevate konfigureerimata liides-te kaudu ning ulatuvad volitamata juurdepääsust funktsioonidele ja failidelekuni operatsioonisüsteemi manipuleerimiseni SAP süsteemi jaoks hangitudvolitustega.

• Kui ABAP pinu oluliste kasutajate nagu SAP* või DDIC või Java pinu olulistekasutajate nagu Administrator või System (avalikke) tüüpparoole ei muude-ta, võivad ründajad seda ära kasutada. Ründaja pääseb sel viisil ligi kõigileSAP süsteemi andmetele ja saab kasutada haldamisfunktsioone.

160 / 781

• Kui SAP süsteemi kasutusest kõrvaldamisel ei võta asendussüsteem üleselle identiteeti (IP, SID), siis on tegu ebatäieliku kasutusest kõrvaldamise-ga, mis võib viia selleni, et ründajad seavad üles oma SAP süsteemi, misvõtab üle ebatäielikult kasutusest kõrvaldatud süsteemi identiteedi. Ründavsüsteem võtab sellisel juhul vastu teiste SAP süsteemide pöördusi, mis lae-kuvad olemasolevatest sihtpunktidest. Seeläbi on võimalik selles süsteemisandmeid vaadata ja neid ka sinna salvestada. Andmed sisaldavad ka sis-selogimiseks vajalikku autentimisinfot. Sageli kasutatakse mitme süsteemitehnilisi kasutajaid ühte moodi, mistõttu on võimalik ligi pääseda ka teistelesüsteemidele.

• Kui SAP süsteemi jaoks on aktiveeritud HTTP-põhine RFC-SOAP-liides(ABAP pinu ICF-teenus või JAVA pinu SOAP-teenus), siis saavad kasutajadHTTP-liidese kaudu avada RFC toega mooduleid. Kasutusolukordades, kusSAP süsteemile pääsetakse ligi brauseri kaudu, seda tavaliselt ei soovita.Siiski on sellisel juhul RFC pöördused jätkuvalt võimalikud, mis tähendab, etolenevalt volituste seadistusest saab andmetele ka volitusteta juurde pää-seda.

• Kui süsteemi olulisi sündmusi ei logita või kui logisid ei analüüsita, ei saaka ründeid ega turberikkumisi tuvastada. Rünnetele ei saa reageerida janeid ei saa ka uurida. See annab võimaluse andmetele või funktsioonidelemärkamatult ligi pääseda.

161 / 781

G 2.109 Salvestisüsteemi ebapiisav või puuduv planeerimine

Salvestisüsteemide ja -võrkude valimine ja käitamine eeldab hoolikat planee-rimist, installimist ja konfigureerimist, et tagada nende võimalikult tõrkevabakasutamine. Järgnevalt kirjeldatakse mõningaid puuduliku planeerimisega seotudohte.

Institutsiooni nõuded, mis puudutavad kasutatavate salvestisüsteemide vajalik-ku salvestiruumi, piisavat jõudlust ja käideldavust, kasvavad pidevalt. Kasutata-va salvestisüsteemi ebapiisava dimensioneerimise korral ei suudeta alati toimidanende kasvavate nõudmiste kohaselt.Näide: vastavalt rakendusnõudele on olemasolev sisendi/väljundi jõudlus ketastelterviksüsteemi jaoks piirav tegur.

Ebapiisava dimensioneerimise põhjused salvestisüsteemide planeerimisel seis-nevad tavaliselt puudulikus hetkeanalüüsis. Ka puuduv või ebapiisav suundumus-analüüs või prognoos tuleviku arengute osas oma IT-koosluse sees toob teatudtingimustel kaasa valesti dimensioneeritud salvestisüsteemid.

• Virtuaalsetes salvestuskeskkondades pakub nn Thin Provisioning võimalustkasutada salvestusmahu tagamiseks säästlikku meetodit. Thin Provisioningkasutab ära asjaolu, et moodsad salvestisüsteemid võimaldavad kasutadavirtuaalseid kõvakettaid, mille maht paistab väljapoole suurem, kui see füü-siliselt on. Kui serveri füüsiliselt kasutatav maht ületab teatud piirväärtuse,saab klient olemasolevast salvestimahutist täiendavalt vaba mahtu juurde.Kui piirväärtus on ebapiisava planeerimise tulemusel liiga madal või ületa-takse see paljude kasutajate tõttu lühikese ajavahemiku jooksul, võib seekaasa tuua kasutada olevate salvestusmahtude ülekoormamise.

• Valesti valitud SAN-lahendus võib salvestisüsteemi puuduliku või ebapii-sava planeerimise tagajärjel kujutada asutusele ohtu. Puuduvad SAN-pordid, halb ribalaius liiga kõrge sumbumise tõttu, puuduvad Inter-Switch-Link-ühendused (ISL-ühendused), samuti ebapiisav koormuse jaotus SAN-lülititel võivad takistada sujuvat tööd ning tuua kaasa näiteks lepingulistekokkulepete kahjustamise ning koos sellega majanduslikku kahju.

• Kõrge käideldavusega salvestisüsteemi ülesehitamise ja kasutamise vaja-duse korral peaks põhitähelepanu olema suunatud hoolikale ja põhjaliku-le planeerimisele. Esmane eesmärk on ootamatute veaallikate (nn SinglePoints of Failure, SPOF) vältimine, see tähendab iseenesest liiaselt projek-teeritud infrastruktuuri sõltuvuse vältimine üksikute komponentide funktsioo-nist.

• Nõuded nende jõudluse rakendamiseks ja koostalitlusvõime nõuded, mispuudutavad olemasolevat riist- ja tarkvara, võivad sundida konkreetsete too-dete kasutamisele. Kui neid aspekte planeerimisel õigeaegselt ei arvestata,võib see kaasa tuua kallid ja ebatõhusad parandused teostamise ajal, viivi-tused kasutamisel või märkimisväärsed tõrked töös.

162 / 781

• Valitud salvestisüsteemi puuduv simultaanteenindus võib teatud tingimus-tel kujutada endast asutuse jaoks samuti ohtu. Paljudes asutustes on in-fotehnoloogia osakond tänapäeval teenusepakkuja ja annab (sisemistele)klientidele salvestiruumi. Sellega seoses tekib ka vajadus nende (sisemis-te) klientide salvestatavate andmete erinevate kaitsevajadustega arvesta-miseks, näiteks üksikute ettevõtlusvaldkondade jaoks.

• Puuduv või puudulik turbekontseptsioon ning puuduvad või puudulikud do-kumendid võivad samuti olla ebapiisava planeerimise tagajärg.

163 / 781

G 2.110 Andmebaasi versiooniuuenduste ja üleviimise puudulikorganiseerimine

Kõik enne ja pärast andmebaasi haldussüsteemi (DBMS) versiooni vahetamist võiandmebaasi üleviimist tehtavad toimingud tuleb kirja panna üleviimise ja versioonikontseptsiooni. Selle puudumine võib tugevalt häirida vajalike ülesannete täitmist,nt kui andmebaasi üleviimisel või DBMS-i värskendamisel esineb probleeme ningkui DBMS-i või mõnda andmebaasi ei saa ühtäkki enam kasutada.

Kui füüsilise ja semantilise andmebaasi üleviimise juures ei looda turvalisi taas-tepunkte, võivad nii kasutaja kui ka rakendus sattuda olukorda, kus andmebaasivõi DBMS-i ei saa enam kasutada.

DBMS-i versiooni vahetamisel DBMS-i salvestatud andmebaasid ei muutu. Tur-beprobleemid on antud juhul rohkem seotud andmebaaside ja uue DBMS-i vahe-lise koostööga, mitte andmebaasiga.

Näited

• Andmebaasi värskendus muudab ära tüüpide algdefinitsioonid.• DBSM-i standardsete kasutajagruppide pääsuõigused on muutunud ja see

mõjutab ka nendest tuletatud kasutajagruppide õigusi.

Andmebaasi üleviimisel kantakse andmed ühest andmebaasist teise andme-baasi. Seejuures saab andmeid konverteerida teist liiki andmeteks ja üle kandaisegi täiesti teistsuguse DBMS-iga töötava andmebaasi struktuuridesse. Siinko-hal tuleb arvestada sellega, et andmebaasid võivad andmete ühtsuse tagamisekskasutada erinevaid sõltuvussuhteid (nt trigger, constraints). Selliste sõltuvussuhe-tega määratakse kindlaks andmete järjestused ja sõltuvusseosed, millega tulebandmete üleviimisel arvestada ja mis tuleb originaali järgi taasluua. Kõikide vajali-ke tingimuste analüüsimine ja taasloomine võib olla väga aeganõudev ja mahukastöö. Seega on oht teha vigu, mis ohustavad üleviimisjärgset andmete terviklust jafunktsionaalsust.

Näited

• Andmebaasi üleviimisel Microsofti Accessist Microsofti SQL-Serverisse, tu-leb Accessi AutoValue-tüüpi tulpasid vaadelda eraldi, sest see tüüp on eri-nevates DBMS-ides erinev.

• Üleviidavas andmebaasis on kaks tabelit: TÖÖTAJAD ja FIRMA. Tagamaks,et uusi töötajaid saab siduda ainult olemasolevate firmadega, määrataksetabelile TÖÖTAJAD asjakohane UPDATE/INSERT- trigger , mis kontrollibenne seda, kui tabelisse TÖÖTAJAD tehakse kas uued sissekanded ja/võimuudatused, kas tabelis FIRMA on olemas sellega kokkulangev sissekan-ne.

Kui tabelis FIRMA seda sissekannet ei ole, katkestatakse UPDATE- või INSERT-käsutäitmine. Andmebaasi üleviimisel tuleb arvestada üleviidavas andmebaasiskasutatavat järjekorda (lihtsustatult väljendades: „enne firma ja alles siis töötaja”).Kui üleviimisel kantakse tabel TÖÖTAJAD üle enne tabelit FIRMA, siis keeldutakselisamisest, sest tabelis FIRMA pole veel vastavaid sissekandeid.

164 / 781

G 2.111 Pääsuõiguste kuritarvitamine teenusepakkuja vahetumisel

Teenusepakkuja vahetamisel tuleb tavaliselt muuta mitmeid sisselogimisandmeid.Selleks tuleb edastada erinevaid vanu ja uusi sisselogimisandmeid. Kui and-meedastus ei ole turvaline, siis on oht, et sisselogimisandmed ja seega ka koguIT-keskkonna terviklus saavad kannatada.

Teenusepakkuja sisselogimiskontod on tavaliselt terve IT-kogumi suhtes küllalt-ki laialdaste volitustega. Tavaliselt ei tohiks ühtki salasõna teada mitte keegi pealekasutaja, kellele see kuulub. Ka vanad salasõnad on konfidentsiaalne info. Prak-tikas juhtub sageli, et uuele teenusepakkujale edastatakse kehtiv tsentraalne sa-lasõna. Selle aja sees, mis kulub uuel teenusepakkujal kõikidele konsoolidele jarakendustele uue salasõna määramiseks, võib volitusteta kolmas osapool vanasalasõna kuritarvitada. Olenevalt süsteemi konfiguratsioonist (nt teenusekontod,sertifitseerimisteenused) ja organisatsiooni eripärast võib juhtuda, et salasõnu po-le võimalik kiiresti muuta, sest see on väga töömahukas.

Teenuse tellija ei saa sageli ise väliste teenusepakkujate kasutajakontosid tur-valiselt hallata ja peab selle ülesande edasi suunama mõnele uuele teenusepak-kujale. Võib esineda kasutajakontode ühiskasutust (Account Sharing) või G 3.16Väär pääsuõiguste haldus ja G 3.43 Puudulik paroolihooldus kirjeldatud ohte.

Osalt puuduvad tellijal endal teadmised administratiivsete õigustega sisselogi-miskontode kohta või siis saab ta infot ainult seetõttu, et teenusepakkuja edastabtalle kehtiva salasõna (Account Sharing). Mõlemal juhul on otsustus- ja tegutse-misõigus teenusepakkujal. Tellijal pole enam ainult talle teadaolevaid pääsuand-meid, millega viia ellu strateegilisi otsuseid. Sellisel juhul on väljasttellimise määrväga kõrge. Kui väljasttellimise reeglid ja turbemeetmed ei vasta turbenõuetelening need pole üheselt mõistetavalt teenindusleppes (Service Level Agreements,SLA) kirjas, ohustab see suurel määral süsteemi turvet.

Korduvalt on juhtunud, et ülitähtsate haldamiskontodega käiakse isegi veel hoo-letumalt ümber kui tavaliste kasutajakontodega, sest ettevõttes või ametiasutuseskasutajakontode jaoks välja töötatud meetmeid lihtsalt ei rakendata ning teenuse-pakkuja vahetamisel jäetakse haldamiskontosid puudutavad meetmed ja poliitikarakendamata.

Näide

• Väikeettevõtetes haldab tsentraalset serverit sageli mõni organisatsioonivä-line inimene. See inimene teab sellisel juhul ka tsentraalse haldamiskontosalasõna. Sageli pole ühelgi teisel selle ettevõtte inimesel ühtki haldamis-kontot, isegi mitte ärijuhil. Tihti võib kohata, et ärijuht hoiab tsentraalse hal-damiskonto salasõna seifis. Kui valitakse uus teenusepakkuja, siis antaksesee salasõna uuele teenusepakkujale lihtsalt edasi. Juhtub ka nii, et väljast-tellimise või välise töötaja töömeetodite kohta ei sõlmita ei hoolduslepingutega ka ühtki muud kindlat lepet. Võib juhtuda, et vana teenusepakkuja onvahepeal oma salasõna ära vahetanud ning seejärel koostööst ootamatult jakiirelt loobunud. Sel juhul saab hakata süsteemi uuesti haldama alles pärastseda, kui salasõna on kas järelepärimisega või tehniliste vahenditega uuestivälja selgitatud.

165 / 781

G 2.112 IP-kõne kasutamise ebapiisav planeerimine

Planeerimisfaasis tehtud valesid otsuseid saab hiljem parandada tavaliselt ainultsuure vaevaga. IP-kõne stabiilse kasutuse tagamiseks tuleb silmas pidada mit-meid aspekte.

IP-kõne eeldab töötavat andmevõrku. Seda andmevõrku võib kasutada ka teis-te teenuste, näiteks e-posti ja interneti jaoks. IP-kõne jaoks vajalikud täiendavadIP-paketid võivad andmevõrgu kiiresti üle koormata. Seega saab tõrkevaba töötagamisel määravaks süsteemi õige dimensioneerimine. Vigade tagajärg võib ula-tuda selleni, et kõik tehnilised suhtlusvõimalused katkevad. IP-kõne kaudu suhtle-miseks läheb tarvis signaaliprotokolle ja meediatranspordi protokolle. Signaalipro-tokollide seas, mida kasutatakse peamiselt juhtimiskäskude edastamiseks, poleseni veel ükski tüüpprotokoll suutnud oma paremust tõestada. Paljude tootjateomatoodangu kõrval väärivad mainimist signaaliprotokollid SIP ja H.323. PaljudIP-kõne seadmed toetavad vaid ühte protokolli ning see mõjutab olulisel määralsüsteemi planeerimist.

Meediatranspordi protokolli valik on vähem kriitiline, sest seni on ainukesenalaiemasse kasutusse jäänud Realtime Transport Protocol (RTP). Kui mõlemad si-departnerid toetavad krüpteeritud SRTP-d, on võimalik suhelda kaitstult.

Rääkimise ülekandmiseks läheb tarvis kodekit, mis võimaldab muuta kõne di-gitaalseks infoks. Kuigi kodekeid on erinevaid, on nende valimine planeerimiselkõrvalise tähtsusega. Lõppseadmed toetavad tavaliselt mitmeid kodekeid. Ühen-duse loomisel lepitakse nende kasutamine sidepartneriga kokku. Kui mõlemadsidepartnerid toetavad ainult väheseid ühiseid kodekeid, võib juhtuda, et valitaksekodek, mis pole raamtingimuste jaoks parim. See võib võrku liigselt koormata jaei taga seejuures kvaliteetset heli.

Peale tehniliste baasfunktsioonide on IP-kõne seadmete planeerimisel ja soeta-misel oluline ka seadmetevahelise krüpteerimise võimalus. Teatud juhtudel saabkasutada näiteks IPSec-i või SSL-i abil krüpteeritud VPN-i. Riistvaraliste telefoni-de puhul ei ole aga eraldiseisva VPN-kliendi installimine IP-kõne jaoks enamastivõimalik. Kui ka meediatranspordi protokolli krüpteerimist, nt SRTP-ga, ei toetata,siis annab see ründajale võimaluse kõnet pealt kuulata.

166 / 781

G 2.113 Võrgumahu ebapiisav planeerimine IP-kõne juurutamisel

IP-kõne (Voice over Internet Protocol, VoIP) vajab oma tööks andmevõrku. Selleksvõib kasutada juba olemasolevaid andmevõrke, millesse on ühendatud tööarvutidja serverid, või nendest sõltumatuid andmevõrke. Üks põhiargumente liinipõhistelttelefonilahendustelt IP-kõnele üleminekuks on väiksemad kulud, sest hooldadatuleb ainult ühte sidetaristut, kui kasutatakse olemasolevat andmevõrku.

Uurimusandmeid on IP-kõne kohta seni üsna vähe, sest see on suhteliselt uustehnoloogia. Kui IP-kõne peaks asendama liinipõhist kodukeskjaama, ei saa tava-liselt tugineda varasematele andmetele. Eriti puudutab see IP-kõnega kodukesk-jaamade süsteeme, millel on palju kasutajaid.

IP-kõne funktsiooniga kodukeskjaamade pakkujad avaldavad väiteid selle koh-ta, kui mitut kasutajat saab nende tootega hallata. Need väited pole aga eriti kasu-likud, kui tahetakse kasutada olemasolevat andmevõrku. Kui tööarvutitest väljubsuur hulk andmeid, võib samaaegne IP-kõne kasutamine võrgu kiiresti üle koor-mata. Liinipõhiste kodukeskjaamade puhul oleneb kasutajate maksimaalne arvsellest, kui palju on seadmel telefonide ühendamiseks sobilikke porte.

Olenevalt aktiivsete võrgukomponentide konfiguratsioonist saab ülekoormusekorral saata teatud IP-pakette enne teisi. Kui suure võrgukoormuse puhul eelistadaIP-kõne pakette, võib juhtuda, et tööarvutitega ei saa enam tõhusalt töötada. Kuiaga kõiki IP-pakette saadetakse ühesuguse prioriteediga, pole enam tagatud IP-kõne tõrkevaba kasutamine.

Ka siis, kui IP-kõnele üleminekul on olemasolev võrk IP-kõne ja tavainfo sa-maaegse kasutamise jaoks piisavalt dimensioneeritud, ei pruugi see seda ollatulevikus. Uutel töötajatel peab olema võimalik töötada nii oma tööarvutiga kuika kasutada IP-kõnet. See suurendab võrgu koormust ja vabad ressursid saavadkiiremini otsa.

167 / 781

G 2.114 Windowsi Serveri ühtimatud SMB, RPC ja LDAPturbeseadistused

Windowsi maailma kahele kõige olulisemale sideprotokollile, SMB/CIFS-ile jaLDAP-le, on tootjad lisanud laiendatud signeerimis- ja krüpteerimismehhanismid.Lisamehhanismid peavad tagama nende eraldi võetuna ebaturvaliste protokollidekrüpteerimise ja autentimise. Windowsi Server 2003-s on mõned sellised meh-hanismid lokaalses turbepoliitikas juba eelseadistatud. Nende mehhanismide ka-sutamine mõjutab kõikide kommunikatsioonis osalevate Windowsi serverite va-helist andmesidet, samuti Windowsi baasteenuseid ning tervet võrgukeskkonda.Kui neid seadistusi ei tehta korrektselt ja läbivalt ühtmoodi, võivad tekkida vägaraskesti mõistetavad kõrvalmõjud ning halvimal juhul isegi Windowsi serverite jaklientsüsteemide tõrked.

SMB ja LDAP krüpteerimisseadistuste väärkonfiguratsioonid, valed töövõttedja aktiveerimisjärjekorrad võivad Windowsi võrgu käideldavust tugevalt pärssida.Suurtes süsteemikeskkondades võib Windowsi võrgu uuesti töökorda seadmiselekuluda väga palju aega ja vaeva, sest paljude vajalike võrgupõhiste haldus- jajuhtimisfunktsioonide kasutamine on tugevalt häiritud.

Ebaühtlased seadistused mõjutavad kõige tugevamalt domeenikontrollereid,sest asjakohased veatunnused (haldamisfunktsioonide, nt grupipoliitika tõrge) ilm-nevad alles mõne aja möödudes.

Windowsi vanemad versioonid ei suuda SMB, RPC ja LDAP laiendatud turbe-seadistustega ilma lisaseadistusi tegemata koos töötada. Näiteks ei ühildu usal-dussuhted laiendatud turbeseadistustega niisama lihtsalt, kui neile ei rakendataKerberose autentimist, nagu neid tavaliselt suurtes, mitme asukoha vahelistes IT-kooslustes kasutatakse. Kui IT-süsteeme ei analüüsita piisavalt ja funktsioonidekasutamine jäetakse põhjalikult planeerimata, võivad kogu sides tekkida oota-matud tõrked, mis häirivad tugevalt kõikide valdkondade käideldavust. Seetõttuvõivad ebapiisava planeerimisega hiljem kaasneda suured lisakulud.

Näide

• Suurtes keskkondades, kus ei kasutata Kerberosel põhinevaid usaldussuh-teid, võivad seetõttu tekkida probleemid, kui serverit soovitakse liita mõnedomeeniga. Sisselogimiskatsed võivad pisteliselt ebaõnnestuda ja seda kasiis, kui sisestatakse õige parool. Olukorra põhjuseks on erinevalt seadista-tud domeenikontrollerid, mis valitakse autentimiskatsete töötlemiseks väljajuhuslikult. Selline olukord võib häirida ka rakenduste tööd.

168 / 781

G 2.115 Standardsete turvagruppide ebapädev kasutamine Windowsialates Server 2003-st

Võrreldes versiooniga Windows 2000 Server on Windowsi operatsioonisüsteemi-le Server 2003 lisatud uusi turvagruppe. Mõnede gruppide õigusi ei ole võimalikpiirata ja tootja on jätnud gruppide õigused detailselt lahti seletamata. Teatud grup-pide õigusi ei kuvata üldse ja neid ei saa hallata, nt võrgu konfigureerijate grupp(Network Configuration Operators).

Turvagrupid ise ei ole põhimõtteliselt ohtlikud. Kui aga ei teata, kuidas turvagru-pid töötavad, või kui neid kasutatakse valesti, võivad sellega kaasneda administ-raatoriõiguste pahatahtlik või juhuslik rikkumine ja süsteemi väär konfigureerimine.

Uued grupid on:

• Abiteenuse osutajate grupp (HelpServicesGroup) - seda gruppi ei ole ser-veri haldamiseks ega tööshoidmiseks tarvis, kuid see on ohtlik, sest loobväärkasutuse ja -konfiguratsioonide võimaluse, sest sellele grupile on või-malik anda laialdasi volitusi, mis tagavad juurdepääsu administreerimistöö-riistadele.

• Võrgukonfiguratsiooni operaatorid (Network Configuration Operators) - sel-le grupi liikmed saavad seadistada ja muuta TCP/IP-pinu parameetreid, stnende tegevus võib muuta serveri kättesaamatuks või avada serveri rünne-tele.

• Süsteemiseire kasutajad ja jõudluslogi kasutajad (Performance MonitorUsers ja Performance Log Users) - süsteemiseire kasutajatel on õigus käivi-tada ja kasutada süsteemiseire programmi (perfmon.exe), ilma et neil oleksselleks lisavolitusi. Jõudluslogi kasutajate grupi liikmetel on võimalik vaada-ta ja hallata süsteemiseire logisid ning konfigureerida seireandmete salves-tamist. Neil on otsene juurdepääs Windowsi Management Instrumentationi(WMI) andmebaasile. Jõudlus- ja kasutajaprofiilid on turbe seisukohast krii-tilise tähtsusega info, samuti võivad ründekatsetele kaasa aidata andmedrikete ja tõrgete kohta. See võib osutuda ohtlikuks, kui kasutajakontod saa-vad selle grupi kaudu omale tahtmatult juurde lisavolitusi.

• Kaugarvuti kasutajad (Remote Desktop Users) - selle grupi liikmed saavadoma arvutist ennast Remote Desktop Protocoliga (RDP) liikmesserverissevõi mõnda eraldi serverisse sisse logida ja seal töötada, nagu oleks teguotsese juurdepääsuga füüsilisele süsteemile. See on ohtlik, sest selle grupiliikmena saab ennast lisavolitusteta sisse logida ka mis tahes tavakasutaja.

• Hajus-komponentobjektimudeli kasutajad (Distributed COM Users) - ala-tes versioonist Windowsi Server 2003 koos remondipaketiga nr 1 (servicepack 1) saab hajus-komponentobjektimudeli (DCOM) objektide jaoks kasu-tada varasemast detailsemat volituste struktuuri, mis aitab paremini kontrol-lida COM-i moodulite käivitamist ja COM-i objektide sisselülitamist. Võrrel-des varasemaga saab sellega paremini kontrollida näiteks klientsüsteemidekäivitamist kaugpöördusega, milleks kasutatakse Remote Procedure Call-si (RPC). Paljusid Windowsi funktsioone saab juhtida COM-i objektidega,nt Windows Update, Resultant Set of Policy, Certificate Services. Volitusikonfigureeritakse komponentteenuste konsoolides. Standardseadistuse jär-gi on kõige suuremad volitused hajus-komponentobjektimudeli kasutajatelning need volitused võivad olla administraatorite tavalistest volitustest isegisuuremad. Selle kasutajagrupi väär kasutamine võib parendatud DCOM-i

169 / 781

turbefunktsioonid olematuks muuta ning halvimal juhul koguni suurendadasüsteemi rünnatavust.

• Sisenevate üldstruktuuriliste usaldussuhete loojad (Incoming Forest TrustBuilders) - see on uus domeenikontrollerite grupp. Selle grupi liikmed saa-vad IT-koosluses luua sisenevaid ühesuunalisi usaldussuhteid Active Direc-tory tervikstruktuuriga. Usaldussuhtega on võimalik volitusi rakendada kateistes domeenikeskkondades ning seetõttu võib selliste volituste väär võihooletu kasutamine luua ründajatele väga palju võimalusi kogu IT-kooslusemõjutamiseks.

170 / 781

G 2.116 Andmekadu andmete kopeerimisel ja teisaldamisel alatesWindowsi Server 2003-st

Objektide või ka tervete puustruktuuri osade teisaldamine ja kopeerimine hõlmabpaljusid ja osalt ka peidetud protsesse, mis võivad liigutatud andmeobjektid jakataloogistruktuurid kasutuskõlbmatuks muuta. Ohtu ei kujuta endast mitte niivõrdüksikkasutajad, kuivõrd administraatorid, kes on võib-olla sunnitud liigutama kassuuri või süsteemi seisukohast kriitilisi andmehulki.

Klassikaline oht, mis võib erinevate üleviimisstsenaariumide puhul esineda, onfailisüsteemi objektide teisaldamine meediumi või süsteemi piiridest väljapoole.Enne andmete eemaldamist nende algsest asukohast jäetakse need andmed siht-kohas kontrollimata. Teisaldatavad andmed võivad seetõttu kaotsi minna.

Seevastu objektide metaandmete, nt pääsuõiguste või teiste, korraga mitmeleobjektile kehtivate atribuutide käitumine on palju vähem läbinähtav. Volituste struk-tuur võib olla keeruline ning automaatsete pärimismehhanismidega kogu kataloogistruktuuri peale laiali jaotatud, mistõttu töötavad need lähte- ja sihtkohas erinevalt.Andmete ümberpaigutamisel eristab Microsofti Windows näiteks faili kopeerimist(copy) ja teisaldamist (move). Teisaldamine tähendab seda, et sihtkohta võetaksekaasa ka faili lähtekohas kehtivad volitused, seevastu kopeerimine määrab faili-le uued volitused vastavalt sihtkoha tingimustele. Eduka teisaldamise eeldus onalati see, et sihtkohas peab olema võimalik volitusi ja teisi metaandmeid õigestiinterpreteerida. Muidu läheb kogu volituste struktuur hetkega kaduma.

Kopeerimis- ja teisaldamisfunktsioonid võivad sama toote eri komponentidestöötada erinevalt, nt Windowsi Server 2003 puhul töötavad need failisüsteemis,komponenditeenustes (Component Services), interneti infoserveris (Internet In-formation Services, IIS) ja Active Directorys erinevalt. Kui juhtimiskontseptsioonija selle taga peituvaid mehhanisme ei tunta piisavalt, võivad sellega kaasnedaandmekaod ja süsteemi väärkonfiguratsioon.

Kopeerimise ja teisaldamisega seotud ootamatud kõrvalmõjud võivad olene-da muu hulgas ka sellest, milliseid süsteemikomponente kasutatakse andmeob-jektide ja kataloogide salvestamiseks ja loomiseks. Windowsi Server 2003 puhulvõivad need olla näiteks hajusfailisüsteem (Distributed File System, DFS), ActiveDirectory või krüptofailisüsteem (Encrypting File System, EFS). Näiteks EFS-i pu-hul tuleb kopeerimiseks ja teisaldamiseks vajalike lugemis- ja kirjutamisprotses-side kõrval läbida veel ka vahesalvestamine, krüpteerimine, sertifikaaditeenustekasutamine ja avalike võtmete salvestamine metaandmetena. Failide ja kataloogi-de puustruktuuride mõtlematu kopeerimine ja teisaldamine võib kiiresti viia selleni,et andmed ei ole enam käideldavad, terviklikud või konfidentsiaalsed.

NTFS-failisüsteemis võivad failides tekkida ootamatud kõrvalmõjud ka vaheldu-vatest andmevoogudest (Alternate Data Streams, ADS). ADS-id on faili nähtama-tud osad, kuhu Windowsi Server 2003 saab salvestada lisainfot, nt infot tsoonidekohta või piktogramme.

Windowsi Explorer ja käsuviip toimivad ADS-iga erinevalt. Teisaldamis- ja ko-peerimisprotsessid võivad ADS-i kogemata muuta või koguni valeks teha, lisaksvõivad ADS-id kaduma minna ning nende sisu võib täituda soovimatu infoga. Kuifailivolitustega ei ole rakendatud piisavat kaitset, võivad ADS-id muutuda väga oht-likeks ründesihtmärkideks.

Näide

• Domeenikontrolleris kopeeritakse Windowsi käsuga xcopy süsteemiketta si-

171 / 781

su mõnele teisele kõvaketta sektsioonile. Selle käsu käivitamisele avaldavadmõju mitmed parameetrid, mis mõjutavad muu hulgas ka SysVol-kausta ko-peerimist. Pärast kopeerimist pole andmete varukoopiat enam tarvis ja seekustutatakse rekursiivselt (nt käsuga rd /s). Selle tulemusel ei ole selles do-meenikontrolleris enam kättesaadavad need andmed, mida tavaliselt repli-keeritakse SysVol-kausta põhjal (nt grupipoliitika objektid, sisselogimisskrip-tid). Põhjus peitub SysVol-kausta struktuuris, mis sisaldab DFS-i kasutuslu-bade ühenduspunkte (junction points), mida replikeeritakse failikopeerimis-teenusega (File Replication Service, FRS). xcopy ei tee sellisel juhul varu-koopiat mitte sisust, vaid hoopis ühenduspunktidest. Rekursiivne kustuta-misprotsess jõuab kopeeritud ühenduspunktide kaudu välja DFS-i originaal-kasutuslubadeni ja kustutab ära osa nende sisust, kui volitused seda luba-vad. Võib juhtuda, et kustutamisprotsess kantakse replikeerimisega üle kateistesse domeenikontrolleritesse ning rikutakse seega ära kõikide domee-nide käitamine. Probleemi saab lahendada vaid sellega, et kogu süsteemtuleb varukoopiast taastada.

172 / 781

G 2.117 Traadita kohtvõrgu ebapiisav või puuduv planeerimine

Traadita kohtvõrgu (WLAN) kasutamist tuleb hoolikalt planeerida, sest ka üksainusturvaauk võib pärssida kõiki võrku ühendatud IT-süsteeme. Ebapiisavalt kaitstudWLAN, mis on ühendatud asutuse või ettevõtte kohtvõrguga, võib viia koguni koht-võrgu kompromiteerimiseni. Kui LAN-i ja WLAN-i vahelised turbemeetmed ei olekooskõlastatud, nt kui süsteem pole piisavalt hästi planeeritud või kui kasutajagru-pid pole üksteisest piisavalt lahutatud, võivad sellest tekkida turvaaugud.

Ebapiisav või puudulik planeerimine võib tekitada palju probleeme, näiteks:

• Kui WLAN-is ei ole võetud mitte ühtki turbemeedet või on võetud ainult eba-piisavaid turbemeetmeid, saab konfidentsiaalset infot lugeda.

• Raadiovõrgu tööd võib tugevalt häirida see, kui jäetakse tähelepanuta või-malikud teised WLAN-installatsioonid või teised raadiosidesüsteemid, milleleviala kattub raadiovõrguga.

• Kui WLAN-i kasutamise planeerimisel jäetakse tähelepanuta pärssiv mõ-ju, mida avaldavad hoone isolatsioonimaterjalid või raadiolevi absorbee-rivad ehitusmaterjalid (nt teraskapid, vee- ja kanalisatsioonitorustikud, elekt-rikaablid, raudbetoonist ehituskonstruktsioonid), võib see kasutusvõimalusitugevalt kitsendada.

• WLAN-i kasutamisel on üks sagedasemaid häireallikaid ka oma WLAN-iüksteisele lähedal asuvad sideelemendid. Üksteisele lähedal asuvate side-elementide kasutajad võivad WLAN-i tööd vastastikku tõkestada, sest ligis-tikku õhku paisatud raadiolained häirivad side toimimist.

• Süsteemi jõudlust võivad tugevalt pärssida leviaugud. Ebapiisava planeeri-mistöö tulemusel suurendatakse leviaukude vältimiseks sageli WLAN-i raa-diosaatja võimsust. Selle tagajärjel võib WLAN-i tööpiirkond laieneda alade-le, kus seda ei vajata või kus seda on võimalik pealt kuulata.

• Ebapiisava planeerimistöö tagajärjel võib tulla üllatusena, et rakendusi, mistarbivad väga palju lairiba, ei saa kasutada või saab kasutada ainult piiratudmoel, sest süsteemi saatja võimsus on nende jaoks liiga väike.

LAN-i jaoks on ohtlik veel ka see, kui pääsupunktide (access points), ühendus-süsteemi (distribution system) ja traadiga võrgutaristu vahelised ühendused polepiisavalt kaitstud. Kui ühendussüsteemi ei ole ei füüsiliselt ega loogiliselt turvatud,siis on võimalik õhuliidese turbefunktsioonide või pääsupunkti turbeseadistustekompromiteerimisega tekitada olukord, kus terve levipiirkond (broadcast domain),milles pääsupunkt asub, muutub pealtkuulatavaks. Selle tagajärjel hangitud infotsaab ära kasutada terve LAN-i vastu suunatud rünneteks.

Näide

• Kui turvalüüsis, mis on ühendussüsteemi ja LAN-i vahelüliks, kehtestatak-se liiga leebed filtreerimisreeglid, saab ründaja selle vahelüli sideandmeidMan-in-the-Middle-ründega manipuleerida, st vahelüli tunneldada, ning see-järel tekib tal juurdepääs sisemise LAN-võrgu taristule. Eelduseks on see,et tuleb kompromiteerida kas õhuliidese turbemehhanisme või luua otse-ne juurdepääs ühendussüsteemiga. Tunneldamiseks on lisaks võimalik ärakasutada operatsioonisüsteemi kitsaskohti, kui vahelüli süsteeme ei ole pii-savalt karastatud (hardening).

173 / 781

G 2.118 Traadita kohtvõrgu kasutamise ebapiisav reguleerimine

Pääsupunkti (access point) standardseadistustes ei ole tavaliselt aktiveeritud mitteühtegi turbemehhanismi. Olukord, kus WLAN-i komponendid pannakse tööle ilmaturbeta ja nende kasutamisele ei kehtestata reegleid, seab suurde ohtu nii WLAN-ikui ka sellega ühendatud IT-süsteemid. Selline oht on võrreldav turbeta interneti-ühendusega. Seega kui töötaja ühendab WLAN-i kasutamise reeglite puudumisetõttu organisatsiooni sisevõrku mõne keelatud või turbeta pääsupunkti, tähendabsee seda, et kõik LAN-i turbemeetmed, nt süsteemi internetist tulevate väliste vo-litamatute pöörduste eest kaitsev tulemüür, muutuvad peaaegu olematuks.

Ebaselged vastutuse piiridKui töötajate vastutus ei ole selgelt piiritletud, nt kui WLAN-i taristu halda-

mise kohta puuduvad reeglid, võib sellega kaasneda WLAN-i komponentide väär-konfiguratsioon. Kui konfiguratsiooni haldamise kohta puuduvad reeglid, võib kaüheainsa pääsupunkti või WLAN-klientsüsteemi vigane konfiguratsioon, mis ei jär-gi standardprofiili, viia kogu võrgu või institutsiooni kompromiteerimiseni.

Praktikas tuleb ikka ja jälle ette näiteid sellest, kuidas erinevate vastutavate osa-poolte vahel institutsiooni piires või ka väliste partneritega tegemata jäetud koos-kõlastused probleeme tekitavad. WLAN-i jaoks on ohtlik ennekõike see, kui füü-silise (passiivse) taristu, aktiivse võrgutehnika ja turbesüsteemide haldamise eestvastutavad eri grupid, mis on organisatsiooni töökorralduse järgi üksteisest vägatugevalt lahutatud ning mida koordineerib üksnes mõni organisatsiooni hierarhiaskõrgemal asetsev üksus.

Probleeme võib tekitada ka olukord, kus puuduvad selged reeglid, kuidas tulekssüsteemis tehtavaid muudatusi (nt WLAN-i komponentide väljavahetamist, konfi-guratsiooni muutmist, WLAN-i võtmeinfo vahetamist) dokumenteerida.

Seirereeglite puudumineOlukorras, kus WLAN-i taristu seire kohta pole kehtestatud reegleid ning puu-

dub vajalik finants- ja inimressurss, võib juhtuda, et ründeid ei suudeta õigel ajaltuvastada. Näiteks võivad tekkida järgmised ohud:

• Regulaarsete kontrollide puudumisel võib jääda tähelepanuta asjaolu, etühendussüsteemi (distribution system) külge või otse LAN-i külge on ühen-datud võõrad pääsupunktid (kaasa arvatud isiklikud pääsupunktid).

• Kui WLAN-i seiret kajastavaid logisid ei analüüsita regulaarselt, avastatakseturvaintsidendid liiga hilja. Näiteks võib ootamatult sagenenud ebaõnnestu-nud sisselogimiskatsete arv pääsupunkti puhul viidata ründekatsele.

Kui viirusetõrjetarkvara hädavajalikud värskendused või turvapaigad paigalda-takse liiga hilja, võib see viia WLAN-i mõne komponendi kompromiteerimiseni.Eriti suures ohus on WLAN-i komponendid, mis on otseühenduses internetiga jaavalikud WLAN-id. Olenevalt pahavara liigist võib järgmine kord, kui luuakse ühen-dus kodu-WLAN-iga, viia kogu WLAN-i taristu kompromiteerimise või ka hullematetagajärgedeni.

WLAN-i turbeintsidentidele reageerimise reeglite puudumineJuhul kui WLAN-i käitamise puhul pole välja mõeldud, kuidas reageerida hä-

daolukorras tekkinud sündmustele, võib tekkida oht, et turbeprobleemide avasta-misele ja kõrvaldamisele kulub liiga palju aega. Liiga suur ajakulu tähendab seda,et vahepeal võidakse andmed kas ära varastada või käivitada ussviirused. Ise-gi siis, kui ründed suudetakse piisavalt kiiresti tuvastada, võib ikkagi juhtuda, etvastumeetmeid ei võeta piisavalt kiiresti (minutite jooksul), sest töötajatel ei ole

174 / 781

ettevalmistatud meetmekatalooge, kindlaid protseduurireegleid ega volitusi, et va-jalikul moel sekkuda.

Näide

• Ettevõte riputas oma firmasisese WLAN-i pääsuandmed internetti, et ker-gendada juurdepääsu nendele töötajatele, kes liiguvad ka väljaspool konto-rit. Igaüks, kes jõudis selle infoni, sai sellega end WLAN-is autentida ning ta-gas seega juurdepääsu andmetele, muu hulgas võib-olla ka konfidentsiaal-setele andmetele. Kuigi WLAN-is hoiti vaid sellist infot, mille kaitsevajadusoli väike, oli võimalik ennast WLAN-ist LAN-i ühendades ligi pääseda katootmisprotsessiga seotud süsteemidele. Selle tagajärjel lekkisid internet-ti konfidentsiaalsed andmed, nt mõnede prototüüpide salajased konstrukt-sioonijoonised. Mõned andmed sattusid ka konkureerivate ettevõtete kätte.Konkureeriv ettevõte oleks neist võinud saada teavet uute tootearendustekohta, et kiiremini ja efektiivsemalt oma toodetega neile vastata. Õnneksotsustas konkureeriv ettevõte olukorrast siiski politseisse teatada.

175 / 781

G 2.119 Traadita kohtvõrgu autentimismeetodite ebaõnnestunudvalik

Autentimiseks kasutatavate protseduuride valimisel tuleb lähtuda WLAN-is trans-porditavate andmete turbevajadusest. Alustuseks olgu öeldud, et WEP ei ole tur-valine, sest pakub mitmeid võimalusi rünneteks, näiteks võimalust võtmete tuleta-miseks andmepakettide põhjal. Tuletatud võtmeid saab edukalt kasutada WLAN-isisenemiseks.

Kui WLAN-i krüpteerimiseks kasutatavat võtmematerjali ei jaotata piisavalt hoo-likalt osadeks ega salvestata piisavalt turvaliselt, võib juhtuda, et sellest olene-vad turbemeetodid, mis peaksid tagama soovitud turbeastme, muutuvad võib-ollaväärtusetuks. Liiga lihtsad paroolid või ebapiisavalt kaitstud sertifikaadid võivadigale ründajale anda kehtiva juurdepääsu WLAN-ile. WPA-ga turvatud WLAN-ison turvaauguks näiteks Pre-Shared Keys, kui need ei ole piisavalt keerulised.

Leidub ka EAP-meetodeid, mis on ohtlikud. Näiteks kasutatakse EAP-MD5 pu-hul autentimismeetodit CHAP, mis nõuab muu hulgas seda, et kumbki pool peabteadma krüpteerimata võtit. Lisaks ei toeta EAP-MD5 võtmete genereerimist ningseetõttu ei saa seda otse IEEE 802.11i-ga kasutada. Tänaseks on MD5-s avas-tatud ka krüptograafilisi kitsaskohti ja seega ei peeta seda räsifunktsiooni enamturvaliseks.

Krüptograafia seisukohast võib EAP-PEAP puuduseks lugeda ka seda, et väli-mise tunneli turbe tagamiseks kontrollib PEAP ainult serveri identiteeti, mitte agaklientsüsteemi oma.

Mõned EAP-meetodi versioonid sisaldavad ka turvaauke. Näiteks on firmaCisco toodetud EAP-LEAP tundlik nn sõnaraamaturünnete suhtes ning leidub ju-ba ka tarkvara, mis suudab seda täiesti sihipäraselt ära kasutada, minnes möödaisegi tugevatest paroolidest.

Lisaks on EAP-LEAP puudus see, et selle kasutamist peavad toetama kõikWLAN-i komponendid eraldi ning EAP-LEAP ja teiste EAP meetodite vahel puu-dub koostalitlusvõime, mida nõuab IEEE 802.1X.

176 / 781

G 2.120 Turvalisust tagavate IT-süsteemide ebasobiv paigutus

Turbe jaoks olulised IT-süsteemid, nt milles hoitakse autentimiseks kasutatavaidandmeid, ei tohi asuda kergesti ligipääsetavates kohtades. Turbevaldkonna olulis-te IT-süsteemide hulka kuuluvad näiteks turvalüüsid, kataloogiserverid, mis osu-tavad kasutaja identifitseerimisandmete kataloogiteenust, ja IT-süsteemid, kushoitakse autentimisandmeid. Selliste süsteemide ebasobivad asukohad on näi-teks avalikud koosolekuruumid, koridorid ja tavalised bürooruumid. Ka väikseid,kuid turbe jaoks siiski olulisi võrguühenduselemente nagu marsruutereid, kom-mutaatoreid ja pääsupunkte ei tohiks paigutada läbikäidavatesse kohtadesse, kusneed on kaitseta. Pääsupunkti (access point) ei tohiks näiteks paigaldada kaitsma-ta olekus kuhugi otse lae külge. Sellise paigalduse korral tekib pääsupunktile va-hetu füüsiline ligipääs ja WLAN-i pääsuinfo mahalugemine muutub väga lihtsaks.Kui turbe seisukohast olulistele IT-süsteemidele on otsene juurdepääs, võidakseselle tagajärjel halvata ka teisi turbemehhanisme.

Näide

• Juhtmevaba internetiühenduse kasutamiseks paigaldatakse avalikku koos-olekuruumi pääsupunkt. Kuna pääsupunkt sisaldab enamasti WLAN-i olulisipääsuandmeid, saab varas selle infoga takistamatult ja märkamatult and-meid koguda, et süsteemi veelgi enam kompromiteerida. Varas saab muuhulgas oma käsutusse WLAN-is autentimiseks vajaminevad olulised sertifi-kaadid. Kuni nende sulgemise ja muutmiseni on võrk vastuvõtlik rünnetele.

Turbe jaoks oluliste IT-süsteemide tööd võivad pärssida ka nende paigaldus-keskkonna tingimused (seadmete jaoks ebasobiv kliima või liiga suur tolmukogus).

177 / 781

G 2.121 Traadita kohtvõrkude ebapiisav kontrollimine

WLAN-id on potentsiaalsed ründeobjektid, st neid tahetakse kas volitamatult ka-sutada või soovitakse hävitada nende käideldavus (DoS-ründed). Ründed võivadviia kogu WLAN-iga seotud taristu kompromiteerimiseni.

Ründetuvastussüsteemide vale konfiguratsioonRündetuvastussüsteemide (Intrusion Detection System) planeerimisel tuleb

kindlasti arvestada ka WLAN-i sidemustritega, sest muidu ei suuda süsteem kasründeid tuvastada või tekib olukord, kus lubatud andmeside käivitab süsteemisalarmi.

Suur oht võib tekkida ka IDS-i jaoks oluliste sündmuste logimisest.

• Juhul kui logidesse kogutakse liiga palju andmeid või kui neid salvestatakseliiga pika aja kohta, siis on oht, et ründetuvastussüsteemides tekib ületäitu-mine.

• - Juhul kui logimisprotsessiga kogutakse valesid või liiga vähe andmeid, võibjuhtuda, et ründeid ei avastata ning seetõttu ei saa teha ka mõistlikku post-mortem -analüüsi.

WLAN-i volitamata kasutamineOlukorras, kus WLAN-i ei kaitsta piisavalt tugevate autentimismehhanismidega,

võivad ründajad WLAN-i kasutada internetti pääsemiseks. Selle tagajärjel võib vä-heneda saadaolev ribalaius ja vastuste laekumise aeg võib WLAN-i volitatud ka-sutajate jaoks pikeneda. Valelikul teel hangitud internetijuurdepääsu võidakse ärakasutada ka:

• internetis paiknevate süsteemide ründamiseks;• rämpsposti levitamiseks;• internetist keelatud sisu allalaadimiseks;• failide ühiskasutuseks (file sharing).

Logifailide analüüsimata jätmineRündajad, kes soovivad ennast WLAN-i sisse logida, peavad alustuseks mööda

pääsema autentimisest. Kui selleks kasutatakse sõnaraamaturündeid või Brute-Force-tüüpi ründeid, tekivad autentimise veateated, mis salvestatakse logifailides-se. Kui logifaile ei analüüsita regulaarselt, ei saa selliseid ründeid ei tuvastada egaka nende vastu midagi ette võtta. Kui lisaks ei kontrollita õnnestunud sisselogimis-te kehtivust, saavad ründajad oma väljanuhitud pääsuinfoga WLAN-i märkamatultedasi kasutada ka sel ajal, mil õiged töötajad ei viibi isegi töökohal.

Näide

• Töötaja Tamm viibib kolm nädalat puhkusel. Sel ajal õnnestub ründajal han-kida omale Tamme WLAN-i pääsuinfo. Ründaja saab Tamme pääsuinfogaedukalt ja märkamatult siseneda WLAN-i ning tal on võimalik juurde pääse-da kõigele, milleks Tammel on volitus. Niimoodi on võimalik välja nuhkidakonfidentsiaalset infot. Autentimisserveri logiandmete regulaarsel kontrolli-misel oleks pidanud administraatorile silma jääma, et töötaja Tamm ei viibitööl, vaid on puhkusel, mistõttu ta ei saa WLAN-i siseneda. Sellise ründeoleks suutnud ära hoida ka töötaja Tamme WLAN-i konto sulgemine puhku-se ajaks.

178 / 781

G 2.122 Mitmefunktsiooniliste seadmete ebasobiv kasutamine

Mitmefunktsioonilised seadmed on lahendused, mis võimaldavad kasutajatel üheseadmega skannida, printida, kopeerida ja ka faksida. Sellistel seadmetel on ena-masti olemas ka andmesideühendus ja need ühendatakse telefonivõrku.

Skaneerimise, printimise ja kopeerimise integreeritud lahendus suurendab eral-di seadmetega võrreldes selle seadme IT-turbenõudeid, sest selline seade moo-dustab üheainsa rikkepunkti (single point of failure). Näiteks tuleb seadme rikkekorral parandusse viia kogu seade, mis tähendab, et ka rikkest puutumata funkt-sioone ei saa sel ajal enam edasi kasutada.

Mitmefunktsiooniliste seadmete sideühendusi, mis suunatakse telefonivõrku (ntfaksi modem) või internetti, saab ära kasutada tsentraalselt toimivatest turbemeh-hanismidest, nt turvalüüsist, möödahiilimiseks. See võib tekitada olukorra, kusLAN-ist on võimalik turbefunktsioone rakendamata internetti pääseda.

Juurdepääsu LAN-ile võivad luua ka tootjate poolt seadmetele lisatud, kuid do-kumenteerimata hooldusjuurdepääsud.

179 / 781

G 2.123 Kataloogiteenuste ebapiisav või puuduv planeerimine

Kataloogiteenuste turve oleneb suures osas kasutatava operatsioonisüsteemi tur-valisusest ning ennekõike selle failisüsteemi turvalisusest.

Kataloogiteenuseid saab installida väga paljudesse operatsioonisüsteemides-se, mistõttu võib juhtuda, et olenevalt kasutatavast operatsioonisüsteemist tulebteha suur hulk turbeseadistusi. Turbeseadistuste suur hulk suurendab omakordaplaneerimistegevuse töömahtu ning eeldab laialdasi teadmisi kõikidest kasutata-vatest operatsioonisüsteemidest.

Puustruktuuri väljatöötamine ja organisatsiooni struktuuri taasloomine kataloo-giteenuses on eriti tähtis näiteks siis kui seda kasutatakse intranetis. Puudulikuplaneerimise korral võivad tekkida kataloogiteenuse ülesehituses ebakõlad ningsee võib muutuda liiga keeruliseks, millest võivad omakorda tekkida väärkonfigu-ratsioonid ja vead süsteemi käitamisel.

Kataloogiteenuse globaalne puustruktuur mõjutab suuresti terve installatsioo-ni turbeomadusi. Probleeme võib tekitada näiteks olukord, kus puustruktuuri eriosades kehtivad erinevad turbenõuded või kui need kuuluvad organisatsiooni eriallüksuste alla. Süsteemi pärimismehhanismid ja keerulised reeglid, mille põhjalarvutatakse objektide jaoks välja reaalselt toimivad ja efektiivsed õigused, seavadsüsteemi planeerimisele väga ranged nõuded.

Juhul kui kasutatakse sertifitseerimiskeskust (Certificate Authority, CA), moo-dustab see ühe väga suure osa kataloogiteenuse üldisest turbest.

Kuna kataloogiteenus võimaldab kataloogiandmebaasi hallata rollipõhiselt jaadministraatoriülesandeid on võimalik delegeerida, tekib administraatorite tööpuudulikul planeerimisel oht, et süsteemi ei hallata piisavalt või hallatakse eba-turvaliselt.

Lisaks on võimalik, et vead haldamistarkvara kasutamise planeerimisel loovadvolitamata isikutele juurdepääsu kataloogiteenuse installatsiooni siseandmetele.

Ohud võivad tekkida ka kataloogiteenuste sünkroniseerimisel teiste kataloogi-teenustega, nt DirXML-iga Novelli eDirectory puhul. Kui rakendatakse volitusi, misolenevad vaadeldavast sihtkoha süsteemist, võib juhtuda, et sünkroniseerimiselasetleidvad muudatused võetakse üle ka kataloogiteenusesse.

Võimalik on ka vastupidine mõju: kataloogiteenusesse kirjutavad end sisse võõ-rad kataloogid, et olla kursis info muutumisega ja kataloogi selle põhjal võrdsusta-da.

Kasutajate ja kasutajagruppide sisselogimisskriptide ebapiisav planeerimine võiplaneerimatus võib tekitada olukorra, kus süsteemis ei järgita kehtestatud turbe-poliitikat. Lisaks võib ebapiisav planeerimine või planeerimatus tekitada järgmisiprobleeme:

• Replikeerimise ja andmevarundusega arvestamata jätmise tõttu võivad tek-kida andmekaod.

• Public-Key-taristu (PKI) käitamises võivad tekkida vead.• Süsteemi võimsus võib kujuneda liiga väikseks.

180 / 781

G 2.124 Kataloogiteenuse partitsioonide ja replikatsioonide väär võipuudulik planeerimine

Kataloogiteenuse partitsioonide ja replikatsioonide loomine on planeerimise olu-line aspekt. Partitsioonide loomisel jagatakse kataloogiteenuse andmed erineva-tesse alamvaldkondadesse (partitsioonidesse). Jagamine ei tohi toimuda suvali-selt, vaid järgida tuleb teatud reegleid, mille annab ette puustruktuuri hierarhiasttulenev loogika.

Kataloogiteenuse partitsioonide replikeerimise esmane ülesanne on kataloogi-süsteemi käideldavust suurendada ja koormust hajutada. Lisaks suureneb and-mete liiasuse tekitamisega ka süsteemi rikkekindlus. Planeerimistöö on siin mää-rava tähtsusega, sest partitsioonide ja replikatsioonide loomise sätteid on küll või-malik ka tagantjärele muuta, kuid selline tegevus võib viia ebakõladeni.

Kataloogiteenuses tehtavad muudatused jõustuvad alles teatud aja möödudes,sest teenus on jaotatud mitmele süsteemile. Selle tagajärjel võib juhtuda, et ajal,mil muudatusi alles tehakse, tekivad kataloogiteenuses vastuolud. Sellised vastu-olud võivad tekitada probleeme eeskätt autentimisandmete defineerimisel ja kata-loogiteenuse objektide pääsuõigustes.

Kataloogiteenuse partitsioonide loomisele kehtestatud reeglid võivad otseseltmõjutada terve süsteemi replikeerimisprotsessi. Ebapiisava planeerimise korralvõib näiteks juhtuda, et lihtsa puustruktuuri replikeerimisse kaasatakse liiga laiadvaldkonnad. Olukorras, kus replikeerimise valdkond muutub liiga laiaks, tekib oht,et kui vähemalt ühe valdkonda kuuluva serveriga ei saada ajutiselt ühendust, ku-vatakse sellega kaasnevaid vea- ja seisunditeateid kõikides replikeerimisse kaa-satud kataloogiteenuse serverites. Sellised vea- ja seisunditeated, mis võivad haa-rata kataloogipuu paljusid ja suuri osasid, tekitavad palju lisatööd.

Kataloogiteenuse partitsioonide ja replikatsioonide planeerimisel tehtud veadvõivad viia ka andmekadudeni ja põhjustada talletatud andmetes ebakõlasid, sa-muti võib tagajärjeks olla kataloogiteenuse väike käideldavus, süsteemi vähenejõudlus ning halvimal juhul ka süsteemi rikked.

181 / 781

G 2.125 Kataloogiteenuse juurdepääsu väär ja ebapiisavplaneerimine

Kataloogiteenuse pääsu- ja kasutusõiguste andmisel tehtud vead ning ebasobiva-te tarkvaralahenduste kasutamine võivad väga kiiresti tekitada üüratuid turvaauke,sest selle tagajärjel võidakse luua rohkelt väärvolitusi. Pääsu- ja kasutusõigustehaldamine on väga töömahukas ülesanne, mille jaoks tuleb äärmuslikel juhtudelpalju tööetappe läbi teha käsitsi, mis võib omakorda tekitada vigu ja vähendadaülevaatlikkust.

Organisatsioonides, kus puudub ülevaade erinevates IT-süsteemides sisse sea-tud kasutajate ja nende kasutajaprofiilide kohta, viib see näiteks selleni, et süstee-mis säilivad ka selliste töötajate kasutajakontod, kes on organisatsioonist võib-ollajuba ammu lahkunud, või leidub kasutajaid, kelle volitused on tööülesannete muu-tumisel kokku kuhjunud ja seetõttu väga suureks muutunud.

Kui pääsu- ja kasutusõiguste haldamiseks valitakse välja ebasobiv tarkvara,võib tekkida probleem, et tarkvara ei ole piisavalt paindlik ja sellega ei saa rea-geerida muudatustele organisatsiooni struktuuris või IT-süsteemide vahetumisele.

Kasutajate töörollide lahutamisel tehtud vead, nt nende liigitamine valedessekasutajagruppidesse või neile liiga laialdaste volituste andmine, võivad tekitadaturvaauke. Kasutajale võidakse määrata rollid, mis ei vasta tema tegelikele töö-ülesannetele (antakse kas liiga vähe või liiga palju õigusi), või rollid, mida tal eitohiks olla (rollikonfliktid).

Töötajad kasutavad kataloogiteenust sageli LDAP-liidesega, mis on levinud in-ternetistandard. Seda juurdepääsuvõimalust tuleb hoolikalt planeerida, eriti sedaosa, mis puudutab kataloogiteenuse kasutamiseks vajalike õiguste mõistlikku ka-sutamist. LDAP-juurdepääsu planeerimine oleneb suurel määral sellest, milline onkataloogiteenuse kasutusvaldkond.

Ebapiisava planeerimise tõttu – kui pole selge, millistele töötajatele tohib milli-seid andmeid edastada avatekstina – võivad tekkida ebakõlad või vastuolud orga-nisatsioonisisese turbepoliitikaga. Ohtlikud on ka kataloogiteenuse turbemeetme-te ja -tehnoloogia planeerimisel tehtud vead, sest need võivad viia konfidentsiaal-sete andmete tervikluse kadumiseni ning halvimal juhul ka krüpteerimisprotsessirikkeni.

Kataloogiteenuse kasutamisele eelneva vastastikuse autentimise võib halvatanäiteks juursertifikaadi puudumine või mittekontrollitav sertifikaadiahel.

Kuna kataloogiteenuse jaoks vajaliku LDAP-liidese konfigureerimise võimalu-sed on väga laiad, võivad tekkida väärkonfiguratsioonid, mis on seotud järgmisteohtudega:

• volitamata juurdepääs kataloogiteenusele;• väär pääsuõiguste andmine;• avatekstina hoitavate andmete väljanuhkimine;• kasutajaparoolide krüpteerimata edastamine;• süsteemi ebapiisav käideldavus;• LDAP-pöörduste vead, eriti võrgupõhistes rakendustes.

182 / 781

G 2.126 Active Directory muudatuste ebapiisav logimine

Active Directory on institutsioonis tavaliselt see tsentraalne koht, kus toimub auten-timine ja volitamine, mis võimaldavad pääseda ligi võrgus olevatele ressurssidele.Seetõttu võivad Active Directory struktuuris või selle domeenikontrollerites toimu-vad muudatused mõjutada korraga väga paljude IT-süsteemide tööd. See kehtibnii volitatud kui ka volitamata muudatuste kohta.

Juhul kui Active Directory või mõne selle domeenikontrolleri muudatused, ntmõne serveri ülendamine domeenikontrolleriks, jäetakse dokumenteerimata võilogimata, tekib võimalus, et neid muudatusi kas ei avastata üldse või avastatakseneed liiga hilja.

Turbe jaoks oluliste sündmuste ja intsidentide logimisest üksi siiski ei piisa. Tur-beprobleemide tuvastamiseks tuleb kogutud logiandmeid ka regulaarselt analüü-sida (vt G 2.22 Logiandmete analüüsimata jätmine ).

Näited

• Kui ebapiisava logimise tõttu jääb tuvastamata mõni kogemata või etteka-vatsetult loodud usalduslik suhe mõne välise domeeniga, võib juhtuda, etvälise domeeni liikmetel tekib selle kaudu märkamatu juurdepääs institut-siooni IT-süsteemidele.

• Kui domeenikontrolleri logisid ei analüüsita regulaarselt, võib jääda märka-matuks fakt, et kõik selle domeeni kasutajad on lisatud Domain Adminsikasutajagruppi. Avastamata väärkonfiguratsioonid võivad viia näiteks selle-ni, et domeeni liikmed saavad domeenis paiknevatele süsteemidele täieõi-gusliku juurdepääsu, mille tagajärjel hakkab domeeni arvuteid kimbutamapahavara (tagauksed ja Trooja hobused).

• Tagaukse võib luua näiteks haldamistegevuses kasutatav vigane skript.

183 / 781

G 2.127 Domeenikontrolleri andmevarundusmeetodite ebapiisavplaneerimine

Kui Active Directory domeenikontrollerite andmete varundamiseks kasutataksevalesid varundusmeetodeid, võib see pärssida domeeni tööd. Juhul kui andmetevarundamisel ei arvestata domeenikontrollerite erilise rolli ja tehnilise iseärasuse-ga, võivad tekkida järgmised probleemid.

Väikse koostalitlusvõimega tarkvara kasutamine domeenikontrollerite andmetevarundamiseks võib tekitada süsteemis asjatuid replikeerimisi ja koos sellega katõrkeid Active Directory töös (vt G 4.68 Ebavajalikust replikeerimisest tingitudtõrked Active Directory töös ).

Lisaks pole andmevarundusmeetodite puudulikul planeerimisel tagatud, et va-rundamisoperaatorite volitused on domeeni liikmesserverite jaoks piisavate piiran-gutega. Kui kasutada ebapiisavalt piiratud või piiranguteta volitusi, võivad varunda-misoperaatorid saada domeenis administratiivsed volitused ja seeläbi võimaluserikkuda töörollide lahutamise kontseptsioone.

Andmevarunduse puudulik planeerimine võib anda suure tagasilöögi eriti justmitme asukohaga organisatsioonides, sest võib juhtuda, et mõni asukoht jääbprotsessist välja ning valitud kaugvarundusmeetod ei suuda andmeid piisavalthästi kaitsta, mistõttu on võimalik turbe jaoks olulisi Active Directory andmeid üle-kandmisel pealt kuulata.

Kui andmevarunduste intervall on liiga pikk, võidakse domeenikontrolleri and-mete taastamisel süsteemi sisse lugeda ka sellised Active Directory objektid, mil-le eluiga on juba ületatud ja mis on määratud kustutamisele. See võib tekitadaprobleeme domeenikontrollerite omavahelisel replikeerimisel ja seega põhjustadaebakõlasid.

184 / 781

G 2.128 VPN-i juurutamise ebapiisav või puuduv planeerimine

Kui virtuaalse privaatvõrgu (VPN) planeerimisel ja loomisel ei olda piisavalt hoo-likas, võib ka üksainus VPN-i turvaauk mõjutada kõikide sellega seotud IT-süsteemide turvet. See võib viia isegi selleni, et ebapiisavalt kaitstud VPN-ühenduse kaudu kompromiteeritakse sellega ühendatud ametiasutuse või ette-võtte võrku.

Ebapiisava või puuduva planeerimise tagajärjeks võivad olla alljärgnevad prob-leemid:

• Kui VPN-ühenduse krüpteerimiseks valitakse välja ebasobiv krüpteerimis-algoritm, võivad ründajad või konkurendid pääseda ligi tööprotsesside toi-mimise seisukohast kriitilise tähtsusega infole.

• Mõnes riigis tuleb tugevate krüptograafiliste meetodite kasutamiseks taotle-da luba. Seaduste eiramine võib viia õiguslike tagajärgedeni.

• Internetipõhiste VPN-ide puhul puuduvad garanteeritud tööajad. Ajalisesmõttes kriitilise tähtsusega rakendustes (nt masinates reaalajas toimivatesjuhtimissüsteemides) võib see põhjustada probleeme.

• Kui planeerimisel hinnatakse vajalikku ribalaiust valesti, võib tagajärjeks ollanäiteks VPN-i ebapiisav edastusjõudlus. See võib piirata või lausa takistadaVPN-i kanalit vajavate rakenduste kasutamist.

• Kui VPN-i planeerimisel ja kontseptsiooni loomisel ei arvestata edasiaren-damisvajadusega, võib süsteemi hilisem täiendamine ebaõnnestuda.

• VPN-i lõpp-punktide integreerimisel olemasolevate turvalüüsidega võib tek-kida komplikatsioone. Sageli võib põhjus olla see, et turvalüüsides tuleb tehakeerukaid seadistusi.

185 / 781

G 2.129 VPN-i kasutamise ebapiisavad või puuduvad reeglid

Virtuaalsete privaatvõrkudega (VPN) omavahel ühendatud arvuteid ja võrke ei saaautomaatselt pidada usaldusväärseks. Eriti kehtib see juhul, kui ühendatud arvutidja võrgud moodustavad võõrvõrgu, mida ei saa ise hallata. Sellesse kategoorias-se jäävad näiteks Extranet-VPN-id. Nende puhul ühendatakse enda võrk teistefirmade võrkudega, arvestades sealjuures funktsionaalsete piirangutega ja turbe-nõuetega. Kui välise VPN-võrgu turvaaugud mõjutavad enda võrku, võib sellestettevõttele ja ametiasutusele tekkida suur kahju.

Extranet-VPN-e kasutatakse sageli autotööstuses ja muudes valdkondades,kus läheb tarvis intensiivset koostööd tootja ja tarnija vahel.

VPN-i kasutamise ebapiisavate või puuduvate reeglite korral võivad tekkida all-järgnevad turbeprobleemid:

• VPN ei tohiks „orgaaniliselt” kasvada. Enne VPN-pääsude kasutuselevõt-tu tuleb neid planeerida. Kogemused näitavad, et raskesti hallatavad riist-ja tarkvara kasutamise stsenaariumid võivad tekkida eriti siis, kui VPN-pääsusid pidevat laiendatakse. Tagajärjeks võivad olla turbeseadistused,mis on valed, ei ühildu üksteisega või tühistavad üksteist.

• Kõikehõlmava ja kohustusliku turbekontseptsioonita jääb turbeseadistus-te valik tavaliselt administraatorite ja VPN-i kasutajate otsustada. Tagajär-jeks võivad olla ebasobivad turbeseadistused, mis näiteks takistavad ühen-duse loomist või loovad ebaturvalisi ühendusi. Kuna VPN-iga ühendatud IT-süsteemidel on sageli samad pääsuvõimalused nagu LAN-iga ühendatudIT-süsteemidel, võib see olenevalt olukorrast pärssida ka LAN-i turvet.

• VPN-i turbe jaoks on tarvis, et füüsilised komponendid (arvuti, võrguühen-duselemendid), nende ühendamise struktuur (võrgujaotus, ühenduse topo-loogia) ja vastavad tarkvarakomponendid teeksid omavahel koostööd. VPN-iturbekontseptsiooni raames kindlaks määratud reeglid ja nende juurutami-ne asjakohaste konfiguratsiooniseadistustega tagavad soovitud turbe ainultsiis, kui reaalselt installitud süsteem kattub planeeritud süsteemiga. Sagelion siiski nii, et kuna näiteks planeerimisfaasis pole piisavalt detailset infot,tuleb füüsilisi komponente hiljem muuta. Kui muudatused jäetakse tähele-panuta, neid ei dokumenteerita ja nende mõju infoturbele ei analüüsita, võibsee ohustada muudatustega seotud arvutite ja võrkude turvet.

• VPN-i kasutajad jäetakse tavaliselt iseenese hooleks. Kui VPN-i kasutamisekohta puuduvad selged reeglid või kui kasutajad neid ei tunne, võivad nadenese teadmata tekitada turvaauke.

• Kui VPN-i komponentide vahel edastatakse isikuandmeid ja seejuures eijärgita andmekaitsenõudeid, võib tagajärjeks olla seaduste rikkumine. Sea-dustes ettenähtud turbenõuded võivad kehtida ka teistele andmetele, st mit-te ainult isikuandmetele.

Näited

• VPN-i kasutusreeglite puudumise tõttu sai tarnija ulatuslikud pääsuõigusedvõrgule ja seeläbi ka juurdepääsu tootja konfidentsiaalsetele dokumentidele.Dokumendid jõudsid avalikkuse ette ja põhjustasid tootjale märkimisväärsetmajanduskahju.

186 / 781

• Pooljuhtide tootjafirma on Extranet-VPN-iga ühendatud oma tarnija kaudu.Tarnija ebapiisavate viirusetõrjemeetmete tõttu pääses pahavara VPN-i kau-du pooljuhtide tootja lokaalsesse firmavõrku ja põhjustas ulatuslikke häireid.

• Ametiasutuse VPN-i administraator võimaldas kasutada ainult kolmik-DES-meetodiga krüpteeritud ühendusi, kuid kasutaja oli jätnud oma VPN-klientsüsteemi krüpteerimisfunktsiooni konfigureerimata. Kuna turbeseadis-tused ei ühildunud üksteisega, polnud ühendust võimalik luua.

• Ettevõttes seati VPN-i kasutuselevõtul tööle väike ISDN-lisaseade, sest pai-galdatud kaablid ei võimaldanud teistsugust lahendust. Kuna lisaseadmegaei osatud süsteemi planeerimisel arvestada, siis see seade ununes ja jäiVPN-i turbekontseptsioonist välja. Selle tagajärjel oli VPN-ühendusega pik-ka aega võimalik seadmele ligi pääseda läbi kaughoolduse juurdepääsu,sest see oli kaitstud ainult standardse salasõnaga.

187 / 781

G 2.130 VPN-i krüpteerimisprotseduuri ebaõnnestunud valik

VPN-i sobiva krüpteerimisprotseduuri olulisus suureneb vastavalt sellele, kui paljuandmeid VPN-i läbib ja kui suur on töödeldavate andmete turbevajadus. Ebasobivkrüpteerimisprotseduur ohustab kaitsevajadusega andmeid nende edastamisel lä-bi ebaturvaliste võrkude.

Krüptoanalüüsiga rünnetele on eriti vastuvõtlikud just staatilised krüptograafili-sed võtmed ja Pre-Shared Keys (kokkulepitud võtmed, lühidalt PSK-d). Lisaks võibPSK valik mõjutada turvet, nt seoses sõnaraamatu- ja Brute-Force-rünnetega.

Kui mõni autentimiskomponent lakkab töötamast, võib ebapiisav hädaolukor-raks valmisoleku planeering (nt puuduv liiasus) tuua kaasa olulisi häireid töös, ntkasutaja ei saa ennast sisse logida ja VPN-i kasutada.

Näited

• Staatiliste krüptograafiliste võtmete kasutamine ei ole turbe seisukohast ots-tarbekas. Kuna võtmed jäävad pikaks ajaks muutumatuks, krüpteeritaksenendega sageli suuri andmehulki. See kergendab oluliselt krüpteeritud and-mete krüptoanalüüsi ja suurendab samal ajal nende analüüsitulemuste ka-sutusvõimalusi.

• Ettevõttes kasutatakse kogu VPN-taristus ühtainust PSK-d. Selle võimalikukompromiteerimise tagajärjel satub küllaltki suurde ohtu kogu turve.

188 / 781

G 2.131 VPN-i puudulik seire

Virtuaalne privaatvõrk (VPN) on rünnete potentsiaalne sihtmärk, olgu siis ees-märgiks selle volitamata kasutamine, et selle kaudu toimuvat suhtlust pealt kuula-ta, või selle käideldavuse hävitamine (DoS-ründed). Selliste rünnete tõttu võib niiVPN-iga seotud taristu toimimine kui ka kõikide teiste seotud rakenduste töö ollatugevalt häiritud.

Kui VPN-i ja selle komponente ei kontrollita piisavalt, ei suudeta ründeid kasüldse või siis aegsasti tuvastada. Mida kauem saab ründaja märkamatult VPN-ikasutada, seda suurem on ettevõtte või ametiasutuse jaoks oht, et näiteks konfi-dentsiaalsed andmed nuhitakse välja. Selliste ohtude vähendamiseks kasutatak-se tavaliselt logimisfunktsioone. Sageli jäetakse siiski arvestamata, et logiandmedvõivad turvet suurendada ainult siis, kui neid analüüsitakse.

Näide

• Ründaja tungib ettevõtte VPN-i autentimiskaitsest läbi, kasutades Brute-Force-rünnet. VPN-lüüs logib toimunud ründe. Kuna vastutav administraatorkontrollib liiga suure töömahu tõttu logisid ainult aeg-ajalt, ei märgata rün-net õigel ajal. See annab ründajale võimaluse pääseda pikka aega ligi niiettevõtte sisevõrgule kui ka sisevõrguga ühendatud tarnijate võrkudele.

189 / 781

G 2.132 Tööprotsesside puudulik arvestamine turvapaikade jamuudatuste haldamisel

Ettevõtetes ja ametiasutustes peaksid infoturbega seotud protsessid ning turbe-meetmed lähtuma organisatsiooni tööeesmärkidest ja -protsessidest. Paikade jamuudatuste halduse raames tehtud muudatused IT-süsteemides võivad vähenda-da üksikute turbemeetmete tõhusust ja ohustada seeläbi üldist turvet. Sobimatudpaigad ja muudatused võivad muu hulgas mõjutada tööprotsesside sujuvat kulguvõi halvata täielikult asjassepuutuvate IT-süsteemide töö. Ükskõik kui põhjalik ka-sutatav katsetamismeetod ka ei ole, võib siiski juhtuda, et teatud asjaolude kokku-langemisel võib mõni paik või muudatus hilisema kasutuse ajal vigaseks osutuda.

Kui paikade ja muudatuste protsessis hinnatakse esitatud muudatusnõude(Request for Change, RfC) mõju, kategooriat või prioriteeti valesti, võib see vä-hendada turbeastet. Sellised valed hinnangud tulenevad peamiselt puudulikustkooskõlastamisest IT eest vastutava isiku ja osakondade vahel.

Muudatuste ja paikade paigaldamisega saab ühelt poolt küll turvaauke sulgeda,kuid teisalt on sama tegevusega võimalik ka tahtmatult suuri kahjusid tekitada.Näiteks võib vigase paiga tõttu turvaauk paisuda veelgi suuremaks või vähenedamõne rakenduse või äriprotsessi käideldavus.

Näited

• Finantsettevõttes tekib paikade kiire, kuid osakondadega kooskõlastamatajaotamiste (rollout) tagajärjel korduvalt olukord, kus äritegevuse jaoks kriitili-se tähtsusega Reporting-rakenduse käideldavus on piiratud. Selle tagajärjelei suudeta järelevalveameti määratud aruandetähtajast kinni pidada ja ette-võttele määratakse trahv.

• Ettevõttes arendatakse ja värskendatakse väliste partneritega suhtlemisekaubandustarkvara uut versiooni. Kuna serveriga ühenduses olev kompo-nent on nüüd märksa mahukam ja peab suhtlema mitme klientsüsteemi-ga, loobutakse uues versioonis seni kasutatud SSL protokollist, kuid sellestjäetakse teisi teavitamata. Kuna äripartnerid on lepinguga kohustatud kasu-tama sama tarkvara, toimub äriprotsesside jaoks oluline kommunikatsioonkrüpteerimiskaitseta.

190 / 781

G 2.133 Kohustuste puudulik jaotus turvapaikade ja muudatustehaldamisel

Paikade ja muudatuste halduse raames tuleb töötajatele seada selged vastutus-alad. Kui vastutusalad on puudulikult reguleeritud või reguleerimata, võib see tuuakaasa raskeid tagajärgi. Näiteks võivad reguleerimata vastutusalad viia selleni, ettõsiseid turvaauke ei suleta aegsasti, sest mitte keegi ei taha turvapaiga paigalda-mise eest vastutust endale võtta.

Paikade ja muudatuste halduse puudulikult määratud, kattuvad või ebasel-ged vastutusalad aeglustavad muudatusnõuete (request for change) liigitamist japrioriteetide määramist ning seeläbi ka paikade ja muudatuste soovitud väljalask-mist (rollout). Ühtlasi võib turvet oluliselt nõrgendada ka see, kui muudatused võipaigad lubatakse kasutusse liiga rutakalt, kõiki asjakohaseid aspekte uurimata.Äärmuslikul juhul võivad puudulikult kindlaks määratud vastutusalad pärssida tu-gevalt kogu organisatsiooni tööd või selle koguni halvata. Häired töös mõjutavadkäideldavust, seevastu turbe jaoks oluliste paikade jaotamata jätmine vähendabkonfidentsiaalsust või terviklust.

Näited:

• Ettevõttes ei ole kindlaks määratud paikade ja muudatuste halduse eest vas-tutavaid kontaktisikuid. Seega esineb muudatusnõuete prioriteetide kehtes-tamises pidevalt viivitusi. Lisaks on raske analüüsida muudatuste võimalikkumõju ettevõtte tööprotsessidele. Kui tarkvaras avastati turvaaugud või kasu-tatud krüptograafilised algoritmid vananesid, ei saadud ajaliselt kriitilisi tur-vapaikasid õigel ajal paigaldada ja krüpteerimisalgoritme vahetada, mistõttumuutusid turvaaugud nähtamatuteks tagausteks Trooja hobustele ja puudu-likult krüpteeritud andmed sattusid ohtu.

• Ametiasutuses muudeti IT-süsteemi IT-osakonda sellest teavitamata. Osa-kond ei saanud end selleks ette valmistada ega ka muudatustele oma nõus-olekut anda. Paigaldatud muudatuse tõttu lakkasid osade kasutajate IT-süsteemid töötamast ja nii jäid olulised tööd tegemata.

191 / 781

G 2.134 Ebapiisavad ressursid turvapaikade ja muudatustehaldamisel

Paikade ja muudatuste tõhusa halduse juurutamiseks ja tööshoidmiseks läheb tar-vis vajalikul hulgal inimesi, aega ja raha. Kui neid pole piisavalt, võivad tagajärjedolla mitmeti negatiivsed.Sellega kaasnevad ohud võivad olla näiteks järgmised:

• Teatud ülesanded antakse inimestele, kes ei sobi nende täitmiseks.• Info liikumiseks jäetakse sisse seadmata vajalikud ühenduslülid, nt jäetakse

kindlaks määramata erialavaldkondade kontaktisikud.• Ei suudetud võtta kasutusele piisava jõudlusega katsetamis- ja jaotamis-

keskkonda.

Kuigi puudujääke tööjõus, ajas ja rahalistes võimalustes saab sageli lahendadaveel töö käiguski, muutuvad need suures ajahädas, nt avariipaikade paigalda-misel, vägagi tajutavaks.

Näited:

• Paikade ja muudatuste haldamiseks vajaliku tööjõu puudus võib vastuta-vad töötajad üle koormata. Plaanipäraste paikade ja muudatuste igapäe-vane haldamine ei tekita enamasti probleeme, kuid selle töö kõrvalt polevõimalik aktiivselt ja õigel ajal reageerida turvapaikade jaotamisvajaduse-le. Seega ei suuda organisatsioon reageerida õigel ajal sündmustele, misohustavad turvet.

• Kui paiga või muudatuse katsetamiseks jääb liiga vähe aega või kui juurde-pääs tööks kasutatava süsteemi sarnasele katsetamiskeskkonnale on puu-dulik või puudub sootuks, jaotatakse keerukasse süsteemikeskkonda laialiebapiisavalt katsetatud paigad ja muudatused. Selle tagajärjel võivad tek-kida probleemid stabiilsuse või asjassepuutuvate operatsioonisüsteemide,rakenduste ja andmebaaside haldussüsteemide koostalitlusvõimega.

192 / 781

G 2.135 Puudulik side turvapaikade ja muudatuste haldamisel

Turvapaikade ja muudatuste haldamisega seotud inimesed peavad muudatusteprotsessi raames regulaarselt omavahel suhtlema, et kooskõlastada muu hulgasmuudatusnõuete kategooriad ja prioriteedid ning leida sobiv hetk muudatuste väl-jalaskmiseks (rollout). Kui paikade ja muudatuste haldamisega seotud inimesed eisuhtle omavahel või kui paikade ja muudatuste haldamist ei aktsepteerita organi-satsioonis piisavalt, võivad sellel olla järgmised tagajärjed:

• muudatusnõudeid täidetakse viivitusega;• muudatusnõuete vastuvõtmise kohta tehakse valesid otsuseid.

See võib vähendada turvet ja põhjustada tõsiseid häireid IT-süsteemide töös.Ebapiisava suhtlemise tagajärjel muutub paikade ja muudatuste protsess ebatõ-husaks, sest selleks kulub liiga palju aega ja muid ressursse. Paikade ja muuda-tuste ebatõhus haldus pärsib organisatsiooni reageerimisvõimet ja võib äärmiseljuhul viia turvaaukude tekkeni või tõkestada organisatsiooni tegevuse jaoks püsti-tatud oluliste eesmärkide saavutamist.

Näide:

• Ettevõttes ei selgitatud protsessiga seotud osakondadele (nt töid teostavaleIT-osakonnale ja korraldusi vastu võtvatele erialaosakondadele) piisavalt, kuitähtis on paikade ja muudatuste haldus ning kuidas seda teha tuleks. See-tõttu vastasid erialaosakonnad järelepärimistele, mis puudutasid eesseis-vaid muudatusi, väga aeglaselt. Lisaks eraldasid IT-osakonna juhid paika-de ja muudatuste halduse planeerimiseks ning protsessi elluviimiseks liigavähe aega ja personali. Loetletud puudujääkide tõttu pääsesid muudatustetegemise käigus süsteemi mitmed vead, põhjustades erinevaid turvaauke.

193 / 781

G 2.136 Puudulik ülevaade IT-kooslusest

Kui organisatsiooni olulistest kaitset vajavatest infokogumitest, tööprotsessidest jaIT-struktuuridest puudub ülevaade, ei saa tagada kõikehõlmavat turbehaldust egaka IT-seadmete veatut tööd. Seega läheb tarvis ülevaadet mitte ainult tehnilistestkomponentidest, vaid ka nende võrguühendusest ja ruumilisest taristust, samutituleb välja selgitada komponentide sõltuvusseosed. Kindlasti on vaja ülevaa-det IT-komponentides kasutatavatest krüptograafilistest algoritmidest ja nendeseadistustest, et vananenud krüptograafilised algoritmid saaks õigel ajal väljavahetada juhul, kui need nõrgenevad.

Kui organisatsioonil puudub detailne info, millistes kohtades milliseid IT-süsteeme ja rakendusi kasutatakse ning milliseid tööprotsesse ja -ülesandeidneed toetavad, on näiteks võimatu paikasid ja muudatusi tõhusalt hallata. Seetõttupeab ülevaade kõikidest teenuseid toetavatest elementidest, nt võrgukomponen-tidest, serveritest, klientsüsteemidest, rakendustest ja ka nende seostest olemaalati ajakohane ja täielik. Seejuures on väga oluline info detailsuse aste. Kui infoon liiga detailirohke, kaob ülevaade ja haldamiseks vajalike tööde maht muutubväga suureks. Seevastu võib pealiskaudne või ebatäielik ülevaade viia selleni, etsüsteemi olulised elemendid jäävad paikade ja muudatuste haldamise protsessistkas välja või neid kaasatakse poolikult. Sellisel juhul on organisatsiooni turbe-eesmärkide rikkumine vaid aja küsimus.

Näited:

• Ettevõte haldas oma paikade ja muudatuste andmebaasis suurt hulka de-tailset infot. Olukorras, kus hallatavatesse IT-süsteemidesse taheti paigalda-da tarkvara uuem versioon, käivitas muudatuste haldaja (töötaja) värsken-dusprotsessi, mis võrdles installitud versiooni uue saadaoleva versiooniga.Kuna ettevõttel oli väga vähe personali, jäeti installitud tarkvara versioonekajastavad andmekogumid värskendamata. Selle tegematajätmise tõttu eimärgatud, et uuemas tarkvaraversioonis on suured turvaaugud ja tarkvarajäeti värskendamata. Ründaja sai neid turvaauke ära kasutada ja pääses ligikonfidentsiaalsele infole.

• Ettevõttes ei hallatud piisavalt ei tarkvara ega ka litsentse. Seetõttu ei mär-gatud mitme olulise rakenduse puhul seda, et tootja ei paku organisatsiooniskasutatavatele versioonidele enam turvapaikasid. Selle tagajärjel ei suude-tud turvaauke piisavalt kiiresti sulgeda.

194 / 781

G 2.137 Ebapiisav või puuduv planeerimine turvapaikade jamuudatuste evitamisel

Selleks, et paikasid ja muudatusi saaks organisatsioonis evitada ettenähtud ajajooksul, tuleb paikade ja muudatuste halduse raames planeerida selleks vajalikutehnilise ressursi ja personaliressursi kasutamine. Ebapiisavate ressurssidegakaasneb oht, et muudatuste evitamine võib võtta planeeritust kauem aega jasee võib ka ebaõnnestuda. Ebaõnnestumise tagajärjel, nt kui vajalikud serveridvõi andmebaasid lakkavad mõne vea tõttu töötamast, võib väheneda rangetenõuetega tööprotsesside käideldavus.

Paikasid ja muudatusi saab evitada ka tarkvaraga. Kui paikade ja muudatustehaldamiseks rakendatav tarkvara ei ole aga piisavalt paindlik, st kui seda ei saakohandata kasvava ja keerukamaks muutuva IT-maastikuga, kulub evitamiselelõppkokkuvõttes varasemast veelgi enam aega. Seeläbi ei saa turbe seisukohastolulisi uuendusi enam õigel ajal evitada.

Olenevalt olukorrast võib terviksüsteemi ühtsuse ja turbe jaoks saada määra-vaks paikade ja muudatuste evitamise järjekord. Näiteks võib turbetarkvara uuemaversiooni kasutuselevõtul kehtida eeltingimus, et kasutada tuleb operatsioonisüs-teemi, millesse peavad olema installeeritud kõik värsked paigad. Sellisel juhul tu-leb esmalt värskendada kõik IT-kooslusse kuuluvad operatsioonisüsteemid, vaja-duse korral need ka taaskäivitada, ja alles siis saab hakata paigaldama uut turbe-tarkvara.

Evitamistarkvara, mis jätab installeeritud paigad ja muudatused kontrollimata,võib üritada installeerida turbetarkvara veel enne, kui operatsioonisüsteemi on õn-nestunud värskendada. Selle tagajärjel võib tekkida ebaühtlane või ka paikadetasüsteem.

IT-süsteemide tarkvara värskendamisega kaasneb sageli rakenduse või operat-sioonisüsteemi taaskäivitamine. Keerukad rakendused, nt andmebaasid, vajavadaega, enne kui suudavad oma andmed taas kättesaadavaks teha. Selle aja jooksulei saa süsteemide rakendusi ega andmeid kasutada. Rangete käideldavusnõuete-ga süsteemide puhul võib see pärssida organisatsiooni tööd. Eriti võib see juhtudasiis, kui aeg, mil süsteeme pole võimalik kasutada, venib muudatusprotsessi ajaltekkinud vigade tõttu planeeritust pikemaks. Sellised katkestused võivad segadanii organisatsiooni kui ka tema klientide tööd.

Näited:

• Organisatsioonis installeeritakse Windowsi Serveri turvapaik. Pärast instal-leerimist tuleb server taaskäivitada. Taaskäivitamise ajal ei saa süsteemi ka-sutada. Kuna selle serveri kaudu logitakse sisse kohtvõrku, ei saa kasutajadtaaskäivitamise jooksul end kohtvõrku sisse logida ja nende töövõimalusedon piiratud. Kuna organisatsioon oli oma klientidega sõlminud teenuseta-

195 / 781

semeleppe, mis lubas neile tagada suure käideldavuse, rikkus ta sellegalepingut.

• Ettevõtte IT-osakond installeerib IP-kõne serverile turvapaiga. Süsteemitaaskäivitamisel tuleb muuta veel ka IP-kõne teenuse konfiguratsioonifaili.Selle aja sees ei saa vastata saabuvatele kõnedele. Kuna ettevõttega polevõimalik kontakti saada, mõjutab see negatiivselt klientide arvamust sellestettevõttest.

196 / 781

G 2.138 Puudulikud taastamisvõimalused turvapaikade jamuudatuste haldamisel

Taastamiseks nimetatakse protseduuri, mille käigus taastatakse kustutatud võikahjustatud andmed, rakendused või teatud konfiguratsioonid, kasutades selleksnäiteks andmete varukoopiat. Kuna pärast keerukate paikade ja muudatuste evi-tamist võib tihti esineda ootamatuid komplikatsioone, tuleks alati kindlaks määratataastepunktid.

Rikkeolukordades on võimalik taastepunkte kasutada tööprotsesside taasta-miseks. Kui muudatuste evitamisel puudub taastamise võimalus või kui kasutatavatarkvara taastamismeetodid ei tööta või on ebatõhusad, ei saa tarkvara värsken-damisel tekkinud vigu õigel ajal korrigeerida. Sellest tulenev IT-taristu tõrge võibtekitada organisatsioonile kahju.

Tavaliselt tuleb selleks, et kahju tagajärjed osutuksid minimaalseks, taastadaasjassepuutuvate süsteemide töö võimalikult kiiresti. Juhul kui kiire taastamiselahendused ei ole piisavalt head või kui need puuduvad sootuks, võivad tagajärjedolla väga tõsised.

Näide:

• Paikade ja muudatuste evitamise käigus andmebaasirakendusi värsken-dades kirjutatakse andmebaasirakenduse vana konfiguratsioonifail uuegaüle. Värskendamisel selgub, et värskendatud andmebaasirakendus ei ühildunende veebirakendustega, millega peaks saama seda andmebaasi kasuta-da. Seda probleemi ei saa kiirelt kõrvaldada. Kuna vana tarkvaraversioon jaselle konfiguratsioon pole taastamise jaoks salvestatud, tuleb luua uus kon-figuratsioon ning seetõttu on andmebaas ja olulised veebirakendused pikkaaega kasutuskõlbmatud.

197 / 781

G 2.139 Puudulik arvestamine mobiilsete terminalidega turvapaikadeja muudatuste haldamisel

Lõppseadmete üha suurenev mobiilsus muudab paikade ja muudatuste evitamisejärjest keerulisemaks. Mobiilsete süsteemide kasutuskoht muutub pidevalt ja ku-na seadmed ühendavad end võrku raadiolevil põhineva sidetehnoloogiaga, po-le need seadmed paikade ja muudatuste automaatseks evitamiseks alati kätte-saadavad. Lisaks pole mobiilsete lõppseadmete ühendustes tagatud samaväärneandmeedastuse ribalaius ja stabiilsus nagu kohtvõrguga statsionaarselt ühenda-tud seadmetes. Seetõttu võtab varukoopiate ja taastepunktide loomine rohkemaega ning nende usaldusväärsus on väiksem. Kui paikade ja muudatuste haldusei arvesta mobiilsete süsteemide eripäradega, võib evitamine olla ebatäielik, võttakauem aega ja sisaldada turberiske.

Näide:

• Ettevõttele soetatud mobiiltelefone saab värskendada ainult siis, kui ühen-dada need arvutiga. Selleks peavad kasutajad toimetama oma mobiilsedseadmed ettevõtte IT-osakonda. Pärast seda, kui Bluetoothi rakendusesavastati suur turvaauk ja selle kõrvaldamiseks avaldati turvapaik, said rün-dajad mõnest seadmest kätte olulist infot, sest kõik töötajad ei jõudnud omamobiiltelefone õigel ajal värskendamiseks ära anda.

198 / 781

G 2.140 Ebapiisav hädaolukorraks valmisoleku kontspetsioonturvapaikade ja muudatuste haldamisel

Paikade ja muudatuste haldamine kuulub organisatsiooni IT-turbe tehniliste meet-mete hulka. Selles protsessis kasutatavad IT-süsteemid on tavaliselt kogu IT töös-hoidmise jaoks kriitilise tähtsusega. Siia alla kuuluvad näiteks paikasid ja muu-datusi evitavad keskserverid, IT-süsteemide värskeid konfiguratsioone sisaldavadandmebaasid ja taastepunktide loomiseks vajalikud varundusserverid. Kui paika-sid ja muudatusi evitav server lakkab töötamast, võib juhtuda, et ilmuvaid kriitilisetähtsusega värskendusi ei õnnestu enam õigel ajal installeerida. Lisaks võib IT-süsteemide värskete konfiguratsioonide puudulik varundamine viia selleni, et hä-daolukorras pole enam olulistes IT-komponentides võimalik nende esialgset sei-sundit kiiresti taastada.

Näide:

• Paikade ja muudatuste haldamise hõlbustamiseks kasutati ettevõttes raken-dust, mis lõi varundusserverisse regulaarselt taastepunkte. Kui hädaolukor-ras oli süsteemi tarvis varundusserveri põhjal taastada, selgus tõsiasi, etsüsteem pole juba mõnda aega enam varukoopiaid teinud, sest kõvaketasoli saanud täis, aga süsteemi sellekohasele veateatele polnud keegi reagee-rinud. Seeläbi suudeti esialgu süsteemis taastada ainult vananenud tarkva-raversioon, millele tuli juurde installeerida muid turvapaikasid.

199 / 781

G 2.141 Märkamata jäänud turvaintsidendid

Ametiasutuse või ettevõtte igapäevases IT-töös võib esineda mitmeid tõrkeid ja vi-gu. Seejuures on oht, et personal ei tunne turvaintsidente ära ja rünne või ründe-katse jääb märkamata. Ka siis, kui kasutajatele ja administraatoritele on infotehno-loogia turbeaspekte piisavalt selgitatud ja nad on läbinud asjakohased koolitused,võib ikkagi juhtuda, et turvaintsidendid jäävad märkamata.

Näited:

• Internetiühenduse jõudluse vähenemine kirjutatakse teenusepakkuja puu-duliku teenuse arvele ja täpsem analüüs jäetakse tegemata. Jõudluse vähe-nemise tegelik põhjus võib olla näiteks kohtvõrgu kompromiteeritud server,mida kasutatakse illegaalse failiserverina ja mis tarbib seeläbi ribalaiust.

• IT-rakendusse sisse logides saab kasutaja süsteemilt teate, et tema viimanesisselogimine toimus pühapäeva hommikul, kuigi ta tegelikult nädalavahetu-sel ei töötanud. Kasutaja ei kahtlusta midagi ega teavita juhtunust ka turbeeest vastutavat töötajat. Seeläbi ei saadagi teada, et kasutaja profiilile võiselle salasõnale on ligi pääsenud ründaja.

• Sülearvuti kasutaja, kes ei ole end juba pikka aega oma firma või ametiasu-tuse kohtvõrku sisse loginud, peab juba nädal aega kestvat sülearvuti aeg-last töötamist internetikeskkonnas tavaliseks ja ei märka, et süüdi on temaarvutis olev Trooja hobune. Talle ei selgitatud, et kahtlastest olukordadesttuleb teavitada turbe eest vastutavat töötajat.

• Ärireisija ei märka, et välismaal viibides on volitamata isikud tema sülear-vutist andmeid välja nuhkinud. Olukord, kus tema sülearvuti korraks hotelli-toast ära kadus, kuid seejärel varsti ootamatult taas välja ilmus, ei äratanudtemas vähimatki kahtlust.

• Filiaali sissemurdmist peetakse tavaliseks esemete varguseks, sest vargadviisid endaga kaasa sülearvuteid ja monitore. Faktile, et sülearvutid sisalda-sid konfidentsiaalset infot ja intranetis asuvate süsteemide pääsuandmeid,ei pöörata üldse tähelepanu ja turbe eest vastutavat töötajat vargusest eiinformeerita. Sellele järgnevad ründed, mille sihtmärgiks on teiste filiaalideja firma peakorteri IT-süsteemid, kuid varguse mahavaikimise tõttu pole et-tevõte nendeks valmis. Ründe planeerimiseks ja läbiviimiseks kasutati va-rastatud sülearvutitest leitud andmeid.

200 / 781

G 2.142 Tõendite hävitamine turvaintsidentide käsitlemisel

Kui turvaintsidentide käsitlemisel ei olda piisavalt ettevaatlik või ei järgita as-jakohaseid nõudeid, võivad intsidendi põhjuste väljaselgitamiseks või hilisemaametliku uurimise jaoks vajalikud tõendid hävida.

Näited:

• Administraator avastab oma süsteemis, et vaba mälumaht väheneb järsultja andmeid ei saa enam salvestada. Mälu kiireks vabastamiseks kustutabta esimese asjana kohe kõik logifailid. Kustutatud logifailid oleksid hilisemaluurimisel näidanud, et serveri vastu pandi toime rünne, ja võib-olla oleksidneed paljastanud ka võimalikud ründeallikad.

• Ründaja jättis endast arvutisse maha viiruse või Trooja hobuse, mille töövii-si ja eesmärki saab analüüsida ainult siis, kui süsteem töötab. Analüüsikstuleb salvestada aktiivsete protsesside info ja põhimälu sisu. Kui ründe ohv-riks langenud süsteem lülitatakse liiga ruttu välja, ei saa seda infot enamturvaintsidendi analüüsimiseks ega uurimiseks salvestada.

• Administraator avastab, et serveri mingisugune protsess on viimastel päeva-del tarbinud suurel hulgal arvutusressurssi. Lisaks kirjutab see protsess kõ-vakettale suurel hulgal ajutisi faile ja saadab internetti tundmatut infot. Prot-sessi enneaegse sulgemise ja tundmatute failide kustutamise järel võib ollavõimatu välja uurida, kas tegu on ründega ja kas saadeti konfidentsiaalseidandmeid.

• Oluline server on kompromiteeritud, sest administraator ei saanud suu-re töökoormuse ja planeerimata hooldusaegade tõttu paigaldada uusimaidturbevärskendusi. Vältimaks võimalikke distsiplinaarseid tagajärgi, paigal-dab administraator puuduvad värskendused veel enne, kui turbemeeskondjõuab uurida ründe põhjust ja tekitatud kahjustusi. Vale käitumine ei lasknudprobleemi analüüsida.

201 / 781

G 2.143 Informatsioonikadu andmete kopeerimisel ja teiseldamiselSamba ühiskasutuses

Sambat kasutatakse tihti Windowsi süsteemide failiserverina. Windowsis (alatesWindowsi NT-st) on standardseks failisüsteemiks New Technology File System(NTFS). Samba seevastu kasutab failide haldamiseks Unixi failisüsteemi. Faili-süsteemid, mida Windows ja Unix kasutavad, on kohati väga erinevad.

Failisüsteemid, mida kasutavad Unixi-laadsed operatsioonisüsteemid, nt Thirdextended file system (ext3) või Journaled File System (JFS), ei suuda NTFS-iteatud omadusi täielikult imiteerida. Samba saab neid erinevusi enamasti küll ta-sakaalustada, kuid on olukordi, kus Samba ei suuda NTFS-failisüsteemi objektideomadusi üheselt mõista. Kopeerides või teisaldades failisüsteemi objekte välja-poole süsteemi piire (nt Windowsi XP-st Samba serveri ühiskasutusse), võib ju-hul, kui administraatorid ei tunne sellise tegevuse tagajärgi, juhtuda, et liigutatavadandmed lähevad kaotsi.

Kaduma võib minna järgmine info:

• pääsuloendid (ACL);• Alternate Data Streams (ADS);• DOS-i atribuudid.

Näited

• Pääsuloendid (ACL) - Kui Windowsi süsteemi NTFS-i partitsioonist teisalda-takse ( move ) failisüsteemi objekte Samba ühiskasutuse keskkonda, võivadACL-i sissekanded kaduma minna. Enne kopeerimist on faili omanikul NT-volitus „täielik juurdepääs” ja grupil „kõik” on NT-volitus „lugemine, käivitami-ne”. Pärast faili teisaldamist on faili omanikul NT-volitus „täielik juurdepääs”,kuid grupil „kõik” puuduvad volitused täielikult.

• Alternate Data Streams (ADS) - Programmid, nt Windowsi Explorer, raken-davad seda infot kasutajate hoiatamiseks, kui nad püüavad käivitada inter-netist allalaaditud faile. Kui Internet Explorer salvestab allalaaditud faili Sam-ba ühiskasutuse keskkonda, mis ADS-iga ei arvesta, läheb see info kadu-ma. Selle tulemusel kasutajat enne potentsiaalselt ohtliku faili käivitamist eihoiatata.

• DOS-i atribuudid - DOS-i atribuut „arhiiv” määratakse Windowsis iga kirju-tava pöörduse korral uuesti. Varundusprogrammid saavad seda infot kasu-tada järkjärguliseks varundamiseks. Kui Samba ühiskasutuse keskkond sel-le DOS-i atribuudiga ei arvesta, võib juhtuda, et varundusprogramm jätabmuudetud failist uue varukoopia tegemata.

202 / 781

G 2.144 Samba serveri ebapiisav valmisolek hädaolukorraks

Puudujäägid hädaolukordadeks valmisolekus võivad segada Samba käitamist japõhjustada pikemaid töökatkestusi. Peale üldiste vigade, mida tehakse hädaolu-kordadeks valmistudes, esineb Samba serveri puhul vahel ka küllaltki spetsiifilisivigu, mis muudavad vahejuhtumitele kiire reageerimise raskeks või isegi võima-tuks.

Näited

• Kui hädaolukorras (nt pärast rünnet) on tarvis Samba server uuesti installida,tuleb selleks rakendada algsel installimisel kasutatud installipakette (lähte-teksti pakette või binaarpakette). Olukorras, kus vajalikke pakette pole käe-pärast, nt kui need on salvestatud kompromiteeritud süsteemi, võivad tek-kida suured viivitused. Sellisel juhul võib oletada, et ka installipakette onmanipuleeritud. Manipuleeritud pakettide kasutamine Samba serveri taas-installimiseks võib põhjustada suuri turbeprobleeme.

• Olukorras, kus pole täpselt teada, milliseid kompileerimis- ja/või installipa-kette Samba serveri jaoks kasutati, võib samade funktsioonidega töötavainstallatsiooni taasloomine osutuda väga raskeks. Kui täpselt sellist installat-siooni, mida varem kasutati, ei õnnestu taastada, ei suuda Samba pakkudaka IT-kogumi jaoks olulisi funktsioone.

• Süsteemi taastamisel pärast hädaolukorda võib tekkida vajadus taastadakonfiguratsioon, mis vastab mõnele vanemale versioonile. Kui konfigurat-sioonifailide (eriti faili smb.conf) jaoks ei kasutata versioonihaldust, võib seeolla kas keeruline või lausa võimatu.

• Kui konfiguratsioon on dokumenteerimata või ebapiisavalt dokumenteeritud,võib töökorras konfiguratsiooni taastamine pärast hädaolukorda osutuda vä-ga raskeks. Halva või ebapiisava dokumentatsiooni kasutamisel võib juhtu-da, et võimalikud konfiguratsioonivead jäävad esialgu märkamata ja seetõttukulub probleemide tekkimisel veaotsinguks väga palju aega.

203 / 781

G 2.145 Triviaalse andmebaasi failide ebapiisav varundamineSambas

Selleks, et Samba serveri konfiguratsiooni oleks võimalik kadudeta taastada, tu-leb olenevalt Samba serveri funktsioonist luua erinevatest süsteemikomponenti-dest varukoopiad. Oluliste süsteemikomponentide läbivalt ühesuguse varundusetagamiseks ei ole tavaliselt tarvis arvestada mingisuguste erireeglitega.

Erandiks on triviaalse andmebaasi (TDB) failid, mida Samba kasutab mitmesu-guse info salvestamiseks. Samba teenus hoiab nende andmebaaside sisu sagelipikemat aega põhimälus (caching). Seega pole kõvaketta sisu alati kõige värskemning TDB failide suurused ja ajatemplid püsivad sageli pikemat aega muutuma-tuna. Kui töötava Samba teenuse varundamisel ei arvestata nende eripäradega,võib juhtuda, et andmed lähevad kaotsi.

Näited

• Andmete varundamisel ei varundatud faili „winbindd_idmap.tdb” nõueteko-haselt. Selles failis määratakse kindlaks Windowsi ja Unixi kasutajate ID-de seosed. Pärast selle faili taastamist olid kümme viimati Winbindi mää-ratud seost kaduma läinud. Seetõttu polnud enam võimalik tuvastada, mil-lised puuduvad kasutajanimed vastavad Unixi kasutajate ID-dele 1005621–105630. Nende kasutajate ID-dega faile ei saanud enam ühegi kasutajagaseostada.

• IT-kogumi Samba serveris kasutati kontoinfo haldamiseks Samba andme-baasi „tdbsam”. Salasõnad salvestati faili „passdb.tdb”. Andmed varundativalesti, sest administraator kasutas ajal, mil Samba server töötas, standard-set Unixi programmi „cp”. Pärast selle faili taastamist varukoopiast puudusidkaks kasutajat, mille oli administraator viimasena loonud.

204 / 781

G 2.146 Vista klientsüsteemide kasutuskõlblikkuse kaotus tingitunareaktiveerimise tegemata jätmisest enne SP1

Windowsi Vista klientsüsteemi kasutuskõlblikkuse tagamiseks tuleb installida Win-dowsi Vista operatsioonisüsteem ja seejärel aktiveerida Windowsi Vista litsents.Windowsi Vista Enterprise’i litsentse saab osta ainult hulgilitsentslepinguga. Selleoperatsioonisüsteemi versiooniga tekkis aga vajadus, et hulgilitsentslepingus ka-jastuvad Windowsi Vista litsentsid tuleb ilmtingimata aktiveerida, ning see aktivee-rimine kannab nime Windows Vista Volume Activation 2.0 (seisuga sügis 2007).Windows Vista Volume Activation 2.0 eristab järgmisi aktiveerimisvõimalusi:

• MAK-iga proksiaktiveerimine (Multi Activation Key, mitmekordse aktiveeri-mise võti);

• MAK-ist sõltumatu aktiveerimine;• KMS-iga aktiveerimine (Key Management Server, võtmehaldusserver).

Nende aktiveerimismeetodite piires on ka erinevusi, mis seisnevad Microsoftigasuhtlemiseks, st litsentsiinfo vahetamiseks, kasutatavates suhtluskanalites. Toeta-takse interneti ja telefoni kasutamist.

Windowsi Vista litsentsi aktiveerimise protseduuriga kaasnevad teatud nõuded.Nende rikkumisel lülitub Windowsi Vista klientsüsteem automaatselt nn RFM-režiimi (Reduced Functionality Mode, piiratud funktsionaalsusega režiim). RFM-isei ole Vistat kasutav klientsüsteem seni töökõlblik, kuni aktiveeritakse WindowsiVista sobiv litsents. Windowsi Vista SP1 ilmumisega tühistas Microsoft RFM-funktsiooni. RFM-i asemel kuvab Windowsi Vista nüüd vastavaid hoiatusteateid.

Järgmiste täpselt reguleeritud kriteeriumidega rikkumiste korral lülitub WindowsiVista klientsüsteem RFM-režiimi:

• Operatsioonisüsteemi ei aktiveerita 30 päeva jooksul pärast Windowsi Vistainstallimist.

• Operatsioonisüsteemi ei reaktiveerita 210 päeva jooksul pärast viimast akti-veerimist, milleks kasutati KMS-iga aktiveerimist.

Järgmiste nõuete rikkumistega, mille kriteeriume tunneb avalikkus suhteliseltvähe, kaasneb samuti Windowsi Vista klientsüsteemi lülitumine RFM-režiimi.

• Operatsioonisüsteemi ei reaktiveerita pärast KMS-iga aktiveerimist 30 päe-va jooksul pärast suuremaid riistvaramuudatusi, nt pärast kõvaketta vaheta-mist. Muu avalik info suuremate riistvaramuudatuste kohta on 2007. aastaseptembri seisuga ära toodud Microsofti infokirjas „Product Activation forWindows Vista and Windows Server 2008”.

• Aktiveerimisprotsessi või litsentsiandmete manipuleerimise kohta täpseminfo puudub. - Kompromiteeritud Product Key.

Product Key võib tähendada nii MAK-võtit kui ka KMS-võtit. Kompromiteeriminevõib hõlmata kaotamist, varastamist, kuritarvitamist, illegaalset kopeerimist, gene-reerimisveast tulenevat defekti või enam mittekehtivaid beeta- või testvõtmeid.

205 / 781

Ebamäärased kriteeriumid võivad tekitada valepositiivseid (false positives) tu-lemusi. Valepositiivne tähendab aktiveerimise kontekstis seda, et Vista klientsüs-teem lülitub ekslikult RFM-režiimi. Selle põhjuseks võib olla näiteks vale järeldus,et Product Key on kompromiteeritud või et olulisi litsentsiandmeid on manipuleeri-tud.

Ebatäpsed kriteeriumid muudavad riskantseks ka Vistaga töötavate klient-süsteemide hooldamise, sest ei ole täpselt teada, millised riistvaramuudatusednõuavad süsteemi reaktiveerimist. Kui reaktiveerimiseks vajalikku litsentsiinfot po-le õigel ajal käepärast, võib Vista lülituda RFM-režiimi.

On ka oht, et Vista kliendi töövõime kaob tootja piirava Vista Volume Activa-tioni tõttu, ilma et administraator selles süüdi oleks. Tagajärjeks on see, et Vistaklientsüsteemi ja selles töötavaid rakendusi ei saa enam kasutada.

Koos Vista klientsüsteemi töövõime kadumisega võib kaduda ka võime täitaasutuse või ettevõtte töös ettetulevaid erialaseid ülesandeid.

206 / 781

G 2.147 Võrdõigusteenustest tulenev puuduv tsentraliseerimine

Paljudes IT-keskkondades kasutatakse info vahetamiseks tsentraalseid servereid.Näiteks saadavad klientsüsteemid e-kirju meiliserveritesse ja need omakorda pa-nevad e-kirjad klientsüsteemidele vastuvõtuks valmis. Failiserverid lubavad voli-tatud kasutajatel tsentraalselt kasutada neisse salvestatud faile ja prindiserveridvõimaldavad printida läbi tsentraalse printeri.

Võrdõigusteenuste kasutamisel pole andmete vahetamiseks eraldi servereidtarvis, nende asemel pakuvad võrdõiguskliendid ( peers ) üksteisele ühiskasu-tusse antud ressursse. Selleks ei pea võrdõiguskliendid asuma kohtvõrgus, vaidvõivad asuda ka avalikes võrkudes ja kogu maailmas, nt internetis.

Tsentraliseerimise puudumine võib endaga kaasa tuua mitmeid probleeme.

Turvalüüsi (tulemüüri) ja lokaalsete paketifiltrite puudulik kontrollVõrdõigussuhtlus kohtvõrgust väljaspool asuvate sidepartneritega eeldab, et

sisemine võrdõigusklient tohib luua ühenduse välise võrdõiguskliendiga või etväline võrdõigusklient tohib luua ühenduse kohtvõrgus asuva võrdõiguskliendiga.Kui aga kohtvõrgu võrdõiguskliendiga tohib luua ükskõik millist liiki sideühendusi,siis ei suuda turvalüüsi paketifilter enam soovimatuid pakette välja filtreerida.Kuna portide numbrite kasutamine lepitakse kokku sageli dünaamiliselt, muudakskindlate lahtiste portide rakendamine võrdõigussuhtluse kasutamise võimatuks.Kaitsemehhanismid, nt võrdõigusklientidele pandud keeld, mis ei luba neil endotse internetti ühendada ja käsib neil proksit kasutada, oleksid kasutud. Kuivälised sidepartnerid tohivad luua kohtvõrgu IT-süsteemidega otseühendusi,suudavad nad ka klientsüsteeme DoS-rünnetega halvata või porte skannida ja niiturvaauke avastada.

Pahavara ebapiisav filtreerimineInfo vahetamiseks teiste kasutajatega tuleb võrdõigusteenustes osalevate

klientsüsteemide vahel luua otsene andmeside. Sel moel saavad näiteks erinevadkasutajad üksteisele faile saata. Kui andmete vahetamiseks kasutatakse serverit,nt selleks, et meile saata ja vastu võtta, saavad serverid meile enne edasisaatmistkontrollida, et leida sealt pahavara. Võrdõigusteenuste puhul selline lisaastepuudub. Kui internetiühendusega võrdõigusklient edastab võrdõigusteenusekaudu kohtvõrgus asuvale võrdõiguskliendile pahavara ja kui viirusetõrje onebapiisav, pääseb pahavara seeläbi sisevõrgu klientsüsteemi ja sealt omakordaedasi ka teistesse kohtvõrgu IT-süsteemidesse.

Info kontrollimatu väljavoolVõrdõigusteenuste puhul võidakse infot edastada tsentraalse filtreerimiseta, ka-

sutades serverit. Näiteks kui meiliserver on konfigureeritud nii, et meile märkega„konfidentsiaalne” ei saa saata välistele klientidele, on võrdõigusteenusega või-malik sellest piirangust siiski mööda hiilida.

Võrdõigusteenuste kasutamiseks peab klientsüsteemi olema paigaldatud sobiv

207 / 781

võrdõigusteenuste rakendus. Internetis on saada näiteks failide ühiskasutuseks( file sharing ) vajaminevaid rakendusi. Selline võrdõigusrakendus võib ollanakatatud Trooja hobusega, mis logib näiteks kõik kasutaja klaviatuurivajutused jasaadab need võrdõigusteenuste kaudu internetti. Kui võrdõigusteenus on lisaksSSL-krüpteeringuga, muudab see Trooja hobuse avastamise väga raskeks, sestinfovoogu ründaja ja klientsüsteemi vahel ei saa lähemalt uurida.

Ebapiisavad logimisvõimalusedKliendi tegevusi, nt seda, kellega suheldakse ja millist infot vahetatakse, on

võrdõigusteenuste kasutamisel väga raske logida. Lisaks on erinevalt keskserve-rist klientsüsteemis asuvaid logiandmed ka palju lihtsam manipuleerida.

KrüpteerimineInfovahetuse krüpteerimiseks tuleb iga kasutajaga, kellega soovitakse suhel-

da, vahetada lisainfot. Sümmeetrilise krüpteerimise puhul peavad mõlemad side-partnerid teadma oma ühist võtit. Ka asümmeetrilisel krüpteerimisel, mille käiguskrüpteeritakse andmed avaliku võtmega ja dekrüpteeritakse privaatvõtmega, eisaa saatja täiesti kindel olla, et avalik võti pärineb õigelt adressaadilt.

Kui sertifikaate ei kontrollita, võib ründaja neid võltsida ja seada end sisse otsevõrdõigusklientide vahele (Man-in-the-Middle-rünne). Kuna võrdõigusteenustelpuudub sageli tsentraalne lüli, mis evitaks võtmeid ja tagaks nende autentsuse,jäävad sertifikaadid sageli kontrollimata.

Töömahukas kasutajate haldamineNii sisevõrgu kui ka avalike võrkude võrdõigusteenuste kasutamisel peavad

kliendid määrama teatud ressursid ühiskasutusse, et teised kliendid neile ligi pää-seks. Selleks, et kaitsta infot volitamata juurdepääsu eest, võib ühiskasutust piiratanäiteks salasõnade ja kasutajanimedega.

Kui ühisinfo hulk on suur ja kasutajaid mitu, on üsna pea raske aru saada, kesmillisele infole ligi pääseda tohib. Sageli pole võimalik kasutada ka tsentraalsetautentimisteenust (Single-Sign-On), nt kui juurde installitud võrdõigusrakendusedseda lihtsalt ei toeta.

Otsingud ja versioonide haldamineErinevalt serveriga töötavast võrgust on võrdõigusteenusega töötavate võrkude

ressursid jaotatud mitme erineva IT-süsteemi vahel. Teatud info, nt faili otsiminevõib olla väga töömahukas, kui pole teada, millises IT-süsteemis see asub.Sageli on ühest failist mitu versiooni. Tavaliselt kopeerib kasutaja faili, midata tahab töödelda, oma lokaalsesse IT-süsteemi ja jagab muudetud faili omaühiskasutuse tsoonis teistega. Seetõttu hooldab iga kasutaja maksimaalselt ainultenda IT-süsteemis asuvate failide versioone, kuid tervikvõrgus pole esmapilgulnäha, milline versioon on kõige värskem.

208 / 781

Võrdõiguskliendi ebapiisav ribalaiusServeriga töötavas võrgus on võrguühendus serveriga tavaliselt loodud selli-

selt, et klientsüsteemide päringutega tullakse toime. Serveriga töötavas võrgus onvajaminevat ribalaiust võimalik planeerida klientsüsteemides kasutatavate teenus-te põhjal ning seejärel saab rajada nõuetekohase võrgu.

Seevastu võrdõigusteenuste kasutamisel on vajaminevat ribalaiust väga raskeplaneerida. Tavaliselt esitatakse kõige enam päringuid nendele klientidele, kespakuvad sel hetkel kõige suuremal hulgal infot. Nende süsteemide ühendusedkoormatakse üle ja teiste oluliste teenuste jaoks pole allesjääv ribalaius enampiisav. Kui mõni teine klient pakub ühtäkki värskemat või sagedamini vajaminevatinfot, väheneb eelneva populaarse kliendi koormus lühikese ajaga ja seejärelkoormatakse üle uue ja populaarsema kliendi ühendus kohtvõrguga. Erinevaltserverist, mille vajalikku ribalaiust on võimalik prognoosida, pole see regulaarseltmuutuvate, tugevalt koormatavate klientide puhul võimalik.

IT-süsteemide ebapiisav spetsialiseerumineServerile esitatavad nõuded on tavaliselt juba varem kindlaks määratud ja ser-

verit kasutatakse enamasti ainult ühel kindlal otstarbel. Lisaks asuvad serverid eri-nevalt tavalistest, bürookeskkonnas käitatavatest IT-süsteemidest üldjuhul kliima-seadmetega serveriruumides. Serverid suudavad oma ülesandeid tõhusalt täitaüksnes seetõttu, et need keskenduvad väga kitsale ja konkreetsele valdkonnale.

Võrdõiguskliendid, mis suudavad korraga töötada mitme kasutajaga, pole tavali-selt suurema koormuse jaoks loodud. Näiteks kui info salvestatakse spetsiaalseteserverikõvaketaste asemel tavalistele kõvaketastele, võib suur koormus kõvake-taste tööiga oluliselt lühendada.

Tavaliselt võetakse serverites lisameetmeid ning esmatähtsaks muutubturbeaspekte arvestav konfiguratsioon. Näiteks lahendatakse suuremad käi-deldavusnõuded kõvaketaste liiasusega. Tavalistel IT-süsteemidel sellisedturbeaspektid üldjuhul puuduvad.

AnonüümsusVäliste võrdõigusteenuste kasutamisel ei pruugi esmapilgul kohe aru saada,

kelle vahel infovahetus toimub. Võrdõigusklient, kes oli eile kättesaadav ühe IP-aadressi kaudu, võib homme olla kättesaadav hoopis mõne teise IP-aadressi alt.Seega ei saa välistada, et selle võrdõiguskliendi asemel, kellega veel hiljuti teksti-sõnumeid ja faile vahetati, kasutab seda IP-aadressi nüüd hoopis mõni teine võrd-õigusklient.

Kui kasutaja saadab infot eeldatavalt talle tuntud kasutajale, võib see jõudahoopis volitamata isiku kätte.

ÕigusaspektidAvalikud võrdõigusteenused töötati välja selleks, et vahetada teiste kasutaja-

tega tõhusalt dokumente, mida on tarvis arutada. Sellele vaatamata kasutatak-

209 / 781

se võrdõigusteenuseid sageli ka autoriõigustega kaitstud andmete vahetamiseks.Kui ametiasutuse või ettevõtte kohtvõrgust hangitakse võrdõigusteenuse kauduillegaalseid või autoriõigustega kaitstud andmeid, võib see lisaks juriidilistele ta-gajärgedele kahjustada ka organisatsiooni mainet.

210 / 781

G 2.148 Virtualiseerimise puudulik planeerimine

Virtualiseerimisserverite paigutamine arvutuskeskusesse tähendab, et kasutuseletuleb võtta uus IT-süsteemide klass. Virtualiseerimisserver ei ole enamasti ainultserver, mis võimaldab virtuaalsete IT-süsteemide käitamist. Pigem integreerib seevirtuaalsed IT-süsteemid arvutuskeskusesse ja suunab seejuures nende ühenda-mist teiste taristu elementidega, nt võrkude ja salvestusvõrkudega. VirtuaalseteIT-süsteemide vaatevinklist kujutab virtualiseerimisserver endast niisiis arvutus-keskuse taristu osa.

Klassikalises IT-taristus toimub (füüsiliste) IT-süsteemide haldamine tihti töö-jaotusel põhinevas protsessis. IT-infrastruktuuri üksikute struktuurielementide käi-tamisega tegelevad administraatorid, kes on spetsialiseerunud ja keskendunudnende poolt hallatavatele IT-süsteemidele. Virtualiseeritud IT-taristus seevastu oneelnevalt nimetatud taristu üksikud struktuurielemendid koondatud virtualiseeri-misserverisse. Seetõttu kandub ehk osa vastutusest arvutuskeskuse ressurssideeest spetsialiseeritud administraatoritelt virtualiseerimisserveri administraatorite-le.

Virtualiseerimise sisseviimisega muutub ka üldine vaatenurk IT-kooslusele.Kui taristukomponente ning tervet hulka (virtuaalseid) servereid ja (virtuaalseid)tööjaamu kujutatakse virtualiseerimisserveri sees, ei ole võimalik tajuda erinevusifüüsilise ja loogilise IT-koosluse vahel. Seega ei ole loogiline struktuur enamselgelt äratuntav.

Rollide ja vastutuse planeerimise puudumine või puudulikkusVirtualiseerimisserverid sisaldavad enamasti ka suurt osa virtuaalsele

IT-süsteemile vajalikest virtuaalses vormis taristu komponentidest. Neid inf-rastruktuurikomponente, nagu näiteks kommutaatorid või Network AttachedStorage süsteemid, hoitakse muidu pühendunud komponentide abil käepärast.See tähendab, et virtualiseeritud IT-süsteemi võrguühenduste käsutusse and-mine, haldamine ja kontroll ei toimu nagu tavaliselt kommutaatori, vaid reeglinavirtualiseerimisserveri kaudu. Sama kehtib ka salvestusruumi kohta salvestus-võrkudes ning teiste ressursside kohta.

Kui virtualiseerimisserverite kasutuselevõtul ei planeerita, kuidas tuleks serveridtehniliselt ja organisatsiooniliselt arvutuskeskusesse integreerida, on oht, et:

• erinevate valdkondade vastutusalad, nt rakendused, operatsioonisüsteemidja võrgukomponendid ei ole selgelt defineeritud;

• erinevate valdkondade vastutusalad langevad kokku või• puudub sobiv õigusstruktuur erinevate valdkondade administratiivsete pää-

suvõimaluste eraldamiseks.

Taristuelementide, nt kommutaatorite või salvestusvõrkude eest vastutavadklassikalises arvutuskeskuses tihti erinevad inimesed, kelle rollid on üksteisesteraldatud. Mittepiisavalt kontseptsioneeritud virtualiseerimise tõttu võivad needrollide kontseptsioonid sattuda haldusesse.

211 / 781

Nii on virtuaalsete taristute administraatoritel laiaulatuslik juurdepääs külalis-süsteemidele, nende sideliinidele ning nende kaudu töödeldavale ja käsutusseantavale informatsioonile. Kui võetakse vastu ebaselged eeskirjad ülesannete jao-tamiseks ja delegeerimiseks administraatorite vahel või puuduvad need eeskirjadüldse, kui jäetakse planeerimise käigus tähtsad aspektid kahe silma vahele võiei arvestata nendega, võib juhtuda, et vastutavatel isikutel puudub neile vajalikinformatsioon. Vigade tõttu on võimalik:

• virtualiseerimistaristu ressursside ebapiisav kindlaksmääramine;• virtualiseeritavate süsteemide jõudlusnõuete puudulik analüüs,• võrkude ja salvestisvõrkude taristukomponentide ebapiisav planeerimine ja

soetamine,• taristukomponentide ebapiisav kooskõlla viimine virtuaalse taristuda• virtualiseerimisserveri ja selle virtuaalsete taristukomponentide ja virtuaal-

sete IT-süsteemide puudulik integreerimine võivad põhjustada negatiivseidtagajärgi kogu IT-kooslusele.

Virtualiseerimisserverite kasutamise puudulik planeerimineKui virtualiseerimisserverite kasutamisel ei tagata, et virtuaalsete IT-süsteemide

käitamine toimuks ühtselt konfigureeritud virtualiseerimisserveritel ning sellegaseoses oleks garanteeritud ühtne taristu, võivad virtuaalsete IT-süsteemide käita-misel tekkida probleemid. Näitena võib tuua virtualiseerimistehnika Live Migration.Selle abil on võimalik virtuaalne IT-süsteem virtualiseerimisserverilt mingile teiseleserverile ümber paigutada.

• Kui virtuaalne IT-süsteem paigutatakse virtualiseerimissüsteemis ümber,võib see ilmselt juurde pääseda ressursile, millele juurdepääs konfident-siaalsuse ja tervikluse tagamise tõttu ei peaks olema võimalik.

• Teiselt poolt ei saaks valesti planeeritud virtualiseerimistaristu tõttu juurde-pääs vajalikele ressurssidele, nt domeeninimede süsteemile (DNS) pärastLive Migration ’i enam võimalik olla. Sellel võivad olla otsesed tagajärjedvirtuaalse IT-süsteemi käideldavusele.

Kui ei planeerita detailselt riistvaraga varustamist ning ei kehtestata nõudeid va-jalike riistvarakomponentide soetamiseks, võib juhtuda, et valitud virtualiseerimis-toote jaoks soetatakse mitteühilduvad komponendid. See võib kahjustada valitudtoote tootjatuge. Lisaks sellele võivad puududa nt teatud protsessoriomadused,nagu Intel VT ja AMD-V, mis on virtualiseerimislahenduse käitamiseks tingimatavajalikud.

Kui virtualiseerimisserverite pargi jaoks soetatavad riistvarakomponendid ei oleühilduvalt varustatud, võib virtuaalsete IT-süsteemide käideldavus ja terviklus ohtusattuda.

Näiteks võib virtualiseerimisserverite erinev protsessori varustus tekitada vir-tuaalsete IT-süsteemide stabiilsusega seotud probleeme. Kui virtualiseerimisser-veri protsessoril puuduvad teatud omadused, kui sellele paigutatakse Live Migra-tion ’i abil virtuaalne IT-süsteem, võib virtuaalne IT-süsteem kokku variseda.

Puudulik võrguintegratsioonArvutuskeskuse töös on välja kujunenud teatud protseduurid serverite ja sar-

naste süsteemide integreerimiseks võrgu taristusse. Need protseduurid, näiteksMAC- filtrid, on ette nähtud võrguühenduste tervikluse ja käideldavuse kaits-miseks. Kui nende protseduuride läbiviimisele ei pöörata tähelepanu ja neid

212 / 781

ei kohandata vastavalt vajadusele, võivad protseduurid, mis sobivad füüsiliste-le süsteemidele, avaldada negatiivset mõju virtuaalsüsteemide tööle. Kui vir-tualiseerimisserveri switch- portidele paigaldatakse sobimatu MAC-filter, võivadmõned virtualiseerimisfunktsioonid, nt Live Migration ehk töötavate virtuaalseteIT-süsteemide teisaldamine virtualiseerimisserverite vahel, mitte funktsioneerida.Sellisel juhul kaotab teisaldatud virtuaalne masin oma võrguühenduse, kuna sel-le (virtuaalne) MAC-aadress lükatakse uue virtualiseerimisserveri kommutaatoripordil tagasi.

Puudulik integreerimine salvestusvõrkudesseVirtualiseerimisserverite omapärale juurdepääsu suhtes salvestusvõrkudele tu-

leb vajalikku tähelepanu pöörata juba planeerimisel. Virtualiseerimisserverid va-javad juurdepääsu salvestusvõrgu kõigile iSCSI - ja Fibre-Channel ressursside-le, mis on vajalikud virtuaalsete IT-süsteemide tööks. Virtuaalsed IT-süsteemid eipöördu reeglina selliste ressursside poole juurdepääsuks oma iSCSI - või Fibre-C/2a««e /-liidestega, vaid kasutavad selleks virtualiseerimisserverite vastavaid lii-deseid. Seetõttu vajavad virtualiseerimisserverid juurdepääsu ka ressurssidele,mida tuleb tegelikult kasutada vaid läbi virtuaalsete IT-süsteemide, kuna virtuali-seerimisserverid ei saa muidu anda neid ressursse virtuaalsete süsteemide käsu-tusse. Kui enne käitamist koostatud eeskirjad ei ole selged või ei arvestata pla-neerimisel funktsionaalsete ja ajaliste nõuetega, võib virtualiseerimiskeskkonnaedasises elutsüklis tekkida probleeme käideldavuse, konfidentsiaalsuse ja tervik-luse osas.

Kui arvutuskeskuses on vajalik kasutada virtualiseerimisservereid, võivad vir-tualiseerimisele mitte kohandatud salvestusvõrgu (SAN) segmenteerimise tõttutekkida ohud. Näiteks virtualiseerimisserverite vahel teisaldamise korral võivadIT-süsteemid kaotada juurdepääsu vajalikele ressurssidele. Teie poolt käsutusseantud teenuste kättesaadavus on seega ohus. Teiselt poolt võib salvestusvõrguintegratsiooni sobimatu planeerimine viia selleni, et salvestusvõrkudele antakseliiga laialdased juurdepääsuvõimalused. See võib ohustada nendesse salvestus-võrkudesse paigutatud info konfidentsiaalsust.

Virtuaalsete IT-süsteemide rakendusplaani puudumine

• Planeerimisvead võivad tekkida ka teistes valdkondades, kus enne virtuali-seerimise sisseviimist ei kontrollita üle olemasolevaid protseduure. Kui ser-verite soetamise ja käsutusseandmise ning operatsioonisüsteemi installeeri-mise valdkondades ei kohaldata arvutuskeskuse tavapäraseid protseduure,võivad tekkida mõned järgnevatest probleemidest:

• Päriselt ei ole välistatav üksikute operatsioonisüsteemide, teenuste võirakenduste sobimatus valitud virtualiseerimiskeskkonnale. Lisaks sellelevõivad vajalikud olla virtualiseerimisserverite kohandused nendel käitava-te virtuaalsetele IT-süsteemide või nende operatsioonisüsteemide ja raken-dustega. See võib kvalifitseeritud spetsialistide poolt teostatud ebapiisavakontrolli ning projektist osavõtjate omavahelise sobimatuse korral avasta-mata jääda. Virtualiseerimisserverite või virtuaalsete IT-süsteemide edasi-sel käitamisel võivad ette tulla jõudlusprobleemid või töötlusvead üksikuterakenduste kokkusobimatuse tõttu kasutatava virtualiseerimislahendusega.Seetõttu on eriti ohustatud virtuaalsetel IT-süsteemidel töödeldava info ter-viklus ja käideldavus.

• Kui ei kontrollita, kas virtuaalsetel IT-süsteemidel käitatavate rakendustejaoks on vaja teatud riistvarakomponente (nt tarkvarakaitsemoodulid ( Dong-

213 / 781

les ) või ISDN-kaardid), mida on võimalik kasutada valitud virtualiseerimisla-hendusega, võib nende IT-süsteemide installeerimine oluliselt viibida. Sellistsüsteemi ei olegi alati võimalik virtualiseerida või tuleb kõigepealt muretsedavirtualiseerimislahendusega ühilduv komponent.

• Kui virtuaalseid IT-süsteeme (virtuaalsed serverid, tööjaamad ja kommutaa-torid) ei inventariseerita täielikult, puudub ülevaade arvutuskeskuses käita-tavatest IT-süsteemidest. Seetõttu võib asutusel olla liiga vähe operatsioo-nisüsteemi või rakenduslitsentse ning asutus on sellest tingituna alalitsent-seeritud.

• Käitatakse IT-süsteeme, millel puudub dokumentatsioon, või mida ei hõlmaorganisatsiooni turvakontseptsioon.

• Käitatakse IT-süsteeme, mille kasutusotstarve on tundmatu. Vaata lisaks kaG 5.66 IT-süsteemide volitamatud võrguühendused .

• IT-süsteemid võetakse kasutusele ilma vajaliku planeerimise ja ettevalmis-tuseta.

• IT-süsteeme ei likvideerita ega kustutata inventari nimekirjast asutuses keh-tivate üldiste reeglite järgi.

214 / 781

G 2.149 Virtuaalsete IT-süsteemide ebapiisav salvestusvõimsus

Virtualiseerimisserverid vajavad virtuaalsete IT-süsteemide käitamiseks salves-tusruumi, mis eraldatakse kohalikus virtualiseerimisserveris või salvestusvõrgus.Kui selleks vajalikud salvestusvõimsused ei ole piisava mahukusega planeeritud,on virtuaalsete IT-süsteemide käideldavus ja nendes töödeldava info terviklussuures ohus. See kehtib eriti siis, kui kasutatakse spetsiaalseid virtualiseerimis-funktsioone nagu snapshot ’id või salvestusruumi ülebroneerimine. Probleemevõib tekkida mitte ainult kõvaketaste või salvestusvõrkude salvestusruumi, vaidka töömäluga (RAM).

Virtualiseerimisfunktsioonid (näiteks snapshot) vajavad täiendavat sal-vestusruumi

Virtuaalsete IT-süsteemide kasutusseisundite külmutamine ja salvestamine (snapshot ’id), nõuab piisavalt salvestusruumi. Snapshot loomisel kirjutatakse vir-tuaalsete massisalvestite sisu ja teatud juhtudel ka peasalvesti ja protsessori sei-sundid kõvakettale. Lisaks luuakse mõnede virtualiseerimislahenduste juures kü-lalissüsteemi töötamise ajal erinevusfail. See erinevusfail moodustab koos andme-te esialgse seisundiga, mis oli enne snapshot’ i loomist virtuaalsel andmekandjal,virtuaalse kõvaketta aktuaalse sisu. Ka standby -funktsioonid, mis võimaldavadvirtuaalseid masinaid töö käigus seisata, kasutavad sarnast tehnikat ning kasuta-vad sellega salvestusressursse, kuni tööd jätkatakse.

Salvestusruumi ülebroneerimineVirtuaalsete keskkondade veel üks eripära seisneb selles, et salvestusruumi

on võimalik üle broneerida. See tähendab, et ei reserveerita kindlat salvestusruu-mi, kui virtuaalse IT-süsteemi juurde kuulub kindel salvestusvõimsus. Selle ase-mel jaotatakse salvestusruum virtuaalsele IT-süsteemile füüsiliselt olemasolevatesressurssides alles siis, kui virtuaalne süsteem seda tõepoolest kasutab. Virtuaal-sele süsteemile on siis näiteks nähtavad 100 gigabaiti, tegelikult kasutab see agaainult momendil kasutatud salvestusruumi.

Ülebroneeritud salvestusruumi on võimalik realiseerida näiteks kasvava and-mekonteineri kaudu, mis salvestatakse füüsiliselt virtualiseerimisserverisse instal-leeritud kõvakettale või salvestusvõrku. See konteiner muutub seda suuremaks,mida rohkem seda kasutatakse. Kui virtuaalses IT-süsteemis, mis seda konteine-rit kasutab, kustutatakse andmeid, ei muutu konteiner üldjuhul jälle automaatseltväiksemaks.

Sõltumatult sellest, kas andmekandja, millele virtuaalse IT-süsteemi konteinersalvestati, on olemas lokaalselt või võrgus, on selle suurus füüsiliselt käsutusesoleva salvestusruumiga piiratud. Ilma vajaliku maksimaalse võimsuse ettenägelikuplaneerimiseta võivad kergesti tekkida probleemid. Kui salvesti on liiga tugevastiüle broneeritud, ei ole vahel enne õiget aega enam vaba ruumi. Virtuaalse IT-süsteemi salvestusvajadust ei ole sel juhul füüsilises andmekandjas võimalik kattaning sellest puudutatud virtuaalses masinas tekib viga.

Kuigi virtualiseeritud IT-süsteemi poolt vaadatuna tundub vaba salvesti kasutus-kõlblik, ei ole virtualiseerimisserveri kaudu külalissüsteemile teist salvestit võima-lik käsutusse anda. Paljud virtualiseerimistooted aitavad end sellistes situatsiooni-des sellega, et võimaldavad ülebroneeritud virtuaalsetele kõvaketastele seal jubaolemas olevate andmete kaitseks vaid lugemispääsu. Selle tõttu võib juhtuda, et

215 / 781

andmed nendel virtuaalsetel kõvaketastel muutuvad ebapüsivaks. Võib juhtuda, etvirtuaalne süsteem langeb täielikult välja, kui virtuaalse IT-süsteemi operatsiooni-süsteem ei suuda tekkivaid vigu tasakaalustada. Teised virtualiseerimislahendus-ed seavad automaatselt sisse puudutatud süsteemide snapshot ’i ja lülitavad needsüsteemid seejärel välja, kui füüsilisest salvestist enam ei jätku.

Selle protseduuri tõttu on nende virtuaalsete IT-süsteemide teenuste käidel-davus häiritud. Peale selle on kõigi virtualiseerimisserveri abil toimuv külalissüs-teemide töö ühtmoodi takistatud, kui kõik virtualiseerimisserveri käsutuses olevadfüüsilised ressursid on kurnatud.

Näide:Rahvusvaheliselt aktiivne kaubandusettevõte kasutab ERP-süsteemi ( Enterpri-

se Resource Planning) et erinevaid protsesse, muu hulgas ka ostude tegemist, au-tomatiseerida ja toetada. Et võimaldada ettevõtte välisteenistuses olevatele kau-bandusagentidele juurdepääsu ERP-süsteemile, annab ettevõtte nende käsutus-se terminalserveripargi, mida kaubandusagendid saavad kasutada oma ostude re-gistreerimiseks ning asutusesiseses suhtlemises (intranet ja e-mail) osalemiseks.Platvorm peab kogu aeg käsutuses olema, kuna kaubandusagentidele on heahinnaga kauba hankimiseks tähtis ostude sooritamise aeg.

Kulusid silmas pidades otsustab ettevõtte juhatus terminalserverifarmi ja ERP-süsteemid tulevikus virtuaalsete IT-süsteemidena kasutusele võtta. Olemasoleva-te füüsiliste süsteemide analüüsimise käigus teeb planeerimismeeskond kindlaks,et olemasolevate süsteemide kõvakettad on vaid vähesel määral koormatud. Mõ-ned andmebaasisüsteemid vajavad vahetevahel ehk igakuiste kokkuvõtete tege-mise ajal rohkem salvestusruumi. See salvestusruum vabaneb jälle, kui kokkuvõ-tete tegemine on lõpetatud.

Peale selle plaanitakse versiooni vahetamisel ERP-süsteemis kasutada virtuali-seerimisserverite snapshot -funktsiooni. Kuna uuenduste rakendamisel võib aeg-ajalt esineda vigu, tuleb selle funktsiooni abil muudatused jälle kiiresti olematuksteha. Seisundi aeganõudev taastamine enne uuenduste sisseviimist võib tähtaja-börsil avaldada äritegevusele kiiresti negatiivset mõju. Sel põhjusel on virtuali-seerimisserverite snapshot -funktsioonid tähtsaks faktoriks virtualiseerimistehnikajuurutamiseks selles ettevõttes.

Kuna füüsiliste süsteemide kõvaketta salvestusruumi kasutatakse vaid väheselmääral, lähtutakse sellest, et see on küllaldane reserv snaphot’tidele. Seetõttu ot-sustatakse virtuaalsetele IT-süsteemidele rajatud salvestusvõrgus ette näha ainultnii palju salvestusruumi, nagu on sel momendil füüsilistes süsteemides tegelikultkokku. Seda peeti piisavaks, kuna füüsiliste süsteemide aktualiseerimisel ei kuluksrohkem salvestusruumi, kui tõepoolest füüsiliselt olemas on.

Veidi enne kuu lõppu uuendatakse ERP-tarkvara. Seejuures tuleks uuendadanii ERP-süsteemid kui ka terminalserverid, kuna uusi ja hädavajalikke funktsioo-ne on võimalik kasutada ainult juhul, kui ka klienditarkvara terminalserveritel väljavahetatakse. Funktsioonihäirete ärahoidmiseks loodi enne aktualiseerimist kõiki-de süsteemide, ERP-süsteemide ja terminaalserverite snapshot . Snapshot loo-di pärast igakuiste suhtarvude produtseerimist, et uuendamise nurjumisel oleksidsuhtarvud vana tarkvara alusel kiiresti käepärast.

Sellest momendist alates kirjutatakse kõik virtuaalsete IT-süsteemide kõva-kettakonteinerite muutused erinevusfaili ja vajadus salvestusruumi järele salves-tusvõrgus tõuseb hüppeliselt. Ei mõeldud sellele, et snapshot’ i kaudu tarkvarauuendamisel asendatud faile ei kirjutata füüsiliselt ümber nagu enne, vaid need

216 / 781

jäävad snapshot ’i alles. Virtuaalsete IT-süsteemide uuendamise käigus seega ka-hekordistus vajadus salvestusruumi järele.

Nüüd saab igakuise kokkuvõtte tegemise ajal salvestusruum salvestusvõrgustäielikult otsa ning andmeid ei saa enam kirjutada. Ka siin ei ole tähelepanu pööra-tud asjaolule, et ruum kokkuvõtete tegemiseks erinevusfailis tuleb uuesti hõivata.Virtuaalse IT-süsteemi kokkuvõtete tegemise eest vastutav administraator märkassalvestusruumi nappust virtuaalsel kõvakettal ning kustutas seetõttu vana kokku-võtte enne uue loomist. Igatahes ei ole sellel protseduuril mõju füüsiliselt hõivatudsalvestusruumile, kuna vanade andmete töötlemiseks kasutatav füüsiline salves-tusruum on nüüd snapshot ’i osa.

Virtualiseerimistarkvara kaitseb virtuaalseid IT-süsteeme nende seiskamise ajalautomaatselt andmekao ja ebakõlade eest. Seetõttu langevad kõik terminalserve-rid ja ERP-süsteemid täielikult ja üheaegselt välja. Kaubandusagendid on ette-võttesisesest teabevahetusest ära lõigatud, ning neid ei ole tõrkest võimalik in-formeerida. Seetõttu aeglustuvad tähtajabörsil sooritatud tehingud ning ettevõtepeab maksma sisseostetud kaupade eest oluliselt kõrgemat hinda.

Selleks et väljalangenud süsteemid uuesti tööle saada tuli virtuaalsetele IT-süsteemidele luua vaba salvestusruumi. Administraatorid olid valiku ees, kas viiavirtuaalsed IT-süsteemid snapshot ’ile tagasi või suurendada salvestusruumi sal-vestusvõrgus. Kuna terminalserverifarm ja ERP-süsteem pidid jälle kiiresti kät-tesaadavad olema, otsustati süsteemid snapshot ’ile tagasi viia. Personalikuludsüsteemide uuendamiseks tuli seetõttu maha kanda.

Pärast seda kui ERP-tarkvara uuendamiseks snapshot ’tide kasutamisel tegeli-kult vajalik salvestusruum välja oli selgitatud, suurendati salvestusruumi. Hädava-jalike uuendatud tarkvara funktsioonide laiendust sai kasutada alles pärast sellelaienduse juurutamist.

217 / 781

G 2.150 Külastaja tööriistade väär integreerimine virtuaalsetesIT-süsteemides

Külastaja tööriistade, nt Citrix XenTools või VMware Tools abil, saab administraa-tor virtuaalseid IT-süsteeme virtualiseerimistaristus virtualiseerimisserverilt suuna-ta ja hallata. Lisaks sellele integreerivad need programmid draivereid ja teenuseidvirtualiseeritud operatsioonisüsteemide kommunikatsiooniks hostiga.

Külastaja tööriistade abil saab teostada erinevaid funktsioone, näiteks:

• Virtuaalse masina süsteemiaja sünkroniseerimine hostiga;• peasalvesti väljanõudmine virtuaalses süsteemis ja selle salvesti teiste kü-

lastajate käsutusse andmine virtualiseerimisserveril ( Ballooning );• virtuaalse süsteemi operatsioonisüsteemi seiskamine ilma teavitamata;• virtuaalsete kõvaketaste optimeerimine (Thin Provisioning).

Külastaja tööriistadel on virtuaalse masina kontekstis laiaulatuslikud volitusedsüsteemifailidele ja -teenustele, et võimaldada kirjeldatud funktsioone. Need funkt-sioonid võivad olla vastuolus kindlaksmääratud volituste kontseptsiooni ning vir-tuaalse keskkonna teiste nõudmistega, kui külastaja tööriistade installeerimiseplaneerimisel ei arvestataolemasolevaid kontseptsioone ja nõudeid Seeläbi või-dakse kasutada funktsioone, mis ei ole organisatsiooni eeskirjadega kooskõlasta-tud.

Virtuaalse IT-süsteemi seiskamine ilma vajaliku volitusetaKui organisatsioonis on näiteks kindlaks määratud, et virtuaalseid ja füüsili-

si servereid tohib põhimõtteliselt seisata ainult pärast selleks volitatud administ-raatori sisselogimist ja põhjenduse esitamist, võib külastaja tööriistu kasutadesselle eeskirja täitmisest mööda hiilida. Külastaja tööriistade abil on virtualiseeri-misserveri administraatoril võimalik seisata teine suvaline IT-süsteem. Selleks eipea ta ise olema vastava virtuaalse IT-süsteemi volitatud administraator. Virtua-liseerimisserverite administraatorid võivad süsteemide kasutamisel virtuaalseteleIT-süsteemidele kehtivatest eeskirjadest ja reeglitest mööda hiilida ning sel moelnende käideldavust, terviklust ja konfidentsiaalsust kahjustada.

Lisaks sellele on virtualiseerimistooteid (nt VMware WorkstationVMware Server), millel on arvukalt funktsioone, mis võimaldavad integreerida neid arenduskesk-konda.

Külastaja tööriistad arenduskeskkondadesSiin on külastaja tööriistade jaoks virtuaalsetes IT-süsteemides lisaks eelnevalt

nimetatud võimalustele veel lisafunktsioone. Nii on võimalik skripte testimiseksvirtuaalses IT-süsteemis deponeerida ning külastaja tööriistade abil väljastpooltjuhtida. Selleks ei ole vaja interaktsiooni virtuaalse IT-süsteemiga ega autentimistenne sellesse sisenemist. Tegevusi algatatakse ainult virtualiseerimistarkvara võihüperviisori ja külastaja tööriistade kaudu.

Kui nüüd virtuaalsed IT-süsteemid võetakse arenduskeskkondadest virtuaalses-se taristusse üle, võivad tootmiskeskkonnas tekkida turvaaugud, kuna spetsiaal-sed arenduskeskkonna jaoks ette nähtud tööriistad ja liidesed on tootmiskeskkon-nas endiselt mõjusad.

Näide:Asutus planeerib kompleksse klient-/serverirakenduse uuendamist. Uuenduste

sisseviimine tehakse ülesandeks välisele konsultatsioonifirmale. Uuenduse etap-pide arendamine ja testimine toimub virtuaalses keskkonnas, mis kujutab endast

218 / 781

tootmiskeskkonna täielikku koopiat. Testi süsteemid on tootmissüsteemide koo-piad, mis tehti kättesaadavaks eraldi võrgus.

Üks asutuseväline nõustaja on vastutav klientrakenduse uuendamise eest. Ra-kenduse installeerimine kliendil on küllaltki keeruline. Lisaks sellele tuleb iga uueinstalleerimise käigus läbi viia teatud kindlad konfiguratsioonietapid serveril, et uuskliendiversioon saaks funktsioneerida. Kui andmed serveril on migreeritud, ei omavana tarkvaraversiooniga kliendid enam serverile juurdepääsu.

Et ühtesid ja neidsamu konfiguratsioonietappe ei peaks ikka ja jälle käsitsi läbiviima, koostas väline nõustaja skriptid. Need peavad ühelt poolt kliendi iga uuestardi korral uuesti konfigureerima ja teiselt poolt külalistööriistade kaudu skripteserveril installeerima ja teostama.

Vastutav osakonnajuhataja tahab saada informatsiooni projekti elluviimise koh-ta ning palub ühel oma kaastöötajatest talle klienti demonstreerida. Kuna tootmis-keskkonnas ei ole veel klienditarkvara installatsioonipakette, otsustab kaastöötajavälise nõustaja virtuaalse töökohasüsteemi kopeerida. Ta kannab selle üle toot-misvõrku ning käivitab selle, et seda oma ülemusele näidata.

Tagapõhjal aktiveeritakse nüüd klienti integreeritud välise nõustaja skriptid jaasutuse tootmisserver viiakse sellega üle uuele versioonile. Kaastöötajad ei omaenam serverile juurdepääsu ning tekib mitmetunnine tootmisseisak, kuna andmedtuleb taastada.

219 / 781

G 2.151 Virtuaalsetel IT-süsteemidel kasutatavate rakendusteebapiisav tootjatugi

Virtualiseerimistehnika avaldab alles mõned aastad väljaspool suurarvutitemaailma (IBM Z-Series, Siemens BS2000, SUN Enterprise 25000) tugevamatmõju arvutikeskuste disainile ja alles alates 2005. aastast on suurenenud kaproduktiivsete IT-süsteemide virtualiseerimine. Enne seda kasutati virtuaalseidIT-süsteeme peamiselt arendus- ja testimiskeskkondades. On olemas terve hulkerinevaid virtualiseerimistooteid, mis põhinevad ka erinevatel tehnilistel meetoditel(serveri- ja operatsioonisüsteemi virtualiseerimine). Seepärast ei ole toimunudveel ühtki virtuaalse IT-süsteemi standardiseerimist, nagu on võimalik x86- võix64- riistvaral põhinevate IT-süsteemide puhul.

Tootja annab rakendused üldjuhul kasutada teatud kindla operatsioonisüs-teemist ja riistvaraplatvormist koosneva kombinatsiooni puhul, st need toetavadrakenduse kasutajat näiteks vigade otsimisel, kui rakenduse käitamiseks kasu-tatakse ühiskasutusse antud riistvaraplatvormil vastavat operatsioonisüsteemi.Kuna „virtuaalse IT-süsteemi” riistvaraplatvormi ei veel standardiseeritud, ei saarakenduste tootjad veel avaldada üldist arvamust selle kohta, millisel määralnende rakenduse installeerimist suvalisel virtuaalsel IT-süsteemil toetatakse.

Virtuaalseid IT-süsteeme saab käitada täiesti erinevate virtualiseerimistehnika-te baasil (serveri- või operatsioonisüsteemi virtualiseerimine) ning seetõttu võivadneil olla täiesti erinevad omadused. Virtuaalsetes IT-süsteemides, mis põhinevadoperatsioonisüsteemi virtualiseerimisel (SUN Solaris Zones, Parallels Virtuozzo),st mis kujutavad endast ühe operatsioonisüsteemi paljusid astmeid, ei saa näitekskasutada erinevaid, operatsioonisüsteemi lähedasi tarkvarakogusid või erinevaidoperatsioonisüsteemi tuumasid, või saab seda teha väga piiratult. Selline piirangei puuduta tavaliselt näiteks virtuaalseid süsteeme, mis põhinevad täielikul serverivirtualiseerimisel (nt Citrix XenServer, Microsoft HyperV, QEMU, Sun VirtualBox,VMware ESX), nii et seda ei ole võimalik väita kõigi mõeldavate, ükskõik millisevirtualiseerimistehnikaga virtuaalsete süsteemide kohta.

Eelnevalt nimetatud põhjustel ei anna tootjad oma rakenduste käitamistvirtuaalsetel IT-süsteemidel täiesti vabaks, vaid võimaldavad kasutusõiguse ainultoperatsioonisüsteemist ja konkreetsetest virtualiseerimistoodetest koosneva kom-binatsiooni puhul. Kui ei kontrollita, kas selline ühiskasutus eksisteerib, on oht, etesinevate raskuste korral loobutakse saatjast ja abist (support) või piiratakse seda.

Näide:Suur ettevõte rakendab ulatuslikku, paljudest serveritest koosnevat ERP-

süsteemi. ERP-süsteem koosneb paljudest andmebaasisüsteemidest ning umbes

220 / 781

30 rakendus- ja 80 veebiserverist. Ettevõtte on sõlminud ERP-süsteemi tootjagahooldus- ja tugilepingu, milles tootja kinnitab, et pakub esinevate probleemide kor-ral tuge. Tugileping on seotud tingimusega, et ERP-süsteeme tuleb käitada ope-ratsioonisüsteemiga Windows Server 2008 füüsilisel riistvaral. Tootja jätab endaleõiguse virtuaalsete süsteemide üksikjuhtumi kontrolliks ega anna üldist ühiskasu-tusõigust.

Asutus tahaks serverisüsteemid, millel ERP-süsteemi käitatakse, asendadauute süsteemidega, kuna olemasolevad süsteemid on vahepeal vananenud ningriistvaratõrked sagenevad. Volitatud administraatorid ütlevad, et üksikud serverid,eelkõige rakendus- ja veebiserverid, ei ole eriti tugevasti koormatud ning tippkoor-mus ei lange kõikidele süsteemidele korraga, vaid jaotub süsteemidele ülepäeviti.Need on põhjused, miks otsustatakse, et rakendus- ja veebiserverid tuleb virtua-liseerida ning lasta neid virtuaalses infrastruktuuris käitada mitmest virtualiseeri-misserverist. Ettevõte valib rakendusserveri jaoks serveri virtualiseerimise lahen-duse ja veebiserveri jaoks toote, mis põhineb operatsioonisüsteemi virtualisee-rimisel. Operatsioonisüsteemi virtualiseerimist peetakse suure hulga veebiserve-rite käsutusse andmisel eriti sobivaks, kuna siin on võimalik saavutada koonda-misefekte, st väga palju virtuaalseid instantse on võimalik käitada ühel virtuali-seerimisserveril. Administraatorid loodavad, et serverite virtualiseerimine ei tekitaprobleeme, mis võiksid olla seotud virtualiseerimistarkvaraga, ning lähtuvad sel-lest, et virtualiseerimisest tingitud häireid ei esine.

Pärast seda, kui ERP-süsteemid ilma järelepärimiseta ERP-tarkvara tootjalt onvirtualiseeritud, toimib ERP-rakendus mõnda aega häireteta. Mõne kuu pärastmärkab aga üks töötaja, et ERP-tarkvara laomoodulis esinevad vead. Tehaksekindlaks, et laotöötajate veebiserveri kaudu sisestatud sissetulekud ja väljamine-kud on valesti kajastatud. ERP-süsteem genereerib automaatselt tellimusi, kuigilaos on veel küllaldaselt kaupa. Teiste kaupade kohta, mida tootmiseks napib, näi-tab aga ERP-süsteem, et laos on seda küllaldaselt, mis viib selleni, et lisatellimustei esitata ning tootmine seiskub. Selle tagajärjel kannab ettevõte tootmistegevuseseiskumise tõttu suures ulatuses kahju.

ERP-süsteemi administraatorid tegelevad probleemiga ning oletavad, et veebi-serveri ja rakendusserveri koostöös esineb ülekandeprobleem, mis viib andmetevale töötlemiseni. Nad ei suuda probleemile lahendust leida ja pöörduvad tootjapoole. Tootja laseb endale saata ERP-serverite konfiguratsiooni ja automaatseltloodud raportid, mida ta kontrollib, et viga avastada ning kõrvaldada.

Kui ERP-süsteemi tootja on kindlaks teinud, et servereid käitatakse virtuaalselplatvormil, teatab ta ettevõttele, et ERP-süsteem töötab ühiskäsutusse andmata,ning seega ilma toeta platvormil. Tootja leidis, et põhjuseks on ajastamisprobleemning keeldub edasisest abist, kuna oletab, et probleem on seotud süsteemide vir-tualiseerimisega. Ta kutsub ettevõtet üles kasutusmudelit virtualiseerimata riistva-rale tagasi seadma, et välistada probleemi võimaliku põhjusena virtualiseerimist.

Ettevõte on nüüd sunnitud soetama laenu abil kasutusmudeli reprodutseeri-miseks suurel hulgal füüsilisi servereid. See reprodutseerimine on väga keerulineja aeganõudev. Vea kõrvaldamine viibiv selle tõttu tunduvalt.

Selgub, et viga esineb ka füüsilistel serveritel, ning seega on täiesti välistatud,et vea põhjuseks oli serverite virtualiseerimine. Seejärel jätkab ERP-tootja omajõupingutusi ja probleem lahendatakse pärast põhjalikku analüüsi täielikult.

ERP-süsteemi kasutav ettevõte nõuab nüüd tarkvara tootjalt kahjutasu kulu-tuste eest, mis tekkisid vea reprodutseerimise käigus füüsilistel serveritel, samu-ti ka kaotatud tööaja ja tootmisseisaku eest paralleelse keskkonna kujundamise

221 / 781

ajal. Ettevõte on seisukohal, et tarkvara tootja aeglustas asjatult probleemi lahen-damist, kuna virtualiseerimine ei olnud probleemi põhjuseks. Tootja jällegi viitabhooldus- ja tugilepingu sõnastusele ning ei nõustu vastutust võtma. Lisaks selleletoonitab ta, et ta käsitles ajastamise probleemi, mis viis mõttele, et esinev prob-leem on seotud virtualiseerimisega, ainult vastutulelikkusest, ja et ta oleks võinudprobleemi lahendamisest ka täielikult keelduda. Viiakse läbi kohtumenetlus, millevõidab ERP-tarkvara tootja.

222 / 781

G 2.152 DNS-i kasutamise ebapiisav või puudulik planeerimine

DNS-serveri kasutuselevõtu puudulik planeerimine võib viia hilisemate probleemi-deni ja turvaaukudeni jooksvas töös. DNS-i vajavad oma tööks väga paljud võr-guteenused ja -rakendused. Kommunikatsioonipartnerid kasutavad DNS-i näiteksvastaspoole meiliserveri IP-aadressi kindlakstegemiseks. Kui DNS-serverid ei olekättesaadavad, ei saa neid teenuseid enam kasutada või on nende kasutamine pii-ratud. Halvimal juhul võivad ebapiisava planeerimisega tekitatud turvaaugud viiaDNS-serveri kompromiteerimiseni.

DNS-serveri taristuDNS-serverite käideldavus ja jõudlus sõltuvad muu hulgas nende jaotusest võr-

gus. Probleemid, mis võivad tekkida taristu valel planeerimisel, on järgmised.

• DNS-serverite vale paigutus: domeeninime registreerimisel antakse tava-liselt edasi info vähemalt kahe serveri kohta, mida kasutatakse selle do-meeni jaoks Advertisingu DNS-serveri funktsioonides (vt M 2.450 Sissejuha-tus DNS-i põhimõistetesse). Kui need mõlemad Advertisingu DNS-serveridpaiknevad samas võrgusegmendis, võib olukorras, kus seda segmenti üle-jäänud võrguga ühendavas turvalüüsis tekib avarii, rivist välja langeda kogudomeeni nimeteisendus. See viib lõpuks selleni, et veebiserveritele, meili-teenusele ja kaughaldusliidestele pole enam võimalik ligi pääseda.

• Pikad vastuste laekumise ajad: kui Advertisingu või Resolvingu DNS-serverijõudluse või võrgu ribalaiuse dimensioonid on ebapiisavad, võib see tihtipõhjustada pikki vastuste laekumise aegu või aegumisi ( time-outs ). Kuivõrguliikluse prioriteedid on kindlaks määramata, võib juhtuda, et ebavajalikja ajaliselt sugugi mitte kriitilise tähtsusega võrguliiklus võib enda alla võttasuurema osa võrgu ribalaiusest.

• Vahemaa - mida rohkem võrgukomponente DNS-serveri ja hostide vahelpaikneb, seda sagedamini tuleb pakette töödelda. Sellega pikenevad vas-tuste laekumise ajad ja võrk koormatakse üle.

Ebasobiv DNS-serveritarkvaraVananenud või vähem katsetatud tarkvara sisaldab tihti teadaolevaid turvaauke,

mida pahavara saab ära kasutada. See suurendab eduka ründe võimalust.Lisaks võib probleeme tekitada see, kui kõigis DNS-serverites kasutatakse sa-

ma tarkvara. Kui sellise turvaaugu tõttu on võimalik kas või ühte DNS-serveritkompromiteerida, saab seda turvaauku ära kasutada kõikides DNS-serverites. Kuiaga IT-koosluses plaanitakse kasutada erinevat DNS-serveritarkvara, on oht, eterinevad tarkvarad ei ühildu omavahel piisavalt. Lisaks suureneb ka haldustöödemaht.

DNS-server ja turvalüüsidDNS-serveri planeerimine mõjutab turvalüüside ja paketifiltrite konfiguratsiooni.

Kui DNS-i võrguliiklust võimaldavad reeglid on defineeritud liiga leebelt, võivadsellega teatud juhtudel kaasneda süsteemi vastu suunatud ründed. Kui aga reeglidon liiga piiravad, ei saa usaldusväärsed klientsüsteemid esitada DNS-serverilepäringuid ning nende võimalus teenuseid (nt meiliteenust ja FTP-d) kasutada onhäiritud.

Nimeruumi jaotusIT-koosluse nimeruumi domeeniinfo sisaldab kogu infot sisevõrgu ülesehituse

kohta. Tihti ei soovita, et kogu info oleks avalikkusele kättesaadav. Selle tarvissaab nimeruumi jagada siseseks alaks (Resolvingu DNS-server) ja avalikkuse

223 / 781

jaoks ligipääsetavaks alaks (Advertisingu DNS-server). Kui eraldamist planeeri-misel arvesse ei võeta, võib see viia probleemideni, vt G 5.154 DNS-i info lekki-mine .

KrüptograafiaDNS-i turvalisuse tagamiseks on võimalik kasutada erinevaid krüptograafilisi

mehhanisme, näiteks TSIG-d (Trusted Security Transaction Group) ja DNSSEC-d(DNS Security). Nagu kõigi krüptograafiliste rakenduste puhul, esindavad ka krüp-tograafilised võtmed salajast infot. Võtmete avalikustamisega kaob krüptograa-filiste mehhanismide kaitsetoime. Kui planeerimisel ei võeta vastu konkreetseidreegleid selle kohta, kuidas krüptograafiat kasutatakse, võib see muu hulgas viiajärgmiste probleemideni:

• Mehhanismide, näiteks TSIG ja DNSSEC kasutusala on jäetud kindlaksmääramata. Seetõttu tekib segadus, kas, millal ja milliste partnerite vaheltohib kasutada krüpteerimata meilikommunikatsiooni.

• Krüptograafilisi võtmeid sisaldavatele failidele ligipääsu õigused on liiga lee-bed. Seetõttu saab iga kasutaja, kes ennast arvutisse sisse logib, neid failelugeda ja muuta.

• Võtmete vahetamist ei planeeritud, mistõttu edastatakse need ebaturvalistevõrguühenduste kaudu.

Näide

• 2001. aastal langes ühe suure tarkvaratootja domeen mitmeks tunniks rivistvälja. Selle põhjus oli ettevõtte domeeni DNS-serverite ja interneti vaheli-se ühenduslülina toimiva marsruuteri vastu suunatud Distributed-Denial-of-Service-rünne. Selle tagajärjel katkes igasugune DNS-il põhinev kommuni-katsioon. Ühenduse suutsid luua ainult need arvutid, mille Resolver oli vaja-liku domeeniinfo vahesalvestanud.

224 / 781

G 2.153 Terminaliserveri keskkonna edastuskanalite ebapiisav turve

Terminaliserverid võimaldavad füüsiliselt eemal olevatel klientidel kasutada IT-süsteemil keskselt salvestatud rakendusi. Vastavalt nõuetele pääseb klient ter-minaliserverile ligi kas kohtvõrgu (LAN) või isegi avalike võrkude, näiteks inter-neti kaudu. Kui selleks vajalik informatsioon edastatakse kliendi ja serveri vahelkrüpteerimata, on eelkõige avalike võrkude korral võimalik tundliku informatsioo-ni pealtkuulamine või isegi kogu terminaliserveri seanssi ülevõtmine. Kui seanssvõetakse üle, võib ründaja saada endale kõik kasutaja kasutajaõigused, ilma et tapeaks ületama ükshaaval iga teenuse turbebarjääri.

Terminaliserveri ja kliendi vahelises andmesides on võimalik pealt kuulata võimuuta järgmist informatsiooni:

• Autentimisinformatsioon,• kliendilt terminaliserverile saadetavad kasutajasisestused,• kliendil kuvatav ekraaniinformatsioon,• andmed lõikelaualt (clipboard) ja• andmevahetus kliendi lokaalsete andmesalvestite ja serveri vahel.

Lisaks edastatakse ka serverile suunatud seadmete informatsioon, näiteks:

• audioseadmed,• jada- või rööpliidesed,• USB seadmed ja• printerid.

Vanemad terminaliserveri teenused, näiteks Microsoft Windows Terminalserver2000, kasutavad standardkonfiguratsioonis kasutaja sisestuste turvaliseks trans-pordiks ainult ühesuunalist krüpteerimist. See informatsioon võetakse terminali-serveri poolt vastu ja saadetakse krüpteerimata graafilisel kujul terminali kuvariletagasi.

Alates Windows server 2003-st kasutab Microsoft mõlemasuunalist krüpteeri-mist. Siinjuures tuleb eelnevalt välja töötada kliendi ja serveri vaheline krüpteeri-mismeetod. Kui kasutusel on „ client compatible mode “, valib sobiva meetodi klientise. Kui valitakse ebaturvaline meetod ebaturvaliste krüpteerimismeetoditega võiliiga lühikeste võtmetega, saab samuti serveri ja kliendi vahelist kommunikatsioonipealt kuulata või muuta.

X Window korral ei ole serveri ja kliendi vahelist krüpteerimist ette nähtud. Ilmalisamehhanismideta nagu SSH-tunnel või VPN on samuti võimalik andmesidegamanipuleerida või seda pealt kuulata.

Näide:Töötaja kasutab terminaliserveri kliendi kaudu oma mobiilsel töökohal ettevõt-

te inventari majandussüsteemi. Süsteemi administraator on selle konfigureerinudmõlemasuunalise krüpteerimisega, kuid terminaliserver võimaldab ka ühesuunali-se krüptograafilise turbega ühendusi. Kasutusvea tõttu kustutab kasutaja aga omakliendi konfiguratsiooni. Oma teadmistega ligipääsuandmetest suudab ta ühen-duse ise taastada. Puudulike erialateadmiste tõttu ei näe ta aga tagasituleva kanaliebaturvalist konfiguratsiooni. Majandusspioonil õnnestub seanssi interneti kaudupealt kuulata ja saada seeläbi ligipääs ettevõttebilansi konfidentsiaalsetele võtme-arvudele.

225 / 781

G 2.154 Ebasobivad rakendused terminaliserveritel kasutamiseks

Rakendusi, mida ei ole terminaliserverile võimalik installeerida ja käitada, jääbaina vähemaks. Vaatamata sellele võib juhtuda, et üksikuid rakendusi ei ole või-malik keerukas tarkvarakeskkonnas terminaliserverile installeerida. Kui eelnevaltei olnud kontrollitud, kas rakendus on sobilik mitme kasutajaga keskkonnas kasu-tamiseks, võib juhtuda, et need rakendused langevad rivist välja, muutuvad eba-stabiilseks või tekivad vastuolud andmetes.

Terminaliserveri keskkonnale on tihti väljakutseks multimeediafailide edastami-ne. Kui edastatakse audio- ja videofaile või lausa reaalajas 3D graafikaid (näiteksCAD), tõuseb terminalidele edastatav andmevoog märgatavalt. Kui soovitakse ülekanda multimeediafaile, võivad kasutajad olemasolevate ressursside ebapiisavaplaneerimise ja kontseptsiooniga IT-süsteemi tugevalt mõjutada. See võib viia sel-leni, et kõik ülekoormatud terminaliserveri seansid külmuvad või katkeb andme-side. Sellised probleemid võivad tekkida ka siis, kui selliseid nõudlikke rakendusiei olnud ette nähtud, aga väärkonfiguratsiooni tõttu on ligipääs (näiteks brauseripistikprogrammid) neile ikkagi võimalik.

Näide:Ettevõte tahab klient serveri arhitektuurilt ümber vahetada terminaliserveri kesk-

konnale. Alles pärast produktiivsüsteem oli väljastamist avastasid vastutavad isi-kud, et individuaalselt välja töötatud ERP (Enterprise Resource Planning) jooksebaeg-ajalt kokku. Lisaks sisaldab laohaldusmoodulis kasutatav andmebaas ühaenam vigaseid või vananenud sissekandeid.

Need vigased ja vananenud sissekanded tekkisid, sest laohaldusmoodul ka-sutab klientserveril paiknevat keskset faili, et andmebaasi kirjutusligipääse vahe-puhvrisse paigutada. Kuna tarkvara teostamisel ei ole võimalik ette näha, kui mitukasutajat teostavad samal arvutil sama klientrakendust, kirjutatakse vahemäluspaiknevad andmebaasi ligipääsud osaliselt üle enne, kui need andmebaasi ülekantakse. Lisaks põhjustab samaaegne ja konkureeriv ligipääs failile andmebaasi-kliendi, mida saab teostada ainult serveril, rivist välja langemist.

226 / 781

G 2.155 OpenLDAP ebapiisav või puuduv planeerimine

OpenLDAP on moodulitel põhineva ülesehitusega kompleksne rakendus, mi-da saab kasutada koos väga paljude teiste rakendustega. Seetõttu eeldabOpenLDAP kasutamine väga põhjalikku ja süstemaatilist planeerimist.

Kui planeerimine on puudulik või see puudub, võivad tekkida näiteks järgmisedprobleemid:

• Back-end ’id - Juurdepääs OpenLDAP-s kasutatavale andmebaasile ei olekorraldatud mitte otse slapd-serveri kaudu, vaid selle eest hoolitsevad mituback-end ’i. Back-end ’i(de) ning nendega kokkukuuluvate direktiivide ja pa-rameetrite valik mõjutab otseselt seda, mis funktsioone saab OpenLDAP-gakasutada. Näiteks kui andmete salvestamiseks on võetud kasutusele back-end back-ldif, et vältida muu andmebaasi installimist, on kataloogiteenusefunktsioonide valik väga piiratud. See välistab nii suure hulga kasutajate kuika teiste objektide mõistliku rakendamise.

• Overlay ’d - OpenLDAP kohandamise võimalused põhinevad suurel määraloverlay ’del. Need juhivad andmevoogu back-end ’idest välja ja ka back-end ’idesse, võimaldades rakendada lisafunktsioone, ilma et selleks olekstarvis back-end ’e kohandada või uuesti programmeerida. Overlay ’de puu-dulik planeerimine võib viia selleni, et kasutusele võetakse valed overlay’d, mis ei täida kas üldse või täidavad ebapiisavalt oma funktsioone, lase-vad OpenLDAP-l käivitada ebavajalikke operatsioone või pärsivad koguniOpenLDAP tööfunktsioone. Näiteks kui slapd-serveri debug -funktsioonining overlay ’de auditlog ja accesslog rakendamine ei ole piisavalt hästi läbimõeldud, võib kataloogiteenusele tehtavate pöörduste logimise funktsioonkas üldse mitte töötada või teha seda ebaefektiivselt. Teise näitena võibtuua overlay unique, mida kasutatakse sisemise käitusparameetrina. Sellekaasabil võivad OpenLDAP-s tekkida defineerimata süsteemiseisundid. Kuierinevaid overlay ’sid kasutatakse koos (virnastatult), oleneb nende mõjumuu hulgas ka nende käivitamise järjekorrast, st puudulik planeerimine võibpõhjustada vigu.

• Rakendused - OpenLDAP teeb koostööd teiste rakendustega ja võimaldabteistel rakendustel kasutada enda funktsioone. Teised rakendused saavadkasutada näiteks OpenLDAP kasutajahalduse funktsiooni, meiliprogrammi-dele mõeldud aadressiraamatut, internetiserverit jt rakendusi. Ka LDAPv3protokolli spetsifikatsioone suudab OpenLDAP täita üksnes koostöös teis-te rakendustega. Selleks läheb enamasti tarvis mõnda andmebaasi (sage-li kasutatakse Oracle’i Berkeley DB-d), millesse salvestatakse OpenLDAPkataloogiteenuse objektid. Abiprogramme läheb OpenLDAP-l tarvis ka au-tentimiseks (nt Cyrus-SASL) ning krüpteeritud andmeside võimaldamiseks(SSL/TLS). Teiste rakendustega loodavate ühenduste puudulik ja puuduvplaneerimine võib viia arvukate vigadeni. Näiteks võidakse kasutusele võttateatud programmi(de) valed versioonid, mis ei ühildu omavahel piisavalt. Vä-ga sageli unustatakse ära rakendusi ühendavate liideste turve, st andmeidedastatakse võrguühenduste kaudu täiesti vabalt, krüpteerimata.

• Süsteemikeskkond - Kui OpenLDAP kasutust planeeritakse halvasti või seejäetakse üldse planeerimata, võib juhtuda, et seda hakatakse käitama eba-sobivas süsteemikeskkonnas. Näiteks kui OpenLDAP andmete hoidmisekskasutatakse mõnda jagatud failisüsteemi, nt NFS (Network File System), ei

227 / 781

saa kasutada ei OpenLDAP ega Berkeley DB failifunktsioone. See puudutabmuu hulgas ka locking -funktsiooni, millega saab teiste kasutajate jaoks tur-valiselt blokeerida paralleelse juurdepääsu kataloogiteenuse andmebaasile.

228 / 781

G 2.156 Ühilduvusprobleemid Active Directory funktsioonitasandisuurendamisel

Active Directory, alates versioonist Windows Server 2008 õigemini Active Direc-tory Domain Services (AD DS), toetab erinevaid funktsioonitasandeid (AD functio-nal level) nii domeenis kui ka tervikstruktuuris (forest).

Funktsioonitasandid vastavad kasutatud operatsioonisüsteemi versioonis leidu-vatele funktsioonidele ja võimaldavad rakendada nn segatud domeene, nt kasuta-da üheskoos Windows Server 2003 ja Windows Server 2008 domeenikontrollerit.

Üleminek madalamalt funktsioonitasandilt kõrgemale toimub Windows Server2008 puhul kahes etapis:

• AD skeemi laiendamine enne Windows Server 2008 lisamist domeenikont-rollerite hulka (adprep-iga);

• domeeni funktsioonitasandi, st tervikstruktuuri funktsioonitasandi (forestfunctional level) suurendamine pärast kõikide domeenikontrollerite kohan-damist (domprep-iga).

Ühilduvusprobleeme võib esineda mõlemas, kuid eelkõige teises etapis. Neidkahte etappi ei saa tagasi muuta, st rollback on võimatu. Andmete taastaminevarukoopia põhjal ei ole samuti soovitatav, sest olukord puudutab kõiki domeeni-kontrollereid (vt ka M 6.108 Domeenikontrollerite andmevarundus).

Probleemid ilmnevad sageli alles käitamisel, sest katsetuskeskkondades ei suu-deta AD aina kasvavat struktuuri ja selle keerukaid seoseid sageli täies mahustaasluua.

Ühilduvusprobleemid puudutavad sageli Windowsiga mitte seotud süsteeme jarakendusi, mis on ühendatud AD teenusega. Need võivad olla isiklikke skeemi-laiendusi kasutavad LDAP liidesed:

• telefonikeskjaamad, CTI- või UM-teenused;• Samba serverid ning NAS- või SAN-süsteemidega integreeritud Samba ser-

verid;• Unixil/Linuxil põhinevad veebiteenused.

AD integreerimisel võib esineda vigu, mis välistavad täielikult nende teenustekasutamise.

229 / 781

G 2.157 Veebirakenduste halb valik või kontseptsioon

Veebirakendus kasutab enda töös sageli mitmekomponendilist kompleksset jalaiali jaotatud süsteemi (nt veebiserver, rakendusserver, taustsüsteemid) ning sel-le juurde kuuluvaid erinevaid liideseid. Need on sageli integreeritud olemasolevataristuga, kuid andmete turve tuleb tagada siiski kõikides komponentides ja liides-tes.

Individuaalseid veebirakendusi luuakse tavaliselt raamistikega (frameworks),mis võimaldavad kasutusele võtta kindlad baasfunktsioonid, mida tuleb vajadusejärgi konfigureerida ja turvata. Raamistikega loodavate veebirakenduste kontsept-sioonides tuleb eelkõige kirjeldada, kuidas valida välja õiged raamistikud, kompo-nendid ja liidesed, ning määrata kindlaks, kuidas neid ühendada ja turvata.

Seevastu standardtarkvaral (nt sisuhaldustarkvara, content management sys-tems) põhinevate veebirakenduste kontseptsiooni koostamisel tuleb tähelepa-nu pöörata eelkõige tarkvara valimisele ja osakomponentide konfigureerimise-le. Standardtarkvara all on siin mõeldud nii Free/Libre Open Source Software’i(FOSS/FLOSS) kui ka tasulist tarkvara.

Veebirakenduse valimisel ja selle kontseptsiooni koostamisel ei tohi mitte mingiljuhul alahinnata terviklahenduse (nt raamistike, komponentide ja liideste) komp-leksset vastastikmõju. Muidu seatakse ohtu andmete turve, olenemata sellest, kasveebirakendus on arendatud individuaalselt või põhineb standardtarkvaral.

Planeerimisfaasis tehtud põhimõttelised vead võivad viia turvaaukudeni, midakas ei õnnestu üldse või õnnestub kõrvaldada üksnes koos suurte väljaminekute-ga.

Näited

• Standardtarkvaral põhineva veebirakenduse valimine

1. Kasutuskeskkonna tingimused (riist- ja tarkvara) vastavad veebirakendusemiinimumnõuetele. See välistab veebirakenduse integreerimise olemasole-va taristuga (nt ühendamine andmebaasiga või identiteedimäludega).

2. Valitud toote turbefunktsioonid on nõrgad ja ei suuda andmeid volitama-ta juurdepääsude eest piisavalt kaitsta. Seetõttu tuleb toodet turvamehha-nismidega täiendada. Kui tootel täiendusvõimalused puuduvad ja turvameh-hanisme ei saa lisada, tuleb turbefunktsioonide jaoks kasutada perimeetritüüpi lahendusi (nt Web Application Firewall). Need eeldavad aga lisakulu-tusi.

• Veebirakenduse tarkvara arhitektuuri kavandamine

1. Turbefunktsioonid (nt autentimine ja volitamine) ei tööta ainult ühes kind-las kohas, vaid veebirakenduse paljudes alamvaldkondades. Kui alamvald-kondades rakendatakse turbefunktsioone erinevalt, muutub veebirakenduseturbeaste selle tagajärjel ebaühtlaseks. Üksteisest eraldi tööle rakendatudfunktsioonide korral suureneb veel ka arendus- ja hooldustööde maht.

2. Kui turbefunktsioone rakendatakse üksnes kliendis (nt veebilehitsejas) jaründajal õnnestub manipuleerida veebilehitseja konfiguratsiooni, on tal või-malik kliendipõhiselt rakendatud turbefunktsioonidest mööda hiilida. Ründa-jal tekib volitamata juurdepääs nii kaitset vajavatele andmetele kui ka funkt-sioonidele. Veebirakenduse integreerimine ja käitamine

230 / 781

3. Taustsüsteemide turbele ei pöörata piisavalt tähelepanu, mille tagajärjelmuutub veebirakenduse andmebaas internetis kättesaadavaks. Ründajal onvõimalik andmebaasile ja sellesse salvestatud andmetele otse juurde pää-seda, kasutamata selleks veebirakenduse funktsioone. Veebirakenduse tur-bemehhanismid ei rakendu ning volitamata isikutel tekib vaba juurdepäästaustsüsteemidesse salvestatud andmetele.

4. Seansihalduseks kasutatakse ebaturvalise konfiguratsiooniga raamistikke(frameworks) või rakenduse komponente. Selle tagajärjel hakatakse lühi-kese kestusega seansi ID-sid kasutama pika aja jooksul. Nii saab ründajaasuda juba autenditud kasutajate seansi ID-sid mõistatama ja seejärel sean-si üle võtta (vt G 5.169 Veebirakenduste puudulik seansihaldus ).

• Veebirakenduse laiendamine

1. Funktsioonide laiendamisel tehtud eksimused võivad veebirakenduse tur-befunktsioonide toime ära nullida. Kui veebirakendusse lisatakse mõni uusandmeplank, mille puhul sisestatavaid andmeid ei valideerita, saab ründajaseda ära kasutada ja tekitada endale volitamata juurdepääsu kaitstud and-metele (nt SQL Injectioni ründed; vt G 5.131 SQL-injektsioon ).

231 / 781

G 2.158 Veebirakenduste arendamise ja laiendamisega seotudpuudused

Kui veebirakenduse arendamisel ja laiendamisel ei lähtuta kindlatest standarditestja ettekirjutustest või kui töödele esitatud nõuded on ebatäpsed, võivad tekkidavead, halveneda kvaliteet ja funktsioonid poolikult tööle rakenduda. Rakendusevarajases arendusetapis tehtud vead avastatakse väga sageli alles rakendusehilisemates arendusetappides. Selliste vigade kõrvadamiseks tuleb tihti tehakeerulisi ja ajamahukaid muudatusi. Selle tagajärjel võivad märkimisväärseltsuureneda arendustöödega seotud kulud. Arhitektuuri põhimõtteliste vigadepuhul pole välistatud, et veebirakenduse arendamisega tuleb isegi otsast pealetaasalustada.Kui kõige muu kõrval puuduvad ka täpsed ettekirjutused, kuidas turvamehhanis-me õigesti rakendada, võib juhtuda, et töödeldavate andmete nõutud turbeaste(nt tavapärasest suuremad käideldavusnõuded) jääb saavutamata.

Alljärgnevalt on esitatud näited veebirakenduse arendamise ja laiendamisegaseotud vigade kohta, mis on tingitud puuduvatest või puudulikest ettekirjutistest:

• Töömudeli puudumine - kui tarkvara arendamisel ei järgita konkreetset töö-mudelit (software development lifecycle), siis ei läbita kõiki vajalikke tööetap-pe kindlas järjekorras ja turbeaspektid jäävad kas üldse tähelepanuta võinendega tegeletakse alles arendustööde viimastes etappides. Seetõttu hal-veneb turbefunktsioonide kvaliteet ning soovitud turbeastest pole võimaliksaavutada või see saavutatakse suuri kulutusi nõudvate parendustöödega.

• Krüptograafilise meetodi vananemine

• Programmeerimissuuniste puudumine - programmeerimissuuniste (codingguidelines) puudumine võib põhjustada struktuuri ebaühtlust, erinevateprogrammeerimisstiilide läbisegi kasutamist ja turvamehhanismide ebaüht-last toimimist. Selline olukord raskendab veebirakenduse programmikoodumuutmist nii laiendamisel kui hooldamisel. Tagantjärele tehtavate muuda-tuste ja laienduste juurutamiseks kulub väga palju aega ja kuna süsteemmuutub muudatuste ja laienduste korral keerulisemaks, suureneb seega kavigade tekkimise oht.

• Valed katsetusjuhtumid ja -andmed - turbe jaoks oluliste katsetusjuhtumitevale spetsifikatsioon ja katsetusandmete ebatäieliku valiku tõttu võib osa ka-sutusvaldkondadest katsetustest välja jääda ja nendega seotud võimalikudvead jäävad avastamata.

• Erivajadustega töötajad - kui erivajadustega töötajatele vajalikud nõuded po-le piisavas mahus täidetud, ei saa erivajadustega isikud veebirakendusi täielmääral kasutada

232 / 781

G 2.159 Isikuandmete ebapiisav turve veebirakendustes

Inimeste käitumist seoses veebirakenduse kasutamisega saab salvestada nn usertracking ’u funktsioonidega (enamasti ilma kasutajate konkreetse loata). Kuna sel-liste andmete analüüsiga ei tegele sageli mitte veebirakenduse käitaja, vaid te-gemist on integreeritud teenusega, salvestatakse andmed tihti kolmandate teenu-sepakkujate süsteemidesse. Salvestatud andmetest saab user profiling ’u funkt-sioonidega koostada isikute käitumisprofiile, kuid selline tegevus ei ole kooskõlasandmekaitseseadustega. Nii tekib seaduste rikkumise oht.

Järgnevalt on toodud näiteid isikuandmete volitamata kogumise kohta.

• Küpsiste (cookies) kasutamine - Lehekülgede avamist kajastavaid detailseidandmeid ja veebirakendustes sisestatud andmeid logitakse pikema aja jook-sul ning need seostatakse konkreetsete kasutajatega (nt küpsistega). Kogu-tud andmete põhjal saab veebirakendust kasutanud inimeste kohta koosta-da ilma nende teadmata käitumisprofiile ja neid näiteks reklaami otstarbelära kasutada.

• Küpsiste (cookies) kasutamine - Veebirakenduses avatavatesse veebileh-tedesse integreeritakse võõrastest serveritest pärit fotod, mida kasutaja-te klientprogrammid asuvad laadima. Pildifailide kohta laekuvate kuvamis-soovide põhjal saavad võõraste serverite käitajad veebirakenduses avata-vate veebilehtede abil koostada enda tarbeks külastatavuse statistikat. Kuivõõrad serverid logivad peale külastatavuse statistika veel ka IP-aadresse,saab veebilehtede avamist kajastavaid andmeid seostada konkreetsete IP-aadressidega (ja seeläbi ka võimalike kasutajatega).

• Veebirakenduse veebilehtedele kaasatakse pilte võõrastest serveritest jaseega laaditakse alla kasutaja klientide pilte. Saadud piltide kaudu võivadvõõraste serverite kasutajad teha statistikat veebilehtede ja veebiraken-duse kuvamise kohta. Kui lisaks sellele protokollitakse võõras serveris IP-aadresse, võib veebilehtede kuvamised siduda IP-aadressidega (ja seegatõenäoliselt kasutajaga). Peale selle võib võõras server jälgida küpsiste abil(ingl k Third Party Cookies) üksikasjalikult kasutaja käitumist.

• JavaScripti kasutamine - Veebirakenduse HTML-lehekülgedesse integreeri-takse JavaScripti kood, millele edastatakse juhised klientsüsteemi kajasta-vate andmete kogumise kohta (nt installitud pluginad, graafiline kasutajalii-des). Kui veebileht avatakse, hakkab klientsüsteem saadud juhiseid täitma,ilma et kasutaja seda näeks. Nii kogutakse ilma kasutaja teadmata ja loataandmeid, mida saab rakendada kasutajaprofiilide koostamisel identifitseeri-vate tunnustena.

• Isikuandmete ebaturvaline salvestamine - Isikuandmete kogumise protsessveebirakenduses vastab nõuetele, kuid andmete salvestamine ei ole piisa-valt turvaline, mille tagajärjel tekib kolmandatel isikutel võimalus neid volita-matult lugeda.

233 / 781

G 2.160 Ebapiisav või puuduv logimine

Logiandmete põhjal saab muu hulgas kindlaks teha turvanõuete rikkumisi ja rün-dekatseid. Samuti saab logiandmeid kasutada kahjujuhtumitega seotud vigadeväljaselgitamiseks ja analüüsimiseks ning tervikluse kontrollimiseks.

Infokooslusest võib sageli leida nii IT-süsteeme kui ka rakendusi, mille põhi-seadistuses on logimisfunktsioon aktiveerimata. Sellised süsteemid ja rakendus-ed tuleb asjakohaselt konfigureerida. Osa süsteemide ja rakenduste puhul võibjuhtuda, et logimisfunktsiooni kasutamine osutub võimatuks. Logimisfunktsioonimittekasutamise põhjus võib seisneda ka puudulikus planeerimiskontseptsioonis.

Kui logimisfunktsiooni rakendatakse vaid üksikutes väljavalitud süsteemides,võivad olulised andmed ja nende põhjal tehtavad järeldused siiski kaotsi minna,sest neid ei koondata tsentraalsesse analüüsikohta. Tsentraalselt toimiva logimis-funktsioonita on väga raske tagada, et logiandmetes kajastuksid kõik IT-süsteemidja kõiki logiandmeid analüüsitaks võrdselt.

Probleeme võib põhjustada ka olukord, kus IT-süsteemide kasutajatel on võima-lik logimisfunktsioon ise välja lülitada. Nii võib kasutaja näiteks rikkuda reegleid,ilma et teda saaks selle tagajärgede eest vastutama panna. Kui kasutajatel onvõimalik logifaile muuta või kustutada, tekib oht, et turvarikkumised jäävad avas-tamata.

Näide

• Volitamata kasutaja üritab veebipõhises meilikontos ära arvata teiste kasu-tajate paroole. See võib ründajale pakkuda suurt huvi, sest sama parooligavõivad olla kaitstud ka paljud teised teenused (Single Sign-on). Kui meili-serveris logimisfunktsiooni ei kasutata, jäävad seda tüüpi ründed avasta-mata. Ründajal on võimalik kasutaja paroole välja selgitada Brute-Force-rünnetega, ilma et seda avastataks.

234 / 781

G 2.161 Logiandmete konfidentsiaalsuse ja tervikluse kadu

Osa IT-süsteemide logiandmetes kajastuvad IP-aadress, kasutajanimi, meiliaad-ress ja arvuti nimi muutmata kujul, mistõttu on neid võimalik seostada konkreetse-te isikutega. Kuna seda liiki andmeid edastatakse krüpteerimata, saab neid pealtkuulata ja manipuleerida. Eriti suur on see oht siis, kui kasutatakse tsentraalselttoimivat logimislahendust. Sellised andmed suurendavad rünnete edukust. Kuiründaja teab näiteks kasutajanime, võib ta proovida selle parooli ära arvata võiseda sõnaraamaturündega leida (vt G 5.18 Süstemaatiline paroolide mõistatami-ne ).

Logiandmete ebaturvaline ja krüpteerimata edastamine võib ohustada nendeterviklust samal määral nagu administraatorite hooletus või väärkasutus. Kui ad-ministraator peaks logiandmeid muutma või need ära kustutama, et varjata konfi-gureerimistööde käigus tehtud vigu, võib juhtuda, et kogutud andmeid pole võima-lik enam edasi töödelda. Andmeedastusvead, mille tagajärjel tekib logiandmetetervikluse kadu, võivad tekkida ka logiandmete edastamisel tsentraalsesse logi-serverisse. Andmeid võidakse võltsida ka sihilikult, et edastada valet teavet.

Näited

• Man-in-the-Middle-ründed võimaldavad ründajal edastatavaid krüpteerima-ta logiandmeid lugeda. Nii saab ründaja juurdepääsu konkreetsele teabe-le infokooslusse kuuluvate IT-süsteemide kohta, nt nende IP-aadressidele.Seejärel on ründajal võimalik IP-aadresse võltsida ja võtta enda jaoks kasu-tusele mõne teise IT-süsteemi identiteet (IP Spoofing). Osas infokooslustestvõib olla täiesti tavaline, et IT-süsteemid usaldavad üksteist nii väga, et ka-sutajatel on lubatud sisse logida kasutajatunnust ja parooli sisestamata. Seljuhul saab ründaja ohvriks valitud arvutisse siseneda üksnes võltsitud IP-aadressiga, ilma et ta peaks end autentima.

• Logiteadete edastamisel failiserverist tsentraalsesse logiserverisse võivadedastuskanalis füüsiliste häirete tõttu tekkida andmeedastusvead. Seetõt-tu jääb administraatoritel märkamata, et failiserveri töö on viimaste tundidejooksul korduvalt seiskunud.

235 / 781

G 2.162 Isikuandmete töötlemise loa puudumine

Isikuandmeid on lubatud töödelda vaid siis, kui mõni seadus või muu õigusnormseda konkreetselt lubab või kui asjakohane isik on andnud selleks nõusoleku.

Kui isikuandmete töötlemiseks vajalik õiguslik alus, nt inimese nõusolek või sea-dusega sätestatud õigus, puudub, on oht, et isikuandmeid töödeldakse õigusvas-taselt (nt rikutakse andmekaitseseaduse, sotsiaalseadustiku ning kooliharidust,politsei ja haiglate tööd reguleerivate seaduste nõudeid). Siinkohal tuleks pööratatähelepanu ka ohule G 2.105 Õigusaktide ja lepingute sätete rikkumine .

Isikuandmete töötlemisel ilma piisava õigusliku aluseta võib rikkujaid oodatarahatrahv, vabadusekaotus või muud töö- ja teenistusõiguse põhjal kohaldatavadsanktsioonid. Isikul, kelle õigusi on rikutud, on õigus nõuda kahjutasu.

236 / 781

G 2.163 Isikuandmete töötlemise sihtotstarbe eiramine

Isikuandmeid tohib töödelda üksnes sellel otstarbel, milleks need kas koguti võiesimest korda salvestati. Andmete puhul on oht, et neid võidakse kasutada kamõnel muul otstarbel, vältimaks andmete uuesti kogumisega seotud töövaeva jaasjakohaste isikute korduvat teavitamist.

Keelatud on kasutada andmekaitse, infoturbe tagamise või andmetöötlussüs-teemide nõuetekohase käitamise eesmärgil salvestatud isikuandmeid muudel kuieelnimetatud eesmärkidel.

Eriti suur sihtotstarbe eiramise oht võib tekkida andmete automaatse allalaadi-mise ja muude andmeedastuste korral, andmehulkade liidestes ja andmete ana-lüüsimise protsessides.

Isikuandmete töötlemise sihtotstarbe eiramisel võib rikkujaid oodata rahatrahv,vabadusekaotus või muud töö- ja teenistusõiguse põhjal kohaldatavad sanktsioo-nid. Isikul, kelle õigusi on rikutud, on õigus nõuda kahjutasu.

Näited

• Kui ettevõtte juhtkond kasutab infoturbeks ja andmekaitseks koostatud logi-faile, milles kajastuvad töötajate IT-süsteemidesse sisselogimise ja nendestväljalogimise ajad, et kontrollida töötajate saabumist tööle ja lahkumist töölt,liigitub see sihtotstarbe eiramise alla.

• Transkriptsiooniteenust ja tekstitöötlust osutavas ettevõttes võetakse palga-arvestusel aluseks töötajate klahvivajutuste arv. Kui samu andmeid kasuta-takse muu hulgas töötajate töökiiruse hindamiseks, on tegemist sihtotstarbeeiramisega.

• Ettevõtte sööklas saab toidukorra eest tasuda kombineeritud töö- ja söökla-kaardiga. Kui sööklas toidukordade eest tasumist kajastavaid andmeid kasu-tatakse ilma töötaja teadmata temale suunatud haigusennetusprogrammideväljatöötamiseks, kuulub selline tegevus sihtotstarbe eiramise alla.

237 / 781

G 2.164 Isikuandmete töötluse õigustatuse põhimõtte eiramine

Isikuandmeid tohib töödelda üksnes isikuandmete töötlemise eest vastutav osa-kond seadustest tulenevatel eesmärkidel ja enda seaduslike tööülesannete raa-mes.

Andmetöötluseks tuleb valida lahendus, mis riivab kõige vähem asjakohasteisikute huve (õigustatuse põhimõte).

Õigustatuse põhimõtte vastu eksitakse alati siis, kui andmetöötlusega tegelevadisikud saavad juurdepääsu tervele andmekogule, olgugi et oma töös läheb neiltarvis palju väiksemaid pääsuõigusi.

Kriitiliselt tuleb analüüsida ka süsteemihaldurite ja võrguadministraatorite vägalaialdasi pääsuõigusi. Levinud operatsioonisüsteemid, eriti PC- ja võrgupõhisedoperatsioonisüsteemid, võimaldavad ikka veel kasutada kõike hõlmavaid pääsu-õigusi, millega saab mis tahes faile lugeda, kirjutada, manipuleerida ja kustutada.See puudutab eriti logifaile, mis on mõeldud andmekaitsenõuete kontrollimiseksja andmetöötlusprotsesside revideerimiseks. Nii on võimalik enda tegevuse jäljedmärkamatult ära kustutada.

Eksimusi õigustatuse põhimõtte vastu võib põhjustada ka see, kui süsteemi-tehniku ja programmeerijate ning kasutajate ja kontrollijate tööülesanded ei olepiisavalt lahutatud või kui juurdepääs programmidele ja andmehulkadele on eba-piisavalt kaitstud.

Näited

• Kindlustusfirma kontoritöötaja vastutab klientide eest vahemikus A kuni G,kuid tegelikult on tal juurdepääs kõikide kindlustatud klientide andmetele.

• Andmetöötluse eest vastutavas osakonnas antakse pääsuõigused hierar-hias altpoolt ülespoole edasi, mille tagajärjel on osakonna juhatajal mittetööülesannete, vaid üksnes oma ametipositsiooni tõttu võimalik kõiki and-meid lugeda ja muuta.

238 / 781

G 2.165 Ebapiisav või puuduv tarbetute korduste ja andmetekuhjumise mittevältimine isikuandmete töötlemisel

Tarbetute korduste ja andmete kuhjumise vältimine kuulub nende põhinõuetehulka, mida tuleb järgida kogutavate, töödeldavate ja kasutatavate andmete liigi,sisu ja kasutusaja kindlaksmääramisel. Samas tuleb neid nõudeid käsitleda kanii tehniliste lahenduste kui ka nende valiku ettekirjutustena. Nende põhimõtetevastu võidakse eksida näiteks järgmistel juhtudel:

• andmete kogumine andmetöötluse eesmärgist suuremas mahus (nt kui le-pingu sõlmimiseks ei piirduta üksnes kaht liiki kontaktandmete kogumisega,vaid kogutakse rohkem, nt postiaadress, telefoninumber ja meiliaadress);

• vajalikust detailsemate andmete kasutamine andmetöötluses (nt sünnikuu-päeva ja krediitkaardi numbri kaasamine andmetöötlusprotsessi, kuigi reaal-selt on tarvis üksnes kinnitust, kas isik on vähemalt 18-aastane);

• isikuandmete töötlemine ja salvestamine pikema aja jooksul, kui kasutusots-tarve seda ette näeb (nt tulemüüri logifailide turvaanalüüsid).

Alati, kui isikuandmeid on võimalik muuta anonüümseks või kui saab kasutadapseudonüüme, tuleks seda ka teha.

239 / 781

G 2.166 Andmesaladuse põhimõtte eiramine isikuandmetetöötlemisel

Andmesaladuse, st isikuandmete kaitse põhimõtte vastu eksitakse siis, kui tööta-jad, kellel on juurdepääs isikuandmetele, töötlevad andmeid ilma loata. Andmesa-laduse nõude järgimise kohustus jääb kehtima ka pärast tööde lõpetamist. Sellegaseotud eksimuste põhjus on sageli töötajate teadmatus: töötajad kas ei tunne keh-tivaid andmekaitseseadusi, neid ei ole tööle asudes sobival viisil juhendatud võineilt ei ole võetud kirjalikku kinnitust, et nad järgivad enda töös andmekaitsenõu-deid.

Andmesaladuse nõude vastu eksimiseks loetakse ka andmete kustutamata jät-mine pärast kasutamist, andmete võltsimine, aadressifailide edasiandmine reklaa-miettevõtetele, isikuandmete edastamine ettevõttes või ametiasutuses erinevateosakondade vahel ilma mõjuva põhjuseta, volitamata tutvumine personaliandme-tega, keelatud analüüside koostamine, tööandmete kasutamine isiklikul otstarbel(nt kui pangatöötaja edastab kellegi krediidivõimekuse andmed isiklikule tuttava-le).

Näited

• Sideettevõtte töötaja kasutab ära juurdepääsu klientide krediidiinfole, et uu-rida enda vihatud naabrimehe tausta ja avaldada tema krediidivõimekusevõi muid majanduslikku seisu kajastavaid andmeid kas enda tuttavatele võisõpradele.

• Hotelli administraator edastab hotelli saabunud kuulsate külaliste nimedpressile, et nii endale lisaraha teenida.

• Linnavalitsuses töötav IT-süsteemide administraator, kellel on juurdepääselanikeregistri andmetele, avastab tööde käigus juhuslikult ühe tuttava ük-sikema salastatud aadressi ja annab selle edasi enda sõbrale, kellelt on vä-givaldse käitumise tõttu ära võetud lapse hooldusõigus ja keelatud lapsegaühendust võtta.

240 / 781

G 2.167 Puudulik või ebapiisav eelkontroll isikuandmete töötlemisel

Kui isikuandmete töötlusega kaasnevad isikute jaoks ohud, st kui see piirab nendeõigusi ja vabadusi, nt kui töödeldakse eriandmeid (teavet rassilise ja etnilise pä-ritolu ning poliitiliste, usuliste ja filosoofiliste veendumuste, ametiühingusse kuulu-mise, tervise või seksuaalelu kohta) või kui eesmärk on hinnata kellegi isiksust jatema oskusi, võimekust või käitumist, tuleb enne andmetöötlusega alustamist tehaeelkontroll. Eelkontrolli ei pea tegema, kui andmete töötlemine on seadusega ettenähtud, kui asjasse puutuvalt isikult on saadud selleks nõusolek, kui andmete ko-gumine, töötlemine või kasutamine vastab lepingulise suhte sihtotstarbele või kuiasjasse puutuva poolega eksisteerib mõni muu usaldusväärne õigussuhe. Osa lii-dumaade andmekaitseseadustesse on eelkontrolli nõue sisse kirjutatud üldkehtivatingimusena, st see kehtib kõikide avalikes asutustes isikuandmete töötlemisegaseotud protseduuride kohta.

Kui nõutud eelkontrolli ei tehta või tehakse puudulikult, võib see ohustada ini-meste andmealase enesemääratluse õigust.

Näited

• Kui volitamata isikud saavad kasutada isikuandmeid töötlevaid IT-süsteeme(nt seetõttu, et turvameetmed ei ole piisavalt tõhusad) või kui nad pääsevadruumidesse, kus neil tekib juurdepääs IT-süsteemidele ja nad saavad see-ga andmetega tutvuda, võib see tugevalt rikkuda asjasse puutuvate isikuteõigusi ja vabadusi.

• Andmete terviklust ja konfidentsiaalsust võivad ohustada ka andmetöötlus-protsessid ja andmete edastamine, kui see ei ole piisavalt kaitstud (krüptee-rimisega).

• Isikuandmete töötlemisega seotud tellimustööde puhul ei pruugi teenuseo-sutaja piirduda üksnes lepingust tulenevate kohustustega ja võib sel viisilteistele isikutele kahju tekitada.

• Isikuandmete töötlemisel võidakse eirata nende sihtotstarvet ja koostadavolitamatult andmetevahelisi seoseid, mis ei ole asjasse puutuvate isikutehuvides.

241 / 781

G 2.168 Isikute õiguste rikkumine isikuandmete töötlemisel

Andmekaitsenõuetest tulenevaid õigusi (õigus teabele, andmete parandamisele,kasutuse tõkestamisele ja kustutamisele) võidakse rikkuda ka puudulike tehnilisteja töökorralduslike meetmete tõttu. Asjasse puutuvate isikute õigusi rikutakse kasiis, kui nende kohta esitatakse puudulikku teavet.

Näited

• Klient soovib, et tema kohta salvestatud väärad andmed parandataks. Vas-tutav osakond väidab, et selleks vajalik tööde maht on kas liiga suur võiandmete korrigeerimine ei ole tehniliselt võimalik.

• Isiku kohta salvestatud andmetest avaldatakse üksnes osa või aegunud tea-ve.

242 / 781

G 2.169 Andmetöötlusprotsessi ebapiisav või puuduv kaitseisikuandmete töötlemisega seotud tellimustöödes

Isikuandmete töötlemise teenust võib sisse osta, eeldusel et teenuse tellija vas-tutab ainuisikuliselt andmetöötlusprotsessides andmekaitsenõuete järgimise eest.Teenust ostes tuleb pöörata eritähelepanu teenuseosutaja tehnilisele ja töökorral-duslikule võimekusele. Teenuse tellimine tuleb fikseerida kirjaliku lepinguga, milleskirjeldatakse täpselt nii andmetöötlusprotsessi kui ka selleks vajalikke tehnilisi jatöökorralduslikke meetmeid. Meetmete hulka kuulub ilmtingimata ka tööprotses-si kontrollimise õigus. Teenuseosutaja peab andmetöötlusprotsessis alluma tellijakorraldustele.

Need nõuded peavad kehtima ka isikuandmete automaatse töötlemisega seo-tud tehniliste seadmete kontrollimise ja tehnohoolduse kohta (kaughooldus).

Näited

• Ettevõte soovib osta enda töötajate palgaandmete haldamiseks vajalikkutehnilist lahendust sisse teenusena (application services). Andmetöötlus onkorraldatud nii, et teenuseosutaja saab haldamistööde ja andmetest varu-koopiate tegemise raames juurdepääsu ka töötajate palgaandmetele. Le-pinguga sätestatakse aga üksnes palgaandmete teenuse käideldavusnõu-ded ja teenuse taaskäivitamine. Ühel päeval muutuvad teenuse tellinud ette-võtte töötajate palgaandmed seletamatutel asjaoludel avalikuks. Palgaand-meid hakatakse kasutama tööandja häbistamiseks. Konkureerivad ettevõt-ted püüavad töötajaid suurema palgaga üle meelitada, et ettevõttele kahjutekitada. Asjasse puutuvad töötajad esitavad järelevalveametile kaebuse.

• Teenuse tellinud ettevõtte andmetöötlusprotsesside kontrollimise käigus sel-gitab järelevalveasutus välja, et teenuse tellija on olnud hooletu, sest tee-nuse tellimise lepingus on kohustuslikud andmekaitsesätete järgimise nõu-ded jäänud fikseerimata (eelkõige andmekaitseõigusest tulenevate turva-eesmärkide järgimine, tööprotsessi kontrollimine teenuseosutaja juures jakokkulepped juhtudeks, kus esitatud töö ei vasta kvaliteedinõuetele). Järe-levalveamet teeb ettekirjutuse ja nõuab puuduste kiiret kõrvaldamist.

243 / 781

G 2.170 Puudulik läbipaistvus andmekaitse kontrolliinstantside jaasjakohaste isikute jaoks

Kui isikuandmete kogumisel ei teavitata asjasse puutuvaid isikuid ette nähtud and-metöötlusprotsessidest ja õiguslikust alusest, ohustab see protsessi läbipaistvust.

Läbipaistvusnõude järgimine on küsitav ka siis, kui asjasse puutuvate isikuteeest varjatakse seda, mil viisil andmed koguti, kes on andmete adressaat ja kuipikk on andmete kustutustähtaeg.

Kui andmekaitse kontrolliinstantse ei teavitata õigel ajal

• uute protseduuride kasutuselevõtust,• protseduuride kasutusse lubamisest,• halduseeskirjade avaldamisest,• andmete allalaadimise automaatsete protseduuride juurutamisest,• andmetöötlusteenuse hankimisest tellimustööna,

ei saa kontrolliinstantsid teha ettepanekuid andmekaitse parandamise kohta õi-gel ajal, st ajal, mil ettepanekuid saaks tõhusalt kasutada protseduuride arenda-misel. Andmekaitse kontrolliinstantside kaasamisel lasub andmekaitsenõuete jär-gimise kohustus endiselt andmeid töötleval organisatsioonil.

Kui isikuandmete töötlemisega seotud protsesse logitakse ja dokumenteeritak-se halvasti ning kui protsessides tehtavad muudatused jäetakse üles märkimata,raskendab see oluliselt kontrolliinstantside tööd. Kontrollide efektiivsus võib vä-heneda ka kasutatud IT-süsteemide ebatäielike või värskendamata kataloogide,puudulike konfiguratsiooniülevaadete ja puuduvate kaabliühenduse skeemide tõt-tu.

Puuduv või ebatäielik teave sisemiste kataloogide kohta ning teave avalike ka-taloogide kohta mahus, mis on seadusega ette kirjutatud, ohustavad andmetööt-lusprotsessi läbipaistvust nii asjakohaste isikute kui ka kontrolliinstantside seisu-kohalt.

Näited

• Ametiasutus on keelatud automaatse andmetöötlusprotsessiga tekitanudisikule kahju. Protseduuriloendiga tutvumine (kui selline loend üldse eksis-teerib) liidumaa andmekaitsevoliniku juures, et juhtunu kohta täpsemat tea-vet saada, võib takerduda selle taha, et volinikule on jäetud andmed kasesitamata või on esitatud andmed, mis ei kajasta (vastupidi seaduses nõu-tule) andmeid edastanud osalisi.

• Protseduuride metoodika puudumise tõttu ei oska mitte keegi ametiasutusesvastata küsimusele, millised ametkonnad ja ametiisikud konkreetseid and-meid haldavad.

244 / 781

G 2.171 Etteantud kontrollieesmärkide ohustamine isikuandmetetöötlemisel

Ebapiisavad tehnilised lahendused ja halb töökorraldus võivad isikuandmete tööt-lemisel põhjustada eelkõige järgmisi ohte:

• volitamata isikute juurdepääs andmetöötlusseadmetele;• andmetöötlussüsteemide kasutamine volitamata isikute poolt;• volitatud isikute juurdepääs andmetele, mis ületavad nende pääsuõiguste

piire;• isikuandmete volitamata lugemine, kopeerimine, muutmine ja eemaldamine;• isikuandmete volitamata lugemine, kopeerimine, muutmine ja eemaldamine

nende elektroonilise edastamise või transportimise käigus või andmekand-jatesse salvestamise ajal;

• suutmatus kontrollida ja kindlaks teha, milline tehniline sisseseade on ettenähtud isikuandmete edastamiseks;

• suutmatus tagantjärele kontrollida ja kindlaks teha, kas andmetöötlussüs-teemi on lisatud isikuandmeid, kas neid andmeid on muudetud või eemal-datud ning kes seda tegi;

• suutmatus tagada tellija nõuete täitmist isikuandmete töötlemisel lepingualusel;

• suutmatus tagada, et andmed on juhusliku hävitamise või kaotamise eestkaitstud;

• suutmatus tagada, et erineval eesmärgil kogutud andmeid töödeldakse üks-teisest lahutatult.

Näited

• Paljude IT-tugiisikute meelest piisab selliste eraldi seisvate PC-de kaits-miseks, mida kasutab vaid üks isik ainult ühe rakenduse jaoks, üksnes in-dividuaalsest BIOS-paroolist. Kahjuks unustatakse, et BIOS-paroolkaitsestsaab tihti väga lihtsate vahendite ja lühikese ajaga mööda hiilida, mis tä-hendab, et IT-süsteemi salvestatud isikuandmetega on võimalik volitamatulttutvuda ja andmeid ka võltsida. Lisaks võidakse PC-sid, eriti kaasaskanta-vaid seadmeid, varastada ning kui varastatud süsteemides hoitavad andmedon krüpteerimata, saavad volitamata isikud neid operatsioonisüsteemi prog-rammidega lugeda ja seejärel enda huvides ära kasutada.

• Kontrollide käigus tuleb ikka ja jälle ilmsiks probleem, et IT-süsteemides tur-vatakse juurdepääsu programmidele ja andmekogudele kasutaja identifit-seerimisega (kasutajatunnuse ja parooliga) ja kasutaja tööprotsesse juhi-takse sihipäraselt (menüüsüsteemi ja graafilise kasutajaliidesega), kuid ta-gantjärele ei ole enam võimalik kindlaks teha, kuigi seadus seda nõuab,mis andmed sisestati andmetöötlussüsteemidesse, sest süsteemide kont-septsiooni koostamisel ei ole hästi toimivale logimisfunktsioonile pööratudpiisavalt tähelepanu.

• Personalikulude ja andmetöötlusega seotud väljaminekute vähendamiseksotsustatakse sageli tellimustööde kasuks, sest sellega loodetakse andme-töötlusega seotud probleemid ja andmekaitsenõuete järgimise kohustus tee-nuseosutaja kaela veeretada. Siinkohal jäetakse sageli tähelepanuta, etandmekaitseseadustes on tellimustööde kohta kehtestatud erinõuded, mis

245 / 781

eeldavad selgelt sõnastatud lepinguid teenuseosutajaga ning jätavad vas-tutuse andmetöötluse ja andmetöötlusprotsesside tehniliste lahenduste jatöökorralduse kontrollimise kohustuse endiselt teenuse tellija kanda.

246 / 781

G 2.172 Andmetöötlusprotsessi ebapiisav või puuduv kaitseisikuandmete töötlemisel välisriikides

Isikuandmete edastamisel võõrriiki tuleb täpselt järgida kohalduvaid seadusi. Isi-kuandmete edastamisele Euroopa Liidu liikmesriikidesse kehtivad samasugusednõuded nagu isikuandmete edastamisele Eesti Vabariigi piires. Nn kolmandates-se riikidesse tohib isikuandmeid edastada vaid juhul, kui sihtriigis on tagatud sobivandmekaitse tase või kui vastutav organisatsioon suudab garanteerida isikuõigus-te kaitse ja võimaluse rakendada kõiki sellest tulenevaid õigusi. Viimasel juhultuleb edastamiseks hankida järelevalveameti luba.

247 / 781

G 2.173 Lubamatud automaatsed otsused üksikjuhtumite kohtaisikuandmete töötlemisel

Mitte kellegi üle ei tohi otsustada automaatselt juhul, kui see toob sellele inimeselekaasa negatiivsed õiguslikud tagajärjed või mõjub talle mõnel muul viisil halvasti.See keeld lähtub põhimõttest, et isikuandmete automaatse andmetöötluse kohtaei tohi langetada automaatseid otsuseid, kui see puudutab isikuomaduste ükshaa-val hindamist. See keeld ei kehti, kui asjasse puutuv isik on selleks otsesõnu sooviavaldanud. Erandi moodustab ka olukord, kus isikut on üksikjuhtumite automaat-sest otsustamisest teavitatud ning kui kaitset vajavad isiku huvid on asjakohastemeetmetega piisavalt kaitstud. Selle alla kuulub näiteks võimalus avaldada arva-must. Sellisel juhul on vastutav asutus kohustatud otsused uuesti läbi vaatama.

Isikut tuleb kõikidel juhtudel teavitada teda puudutavate ja automaatses otsus-tusprotsessis aluseks võetavate andmete töötlemisest, andmetöötluse eesmärgistja andmetöötluse tulemi adressaatide kategooriatest. Et asjasse puutuv isik saaksenda seisukohta väljendada, tuleb teda teavitada ka andmetöötluse tagajärgedestja konkreetse andmetöötlusprotsessi põhimõtetest (loogiline ülesehitus).

Näited

• Osakond kasutab töötajate ametivõimekuse, krediidivõimekuse, usaldus-väärsuse või isiku käitumise prognoosimiseks hindamissüsteemi (scoringsystem). Olenemata kasutatavast protseduurist on vastutaval osakonnalalati kohustus asjasse puutuvaid isikuid enda tegevusest teavitada. Sellenõude järgimata jätmine liigitub seaduserikkumise alla.

• Kui hindamissüsteemi tulemuse põhjal langetatakse asjasse puutuva isikukohta tema huve kahjustav otsus, peab vastutav osakond võtma sobivaidmeetmeid, mis tagaksid isiku õigustatud huvide piisava kaitse. Selleks eitule isiku jaoks tagada mitte üksnes protsessi üldine läbipaistvus, vaid an-da talle ka võimalus enda seisukoht osakonnale teatavaks teha, mis tagakslangetatud otsuse ülevaatamise. Kui isiku huve rikutakse või kui otsuse üle-vaatamisest keeldutakse, on isikul võimalik edasi pöörduda andmekaitse jä-relevalveasutuse poole.

248 / 781

G 2.174 Puuduv või puudulik andmekaitsekontroll

Kehtivate andmekaitsenõuete järgimise, eelkõige tehniliste ja töökorralduslikemeetmete piisavuse kontrollimine ei anna sageli oodatud tulemusi, sest seda pee-takse ekslikult üheks järjekordseks kulutuseks, millel ei ole tööga mitte mingitpistmist. Andmekaitse õigusnõuete kontrollimist võib raskendada ka asjaolu, etandmekaitsele ei ole andmetöötlusprotseduuride väljatöötamisel ja katsetamiselpiisavalt tähelepanu pööratud.

Andmekaitsekontrollide tegemiseks vajalikud eeldused ei ole automaatselt täi-detud üksnes sellega, kui ametiasutus või ettevõte loob andmekaitsespetsialistiametikoha. Sama kehtib ka siis, kui juba ametis olev töötaja ei ole piisava kvalifi-katsiooni või väljaõppega või kui andmekaitsespetsialisti tööd ei toetata piisavaltja kui teda ei teavitata asjaoludest õigel ajal (personali ja töövahendite nappus).

Näited

• Arvutuskeskuse juhataja nimetatakse organisatsioonisiseseks andmekait-sespetsialistiks, sest tal on selleks tööks kõige suuremad erialased eel-dused. Kahjuks unustatakse ära, et siin tekib huvide konflikt. Näitekspeab ta andmekaitsespetsialistina kontrollima, kuidas rakendatakse IT-protseduuride käitamises tema väljatöötatud turvanõudeid, ning tal tulebanalüüsida väärkasutuse tuvastamiseks salvestatud logiandmeid.

• Organisatsioonis võetakse vastu andmekaitsesuunis, mille järgi on andme-kaitsespetsialistil kord aastas kohustus esitada aruanne. Ametisse nimeta-tud andmekaitsespetsialist on aga juba kaks aastat tagasi raskesti haiges-tunud, tema asemele pole uut töötajat määratud ning seetõttu ei ole ka aru-annet koostatud.

249 / 781

G 2.181 Veebiteenuste rakendamise puudulik planeerimine jakontseptsioon

Veebiteenused on sageli väga kõrge komplekssuse astmega. Just erinevate vee-biteenuste paindliku omavahelise suhtlemise osas on seetõttu vaja seda hoolikaltplaneerida. Tavalised planeerimisvead on järgmised:

• Ei järgita standardeid: just veebiteenuste osas on erinevate aspektidejaoks olemas väga palju standardeid. Mõnesid turvalisust puudutavaid stan-dardeid esitletakse meetmes M 4.451 Veebiteenuste värsked standardid.Kui asjakohaseid standardeid ei järgita, muutub koostalitlusvõime muudeveebiteenustega raskemaks või takistatuks.Välja valitakse vananenud, veel mitte piisavalt väljatöötatud või sobimatudstandardid või protokollid: mitte kõik standardid ei ole läbi löönud. Mõnesidavaldatud standardeid on vahepeal täiendatud uuemate kontseptsioonide-ga. Vananenud sideprotokollidel ei ole sageli piisavaid turvaomadusi.

• Nõutavaid funktsioone rakendatakse valesti: kui kaitstava äriprotsessi nõud-misi ei kajastata, dokumenteerita või mõisteta õigesti, tekib oht, et veebitee-nus (või mitmed veebiteenused oma koosmõjus) arendatakse välja nõudmi-si arvesse võtmata ja see ei täida tegelikult ettenähtud ülesannet või täidabseda puudulikult.

• Valitud on sobimatu rakenduse arhitektuur: kui arhitektuuri kujundamisel eijärgita sobivalt kõiki vastavaid nõudmisi, võib juhtuda, et veebiteenuse funkt-sioone, turvalisust või jaotatavust ei saa realiseerida või saab seda tehaüksnes kõrgemate kuludega. Lisaks on olemas oht, et arhitektuuri realiseeri-miseks väljavalitud komponendid ei toeta kõiki vajalikke funktsioone ja stan-dardeid.Ei järgita käideldavuse ja jõudlusega seotud nõudeid: veebiteenuste arhitek-tuur ja realiseerimine peavad järgima käideldavusele ja jõudlusele esitata-vaid nõudmisi. See kehtib ka teenuste ja süsteemide skaleeritavuse kohta.

• Liidesed ja XML-skeemid kujundatakse sobimatult: erinevate veebiteenus-te õige koostoime eeldab, et liideseid ja sõnumi vorminguid planeeritaksehoolikalt, eriti kui need ületavad pakkuja piire.

• Püsiandmed salvestatakse sobimatult: oleku puudumise kontseptsioonikaudu tuleb kavandada ka vahetulemuste jaoks mõeldud salvestuslahen-dused. Andmetalletus peab vastama jõudluse, usaldusväärsuse ja paralleel-se töötlemise nõuetele. Kui erinevad teenusetarbijad kasutavad veebiteenu-seid üksteisest sõltumatult, tuleb ka andmed sellekohaselt eraldada.

• Ei järgita turvafunktsioone: veebiteenuseid arendavad tavaliselt spetsialistid.Kui kavandamise etapis jäetakse vajalikud turvafunktsioonid nagu autentimi-ne, krüpteerimine või volituste kontrollimine piisava tähelepanuta, võib juh-tuda, et realiseeritud veebiteenused ei vasta käideldava teabe kaitsevajadu-sele. Turvalisuse tagantjärele realiseerimine on sageli keeruline ja kulukas.

• Kui tegemist on isikuandmete töötlemisega, kujutab ka väline veebiteenu-se osutamine andmekaitseseaduste tähenduses endast tellimuse andmetetöötlemist. Seetõttu tuleb järgida sellest tulenevaid õiguslikke nõudeid ja or-ganisatsiooni tuleb kaasata ka andmekaitse eest vastutavaid ametikohti.

250 / 781

• Olenevalt kasutusvaldkonnast tuleb lisaks andmekaitsele järgida veel õigus-likke või muid seadusandlikke nõudeid. Kui need suunised või nende sisu eiole piisavalt tuntud, või kui neid veebiteenuste kontseptsiooni juures ei ar-vestata, võib hiljem olla veebiteenuste rakendatavus või kasutatavus ohus-tatud.

• Ette ei ole nähtud testimisvõimalusi: selleks, et veebiteenuseid edasi aren-dada, aga ka kasutatavaid komponente uuendada ning teostada sobivasprotsessis turvapaikade paigaldamist, peab olemas olema testimise võima-lus, mis võimaldab töö käigus läbi viia teste, kahjustamata samal ajal toot-miskeskkonda.

Olenevalt veebiteenuse liigist ja keskkonnast võivad planeerimisega ollaseotud ka muud asjaolud, lõpliku loendi esitamine on mõeldavate stsenaariumidemitmekesisuse tõttu võimatu.

Lisaks nimetatud planeerimisaspektide järgimise puudulikkusele on olemasvõimalus, et vastavad ideed küll teostatakse, kuid jäetakse arusaadavalt doku-menteerimata. Kui hiljem vastutusalad muutuvad või kasutamine laieneb, võiboluline teave või otsuse tegemise alus puududa.

251 / 781

G 2.182 Salvestisüsteemide puuduv või ebapiisav käitamisekontseptsioon

Salvestisüsteemide planeerimine, soetamine ja kasutamine, mis puudutab nen-de dimensioneerimist ning nõudeid käideldavuse ja jõudluse osas, on asutustelejärjest keerukam ja nõudlikum. Sellest tulenevalt tuleb salvestisüsteemi režiim pla-neerida ja kindlaks määrata strateegilisel tasemel.

Seejuures tuleb eristada nii režiimi eripära (nt kasutajaks on oma töötajad võikasutajaks on kolmas isik või kollektiivset vastutust üle andmata) kui ka võimalustpaigutada salvestisüsteem oma ruumidesse või teenusepakkuja juurde.

Kui kindlaks määratud režiimi kohta ei ole olemas reegleid, kasvõi käitamisekontseptsiooni kujul, võib see põhjustada tõsiseid tõrkeid, mis võivad vahetult mõ-jutada salvestatud andmete usaldusväärsust, käideldavust ja terviklust. Ebasel-ged vastutusalad süsteemi tõrke korral on ainult üks näide võimalikest probleemi-dest.

Salvestisüsteemi töö põhineb üldjuhul teenuste kataloogi loomisel, mille abil kir-jeldatakse pakutavaid teenuseid või teenuste osutamisega seotud kindlaid kokku-leppeid, nn sisemiste klientide Service Level Agreements (SLA-d) ehk teenuseta-seme lepinguid või Operational Level Agreements (OLA-d) ehk käitamisleppeid.

Puuduv teenuste kataloog põhjustab nii salvestisüsteemi pakkujale kui kakasutajale märkimisväärseid puudusi, sest sõlmitud lepinguid ei ole võimalikhiljem tuvastada või tekib ebakindlus õiguste ja kohustuste osas. Kui ei olekindlaks määratud, millistele kriteeriumidele peab teenus üldjuhul vastama, ei olevõimalik mõõta teenuse kvaliteeti ja kindlaks teha teenuse osutamist.

252 / 781

G 2.183 Puuduv või puudulik tsoonide kontseptsioon

Tsoonide kontseptsioon on mõeldud selleks, et luua või hoida töös institutsiooniüksikute süsteemide üht või mitut turbeastet. Tsoonide kontseptsiooni eesmärkei ole seejuures mitte erinevate klientide, vaid erineva kaitsevajadusega tsoonideeraldamine. Tsoonide kontseptsiooni sisseviimisega saab olemasolevad süstee-mid siduda nende kaitsevajaduse alusel standardiseeritult turbeastmega.

Tsoonide kontseptsioonil võivad olla erinevad vormid. Sageli tuleb ette jaota-mine võrgutsoonideks ja salvestustsoonideks, mida praktikas rakendatakse siiskierinevate piirangutega.

Tuleb tähele panna, et mõiste „tsoneerimine” kirjeldab SAN-salvestivõrgusvõimalikke ühendusi salvestisüsteemi ja serverite vahel ja on tsoonide kontsept-siooniga seotud üksnes nimeliselt.

Puuduva või puuduliku tsoonide kontseptsiooni tagajärg võib olla, et erinevaidsüsteemide turbeastme nõudeid käideldavuse, usaldusväärsuse või tervikluseosas ei saa täita, või neid saab täita üksnes osaliselt.

Lisaks võivad puudused tsoonide kontseptsiooni rakendamises tuua kaa-sa selle, et erineva turbeastmega süsteemide ainsast ettenähtud ja lubatudjuurdepääsuteest on võimalik mööda minna. Näiteks võib tuua sidemaatriksireeglite kahjustamise, mis annavad teavet selle kohta, millised ilma täiendavateautentimis- või autoriseerimismeetmeteta süsteemid pääsevad ligi nende omatsoonist väljaspool asuvatele süsteemidele.

Olemasoleva tsoonide kontseptsiooni rakendamine põhineb kindlaks määra-tud reeglite asjakohastel, lubatud juurdepääsuteid puudutavatel dokumentidel.Puuduv või puudulik dokumentatsioon võib põhjustada seda, et rikkumisedolemasoleva sidemaatriksi suhtes ja erineva kaitsevajadusega süsteemidesegiajamine avastatakse või kõrvaldatakse liiga hilja või jäävad need üldseavastamata ja kõrvaldamata.

253 / 781

G 2.185 Tarkvara puuduv või puudulik hooldus (Maintenance) japaigahaldus (Patch Level Management)

Tarkvarahaldus on tuntud ka inglisekeelse nimetusega Maintenance. Tootjatetarkvarauuenduste (paikade) pakkumise eesmärk on teha muudatusi ja parandusirakendatavatel tarkvaralahendustel ka siis, kui need on juba kasutajatele edas-tatud. Sel moel kõrvaldatakse levinud vigu, parandatakse jõudlust ja võetaksearvesse uue tehnika rakendamist nagu nt uue põlvkonna kõvaketaste (SSD, Flashjne) kasutamine.

Kui süsteeme ei hooldata või seda tehakse puudulikult, nii et ei paigaldatanäiteks saadaval olevaid turvapaiku või loobutakse püsivara uuendamisest, võibsee põhjustada süsteemide ebastabiilsust ja tuua kaasa salvestisüsteemi töökatkemise.

Mõnikord sõltub salvestisüsteemi laitmatu töötamine tootja nn ühilduvus-maatriksi järgimisest. Ühilduvusmaatriksis kirjeldatakse salvestisüsteemisrakendatavaid riist- ja tarkvara seisundeid nende vastastikuses sõltuvuses. Kuiüksikute komponentide püsivara seisund kaldub sellest maatriksist kõrvale,võivad selle tagajärjeks olla katkestused või probleemid jõudlusega.

Hooldustööde läbiviimine ja paigahaldus on tihedalt seotud muudatustehalduse kindlaks määratud korraga. Kui see puudub, on teostatud muudatusija nendega seotud vigu hiljem raske tuvastada. Rakendatava tark- ja püsivarauuemaid versioone saab puuduva muudatuste halduse korral paigaldada üksnessuuremate kuludega.

Salvestisüsteemi pikaajalist kindlat töötamist võib ohustada ka puuduv hooldus-leping, sest ühilduvus uuemate komponentidega eeldab teatud tingimustel eelne-vat uuendamist uusimale püsivarale. Ilma hoolduslepinguta on selline uuendamineteatud tingimustel täiesti võimatu või seotud suuremate kulutustega.

Täiendavaid suuniseid ohtude kohta, mis on seotud riistvata hooldusega, leiatepeatükist G 2.5 Hoolduse puudumine või puudulikkus .

254 / 781

G 2.186 Salvestisüsteemidega seotud vastutusalade puuduv võipuudulik reguleerimine või rollide ebaselge piiritlemine

Kesksete salvestisüsteemide rakendamine toob kaasa suuremad nõudmised hal-dusele. Selle põhjuseks on nii moodsate salvestisüsteemide suurenenud keerukuskui ka IP-võrkude ja Fibre-Channel-võrkude omavaheline sulandumine.

Lisaks sellele rakendatakse suurendatud salvesti-virtualiseerimist ja salvesti-automatiseerimist. Edasi muutub salvestisüsteemide arhitektuur, mis mõjutab hal-dust ja koos sellega administraatoritele esitatavaid nõudmisi.

Kui sellega seoses ei ole piisavalt reegleid vastutusalade piiramiseks või puuduvadneed üldse, tekib puudulike teadmiste tõttu valede konfiguratsioonide oht. Tähele-panu tuleb siinjuures sageli pöörata järgmistele ilmingutele:

• Kui võrguadministraator haldab FCoE-lüliteid, saab ta ilmselt juurdepääsukomponentidele, mille haldamiseks tal puudub pädevus. Selline olukord võibtekitada tõrkeid ja valesid konfiguratsioone, mis omakorda võib viia kuni ter-viksüsteemi töö katkemiseni.

• Sageli valitseb võrguadministraatorite ja salvestisüsteemide administraatori-te vahel silomõtlemine. Iga valdkond vajab seejuures laiendatud juurdepää-suõigusi eelkõige enda jaoks, pööramata tähelepanu teiste võimalike kaas-töötajate teadmiste tasemele. IP- ja FC-SAN-maailmade suureneva sulan-dumise tõttu üheks ühendatud võrguks (unified network), peitub silomõtle-mises oht, et tehnilised sõltuvused tingivad administraatorite tihedama koos-töö ja kooskõlastamise.

255 / 781

G 2.187 Salvestisüsteemide puuduv või puuduliksimultaanteeninduse halduskontseptsioon

Kui erinevad institutsioonid kasutavad ühiselt IT-süsteeme, siis on puuduva võiebapiisava rollide kontseptsiooni tõttu olemas mandantideülese administratiivsejuurdepääsu oht. Seoses sellega, et administraatoritel on tavaliselt väga laialda-sed õigused, kujutab see institutsiooni kõikide turvaeesmärkide jaoks märkimis-väärset ohtu.

Seetõttu tekib eriti seoses teenusemudeliga Infrastructure as a Service (IaaS),vajadus rakendada simultaanteeninduse halduskontseptsiooni.

Turbe seisukohalt tuleb eristada simultaanteeninduse halduskontseptsioonijärgmisi võimalikke vorme:

• Salvestisüsteemi kasutaja eraldab oma administraatorid oma klientide järgi.Kui selle olukorra jaoks ei ole olemas kontseptsiooni või seda rakendataksepuudulikult, on olemas oht, et kliendi A administraator pääseb ligi kliendi Bandmetele.Kliendid saavad ise administratiivsed õigused oma vastava valdkonna jaoks.Puuduva või puudulikult rakendatud kontseptsiooni puhul on olemas oht, etkliendi A kaastöötajad pääsevad otse ligi kliendi B andmetele.

• Kui asutuses kasutatakse salvestisüsteeme, mis annavad paljude klienti-de käsutusse üksteisest sõltumatult mälusid (nt virtuaalne failiserver NAS-keskkonnas), on puuduva rollikontseptsiooni tõttu olemas mandantideüleseadministratiivse juurdepääsu oht.

256 / 781

G 2.188 Pilvteenuse litsentsihalduse puudulik regulatsioon

Seoses litsentsihaldusega peavad asutusel olema ka pilvteenuste kasutamiselselgelt määratletud vastutusalad. Kuid just litsentsidega seotud teema jääb pilv-teenuste kasutamisel sageli piisava tähelepanuta.

Ilma selgesõnalise reguleerimiseta, milliste litsentside ja milliste pilvteenustepakkujate eest teenust tarbiv institutsioon vastutab, võivad tagajärjed olla õigus-likud. Litsentsi kontrollimisel ei saa teatud tingimustel rakendatavate litsentsideõiguspärase kasutamise kohta esitada kehtivat tõendit. Selleks, et vältida rahalisinõudmisi või muid tagajärgi, peaks asutus olema teadlik, milliseid litsentse on pil-ve lisatud ja milliseid litsentse saab hankida pilvteenuste pakkujatelt või millisedlitsentsid on tema vastutusalas.

Näited:

• Asutus vajab kokku 500 Windowsi serverit. 300 nendest serveritest kasuta-takse litsentsidega, mis on asutuse enda taotletud. Ülejäänud 200 litsentsi,mis on vajalikud serverite kasutamiseks, hangitakse pilvteenuste pakkujalt.

• Office’i veebirakenduse kasutamiseks on vajaliku arvu litsentside edasta-mine sisemiste kasutajate jaoks lihtne. Väliselt vajaminevate litsentside arvei ole asutuse jaoks siiski selge. Selle tagajärjel tohivad töötajad kasutadaOffice’i veebirakendust ainult sisemisteks eesmärkideks.

257 / 781

G 2.189 Pilvteenuse kasutamise puuduv või puudulik strateegia

Pilvteenuse kasutamise otsus on asutuse jaoks strateegiline otsus. Selle kaudusatub asutus tihedasse sõltuvussuhtesse pilvteenuse pakkujaga. Pilvteenusekasutamise strateegiaga seotud valedel otsustel võivad olla organisatoorsed,tehnilised või ka tõsised majanduslikud tagajärjed, mis võivad teatud tingimustelkujuneda ka pikaajalisteks ja kaalukateks.

Praktikas võib vaadelda järgmisi ebapiisavast või puudulikust pilvteenuse kasu-tamise strateegiast tingitud tagajärgi:

• Laialt on levinud valehinnangud pilvteenuste sisseviimisel ja haldamisel.Sageli alahinnatakse pilvteenuse (nt dokumentide koostamine, testid, süs-teemide kindlustamine) turvalise sisseviimise kulusid. Sellest tulenevad aja-lised viivitused viivad institutsioonid sageli kavandatud testikulude vähenda-miseni, mis võib kaasa tuua turvalisuse vähenemise.

• Tekib sõltuvus pilvteenuste pakkujast, mille tulemusena ohustavad institut-siooni põhjendamatud hinnatõusud või vähenev teenusekvaliteet.

• Pilvteenuste rakendamisel on olemas oht, et IT-rakendust ei ole enam või-malik korralikult juhtida (juhtimise kaotus). Võimalikud põhjused peituvad siinteenuse, protsessi või liideste ebaselgetes määratlustes.

• Kui kavas ei võeta arvesse hilisemat pilvteenuste pakkuja väljavahetamistteise vastu ja pilvteenuste pakkujalt oma IT taastamist, võivad sellega kaas-neda kõrged kulud.

• Ebapiisav andmete kustutamise kavandamine pilvteenuse kasutamise lõpe-tamisel toob kaasa andmetele loata juurdepääsemise riski.

258 / 781

G 2.190 Pilvteenuse kasutamise ebapiisav administreerimismudel

Asutuses pilvteenuste kasutamise otsuse tegemine nõuab olemasolevate admi-nistreerimismudelite kohandamist. Praktikas võib sageli täheldada, et teenusttarbivas asutuses puuduvad eeldused pilvteenuse administreerimiseks. Puuduvadka rollimääratlused nende administratiivsete tegevuste jaoks. Sellise olukorragavõivad kaasneda viivitused või katkestused teenuse osutamisel.

Kui kasutatakse pilvteenuseid, viib see tavaliselt selleni, et administratsioonisees muutuvad rollikontseptsioonid. Erinevad aspektid pilvteenuste rakendamiseltingivad seejuures arengu, mille puhul eemaldutakse klassikalisest süsteemiad-ministraatorist ja jõutakse teenuseadministraatorini. Kui sellele protsessile eipöörata piisavalt tähelepanu, võivad sellel olla negatiivsed tagajärjed. Näiteks eimõista administraatorid teatud tingimustel vajalikke muudatusi või jääb neil omauue ülesande puhul pädevusest vajaka.

Ebapiisavalt kohandatud administreerimismudel teenuste osutamise muutunudvormi jaoks võib kaasa tuua teenuse kättesaadavuse kaotuse. Asutuse sisemistekasutajate suhtes jääb IT ka pilvteenuse kasutamisel edasi teenuseosutajaks.Selleks, et pakkuda asutusesisestele kasutajatele kokkulepitud teenust, peavadIT-töötajad kasutama pilvteenuste rakendamisel eelkõige ise üht või enamatpilvteenuste pakkuja teenust. See uutmoodi loodud teenuseosutamine vajabkindlasti muudetud administreerimismudelit.

Muudatustega administreerimismudelis tuleb arvestada ka ressursside planee-rimisel, sest muidu võib teenuste kättesaadavus kannatada, kuna administreeri-misprotsessid ei toimi sujuvalt.

259 / 781

G 2.191 Ebapiisav rollide ja volituste kontseptsioon

Volituste kontseptsiooni hoolikas määratlemine hoiab ära loata juurdepääsu info-süsteemidele ja kaitseb seega sinna kuuluvate andmete terviklust, kättesaadavustja autentsust. Volituste kontseptsioonid on seejuures olulised nii IT-süsteemidekasutajatele kui ka administraatoritele. Tavaliselt on volituste kontseptsioonidühendatud rollide määratlemisega, millele määratakse selle tulemusel teatudvolitused või võetakse need ära. Kui vastavad rollid on ebapiisavalt määratletud,võib see vähendada volituste kontseptsiooni tõhusust. Töötajad saavad teatudtingimustel juurdepääsu süsteemidele ja andmetele, millele neil ei tohiks juur-depääsuõigust olla ning seetõttu kahjustatakse andmete konfidentsiaalsust jaterviklust.

Olemasolevaid rollide ja volituste kontseptsioone tuleb korrapäraselt kontrollida,sest institutsiooni töötajate ja organisatsiooni struktuur on pidevas muutumises.Töövaldkonna vahetamisel ja koos sellega uue rolli ülevõtmisel või töösuhtelõppemisel tuleb tagada töötajatelt volituste äravõtmine või neile volituste and-mine. Kui neid eeldusi ei täideta, võivad töötajad (konfidentsiaalsele) teabeleloata ligi pääseda ja seda teatud tingimustel muuta, hävitada või oma kasuksära kasutada. Selle võimalikud tagajärjed on asutuse majanduslikud kahjud jamainekahjustus.

Üksikasjalikud rollide kontseptsioonid on väga keerulised ja suurendavad seegavigade tekkimise võimalust. Teatud tingimustel leiab asutus, et siin tekib vastuolurollide kontseptsiooni kvaliteedi ja selle sobiva haldamise võimaluse vahel.

260 / 781

G 2.192 Piisava kvalifikatsiooniga personali puudus

Pilvteenuste laitmatu kasutamine nõuab piisava hulga pädevate IT-administraatorite olemasolu. Kui ei ole piisavalt koolitatud ja kogemustegaadministraatoreid, võib see asutuse jaoks muu hulgas kaasa tuua olukorra, kusteenuse kättesaadavus on piiratud.

Puuduliku planeerimise korral ei ole personali puudust praktikas sageli võimaliklühikese ajaga kõrvaldada, sest pädevaid, pilvteenuste administreerimises koge-nud töötajaid pole või ei ole neid kerge leida. Asutuses juba töötavad administ-raatorid ei tea alati, millised ülesanded neile pilvteenuste sisseseadmisel antakse.Tavaliselt eeldab pilvteenuste kasutamisele üleminek seda, et süsteemiadminist-raatoritest saavad teenuseadministraatorid. Selline muudatus toob kaasa täien-dava koolituse vajaduse, sest koolituseta töötajad kujutavad endast administreeri-miskeskkonnas suurt ohtu (vt lisaks ka G 2.103 Töötajate ebapiisav koolitamine).

261 / 781

G 2.193 Institutsiooni ebapiisav kohandamine pilvteenustekasutamisega

Pilvteenuste kasutamine vajab institutsiooni kohandamist erinevates valdkonda-des. Kui selline uute tingimustega kohandamine jääb tegemata või kui muudatusiei tehta piisavalt, mõjub see institutsioonile negatiivselt.

Järgmistes valdkondades võib institutsiooni kohandamisel pilvteenuste kasuta-misele leida sageli vigu.

Kohandamine teenusehalduse protsessidegaKui teenusehalduse protsesse ei kohandata või kui seda tehakse puudulikult,

võib see kaasa tuua olukorra, kus dünaamika ja kiirus, mis pilvteenuste kasuta-misega kaasnevad, ei sobi olemasolevate protsessidega. See põhjustab sagelikasutaja ootuste ja olemasolevate protsesside omavahelist lahknemist.

Töötajatega arvestamineTeenust tarbivas institutsioonis kaasneb pilvteenuste kasutamisega tihti IT-

töötajate vähendamine, mida põhjendatakse spetsialistide vähenenud nõudluse-ga. See võib kaasa tuua nende töötajatega seotud oskusteabe kao. AllesjäänudIT-töötajad peavad sageli pärast asutusepoolset pilvteenuse kasutamise otsustvõtma vastu uued ülesanded. Praktikas võib seejuures sageli näha töötajate puu-duvat arenguvalmidust või nõustumatust uute kohustustega. Töötajad on selle ta-gajärjel vähem motiveeritud, ei tööta nii pühendunult ja hoolikalt, ei tunne endväärtuslikena ja tunnevad end üle- või alakoormatuna.

Pilvteenuse administreerimine tähendab tavaliselt IT täiendavat töökoormust,sest ajal, mil pilvteenuseid juba kasutatakse, ei kaotata lähimas perspektiivis ena-masti veel klassikalisi IT-süsteeme. See kõik võib kaasa tuua tuntava tööõhkkonnahäirimise koos negatiivsete tagajärgedega, nagu suurenenud haigestumiste arvvõi töötajate ülesostmine. Täiendavat teavet leiate selle kohta peatükist G 2.88Väljast tellitava projekti negatiivne mõju organisatsiooni sisekliimale .

Kultuuriline muutusPilvteenuste kasutamine toob asutuses tavaliselt kaasa ka nn kultuurilise muu-

tuse. See ei puuduta, nagu juba kirjeldatud, üksnes süsteemiadministraatori aren-gut teenuseadministraatoriks, vaid ka kasutajate muutunud ootusi. Kui kasutajadmuudavad ametialasel eesmärgil töövahendeid, mis sarnanevad väga isikliku ka-sutuskeskkonna omadega, tugevneb ametialaste ja isiklike aspektide segunemi-ne. Pilvteenuste nn „kättesaadav kõikjal ja alati” kaudu muutuvad seejuures järjestenam ka ootused töökorraldusele. Töötajad ei näe selle tulemusel näiteks enamvajadust kohaga seotud tööks, sest nad võivad väga paljusid tegevusi teha kamujal kui oma töökohas. Lisaks torkab sageli silma, et keeldutakse klassikalis-test IT-teenustest, sest need tunduvad olevat näiteks liiga aeglased või liiga väheintuitiivsed.

262 / 781

Pilvtehnoloogias peitub võimalus avaldada mõju paljude asutuste töökeskkon-nale. Töötajad, kes siiani on kasutanud eranditult klassikalisi IT-teenuseid ja keson muudatuste suhtes tõrjuvad, võivad ühe kaugeleulatuva tagajärjena tunda endpilvteenustele ülemineku tõttu eiratuna ja ülekoormatuna.

Kui institutsiooni vastutavad isikud ei ole teadlikud vajalikest edasiarendustestvõi ettevõtte kultuuri kohandamisest, võib see kaasa tuua tõrkeid teenuse osuta-misel IT kaudu.

Muudatustest teavitamineNii kasutajaid kui ka administraatoreid tuleb muudatustest arusaadavalt ja

sihtrühma kohaselt teavitada. Võimalike konfliktide ennetamiseks peaksid seeganii ettevõtte nõukogu ja töötajate esindajad kui ka andmekaitseametnik olema va-rakult muudatustega kursis.

Näide:

• Muutenõukogu (change advisory board, CAB) koguneb korra nädalas. Ka-vandatud muudatused tuleb seejuures esitada kolm tööpäeva varem. Pilv-teenused, näiteks uus server, võivad aga juba mõne minuti pärast valmisolla, ja nii võib muudatuste haldamise protsess saada kahjustada.

263 / 781

G 2.194 Pilvteenuste kasutamise ebapiisav nõuete haldus

Asutuse pilvteenuste kasutama asumise otsusega on tavaliselt seotud paljuootusi. Kasutajad ootavad näiteks suuremat jõudlust, rohkem funktsioone ja/võimadalamaid kulusid.

Puudulik nõuete haldus pilvteenuste kasutamisel võib ohustada seatudeesmärkide saavutamist ning teenus ei pruugi pakkuda soovitud ja vajalikkulisaväärtust.

Tavaliselt ei teostata nõuete haldust mitte IT, vaid juhtkonna kaudu. IT peabseejärel esitatud nõudmised arvesse võtma ja nendesse teenustesse üle kandma,mis on vajalikud, et neid nõudmisi täita.

Puudulikul nõuete haldusel võivad olla näiteks järgmised vormid:

• Nõuded pilvteenustele ei ole selgelt määratletud. Põhjused võivad peitudaselles, et ei ole läbi viidud nõudmiste analüüsi, aga ka selles, et koostatudei ole nõuetekogumikku. Seega puudub asutuses IT-teenusena kasutuseletõetavate pilvteenuste teenusekirjeldus.

• Nõuded pilvteenustele vormistatakse või määratletakse nõrgemalt, kui seeon võrreldavates klassikalise IT olukordades. Selle tulemusel ei pruugi mõ-ned teenuse olulised funktsioonid olla pärast pilvteenuste kasutamisele üle-minekut enam saadaval, kasvavad rakendustele juurdepääsuajad või toimubtellimuste teostamine võrreldes klassikaliste IT-lahendustega viivitustega.

• Pilvteenuste kasutamise tõttu IT-taristule tekkivate nõuetega ei arvestata pii-savalt.

• Puuduvad eeldused vajaliku võrgu- ja internetiühenduse jõudlusele.• Andmevõrkude või täiendavate taristuvaldkondade (nt tulemüürid, Intrusion-

Prevention-süsteemid või Loadbalancer) vajalik laiendamine ei ole ette näh-tud.

264 / 781

G 2.195 Teenuste osutamise puudulik seire

Asutuse kui pilvteenuste kasutaja ja pilvteenuste pakkuja vahel lepitakse kokkutingimustes, mis puudutavad pakutava teenuse teostamist. Teenused ja nendeomadused on esitatud teenusetasemelepetes (SLA-d – service level agreementsvälisteenusepakkujate korral või OLA-d – operational level agreements sisemiseteenuste osutamise korral). Avalike pilvteenuste korral on need sageli koostatudtüüptingimuste või kasutustingimuste vormis. Kui tegelikult osutatud teenuserineb kokkulepitud tingimustest, võib see avaldada teenust tarbivale asutuselenegatiivset mõju. Pilvteenuste pakkuja teenuste osutamise järelevalve teenusttarbiva asutuse kaudu on oluline, et avastada teenuses võimalikke puudusi janeid kõrvaldada.

Sageli jäetakse teenuste osutamise järelevalve siiski tähelepanuta. Lepingurik-kumised või kõrvalekalded kokkulepitud turbeastmest tuvastatakse seetõttu liigahilja või ei tuvastata üldse. See kehtib ka privaatse pilve kasutamisel, mis töötaboma IT kaudu. Siin tuleb ühelt poolt pöörata tähelepanu teenuse osutamise järe-levalvele. Teisalt tuleks siin piisavalt üksikasjalikult ja arusaadavalt kirjeldada kateenusega seotud kokkuleppeid. Järelevalvel tuleks siinjuures pöörata erilist tähe-lepanu sellele, et oleks fikseeritud vastutusalad ja et ei toimuks „enesekontrolli”,mis ei anna mõistlikke tulemusi.

Praktikas võib täheldada järgmisi teenuste osutamise ebapiisava järelevalve il-minguid:

• Pilvteenuste pakkuja esitab teenust tarbivale asutusele korrapäraselt aruan-deid. Asutuses ei analüüsita neid või tehakse seda ajalise viivitusega. Kuisellised aruanded on lepinguliselt kokku lepitud, kuid kasutaja neid ei nõua,kuulub see samuti teenuste osutamise ebapiisava järelevalve alla.

• Kasutaja ei jälgi piisavas mahus pilvteenuste pakkuja turvameetmetest kin-nipidamist. Näiteks ei viida läbi sõltumatuid turvakontrolle või penetratsioo-niteste või ei kohustata selleks teenusepakkujat. See võib kaasa tuua turv-aintsidentide sagenemise ja turvalisuse alanemise pilvteenuste pakkuja juu-res. Sellega seoses ei tagata enam kasutaja jaoks nõutavast turbeastmestkinnipidamist.

• Pilvteenuste pakkujaga sõlmitud SLA-s on kokku lepitud, et pakkuja peabtõestama, et teenuseid pakutakse nõutavas kvaliteedis, kuid teenust tarbivasutus ei nõua seda. Seega ei saa pilvteenuste osutaja teavet SLA-de täit-mata jätmise kohta ja tekib oht, et ta osutab oma teenuseid puudulikult võiei tee seda üldse.

• Allhanke tegijate kasutamine pilvteenuste pakkuja kaudu kujutab endast sa-muti ohtu, kui ei ole sätestatud, millises vormis selle teenuse osutamist kont-rollitakse.

265 / 781

G 2.196 Pilvteenuste tervikliku kasutustsükli puuduv tulude ja kuludeanalüüs

Praktikas võib seoses pilvteenuste suure populaarsuse ja mitmekesisusegatäheldada, et teenust tarbivad asutused alahindavad oodatavaid kulusid sageliloodetud tulu ülearvestamise tõttu. Loobumine pilvteenuste kasutamise realist-likust tervikliku kasutustsükli kulude ja tulude analüüsist toob teenust tarbivaleasutusele sageli kaasa majanduslikke kahjusid. Kulude vaatlusel tuleb vahet tehainvesteerimiskuludel (Capex – capital expenditure) ja tegevuskuludel (Opex –operational expenditure). Pilvteenuste pakkumisi reklaamitakse tihti sellega, etinvesteerimiskulud asendatakse tegevuskuludega, mis ei ole nii pikaajalised janeid võib mõõta tegeliku vajaduse järgi.

Üleminekuga pilvteenustele tekivad esmalt täiendavad kulud, sest olemasole-vaid teenuseid ja nende jaoks vajalikku taristut ei ole võimalik kohe asendada.Paljudes asutustes võib täheldada, et kulusid ja tulusid analüüsides kaasataksesiiski ainult tegevuskulud, sest pilvteenuseid arvestatakse tavaliselt tarbimise järgija seega klassikaliselt kui tegevuskulusid.

Pilvteenuste kasutamise kasuks otsustamisel ei kaasata kulude ja tulude ana-lüüsi sageli mitmeid erinevaid kulusid või tehakse seda puudulikult, näiteks:

• kulud protsesside või olemasoleva taristu vajalikuks kohandamiseks pilvtee-nuste kasutamisega;

• kulud varustsenaariumideks erinevate probleemide korral;• kulud, mis on seotud võimaliku müüjaga seotuse ja ka sõltuvusega konk-

reetsest pilvteenuse pakkujast;• kulud nii administraatorite kui ka kasutajate koolituste läbiviimiseks;• kulud pilvteenuste pakkuja auditeerimise läbiviimiseks;• kulud, mis tekivad vajaliku kohandamisega muude teenustega pilvteenuste

kasutamise tulemusel, näiteks varundamine või arvepidamine raamatupida-mises.

Täieliku kasutusaja puuduva või ebapiisava kulude ja tulude analüüsi tulemuselosutuvad pilvteenuste kasutamisel saadavad teenused teatud juhtudel kahjum-likeks. Lisaks tuleb tulu võrrelda kuluga. Võib tulla ette, et pilvteenused ei saavutatootmisprotsessis olulist kasu. Kui sellised pilvteenused pärinevad sisemisest IT-st, tekivad institutsioonile nii kulud teenuse käitamiseks pilves kui ka hilisemakstaasintegreerimiseks. Sellest tulenevalt ilmnevad järgmised aspektid, mida võibseoses pilvteenuste kasutamisega vaadelda kui ohtu ja millega kaasnevad nii ma-janduslikud kui ka teenuse kättesaadavuse riskid.

Oodatavate mõõdetud kulude hinnang on vale või lünklik. Selle põhjus on näi-teks, et aluseks võetakse tavalised kasutajate harjumused ja ei arvestata hoo-ajaliste kõikumistega. See tekitab probleeme eriti siis, kui pilvteenused käivitabväline kasutaja ja asutus saab seega üksnes raskustega mõjutada tegelikku tarbi-mist.

Riskihinnangutele, nagu neid tehakse näiteks IT -katkestuste korral, ei järgnekohandamist pilvteenuse kasutusmudeliga või ei nähta riske tõelistena. Kuigi osa

266 / 781

riske kantakse üle pilvteenuste pakkujale, jäetakse seejuures sageli siiski tähele-panuta, et selle kaudu tekivad asutusele uued riskid.

267 / 781

G 2.197 Pilvteenuste ebapiisav sidumine enda IT-lahendustega

Asutuse pilvteenuste kasutama asumise otsus tingib ka nende teenuste sobivasidumise oma IT-lahendustega. Kui selline sidumine toimub puudulikult, ei saahiljem kindlaks teha, kas kasutajad said tellitud pilvteenuste teenuseid ka täiesulatuses kasutada ja puudub ülevaade, kas tellitud pilvteenuseid tarnitakse nõuta-va ja kokkulepitud jõudlusega ja kas on olemas juurdepääs teenustele või on seevõimalik ainult viivitusega. Selle tulemusel kannatab teenuse käideldavus.

Kui pilvteenust ei seota piisavalt hästi oma IT-lahendustega ja kui töötajatelon õigus põhimõtteliselt ainult nende teenuste kasutamiseks, ilmneb sageli, etnad kasutavad teenust ka ilma ametliku IT toetuseta. Nii võib asutuses tekkidavari-IT-süsteem ja koos sellega võib kaduda kontroll ettevõtte teabe üle.

Pilvteenuste optimaalset sidumist asutuse IT-lahendustega mõjutavad tihtieelkõige alljärgnevad aspektid:

• Võrguühenduse jõudlus on aladimensioonitud. Andmete edastamine saabseega toimuda üksnes piiratult, mis toob kaasa andmete viivitusega kopee-rimise, pikenenud juurdepääsuajad ja tuntavad jõudlusekaod. Võimalikudpõhjused peituvad siin näiteks valesti valitud ribalaiuses, nõuetele mittevas-tavas teenuste prioriteedi määramises (teenuse kvaliteet), võrgu kontsep-tuaalsetes nõrkustes (vt lisaks G 2.45 Võrgu konseptuaalsed puudused) või nõrkades kohtades välisteenuse- või pilvteenuste pakkujaga ühenda-misel (vt lisaks G 4.97 Välisteenuse osutajaga seotud kitsaskohad ).

• Liidesesüsteemide kättesaadavus ei ole piisav, sest kättesaadavuse nõue-tes ei ole vajalikke muudatusi piisavalt arvesse võetud. See ilmneb ebapii-savas kättesaadavuses pilvteenuste pakkujaga ühendamisel. Asutuse ole-masolevat internetiühendust ei vaadeldud seniajani näiteks kriitilise pilguga.Ettevõtte jaoks kriitiliste teenuste üleviimise tõttu pilve tõusevad ka nõud-mised internetiühendusele, mida selle tagajärjel liigitatakse väga kriitilistekomponentide hulka. Teine võimalik ilming on liidesesüsteemide ebapiisavkättesaadavus. Asutuse sees kasutatavat proksit ei vaadeldud selle kätte-saadavuse suhtes millegi kriitilisena.

Teenuste üleviimisel pilve muutub see siiski (ülimalt) kriitiliseks süsteemiks:

• Liidesesüsteemide jõudlus ei ole valitud piisavana. Sellega seoses peaksidasutused pöörama erilist tähelepanu nendele süsteemidele, mis asuvadpilvteenusega ühendatud liidesel. Näitena võib siin välja tuua koormusejao-turi, proksid, ruuteri, turvalüüsid või liitsüsteemid.

• Sisemiste süsteemide jõudlus ei ole ettenähtud API-ühenduse jaoks and-mevahetuseks pilvteenuse ja sisemiste süsteemide vahel piisav. Tüüpilinenäide on siin püsiandmete vahetus kohaliku ERP-süsteemi (enterprise re-source planning) ja CRM-süsteemi (customer relationship management) kuipilvteenuse vahel.

Näide:

268 / 781

• Institutsioon otsustab hakata kasutama veebisuhtlusplatvormi, et edendadakoostööd erinevate meeskondade vahel. Tellitud teenust ei ühendata agatäielikult IT-süsteemiga. Üksikud funktsioonid, nagu näiteks andmete ühis-kasutus määratud meeskonnaliikmetele, ei tööta selle tulemusel töötajateootuste kohaselt. Juurdepääs ühiskasutuses olevatele andmetele toimubsuure viivitusega või puudub üldse.

269 / 781

G 2.198 Pilvteenustele üleviimise puudulik planeerimine

Olenevalt kasutatavate pilvteenuste jõudlusest ja kriitilisusest võib nende raken-damine tuua asutusele kaasa olulised majanduslikud ja organisatsioonilised ris-kid. Vigadele, mis võivad asutuses mõjutada teabe turvalisust, on eriti vastuvõtliketapp pilvteenuste üleviimisest kasutamiseni.

Üleviimise all mõeldakse siin nii üleminekut klassikalise IT-süsteemi kasutami-selt pilvteenuste kasutamisele kui ka ühe pilvteenuste pakkuja vahetamist teisevastu. Praktikas kasutatakse mõisteid „üleviimine” ja „üleminek” või ka „edastami-ne” tihti sünonüümidena.

Puudused pilvteenustele üleviimise planeerimisel põhinevad sageli sellel, et eiarvestata üleviimisega seotud eripäradega, nagu need esinevad näiteks klassika-lise IT-süsteemi korral või seoses väljasttellimise projektiga, või nendega ei arves-tata piisavalt.

Üleviimine pilve keskkonnas ei nõua tavaliselt karmi ümberlülitamist klassikaliseIT-süsteemi ja pilvteenuste kasutamise vahel. Praktikas võib sageli täheldada, etvana teenust ja uut, pilvteenuse kaudu kasutatavat teenust, kasutatakse pikemataega paralleelselt. Siin kattuvad vana teenuse kõrvalejätmine või väljalülitamine japilvteenuse kasutamine. Asutuse jaoks võivad sellisest paralleelsest kasutamisesttekkida täiendavad nõudmised ja ohud, näiteks andmete sisu puhul.

Pilve keskkonnas on üleviimised ühelt teenusepakkujalt teisele tavaliselt lühiaja-lisemad ja paindlikumad kui näiteks väljasttellimisel. Lepingulised kokkulepped einäe sageli ette pikaajalist seotust. Ühelt teenusepakkujalt teisele üleviimise tehni-line teostus võib osutuda siiski probleemseks ja sõltub valitud teenusemudelist. Niitoimub näiteks taristu kui teenuse üleviimine tavaliselt probleemideta, samal ajalkui pilvteenuse korral, mis kujutab endast tarkvara kui teenust, on sageli tegemistraskustega seoses nõutava andmevorminguga.

Kui asutus ei järgi planeerimisetapis astmelist üleviimist, võivad praktikas tek-kida täiendavad probleemid. Kui ei kasutata üleviimise laiendamist üle mitmeteetappide, pilootkasutajate valimist või olemasoleva taristu ja pilvteenuste paral-leelset kasutamist, on olemas andmekaotuse või täielik teenuse katkemise oht,kui üleviimine ei toimu ootuspäraselt.

270 / 781

G 2.199 Pilvteenuste teenusepakkuja puudulik valimine

Kui asutus on teinud strateegilise otsuse hakata kasutama pilvteenuseid, satubta seeläbi alati sõltuvussuhtesse valitud pilvteenuste pakkujast. Kui pilvteenustepakkujat ei ole valitud väga hoolikalt ja kindlaks määratud pilvteenuste kasutamisestrateegiat silmas pidades, võib see pikema aja jooksul tuua asutusele kaasanegatiivseid mõjutusi.

Pilvteenuste pakkuja valimisel ei järgita sageli üldse või järgitakse puudulikultselliseid tähtsaid tegureid nagu näiteks pakkuja maine, edetabelikoht, teenuse-pakkujate avalikult ligipääsetavad spetsifikatsioonid, seadustest kinnipidamise ko-hustused ja suunised või omandatud sertifikaadid. Pilvteenuste turg ei ole tellijatejaoks piisavalt läbipaistev, puuduvad pilvteenuste pakkujate standardsed pakku-mised. See võib põhjustada pilvteenuste pakkujate turbeprobleeme (nt puudulikkättesaadavus). Need on tihti seotud majanduslike kahjudega teenust tarbiva asu-tuse jaoks, kui asutus on sõltuv teenuse kättesaadavusest, et omalt poolt teenustosutada.

271 / 781

G 2.200 Ebapiisav planeerimine mobiil- ja nutitelefonide ning tahvel-ja pihuarvutite soetamisel

Mobiil- ja nutitelefonide ning tahvel- ja pihuarvutite kaudu ilmnevad infoturbegaseotud probleemid, kui

• planeerimisetapis ei tehta kindlaks soetatavate seadmete vastavaid oma-dusi,

• seadmete funktsioonid ei vasta kasutamise eesmärgile või• ei arvestata muude, seadmete turvalist kasutamist puudutavate piirangute-

ga.

Kuigi erinevate tootjate mobiil- ja nutitelefonide ning tahvel- ja pihuarvutite funkt-sioonid on väga sarnased, esineb mõnikord olulistes kohtades, näiteks seadmehaldamisel, suuri erinevusi. Nii võib juhtuda, et

• nutitelefoni ei ole võimalik soovitud moel (nt IPSec-iga) ühendada asutusevõrguga,

• seadmel puudub kõikide salvestatud andmete täielik krüpteering,• seadmel ei saa vajaduse korral kasutada enda loodud või kohandatud ra-

kendusi,• seadmel olev e-posti klient salvestab salasõnu üksnes loetava teksti vormis,• mobiilse lõppseadme haldamiseks rakendatud tarkvara ei ühildu nutitelefo-

ni operatsioonisüsteemi versiooniga ja seetõttu ei ole asjakohased nõudedturvakontseptsioonist (nt pika salasõna kohustus) kohaldatavad või

• töötaja töötab peamiselt väljaspool suletud ruume ja vajab seetõttu laiatar-be nutitelefoni asemel suurema akuvõimsusega ilmastiku- ja põrutuskindlatseadet.

Kui neid ja sarnaseid aspekte ei järgita planeerimisetapis piisavalt, võib seeohustada asutuse teabeturvet.

272 / 781

G 2.201 Ebapiisav arvestamine töökeskkonnas aset leidnudmuudatustega

Asutused peavad pidevalt kohanduma muutuvate nõudmiste ja raamtingimustega,et saavutada oma ärialaseid eesmärke ja rõhutada oma konkurentsivõimelisust.Seega mõjutavad pidevad töökorralduslikud ja tehnilised muutused ka institutsioo-ni protsesse ja rakendatud IT-süsteeme.

Sarnane olukord esineb ka töötajatel. Nad kogevad neid muutusi, kuna on osainstitutsioonist ja peavad oma ametikohtadel ja erinevate tehniliste süsteemidegaseotud tööde tõttu sobituma muudatustega tööülesannetes. See võib töötajatelepakkuda võimalust enda edasiarendamiseks, aga mõjuda ka motivatsiooni pärssi-valt. Seetõttu võivad muudatused kaasa tuua olukorra, kus turbenõudeid ei järgitanii nagu vaja.

Töötajate jaoks tulenevad muudatused eelkõige järgmistest sündmustest:

• töötajate isiklik areng institutsioonis (üleviimine, edutamine, töölt lahkuminejms),

• muudatused institutsioonis või institutsiooni jaoks (struktuurimuudatused,ülevõtmised jms),

• uute või muudetud tootmisprotsesside või IT-protsesside sisseviimine.

Kuna seoses sellega võib muutuda töötajate ümberkäimine teabe ja teabetur-bega, peavad need sündmused olema sihtrühma järgi seotud asutust hõlmavateteadlikkuse tõstmise ja koolitusmeetmetega.

Näited:

• Praktikant võetakse pärast ülikooli lõpetamist asutusse tööle ja suunatakseerialaosakonda. Tema IT volitused on aga siiski veel väga laiad, sest omapraktika ajal töötas ta asutuse erinevates osakondades. Nii pääseb ta en-diselt ligi personaliosakonna teabele, kuigi see ei ole tema uue ülesandetäitmiseks nõutav.

• Raamatupidamisosakonnas asendatakse raamatupidamissüsteem uuetootja tootega. Administraatoreid küll koolitatakse uut raamatupidamissüs-teemi kasutama, kuid ainult üldiste aluste, mitte turvaaspektide osas. Seegaei võeta kasutusele olulisi turvaseadistusi.

• Töötaja saadetakse pensionile. Tema ettevõttesse kuulumise ajal allkirjas-tatud teabeturvet puudutavate suuniste ja kokkulepete kohta eeldatakse, etneed on tuntud ja olemas. Töötajat ei teavitata lahkumisel sõnaselgelt kaedaspidi kehtivast vaikimiskohustusest. Seetõttu kasutab ta saadud vabaaega, et vahetada internetifoorumites ja isiklikel kohtumistel teiste isikutegainfot oma tööelu kohta ja avaldab seega asutuse kohta käivat konfidentsiaal-set teavet.

273 / 781

G 2.202 Lock-in-efekt

Algselt majandusteaduste valdkonnast pärinev mõiste Lock-in-efekt kirjeldab ole-kut, mille muutmine saavutatakse üksnes väga suurte kulutustega.Asutuse seisukohast väljendub see kulu tavaliselt niinimetatud vahetuskuludenäol. Need kulud kirjeldavad mh vajalikke rahalisi kulutusi, mida tuleb teha näi-teks operatsioonisüsteemi väljavahetamise jaoks. Kui need kulud paistavad olevatväga suured, siis loobutakse vajaduse korral IT seisukohalt mõistlikust alternatiiv-se operatsioonisüsteemi keskkonna vahetusest.IT-keskkonnas esinesid need Lock-in-efektid juba ammu. Alljärgnevalt on toodudmõned näited:PrinterSõltuvused tootjast (ingl Vendor Lock) kerkivad siin esile seoses riistvara (printeri)ja muude komponentide (nt tooneri- või tindikassettide) omavahelise koostoimekeerukusele.Tootjad paigutasid printeri olulised funktsioonid ja nende juurde kuuluva elektroo-nika sinna juurde kuuluvatesse kassettidesse. Need on tavaliselt patentide võitehniliste meetmetega kaitstud, et alternatiivsed teenuseosutajad neid järele eiehitaks ega uuesti täidaks. Kasutajad on seetõttu piiratud printerite tootjate kui ku-lumaterjalide tarnijatega.FailiformaadidRakendusprogrammid salvestavad andmeid sageli patenditud, avalikustamata fai-livormingutele. Andmete hilisem sisselugemine või edasine töötlemine on sel juhulvõimalik üksnes vastava tootja programmidega. Alternatiivse tarkvara väljatööta-mine on failivormingute suhtes puuduvate teadmiste tõttu raskendatud või paten-ditud failivormingutega seotud patendiõiguse nõuetega välistatud.Usaldatava platvormi moodul (ingl Trusted Platform Module, TPM), autoriõigusedigitaalkaitse (ingl digital rights management, DRM)Arvutisüsteemidesse integreeritud krüptokiibi TPM-iga ei saa mitte üksnes raken-dada või toetada turvafunktsioone. TPM-i abil võib ka takistada soovimatu tarkva-ra käivitamist või andmete dekrüpteerimist muude rakendustega. Kontrolli teostabselle üle alati see komponent (tarkvara või operatsioonisüsteem), mis TPM-i es-makordselt käivitas. Autoriõiguse digitaalkaitse (DRM) tehnoloogiad võivad samutiseada piiranguid, kuidas süsteemi kasutajad andmetele ligi pääseda tohivad, niiet need katkestavad näiteks meediumiandmete mängimise teises rakenduses võigeograafilises piirkonnas.Nende tehnoloogiate kasutamine võib raskendada või isegi välistada üleminekuteiste tootjate toodetele.PilvteenusedSageli pakuvad äpid võimalust salvestada andmed otse pilve. Juurdepääs nen-dele pilves olevatele andmetele on siiski võimalik üksnes spetsiaalse tarkvara võivastava pilvteenuste pakkuja äpi kasutamisega. Kui organisatsiooni vastavad plat-vormid peaksid vajama juurdepääsu nendele andmetele, aga äpp või eraldi tark-vara ei ole platvormi jaoks kättesaadav, tuleb andmed üle kanda teisele salvestileja vajaduse korral säilitada liiasusega.BitLocker WindowsisWindows Vistaga juurutatud krüpteerimistarkvara BitLocker pakub võimalust krüp-teerida ka asutuseväliseid andmekandjaid. Kui krüpteerimistarkvarana kasutatak-se BitLocker’it, on olemas oht, et asutuse muud vastavad operatsioonisüsteemidei ole võimelised sel moel krüpteeritud andmeid kasutama. Vajaduse korral tuleb

274 / 781

andmeid dekrüpteerida ja alternatiivse tootega uuesti krüpteerida, mis on aga aja-ja töömahukas.ÄpidWindows 8 operatsioonisüsteemi lahutamatu koostisosa moodustavad niinimeta-tud äpid. Neid puutetundlikkusele optimeeritud rakendusi pakub nii Microsoft kuika teised teenuseosutajad. Kui asutuses kasutatakse erirakendusi äppide kujul,ei ole vajaduse korral alternatiivsete platvormide juurdepääs võimalik, sest needäpid ei ole nende jaoks kasutatavad.

275 / 781

G 2.203 Integreeritud pilve-funktsioon

Uuemate operatsioonisüsteemide ja rakendustega kaasnevad sageli funktsioonid,millega andmeid salvestatakse ja sünkroniseeritakse kolmandate isikute teenusteabil (pilvtehnoloogia). See kehtib eriti rakenduste korral, mille peamine eesmärkpõhineb mobiilsete seadmete kasutamisel (äpid). Rakenduse andmed salvesta-takse seejuures sageli suurema, rahvusvahelise teenuseosutaja pilvteenustes.Seeläbi tekib oht, et pilvteenused kasutavad tahtmatult (või vähemalt mõtlematult)ka tundlikke või isikuandmeid. Samal ajal võidakse andmete kolmandate isikutejuures salvestamisel rikkuda andmekaitseseadusi.Probleeme võivad seejuures tekitada eelkõige järgmised olukorrad:

• andmed salvestatakse väljaspool EL-i piire riikides, kus andmekaitse ei olepiisav;

• pilvteenuste osutajad kuuluvad teatud juhtudel kriitiliste ärisaladuste säilita-mise jaoks küsitava jurisdiktsiooni alla;

• lepingud sõlmitakse enamasti vaikimisi pilvteenuste osutaja tehingute üld-tingimuste alusel ja need ei vasta riiklikele andmekaitsenõuetele;

• riikliku andmekaitseseaduse nõuded tellimustööde andmetöötlusele ei olevaliku, kontrollimise ja teenuseosutaja kontrolli suhtes täidetud;

• teatud tingimustel toimub andmete sünkroniseerimine isiklike seadmetega,mida käitatakse sama kontoga.

Ohtu ei satu seejuures üksnes olemasolevad, pilvteenuses salvestatud and-med, vaid ka metaandmed, mis tekivad alles pilvteenuse kasutamise ajal. Siiakuuluvad nt

• äppide ja süsteemide kasutusajad, mis tekivad sisse- ja väljalogimistega,• ühendused teiste isikutega,• kolmandate isikute loodud suhtlusvõrgustikud, nt Tracking’u kaudu ühiselt

kasutatavad failid, külastatud veebilehed või kasutatud e-posti- ja vestlusteaadressid,

• mobiilsete seadmete asukoha andmed, ka väljalülitatud geolokatsiooni kor-ral, mille puhul nt seadmele määratud dünaamiliste IP-aadresside kohta

• antakse internetiteenuste osutajatele viiteid Geo-IP-andmepankade kaudu,• konfigureerimis- ja muud andmed, mis edastavad kasutatud äppe vastava-

tele väljaandjatele,• mitme sellise võimaluse ühendamine ühiselt kasutatavate autentimisandme-

te (nt Windows Live ID) kaudu.

Konkreetsed näited on järgmised:

• alates Windows 8.1-st on Microsofti pilve salvestisüsteem OneDrive operat-sioonisüsteemi kindel osa. OneDrive’i ei ole võimalik inaktiveerida graafilisekasutajaliidese kaudu.

• Windows 8 pakub standardseadistusena võimalust varundada Bitlocker-Recovery võtit otse Microsofti konto kaudu pilves ja anda sellega kriitilisedkrüptograafilised saladused kolmandate isikute käsutusse.

• Kui kasutaja logib uude seadmesse sisse juba aktiveeritud Microsofti konto-ga, rakendatakse seal automaatselt tema poolt varem kasutatud Microsof-ti pilvteenuseid. Peale selle võidakse ettevõtte või ametiasutuse andmeid

276 / 781

edastada tahtmatult töötajate isiklikesse seadmetesse, kui nad kasutavadsama Microsofti kontoga ka isiklikke IT-süsteeme.

277 / 781

G 2.204 TPM-i kasutamine

Usaldatava platvormi moodul (ingl Trusted Platform Module, TPM) on riistvarakiip,mis laiendab IT-süsteemi järgmiste põhiliste turvafunktsioonidega:krüptograafiliste võtmete loomine ja turvaline säilitamine,riistvaral põhinevad krüptograafilised funktsioonid,platvormi tervikluse järelevalve,platvormi autentimine,juhuslike arvude generaator.Seejuures ei ole TPM seotud kasutajaga, vaid tegemist on riistvara instantsiga, mi-da kontrollib tootja ja mis varustatakse algsete võtmete, nn viseerimisvõtmetega.Need moodustavad aluse järgmiste võtmete loomiseks ja ei lahku kunagi TPM-ist.Ka IT-süsteemi omanik ei saa neid võtmeid näha ega muuta.Klientidel alates Windows Vistast või serveritel alates Windows Server 2008-st ka-sutatakse arvuti TPM-i näiteks kõvaketta krüpteerimiseks koos Bitlocker’iga. Klien-tidel alates Windows 8-st on tarneolekus arvuti TPM aktiveeritud.Aktiveeritud TPM-iga on operatsioonisüsteemil ehitatud kiibi alusel lähtestamiseajal ülemvõim kõikide IT-süsteemi turvafunktsioonide üle. Riistvara kiibi sisestami-sega on seejuures olemas põhiline oht, et operatsioonisüsteemi nõrkadel kohta-del on mõju ka TPM-i funktsioonidele või selles salvestatud andmetele. Selliseljuhul võib IT-süsteem muutuda püsivalt kasutuskõlbmatuks. Omanike või asutuseebapiisav kontroll oma isikliku võtme üle võib sellisel juhul takistada alaliselt juur-depääsu selle süsteemiga kaitstud andmetele.Paljudes konfiguratsioonides võib operatsioonisüsteem eelnevalt väljalülitatudTPM-i ise uuesti sisse lülitada. See võib toimuda ka omanikule või administraa-torile märkamatult.Tootjad võivad kasutada TPM-i ka selleks, et teostada kopeerimiskaitse mehha-nisme. Nii võivad operatsioonisüsteemide ja rakendustarkvara tootjad kinnitadalõppseadme identiteedi ja muuta tarkvara töövõime, aga ka krüptograafiliselt va-rundatud andmete loetavuse sõltuvaks TPM-is olevatest võtmetest.Siinjuures on kasutaja jaoks olemas oht, et tootja muudab tarkvara tagantjäre-le kasutuskõlbmatuks või kasutatavat tarkvara ei saa enam aktiveeritud TPM-igaarvutil alates teatud ajahetkest kasutada. Rakendavate asutuste mittekontrollita-va andmete krüpteerimise kaudu võib saavutada, et andmete tagasisaamine eiole enam ilma tarkvara tootja osalemiseta, nt Reverse Engineering’i meetoditega,võimalik. Sel moel võib nt tarkvara tootja maksejõuetus põhjustada andmekaotu-se kõikides asutustes, kes vastavat tarkvara kasutavad. Üleminek alternatiivseteletarkvaratoodetele on selliste stsenaariumide korral samuti raskendatud (Lock-in-efekt).Näited.Vea tõttu emaplaadil või TPM-kiibil ei saa süsteemi enam käivitada ega krüpteeri-tud andmetele ligi pääseda.Kui Bitlocker on konfigureeritud PIN-sisestusega, siis ei buudi vastav IT-süsteemenam juhul, kui kasutaja on PIN-i unustanud ja Recovery-võti puudub.Tootja tühistab tarkvaralitsentsi kehtivuse. Tänu sellele ei ole kasutatavat program-mi enam võimalik käitada.Pärast tootja maksejõuetuks muutumist ei ole üleminek rakendusandmetelt alter-natiivsele lahendusele enam võimalik, sest andmed on rakenduses kaitstud TPM-võtmega, mis on tootja kontrolli all.Tarkvara või operatsioonisüsteemi tootjad kasutavad TPM-funktsioone, et piirata

278 / 781

oma lahenduste koostööd tasuta alternatiividega.

279 / 781

G 2.205 Puuduv hädaolukorra ennetamise kava teenusele suunatudarhitektuuride jaoks

Kui teenusele suunatud arhitektuuris (SOA) langevad teenuseosutajad rivist väl-ja ja alternatiivseid teenuseosutajaid ei ole võimalik kasutada, ähvardab käitustkatkestuse oht, mis võib mõjutada olulisel määral ka äriprotsesse. Tugevalt võibkahjustada saada teabeturve, sest selline olukord puudutab näiteks olulisi turva-komponente. Kui sellisel juhul puudub turva- või hädaolukorra ennetamise kont-septsioon, mis võtab arvesse SOA iseärasusi, ei ole ilmselt kohe võimalik ellu viiaasjakohaseid turvameetmeid ja asutust ähvardab tõsine kahju.

280 / 781

G 2.206 Mitteküllaldased turvanõuded integreeritud süsteemideväljatöötamisel

Suurte kulude tõttu väärtustatakse integreeritud süsteemide arendamisel sageliteabeturvet vähem kui nt jõudluse või töökindluse nõudeid.

Kui arendusprotsessi ühes või enamas osas, nt

• nõuete haldus• süsteemi- ja liideste projekt• detailprojekt• rakendamine• virtuaalsed ja reaalsed testimisetapid• integreerimisetapid koos koguintegratsiooniga

ei pöörata turvanõuetele piisavalt tähelepanu, võivad integreeritud süsteemistekkida tõsised nõrgad kohad. Sageli on need tagantjärele tuvastatavad üksnessuurte kulutustega, sest üksikud standardid ja dokumendid on üksteisele ülesehitatud ja seega ei ole kõrvalekallete kindlakstegemiseks ühtegi lähtepunkti. In-tegreeritud süsteemide tarkvara turbefunktsioonide konstruktiivseid või metoodilisipuudusi ei tuvastata, kui kinnitamisprotsess piirdub kindlaksmääratud funktsiooni-dega.

Integreeritud süsteemid on haavatavad, kui teadmisi turvaintsidentidest ei võetaarendusprotsessis arvesse, kui turvafunktsiooni ei saa kontrollida ja kasutatudarendustööriistad ei võimalda turvamehhanisme mõistlikult modelleerida egarakendada.

Näited.

• Integreeritud süsteemi salvesti asendiplaan ei võta arvesse ülejäänud kasu-tamata mäluruumi. Nendesse kohtadesse sisse viidud pahavara jääb kuniaktiveerumiseni tuvastamata. Integreeritud süsteemil võib olla mitme mega-baidi suurune välk-ROM, millest see buudib pärast sisselülitamist oma ra-kenduste tarkvara. Neid mälusid ei kasutata töömäludena, seepärast tark-vara ja salvestite asend ei muutu. Mälusid kasutatakse harva täielikult, nii etpahavaraga on võimalik täita ka suuremaid staatilisi mäluruume. Et sellisedruumid on tähistatud kui tühjad, ei ole programmid nendes kohtades tarkvarakaudu nähtavad. Nende mäluruumide tarkvara on uue süsteemi taaskäivita-mise ja sageli ka käitustarkvara uuesti installeerimise suhtes immuunne, niiet üle kirjutatakse ainult käitustarkvaraga hõivatud ruumid. „Tühjasid” mä-luruume saab kontrollida üksnes spetsiaalsete tööriistadega. Kahjud võivadtekkida juhul, kui nt pahavara aktiveeritakse juurdepääsuga siinisüsteemilening seejärel muudetakse andmeid või viiakse süsteem selleni, et see eirabteatud andmeid. Suured kahjud võivad tekkida siis, kui üldsüsteem on kõr-ge kaitsevajadusega, nagu näites integreeritud süsteem krüpteerimiseks jadekrüpteerimiseks.

• Integreeritud süsteemis korraldatakse või konfigureeritakse pingekõikumis-te või tõsiste veateadete korral taaskäivituste raames ressursid ümber. Sellelühikese ajavahemiku jooksul võib süsteem olla haavatav, nt kui pääsetakse

281 / 781

ligi I/O-portidele või välditakse autentimise turvamehhanisme. Tavapärasekäitamise korral oleksid turvafunktsioonid selle ära hoidnud. Niipea kui toot-ja testid piirduvad üksnes kindlate funktsioonidega normaalsetes kasutus-tingimustes, võivad nõrgad kohad jääda tuvastamata.

282 / 781

G 2.207 Kaitsmata sisend- ja väljundliidesed integreeritudsüsteemides

Integreeritud süsteemide liidesed on sissetungimise katsete potentsiaalsed rün-depunktid. See hõlmab liideseid kõikidel ISO/OSI-kihimudeli tasanditel ja kõiki ka-sutatavaid sidekanaleid. Kui liideste kaudu ei kontrollita juurdepääsu või kui kont-rollimehhanismid on liiga nõrgad, võib ründe toimepanija tungida süsteemi, and-meid volitamatult lugeda ja kirjutada ning teostada järelründeid. Ründe toimepa-nijal oleks võimalus ühendada märkamatult spioneerimis- või saboteerimissead-meid, nagu vähendatud kujul kontrollereid või andmelogereid.

Mikrokontrolleri tasandil saaks ühenduse korral I/O-portidega I/O-liinide kauduI/O-registrisse sisse tuua signaale või salvestada väljundi signaale. Kui olemas onlähtestamise sisend, saaks ründe toimepanija seda juhtida ja süsteemi ajutiseltkasutusest kõrvaldada.

Kui integreeritud süsteem suhtleb Etherneti ja TCP/IP kaudu, võib ründe toime-panija üritada end suhtlusesse lisada, püüda kinni andmepakette, neid paigalda-da ja võltsida. Ta võib skaneerida avatud TCP-/UDP-porte ja nende kaudu ründeteostada.

Kui integreeritud süsteem suhtleb muude süsteemidega raadioside kaudu, äh-vardavad seda tavaliselt selles valdkonnas esinevad ohud ning ründe toimepanijasaaks teatud tingimustel ilma otsese füüsilise juurdepääsuta sisse tungida. Selle-kohased näited on WLAN või Bluetooth, kuid mõeldavad on ka muud sidevahen-did.

Hooldus- ja silumisliidesed võivad pakkuda mitmesuguseid pääsuvõimalusi,sest need on sageli teostatud väga lihtsate protokollidega ja ilma autentimis- võiprotokollimismehhanismideta.

283 / 781

G 2.208 Integreeritud süsteemide elektrooniliste komponentidemitteküllaldane füüsiline kaitse

Kui integreeritud süsteemile on lihtne ligi pääseda, võib see ründe toimepanijalepakkuda lähtepunkti mitmesuguste rünnete teostamiseks. Süsteem võidakse füü-siliselt hävitada või seda kahjustada, nt mehhaanilise jõu, lühiste või ülepingetega.Seda saab pärast mehhaanilisi, keemilisi ja füüsikalisi eeltöid loogiliselt analüüsi-da. Kui ründe toimepanija saab juurdepääsu elektroonilistele komponentidele, ntIC-kontaktid, ühendused jne, võib ta otse vastavate mõõte- ja analüüsitööriistade-ga märkamatult vastu võtta elektrilisi signaale ja ise signaale sisse viia.

284 / 781

G 2.209 Tarkvara jaoks väära arenduskeskkonna valimine

Kui tarkvara arendamiseks valitakse sobimatu arenduskeskkond, võivad tekkidamitmesugused probleemid. Kui tarkvara arendamisel kasutatakse näiteks erine-vaid programmeerimiskeeli, võib juhtuda, et valitud arenduskeskkond ei ühildu ühevõi enama programmeerimiskeelega. Kui konkreetset arenduskeskkonda ei vali-ta teadlikult välja, töötavad tarkvaraga ilmselt erinevad arendajad erinevate, endavalitud tööriistadega ja võivad seeläbi põhjustada ühilduvusprobleeme.

Kui arenduskeskkond on valitud sobimatult või kontrollimatult, võivad puududaväga vajalikud funktsioonid või ei saa neid piisaval kujul rakendada.

Lisaks võivad sobimatul arenduskeskkonnal olla ka vead või nõrgad kohad, misvõivad põhjustada olulisi häireid tarkvara arendamise käigus.

Näited.

• Java projekti on vaja mitu korda niimoodi muuta, et ümber tuleb nimeta-da muutujad ja klassid. Kui kasutatakse arenduskeskkonda, kus puudu-vad funktsioonid lähtekoodi ja struktuuride automaatseks ümbervorminda-miseks (refactoring), kujutavad juba need minimaalsed muudatused endastmärkimisväärset töömahtu ja potentsiaalset vea allikat.

• 2015. aasta septembris õnnestus ründe toimepanijatel integreerida iOS-äppidesse kahjukood, millega nad andsid arendajatele arenduskeskkonnaXcode manipuleeritud versiooni. Avalikustati mitmed niinimetatud XcodeG-host’iga loodud äpid ja need jõudsid miljonitesse seadmetesse.

285 / 781

G 2.210 Arenduskeskkondade ebapiisavalt turvatud kasutamine

Kui arenduskeskkonda kasutatakse nii, et see on ebapiisavalt turvatud, ei ole või-malik tagada, et toodetud tarkvara rakendatakse turvaliselt, sest seda võib ollamanipuleeritud ning seda ei ole võimalik tagantjärele tuvastada.

Kui arenduskeskkonda ei käitata piiratud juurdepääsuga, töötatakse tarkvaravälja ilma piisava kontrollita. Kui ei ole teada, millised kasutajad võivad või võisidmingil ajahetkel arenduskeskkonnale ligi pääseda, võidakse tarkvara anonüümseltmanipuleerida. Kui tarkvara manipuleeritud osad avastatakse, ei saa puuduvatepääsupiirangute põhjal kontrollida, kes töötajatest manipuleerimisega tegeles.

Lähtekoodi puuduva või ebapiisava versioonihalduse korral ei ole võimalik taas-tada varasemaid ja juba töötavaid tarkvaraversioone.

Kui lähtekoodid ei ole piisavalt kaitstud selle vastu, et neid kogemata või sihilikultvõltsitakse, on olemas oht, et kahjustatakse projekti osi või isegi kogu projekti ningjuba tehtud töö muutub kasutuks. See aeglustab projekti kulgu ja toob halvimaljuhul kaasa projekti ebaõnnestumise.

Näited.

• Arendaja sooviks spontaanselt tarkvara optimeerida ja muudab seejuureskeerulise projekti olulisi tuumkomponente. Optimeerimine ei saavuta soovi-tud tulemusi ja arendaja otsustab taastada algse versiooni. Pärast lähtekoo-di taastamist teeb ta kindlaks, et olemasolev versioon ei vasta varasemaletegelikule versioonile ning kasutada ei ole ka varundust.

• 2009. aastal avastati viirus, mis ründas sihipäraselt arenduskeskkondaDelphi. Nakatunud Delphi-arenduskeskkonnaga loodud programmid olidseetõttu samuti automaatselt kahjukoodiga varustatud.

286 / 781

G 2.211 Väära protsessimudeli valik tarkvaraarenduseks

Protsessimudelid struktureerivad ja kavandavad projekti kulgu, kusjuures ette onantud kindlad tegevusetapid ja nende järjekord. Kui tarkvaraarenduses valitakseprotseduuri jaoks välja sobimatu protsessimudel, võib see mõjutada oluliselt pro-jekti kulgu. Olenevalt valitud mudelite vormist ja projekti ulatusest jäetakse kasolulised aspektid tähelepanuta või keskendutakse liigselt ebaolulistele aspektide-le. Mõlemad nimetatud probleemid suurendavad töömahtu projektihalduses ja pii-ravad produktiivset töötamist.

Kui valitud protsessimudel on liiga jäik, nõuavad hilisemad muudatused vägasuuri kulutusi, sest nendega ei ole varasemas plaanis arvestatud.

Liiga paindliku mudeli korral võib tarkvaraarenduse kulg olla aeglane liigsete ite-ratsioonide tõttu, mis tekivad eelplaneerimise tõttu, mis pole piisavalt üksikasjalik,või seoses korduvate muutmissoovidega.

Samuti võidakse valesti hinnata projekti teostamiseks vajalike töötajate arvu,kui selle aluseks on sobimatu protsessimudel.

Näide.

• Koskmudel kirjeldab tarkvaraarenduse lineaarset kulgu ja ei näe pärast üheetapi lõppu ette selle etapi iteratsiooni. Kui protseduur järgib rangelt koskmu-delit, ei võeta näiteks rakendusetapis arvesse tagantjärele muudetud nõu-deid, mis oleksid kasulikud turvalisuse parandamiseks.

287 / 781

G 2.212 Ebapiisav arvestamine konfiguratsioonivalikutegatarkvaraarenduses

Kui tarkvaraarenduses ei arvestata dünaamiliste konfiguratsioonivalikutega,võivad tootmissüsteemis ilmneda probleemid, sest tarkvara ei saa kohandadamuudetud kasutustingimustele.

Kui tarkvara arvestab väga palju arendussüsteemiga, on olemas võimalus, etsee ei ühildu enam tootmissüsteemiga, sest seal vajatakse näiteks andmebaasijaoks erinevaid lähteandmeid, see teave on aga kindlalt kodeeritud tarkvara läh-tekoodi. Kui puuduvad konfiguratsioonivalikud erinevate süsteemieeldustega ko-handamiseks, raskendab või takistab see tarkvara kasutamist.

Kui viited süsteemifailidele on integreeritud lähtekoodis kindlate asukoha and-metega, võivad esineda ühildumisprobleemid, sest tarkvara käitatakse teisel arvu-til.

Kui dünaamiliselt suurenevate andmehulkade, nt logifailide salvestuskohad, ontarkvara poolt kindlaks määratud ja kasutaja ei saa neid vabalt valida, ähvardabmäluruumi puudus.

Näited.

• Rakenduse lähtekoodis sisalduvad kindlad asukoha andmed, mis viitavadWindowsi süsteemifailidele. Seetõttu ei saa seda rakendust käitada Win-dowsi teiste versioonidega.

• Ühes rakendudes ei saa kasutaja konfigureerida logiandmete salvestamisekohta. Rakenduse käitamise ajal tekivad seetõttu olemasoleva mäluruumijuures regulaarselt kitsaskohad.

288 / 781

G 2.213 Tarkvaraarenduse protsessi puuduv või puudulik kvaliteeditagamine

Puuduv või puudulik kvaliteedi tagamine tarkvaraarenduse protsessi ajal võib põh-justada projekti viibimist või ebaõnnestumist. Juhul kui turvalist rakendamist eikontrollita piisavalt, on olemas turvaaukude tekkimise oht nõrkade kohtade tõttuväljastatud tarkvaras.

Kui kvaliteedi tagamine ei ole kindlalt arendusprotsessi osa, ei astuta asjako-haselt vastu ohule, mis tuleneb rakendusvigadest, kontseptsioonivigadest või ise-gi teadlikust manipuleerimisest. Seejuures ei peaks olema tähelepanelik üksnesenda välja töötatud koostisosade, vaid ennekõike just kolmandate isikute asutu-seväliste panuste või nt asutusevälistest raamatukogudest ülevõetud koostisosa-de suhtes. Lähtekoodi avalikustamine avatud lähtekoodi printsiibi järgi, ja sellegapõhimõtteliselt seotud, sageli aga mittekasutatud uurimisvõimalus asutusevälistespetsialistide kaudu, ei asenda süstemaatilist kvaliteedi tagamist.

Näited.

• Praktikant saab tarkvaraettevõttes täieliku juurdepääsu kõikidele lähtekoodiressurssidele. Ta laseb end ettevõtte konkurendil kaasata kahjukoodi sisses-mugeldamisele tsentraalsetesse tarkvarakomponentidesse. Puuduva kvali-teedi tagamise tõttu avastatakse see manipulatsioon alles mitme kuu pärastja selleks ajaks on see juba tootmissüsteemidesse rakendatud.

• Seetõttu on üsna tavaline, et needsamad raamatukogude kaudu sisestatud,OEM-püsivaras sisalduvad või lihtsalt kopeeritud standardsed koodimoodu-lid leiavad kasutust erinevate tootjate toodetes. Sageli kasutatakse arendus-keskkonnas praktilistel kaalutlustel ka andmeid, mis ei ole mõeldud avalikus-tamiseks. Mis võib juhtuda, kui seejuures ei kasutata vajalikke kohandusivõi puhastusetappe, näitab üks 2015. aastal avaldatud turvalisuse uuring.Uurijad leidsid erinevate toodete avalikustatud püsivaras arvukalt privaat-seid võtmeid SSL-sertifikaatide ja SSH-juurdepääsude jaoks. Muu hulgasleiti OEM-tarnijate SDK-dest sertifikaate paljude klientide spetsiaalselt loo-dud püsivaraversioonides. Et ründe toimepanijad said nende avalikustatudpüsivara igal ajal analüüsida, tekkis äärmiselt suure hulga nende toodetekasutajate jaoks võimalike lubamatute juurdepääsude oht.

• 2014. aastal läks Heartbleed-puugina ajalukku üks lihtne programmeerimis-viga Open-Source-raamatukogu Open SSL-i lisamoodulis. Puuduva pikku-se kontrollimise tõttu õnnestus ründe toimepanijatel käivitada vastaspooltelt,mis kasutasid raamatukogu TLS-i rakendamiseks, juhuslikud mälusisud, misvõisid sisaldada ka salajasi krüptograafilisi võtmeid või paroole. Kolm aas-tat tagasi sisestas asutuseväline arendaja ettevaatamatusest vigase prog-rammikoodi ja asutusesisene arendajate meeskond võttis selle aasta hiljemüle produktiivsesse lähtekoodi. OpenSSL-raamatukogu äärmiselt suur po-pulaarsus tõi lõpuks kaasa selle, et vigane kood levis üle maailma paljudes-se toodetesse ja süsteemidesse.

• Arvatavalt esimesest versioonist alates, mis pärines aastast 1989, tekkis kä-sureainterpretaator Bash’i lähtekoodis tõsine turvaauk, mis sai 2014. aastaltuntuks kui Shellschock. See võimaldas kaugemalseisvatel ründe toimepa-nijatel teatud tingimustel sisse smugeldada koodi, et käitada seda puuduta-tud süsteemidel, nt veebiserveritel, DHCP-klientidel jne . Tänu ründe avasta-ja arukale tegutsemisele avalikustati esimene turvapaik juba teadasaamisel,

289 / 781

kuid see ei kõrvaldanud probleemi ennast siiski täielikult. Turvalisuse uurija-te järgmised analüüsid tõid kiiresti päevavalgele järgmised lüngad, mis tulisulgeda järgmiste turvapaikadega. See näitab, et turvakoodi avalik kätte-saadavus kergendab halvimal juhul huvitatud spetsialistide jaoks lähtekoodianalüüsi ja see võib kaasa tuua kiire turvaaukude kõrvaldamise. 25 aastattagasi tuvastamata olnud viga näitab aga selgelt, et selline juhuslik asu-tuseväline kvaliteedi tagamise vorm ei asenda mingil juhul asutuse endaprotsesse.

290 / 781

G 2.214 Identiteedi- ja volituste halduse puuduv või mitteküllaldanekontseptsioon

Identiteedi- ja volituste halduse turvalise kasutamise eeldus on põhjalik kavaja kontseptsioon, kuidas määrata, muuta ning kustutada kasutajatunnuseid janende volitusi. Selleks tuleb korraldada ja kontseptuaalselt kindlaks määrataidentiteedi elutsükkel, et määrataks üksnes identiteedi lubatud volitusi. Seetõttutuleb vastutused, ülesanded ja teabekanalid määratleda protsessidena.

Seda, et puuduva või ebapiisava kontseptsiooni puudujäägid võivad põhjustadakahju, selgitavad järgmised näited.

Puuduva või puuduliku identiteedi- ja volituste halduse protsessi kontseptsioonikorral võib juhtuda, et vastutav administraator ei saa teavet personalimuudatustekohta. Nii võib juhtuda, et asutusest lahkunud töötaja kasutajakonto jääb kustuta-mata. Samuti on olemas oht, et töötajatel, kes viiakse üle uude osakonda, jäävadalles nende vanad ja tarbetuks muutunud volitused ning seetõttu kogunevad ajajooksul ulatuslikud õiguste kogumid.

291 / 781

G 2.E5 ID-kaardi või sarnase seadme kehtivusaja lõppemine

Eestis on võetud suund riiklikult tagatud turvalisele autentimis- ja signeerimisva-hendile, milleks on ID-kaart, digi-ID ja mobiil-ID. Need vahendid on muutunud pal-jude infosüsteemid eametliku tööprotsessi osaks.

Kui nende seadmete kasutamise korral ei jälgi kasutajad nende kehtivusaja lõp-pu ning ei uuenda neid seadmeid-vahendeid õigeaegselt, võib see tekitada info-süsteemis märgatava käideldavuskao. Halvematel juhtudel märkavad kasutajadalles tähtaja kättejõudmisel, et nende ID-kaart ja/või mobiil-ID enam ei toimi. Info-süsteemi vaates on sel hetkel tihti juba hilja midagi ette võtta.

Olukorras, kus asutus kasutab oma infosüsteemis eelnimetatud vahendeid,kuid töötajatele pole halduslike meetmetega pandud kohustuseks nende aegsastiuuendamine, on paratamatuks tagajärjeks tööprotsesside katkemine või häiritus.

292 / 781

G 2.E6 Digiallkirja andmine või autentimine ilma võtmepaari omanikuteadmata

ID-kaardi ja/või mobiil-ID tüüpsel kasutamisel küsitakse selle kasutajalt enne pri-vaatvõtmega tegevuste teostamist PIN-koodi – PIN1 koodi autentimisel (ja katranspordikrüpto vormingus krüpteeritud faili dešifreerimisel), PIN2-koodi aga di-giallkirjastamisel.

Kolmel alljärgneval juhul on need tegevused võimalikud aga ilma seadme oma-niku teadmata:

1. Nii seade (ID-kaart ja/või mobiil-ID) kui ka seda aktiveerivad PIN-koodid onväljunud selle omaniku ainuvaldusest, mis võimaldab nende ebaseaduslikulvaldajal end seadme omaniku nimel autentida, transpordikrüpto (nt CDOC-) faile dešifreerida või digiallkirju anda. Halvematel juhtudel ei saa seadmeomanik niisugusest levikust midagi teada – näiteks juhtudel, kui ta hoiabPIN-koode lohakalt ning ebaseaduslik kasutaja paneb seadme pärast kasu-tamist varasemasse paika tagasi. On ka võimalik, et PIN-koodid petetakselihtsameelsetelt inimeselt välja.

2. ID-kaardiga liidestatud arvutis või mobiil-ID võimalustega SIM-kaarti sisal-davas mobiiltelefonis (tihti nutitelefonis või pihuarvutis/PDAs) on aktivee-runud pahavara või rünne, mis on modifitseerinud turvalise autentimise,CDOC-failide šifreerimise ja/või digiallkirjade andmise tarkvara. Niiviisi kuri-tahtlikult modifitseeritud tarkvara võib salvestada kord sisestatud PIN-koodining seda hiljem korduvkasutada ilma kasutaja teadmata, st kasutajale ek-raanile mingit märget jätmata. Mobiil-ID korral on see risk tavaliselt ID-kaardist veidi kõrgemgi, sest mobiil-ID omadustega SIM-kaart on erine-valt ID-kaardist püsivalt infosüsteemiga liidestatud; samuti puuduvad palju-de mobiiliplatvormide operatsioonisüsteemides efektiivsed pahavara tuvas-tamise ja eemaldamise vahendid. Lisaks on ID-kaardi korral on seesuguneväärkasutus võimalik ainult neil aegadel, kui kaart on arvutis.

3. Tarkvaraline lahendus hoiab pärast PIN-koodi sisestamist PIN-koodi vahe-mälus ja kasutab seda korduvalt ilma kasutaja enda teadmata. Sel korral onkaasnevad tegevused sarnased eelmises punktis kirjeldatud tegevustega.

Vt ka G 3.44 Teabe hooletu kasutamine , G 5.2 Andmete või tarkvaramanipuleerimine , G 5.40 Pealtkuulamine ruumis arvuti mikrofoni kaudu , G5.42 Inimestega manipuleerimine (Social Engineering) , G 5.69 Varguseohtkodutöökohas ja G 5.96 Mobiiltelefoni ehituse muutmine .

293 / 781

G 2.E7 Asutusega mitteseotud digiallkirjade andmine asutusejuurdepääsutõendi ressursside arvelt

Eesti rahvusliku PKI vaates peamise sertifitseerimisteenuse osutaja – Sertifitsee-rimiskeskuse AS-i – teenuste eest maksmine on suures osas koondatud digiallkirjaandmisega kaasnevasse OCSP-teenusesse. Teenuste eest tarbimine käib antuddigiallkirjade mahu pealt, kusjuures OCSP-teenuse kasutamist digiallkirjastamisetarkvaras võimaldab selles arvutis asuv juurdepääsutõend, mille põhjal seotakseantud allkirjad ka konkreetse asutusega.

Asutuses toimiva puuduliku turvajärelevalve korral on võimalik, et lisaks asutusetegevusega seotud digiallkirjadega signeeritakse sama juurdepääsutõendiga kaasutusega või teenusega mitteseotud dokumente. See on võimalik kahel järgnevaljuhul:

• Teatud arvutites signeeritakse lisaks asutuse ja/või teenusega seotud do-kumentide ka asutuse- või teenuseväliseid dokumente. Tavaliselt teeb sedaarvutikasutaja, nt juhtumeil, kui ta teeb oma tööarvutis tööväliseid asju.

• Juurdepääsutõendi levituspoliitika ja -kontroll pole asutuses piisaval tasemelning juurdepääsutõend levib volitamata subjektide kätte. Sel korral kasu-tatakse juurdepääsutõendit võõrastes arvutites/infosüsteemides (st asutusmaksab kinni võõraste digiallkirja andmise).

Vt ka G 2.8 Ressursside kontrollimatu kasutamine ..

294 / 781

G 2.E8 Digiallkirjastatud dokumendi vormingureeglitemitmetimõistetavus

Digisignatuur kui krüptograafiline mehhanism seob faili ta signeerijaga (allkirjasta-jaga) bittide-baitide tasemel. Samal ajal tuleb digiallkirja korral siduda selle and-jaga dokumendi sisu ehk tähendus. See on võimalik ühel juhtumil – digiallkirjagavarustataval failil kui bitijadal peab olema ühene tähendus, st seda ei tohi erinevatesüsteemide ja/või erineva tarkvaraga saada interpreteerida mitut moodi.

Probleemid võivad tekkida järgnevatel juhtudel:

• Faili sisust ja/või nimest ei selgu kasutatav failivorming ning erinevad tark-varatooted ja/või keskkonnad võivad sama dokumenti näidata erinevalt (eri-nevate adekvaatkuvadega). Nt faililaiend DOC viitab Microsoft Wordi pooltkasutatavale dokumendivormingule, kuid ei selgu, millist versiooni sellestkasutatakse.

• Digiallkirjastatav fail sisaldab aktiivsisu (makrosid), mis muuhulgas võivaddokumendi sisu (adekvaatkuva) teha lisaks failis sisalduvale sõltuvaks kuu-päevast, kellaajast, kasutatavast arvutist vm faktoritest.

295 / 781

G 2.E9 Digitempli andmise seadme kasutuseõiguse väljumineasutuse poolt määratud subjektide ringist

Kui digiallkiri seob dokumendi füüsilise isikuga, siis digitempel seob dokumendijuriidilise isiku ehk asutusega. Vägagi tihti kasutatakse digitemplit olukordades,kus digitembeldamise juures ühtegi füüsilist isikut ei paikne, vaid tegu on mingi in-fosüsteemi automaatse tegevusega (nt andmebaasi päringuvastuste automaatnedigitembeldamine).

Niisugustel juhtudel on väga oluline, et digitembeldamiseks kasutatavale sead-mele pääseksid ligi vaid selleks volitatud isikud/protsessid. Nimetatud juhtumeilei toimu ka PIN2-koodi käsitsi sisestamist (nagu digiallkirja korral), vaid pääs ontagatud digitembeldustarkvara tasemel. Kui nimetatud pääsuskeem ei ole piisa-valt läbimõeldud või seda realiseeriv tehniline süsteem piisavalt turvaline, võivaddigitembeldamissüsteemile pääseda ligi (kas füüsiliselt või virtuaalselt) volitama-ta subjektid. Tulemuseks võib olla olukord, kus asutuse digitemplit saavad andaisikud, kel pole selleks õigust.

Asutuses, kus digitempel ilma inimeste vahetu juuresolekuta konfigureeritakse,tuleb kindlalt teadvustada sellega tekkivat täiendavat turvariski, mis tuleb kindlastikompenseerida täiendavate (peamiselt halduslike ja füüsiliste) turvameetmetega.

Vt ka G 2.8 Ressursside kontrollimatu kasutamine ja G 2.107 Puudulikustinfoturbehaldusest tingitud ressursside ebaökonoomne kasutamine .

296 / 781

G 2.E10 Juurdepääsutõendiga määratud digiallkirjade mahuammendumine

Eesti rahvusliku PKI vaates peamise sertifitseerimisteenuse osutaja – Sertifitsee-rimiskeskuse AS-i – teenuste eest maksmine on suures osas koondatud digiallkirjaandmisega kaasnevasse OCSP-teenusesse. Teenuste eest tasumine käib antuddigiallkirjade mahu pealt, kusjuures OCSP-teenuse kasutamist digiallkirjastamisetarkvaras võimaldab selles arvutis asuv juurdepääsutõend, mille põhjal seotakseantud allkirjad ka konkreetse asutusega.

Nimetatud skeem võib ebapiisava seire või järelevalve korral tekitada olukor-ra, kus asutuse poolt ostetud ressurss on ammendunud ning ühel hetkel ei oleolemasoleva juurdepääsutõendi korral võimalik asutuse sees enam täiendavaiddigiallkirju anda.

Vt ka G 2.3 Puuduvad, puudulikud või ühildumatud ressursid .

297 / 781

G 2.E11 Signeerimistarkvara puudus, mis võimaldab anda digiallkirjaautentimisvõtmepaari ja PIN1-koodi kasutades

DigiDOCi varasemad standardid võimaldavad koostada signeerimistarkvara nii-moodi, et digiallkirja saab anda mitte signerimisvõtmepaari ja PIN2 kasutades,vaid autentimisvõtmepaari (autoriseerimisvõtmepaari) ja PIN1 kasutades. Kui sig-neerimistarkvara koostajad ei ole piisavalt hoolsad, on võimalik realiseerida allkir-jade andmise võimalus autentimisvõtmepaariga. See põhjustab allkirjade verifit-seeritamatuse uuemate standardite kohaselt ning riskide ülemäärase kuhjumise.

298 / 781

G 2.E12 Pin-pad’i mittekasutamine

ID-kaardi või digi-ID korral on oluliseks ohuks see, et seadet aktiveeriv PIN-koodsisestatakse tavalise arvuti klaviatuurilt, mille üle on operatsioonisüsteemil kuitarkvaravahendil kontroll. Seetõttu saab operatsioonisüsteemi tasemel aktiveeri-nud pahavara – nt keylogger – PIN-koodi varastada, millele võib järgneda füüsiliseseadme enda vargus või röövimine.

Seda ohtu saab välistada spetsiaalse pin-pad ’i kasutamisega, mis sisaldablisaks kaardilugejale ka klaviatuuri ning on võimeline edastama sisestatud PIN-koodi ilma operatsioonisüsteemi vahendusteta otse ID-kaardile või digi-ID-le.

299 / 781

300 / 781

ISKE ohtude kataloog G

Ohtude nimekiri

G 3.1 Andmete konfidentsiaalsuse või tervikluse kadu kasutaja veatõttu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304

G 3.2 Seadme või andmete hävitamine hooletuse tõttu . . . . . . . 305G 3.3 Hooletus turvameetmete suhtes . . . . . . . . . . . . . . . . 306G 3.4 Lubamatud kaabliühendused . . . . . . . . . . . . . . . . . 307G 3.5 Liinide juhuslik kahjustamine . . . . . . . . . . . . . . . . . 308G 3.6 Koristajad jm väljastpoolt tellitud töötajad . . . . . . . . . . . 309G 3.7 Käsitsemisvea tõttu tekkinud kodukeskjaama (PBX) rike . . 310G 3.8 IT-süsteemi väär kasutamine . . . . . . . . . . . . . . . . . 311G 3.9 IT-süsteemi väär haldus . . . . . . . . . . . . . . . . . . . . 312G 3.10 Failisüsteemide väär eksport Unixis . . . . . . . . . . . . . 314G 3.11 Sendmaili väär konfiguratsioon . . . . . . . . . . . . . . . 315G 3.12 Andmekandjate kaotamine saatmisel . . . . . . . . . . . . 316G 3.13 Väära või soovimatu andmekogumi saatmine . . . . . . . . 317G 3.14 Faksi juriidilise siduvuse ülehindamine . . . . . . . . . . . 319G 3.16 Väär pääsuõiguste haldus . . . . . . . . . . . . . . . . . . 320G 3.17 Arvutikasutajate väär vahetumine . . . . . . . . . . . . . . 321G 3.21 Mehaaniliste koodlukkude väär kasutamine . . . . . . . . . 322G 3.22 Registri väär modifitseerimine . . . . . . . . . . . . . . . . 323G 3.23 Andmebaasisüsteemi hooletu haldus . . . . . . . . . . . . 324G 3.24 Andmete juhuslik manipuleerimine . . . . . . . . . . . . . 325G 3.27 Aja väär sünkronisatsioon . . . . . . . . . . . . . . . . . . 326G 3.28 Võrgu aktiivkomponentide ebasobiv konfiguratsioon . . . . 327G 3.29 Ebasobiv või puuduv segmentimine . . . . . . . . . . . . . 329G 3.30 Kaugtööjaamade volitamatu kasutamine eraotstarbel . . . 330G 3.31 Struktureerimata andmekorraldus . . . . . . . . . . . . . . 331G 3.32 Seaduste rikkumine krüptoprotseduuride kasutamisel . . . 332G 3.33 Krüptomoodulite väär kasutamine . . . . . . . . . . . . . . 333G 3.34 Võrguhaldussüsteemi ebasobiv konfiguratsioon . . . . . . 334G 3.35 Töötava serveri elektritoite väljalülitamine . . . . . . . . . . 335G 3.36 Sündmuste väär tõlgendamine . . . . . . . . . . . . . . . . 336G 3.37 Tulemusteta otsingud . . . . . . . . . . . . . . . . . . . . . 337G 3.38 Vead konfigureerimisel ja kasutamisel . . . . . . . . . . . . 338G 3.40 Vead VPN-ide autentimisteenuse kasutamisel . . . . . . . 340G 3.41 VPN-teenuste väär kasutamine . . . . . . . . . . . . . . . 341G 3.42 VPN-klientsüsteemide kaugpöörduse ebaturvaline konfigu-

ratsioon . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342G 3.43 Puudulik paroolihooldus . . . . . . . . . . . . . . . . . . . 343

301 / 781

G 3.44 Teabe hooletu kasutamine . . . . . . . . . . . . . . . . . . 345G 3.45 Sidepartnerite puudulik autentimine . . . . . . . . . . . . . 347G 3.46 Lotus Notes Serveri väär konfiguratsioon . . . . . . . . . . 348G 3.48 Windowsiga töötavate IT-süsteemide väär konfiguratsioon . 350G 3.49 Active Directory väär konfiguratsioon . . . . . . . . . . . . 351G 3.50 Novell eDirectory väär konfiguratsioon . . . . . . . . . . . 352G 3.51 Novell eDirectory pääsuõiguste väär andmine . . . . . . . 353G 3.52 Novell eDirectoryt kasutava intranet-klientsüsteemi pöör-

duse väär konfiguratsioon . . . . . . . . . . . . . . . . . . 354G 3.53 Novell eDirectoryt kasutava LDAP-pöörduse väär konfigu-

ratsioon . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355G 3.54 Ebasobiva andmekandja kasutamine arhiveerimiseks . . . 356G 3.55 Õiguslike raamtingimuste rikkumised arhiivsüsteemide ka-

sutamisel . . . . . . . . . . . . . . . . . . . . . . . . . . . 357G 3.56 IIS-i väär integreerimine süsteemikeskkonda . . . . . . . . 358G 3.60 Exchange 2000 serverite väär konfiguratsioon . . . . . . . 359G 3.61 Outlook 2000 klientsüsteemide väär konfiguratsioon . . . . 361G 3.64 Marsruuterite ja kommutaatorite väär konfiguratsioon . . . 362G 3.65 Marsruuterite ja kommutaatorite väär haldamine . . . . . . 363G 3.66 Märkide väär teisendus z/OS-i kasutamisel . . . . . . . . . 364G 3.67 z/OS-operatioonisüsteemi puudulik või väär konfiguratsioon 365G 3.68 z/OS-veebiserveri puudulik või väär konfiguratsioon . . . . 367G 3.69 Unixi süsteemiteenuste (USS) väär konfigureerimine z/OS-is 368G 3.70 z/OS-i süsteemi failide ebapiisav turve . . . . . . . . . . . 369G 3.71 z/OS-süsteemide väär süsteemiaeg . . . . . . . . . . . . . 370G 3.72 z/OS-i turbesüsteemi RACF väär konfiguratsioon . . . . . . 371G 3.73 z/OS-i süsteemifunktsioonide väär kasutamine . . . . . . . 373G 3.74 z/OS-i süsteemiseadistuste puudulik kaitse dünaamiliste

muudatuste vastu . . . . . . . . . . . . . . . . . . . . . . . 375G 3.75 z/OS-i pakktööde puudulik kontroll . . . . . . . . . . . . . . 377G 3.76 Vead kaasaskantavate seadmete sünkroniseerimisel . . . . 378G 3.77 Infoturbe vähene aktsepteerimine . . . . . . . . . . . . . . 379G 3.78 Seadmekaablite halb paigutus ruumis . . . . . . . . . . . . 380G 3.79 SAN salvestivõrgu ressursside vale jaotamine . . . . . . . 381G 3.80 Andmebaaside sünkroniseerimisvead . . . . . . . . . . . . 382G 3.81 Turvamallide väär kasutamine alates Windows Server 2003-st383G 3.82 IP-kõne vahendustarkvara väär konfiguratsioon . . . . . . 385G 3.83 IP-kõne komponentide väär konfiguratsioon . . . . . . . . . 386G 3.84 Traadita kohtvõrgu taristu väär konfiguratsioon . . . . . . . 387G 3.85 Tuletõkete kahjustamine . . . . . . . . . . . . . . . . . . . 388G 3.86 Printerite, koopiamasinate ja multifunktsionaalsete seadme-

te reguleerimata ja hooletu kasutus . . . . . . . . . . . . . 389G 3.87 Kataloogiteenuste väär konfiguratsioon . . . . . . . . . . . 391G 3.88 Väär pääsuõiguste andmine . . . . . . . . . . . . . . . . . 392G 3.89 Kataloogiteenuse LDAP-juurdepääsu väär konfiguratsioon . 393G 3.90 VPN-ide väär haldus . . . . . . . . . . . . . . . . . . . . . 394G 3.91 Väärkasutusest tingitud VPN-ühenduse katkemine . . . . . 396G 3.92 Turvapaikade ja muudatuste prioriteetide väär hindamine . 397G 3.93 Väär ümberkäimine defektsete andmekandjatega . . . . . 398G 3.94 Samba sideprotokollide väär konfiguratsioon . . . . . . . . 399

302 / 781

G 3.95 Samba serveri operatsioonisüsteemi väär konfiguratsioon . 400G 3.96 Samba serveri väär konfiguratsioon . . . . . . . . . . . . . 401G 3.97 Konfidentsiaalsuse kadu vaatamata draivide krüpteerimise-

le BitLockeriga . . . . . . . . . . . . . . . . . . . . . . . . 402G 3.98 BitLockeriga krüpteeritud andmete kadu . . . . . . . . . . 403G 3.99 Virtualiseerimisserveri valed võrguühendused . . . . . . . 404G 3.100 Virtuaalsete IT-süsteemide snapshot’ide ebakompetentne

kasutamine . . . . . . . . . . . . . . . . . . . . . . . . . . 407G 3.101 Külastaja tööriistade väär kasutamine virtuaalsetes IT-

süsteemides . . . . . . . . . . . . . . . . . . . . . . . . . 409G 3.102 Aja vale sünkroniseerimine virtuaalsetes IT-süsteemides . 411G 3.103 Vale domeeniinfo . . . . . . . . . . . . . . . . . . . . . . 412G 3.104 DNS-serveri väär konfiguratsioon . . . . . . . . . . . . . 414G 3.105 Väliste teenuste volitamata kasutamine . . . . . . . . . . 417G 3.106 Väär käitumine interneti kasutamisel . . . . . . . . . . . . 418G 3.107 Mainekahjud . . . . . . . . . . . . . . . . . . . . . . . . . 419G 3.108 Mac OS X väär konfiguratsioon . . . . . . . . . . . . . . . 421G 3.109 FileVault-krüpteerimise väär kasutamine . . . . . . . . . . 422G 3.110 OpenLDAP väär konfiguratsioon . . . . . . . . . . . . . . 424G 3.111 OpenLDAP offline- ja online-pöörduste ebapiisav lahutamine425G 3.112 Image’ite volitamata või väär rakendamine Windows

DISM-i kasutamisel . . . . . . . . . . . . . . . . . . . . . . 426G 3.113 Lotus Notesi kliendi või võõra, Lotus Dominole juurdepää-

su omava kliendi väär konfiguratsioon . . . . . . . . . . . . 428G 3.114 Logimisprotseduuride väär haldus . . . . . . . . . . . . . 430G 3.115 Oluliste logiandmete väär valik . . . . . . . . . . . . . . . 431G 3.116 Aja sünkroniseerimata jätmine logiandmete analüüsimisel 432G 3.119 Standardite väär kasutamine . . . . . . . . . . . . . . . . 433G 3.120 Orkestreerimise vead . . . . . . . . . . . . . . . . . . . . 435G 3.121 Veebiteenuste konfigureerimise ja haldamise vead . . . . 436G 3.122 Pilveteenuse väär kasutus . . . . . . . . . . . . . . . . . 438G 3.123 Mobiil- ja nutitelefonide ning tahvel- ja pihuarvutite keela-

tud kasutamine eraotstarbel . . . . . . . . . . . . . . . . . 439G 3.E1 ID-kaardi, digi-ID või mobiil-ID hooletu üleandmine teisele

isikule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440

303 / 781

G 3.1 Andmete konfidentsiaalsuse või tervikluse kadu kasutaja veatõttu

Info ja andmete konfidentsiaalsus või terviklikkus võib kannatada igasuguste inim-vigade tõttu. Kaudne kahju tuleneb andmete kaitsevajadusest. Allpool on toodudmõned näited sellistest vigadest.

• Töötaja unustab isikuandmeid sisaldavad lehed printerisse.• Konfidentsiaalset infot arutatakse kõrvaliste isikute kuuldeulatuses, näiteks

läbirääkimiste vaheajal või avalikus kohas mobiiliga kõneldes.• Andmekandjad saadetakse teele ilma salvestatud andmete asjakohase kus-

tutamiseta.• Dokumendid avalikustatakse veebiserveril, ilma eelneva kontrollita, kas

need on avalikustamiseks mõeldud.• Valesti hallatud pääsuõiguste tõttu sai üks töötaja võimaluse andmeid muu-

ta, aga ei suutnud hinnata tervikluse kaotsimineku mõju.• Uut tarkvara katsetatakse andmetega, mis polnud anonüümseks muudetud.

Volitamata töötajal avaneb ligipääs kaitstud failidele või konfidentsiaalseleinfole. Kuna testväljatrükkide jäätmekäitlust pole piisavalt reguleeritud, võibselline info jõuda kõrvaliste isikuteni.

• Kõvaketaste väljavõtmise, laenutamise, remonti saatmise ja kasutuselt kõr-valdamise puhul võivad veel osaliselt puutumata failisüsteemides pöördu-matult kustutamata andmed sattuda kõrvaliste isikute kätte.

• Kui välise teenusepakkuja käsutuses on mitu mandaati, võivad teenust ka-sutava organisatsiooni andmed muutuda inimvea tõttu teenusepakkuja teis-te mandaatide kaudu ligipääsetavaks.

304 / 781

G 3.2 Seadme või andmete hävitamine hooletuse tõttu

Hooletus, aga ka väljaõppeta kasutamine, võib hävitada nii seadmeid kui kaandmeid, häirides seeläbi olulisel määral IT-süsteemide tööd. Probleeme võibtekitada ka IT-rakenduste oskamatu kasutamine, mille tagajärjel saadakse kasvaled tulemused, muudetakse tahtmatult andmeid või koguni hävitatakse need.Üheainsa kustutamiskäsu hooletu kasutamine võib hävitada terveid failikogumeid.

Näited:

• Kasutajad, kes lülitavad veateadete tõttu arvuti lihtsalt välja, selle asemelet kõik töötavad rakendused nõuetekohaselt sulgeda või asjatundja poolepöörduda, võivad seeläbi andmekogumis suuri terviklusprobleeme põhjus-tada.

• Ümberpaisatud kohvitass või lillede kastmisel mahavoolanud vesi võib teki-tada IT-süsteemis lühiseid.

• z/OS-süsteemis oli süsteemi programmeerijal volitus kasutada kõvaketastevormindamiseks programmi ICKDSF. Kui programmeerijal oli oma töö jaokskiiremas korras vaja kõvaketast, valis ta olemasolevate hulgast välja ühetühja kõvaketta, kuid sisestas trükivea tõttu vale aadressi. Süsteemilogi vas-tust luges ta vaid pealiskaudselt ja kustutas selle kohe. Sellega andis ta loavormindada kõvaketas, mis ei olnud tühi, ja olulised tootmisandmed läksidkikaduma.

• Kasutajatel, kes tavatsevad rakendada UNIXis kustutuskäsku rm, ilma etnad kasutaks lisaks turvapäringu parameetrit (-i), või kellel on lausa harju-mus lülitada turvapäringud parameetriga -f välja, on väga suur oht kustutadatahtmatult olulisi andmeid. Sama kehtib MS-DOS-is rakendatava käsu del*.*kohta.

305 / 781

G 3.3 Hooletus turvameetmete suhtes

Hoolimatus ja kontrolli puudumine võivad tekitada olukorra, kus inimesed jätavadnende jaoks soovituslikud või kohustuslikud turvameetmed kas üldse rakendama-ta või rakendavad neid poolikult. Selle tagajärjel võivad tekkida kahjud, mida olekssaanud kui mitte ära hoida, siis vähemalt minimeerida. Olenevalt inimese tööüles-annetest ja täitmata jäetud meetme olulisusest võivad kahjud kujuneda isegi vägasuureks. Sageli jäetakse turvameetmed täitmata ka seetõttu, et inimestel puudu-vad piisavad teadmised turbe toimimise kohta. Tüüpiline näide on olukord, kusveateated aina korduvad, kuid nende suhtes ei võeta mitte midagi ette ning teatudaja möödudes lihtsalt harjutakse nendega ja neid hakatakse ignoreerima.

Näited:

• Lukustatav kirjutuslaud ei ole piisavalt turvaline koht dokumentide, DVD-de,USB mälupulkade ega muude andmekandjate hoidmiseks ja ei suuda tõ-kestada volitamata isikute juurdepääsu, kui kirjutuslaua võtit hoitakse seal-samas büroos, nt kapi peal või klaviatuuri all.

• Vaatamata sellele, et andmetest varukoopiate tegemine kui ennetav abinõuei ole kellelegi enam võõras, esineb ikka ja jälle andmekadusid, sest kuivarukoopiad on jäänud tegemata, pole andmeid võimalik ka taastada.

• Juurdepääs arvutuskeskusesse peaks olema lubatud vaid läbi sellise uk-se, millel on juurdepääsu kontrollsüsteem (nt kiipkaardiga autentimine, PIN-koodi sisestamine või biomeetriline protseduur). Avariiuksi kasutatakse sa-geli täiendavate, ilma eriliste turvamehhanismideta sisse- ja väljapääsuvõi-malustena, kuigi reeglid näevad ette, et neid tohib avada ainult avariiolukor-ras.

• z/OS-süsteemis toimus iga päev RACF-andmebaasi varukoopiate tegemisepakktöötlus (batch jobs). Selliste protsesside korrektset toimimist peavadiga päev kontrollima selle eest vastutavad administraatorid. Kuna aga va-rukoopiate tegemisel ei esinenud mitme kuu vältel probleeme, ei suvatse-nud ühest hetkest keegi enam kontrollida protsessi toimimist. Alles siis, kuitootmissüsteemi RACF-andmebaasides tekkis defekt ja andmeid oli tarvishakata varukoopiatest taastama, avastati, et pakktööd olid juba mitu päe-va tegemata jäänud. Tulemuseks oli olukord, kus kõige uuemate andmetevarukoopiad olid jäänud tegemata ning seetõttu tuli viimaste päevade infokäsitsi sisestada. Lisaks märkimisväärsele lisatööle jäi siiski õhku rippumakahtlus, et andmete käsitsi rekonstrueerimisel võidi teha vigu.

• Asutuses on keelatud ühendada võõraid USB-seadmeid asutuse IT-taristuga. Töötaja ei leia parasjagu tööandja USB mälupulka ja ühendabselle asemel oma nutitelefoni arvutiga. See mobiilne IT-rakendus oli aga na-katunud kahjurvaraga, mille kaudu tekitati lubamatu andmete leke.

306 / 781

G 3.4 Lubamatud kaabliühendused

Kui IT-süsteemide või teiste tehnikakomponentide vahel on kaabliühendused, mi-da ei ole tegelikult ette nähtud, on oht, et nendest tekivad turbeprobleemid võihäired süsteemide töös. Näiteks võib lubamatu kaabliühenduse tõttu juhtuda, etluuakse volitamata juurdepääs võrkudele, süsteemidele, infole või rakendustele.Lubamatute kaabliühenduste kaudu võidakse infot edastada peale õigete adres-saatide ka valedele adressaatidele ja on võimalik, et info ei jõuagi õige adressaadi-ni. Lubamatud kaablid võivad segada ettenähtud ühenduste tööd.

Lubamatute kaabliühenduste põhjused ja tagajärjed võivad olla erinevad, ntjärgmised:

• tehnilised defektid;• kaablijaotusseadmete, rist- või jätkjaotuste vale ühendamine;• aktiivsete võrgukomponentide vale kaabliühendus;• võõraste IT-süsteemide keelatud ühendus kohtvõrgu võrgupesadega.

Ebapiisav dokumentatsioon ja kaablite ebatäpne märgistamine põhjustavad sa-geli valeühendusi ja raskendavad tahtlike valeühenduste tuvastamist.

307 / 781

G 3.5 Liinide juhuslik kahjustamine

Mida kaitsetumalt on kaabliliinid paigaldatud, seda suurem on juhusliku kahjus-tamise oht. Kahjustus ei tähenda ilmtingimata seda, et kõik ühendused peaksidselle tagajärjel kohe katkema. Tekkida võivad ka juhuslikud keelatud ühendused,nt kui kaablite ümbrised pole enam täiesti terved või isolatsioon on kahjustunud.

Järgmiste näidetega kirjeldatakse tüüpilisi siseruumides esineda võivaid kah-justusi:

• Vabalt rippuvate kaablite korral on oht, et töötajad või külalised võivad mõnekaabli otsa komistada ja selle seadme küljest lahti rebida.

• Seadmete ühenduskaabel võib puruneda, kui sellest sõidetakse büroo-mööbli ratastega üle.

• Vales kohas puurimine või valesse kohta löödud nael võib kahjustada krohvialla paigaldatud kaableid.

• Kahjustusi võib tekitada ka vesi, nt kui see tungib lahtise akna kaudu võiruumide pesemise käigus aknalaua või põranda kaablikanalitesse.

• Krohvi või põranda peale paigaldatud kaableid võib kahjustada suurte jaraskete esemete hooletu transportimine.

• Kaableid võib kahjustada isegi see, kui nende väljatõmbamiseks pistikupe-sast haaratakse kinni mitte pistikust, vaid kaablist endast.

• Töövahendid võidakse üle koormata, nt kui ühe pistikupesa harukontaktiühendatakse lubamatult suur hulk suure täiskoormusega seadmeid.

Välistingimustes on kaablikahjustuste võimalikud põhjused näiteks järgmised:

• Kaableid võivad kahjustada kaevetööd, milleks kasutatakse kas koppa võilabidat.

• Vesi võib tungida maa-alustesse torudesse või kaablitesse.• Kaablid võivad langeda näriliste saagiks.• Torusid ja kaableid võivad kahjustada juured (puujuured on kaablite katki-

muljumiseks piisavalt tugevad).• Liikluskoormus võib suureneda üle lubatud normi (seeläbi võivad kaablitorud

puruneda ja kaablid katki lõigata).• Tööriistade ja seadmete jaoks ajutiselt paigaldatud kaablitest võidakse üle

sõita.

Näide:

• Ühe väikese poe koristajal tekkis harjumus kallata pesuvesi otse poe ukseees kõnniteel asuvasse kaablitoru kontrollšahti. Vesi jõudis küll ära aura-ta, kuid mustus ja seep ladestusid kaablitele. Kui ükskord oli tarvis hakatakaablitöid tegema, kulus kogu selle lademe eemaldamiseks palju aega javaeva.

308 / 781

G 3.6 Koristajad jm väljastpoolt tellitud töötajad

Tööprotsesside jaoks kriitilise tähtsusega info ja IT-süsteemide korrektse ka-sutamise õpetamine on keeruline ülesanne isegi organisatsioonis põhikohagatöötavate töötajate puhul. Organisatsiooniväliste isikute, nt külaliste puhul eisaa harilikult eeldada, et nad oskaksid organisatsioonist jagatavate andmete japakutava infotehnoloogiaga nõuetekohaselt ümber käia, sest tavaliselt ei tunnenad neid nõudeid piisavalt.

Külastajad, koristajad ja võõras personal võivad siseinfot, tööprotsesse ja IT-süsteeme ohustada mitmel moel alates oskamatust ümberkäimisest tehnilis-te seadmetega ja katsest IT-süsteemidega „mängida” kuni dokumentide või IT-komponentide varguseni.

Näited:

• Järelevalveta külalised võivad dokumentidele, andmekandjatele või sead-metele ligi pääseda, neid kahjustada või saada oma valdusesse infot, mispole nende jaoks mõeldud.

• Koristajad võivad kogemata lahti tõmmata mõne pistiku, koristusvesi võibtungida seadmetesse, dokumente võidakse koristamise käigus tõsta ühestkohast teise või isegi prügi hulgas minema viia.

• Organisatsiooniväline koostööpartner salvestas oma sülearvutisse doku-mendid, mis tuli ametiasutuses enne nõupidamist välja printida. Selleks ko-peeris ta failid USB-pulga pealt ühte ametiasutuse kohtvõrgus asuvasse ar-vutisse. Koos nende failidega pääses kohtvõrku ka kahjurvara.

• Arvutuskeskuses tehti seadmeruumis maalritöid. Maalri redel kukkus koge-mata vastu elektritoite tsentraalset avariilülitit ja lülitas selle sisse, mille tu-lemusel lülitus elekter välja. Selle arvutuskeskuse kõikide z/OS-süsteemidetoide katkes silmapilkselt. Voolu katkemise tõttu ei saanud mitmeid kettaid(direct access storage device, DASD) enam kasutada. Olukorda lahendavaltehnikul kulus tootmisprotsessi taastamiseks mitu tundi.

309 / 781

G 3.7 Käsitsemisvea tõttu tekkinud kodukeskjaama (PBX) rike

Lisaks defektsetest koostisosadest, elektrikatkestusest või sabotaažist põhjusta-tud tehnilistele riketele on veel mitmeid asjaolusid, mis võivad viia kodukeskjaamavõi teiste sideseadmete hädaolukorrani. Nii võib juhtuda, et mitme funktsioonigakeskjaamal võidakse selle väärkasutamise tagajärjel käivitada soovimatu funkt-sioon. Rikke võib põhjustada näiteks ebapiisava ettevalmistusega hooldusperso-nal, kes keskjaama asjatundmatult konfigureerib. Kui hoiatussignaalid jäetakse tä-helepanuta või kui ebaharilikku käitust ei märgata, võib see viia käitushäireteni.Samuti võib keskjaama rike olla põhjustatud tavapäraste hooldustööde läbiviimiselette võetud asjatundmatust või mõtlematust tegevusest.

Kuna tavapäraste keskjaamade ja VoIP-lahenduste vahel on küllalt suur kont-septsiooniline ja tehnoloogiline erinevus, tuleb VoIP-ile üle minnes personali sel-leks põhjalikult ette valmistada. Lisaks on vaja ulatuslikke IP-võrgutehnika alaseidteadmisi. Kui keskjaama käsitsetakse puudulike teadmiste tõttu vääralt, võib seeIP-võrkudega ühendamisel põhjustada muudki kui ainult side-infrastruktuuri häda-olukordasid. Kui VoIP-voogmeediumit edastatakse andmevõrgu kaudu, millesseon ühendatud ka töökoha arvutid ja server, võib vale konfiguratsioon põhjustadakogu andmevõrgu hädaolukorda.

Näited

• VoIP-seadme konfigureerimisel valiti kõneandmete edastamiseks ebapiisavkompressiooni algoritm, mistõttu kasutati ära liialt palju mahtu. See viis and-mevõrgu ülekoormuseni ning selle tagajärjel ei saa tulemuslikult töökoha ar-vutitel töötada. Samuti ei ole võimalik VoIP-seadme kaugkonfigureerimine.VoIP-keskjaama töökorra eest vastutav töötaja oletab, et probleem on võrgupuudulikus konfigureerimises, mille eest vastutab aga teine töötaja, ning eivõta seetõttu midagi ette. Probleem avastati ja kõrvaldati alles pärast võr-gutegevuse analüüsi. Kuigi konfiguratsioonivea tegelik korrigeerimine kestisvaid mõne minuti, oli kogu süsteemi käsitsemine mitme tunni jooksul oluliselthäiritud.

• Kodukeskjaama tahtliku või tahtmatu väära konfigureerimise tulemuselvõivad telefoninumbri muutumisel olla üksikud ühendused konfigureeritudnäiteks nii, et väljast ei saa enam sisse helistada. Kui taolise rikke puhulkuuleb sissehelistaja tavalist kutsuvat tooni, võib rikke avastamine aega võt-ta.

310 / 781

G 3.8 IT-süsteemi väär kasutamine

IT-süsteemide väär või eeskirjadevastane kasutamine võib mõjutada nende turvet,kui selle käigus eiratakse või välditakse turvameetmeid. Näiteks võivad turvaintsi-dente põhjustada piisava kontrollita antud liigsed ja ebavajalikud õigused, kergestiäraarvatavad paroolid, ebapiisavalt kaitstud andmekandjad ja varukoopiad või aju-tise eemaloleku puhul lukustamata jäetud terminalid.Samuti võidakse IT-süsteemide või rakenduste vale teeninduse puhul andmeid ko-gemata kustutada või muuta. Nii võib näiteks valesti määratud pääsuõiguse puhuljõuda konfidentsiaalne info avalikkuse ette.

311 / 781

G 3.9 IT-süsteemi väär haldus

Kui turvameetmetele ei pöörata tähelepanu või kui neist ei peeta kinni, kahjustabväär haldus IT-süsteemi turvalisust.

Väära haldusega on näiteks tegemist juhul, kui võrgule luuakse või ei takistatajuurdepääsuvõimalusi, mis ei ole IT-süsteemi käitamiseks tingimata vajalikud võimis kujutavad oma haavatavuse tõttu eriti suurt ohtu.

Sagedaseks probleemiks on see, et IT-süsteemide haldustööde tegemisekskasutatakse kasutajatunnuseid, millel on enam pääsuõigusi, kui tööde läbiviimiseks tingimata vaja oleks. Kui üks arvuti nakatub näiteks viiruse või troojahobusega, on sel administraatori pääsuõigusega tööde korral kaugeleulatuvadtagajärjed, kuna kahjurtarkvara toimib ka administraatori pääsuõigusega.

Turvaprobleemid võivad tekkida ka uue või olemasoleva tarkvara vääral paigal-damisel. Kasutussüsteemide või süsteemiprogrammide standardsel paigalduselilmnevad vaid harvadel juhtudel kõik tunnused, mis viitavad konfiguratsiooniõigsusele. Siin võib osutuda suureks riskiks puudulik sobitumine konkreetseteturvanõuetega. Väär konfiguratsioon ohustab tervet turvasüsteemi, nagu näiteksRACF z/OS all. Süsteemi paljud funktsioonid on vastastikuse mõjuga.

Eriti tuleks jälgida süsteeme, mille väär haldus mõjutab teiste süsteemidekaitset, nt ruuterid ja pääslarakendused.

Iga turvaseadistuse muudatus ja pääsuõiguste laiendamine kujutab endast po-tentsiaalset ohtu kogu süsteemi turvalisusele.

Valesti teostatud haldustegevuse põhjused võivad olla mitmesugust päritolu.Mõeldavad on siin näiteks väärkasutused, mida põhjustavad järgmised aspektid.

• Protsessidokumentatsioon puudub või on uuendamata. See ei anna admi-nistraatorile teavet vajalike turvaseadistuste käsitlemise kohta.

• IT-süsteemi kõrge tehniline keerukus toob kaasa, et administraator ei omaenam oma tegevuse mõjudest terviklikku ülevaadet. Ühe süsteemipara-meetri kohandamisel mõjutatakse muid parameetreid, mis ei pruukinud va-rem seotud olla.

• Kui IT-süsteem või selle komponendid ei ole standardiseeritud, põhjustabsee olukorra, kus süsteem reageerib administraatori seadistustele soovitust

312 / 781

erinevalt.• Kui ei kasutata nelja silma printsiipi, jääb administraatori kasutusviga esialgu

avastamata.• Tööle rakendatud administraatoritel puuduvad piisavad teadmised rakenda-

tud IT-süsteemide kasutamise kohta.• Esitatud sündmuste vale tõlgendamine toob kaasa administratiivsed tööd,

mis osutuvad lõpptulemusena vääraks. Sündmuse tegelikku põhjust seetõt-tu ei uuritagi.

Hooldus- või käitustööde läbiviimine toimub tavaliselt administratiivsete volitustealusel. Võimalikud ohud institutsiooni jaoks tulenevad siinjuures ka näiteks siis, kui

• ei peeta kinni standardsetest töökordadest (Standard Operating Procedu-res, SOP),

• tegemist on vale turvapaikade järjekorraga,• turvapaik installeeritakse ilma eelneva katsetamis- ja evitamisprotseduuri lä-

bimiseta,• ei järgita tootja ühilduvusmaatriksit.

Vastava käsiraamatu koostamine ja täiendamine on eeldus rakendatud IT-süsteemide konfiguratsiooni ja töötamise jälgitavuseks. Kui see puudub, onvõimalus, et vead avastatakse ja kõrvaldatakse viivitusega.

313 / 781

G 3.10 Failisüsteemide väär eksport Unixis

Eksporditud kettaid saab ühendada (mount) iga arvutiga, mis logib sisse failis/etc/exports või /etc/dfs/dfstab kindlaks määratud nimega. Selle arvuti kasutajasaab vastu võtta ükskõik millise UID ja GID. Kui katalooge ei ekspordita funktsioo-niga root= , on UID 0 ( root ) erandiks, mis kantakse NFS-serverisse pöördumiseltavaliselt üle mõnele teisele UID-le (nt kasutajale nobody või anonymous . Seegasaab kaitsta ainult neid faile, mis kuuluvad root ’ile.

NFS-protokollide kasutamine failisüsteemide ekspordiks ja süsteemifailide evi-tamine NIS-iga pole turvaline, sest nende jaoks ei ole olemas piisavaid turbemeet-meid. Seega ohustab nende kasutamine süsteemide terviklust.

314 / 781

G 3.11 Sendmaili väär konfiguratsioon

Sendmaili konfiguratsioonis või selle tarkvaras tehtud vead on IT-süsteemides te-kitanud mitmeid turvaauke (probleeme ussviirustega).

Näide:

• Avaldatud materjalidest on teada, et funktsioonidega u ja g seadistatudkasutaja- ja rühmatunnuseid (tavaliselt deemon) on võimalik enda valduses-se saada. Selleks tuleb e-kirja sisse tekitada mõni viga ja saatja väljale(From:) sisestada mõni toru (pipe), mille kaudu saadetakse vigane e-kiri ta-gasi. Nt kui saata e-kiri sisuga „cp /bin/sh /tmp/sh chmod oug+rsx /tmp/sh”tundmatule adressaadile ja määrata saatjaks „/bin/sh”, saadetakse e-kiri ta-gasi, mis on aga sellisel juhul sama mis lühikese kestaskripti käivitamine.Selle skripti abil luuakse kest, millel on defineeritud suid-bitt, millel on failissendmail.cf kindlaks määratud kasutaja- ja rühmatunnus.

315 / 781

G 3.12 Andmekandjate kaotamine saatmisel

Kui andmekandjaid saadetakse nõrgas pakendis (ümbrikutes vms pakendites),on oht, et andmekandjad lähevad pakendi purunemisel kaotsi, eriti kui saadetakseainult üksikuid CD-sid vms andmekandjaid. Andmekandjad võivad kaotsi minna kapostitöötajate või kullerite vigade tõttu. Näiteks kui CD pannakse koos kaaskirjagateele ümbrikus, mis on CD-st oluliselt suurem, võib ümbriku vastuvõtmisel sealsees olev CD märkamata jääda ja see võidakse koos näiliselt tühja ümbrikuga äravisata. Ka siis, kui postiga saatmisel läheb kaduma võib-olla ainult lühike kaaskiri,võib see siiski ohustada mõne ülesande õigeaegset täitmist. Kui andmekandjatelolev info on krüpteerimata, võib see kadumisel sattuda valedesse kätesse.

316 / 781

G 3.13 Väära või soovimatu andmekogumi saatmine

Info edastamisel juhtub ikka, et koos soovitud infoga edastatakse ka soovimatut,mistõttu satub valedesse kätesse teave, mis on konfidentsiaalne või mis ei oleavalikustamiseks mõeldud. See võib juhtuda andmekandjate saatmise või üle-andmise, otsese või telefonivestluse käigus toimuva infovahetuse või mõne muuandmete ülekandmise viisi puhul. Ettekavatsemata andmeedastuse võimalusedon veel väidetavalt kustutatud andmetega andmekandjate edastamine, müüminevõi väljavahetamine.

Võib juhtuda, et failide saatmiseks või muul viisil edastamiseks ettenähtudandmekandja sisaldab juba eelmistest tööprotsessidest pärit andmeid, mis eiole mõeldud vastuvõtja silmadele. Kui saatja pole andmeid varem teadlikultfüüsiliselt ära kustutanud, saab vastuvõtja neid lugeda. Kui ülekantavad andmedon veel muude, samuti kaitset vajavate andmetega samas kataloogis, tekib oht,et need kantakse andmekandjal kogemata koos üle (näiteks lihtsuse mõttes kogukataloogi kopeerimisel) ja nad satuvad ilmaaegu (loata) vastuvõtja kätte.

Sageli ei vahetata andmestikke füüsilisel andmekandjal, vaid saadetakse ot-se andmevõrkude kaudu, näiteks e-posti teel, modemühenduse, firmavõrgu võiX.400-teenuse kaudu. Keerukate aadressistruktuuride ja meililistide puhul ningmitmele aadressile saatmise korral pakuvad paljud suhtlusprogrammid võimalustkasutada lühendeid. Kui selliseid meililiste ei hallata keskselt või ei uuendata re-gulaarselt, võivad andmed sattuda lõppenud volitustega isikute aadressidele.

Tihti juhtub, et edastatavatel, müüdavatel või jäätmekäitlusse saadetavatel and-mekandjatel olev info pole täielikult kustutatud. Enamiku operatsioonisüsteemidepuhul saab tavalise kustutamiskäsu tagasi võtta või andmed vabavaralistetarkvaratööriistade abil taastada. Väidetavalt hävitatud andmeid saab lugeda jailma loata kasutada.

Ka tavaposti puhul juhtub mõnikord, et konfidentsiaalsed andmed saadetaksekogemata valele adressaadile või kiri prinditakse kogemata välja koos sisekom-mentaaridega ja pannakse seda märkamata ümbrikku. Sageli on vaja edastadadokumente, millest tuleb eemaldada ainult mõned konfidentsiaalsed andmed võinimed. Seejuures võib juhtuda, et seda ei tehta, selle tegemisel kasutatakse valemetoodikat või seda tehakse ainult osaliselt, näiteks kuna mõni lõik jääb kahesilma vahele.

Näited:

• Asutuses kasutati mahakandmisele kuuluvatel andmekandjatel olevate and-mete kustutamiseks ebasobivat tööriista, mis ei kustutanud salvestatud and-meid täielikult ja pöördumatult. Nii sai andmeid vabavaraliste programmide

317 / 781

abil taastada. IT-süsteemide ja andmekandjate müümise järel võis ostja kon-fidentsiaalseid andmeid näha ja levitada.

• Sageli kasutatakse dokumentides oleva teabe osaliselt loetamatuks tege-miseks kustutamist. Selle käigus võib aga esineda mitmesuguseid vigu.

318 / 781

G 3.14 Faksi juriidilise siduvuse ülehindamine

Kiirete otsuste tegemisel üritatakse sageli postiga saatmist vältida ja saata olulisidokumente või infot koostööpartneritele faksiga. Tihti jäetakse arvestamata, et selmeetodil saadetud dokumendid ei pruugi olla õiguslikult siduvad. Kliendid ei peasellisel juhul tellimusi vastu võtma, lubadustest ei pea kinni pidama. Kuigi faks onsaadetud õigel ajal, võidakse ametlikku tähtaega siiski ületada.

319 / 781

G 3.16 Väär pääsuõiguste haldus

Pääsuõigust IT-süsteemi ning salvestatud andmete ja IT-rakenduste juurde võibanda ainult tööülesannete täitmiseks vajalikus ulatuses. Pääsuõiguste vääral hal-damisel viib see juhul, kui vajalikke pääsuõigusi ei ole antud, käitushäireteni. Kuiaga lisaks vajalikele pääsuõigustele on antud veel ka teisi, tekitab see turvaprob-leeme.

Näide

• Pääsuõiguste väära halduse tagajärjel on ühel töötajal võimalus kasutadalogiandmeid. Mõne sissekande eesmärgipärase kustutamisega on tal nüüdvõimalik oma manipulatsioonikatseid varjata, kuna need ei kajastu enamlogiandmetes.

320 / 781

G 3.17 Arvutikasutajate väär vahetumine

Kui ühe arvutiga töötab mitu kasutajat, võib hoolimatus või mugavus viia selleni, ettöötaja vahetumisel ei logi eelmine kasutaja end korralikult välja ja uus kasutaja eilogi end nõuetekohaselt sisse. Asjaosalised põhjendavad seda tavaliselt sellega,et aeg, mis kulub IT-süsteemi taaskäivitamiseks, on väga pikk ja pole seegavastuvõetav.

Selline käitumine muudab aga võimatuks sisse- ja väljalogimisprotsessidelogimise ning halvab seega ka tõendusmaterjali kogumise. Nii pole logide põhjalenam võimalik selgelt kindlaks teha, kes kasutas arvutit mõnel kindlal kellaajal.

Näide:

• Kolm kasutajat kasutavad ühte arvutit lähetuskulude tasaarveldamiseks. Pä-rast seda, kui esimene kasutaja on end sisse loginud, ei vahetata kasutajatenam nõuetekohaselt, sest mugavusest ei viitsita end välja ja sisse logida.Probleemide korral kontrollitakse, kes mida arvutis tegi. Kuna logile toetudestöötas arvutiga ainult üks kasutaja, ei saa probleemide põhjustajat enamselgelt kindlaks teha ja on ka võimalik, et ainus sisseloginud kasutaja peabtagajärgede eest vastutama ainuisikuliselt.

321 / 781

G 3.21 Mehaaniliste koodlukkude väär kasutamine

Kogemused näitavad, et mehaaniliste koodlukkude kasutamisel tehtavad veadviivad üsna sageli selleni, et kappi ei saa enam nõuetekohaselt avada. Vead esi-nevad koodi sisestamisel, eriti sageli ka koodi muutmisel. Selleks, et kappideshoitavatele andmekandjatele või IT-seadmetele taas ligi pääseda, tuleb kasutadalukumehaaniku abi, mis tähendab, et andmekandjate käideldamatusest tekkinudkahjule lisandub ka märkimisväärne remondikulu. Halvimal juhul tuleb soetadauus kaitsekapp.

322 / 781

G 3.22 Registri väär modifitseerimine

Windowsi operatsioonisüsteemid pakuvad võimalust arvuti kasutuskeskkonda glo-baalselt või iga kasutaja jaoks individuaalselt piirata. See toimub tavaliselt süstee-misuuniste redaktori gpedit.msc või registriredaktoriga. NT-ga töötavates Window-si versioonides kasutatakse registri töötlemiseks registriredaktoreid regedt32.exeja regedit.exe ning käsurea tööriista reg.exe .

Neid programme tuleb kasutada läbimõeldult ja seda peab tegema ainult koo-litatud personal. Iga registri muutmine nõuab ülimat ettevaatust, sest sellega või-dakse süsteemis kiiresti luua olukord, mis muudab arvutiga töötamise võimatuks.Halvimal juhul tuleb operatsioonisüsteem uuesti installida või teatud riistvarakom-ponendid lähtestada (nt draiverite installimisega).

NT-ga töötavates Windowsi versioonides kaitstakse registri sissekandeid pää-suõigustega. Siiski on võimalik, et kasutaja muudab registrit lubamatul viisil kasteadlikult või kogemata seetõttu, et pääsuõigused on valesti seadistatud. Oska-matult tehtud muudatus võib süsteemi kahjustada, nii et ohtu satuvad kas arvutivõi halvimal juhul isegi kogu süsteemi turve ja/või kasutuskõlblikkus.

323 / 781

G 3.23 Andmebaasisüsteemi hooletu haldus

Kui andmebaasi haldussüsteemi (DBMS) hallatakse hooletult või valesti, võivadsellega kaasneda järgmised ohud:

• andmekadu;• (tahtlik või tahtmatu) andmete manipuleerimine;• volitamata juurdepääs konfidentsiaalsetele andmetele;• andmebaasi tervikluse kadu;• andmebaasi kokkujooksmine (crash);• andmebaasi hävimine.

Eelmainitud ohud võivad tekkida kasutajatele antud liiga suurte õiguste, eba-regulaarse või puuduva andmebaasi kontrollimise, kehtetute, kuid veel sulgematakasutajatunnuste jms tõttu.

324 / 781

G 3.24 Andmete juhuslik manipuleerimine

Mida laiaulatuslikum on kasutaja juurdepääs mõnele andmebaasile, seda suuremon andmete juhusliku manipuleerimise oht. Seda ei suuda vältida mitte ükskitarkvararakendus. Andmete juhusliku manipuleerimise põhjused võivad ollanäiteks järgmised:

• ebapiisavad või puuduvad eriteadmised;• rakenduse ebapiisav tundmine või mittetundmine;• liiga laiad pääsuõigused;• hooletus (nt töökohalt lahkumine rakendust korralikult sulgemata).

325 / 781

G 3.27 Aja väär sünkronisatsioon

Novell Netware’i 4.x versioonides suudavad mitu serverit töötada koos ühes võr-gus. Võrguteenuste veatu töö tagamiseks, nt failide kuupäeva- ja ajaandmetemääramiseks, revisjoniks ja logimiseks ning logimise ajapiiride määramiseks, onoluline, et kõikides serverites oleks sama kellaaeg. Ka kataloogipuu muudatusedsaavad Novell Netware’i 4.x versioonides ajatempli, mis näitab NDS-i värskenda-misprotsessi läbitöötamise järjekorda. Sel põhjusel on oluline, et kõikidel võrgus-olevatel Netware’i 4.x serveritel oleks ühine aeg.

Seejuures võivad esineda järgmised probleemid:

• Kui enne Netware’i 4.x serveri installimist jäetakse riistvaraline sisemine kellkontrollimata ja vajaduse korral muutmata, võib juhtuda, et uus server poleenam ülejäänud Netware’i 4.x võrguga sünkroonis ja NDS-is võib esinedavigu.

• Kui võrgus, mis kasutab aja sünkroniseerimiseks üksikviite meetodit, lakkabkell töötamast, pole võimalik ka ühtegi asendavat ajaallikat kasutada. Taga-järjeks võib olla faili- ja objektiõiguste kontrollimatu muutmine.

• NDS-i muudatused, millel on vale süsteemiaja tõttu ajatempel, mis lükkabprotsessi täitmise kaugesse tulevikku, täidetaksegi alles siis, kui see aegkunagi saabub. See võib tuua kaasa vead või probleemid, mida on vägaraske mõista või mida polegi võimalik mõista, sest ajavahemik muudatusemääramise ja elluviimise vahel on liiga pikk.

• Kui Netware’i 4.x versiooni serveriga ühendatakse raadiosidel töötav kell,aga suve- ja talveajale üleminek jäetakse korrigeerimata, muudetakse aegaühe tunni võrra rohkem kui vaja.

326 / 781

G 3.28 Võrgu aktiivkomponentide ebasobiv konfiguratsioon

Võrgukomponentide ebasobiv konfiguratsioon võib põhjustada võrgu või selleosade käideldavuse, informatsiooni konfidentsiaalsuse ja andmete terviklusekadu. Seejuures on eriti võimalik eristada järgmisi väärkonfiguratsioone:

• Võrgu aktiivkomponendid, mida kasutatakse VLAN-de (virtuaalsed LAN-id) moodustamiseks, segmenteerivad võrgu loogiliselt. Väärkonfiguratsioonikorral võib kommunikatsioon VLAN-des, üksikute või kõigi VLAN-de vahelseiskuda. Sõltuvalt tootja VLAN-strateegiast puudutab see ühelt poolt üks-teisega ühenduses olevate süsteemide jaotamist samade VLAN-de vahel,teiselt poolt ka VLAN-marsruutimist, kui võrgu aktiivkomponendid seda toe-tavad.

• Näide: VLAN-de puhul, mis saavad ühenduses olla vaid marsruuterite kau-du, jaotatakse tsentraalsed taristuserverid, mis pakuvad faili- ja trükkimis-teenuseid, mitte samaaegselt ka töökohasüsteemide VLAN-dele, ka mars-ruutereid pole olemas. Sel juhul ei saa mõned töökohasüsteemid kasutadatsentraalsete taristuserverite teenuseid, kuna need asuvad kättesaamatusosavõrgus.

• Võrku on võimalik struktureerida marsruuterite kasutamisega osavõrgumoodustamise abil. Osavõrkude vaheliseks kommunikatsiooniks on vajalikmarsruuterite vastav konfiguratsioon, mis peab juhtimisteed erinevate osa-võrkude vahel marsruutimise tabelites valmis hoidma. Marsruutimistabeleidon võimalik hallata nii staatiliselt kui ka dünaamiliselt. Mõlemal juhul ei olekommunikatsioon erinevate osavõrkude vahel võimalik, kui marsruutimista-belid ei sisalda juhtimisteed vastavate osavõrkude vahel. Väär konfigurat-sioon võib sellele vastavalt tekkida staatiliste marsruutimistabelite vigasedefineerimise või marsruutimisprotokollide väära konfigureerimise (nt RIPvõi OSPF) teel, mida kasutatakse dünaamiliste marsruutimistabelite auto-maatseks sünkroniseerimiseks.

• Näide: Marsruuter-marsruuter-ühendus on konfigureeritud vastavate IP-aadresside staatilise sissekande kaudu. Ühe marsruuteri IP-aadressi muut-misel või teise marsruuteri vahelelülitamisel ei ole see kommunikatsiooniliinenam kättesaadav.

• Võrgu aktiivkomponendid, mis on võimelised protokolle või võrguaadressefiltreerima, saavad selle tehnikaga teatud protokollide vahelist kommunikat-siooni tõkestada või kommunikatsiooni teatud võrguaadressidega süsteemi-de vahel takistada. Vastavate filtrite väära konfigureerimine võib esile kutsu-da kommunikatsiooni soovimatu tõkestamise sõltuvalt valesti konfigureeri-tud filtrist ja väärkonfiguratsiooni laadist.

• Lisaks sellele võivad valesti konfigureeritud filtrid viia selleni, et luuakseühendused, mis võimaldavad sissetungijatel rünnata IT-süsteeme kaitstudvõrgus. Olenevalt rünnaku laadist võib tulemuseks olla üksikute võrgukom-ponentide või kogu võrgu käideldavuse kadu.

• Lisaks saab ühenduskanalitega manipuleerimise teel andmepakette teiseleteele juhtida või andmepakette muuta või lugeda.

327 / 781

328 / 781

G 3.29 Ebasobiv või puuduv segmentimine

Kohtvõrke saab segmentida füüsiliselt, kasutades aktiivseid võrgukomponente, võiloogiliselt, rakendades VLAN-i konfiguratsiooni. Segmentimise käigus jaotataksevõrku ühendatud IT-süsteemid erinevateks segmentideks. Nii hajutatakse paremi-ni võrgusisest koormust ja suurendatakse võrgu hallatavust.

Samas kaasnevad sellega järgmised ohud.

• Käideldavuse kadu - kui 2. kihi segmendis on väga palju IT-süsteeme, suu-reneb selles võrgukoormus. Selle tulemusel võib võrgusegmendi käidelda-vus oluliselt väheneda ning pole välistatud ka segmendi ülekoormamine jatäielik rike. CSMA/CD-d kasutavate võrgupöördusprotokollide puhul (nt Et-hernetis) esineb lisaks tavapärasest sagedamini põrkumisi, mis vähendavadsaadaolevat ribalaiust. Sobimatu segmentimisega võib tegu olla ka siis, kui2. või 3. kihi aktiivsed võrgukomponendid eraldavad süsteeme, mis peavadüksteisega sageli suhtlema.

• Konfidentsiaalsuse ebapiisav kaitse - Konfidentsiaalsete andmete kaits-miseks tohib neile juurdepääs olla ainult sellistel kasutajatel, kes neid and-meid oma töös ilmtingimata vajavad. Seetõttu tuleb broadcast -domeenepiirata vajaliku miinimumini. Kui segmendid on ebasobivalt konfigureeritud,saavad ka teised kasutajad edastatud andmeid lugeda ja neis sisalduvatkonfidentsiaalset infot ära kasutada.

Näited

• Kaks IT-süsteemi, mille vahel toimub tihe andmevahetus, on teineteisesteraldatud marsruuteriga. Selline segmentimine ei pruugi sobida, sest and-mevahetus toimub läbi suhteliselt aeglase marsruuteri.

• Kaks IT-süsteemi, mis vahetavad teineteisega sageli paroole või muud kon-fidentsiaalset infot, on teineteisest lahutatud sillaga. Tagajärjeks on see,et mõlema segmendi andmevahetust saab pealt kuulata. Nende kahe IT-süsteemi vahelise andmevahetuse konfidentsiaalsus oleks paremini kaitstudsiis, kui kogu andmevahetus toimuks ainult ühes segmendis.

329 / 781

G 3.30 Kaugtööjaamade volitamatu kasutamine eraotstarbel

Kodus töötades on kaugtööjaama kasutamine isiklikul otstarbel küllaltki lihtne, sesttööandjal on väga vähe võimalusi seda kontrollida. Sellega kaasneb oht, et töötajavõib kasutada kontrollimata ja kasutusloata tarkvara, millega võivad kaugtööjaamasattuda arvutiviirused ja muu pahavara. Tagajärjeks võib olla näiteks konfident-siaalsete andmete kompromiteerimine. Kaugtööjaama väär kasutamine ei pruugialati toimuda töötaja, vaid ka tema pereliikmete või külaliste süül. Eriti suur kiu-satus võib tekkida lastel ja noortel, kes soovivad arvutis mänge mängida sellekseelnevalt luba küsimata. Võimalikud tagajärjed on näiteks kustutatud kõvakettadja andmete täielik kaotsiminek, uuesti installimise kulud või andmete taasloomine.

Lisaks pääseb kaugtööjaama kaudu ligi organisatsiooni kohtvõrgu mahukateleressurssidele. Kui volitamata isikud kasutavad kaugtööjaama enda tarbeks, tekibneil muu hulgas võimalus kuritarvitada ka kohtvõrgu teenuseid, nt faksilüüsi, in-ternetiühendust. Lisaks on alati oht, et arvutist võidakse varastada andmeid japrogramme.

330 / 781

G 3.31 Struktureerimata andmekorraldus

Puudulikud eeskirjad ja/või töötajate ebapiisav koolitamine võib luua olukorra, kusandmete salvestamiseks kasutatavatest andmekandjatest võib kaduda igasuguneülevaade. Selle tagajärjel võivad tekkida järgmised probleemid:

• mälumahu raiskamine andmete liigse mitmekordse salvestamise tõttu;• andmete ennatlik kustutamine või kustutamata jätmine põhjusel, et mitte

keegi enam ei tea, mis info millistes failides kajastub;• volitamata isikute juurdepääs infole, kui andmeid hoitakse kas kataloogides

või andmekandjatel, mis on kolmandatele isikutele vabalt ligipääsetavad;• ebakõlad kataloogides või IT-süsteemides hoitavates andmeversioonides.

Näide:

• Kollektiivi lisandus töötaja, kelle IT-teadmised olid nõrgad, kuid talle jäeti siis-ki selgitamata, kuidas tuleks andmeid struktureeritult salvestada. Juba mõ-ne aja möödudes tekkisid probleemid, sest töötaja salvestas kõik failid ainultpeakataloogi, ilma et oleks loonud ainsatki alamkataloogi.

331 / 781

G 3.32 Seaduste rikkumine krüptoprotseduuride kasutamisel

Krüptograafiliste toodete kasutamisel tuleb järgida erinevaid seadustest tulene-vaid raamtingimusi. Teatud riikides tohib krüptoprotseduure kasutada vaid juhul,kui selleks on taotletud luba. Seetõttu võib juhtuda, et edastades krüpteeritudandmeid riikidesse, kus kehtivad erinõuded, ei saa adressaadid neid andmeidlugeda, sest nad kas ei saa vajaminevaid krüptomooduleid kasutada või kui siiskisaavad, on oht, et neid võidakse selle eest karistada.

Paljudes riikides piiratakse oluliselt ka tugevate krüptograafiliste omadustegatoodete eksporti. Siinkohal võib eriti esile tuua USA-d. Ekspordipiirangute tõttumuudetakse seniseid väga tugevaid krüpteerimistooteid sageli kunstlikult (võtmekeerukuse kahandamise teel) nõrgemaks. Sellised kunstlikult nõrgemaks muu-detud tooted ei rahulda aga sageli isegi mitte keskmise taseme turbevajadusi.See kehtib näiteks USA-st pärit standardse arvutitarkvara, nagu brauseritekohta (SSL), kus kasutatakse lühendatud 40-bit võtmepikkust. Ekspordinõudedvõivad ka ette näha, et võtme osad tuleb anda hoiule, mille tagajärjel saabkrüptomooduleid põhimõtteliselt küll piiranguteta kasutada, kuid neile pääsevadvajaduse korral ligi ka välisriikide salateenistused.

Sellised ekspordile kehtestatud riiklikud piirangud võivad tekitada olukorra, kuskaitsmist vajavad andmed jäetakse kas krüpteerimata või krüpteeritakse nõrga-toimeliste krüpteerimistoodetega. Nii avatakse ründajatele mitte ainult uks, vaidlausa värav, ning sellega võidakse rikkuda ka mõne riigi seadusi. Rikkumine võibtekkida näiteks juhul, kui riigis on kehtestatud nõue, et isikuandmeid tuleb kaitstatugevatoimeliste krüpteerimisprotseduuridega.

332 / 781

G 3.33 Krüptomoodulite väär kasutamine

Praktikast võib tuua hulganisti näiteid selle kohta, kuidas krüptomoodulite väärkasutamine on tekitanud kahju. Väärkasutusel võivad olla näiteks järgmised taga-järjed:

• Andmed edastatakse krüpteerimata, sest eksikombel lülitatakse krüptomoo-dulis sisse avatekstirežiim.

• Krüptograafiliste võtmeosade andmesisestusvead. Valesti sisestatud and-metega võib kaasneda, et ei saatja (kes ei märganud andmesisestusviga)ega ka vastuvõtja (kellel pole mingit võimalust võtme õigsust kontrollida) eisaa vale võtmega krüpteeritud andmeid enam korrektselt dekrüpteerida.

• Poolelioleva krüpteerimisprotseduuri käigus lülitatakse välja elektritoide.Selle tagajärjel on osa andmeid krüpteeritud ja osa krüpteerimata. Võib juh-tuda, et poolikult krüpteeritud andmeid ei saa enam dekrüpteerida, sest prot-sess katkestati kontrollimatult.

• Andmesisestusvead krüpteerimisparameetrite sisestamisel. Selle tagajärjelvõib juhtuda, et krüpteerimiseks kasutatakse kas liiga nõrga toimega krüp-teerimisalgoritme või ebaturvalisi krüptograafilisi võtmeid.

• Olukorras, kus krüpteerimisvõtme genereerimisse on kaasatud ka kasutaja,st kui kasutajal palutakse sisestada juhuslikke tähti ja numbreid, võib väär-kasutus seisneda selles, et kasutaja ei sisesta tegelikult juhuslikke tähemär-ke, vaid teadaolevaid või äraarvatavaid tähekombinatsioone (sõnu).

Krüptomoodulite väärkasutus võib vähendada andmete konfidentsiaalsust, ter-viklust ja käideldavust.

Näited:

• Kuigi teatud liiki andmete konfidentsiaalsuse tagamiseks tuleks need alatikrüpteerida, jäetakse see kas tegemata või tehakse ainult harva.

• Krüpteeritud andmeid ei õnnestu enam dekrüpteerida, sest krüptomooduliväärkasutuse tõttu pole seda enam võimalik otstarbekohaselt kasutada.

• Andmed krüpteeritakse tahtmatult või ka tahtlikult sellisel moel, et krüpteeri-misprotsessi ei õnnestu enam rekonstrueerida, sest vajalik krüptograafilinevõti on kaotsi läinud.

• Korrektselt krüpteeritud andmeid muudetakse nii, et neid ei ole enam või-malik dekrüpteerida.

333 / 781

G 3.34 Võrguhaldussüsteemi ebasobiv konfiguratsioon

Võrgu- või süsteemihaldussüsteemi turvaliseks kasutamiseks on tarvis luua kõi-kides hallatavates komponentides läbivalt ühesugune konfiguratsioon. Süsteemi-komponente hallatakse küll harilikult mõne tsentraalse üksuse kaudu (nt halda-miskonsooliga), seevastu haldussüsteem ise koosneb veel ka omakorda paljudestüksikkomponentidest, mis haldavad erinevaid võrgukomponente. Sellise süstee-mi jaoks läbivalt ühtlase konfiguratsiooni loomise võib jaotada kaheks, tuginedesjärgmistele põhimõtetele:

• Kõikides süsteemikomponentides, mida haldussüsteem peab haldama (ntarvutites ja marsruuterites), peab olema loodud ühesugune konfiguratsioon.Näiteks peaks server olema konfigureeritud nii, et sellele pääseksid ligi kõikvolitatud klientsüsteemid, st ainult volitatud klientsüsteemid.

• Haldamistarkvara peab olema läbivalt ühesuguse konfiguratsiooniga.

Olukorras, kus konfiguratsioonid ei ole enam täiesti ühesugused, ükskõik kastahtmatu või tahtliku tegevuse tõttu, võivad tekkida turbeprobleemid. Näiteks võibjuhtuda, et kasutajad ei pääse enam mõnda serverisse või serveri pääsuõigusedseadistatakse liiga leebeks, mis muudab serveri üleliia avatuks (vt. G 3.38 Veadkonfigureerimisel ja kasutamisel ).

334 / 781

G 3.35 Töötava serveri elektritoite väljalülitamine

Olukorras, kus võrku hallatakse mõne haldussüsteemiga (eriti süsteemihaldusevaldkonnas), on serverite ülesanded tavapärasest keerulisemad. Nn haldusserve-rites hoitakse tavaliselt andmebaase, kus kajastub haldusinfo. Kui selliste serveriteelektritoide lülitatakse keset tööd lihtsalt välja, jäävad mälus olnud andmed faili-süsteemi salvestamata. Võib juhtuda, et järgmine kord, kui server uuesti tööle lüli-tatakse, on haldusandmete terviklus rikutud. Seetõttu kasutavad suured haldus-süsteemid enamasti nn transaktsioonimehhanismidega andmebaase, mis hoo-litsevad selle eest, et andmed taastatakse mõnes (vanas) terviklikus seisundis.Sellised mehhanismid vähendavad tervikluse kadu, kuid need ei likvideeri sedatäielikult ning on oht, et neidsamu mehhanisme võidakse ära kasutada rünneteks(kasutatakse ära mõnd vanemat konfiguratsiooni, mille pääsuõigused on vaba-mad).

Ka elektroonilises arhiveerimisprotsessis võib tekkida vigu, kui elektritoide kesettööd kas ositi või täielikult välja lülitatakse. Elektritoite väljalülitamise tagajärjelvõib juhtuda, et süsteemi väitel on vaadeldavad dokumendid küll arhiveeritud, kuidtegelikult jäi nende salvestamine kas poolikuks või neid ei salvestatud üldse, mistähendab, et selliseid dokumente ei saa enam taasesitada.

335 / 781

G 3.36 Sündmuste väär tõlgendamine

Haldussüsteemi kasutamisel on vastutava süsteemiadministraatori ülesanne ana-lüüsida ja tõlgendada haldussüsteemi teateid, et võtta seejärel sobivaid meetmeid.Reeglina põhinevad haldussüsteemi teated kontrollmehhanismidel, mida erine-vat liiki süsteemiprotokollid otsivad automaatselt teatud reeglite järgi. Seejuuresei ole süsteemiadministraatorile vastavate teadete edastamiseks vajalik süstee-mivigadele viitavate anomaaliate automatiseeritud tuvastamine paljude laekuvatelogiandmete hulgast lihtne. Lisaks sellele võib viga ka avastamata jääda. Süstee-miadministraator peab seetõttu alati kõik sissetulevad teated läbi vaatama ja neidtõlgendama, kuna teated (vigade esinemisel) põhinevad vigade sümptomitel janende (automaatsel) tõlgendamisel. Süsteemiadministraator peab olema võime-line ära tundma valehäireid ja valeteateid. Kui administraator tõlgendab süstee-miteateid valesti, võivad oletatavad korrigeerivad vastumeetmed olukorda veelgihalvendada.

336 / 781

G 3.37 Tulemusteta otsingud

Internetist võib leida lugematul hulgal infolehekülgi, dokumente ja faile. Selles to-hutult suures infohulgas ringiliikumiseks kasutatakse lihtsa hiireklõpsuga juhitavatristviitetehnoloogiat. Nii saab kiiresti teistele infolehekülgedele edasi liikuda, missisaldavad omakordi uusi viiteid järgmistele lehtedele. Ristviidete toel ühelt infole-heküljelt teisele liikumist nimetatakse surfamiseks ja see tegevus võib otsinguajadväga pikaks venitada.

Paljudes organisatsioonides on asutud kasutama internetiteenuseid, ilma etoleks konkreetselt uuritud, mis eesmärke need peaksid täitma ja millist mõju needavaldavad. Kasutajatele mõeldud koolitused ja abiteenused on sageli ebapiisavad,mistõttu venivad otsingud internetis leiduva suure infohulga tõttu sageli ebapro-duktiivselt pikaks. Tulemusteta otsingutega seotud kuludest pole sageli teadlikudei töötajad ise ega ka nende ülemused. Ettevõtlusnõustajate hinnangul kulub in-ternetis surfamisele ja ebavajalikele ning pikaksvenivatele otsingutele aastas sadumiljoneid eurosid, mida oleks võimalik personali- ja sidekulude arvelt kokku hoida.

337 / 781

G 3.38 Vead konfigureerimisel ja kasutamisel

Konfiguratsioonivead tekivad siis, kui programmide käivitamist reguleerivate para-meetrite ja valikute seadistamisel tehakse kas vigu või tehakse neid töid poolikult.Siia kuuluvad ka vead failide juurdepääsuõiguste seadistamisel. Kasutusvigade allei peeta silmas mitte üksikuid seadistusvigu, vaid IT-süsteemide või IT-rakendustevalet käsitsemist. Näiteks kuulub siia alla programmide käivitamine, mis on arvutikasutusotstarbe seisukohalt ebavajalikud, kuid mida saab ära kasutada rünnetetoimepanekuks.

Konfigureerimis- ja kasutusvigade näidetena võib välja tuua paroolide sal-vestamise sellisesse arvutisse, kus võidakse käivitada internetist alla laetudkontrollimata tarkvara, või kahjuliku ActiveX-Controlside laadimise ja käivitamise.Selliseid programme, mille ülesanne on muu hulgas veebilehtede atraktiivsemaksmuutmine, lisades neile dünaamilist sisu, käivitatakse samade volitustega, mis onkasutajal. Need võivad mis tahes faile kustutada, muuta või edasi saata. Paljudprogrammid, mis on välja töötatud avatud keskkondade tarbeks, et vahetada takis-tusteta andmeid, võivad konfigureerimisvigade tagajärjel muutuda lahendusteks,mis hakkavad andmeid edastama neile, kes kavandavad ründeid. Funktsioonfinger võib näiteks edastada infot selle kohta, kui kaua on kasutaja arvuti taga viibi-nud. Ka veebilehitsejad saadavad kõikvõimalike failipäringute korral küllaltki paljuandmeid edasi veebiserverile (nt andmed veebilehitseja versiooni ja faile edastavaIT-lahenduse operatsioonisüsteemi kohta, arvuti nimi ja internetiaadress). Siinkontekstis tuleks mainida ka küpsiseid (cookies). Tegemist on failidega, millesseveebiserverite käitajad salvestavad arvutisse andmeid arvuti kasutaja kohta.Järgmisel serverikülastusel saab serveri käitaja need andmed kokku koguda jaanalüüsida, milliseid serveril hoitavaid kodulehekülgi sellest arvutist on külastatud.

Veel üks ohuallikas on domeeninimede süsteem (domain name system,DNS). Valesti konfigureeritud DNS-server võimaldab kohtvõrgus teha väga paljupäringuid erinevate andmete kohta. Lisaks on ründe toimepanijal võimalik pärastselle serveri hõivamist hakata saatma võltsitud IP-aadresse, mis tähendab, et tasaab kontrollida kogu andmeliiklust.

Suure riskina tuleb käsitleda ka meilide ja HTML-lehekülgede automaatselt käi-vitatavat sisu (executable content). Vastavaid probleeme tuntakse mõistena con-tent security problems. Internetist laetavad failid võivad sisaldada koode, mis käi-vituvad juba üksnes „vaatamisel”, ilma et kasutajalt küsitaks nende käivitamisekohta eraldi vastust. Sellised koodid võivad olla nt Office-tüüpi failide makrod janendega seotud makroviirused. Ka erinevad programmeerimiskeeled ja –liidesed,nagu ActiveX, Javascript ja Java, mis on välja töötatud internetipõhiste raken-duste tarbeks, võivad kontrollifunktsioonide vale kasutamise tagajärjel muutudapotentsiaalseteks ohuallikateks. z/OS-operatsioonisüsteemide jaoks on määra-va tähtsusega turvasüsteemi RACF käideldavus, kuna sellest sõltub omakorda

338 / 781

terve süsteemi käideldavus. Käideldavust võib olulisel määral langetada RACF-andmebaasivarunduseks kasutatavate z/OS-utiliitide, samuti RACF-käskude eba-pädev rakendamine.

339 / 781

G 3.40 Vead VPN-ide autentimisteenuse kasutamisel

Ühenduse loomisel peab olema võimalik tuvastada nende VPN-i kasutajate iden-titeeti, kes soovivad end LAN-i sisse valida mõne Remote-Access-VPN-i kaudu.Selleks kasutatakse enamasti autentimismehhanisme, mis rakendavad salvesta-tud autentimisandmetel põhinevat kasutajahaldust. Virtuaalsetes privaatvõrkudes(VPN-ides) on kasutajaandmete salvestamiseks mitu võimalust. Kasutajaid saabhallata iseseisvalt ning haldamiseks saab kasutada ka operatsioonisüsteemi või-malusi või autentimisserverit (koos eraldi kasutajahaldusega). Juhtudel, kus VPN-ija operatsioonisüsteemi kasutajate haldamine on teineteisest lahutatud, võib töö-korralduslike vajakajäämiste tõttu tekkida olukord, kus kahe eraldi hallatava and-mebaasi sisu ei kattu omavahel. Selle tagajärjel võidakse luua keelatud ühendusija andmetele võivad ligi pääseda volitamata isikud.

Paljud VPN-klientsüsteemid lubavad kaugpöörduse puhul, et autentimiseks hä-davajalikke andmeid võib pärast seda, kui need on juba üks kord sisestatud, lo-kaalselt salvestada. Selle tulemusel pole järgmine kord, mil luuakse uuesti vas-tav ühendus, tarvis andmeid enam uuesti sisestada. Selle funktsiooniga kaasneboht, et VPN-klientsüsteemile võidakse luua volitamata juurdepääs. Sellisel juhul eitäida autentimismehhanism enam oma ülesannet. Klientsüsteemi VPN-ühendusekaudu võivad kohtvõrkudesse pääseda volitamata isikud. Kohtvõrkude turve sea-takse sellega suurde ohtu.

Näide

• Töötaja lahkub töölt, kuid VPN-i kasutajate haldussüsteemis jäetakse temakasutajakonto kustutamata. Selle tagajärjel saab endine töötaja end omaVPN-juurdepääsuga endiselt võrku sisse valida ja kasutada kõiki vabalt ligi-pääsetavaid andmeid. Selliseid pääsuvõimalusi võidakse ära kasutada kuri-tahtlike rünnete toimepanekuks.

340 / 781

G 3.41 VPN-teenuste väär kasutamine

VPN-i ja sellega seonduva kasutamisel põhjustab teadmatus ja (sageli ettekavat-semata) vale käitumine vigu, mis viivad turbeprobleemideni, nt turvapoliitika rik-kumiseni ja turvet pärssivate konfiguratsioonideni. Eriti suur on see oht siis, kuikasutajaid ei ole piisavalt koolitatud.

VPN-klientsüsteemi tarkvara installitakse tihti nii statsionaarsetesse kui kamobiilsetesse IT-süsteemidesse, mille kasutusotstarve on palju laiem kui ainultLAN-i pääsemine. Juhtudel, kus VPN-ühendus luuakse läbi interneti, kasutatakseneid süsteeme sageli ka internetis surfamiseks ja meilide jaoks. Võib juhtuda, etnende ühenduste abil püütakse siseneda ka võõrastesse võrkudesse, nt firmatöötaja siseneb oma mobiilse VPN-klientsüsteemiga tööülesannete täitmisekskliendi võrku. Sellega võivad kaasneda järgmised turbeprobleemid:

• Keelatud ühenduste loomisega (loomise katsetega) koormatakse liigseltsüsteemi, sest süsteem peab kontrollima, kas ühendust tohib lubada võimitte. Niimoodi hõivatakse süsteemi ressursid. Väärkonfiguratsioonide mõ-jul võib tekkida ka olukord, kus volitamata pöördused lastakse siiski läbi.

• VPN-klientsüsteeme saab muu hulgas kasutada internetti pääsemiseks.Olukorras, kus internetti sisenemise jaoks ei ole võetud spetsiaalseid tur-bemeetmeid, võib juhtuda, et klientsüsteemi arvutile pääseb väljast otse li-gi. Ründaja võib sellise võimaluse korral näiteks proovida, kas tal õnnestubandmete krüpteerimine välja lülitada või kas ta saab muuta VPN-i konfigu-ratsiooni nii, et VPN-andmeside muutuks ebaturvaliseks. Internetist allalaa-ditud tarkvara, mis salvestatakse VPN-klientsüsteemi, võib sisaldada kahju-likku koodi, nt viiruseid või Trooja hobuseid.

• Võõrad LAN-id, nt klientide võrgud, ja isiklikud koduvõrgud on enamasti veelomakorda ühendatud teiste võrkudega, nt internetiga. Olukorras, kus VPN-klientsüsteem logib end sisse võõrasse võrku, võib ta olenevalt sellest, milli-sed turbenõuded selle LAN-i haldamisel kehtivad, muutuda ise teistele täies-ti kontrollimatult ligipääsetavaks (vt ka G 5.39 Sissetung arvutitesse modemikaudu ).

Näide

• Töölähetusel viibides loob töötaja interneti kaudu ühenduse firmavõrguga.Enne VPN-ühenduse loomist laadib ta ühelt veebiserverilt alla vajaliku käi-tusfaili. Peale vajaminevate funktsioonide sisaldab allalaaditud fail aga kakahjulikku koodi, mis püüab muuta VPN-i konfiguratsiooni turbemehhanis-me (nt püüab välja lülitada krüpteerimist). Selle tulemusel saavad olukorras,kus luuakse VPN-ühendus, volitamata isikud pääseda ligi firmavõrgus hoi-tavatele andmetele.

341 / 781

G 3.42 VPN-klientsüsteemide kaugpöörduse ebaturvalinekonfiguratsioon

Virtuaalse privaatvõrgu (VPN-i) turve oleneb ühelt poolt suuresti VPN-serverija VPN-klientsüsteemide turvalisest konfiguratsioonist, kuid teiselt poolt ka saa-daolevate turbemehhanismide nõuetekohasest rakendamisest.

Kui serveri konfiguratsiooni eest vastutab täienisti administraator, kasutataksekaugpöörduse VPN-ide jaoks enamasti selliseid klientsüsteeme, mis asuvad väl-jaspool ametiasutust või ettevõtet. Nii on võimalik klientsüsteeme ainult väheselmääral haldamisprotsessi kaasata. Eriti neil juhtudel, kus kasutatakse mobiilseidVPN-klientsüsteeme, on kasutajatele antud ka teatud administratiivsed õigused,mis lubavad neil VPN-juurdepääsuga tekkivaid probleeme kas iseseisvalt lahen-dada, muutes lihtsalt VPN-i konfiguratsiooni parameetreid, või helistada, et abisaada.

Väga sageli on oht, et süsteemi administreerimise ebapiisavate kontrollivõima-luste tõttu võivad VPN-klientsüsteemides tekkida ebaturvalised konfiguratsioonid,näiteks:

• Probleeme võib tekitada olukord, kus kasutajad installivad VPN-klientsüsteemi keelatud tarkvara, mis sisaldab turvaauke, mille kaudu võivadomakorda süsteemi sisse imbuda arvutiviirused ja Trooja hobused.

• Paljudel juhtudel jätavad kasutajad VPN-pääsu olemasolevad turbemehha-nismid seadistamata või teevad seadistuses vigu.

Virtuaalset privaatvõrku (VPN-i) (klientsüsteemi ja/või serverit) on enamasti või-malik konfigureerida nii, et kasutusele võetakse kas nõrgad turbemehhanismid võiturbemehhanisme ei kasutata üldse. Andmete krüpteerimiseks kasutatav mehha-nism lepitakse näiteks IPSeci või SSL-i puhul klientsüsteemi ja serveri vahel kok-ku dünaamiliselt. Kokkuleppe käigus edastab klientsüsteem serverile oma loete-lu protseduuridest, mida ta suudab kasutada (nn chipher-suites ), ja server valibnende hulgast mõne välja. Valikusse kaasatavaid protseduure on võimalik konfi-guratsiooniga muuta. Sageli on olemas ka valik „krüpteerimiseta”.

Kui konfiguratsioonis krüpteerimata ühenduste loomist ei keelata, on oht,et andmeid võidakse edastada ka krüpteerimata. See puudutab eriti neidVPN-klientsüsteeme, mille puhul kasutajatel on võimalik VPN-i konfiguratsiooniprobleemide korral ise muuta.

Näide

• Institutsioon kehtestas reegli, et VPN-andmeside turbeks tuleb kasutada IP-Seci. VPN-serveri konfiguratsioon on seadistatud nii, et server küll nõuabIPSec tüüpi krüpteerimist, kuid ei käsitle seda ainuvõimalusena. Seetõttu onvõimalik, et VPN-klientsüsteemid saavad luua turbeta ühendusi. Töötajale,kes kasutab vanemat sülearvutit, pole krüpteerimisest tingitud jõudluse vä-henemine vastuvõetav. Seetõttu lülitab ta IPSec-krüpteerimise välja. Seegaluuakse VPN-ühendused krüpteerimata.

342 / 781

G 3.43 Puudulik paroolihooldus

Isegi kõige paremini läbimõeldud autentimisprotseduuride rakendamisest onvähe kasu, kui töötajad käivad oma pääsudega lohakalt ümber. Ükskõik, kasjuurdepääsu võimaldamiseks rakendatakse paroole, PIN-koode või andmekand-jaid, juhtub ikka ja jälle, et neid antakse edasi teistele või hoitakse ebaturvalisteskohtades.

Kasutajad annavad sageli oma paroole teistele edasi puhtalt mugavusest. Pa-roole jagatakse omavahel tihti näiteks töörühmade raames, et võimaldada kol-leegidele lihtsamat juurdepääsu ühiselt töödeldavatele andmetele. Paroolide ka-sutamise kohustust peetakse sageli tüütuks ning sellest püütakse mööda hiilidanäiteks sellega, et paroole vahetatakse kas väga harva või ei vahetata üldse, ningsellega, et kõik töötajad kasutavad üht ja sama parooli.

Juhul kui kasutajate autentimiseks rakendatakse andmekandjaid (nt kiipkaar-te või ühekordsete paroolide genereerijaid), tekib andmekandja kadumisel oht, etseda võidakse kasutada volitamata. Volitusteta kasutaja võib vastava andmekand-jaga luua ühenduse kaugpöörduseks.

Olukorras, kus korraga on kasutusel on suur hulk paroole ja PIN-koode, võibkõikide nende meelespidamine osutuda keeruliseks. Seetõttu lähevad paroolid ka-sutajatel sageli meelest ning olenevalt olukorrast võib see tekitada tõsiseid prob-leeme, mis segavad süsteemi kasutamist. Ka volitustõendid (token) võivad kaotsiminna. Äärmiselt turvaliste IT-süsteemide puhul võib paroolide või andmekandjatekaotamine viia selleni, et kaduma lähevad kõik kasutajaandmed.

Paroolid kirjutatakse sageli üles, et neid ära ei unustataks. Kui neid märkmeidhoitakse turvaliselt, st volitamata isikute eest kaitstud kohas, ei kaasne nendegaüldjuhul ka probleeme. Kahjuks on sageli teisiti. Klassikalised kohad, kus paroolehoitakse, on panipaik klaviatuuri all või siis monitori külge kleebitud märkmepaber.

Ka autentimiseks kasutatavad andmekandjad peidetakse sageli just klaviatuurialla. Unustamise vältimiseks kasutatakse ka sellist võtet, et valitakse enda jaoks„õige” parool. Juhul kui töötajaid saavad ise endale paroole valida ja neid ei olepiisavalt triviaalsete paroolidega seotud ohtudest teavitatud, valitakse endale pa-rooliks kas ülilihtsaid numbrikombinatsioone või sõprade ja sõbrannade nimesid.

Näited:

• Ettevõttes toimunud pisteliste kontrollidega tehti kindlaks, et paljud töötajatevalitud paroolid polnud nõuetekohased või neid vahetati liiga harva. Tehnilis-te lahendustega muudeti töötajatele paroolide igakuine muutmine kohustus-likuks, lisaks kehtestati reegel, et paroolid peavad lisaks tähtedele sisalda-ma ka numbreid ja erimärke. Tulemusena selgus, et administraator kasutasoma paroolide valimisel kuu + aasta põhimõtet (jaanuar2009, veebruar2009,marts2009). Need paroolid vastavad küll formaalselt nõuetele, kuid neid onlihtne ära arvata.

343 / 781

• Ametiasutuses, mille büroode aknad olid kõik vaatega ühe tänava poole,valisid paljud töötajad endale sarnase parooli: üle tänava asuva hotelli nime,mille suur valgusreklaam säras kõigile vastu.

344 / 781

G 3.44 Teabe hooletu kasutamine

Sageli võib kohata olukordi, kus institutsioonis on küll kasutusele võetud mitmeidorganisatsioonilisi ja tehnilist laadi turbemeetmeid, aga need ei toimi efektiivselt,sest töötajad käivad nii ettekirjutuste kui ka tehnoloogiliste lahendustega hooletultümber. Tüüpiline sellekohane näide on monitoride külge kleebitud sedelid, kustvõib peaaegu sõna-sõnalt välja lugeda juurdepääsuks vajaliku parooli. Konfident-siaalse infoga ümberkäimise kohta leidub suur hulk teisigi hooletuse, kohustustetäitmata jätmise ja isegi rumalusega seotud näiteid.

Näited:

• Pealtkuuljad – rongis sõites või restoranis einestades avaldavad inimesedmobiiltelefonidega rääkides oma ettevõtte kohta mõnikord isegi kõige sala-jasemaid detaile. Sellistes situatsioonides ei informeeri nad aga mitte ainultoma vestluspartnerit, vaid ka oma lähiümbrust. Näidetena huvitava sisein-fo kohta võib näiteks nimetada, miks ei õnnestunud mõne firmaga lepingutsõlmida või mitu miljonit läks maksma strateegiaosakonna tehtud planeeri-misviga ja millist negatiivset mõju võib see avaldada ettevõtte aktsiakursile,kui keegi sellest teada saaks.

• Vargad – sageli tuleb töölähetustele kaasa võtta sülearvuti, elektroonilinemärkmik või muu mobiilne andmekandja. Alati tuleb tähele panna, et neid eijäetaks pauside ajal järelevalveta koosolekuruumi, rongi kupeesse või auto-sse. Mobiilsete IT-süsteemidega loodud andmeid ei ole sageli kusagile mu-jale varundatud. Kui IT-süsteemid varastatakse, kaovad ka andmed. Lisakson strateegilist teavet võimalik tulusalt edasi müüa, kui varas pääseb selle-le puuduva krüpteeringu või mitteküllaldase juurdepääsukaitse tõttu lihtsaltligi.

• Pealtlugejad – üks põhjus, miks sülearvutit või kaustu töölähetusele kaasavõetakse, on soov sõiduaega võimalikult tulemuslikult ära kasutada. Selle-ga annavad töötajad oma kaassõitjatele võimaluse näha oma töödokumen-te, sest nii rongis kui ka lennukis on peaaegu võimatu kaitsta pabereid võiarvutiekraani kõrvalistuja uudishimuliku pilgu eest. Avalikud kohad, nt hotel-lide fuajeed, ärikeskused ja reisirongide kupeed, on võõraste pilkude eestenamasti vähe kaitstud. Kui kasutaja sisestab oma parooli või on sunni-tud muutma konfiguratsiooni, saab ründe toimepanija ilma suurema vaevataoma käsutusse info, mida tal on võimalik kurjasti ära kasutada.

• Sageli avaldatakse lehtedes artikleid selle kohta, kuidas ühe või teise asu-tuse või ettevõtte tagahoovis asuvast vanapaberikonteinerist tulid päeva-valgele konfidentsiaalsed dokumendid. Sellisel moel on ilmsiks tulnud näi-teks ettevõtete kõikide töötajate palganumbrid ja juhatuse liikmete salajasedtelefoninumbrid.

• Seadmeosade väljavahetamine parandustööde käigus – olukordades, kusIT-süsteemides tekivad vead, viiakse seadmed kiiresti parandusse. Sagelipole andmeid defektsest IT-süsteemist enam võimalik turvaliselt kustutada.Kahju tekkimise korral on aga sageli prioriteediks hoopis see, et seade või-malikult kiiresti jälle töökorda saada. Seetõttu pakutaksegi teenuseid, millepuhul defektsed seadmeosad vahetatakse lihtsalt uute vastu välja ja klient

345 / 781

lahkub klienditeenindusest juba töötava seadmega. Tuleks aga arvestadaseda, et on olnud mitmeid juhtumeid, kus klienditeenindusel on õnnestunudalgne viga lisakontrolli käigus siiski üles leida ja kõrvaldada, mille tagajär-jel on järgmine klient, kes teenindusest oma parandatud seadmega lahkus,saanud kaasa ka kõik eelmise kliendi käsutuses olnud andmed.

346 / 781

G 3.45 Sidepartnerite puudulik autentimine

Isiklikes telefonivestlustes ja meilides on paljud inimesed sageli valmis detailse-mat infot avaldama, kui nad seda muidu kirjalikult või suurema hulga kuulajateees teeksid. Tihti eeldatakse sidepartnerilt vaikimisi seda, et teine pool käsitleksvestluses kuuldut ja meilist loetut konfidentsiaalse teabena. Lisaks tavatsetaksemitte kahelda sidepartneri identiteedis, sest seda peetakse ebaviisakaks. Samakehtib ka lisaküsimuste esitamise kohta, et selgitada välja näiteks kõne põhjus võiisik, kes andis käsu helistada („Tere, helistan Teile XY-pangast ja mul oleks vajaveidi täpsustada infot teie sissetulekute kohta”). Sellist käitumist kasutatakse kainimestega manipuleerivateks rünneteks (vt ka G 5.42 Inimestega manipuleerimi-ne (Social Engineering) ).

Näide

• Teada on mitmeid juhtumeid, mille korral ajakirjanikud helistasid prominen-tidele ja esitlesid end teise prominendina. Nii õnnestus neil meelitada neiltvälja ütlusi, mis ei olnud mõeldud avalikkusele. See oli eriti riskantne ühesraadio otseülekandes, mille korral ei saanud enam ka avaldamist tühistada.

347 / 781

G 3.46 Lotus Notes Serveri väär konfiguratsioon

Üks peamisi põhjusi, miks ründed võivad osutuda edukaks, on tarkvarasüsteemi-de väär konfiguratsioon. Kuna Notes-server on küllaltki keeruline, on siinkohaloht, et Notes-süsteem pannakse väära konfiguratsiooni tõttu tööle seisundis,mille turve ei vasta kehtestatud nõuetele. Turvet võib ohustada ka konfigureeri-misvõimaluste rohkus ja asjaolu, et erinevate parameetrite seadistamisel võibolla suur vastastikune mõju. Järgnevalt esitatakse mõned näited tüüpilistestkonfiguratsioonivigadest:

• Piiranguteta juurdepääs serverile. Baasseadistuse kohaselt võib põhimõt-teliselt igaüks soovi korral Notes-serverisse siseneda. Kui serveri pääsuõi-gustes ei kehtestata piiranguid, jääb esimene võimalik turbemeede kasuta-mata. Turbeprobleemid tekivad eriti neil juhtudel, kui ka juurdepääs teisteleteenustele ja andmebaasidele on samuti kaitstud kas ainult nõrkade või vi-gaste pääsuõigustega.

• Vigased pääsuloendid (Access Control List, ACL) või ebaturvalised stan-dardsed ACL-id. Igas andmebaasis luuakse selle juurutamise käigus (and-mebaasi mallide põhjal) pääsuloend, milles on standardsed sissekanded.Kasutatavad mallid ei paku tavarežiimis käitatavale andmebaasile piisavatturvet. See kehtib eriti neil juhtudel, kus andmebaasi on tarvis pärast juuru-tamist kas kohe lähtestada või edasi konfigureerida. Konfigureerimiseks ontarvis laialdasi volitusi, kuid igapäevaseks käitamiseks on need liigsed. Olu-korras, kus standardseid pääsuloendeid pärast konfigureerimist ei muudeta,võib juhtuda, et andmebaasile pääsevad ligi volitamata isikud või et volitatudkasutajad saavad endale liiga suured õigused.

• Krüpteerimist ei rakendata. Võrgu andmeside krüpteerimine (portide krüp-teerimine) ja andmebaaside või andmebaasiväljade krüpteerimine on stan-dardseadistuses enamasti välja lülitatud. Krüpteerimisfunktsiooni kasuta-miseks tuleb see eraldi sisse lülitada. Kui see unustatakse, jäävad andmedkaitseta.

• Ebapiisavad volitused serverite või haldamisprotsesside kasutamiseks.Notes-andmebaasi nõuetekohane toimimine eeldab seda, et andmebaasipeab saama mõnest eraldiseisvast serverist hallata ja hooldada. Serverihaldamis- ja hooldamisfunktsioonide hulka kuulub muu hulgas ka võimalusandmebaasist loodud koopiaid (andmeid, pääsuloendeid jms) värskendada.Kui serverile, millega neid töid soovitakse teha, pole antud piisavaid volitusi,ei saa haldamisega seotud ülesandeid täita. Selle tagajärjel võivad tekki-da turbeprobleemid, nt seetõttu, et pääsuõigustes tehtud muudatusi ei saaandmebaasist tehtud koopiatesse sisse viia.

• Cross -sertifikaatide lubamine. Sertifikaatide hierarhia kohta (kui ühist ser-tifitseerimisüksust ei kasutata) on võimalik sisestada andmeid, mis ka-jastavad sertifikaatidevahelisi usaldussuhteid. Seda protsessi nimetataksecross -sertifitseerimiseks (võõraste sertifikaatide tunnustamine). Cross -sertifikaate on sageli võimalik koostada automaatselt, olukorras, kus „avas-tatakse” mõni seni tundmatu sertifikaat. See kehtib nii Notesi kui ka volita-mata X.509-tüüpi sertifikaatide kohta. Cross -sertifikaate saavad kasutajad

348 / 781

väga lihtsalt ka oma lokaalses aadressiraamatus ise luua. Seevastu NABcross -sertifikaate saab luua ainult volitatud administraator. Olukorras, kussertifikaadid liigitatakse liiga kergekäeliselt usaldusväärseks, võivad tekkidaturbeprobleemid (nt aktiivsisu käsitletakse pärast seda toimingut kui usal-dusväärse sertifikaadiga allkirjastatud materjali).

Loetletud probleemid puudutasid väära konfiguratsiooniga kaasnevaid ohte.Olenevalt kasutusvaldkonnast võivad neile lisanduda ka teistsugused ohud.

Näide

• Server on konfigureeritud selliselt, et anonüümseid juurdepääse ei lubata.Veebiliideses on võimalik luua vaid SSL-iga kaitstud ühendusi. Seega ei loo-da andmebaasi ACL-ide konfiguratsioonis sissekannet anonymous . Vee-bipääsu puhul ei muuda süsteem SSL-i rakendamist kohustuslikuks, sestveebiliidese kaudu võtab süsteem vastu ainult SSL-iga turvatud ühendusi.Andmebaasimallide default -volitusi ei muudetud, sest sooviti vähendadamallide muutmisega kaasnevat haldamistööde mahtu. Kui kasutusele võe-takse uus andmebaas, mis sisaldab avalikku infot, konfigureeritakse ser-ver selliselt, et selle andmebaasi jaoks lubatakse vaid tavalisi veebipöördusi(anonymous -tüüpi, SSL-i kaitseta). Nüüdsest on võimalik kõikidele nendeleserveriandmebaasidele ligi pääseda anonüümselt, mille puhul kehtivad de-fault -volitused, mis annavad enamasti vähemalt lugemisõiguse. Nii luuakseolukord, kus volitamata isikutel on võimalik konfidentsiaalseid andmeid kasnäha või nendega manipuleerida.

349 / 781

G 3.48 Windowsiga töötavate IT-süsteemide väär konfiguratsioon

Windowsi klientsüsteemid ja serverite operatsioonisüsteemid on keerulise üles-ehitusega ning nende turve oleneb erinevate turbeparameetrite seadistamisest.Seega võib üksiku või mitme süsteemikomponendi väär konfiguratsioon endagakaasa tuua turbeprobleeme, mis võivad ulatuda tõrgetest süsteemide töös kunitervete võrkude kompromiteerimiseni.

• Valesti konfigureeritud EFS (nt kui lokaalsete kasutajakontode rakendamiselon syskey -programmi jaoks kasutajatunnus sisse lülitamata) võib luua olu-korra, kus EFS-krüpteerimisest on võimalik mööda hiilida, nt kui ründajal onarvutile füüsiline juurdepääs.

• Vahetatavate andmekandjate väär konfiguratsioon võib luua olukorra, kuskasutajad saavad andmekandjatelt, nt USB-mälupulkadelt või CD-delt/DVD-delt, andmeid mitte ainult lugeda, vaid ka neile kirjutada, mis on ohtlik, sestnii võivad kasutajad andmeid endaga ka volitamatult kaasa viia.

• Kui Bitlocker on konfigureeritud põhirežiimis (TPM-iga Bitlocker), käivitubsüsteem kuni Windowsi logimisaknani. Et operatsioonisüsteemi laadimisekstuleb krüpteeritud maht dekrüpteerida, võib ründe toimepanija, kellel on ar-vutile füüsiline juurdepääs, pääseda selles konfiguratsioonis juurde konfi-dentsiaalsetele andmetele.

• Windows 8 pakub Bitlocker-krüpteeringu juurutamisega vaikimisi võimalustvarundada Bitlocker’i taastevõti otse Microsofti konto kaudu. Kui valitaksesee konfiguratsioon, avanevad uued krüpteeringu ründamise võimalusedandmete väljauurimisega pilvteenuse osutaja juures.

Operatsioonisüsteemi konfiguratsiooni kõrval võib turbeprobleeme tekitada kasee, kui väär konfiguratsioon on seotud süsteemi tööks tähtsate teenustega naguDNS, WINS, DHCP, RAS või IPSec. Kui ründajal õnnestub mõnda neist kompro-miteerida, ohustab see kogu võrgusüsteemi turvalisust.

350 / 781

G 3.49 Active Directory väär konfiguratsioon

Windowsi serverite operatsioonisüsteemid lubavad alates versioonist Windows2000 Server haldamisega seotud volitusi teatud liiki kasutajatele delegeerida jaseda ka Active Directory osade kaupa. Delegeerimiseks tuleb Active Directorysiga konkreetse kasutaja jaoks kindlaks määrata üksikasjalikud volitused.

Kuna volituste andmise protsess on Active Directorys väga keeruline (nt seetõt-tu, et erinevate objektitüüpide kohta tuleb anda suur hulk spetsiifilisi üksikvolitusivõi et volituste toimimist mõjutavad ka nende pärimismehhanismid), võivad sellelolla järgmised tagajärjed.

• Administraatorid võivad saada juurdepääsu sellistele Active Directory vald-kondadele, mille haldamiseks neil ei ole volitusi.

• Active Directory teatud valdkonnad võivad jääda ilma vajalikust kaitsest, mil-le tagajärjel on võimalik igal kasutajal nendele andmetele juurde pääseda.

Active Directory pääsuõiguste väär konfiguratsioon suurendab volitamata juur-depääsude ohtu eriti seetõttu, et Active Directorysse pääsemiseks on kasutuselerinevad liidesed, nt Active Directory Service Interfaces (ADSI) ja LDAP.

Kui domeenide vahel seatakse sisse usaldussuhted, saavad ühe domeeni kasu-tajad ligi pääseda ka teise domeeni ressurssidele. Seetõttu võib domeenidevahe-liste usaldussuhete ebapiisav planeerimine tekitada olukorra, kus mõne domeenipääsuõigused osutuvad lubatust suuremaks.

Eriti kriitilised tagajärjed võivad olla toimingutel, mis puudutavad Active Direc-tory andmebaasistruktuuri muutmist:

• Active Directory skeemis tehtavad muudatused võivad viia selleni, et Win-dowsi süsteem ei suuda enam kasutada neid tarkvarapakette, mida ta peabkasutama ühiselt Active Directoryga. Kuna mõningaid skeemimuudatusi po-le võimalik taastada, võib tekkida olukord, kus vigade parandamiseks tulebkogu süsteem uuesti üles ehitada.

• Isikuandmetega seotud andmete sisestamisel Active Directory kataloogiGlobal Catalog on oht, et need andmed muutuvad kättesaadavaks rohke-matele inimestele kui nende tegelikud adressaadid.

Näide

• Ettevõte sisestab oma sisekasutuse telefoninumbrid Active Directorysse.Isegi siis, kui selle ettevõtte arvutid moodustavad Active Directory kataloo-gipuus kokku ainult ühe domeeni, muutuvad olukorras, kus sisekasutuseksmõeldud telefoninumbrid liidetakse kataloogiga Global Catalog, need numb-rid kättesaadavaks kõikidele Active Directory kataloogipuu domeenidele.

Selleks, et Active Directory konfiguratsiooni turve oleks tagatud ka jooksva ka-sutamise käigus, tuleb turvet puudutavaid konfiguratsioonimuudatusi mitte ainulthästi planeerida, vaid need tuleb ka korralikult dokumenteerida. Kui domeenikont-rollereid käitatakse nii, et nende tööd ei logita piisavalt, tekib oht, et volitamataturbealased konfiguratsioonimuudatused jäävad tähelepanuta ja seetõttu ka õigelajal kõrvaldamata.

351 / 781

G 3.50 Novell eDirectory väär konfiguratsioon

Tarkvara väär konfiguratsioon on üks sagedasemaid põhjusi, miks ründed osutu-vad edukaks. eDirectory keerukus ja selle suur hulk seadistatavaid parameetreidvõib tekitada soovimatuid kõrvalmõjusid ja põhjustada turbeprobleeme.

Väärkonfiguratsioonid võivad puudutada järgmisi valdkondi:

• puustruktuuri koostamine ja defineerimine;• sertifikaadiserveri konfigureerimine;• järeleaimatavate objektide sisseseadmine;• pääsumehhanismide konfiguratsioon;• pääsuõiguste andmine (vt G 3.51 Novell eDirectory pääsuõiguste väär and-

mine );• intraneti klientsüsteemi kataloogipääsu konfiguratsioon (vt G 3.29 Ebasobiv

või puuduv segmentimine );• eDirectory LDAP-juurdepääs (vt G 3.53 Novell eDirectoryt kasutava LDAP-

pöörduse väär konfiguratsioon );• kataloogiandmebaasi partitsioonide loomise konfiguratsioon;• eDirectory replikeerimise konfiguratsioon;• eDirectory salvestatavate sündmuste konfiguratsioon;• reaalajas toimiva teavitamismehhanismi konfiguratsioon;• veebipõhise kaugseirerakenduse iMonitor konfiguratsioon;• automaatse backup -mehhanismi konfiguratsioon

Süsteemi konfiguratsioon peab vastama turbepoliitikaga kehtestatud nõuetele.Väära konfiguratsiooni puhul tekib oht, et turbepoliitikat rakendatakse ainult vali-kuliselt ning seetõttu ei täideta seatud turbe-eesmärke.

eDirectory võimaldab kataloogisüsteemi konfigureerida selliselt, et haldamisegaseotud ülesanded jaotatakse erinevate rollide vahel, samuti on võimalik administ-raatoriõigusi delegeerida. Selle funktsiooni väära konfiguratsiooni korral võib juh-tuda, et tekivad märkimisväärsed probleemid seoses lubamatute süsteemipöör-dustega. Lisaks on oht, et haldamisprotsess ei toimi enam nõuetekohaselt.

Järgnev loetelu annab ülevaate Novell eDirectory väära konfiguratsioonivõimalikest turvet puudutavatest tagajärgedest:

• süsteemi jaoks valitakse välja liiga nõrga toimega autentimismehhanismid;• kataloogiteenuse objektide väärad pääsuõigused;• administraatoriliidese volitamatud süsteemipöördused;• süsteemi vähene kaitstus rünnete vastu;• süsteemi haldamisvõimaluste blokeerimine;• vigane või liiga aeglane kataloogiandmebaaside vaheline replikeerimine;• turbepoliitika ebajärjepidev rakendamine.

352 / 781

G 3.51 Novell eDirectory pääsuõiguste väär andmine

Kuna eDirectory sisaldab suurt hulka tundlikke andmeid süsteemi kasutajate jaressursside kohta ning kuna sellel on ka väga tihe seos operatsioonisüsteemiga,tuleks eDirectory pääsuõiguste jagamisel olla võimalikult hoolikas.

eDirectory objektide pääsuõigused määratakse kindlaks pääsuloendites(Access Control Lists, ACL). Tuleb arvestada, et pääsuõigusi antakse nii eDirec-tory objektile kui ka selle atribuutidele.

Objekti kasutamiseks saab anda järgmisi õigusi (privileege): Browse, Create,Delete, Rename ja Supervisor. Seevastu atribuudi kasutamiseks saab andajärgmisi: Compare, Read, Add or Delete Self, Write, Supervisor ja InheritanceControl. Õigust Compare käsitletakse siinkohal Read-õiguse ühe osana, st kuiRead-õigus on välja antud, kaasneb sellega automaatselt ka Compare-funktsioonikasutamise õigus.

• Pääsuloendid on eDirectory objektide atribuudid (properties). eDirectory ob-jektide pääsuõigused pärandatakse standardseadistuse järgi puustruktuurihierarhias edasi isalt-lapsele-põhimõtte alusel. Vältimaks pärimismehhanis-mi ebakõlasid, mis võivad ette tulla eDirectory kataloogi partitsioonide loo-mise tõttu, lisatakse partitsiooni juurobjektile inherited ACL. Pärimismehha-nismi saab mõjutada nn maskide või pärimisfiltritega (Inherited Rights Fil-ter).

• Atribuutidele antavaid pääsuõigusi tavaliselt pärimishierarhia standardsetemehhanismidega edasi ei pärandata. Sellele vaatamata on pärimist võima-lik konfigureerida atribuudiõigusega Inheritance Control. Sellega saab kont-rollida ka ülimalt kriitilise Self-õiguse kasutamist.

• Väga selgesti saab pääsuõigusi anda nn usaldusisiku (trustee) korraldus-tena. Selleks kantakse eDirectory objektide (kasutajate, kasutajagruppide,teenuste, rakenduste, serverite jt) pääsuõigused (privileegid) otse sihtobjek-ti pääsuloendisse (ACL).

• Pääsuõigusi saab anda ka kaudselt, nn Security - ekvivalentidega. Näide:sihtobjekt X saab (vähemalt) samasugused pääsuõigused nagu sihtobjektY, st objekti Y usaldusisikud (trustees) muutuvad automaatselt ka objekti Xusaldusisikuteks. Ka seda konfigureeritakse objekti X ACL-sissekandena.

Konkreetse eDirectory pöörduse korral arvutatakse alati välja nn efektiivsed õi-gused, st ülalkirjeldatud konfiguratsioonide tulemus.

Kuna eDirectory pääsuõiguste konfigureerimise võimalused on väga laiad, tekiboht, et välja antakse kas ebaühtlase või väära konfiguratsiooniga pääsuõigused.Kui eDirectory jaoks on välja antud valed pääsuõigused, ohustavad need märki-misväärselt kogu süsteemi turvet. Ohustatud on eelkõige andmete konfidentsiaal-sus ja terviklus, aga võimalikud on ka tagauksed, mis võimaldavad laialdasi rün-deid süsteemi vastu.Üks küllaltki kriitiline valdkond on ka administraatoriõiguste andmine. Pääsuõigus-te andmisega võimaldab eDirectory rakendada rollipõhist administreerimist ja lu-bab administraatorite tööülesannete täitmist ka delegeerida. Kui need õigused an-takse välja valesti, seab see ohtu kogu haldamiskontseptsiooni toimimise, sestvead võivad kataloogisüsteemi haldamise ka täielikult blokeerida.

353 / 781

G 3.52 Novell eDirectoryt kasutava intranet-klientsüsteemi pöörduseväär konfiguratsioon

Kui organisatsioon soovib eDirectory kataloogiteenust kasutada intraneti kesk-konnas, läheb selleks tarvis asjakohast klientsüsteemitarkvara. Erinevateoperatsioonisüsteemide jaoks on olemas järgmised eraldi tarkvarad:

• Windowsi operatsioonisüsteemidega töötav Novell Client;• Linuxiga töötav Client-Library;• Sun Solarisega töötav Client-Library.

Klientsüsteemid pöörduvad eDirectory kataloogiteenuse poole Novelli protokol-liga NDAP (Novell Directory Access Protocol). See omakorda baseerub NovelliNCP-protokollil, mida on võimalik kasutada ka IP või IPX-iga.

Selleks, et Windowsiga töötav Novelli klientsüsteem saaks pöörduda eDirectorykataloogipuu (või mõne eDirectory objekti) poole, tuleb klientsüsteemile edasta-da kasutajatunnus ja parool. Klientsüsteem otsib eDirectoryst välja vajaliku ob-jekti ja edastab endale selle objekti privaatvõtme, mis on krüpteeritud kasutajaparooliga. Seejärel see privaatvõti dekrüpteeritakse klientsüsteemis kasutaja pa-rooli abil ning dekrüpteerimise tulemuse põhjal luuakse nn credential ja signatuur.Seejärel kustutatakse privaatvõti klientsüsteemi mälust ning alles jäetakse ainultcredential ja signatuur. Neid saab omakorda kasutada teiste objektide või teenus-te kasutamiseks vajalike, n-ö taustal toimuvate autentimiste tarbeks. Kasutaja eipea selleks enam süsteemidega suhtlusse asuma, vaid kasutab Single-Sign-On-funktsiooni.

Saadud credential ’ist ja signatuurist koostatakse nn Zero-Knowledge-protseduuriga asjakohane tõestus ( proof ), mis edastatakse sihtsüsteemile. Siht-süsteem kasutab tõestust klientsüsteemi identiteedi kontrollimiseks. Selle meetodieelis on see, et signatuuri ei edastata enam eraldi läbi võrgu ning seetõttu on selleprotsessi ründamiseks vähem võimalusi.

Sellele vaatamata leidub ründemeetodeid, nt Man-in-the-Middle-rünne, misvõivad osutuda edukaks, kuid seda siiski pigem teoorias, sest nende toimepa-nekuks on tarvis suurt hulka tehnilisi lahendusi. Tõsiseid turbeprobleeme võivadpõhjustada järgmised olukorrad:

• klientsüsteemi pöörduse nõrgad autentimismehhanismid;• eDirectory kataloogi ja selle objektide volitamata kasutamine;• kataloogiteenuse administraatoriõiguste väärkasutus või volitamata hanki-

mine.

354 / 781

G 3.53 Novell eDirectoryt kasutava LDAP-pöörduse väärkonfiguratsioon

eDirectory kataloogiteenuse jaoks sobivad LDAP-pöördused peamiselt kaheljärgmisel juhul:

• kasutajate jaoks kataloogiteenusele juurdepääsu loomiseks läbi interneti;• kataloogiteenusele juurdepääsu loomiseks läbi teiste rakenduste.

eDirectory lähtepunktist vaadatuna saab kasutajate puhul eristada kolme liikiLDAP-pöördusi:

• pöördus avaliku objektina [(public) object ] (Anonymous Bind);• pöördus proksikasutajana (Proxy User Anonymous Bind);• pöördus NDS-i kasutajana (NDS User Bind)

Siinkohal tuleb arvestada, et eDirectory (public) object ’il on standardina ala-ti terve kataloogipuu jaoks olemas browse -volitus, välja arvatud juhul, kui seevolitus on konkreetselt ära võetud. Lisaks tuleb arvestada ka sellega, et kui as-jakohased autentimismehhanismid ei ole piisavalt hästi konfigureeritud, tekib oht,et kasutajate paroolid edastatakse avatekstina. Andmeedastuse krüpteerimisegakaasnev turve tagatakse vaid siis, kui klientsüsteemi ja eDirectory-serveri vahelineandmeside krüpteeritakse SSL-iga.

SSL-i konfiguratsioonis võib esineda vigu, mille tagajärjel väheneb kas turve võisüsteemi jõudlus.

Arvestada tuleb ka sellega, milliseid LDAP versioone klientsüsteemid toetavadja millised on nende konfigureerimise võimalused. See on koht, kus võib tekkidaarusaamatusi, mis võivad omakorda vähendada käitamise töökindlust.

Kui LDAP-pöördusi kasutatakse selleks, et ühendada võrgurakendusi Directorykataloogiteenusega, tekivad järgmised ohud, mis vastavad üldjoontes klientsüs-teemide pöördustega seotud ohtudele:

• volitamata juurdepääs kataloogiteenusele;• kataloogis hoitavate andmete tervikluse ja konfidentsiaalsuse kadu;• soovimatud tagauksed süsteemikeskkonnas.

355 / 781

G 3.54 Ebasobiva andmekandja kasutamine arhiveerimiseks

Andmete salvestamiseks saab kasutada andmekandjaid, mille kasutusotstarve ja-iga võivad olla väga erinevad. Võib juhtuda, et andmete ajutiseks või pikaajalisekssalvestamiseks kasutatakse andmekandjaid, mis ei vasta kehtestatud nõuetele.

Tüüpilised põhjused on näiteks järgmised:

• andmekandjate soetamisel või tellimisel tehtud vead;• ebapiisavad varud, mistõttu tuleb andmekadude vältimiseks kasutada va-

lesid andmekandjaid;• andmekandjate vale märgistus;• ebapiisavad teadmised andmekandja kasutusvaldkonnast.

Ebasobivate andmekandjate kasutamine võib põhjustada andmekadusid, misvõivad tekkida ka alles pärast salvestatud andmete pikaajalist hoiustamist.

Näide:

• Arhiivisüsteemi tavapärase tellimuse käigus märgitakse ainukirjutusegaandmekandjate (write once read multiple, WORM) asemel tellimusleheleeksikombel, et soovitakse ülekirjutatavaid andmekandjaid. Sellise eksitusetõttu võib juhtuda, et arhiveeritud andmed kirjutatakse uute andmetega üle.Kuna ülekirjutatud andmete algsest salvestamisest on möödunud juba vä-ga palju aega, pole originaalandmetest alles ka enam mitte ühtegi koopiat.Kuna andmed olid arhiveeritud ainult elektrooniliselt, lähevad esialgu arhi-veeritud andmed seega jäädavalt kaotsi.

356 / 781

G 3.55 Õiguslike raamtingimuste rikkumised arhiivsüsteemidekasutamisel

Elektrooniliste dokumentide arhiveerimisel tuleb järgida mitmeid õigusnõudeid,mille eiramine võib endaga kaasa tuua nii tsiviil- kui ka karistusõiguslikke tagajär-gi. Siia alla kuuluvad muu hulgas järgmised nõuded:

• maksudest, eelarveseadusest või muudest tingimustest olenev andmete mi-nimaalne säilitusaeg;

• andmekaitset puudutavatest ettekirjutustest tulenev andmete maksimaalnesäilitusaeg;

• välistele osalistele, nt maksuametile kohustuslikus korras antavad pääsuõi-gused;

• digiallkirjade õiguslik kehtivus.

Mõned arhiveerimise jaoks olulised raamtingimused on toodud meetmes M2.245 Elektroonilise arhiveerimise õiguslike tegurite väljaselgitamine..

357 / 781

G 3.56 IIS-i väär integreerimine süsteemikeskkonda

IIS-i kasutatakse üleilmselt väga erinevates kasutuskeskkondades. Kasutuskesk-konna all peetakse silmas võrgu topoloogiat ehk nende riist- ja tarkvarakompo-nentide ning võrgukomponentide paiknemist, milles IIS-i kasutatakse. Üks olulineaspekt on see, kuidas IIS suhtleb teiste süsteemidega.

Avaliku, internetist ligipääsetava serveri turbe tagamiseks kulub enamasti roh-kem aega ja vaeva kui intraneti keskkonda installitud serveri puhul. Siinkohal saabmääravaks süsteeme üksteisest lahutavate sobivate lahenduste kasutamine.

Võrgustruktuuri planeerimisel tehtud vead, nt see, kui demilitariseeritud tsoon(DMZ) jäeti planeerimata või kui lahutamisseadmes (firewall) on vigane konfigu-ratsioon, võivad olla täiesti piisavad selleks, et süsteemi vastu pannakse kas in-ternetist või intranetist toime rünne.

Lisaohud võivad tekkida ka sellest, kui süsteemi ressursse (tulemüüri, võrgu-ühendusi) ei ole piisavalt dimensioneeritud. Olukorras, kus need süsteemid eivasta veebiserveri tegelikele käideldavus- ja jõudlusnõuetele, tekib üheainsa rik-kepunkti oht (Single-Point-of-Failure, SPOF).

Näide

• IIS-i ja andmebaasiserverit kasutades pannakse tööle äriotstarbeline in-ternetirakendus. Kui andmebaasiserver asub IIS-iga ühes ja samas võr-gusegmendis, millele pääseb internetist ligi, tekib oht, et volitamata isikudvõivad tungida andmebaasi ja hankida endale seal hoitavaid andmeid võinendega manipuleerida.

358 / 781

G 3.60 Exchange 2000 serverite väär konfiguratsioon

Üks peamisi põhjusi, miks ründed võivad osutuda edukaks, on enamasti tark-varasüsteemide väär konfiguratsioon. Kuna Exchange 2000 Server on küllaltkikeeruline, on oht, et Exchange-süsteem pannakse väära konfiguratsiooni tõttutööle seisundis, mille turve ei vasta kehtestatud nõuetele. Turbeprobleemevõib põhjustada ka konfigureerimisvõimaluste rohkus ja asjaolu, et erinevateparameetrite seadistamisel võib olla suur vastastikune mõju.

Järgnevad mõned näited tüüpilistest konfiguratsioonivigadest:

• Domeenikontrollerid - Exchange 2000 Server installitakse mitte liikmesser-verina võrgu keskkonda, vaid hoopis domeenikontrollerisse. See avaldabsuurt mõju serveris toimivatele administraatoriõigustele ja takistab seeläbiadministraatorite töörollide mõistlikku lahutamist. Põhjuseks on asjaolu, etExchange töötab sellise konfiguratsiooni puhul kui teenus ( service ) ja ra-kendab kasutajakontot Local System, mis tähendab, et süsteemil on täielikkontroll selle arvuti üle, kuhu see on installitud. Kui Exchange oleks töölepandud domeenikontrolleris, oleks tal muu hulgas ka veel kontroll Kerbe-rose võtmete üle. Lisaks võib puudulikuks pidada ka sellise konfiguratsioonijõudlust ja rikkekindlust.

• Exchange 2000 Serveri pääsuvõimaluste liiga vähesed piirangud. Turbe-probleemid tekivad eriti neil juhtudel, kui juurdepääs teistele teenustele võimeiliandmebaasidele on samuti kaitstud kas ainult nõrkade või vigaste pää-suõigustega.

• Pääsuloendid (ACL-id) - Kasutatakse vigaseid või ebaturvalisi standardseidpääsuloendeid (Access Control Lists, ACL). Iga Exchange 2000 objekt saabomale genereerimisel standardsete sissekannetega pääsuloendi. Kasutata-vad mallid (süsteemipoliitikad) ei paku tavarežiimis käitatavale meiliandme-baasile piisavat turvet. See kehtib eriti neil juhtudel, kus meiliandmebaas onversioonilt Exchange 5.5 viidud üle versioonile Exchange 2000. VersioonisExchange 5.5 mõningatel objektidel Security Identifier (SID) puudub. Seegapole nende objektide jaoks mitte mingisugust ACL-i, st nende SID-d tuleballes tagantjärele konfigureerida. Sageli on meiliandmebaasi koostamiseksvõi selle lähtestamiseks tarvis laialdasi volitusi, mida süsteemi käitamisejaoks enam ei vajata. Olukorras, kus standardseid pääsuloendeid pärastkonfigureerimist ei muudeta, võib juhtuda, et meiliandmebaasile pääsevadligi volitamata isikud või et volitatud kasutajad saavad endale liiga suuredõigused.

• Krüpteerimise puudumine - Krüpteerimist ei rakendata. Standardseadis-tuses on võrgus aset leidva andmeside krüpteerimine (portide krüpteerimi-ne) ja meili andmeside krüpteerimine sisse lülitamata. Krüpteerimisfunkt-siooni kasutamiseks tuleb see eraldi sisse seada. Kui seda ei tehta, jäävadmeiliandmed nende kättetoimetamisel kaitseta.

Loetletud aspektid käsitlesid väära konfiguratsiooniga kaasnevaid turbeproblee-

359 / 781

me. Olenevalt kasutusvaldkonnast võivad neile lisanduda ka teistsugused problee-mid.

360 / 781

G 3.61 Outlook 2000 klientsüsteemide väär konfiguratsioon

Meiliteenuse klientsüsteem Outlook 2000 on meilisüsteemi tähtis osa. Klientsüs-teemi korrektne konfiguratsioon on oluline kogu süsteemi turbe jaoks.

Erilist tähelepanu tuleks pöörata järgmistele aspektidele:

• MAPI-liides - Kommunikatsiooniprotokolli valikuga võivad kaasneda spetsii-filised turbeprobleemid. Siinkohal tuleb kindlasti ära märkida MAPI-liides,sest selle kaudu on varem levitatud palju viiruseid, sh ussviiruseid.

• Kasutajaprofiilid - Kui klientsüsteemina rakendataval arvutil ( client-PC ) onmitu kasutajat, koostatakse ja salvestatakse iga kasutaja jaoks eraldi pro-fiil. On oht, et kasutaja võib oma kolleegi profiili volitamatult üle võtta. See-ga võib olenevalt olukorrast juhtuda, et keegi hakkab volitamatult kasutamanäiteks kellegi teise kasutajakontot ning selle tagajärjel võib ohtu sattudaandmete konfidentsiaalsus.

• Privaatvõtmed - Kui meilide kaitsmiseks rakendatakse krüpteerimist ja elekt-roonilisi signatuure, nt S/MIME-d või PGP-d, on oht, et privaatvõtit võidaksekompromiteerida, nt kui see salvestatakse lokaalselt. Sellega võib kaasne-da andmete konfidentsiaalsuse kadu ning kolmandad isikud võivad kasutajavolitused volitamata üle võtta.

• Kui võrgus kasutatakse krüpteerimist, nt IPSec-i, SSL-i või TLS-i, on oht, etjuhul kui klientsüsteemina töötav arvuti on valesti konfigureeritud, muutuvadneed turbemehhanismid kasutuks.

• Andmekadu - Kui E-Mail-Client-funktsioonis töötav Outlook 2000 on vales-ti konfigureeritud, võib tagajärjeks olla nii andmekadu kui ka klientsüstee-miarvuti töö blokeerumine. Samuti võib sellega kaasneda Exchange 2000Serveri ületäitumine ja seetõttu ka selle ülekoormamine.

Viirused ja aktiivsisu - Outlook 2000 klientsüsteemis ei ole ohtlike failide käivita-mine sobival moel välja lülitatud, mistõttu on oht, et süsteemi võivad sisse imbudavõi selle kaudu levima hakata viirused ja muu pahavara.

Exchange-/Outlook-süsteemi lisavõimalusteks on töökohtumiste märkmikja tööülesannete loetelu, mis ei ole otseselt mõeldud meilide saatmiseks javastuvõtmiseks, vaid need aitavad kaasa organisatsiooni töökorraldusele. Samason tegu valdkondadega, mis sisaldavad sama palju konfidentsiaalset ja kaitstavatinfot nagu meiliteenus. Nende süsteemide väär konfiguratsioon võib endagakaasa tuua järgmisi potentsiaalseid turbeprobleeme:

• volitamata juurdepääsust tingitud konfidentsiaalsuse kadu;• andmemanipulatsioonidest tingitud info tervikluse kadu (nii juhuslik kui ka

tahtlik);• kasutaja töörolli või identiteedi volitamata ülevõtmine;• sobimatust andmetalletusest ja puuduvatest andmevarunduslahendustest

tingitud andme- ja infokadu.

361 / 781

G 3.64 Marsruuterite ja kommutaatorite väär konfiguratsioon

Aktiivsete võrgukomponentide konfiguratsioon oleneb väga palju sellest, misotstarbel neid seadmeid kasutatakse. Järgnevalt on toodud mõned näited olukor-dadest, mis võivad ohustada nende seadmete turvet.

• Operatsioonisüsteem - Marsruuterites ja kommutaatorites kasutatakse sa-geli operatsioonisüsteeme, mis on kas vananenud või ebaturvalised. Eri-nevate operatsioonisüsteemide kohta on interneti exploit ’ide näol kättesaa-dav väga põhjalik ründeinfo, mis kajastab erinevaid tooteid ja tooteversioonening mis on pidevalt allalaadimise ootel.

• Paroolkaitse - Aktiivsete võrgukomponentide suhtes ei rakendata sageli pii-savalt tugevat paroolkaitset.

• Administraatorite juurdepääsud - Praktikas on sageli ette tulnud seda, etadministraatorite juurdepääsud on kõikidele avatud. Näiteks on asjakohasedpääsuloendid (Access Control Lists, ACL) jäetud sisse seadmata.

• Kaugpöörduse juurdepääs - Aktiivsetes võrgukomponentides on enamas-ti olemas ka Telnetti kasutav kaugpöörduse võimalus. Telneti kasutamiseledastatakse kasutajanimi ja parool avatekstina.

• Sisselogimise ribateade - Aktiivsete võrgukomponentide sisselogimise riba-teated paljastavad sageli nii seadme mudeliinfo kui ka selle versiooninumbri.

• Ebavajalikud võrguteenused - Marsruuterites ja kommutaatorites leidub tihtiebavajalikke võrguteenuseid, mida ründajad saavad kasutada selle kompo-nendi käideldavuse, tervikluse või konfidentsiaalsuse ründamiseks.

• Liidesed - Liidesed, mida marsruuterites ei kasutata, jäetakse väga tihti de-saktiveerimata.

• VLAN - Trunk-pordid saavad luua ühenduse kõikide konfigureeritud VLAN-idega. See tähendab, et juurdepääs Trunk-pordile võimaldab luua juurde-pääsu kõikidele VLAN-idele. Kommutaatorites jäetakse lõppseadmeportidetrunking -protokollid sageli desaktiveerimata.

• Marsruutimisprotokollid - Kui rakendatakse marsruutimisprotokolle, millespuuduvad autentimisprotseduurid, võib see ohustada keeruliste võrkudekonfidentsiaalsust, käideldavust ja terviklust.

362 / 781

G 3.65 Marsruuterite ja kommutaatorite väär haldamine

Marsruuterite ja kommutaatorite haldamises tehtud vead võivad ohustada võrgukäideldavust, konfidentsiaalsust ja terviklust. Marsruuterite ja kommutaatoritehaldamiseks saab kasutada erinevaid pääsuvõimalusi, mille vale rakendaminevõib endaga kaasa tuua järgmisi turberiske:

• Kaugpöörduse haldusjuurdepääs - Paljude aktiivsete võrgukomponentidehaldamiseks on võimalik kasutada kaugpöördust, mis rakendab Telneti tee-nust. Telneti kasutamisel tuleb arvestada, et vajalikke pääsuõigusi võivadendale hankida ka volitamata isikud, sest kogu andmevahetus, muu hulgaskasutajanimed ja paroolid, edastatakse avatekstina ja neid on võimalik luge-da. Paljudes seadmetes on loodud administraatoritele võimalus teha omahaldamistöid ka HTTP-teenuse kaudu. Sellisel juhul käivitatakse marsruu-teris või kommutaatoris HTTP-server ning pöörduseks kasutatakse ükskõikmillist klientsüsteemi ja selle veebilehitsejat. Erinevate tootjate veebiliidesestandardne juurdepääs võib olla erineva seadistusega. Seetõttu võib juh-tuda, et standardseadistuses on see pääsuvõimalus aktiveerimata, kuid onka võimalik, et seda teenust saab kasutada ilma igasuguse kaitseta ja ad-ministraatorilt kasutajainfo sisestamist ei nõuta. Nagu Telneti teenuses, niiedastatakse ka HTTP puhul kasutajatunnus ja parool avatekstina. Lisakson teada mitmeid exploit ’e, mis suudavad kasutada ära erinevate tootjateHTTP-serverite turvaauke.

• SNMP - SNMPv1 ja SNMPv2 rakendamisel kasutatakse autentimiseks ai-nult krüpteerimata Community Stringi. Peaaegu kõikidel tootjatel on stan-dardseadistuses read-Community-String seadistatud väärtusele public, sa-mal ajal kui write-Community-String on seadistatud väärtusele private .SNMP Community Stringid edastatakse läbi võrgu avatekstina. Sageli kasu-tatakse SNMP-d ka turbeta võrkudes, mis loob ründajatele võimaluse and-mepakette nuhutada ( sniffing ), et selle põhjal SNMP Community Stringeära arvata. Pärast seda, kui ründaja on Community Stringi teada saanud,saab ta enda kätte haarata kontrolli võrgukomponentide üle.

• Logimine - Turbega seotud sündmusi logitakse marsruuterites ja kommu-taatorites sageli väga pealiskaudselt. Lisaks puudub süsteemist sageli kaalarmeeriv komponent ning see võib pärssida nende süsteemide käidelda-vust, konfidentsiaalsust ja terviklust.

• Puudulikud varukoopiad ja puudulik dokumentatsioon - Sageli jäetaksemarsruuterite ja kommutaatorite konfiguratsioonimuudatustest varukoopiadtegemata ning muudatusi ei dokumenteerita piisavalt. Süsteemide rikke kor-ral, kui asendussüsteemi hakatakse tööle seadma, on viimati tehtud muu-datused sageli juba kaotsi läinud.

363 / 781

G 3.66 Märkide väär teisendus z/OS-i kasutamisel

EBCDIC (Extended Binary Coded Decimals Interchange Code) ja ASCII (Ame-rican Standard Code for Information Interchange) on kodeerimistabelid, mis mää-ravad kindlaks, kuidas tähti, numbreid ja teisi märke kujutatakse 8 või 7 bitina.

z/OS-süsteemid töötavad EBCDIC-koodiga. Mõlemas vormingus salvestamist,st nii ASCII kui ka EBCDIC vormingus, võimaldavad ainult HFS- ja zFS-failisüsteemid (Hierarchical File Systems), mida kasutab USS (Unix System Ser-vices). Kui andmevahetus leiab aset z/OS-süsteemi ja mõne sellise süsteemi va-hel, mis töötab ASCII-koodiga (nt ka USS-i puhul pärast MVS-i), on oht, et andmedvõivad muutuda valeks, sest transleerimiseks kasutatakse valesid tabeleid (CodePage Translation). Eriti puudutab see probleem viitemärkide transleerimist.

Näited

• Probleemid täpitähtede ja viitemärkidega - Ettevõttes edastati andmeidpikema aja jooksul OS/390- ja z/OS-süsteemide vahel FTP-protokolliga,ilma et selle käigus oleks tekkinud tõsiseid probleeme. Ühe lisa-Unix-süsteemi jaoks kasutati sama FTP-käsku (job), mis kasutas EBCDIC-ASCII-transleerimiseks default -tabelit. Andmeedastuse käigus esialgu probleemeei tekkinud, kuid andmete hilisemal töötlemisel Unix-süsteemis ilmnes, etteatud täpitähed ja viitemärgid olid valesti teisendatud. Viga suudeti kõrval-dada alles pärast seda, kui selle andmeedastuse jaoks loodi spetsiaalneteisendustabel (translation table).

• Võimalikud andmevead - Kui andmete ülekandmiseks z/OS-operatsioonisüsteemist Unix-operatsioonisüsteemi kasutatakse FTP-protokolli ja selle valikut binary, võib tekkida probleeme. Võib juhtuda, etandmeid ei õnnestu sihtsüsteemis enam edasi töödelda, sest valik binary eiluba andmeid EBCDIC-st ASCII-sse konverteerida.

364 / 781

G 3.67 z/OS-operatioonisüsteemi puudulik või väär konfiguratsioon

z/OS-operatsioonisüsteemi konfigureerimine on väga keeruline ja nõuab paljudeskohtades süsteemiadministraatori aktiivset sekkumist. Valede või puudulikedefinitsioonide tõttu võivad kiiresti tekkida turvaaugud ja neist omakorda turbe-probleemid.

• Volitatud programmid - Programmid, mis laaditakse alla volitatud teekidestja mis on asjakohaselt märgistatud, võivad käivitada väga suurte volitustegafunktsioone. Kui kasutajatel peaks õnnestuma ka oma programmile selli-sed volitused välja petta, saavad need programmid kasutada peaaegu kõikineidsamu funktsioone, mida kasutavad süsteemiprogrammid. Näiteks saa-vad need sellisel juhul ükskõik millal välja lülitada RACF-i turbetõkendeid.

• Süsteemiprogrammid - z/OS-operatsioonisüsteemi ja selle komponentideinstallimisel on hädavajalik, et süsteemi teatud teegid (Partitioned Dataset)saaksid defineeritud selliselt, et operatsioonisüsteem leiaks käivitatavadsüsteemiprogrammid sisetabelitest üles võimalikult kiiresti. Nende süsteemi-programmide teegid kogutakse kokku nn linklist ’idesse ja need sisaldavadenamasti programme, millele kehtivad väga suured volitused ning mis töö-tavad kernelirežiimis (Kernel Mode). Definitsioonides tehtud vead (või nen-dega manipuleerimine) võivad linklist ’idesse lisada teiste kasutajate teeke,mis ei ole sinna lisamiseks ette nähtud. Sellisel juhul saavad nende teekideprogrammid endale samuti väga suured volitused ja õiguse käivitada funkt-sioone, millega võib turbemehhanismidest mööda hiilida.

• Vead süsteemiteekide loomisel - Süsteemiteegid, mis luuakse PDS-ina (Par-titioned Dataset) ja mille loomiseks kasutatakse valikut Secondary Space,võivad süsteemis põhjustada käitamisprobleeme. Lähtestamisfaasis loobsüsteem aja kokkuhoiu mõttes mõningatele süsteemiteekidele vajaliku ka-taloogi ( directory ) otse peamällu ja pöördub programmi käivitamisel selleteegi poole ainult läbi peamällu loodud kataloogi. Kui programmi hoolda-mise käigus teeki laiendatakse ja luuakse uus extent (failile reserveerituddünaamiline mälupiirkond kõvakettal), võib juhtuda, et uue programmi ase-mel hakkab tööle hoopis vana programm, sest süsteemisiseses kataloogison kasutusel programmi vana laadimisaadress. Lisaks võib selle tõttu fai-li mälumahu vajadus pidevalt suureneda, ilma et selle vastu rakendatakskontrollitud piiranguid.

• Süsteemikutsed (Supervisor Calls) - Süsteemikutsed (Supervisor Calls,SVC) on spetsiaalsete suurte volitustega kernelirežiimis töötavate z/OS-teenusprogrammide kutsed. Selles režiimis töötavad programmid tulebprogrammeerida eriti turvaliseks (IBM väljastab selle kohta ka oma et-tekirjutusi). Ebaturvalisi SVC-programme võidakse ära kasutada z/OS-turbemehhanismidest möödahiilimiseks. Kui rünne osutub edukaks, pääsebründaja väga suurte volitustega kernelirežiimi. Tänapäeval kasutatakse veelväga palju nn Authorizing-SVC-sid, mis koosnevad ainult mõningatest juhis-test, mis lubavad funktsiooniga modeset kernelirežiimi sisse ja välja lülitadaning seetõttu ka volitamatult kernelirežiimis funktsioone käivitada.

• TSO-käsud - Time-Sharing-Option-käsud (TSO) töötavad enamasti raken-

365 / 781

dusmoodulis (tavakasutaja privileegidega), mis tähendab, et neil ei ole erili-si privileege. Seevastu leidub z/OS-is ka selliseid käske, mille funktsioonide(või osafunktsioonide) käivitamiseks on tarvis suuri volitusi. Käsud, millel va-jalikke suuri volitusi ei ole, kuid mida on protsessi jaoks tarvis, võivad põh-justada käitusvigu. Teisalt jällegi viib suurte volitustega käskude valimatulubamine turbe nõrgenemiseni.

• Keelatud utiliidid - IBM ja teised tarkvaratootjad toodavad operatsioonisüs-teemi komponentide kõrval ka lisateenusprogramme ehk utiliite. Need prog-rammid käivitavad töötlusfunktsioone, nt kopeerivad faile või loovad kataloo-ge (z/OS-i failide haldamise failikatalooge). Suurel osal utiliitidest on omatööks tarvis ainult tavakasutaja õigusi, kuid mõned vajavad oma funktsioo-nide käivitamiseks ka suuri süsteemivolitusi. Kui utiliidid ei ole korrektseltdefineeritud, on oht, et need ei tööta õigesti, ning kui utiliidid ei ole piisavaltkaitstud, on oht, et volitamata töötajad võivad neid väärkasutada. See võibpärssida z/OS-süsteemi terviklust.

• z/OS-käsud SDSF-i (System Display and Search Facility) keskkonnas -SDSF lubab JES2-süsteemi kasutajal sisestada pakktöid ( batch jobs ),vaadata süsteemilogi ja teisi süsteemiparameetreid ning sisestada ka veelMVS- ja JES2-käske. Kui selle turbeks ei ole võetud piisavalt meetmeid,saab kasutaja SDSF-i võib-olla selliselt manipuleerida, et peatab mõne poo-lelioleva pakktöö, käivitab või peatab mõne initiator ’i või defineerib ümbersüsteemi konfiguratsiooni. Lisaks võib kasutajal tekkida võimalus vaadatakõiki süsteemilogis kajastuvaid süsteemiteateid ja töötluste logisid (olene-valt olukorrast ka kliendiinfot).

• Enhanced MCS-Support - MCS-konsooli (Multiple Console Support) kõrvaltoetab z/OS ka Enhanced-MCS-konsooli kasutamist. Tegemist on liidesega,mis edastab käske MVS-ile (JES2/3) ja võtab vastu MVS-ilt laekuvaid tea-teid. Enhanced-MCS-konsooli saab kasutada TSO-s, NetView’s ja sellistesrakendustes nagu CICS. Kui turve jäetakse defineerimata, võidakse olene-valt olukorrast käivitada käske, mis pärsivad tugevalt süsteemi terviklust.

Näited

• Avatud süsteem - OS/390-süsteemis kasutati varem üht Authorizing-SVC-d,et käivitada TSO-s/ISPF-is teatud suure volitusega funktsioone, mis tööta-vad kernelirežiimis (Kernel Mode). Kuigi võimalik kitsaskoht oli juba pikemataega teada, installiti SVC ka uude z/OS-süsteemikeskkonda, mis muutis sel-le kõikidele kasutajatele kättesaadavaks.

• Liiga palju vastutajaid - Ajaloolistel põhjustel käitati z/OS-operatsioonisüsteemi RACF-atribuudiga OPERATIONS. Paljud kasutajad,kelle kontol oli see atribuut olemas, said seetõttu lugeda ja muuta peaaegukõiki faile. Selliselt töötavates z/OS-süsteemides ei suudetud tagada failideterviklust.

• Süsteemikontrolli puudumine - z/OS-süsteemis rakendati SDSF-i JES2jaoks ilma turbeta. Juba mõne aja möödudes olid töötajad suutnud väljauurida, kuidas oma kasutajakonto volitusi süsteemis suurendada, et seeläbioma pakktööde protsessi kiirendada. Selle tagajärjel polnud enam võimaliksüsteemi efektiivset koormamist analüüsida.

366 / 781

G 3.68 z/OS-veebiserveri puudulik või väär konfiguratsioon

Kui z/OS-veebiserveri konfiguratsiooni võetakse üle default -seadistused võivigased seadistused, võivad nendega kaasneda järgnevad turbeprobleemid:

• Etteantud standardseadistuste (faili httpd.conf) kasutamisel ja vales-ti seadistatud Userid-reeglite rakendamisel võivad veebiserveri MVSDS-funktsioonid olenevalt olukorrast kuvada ka selliseid faile, mida kasutaja eipeaks oma kasutajakonto tavaõiguste alusel üldse nägema, nt süsteemifai-le.

• Süsteemi haldamisel tehtud vead võivad luua olukorra, kus z/OS-veebiserveri protsessid hakkavad tööle Started-Task-tunnusega. Kui selleletunnusele on antud suured volitused (nt Superuseri volitused), võivad tekki-da turbeprobleemid. Failide poole pöördumiseks ja käskude täitmiseks lähebsellisel juhul tarvis selle tunnuse suuri volitusi. Selle tagajärjel pääseb kasu-taja volitamatult ligi kliendiandmetele, nagu eespool juba kirjeldatud, ningMVS-Dataset-Display-funktsiooniga ka süsteemifailidele.

• z/OS-veebiserver toetab andmeside krüpteerimist SSL-protokolliga. Para-meetrite vale konfigureerimise tagajärjel tekib oht, et krüpteerimisfunktsioonlülitatakse hoopis välja või et protsessid hakkavad tööle mõne teise RACF-tunnusega.

Lisaohte kirjeldatakse moodulis B 5.4 VeebiserverNäide

• z/OS-veebiserveris kasutati standardseid definitsioone, mistõttu õnnestusvälisel ründajal endale kuvada tundlikke andmeid. Lisaks oli veebiserverseadistatud selliselt, et suurte volitustega teenus töötas enda Started-Task-tunnusega. Selle tagajärjel õnnestus välisel ründajal endale kuvada faileSYS1.PROCLIB ja SYS1.PARMLIB. Nendest failidest luges ründaja väljainfo, mis kergendas oluliselt kogu z/OS-süsteemi ründamist.

367 / 781

G 3.69 Unixi süsteemiteenuste (USS) väär konfigureerimine z/OS-is

Unixi süsteemiteenuste (Unix System Services, USS) on z/OS-i alamsüsteem,mida tuleb enne kasutuselevõttu seadistada.

USS-i parameetrite seadistamisel võib esineda mitmeid probleeme, mille puhultuleb kindlasti jälgida, et need ei viiks z/OS-süsteemi või selle osade turbeprob-leemideni.

Olenevalt sellest, milliste konfiguratsioonivigadega on tegu, võivad tekkida all-kirjeldatud probleemid. Nende probleemide korral pole pärast z/OS-süsteemi käi-vitamist kas osa USS-i alamfunktsioone saadaval või USS-alamsüsteem ei käivitu.

• Kui USS-i alamfunktsioon ei käivitu, ei pruugi olulised alamsüsteemid (ntTCP/IP) üldse töötada.

• Kui terve USS-alamsüsteem ei käivitu, ei saa ka z/OS-operatsioonisüsteemikasutada.

• Kui HFS-faile käivitamisprotsessi käigus ei ühendata ( mount ), ei saa kasu-tada neid faile vajavaid rakendusi.

Järgnevalt kirjeldatakse USS-i konfiguratsiooni tüüpvigu:

• BPXPRMxx-Memberi keeruline ülesehitus võib põhjustada haldamisvigu.Selle tagajärjel võib alglaaduri (Initial Program Load, IPL) käivitamine põh-justada süsteemi vigast laadimist. Põhjus peitub järjekorras, mille aluselmember definitions läbi töötatakse.

• Osade BPXPRM00-Memberi parameetrite järjekord peab olema kooskõlassüsteemi jõudlusega. Muidu tekib oht, et kokku kuhjub palju rohkem Unixiprotsesse kui süsteem suudab läbi töötada.

• Sysplexi definitsioonides võib esineda vigu seoses parameetriga VERSION.• Tegu on HFS- ja zFS-failide (Type, Mode ja Mountpoint) Mount-Policies-

seadistuse definitsioonis tehtud vigadega.• BPXPRMxx-Memberi muutujaid võidakse kasutada valesti.

Näited

• Ebasobivad lähteväärtused - Unixi rekursiivse käsu käivitamine algatasz/OS-süsteemis üha uusi protsesse, kuni z/OS-saalimisfailidest (saalimiske-tastest) enam ei piisanud. Kuigi varusaalimiskettad olid olemas, ei suudetudsüsteemi päästa, sest süsteemi sai teha veel ainult väga väheseid sisestusi.Probleem suudeti kõrvaldada üksnes süsteemi taaskäivitamisega (IPL).

• Parameetrite keeruline järjekord - Mitme BPXPRMxx-Memberiga z/OS-süsteemis muudeti parameetreid, kuid vea tõttu tehti seda vales Memberis.Süsteem ei arvestanud tehtud muudatustega, sest IPL-i käigus luges neidparameetreid hoopis järjekorras eespool olev Member.

368 / 781

G 3.70 z/OS-i süsteemi failide ebapiisav turve

z/OS-operatsioonisüsteemis juhib ja kontrollib failipöördusi turbesüsteem, ntRACF. Failide kaitsefunktsiooni vigane haldamine võib tekitada olukorra, kus rün-dajal õnnestub volitamatult ligi pääseda olulistele failidele, nt operatsioonisüsteemiprogrammidele, konfiguratsioonifailidele või rakenduste andmetele.

Näiteks näeb RACF ette võimaluse anda kasutajakontodele spetsiaalsete atri-buutidega (nt Special või Operations) laiaulatuslikud volitused.

Siinkohal tuleks arvestada, et neid faile, mida kasutaja saab lugeda, saab taz/OS-süsteemis alati ka kopeerida.

Selles kontekstis tuleks arvestada ka ohuga G 3.16 Väär pääsuõiguste haldus.

Näited

• Tahtmatu lmeid sisaldava failide salvestamine - Palgaandmeid sisaldavadfailid salvestati ühe kasutaja tunnuse alla, kelle kasutajakonto oli RACF-isvarustatud atribuudiga Universal Access UPDATE. Seetõttu said kõik kasu-tajad neid andmeid mitte ainult lugeda, vaid ka võimaluse neid faile muuta.

• Operations-atribuut - Hooletu ümberkäimine RACF-i atribuudiga Operationslõi olukorra, kus kasutaja sai korraga lugeda ja kopeerida peaaegu kõikisüsteemi- ja kliendiandmeid.

369 / 781

G 3.71 z/OS-süsteemide väär süsteemiaeg

Süsteemiaeg (kuupäev ja kellaaeg) on väga paljude rakenduste ja süsteemiprog-rammide jaoks oluline parameeter, millest sõltub mitmete protsesside korrektnetäitmine ning tulemuste ja andmete saamine.

Vale kuupäev ja kellaaeg võivad muu hulgas endaga kaasa tuua järgmisi turbe-probleeme ja kahjusid:

• Rakendused, mis peavad oma töös lähtuma õigest kuupäevast ja kellaajast,annavad valesid tulemusi. Selle tagajärjel võib juhtuda, et terve päeva too-dang tuleb ümber töötada. Eriti kehtib see online- rakenduste ja nende tegu-mifailide kohta. Sageli pole tulemusi võimalik enam korrigeerida, sest klien-did kasutavad süsteemi online -režiimis.

• Turvaintsidentide analüüs, mis lähtub üles märgitud ajast, võib vigade tõttumärkimisväärselt raskeneda ja viia valede tulemusteni.

• Omavahel ühendatud süsteemide erinevad süsteemiajad võivad tekitadaprobleeme näiteks siis, kui nende logifailid kogutakse kokku, et neid ana-lüüsida ja omavahel võrrelda.

• Rakendused, mis saavad korraga mitmest süsteemist andmeid ja töötlevadneid vastavalt ajatemplitele, annavad valesid tulemusi.

z/OS-süsteemide süsteemiaegKui z/OS-süsteeme käitatakse Parallel-Sysplex-Clusteris, tuleb süsteemiaeg

enamasti IPL-i (Initial Program Load) ajal käsitsi sisestada. Selle käigus võib ker-gesti juhtuda, et kasutaja teeb kuupäeva või kellaaja andmeväljal mõne sisestus-vea.

Süsteemiaega on võimalik muuta ka töötavas süsteemis. Selle tegevuse korralon hooletusest tingitud sisestusvigade oht isegi veel suurem kui IPL-i ajal.

Valikus Member Clock00 sisestatakse ajatsoon või selle kõrvalekalle Greenwic-hi (GMT) ajamääratlusest. Vale ajatsooni sisestamine annab sama tulemuse misvale süsteemiaja sisestamine.

Näited

• Aja määramise vead - Keset tööprotsessi oli tarvis z/OS-süsteemi süstee-miaega viie minuti võrra korrigeerida. Trükiviga käsu SET sisestamisel mää-ras süsteemile aja, mis nihutas hommikuse aja õhtuseks. Selle tagajärjelkäivitas Job Scheduler õhtul toimuma pidanud pakktöö juba päeval. Kunapakktöödel oli rakenduse andmebaasidele eksklusiivne juurdepääs, polnudandmeid enam võimalik online -režiimis sisestada.

370 / 781

G 3.72 z/OS-i turbesüsteemi RACF väär konfiguratsioon

z/OS-operatsioonisüsteemis reguleerib ressursside pääsu ja pöörduste turvalisustspetsiaalne turbesüsteem RACF (Resource Access Control Facility). RACF-i kon-figuratsioon ei ole tarneseisundis enamasti nii turvaline, et see täidaks kohe kasu-tusvaldkonnale seatud nõudeid.

Järgnevalt kirjeldatakse RACF-i konfiguratsiooni kõige sagedamini ettetulevaidprobleeme:

• Paroolide kehtivusreeglid - SETROPTS-käsuga saab RACF-is seada koguz/OS-süsteemis kehtivaid turbeseadistusi, eriti nt paroolide turbeseadistusi.Seadistatavad parameetrid on paroolide minimaalne pikkus, lubatud sisse-logimiskatsete arv, maksimaalne kehtivusaeg, parooli ajalugu, auditeerimis-seadistused ja klasside aktiveerimine.

• Standardsete paroolide väärkasutus - Tarneseisundis z/OS-süsteemis onkasutajatunnusele IBMUSER ja RACF-i käsule RVARY eelseadistatud stan-dardsed paroolid. Süsteemi seirefunktsioonidele pääseb standardsete pa-roolidega ligi sageli ka siis, kui süsteem on juba tavapäraselt tööle rakenda-tud.

• Kasutajatunnus IBMUSER on esimene tunnus, mida on tarvis uue süsteemiülesehituseks, mistõttu on sellel tunnusel volitused Special ja Operations.Kuna kasutajatunnus IBMUSER ei ole otseselt seotud mitte ühegi konkreet-se kasutajaga, on peaaegu võimatu välja selgitada, kes seda kasutab või onkasutanud.

• RACF-i käsuga RVARY saab RACF-andmebaasi aktiveerida ja desaktivee-rida, st ka neid vaheldada.

• Standardsed paroolid on toodud süsteemiga kaasas olevas dokumentat-sioonis ning on seetõttu kõikidele teada.

• Hoiatusrežiim - RACF-i ressursside turbeks saab kasutada hoiatusrežiimi(Warning Mode). See tähendab, et selle ressursi kõiki pöördusi lubatakseisegi siis, kui RACF-i definitsioonid neid keelavad. Hoiatusrežiimi kasutami-ne võib süsteemilogis tuua kaasa tavapärasest suurema hulga teateid jasellele lisaks tavapärasest enam SMF-lauseid (System Management Faci-lity). Selle tagajärjel võib hüppeliselt suureneda vajadus kõvaketta vaba mä-lumahu järele. Kui hoiatusrežiimiga lisatakse ressursse ekslikult ühiskasu-tusse, võib see viia andmete konfidentsiaalsuse kadumiseni.

• z/OS-süsteemikäskude turve - z/OS-süsteemikäske turvatakse RACF-ispetsiaalsete klassidega. Olukorras, kus nende klasside definitsioonid ei olepiisavalt hästi seadistatud, võib juhtuda, et kasutajatel tekib võimalus süs-teemikäske välja lülitada. See võib pärssida süsteemi käitamise stabiilsust.Siinkohal võib näideteks tuua Started- Tasks-käskude sisse- ja väljalülita-mise ning kettasüsteemide lülitamise online -režiimi.

• Global Access Checking Table - Kui süsteemis leidub faile, mis on sisestatudglobaalsesse juurdepääsukontrolli tabelisse (Global Access Checking Table,GAC), siis selliste failide pöördusi RACF-i andmebaas ei kontrolli. Kasuta-ja saab otsepääsu vastavalt GAC-s defineeritud reeglitele. GAC-sse tuleks

371 / 781

sisestada ainult selleks ette nähtud failid, sest pärast sisestamist RACF-iprofiilid neid faile enam ei kaitse. Näiteks juhul, kui need failid sisestatakseGAC-sse koos märgendiga READ, saavad kõik kasutajad neid faile lugeda.

• RACF-i andmebaas - RACF-i andmebaasis hoitakse krüpteeritud kujul kõiki-de kasutajate paroole ning seda tuleb kaitsta asjakohaste definitsioonideganagu ka kõiki teisi z/OS-operatsioonisüsteemi faile. Kui andmebaasi pääsu-kaitse on defineeritud selliselt, et iga kasutaja saab faili lugeda (ja seetõttuka kopeerida), võib juhtuda, et paroolide vastu pannakse toime Brute-Force-rünne (nt kehtestatakse Universal Accessile definitsioon (UACC) = READ).

Näited

• RVARY-käsu kasutamine - Käsuga RVARY saab RACF-i andmebaase üheltteisele ümber lülitada. Süsteemiarendaja avastas töö käigus, et RVARY-käsktöötas jätkuvalt tarneseisundi standardse parooliga. Seetõttu sai ta süstee-miga liita ja selles käivitada ühe spetsiaalse RACF-i andmebaasi, mis tagastalle juurdepääsu ka sellistele failidele, millele ta enne ligi ei pääsenud.

• IBMUSER-i kasutamine - Pärast uue RACF-i andmebaasi loomist unustaskasutaja tõkestada kasutajatunnuse IBMUSER. Kolleegil, kes selle tegema-tajätmise avastas, õnnestus andmeid süsteemist volitamatult kopeerida.

• RACF-i andmebaasi vastu suunatud Brute-Force-ründed - RACF-i andme-baasi varukoopia oli administraatorite vea tõttu kaitstud ainult definitsioo-niga UACC(READ). Ründajal õnnestus sellist olukorda ära kasutada ja takopeeris andmebaasi oma arvutisse. Arvutisse salvestatud RACF-i andme-baasi sissemurdmiseks kasutas ta vabavara. Tema Brute-Force-ründed, misolid suunatud paroolide muukimisele, osutusid korduvalt edukaks. Ründajakasutas välja nuhitud kasutajatunnuseid ja paroole tootmisandmete muut-miseks. Andmete muutmises ja kahjutekitamises kahtlustati eksikombel sel-le kasutajatunnuse õiget omanikku, sest logiandmed registreerisid toimepandud ründe oma töötaja tegevusena.

372 / 781

G 3.73 z/OS-i süsteemifunktsioonide väär kasutamine

z/OS-süsteemi käitamisel on aeg-ajalt möödapääsmatu, et kasutajad (operators)teevad süsteemi muudatusi, nt kohandavad RACF-i seadistusi või teisi süsteemi-definitsioone.

Kuna z/OS-operatsioonisüsteem on küllaltki keeruline, ei saa selliste tegevustepuhul kasutajavigu lõplikult välistada. Olenevalt sellest, millise vea kasutaja onteinud, võivad rivist välja langeda kas üksikud komponendid või ka terve süsteem.Järgnevalt kirjeldatakse tüüpilisi kasutajavigu.

• Juhuslik taaskäivitus Hardware Management Console’i (HMC) kasutamisel- HMC-ga on võimalik süsteemi taaskäivitada. Süsteemi valimiseks piisabainult hiireklõpsust süsteemi ikoonil ning seejärel tuleb valida üksnes asja-kohane funktsioon (nt Initial Program Load). Pärast vastamist kontrollküsi-musele algabki kohe väljavalitud süsteemi taaskäivitus. Kõik pooleliolevadprotsessid suletakse kontrollimatult. Kui süsteemi valimisel tehakse viga jataaskäivitatakse vale süsteem, võivad sellel olla rasked tagajärjed. KunaHMC-s on võimalik süsteeme koondada ka gruppideks, nt selleni välja, etarvutuskeskuse kõik z/OS-süsteemid saab koondada üheks grupiks, puu-dutab selline tegevus väga suurt osa kogu andmetöötluse valdkonnast.

• Vead JES3 DSI (Dynamic System Interchange) kasutamisel - Job Ent-ry Subsystem JES3 võimaldab arvuteid käitada süsteemina, mis koosnebühest Global-arvutist ja mitmest Local-arvutist. Süsteemiks liidetud arvu-teid (Global- ja Local-arvuteid) haldab Global-arvuti, mis jagab teistele au-tomaatselt peamiselt pakktöid ( batch jobs ) (sarnaneb Parallel-Sysplex-Clusteriga, kuid piirdub siiski JES3-ga). Global-arvuti vastutab sealjuureskogu pakktöö tsükli eest, nt Job Control Language’i transleerimise, süstee-miseoste, ressursside kontrollimise ja Output-Managementi eest. Selleks,et üks Local-arvuti saaks üle võtta Global-arvuti funktsiooni, tuleb vastatapaljudele süsteemiküsimustele. Küsimustele vastamisel tehtud vead võivadäärmisel juhul viia kõikide süsteemiks liidetud arvutite IPL-ini (Initial Prog-ram Load).

• z/OS-i kasutajatunnuste tõkestamine - Kui atribuudiga Special töötavate ka-sutajatunnuste alt sisestatakse parool mitu korda järjest valesti, järgnevadsellele konsooliteated (reply ). Kasutaja (operator ) saab sellisel juhul otsus-tada, kas kasutajatunnus tuleks sulgeda. Kui kõikide atribuudiga Specialtöötavate kasutajatunnuste kasutamine tõkestatakse (automaatselt), nt kuiseistakse silmitsi DoS-ründega, tekib olukord, kus süsteemis pole enam mit-te ühtegi kasutajatunnust, mis suudaks kasutada RACF-i. Niimoodi tõkesta-takse kogu turbesüsteemi kasutamine.

• Ketaste lülitamine offline -režiimi - Kui mõni kõvaketas lülitatakse ekslikultoffline -režiimi, võivad sellel olla väga rasked tagajärjed ning sellega võibkaasneda isegi tervet süsteemi halvav rike.

• Default Program Classi kustutamine RACF-is - Kui Program-klassi tähtprofiilkogemata (nt trükivea tõttu) ära kustutatakse, võib see viia kogu süsteemitöö seiskumiseni. Siinkohal ei aita ka IPL, sest see ei kõrvalda vea põhjust.Kõigepealt tuleb puhastada RACF-i andmebaas. Selline viga võib põhjus-

373 / 781

tada mitmetunnise seisaku kogu süsteemi töös ja vea kõrvaldamine võibosutuda väga vaevarikkaks.

• RACF-i vigaste käskude läbilubamine - Olukorras, kus mõni süsteem onkaasatud RACF-i käskude sünkroniseerimisse (nt RACF Remote SharingFacility, RRSF), võib juhtuda, et RACF-i vigane käsk mõjutab kõiki sellesseIT-kooslusesse kuuluvaid süsteeme. Näiteks kui RRSF edastab info, et De-fault Program Class tuleb ära kustutada, võib tagajärjeks olla kogu RRSF-süsteemi töö seiskumine.

• Programmi eeldefineeritud funktsiooniklahvide väärkasutus - Eeldefineeri-tud funktsiooniklahvide kasutamine võib teatud tingimustel põhjustada tur-beprobleeme. Eriti hoolikas tuleb olla siis, kui funktsiooniklahvid program-meeritakse täitma käske, mis eeldavad, et enne nende täitmist tuleb sises-tada lisaparameetreid. On oht, et operaator vajutab mõnd funktsiooniklahvitäiesti juhuslikult, jättes lisaparameetrid sisestamata. Kui sellise käsu sün-taks osutub korrektseks ka lisaparameetreid sisestamata, asub süsteem se-da käsku täitma ja tekitab olenevalt olukorrast kas soovimatuid kõrvalmõ-jusid või koguni üüratut kahju.

• Kõikvõimalikud sisestusvead - Kõikidel juhtudel tuleb arvestada sisestusvi-gade võimalusega. Näiteks kui soovitakse peatada mõne süsteemitegumi(system task ) töö või pakktöö (batch job) ja kasutaja teeb sisestusvea, võibjuhtuda, et sarnase nime tõttu peatatakse hoopis vale protsess. Sama kehtibka süsteemikäskude kohta. Näiteks kui SNA-sõlme inaktiveerimisel sisesta-takse ühe konkreetse terminali nime asemel Cross Domain Manageri nimi,luuakse olukord, kus kõik selle domeeni SNA-sessioonid lähevad kaduma.Pärast selle sõlme taaskäivitamist peavad kasutajad end uuesti sisse logimaja süsteemiga uue SNA-ühenduse looma.

• Ressursside lukustamine - Ressursside vastastikusel lukustamisel(Enqueue Contention) ei saa funktsioone kasutada seni, kuni need uuestilukust lahti tehakse. Sageli tuleb selleks, et lukustatud ressursse õigeteMVS-käskudega lukust lahti saada, töötada läbi mitmeid süsteemipäringuid(Displays) ning see tegevus eeldab suuri kogemusi.

• Käsu Z EOD juhuslik sisestamine - Kui töötava süsteemi MVS-Master-Console’i sisestatakse käsk Z EOD, järgneb sellele kogu süsteemi kontrol-limatu väljalülitamine. Kõik protsessid suletakse ja need tuleb uuesti töölelülitada. Selle protsessiga kaasneb enamasti vähemalt 30 minuti pikkunetööseisak.

374 / 781

G 3.74 z/OS-i süsteemiseadistuste puudulik kaitse dünaamilistemuudatuste vastu

Paljusid z/OS-süsteemi seadistusi saab käitamise ajal muuta, ilma et selleks olekstarvis teha IPL-i (Initial Program Load). Pärast olemasoleva parameetrifaili (Mem-ber of Parmlib) muutmist või uue faili loomist käivitab aktiveerimiskäsk asjakohasemuutmisprotsessi.

z/OS-süsteemide turvet võib ohustada see, kui mõningaid käske kasutataksekas valesti või kui volitamata isikud neid käske oma tarbeks ära kasutavad.Järgnevalt loetletakse kriitilise tähtsusega parameetrifailid ja süsteemikäsud,mida on võimalik töötavas süsteemis dünaamiliste muudatuste funktsioonigajooksvalt muuta.

• APF-i failide täiendamine - Faile, mille volitusi haldab Authorized ProgramFacility (APF), saab valida Definitions Memberiga (PROGnn) ja seejärel ak-tiveerida käsuga SET PROG=nn (käsuga SET ja parameetriga PROG=m).APF-i töömehhanismi on võimalik teeke ükshaaval lisada ka käsuga SET-PROG APF (käsuga SETPROG ja parameetriga APF). Kui Parmlibi definit-sioonid või asjakohased käsud ei ole sobivalt kaitstud, võivad tekkida turbe-probleemid, sest kolmandad isikud saavad seetõttu anda oma programmi-dele väga suured volitused ja neil tekib võimalus oma programme töötavassüsteemis ka aktiveerida.

• LINKLIST-i mehhanismi täiendamine - LINKLIST-is saab defineerida prog-ramme, mis peavad olema pakktöö jaoks saadaval ilma Steplibi või JoblibDD Statementita. Asjakohaseid definitsioone hoitakse Parmlibi PROGnn-Memberis, kusjuures faile saab uue defineeritava Memberiga ja käsu-ga SETPROG LNKLST dünaamiliselt juurde lisada. Juhul kui LINK-LIST on süsteemidefinitsioonis (IEASYSnn) defineeritud parameetriga LN-KAUTH=LNKLST, on kõikidel programmidel, mis selle mehhanismiga laadi-takse, automaatselt APF-i volitused. Kui see käsk on ilma kaitseta kõikidejaoks saadaval, ohustab see süsteemi terviklust.

• User Exitite desaktiveerimine ja muutmine - Käsuga SETPROG EXIT on või-malik Exiteid desaktiveerida ja asendada. Juhul kui see käsk ei ole piisavaltkaitstud, võib juhtuda, et ründajal õnnestub süsteemis käivitada oma Exitid.Näiteks saab sellega tõkestada SMF-lausete (System Management Facility)kirjutamist ja pärssida süsteemi auditeerimist (süsteemi hägustada).

• Message Processing Facility (MPF) muutmine - Paljud programmid, mis te-gelevad protsesside automatiseerimisega, analüüsivad süsteemi teateid (messages ). Kui MPF-i (Message Processing Facility) versioone mõjuta-da käsuga T MPF=nn, on võimalik automatiseerimisprotsessi manipuleeridavõi see koguni täiesti välja lülitada (T MPF=NO).

• Parameetrifailide väljavahetamine - Parameetrifailid (Parmlibid) on z/OS-isüsteemidefinitsioonide ühed tähtsamad osised. Käsuga SETLOAD on või-malik

• olemasolevaid Parmlibe asendada uutega.• Teised dünaamilisi muudatusi puudutavad kriitilised z/OS-i käsud - Lisaks

eespool kirjeldatud käskude saab z/OS-i süsteemiseadistusi muuta ka mit-

375 / 781

mete teiste käskudega, nt käsuga SETSSI, millega saab muuta või kustuta-da alamsüsteeme, või SETSMS, millega saab muuta SMS-ide definitsioone.Turbeprobleeme võib tekitada eelkõige see, kui käsud, mis suudavad z/OS-idefinitsioone dünaamiliselt muuta, on kontrollimatult saadaval. Selliste käs-kude väärkasutus võib tekitada samasuguseid probleeme nagu manipulee-rimine kriitiliste definitsioonifailidega.

Näited

• Volitamata juurdepääs APF-i failidele - Kuna käsk SETPROG APF ei olnudpiisavalt hästi kaitstud, suutis ettevõtte töötaja anda asjakohased volitusedka oma loodud programmifailile. Kasutades veel ka ühte teist programmi,mille see fail laadis, õnnestus töötajal võltsida olulisi finantsandmeid.

• Automatiseerimise mõjutamine - Töötaja lülitas käsuga T MPF=NO (T onSET-käsu lühivorm) välja z/OS-Message-Processingu. Tagajärjeks oli kon-sooli ülekoormamine (teadete kuhjumine) ja osade seal defineeritud Exititetöö tõkestamine, mis pärssis tugevalt süsteemi automatiseerimisprotsessi.

376 / 781

G 3.75 z/OS-i pakktööde puudulik kontroll

z/OS-operatsioonisüsteeme kasutatakse jätkuvalt väga sageli pakktööde (batchjobs) töötlemiseks. Pakktöö koosneb enamasti ühest või mitmest üksiketapist (jobsteps).

Pakktööde sisendi moodustavad üks või mitu faili või asjakohased juhtimiskaar-did, mis lisatakse Job Entry Subsystemiga (JES2/3). Väljundi eest vastutab samutiJob Entry Subsystem.

Pakktööde juhtimine koosneb peamiselt stardi, protsessi seire ja tulemi kontrol-limise funktsioonidest (enamasti kontrollitakse returncode ’i). Olenevalt returnco-de ’i tüübist tuleb võib-olla käivitada ka mitmeid järel-pakktöid. Mida suurem onpakktööde arv ja mida keerulisemate protsessidega on tegu, seda suurem on kaveaoht.

• Käsitsi juhtimine - Pakktööde käsitsi juhtimisel on alati oht, et inimeste põh-justatud vead toovad endaga kaasa probleeme. Ajaressursi ebaotstarbekakasutamise kõrval puudutab see ka pakktööde omavahelisi sõltuvussuhteid.Kui käsitsi juhitavate pakktööde arv aina kasvab, suureneb sellega drastili-selt ka kogu pakktöö protsessijada keerukus ning see toob omakorda kaasaaina suurema arvu vigu. Seetõttu on käsitsi juhtimisel teatud piirid. Ajalisedviivitused võivad tekkida näiteks sellest, et mõni pakktööle järgnev online-protseduur ei saa ennast õigel ajal käivitada, või sellest, et failidest varu-koopiate tegemine satub vastuollu online -protseduuri tööprotsessiga.

• Masinaga juhtimine (Job Scheduler) - Kui kasutatakse masinaga juhtimist(Job Scheduleri), tagab see protsessi korrektse toimimise. Samas võib kamasinaga juhtimises esineda probleeme, nt kui Job Schedulerile antud kä-sud on jäetud asjakohaselt katsetamata ja neis esineb vigu. Job Scheduleritöös võib põhjustada vigu ka pakktöö jaoks valesti defineeritud automatisee-rimisprotsess.

Näide

• Online -töörežiimi pärssimine - Süsteem ei registreerinud olukorda, kus ükspakktöö katkes. Viga tuli ilmsiks alles järgmisel päeval, kui andmeid hakatitöötlema online -režiimis. Vea parandamiseks tuli andmetöötluse online -režiimi töö katkestada, andmehulgad tagasi laadida ja pakktöö uuesti käimapanna. Kogu selle aja jooksul ei saanud online -töörežiimi kasutada.

377 / 781

G 3.76 Vead kaasaskantavate seadmete sünkroniseerimisel

Andmed, mis on salvestatud mobiilsetes IT-süsteemides nagu sülearvutid, mo-biiltelefonid ja pihuarvutid (PDA-d), sünkroniseeritakse sageli statsionaarsete IT-süsteemidega.

Seejuures võidakse hävitada ka andmed. Tavaliselt tuleb enne sünkroniseeri-mist selgeks teha, kuidas käsitleda andmete võrdlemisel tekkivaid konflikte: kassarnaste andmete korral võtta mobiilse või mõne muu seadme andmed ilma küsi-mata üle või peaks tegema päringu. See konfigureeritakse sageli dokkimisjaamakasutuselevõtul ja unustatakse seejärel. Kui siis aga muudetakse andmeid teisesjärjekorras kui seda algselt mõeldi, läheb oluline teave kiiresti kaduma. See eba-meeldib kõrvalmõju võib esineda ka siis, kui paljud kasutajad sünkroniseerivadoma mobiilsed seadmed sama seadmega, mõtlemata sellele, et samanimelisedandmed võidakse üle kirjutada.

378 / 781

G 3.77 Infoturbe vähene aktsepteerimine

Institutsioonis või ka selle osakondades võib juhtuda, et infoturvet ei osatapiisavalt tähtsustada ja töötajatel puudub arusaam, miks on turbemeetmetevõtmine hädavajalik.

Põhjused võivad olla järgmised:

• ettevõttes või ametiasutuses on välja kujunenud järgmiste juhtmõtetega töö-kultuur: „Meil on siin kõik niigi hästi!”, „Me usaldame oma töötajaid ja me eihakka midagi luku taha peitma!”, „Aga mis meil siin juhtuma peaks?”, „Needteie turbemeetmed ainult segavad töötegemist”;

• eeskujude puudumine, nt kui ka ülemused ei näita õiget eeskuju;• töötajate erinev sotsiaalne või kultuuriline taust (teised maad, teised kom-

bed).

Tüüpilised probleemid tekivad olukordades, kus töötajate erineva tasemega ka-sutajavolitusi või nende käsutuses olevat riist- ja tarkvara käsitletakse staatuse-sümbolitena. Nende piiramine võib põhjustada väga suurt vastuseisu.

Näited:

• Militaarse taustaga asutustes lähtutakse sageli põhimõttest, et turbemeet-mete võtmist võib nõuda käsu korras. Näited praktikast tõestavad aga, ettöötajad, kes ei ole turbemeetmete võtmise mõttest ja eesmärgist piisavaltinformeeritud, hakkavad neist mööda hiilima, kui märkavad, et need takista-vad tööülesannete kiiret täitmist.

• Käsk kasutada ainult turvalisi paroole lõi ühe militaarse otstarbega IT-süsteemi kasutamisel olukorra, kus selle nõude täitmiseks võeti kasutuseleparoolide genereerija. See koostas 16-kohalisi juhuslikke paroole, mida ku-vati ekraanil ainult üks kord 10 sekundit. Sellest ajast piisas, et parool ülesmärkida. Kuna aga väga paljud inimesed ei suuda niisama lihtsalt meelespidada selliseid paroole nagu aN§3bGP?tz1BuH89, rikuti taas kord turbe-nõudeid, sest ülesmärgitud paroolidega sedeleid ei hävitatud, vaid neid hoitivõimalikult arvutite ligidal.

• Just nutitelefone ja tahvelarvuteid nähakse kui staatuse sümboleid, mille tõt-tu langeb valmisolek järgida infoturvet puudutavaid korraldusi, näiteks mittekasutada seadmeid isiklikeks eesmärkideks. Nii esineb juhuseid, mille kor-ral hoidusid töötajad IT-osakonna turvameetmetest ruutimise või lahtimurd-mise abil, et installeerida lukustatud rakendusi. Neil oli siiski õigus lugedatelefoniraamatut, mille kaudu sattusid salvestatud kliendiandmed volitamataisikutele.

379 / 781

G 3.78 Seadmekaablite halb paigutus ruumis

Koosoleku-, ürituse- ja koolitusruumides vahetuvad pidevalt kasutajad ja pi-devalt võib muutuda ka nende ruumide kasutusotstarve. Kuna neis ruumideskasutatakse vastavalt vajadusele erinevaid seadmeid, muutuvad ka seadmetekaabliühendused. Olenevalt sellest, kus paiknevad ruumis pistikupesad (ükskõikkas elektri- või andmevõrgu omad), võib juhtuda, et ühendatud kaablid jäävadinimestele jalgu. Sellised „püünised” ei kujuta endast ohtu mitte ainult inimestele.Kui keegi kaabli otsa komistab, võivad sellel olla ka veel järgmised tagajärjed.

• Kõige lihtsamal juhul tõmmatakse lahti mõni pistikkontakt ja ühendus katkeb.• Kui kaablit rebitakse väga järsult, võib juhtuda, et pistikkontakt lõhutakse

ära. Lisaks võib kruviühendustega kontaktide puhul juhtuda, et komistamiselkistakse endaga kaasa ka nt laual olnud seade ning maha kukkudes saabseade kannatada.

380 / 781

G 3.79 SAN salvestivõrgu ressursside vale jaotamine

Operatsioonisüsteemid reageerivad nähtavatele salvestusressurssidele erinevalt.Kui ei toimu serverite ja salvestusressursside ühemõttelist ja tugevat jaotamist,võivad volitamata juurdepääsud salvestusressurssidele näiteks teiste serveritekaudu operatsioonisüsteemi või rakenduse tasemel kaitsekontseptsiooni sattuda.

Sel juhul ei tule silmas pidada mitte ainult ettekavatsetud rünnet, mille puhulründaja proovib konfiguratsiooni lünkasid oma huvides ära kasutada. Tähelepa-nuväärne on ka mõnede operatsioonisüsteemide eriomadus kõik kättesaadavadkõvakettad endaga siduda ja oma riistvarakonfiguratsiooni kaasata.

Just Windows serverid kalduvad kasutama kõiki nähtavaid salvestusressursse.Salvestusvõrguga seoses võib juhtuda nii, et salvestusvaldkonnad, mis on jaota-tud teistele süsteemidele, võetakse nendelt ära või võltsitakse või hävitatakse neilolevaid andmeid.

381 / 781

G 3.80 Andmebaaside sünkroniseerimisvead

Eri asukohtades paiknevate või kaasaskantavates seadmetes hoitavate andme-baaside sünkroniseerimiseks kasutatakse andmebaaside või nende osade pee-geldamist. Andmete ühtlustamiseks on need tarvis sünkroniseerida.

Sünkroniseerimisel võib tekkida tõrkeid ja koos sellega ka andmekadusid, kuikaks kasutajat on peegeldatud andmebaasi üht kindlat andmeosa muutnud võiselle ära kustutanud. Sageli pole probleemide vältimiseks kasu ka süsteemi defi-nitsioonidest, mis määravad kindlaks, millistel tingimustel andmeid üle kirjutatakse,sest tavajuhtudel eelneb sellele sisu analüüs. Isegi siis, kui kõikide sünkroniseeri-misprotsesside jaoks on kehtestatud asjakohased reeglid, ei pruugi kasutajad neidteada ja see viib omakorda soovimatute tulemusteni.

Eri asukohtades paiknevad andmebaasid sünkroniseeritakse tavaliselt auto-maatprotsessina. Võimalikud vastuolud ilmnevad sageli alles pärast sünkronisee-rimist, kui andmebaasi administraator andmebaasi avab või selle logiandmeidanalüüsib. Andmebaasi administraatoril ei pruugi sageli olla ei vajalikke volitusiega ka piisavaid teadmisi, otsustamaks, kuidas tekkinud vastuolusid lahendada.Sama kehtib ka juhtudel, kus sünkroniseerimisprotsessid käivitatakse käsitsi, kuidsünkroniseerimisprogrammid ei teavita kasutajaid tekkinud probleemidest.

Kaasaskantavad seadmed sünkroniseeritakse enamasti käsitsi. Mõningatelandmebaasidel on küll võimalus kasutajat tekkinud probleemidest informeerida,kuid kasutajal ei ole siiski mitte alati võimalik langetada õigeid otsuseid selle koh-ta, kuidas tema andmed lõpuks sünkroniseeritakse, sest ta ei pruugi teada kõikiandmemuudatustega seotud asjaolusid.

382 / 781

G 3.81 Turvamallide väär kasutamine alates Windows Server 2003-st

Windows Server 2003 võimaldab süsteemi konfiguratsiooni jaoks olulisi seadistusiüle võtta mallidena. Mallide tüübid on järgmised:

• failid laiendiga .inf: neid faile nimetatakse Windows Server 2003-s turvamal-lideks ja neid töödeldakse turbekonfiguratsiooni redaktoriga (SCE);

• XML-i mallid: kannavad alates versioonist Windows Server 2003 koos re-mondipaketiga Service Pack 1 nimetust turvapoliitikad ja neid töödeldakseturbekonfiguratsiooni assistendiga (SCW);

• failid laiendiga .pol (Windows NT 4.0 mallid): need on samuti Windows Ser-ver 2003-s rakendatavad.

Kõiki ülalloetletud failitüüpe nimetatakse edaspidi turvamallideks. Niipea kuineed kasutusele võetakse, muudavad need süsteemi konfiguratsiooni.

Olukorras, kus serverile laetakse turvamallid ja need käivitatakse, tekib oht, etvõib kaduda kas üksikute funktsioonide või kogu serveri käideldavus. Kui muu-datused kantakse grupipoliitikate või skriptide toel automaatselt edasi ka teistes-se serveritesse, võib see tugevalt pärssida terve IT-koosluse tööd või selle ko-guni seisma panna. Seega kaasneb turvamallide ebapädeva rakendamisega suurveaoht. Ohud võivad alguse saada juba turvamallide ebapädevast koostamisest.Mallide koostamine eeldab nõuete ja vajaduste analüüsi. Seejärel tuleks mallidetööd kontrollsüsteemis katsetada ja seda peaks tegema administraator kas käsit-si või automaatselt, kasutades SCW-d. Analüüsiprotsess peab hõlmama paljusidserverikomponente ja operatsioonisüsteemi süvaseadistusi. Analüüs võib jäädapuudulikuks ja see võib tehnilistel põhjustel ka ebaõnnestuda. Turvaandmebaasidja -kataloogid, mida analüüsitakse, võivad sisaldada vigu ja ei pruugi olla piisavaltvärsked. Lisaks võivad analüüsi kulgu ettearvamatus suunas mõjutada ka kolman-date tootjate programmid või süsteemi konfiguratsiooni eripärad.

SCW suudab SCE turvamalle teisendada ja siduda neid turvapoliitika-failidega.Selle tagajärjel võivad mõnede parameetrite vahel tekkida konfliktid. Turvamallide-le võivad osutuda kasulikuks Active Directory evitamismehhanismid, kuid nenderakendamiseks tuleb kas kõik mallitüübid teisendada asjakohasteks grupipoliitika-objektideks või kui kasutatakse .pol-laiendiga faile, siis tuleks need Windows NT4.0-st üle viia. Ka sellise tegevuse käigus võib tekkida nii konflikte kui ka ühildu-vusprobleeme.

Turvamallide evitamisprotsess võib serveris ebaõnnestuda, kui server ei täidaturvamalli rakendamise jaoks vajalikke eeldusi. Vanad rakendused, mis on loodudversioonidele Windows 2000/2003, võivad endaga sageli kaasa tuua ootamatuidkõrvalmõjusid. Lisaks võivad ootamatud ja raskesti likvideeritavad tagajärjed ollavolituste seadistustes kindlaks määratud keelavate definitsioonide kasutamisel.

Kõikide kirjeldatud punktide korral on oht, et rakendatav mall ei too endaga kaa-sa soovitud tulemusi, vaid viib süsteemi seisundisse, mida ei suudetud varem isegiette näha.

Ohud võivad märgatavalt suureneda, kui turvamallide koostamise ja evitamisekäigus loobutakse nende katsetamisest või kui katsetamisel rakendatavad süstee-mid ei lange piisavalt kokku turvamalli hilisema kasutuskeskkonnaga.

383 / 781

IT-kooslusele võib saada ohtlikuks ka see, kui turvamallide evitamisel ja sellekontrollimisel võetakse valesid tehnilisi või töökorralduslikke meetmeid. Kui evita-misprotsessis tekkinud vigu ei märgata, hakkab see pärssima serverite koostalit-lusvõimet. Tekib olukord, kus konfiguratsioon ja sellest loodetud turve realiseerubainult ositi. Kui jätkatakse lisaturbemallide inkrementaalse evitusprotsessi välja-töötamist, lähtutakse olukorrast, kus kõik sihtsüsteemid ei vasta tegelikult eeldatudtingimustele. Sellist olukorda võib nimetada muu hulgas ka poliitikate ühilduvus-probleemiks.

Kõige suuremaid ühilduvusprobleeme teiste turvamallitüüpidega on täheldatudWindows NT 4.0-st pärit turvamallide (.pol-failide) puhul. Versioonil Windows Ser-ver 2003 puuduvad .pol-laiendiga failide töötlemiseks vajalikud utiliidid ja tootja eipaku enam nende rakendamiseks kasutajatuge.

384 / 781

G 3.82 IP-kõne vahendustarkvara väär konfiguratsioon

VoIP-tehnoloogial töötava telefonikeskjaama puhul võib esineda täpselt samasu-guseid väärkonfiguratsioone nagu liine ühendava keskjaama puhul. Vigadena võibarvesse tulla näiteks telefoninumbrite ja nende kasutajate vale seostamine ningsee võib tipneda kogu telefonisüsteemi taristu rikkega. Välistada ei saa muidugika turbe seisukohast vähem kriitilisi vigu, nt telefoniraamatusse märgitud valesidnimekujusid.

Telefoniseadmega saab kasutajatele anda ja neilt ära võtta helistamisega seo-tud privileege, nt välismaale või tasulistele infoliinidele helistamise võimaluse.Seadistamisel tehtud vead, nt kui vabalt ligipääsetav telefoniühendus võimaldabpiiramatult helistada ka välismaale, võivad hõlbustada telefoni väärkasutust.

VoIP lahenduste puhul on omavahel enamasti integreeritud mitu süsteemi. Kuiseansialustusprotokollina kasutatakse SIP-i, on kommunikatsiooniks enamasti tar-vis selliseid süsteeme nagu Registrarid, SIP-Proxy-Serverid ja Location-Serverid.Kui tehakse muudatusi, tuleb muuta kõiki süsteeme ning sellest võivad tekkidakonfiguratsioonivead. Kõik süsteemid tuleb sageli eraldi konfigureerida isegi siis,kui need töötavad koos ühes arvutis. Kui ühes süsteemis jäetakse muudatus kor-rektselt tegemata, võib juhtuda, et terve telefonisüsteemi taristu muutub kasutus-kõlbmatuks.

Kui kontaktisik on kas kinni või viibib eemal, ei kasutata VoIP-tehnoloogia pu-hul enamasti mitte tavalist automaatvastajaid, vaid kõneposti (voice mail). Sagelion tegu meiliga, millele on manusena lisatud kõne audiosalvestis. Juhul kui meilisaatmise konfiguratsioonis on meiliaadressi sisestamisel tehtud mõni trükiviga, eisaa adressaat seda meili kätte. Võib koguni juhtuda, et meil saadetakse mõnelevalele adressaadile.

Peale VoIP-tehnoloogia andmeedastussüsteemide tuleb asjakohaselt konfigu-reerida ka sügavamates võrgukihtides töötavad marsruuterid ja kommutaatorid.Andmeedastuses tekkivate viivituste vältimiseks on paljudes seadmetes võimalikluua konfiguratsioon, mis laseb eelisjärjekorras endast läbi VoIP-andmeside. Kon-figuratsioonivead võivad kõige hullematel juhtudel endaga kaasa tuua terve võrgurikkeseisundi.

385 / 781

G 3.83 IP-kõne komponentide väär konfiguratsioon

VoIP komponentide õige konfiguratsioon on ülimalt oluline nii eraldiseisvate riist-varaliste süsteemide ( appliances ) kui ka tarkvaraliste süsteemide puhul. Pea-le signaliseerimisprotsessi kindlaksmääramise, millega tegeletakse planeerimisekäigus, on väga olulisel kohal ka meediavoogude edastusprotseduurid. Kõneinfotedastavaid IP-pakette on võimalik tihendusfunktsiooniga väiksemaks muuta.

Kui tihendusprotseduur on liiga võimas ja pakib kõneinfo liiga tugevalt kokku,võib halveneda kõne kvaliteet. Seevastu kui tihendusprotseduur on liiga nõrk jajätab andmepaketid ka pärast kokkupakkimist liiga suureks, võivad infovood IP-võrgu üle koormata.

Krüpteerimist saab IP-kõne konfidentsiaalsuse kaitseks kasutada ainult mõ-ningate väheste meediaedastusprotokollidega, nt SRTP-ga. Selleks et töötadavastu võimalike vajaminevate edastussüsteemide logimisfunktsioonile, saab palju-de krüptoprotokollide rakendamisel kasutada konfiguratsiooni, mille korral toimubkrüpteerimine otse kahe lõppseadme vahel. Väär konfiguratsioon võib siinkohalviia krüpteerimata andmeedastuseni, mida ei pruugita märgata. Kui kasutatakseliiga nõrgatoimelisi krüpteerimisprotseduure või kui valitakse liiga lühike võtme-pikkus, võib ründaja olenevalt olukorrast ka krüpteeritud andmesidet siiski pealtkuulata.

Ründajale ei pruugi huvi pakkuda mitte ainult kõnede pealtkuulamine. Selle infohulka, mida ründajal on võimalik oma tarbeks ära kasutada, kuuluvad ka signali-seerimisprotsessi käigus edastatavad andmed. Näiteks kui lõppseadme konfigu-ratsioonis on viga ja selle vea tõttu edastatakse sisselogimisel kasutatav paroolavatekstina, saab ründaja endale võtta mõne teise kasutaja identiteedi ka siis,kui kõik andmesides osalevad VoIP komponendid toetavad turvalist (Challenge-Response-) protseduuri. Identiteedivarguse tagajärjel saab ründaja tasuta omaohvri kulul helistada või muid teenuseid väärkasutada, nt kõneposti pealt kuulata.

Tarkvaratelefone (softphones) või tarkvaralisi telefonikeskjaamu kasutatakseväga sageli standardse konfiguratsiooniga arvutites. Tarvis on vaid mõnda levi-nud operatsioonisüsteemi, mille keskkonnas vastavad programmid tööle rakenda-da. Operatsioonisüsteemide administreerimis- ja konfigureerimisvead võivad vägasuurel määral mõjutada IP-kõne rakenduste töökindlust ja turvet.

Ükskõik kas IT-süsteemis käitatakse lõppseadet (softphone) või edastusseadet(tarkvaralist telefonikeskjaama), võib pääsuõiguste vale jagamine ühelt poolt tõ-kestada mõningate funktsioonide kasutamist ning teiselt poolt luua olukorra, kuspääsuõigusi saab hakata kasutama vääral otstarbel.

386 / 781

G 3.84 Traadita kohtvõrgu taristu väär konfiguratsioon

Pääsupunktid ja teised WLAN-i komponendid kätkevad endas paljusid, eriti turvetpuudutavaid konfigureerimisvõimalusi. Konfiguratsioonivead võivad luua olukorra,kus kommunikatsioon jääb kuhugi pääsupunkti toppama või liigub sealt edasikrüpteerimata, ja seda vaatamata asjaolule, et tehtud konfiguratsioon peakseeldatavasti pakkuma tõhusat turvet. WLAN-i komponentide väär konfiguratsioonvõib endaga kaasa tuua järgmisi turbeprobleeme:

• Kui pääsupunktide (access point) juurdepääsud pole piisavalt turvatud, võibkeegi muuta nende seadmete konfiguratsiooni nii, et selle tagajärjel tekivaduued turvaaugud.

• Kui WLAN-i turbemehhanismid pole pääsupunktides konfigureeritud läbivaltühtmoodi, võivad tekkida kas käideldavusprobleemid või turvaaugud.

• Niipea kui WLAN-ist on võimalik internetti pääseda, saab juhul, kui lisafilt-reerimismehhanisme ei rakendata, internetti pääseda igaüks, kes ühendabend WLAN-iga.

• Kui WLAN-i klientsüsteemis lubatakse liiga kergekäeliselt kasutada kõik-võimalikke katalooge ja teisi süsteemiressursse, saab ründaja märkamatultluua juurdepääsu sellele klientsüsteemile.

• Kui WLAN-i klientsüsteemis töötav isiklik tulemüür on vigase konfiguratsioo-niga või kui see kasutaja vahetumise tõttu välja lülitatakse, võib juhtuda, etklientsüsteemi operatsioonisüsteem muutub rünnete vastu kaitsetuks. Eri-ti suuri probleeme põhjustab see võõrastes keskkondades ja Hotspotsidepuhul.

Turbeprobleeme põhjustavad ikka ja jälle ka WLAN-ide Remote-Support-pääsud, kui need ei ole piisavalt turvatud ja kui neid kasutatakse ebaturvalistesvõrkudes. Väärkonfiguratsioonid võivad siin viia näiteks WLAN-i klientsüsteemikompromiteerimiseni, mille tagajärjel saab ründaja oma käsutusse info, kuidasWLAN-i pääseda. Sellisel moel kogutud info võib viia ka terve WLAN-i ründamise-ni ja sealt omakorda WLAN-iga ühendatud LAN-i ründamiseni.

387 / 781

G 3.85 Tuletõkete kahjustamine

Igasse hoonesse, kus kasutatakse IT-süsteeme, on veetud suurel hulgal kõikvõi-malikke kaableid ja torustikke, nt joogivee- ja kanalisatsioonitorustikud, küttetorus-tikud, elektrikaablid, andmesidekaablid. Sellised torustikud ja kaabliliinid läbivadka tuletõkkeseinu ja korruste vahelagesid. Kui läbiviikudele pole paigaldatud asja-kohaseid tuletõkkeid (vt M 1.9 Ruumide ja korruste tuleisolatsioon trassiavades),võivad nendest kohtadest alguse saada tulekahjud või suured suitsukahjustused.

Liinide ja torustike kallal tehtavad tööd on hoonete kasutamise käigus vältima-tud, sest aeg-ajalt tuleb ikka kas midagi parandada või näiteks uusi kaableid juurdevedada. Selliste tööde käigus tuleb tuletõkked kas osaliselt või täielikult eemal-dada. Juurde paigaldatud kaablid muudavad lisaks kaabliliini tulekoormust. Selletagajärjel võib tekkida olukord, kus liinid ei vasta enam hoonele ehitamise käigusette nähtud tuleohutusnõuetele.

Kahjuks näitavad kogemused seda, et inimesed, kes tegelevad selliste projek-tidega (planeerimise, teostuse ja tööde vastuvõtmisega), ei ole piisavalt kursis,millised on nimetatud tööde tagajärjed hoone tuleohutusele, mistõttu esineb sage-li järgmisi vigu:

• Eemaldatud tuletõkkematerjali ei paigaldata tagasi oma endisele kohale jaselline tegevus jäetakse isegi planeerimata.

• Tööde käigus kahjustada saanud ja seega enam mittetoimivaid tuletõkkeidei asendata viivitamatult uutega.

• Tuleohutusnõudeid ei viida kooskõlla muutunud olukorraga.

Selliste vigade tagajärjel suureneb tuleoht ning põlengu- ja suitsukahjustusteoht. Kui tuleohutuse seisukorra muutumine puudutab ka koridore ja evakuatsioo-niteid, seatakse ohtu mitte ainult IT-süsteemid, vaid ka inimeste elu ja tervis.

Näide

• Mitmekorruselises büroohoones paigaldati ühtsesse kaablišahti kõikvõima-likud kaablid, mis ulatusid keldrist kõige ülemise korruseni. Kõikide korrus-tevaheliste läbiviikude suurus oli kavandatud piisava reserviga, kuid pärastkaablite paigaldamist jäeti läbiviigud avatuks. Keldris asuvas ruumis, kustkaablišaht algas, hoiti suurt kogust paberit ja riiet. Kui sellises olukorrasoleks puhkenud tulekahju, oleks kaablišaht toiminud nagu korsten. Tulekah-ju oleks keldrist väga kiiresti levinud kõikidele korrustele.

388 / 781

G 3.86 Printerite, koopiamasinate ja multifunktsionaalsete seadmetereguleerimata ja hooletu kasutus

Igas asutuses on infot, mis ei ole mõeldud avalikkusele. Need võivad olla näiteksarendustöö tulemused, strateegiad ja muud konfidentsiaalsed dokumendid.Selliste dokumentide paljundamisele on enamasti kehtestatud mingisugusedreeglid, et see info asutusest kontrollimatult välja ei lekiks.

• Kui soovitakse, et kõikide IT-seadmetes töödeldavate andmete turve oleksvõimalikult hea, ei tohi digitaalsete materjalide kõrval unustada ka analoog-sel kujul hoitavat infot. See kehtib näiteks prinditud materjalide, paberkaus-tade ja mikrofilmide kohta. Ka kõige tugevamast krüpteerimisest pole mingitkasu, kui krüpteeritud dokument on dekrüpteeritud, välja prinditud ja kol-mandatele isikutele vabalt kättesaadav.

• Võrguprinterite puhul jäävad prinditud materjalid sageli pikemaks ajaks prin-terisse seisma. Väga sageli juhtub seda, et võrguprinteriga, mis ei ole kasu-taja käeulatuses, prinditakse järjest mitu dokumenti ja neile minnakse järelealles siis, kui kõik on ära prinditud. Kuna printereid, mis töötavad ühes osa-konnas või ühel korrusel, kasutab palju inimesi, on ka kõikidel nendel ini-mestel potentsiaalne võimalus prinditud materjalidele oma pilk peale heitavõi need endaga volitamatult kaasa võtta. Mida pikem aeg jääb printimiseja prinditud dokumentide äratoomise vahele, seda suurem on tõenäosus, etkeegi loeb neid või võtab need endaga kaasa. Põhjuseks ei ole alati paha-tahtlikkus. Olukorras, kus mitu töötajat kasutab korraga sama printerit, võibneil töötajatel, kes printeri juures oma dokumentide printimisjärge alles oo-tama peavad, igav hakata ning aja parajaks tegemiseks võivad nad huvitunda, mida nende kolleegid on printinud ja laokile jätnud.

• Konfidentsiaalseid dokumente võib sageli leida ka paljundusmasinate juu-rest, nt automaatse sissevõtu sahtlist.

• Kasutajad jätavad sageli välja selgitamata, miks nad oma prinditud doku-mente printerist ei leia. Selle asemel teevad nad ennatlikke järeldusi IT-seadmete töö kohta ja asuvad oma dokumente uuesti printima, sest nadon harjunud, et riist- ja tarkvara põhjustavadki aeg-ajalt probleeme ja mõ-nikord esineb ka selgitamatuid viperusi. Tegelikult võis väljaprinditud doku-mendid ka keegi teine lihtsalt endaga kaasa võtta. Lisaks võib sageli ettetulla, et kasutajad valivad printimiseks kogemata mõne teise printeri, mitteselle, mida nad tavapäraselt on harjunud kasutama. Selle tagajärjel lähevadnad oma dokumente otsima vale printeri juurde ja kuna nad neid sealt eestei leia, alustavad nad uuesti printimist ning seekord juba oma tavapäraseprinteriga. Seetõttu võib paljude võrguprinterite juurest tihti leida prinditudmaterjale, millele mitte keegi järele ei tule.

Näide

• Töötaja avastab printeri juures, et keegi on printinud valed materjalid välja, javiskab prinditud dokumendid paberikorvi. Üks teine töötaja, kes ootab omadokumentide printimisjärge, korjab minema visatud paberi siiski üles ja ka-sutab selle puhast poolt oma dokumentide väljaprintimiseks. Kuna kõnelus-

389 / 781

te raames antakse väljaprinditud paberid potentsiaalsele koostööpartnerile,satuvad institutsiooni konfidentsiaalsed andmed võõra firma kätte.

390 / 781

G 3.87 Kataloogiteenuste väär konfiguratsioon

Tarkvara väär konfiguratsioon on üks sagedasemaid põhjusi, miks ründed osu-tuvad edukaks. Kataloogiteenuste keerukus ja nende suur hulk seadistatavaidparameetreid võib tekitada soovimatuid kõrvalmõjusid ja põhjustada turbeprob-leeme. Eriti raskeid tagajärgi võivad endaga kaasa tuua järgmiste valdkondadeväärkonfiguratsioonid:

• sertifikaatide server;• puustruktuuri koostamine ja defineerimine;• järeleaimatavate objektide sisseseadmine;• pääsumehhanismid;• pääsuõiguste andmine;• kataloogiteenuse LDAP-juurdepääs;• kataloogiandmebaasi partitsioonide loomine;• kataloogiteenuse replikeerimine;• intranetis töötava klientsüsteemi juurdepääs kataloogiteenusele;• Real-Time-Alert-mehhanism;• logitavate sündmuste kindlaksmääramine;• administraatoritööriistade pääsuõigused;• automaatse backup -mehhanismi konfiguratsioon.

Süsteemi konfiguratsioon peab vastama turbepoliitikaga kehtestatud nõuetele.Väära konfiguratsiooni puhul tekib oht, et turbepoliitikat rakendatakse kas valikuli-selt või valesti ning seetõttu ei täideta seatud turbe-eesmärke.

Kataloogiteenuse kaks kõige tähtsamat funktsiooni on enamasti töörollide jao-tamisel põhineva haldussüsteemi konfiguratsioon ja administraatorivolituste dele-geerimine. Kui need funktsioonid on valesti konfigureeritud, võivad tekkida suuredprobleemid volitamata süsteemipöördustega. Lisaks kaasneb väärkonfiguratsioo-nidega oht, et haldamisprotsess ei toimi enam nõuetekohaselt.

Kataloogiteenuse väärkonfiguratsioonist tingitud turbeprobleemid võivad ollajärgmised:

• kataloogiteenuse objektide väärad pääsuõigused;• liiga nõrga toimega autentimismehhanismid;• administraatoriliidese volitamatu kasutamine süsteemipöördusteks;• süsteemi haldamisvõimaluste blokeerimine;• süsteemi vähene kaitstus rünnete vastu;• kataloogiandmebaaside vigane või ebaühtlane salvestamine (replikeerimi-

ne);• turbepoliitika ebajärjepidev rakendamine.

391 / 781

G 3.88 Väär pääsuõiguste andmine

Kuna kataloogiteenuse ja operatsioonisüsteemi vahel on väga tugevad seosedning kuna kataloogiteenused sisaldavad paljusid kriitilisi andmeid nii süsteemikasutajate kui ka selle ressursside kohta, on pääsuõiguste andmine kriitilisetähtsusega turbetegevus.

• Pääsuloendid on vaid asjakohaste objektide atribuudid (properties). Pääsu-õigused kehtivad otseselt objektide, mitte konkreetse objekti erinevate at-ribuutide kohta. Objektide pääsuõigused pärandatakse standardseadistusejärgi puustruktuuri hierarhias edasi isalt-lapsele-põhimõtte alusel. Kui mõnekataloogi partitsioonide loomisel esineb vigu, võivad nimetatud pärimismeh-hanismid katkeda.

• Kuna pääsuõiguste konfigureerimisvõimalused on väga laiad, tekib lisaksoht, et kasutajatele antakse kas ebaühtlase või väära konfiguratsioonigapääsuõigused. Kui kataloogiteenuse kasutamiseks on välja antud valed pää-suõigused, ohustab see märkimisväärselt kogu süsteemi turvet. Näiteksohustab see andmete konfidentsiaalsust ja terviklust, aga võimalikud on katagauksed, mis võimaldavad laialdasi ründeid kogu süsteemi vastu.

• Üks väga kriitiline valdkond on administraatoriõiguste andmine. Pääsuõigus-te andmisega saab rakendada rollipõhist administreerimist ja see lubab de-legeerida administraatorite tööülesandeid. Kui need õigused antakse väljavalesti, seab see ohtu kogu haldamiskontseptsiooni toimimise, sest veadvõivad kataloogisüsteemi haldamise ka täielikult blokeerida.

392 / 781

G 3.89 Kataloogiteenuse LDAP-juurdepääsu väär konfiguratsioon

LDAP-d sobib kasutada kataloogiteenuste pääsuprotokollina ennekõike siis,kui kasutajad pöörduvad kataloogiteenuse poole lisarakenduste, nt intranetisvõi internetis töötavate rakendustega. Kui LDAP-pöördused on konfigureeritudvalesti, võivad tekkida järgmised probleemid:

• Valed pääsuõigused ja kataloogiteenuse volitamatu kasutamine - näiteks kuiLDAP pannakse tööle selliselt, et selle seadistus põhineb mõne kataloogi-teenuse, nt Active Directory või Novell eDirectory seadistusel, võivad tekkidaprobleemid, kui korraga hakatakse kasutama erinevate tootjate kataloogi-teenuseid. Muu hulgas võib juhtuda, et kasutajad pääsevad ligi valdkonda-dele, mille jaoks neil puuduvad volitused. Lisaks võib ette tulla, et kasutajaleantakse LDAP-ga mitteühilduva süntaksi tõttu valed pääsuõigused.

• Kasutajaparoolide edastamine avatekstina ja krüpteerimata info väljanuhki-mine - kuna LDAP on tekstipõhine protokoll, edastatakse kogu info, kaasaarvatud paroolid, avatekstina, mida on võimalik välja nuhkida. Seetõttu tu-leks LDAP jaoks võtta lisaturbemeetmeid, nt kasutada SSL-i krüpteeringut.Tuleks siiski arvestada, et ka SSL-i konfiguratsioonis võib esineda vigu, milletagajärjel väheneb süsteemi turve.

• LDAP-pöörduste vead, eriti võrgurakendustes - sisselogimiskatsed võivadaeg-ajalt ebaõnnestuda, kuigi kasutaja sisestab tegelikult täiesti korrektseautentimisinfo. Põhjuseks võib olla näiteks kataloogiteenuse süsteemiosadeerinev LDAP konfiguratsioon.

• LDAP krüpteerimisseadistustest tingitud kataloogiteenuse käideldavuse vä-henemine - LDAP signaliseerimis- ja krüpteerimisseadistuste väärkonfigu-ratsioonid, valed töövõtted ja aktiveerimisjärjekorrad võivad kataloogiteenu-se käideldavust suures osas tugevalt pärssida. Suurtes süsteemikeskkon-dades võib kataloogiteenuse uuesti töökorda seadmisele kuluda väga paljuaega ja vaeva, sest paljude vajalike võrgupõhiste haldus- ja juhtimisfunkt-sioonide kasutamine on tugevalt häiritud. Seadistuse ebakõladest tingitudprobleemid võivad ilmneda alles teatud aja möödudes.

• Erinevatest LDAP versioonidest tingitud terviksüsteemi väike tootlikkus Olu-korras, kus klientsüsteemid toetavad korraga mitut LDAP versiooni, on oht,et hakatakse paralleelselt kasutama erinevaid konfiguratsioone. Kui klient-süsteemid kasutavad näiteks mõnd vanemat LDAP versiooni, võib vigadepõhjus seisneda selles, et vanemad versioonid ei toeta uuemaid käsukom-binatsioone ning nende funktsioonides võib leiduda turvaauke. Seevastu kuiklientsüsteemid toetavad mitut LDAP versiooni, võivad kogu süsteemi turvetpärssida vead, mis on põhjustatud sellest, et konfigureerimisvõimalusi, st kaeksimisvõimalusi, on tavapärasest rohkem.

393 / 781

G 3.90 VPN-ide väär haldus

VPN-i lõpp-punktide haldamises tehtud vead võivad ohustada andmesides osale-vate võrkude käideldavust, konfidentsiaalsust ja terviklust. Seetõttu kätkevad nadendas suurt ohupotentsiaali, millega tuleb turvalise käitamise huvides kindlasti ar-vestada.

VPN-ide turbe jaoks on muu hulgas olulised järgmised aspektid:

• Rutiinsete turbega seotud tööülesannete täitmata jätmine - VPN-i klientsüs-teemide rutiinsed turbetööd jäetakse sageli tegemata. Siia alla kuuluvad näi-teks andmete regulaarne varundamine ja arvutiviiruste otsimine. Eriti keeru-line on neid töid teha mobiilsetes VPN-i klientsüsteemides, sest need sead-med liiguvad pidevalt koos oma kasutajatega ringi ja administraator ei pää-se neile ligi. Selliseid seadmeid saab küll hallata ka VPN-i kaugpöördusega,kuid olenevalt kasutajaprofiilist on asjakohaste ühenduste kestus korralikukaughoolduse jaoks sageli liiga lühike. Kui haldustöid tehakse ebaregulaar-selt, võivad seadmetes tekkida üksteisega mitteühilduvad konfiguratsioonid.

• Volitamata tarkvara kasutamine kaughalduseks - Arvutite kaughaldust võibteha ettevalmistatud tarkvarapakettidega, mida toetavad paljudel juhtudelka operatsioonisüsteemides leiduvad mehhanismid. Kui kasutaja või admi-nistraator rakendab volitamata tarkvara, võib see luua olukorra, kus VPN-ühenduses hakatakse kasutama keelatud protokolle ning ebaturvalised sea-distused võivad tekitada turvaauke.

• Krüpteerimine ja viirusetõrje - Viirusetõrjetarkvara ei suuda kontrollida krüp-teeritud andmeid. Kui krüpteerimise kontseptsioon ei ole kahjulikku kooditõrjuva turbekontseptsiooniga kooskõlas, suureneb võrgukahjude tekkimiseoht, mida põhjustavad VPN-i klientsüsteemide kaudu levivad arvutiviirused,Trooja hobused ja ussviirused.

• Viirusetõrje puudumine VPN-i klientsüsteemides - Kuna VPN-i klientsüstee-me käitatakse sageli ebaturvalistes keskkondades, kus andmekandjate va-hetumist on peaaegu võimatu kontrollida, kujutavad arvutiviirused ja muukahjulik kood siinkohal endast suurt ohtu. Kui VPN-i klientsüsteemi ei oleinstallitud värsket viirusetõrjetarkvara, on suur oht, et nt arvutiviirused, Troo-ja hobused ja ussviirused levivad VPN-i klientsüsteemide kaudu edasi LAN-i.

• Pikad reaktsiooniajad ja rohke ribalaius - Kui VPN-is kasutatakse rohkeltribalaiust tarbivaid funktsioone, on oht, et kasutaja katkestab VPN-i ühen-duse ja loob selle uuesti, sest ta eeldab, et tegemist on rikkega. Tegelikulton enamasti tegemist hoopis ebapiisavast ribalaiusest tingitud vastuvõeta-matult pika reaktsiooniajaga. Sellest võivad ühelt poolt tekkida ebakõlad ra-kendusandmetes ning teisalt võib VPN-i koormus järsult suureneda.

• Kommunikatsioonikomponentide väär konfiguratsioon - Alates teatud suuru-sest muutub VPN-i struktuur ülimalt keeruliseks, mistõttu võivad konfiguree-rimisel tehtavad vead endaga kaasa tuua ebaturvalise ja väära konfigurat-siooni. Eriti suur on see oht siis, kui administraatoreid ei ole rakendatavatetehnoloogiate ja toodete osas piisavalt koolitatud. Väär konfiguratsioon võibtähendada nii turbeseadistuste tegemata jätmist kui ka üksteisega mitteühil-

394 / 781

duvaid kommunikatsiooniprotokolle. Sama laias vahemikus võib kirjeldadaka väärkonfiguratsioonide võimalikke tagajärgi. Konfiguratsioonivigade tõttuvõib näiteks juhtuda, et kasutajatel ei õnnestu luua vajalikke ühendusi või etvolitamata kolmandad isikud saavad ennast ühendada VPN-i lüüsiga.

Kui koolitamata administraatorid muudavad turbeseadistusi või täiendavad pää-suõigusi (vt G 3.16 Väär pääsuõiguste haldus ), võib see pärssida terve süsteemiturvet. Sageli jäetakse VPN-i lõpp-punktides tehtud konfiguratsioonimuudatusednii varundamata kui ka dokumenteerimata. Komponentide rikke korral selgub siis,et infot viimaste muudatuste kohta, mis olid vajalikud süsteemi edukaks taaskäivi-tamiseks, pole mitte kusagilt võtta. VPN-i käideldavust võivad pärssida ka puudulikkäitamiskontseptsioon ja liiga pikad hooldusintervallid.

Näited

• Uus administraator, kes pole saanud asjakohast koolitust, muudab mõtlema-tult üht VPN-i konfiguratsiooni parameetrit. Selle tagajärjel katkeb pikemaksajaks ühendus tootjafirma ja selle tarnijate vahel. Tootmisprotsessis tekibseisak ja ettevõte saab kahju, sest vajalikke detaile ei tarnita õigeks ajaks.

• Ettevõte kasutab tarkvara haldamise süsteemi, mis installib kasutajate ar-vutitesse regulaarselt tarkvaravärskendusi. Konfiguratsioonivea tõttu kaa-satakse värskendamisprotsessi ka mobiilsed VPN-i klientsüsteemid. Pärastedukat ühenduse loomist hõivab tarkvara haldamissüsteem kogu saadaole-va ribalaiuse endale, sest peab ühe suurema tarkvaravärskenduse andme-paketi edastama ka mobiilsetele seadmetele.

395 / 781

G 3.91 Väärkasutusest tingitud VPN-ühenduse katkemine

Tehniliste komponentide rikete ja elektrikatkestuste kõrval leidub mitmeid teisi põh-juseid, miks VPN-ühendused võivad katkeda. Olukordades, kus hoiatavaid signaa-le või normist kõrvalekalduvat käitumist ei osata õigel ajal tähele panna, võib vas-tumeetmete võtmine sageli isegi ebaõnnestuda. Kasutusvigade tõttu võivad tekki-da samasugused laiaulatuslikud rikked, nagu toob endaga kaasa ka ebapädev võirutakas tegutsemine rutiinsete tööde või paranduste puhul. Peamine põhjus, mikskasutusvead võivad tekkida, on osaliste ebapiisav koolitamine. Probleeme ei teki-ta mitte üksnes administraatorid, vaid ka kasutajad, kes võivad väära käitumisegaVPN-i teenuse kas üle koormata või täielikult rivist välja viia.

Näide

• Ettevõte kasutas oma hajali asuvate harukontorite ühendamiseks VPN-i.Olukorras, kus kõikides VPN-i komponentides mindi üle uuemale tarkvara-versioonile, mis ei ühildunud vanema versiooniga, tuli kõikides VPN-i süs-teemides luua uus konfiguratsioon. Selleks, et konfigureerimistöödega kaas-nev tööseisak oleks võimalikult lühike, pidid VPN-i komponentide konfigu-reerimisega tegelema ka süsteemiadministraatorid ja n-ö tavalised võrguad-ministraatorid, sest kogu ettevõtte peale leidus ainult üks VPN-i administ-raator. Administraator, kes polnud läbinud asjakohast koolitust, tegi VPN-ikonfiguratsiooniparameetrite sisestamisel ühe vea, mille tagajärjel ei olnudüks harukontor pikemat aega teiste jaoks kättesaadav.

396 / 781

G 3.92 Turvapaikade ja muudatuste prioriteetide väär hindamine

Kui turvapaikade (patches) tähtsust ei osata IT-süsteemide tõrkevaba käitamisejaoks õigesti hinnata, võivad paigaldamisel tekkida valed prioriteedid. Kui värsken-dusprotsessi prioriteete hinnatakse valesti, võib juhtuda, et oluliste asemel instal-leeritakse esmalt hoopis vähetähtsad turvapaigad. Kuna olulised paigad installee-ritakse liiga hilja, töötab süsteem pikka aega turvaaukudega.

Paikade ja muudatuste haldamisprotsessi toetamiseks leidub mitmeid tarkvara-lahendusi. Samas võivad ka sellised tarkvaralahendused ise olla vigased, edas-tades kasutajale paikade kohta kas puudulikku või valet infot. Seetõttu tuleb and-meid, mida süsteem mis tahes muudatuse kohta annab, esmalt alati kontrollida,et veenduda nende paikapidavuses.

Näide:

• Paikade ja muudatustega tegelev töötaja eksis turvapaiga olulisuse kind-laksmääramisel ja andis sellele eksikombel väga kõrge prioriteedi ning hoo-litses selle eest, et turvapaik installeeriti kiiremas korras kõikidesse asjako-hastesse süsteemidesse. Kuna kontrollimise faas jäi lühikeseks, ei märga-tud selle turvapaiga puhul asjaolu, et ühe turvaaugu sulgemise järel avassee teises kohas omakorda uue ja suurema turvaaugu.

397 / 781

G 3.93 Väär ümberkäimine defektsete andmekandjatega

Kõik andmekandjad võivad saada kahjustada, neis võib esineda vigu ja needvõivad rikki minna. Paberdokumendid võivad määrduda ja rebeneda, CD-desvõivad tekkida bitivead ja kõvakettad võivad kokku joosta. Odava hinnaklassi and-mekandjad visatakse sageli kohe minema ja asendatakse uutega. Seevastu kal-limad andmekandjad viiakse parandusse. Ükskõik kumma variandi kasuks ka eiotsustata, mõlemal juhul tuleb olla piisavalt ettevaatlik, sest võib juhtuda, et kapealtnäha täiesti hävinud andmekandjast suudetakse andmeid siiski rekonstruee-rida. Professionaalsed ettevõtted, kes tegelevad andmete taastamisega, suuda-vad asjakohase aparatuuri abil isegi põlenud kõvaketaste andmed taas loetavaksmuuta. Seetõttu tuleks alati arvestada, et kergekäeliselt minema visatud või ka-sutusest kõrvaldatud defektsed andmekandjad on jätkuvalt konfidentsiaalse infoallikad, mida on võimalik väärkasutada.

Näited

• Ettevõtte ärijuhi sülearvuti läks katki ja seda ei õnnestunud enam käivitada.Kuna see juhtus garantiiajal, saadeti arvuti tootjafirma juurde parandusse.Parandus õnnestus ja arvuti saadeti posti teel kliendile tagasi. Teel toot-jafirmast kliendini läks postisaadetis aga kaduma. Sülearvutis olid ajaliseltkriitiliste projektide joonised, isikuandmed ja intrigeeriv siseinfo.

• Ametiasutus oli kogunud pikema aja jooksul kasutatud CD-sid ja annetasneed ühele heategevuslikule organisatsioonile. See organisatsioon kasutasCD-sid käsitööprojektides. Annetatud CD-de hulgas oli palju reklaammater-jalidega CD-sid, kuid leidus ka andmetest tehtud varukoopiaid. Seetõttu juh-tus, et kesklinna jõulupuude küljest, mida lapsed olid hoolega ehtinud, võisleida CD-sid kirjaga „Personalikaustad A–D, firma nimi, konfidentsiaalne”.Kuna andmete poolele ei olnud keegi midagi kirjutanud, sai neid CD-sid ko-hati lugeda isegi suurema takistuseta.

398 / 781

G 3.94 Samba sideprotokollide väär konfiguratsioon

Samba kasutab võrgusides erinevaid protokolle:

• Microsoft Remote Procedure Call (MSRPC), mis on erivorm tootest Distri-buted Computing Environment Remote Procedure Call (DCE RPC);

• Network Basic Input/Output System (NetBIOS);• Server Message Block (SMB);• Transmission Control Protocol (TCP) / Internet Protocol (IP);• Lightweight Directory Access Protocol (LDAP).

Sideprotokollide väär konfiguratsioon võib pärssida Samba serveri pakutavateteenuste käideldavust ja turvet.

Näited

• Standardseadistuse järgi autendib Samba kasutajaid nii protokolliga NTLAN-Manager (NTLM) (faili „smb.conf” parameetriga ntlm auth) kui ka pro-tokolliga NTLMv2. Selline konfiguratsioon lihtsustab rünnete toimepanekut,sest andmesideprotokoll NTLM ei ole nii tugeva turbega nagu protokollNTLMv2.

• Standardseadistusega Samba server ei kasuta SMB Message Signingut(faili „smb.conf” parameetriga server signing). Seetõttu on SMB protokollvastuvõtlik Man-in-the-Middle-rünnetele (MitM).

• Kui Samba kasutab Primary Domain Controlleri (PDC) funktsioonides ta-gaukserakendust (back end feature) „ldapsam”, salvestatakse iga kasutajakontoinfo, nt LAN Manager (LM) ja/või NTLM-i räsiväärtused (hash), LDAPkataloogi.

Juhul kui Samba ja LDAP serveri vaheline ühendus ei ole krüpteeritud SecureSockets Layeriga (SSL), võib ründaja sidet pealt kuulata ja endale mõne kasutajaräsiväärtuse hankida ning selle põhjal võib-olla isegi vähese vaevaga asjakohaseparooli välja arvutada.

399 / 781

G 3.95 Samba serveri operatsioonisüsteemi väär konfiguratsioon

Samba serveri operatsioonisüsteemi väär konfiguratsioon ei taga serverile piisa-vat turvet ja põhjustab selle töös tõrkeid või koguni raskendab serveris esinevatetõrgete tagajärgi. Operatsioonisüsteemi sagedasemad konfiguratsioonivead onjärgmised:

• Ebasobiva failisüsteemi kasutamine, st Samba jaoks mittesobivate failisüs-teemi suvandite (options) kasutamine. Näiteks kui failisüsteemis third exten-ded file system (ext3) seadistatakse Samba failide ühiskasutus suvandita„acl”, võivad andmed selle tagajärjel kaotsi minna. Kui failidega kaust teisal-datakse (move) Windowsi süsteemist Samba failide ühiskasutuse keskkon-da, võivad kaduma minna kõik sellised Access Control Listide (ACL) sisse-kanded, mida Unixi standardsed failisüsteemivolitused ei oska kuvada.

• Lokaalse paketifiltri väär konfiguratsioon. Samba teenus hoiab pidevalt silmapeal erinevatel TCP- ja UDP-portidel, et klientsüsteemidele vajaduse korralvõrguühendusi pakkuda. Kui nimetatud portide juurdepääsuvõimalusi regu-leeritakse mõne välise paketifiltriga, võib paketifiltri vigase konfiguratsioonikorral juhtuda, et Samba teenus jääb kättesaamatuks.

Näide

• Samba serveri lokaalse paketifiltri konfiguratsioonis on ära keelatud andme-side pordiga 137/User Datagram Protocol (UDP). Seda porti on aga vajaselleks, et programm „nmbd” saaks Network Basic Input/Output Systemiga(NetBIOS) osutada nimeteenust (Name Service). Kuna NetBIOS ei saa Na-me Service’it kasutada, pärsib see tugevalt Samba tööd. Kui Sambat kasuta-takse nt Primary Domain Controlleri (PDC) otstarbel, ei saa klientsüsteemidSamba serveriga enam kontakti.

400 / 781

G 3.96 Samba serveri väär konfiguratsioon

Samba serveri kasutusvõimaluste tutvustamiseks ja administraatoritele kiiresissejuhatava koolituse pakkumiseks luuakse Samba serveri installimisel sagelistandardsete seadistustega konfiguratsioonifail „smb.conf”. Kui tootega kaasas-olev konfiguratsioonifail võetakse üle ilma selles muudatusi tegemata või kui sedamuudetakse liiga vähe, võivad tekkida suured turvaaugud. Konfiguratsioonifailimuutmisega võivad kaasneda järgmised vead:

• Kui failidele antud ühiskasutus jäetakse välja kommenteerimata, võivadtundlikud andmed soovimatu ühiskasutuse tõttu teistele nähtavaks muutu-da.

• Samba binaarpakettides leidub sageli ebavajalikke funktsioone. Kui admi-nistraatorid ei ole kursis, milliseid funktsioone ei vajata, võib see pärssidaSamba serveri teenuste turvet ja käideldavust. Näiteks kuulub siia para-meeter enable cups , mida kasutatakse kompileerimisprotsessis configure-skripti jaoks. See määrab kindlaks, kas Samba kompileeritakse CommonUnix Printing Systemi (CUPS) kaasabil või selleta.

• Samba konfiguratsioonis on teatud eelseadistatud funktsioonid, mis mõjuta-vad Samba serveri jõudlust. Kui neid seadistusi muudetakse, ilma et teataksnende võimalikke tagajärgi, võib see vähendada Samba serveri jõudlust võikoguni piirata serveriteenuste kasutusvõimalusi. Sageli ei ilmne muudatustetagajärjed kohe, vaid alles mõne aja pärast. See kehtib näiteks konfigurat-siooniparameetri allocation roundup size kohta.

401 / 781

G 3.97 Konfidentsiaalsuse kadu vaatamata draivide krüpteerimiseleBitLockeriga

BitLocker Drive Encryption (BDE) on kõvaketaste krüpteerimise programm. Bit-Locker vajab oma tööks vähemalt kahte partitsiooni: krüpteerimata süsteemipar-titsiooni ja tegelikku Windowsi partitsiooni, mida nimetatakse ka buutimise partit-siooniks.

• BDE krüpteerib Windowsi partitsiooni peaaegu täielikult. Erandiks on buu-timissektor ja ala, mis sisaldab BitLockeri metaandmeid. BDE krüpteeribka selle süsteemipartitsiooni osa, millega buuditakse krüpteeritud Windowsipartitsiooni.

• BDE konfiguratsiooni muutmine eeldab administraatorivolitusi. Kui kasutajalvõi kahjurvaral on administraatorivolitused, saab see BDE volitamata väljalülitada, lisada isiklikke lisavõtmeid ning kustutada võtmeinfot.

• Volitamata desaktiveerimise ja võtmete lisamise tagajärjel kaob andmetekonfidentsiaalsus. Seevastu võtmeinfo kustutamine hävitab terve süsteemikäideldavuse.

• BDE desaktiveerimine ja võtmeinfo soovimatu kustutamine võib olla muuhulgas ka süsteemiga kaasas oleva haldamistööriista manage-bde.wsf vää-ra kasutamise tagajärg, eeldusel et kasutajal on administraatorivolitused.

• Konfidentsiaalsuse kadu võib vaatamata BitLocker Drive Encryptioni kasuta-misele tekkida ka juhul, kui volitamata isikud on hankinud endale taastamis-võtme (Recovery Key). Selle võtmega saab BDE krüpteeringuga partitsioo-ni dekrüpteerida. See kehtib olenemata Trusted Platform Module’ist (TPM),sest taastamisvõti ongi ette nähtud just selleks, et võimaldada dekrüpteeri-mist ka siis, kui TPM on defektne.

402 / 781

G 3.98 BitLockeriga krüpteeritud andmete kadu

BitLocker Drive Encryption (BDE) on kõvaketaste krüpteerimise programm.Selleks, et BDE edukalt koos Windows Vistaga ühel ajal käivituks, saab administ-raator konfigureerida mitmeid kasutaja autentimise meetodeid.

- Autentimise puudumine (eeldab, et IT-süsteemil on Trusted Platform Modul-Chip, TPM-Chip) - BDE käivitub kasutaja jaoks nähtamatult ja kasutaja ei pea en-nast BDE-s autentima. Selline valik ei too endaga kaasa defektsest või puuduvastautentimisvahendist tingitud käivitamisprotsessi katkemist.

- Autentimine USB-pulgaga - kaasneb oht, et kasutaja võib USB-mälupulga ärakaotada ja see võib rikki minna. Selle tagajärjel Windows Vista käivitamisprotsesskatkeb.

- Autentimine PIN-koodiga (eeldab, et IT-süsteemis on TPM-Chip) - kaasneboht, et kasutaja võib oma PIN-koodi ära unustada. Sellisel juhul Windows Vistakäivitamisprotsess katkeb.

Windows Vista katkestab TPM-i käivitamisprotsessi muu hulgas ka siis, kui tu-vastab, et emaplaadi BIOS-i on muudetud, kui TPM on saanud kahjustada võikui kõvaketta Master Boot Recordit (MBR) või operatsioonisüsteemi varasemaidbuutimiskomponente on muudetud. BIOS-i muudatuste põhjuseks võib olla nt pü-sivara värskendus (firmware update). Kõikidel juhtudel, kui käivitamisprotseduurkatkeb, ei saa kasutaja seda IT-süsteemi kasutada. BDE-ga krüpteeritud andmedjäävad krüpteerituks.

Kirjeldatud katkenud käivitamisjuhtumeid saab parandada numbrilise taasta-misparooli või -võtmega. Taastamisvõti on binaarkujul, seevastu parooli saab hoi-da ka prindituna. Taastamisparoolide ja -võtmete võimalikeks hoiukohtadeks onfailid, Active Directory ja USB-pulgad. BitLockeriga krüpteeritud andmete konfi-dentsiaalsuse kadumise oht on kõige suurem prindituna ja USB-mälupulkadeshoitavate taastamisparoolide korral, sest volitamata isikud võivad neile ligi pääse-da.

Lisaks on oht, et taastamisparool või -võti võib kaotsi minna. Sellistel juhtudelmuutub IT-süsteem kasutaja jaoks püsivalt kasutamiskõlbmatuks. Andmed jäävadpüsivalt krüpteerituks.

Kui EFS-i võti asub BDE-ga krüpteeritud partitsioonis, võib see ohustada või-malust pääseda ligi EFS-iga (Encrypting File System) krüpteeritud andmetele.

403 / 781

G 3.99 Virtualiseerimisserveri valed võrguühendused

Virtualiseerimisserver tagab sellel käitatavate virtuaalsete IT-süsteemide võrgu-pääsu. Selleks annab ta tavaliselt virtuaalsete IT-süsteemide käsutusse emulee-ritud võrgukaardi. See omakorda võimaldab virtuaalsetele IT-süsteemidele juur-depääsu võrkudele või salvestusvõrkudele. Need (salvestus-) võrgud võivad ollafüüsilised või virtuaalsed võrgud.

Selleks, et virtuaalsed IT-süsteemid saaks kasutada füüsilisi võrkusid, peabvirtualiseerimisserver võimaldama virtuaalsete IT-süsteemide virtuaalsete võr-gukomponentide ühendust füüsiliste võrkudega. See realiseeritakse seeläbi, etvirtualiseerimisserver annab virtuaalsete IT-süsteemide käsutusse oma füüsilisedliidesed. Erinevate virtualiseerimistoodete protseduurid on erinevad. On siiskikaks olulist printsiipi üleminekuks virtuaalsetelt füüsilistele võrgukomponentidele:

• otsese paigaldamisega virtuaalsetelt võrkudelt füüsilistele võrkudele. Vir-tuaalse IT-süsteemi võrgukaart paigaldatakse otse virtualiseerimisserverifüüsilisele liidesele.

• kaudse jaotamise teel. Virtuaalsete IT-süsteemide (virtuaalsed) võrgukaar-did ühendatakse virtuaalse kommutaatoriga. See reprodutseeritakse virtua-liseerimisserveri poolt tarkvaras. Virtuaalne kommutaator omakorda võibfüüsilise võrgukaardi abil ühenduses olla füüsilise võrguga. Kuna virtuaal-ne kommutaator ei pea just tingimata omama füüsilist võrguülekäiku, onsel moel võimalik realiseerida võrk, kui sellesse ühendatud virtuaalsetel IT-süsteemidel ei ole välisühendust. Sellist konfiguratsiooni saab näiteks kasu-tada testimissüsteemides, mis ei vaja välisühendusi.

Virtualiseerimisserveri haldustarkavara piirides jaotatakse virtuaalsete IT-süsteemide võrguliidesed virtualiseerimisserveri füüsilistel liidestele. Kui see jao-tus tehakse vigaselt, võib juhtuda, et virtuaalne masin seotakse vale võrguga. Kuinäiteks konfidentsiaalsete andmetega intraneti veebiserver, mida võib käitada ai-nult sisevõrgus, ühendatakse eksikombel turvalüüsist mööda minnes internetiga,võivad konfidentsiaalsed andmed olla internetis nähtavad.

Virtualiseerimisserveril on tihti võrreldes tavaliste serveritega suur arv võrgu-kaarte. Seda suurt arvu on vaja selleks, et virtualiseerimisserveri saaks võimali-kult hästi integreerida arvutuskeskuse võrku. See võimaldab virtualiseerimisser-veril käitada virtuaalseid IT-süsteeme, mida vajatakse erinevates võrgusegmen-tides. Lisaks sellele vajatakse virtualiseerimisserveri erinevateks funktsioonideksveel teisi liideseid, näiteks juurdepääsuks salvestusvõrkudele või Live Migration’ks, mis võimaldab töötava virtuaalse IT-süsteemi virtualiseerimisserverilt teiseleserverile teisaldada.

Serveri jaoks ebatüüpilise võrgukaartide arvu ja kommutaatorite ning sarnasteIT-süsteemide kaabelühenduste tõttu on suur oht, et vale kaabelduse puhul võibtahtmatult tekkida võrgu taristus vigu. Sellised vead võivad lisaks ohtudes G3.4 Lubamatud kaabliühendused ja G 3.29 Ebasobiv või puuduv segmentimineesitatutele olla näiteks järgmised:

404 / 781

• Virtualiseerimisserveri kahe füüsilise võrgukaardi ja virtuaalse kommutaa-tori abil ühendatakse eksikombel kaks võrgusegmenti (sild). Need võrgudpeaksid aga olema eraldatud.

• Need võrgud tohiksid ühendusse astuda ainult turvalüüsi kaudu. Vale kaa-belduse tõttu on nüüd võimalik luua otsene ühendus süsteemide vahel. Te-gelikult soovitud võrgu segmenteerimine likvideeritakse tahtmatult.

• Virtualiseerimisserveri kaks füüsilist võrgukaarti on paigutatud ühele vir-tuaalsele kommutaatorile. Need ühendatakse eksikombel kahe erineva füü-silise võrgusegmendiga. Virtuaalne kommutaator on konfigureeritud selli-selt, et ta ei saada ühel võrguliidesel vastuvõetud pakette teisele võrgulii-desele edasi ja seega ei moodusta silda. Kahe võrguliidese tõttu, mis onseotud erinevate võrgusegmentidega, ei ole virtuaalne kommutaator ühe-mõtteliselt paigutatud ühele füüsilisele segmendile. See viga tekitab olukor-ra, kus koormuse jaotamise mehhanismi tõttu suunatakse ühe selle kom-mutaatoriga ühendatud virtuaalse IT-süsteemi võrgupaketid edasi kord ühte,kord teise võrgusegmenti. Selle tõttu on virtuaalne IT-süsteem võrgus ainultaeg-ajalt kättesaadav ning süsteemi käideldavus ohustatud.

• Mõned virtualiseerimistooted võivad vale kaabelduse ära tunda (nagu eel-nevatel juhtudel kirjeldatud) ning lülitavad sellisel juhul ühe või mitu füüsi-list võrgukaarti välja. Sel juhul on raske ennustada, millise füüsilise võrgu-segmendiga on virtuaalne kommutaator tegelikult ühendatud. Selle taga-järjel võib katkeda ühendus vastava virtuaalse kommutaatoriga ühendusesoleva IT-süsteemiga.

• Kahe või enama virtualiseerimisserveriga ehitatakse üles virtuaalne taristu.Selleks tuleb need serverid ühendada mitme füüsilise võrgusegmendiga,mis paigutatakse alati virtuaalsete kommutaatorite juurde. Need kommutaa-torid saavad nime vastavalt füüsilisele segmendile (kommutaator A – seg-ment A, kommutaator B – segment B jne). Vale kaabelduse tõttu ühenda-takse nüüd ühel mõlemast virtualiseerimisserverist füüsiline segment A vir-tuaalse kommutaatoriga B. Kui selles virtuaalses taristus kasutatakse funkt-siooni Live Migration , tekib migratsiooniprotsessi tõttu olukord, kus üks vir-tuaalne IT-süsteem kommutaatori B juures asub pärast migratsiooni teisesfüüsilises võrgusegmendis kui enne migratsiooni. Põhjus seisneb selles, etkommutaator B on ühel virtualiseerimiserveril ühendatud segmendiga B, tei-sel aga segmendiga A. Selle tõttu on süsteemi käideldavus ohustatud. Sa-muti on oht, et selle süsteemi poolt käsutusse antud andmetele võib ollajuurdepääs võrkudes, kus see tegelikult lubatud ei ole.

• Virtualiseerimisserverid vajavad virtuaalsete IT-süsteemide käitamiseksenamasti ühendust salvestusvõrkudega, milles asuvad andmed (konfigu-ratsioonifailid, virtuaalsete kõvaketaste failikonteinerid). Kui ühenduskaablidnende salvestusvõrkudeni on valesti paigaldatud, võivad tekkida häired, kuivirtualiseerimisserverid astuvad ühendusse salvestusvõrguga. See ohustabnendel virtualiseerimisserveritel käitatavate virtuaalsete süsteemide käidel-davust. Sellest võib olla puudutatud suur arv virtuaalseid IT-süsteeme.

• Ka vigadel võrgukaartide kaabelduses, mida virtualiseerimisserverid kasu-tavad omavaheliseks kommunikatsiooniks virtuaalses taristus, on kaugele-ulatuvad tagajärjed nende funktsioonile. Nii põhinevad funktsioonid Live Mig-ration ja Fault Tolerance virtuaalse IT-süsteemi koopia sünkroniseerimiselkahel erineval virtualiseerimisserveril. Fault Tolerance on meetod, mille käi-

405 / 781

gus käitatakse üht virtuaalset süsteemi üheaegselt kahel virtualiseerimis-serveril, kusjuures ainult üks koopia on aktiivne, teine on passiivne. Kui üksvirtualiseerimisserveritest langeb välja, võtab edasitöötaval serveril olev vir-tuaalse IT-süsteemi koopia selgelt üle kõik väljalangenud serveri funktsioo-nid.

• Kui nüüd võrguühendused, mida virtualiseerimisserverid kasutavad virtuaal-sete IT-süsteemide sünkroniseerimiseks funktsioonide Live Migration võiFault Tolerance teostamisel, valesti kaabeldatakse, on võimalik, et need vir-tualiseerimisfunktsioonid ei toimi häireteta. Virtuaalsete IT-süsteemide käi-deldavus on seetõttu ohustatud.

Virtualiseerimisserverite võrguühendused planeeritakse tavaliselt varuga,kuna füüsilistest liidetest sõltuvad virtuaalse taristu paljud funktsioonid. Et tõstavõrguliideste käideldavust, konfigureeritakse paljud võrgukaardid selliselt, et nadon võimelised vaheldumisi või isegi samaaegselt täitma teise funktsiooni. Sellekson olemas mitmesugused meetodid:

• Võrgukoormuse tasakaalustamine (Load Balancing) Virtuaalsete IT-süsteemide MAC-aadressid jaotatakse algoritmi alusel füüsilistele liideste-le, et saavutada võimalikult ühtlane üksikute füüsiliste liideste koormus. Kuiüks liidestest langeb välja, võtab allesjäänu väljalangenud liidese ülesan-ded enda kanda. Halvimal juhul toimub seejuures virtuaalsete IT-süsteemidevõrguühenduse märkamatu katkemine. Seda meetodit saab kasutada kõigitavapäraste füüsiliste kommutaatoritega ning see ei nõua reeglina nendekommutaatoritelt spetsiaalset konfiguratsiooni. Võrgukoormuse tasakaalus-tamine ei ole virtualiseerimisspetsiifiline, kuid see meetod on virtuaalseteIT-süsteemide kasutamisel suure tähtsusega.

• IEEE 802.3ad (Link Aggregation Control Protocol - LACP) või Etherchannel(Cisco) on protokollid, mille puhul ühendatakse mitmed füüsilised liidesedüheks loogiliseks kanaliks.

Need meetodid nõuavad üldjuhul kohastatud konfiguratsiooni ühendatud füüsi-lisel kommutaatoril.

Lisaks sellele on olemas ka terve rida tootjaspetsiifilisi nimetusi erinevatele proto-kollidele ja meetoditele, mida kasutatakse võrgukaartide käideldavuse tõstmiseks,nt Bonding Linux -keskkonnas, Teaming, Port Aggregation, Link Aggregation jaTrunking. Selleks nõuavad mõned protokollid, et füüsilistel kommutaatoritel tulebluua sobivad konfiguratsioonid. Osaliselt on meetodid vaid piiratult ühilduvad. Kuineid meetodeid lubamatult segatakse, või tuleb virtualiseerimisserverite füüsilistevõrgutaristusüsteemide administraatorite vahel ette lahkhelisid, võib valede funkt-sioonide tõttu ette tulla kokkusobimatust. Seejuures katkeb ühendus tihti vaid aeg-ajalt ning katkestuse põhjusi on seetõttu raske kindlaks teha. Vaata ka G 2.44Ühildamatud võrgu aktiiv- ja passiivkomponendid ja G 3.64 Marsruuterite ja kom-mutaatorite väär konfiguratsioon .

406 / 781

G 3.100 Virtuaalsete IT-süsteemide snapshot’ide ebakompetentnekasutamine

Snapshot ’ide tõttu võib virtuaalse masina seisund suvalisel ajal tarduda. Seejuu-res ei ole tähtis, kas süsteem snapshot ’i produtseerimise momendil töötab võimitte. Sel moel on võimalik ilma kuluka protsessita jõuda snapshot ’is konservee-ritud virtuaalse IT-süsteemi seisundini. Snapshot ’i on võimalik üle kanda teiselevirtualiseerimisserverile ning seda võib kasutada ka andmevarunduseks.

Andmekadu ja ebapüsivus kasutamiselKui virtuaalse masina käitamist jätkatakse pärast snapshot ’i genereerimist ja

konserveeritud seisund laetakse hiljem, lähevad kõik külalissüsteemi juures tehtudmuutused kaduma. See võib järelemõtlematu protseduuri sooritamisega viia and-mete kaoni ning on tootmissüsteemide juures enamasti ebasoovitav. Ka muutusivirtuaalse IT-süsteemi operatsioonisüsteemi, teenuste ja rakenduste juures on sel-liselt võimalik taastada. Ebapiisavad failivolitused, turvaaugud ja kitsaskohad võika kustutatud kasutajakontod aktiveeritakse sel viisil uuesti.

Virtuaalsete serverite juures, millel on avatud failid või andmebaasi istungid,võivad tekkida ebapüsivad andmed. Näitena võib tuua juhtumi, kui klient kirjutabteabe snapshot ’i produtseerimise ajal virtualiseeritud serverile. Salvestatav failisisu ei ole siis snapshot ’is täielikult olemas. Kui virtuaalsel masinal tekib uuestihangunud seisund, on selles suure tõenäosusega defektsed failid või mittetervik-likud andmebaasid.

Jagatud süsteemid nagu andmebaasi klastrid või Active Directory domeenikont-rollerid kasutavad tavaliselt andmete sünkroniseerimise tagamiseks replikatsiooni-mehhanismi. Seejuures võivad nende snapshot ’ile tagasiviimisel tekkida suuredprobleemid. Sel juhul võib andmebaasis ette tulla ebapüsivust, mida replikatsioo-nimehhanismide abil ei ole võimalik kõrvaldada.

Kui ulatusliku või mitme snapshot ’i jaoks ei ole küllaldaselt salvestusruumi, võibtekkida salvestusruumi puudus ning rohkem infot ei saa salvestada.

Näide

• Suur fotolabor ilmutab klientidele filme. Selleks saadab klient oma filmi ette-võttesse transpordikotis, millele on märgitud tagasisaatmise aadress. Kõiki-del transpordikottidel on selgelt märgitud number. Laboratooriumis lisataksefilmidele ka asutusesisene töötlemisnumber. See töötlemisnumber on va-jalik selleks, et filmid anonüümseks muuta. Automaatse saatmisprotseduu-ri jaoks deponeeritakse töötlemisnumber koos masinloetava transpordikotinumbriga andmebaasi. Kui pildid on ilmutatud, leitakse neile vastavalt tööt-lemisnumbrile jälle automaatselt õige transpordikott. Transpordikott saade-takse seejärel posti teel kliendile. Fotolabori juhatus on otsustanud lisaksteistele IT-süsteemidele virtualiseerida ka andmebaasisüsteemi, mida kasu-tatakse töötlemis- ja transpordikoti numbrite vastavusseviimiseks. Ajal, millaboris toimub tootmine, teeb vastutav administraator kindlaks, et virtuaalselandmebaasiserveril on probleem. Selle kiireks kõrvaldamiseks viib ta serve-ri tagasi snapshot ’ile. Ta teab, et server funktsioneeris laitmatult ajani, milsnapshot loodi. Nüüd aga ei õnnestu töötlemisnumbritele vastavate trans-pordikottide numbrite leidmine, kuna ka tabel töötlemisnumbritele vastavatetranspordikottide numbritega on snapshot ’ile tagasi viidud. Viga jääb saat-misel märkamatuks. Selle tulemusena saadetakse mõnele kliendile valed

407 / 781

filmid. Väga paljusid filme ja kliente ei õnnestu enam vastavusse viia, seekahjustab fotolabori mainet ja toob endaga kaasa käibe languse.

408 / 781

G 3.101 Külastaja tööriistade väär kasutamine virtuaalsetesIT-süsteemides

Paljude virtualiseerimistoodetega võib virtuaalsetesse IT-süsteemidesse instal-leerida nn külastaja tööriistad. Nende külastaja tööriistadega saab kasutusvalmishoida operatsioonisüsteemi virtualiseerimiseks vajalikud seadme ajamid vir-tuaalsetele või emuleeritud seadmetele nagu võrgukaardid, kõvakettad võigraafikakaardid. Teiselt poolt annavad need virtuaalsete masinate käsutusseterve hulga teisi funktsioone. Sellised funktsioonid on näiteks järgmised:

• Virtuaalse IT-süsteemi operatsioonisüsteemi seiskamine ilma interaktsiooni-ta virtuaalses IT-süsteemis otse virtualiseerimisserveri kaudu.

• Vahesalvestuse sisu väljavahetamine virtuaalse masina konsooliemulat-siooni ja kasutaja töökohasüsteemi vahel.

• Virtuaalse masina kasutaja töökohasüsteemi kursori sujuv integratsioonkonsooliemulatsiooniga.

• Andmekandjate lihtsustatud laadimine ja tühjendamine virtuaalsetesse IT-süsteemidesse. Need võivad olla füüsilised disketid, CD-d või DVD-draivid,aga ka selliste andmekandjate koopiafailid (ISO- images).

Need funktsioonid võimaldavad kasutajal virtuaalset IT-süsteemi paremini ka-sutada ning võimaldavad virtualiseerimisserveril edaspidi virtuaalse IT-süsteemitööseisundit automatiseeritult hallata (sisse-/väljalülitamine, käivitamine ja sulge-mine).

• Süsteemi seiskamine ilma teavitamata / interaktsioonita - juhul kui IT-süsteemi seiskamise funktsiooni kasutab virtualiseerimisserveri administ-raator, hiilitakse teatud juhtudel mööda virtuaalse IT-süsteemi kitsendavatestkonfiguratsioonisätetest või rikutakse eeskirju, mis keelavad uuesti käivita-mise või seiskamise ilma nõuetekohase volituseta.

• Juurdepääs CD-/DVD- või disketidraividele - lisaks sellele lubavad külasta-ja tööriistad vastava konfiguratsiooni korral otsest juurdepääsu virtualiseeri-misserveri draividele. Nii näiteks võib juurdepääs virtualiseerimisserverigaühendatud füüsilisele CD-draivile olla võimalik virtuaalselt IT-süsteemilt.Konfidentsiaalsete andmetega CD-ROM-ile, mis on pandud virtualiseerimis-serveri draivi, et selles sisalduvad andmed teatud kindlale virtuaalsele süs-teemile üle kanda, võib juurde pääseda ka teistelt virtuaalsetelt instantsi-delt. Andmete konfidentsiaalsus on ohustatud, kuna need andmed võivadolla sattunud volitamata isikute kätte.

• Mõnede virtualiseerimistoodete puhul on võimalik avada ka virtualiseerimis-serveri CD- või DVD-draivi sahtel virtuaalselt IT-süsteemilt külastaja tööriis-tade abil, kui need on vastavalt konfigureeritud. Draiv võib viga saada näi-teks vastu serverikapi ust või serverikorpuse iluliistu põrgates.

Näited

409 / 781

• Keskmise suurusega ettevõttes kasutatakse mitmeid virtualiseerimisserve-reid. Nendel servereitel käitatakse mitmeid virtuaalseid IT-süsteeme. Mõnednendest kuuluvad ERP-süsteemi, millel käitatakse kõiki ettevõtte äriraken-dusi. Seda ERP-süsteemi ei halda samad administraatorid nagu virtualisee-rimisserverit. Kuna ERP-süsteemi kuuluvate serverite osas on kindlaks teh-tud, et neil on kõrge kaitsevajadus, tohib neid süsteeme seisata vaid juhul,kui ERP-süsteemi kasutajatega on hooldustööde aeg kokku lepitud. Lisakssellele tohivad servereid seisata vaid selleks volitatud administraatorid, kel-lel lasub logimise ja dokumenteerimise kohustus. Selle eeskirja tehniliseksrealiseerimiseks anti virtuaalse IT-süsteemi operatsioonisüsteemis õigus ük-sikute ERP-süsteemide seiskamiseks ainult ERP-administraatoritele. Lisakskonfigureeriti operatsioonisüsteem selliselt, et administraator on sunnitudenne süsteemi seiskamist teatama selle põhjuse. Nüüd tekib ühe virtuali-seerimisserveri ventilaatori rike. See ei ole serveri funktsioneerimise sei-sukohalt küll kriitiline, kuid defektne ventilaator tuleb siiski viivitamatult väljavahetada. Virtualiseerimisserveri administraator lepib serveri tootja hooldus-tehnikuga kokku remondi aja. Tootja tehnik saabub järgmise päeva ennelõu-nal. Tal on vajalik varuosa kaasas ning ta tahaks kohe remontimist alustada,kuna tal on ka teisi tähtajalisi töid. Ventilaatori vahetamiseks tuleb virtuali-seerimisserver välja lülitada. Virtualiseerimisserveri administraator seiskabvirtualiseerimisserveri halduskonsooli kaudu. Seejuures seisatakse kõik vir-tuaalsed IT-süsteemid ka külastaja tööriistade kaudu automaatselt. Külas-taja tööriistad seiskavad süsteemid ilma nõutud logimiseta ja ei kontrolli,kas administraatoril üldse on selleks volitust. Pärast parandustööde lõpeta-mist lülitab administraator virtualiseerimisserveri jälle sisse ja käivitab kõikvirtuaalsed IT-süsteemid. Remonditööde ajal ei ole ERP-süsteemi olulisetähtsusega osad kättesaadavad, mille tagajärjeks on suur ajakadu, kunamõned töötajad ei saa oma tööülesandeid täita. ERP-süsteemi administ-raatorid saavad ettevõtte juhtkonnalt noomida, et nad ei täitnud eeskirju egahoolitsenud selle eest, et ERP-süsteeme saaks seisata vaid selleks volitatudadministraatorid, ning et ignoreeriti logimiseeskirju.

• Virtuaalse IT-süsteemi administraatoril on igav ja ta uurib virtuaalsele IT-süsteemile installeeritud külastaja tööriistade funktsioone. Ta avastab see-juures funktsioonid virtualiseerimisserveri füüsiliste CD- või DVD-draivide si-dumiseks ja eraldamiseks. Kuna ta ei tea, et draivi sahtli avamine virtuaalsesIT-süsteemis viib tõesti virtualiseerimisserveri füüsilise draivi sahtli tegelikuavamiseni, katsetab ta vastavat funktsiooni. Tehnik, kes on sel ajal serveri-ruumis ja teeb naabersüsteemi virtualiseerimisserveri juures tööd, ei märkaavatud draivi ning jääb varrukatpidi sahtli külge kinni. Seejuures saab draivviga ning see tuleb välja vahetada.

410 / 781

G 3.102 Aja vale sünkroniseerimine virtuaalsetes IT-süsteemides

Levinud operatsioonisüsteemidel on oma sisemine kell. Kellaaja teeb operatsioo-nisüsteem reeglina kindlaks protsessoritsüklite loendamise ja juhusliku sünkroni-seerimise teel usaldusväärse ajaallikaga, näiteks ajaserveri või sisemise riistva-ra kellaga. Usaldusväärse ajaallikaga sünkroniseerimise aeg ja sagedus sõltuvadseejuures kasutatavast operatsioonisüsteemist.

Külalisoperatsioonisüsteemid virtuaalses keskkonnas ei oma küll kontrolli egateadmist tegelikult kuluva arvestusaja kohta füüsilisel IT-süsteemil. Kellaja arvesta-mine sooritatud arvestussammude kaudu kellgeneraatorina ei ole seega usaldus-väärne. Olenevalt sellest, millise algoritmiga kellaaeg protsessoritsüklite ja usal-dusväärse ajaallika võrdlusena kindlaks määratakse, võib virtuaalse IT-süsteemikell tegelikust ajast veidi maha jääda või ette käia. Ekstreemsetel juhtudel võiboperatsioonisüsteemi kell isegi tagurpidi käia. See võib esile kutsuda soovimatuidefekte, mis ebasoodsates tingimustes võivad avaldada virtuaalse infrastruktuuriturvalisusele negatiivset mõju.

Ajalise erinevuse mõju praktikas

• Ajatemplid ei ole virtuaalse masina failisüsteemis valesti käiva kellaga usal-dusväärsed. Tagajärjeks võivad olla ebapüsivused andmevarunduses, kuisee failisüsteemi ajatempli kaudu välja selgitab, millised failid tuleb varunda-da.

• Vigade otsimine probleemide korral on püsivalt häiritud, kuna sündmusteajaline järjestus, mis on probleemid esile kutsunud, ei ole usaldusväärseltkindlaks tehtav. Lisaks sellele on veenvad seisukohad turvaintsidentide kor-ral ebakorrektsete ajatemplitega sündmuste protokollides halvimal juhul või-matud, kuna sündmuste korrelatsioon ajatempli kaudu on võimatu.

• Kui virtuaalsetes IT-süsteemides kasutatakse autentimiseks protseduure,mis põhinevad korrektsetel ajatemplitel autentimisvõtmete edastamiseks (ntKerberos), võib logimine äparduda.

• Erinevad jaotatud andmebaasisüsteemid ja kataloogiteenused nagu Acti-ve Directory kasutavad ajatempleid konsistentsuse kontrollimiseks dubleeri-misprotsessis. Kui ajatemplid ei ole usaldusväärsed, võib nendes süsteemi-des ette tulla ebapüsivust.

Näide

• Üks ettevõte otsustas kaugtöötajate kaugpääsu realiseerimiseks lubamar-keril põhineva autentimismeetodi kasuks. Lubamarkeril genereeritakse tea-tud ajavahemike järel regulaarselt uued paroolifraasid, mis tuleb koos ka-sutajanime ja parooliga sisestada. Lubamarkerid, mida kasutajad kaasaskannavad, on varustatud sisemise kellaga, mis on vastavusse viidud au-tentimisserveri kellaajaga. Pärast autentimisserveri virtualiseerimist ei saakasutajad enam mõne aja pärast sisse logida, kuna ühekordsed paroolidei ühti enam autentimisserveri omadega. Kella käimistäpsusest virtuaalseskeskkonnas selleks ei piisa.

411 / 781

G 3.103 Vale domeeniinfo

DNS-i kasutamise hoolikas planeerimine ja kõikide turvalisust käsitlevate punk-tidega arvestamine võib osutuda tühjaks tööks, kui luuakse vigane domeeniinfo.Vigane tähendab seda, et domeeniinfo loomisel on tehtud semantilisi ja/võisüntaktilisi vigu. Viga on näiteks see, kui hostinimele antakse vale IP-aadress, kuiandmed puuduvad või kui kasutatakse keelatud märke. Kui domeeniinfo sisaldabvigu, ei toimi seda infot kasutavad funktsioonid seetõttu korralikult. Järgnevalt ontoodud mõnined näited sagedaste vigade kohta:

• Teisenduse ja tagurpidise teisenduse tarbeks vajalikke andmeid hallatakseeraldi andmebaasides. Üks kõige sagedamaid vigu on see, et uus, lisan-duv domeeniinfo sisestatakse teisenduse andmete hulka. Seejuures unus-tatakse samu andmeid lisada domeeniinfo tagurpidise teisenduse andmetehulka.

• Multi-homed-Hosts (nt marsruuterid) on võrguühenduses mitme võrgu-segmendiga ning seega ka mitme IP-aadressiga. Kui Multi-homed-Hostsikorral unustatakse IP-aadressi jaoks lisada domeeniinfosse vastav viit (poin-ter ), siis viidata IP-aadresside korral ei toimu nende tagurpidist teisendust.Tagurpidist teisendust vajavate teenuste töö on häiritud.

• Keelatud märkide kasutamine domeeninimedes viib selleni, et infot tõlgen-datakse kas valesti või jäetakse see üldse tõlgendamata. Lubatud märgidon ASCII-tähed, numbrid ja sidekriips. DNS-nimeruumis kehtivaid nimesidvõivad rakendused interpreteerida teisiti. Kehtiv hostinimi on näiteks „0xe”.Kui selle hostiga üritatakse end ühendada nime „telnet 0xe” all, interpretee-ritakse seda Telnet „0xe” IP-aadressina. Nimeteisendust ei toimu ning kui0.0.0.14 ei ole õige IP-aadress, ei looda ka ühendust.

• Domeeniinfosse tuleb sisestada seerianumbrid, millest on võimalik tuletadaka kuupäev, millal tsooni viimati ajakohastati. Kui kuupäev kirjutatakse ko-maga, võib see anda ootamatuid tulemusi, sest DNS-serveris teisendatakseneed täisarvudeks.

• Nii Resolvingu DNS-server kui ka klientsüsteemis paiknev Resolver salves-tavad saadud vastuse andmed tavaliselt oma vahemällu. Seeläbi vähenda-takse vajalike päringute arvu ülem-DNS-serveril. Vahesalvestuse aega ni-metatakse TTL-iks (Time to Live) ning see on domeeniinfo üks osa. Liiga pi-kad TTL-ajad, eelkõige sagedasti muutuva domeeniinfo korral, põhjustavadvahesalvestatud andmete vananemist. Liiga lühike TTL suurendab seevastuDNS-serveri koormust.

• Vastutava DNS-serveri leidmiseks on teatud juhtudel vajalikud Glue Record-si andmed. Tavaliselt salvestab DNS-server ainult oma alamdomeeni DNS-serverite domeeninimed. Kui DNS-server paikneb enda alamdomeeni raa-mes sellises alamdomeenis, peab selle ülem-DNS-serveril olema salvesta-tud ka tema IP-aadress, sest muidu ei oleks ükski DNS-server võimelinenimeteisendust tegema. Seda sissekannet nimetatakse Glue Recordsiks.Võib juhtuda, et DNS-serverite migratsioonil või nende kasutusest kõrval-damisel unustatakse sinna juurde kuuluv Glue Records kas üle kanda võikustutada. Vastava päringu korral saadetakse siis vastusena tagasi andmed

412 / 781

selle DNS-serveri kohta, mida enam ei eksisteeri.• DNS võimaldab defineerida aliasi. Alias on vabalt valitav nimi, mida on ta-

valiselt kerge meelde jätta. Näide tihti rakendatava DNS-i aliase kohta on„www” kasutamine veebiserverite jaoks. Aliast ei tohi täiendada lisaandme-tega. Näiteks ei ole aliasele lubatud määrata IP-aadressi. Veel üks viga,mida seoses aliastega tehakse, on hosti kustutamine ilma aliast kustutama-ta.

• Kuna domeeniinfo kujutab endast tähtsaid andmeid, tehakse need tavali-selt kättesaadavaks vähemalt kahe DNS-serveri, nt primaarse DNS-serverija ühe või mitme sekundaarse DNS-serveri poolt. Primaarsel DNS-serverilteostatakse andmehooldus ning sekundaarse(te)l DNS-serveri(te)l andmetesünkroniseerimine. DNS-serverid kasutavad domeeniinfos paiknevat seeria-numbrit indikaatorina, mis aitab neil tuvastada muudatusi. Kui domeeniinfoton muudetud, aga infos sisalduv seerianumber ei ole suurenenud, siis kauut domeeniinfot ei sünkroniseerita. Sellest tulenev ebakõla põhjustab eri-nevates DNS-serverites erinevaid nimeteisendusi.

Domeeniinfo salvestatakse tekstifailides, nn ülemfailides (master files). Kui teks-tifaile töödeldakse käsitsi, võib andmete ebaülevaatliku ja ebaühtlase struktuuritõttu tekkida muidki vigu.

Hosti kasutamisest kõrvaldamise korral on peale uue info lisamise üks suurveaallikas ka andmete kustutamine. Kui kogu domeeniinfot ei kustutata, jääb allesinfo hosti kohta, mida enam ei eksisteeri.

413 / 781

G 3.104 DNS-serveri väär konfiguratsioon

Turbe seisukohast kriitilise tähtsusega standardseadistused, ise konfigureeritudturbeseaded ja puudulik konfiguratsioon võivad viia selleni, et DNS-server ei saakorralikult töötada, ning see piirab DNS-serveri käideldavust. Lisaks lihtsustabvigane konfiguratsioon DNS-serveri käideldavuse ja tervikluse vastu suunatudründeid. Turbe seisukohast kriitiliste konfiguratsioonide juures on olulised alljärg-nevad punktid:

• Super-Useri õigustega DNS-server - DNS-serveri käitamine peakasutaja õi-gustega lihtsustab rünnete toimepanekut. Kui ründajal õnnestub üht DNS-serveri protsessi edukalt rünnata, saab ta selle DNS-serveri protsessi vo-litusi kasutada ligipääsuks kõigile teistele selle arvuti protsessidele ning li-saks kompromiteerida teisi võrgus paiknevaid arvuteid.

• Rekursiivne päring - DNS-serveril on kahte sorti päringuid: iteratiivsed ja re-kursiivsed. Iteratiivsete päringute korral vastab DNS-server päringutele ai-nult juhul, kui server on soovitud info ise enda jaoks salvestanud. Sellinetalitlus vastab Advertisingu DNS-serveri serveritüübile. Muudel juhtudel saa-dab server päringu edasi mõnele teisele DNS-serverile. Rekursiivsete pärin-gute korral vastab DNS-server kõikidele päringutele. Selline talitlus vastabResolvingu DNS-serveri serveritüübile. Kui Resolvingu DNS-server ei oleinfot ise salvestanud, esitab ta soovitud info saamiseks ise päringu teisteleDNS-serveritele. Kui Resolvingu DNS-server on konfigureeritud nii, et ta võ-tab piiranguteta vastu kõik rekursiivsed päringud, võib see suureneva koor-muse tõttu mõjutada serveri käideldavust. Piiranguteta tähendab siinkohalseda, et Resolvingu DNS-server aktsepteerib päringuid nii organisatsiooni-sisesest LAN-võrgust kui ka internetist.

Lisaks muutuvad selle tagajärjel lihtsamaks vahemälu mürgitavad ründed, vt ntG 5.78 DNS-i võltsimine . Lihtsustatult öeldes toimub vahemälu mürgitamine järg-miselt: ründaja saadab Resolvingu DNS-serverile rekursiivse päringu domeeniinfokohta, mida see Resolvingu DNS-server ei ole endale salvestanud. Seejärel üritabründaja Resolvingu DNS-serverile saata kehtivat, kuid võltsitud vastust. Kui Re-solvingu DNS-server aktsepteerib rekursiivseid päringuid ainult sisevõrgust, siisründaja päringut ei täideta, vaid saadetakse see edasi järgmisele DNS-serverile.Seetõttu eelkirjeldatud rünne teda ei ohusta. Kui DNS-server nõustub rekursiivse-te päringutega ilma piiranguteta või kui ründaja paikneb otse firma sisevõrgus, onDNS-server ohus.

TsooniedastusedKuna DNS on paljude võrguteenuste eelduseks, ei hallata domeeni nimeruumi

teatud osasid mitte ainult ühes, vaid üldjuhul vähemalt kahes DNS-serveris. Nen-de serverite sünkroniseerimiseks tehakse nn tsooniedastus. Kui tsooniedastusedon lubatud ka väljaspool volitatud DNS-servereid, võib iga host, millel on võimalusesitada DNS-serverile päring, tsooniedastuse abiga välja selgitada nende serve-rite domeeniinfo. Kui keegi teostab tsooniedastuse, ilma et tal oleks selleks voli-tused, ei tekita see IT-kooslusele küll otsest kahju, kuid saadud andmed võivadlihtsustada hilisemaid ründeid.

Dünaamilised värskendused

414 / 781

Dünaamilised värskendused võimaldavad domeeniinfot automaatselt värsken-dada. Dünaamilised värskendused on eelkõige olulised seoses DHCP-ga. KuiDHCP-server annab hostile IP-aadressi, tuleb see info lisada ka domeeni nime-ruumi. Seda saab teha dünaamiliste värskendustega. Dünaamiliste värskendustevigane konfiguratsioon võib viia järgmiste probleemideni:

• - Õigused konfigureeritakse liiga piiravalt, nii et DNS-server ei aktseptee-ri sisese DHCP-serveri värskendusi. Seetõttu ei ole võimalik domeeniinfotvärskendada ning päringute korral saadetakse vastustena tagasi valed javananenud andmed.

• - Kui õigused konfigureeritakse liiga vabalt, võib see endast kujutada po-tentsiaalset ründevõimalust, vt G 5.155 DNS-i dünaamiliste värskendusteärakasutamine .

KrüptograafiaDNS-i turvaliseks muutmiseks kasutatakse tihti krüptograafiat. Vead krüptograa-

filiste võtmete konfigureerimisel viivad näiteks selleni, et valede võtmete tõttu keel-dutakse ühenduse loomisest või kontrollitud andmeid vaadeldakse kui ebausal-dusväärseid.

G 3.105 Väliste teenuste volitamata kasutamineVõib juhtuda, et töötajad rakendavad väliseid teenuseid, mille kasutamine ei ole

institutsioonis kokku lepitud. Selle põhjuseks võib olla asjaolu, et töötajad ei tead-nud, milliseid samme tuleb selleks astuda. Põhjused võivad aga olla ka järgmised:

• kasutuselevõtu protseduur on töötajatele küll teada, aga nad peavad sedakas liiga tülikaks või liiga pikalevenivaks;

• töötajad kasutavad neid teenuseid ka isiklikul otstarbel ja peavad nende ra-kendamist seetõttu iseenesest mõistetavaks.

Tööotstarbelisele kasutusele kehtivad aga sageli hoopis teised raamtingimusedkui erakasutusele. Probleeme võib tekkida järgmistel juhtudel:

• kui väliste teenuste kasutamine ei ole lepinguga reguleeritud;• kui kasutamisest tekivad infoturbe halduse jaoks tundmatud ja seetõttu ka

mittekontrollitavad andmevood;• kui konfidentsiaalne info antakse volitamatult edasi kolmandatele isikutele,

st kui rikutakse organisatsioonisiseseid turbenõudeid või andmekaitsenõu-deid;

• kui kasutamisel minnakse mööda tehnilistest turbemeetmetest, nt viirusetõr-jest.

Näited

• Töötajad kasutavad veebipõhist meiliteenust, et tööülesandeid täites mu-gavalt oma meilidele ligi pääseda. Töökohalt eemalviibimise ajaks lasevadnad oma töömeilid automaatselt veebipõhistele meiliteenustele edasi suu-nata. Sellega võivad konfidentsiaalsed andmed muutuda kättesaadavakskonkurentidele ning isikuandmed võivad sattuda välismaiste teenusepakku-jate kätte.

415 / 781

• Online -režiimis töötavad Office’i programmid nagu Google Documents võiMicrosoft Office 2010 Web Apps võimaldavad kõikjalt kiiret ligipääsu töö-deldavatele dokumentidele. Nende kasutamisel võib juhtuda, et minnaksemööda institutsioonis kehtestatud pääsureeglitest, kuid see pole veel kõik.Lisaks võidakse kasutatud failid salvestada teenusepakkuja juures ning see-läbi võib teenusepakkuja saada juurdepääsu konfidentsiaalsetele andmete-le või isegi nende kasutusõiguse.

416 / 781

G 3.105 Väliste teenuste volitamata kasutamine

Võib juhtuda, et töötajad rakendavad väliseid teenuseid, mille kasutamine ei oleinstitutsioonis kokku lepitud. Selle põhjuseks võib olla asjaolu, et töötajad ei tead-nud, milliseid samme tuleb selleks astuda.

Põhjused võivad aga olla ka järgmised:

• kasutuselevõtu protseduur on töötajatele küll teada, aga nad peavad sedakas liiga tülikaks või liiga pikalevenivaks;

• töötajad kasutavad neid teenuseid ka isiklikul otstarbel ja peavad nende ra-kendamist seetõttu iseenesest mõistetavaks.

Tööotstarbelisele kasutusele kehtivad aga sageli hoopis teised raamtingimusedkui erakasutusele.Probleeme võib tekkida järgmistel juhtudel:

• väliste teenuste kasutamine ei ole lepinguga reguleeritud;• kasutamisest tekivad infoturbe halduse jaoks tundmatud ja seetõttu ka mit-

tekontrollitavad andmevood;• konfidentsiaalne info antakse volitamata edasi kolmandatele isikutele, st ri-

kutakse organisatsioonisiseseid turbe- või andmekaitsenõudeid;• kasutamisel minnakse mööda tehnilistest turbemeetmetest, nt viirusetõrjest.

Näited:

• Töötajad kasutavad veebipõhist e-posti teenust, et tööülesandeid täites mu-gavalt oma meilidele ligi pääseda. Töökohalt eemalviibimise ajaks lasevadnad oma tööalased e-kirjad automaatselt veebipõhistele e-posti teenusteleedasi suunata. Sellega võivad konfidentsiaalsed andmed muutuda kättesaa-davaks konkurentidele ja isikuandmed võivad sattuda välismaiste teenuse-pakkujate kätte.

• Sidusrežiimis töötavad Office’i programmid, nagu Google Documents võiMicrosoft Office 2010 Web Apps võimaldavad kõikjalt kiiret ligipääsu töö-deldavatele dokumentidele. Nende kasutamisel võib juhtuda, et minnaksemööda institutsioonis kehtestatud pääsureeglitest, kuid see pole veel kõik.Lisaks võidakse kasutatud failid salvestada teenusepakkuja juures ning see-läbi võib teenusepakkuja saada juurdepääsu konfidentsiaalsetele andmete-le või isegi nende kasutusõiguse.

417 / 781

G 3.106 Väär käitumine interneti kasutamisel

Ükskõik milline väär käitumine internetiteenuste kasutamisel võib viia negatiivsetetagajärgedeni. Järgnevalt kirjeldatakse ebasobivaid tegevusi ja nende soovima-tuid tagajärgi.

• Ebapiisav reageerimiskiirus - internetirakenduste ja meilide kasutajad eel-davad oma sidepartneritelt kiiret reageerimist. Kui neid ootusi ei täideta, ntkui puudub sobilik kohandatud töötlemisprotsess, võib tagajärjeks olla toot-misettevõtte käibe kahanemine, klientide ja töötajate frustratsioon jne.

• Kontrolli kadu- pärast info avaldamist internetiteenuste keskkonnas või sel-le edastamist meiliga ei saa selle koostaja enam kontrollida, kes selle infosaavad ja mis võib juhtuda. Tagajärjeks võib olla info soovimatu või väärkasutus.

• Era- ja tööelu segunemine - kuna paljude IT-süsteemide (nt mobiiltelefonideja pihuarvutite) rakendusi ja teenuseid (nt sotsiaalmeediat, veebipõhist mei-liteenust) kasutatakse nii töös kui ka isiklikul otstarbel, on väga raske selgelteristada, milline osa infost on seotud üksnes tööga ja milline on isiklik. Sel-lega võivad kaasneda probleemid, kui ründajad koguvad kokku suure hulgaandmeid, et rünnata sihipäraselt mõnda isikut või institutsiooni. Seda tüüpion inimestega manipuleerimisele (social engineering) keskendunud ründed.

• Konfidentsiaalsuse kadu - internetiteenuste turvalisust hinnatakse sageli va-lesti või kasutatakse infoturbe eesmärgil ebasobivaid kaitsemeetmeid, nt kuiinfot varjatakse, aga ei krüpteerita. Sellega tehakse konfidentsiaalne infoavalikkusele kättesaadavaks, ilma et seda oleks soovitud.

Näide

• Andmevahetuse lihtsustamiseks salvestasid kaks sidepartnerit oma failidveebiserverile. Vastav URL tehti institutsiooni piires teatavaks ainult usal-dusväärsetele inimestele ning infot jagati meili teel. Sidepartnerid eeldasid,et nende faile ei ole võimalik otsingumootoritega üles leida. Kuna aga vee-biserverid koostavad statistikat failide kohta, mida kasutatakse kõige enamvõi mis põhjustavad kõige sagemini andmeliiklust (traffic), võib juhtuda, etka need peidetud failid satuvad koos täpse lingiga statistikasse ja muutuvadsellega kättesaadavaks ka volitamata isikutele.

418 / 781

G 3.107 Mainekahjud

Turvaintsidendid võivad kahjustada kogu institutsiooni mainet. Eri liiki turvaintsi-dentidel võivad olla väga erinevad otsesed tagajärjed, nt konfidentsiaalse info ava-likuks tulek, finantsandmete manipuleerimine või isegi tööprotsesside pikaajalineseisak. Turvaintsidentide ilmsikstulek võib kahjustada institutsiooni mainet. Olene-valt turvaintsidendi liigist ja tagajärgedest võib institutsiooni usaldusväärsus avalik-kuse, koostööpartnerite, klientide, aga ka oma töötajate silmis tugevalt väheneda.

Maine kahjustumise põhjuseks ei pruugi ilmtingimata alati olla turvaintsident,mille tingib kas vääramatu jõud või väljastpoolt organisatsiooni pärit isikute sihi-pärane rünne. Mainekahju võib põhjustada ka oma töötajate väär käitumine, kuiinternetis ei osata käituda, saadetakse ahelkirju või kui turvaintsidente kutsutakseesile sellega, et eiratakse turbereegleid või rakendatakse neid valesti (nt kui süle-arvuti varguse korral saab varas sellega enda käsutusse kõikide klientide andmed,krediitkaardiandmed ja lisaks ülevaate viimaste aastate tellimustest).

Näited

• Ühe suurettevõtte töötaja ei järginud internetiteenuseid kasutades institut-sioonis selle jaoks kehtestatud reegleid, vaid paistis internetifoorumites kor-duvalt silma oma ebasobiva keelepruugiga. Selline käitumine kutsus esilehalvakspanu mitte ainult selle isiku, vaid kogu ettevõtte suhtes, kus see isiktöötas, sest töötaja elektroonilistest visiitkaartidest võis välja lugeda, mis et-tevõtet ta esindab. Sellise käitumise tagajärjel seisis ettevõte silmitsi prob-leemiga, et klientide arvates oli see ettevõte ülbe ja oma tegevusvaldkonnasebapädev. Hea maine taastamiseks tuli käivitada spetsiaalne turunduskam-paania.

• Töötaja kaotas töölähetusel viibides ühel rongisõidul kogemata ära omaUSB-mälupulga. Mälupulgale olid salvestatud talle viimase aasta jooksullaekunud tööülesanded, klientide postiaadressid, kontoandmed ja meiliaad-ressid. Need andmed olid krüpteerimata. Leidja müüs andmed internetismaha. Selle tagajärjel tehti osade klientide arvelduskontodelt volitamata üle-kandeid. Järgnenud politseiuurimise käigus õnnestus tuvastada, et pettusevõib seostada USB-mälupulga kadumisega, ning see tõi omakorda kaasanegatiivsed pressiteated ja usaldusväärsuse tugeva vähenemise koostöö-partnerite ja klientide silmis.

• 2008. aasta detsembris sai ühe suure ajalehe peatoimetaja anonüümsesaadetise, milles oli ühe pangaasutuse 130 000 kliendi konfidentsiaalne in-fo. See sisaldas ülevaateid krediitkaartidega tehtud arveldustest, panga jakrediitkaartide salajasi koode, palgaandmeid, andmeid välismaale üle kan-tud summade ja nende tagasikandmise kohta. Lisaks oli saadetises ka ühefinantsteenuseid osutava firma arve sellele pangale. Ajalehes oletati, et te-gu on võib-olla mõne pangatöötajaga, kes soovib neid aruandeid avalda-da selleks, et juhtida tähelepanu ettevõtte andmekaitseprobleemidele. Muumeedia haaras vahejuhtumist kinni kui andmeskandaalist ning see pank jafinantsteenuseid osutav firma tõmmati liistule. Nädala möödudes selgus, etvahejuhtumi põhjustas kahe kulleriteenuseid osutava autojuhi aplus. Kulleri-autos oli muude pakkide kõrval olnud üks saadetis, kuhu oli ajalehe peatoi-metajale kingituseks sisse pakitud jõulukeeks. Kullerid panid keeksi nahkaja püüdsid oma tegu varjata sellega, et kleepisid keeksipakil olnud aadressiühe teise paki peale. Juhuslikult osutus valituks pakk, mis sisaldas panga-

419 / 781

klientide andmeid. Kullerid said väikse trahvi, aga pangale tekitatud maine-kahju oli üüratu.

420 / 781

G 3.108 Mac OS X väär konfiguratsioon

Mac OS X süsteemi konfiguratsiooni muutmiseks saab konfiguratsioonifaile muutakolmel moel: tekstiredaktoriga, käsuviiba käskudega ja graafilise kasutajaliidese-ga. Kui süsteemimuudatuste tegemiseks kasutatakse läbisegi erinevaid võimalu-si, võivad tekkida ebakõlad, sest muudatused salvestatakse sageli erinevatessekonfiguratsioonifailidesse ja neid ei sünkroniseerita. Samuti on oht, et turbesea-distused võivad üksteise mõju ära nullida ning Mac OS X klientide haldamine võibmuutuda keerulisemaks.

Näiteks on SSH-konfiguratsiooni puhul võimalik faili /etc/sshd_config kohanda-da nii otse kui ka graafilise kasutajaliidesega, liikudes „System Preferencesi” alam-menüüsse „Sharing”. Tehtud seadistused salvestatakse erinevatesse konfigurat-sioonifailidesse, mida omavahel ei sünkroniseerita. Selle tagajärjel võib tekkidanäiteks olukord, kus korrektselt seadistatud SSH-konfiguratsioonifailidest hooli-mata puudub võimalus SSH-ga sisse logida, sest erinevate konfiguratsioonifailidesisu on omavahel vastuolus.

Näide

• Väikeettevõttes töötab kaks administraatorit. Üks administraator kasutab en-da töös peamiselt käsuviipa ja tekstiredaktorit. Seevastu teine administ-raator eelistab töötada graafilise kasutajaliidesega. Et minimeerida per-sonali haigestumisest tingitud tagasilööke, pole kaugpöörduste hoolda-mise ülesanne antud mitte ühele, vaid mõlemale administraatorile. Faili/etc/sshd_config on juba sisse kantud mitu kasutajat, kes võivad kaugpöör-duseks kasutada SSH-d. Kui ettevõttesse võetakse tööle uus töötaja, teebgraafilist kasutajaliidest eelistav administraator uue töötaja jaoks sissekan-de. Kuna aga kaks loetelu on üksteisega vastuolus, ei saa enam mitte keegiSSH-d kasutada.

421 / 781

G 3.109 FileVault-krüpteerimise väär kasutamine

Mac OS X-s saab kodukatalooge krüpteerida FileVaultiga. Selleks kasutatakseAES-128 algoritmi. FileVaultiga krüpteeritud andmetele pääsevad kasutajad juur-de üksnes korrektse parooliga. Seetõttu tuleks kindlasti valida piisavalt tugev pa-rool. Paroolidega kaasneb oht, et need võidakse ära unustada ning kui töötajadpeavad üksteist asendama, ei pruugi need olla käepärast. Et faile oleks siiskivõimalik lugeda, on selliste juhtude jaoks loodud FileVaulti põhiparool (masterpassword). Lokaalselt kindlaksmääratav FileVaulti põhiparool võimaldab kõiki IT-süsteemi kodukatalooge dekrüpteerida või nende paroole taastada. Kui FileVaultipõhiparooli hoitakse ebaturvalises kohas, võib juhtuda, et krüpteeritud andmeteletekib juurdepääs ka volitamata isikutel.

Seevastu kui korraga peaksid kaotsi minema nii kasutaja parool kui ka FileVaultipõhiparool, nt tulekahju või varguse tõttu, muutuvad FileVaultiga krüpteeritud and-med jäädavalt ligipääsmatuks. FileVaulti põhiparooli kaitstakse nõrgema algoritmi-ga (RSA-1024) ning seetõttu on see rohkem ohustatud kui kasutajate paroolid.

FileVaultiga ei ole võimalik krüpteerida kõvaketast tervikuna. Seetõttu tekib rün-dajal, kel õnnestub endale luua füüsiline juurdepääs IT-süsteemi kõvakettale võikasutajakontole, ka juurdepääs tundlikele konfiguratsioonifailidele ja -kaustadele.Siia alla kuuluvad näiteks:

• logifailid asukohtades /Library/Logs ja /var/log;• vahemälufailid ( cache ) ning ajutised failid asukohtades /Library/Caches ja

/tmp;• süsteemiülesed seadistused asukohas /Library/Preferences;• omaenda lähtetekst asukohas /Developer;• kõik lisaprogrammid, mis on salvestatud kodukataloogist väljapoole.

Volitamata isikutel võib tekkida juurdepääs teabele ka siis, kui kasutajad lo-givad ennast klientsüsteemi ilma autentimata (automaatne sisselogimine). Sel ju-hul dekrüpteeritakse FileVaultiga kaitstud andmed samuti automaatselt, arvuti käi-vitamisel, ning parooli ei küsita.

Lisaprobleemid võivad esile kerkida programmi Time Machine kasutamisel. Ti-me Machine on Mac OS X andmevarundusprogramm, millega saab koostada koo-piaid tervetest kõvaketastest, üksikutest kataloogidest ja ka FileVaultiga krüptee-ritud kodukataloogidest. Seevastu andmed salvestatakse andmevarunduseks ka-sutatavale andmekandjale alati krüpteerimata kujul ning andmekandja liik ei omasiinkohal mingit tähtsust. Arvestage, et andmekandjaid tuleb hoida mõnes turvali-ses kohas, kuhu volitamata isikud ei pääse.

Samuti tuleb võtta arvesse seda, et sisselülitatud FileVaulti korral saab TimeMachine’i andmevarundusprogrammi kasutada alles siis, kui kasutaja on end süs-teemist välja loginud. Kui Mac OS X-ga töötav klientsüsteem on lukustatud võiviibib puhkeseisundis, ei saa andmeid varundada.

Näited

• Ettevõttes järgitakse põhimõtet, et kõikide kasutajate kodukataloogid tulebFileVaultiga krüpteerida. Kuna aga kasutajad eeldavad, et tänu FileVaultileon nende andmed piisavalt kaitstud, paluvad nad vastutaval administraa-toril aktiveerida automaatse sisselogimise, et selle arvelt aega säästa. Kaadministraator arvab ekslikult, et andmed on FileVaultiga jätkuvalt kaitstud.

422 / 781

Pärast seda, kui administraator aktiveerib automaatse sisselogimise, dek-rüpteeritakse FileVaultiga kaitstud kodukataloogid ning volitamata isikutel onvõimalik neile juurde pääseda.

• Ettevõttes kasutatakse krüpteerimiseks FileVaulti ja andmete varunda-miseks Time Machine’i. Lõunapausile minnes ja ka õhtul pärast töö lõpeta-mist ei lülita töötajad arvuteid välja, vaid üksnes puhkerežiimile. Mõne päe-va järel tekib arvutis, mida ei ole vahepeal üldse välja lülitatud, riistvara rike,millega kaasneb andmekadu. Kuna aga arvutit vahepeal üldse välja ei lülita-tud, siis andmeid ei varundatud, sest FileVault blokeeris Time Machine’i töö.Kaotsi läksid kõik andmed, mis tekkisid pärast viimast andmevarundust.

• Soovitud turbeastme saavutamiseks krüpteeritakse Mac OS X-ga töötavaarvuti kodukataloogid FileVaultiga. Sellele järgneb andmete varundamineTime Machine’iga ning varukoopiate salvestamine eemal asuvasse serve-risse. Varukoopiate andmetega saavad aga tutvuda kõik isikud, kellel onolemas asjaomase kataloogi pääsuõigused, sest Time Machine salvestabandmed krüpteerimata kujul. Lisaprobleeme võib tekkida ka andmekandjatekaotsiminekul, sest andmed ei ole krüpteeritud, vaid vabalt ligipääsetavad.

423 / 781

G 3.110 OpenLDAP väär konfiguratsioon

OpenLDAP on laialdaste funktsioonidega kataloogiteenus. Funktsioonide rohkussaavutatakse tänu moodulitel põhinevale ülesehitusele ning avatud lähtekoodigatarkvara laialdastele kohandamisvõimalustele. Lisaks on tegemist klient-server-arhitektuuriga, mille puhul tuleb konfigureerida nii serverit kui ka klienti. Seegavõib OpenLDAP-d kokkuvõtlikult nimetada ülikompleksseks rakenduseks.

Kui konfiguratsioon on puudulik või seda polegi tehtud, võivad tekkida näiteksjärgmised ohud:

• Administraatorid võivad muuta OpenLDAP konfiguratsiooni viisil, mis on teh-niliselt küll võimalik, kuid erialaseid teadmisi arvestades keelatud. Näiteksvõib administraator muuta OpenLDAP standardskeemi eesmärgiga saadakataloogiteenuse objektide jaoks juurde atribuute. Kui üle maailma kasuta-takse ühtset standardskeemi, võib see raskendada ühildumist teiste kata-loogiteenustega ning põhjustada probleeme OpenLDAP värskendamisega (update ) või OpenLDAP migreerimisega teisteks kataloogiteenusteks. Tooteväära kasutamise korral võidakse eksida ka LDAP standardi vastu.

• Väärad sissekanded slapd-serveri tsentraalsetes konfiguratsioonifailidesvõivad viia soovimatute tulemusteni serveri töös või muuta serveri täiesti ka-sutuskõlbmatuks, nt kui andmebaasi töörežiimiga antakse üksnes lugemis-õigused ( read only ). Backend ’ide saadetavate väärate korralduste puhul,nt juhtudel, kus need ei sobi kokku kasutatava andmebaasiga, võib tekkidaandmekadu.

• OpenLDAP-d saab installida operatsioonisüsteemi distro jaoks ette valmis-tatud binaarpakettidest. Osa distrote puhul näeb standardkonfiguratsioon et-te, et slapd-server käivitatakse automaatselt pärast installimist. Selline stan-dardkonfiguratsioon on aga sageli ebaturvaline, sest turbemeetmeid, nt si-deühenduste krüpteerimist, need konfiguratsioonid enamasti ei rakenda.

• Konfiguratsioonimuudatusi võidakse teha vales failis. Näiteks kui kasutaja-seadistusi ei tehta õiges failis (enamasti ~/.ldaprc), vaid klientide globaalsea-distuste failis (enamasti ldap.conf), ei hakka need seadistused toimima. Kuiklientide jaoks tehtavad seadistused sisestatakse eksikombel serveri kon-figuratsiooni (enamasti slapd.conf), võivad need pärssida terve süsteemifunktsioonide tööd. See võib juhtuda siis, kui mõnda klientide puhul väga-gi soovitatavat seadistust, nt nõuet, et sidepartner peab end sertifikaadigaautentima, hakatakse rakendama serveris. Suurel osal klientidest sobivadsertifikaadid puuduvad.

• OpenLDAP keskse turbemehhanismi moodustavad pääsuloendid (AccessControl Lists – ACL). Pääsuõiguste haldamise funktsiooni korrektne töösõltub olulisel määral ACL-ide õigest konfiguratsioonist. Kui mõne kasuta-ja juurdepääsu kataloogiteenusele soovitakse keelata, saab administraatorselleks kehtestada pääsureegli, mis lisatakse kehtiva reeglistiku lõppu. Sel-line reegel ei pruugi aga sageli toimida, sest reeglistiku kontrollimine katkes-tatakse pärast esimese sobiva kriteeriumi leidmist.

424 / 781

G 3.111 OpenLDAP offline- ja online-pöörduste ebapiisav lahutamine

OpenLDAP-ga hallatavatele andmetele, st kataloogiteenuse objektidele ningkonfiguratsiooniseadistustele, on võimalik juurde pääseda mitmel moel:

• LDAP-protokolliga, kasutades ldap*-tarkvaratööriistu, kui slapd-server töö-tab (nimetatakse ka online -juurdepääsuks);

• otsejuurdepääsuga Berkeley DB andmebaasifailidele, kasutadesOpenLDAP slap*-tarkvaratööriistu, sõltumata slapd-serveri seisundist(nimetatakse ka offline -juurdepääsuks);

• andmebaasimanipulatsiooniga, kasutades Oracle’i Berkeley DB tarkvara-tööriistu;

• failisüsteemi konfiguratsioonifailide otsese manipuleerimisega.

Erinevad juurdepääsuvõimalused ja tarkvaratööriistad on mõnel juhul identsetefunktsioonidega, kuid võivad üksteisega ka täielikult kattuda. Kui erinevaid juurde-pääsuvõimalusi kombineeritakse omavahel või kui nende tööpõhimõttest on va-lesti aru saadud, võib tekkida mitmeid veaolukordi.

Näited

• Ettevõttes kasutatakse OpenLDAP-ga salvestatavate andmehulkade va-rundamiseks tarkvaratööriista slapcat offline ning andmete varukoopiadsalvestatakse LDIF-vormingus. Andmete taastamisel üritab administraa-tor ldapadd-rakendusega laadida andmete varukoopiat töötava OpenLDAPinstantsi tühja andmebaasi. Tööde käigus unustatakse, et slapcat-tarkvaratööriista eksportimisfunktsioon salvestas andmete varukoopiad sel-les järjekorras, nagu need füüsiliselt andmebaasis paiknesid. Seevastuldap*-tarkvaratööriist ldapadd eeldab, et andmehulgad järgivad hierarhilistkataloogistruktuuri. Nii läheb andmebaasi terviklus andmete importimiselkaotsi, sest ldapadd-tarkvaratööriist püüab sisestada andmehulki, mille hie-rarhiliselt kõrgema astme sissekandeid ei ole seni veel imporditud.

• OpenLDAP kasutaja rakendab nii andmete varundamiseks kui ka taasta-miseks Berkeley DB tarkvaratööriistu. Ta läheb OpenLDAP-st mööda, stkasutab andmete varundamiseks programmi db_dump ja andmete taasta-miseks programmi db_load. Kuna aga seda liiki andmevarunduse puhul jää-vad kasutajaspetsiifilised ajatemplid korrektselt taastamata, kaob varukoo-pia põhjal taastatud andmebaasi terviklus ning OpenLDAP ei suuda sedaandmebaasi kasutada.

425 / 781

G 3.112 Image’ite volitamata või väär rakendamine Windows DISM-ikasutamisel

DISM (Deployment Image Servicing and Management) on käsuviibatööriist, midapakutakse alates paketist Windows Vista Service Pack 2. Sellega saab teha laial-dasi konfiguratsioonimuudatusi Windowsi installatsioonide kõvaketaste kujutisfai-lides. DISM-i saab kasutada nii Windows Image’i failivorminguga failide (WIM) kuika virtuaalsete kõvaketaste puhul (Virtual Hard Disk – VHD). Neid kasutatakse ko-handatud Windowsi süsteemide jaotusprotsessis. DISM-i saab osaliselt kasutadaka töötavates süsteemides.

Installatsiooniallikates ja IT-süsteemides on võimalik märkamatult teha muuda-tusi, seejuures võib neid muudatusi teha kogemata mõni oma töötaja või hoopisründaja. Mõlemal juhul häiritakse sellega jaotusprotsessi tööd, sest muudatusedrikuvad installatsiooni turvakonfiguratsiooni, lisaks tekib pahavarakoodi ringlussepaiskamise oht.

Windows Image’i vorming on andmepõhine kujutisfailivorming (WIM), mis võibsisaldada Windowsi installimisallikaid alates versioonidest Windows Vista ja Win-dows Server 2008. WIM-fail võib sisaldada korraga mitut Windowsi väljaannet(editions).

DISM-i põhifunktsioonid on järgmised:

• Windows Edition Servicing Commands, millega saab muuta Windows Ima-ge’it;

• Unattended Servicing Commands, millega saab teha muudatusi ilma kasu-taja sekkumiseta;

• Driver Servicing Commands, millega saab seadmete draiverid integreeridaimage ’iga;

• International Servicing Commands, millega saab kohandada keelepakette;• Application Servicing Commands, millega saab rakendusi integreerida ima-

ge ’itega;• Package Servicing Commands, millega saab pakette integreerida image ’ite

või töötava süsteemiga.

Järelevalveta käsupaketi (Unattended Servicing Commands) puhul on ohtlikeelkõige käsk /Apply-Unattended, sest sellega saab üksikuid pahavarakoodiganakatatud faile sisestada olemasolevasse image ’isse, ilma et vastutav administ-raator seda märkaks. Eriti kriitiliseks muutub see funktsioon koos suvandiga, mismäärab kindlaks XML-vormingus juhtfaili, sest sel viisil on võimalik mitut faili kaautomaatselt installida.

Application Servicing Commandsi käsupaketi abil saab uurida, kas image si-saldab konkreetset rakendust. Selleks võib kasutada näiteks käsku /Get-AppInfo.Samuti on võimalik kõikidest image ’is sisalduvatest rakendustest koostada loetelukäsuga /Get-Apps. Image ’is sisalduvate failide kuvamine loob võimaluse rünnatamõningaid tarkvaraversioone.

Käsud /Add-Package ja /Remove-Package, mis kuuluvad käsupaketti PackageServicing Commands, võimaldavad Windows 7 puhul DISM-iga asendada terveid

426 / 781

pakette ( packages ). Selline võimalus lihtsustab märkimisväärselt ründaja tööd,sest ühe käsuga saab asendada mitu faili korraga.

Suured ühtekoondatud image ’id loovad rohkelt võimalusi kontrollimatute muu-datuste tegemiseks, mille negatiivsed mõjud avalduvad pärast installimist. Suurtesühtekoondatud image ’ites sisalduvaid tarkvarakomponente saab ükshaaval akti-veerida ja desaktiveerida käskudega /Enable-Feature ja /Disable-Feature. Mani-fest ja tsentraalne definitsioon puuduvad. Seetõttu on oht, et jaotusprotsessi kaa-satakse, nt pahatahtlikult või ettevaatamatusest, heaks kiitmata muudatused, missuurendavad jaotatavate Windowsi süsteemide ründeohtu ning loovad olukorra,kus jaotatavad süsteemid ei täida enam neilt oodatud ühilduvusnõudeid.

427 / 781

G 3.113 Lotus Notesi kliendi või võõra, Lotus Dominole juurdepääsuomava kliendi väär konfiguratsioon

Lotus Domino versioonide 8.x puhul saab kasutada erinevaid kliendikomponen-te. Nende hulka kuuluvad Lotus Notesi kliendid (Standard Client, Basic Client,Designer Client ja Administrator Client), brauserid (iNotesi kaudu), spetsiaalsedkliendid pihuarvutitele (ja teistele kaasaskantavatele lõppseadmetele) ning võõ-rad meilikliendid, mis kasutavad Dominole juurdepääsemiseks POP3 ja/või IMAP-liideseid. Kliendikomponentide väär konfiguratsioon võib pärssida Lotus Note-si/Domino platvormi käideldavust, konfidentsiaalsust ja terviklust ning lihtsustadaplatvormi ründamist.

Alates Lotus Notesi versioonidest 8.x on Fat Clientsi tüüpi kliendid eelnevategavõrreldes komplekssemad. Standard Client on muutunud komplekssemaks Eclip-se’i raamistiku tõttu ja Basic Client muutuvate Lotus Notesi teenuste tõttu. Selletagajärjel suureneb väärkonfiguratsioonide tõenäosus.

Lotus Notesi klientide väärkonfiguratsioonid võivad olla näiteks järgmised:

• Lotus Notesi klientide konfidentsiaalsete andmete (nt Notes-ID) ja klienti-de andmebaaside (k.a replikatsioonide) ebapiisav või puuduv krüpteerimine- selleks, et lõppseadme kaotamise või varguse korral ei oleks volitama-ta isikutel võimalik juurde pääseda Lotus Notesi kliendi konfidentsiaalseteleandmetele, peab kas lõppseade või vähemalt Notesi kliendis hoitavad kon-fidentsiaalsed andmed (k.a ID ja sertifikaadid) olema piisavalt tugevalt krüp-teeritud.

• Kliendi replikeerimisfunktsiooni väär seadistus : näiteks kui tagantjäreleavastatakse, et serveris on olnud võimalik andmeid kustutada, saab neidtaastada üksnes suure vaevaga.

• Meilide tagasivõtufunktsiooni (Recall a message) väär seadistus - need sea-distused tuleb teha läbivalt ühtmoodi, järgides institutsioonis meilivahetuseja tagasivõtufunktsiooni kohta kehtestatud reegleid.

• Execution Control Listi (ECL) väär konfiguratsioon - ECL juhib aktiivsisu käi-vitamist Lotus Notesi kliendis ning aktiivsisule antavaid volitusi. ECL-i väärkonfiguratsioon võimaldab aktiivsisu kasutada Lotus Notesi kliendi ründa-miseks. ECL-i väär konfiguratsioon võib aktiivsisul võimaldada näiteks juur-de pääseda klientsüsteemina töötava arvuti lokaalsetele andmekogudele (ntandmebaasidele, failidele) ning andmeid varastada, muuta või kustutadaklientsüsteemi lokaalseid andmeid, installida kahjulikke programme, nt ar-vutiviiruseid või Trooja hobuseid.

• Kasutajate liiga laialdane juurdepääs Lotus Notesi kliendi konfiguratsiooni-seadistustele - Lotus Notesi kliendi konfiguratsiooniseadistused võivad mär-kimisväärselt mõjutada kliendi turvet (ja Lotus Notesi/Domino platvormi tur-vet tervikuna). Seetõttu on ohtlik, kui kasutajad saavad teha kliendis seadis-tusi, mis mõjutavad selle turvet.

Loetletud probleemid puudutavad üksnes kliendi väära konfiguratsiooniga kaas-nevaid ohte. Olenevalt kasutusvaldkonnast võivad neile lisanduda ka teistsugusedohud.

428 / 781

Väärkonfiguratsioonid võivad põhjustada turbeprobleeme ka siis, kui Notesiklientidena kasutatakse brausereid (iNotesi või Domino veebiserveri kaudu), spet-siaalselt pihuarvutitele või sarnastele kaasaskantavatele lõppseadmetele mõel-dud kliente või nn võõraid meilikliente läbi POP3 ja/või IMAP-liideste. Turbe tõ-husus oleneb kasutatava brauseri või võõra kliendi konfiguratsiooniseadistustestning puudutab selliseid valdkondi nagu aktiivsisu käivitamine brauseris ja kliendisning Domino serveri andmeside.

Näide

• Sülearvuti, mille puhul Lotus Notesi kliendi kõvaketta krüpteerimist ei kasu-tatud, langeb varguse ohvriks ning meiliandmebaasi lokaalselt salvestatudreplikatsioonist saadakse kätte konfidentsiaalse sisuga meilid, mis lekitatak-se kas konkurentidele või ajakirjandusele.

429 / 781

G 3.114 Logimisprotseduuride väär haldus

Logiserveri haldamisega seotud eksimused, mille tagajärjel jäävad turvaintsiden-did kas piisava tähelepanuta või avastamata, võivad pärssida kogu infokoosluseturvet. Põhjused võivad seisneda kas vääras konfiguratsioonis või käsitsemises.Haldamisprotsessi vead võivad olenevalt olukorrast ohtu seada ka tundlike and-mete konfidentsiaalsuse.

Väära konfiguratsiooni all peetakse silmas kas valesti või ebatäielikult seadis-tatud parameetreid ja suvandeid. Näiteks võidakse kasutada liiga lubavaid filtree-rimisreegleid või liialt suuri piirväärtusi, mille tagajärjel hakkab hoiatusfunktsioontööle liiga hilja. Väärkonfiguratsioonid võivad põhjustada ka sagedasi valehäireid,mis muudavad eelhoiatusfunktsiooni kasutamise tülikaks.

Käsitsemisvigu võib esineda tsentraalse logimislahenduse korral näiteks siis,kui töötajad on jäetud koolitamata või neid on koolitatud ebapiisavalt. Seetõttuvõivad administraatorid logifailide analüüsitulemusi tõlgendada valesti ning turv-aintsidente ei pruugita avastada. Väära käsitsemise tagajärjed on ka logifailidetahtmatu kustutamine ja muutmine. Lisaks võivad turvet tervikuna ohustada logi-süsteemi turbeseadistuste modifitseerimine ja liiga lubavad pääsuõigused. Neidvõivad enda huvides ära kasutada ka volitamata kasutajad, et luua juurdepäässeirefunktsioonidega valvatavatele IT-süsteemidele.

Näited

• Institutsioonis kasutatakse serveri koormust jälgivat eelhoiatussüsteemi,kuid selle rakendumise piirväärtus on seadistatud liiga väikseks. Seetõttuväljastab süsteem hoiatuse isegi siis, kui serveri koormus on väga väike.Ajapikku pööratakse sellistele hoiatusteadetele üha vähem tähelepanu ninglõpuks hakatakse neid ignoreerima. Selle tagajärjel tekib suur turvarisk, sestnii jäävad tähelepanuta ka kõik olulised teated, mis hoiatavad serveri reaal-se ülekoormuse eest. Ülekoormuse tõttu võib aga serveri töö pikaks ajaksseiskuda ning tuua endaga kaasa suure finantskahju.

• Administraator kasutab vaid klaviatuuriga töötavat tekstiredaktorit ja muu-dab väära käsu sisestamise tõttu logifailis kogemata ära ühe töötaja sisse-logimist kajastava sündmuse kellaaja, mille tagajärjel kajastub failis algse07.13 asemel kellaaeg 77.13. Logifaili läheb hiljem tarvis asitõendina, mispeab kinnitama, et töötaja logis enda kasutajanime alt enda arvutisse sisse14. aprillil 2009 kell 07.13. Kuna aga logifail sisaldab kehtetut sissekannet, eisaa seda enam asitõendina kasutada. Sama sündmust ei kajasta mitte üks-ki teine logifail, mistõttu pole võimalik tõestada, et kõnealune töötaja viibissel päeval ja kellaajal oma töökohal.

430 / 781

G 3.115 Oluliste logiandmete väär valik

Logifailid sisaldavad sageli olulist teavet, mida IT-eelhoiatussüsteemid saavad ka-sutada võimalike turvaintsidentide tuvastamiseks. Olulise sisuga teadete väljava-limine suure hulga erinevate logisündmuste hulgast on sageli raske ülesanne.

Kuna väga paljud logiandmed teavitavad sageli ka olukordadest, mis ei ole ot-seselt ohtlikud, võivad olulised teated jääda tähelepanuta. See kehtib eriti siis, kuikasutatakse tsentraalset logimist, mille puhul väga paljude IT-süsteemide teatedkoondatakse kokku ühte logiserverisse.

Kui logiteadete hulk paisub liialt suureks, osutub andmete analüüsimine kasvõimatuks või eeldab liiga suurt ajaressurssi. Samuti on oht, et logiandmed kustu-tatakse ära või kirjutatakse üle, nt olukorras, kus logiserveri töömälu ja kõvakettamaht on liiga väiksed. Kui logiteateid kogutakse liiga vähe või kogutakse eba-olulisi teateid, võivad turvet ohustavad sündmused jääda tähelepanuta. Sellisedprobleemid tekivad sageli IT-eelhoiatussüsteemi filtreerimisfunktsiooni väära kon-figuratsiooni tõttu.

Erinevad vormingud - logifaile salvestatakse väga erinevates andmevormingu-tes ja sorteeritakse erinevas järjekorras. See oleneb rakenduse tootjate valikutestja protsessidest, mille käigus andmeid kogutakse. Näiteks asuvad operatsiooni-süsteemi logifailides kuupäeva ja kellaaja sissekanded hoopis mujal kui veebiser-veri logifailides. Süsteemiteadete logisid kasutatakse veaotsingutel ja turvaintsi-dentide lahendamiseks. Neid teateid saab kasutada ka IT-eelhoiatussüsteem. Ko-gutava andmehulga ülevaatlikkuse säilimiseks peavad andmed olema omavahelseostatud. Selleks tuleb logiandmed normeerida, st teisendada ühte vormingusse.

Probleemid rakenduste ja IT-süsteemidega - logimise üldaspektide kõrval tulekstähelepanu pöörata ka rakenduste ja IT-süsteemide töös esinevatele probleemi-dele. Näiteks võib turvalüüsi (tulemüüri) ja võrgukomponentide seirefunktsioonolla liigselt suunatud keelatud tegevuste, nt keelatud ühenduste registreerimise-le. Seetõttu jäävad lubatud tegevused, nt korrektselt loodud ühendused, piisavatähelepanuta. Samas võivad just need andmed anda vajalikke vihjeid edukaksosutunud rünnete kohta, nt kui ründaja sisestas õige parooli alles pärast paljusidkorduvaid katseid.

Näited

• Infokoosluse tsentraalses logiserveris registreeritakse mitu korda järjest üle-koormus. Põhjus seisneb selles, et Windowsi sündmusi kajastavaid teateidkogutakse ja edastatakse serverisse dubleeritult. Näiteks kajastatakse ka-sutajate sisse- ja väljalogimist korraga nii kliendi kui ka domeenikontrollerilogifailides ning kõik need andmed saadetakse ka logiserverisse. Ülekoor-muse tõttu võib aga kaotsi minna olulist teavet, nt ründeid kajastavad and-med. Nii tekivad infokoosluse seires lüngad.

• Ettevõte soovib enda Exchange’i serveri seirefunktsiooni liita IT-eelhoiatussüsteemiga. Eelhoiatussüsteemi põhiülesandena nähaksekõikide läbi Exchange’i serveri saadetavate meilide salvestamist. Sellekspeab administraator logima Exchange’i serveri SMTP-tehinguid. Kui agaserveris on eksikombel jäetud Exchange Message Tracking sisse lülitamata,ei toimi Exchange’i serveri seire nõuetekohaselt.

431 / 781

G 3.116 Aja sünkroniseerimata jätmine logiandmete analüüsimisel

Infokoosluses, mille IT-süsteemide ajad on omavahel sünkroniseerimata, võib tek-kida olukord, kus logiandmeid ei ole võimalik üksteisega kõrvutada, sest kui sünd-mused kajastuvad erinevate ajatemplitega, puudub nende võrdlemiseks ühtnealus. Näiteks võib sel põhjusel luhtuda katse seostada omavahel turvalüüsi (tule-müüri) reeglite rikkumisi ja ebaõnnestunud sisselogimiskatseid. Eriti suur on seeoht siis, kui rakendatakse tsentraalselt toimivat logimislahendust. Kui erinevateIT-süsteemide logiteadete aeg ei ole sünkroonis, ei saa andmeid üksteisega võr-relda.

Ajatemplifunktsiooni aja- ja kuupäevaseadistused olenevad sageli süsteemiregioonide seadistusest. Nii näiteks kirjutatakse anglosaksi regiooniseadistuseskuupäev kujul kk/pp/aaaa (kuu/päev/aasta, nt 09/15/2015). Andmete automaat-sel analüüsimisel, nt IT-eelhoiatussüsteemis, võib selline kirjutusviis viia vääratetulemusteni tulenevalt meie regioonis valdavalt kasutusel olevast formaadist ku-jul aaaa/kk/pp (aasta/kuu/päev, nt 2015/09/15). Parima tulemuse saavutamisekstuleks järgida ISO8601 standardit.

Samuti tuleb arvestada, et osas süsteemides, eriti Unixi süsteemides, puudublogiandmetes aastaarv. Sellest võib kujuneda suur probleem andmete kasutamiseltõendusmaterjalina olukorras, kus vaadeldakse sündmusi, millest on möödunudjuba palju aega, kuid andmetes puudub selge viide nende tekkeajale.

Näited

• Infokoosluses võetakse kasutusele tsentraalne logiserver. Kõik võrku kuu-luvad seadmed hangivad enda süsteemiaja sisevõrgus asuvast NTP-serverist. Infokooslus langeb korduvate rünnete ohvriks ja NTP-serverkompromiteeritakse. Ründe tagajärjel muudeti ära NTP-serverist väljasta-tav kellaaeg ning seetõttu ei lange kõikide ülejäänud IT-süsteemide kellaaegenam logiserveri kellaajaga kokku. See tähendab, et ka IT-süsteemide logi-faile ei saa enam omavahel võrrelda.

432 / 781

G 3.119 Standardite väär kasutamine

Veebiteenuste realiseerimiseks on saadaval hulgaliselt standardeid (vt M 4.451Veebiteenuste värsked standardid), mis on eriti oma koosmõjus ja omavahelisesõltuvuse tõttu väga keerulised.

Selle keerulisuse tagajärjel võivad tekkida vead standardite kasutamises. Nen-del vigadel võib olla mitmesuguseid tagajärgi.

• Standardit ei rakendata tõhusalt. See võib põhjustada olukorra, kus ettenäh-tud turbefunktsioone ei realiseerita tõhusalt, mis seisneb selles, et volitusedjäetakse kontrollimata või ei toimu krüpteerimist.Näide. Turvalisust puudutavas SOAP-päises tehti trükiviga, samal ajal puu-dub atribuut env:mustUnderstand=true. SOAP-sõlm ei saa trükivea tõttupäist lugeda ja eirab seda.

• Selle tagajärjel ei kasutata standardit ettenähtud korras või ulatuses. Nii võibjuhtuda, et näiteks XML-allkirjad ei hõlma sõnumi kõiki vajalikke koostisosivõi ei ole need krüpteeritud piisavalt turvaliste algoritmidega.Näide. XML-allkiri luuakse XML-elemendi kaudu, mis võib kasutatavasXML-struktuuris esineda mitu korda, nii et ründaja saab XML SignatureWrapping’uga muuta sõnumi sisu, ilma et allkiri kaotaks oma kehtivuse.

• Juurutamisel tekivad töös vead, mis esinevad teatud tingimustel erilistes olu-kordades ja piiravad veebiteenuse kättesaadavust.Näide. Volituste kontrollid katkestati vea tõttu, mille korral kuvatav kasutajatuleb liigitada rolli ja ettevõtte üksuse kindla kombinatsiooni järgi.

• Juurutamine hõlmab täiendavaid, teatud standarditega seotud funktsioone,mis ei ole konkreetse veebiteenuse jaoks nõutavad. Sellised kasutamatafunktsioonid annavad ründajale rünneteks suuremad võimalused ja neidvõib ära kasutada eriti veebiteenuse kättesaadavuse ründamisel.Näide. Sõnumi analüüsimisel rakendatakse XML-viiteid, kuigi see ei olenimetatud veebiteenuse jaoks vajalik.

Juurutamisvigadest võib ühelt poolt tuleneda teabe või metaandmete kätte-saadavuse, avalikustamise või võltsimise ettekavatsematu kahjustamine, milletõttu juurutatavad teenused ei tööta või töötavad valesti. Teiselt poolt võivadründajad selliseid juurutamisvigu ka sihipäraselt välja uurida (vt G 5.184 And-mete hankimine veebiteenuste kaudu ) ja ära kasutada, et rünnata veebiteenusekättesaadavust, usaldusväärsust või terviklust.

Vastavate standardite omavahelise suure sõltuvuse tõttu on olemas oht, etstandardi kasutamisel tekkinud vigade tagajärjed ilmnevad alles sellest kaudseltvõi otseselt sõltuvate standardite ja komponentide kontekstis, nii et viga saabpiirata ja kõrvaldada üksnes suurte raskustega.

433 / 781

434 / 781

G 3.120 Orkestreerimise vead

Kui erinevad veebiteenused liidetakse, et realiseerida üldisi ülesandeid, ontegemist nn orkestreerimisega. Orkestreerimine võib toimuda staatiliselt, validesWSDL-i ja UDDI alusel välja sobivad teenused ja liites need omavahel. Teenuselesuunatud arhitektuuris võib orkestreerimine toimuda ka dünaamiliselt, st et la-hendatavate ülesannete jaoks tuvastatakse ja valitakse kõigepealt välja käitusajajaoks sobivad teenused. Praktikas on dünaamiline orkestreerimine vähe levinud.

Orkestreerimine, või dünaamilise orkestreerimise korral selle rakendamine, va-jab erilist hoolt, et vältida kõige erinevamat liiki vigu.

• Tööülesandeid kujutatakse puudulikult või teenused pannakse kokku vää-ralt: erinevate teenuste koosmõju võib olla väga keeruline, mis esitab orkest-reerimise planeerimisele kõrged nõudmised. Puudulik arusaamine teostata-vast tööülesandest, aga ka seotud teenuste funktsioonidest ja omavaheli-sest seosest võib viia selleni, et orkestreerimine ei ole õige ning tulemusekssaadud funktsioonid ei vasta nõudmistele.

• Teenuseid või liideseid kirjeldatakse või rakendatakse puudulikult: kui teenu-se kirjeldus ja selle rakendamine lahknevad üksteisest, võib selle tagajärgolla, et valitud teenus ei täida sellele pandud ülesannet või teeb seda ebapii-savalt. See võib ühest küljest kahjustada erialaste funktsioonide kujutamist,aga sellel võivad olla ka kaudsed mõjud turvalisusele, kui valitud teenuspeaks täitma turbefunktsiooni (nt autoriseerimine).

• Puudub tehingute turvalisus või on paralleelselt toimuvatel protsessidel soo-vimatud mõjud: veebiteenuseid kasutavad tavaliselt samaaegselt erinevadrakendused või protsessid. Orkestreerimine peab sellega arvestama. Täp-semalt öeldes ei tohi seotud veebiteenused teha oletusi andmete või süs-teemide oleku kohta kahe käivitamise vahel või enne ja pärast järgmise tee-nuse käivitamist.

• Kaitsevajadust ei järgita piisavalt: kui teenused orkestreerimise raames liide-takse, tuleb funktsionaalsete aspektide kõrval arvestada ka vastava teenu-se poolt realiseeritud turbeastet (nt autentimise, krüpteerimise, aga ka kät-tesaadavuse kvaliteet). Vastasel juhul võib tekkida oht, et teenused ühen-datakse tööülesandes, mis ei vasta selle ülesande kaitsevajadusele. Seeaspekt omandab erilise tähenduse, kui orkestreerimine hõlmab erinevateteenuseosutajate teenuseid.

Just samaaaegsete teenuste või dünaamilise orkestreerimisega keerukatestsenaariumide korral on sageli tegemist üksnes piiratud võimalustega teenustetestimiseks nende koostoimes, nii et eespool kirjeldatud vead võidakse tuvastadaalles töö käigus.

435 / 781

G 3.121 Veebiteenuste konfigureerimise ja haldamise vead

Veebiteenuste rakendamisel võivad konfigureerimise ja haldamise vead ilmnedamitte üksnes nende alusplatvormidel (operatsioonisüsteemid, veebi- ja rakendus-serverid, andmebaasid), vaid ka seoses veebiteenuste või sinna juurde kuuluva-te komponentidega, näiteks Enterprise Service Bus’iga või Security Token Ser-vice’iga.

Olenevalt teenuse või komponentide liigist võib konfiguratsiooni seadistusi japarameetreid hooldada kõige erinevamates vormides, alates XML-il põhinevatest)konfigureerimisandmetest ja andmepankade sisust kuni asutuse enda haldustöö-riistade ja liidesteni. Seetõttu on vigade tekkimise võimalus ka erinev. Kui XML-andmeid töödeldakse käsitsi, suureneb kindlasti vigade tekkimise oht vastavus-kontrollide ja turbeküsimustega haldusliideste suhtes.

Haldusvigade tekkimist soodustab ka see, kui puuduvad konfigureerimisvõima-luste, nende tagajärgede ja valitud seadistuste dokumendid, kui need on vanane-nud või mittetäielikud või kui haldustöötajad ei ole piisavalt pädevad.

Selliste konfigureerimise ja haldamise vigade tagajärjed võivad olla väga erine-vad.

• Veebiteenused ei tööta või ei täida neile pandud ülesannet. Eriti probleem-sed on siinjuures vead, mis mõjutavad veebiteenust alles mõne aja pärastvõi teatud kindlates raamtingimustes, nii et probleemi põhjusega seostamineon raskendatud.

• Kasutajaid või õigusi ei hallata õigesti. Tänu sellele ei pruugi juurdepääsuvo-litusega kasutajad neile mõeldud teenuseid kasutada (kättesaadavuse kah-justamine), või on volitamata kasutajatel juurdepääs teenustele ja teabele,mis ei ole neile mõeldud (usaldusväärsuse kahjustamine, kirjutusõigusegajuurdepääsu korral ka tervikluse kahjustamine).

• Ettenähtud turvamehhanismid lülitati kogemata välja, need töötavad valestivõi puudub neil sobiv tugevus (nt kui krüptograafilised algoritmid ja para-meetrid on valesti valitud).

• Erinevate teenuste vaheline suhtlus või sõnumite vahetamine, vajaduse kor-ral ka Enterprise Service Bus’i kaudu, on häiritud, toimub hilinemisega võion takistatud.

• Kahjustatakse erinevate veebiteenuste orkestreerimist, sest teenuste või lii-deste kirjeldused on valed või ei ole hoidlad õigesti konfigureeritud. Eriti justdünaamilise orkestreerimise korral võivad tagajärjed olla väga tõsised (vt kaG 3.120 Orkestreerimise vead ).

• Kahjustatakse teabe töötlemise kontrollitavust ning rünnete tuvastamise väl-jaselgitamise võimalusi ja tuvastatavust, kui on tehtud vigu protokollimehha-nismide või -komponentide konfigureerimises, mille korral lülitatakse proto-kollimise funktsioonid välja või protokollisisud määratletakse sobimatult.

• Võimalused rünneteks suurenevad liigselt, kui veaotsingu (Debugging) jatarkvara arenduse või muud kasutamata funktsioonid jäävad produktiivseteskeskkondades aktiivseteks.

436 / 781

• Teabe liigse avalikustamise tagajärjel antakse võimalus rünneteks või muu-detakse see lihtsamaks (vt ka G 5.184 Andmete hankimine veebiteenustekaudu ).

Jagatud keskkondades, kus seotud veebiteenuseid kasutavad erinevad pakku-jad, suureneb vigade oht osalevate pakkujate omavahelise puuduliku kooskõlas-tamise või suhtlemise tõttu.

437 / 781

G 3.122 Pilveteenuse väär kasutus

Kui pilvteenuseid kasutatakse asutuses planeerimis- ja kontseptsioonietapinõuetest lahknevalt, on tegemist väära kasutamisega, millest võivad tulenedaerinevad, eriti usaldusväärsust puudutavad ohud.

Praktikast on teada järgmised väära kasutuse ilmingud:

• Kasutajad rakendavad pilvteenuseid teabe jaoks, mille kaitsevajadus on kõr-gem kui algne kaitsevajadus, mis määrati kasutatavale pilvteenusele.

• Juurdepääs pilvteenusele toimub läbi volitamata kanalite või liideste. Selletagajärjel võidakse luua soovimatuid ja kontrollimata sideühendusi. Tekkinudühendusi võivad pilvteenuste pakkujad luua nii pilvteenuste kasutajatele kuika pilvest väljapoole. Just selline ühenduse loomine võib järgneva seosekaudu viia järgmistele soovimatutele sideühendustele (aheldamine).

• Konkreetsete funktsioonide kasutamine, nagu näiteks andmete või kausta-de avalikustamine teistele kasutajatele, põhjustab juurdepääsuõiguste soo-vimatut jaotamist. Selle tulemusel on volitamata isikutel juurdepääs asutuseteabele. Andmete usaldusväärsus ja terviklus ei ole seega enam tagatud.

Näide:

• Töötaja kasutab võrgumäluteenust. Kasutuses olevate valikute abil annabta osa oma kettaseadmest teistele kasutajatele ühiskasutusse. Sellel ketta-seadmel on lisaks andmetele, mis on ette nähtud ühiskasutuseks, ka kaits-mist vajavad andmed, mille avalikustamine ei olnud ette nähtud. Kettasead-me ühiskasutusse andmise tõttu saavad juurdepääsu nendele andmetele kavolitamata isikud.

438 / 781

G 3.123 Mobiil- ja nutitelefonide ning tahvel- ja pihuarvutite keelatudkasutamine eraotstarbel

Kui mobiil- või nutitelefoni, tahvel- või pihuarvutit kasutatakse loata eraotstarbel,võib see kaasa tuua järgmisi probleeme.

Näited:

• Erakõnede või andmeteenuste kasutamisel tekivad asutusele kulud.• Kui kasutaja kasutab graafiliselt keerukat rakendust (nt mängu), tühjeneb

aku kiiresti. Seetõttu võib juhtuda, et seadet ei ole pärast enam võimalikametialasel eesmärgil kasutada.

• Kui asutus ei keela selgesõnaliselt mobiil- ja nutitelefonide, tahvel- ja pihu-arvutite eraotstarbel kasutamist või ei kontrolli tõhusalt selle keelu järgimist,võivad sellel olla nt andmekaitseõigusega seotud tagajärjed, mis võib pärs-sida asutuse infoturbe haldussüsteemi.

• Kui seadmele on salvestatud ka privaatsed isikuandmed, kerkib sellega seo-ses esile oht, et asutus rikub andmekaitseseadusi, näiteks kui telefoni and-med kindlustatakse automaatselt asutuse kaudu.

• Kui mobiil- või nutitelefonile, tahvel- või pihuarvutile installeeritakse isiklik jaasutuse poolt mittelubatud rakendus ning seda seal kasutatakse, võib sead-messe sattuda kahjurvara ning andmed nagu nt ametialane telefoniraamat,võivad edasi kanduda lubamatutesse kohtadesse või kahjustatakse raken-duse vigadega andmete terviklust.

439 / 781

G 3.E1 ID-kaardi, digi-ID või mobiil-ID hooletu üleandmine teiseleisikule

Hooletult teisele isikule üleantud ID-kaardist võidakse loata teha visuaalselt sar-nane värvikoopia, mida võidakse kasutada edasisel identiteedivargusel -liisingu-ja järelmaksupettused, viisade ja elamisloa pettused, keerulisemad rahvusvaheli-sed kuriteoskeemid vms. Kui seadmega koos antakse hooletult teisele inimeseleüle ka PIN-koodid, saab võimalikuks teise inimese nimel väärautentimine või di-giallkirjade andmine.

440 / 781

ISKE ohtude kataloog G

Ohtude nimekiri

G 4.1 Toitevõrgu katkestus . . . . . . . . . . . . . . . . . . . . . . 444G 4.2 Sisevõrkude katkestus . . . . . . . . . . . . . . . . . . . . . 445G 4.3 Turvavahendite tõrge . . . . . . . . . . . . . . . . . . . . . . 446G 4.4 Keskkonnast tingitud liinihäired . . . . . . . . . . . . . . . . 447G 4.5 Läbikoste . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448G 4.6 Pinge kõikumine/ ülepinge/ vaegpinge . . . . . . . . . . . . 449G 4.7 Defektsed andmekandjad . . . . . . . . . . . . . . . . . . . 450G 4.9 Sisemise toiteallika tühjenemine . . . . . . . . . . . . . . . 451G 4.10 Keerukad ligipääsuvõimalused võrgustatud IT-süsteemides 452G 4.11 NIS-serveri ja NIS-klientsüsteemi vahelise autentimisvõima-

luse puudumine . . . . . . . . . . . . . . . . . . . . . . . . 453G 4.12 Autentimisvõimaluste puudumine X-serveri ja X-kliendi vahel 454G 4.13 Salvestatud andmete hävimine . . . . . . . . . . . . . . . 455G 4.14 Spetsiaalse faksipaberi pleekumine . . . . . . . . . . . . . 456G 4.15 Faksi saatmine vääral aadressil . . . . . . . . . . . . . . . 457G 4.20 Andmekadu andmekandja täitumise tõttu . . . . . . . . . . 458G 4.21 Tasandusvoolud varjes . . . . . . . . . . . . . . . . . . . . 459G 4.22 Tüüptarkvara turvaaugud või vead . . . . . . . . . . . . . . 460G 4.23 Vahetatavate andmekandjate automaattuvastus . . . . . . 461G 4.25 Lahutamata ühendused . . . . . . . . . . . . . . . . . . . 462G 4.26 Andmebaasi rike . . . . . . . . . . . . . . . . . . . . . . . 463G 4.27 Pääsukontrollist kõrvalehoidumine ODBC kaudu . . . . . . 464G 4.28 Andmebaasi andmekadu . . . . . . . . . . . . . . . . . . . 465G 4.30 Andmebaasi tervikluse ja vastavuse kadu . . . . . . . . . . 466G 4.31 Võrgukomponentide rike või tõrge . . . . . . . . . . . . . . 467G 4.32 Sõnumi kaotsiminek . . . . . . . . . . . . . . . . . . . . . 470G 4.33 Autentimise puudumine või puudulikkus . . . . . . . . . . . 471G 4.34 Krüptomooduli rike . . . . . . . . . . . . . . . . . . . . . . 473G 4.35 Ebaturvaline krüptoalgoritm . . . . . . . . . . . . . . . . . 474G 4.36 Vead krüpteeritud andmetes . . . . . . . . . . . . . . . . . 476G 4.37 Rühmatarkvara puudulik usaldusväärsus . . . . . . . . . . 477G 4.38 Võrgu- või süsteemihaldussüsteemi komponendi rike . . . 478G 4.39 Tarkvarakontseptsiooni viga . . . . . . . . . . . . . . . . . 479G 4.41 Mobiilsidevõrgu rike . . . . . . . . . . . . . . . . . . . . . . 481G 4.42 Mobiiltelefoni või PDA tõrge . . . . . . . . . . . . . . . . . 482G 4.43 Dokumenteerimata funktsioonid . . . . . . . . . . . . . . . 483G 4.44 Novell eDirectory rike . . . . . . . . . . . . . . . . . . . . . 484G 4.45 Arhiivipäringute hilinemine . . . . . . . . . . . . . . . . . . 485

441 / 781

G 4.46 Indeksiandmete väär sünkroniseerimine arhiveerimisel . . 486G 4.47 Vananenud krüptomeetodid . . . . . . . . . . . . . . . . . 487G 4.48 Välisteenusepakkuja süsteemide rike . . . . . . . . . . . . 488G 4.49 Marsruuterite ja kommutaatorite ebaturvalised vaikesätted . 489G 4.50 z/OS-operatsioonisüsteemi ülekoormus . . . . . . . . . . . 490G 4.51 Pihuarvutite puudulikud turbemehhanismid . . . . . . . . . 492G 4.52 Kaasaskantava seadme andmekadu . . . . . . . . . . . . 493G 4.53 Salvestite ebaturvalised vaikesätted . . . . . . . . . . . . . 495G 4.54 Turbe kadu krüptofailisüsteemi (EFS) kasutamisel . . . . . 496G 4.55 Andmekadu alates Windows Server 2003 / XP parooli taas-

tamisel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498G 4.56 IP-kõne arhitektuuri rike . . . . . . . . . . . . . . . . . . . 499G 4.57 Häired IP-kõne kasutamisel üle VPNi . . . . . . . . . . . . 501G 4.58 IP-kõne lõppseadmete puudused . . . . . . . . . . . . . . 503G 4.59 IP-kõne kasutuskõlbmatus NAT tõttu . . . . . . . . . . . . 505G 4.60 Raadiolainete kontrollimatu levi . . . . . . . . . . . . . . . 506G 4.61 Traadita kohtvõrgu ebausaldusväärsed või puuduvad turbe-

mehhanismid . . . . . . . . . . . . . . . . . . . . . . . . . 507G 4.62 Ebapiisav pistikupesade arv . . . . . . . . . . . . . . . . . 509G 4.63 Tolmunud ventilaatorid . . . . . . . . . . . . . . . . . . . . 510G 4.64 Printerite, koopiamasinate ja multifunktsionaalsete seadme-

te keerukus . . . . . . . . . . . . . . . . . . . . . . . . . . 511G 4.65 Printerite ja multifunktsionaalsete seadmete side ebapiisav

turve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514G 4.66 Printeritest, koopiaseadmetest ja multifunktsionaalsetest

seadmetest tingitud negatiivne mõju tervisele ja keskkon-nale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515

G 4.67 Kataloogiteenuste rike . . . . . . . . . . . . . . . . . . . . 516G 4.68 Ebavajalikust replikeerimisest tingitud tõrked Active Direc-

tory töös . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517G 4.69 Probleemid IPSec-i konfigureerimisel . . . . . . . . . . . . 518G 4.70 VPN-i komponentide ebaturvaline standardseadistus . . . . 519G 4.71 Probleemid paikade ja muudatuste automaatsel teavitamisel 520G 4.72 Triviaalse andmebaasi vormingus andmebaaside ebakõlad

Samba keskkonnas . . . . . . . . . . . . . . . . . . . . . . 521G 4.73 Tarkvara funktsioonide kahjustamine Windowsi versioonide

ühilduvusprobleemide tõttu . . . . . . . . . . . . . . . . . . 522G 4.74 IT-komponentide tõrge virtualiseeritud keskkonnas . . . . . 524G 4.75 Virtualiseerimiskeskkondade võrgutaristu rike . . . . . . . 526G 4.76 Virtualiseerimissüsteemide haldusserverite tõrge . . . . . . 528G 4.77 Külastaja tööriistade valest funktsioonist virtuaalses kesk-

konnas tingitud ressursside kitsaskohad . . . . . . . . . . 530G 4.78 Virtuaalsete masinate väljalangemine lõpetamata andme-

varundusprotsesside tõttu . . . . . . . . . . . . . . . . . . 532G 4.79 Bluetooth’i kasutuselevõtul tehtud vead . . . . . . . . . . . 534G 4.80 Bluetooth’i ebausaldusväärsed või puuduvad turvamehha-

nismid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536G 4.81 Laiendatud õigused terminaliserveril programmdialoogi kaudu538G 4.82 Terminaliserveri rivist väljalangemine ja mitte kättesaadavus 540G 4.83 Enda arendatud makrode väärfunktsioonid Outlookis . . . 541

442 / 781

G 4.84 Veebirakenduste sisendi- ja välundiandmete ebapiisav vali-deerimine . . . . . . . . . . . . . . . . . . . . . . . . . . . 542

G 4.85 Veebirakenduste ebapiisav või puuduv tõrkekäsitlus . . . . 544G 4.86 Turbe jaoks oluliste sündmuste ebapiisav kontrollitavus vee-

birakendustes . . . . . . . . . . . . . . . . . . . . . . . . . 545G 4.87 Konfidentsiaalse info ilmsikstulek veebirakendustes . . . . 546G 4.88 EMC nõuetele mittevastav elektrisüsteem . . . . . . . . . . 547G 4.89 Logimise puuduv või ebapiisav hoiatamiskontseptsioon . . 548G 4.94 Volitamata juurdepääs teise teenusetarbija andmetele vee-

birakendustes ja veebiteenustes . . . . . . . . . . . . . . . 550G 4.95 Salvestisüsteemi komponendi rike . . . . . . . . . . . . . . 551G 4.96 Salvestisüsteemi komponendi tõrge . . . . . . . . . . . . . 552G 4.97 Välisteenuse osutajaga seotud kitsaskohad . . . . . . . . . 553G 4.98 Pilvteenuste haldustööriistade tõrked pilvteenuste kasuta-

misel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555G 4.99 Rakenduste ebapiisavad või puuduvad turbemehhanismid . 556G 4.100 Integreeritud süsteemide riistvara tõrked ja riistvara vead . 558G 4.101 Keskse identiteedi- ja volituste halduse süsteemi tõrge . . 559G 4.E1 Teenusekatkestuste oht SSOga ühislogimisel . . . . . . . 560

443 / 781

G 4.1 Toitevõrgu katkestus

Vaatamata suurtele pingutustele tagada pidev elektriga varustatus võib niijaotusvõrgu- kui ka energiaettevõtete hallatavates elektrivõrkudes esineda elektri-katkestusi. Mõned katkestused võivad olla nii lühiajalised, et kestavad alla sekundija jäävad silmale märkamatuks. IT-seadmete töö häirimiseks piisab aga juba kat-kestusest, mis kestab kauem kui 10 millisekundit.

Elektritoite kvaliteet ei mõjuta üksnes otseselt elektrit tarbivaid seadmeid (arvu-teid, valgusteid jms). Elektrist sõltuvad vähemal või rohkemal määral kõik täna-päeva taristud, nt liftid, torupostiseadmed, kliimaseadmed, ohuteavitussüsteemid,turvaväravad, automaatsed uksesulgurid, sprinklerid, telefonide lisaliiniseadmed.Paljukorruselistes majades oleneb elektrist isegi ülemiste korruste veevarustus,sest vesi tuleb sinna pumbata.

Elektrituru avanemise järel on mõnedes tööstusriikides täheldatud elektrivarus-tuse kvaliteedi halvenemist. Kvaliteedi halvenemise probleem võib ohustada kaSaksamaad, sest elektrikatkestuste ja riigisiseste ümberlülitusprotsesside arv võibsuureneda.

Näited

• -Arvutuskeskuse UPS-is tekkis viga, mille tagajärjel ei lülitanud UPS pärastlühikest elektrikatkestust süsteemi enam tagasi elektrivõrgu toitele. PärastUPS-i akude tühjenemist, umbes 40 minutit pärast elektrikatkestust, jäid kõikserveriruumi arvutid seisma.

444 / 781

G 4.2 Sisevõrkude katkestus

Hoones võib olla suur hulk erinevaid võrke, mis midagi sisse või välja ju-hivad, luues vajaminevad eeldused institutsiooni tööprotsesside, kaasa arvatudIT-süsteemide toimimiseks. Kui katkestus esineb elektri-, telefoni või jahutusvõrk-udes võib see pärssida väga paljude tööülesannete täitmist. Ühtlasi võib nendekatkestuste tagajärjel ka IT-süsteemide töö koheselt seiskuda. Kui katkestusesineb järgmistes valdkondades võivad tööprotsessides tekkida viivitused:

• küte ja ventilatsioon• vesi• kustutusvee sissevõtt• kanalisatsioon• torupost• gaas• teavitus- ja juhtsüsteemid (sissemurdmine, tulekahju, hoone juhtsüsteemid)• valjuhääldid

Nimetatud võrgud on üksteisega vähemal või rohkemal määral seotud, mis tä-hendab, et ühe võrgu rike võib mõjutada ka teisi valdkondi.

Näited

• Elektrikatkestus ei mõjuta otseselt mitte ainult IT-seadmete tööd, vaid puu-dutab ka kõikvõimalikke varustusvõrke, mis töötavad elektriliste juhtimis- võireguleerimissüsteemidega. Elektriseadmeid võib leida isegi reoveesüstee-mist (pumbad).

• Veevarustuse katkemine võib muu hulgas pärssida kliimaseadmete tööd.• Pikk elektrikatkestus varukoopiate tegemise teenust osutava firma arvutus-

keskuses viis rivist välja mitmed salvestisüsteemid. Põhjus seisnes selles,et kliimaseade ei olnud ühendatud varuelektrisüsteemiga ja arvutuskeskusevarustussüsteemide töökorda ei jälgitud mitte ühegi seiresüsteemiga. Ku-na IT-süsteemid olid varuelektrisüsteemiga ühendatud, töötasid need edasi,kuid jahutuseta. Selle tagajärjel tuli mitusada kõvaketast maha kanda.

445 / 781

G 4.3 Turvavahendite tõrge

Tehnilised defektid ja välismõjud (nt vananemine, väär käsitsemine, puudulik hool-damine, manipuleerimine, elektrikatkestus) võivad turvavahendis tekitada tõrke,mille tagajärjel kaob selle vahendi turvaomadus kas täielikult või väheneb mär-kimisväärselt. Lisaks võib juhtuda, et näiteks tugevate ilmastikumõjude või vägasagedase kasutamise tõttu ei suudeta turvavahendeid piisavalt tihti kontrollida egahooldada. Puudulik kontroll ja hooldus võivad põhjustada tõrkeid.

Näited

• Ukselukud võivad vananemise ja väärkasutuse tõttu lakata töötamast.• Tulekustutid, mida ei ole pikka aega hooldatud, ei pruugi enam töökorras

olla.• Määrdunud tuleohutusandurid ei pruugi tekkivat põlengut tuvastada või an-

navad valehäireid.• Võtmed ja pääsukaardid võivad vale hoiustamise või kulumise tagajärjel ka-

sutuskõlbmatuks muutuda.• Ukseluku keel võib elektrilisse vasturauda kinni kiiluda.• Seiresüsteemide monitoridesse võivad sisse põleda püsipildid.• Tuletõkke uksi hoitakse sageli volitamatult uksekiilude abil avatud asendis.• Võib juhtuda, et ruumides, mis ei ole suitsetamiseks ette nähtud, manipu-

leeritakse suitsuandureid, mille tõttu suitsuandur ka reaalse tuleohu korralei käivitu.

446 / 781

G 4.4 Keskkonnast tingitud liinihäired

Elektrisignaale juhtivate kaablite edastusvõimet võivad pärssida elektri- ja mag-netväljad. See, kas signaaliedastuses tekib häire või mitte, oleneb ennekõikejärgmistest asjaoludest:

• häiriv sagedusvahemik, selle tugevus ja mõju kestus;• kaabli varjestus;• andmeedastuse kaitsemeetmed (liiasus, vigade korrigeerimine).

Paljusid pärssivaid mõjusid on võimalik eelnevalt prognoosida:

• kõrgepingeliinide ümbruses ja suurte mootorite läheduses tekib tugev in-duktsiooniväli (raudtee, tootmisvahendid, liftid);

• saatjate läheduses tekivad tugevad elektromagnetilised väljad (ringhääling,politsei- ja tuletõrjetöötajate raadiolevi, ettevõttesisene raadiolevi, isikuotsin-guseadmed, sidevõrgud);

• mõningatel juhtudel võib IT-seadmete vastuvõtlikkust häiretele põhjustadaka mobiiltelefonide tugev saatmisvõimsus;

• kaablitel on vastastikune induktsiooniline mõju.

Puhtelektriliste ja -magnetiliste mõjufaktorite kõrval võivad kaableid mõjutadaka veel järgmised keskkonnafaktorid:

• kõrge temperatuur (tööstushooned);• tugevatoimelised gaasid;• suur mehaaniline koormus (nt erandkorras põrandale asetatud kaablid või

liigutatavate seadmete kaablid).

447 / 781

G 4.5 Läbikoste

Liinide läbikoste on liinihäirete eriliik. Häire põhjustajaks pole mitte otseselt kesk-kond, vaid asjaolu, et voolud ja pinged tekitavad signaale, mis kanduvad edasi lä-hedal asuvatesse liinidesse. Läbikosteefekti tugevus oleneb kaabli ehitusest (var-jestusest, jämedusest, isolatsiooni kvaliteedist) ja andmeedastuse elektrilistest pa-rameetritest (elektrist, pingest, sagedusest).

Mitte iga kaabel, mis asub läbikoste mõjupiirkonnas, ei pruugi seda efekti teis-tesse kaablitesse edasi kanda. Oma liinide kontrollimine juurdeliidetud võõrsig-naalide suhtes ei anna mitte mingisugust infot selle kohta, kas oma signaalidvõivad võõrastesse liinidesse edasi kanduda ja seeläbi pealtkuulatavaks muutuda.

Kõige suurem erinevus võrreldes teiste liinihäiretega seisneb läbikoste puhulselles, et lähedal asuvate liinide töö häirimise kõrval võivad läbikoste puhul edasikanduda ja seetõttu võõrastele kättesaadavaks muutuda andmed, mida on võima-lik muu hulgas ka analüüsida.

448 / 781

G 4.6 Pinge kõikumine/ ülepinge/ vaegpinge

Toitepinge kõikumised võivad häirida IT-süsteemide tööd ja neid kahjustada. Pin-gekõikumised võivad olla väga lühiajalised ja väiksed, mis ei mõjuta IT-seadmeidpeaaegu üldse, või hoopiski ülisuured, nii et liigpinge viib kõik IT-süsteemid kasrivist välja või hävitab need täielikult. Probleemide põhjuseid võib otsida tervestelektrivõrgust, alustades energiaettevõttest hargnema hakkavast elektrivõrgustkuni vooluringideni, mis läbivad konkreetseid seadmeid.

Elektrivõrgu kõrval tuleks liigpinge ohuga arvestada ka teistes võrkudes, mis onvõimelised elektrit juhtima (nt elektriühendustes, hoone juhtsüsteemides, vee- jagaasitorudes).

449 / 781

G 4.7 Defektsed andmekandjad

Kõik andmekandjad võivad saada kahjustada, neis võib esineda vigu ja needvõivad rikki minna. Probleemid tekivad enamasti juhtudel, kus defektseks muu-tunud andmekandjatel olevast infost ei ole tehtud varukoopiaid, mis lubaksid and-meid kiiresti taastada. Täielikku andmekadu esineb analoogsete andmekandjatepuhul harvem kui digitaalsete puhul. Erinevalt arvutitest on inimesed võimelisedpoolpõlenud või katkirebitud paberdokumentidest infot välja lugema ka keerulisteabivahenditeta.

Kahjuks pole digitaalsete andmekandjate tehnilised rikked ja kahjustused sugu-gi haruldased. Defektid võivad tabada kõiki massmälu liike, nt kõvakettaid, mag-netlinte ja kassetisüsteeme. Kõvakettale võib saada saatuslikuks lugemis- ja kir-jutamisseadme defekt (headcrash), seevastu linte ja kassette võivad hävitada ot-sesed mehaanilised mõjurid. CD-d ja DVD-d võivad muutuda kasutuskõlbmatuks,kui need saavad kriimustada.

Näited:

• Tolmuosakesed – keskmise suurusega ettevõttes toimus remont, mille tõttulevis kõikjal palju tolmu. Tolm tungis ka arvutiruumi ja kahjustas seal üheserveri kõvaketast. Kõvakettas tekkis defekt, millega kaasnes andmekadu.

• Magnetid – lähetusel viibinud töötaja sülearvutis tekkisid seletamatud rik-ked, kuigi töötaja transportis sülearvutit alati hoolikalt pakendatuna. Selgus,et sülearvuti kõvaketast olid kahjustanud magnetid, mida kasutatakse rongikupeedes klapplaua fikseerimiseks.

• Multimeediaarvuti andmete varundamise käigus asetati ZIP-disketid arvutikõlari peale. Kõlari magnetid mõjusid nii tugevalt, et kustutasid andmekand-jalt osa andmeid ära.

• Bitivead – kui arhiivisüsteemide andmekandjates tekivad bitivead, muutubkrüpteeritud andmete dekrüpteerimine võimatuks. Samuti pole bitivigadekorral enam võimalik kontrollida digiallkirjade õigsust.

450 / 781

G 4.9 Sisemise toiteallika tühjenemine

Kaasaskantavate IT-süsteemide, nt sülearvutite kasutamine eeldab elektrivõrgusteraldi toiteallikat. Selleks kasutatakse enamasti laetavaid akusid, mis kestavadmitu tundi. Kui akud tühjenevad, ei suuda need enam tagada IT-süsteemi jaoksvajalikku toidet ning kasutaja on sunnitud seadmega töötamise kas katkestamavõi seadme vooluvõrku ühendama. Enamik seadmeid jälgib akude toitepinget pi-devalt ja informeerib kasutajat olukorrast, kus toitetase hakkab jõudma kriitilisemiinimumini. Kui kasutaja võtab nõuks süsteemi akulaetuse hoiatusi ignoreerida,võib juhtuda, et aku tühjeneb töö käigus väga ebasobival ajal ja olulised andmedjäävad põhimällu salvestamata.

451 / 781

G 4.10 Keerukad ligipääsuvõimalused võrgustatud IT-süsteemides

Vastupidiselt autonoomsetele süsteemidele (stand alone system), mille korral li-gipääsukontrolli eest vastutab põhiliselt sisselogimisprotsess ja mida seetõttu onhalbade või puuduvate paroolide tõttu kerge kahjustada, on võrguarvutitel paljuerinevaid keerukaid protsesse, mis lubavad erinevaid ligipääsuviise. Nii võimaldabnäiteks Unixi all paiknev sendmail 7-deemon tekstide (e-kirjad) toomist võrguarvu-tile, iTP-deemon piiratud sisselogimisvõimalusi, mis teatud juhtudel (anonüümneFTP) ei ole isegi parooliga kaitstud, telnet-deemon võimaldab täielikku sisselogi-mist.

Serverisüsteemid, nagu Novell Netware, väldivad turvalisuse kaalutlustel ava-tekstparoolide edastamist. See turvamehhanism tehakse aga teenuste, nagu FTPvõi Telnet, korral jälle kehtetuks, sest siin kasutatakse jälle avatekstparoole.

Vaatamata sellele, et kõik need protsessid võivad vale või puuduliku konfigurat-siooni tõttu muutuda turvaauguks, on nende mahu põhjal loomulikult suurem kavõimalus, et ühes neist protsessidest on mõni turbespetsiifiline programmeerimis-viga.

z/OS-süsteemi ühendamiseks süsteemisiseste ja avalike võrkudega on mit-meid erinevaid võimalusi. Need on ligipääsud SNA ja TCP/IP kaudu, näiteksFTP, TELNET või brauser. Paljud Unixi installatsioonist tuntud võrgufunktsioonidon kasutatavad z/OS-i Unix System Services’i all. Selline ühendusvõimalustemitmekesisus teeb z/OS-süsteemi võrgukonfiguratsiooni väga keerukaks.

Näide:

• Välisel ründajal õnnestus välja selgitada z/OS-i all paikneva kõrgelt autori-seeritud rakenduse kasutajatunnus ja parool. Kuigi tunnusel puudus TSO-segment, sai ründaja pakktöö (batch job) otse FTP kaudu JES2-te sisestadaja teostada. Kuna töö väljundi sai samuti FTP kaudu välja lugeda, oli võima-lik ka ligipääs konfidentsiaalsetele andmetele.

452 / 781

G 4.11 NIS-serveri ja NIS-klientsüsteemi vaheliseautentimisvõimaluse puudumine

Kui NIS-Domain-Name on teada, saab sellega mis tahes arvuti end klientsüstee-mina sisse logida ja käivitada ka kõiki NIS-i infofaile (maps) ning, mis eriti oluline,ka infofaili nimega passwd. Olukorras, kus kasutajal on arvuti administraatoriõigu-sed, saab selle arvuti mõnes privilegeeritud pordis käivitada NIS-serveri protses-si (ypserv ). Kui seejärel taaskäivitatakse infiltreerunud klientsüsteemis protsessypbind ja kui hoolitsetakse selle eest, et oma serveriprotsess saadab vastuse en-ne õiget NIS-serverit, saab ükskõik millist klientsüsteemi infot üle kirjutada.

453 / 781

G 4.12 Autentimisvõimaluste puudumine X-serveri ja X-kliendi vahel

X-Window süsteemi puhul kehtib põhimõte, et ilma sobivate turbemeetmeteta, näi-teks „Magic Cookie“ või SSH, võib seda süsteemi kasutada ainult usaldusväärseskeskkonnas. Ilma turvafunktsioonita on kõigil kasutajatel võimalus nii X-klienti kuika X-serverit kahjustada. X-server-protsess, mis vastutab arvutil sisendi ja väl-jundi eest, ei tunne ära, kellele see suhtluses olev X-klient-protsess kuulub. KõikX-kliendid pääsevad ligi kõigile andmetele, mis X-serverisse sisestatakse ja X-serveril ei ole kindlaks määrata, milliselt serverilt ta andmeid saab. Näiteks si-muleerib programm meltdown suvalise X-server arvuti ekraani optilist „sulamist“.Samamoodi on võimalik X-kliendi andmeid lugeda või talle enda andmeid saata,näiteks ekraanipiltide tegemine mõnest teisest X-Windowsiga töötavast arvutist.

Näited:

• Tööriistaga xspy on võimalik automaatselt logida klaviatuurisisestusi Xtermremote il.

• Aknad, mis ründaja poolt X-serveril kuvatakse, ei ole optiliselt eristatavadsoovitud X-kliendi poolt kuvatavatest akendest. Sel moel saab ründaja si-sestada valet informatsiooni või võltsitud akende abiga viia kasutaja konfi-dentsiaalsete andmete avalikustamiseni.

454 / 781

G 4.13 Salvestatud andmete hävimine

Salvestatud andmete hävimine võib IT-süsteemide kasutusvõimalusi oluliselt vä-hendada. Olukorras, kus rakendusandmed või kliendibaasi andmed on ühtäkkikasutuskõlbmatuks muutunud või kui neid on võltsitud, võib see mõjutada nii mõ-negi eraettevõtte olemasolu. Oluliste failide kadu ja võltsimine võivad pärssida kaametiasutuste haldus- ja tööprotsesse ning need koguni seisata.

Salvestatud andmete hävimine võib tugevalt häirida mis tahes institutsiooniigapäevaseid tööprotsesse. Olukorras, kus ükskõik millised tööprotsessidetoimimiseks olulised andmed on hävinud või neid on võltsitud, võib tööüles-annete täitmine viibida või koguni seiskuda. Salvestatud andmete kadu võibtootmisseisakute ja andmete taastamisele tehtavate kulutuste kõrval tähendadaka seda, et klientide ja koostööpartnerite hulgas võtab maad suur ja kauakestevusaldamatus ning et avalik arvamus kujuneb negatiivseks. Andmekadudestpõhjustatud otsesed ja kaudsed probleemid võivad ohustada isegi institutsioonideedasitoimimist.

Salvestatud andmete hävimisel võib olla palju põhjuseid:

• magnetlindid võivad ajapikku kaotada oma magnetilised omadused, nt va-nanemise või ebasobivate hoiutingimuste (temperatuuri, õhuniiskuse) tõttu;

• magnetilised andmekandjad võivad hävida võõraste magnetväljade mõjul;• andmekandjad võivad hävida vääramatu jõu tagajärjel, nt veerikete või tule-

kahjude tõttu;• andmed võidakse kogemata kustutada või üle kirjutada;• arhiivisüsteemides võidakse tahtlikult või kogemata rakendada kustutusmär-

gendeid (vt G 5.106 Arhiivi andmekandjate volitamata ülekirjutamine ja kus-tutamine );

• salvestussüsteemides võivad esineda tehnilised defektid (headcrash);• andmekandjad võivad olla defektsed;• salvestatud andmeid võidakse kontrollimatult muuta (tervikluse kadu);• andmekadu võib põhjustada kahjurvara.

455 / 781

G 4.14 Spetsiaalse faksipaberi pleekumine

Termoprintimisega faksiseadmetes kasutatakse faksipaberit, mis muudab faksi ju-ba lühikese ajaga täiesti loetamatuks, sest paber kas pleekub väga tugevasti võimuutub üleni tumedaks. Lisaks võib faks muutuda loetamatuks ka siis, kui paberpuutub kokku tekstimarkerite või liimiga.

456 / 781

G 4.15 Faksi saatmine vääral aadressil

Faksi saatmisel võivad edastusprotsessis või faksiseadmetes tekkida tõrked. Faksvõib jõuda sihtkohta poolikult, loetamatul kujul või ei jõua üldse õige adressaadi-ni. Kui faksiga laekuva info põhjal tuleb langetada otsuseid, võivad need otsusedolla valed ja isegi kahju tekitada. Lisaks on oht, et faks võib jõuda vale adres-saadini. Põhjuseks võib olla avaliku telefonivõrgu lülitusviga. Samuti on võimalik,et faksiseadmetes valitakse klahvidega vale number või kasutatakse valesti prog-rammeeritud aadressiklahve. Vale numbri sisestamise oht esineb muu hulgas kafaksiserverite kasutamisel, samuti võivad kasutajad eksida oma aadressiraamatu-te täitmisel. Nimetatud eksimuste tagajärjel võib juhtuda, et konfidentsiaalsed and-med saadetakse täiesti kõrvalistele isikutele. Võimaliku kahju suurus oleneb edas-tatud andmete konfidentsiaalsusastmest. Faksi saatja ei pruugi oma viga avastadaja võib eksikombel uskuma jääda, et on faksi saatnud õigele aadressile. Kui õigeadressaat ei saa faksi ettenähtud aja jooksul kätte, võivad tööprotsessides tekkidaviivitused ja nendest omakorda kahjud.

Näide

• Tuntud firma jäi ilma ühest suurest tellimusest, sest saatis oma hinnapakku-mise faksiga valele aadressile.

457 / 781

G 4.20 Andmekadu andmekandja täitumise tõttu

Kui info- või kommunikatsioonisüsteemid (riist- ja tarkvara või võrgud) on ebapiisa-va mahuga, ei vasta nad ühel hetkel enam kasutaja nõuetele. Süsteemist olenevaltvõib sellel olla mitmeid negatiivseid tagajärgi.

Infosüsteemi ülekoormus võib tekkida juhul, kui:

• kasutada olev salvestusmaht ületatakse , näiteks kui postkast saab omanikupikema eemaloleku ajal täis,

• süsteem ja selle protsessor koormatakse arvukate, korraga tehtud päringutetõttu üle,

• rakendus nõuab liiga palju ressursse, näiteks kui protsessori jõudlusest jääbnõudlike graafiliste rakenduste puhul väheks,

• hulk sõnumeid saadetakse korraga infolehena.

Tagajärjena võivad IT-süsteemid või -teenused olla ajutiselt kättesaamatud ningandmed võivad kaotsi minna. Iga andmekandja suudab mahutada ainult piiratudhulga andmeid. Selle piiri saavutamine võib põhjustada andmete kaotsimineku,kuid ka teenuste kättesaamatuks muutumise.

Näiteks võib juhtuda, et:

• kasutaja ei saa enam andmeid salvestada,• saabuvad e-kirjad saadetakse tagasi ja väljuvaid e-kirju ei saa ära saata,• sissetulevaid ja mõnikord ka väljaminevaid fakse ei võeta vastu,• logimine pole enam võimalik või analüüsimata logiandmed kirjutatakse üle,• dokumente ei saa enam elektrooniliselt arhiveerida.

Andmekandja võib erinevatel põhjustel äkki täis saada, näiteks rakendusprog-rammi vea, kasutaja suurenenud mäluvajaduse või ka sihipärase rünnaku tõttu.Viimase puhul vähendatakse saadaolevat mäluruumi meelega, et logimist takista-da.

Elektroonilise arhiveerimise puhul tuleb tavaliselt turvata suuri andmehulki, mistekivad ühelt poolt seetõttu, et teatud protsessides arhiveeritakse suur hulk do-kumente, teisalt aga seetõttu, et uue versiooni loomisel salvestatakse dokumentiga kord uuesti. Ressursid võidakse ka meelega üle koormata, kui keegi tekitabsuure ressursivajaduse ning seega seadme intensiivse ja kestva tõrke, vt G 5.28Teenuse halvamine .

458 / 781

G 4.21 Tasandusvoolud varjes

Kui IT-seadmete elektripaigalduses kasutatakse juhistikusüsteemi TN-C ja sead-metevaheliste andmesidekaablite varje on mõlemas otsas ühendatud, võivad var-jes tekkida tasandusvoolud (selgitava joonise leiate M 1.39 Tasandusvooludevältimine varjes). Põhjus peitub TN-C-võrgu eripäras: kaitsemaandusjuht (PE-) ja neutraaljuht (N-) kulgevad kuni hargnemiseni koos, moodustades ühitatudkaitsemaandus- ja neutraaljuhi (PEN-juhi). Kaabel lahutatakse N-juhiks ja PE-juhiks alles hargnemiskohtades. Selline installatsioon on normi VDE 0100 „Kuni1000 V nimivooluga tugevvoolusüsteemide paigaldamine” järgi lubatud. Kui elekt-rikilbi erinevate harude küljes paiknevate seadmete liideste varjestused on ühen-datud PE-ga ja seadmed ühendatakse omavahel varjestatud andmesidekaablite-ga, tekivad PEN-juhi ja harude ning varjestuse ja liideste vahel paralleellülitused.Läbi varjestuse edasiliikuv tasandusvool võib kahjustada liideseid ning inimesedvõivad andmesidekaablitega töötades viga saada.

TN-C-võrgus elektrikilbi sama haru külge ühendatud seadmete või TN-S-võrguselektrikilbi erinevate harude külge ühendatud seadmete vahel andmesidekaab-li varje kaudu tasandusvoolud ei liigu. TN-CS-võrkude puhul on ühed võrguosadlahendatud TN-C-võrguna ja teised TN-S-võrguna. Niikaua kui mõlemas otsasühendatud varjestusega andmesidekaablid ühendatakse ainult ühesuguste võr-guosade külge, kehtivad nendes andmesidekaablites samasugused tingimusednagu selles võrguosas. Kui aga erinevate võrguosade IT-seadmed ühendatakseomavahel andmesidekaablitega, mille mõlema otsa varje on ühendatud, võivadtasandusvoolud esineda ka TN-S-võrgu osas.

459 / 781

G 4.22 Tüüptarkvara turvaaugud või vead

Iga liiki tarkvara korral kehtib seaduspära: mida keerukam see on, seda sa-gedamini esineb programmeerimisvigu. Tarkvara turvaaukude all tuleks mõistatahtmatuid programmeerimisvigu, mis ei ole kasutajale veel teada ja mis kujutavadendast riski IT-süsteemile. Uusi turvaauke leitakse nii olemasolevast kui ka laialtlevinud või täiesti uuest tarkvarast. Tarkvaravead või turvaaugud võivad tekkidapaljudel erinevatel põhjustel, siia hulka kuuluvad näiteks puudulik suhtlus aren-daja ja kliendi vahel, programmeerijate ebapiisav väljaõpe või ebapiisavad testid.Samuti võivad liiga suured ootused ja liiga lühike valmistusaeg viia selleni, ettootjatel ei ole aega oma toodet piisavalt testida või ei jõuta kõiki vigu eemaldada.

Kui tarkvaravigu ei avastata, võivad kasutamisel tekkivate vigade tagajärjed ol-la ulatuslikud. Laialt levinud tüüptarkvara korral võivad turvaaugud viia väga ruttuolukorrani, kus üle maailma tekib erinevat liiki institutsioonidel raskeid turbeprob-leeme.

Näited:

• Tarkvaraviga z/OS operatsioonisüsteemi turvatarkvaras RACF võib tähen-dada, et töötamist ei lõpeta mitte ainult RACF, vaid et kogu süsteem muutubtöövõimetuks ja tuleb uuesti käivitada.

• Kasutajad hindavad standardtarkvaras kasutatava turbefunktsionaalsuse tu-gevust (näiteks paroolid või krüpteerimisalgoritmid) tihti tugevamaks kui seetegelikult on. Tihtipeale ei suuda need turbefunktsioonid asjatundlikku rün-dajat püsivalt eemale hoida. See kehtib näiteks krüpteerimisfunktsioonidekohta, mis on integreeritud paljudesse tekstitöötlusprogrammidesse. Peaae-gu kõigile neist leiab internetist arvukalt tööriistu, et sellest krüpteerimisestmööda hiilida.

• Selgus, et rivist väljalangemise põhjuseks oli ühe kindla sõna olemasolutekstitöötlusprogrammi õigekirjakontrollis.

• Paljudel juhtudel sisaldab standardtarkvara dokumenteerimata funktsioone,nagu nn „pühademunad“ või vempkuva, millega nende loojad on ennastjäädvustanud. Seeläbi kasutatakse veel teisigi IT-ressursse ja samas sel-gub, et tarkvaratestis ei ole võimalik toote kogu funktsionaalsust välja selgi-tada.

• Enamik eelmiste aastate CERT (Computer Emergency Response Teams)hoiatusteateid põhines turbekriitilistel programmeerimisvigadel. Need onvead, mis tekivad tarkvara loomisel ja viivad selleni, et ründajatel on või-malik seda tarkvara kuritarvitada. Suurim osa nendest vigadest tuli ilmsikspuhvri ületäitumise tõttu. Siinkohal on tegemist vigadega, mille korral mär-kide sisselugemise rutiin ei kontrolli, kas sisestatud märgijada ühildub sellejaoks ettenähtud salvestusalaga. Seeläbi on ründajatel võimalik edastadaväga pikk märgijada, nii et sisestuse jaoks reserveeritud mäluala taha onvõimalik salvestada teostatavaid lisakäske. Need käsklused võivad olla näi-teks suvalised programmid.

• Veel ühe suure osa veateadete põhjustajaks olid teenusetõkestusründed(denial-of-service, DoS), mille korral vigade tõttu üksikutes võrguandmetetöötluse rutiinides on võimalik kogu arvuti rivist välja viia.

460 / 781

G 4.23 Vahetatavate andmekandjate automaattuvastus

Windowsi operatsioonisüsteemis on võimalik CD-sid, DVD-sid ja teisi vahetatavaidandmekandjaid automaatselt tuvastada, mis tähendab, et teatud rakendused käi-vituvad iseseisvalt. Windowsi Autostardi funktsioon tuvastab seadme külge ühen-datud andmekandja automaatselt ja üritab käivitada andmekandjale salvestatudprogramme. Käivitamiseks analüüsib Windowsi operatsioonisüsteem andmekand-ja juurkataloogis paiknevat faili AUTORUN.INF . Automaattuvastuse funktsioonvõib automaatselt käivitada ka CD-le või DVD-le salvestatud pahavara. KõikidesWindowsi variantides praeguseks levinud dialoogiaken, kus kasutajale pakutakseerinevaid võimalusi, mida andmekandja sisuga ette võtta, ei kaitse süsteemi mit-te mingil moel, sest selleks ajaks, mil süsteem asjakohase dialoogiakna avab, onpahavara oma eesmärgi juba täitnud.

Näide

• Ussviirus Conficker kasutab sihipäraselt ära Windowsi Autostardi funktsioo-ni, et levida USB-mäluseadmete kaudu. Kõik pahavara funktsioonid on ka-sutaja jaoks nähtamatud, toimides taustprotsessidena, ning kui Autostardifunktsioon on sisse lülitatud, pole kasutajal mingit võimalust pahavara tege-vusest puutumata jääda. Klõpsamine Autostardi dialoogiaknas valikul „Kat-kesta” ei paku mitte mingisugust turvet.

461 / 781

G 4.25 Lahutamata ühendused

ISDN-i andmesidekaartide kasutamisel võib juhtuda, et kaart jätab andmeside-tarkvaraga loodud ühenduse lahutamata. Kui on kahtlus, et andmesidekaardi töösvõib olla nimetatud viga, saab seda lihtsalt järele kontrollida, kui helistada vastavalISDN-i telefoninumbril.

Näide

• Võrguadministraator loob enne kahenädalasele puhkusele minekut oma in-terneti teenusepakkujaga ISDN-andmesideühenduse. Seansi lõppedes jääbISDN-ühendus korrektselt lahutamata. Puhkuselt tagasi tulles leiab admi-nistraator eest halva üllatuse: suure ISDN-teenuse arve.

462 / 781

G 4.26 Andmebaasi rike

Andmebaasi rike ilmneb kasutajale enamasti selliselt, et andmebaasi haldussüs-teem (DBMS), mis peaks andmebaasi andmeid kuvama, ei reageeri kasutajapüüdlustele. Andmebaasi kasutamine võib olla takistatud planeeritud tegevuse, nthooldustööde või ka ettenägematute sündmuste tõttu. Ettenägematute sündmus-te hulka kuuluvad nt probleemid riistvara, tarkvara või võrguga. Kõne alla tulevadka tootevead, vääramatu jõud, hooletus ja saboteerimine.

Olukorraga, kus töötajad või ka tarkvararakendus ei saa andmebaasi enam ka-sutada, võivad kaasneda väga tõsised tagajärjed. Kõik rakendused, mis vajavadoma tööks andmebaasi, töötavad kas piiratult või ei tööta üldse. Selliste rakendus-te kasutajad saavad oma tööülesandeid täita ainult osaliselt või peavad varuva-riantide puudumisel oma töö pooleli jätma.

Olenevalt sellest, kas tööülesannete täitmiseks on tarvis kasutada IT-lahendusi jaandmebaasi, võivad andmebaasi rikkel olla veel järgmised tagajärjed:

• majanduslik kahju;• tervisekahjustused;• klientide ja koostööpartnerite usalduse vähenemine lepete täitmata jätmise

tõttu;• organisatsiooni tööprotsesside osaline või täielik halvamine.

Näited:

• Elektroonilised arhiivid kasutavad oma töös andmebaasi, mis tegeleb koguarhiivi dokumentide indekseerimisega. Selle andmebaasi rikke korral tekibolukord, kus arhiveeritud dokumente ei ole enam võimalik üles leida, st neidei saa enam süsteemist otsida. Seetõttu saab arhiivisüsteemi kasutada ai-nult väga piiratud moel (kui üldse).

• Regulaarselt ilmuva trükise sisumaterjal ja lisainfo salvestati täies mahusühte andmebaasi. Kuna toimetusosakonna töötajad peavad oma töö tege-miseks pääsema kindlasti andmebaasi ja seda vähemalt lugemisvolituste-ga, tähendaks andmebaasi rike seda, et nad ei saaks oma tööd jätkata.Andmebaasi plaanipäraseks hooldamiseks lülitati see välja, kuid taaskäivi-tamisel tekkisid ettenägematud viivitused ja seetõttu jäi andmebaas planee-ritud ajast kauemaks kasutuskõlbmatuks. Kuna trükise materjalidest ei olnudvarukoopiaid tehtud, ei saanud toimetajad terve nädal korralikult oma töödteha.

• Avalikult ligipääsetavas andmebaasis võib suure hulga korraga laekuvatepöörduste korral tekkida nii suur ülekoormus, et andmebaasi ei ole enamvõimalik normaalselt kasutada.

463 / 781

G 4.27 Pääsukontrollist kõrvalehoidumine ODBC kaudu

Andmebaasiliidesed võimaldavad kasutajatel rakendusprogrammidega ligi pääse-da ka teistele andmebaasidele, luues rakendusliidese (Application ProgrammingInterface, API), milleks kasutatakse draivereid. Andmebaasiliidesed võivad olla:

• ODBC: Open Database Connectivity;• IDAPI: Integrated Database Application Programming Interface;• JDBC: Java Database Connectivity.

Rakendusliidese kasutamisel tõlgib andmebaasiliides rakendusprogrammi kä-sud asjakohasteks andmebaasikäskudeks, edastab need andmebaasile ning saa-dab laekunud vastused tagasi rakendusprogrammi. Andmebaasi ja rakendusprog-rammi vahelises andmesides identifitseeritakse rakendus, st kontrollitakse, kas ra-kendus kuulub andmebaasi registreeritud kasutajate hulka. Olukorras, kus andme-baasi kasutatakse läbi andmebaasiliidese ning asjakohaste draiverite installimisel,konfigureerimisel ja kasutamisel on tehtud vigu, on andmebaasi pääsukontrollistvõimalik kõrvale hoiduda. Sellistel juhtudel pole enam võimalik tagada andmetekonfidentsiaalsust, sest nendega on võimalik manipuleerida.

Näide

• ODBC andmeallikat saab kasutada nii Microsoft Excelis kui ka Wordis, etsiduda andmebaasi kasutamise võimalus dokumendiga. Et ka hiljem oleksvajaduse korral võimalik hõlpsasti andmebaasile ligi pääseda, saab päringujaoks vajamineva kasutajatunnuse ja parooli ka süsteemi salvestada. Kasu-tajatunnus ja parool salvestatakse faili sisse avatekstina. Kui selline Wor-dis või Excelis loodud dokument antakse edasi kellelegi kolmandale, saabta redaktorprogrammiga kasutajanime ja parooli välja lugeda ning nendegaolenevalt olukorrast ka andmebaasile ligi pääseda.

464 / 781

G 4.28 Andmebaasi andmekadu

Andmebaasis võivad tekkida andmekaod väga erinevatel põhjustel. Näiteksvõidakse andmeid tahtmatult manipuleerida (planeerimata kustutamine), andmedvõivad kaduda andmebaasi erinevate rikete tõttu, nt kui mõni andmekandjalakkab töötamast, ning võimalikud on ka ettekavatsetud ründed. Iga andmekandjamälumaht on piiratud. See kehtib ka nende andmebaaside kohta, kus pikaajali-seks andmetalletuseks kasutatakse füüsilisi andmekandjaid. Kui andmekandja onend ammendanud, võib andmebaas lakata töötamast ja andmed võivad kaotsiminna. Andmekandja mälumaht võib ammenduda erinevatel põhjustel. Näiteksvõivad rakendusprogrammides tekkida vead, kasutajate mälumahu vajadus võibhüppeliselt kasvada, võimalikud on ettekavatsetud ründed, mille eesmärk onvaruna hoitavat mälumahtu tahtlikult vähendada. Ükskõik mis ka ei ole põhjus,kannatavad sellistel juhtudel enamasti käideldavus ja terviklus ning võimalikud onjärgmised tagajärjed:

• rakendusi, mis sõltuvad oma töös andmebaasi andmetest, saab kasutadakas väga piiratud kujul või ei saa neid üldse kasutada;

• saadaolevad andmed ei kajasta enam tervikut;• hävinud andmete taastamiseks kulub palju aega ja vaeva.

Olenevalt andmekao põhjusest võib olla väga keeruline täpselt tuvastada, milli-sed andmed on alles ja millised hävinud. Selle tagajärjel võivad tekkida märkimis-väärsed kahjud või turvariskid.

Näide

• Uue andmemudeli kasutuselevõtul tuleb üleviimise kontseptsioonis arvesta-da, et alustuseks tuleks vanadest tabelitest ja vanast struktuurist teha va-rukoopiad ja alles seejärel võib need ära kustutada. Pärast seda luuaksesüsteemis uued tabelid. Seejärel vanad andmed konverteeritakse ja kan-takse üle uutesse tabelitesse. Selle protseduuri käigus võib väga sageli ettetulla vigu, mille tagajärjel tekib kas andmekadu või olukord, kus andmeid eiole võimalik enam sisse lugeda.

465 / 781

G 4.30 Andmebaasi tervikluse ja vastavuse kadu

Andmebaasi tervikluse ja vastavuse kadu tähendab, et andmebaas on küll veelolemas, kuid selles on vead. Tekkinud on olukord, kus andmetele ei ole enam või-malik korralikult ligi pääseda või kus andmeid ei saa enam korrektselt töödelda.Vastavuse kadu võib andmebaasis tekkida mitmel moel alates tahtmatust and-memanipulatsioonist (ettekavatsemata muutmine) ja tehingute sünkroniseerimisevigasest kontrollist kuni ettekavatsetud rünneteni.

Muu hulgas võib see tuua kaasa järgmised tagajärjed:

• osa rakendusi, mis vajavad oma tööks andmebaasi korrektseid andmeid,töötavad piiratult või ei tööta üldse;

• saadaolevad andmed kajastavad tervikut võltsitud kujul;• andmebaasi tervikluse ja vastavuse taastamisele kulub palju aega ja vaeva.

Olenevalt sellest, mis asjaoludel andmebaasi terviklus ja vastavus hävis, võibolla kas väga raske või koguni võimatu täpselt kindlaks teha, milliseid andmeid onmuudetud (vt G 2.22 Logiandmete analüüsimata jätmine ). Selle tagajärjel võivadtekkida märkimisväärsed kahjud või turvariskid.

Näited:

• Mälumahu puuduse tõttu ja aja survel salvestati ühe andmebaasi fail Unixiserveri /tmp-failisüsteemi. Kuna see failisüsteem kustutati öösel automaat-selt ära, ei saanud seda andmebaasi enam kasutada.

• Elektroonilised arhiivid kasutavad oma töös andmebaasi, mis tegeleb ko-gu arhiivi dokumentide indekseerimisega. Kui indeksisüsteem lakkab tööta-mast või kui dokumentide referentsid lähevad kaotsi, võib juhtuda, et doku-mentide leidmisele kulub vastuvõetamatult palju aega. Selline andmebaasitervikluse kadu võib hiljem tuua endaga kaasa märkimisväärse majandus-kahju või kuluka kohtuprotsessi.

466 / 781

G 4.31 Võrgukomponentide rike või tõrge

Aktiivsete võrgukomponentide rike või tõrge võib hävitada terve võrgu või teatudvõrguosade käideldavuse. Eristada saab kahte varianti:

• Kui rike või tõrge peatab võrgukomponendi töö täielikult, muutub kogu võrkkõikide selle külge ühendatud lõppseadmete jaoks ligipääsmatuks.

• Kui rike või tõrge hõlmab ainult ühte porti, kaob võrgukeskkonnas ära ainultselle pordi külge ühendatud lõppseadme kasutamise võimalus.

Näited

• Kui järgmisel joonisel kirjeldatud olukorras esineb tsentraalselt toimivaskommutaatoris 1 täielik rike, kaob ühendatud lõppseadmetes, st töökohaar-vutites, ära igasugune sidevõimalus. Tegu on aktiivse võrgukomponendiga,mis pole küll otseühenduses nende võrgusegmentidega, mida töökohaarvu-tid kasutavad andmesideks serveritega, kuid see jääb siiski töökohaarvutiteja serverisüsteemide vahelisele signaaliteele. Kui töökohaarvutite ja serveri-süsteemide vahele ei ole signaaliedastuse jaoks veetud varuliine, võib juhtu-da, et kui ühes või ka mitmes võrgukomponendis tekib rike või tõrge, toimibserverisüsteemide ja töökohaarvutite vaheline andmeside kas väga piiratultvõi ei toimi üldse.

• Kui järgmisel joonisel kirjeldatud olukorras tekib kommutaatoris 1 täielik rike,ei saa töökohaarvutid 3 ja 4 ühendust ei kummagi serveri ega ka mitte ühegiteise töökohaarvutiga. Tegu on aktiivsete võrgukomponentidega, mille ins-tallatsioon näeb ette, et need peavad asuma töökohaarvuti ja serverisüstee-mi vahelisel signaaliteel, sest eksisteerib ka teine, liiasuse eesmärki täitevsignaalitee. Need võivad olla näiteks aktiivsed võrgukomponendid, mis täi-davad kas liiasuse või koormuse jaotamise (load balancing) eesmärki. Kuiühes või mitmes sellises komponendis tekib rike või tõrge, on töökohaar-vutite ja serverisüsteemide vaheline andmeside küll jätkuvalt võimalik, kuidselle vaatamata esineb võrgus ribalaiuse kadu, nt kui liiasusega signaali-teid ei saa enam kasutada või kui võrgu koormust ei õnnestu enam nii hästijaotada nagu varem.

467 / 781

• Kui järgmisel joonisel kirjeldatud olukorras tekib rike kas liiasusega kommu-taatoris 1-1 või 1-2, võib töökohaarvutite ja serverite vahelises andmesidesesineda ribalaiuse kadu.

Komponentide rikke tekkimise riski hindamiseks võib kasutada tootjate koosta-tud MTBF-i (Mean Time Between Failure) infot.

Jaoturite (hubs) puhul saab eristada kaht põhimõttelist viisi, kuidas mooduleidomavahel ja võrgusegmentidega ühendada. Toodetel, millel on moodulitevaheli-se ühenduse loomise elemendiks passiivne põhiplaat (backplane), kujutab see

468 / 781

endast vaid moodulitevahelist elektriühendust. Protsesside tegelik juhtelektrooni-ka on paigutatud eraldi igasse moodulisse. Toodetel, millel on moodulitevaheliseühenduse loomise elemendiks aktiivne põhiplaat (backplane), täidab põhiplaat kaselliseid lisafunktsioone nagu moodulitevahelise kommunikatsiooni konfigureeri-mine, signaalitugevdus. Kõikidel juhtudel tuleks arvestada, et aktiivse põhiplaa-diga võrgukomponendid on veaaltimad kui passiivse põhiplaadiga komponendid.Kui aktiivses põhiplaadis tekib rike, katkeb kogu seda võrgukomponenti läbiv and-meside. Seevastu passiivset põhiplaati saavad selle konstruktsiooni eripära tõttuhävitada ainult kas mehaanilised tegurid või vääramatu jõud (nt välgulöök). Li-saks on aktiivsete võrgukomponentide puhul sagedaseks rikkepõhjuseks nendetoiteallikas, sest need sõltuvad stabiilsest elektriallikast. Seetõttu on paljusid võr-gukomponente võimalik täiendada, lisades neile alternatiivseid toiteallikaid, ningpaljudele on need ka juba tehases lisatud. Passiivse võrgukomponendi rikke korralvõib kaduda kogu võrgu käideldavus. See puudutab näiteks segmente ühendavaidkaableid ja pistikühendusi.

Selline oht võib esineda näiteks ebapädeva kaabliinstallatsiooni puhul (kui eiarvestata vajaliku painderaadiusega), kui kaabel on pistikuga halvasti ühendatud(eriti LWL-i puhul) või kui tekivad elektromagnethäired.

• Kui järgmisel joonisel kirjeldatud olukorras peaks kommutaator 3 ja kommu-taator 1 vahel kaabli murdumise või defektse pistikühenduse tõttu ühenduskatkema, ei saa töökohaarvutid 3 ja 4 ühendust ei serverite ega ka tööko-haarvutitega 1 ja 2. Seevastu andmeside töökohaarvutite 3 ja 4 vahel onjätkuvalt võimalik.

469 / 781

G 4.32 Sõnumi kaotsiminek

Rühmatarkvara- ja veebirakenduste abil on andmevahetus kiire ja mugav, kuid mit-te alati väga usaldusväärne. Eelkõige kiputakse üle hindama meilide usaldusväär-sust. Osalevate IT-süsteemide riist- ja tarkvaravigade või ülekandehäirete tõttu toi-mub tihti osaline andmekadu. Tehnilistel probleemidel võib olla mitmesuguseidpõhjuseid, näiteks võib tegemist olla kahjustatud liinide, võrguühenduselementiderikke või suhtlustarkvara vale konfigureerimisega. Samuti võivad meilid kaotsi min-na siis, kui vastuvõtja aadress sisestatakse valesti. Seejuures on suurim probleemsee, et sageli ei teavitata kasutajat meili kaotsiminekust. Alati ei saa usaldada kaautomaatteavitust.

Paljud meiliprogrammid pakuvad võimalust kohalejõudmist või vastuvõtmist kinni-tada. Sellist tagasisidet ei tohi aga üle hinnata. Esiteks ei saadeta kohalejõudmisekinnitust sageli teele siis, kui meil jõuab vastuvõtja töökohaarvutisse, vaid jubasiis, kui see jõuab meiliserverisse. Seda, kas kiri on meiliserverist ka adressaadinijõudnud, enam ei teatata. Teisalt aga – kui saaja seda funktsiooni ei toeta, ei õn-nestu kohalejõudmise kinnitamine tihti meili korrektsest edastamisest hoolimata.

Probleem, et sõnumeid kohale ei toimetata, esineb ka mobiiltelefonide lühisõnu-mite puhul. Kui saaja ei ole kättesaadav, sest ta asub leviaugus või viibib ta ilmarändlusteenuseta välismaal, ei toimetata lühisõnumit kohale. Mõnda aega püüabteenus SMS-i uuesti saata. Kui võrguoperaatori seadistatud lühisõnumi saatmiseaeg on ületatud, kustutatakse sõnum täielikult ja see ei saa enam saajani jõudaka siis, kui viimasel on jälle võimalik sõnumeid vastu võtta.

470 / 781

G 4.33 Autentimise puudumine või puudulikkus

Autentimismehhanisme saab kasutada kasutajate ja komponentide autentimiseksvõi andmete päritolu kindlaks määramiseks. Kui autentimismehhanismid puudu-vad või on liiga halvasti teostatud, tekib oht, et:

• volitamata isikud pääsevad IT-süsteemile või andmetele ligi,• probleemide tekitajaid ei ole võimalik tuvastada või• andmete päritolu ei ole võimalik kindlaks määrata.

Turvalüngad võivad tekkida:

• kasutaja autentimisel, näiteks kui kasutajad saavad ise paroolid valida, siisvõivad need olla liiga lihtsad, neid võidakse kasutada samaaegselt autenti-miseks erinevates keskkondades või nad ei vaheta neid kunagi,

• komponentide autentimisel, kui näiteks pärast IT-süsteemi kasutuselevõt-tu ei asendata vaikeparoole individuaalselt valitud paroolide vastu, kui IT-süsteemide paroole enam mitte kunagi ei muudeta või kui paroolid ei olekusagile turvaliselt üles märgitud ja pärast süsteemi rivist väljalangemist sel-gub, et nüüd hädasti vajaminevat parooli ei suudeta meelde tuletada,

• meetmete valimisel, kui need on näiteks täiesti ebasobivad või kui avasta-takse turvaaugud, millele töö käigus ei reageerita.

Autentimisprotseduurid võivad olla puudulikud näiteks siis, kui:

• need ei võimalda valida piisavalt pikki paroole,• autentimisandmed salvestatakse krüpteerimata ja ilma juurdepääsukaitseta

serveritele või klientidele,• autentimisandmeid edastatakse krüpteerimata,• need ei kaitse sõnumite uuesti sisselugemise eest ja võimaldavad seetõttu

ründe toimepanijal vale identiteedi abil juurdepääsu süsteemile (vt ka G5.24 Sõnumite korduv sisestamine ),

• need ei ole piisavalt vastupanuvõimelised Man-in-the-Middle-tüüpi rünnetevõi sessiooni ülevõtmise suhtes (vt G 5.89 Võrguühenduse ülevõtt ). Siin-juures sekkub ründe toimepanija toimivasse ühendusse, blokeerides näitekskliendi sisselogimisteate ja kasutades seda selle asemel ise, et end võõranime all sisse logida.

Näited

• SNMP (Simple Network Management Protocol, lihtne võrguhalduse proto-koll) puhul toetasid kaks esimest versiooni, SNMPv1 ja SNMPv2, ainult liht-said autentimisprotseduure, mille korral edastati autentimisparameetreid (nnkooskonnastringid, ingl Community Strings) loetava teksti kujul.

• Turvamehhanismid paranesid alles alates SNMPv3-st. Seal, kus töötatakseveel vanade versioonidega, võivad ründe toimepanijad loetava teksti auten-timisparameetreid pealt kuulata ja end nendega volitusteta sisse logida.

• WLAN-standardis IEEE 802.11 (Wireless LAN, Wi-Fi) määratleti Wired Equi-valent Privacy’ga (WEP) esmalt selline autentimise protseduur, mis pakkus

471 / 781

palju ründevõimalusi. WPA (Wi-Fi Protected Access) ja WPA2-ga (Wi-Fi Pro-tected Access 2) need nõrgad kohad kõrvaldati. Kuid praegugi on veel ole-mas WLAN-võrke, mis töötavad WEP-ga ning on seetõttu lubamatu juurde-pääsu vastu ebapiisavalt kaitstud.

• Standardis IEEE 802.1X Port Based Network Access Control on määrat-letud EAP (Extensible Authentication Protocol, pikendatav autentimisproto-koll). Mõnedes kirjeldatud EAP-meetodites sisalduvad turvaaugud, nt ei to-hiks CHAP-d EAD-MD5 korral autentimismeetodina kasutada, sest see põ-hineb krüpteerimata parooli teadmisel nii saatja kui ka vastuvõtja puhul.

472 / 781

G 4.34 Krüptomooduli rike

Kui andmete konfidentsiaalsuse kaitseks kasutatakse krüptomoodulit, tulebpanna suurt rõhku sellele, et see moodul töötaks võimalikult veavabalt. Töötavakrüptomooduli rikke tekkepõhjused võivad olla näiteks järgmised:

• funktsioonide tööd pärssiv tehniline defekt;• elektrikatkestus, mille mõjul kustuvad ära muutmällu salvestatud krüptograa-

filised võtmed, mistõttu ei saa krüptomoodul enam nõuetekohaselt krüptee-rida;

• tahtmatu või tahtlik hävitamine mehaanilise kahjustamise, väärkasutusevms tõttu.

Krüptomooduli rikkel võivad olla ka mitmesugused hiljem avalduvad tagajärjed.Olulisemad neist on järgmised:

• Andmeedastusteekonna krüpteerimine ebaõnnestub, mistõttu ei õnnestukonfidentsiaalsust ajutiselt enam tagada. Selline olukord võib muutuda eri-ti kriitiliseks siis, kui riket ei panda tähele ja funktsiooni vea tõttu jäävadandmed krüpteerimata, kuigi kasutaja eeldab, et krüptomoodul tagab temaandmete konfidentsiaalsuse.

• Krüpteeritud andmeid ei õnnestu dekrüpteerida seni, kuni vajalik krüptomoo-dul saab uuesti töökorda. Sellest võivad nendes IT-rakendustes, mis vajavadoma tööks dekrüpteeritud andmeid, tekkida käideldavusprobleemid.

• Kui krüptomoodul töötab vigaselt, ilma et tekiks kõikehõlmav rike, krüptee-ritakse andmed kas poolikult või valesti. Mõlemal juhul võib see tähendadaseda, et pärast edastamist ei saa adressaat, kes need andmed lokaalseltsalvestab, talle saadetud krüpteeritud andmeid korrektselt dekrüpteerida.Kui andmetest ei ole tehtud varukoopiaid, võib selline olukord tähendadatäielikku andmekadu.

473 / 781

G 4.35 Ebaturvaline krüptoalgoritm

Krüptograafia turvaline kasutus eeldab turvalisi krüptograafilisi algoritme ja tur-valist voõtmehaldust (vt G 5.83 Krüptograafiliste võtmete paljastamine ). Krüp-tograafiline algoritm on muutunud ebaturvaliseks, kui ründajal on realistlike res-surssidega voõimalik algoritmi murda, nt paljastades voõtme voõi leides krüp-togrammi poõhjal avateksti. Seejuures tuleb arvestada ründaja käsutuses olevatöötlusmahu, abivahendite olemasoluga nagu analüüsitööriistad, üldteadmistega,tööajaga, turvaaukudest teadlikkusega jne.

Krüptograafilise meetodi piisavus tuleb igas olukorras eraldi välja selgitada. Onolemas moõned kriteeriumid, millest saab järeldada krüptograafiliste algoritmideebaturvalisust:

• Sümmeetriline krüpteerimine salajase voõtmega, mille efektiivne pikkus onkuni 100 bitti, on ebaturvaline ka keskmise arvutusvoõimsusega ründajatevastu ja on murtav koõikide voõtmete täieliku läbivaatusega. Voõib oletada,et see piir toõuseb lähitulevikus üle 100 biti. Näiteks veel hiljuti kasutuselolnud algoritm DES efektiivse voõtmepikkusega 56 bitti on tänaseks ebatur-valine. Algoritmi DES kolmekordne variant (Triple DES) efektiivse voõtme-pikkusega 112 bitti on veel turvaline.

• Suurte arvude tegurdamise probleemil poõhinevaid asümmeetrilisikrüpteerimis- ja signeerimisalgoritme (näiteks RSA) loetakse ebaturvali-seks, kui voõti on lühem kui 1024 bitti. Poõhjus on tegurdamisalgoritmidesenine areng. Näiteks murti 2009. aastal (Thorsten Kleinjung jt) algoritmRSA voõtmepikkusega 768 bitti ligikaudse eelarvega 40000 eurot.

• Räsifunktsioone, mis suvalise pikkusega andmetest arvutavad fikseeritudpikkusega väljundi, on ebaturvalised, kui väljund on lühem kui 128 bitti, sestkeskmise arvutusvoõimsusega vastasel on siis voõimalik leida kaks erinevatsisendit sama väljundiga. Räsifunktsiooni MD5 (200-bitise väljundiga) täna-seks avastatud noõrkuste toõttu loetakse teda ebaturvaliseks. Samuti ei olekoõikides rakendustes enam soovitatav kasutada 160-bitise väljundiga räsi-funktsiooni SHA-1.

• Teaduslikult kontrollimata ja vaähekogenud arendajate loodud krüptograa-filisi algoritme tuleb lugeda ebaturvalisteks, sest turvaliste krüptograafilistealgoritmide loomiseks on vajalikud aastatepikkused kogemused. Tuleb ka-sutada krüptograafia spetsialistide loodud krüptograafilisi algoritme, mille ta-ga on juhtivate teadusgruppide aastakümnete pikkune teadustöö.

• Ebaturvalisteks tuleb lugeda ka avalikustamata/tundmatuid krüptograafilisialgoritme, mille (tarkvaralised/riistvaralised) teostused aeguvad väga kiires-ti. Näiteks kui krüptotootes kasutatav krüptograafiline algoritm ei ole kasu-tajale teada, voõib algoritm aja jooksul vananeda ja kasutajale teadmatamuutuda ebaturvaliseks.

• Krüptograafilised algoritmid vajavad enamasti juhuarve. Noõrgad juhuarvu-de generaatorid on etteaimatavad, mis voõib viia näiteks salajaste voõtmetelekkeni.

Ebaturvalisi krüptoalgoritme iseloomustab see, et võimalikul ründe toimepani-jal õnnestub vastuvõetavate ressurssidega murda kasutatud krüptograafiline prot-seduur. Krüptoalgoritmide puhul tähendab see, et ründe toimepanijal õnnestub

474 / 781

krüpteeritud tekstidest leida algne loetav tekst, ilma et oleksid teada lisaandmed.Seejuures tuleb ründe toimepanija poolel arvesse võtta vastavaid ressursse, ntkasutada olev arvutusvõimsus, abivahendid, nagu analüüsi tööriistad, olemasole-vad teadmised, kasutada olev tööaeg, teadmised turvaaukudest jne . Seega, kuikasutatakse ebaturvalisi krüptoalgoritme, on ründe toimepanijal võimalus vältidakrüptograafilist kaitset.Need kriteeriumid puudutavad näiteks üle maailma väga sageli kasutatavat DES-algoritmi sümmeetriliseks krüpteerimiseks. See kasutab efektiivset võtmepikkust,mis on 56 bitti. Niinimetatud Triple-Des-algoritmil kui kahe võtmega kolmekordselseosel on efektiivne võtmepikkus 112 bitti ja seda võib praegu veel vaadelda kuipiisavalt turvalist. Samuti on puudutatud RSA-algoritm, mis põhineb asümmeetrili-se meetodina faktoriseerimisel. Kui RSA-d kasutatakse võtmepikkusega alla 1024biti, tuleb lähtuda sellest, et see ei paku piisavat turvalisust. Järgmiste aastatejooksul võib veel piisavalt turvalisena vaadelda võtmepikkust, mis on vähemalt2000 bitti.Räsialgoritm MD5 on vananenud ja sellel ilmnevad tuntud puudused, mida on või-malik juba praktiliste näidete abil esitleda. Ka räsialgoritm SHA-1 ei sobi enamkõikide kasutuseesmärkide jaoks.Ebaturvaliste, aga väga kiirete algoritmide näide on nn XOR-funktsioon, mille pu-hul ühendatakse konstantsed väärtused lihtsal moel algse loetava tekstiga. Seeon suure jõudlusega algoritm, mida on aga siiski võimalik kiiresti murda. XOR-funktsioon võib aga teisalt olla kõige turvalisem krüptoalgoritm üldse, kui krüp-teeritavad andmed XOR-eeritakse mitteennustatavate juhuslike väärtustega (ühe-kordne šifriplokk, ingl One-Time-Pad).Võhikutel on praktiliselt võimatu kindlaks teha, kas krüptoalgoritm on piisavalt tur-valine. Seepärast tuleks kasutada ainult selliseid algoritme, mille puhul ollaksekindlad, et need on välja töötanud spetsialistid või mis on läbinud pikaajalise tea-dusliku uuringu.

475 / 781

G 4.36 Vead krüpteeritud andmetes

Kui krüpteeritud kujul hoitavaid andmeid muudetakse, võib nende dekrüptee-rimisel juhtuda, et neid ei õnnestu enam korrektselt dekrüpteerida. Olenevaltkrüpteerimisprotseduuri rutiinist võib see tähendada seda, et valesti dek-rüpteeritakse kas ainult mõned üksikud baidid või kõik pärast vea tekkimistdekrüpteeritavad andmed. Kui andmetest ei ole loodud varukoopiat, võib tulemu-seks olla täielik andmekadu. Loetletud vead võivad krüpteeritud andmetes tekkidamuu hulgas järgmistel põhjustel:

• krüpteeritud andmete edastamise käigus tekivad vead, mida ei õnnestu kor-rigeerida;

• andmekandjas (disketis, kõvakettas) tekib parandamatu defekt;• arvutiviirus manipuleerib andmetega;• keegi võõras isik manipuleerib teadlikult andmetega, nt teeb krüpteeritud

andmetes mõnes redaktorprogrammis üksikuid muudatusi.

Kõige õnnetumate juhtumite, nt bitivigade või liiga suurte andmehulkade muut-mise korral võib juhtuda, et andmeid ei õnnestu rekonstrueerida isegi siis, kui onteada nii krüptograafiline protseduur kui ka võti. Sellest veelgi kriitilisemate taga-järgedega võivad olla vead, mis esinevad kasutatavates krüptograafilistes võtme-tes. Krüptograafilise võtme puhul võib juba üheainsa biti muutmine tähendada se-da, et kõik selle võtmega krüpteeritud andmed jäävadki püsivalt krüpteerituks. Kuikrüptograafilisest võtmest ei ole tehtud varukoopiat, on selle võtmega krüpteeritudandmed jäädavalt kaotsi läinud.

476 / 781

G 4.37 Rühmatarkvara puudulik usaldusväärsus

Rühmatarkvarateenused asendavad paljudel juhtudel traditsioonilisi meetodeid –nii asendab e-post tavaposti ja kalendrit või aadressraamatut hallatakse võrgus.Seejuures ei peeta aga sageli silmas, et need teenused pole ilma täiendavateturvameetmeteta piisavalt usaldusväärsed. See kehtib nii teenuste ja nende töö-deldava info konfidentsiaalsuse kui terviklikkuse ja käideldavuse kohta.

Rikked ja infokaodRühmatarkvara- ja veebirakenduste abil on andmevahetus kiire ja mugav, kuid

mitte alati väga usaldusväärne. Eelkõige kiputakse üle hindama meilide usaldus-väärsust. Osalevate IT-süsteemide riist- ja tarkvaravigade või ülekandehäirete tõt-tu läheb alati osa andmeid kaotsi. Tehnilistel probleemidel võib olla mitmesuguseidpõhjuseid, näiteks võib tegemist olla kahjustatud liinide, võrguühenduselementiderikke või suhtlustarkvara vale konfigureerimisega. Samuti võivad meilid kaotsi min-na siis, kui vastuvõtja aadress sisestatakse valesti. Seejuures on suurim probleemsee, et sageli ei teavitata kasutajat meili kaotsiminekust. Alati ei saa usaldada kaautomaatteavitust.

Näide

• Paljud meiliprogrammid pakuvad võimalust kohalejõudmist või vastuvõtmistkinnitada. Sellist tagasisidet ei tohi aga üle hinnata. Esiteks ei saadeta ko-halejõudmise kinnitust sageli teele siis, kui meil jõuab vastuvõtja töökoha-arvutisse, vaid juba siis, kui see jõuab meiliserverisse. Seda, kas kiri onmeiliserverist ka adressaadini jõudnud, enam ei teatata. Teisalt aga – kuisaaja seda funktsiooni ei toeta, ei õnnestu päralejõudmise kinnitamine tihtimeili korrektsest edastamisest hoolimata.

Teadete puudulik autentsus ja konfidentsiaalsusRühmatarkvarateenuseid pakutakse enamasti põhikonfiguratsioonis ilma krüp-

tograafilise turbeta. Nii saavad kalendriteenuste puhul ka kõrvalised isikud rühma-de või üksikisikute ajaplaneeringut vaadata ning kasutada seda näiteks erinevaterünnakute jaoks: sissemurdmine, inimestega manipuleerimine või majandusspio-naaž. Krüpteerimata meile saab igaüks lugeda, ja seda igas IT-süsteemis, millesandmeid võrgus liikumise käigus töödeldakse. Kuna täpne liikumistee pole üldiseltennustatav, võivad meilid läbida väga erinevaid süsteeme. Digiallkirjaga kaitsmatainfot saab igas osalevas süsteemis muuta või kustutada, ilma et saaja seda mär-kaks. Lisaks teksti või manuste muutmisele saab muuta ka sellist infot nagu saatjaja edastuse andmed või saatja aadress, vt ka G 5.73 Saatja aadressi võltsimine .Seetõttu pole õige võrrelda meili tavakirjaga, vaid pigem postkaardiga.

Näited

• Ametnik saatis oma ülemuse saatjaandmete alt mitmele kolleegile tööüles-andeid sisaldavad meilid.

• Praktiliselt kõik postkaste täitvatest arvukatest rämpskirjadest kannavadvõltsitud saatjaaadressi.

• Meili saatmiskuupäevaks märgitakse tavaliselt saatja arvuti süsteemiaeg.Kuna seda saab sageli muuta isegi tavakasutaja, ei tõenda meili saatmisekuupäev kuidagi, et see on tõesti teatud ajahetkel saadetud.

477 / 781

G 4.38 Võrgu- või süsteemihaldussüsteemi komponendi rike

Võrgu- ja süsteemihaldussüsteemis võivad rikki minna erinevad komponendid.Järgnevalt kirjeldatakse mõningaid riketega kaasnevaid probleeme ja ohte:

• Halduskomponentide rike - juhul kui võrgu- ja süsteemihaldussüsteemis te-kivad halduskomponentide rikked, võib olenevalt haldussüsteemist juhtuda,et haldusandmete automaatne värskendusfunktsioon lakkab töötamast. Sel-lised juhtumid kuvatakse näiteks võrguhaldussüsteemide puhul süsteemiad-ministraatorile enamasti ainult koos infoga selle kohta, et komponendis ontekkinud rike. Kui ründaja asub komponendi riket oma huvides ära kasutamavõi kui ta selle ise esile kutsub, võib tal õnnestuda kohtvõrku ühendada kamõni väljaspool LAN-i asuv arvuti, võttes üle rikkis oleva komponendi iden-titeedi (IP-aadressi võltsimine). Sellist arvutit saab ründaja kasutada eda-sisteks rünneteks, nt väära haldusinfo sisestamiseks, kasutades süsteemikuuluva arvuti volitusi.

• Seirekomponentide rike - olukorras, kus haldussüsteemi süsteemiosades te-kivad rikked, kaob nendel süsteemiosadel, mis tegelevad komponentide sei-re või haldamisega, ühendus haldussüsteemiga (ka siis, kui rikkeid ei mär-gata). Seetõttu jäävad haldussüsteemi uued käsud arvutites rakendamata.Selle tagajärjel võib süsteemi konfiguratsioon muutuda väga ebaühtlaseks,mis toob omakorda kaasa ka uusi turbeprobleeme.

• Tsentraalse haldusjaama käideldavuse kadu - juhul kui haldusjaamaga hal-latava võrgu puhul tekib haldusjaamas rike, ei saa seda võrku enam tsent-raalselt hallata. Olukorras, kus käideldavust ei õnnestu piisavalt kiiresti taas-tada, nt kui puuduvad hoolduslepingud, mis võimaldaksid riistvara ruttu väl-ja vahetada, võib juhtuda, et rutiinsed protsessid, nt varukoopiate tegemine,jäävad seisma. Kui selle peale hakatakse hallatavaid süsteeme koordineeri-matult käsitsi muutma, tekivad ebakõlad ja ilmselt ka turbeprobleemid.

• Haldusinfo edastamise käigus tekkivad võrguühenduselementide rikked - ju-hul kui arvutivõrgu haldamiseks kasutatakse haldussüsteemi, peab haldus-süsteemi komponentide vahel liikuma nn haldusinfo. Selline info edastatak-se kohtvõrgu kaudu. Kohtvõrgud koosnevad enamasti (olenevalt kasutata-vast võrgutehnoloogiast) alamvõrkudest, mida ühendavad võrguühenduse-lemendid, nt marsruuterid. Võrguühenduselemendid hoolitsevad alamvõrk-udevahelise andmeliikluse eest. Kui ühenduselementides tekivad rikked, onsee põhimõtteliselt sama mis alamvõrkude füüsiline lahutamine. Haldusinfoei saa enam liikuda. Enamasti tekib olukord, kus üht alamvõrku saab haldus-jaamaga jätkuvalt hallata, kuid teist enam mitte. Olenevalt rikke kestusestvõivad tekkida ebakõlad ja turbeprobleemid.

478 / 781

G 4.39 Tarkvarakontseptsiooni viga

Programmide ja protokollide kasutuselevõtu planeerimisel võivad tekkida kont-septsioonivead, mis mõjutavad olulisel määral turvet. Sageli saab neid viguvaadelda nende tekkega seotud ajalises kontekstis ja need on mõistetavad. Niinäiteks ei osanud 1960. aastate lõpus tegutsenud internetiprotokollide tarkvaraa-rendajad kindlasti ette näha, et nende protokollidega laotakse alus üleilmsele jaettevõtluse seisukohast üliolulisele arvutivõrgule.

• Kui tarkvara ei voõimalda kasutatavaid krüptograafilisi algoritme uämberseadistada, siis iga kord kui moõni kruäptograafilistest algoritmidest noõr-geneb, tuleb tarkvara muuta. Seega tuleb fikseeritud krüptograafiliste algo-ritmide kasutamist pidada tarkvara kontseptuaalseks veaks.

• Kui tarkvaras kasutatavad krüptoalgoritmid noõrgenevad, siis tuleb noõrgadalgoritmid vahetada uute ja turvalisemate vastu. Voõib juhtuda, et ei piisa katarkvara ümberseadistamisest, sest turvalist alternatiivi voõimalike valikuteseas ei ole. Siis tuleb kaaluda voõimalust uute turvalisemate krüptograafi-liste protseduuride lisamiseks ja tarkvara ümberprogrammeerimiseks, nii etkasutataks uusi protseduure. Kui tarkvara on aga kavandatud nii, et sellinevahetus ei ole voõimalik, voõi oleks soodsam tarkvara välja vahetada, voõibseda pidada tarkvara kontseptuaalseks veaks ja tekkinud olukorda vaadeldarealiseerunud ohuna.

• Kui tarkvaras on krüptograafiliste funktsioonide kasutamisega seotud and-mevaäljade pikkus fikseeritud ja ei ole lihtsalt muudetav, siis seda voõib lu-geda tarkvara kontseptuaalseks veaks, mis raskendab noõrgenenud krüp-tograafiliste algoritmide väljavahetamist. Samas voõib fikseeritud pikkus tu-leneda moõnest kasutatavast standardsest sideprotokollist ja seljuhul ei saaandmeväljade fikseeritud pikkust lugeda tarkvarakontseptsiooni veaks, vaidkogu süsteemi ülesehituse kontseptuaalseks veaks.

Näited

• Kontseptsioonivea näitena võib esile tuua võimaluse, et internetis saab and-meid edastada ilma kaitseta, mistõttu on võimalik andmeid (nt paroole) lu-geda ja muuta ning andmepakettide saatmiseks saab rakendada interne-tiaadresse, mis on määratud mõnele teisele arvutile. Sellekohase erijuhtumimoodustavad nn FTP-Bounce’i ründed, mille korral kasutatakse ära võima-lust luua FTP-protokolli jaoks vajalik ühendus ükskõik millise arvutiga. Eba-soodsate asjaolude kokkulangemisel on sellega võimalik läbi tungida isegidünaamilise paketifiltriga tulemüüridest (vt CERT Advisory 97-27). Interne-tiprotokollides leidub kindlasti veel teisigi vigu, millest kuuleme tulevikus.

• Lisanäiteks kontseptsioonivigade kohta on DNS-i võltsimine (vt ka G 5.78DNS-i võltsimine ) ja Pharming. Domain Name System on interneti kesk-ne infoteenus, mis võimaldab kergesti meelde jäävaid arvutinimesid, ntwww.hinnavaatlus.ee, ümber panna sellega kokku kuuluvaks internetiaad-ressiks. DNS-i võltsimisega seotud ründe korral püütakse arvuti nimi sidudavale arvutiga ja seega suunatakse infootsija valesse kohta.

479 / 781

• Kontseptsiooniveaks võib pidada ka võimalust saata anonüümselt suurt ar-vu reklaami sisaldavaid meile (rämpsposti). Selleks kasutatakse sageli võõ-raid meiliservereid, tehes neist nn remailer ’id, mis muudavad adressaatidevastutegevuse tulutuks. Selliste rünnete toimepaneku võimaluses on ilmsel-gelt süüdi interneti praegused puudulikud autentimisvõimalused.

480 / 781

G 4.41 Mobiilsidevõrgu rike

Mobiilsidevõrkude käideldavus on püsivõrkudega võrreldes tunduvalt väiksem.Nagu kõikide süsteemide puhul, mis ei taga täielikku käideldavust, tekivad mo-biilsidemastides rikked enamasti sellistes kohtades ja sellistel aegadel, kus sedavõrku tegelikult kõige rohkem tarvis oleks. Mitte kõik mobiilsidevõrgud ei ole loo-dud pakkuma kõikehõlmavat leviala. Peamine põhjus, miks side võib katkeda, onleviaugud, st kohad, kuhu mitte ühegi mobiilsideoperaatori leviala ei ulatu. Suu-re arvu kasutajate puhul võib tekkida alamvõrgu ülekoormus. Selle tagajärjel võibebaõnnestuda sõnumite saatmine ja vastuvõtmine. Lisaks võib esineda segavaidsaatjaid, mis tõkestavad teatud piirkonnas raadiosidet nii tugevalt, et mobiililevi po-le võimalik kasutada. Leidub ka seadmeid, mis tõkestavad levi.

Andmeteenuste kasutamisel mobiilsidevõrgu kaudu võivad edastamiskiirused ollaväga madalad. Mobiilsidepakkujatel on erinevate andmeedastuskiirustega erine-vaid sidevõrgu standardeid (nt GPRS, HSDPA, LTE). Nii võib juhtuda, et vasta-va teenusepakkuja mobiilsidevõrk on küll saadaval, aga kiire andmeteenus LTEvõi HSDPA kaudu ei tööta. Sellisel puhul tuuakse teave internetist alla üksnesväga aeglaselt. Vastupidiselt telefoniteenustele, kus erinevust GSM- või UMTS-ühenduse vahel pannakse vaevu tähele, on andmeteenuste kvaliteedi erinevusoluliselt suurem.

Lisaks võib esineda ka segavaid saatjaid, mis häirivad teatud ruumide piires raa-diosidet nii tugevalt, et mobiililevi vastuvõtt muutub võimatuks. On olemas ka sead-med, mida just sel eesmärgil müüakse.Sideühendusi võivad häirida ka katkised elektriseadmed.

Näide

• Kui juhtub suur õnnetus ja väga palju inimesi hakkab korraga helistama, etpäästeteenistust välja kutsuda või oma sugulasi informeerida, selgub sageli,et levimasti võimsus ei ole piisav ja paljud kõned jäävad tegemata.

481 / 781

G 4.42 Mobiiltelefoni või PDA tõrge

Mobiiltelefonide ja pihuarvutite kasutamisel võib esineda järgmisi tõrkeid:

• aku võib ootamatult tühjeneda, kui seda on unustatud laadida;• aku võib ootamatult tühjeneda, kui mõni seadmesse installitud rakendus ka-

sutab liiga palju akutoidet;• aku võib olla vananenud ja ei suuda enam energiat salvestada;• kasutaja võib ära unustada oma parooli või PIN-koodi;• seadme komponentides, nt ekraanis, klahvides või SIM-kaardis, võib tekkida

viga.

Mobiiltelefonile ja pihuarvutile ei mõju hästi äärmuslik kasutuskeskkond. Sead-med ei talu suuri koormusi ja liiga madalat temperatuuri, samuti ei tee mobiiltele-fonile ja pihuarvutile head liigne niiskus ja tolm.

Näited

• Töötaja võttis mobiilikogust (pool) pikemale töölähetusele kaasa mobiiltele-foni koos lisavarustusega. Teel olles avastas ta, et on kahjuks kaasa võtnudvale laadija. Kuna laadija mobiiltelefonile ei sobinud, sai aku tühjaks, mistõt-tu ta ei saanud telefoni enam kasutada.

• Mobiiltelefone ja pihuarvuteid unustatakse autosse. See ei suurenda mitteüksnes nende varastamise riski, vaid ka ohtu, et keskkond muutub seadme-tele kahjulikuks. Suvel võib päikese kätte pargitud autos temperatuur ületa-da 60 ◦C. Analoogne probleem võib tekkida ka talvel, sest siis võivad autostekkida suured miinuskraadid. Sellised ekstreemsed temperatuurid võivadkahjustada seadmete akusid ja ekraane.

• Töötajal katkes töölähetusel viibides pihuarvuti töö mitu korda, sest ta unus-tas õigel ajal varuakut kasutada. Pärast aku vahetamist ja seadme sisselü-litamist olid aga paljud konfiguratsiooniandmed kaduma läinud, sest operat-sioonisüsteem ei olnud jõudnud neid salvestada. Selle tagajärjel töötas osarakendusi, muu hulgas meili- ja internetiteenus, vigaselt.

482 / 781

G 4.43 Dokumenteerimata funktsioonid

Paljudes rakendusprogrammides on dokumenteerimata funktsioone, st funktsioo-ne, mida toote dokumentatsioonis ei kirjeldata ja mida kasutajad ei tunne. Osa-de operatsioonisüsteemide, täpsemalt rakendusprogrammide kohta on vahepealilmunud raamatuid, mis kirjeldavad raamatu koostamise hetkeks ilmsiks tulnudfunktsioone, ning need on isegi paksemad kui tootega kaasas olevad käsiraa-matud. Dokumenteerimata funktsioonid ei puuduta ilmtingimata üksnes kasulik-ke abivahendeid. Varjatud funktsioonide puhul ei saa välistada nende kahjulikkumõju. See võib olla eriti problemaatiline juhtudel, kus dokumenteerimata funkt-sioonid puudutavad toote turbemehhanisme, nt pääsuvõimaluste turvet. Selliseidfunktsioone kasutatakse sageli arendustegevuses tagaustena või rakendusprog-rammide teavitamisvõimalusena.

Näited

• Paljudest IT-süsteemidest on avastatud arendajate lisatud (ja seejärel unus-tatud) tagauksi, mis hõlbustavad toote hooldamist, kuid võimaldavad samaska triviaalse parooliga omale administraatorivolitusi hankida.

• Paljusid programme on võimalik (või ka kohustuslik) tootja kodulehel regist-reerida. Mõne programmi puhul edastatakse online -registreerimisel tootjalemuu hulgas ka ülevaade kõikidest kõvakettale salvestatud programmidest.

483 / 781

G 4.44 Novell eDirectory rike

eDirectory ja selle alamsüsteemide rikkeid võivad põhjustada riist- ja tarkvara de-fektid. Rikete tagajärjel muutuvad kataloogis hoitavad andmed ajutiselt ligipääs-matuks ja seda korraga nii eDirectory kasutajatele kui ka võimalikele netiraken-dustele, mis peavad eDirectorysse pääsema. Äärmuslikul juhul võivad tekkida kaandmekaod. Selline olukord võib pärssida tööülesannete täitmist ning juhtudel,kus eDirectory laialdased funktsioonid on organisatsiooni tööprotsessidega vägatugevalt põimunud, võivad kaasneda muu hulgas ka tootmisseisakud. Juhul kuirikkelistest süsteemiosadest on olemas töökorras replikatsioonid, on tagatud külljuurdepääs, kuid olenevalt võrgu topoloogiast võib see olla piiratud jõudlusega.

484 / 781

G 4.45 Arhiivipäringute hilinemine

Kui arhiveeritud dokumente ei õnnestu piisavalt kiiresti üles leida, võib see häiridavõi tõkestada tööprotsesse, mille täitmine oleneb suurel määral arhiivipäringulelaekuvast vastusest. Viivituste põhjused võivad olla muu hulgas järgmised:

• arhiivitarkvara vananemine;• ebasobivate indekseerimis- või otsingukriteeriumide kasutamine andmete

salvestamisel ja otsimisel;• arhiiviserveri riistvara või protsessis osaleva andmebaasiserveri ülekoor-

mus;• viivitused võrgu andmesides;• andmekandjate ja neid lugevate ajamite halb proportsionaalsus.

Viimase puhul saab eristada kahte varianti:

• Üks suur andmekandja - juhul kui arhiveerimiseks kasutatakse ainult ühteväga suurt andmekandjat, millel on vaid üks ajam, võib vastuste laekumineviibida seetõttu, et sellist tüüpi arhiiviga saab korraga töötada ainult üks ka-sutaja. Kõik ülejäänud päringud salvestatakse vahemällu ja töötatakse läbiüksteise järel.

• Palju väikseid andmekandjaid - süsteemis on suur hulk andmekandjaid, kuidainult mõned ajamid. Sellise lahenduse korral võib vastuste laekumine vii-bida seetõttu, et andmekandjaid tuleb sageli vahetada. Lisaks on väiksemamälumahuga andmekandjate puhul nende täitumise oht suurem (vt G 4.20Andmekadu andmekandja täitumise tõttu ).

Arhiivisüsteemi töös võivad tekkida viivitused ka arhiividokumentide koosta-misel, nt kui arhiveerimisprotsessi käivitamise käsk liigub läbi LAN-i ja and-meedastusele kulub tavapärasest rohkem aega.

485 / 781

G 4.46 Indeksiandmete väär sünkroniseerimine arhiveerimisel

Arhiveerimise käigus salvestatakse väga suuri andmehulki. Kõiki arhiveeritudandmeid peab olema võimalik vastuvõetava aja jooksul ükskõik millal kontrollida jaüles leida. Sellise funktsiooni kasutamise tagab arhiivisüsteem, luues salvestatudfailidest indeksi.

• Arhiivisüsteemide kasutusvõimalused on aga sageli piiratud, võimaldadesainult lihtsaid failipöördusi. Seetõttu rakendatakse kasutusmugavuse suu-rendamiseks paljudel juhtudel süsteemihierarhias kõrgemal asetsevat do-kumendihaldussüsteemi (DMS), millega saab juhtida arhiivipöördusi ja ka-sutada lisafunktsioone, nt keerulisemaid päringuid.

• DMS koostab arhiveerimise käigus andmete kohta referentsid, kontrollibnende versioone ja koostab vajaduse korral täistekstiindeksi, mis võimaldabkõiki andmekandjale salvestatud andmeid hiljem täpselt identifitseerida.

Selle tulemusel eksisteerib kaks indeksiandmebaasi (arhiivisüsteem ja DMS)ning neid mõlemaid on tarvis sünkroniseerida. Kui DMS-i salvestatud indeksiand-meid muudetakse, aga teise andmebaasi neid muudatusi ei tehta, võib tekkidaolukord, kus arhiveeritud andmeid ei õnnestu enam DMS-i viidetega siduda. Sa-ma kehtib ka andmekandjas tekkivate vigade korral.

486 / 781

G 4.47 Vananenud krüptomeetodid

Krüptosüsteemide usaldusväärsusel on otsene seos IT-süsteemide aina kasvavaarvutusvõimsuse, uute algoritmide väljatöötamise ja krüptoanalüüsi valdkonnateadusuuringute saavutustega. Kuna IT-süsteemide võimsus on pidevalt suurene-nud, võib väita, et praegu turvaliseks peetavad krüptoalgoritmid ja võtmepikkusedei pruugi tulevikus enam turvalised olla. Seega on oht, et krüptograafilisi prot-seduure ja võtmeid võidakse kompromiteerida, millega kaasnevad järgmisedtagajärjed:

• krüpteeritud andmeid võidakse volitamatult dekrüpteerida;• volitamata isikud võivad dokumentidele lisada tehniliselt kehtiva signatuuri;• autentseid, signeeritud dokumente ei ole enam võimalik võltsitutest eristada

487 / 781

G 4.48 Välisteenusepakkuja süsteemide rike

Välisteenusepakkuja IT-süsteemide rike, mis mõjutab teenuse tellijat, võib olla kasosaline või täielik. Andmetöötluses võivad tekkida ebakõlad ja vead isegi siis,kui IT-rike puudutab vaid üksikuid süsteeme või rakendusi. Lisaks tuleb arves-tada sellega, et kui teenusepakkuja IT-süsteemid ei ole piisavalt struktureeritudvõi isoleeritud, võib teenusepakkuja ühe süsteemi rike, mis puudutab ainult üh-te konkreetset tellijat, pärssida ka kõikide teiste teenuse tellijate IT-süsteemidetööd. Selline probleem võib eriti tugevalt päevakorda kerkida siis, kui teenusepak-kuja kasutab samu IT-komponente (nt hosti arvutit ja tulemüüre) korraga mitmekliendi jaoks. Sellisel juhul võib ükskõik millise kliendi üksainus andmeviga luuavälisteenusepakkuja juures olukorra, kus hosti andmete töötlemisel tuleb mitmekliendi Bach-andmete töötlemine seisma panna, kui need on kas vigaselt või hal-vasti konfigureeritud. Samasugused probleemid tekivad siis, kui teenuse tellija javälisteenusepakkuja ühendus peaks katkema.

488 / 781

G 4.49 Marsruuterite ja kommutaatorite ebaturvalised vaikesätted

Aktiivsed võrgukomponendid väljuvad tehasest sageli konfiguratsiooniga, millevaikesätted on ebaturvalised. Mõningate seadmete puhul jätavad konfiguratsioonikajastavad süsteemikäsud osa parameetreid ka kuvamata.

Probleeme põhjustavad sageli järgmised aspektid:

• Operatsioonisüsteem - aktiivsed võrgukomponendid on tarneseisundis sa-geli vananenud operatsioonisüsteemiga.

• Hostinimi - tehases seadistatud hostinimed reedavad sageli seadme tootja.• Teenused - tehasest väljuvates seadmetes on standardne konfiguratsioon,

mis tähendab, et väga paljud teenused on juba sisse lülitatud. Selliste tee-nuste hulka võivad kuuluda nt HTTP, Telnet, FINGER.

• Kasutajakontod ja paroolid - tehases sisse seatud kasutajakontodel on do-kumenteeritud ning seega avalikud standardsed nimed ja paroolid. Interne-tis leidub lehekülgi, kust saab alla laadida erinevate tootjate standardsetekontode ja paroolide loetelusid.

• SNMP ebaturvalised versioonid - SNMPv1 ja SNMPv2 puhul kasutatak-se autentimiseks ainult krüpteerimata Community Stringi. Peaaegu kõikideltootjatel on standardseadistuses read-Community-String seadistatud väär-tusele public, samal ajal kui write-Community-String on seadistatud väärtu-sele private. Olukorras, kus kasutatakse SNMP ebaturvalisi versioone ehkvaikesätteid ja haldamise jaoks ei ole sisse seatud eraldi haldamisvõrku,saab ründaja väga kergesti kontrolli võrgukomponentide üle enda kätte haa-rata.

• Marsruutimisprotokollid - paljude firmade marsruuterite ja kommutaatoritestandardseadistuses on marsruutimisprotokollid sisse lülitatud.

• Sisselogimise ribateade - seadmete standardsed sisselogimise ribateatedpaljastavad sageli nii seadme mudeliinfo kui ka selle versiooninumbri. Neidandmeid saab ära kasutada teatud liiki exploit ’ide jaoks ja need lihtsustavadrünnete toimepanekut.

489 / 781

G 4.50 z/OS-operatsioonisüsteemi ülekoormus

Ka neil juhtudel, kus z/OS-operatsioonisüsteemi Workload Manageri hallatakseselliselt, et süsteemi ülekoormamise tõenäosus peaks olema väike, on siiskimitmeid ohte, mis võivad muu hulgas tuua kaasa ülekoormuse. Ülekoormus eipruugi ilmtingimata tähendada seda, et kogu süsteem jääb seisma. Võib juhtuda,et kaob ka ainult mõne üksiku süsteemiressursi käideldavus, kuigi süsteem iseveel reageerib. Järgnevalt kirjeldatavad olukorrad on tüüpilised ohud, kuid sedaliiki ohte on veel teisigi:

• Spool Full - Job Entry Subsystemi (JESx) spuulimisfail (spool file) on loodudselliselt, et sinna mahub ainult kindel kogus andmeid. Seetõttu võib näiteksprogrammi töö viivituse tagajärjel juhtuda, et JESx-i spuulimisfaili kirjutatak-se lubatust rohkem andmeid. Nii võib spuulimisfail täis saada (Spool Full)ja uusi pakktöid ei saa enam käivitada. Ilmselt töötavad veel vaid mõnedonline- protsessid, eeldusel et nende protsesside väljundfailid (output files)ei ole kirjutatud spuulimisfaili. Kuna paljud JES-käsud töötavad ainult siis,kui spuulimisfail on töökorras, võib spuulimisfaili täitumine tähendada seda,et probleemi lahendamiseks tuleb võtta paljusid (ja palju aega nõudvaid)recovery -meetmeid.

• Süsteemi täielik seiskumine - USS-Subsystemi (Unix System Services)Unix-protsessid taasesitatakse z/OS-is aadressiruumidena. Kui süsteemil eiole enam piisavalt põhimälu, tuleb need aadressiruumid Auxiliary StorageManageri (ASM) utiliidiga ümber tõsta saalimisketastele. Kui ka nendest eipiisa, ei saa enam ühtki uut aadressiruumi juurde luua. Olukorras, kus Unix-protsesside arv ei ole USS-is piiratud ja saalimisketastel ei ole piisavalt ruu-mi, võivad liiga paljude Unix-protsesside käivitumisel tekkida turbeproblee-mid. Põhjuseks võib olla näiteks mõni rekursiivne funktsioon, mis käivitaboma töös aina uusi Unix-protsesse. Selle tagajärjel võib süsteem peaae-gu seiskuda. Seda probleemi esineb rohkem versioonis OS/390 (31-bitineadresseerimine), sest uuemas, z/OS-versioonis on adresseerimisfunktsioonvõimsam (64-bitine adresseerimine). z/OS-süsteemi võimsama adressee-rimisfunktsiooni tarbeks saab süsteemile lisada suurema põhimälu. Tänusellele tekib vajadus saalimisketaste järele palju hiljem. Kõik käsud ja prog-rammiosad, mis käivitavad oma töös pidevalt uusi protsesse, võivad süstee-mi ka kiiresti üle koormata. Viimase meetmena tuleb sellistel juhtudel kõnealla IPL (Initial Program Load).

• Süsteemi ülekoormamine liiga suure hulga JESx-i käivitajate tõttu - käivitaja-te (initiator ) sisselülitamisega juhib administraator pakktööde andmetöötlustja määrab kindlaks nende prioriteedid. Kui käivitajaid on sisse lülitatud liigavähe, võib pakktööde läbitöötamises tekkida ummik. Kui käivitajaid on sisselülitatud liiga palju, võib süsteemi ressurssides tekkida ülekoormus. Kui käi-vitatakse liiga palju pakktöid, on oht, et Page Datasetidest ei piisa. Sellisesolukorras peab töötaja sekkuma süsteemi juhtimisse käsitsi. Olukorras, kusJob Entry Subsystemi jaoks on defineeritud väga suur arv käivitajaid (initia-tors), kuid neid ei lülitata sisse kohe, võib juhtuda, et kui JES2-käsu jaokssisestatakse parameeter $SI (mitte $SI1-10), lülituvad korraga sisse kõik

490 / 781

käivitajad. Selle tagajärjel võidakse käivitada planeeritust rohkem pakktöid.Selline olukord ei põhjusta küll enamasti süsteemi seiskumist, kuid reakt-siooniajad võivad tunduvalt pikeneda.

• Viivitused lindiajami töös - juhul kui korraga laekub rohkem varundamissoo-ve, kui eksisteerib lindiajameid, võib varukoopiate kirjutamine magnetlinti-dele viibida. Andmevarunduse töökäsud lülitatakse ooteseisundisse (wait)ja need jäävad ootama lindiajami vabanemist.

Näited

• Liiga palju pakktöid - z/OS-is lülitati sisse liiga suur hulk käivitajaid (initia-tors). Selle tagajärjel juhtus nii, et korraga käivitati liiga suur hulk pakktöid,mis koormasid väga tugevalt süsteemi CPU-d. Kuigi süsteem suutis koor-musega toime tulla, hakkasid Time Sharing Optioni (TSO) reaktsiooniajadsiiski venima.

• USS-i liiga suur süsteemi väärtus - z/OS-operatsioonisüsteemi USS-i alus-definitsioonis anti parameetritele MAXPROCSYS ja MAXFILEPROC liigasuured väärtused. Kui töötaja otsustas Unix System Servicesi keskkonnasproovida funktsioonide rekursiivset käivitamist, millega ta ühel Unixi koolitu-sel esimest korda kokku puutus, jäi süsteem juba varsti abimälu täitumisetõttu seisma (Auxiliary Storage Shortage).

491 / 781

G 4.51 Pihuarvutite puudulikud turbemehhanismid

Kõikide kaasaskantavate IT-seadmete sideühendusi saab piisavalt hästi kaitsta,kui nende ühendamiseks LAN-iga kasutatakse VPN-i. Kui IT-süsteem ei ole vo-litamata juurdepääsu eest piisavalt kaitstud, tekib oht, et võõrad hakkavad sedakasutama n-ö lüüsina (gateway ), et selle kaudu mõnda sisevõrku pääseda. Mo-biiltelefonid ja pihuarvutid on tüüpilised kaasaskantavad seadmed, mille kasutajaidon väga raske tuvastada. Seetõttu saab igaüks, kellel on ligipääs kaasaskantavaleIT-seadmele, pääseda ligi kõikidele seadmeomaniku andmetele ja programmidele,olgu need siis konfidentsiaalsed töö- või eraandmed.

Muud kaasaskantavate seadmete, nt pihuarvutite, tüüpilised kitsaskohad onjärgmised:

• juurdepääsu- ja autentimismehhanismide ebapiisav turve;• andmete vähesed krüpteerimisvõimalused või krüpteerimise puudumine;• ebaturvaline sünkroniseerimine;• ebapiisavad logimisvõimalused või logi puudumine.

Müügil on mitmesuguseid pihuarvutite mudeleid koos väga erinevate operat-sioonisüsteemidega. Pihuarvutite operatsioonisüsteemide turbeomadused variee-ruvad, kuid praegu ei paku neist mitte ükski piisavat kaitset manipulatsioonide vas-tu.

Näide

• Seadmeid, millel on operatsioonisüsteem Palm OS 3.5.2, ja kõiki vara-semate versioonidega seadmeid saab teatud klahvikombinatsiooniga kasConsole-Mode’i või Debug-Mode’i töörežiimi ümber lülitada. Mõlemad töö-režiimid võimaldavad otsest ligipääsu süsteemiandmetele, minnes möödakõikidest turbemehhanismidest. Sealjuures on täiesti ükskõik, kas pihuar-vuti juurdepääs on kaitstud parooliga või mitte: mõlemat režiimi saab sisselülitada nõnda, et juurdepääsu turbemeetmed seda ei takista.

492 / 781

G 4.52 Kaasaskantava seadme andmekadu

Kaasaskantavaid seadmeid ja andmekandjaid ähvardab statsionaarsete seadme-tega võrreldes palju rohkem ohte, mis võivad lõppeda andmekaoga. Näiteks võibandmekadu tekkida varguse või seadme kaotamise tagajärjel, kuid sagedasedpõhjused on ka tehnilised probleemid ja elektri kõikumine. Kaasaskantavad sead-med ja andmekandjad langevad väga sageli varguste ohvriks, sest neid saab pii-ramatult edasi kasutada, kuid võimalikud on ka ettekavatsetud vargused, millepeamine eesmärk on hankida andmeid. Kõige sagedasem kaasaskantavate sead-metega seotud andmekadude põhjus on siiski seadme kaotamine. Küsitlused onnäidanud, et iga teine vastaja on kaotanud USB-mälupulga või mälukaardi ningon esinenud juhtumeid, kus kaasaskantav seade on kuhugi laokile jäänud, mahaununenud või ka kaduma läinud. Selle tagajärjel võivad tundlikud andmed sattu-da valedesse kätesse, välja arvatud juhul, kui need on täies mahus krüpteeritud.Kaasaskantavad IT-süsteemid ei tööta arusaadavatel põhjustel kogu aeg online-režiimis. Seetõttu ei ole nende süsteemide andmed alati kõige värskemad. Seepuudutab nii kalendermärkmike sissekandeid kui ka üldist infot, kuid olenevalt olu-korrast võib see mõjutada ka turvet. Ajal, mil seade ei ole ühenduses organisat-siooni teiste IT-süsteemide ja infoallikatega, ei saa hankida andmeid uute turvaau-kude kohta, uuendada viirusetõrjetarkvara jne.

Näited

• Tuliuus pihuarvuti võib kogemata taskust välja libiseda ja vastu kiviparket-ti katki kukkuda. Inimene võib anda käsu „Reks! Ajaleht!”, aga Reks tulebhoopis, mobiil hambus. Mõlemal olukorral on omad tagajärjed. Kaasaskan-tavates seadmetes tekkivate andmekadude ja seadme või seadmeosadedefektide väga sage tekkepõhjus on transpordikahjustus. Kaasaskantavatesseadmetes tekib täielik andmekadu väga sageli tolmu, mustuse, niiskuse jakukkumise ehk kokkuvõtvalt käsitsemisvigade tõttu.

• Kui kasutaja on unustanud seadme akut laadida, võib andmete hankiminekaasaskantavast seadmest olla mõne aja tõkestatud. Samas võivad and-med aku tühjenemise tagajärjel ka täielikult hävida, kui peale tavaaku ontühi ka varundamisfunktsiooni aku, sest sellisel juhul lähevad kõik sünkroni-seerimata andmed kaduma.

• Andmekaod võivad esineda ka kaasaskantavate andmekandjate ja seadme-te sünkroniseerimisel teiste IT-seadmetega. Seetõttu peaks sünkroniseeri-mise puhul kõikide kasutusjuhtude jaoks olema kindlaks määratud reeglid,kuidas reageerida võimalikele konfliktidele. Näiteks kui laua- ja pihuarvutison ühesuguste nimedega failid, tuleb määrata, kas lõppversiooni võetakseilma küsimata üle laua- või pihuarvuti andmed või kas enne seda toimingutkuvatakse asjakohane süsteemiteade. Sellised funktsioonid konfigureeritak-se sageli ainult üks kord mõne dokkimisjaama esmakordsel kasutuselevõtulja seejärel need unustatakse. Kui sellise protsessi käigus muudetakse and-meid mõnes teises järjekorras, kui alguses planeeriti, võib juhtuda, et olu-lised andmed lähevad kaduma. Sellised ebameeldivad kõrvalnähud võivadtekkida ka olukorras, kus mitu kasutajat sünkroniseerib oma pihuarvuti üheja sama dokkimisjaamaga, andmata endale aru, et võimalikud sama nimegafailid kirjutatakse üle.

See konfigureeriti sageli üks kord dokkimisjaama kasutuselevõtul ja unusta-ti seejärel. Kui siis aga muudetakse andmeid teises järjekorras kui seda algselt

493 / 781

mõeldi, läheb oluline teave kiiresti kaduma.See ebameeldiv kõrvalmõju võib esineda ka siis, kui paljud kasutajad sünkroni-seerivad oma mobiilsed seadmed sama seadmega, mõtlemata sellele, et samani-melised andmed võidakse üle kirjutada.

494 / 781

G 4.53 Salvestite ebaturvalised vaikesätted

Salvestid väljuvad tootjate tehastest sageli konfiguratsiooniga, mille vaikesättedon ebaturvalised. Probleeme põhjustavad sageli järgmised aspektid:

• Operatsioonisüsteem - salvestid on tarneseisundis sageli vananenud ope-ratsioonisüsteemiga. Tooted ei vasta praegu kehtivatele turbestandarditele.

• Hostinimi - eelseadistatud hostinimed reedavad sageli seadme tootja. Seevõimaldab sihipäraselt rünnata konkreetse tootja seadmete kohta avaldatudturvaauke.

• Teenused - tehasest väljuvates seadmetes on standardne konfiguratsioon,mis tähendab, et väga paljud teenused on juba sisse lülitatud. Selliste tee-nuste hulka võivad kuuluda HTTP, Telnet, FINGER ja muud sellised teenu-sed, mis peaksid salvestite turbenõuete tõttu olema välja lülitatud.

• Kasutajakontod ja paroolid - tootja sisse seatud kasutajakontodel on doku-menteeritud ning seega avalikud standardsed nimed ja paroolid. Internetisleidub lehekülgi, kust saab alla laadida erinevate tootjate standardsete kon-tode ja paroolide loetelusid, st volitamata isikutel on üpriski kerge süsteemirünnata.

• SNMP ebaturvalised versioonid - SNMPv1 ja SNMPv2 puhul kasutatak-se autentimiseks ainult krüpteerimata Community Stringi. Peaaegu kõikideltootjatel on standardseadistuses read-Community-String seadistatud väär-tusele public, samal ajal kui write-Community-String on seadistatud väärtu-sele private . Olukorras, kus kasutatakse SNMP ebaturvalisi versioone ehkvaikesätteid ja haldamise jaoks ei ole sisse seatud eraldi haldamisvõrku,saab ründaja väga kergesti kontrolli võrgukomponentide üle enda kätte haa-rata.

495 / 781

G 4.54 Turbe kadu krüptofailisüsteemi (EFS) kasutamisel

Windows Server 2003/XP krüptofailisüsteem (Encrypting File System, EFS) või-maldab rakenduskihis töötada krüpteeritud failidega ning kasutajad saavad sedahõlpsalt käsitseda. See sobib eriti hästi üksikkasutajatele ja avalike klientsüsteemi-dena töötavatele arvutitele, mida kasutatakse teatud aeg väljaspool kaitstud IT-keskkonda. Peaeesmärk on tagada eraldiseisvate lokaalsete andmete konfident-siaalsus.

Peatükis G 2.19 Krüpteerimise halb korraldus loetletud ohud võivad vägaerineval moel viia selleni, et krüpteerimiseks ja dekrüpteerimiseks kasutatavadEFS-i sertifikaadid muutuvad kas avalikuks või lähevad kaduma. Üksiksüsteemigavõrreldes on selle tagajärjed failiserverile muidugi laastavad, sest korraga võibkaduda väga suurte andmehulkade konfidentsiaalsus või käideldavus. Serveripuhul on lisaks olulised ka peatükis G 2.116 Andmekadu andmete kopeerimiselja teisaldamisel alates Windowsi Server 2003-st kirjeldatud ohud, mis võivadsamuti viia suurte andmekadudeni või suurte andmehulkade kahjustamiseni. Kuiadministraatorid ei ole asjakohaste kõrvalmõjude ja keeruliste nõuetega ohtudestpiisavalt teadlikud, võib juhtuda, et EFS lülitatakse küll sisse, kuid sellest loodetudturvet tegelikult ei saavutata. Kui petlikule oletusele turbe toimimise kohta lisandubveel mõningane kasutajate ja administraatorite hooletus, on kriitilised andmedisegi veel suuremas ohus, kui nad olid enne EFS-i sisselülitamist. Järgnevaltselgitatakse lähemalt mõningaid alamvaldkondi:

• EFS-iga ei ole võimalik tagada, et remote -serverites hoitavad andmed jää-vad administraatoritele konfidentsiaalseks. Administraator pääseb ükskõikmillal krüpteeritud andmetele ligi, sest tal on administraatorivolitused ja voli-tustega on omakorda integreeritud taastamismehhanismid.

• EFS on kasutaja ja rakenduste jaoks täiesti nähtav. Seetõttu on igal protses-sil ja rakendusel, mida kasutaja volitustega käivitatakse, juurdepääs krüp-teeritud failidele. Seega ei kaitse EFS süsteemi ei pahavara ega ka Troojahobuste, samuti mitte arvutiviiruste vastu. EFS-i kasutamine ei asenda mittemingil moel NTFS-i pääsuõiguste (Access Control Lists, ACL) hoolikat hal-damist. Kui kasutajatel või rakendustel on piisavad NTFS-volitused, võivadkasutajad EFS-i kaitsest mööda minna ja krüpteeritud failid ära kustutada.

• Kasutamise läbipaistvus võib võtta lausa sellise kuju, et kasutajad ei pruugienam aru saada, kas andmed on krüpteeritud või dekrüpteeritud. Krüptee-ritud andmetest võib reaalselt rääkida ainult selliste andmekandjate puhul,mis on NTFS-vormindusega. Kui andmed kopeeritakse või teisaldatakse (move ) mõnele teistsuguse vorminguga andmekandjale, salvestatakse needkrüpteerimata kujul.

• EFS-i sertifikaatide puuduv kontroll - EFS nõuab defineeritud tsentraalsetvõtmehaldust. Kui PKI-d (Public Key Infrastructure) ei kasutata, rakenda-takse selle asemel lokaalse arvuti (klientsüsteemi või serveri) enda allkir-jastatud sertifikaate. Seetõttu kaasneb EFS-iga küllaltki suur oht, et võtmekaotamisel kaob ka igasugune võimalus krüpteeritud andmetele ligi pääse-da.

• Kui klientsüsteem krüpteerib oma andmed EFS-iga serveris, mis on mõne

496 / 781

domeeni liige, peab see server klientsüsteemi kasutaja nimel endale taotle-ma EFS-i sertifikaadi. See on võimalik vaid juhul, kui serveri domeenikon-tole on antud lisavolitused. Nii antakse serveriobjektile domeeni piires de-legeerimisvolitused. Nimetatud delegeerimist ja usaldussuhteid saab luuaKerberose protokolli kasutuselevõtuga, kuid tuleb arvestada, et selline la-hendus nõrgendab Kerberose keskkonna turvet. Kui usaldussuhetes töötavserver kompromiteeritakse, saab ründaja manipuleerida kasutajaandmeid.Kui usaldusliku suhte konfiguratsioon ei ole korrektselt seadistatud ning kuikasutusvõimalused ei piirdu EFS-i jaoks vajalike teenustega, tekib ründa-jatel võimalus manipuleerida serveri teisi valdkondi või ka domeeni. Lisaksmuudab lahendus, mille korral koostatakse EFS-i sertifikaadid mõnes re-mote -serveris või Active Directorys, võtmematerjali haldamise ja kaitsmisepalju keerulisemaks.

• EFS-API kasutamine - juhul kui mõni rakendus peab kasutama krüpteeritudandmeid, mis on krüpteeritud mitme kasutaja jaoks, peab see rakendus toe-tama Windows Server 2003 / Windows XP asjakohast API-d (ApplicationProgramming Interface). Muidu eemaldatakse failidest lisakasutajate võt-med. Sellisel juhul pääseb failidele ligi veel vaid nende koostaja. MicrosoftOffice XP ja uuemad versioonid kasutavad õiget API-d. Probleemid võivadtekkida siis, kui krüpteeritud andmete töötlemiseks kasutatakse mõne teisetootja varundamis-, arhiveerimis- või sünkroniseerimisutiliite.

497 / 781

G 4.55 Andmekadu alates Windows Server 2003 / XP paroolitaastamisel

Windows Server 2003 kaitseb lokaalsete kasutajakontode privaatvõtmeid ad-ministraatorite eest samamoodi nagu Windows XP. Lokaalne kasutajakonto tä-hendab seda, et konto kasutajanimi ja parool on salvestatud arvutisse ning neidsaab arvutis kasutada. Windowsi varasemates versioonides sai administraator lo-kaalse kasutajakonto paroole taastada ning seejärel kasutaja privaatvõtit kasuta-da ja eksportida. Alates versioonidest Windows Server 2003 / XP kustutab krüpto-API kõik sellise kasutajakonto jaoks salvestatud privaatvõtmed kohe pärast seda,kui administraator on kasutajatunnuse taastanud. Selline lahendus võimaldab üli-konfidentsiaalseid andmeid administraatori eest varjata. Seevastu tuleb arvestadasellega, et kui administraator midagi taastab, lähevad kõik privaatvõtmed kadu-ma, välja arvatud juhul, kui neist on tehtud varukoopiad. Meilides ja failides hoitudkrüpteeritud andmed on pärast sellist tegevust kadunud.

Kui taastamisagent on seotud mõne lokaalse kasutajakontoga, võib taastamineWindows Server 2003 süsteemides viia EFS-i (Encrypting File System) taasta-misagendi privaatvõtme kaotamiseni. Sellisel juhul on tegu konfigureeritud taas-tamisagendiga. Kuna aga selle võtmele ei ole võimalik ligi pääseda, on tegemistsama olukorraga mis konfigureerimata taastamisagendi puhul. Sellisel juhul lähe-vad kaotsi kõikide nende kasutajate andmed, kes ei saa enam oma isiklikku võtitkasutada.

498 / 781

G 4.56 IP-kõne arhitektuuri rike

VoIP-d saab kasutada liinipõhise telefonikeskjaama alternatiivina. VoIP-ga saabasendada kõiki kõnesid, st nii väljuvaid, sissetulevaid kui ka sisevõrgus tehtavaidkõnesid. Kõnelahenduseks saab ära kasutada olemasolevat taristut, kuid võibkasutada ka eraldi käitatavat andmesidevõrku.

• IP-võrk koosneb aktiivsetest ja passiivsetest võrgukomponentidest. Passiiv-se võrgutehnoloogia all peetakse esmajoones silmas süstemaatilisi kaab-liliine. Seevastu aktiivsete võrgukomponentide hulka kuuluvad nt jaoturid,sillad, kommutaatorid ja marsruuterid. Olukorras, kus üks või mitu aktiivsetvõrgukomponenti lakkavad töötamast, võib kogu IT-võrgu töö täielikult seis-kuda. Kui VoIP arhitektuur on seotud selle võrguga, kus toimus rike, ei saaka IP-kõnet kasutada.

• Kui ründajal on LAN-ile otsene juurdepääs, nt kommutaatoriühenduse võitraadita võrgu kaudu, võib ta olenevalt olukorrast katkestada loodud ühen-dusi. Näitena võib tuua protokolliga SIP (Session Initiation Protocol) võiH.323-ga algatatud TCP-ühendusi, mille lõpetamiseks piisab RST Flagigavarustatud IP-paketist.

• Ründaja võib andmevõrgus tekitada ülekoormuse, rakendades üleujutamist(flooding). See oht ei puuduta mitte üksnes VoIP arhitektuuri. Sellisel moelon võimalik häirida peaaegu kõiki mõeldavaid andmevooge.

• VoIP arhitektuuri kasutamine eeldab enamasti ka selliste komponentidekasutuselevõttu, mis vahendavad telefonikõnesid. Näiteks tuleb kasutadaH.323 Gatekeepereid ja SIP-Registrare. Sellist VoIP vahevara saab käitadakas eraldi IT-süsteemides või süsteemist eraldatud riistvarakomponentides.Kui sellised komponendid integreeritakse IT-võrguga, tekivad uued ohud, mi-da aga ei esine näiteks kaablitaristut kasutavate telefonikeskjaamade puhul.Näiteks on VoIP komponente võimalik IP-võrgu kaudu kompromiteerida uss-viirustega, mille tagajärjel nende töö seiskub.

• Enamasti tuleb VoIP kasutamiseks end esmalt mõnda asjakohasesse süs-teemi, nt kas SIP Registrari või H.323 Gatekeeperisse, sisse logida. Kui polevõetud piisavaid turbemeetmeid, võib ründaja kasutada võltsitud andmepa-kette, et kasutajaid välja logida (deregistration). Selle tagajärjel muutub ka-sutaja telefonitsi kättesaamatuks.

• Vahenduselemendid on ründajatele küllaltki atraktiivsed sihtmärgid, sesteduka ründe puhul on võimalik korraga halvata üpris paljude kasutajate he-listamisvõimalus. Kui ründajal on näiteks mõnele vahenduselemendile füü-siline juurdepääs, saab ta selle tsentraalset arhitektuuri manipuleerida jakahjustada või see lihtsalt välja lülitada. Samas võivad suurt kahju enda-ga kaasa tuua ka vahenduselementide vastu suunatud loogilised ründed, ntvõrguühenduste nullimine või oluliste süsteemifailide kustutamine.

• Suuremas ohus on muu hulgas ka VoIP lõppseadmed. VoIP seadmeid ohus-tavad samasugused ründed nagu ükskõik milliseid teisi võrguühenduses

499 / 781

olevaid IT-süsteeme ning nende jaoks on välja töötatud küllaltki suur arv rün-damisutiliite. Selliseid programme suudavad väga sageli kasutada ka väh-ese kogemusega ründajad. Mõningate lõppseadmete puhul on võimalik väl-ja selgitada nende tüübinimi, kui analüüsida erinevaid võrguparameetreid,nt vastuseid mõningatele IP-pakettidele. Saadud andmeid on võimalik ärakasutada sihipärasteks rünneteks.

• Nii VoIP seadmetes kui ka vahevaras leidub küllaltki palju tarkvara. Seetõttuon oht, et ründajad võivad hakata ära kasutama selle tarkvara turvaauke.VoIP seadmed võivad langeda pahavara, nt viiruste, sh ussviiruste ohvriks.

• Süsteemi käideldavust võivad muu hulgas pärssida ettenägematud as-jaolud. Liine ühendavad telefonivõrgud saavad oma elektritoite sageli otsetelefonivõrgust. Seetõttu saab elektrikatkestuse puhul, kui liine ühendavattelefonikeskjaama varustatakse UPS-iga, telefonivõrgu lõppseadmeid edasikasutada. Seevastu VoIP lõppseadmete elektrivarustus ei tule enamasti mit-te IT-võrgust, vaid eraldi elektrivõrgust. Seetõttu ei saa elektrikatkestuse kor-ral VoIP lõppseadmeid edasi kasutada isegi siis, kui telefonikeskjaama va-rustab elektriga UPS. Samuti ei saa IP-kõnet kasutada siis, kui võrk lakkabtöötamast mõne aktiivse võrgukomponendi rikke tõttu.

•

500 / 781

G 4.57 Häired IP-kõne kasutamisel üle VPNi

VoIP-ga helistamisel saadetakse läbi andmevõrgu nii signaliseerimisandmed kuika meediavoog. Neid andmeid transportivate protokollide jaoks on välja töötatudturbemehhanismid, kuid kõikide tootjate seadmed pole võimelised neid kasutama.Selles, millist kõneinfot kaitsvat protseduuri hakatakse kasutama, lepivad enamas-ti omavahel kokku lõppseadmed. Näiteks on võimalik kasutada Secure RealtimeTransport Protocoli (SRTP).

Olukorras, kus kõik seadmed krüpteeritud protokollide kasutamist ei toeta ja kõ-neinfo edastatakse läbi ebaturvaliste võrkude, saavad turvet pakkuda VPN-id (Vir-tual Private Networks). VPN-e kasutatakse sageli kas ühe töötaja või ka tervetevõrgukoosluste ühendamiseks avaliku võrguga. Tööpõhimõte on VPN-il selline, etüks VPN-i lüüs (gateway) krüpteerib esmalt kas väljavalitud või kõik andmepake-tid ja saadab need seejärel vastavalt marsruutimistabelile mõnda teise, kaugemalasuvasse VPN-i lüüsi. See dekrüpteerib andmepaketi ja edastab selle adressaa-dile. Sellise lahendusega kaasneb muu hulgas see eelis, et nii kõne alustaja kuika vastuvõtja saavad olla ühes ja samas alamvõrgus, kuigi nad asuvad üksteisesttegelikult võib-olla sadade kilomeetrite kaugusel.

VPN-idega saab turvata nii VoIP signaliseerimis- ja meediavooge kui ka muudinfot, nt meile. Mõningatel riistvaratelefonidel (hardphones) on ka otsene VPN-itugi. Kui selliste seadmete puhul kasutatakse mõnda krüpteeritud meediatrans-pordiprotokolli, nt SRTP-d, piisab isegi sellest, kui VPN-iga kaitstakse ainultsignaliseerimise andmevoogu.

Sellele vaatamata tekitab VPN-ide kasutamine koos VoIP-ga väga sageli prob-leeme.

• Võrkudes, kus VoIP andmete kõrval edastatakse ka veel teisi andmeid,eelistatakse lahendust, kus marsruuterid ja kommutaatorid suunavad en-dast VoIP teateid läbi eelisjärjekorras. Selline lahendus peaks aitama välti-da kvaliteediprobleeme, nt katkestusi ja värinat (jitter). Kuigi IPv4 puhul onIP-päises ette nähtud eraldi andmeväli (type of service), kasutatakse se-da praktikas väga harva. Selle asemel töötavad marsruuterid põhimõttel,et pakettide prioriteedid määratakse kindlaks nende sisu põhjal. Siinkohalunustatakse, et selline lahendus ei tööta, kui sisu on krüpteeritud. Selle ta-gajärjel võivad VPN-is suure võrgukoormuse korral tekkida VoIP andmeteedastamisel tõrked, mis avalduvad teenuse kvaliteediprobleemidena.

• Probleeme võib juurde luua ka olukord, kus kasutatakse funktsiooni HidingNAT (Network Address Translation või Masquerading). Erinevalt staatilisestNAT-st ei kasutata mitte lahendust, kus iga sisemise IP-aadressiga seos-tatakse ainult üks avalik IP-aadress, vaid luuakse olukord, kus mitu sise-mist aadressi saavad paralleelselt kasutada üht välist IP-aadressi. Selliselahenduse jaoks peab NAT lüüs muutma peale sisemiste IP-aadresside kaIP-pakettide pordinumbreid. Nimetatud muudatused viivad selleni, et VPN-ilüüsi koostatud kontrollsummad lähevad uute pakettidega vastuollu. Kui ko-gu IP-side krüpteeritakse, võivad tekkida probleemid.

• VoIP teenust edastavad andmepaketid on enamasti väga väiksed. Kui nen-de edastamisel kasutatakse lahendust, mis ootab, et esmalt täituks teatud

501 / 781

arv baite, võib nende andmete edastamises tekkida liiga pikk paus. Seetõt-tu on IP-pakettide reaalne koormus umbes 10–40 baiti. Olukorras, kus IP-pakette kaitstakse VPN-iga, lisanduvad koormusele VPN-i päised. Väikse-mahuliste IP-pakettide puhul tähendab see seda, et lisanduvate VPN-i and-mete tõttu pikeneb märkimisväärselt andmetöötlusele kuluv aeg ( overhead). Seega tuleb arvestada, et pärast VPN-turbe sisselülitamist võivad VoIPandmete mahud kõvasti kasvada. Selle tagajärjel võib LAN-is või WAN-istekkida ülekoormus.

• Süsteemiressursse tarbivad ka andmeid krüpteerivad ja dekrüpteerivadprotsessid. Kui süsteem, mis andmeid krüpteerib või dekrüpteerib, ei ole pii-savalt dimensioneeritud, võib see pärssida andmeedastuse kiirust. Sellisteviivituste tõttu võib kõne katkeda ja tekkida ka muud kvaliteediprobleemid.

• Paljud VPN-i krüpteerimisarhitektuurid kasutavad kas X.509 sertifikaate võiPre-Shared-Secret-sõnesid. Kõige suuremad ühilduvusprobleemid esine-vad sertifikaate kasutavate toodete puhul, sest paljud tootjad kasutavad isik-likke lahendusi. Olukorras, kus mõne välise partneriga on tarvis luua VoIP-ühendus, võib tekkida probleem, et nendega ei saa kas üldse helistada võiei saa kõnet krüpteerida.

502 / 781

G 4.58 IP-kõne lõppseadmete puudused

VoIP lõppseadmeid on kahte tüüpi: riistvaratelefonid (hardphones) ja tarkvara-telefonid (softphones). Riistvaratelefonid on enamasti seadmetootja arendatudoperatsioonisüsteemiga töötavad eraldi helistamisseadmed, mis ühendatakseotse IP-võrguga. Mõningad riistvaratelefonid laadivad kõige värskema konfi-guratsiooni alla TFTP protokolliga. Tarkvaratelefonid on arvutitesse installitudrakendusprogrammid, mis on samade funktsioonidega nagu riistvaratelefonid.Ühenduse loomiseks IP-võrguga kasutavad tarkvaratelefonid arvuti võrguliidest,jagades seda kõikide teiste arvutisse installitud rakendustega.

Kõik VoIP lõppseadmed sisaldavad funktsioone, mida on võimalik pahavaragarünnata. Rünnetega võidakse funktsioonide kasutamist pärssida kas ainult osali-selt või ka täielikult, st ründaja võib seadme täies mahus enda kontrolli alla võtta.Ebapiisavate turbemeetmete korral on võimalik, et lõppseadmed hakkavad levita-ma pahavara, nt Trooja hobuseid. Viimaseid saab VoIP tehnoloogia puhul kasu-tada näiteks selleks, et edastada ründajale mõne sides osaleva isiku privaatseidandmeid või ka telefonikõnet. Pahavara võidakse kasutada ka funktsioonide käivi-tamiseks kasutaja teadmata, telefonikõnede kohta andmete kogumiseks ja telefo-ninumbrite hankimiseks kasutaja isiklikust telefoniraamatust.

• Kõne alustamisel kasutab süsteem helistamiseks loodud konfiguratsiooni javalib kasutaja soovitud telefoninumbri. Olukorras, kus seadme konfigurat-siooni või püsivara on manipuleeritud, võivad telefoninumbri valimisel tekki-da tõrked ning kõne võidakse isegi suunata läbi ründaja taristu. Sellisel ju-hul võib ründajal õnnestuda kõnet ka pealt kuulata. Kui kasutaja oma kõnelõpetab, võib pahavaraga nakatunud süsteem teeselda protsessi katkemistja kõnet taustsüsteemina edasi töös hoida. Selliseid ühendusi saab raken-dada kasutaja pealtkuulamiseks. Pahavaraga nakatunud süsteemides võibesineda ka olukordi, kus kasutaja ei saa talle mõeldud kõnesid kätte, sestsüsteem surub need alla ega kuva neid. Selle tagajärjel muutub kasutajatelefonitsi kättesaamatuks.

• Teine potentsiaalne ründemeetod seisneb selles, et pahavara lülitab kasu-taja jaoks märkamatult sisse VoIP lõppseadme mikrofoni, et ruumis toimu-vaid jutuajamisi pealt kuulata ja salvestada ning need ründajale edastada.Sellise pealtkuulamist võimaldava pahavara programmeerimine ei võta rün-dajal eriti palju aega, sest vajaminevad VoIP funktsioonid (koodekid ja VoIP-protokollid) on lõppseadmetes juba olemas. See, mil määral võiksid loetle-tud ohud lõppseadmeid ka reaalselt tabada, oleneb erinevatest faktoritest,nt operatsioonisüsteemi seadistustest, ressursside jagamisest erinevate ra-kenduste vahel (nt tarkvaratelefonide puhul) ja võetud turbemeetmetest.

Siinkohal võib üldistada, et tarkvaratelefonid on rünnetele vastuvõtlikumad kuiriistvaratelefonid, sest tarkvaratelefonid kasutavad üldlevinud operatsioonisüstee-me ja rakendavad oma tööks vajalikke ressursse paralleelselt koos teiste instal-litud rakendustega, mis võivad sisaldada turvaauke. Seevastu riistvaratelefonidelon oma võrguliides ja need kasutavad seadmetootja operatsioonisüsteeme, milleseadistused on seadme funktsioonidega paremini kooskõlas. Seetõttu ohustavad

503 / 781

riistvaratelefone enamasti ainult sellise pahavara ründed, mis on välja töötatudspetsiaalselt rünnatava operatsioonisüsteemi halvamiseks.

504 / 781

G 4.59 IP-kõne kasutuskõlbmatus NAT tõttu

Internetikeskkonnas saab arvutit konkreetselt adresseerida selle IP-aadressipõhjal. Praegu laialdaselt kasutatava internetiprotokolli versioonis nr 4(IPv4) koosneb IP-aadress neljast arvust vahemikus 0–255, moodustadesnäiteks numbrikombinatsiooni 194.95.176.226. Seevastu uuemas interne-tiprotokollis, versioonis nr 6 (IPv6), koosneb IP-aadress kaheksast nelja-kohalisest heksadetsimaalarvust, moodustades näiteks kombinatsiooni FE-DC:BA98:7654:3210:FEDC:BA98:7654:3210. 4. versiooni kõige suurem puudusvõrreldes 6.versiooniga, mis pole suutnud end veel kehtestada, on see, et4.versiooni võimalike avalike IP-aadresside arv on piiratud. Väga vähestelinstitutsioonidel õnnestub luua olukord, kus iga töökohaarvuti saab oma staatiliseIP-aadressi, sest neid lihtsalt ei jätku. Seda probleemi on võimalik lahendadaNetwork Address Translationiga (NAT). Sellise lahenduse korral on avaliku japrivaatvõrgu vahel asuval süsteemil tarvis kas ühte või siis väheseid IP-aadresse.Töökohaarvutid saavad organisatsioonisisesed IP-aadressid ning aktiivsed võr-gukomponendid, st enamasti lüüsid, teisendavad pakettide edastamisel sisemiseIP-aadressi ümber väliseks IP-aadressiks.

Selleks, et tekitada kõneinfo edastamiseks vajalik meediavoog, tuleb kasuta-da mõnda uuemat UDP- või TCP-ühendust. Vajalikud IP-aadressid ja pordinumb-rid edastatakse signaliseerimisteadetega. NAT modifitseerib meediavoo UDP- võiTCP-päises kajastuvat lähtekoha IP-aadressi ja lähtekoha pordinumbrit. Seevas-tu signaliseerimisteate teateosas kajastuvat lähtekoha IP-aadressi ja lähtekohaporti ei muudeta. Selle tulemusel ei ole andmevooge võimalik saata mitte ühele-gi sellisele VoIP-telefonile, mis paikneb NAT lüüsist tagapool. Internetis asuvatelVoIP-seadmetel ei ole võimalik meediavooge saata ühelegi NAT lüüsist tagapoolasuvale VoIP-telefonile, sest privaatset IP-aadressi interneti suunas ei marsruu-dita. Seega ei saa kõnesid alustada VoIP-seadmetega, mis asuvad NAT lüüsisttagapool, sest soovitakse luua võimalikult turvaline konfiguratsioon, mitte seepä-rast, et signaliseerimisprotsess on vigane.

Siinkohal moodustavad erandi IAX (InterAsterisk eXchange) ja Skype. Nen-de protokollide puhul kasutatakse signaliseerimis- ja meediavoogude transporti-miseks sama ühendust. Kuna privaatvõrkudes asuvate arvutitega ei ole tarvis luualisaühendusi, siis eespool nimetatud probleeme NAT-ga nende protokollide puhulei esine. Samas tuleb arvestada seda, et kuna nende protokollide puhul puudubvõrguülemineku kontrollifunktsioon, tekivad neis teistsugused turbeprobleemid.

Et võimaldada VoIP-andmesidet ka NAT lüüsi taga asuvate süsteemidega, saabNAT lüüsi meediavoogu edastada VoIP-seadmetesse staatiliselt. Selliseid lahen-dusi võib sageli kohata eraklientide ühendamisel SIP-teenusepakkujatega. Sellinelahendus võib tekitada suuri turvaauke. Väljaspool LAN-i asuv saatja loob ühen-duse NAT lüüsiga, kasutades talle reserveeritud pordinumbrit. NAT lüüs edastabpordinumbri sellele lõppseadmele, mille nimele see pordinumber on registreeri-tud. See eeldab, et helistajad peavad teadma reserveeritud pordinumbreid. Kõigesuurem puudus seisneb aga selles, et kui pordinumbrid on edastatud, on võima-lik NAT lüüsist tagapool asuvatele VoIP-süsteemide portidele väljast, st avalikustandmevõrgust ligi pääseda.

505 / 781

G 4.60 Raadiolainete kontrollimatu levi

Raadiovõrgud, st neis levivad raadiolained ületavad sageli ette nähtud leviala pii-re, mis tähendab, et andmeid edastatakse ka sellistesse levialadesse, kus need eiole enam ei kasutaja ega institutsiooni poolt kontrollitavad ega turvatavad. Nõndamuutub andmete salvestamine lihtsaks ka kõrvalistele isikutele ning selliste pealt-kuulamisega seotud rünnete tuvastamine õnnestub vaid murdosal kõikidest juhtu-dest. Rünnete eesmärgiks võib olla tundliku info hankimine või sellega manipulee-rimine. Isegi kui neid andmeid edastatakse krüpteeritult, on paljud raadiovõrgudsiiski nii madala kaitsefunktsiooniga, et pikemaajaline raadioside salvestamine jaanalüüsimine võib viia krüptograafilise võtme väljaarvutamiseni, millega õnnestubkogutud andmeid lõpuks ka dekrüpteerida. Lisaks on võimalik suunatavaid anten-ne kasutades andmeid vastu võtta ja pealt kuulata ka väljaspool raadiovõrgule ettenähtud leviala piire.

Näide

• Madala kaitsefunktsiooniga WLAN-ide tuvastamiseks piisab sülearvu-tist koos WLAN-kaardiga ning mõningatest vabavarana kättesaadavatestWLAN-rakendustest. Wardriving -tüüpi rünnete puhul sõidetakse nt mõneWLAN-klientsüsteemiga ringi teatud piirkonnas, nt linnaosas või tüüpilistesbüroopiirkondades ning salvestatakse infot, millistes asukohtades erinevadWLAN-id endast märku annavad ning kui kehvalt need on kaitstud. Koguta-vaid andmeid on võimalik ka otse GPS-andmetega siduda, et jäädvustadatuvastatud WLAN-ide geograafilised asukohad. Seejärel on juba võimalikhalvasti kaitstud WLAN-e sihipäraselt ründama hakata, nt selleks, et nendekaudu tasuta internetti pääseda.

506 / 781

G 4.61 Traadita kohtvõrgu ebausaldusväärsed või puuduvadturbemehhanismid

WLAN-i komponendid tarnitakse väga sageli sellise konfiguratsiooniga, milleturbemehhanismid on välja lülitatud või mille puhul on sisse lülitatud ainult mõniüksik turbefunktsioon. Lisaks leidub nendes komponentides ka funktsioone, misei ole piisavalt turvalised. Ka praegu toodetakse veel jätkuvalt palju selliseidWLAN-i komponente, mis toetavad üksnes ebaturvalisi turbemehhanisme naguWEP-d. Võib juhtuda, et osa seadmeid ei õnnestu isegi piisavalt täiendada, etnende turvet tõhusamaks muuta. Olukorras, kus on võimalik kasutada ainultnõrga toimega turbemehhanisme, mille abil ei saa raadiosideliidest ja WLAN-igakasutatavaid teenuseid piisavalt turvata, võib väita, et WLAN-i andmeside töötabturbeta. Selline olukord ohustab kõiki WLAN-iga ühendatud komponente, ntWLAN-i klientsüsteemidesse salvestatud andmeid ja LAN-i, ning võib mõjutadaterve ametiasutuse või ettevõtte IT-taristut. Järgnevalt kirjeldatakse mõningaidvõimalikke turbeprobleeme:

• WEP - kui WLAN-i sidevoogu ei turvata üldse või turvatakse ainult WEP-ga, saab ründaja ilma suurema vaevata kogu WLAN-i sidet pealt kuulata,et seeläbi endale konfidentsiaalseid andmeid hankida. Teatud liiki seadme-te, nt WLAN-i toega printerite puhul jäetakse sageli tähelepanuta, et luuesühenduse selle seadmega, moodustub WLAN ning seda ei turvata. Ründajavõib sellise ühenduse kaudu endale hankida mitte ainult printerisse saade-tud andmeid, vaid WLAN-i komponendi kaudu tungida ka hoopis teistessetaustsüsteemidesse.

• SSID Broadcast - SSID-d (Service Set Identifierit või võrgunime) kasuta-takse kahe naabruses asuva sideraku vahel ülekandeprotsessis selleks, etleida üles järgmine pääsupunkt (Access Point). Osa pääsupunkte pakub kavõimalust SSID saatmine Broadcastis ära keelata, et WLAN-i volitamata ka-sutajate eest paremini kaitsta, luues nn suletud süsteemi (closed system).Tuleks arvestada, et SSID-sid saab WLAN-i analüsaatoritega siiski ka teistehaldamis- ja juhtsignaalide põhjal välja nuhkida.

• Manipuleeritavad MAC-aadressid - iga võrgukaart on varustatud konkreet-se riistvara-aadressiga, nn MAC-aadressiga (Media Access Controli aad-ress). WLAN-i klientsüsteemide MAC-aadresse on võimalik suhteliselt ker-gesti pealt kuulata ja manipuleerida, mistõttu pole pääsupunktides pääsu-võimaluste kaitsmiseks rakendatavad MAC-aadresside filtrid ründaja jaokserilised takistused.

• Võtmehalduse puudumine - paljudes WLAN-ides tuleb krüptograafilisi võt-meid evitada käsitsi, st igasse WLAN-i klientsüsteemi ja pääsupunkti tulebkäsitsi sisestada ühesugune staatiline võti. See eeldab füüsilist juurdepääsuvajalikele komponentidele. Selline võtmehaldus viib praktikas sageli olukor-rani, kus krüptograafilisi võtmeid vahetatakse kas haruharva või ei vahetataneid üldse. Kui WLAN-i võti peaks tulema ilmsiks, on terve WLAN selle ta-gajärjel kompromiteeritud.

• Pääsupunktide halduspääsude turvaaugud - pääsupunktide haldamisekssaab väga sageli kasutada erinevaid liideseid ja protokolle ning seda nii

507 / 781

LAN-i kui ka raadiolevi keskkonnas. Kui haldamiseks kasutatakse raadio-sideliidest ja avatekstiprotokolle, nt Telnetti, HTTP-d või SNMP-d, võivadWLAN-i kaudu edastatud haldamisparoolid avalikuks tulla. Ründajad võivadsellisel teel kogutud andmeid kasutada pääsupunktide konfiguratsioonimuutmiseks. Eelnimetatud protokollide krüpteeritud versioone pääsupunk-tid sageli kas ei toeta või ei muuda nende kasutamist kohustuslikuks.

508 / 781

G 4.62 Ebapiisav pistikupesade arv

Sageli võib juhtuda, et olemasolevate pistikupesade arv ei vasta kasutatavateseadmete vajadustele. Puuduste kõrvaldamiseks kasutatakse sageli mitmepistikupesaga pikendusjuhtmeid. Sellised pikendusjuhtmed ei pruugi alati ollapiisavalt kvaliteetsed, mistõttu tekivad järgmised probleemid, millest kõigist võibalguse saada tulekahju:

• halb kontakt;• liiga nõrgad kontaktklemmid;• tõmbekoormuse leevendi puudumine;• liiga väike kaabli ristlõige;• ülekoormus.Kui seadmetele piisava arvu elektrikontaktide saamiseks ühen-

datakse paljusid väiksemaid pikendusjuhtmeid veel omakorda üksteise kül-ge, suureneb tulekahju oht kaablite väikse ristlõike ja ülekoormuse tõttuveelgi.

Kui pikendusjuhtmed lebavad töökohas põrandal jalus, on suur oht, et neid või-dakse mehaaniliselt vigastada. Pikendusjuhtmele astudes või neid tolmuimejagavigastades võivad puuduva tõmbekoormuse leevendi ja nõrkade kontaktide kor-ral ruttu tekkida takistused, ülekuumenemine ja tulekahju. Lisaks võivad töötajadpõrandal vedelevatele kaablitele komistada.

Näide

• Ühe kindlustusfirma kontoris tekkis töötaja isiklikult muretsetud pikendus-juhtmest tulekahju. Kuna oli sügisene aeg, ühendasid töötajad pikendus-juhtme külge peale arvuti ja printeri ka elektripuhuri. Ükskord, kui töötajadunustasid kütteseadme täiskoormusel sisse ja läksid ühte teise ruumi koos-olekut pidama, sulatas puhuri kuum õhk pikendusjuhtme korpuse üles jatekkis ülekoormus.

509 / 781

G 4.63 Tolmunud ventilaatorid

Nagu kõiki elektriseadmeid, tuleb ka IT-seadmeid käitada ainult tootja lubatudtemperatuurivahemikus. Miinimumtemperatuuri järgimisega enamasti suuriprobleeme ei teki. Seevastu maksimumtemperatuuride järgimiseks tuleb sagelivõtta kasutusele lisaseadmeid. Paljud sellised lisaseadmed töötavad põhimõttel,et kuum õhk juhitakse jahutatavast seadmest välja ventilaatoriga. Seadmeidümbritsevas õhus, ka siseruumides, on alati teatud kogus tolmu. Kuna tolmvõib ventilaatoritesse kinni jääda, võivad ventilaatorid aja jooksul tolmust kaummistuda. Liigne tolmukogus võib põhjustada järgmisi probleeme:

• ventilaatori võime õhku ventileerida ja seega seadet jahutada võib vähene-da niivõrd, et seadmed kuumenevad üle isegi töötava ventilaatoriga (esinebpeamiselt võrguseadmetes);

• tolm võib pärssida ventilaatori vaba liikumist nii tugevalt, et ventilaatori moo-tor blokeerub, ventilaator kuumeneb üle ja muutub ise tuleallikaks.

510 / 781

G 4.64 Printerite, koopiamasinate ja multifunktsionaalsete seadmetekeerukus

Võrguprinterid, suure jõudlusega koopiamasinad ja multifunktsionaalsed seadmedon muutunud keerukateks IT-süsteemideks. Ühelt poolt on küll positiivne, et sead-metel on mitmekülgsed funktsioonid, kuid teisalt võib funktsioonide rohkus ohus-tada nii teisi IT-süsteeme kui ka kohtvõrku.

• Lokaalsed administraatoriliidesed - osa printerite ja multifunktsionaalse-te seadmete haldamisliidese juurdepääsu ei saa kaitsta, nt pole volitamatajuurdepääsu tõkestamiseks võimalik sisse lülitada parooli küsimist. Admi-nistraatoriõigustega ründaja saab printerit selliselt manipuleerida, et see eivõta printimistöid kas üldse vastu või salvestab need sisemällu, võimaldadesdokumente hiljem vaadata.

• Haldamine kohtvõrgu kaudu - võrguprinterit ja multifunktsionaalseid sead-meid saab tavaliselt hallata ka kohtvõrgu kaudu. Kui juurdepääsukaitset po-le võimalik seadistada või kui see puudub, saab printeris olevaid andmeidkohtvõrgu juurdepääsu kaudu lugeda ja muuta. Mõnel juhul on ründajal pea-le juurdepääsu kohtvõrgu arvutitele samal otstarbel võimalik ära kasuta-da ka internetijuurdepääsu. Osa printereid on koguni Java mootoriga, misvõimaldab printerisse installida ning seal käivitada erinevate konfigureeri-misfunktsioonidega Java programme ja aplette. Peale printeri seadistamiseja printimistööde muutmise annab see võimaluse korraldada printeri kaudumitmesuguseid kohtvõrgu vastu suunatud ründeid.

• Integreeritud veebiserver - paljudel võrguprinteritel ja suure jõudlusegakoopiamasinatel on integreeritud veebiserverid, mille ülesanne on lihtsus-tada haldamistöid. Mugavusega kaasnevad siiski ka uued riskid. Näitekson integreeritud veebiserveriga printerite tööd suudetud blokeerida ussvii-rusega Code Red, st selle viiruse kõrvalmõjudega, sest ussviiruste otsesedründed printereid ei puuduta. Mõned tootjad ei paku printerihalduse veebi-juurdepääsu kaitseks mitte mingisuguseid võimalusi ning sellisel juhul pole-gi võimalik tagada, et juurdepääsu kasutavad ainult volitatud isikud. Sagelijäetakse aga ka veebiliides asjakohaselt konfigureerimata, mistõttu saavadorganisatsiooni töötajad või isegi võõrad isikud muuta nii printeri seadistusikui ka selle kasutusvõimalusi (olenevalt meetodist, kuidas printer on võrgu-ga ühendatud). Näiteks saab ükskõik milline printeri kasutaja meelega võikogemata kustutada teiste töötajate printimistöid ja pärssida printeri käidel-davust. Mõnede printerite veebiserverid väljastavad väga pikkade URL-idesisestamisel diagnostikaandmeid. Neid andmeid saab kasutada ründeprog-rammide väljatöötamiseks.

• Krüpteerimata haldamisalane andmeside - konfigureerimiseks kasutatak-se sageli HTTP(S)-i, Telnetti või SNMP-d (Simple Network ManagementProtocol). Kui pöörduseks kasutatakse HTTP-d või Telnetti, transporditakseedastatud andmeid kaitseta. Olukorras, kus muud kaitsemeetmed puudu-vad, saab ründaja edastatavaid andmeid tõkestamatult lugeda ja endale ntkonfiguratsiooni salasõna hankida ning kasutada seda erinevateks rünne-teks, mis pärsivad konfidentsiaalsust, käideldavust ja terviklust. Peale ad-ministraatorite, kes peavad printeri veebiserverit konfigureerima, on sagelivajalik, et sellele oleks juurdepääs ka kasutajatel. Näiteks saavad kasutajadsiis oma printimistöid tühistada või kontrollida, kas printer täidab parajas-

511 / 781

ti mõnda teist printimistööd. Samas tuleb arvestada aga sellega, et selli-se juurdepääsu korral saavad töötajad muu hulgas vaadata, milliseid doku-mente prindivad nende kolleegid. Süsteem kuvab prinditavate dokumenti-de failinimesid enamasti äratuntaval kujul, nt „Maksekorraldus_firmale.doc”.Kui ründajal õnnestub lugeda kasutajate salasõnu, mis edastatakse krüp-teerimata avatekstina, võib ta kasutajate printimistöid tühistada, nende sisulugeda või suunata neid mõnda teise printerisse. Tavaliselt kordavad kasuta-jad printimiskäsku seni, kuni nende lemmikprinter vajaliku dokumendi lõpuksikkagi välja prindib. Seeläbi võivad konfidentsiaalsed dokumendid sattudavolitamata isikute kätte.

• Printimisserveri eriteenused ja kasutuskeskkonnad - eri tootjad on võr-guprinteritele lisanud ka aadressiraamatu funktsiooni, mida kasutatakseenamasti siis, kui seadmega saadetakse fakse või meile. Selliste funktsioo-nide puhul on väga raske välistada olukorda, kus printer saadab andmeidvolitamatult kuhugi edasi, nt internetti. Printereid saab sageli juhtida ka ftpja anonüümsete pöördustega ka LDAP kaudu. Iga kohtvõrgus olev kasutajasaab neid võimalusi rakendada printeri manipuleerimiseks. Mõned tootjadpakuvad koguni tasuta lisatarkvara, mis võimaldab printeri jaoks kindlaksmääratud konfiguratsiooni salasõnast mööda pääseda. Tarneseisundis prin-terite konfiguratsioonile on juurdepääs tavaliselt vaba, st tootjad ei ole juur-depääsu kuidagi piiranud. Teatud operatsioonisüsteemides saab võrguprin-tereid seadistada ka LDAP-ga ja domeeni liikmelisuse põhjal. Sellega kaas-neb oht, et volitamata isikud võivad saada kohtvõrgu serverite printeri jaoksadministraatoriõigused. Teatud olukordades võib olla mõistlik kasutada prin-teri ühendamiseks raadiosidet või rakendada juhtmevabu printereid. Ka raa-dioside puhul peab olema tagatud andmekanalite pealtkuulamise, andmetevõltsimise, printeri konfiguratsiooni volitamata muutmise, ühenduste häiri-mise ja muude turbeprobleemide vastane kaitse.

• Tarkvaravead - printeridraiverite evitamisel tehtud vead võivad pärssida töö-arvutite turvet. Näiteks on esinenud turvaauke, mille kaudu saab tavakasu-tajale vigase printeridraiveriga anda administraatoriõigused. Unixis sagelikasutatavat printerideemonit lpd ohustab mitmes versioonis puhvri ületäitu-mine. See võimaldab näiteks korraldada DoS-ründeid või käivitada kaugar-vutist programmikoodi, millel on root- õigused. Windows ME-s võib osutudaohtlikuks kõikide võrgukasutusse lubatud printerite automaatne installimine.Antud juhul kantakse võõrastelt printeritelt või operatsioonisüsteemidelt pä-rinevad failid Windows ME-ga arvutitesse automaatselt üle ja installitakse.Seega on VXD-tüüpi käitusfailidega kerge korraldada operatsioonisüsteemivastu suunatud ründeid.

Näited

• Ründaja suunab kasutaja printimistöö ümber mõnda sellisesse printerisse,mida kasutaja tavaliselt ei kasuta. Sel moel saab ründaja näha suuremakaitsevajaduse ja konfidentsiaalsusega dokumente. Kasutaja ei leia printe-rist soovitud materjale ja peab põhjuseks tehnilisi probleeme. Ta ei mõtlesellele, et tegu võis olla ründega, vaid annab käsu uuesti printida, ja see-kord prinditakse dokument välja.

• Ussviirust Bugbear tuntakse juba 2002. aasta septembrist. See levib meili-de ja ühiselt kasutatavate võrguressursside kaudu. Bugbeari tagajärjel võib

512 / 781

juhtuda, et kõikidesse ühiskasutusse lubatud võrguprinteritesse saadetaksemõttetu sisuga printimistöid, mis võidakse ka välja printida. Selle tagajärjelraisatakse kulumaterjale ning printerid võivad ummistuda.

513 / 781

G 4.65 Printerite ja multifunktsionaalsete seadmete side ebapiisavturve

• Printerite krüpteerimata andmeside - võrguprintereid ei juhita tavaliselt ko-hapealt, vaid võrguühenduse kaudu. Lokaalse arvuti printeridraiver saadabkogu vajaliku info otse printerisse või tsentraalsesse printimisserverisse, misedastab selle info omakorda printerisse. Seda andmeedastust krüpteeritak-se väga harva.

• Võrguühenduse puudulik lahutamine - kohtvõrgu ja interneti vahelised tur-valüüsid on sageli seadistatud selliselt, et kõikidest alamvõrkudest pääsebtakistusteta internetti. Samal ajal on võrguprinterid sageli ühendatud samas-se alamvõrku, mille kaudu töökohaarvutid oma printimistöid printerisse saa-davad. Seega on võimalik, et ka võrguprinterid võivad internetti pääseda.Kui turvalüüsid ei takista printeri ja interneti vahelisi ühendusi, võib kon-fidentsiaalne info soovimatult väljapoole sisevõrku sattuda. Edastatud infovõib hõlmata näiteks veateateid ja statistikat, aga ka terveid dokumente.Detailseid kasutajaprofiile saab luua isegi edastatud veateadete ja statisti-ka põhjal. Näiteks võimaldavad IP-aadressid teha järeldusi võrgu struktuurikohta.

Mõned tootjad on statistika kogumiseks ja hooldusvõimaluste pakkumiseks võt-nud kasutusele funktsiooni, mis saadab andmed printerist otse tootja serverisse.Sageli pole dokumenteeritud või ei saa kontrollida, mis andmeid tootjale saadetak-se. Lisaks tahtmatule info väljavoolule kohtvõrgust võib võrgufunktsiooniga printerandmeid internetist ka soovimatult vastu võtta ja neid edasi saata. Näiteks võibprinter vastu võtta pahavara, mis piirab seadme funktsioone ja nakatab ka tei-si võrku ühendatud IT-süsteeme. Pahavara võib sisse tungida näiteks internetistallalaaditud kompromiteeritud turvapaikadega. Seega võib võrguprinter olla vära-vaks internetist tulevatele rünnetele.

514 / 781

G 4.66 Printeritest, koopiaseadmetest ja multifunktsionaalsetestseadmetest tingitud negatiivne mõju tervisele ja keskkonnale

Kuigi väga suur hulk infot on tänapäeval salvestatud digitaalselt, on paber-dokumentidest sageli võimatu loobuda. Paljud eelistavad lugeda ja töödeldapaberdokumente, selle asemel et kasutada ekraani. Seetõttu on printerid jakoopiamasinad ilmselt veel pikka aega asendamatud töövahendid. Nende kasu-tamine võib aga tervist kahjustada.

• Laserprinterid ja koopiamasinad sisaldavad enamasti tahma, mis kantakseprintimise käigus paberile. Tolmulaadne tahm sisaldab peale värvaine karaskmetalle, nt pliid ja kaadmiumi. Tooneri tahm ei kandu täielikult paberile,st tahmaosakeste jäägid võivad ruumis levida. Tahm võib välja tungida kasiis, kui peaaegu tühi kassett vahetatakse täis kasseti vastu välja. Seetõttuon oht, et töötaja võib tervist kahjustavaid peeni tahmaosakesi sisse hingataja need sadestuvad kopsudesse. Lisaks eraldub mõnede seadmete kasu-tamisel osoon. Moodsatel seadmetel on siiski juba filtrid, mis vähendavadväljatungiva osooni hulka.

• Tsentraalseid printereid, koopiamasinaid ja multifunktsionaalseid seadmeidkasutatakse sageli sellistes keskkondades, kus töötab korraga palju inimesi.Need seadmed on tihti pidevalt töös. Moodsate seadmete töömüra ei teki-ta küll kuulmiskahjustusi, kuid nende ligiduses saab siiski ainult väga harvaefektiivselt töötada. Eriti kehtib see nende seadmete puhul, mis asuvad töö-kohtade kõrval, mitte eraldi tubades.

515 / 781

G 4.67 Kataloogiteenuste rike

Riist- või tarkvaraprobleemidest tulenevad tehnilised tõrked võivad kataloogitee-nuses põhjustada osalise või täieliku rikke. Selle tagajärjel muutuvad kataloogiandmed ajutiselt ligipääsmatuks. Äärmisel juhul võib rikke tõttu tekkida isegi and-mekadu. See võib segada nii ettevõtte äritoiminguid kui ka asutuse igapäevatööd.Kui rikkelistest süsteemiosadest on olemas kasutuskõlblikud koopiad, säilib külljuurdepääs, kuid kataloogiteenus võib olenevalt valitud võrgutopoloogiast tööta-da ainult piiratud jõudlusega. Kataloogiteenuse tööd võib oluliselt mõjutada tsent-raalse krüptograafilise mooduli tehniline defekt, kui selle tõttu pole enam võimalikkataloogiteenuse komponentidele ligi pääseda. Seejuures esineb oht, et kustu-tatakse ära krüptograafilised võtmed, nt need, millega kaitstakse kataloogiteenu-se andmeedastust, eriti kui need salvestatakse ainult muutmällu. Selle tagajärjelkaob ajutiselt ära konfidentsiaalsuse tagamise võime. Olukord võib muutuda eritikriitiliseks siis, kui riket ei panda tähele ja funktsiooni vea tõttu jäävad andmedkrüpteerimata, kuid kataloogiteenuse käitaja järeldab ekslikult, et krüptomoodu-li rakendamine tagab tema andmete konfidentsiaalsuse. Krüpteeritud andmeid eisaa sellisel juhul dekrüpteerida seni, kuni krüptomoodul saab uuesti töökorda, kuidviivitusest võivad tuleneda kataloogiteenuse või muude krüpteeritud andmeid tööt-levate rakenduste käideldavusprobleemid.

516 / 781

G 4.68 Ebavajalikust replikeerimisest tingitud tõrked Active Directorytöös

Alates operatsioonisüsteemist Windows 2000 Server kasutavad domeenikontrol-lerid institutsiooni võrgus olevate klientsüsteemide süsteemipoliitikate ja sisselo-gimisskriptide replikeerimiseks failide replikeerimise teenust (File Replication Ser-vice, FRS). Lisaks kasutatakse FRS-i selleks, et replikeerida Windows 2000 Ser-veri ja Windows Server 2003 operatsioonisüsteemidega töötavate serverite vahelDistributed File Systemi (DFS) veatolerantseid ühiskasutuse andmeid. Selleks, etFRS algataks replikeerimise õigel hetkel, jälgib FRS-i teenus NTFS-failisüsteemikõikide FRS-iga replikeeritavate kataloogide ja failide File-Close-sündmusi. File-Close-sündmused tekivad teatud failioperatsioonidest, nagu failide kustutamine jaloomine või faili- ja kataloogivolituste muutmine.

Süsteemi haldamiseks kasutatav tarkvara, nt varundusprogrammid ja viiruse-tõrjetarkvara, mis kasutab oma töös neid faile ja katalooge, mida FRS jälgib,võib failide ja kataloogide oskamatu kasutamise korral endaga kaasa tuua liigsereplikeerimise. Kõik replikeerimist ootavad failid kogutakse enne replikeerimistkokku nn replikeerimisteenuse kausta. Ebavajalikule replikeerimisele võivadsüsteemis viidata järgmised olukorrad:

• DFS-i ühiskasutuse faile replikeeritakse sageli, kuid failides pole võimaliktuvastada ühtki nähtavat muudatust;

• replikeerimispartnerite vahel töötav replikeerimisprotsess kasutab võrgus lii-ga palju ribalaiust;

• replikeerimiskausta failide arv suureneb pidevalt. Kui failide arv suurenebalati näiteks siis, kui käivitatakse mõni viirusetõrje- või varundusprogramm,siis on see selge märk ebavajalikust replikeerimisest. Replikeerimiskauston sageli pärast viirusetõrje- või varundusprogrammi käivitamist ja järgmiseFRS-i replikeerimistsükli läbitöötamist taas tühi.

Kui aga replikeerimiskaust ei tühjene kunagi täielikult, siis on see märk sellest,et replikeerimist pole võimalik suure arvu muudetud failide tõttu kunagi täielikultläbi viia.

Näide

• Organisatsioonis kasutatakse viirusetõrjeprogrammi, mis algatab vale instal-latsiooni tõttu iga failipöörduse korral File-Close-sündmuse. Organisatsioo-ni viirusetõrjekontseptsioon näeb ette, et viirusetõrjeprogramm käivitatak-se serverites regulaarselt ja see programm kontrollib kõiki faile. File-Close-sündmuse väära rakendamise tõttu replikeeritakse kõiki faile, mis algatabsamal ajal organisatsiooni serveri ja domeenikontrollerite vahel tahtmatultkõikide failide ja kataloogide täieliku sünkroniseerimise. Sellest tekkiv and-meside võib organisatsioonisiseste ressursside tavapärast kasutamist pärs-sida sellisel määral, et normaalne töö muutub võimatuks. Eriti kehtib seeorganisatsiooni allüksuste kohta, mille ühendus peakorteriga on suhteliseltpiiratud ribalaiusega.

517 / 781

G 4.69 Probleemid IPSec-i konfigureerimisel

Internet Protocol Security, lühidalt IPSec, on levinud meetod IP-põhise side tur-vamiseks ja seda kasutatakse sageli virtuaalsetes privaatvõrkudes. IPSec tähis-tab korraga mitmeid võtmete haldamise, autentimise ja krüpteerimise protokolle.Standardi keerukuse tõttu on oht seda valesti konfigureerida ning vead võivadomakorda ohtu seada ka sideühenduse, nt virtuaalse privaatvõrgu andmeside-kanali turvalisuse ja stabiilsuse. Enne krüpteerimist peavad sidepartnerid kokkuleppima, millist turvaühendust (Security Association, SA) kasutada. Paljud IPSec-i rakendused võimaldavad kasutada fikseeritud turvaühendusi ja võtmeid. Siiskikaasnevad sellega ohukataloogis G 2.130 VPN-i krüpteerimisprotseduuri ebaõn-nestunud valik kirjeldatud probleemid. Kui võtmete jagamisel otsustatakse režiimiAggressive Mode kasuks (loob ühenduse kiiremini), siis edastatakse identiteedidja signatuurid (soovi korral ka sertifikaadid) krüpteerimata avatekstina.

Kuna IPSec-i standard töötati välja juba 1998. aastal, ei arvesta see mõninga-te hiljem tekkinud võrgukonfiguratsiooni meetoditega. Näiteks on IPSec-i teatudkonfiguratsioonidel probleeme tänapäeval paljudes võrkudes kasutatava NetworkAddress Translationiga (NAT), sest see muudab IPSec-i paketti. Sel põhjusel töö-tati NAT jaoks hiljem välja täiendavad RFC-d nr 3947 ja 3948. Lisaks kasutavadpaljud VPN-tarkvara tootjad oma toodetes ühte või mitut NAT-probleemi lahendust,mis ei pruugi omavahel ühilduda. Seetõttu võib juhtuda, et erinevad VPN-tootedei suuda NAT-d kasutades kas üldse omavahel suhelda või suhtlevad nad ainultpiiratult või vähese turbe tingimustes.

IPSec-VPN-i sagedasimad konfiguratsiooniprobleemid tulenevad turvaühen-duste (SA) soovitusnimekirjadest, mille puhul mitte ükski algataja (initiator ) turva-ühenduste soovitustest ei lange kokku vastaspoole ehk vastaja (responder ) soo-vitustega. IPSec-i ühenduse ebaõnnestumise sagedane põhjus on muu hulgas katurvalüüside ebapiisavad load.

Näited

• Administraator otsustab ühenduse kiirema loomise nimel Aggressive Mode’ikasuks. Aggressive Mode’i avateksti edastamisprotsessis on üks nõrk koht:lüüs saadab võrgu kaudu autentimiseks Pre Shared Keyingu (PSK) mee-todist tuletatud räsiväärtuse. Kuna see räsiväärtus pole krüpteeritud, saabründaja võtme sõnastiku- või Brute-Force-ründega rekonstrueerida ja see-läbi firma võrgule ligi pääseda.

• Keskmise suurusega ettevõttes edastab kogenematu administraator VPN-iesimesel installimisel võtmed harukontorile krüpteerimata meiliga. Ülekan-net kuulatakse pealt. Ründaja kasutab seda infot VPN-i sissetungiks, pää-seb ligi konfidentsiaalsetele dokumentidele ja müüb need konkureerivale et-tevõttele.

518 / 781

G 4.70 VPN-i komponentide ebaturvaline standardseadistus

VPN-i komponentide standardseadistus ei pruugi alati olla kõige turvalisem. Tur-valisusest palju enam arvestatakse hoopis kasutusmugavuse ja olemasolevatesüsteemide integreerimisega. Kui konkreetseid turbevajadusi ei võeta piisavalt ar-vesse, võivad süsteemis tekkida puudujäägid ning seetõttu ka ohtlikud ründevõi-malused ehk turvaaugud, mida on võimalik tegelikult vältida. Kuna õigesti töölerakendatud krüpteeritud VPN kanalit on väga raske rünnata, kasutavad ka ründa-jad lihtsamat võimalust ja seavad võrku tungimise sihtmärgiks pigem VPN-i lõpp-punktid. Ründe ettevalmistamiseks kogub ründaja esmalt kokku kogu vajaliku infoVPN-i kohta. Internetis leidub spetsiaalseid utiliite, mis selliseid analüüse kergen-davad.

Näide

• Administraator ühendab uue, äsja ostetud VPN-i lüüsi firma sisevõrku. Kunaseade töötab väga hästi ka standardseadistusega, ei hakka administraatorseadistust muutma. Kuid tootel on funktsioon, mis lubab tootjatehasel sedakaugpöördusega hallata, ning see funktsioon töötab standardse parooliga.Kuna standardset parooli teavad paljud kasutajad, satub ohtu firma eri asu-paikade vahelise võrguõhenduse turve.

519 / 781

G 4.71 Probleemid paikade ja muudatuste automaatsel teavitamisel

Sageli ei evitata paikasid ja muudatusi mitte käsitsi, vaid tsentraliseeritult ja tarkva-raga. Paikade ja muudatuste haldamise tarkvaratööriistad pakuvad küll mõningaideeliseid, kuid neil on ka omad puudused. Kui organisatsiooni IT-taristud on vä-ga keerulised, võib ka üksainus viga põhjustada hulgaliselt turbeprobleeme. Erititõsine on olukord siis, kui mitmesse süsteemi installitakse ühel ja samal ajal tur-vaaukudega tarkvara. Kui vigu on vähe, saab neid sageli kõrvaldada ka käsitsi.Probleemid tekivad siis, kui IT-süsteemile ei õnnestu juba pikemat aega kohtvõrgukaudu ligi pääseda. Näitena võib tuua kaugtöötajad, kes ühendavad oma arvuteidkohtvõrku harva või ebaregulaarselt. Kui tarkvaratööriist seadistatakse tööle selli-selt, et uuendusi evitatakse ainult teatud aja vältel, siis jäävad need IT-süsteemid,mis ennast selle ettenähtud aja jooksul ei ühenda, lihtsalt värskendamata.

Näide

• Ettevõttes installiti turvalüüsidesse (tulemüüridesse) senisest piiravamadpaketifiltrite reeglid. Selle tulemusena ei pääsenud mitte keegi enam koht-võrku. Vea automaatne kõrvaldamine oli selleks ajaks juba võimatu ja käsitsivõttis see väga palju aega. Vea kõrvaldamise käigus ei saanud ettevõte ka-sutada oma serveriteenuseid ning kaotas seeläbi aega ja raha.

520 / 781

G 4.72 Triviaalse andmebaasi vormingus andmebaaside ebakõladSamba keskkonnas

Samba salvestab mitmesse kataloogi triviaalse andmebaasi (Trivial Database,TDB) vormingus andmebaase. Nende kataloogide failid on Samba veatu töö ta-gamiseks ülimalt olulised. Andmebaase kasutavad omavaheliseks suhtluseks näi-teks smbd-protsessid. Nende andmebaaside kasutamisel seab Samba väga suurinõudmisi andmebaasi käitava operatsioonisüsteemi failisüsteemi jõudlusele ja ho-mogeensusele. Kõik faili- ja operatsioonisüsteemi kombinatsioonid ei suuda neidnõudmisi täita. Eriti puudutab see operatsiooni- ja failisüsteemide vanemaid ver-sioone.

Näiteks esines Solarise ja Samba 3 kombineerimisel pikka aega tõsine skalee-rimisprobleem seoses failisüsteemi locking ’uga. Probleem esines siis, kui korragapöördusid Samba serveri poole umbes 600 või enam kasutajat. Sarnaseid prob-leeme esineb ka Linuxiga. Failisüsteemi ReiserFS mõnede vanemate versioonidepuhul oli samuti Sambaga seoses probleeme. Kui installimisel ei jälgita, kas ka-sutatud operatsiooni- ja failisüsteemi kombinatsioon sobib Samba TDB-failidega,võib esineda suuri jõudlusprobleeme või andmebaaside ebakõladest tulenevaidvigu

521 / 781

G 4.73 Tarkvara funktsioonide kahjustamine Windowsi versioonideühilduvusprobleemide tõttu

Tarkvara, mis töötas operatsioonisüsteemi eelmise versiooniga probleemivabalt,ei pruugi sama edukalt töötada operatsioonisüsteemi kõige uuema versiooniga.Põhjuseks võivad olla uue operatsioonisüsteemi muutunud turbeomadused võiselle muud eripärad. Seega võib juhtuda, et tarkvara kas ei saa üldse enam edasikasutada või on kasutamine väga piiratud. Sellised probleemid ei ohusta mitteainult olemasolevat, vaid ka uut tarkvara.

Tarkvaratootjate sõnul võivad ühilduvusprobleemide põhjuseks olla WindowsVista uued aktiveeritud turbeomadused. Siia alla kuuluvad:

• alates Windows Vistast kasutusele võetud uus kasutajakontode haldamine(User Account Control, UAC);

• Kernel PatchGuard ehk Patch Protection, mida kasutatakse Microsofti Win-dows Vista 64-bitistes versioonides ja Windowsi varasemates 64-bitistesversioonides;

• alates Windows Vistast kasutusele võetud Windowsi ressursikaitse (Win-dows Resource Protection, WRP);

• alates Windows Vistast kasutusele võetud Internet Exploreri turberežiim(Protected Mode).

Näited

• Kasutajakontode haldamine (UAC) - Kasutajakontode haldamine võib mõ-jutada ja takistada grupipoliitikate sisselogimisskriptide tööd. GPO sisselo-gimisskriptide evitamist ja õiget käivitamist tuleb Windows Vista arvutiteseraldi kontrollida. Tuleb tagada, et skriptide käivitamiseks on antud vajalikudkasutajaõigused.

• Windows Vista Kernel Patch Protection - Kernel Patch Protection ei laseprogrammidel kernelit lubamatult muuta (termin patch tähistab korrektuur-tarkvara). Kernel Patch Protection võimaldab programmidel kerneli kompo-nentidega suhelda eranditult vaid läbi spetsiaalsete Windows Vista prog-rammeerimisliideste (Application Programming Interface, API). Kernel Pa-tch Protection on olemas ainult Windows Vista 64-bitistes versioonides jaseda ei saa välja lülitada (32-bitistes versioonides seda ei ole). Praktika onnäidanud, et kolmandate tootjate programmid, eriti just viirusetõrjetarkvara,ei ühildu alati Kernel Patch Protectioniga. Selle tagajärjel võib juhtuda, etviirusetõrje töötab IT-süsteemis kas puudulikult või ei tööta üldse.

• Süsteemiteede ümberjuhtimine ja registrivõti Windowsi 64-bitiste versiooni-de 32-bitise režiimiga WoW64-s (Windows-On-Windows 64-Bit)

• Klientide 64-bitiste versioonide signeeritud draiverite vajadus alates Win-dows Vistast

• Vananenud objektid, mida kasutas sageli Windows XP-ga ühilduv tark-vara, ei eksisteeri enam. Sama kehtib GINA ja niinimetatud sessiooni 0-protsesside kohta.

• Sõrmejäljelugejad, VPN-lahendused ja kaitsetarkvara ei tööta enam õigesti,kui need kasutavad vanu GINA-mooduleid või pöörduvad suhtlusprotokolliIPv4 vanade funktsioonikäivituste poole.

522 / 781

• Puutetundlikele liidestele optimeeritud Windows 8 toob programmid esma-kordselt sisse äppidena. Neid iseloomustab eelkõige puutetundlikele sead-metele optimeeritud liides (kasutamine sõrmedega hiire ja klaviatuuri ase-mel). Tuntud Windowsi programmid ja nende äpiversioonid võivad omafunktsioonide poolest siiski erineda:näiteks on Internet Explorer alates Windows 8-st saadaval kahes töörežii-mis. Seda saab endiselt käivitada seni tuntud töölaua versioonis ning seetoetab mitmeid pistikprogramme ja laiendusi. Internet Exploreri äpiversioo-nis on pistikprogrammide ja laienduste funktsioonid siiski tugevalt piiratud.

523 / 781

G 4.74 IT-komponentide tõrge virtualiseeritud keskkonnas

Klassikalises IT-taristus toimub serveri operatsioonisüsteemide ja nende tee-nuste, aga ka töökohaarvutite operatsioonisüsteemide käitamine füüsilistel IT-süsteemidel. Serverisüsteemide tööks vajalikud taristu komponendid (võrgukom-ponendid, salvestusvõrgud ja muu taoline) on erinevatel füüsilistel IT-süsteemidelsamuti olemas. Virtualiseeritud keskkonnas seevastu on serverisüsteemid ningvajalike taristukomponentide osad oma serveriinstantsidena suurelt osalt virtua-liseerimisserveritel endal olemas. Kui näiteks virtuaalne server võtab võrgugaühendust, siis ei astu ta ühendusse füüsilise IT-süsteemiga nagu kommutaator,vaid ühega virtualiseerimisserveri kaudu käsutusse antud komponendiga, midakäitatakse ainult tarkvarana, mitte aga oma riistvarana. Kui üks füüsiline süsteemlangeb välja, saab ülejäänud süsteemidega tihti veel edasi töötada. Teenused,mida pakub väljalangenud server, ei ole küll kauem kättesaadavad, kuid see eipruugi puudutada teisi installeeritud servereid. Kui näiteks andmebaasiserver onvälja langenud, on juurdepääs failiserverile siiski olemas. Niisiis ei ole puudutatudkõik IT-koosluse poolt toetatavad äriprotsessid. Vastupidiselt sellele konsolidee-ritakse virtualiseeritud IT-taristus reeglina arvukad ja erinevad virtualiseeritud IT-süsteemide instantsid (külastajad) tehniliselt vähestel füüsilistel masinatel. Selletõttu suureneb virtualiseerimisserveri rikete korral tunduvalt mõju käideldavuse-le. Virtualiseerimisserveri füüsikaliste komponentide kahjustuse või selle operat-sioonisüsteemi funktsioonihäirete korral saavad kõik sellel töötavad virtuaalsedIT-süsteemid kaaskannatajateks.

• Ohtude kõrgenenud esinemissagedus - IT-süsteemi väljalangemise korralvõivad kahjustatud saada selle süsteemi poolt töödeldud andmed. Süstee-mi taaskäivitamine võib olla seotud suuremate kulutustega, kuna andmedtuleb arvatavasti andmevarundusest uuesti taastada. Kaduma läinud and-meid ei ole alati võimalik taastada. Selle tagajärjel võib tekkida pikaajalisemtööseisak kui vaid ühe IT-süsteemi väljalangemise korral.

• Virtuaalsete IT-süsteemide vastastikune sõltuvus - Arvutuskeskuse töös onpaljud teenused üksteisega seotud. Näiteks vajab meilisüsteem kataloogi-teenust, et viia virtualiseeritud IT-saaja-aadressid postkastidega vastavus-se. Tellimuste haldamise süsteem vajab sissetulevate ja väljaminevate tel-limuste töötlemiseks meilisüsteemi. See koostab lisaks automaatselt telli-musi kaubamajandussüsteemis, et toetada klientide tellimuste täitmist. Li-saks sellele omab kaubamajandussüsteem juurdepääsu laohalduse andme-baasile, et kontrollida loa seisu. IT-koosluse üksikute komponentide väljalan-gemine võib viia ka arvutuskeskuse pakutavate teenuste osalise väljalan-gemiseni. Kui mitmeid IT-süsteeme käitatakse virtuaalsete IT-süsteemidenavirtualiseerimisserveril, langevad koos virtualiseerimisserveriga samaaeg-selt välja ka mitmed IT-koosluse komponendid. Selle tõttu võib IT-töö saadatugevamalt kahjustada kui klassikalises ehk virtualiseerimata arvutuskesku-ses.

Näide

• Keskmise suurusega ettevõte on otsustanud virtualiseerimislahenduse kas-uks. Plaanitakse osta mõned võimsad serverid ja füüsiliste süsteemide arvuoluliselt vähendada. Virtualiseerimisserveritele jaotati IT-süsteemid ja nen-de teenused selliste aspektide järgi nagu protsessori koormus ja salvestus-

524 / 781

tarve. Seejuures mõeldi, kuidas virtuaalseid IT-süsteeme virtualiseerimis-serveritele optimaalselt jaotada. Ettevõte kasutab kataloogiteenusel põhine-vat meilisüsteemi. Selleks on olemas raamatupidamissüsteem, mis on ja-gatud rakendusserveriks ja andmebaasiserveriks. Edaspidi veel kasutusesolevad kaubamajandus- ja laohaldussüsteemid kasutavad andmete vaheta-miseks samuti raamatupidamisandmebaasi. Kuna raamatupidamissüstee-mi andmebaasiserver ja meiliserver kuuluvad suurima jõudlusnõudega IT-süsteemide hulka, otsustati käitada neid eraldi virtualiseerimisserveritel.Sellega tahetakse saavutada, et need töötamise ajal teineteist vastastikku eikahjustaks. Süsteemide edasine jõudlusalane analüüs näitas, et optimaalsetkonsolideerimisefekti on võimalik saavutada, kui virtuaalsed IT-süsteemidjaotatakse järgmiselt:

1. virtualiseerimisserver: andmebaas, kataloogiteenus2. virtualiseerimisserver: meilisüsteem, raamatupidamissüsteem3. 3virtualiseerimisserver: kaubamajandussüsteem, laohaldussüsteem

Esimese virtualiseerimisserveri juhtplaadi elektrolüütkondensaatori rikke tõttulangeb server välja. Sellel serveril paiknesid eraldi virtuaalsetes masinates firmaraamatupidamise andmebaas ja kataloogiteenus. Selle ühe füüsilise serveri väl-jalangemisel on IT-süsteemi tööle kaugeleulatuvad tagajärjed. Raamatupidamisening laopidamise ja kaubamajanduse rakendusserverid paiknevad küll teistel vir-tualiseerimisserveritel, kuid on normaalseks funktsioneerimiseks sõltuvad andme-vahetusest andmebaasiga. Ettevõttes langesid kesksed protsessid täielikult välja- seiskus klientide tellimuste väljastamine ning kauba- ja laopidamise haldussüs-teemi väljalangemise tõttu toimus ka paaritunnine tootmisseisak. Lisaks sellele eisaanud ettevõtte kliente kohe, nagu oli lepingus kokku lepitud, tootmisseisakustteavitada, kuna meilisüsteem oli samuti välja langenud. Sellega ei täitnud ettevõ-te oma tarnelepingu olulise tähtsusega kohustusi ning pidi lisaks toomisseisakusttekkinud kuludele maksma ka lepingutrahvi.

525 / 781

G 4.75 Virtualiseerimiskeskkondade võrgutaristu rike

Mitmed virtualiseerimisserverid saab üheks niinimetatud virtuaalseks taristukskoondada. Sellises virtuaalses taristus saab virtuaalsed IT-süsteemid suvaliseltüksikutele virtualiseerimisserveritele jaotada. Lisaks sellele on võimalik virtuaal-sed masinad virtualiseerimisserverite vahel teisaldada. See võib ka mõnede too-dete puhul juhtuda, kui parajasti toimub virtuaalse IT-süsteemi käitamine (näited:Microsoft Hyper-V Live Migration, VMware VMotion, XEN LiveMigration). Sellineprotsess, edaspidi nimetatud Live Migration , on virtuaalse IT-süsteemi jaoks reeg-lina transparentne, st, et see ei märka seda migratsiooniprotsessi. Sellel migrat-sioonitehnikal rajanevad virtuaalse taristu teised funktsioonid. Need on funktsioo-nid, nagu näiteks protsessori- ja peasalvestusressursside dünaamiline jaotamine.Seejuures migreeritakse virtuaalne IT-süsteem alati virtualiseerimisserverile, mil-lel on olemas optimaalsed vajalikud ressursid. Virtuaalne IT-süsteem saab sel viisilalati võimalikult hea ressursside jaotamise. Lisaks sellele on olemas virtualiseeri-mistooted, mis kompenseerivad virtualiseerimisserveri väljalangemise sellega, etprobleemist puudutatud virtuaalsed IT-süsteemid käivitatakse teisel virtualiseeri-misserveril automaatselt uuesti. Kirjeldatud tehniliste võimaluste realiseerimiseksvajatakse osalevate virtualiseerimisserverite vahel kommunikatsioonivõrku sellefunktsiooni koordineerimiseks (automaatne taaskäivitus, Live Migration).

• Live Migration ebaõnnestub - Kommunikatsioonirike virtualiseerimisser-verite vahel võib kaasa tuua Live Migration ’i katkemise. Seeläbi võivad äpar-duda mehhanismid dünaamilise koormuse jaotamiseks, kui virtuaalne masinressursside puudumisel teisele sihtserverile teisaldatama peaks. Järgnevaltviib kõrvaldamatu ressursside puudus lähteserveril piiranguteni mitteteisal-datava IT-süsteemi kättesaadavuse osas.

• Kõrge käideldavusega virtuaalne taristu - virtuaalsete IT-süsteemide käi-deldavuse suurendamiseks on võimalik paljud kõrge käideldavusega virtua-liseerimisserverid üheks klastriks ühendada. Süsteemid, mis osalevad selli-ses serverikoosluses, vajavad omavahelist tõrgeteta kommunikatsiooni. Sel-le kommunikatsiooni kaudu hoiavad süsteemid vastastikku üksteisel silmapeal ja kontrollivad, kas nende partneritel töötavad virtuaalsed IT-süsteemidon jätkuvalt käideldavad ( Heartbeat ). Kui üks partner langeb kooslusestvälja, käivitatakse väljalangenud IT-süsteemid võimaluse korral teisel vir-tualiseerimisserveril uuesti. Kui klastri kommunikatsioonivõrk langeb näiteksriistvara vea tõttu kommutaatoril rivist välja, on klastri väljalangemiskompen-satsiooni funktsioon häiritud. Häiritud võib olla ka virtuaalsete IT-süsteemidekäideldavus virtualiseerimisserveritel, mis on klastri liikmed. Kõrge käidelda-vusega koosluses osalevate süsteemide vaheline kommunikatsioonivõrk täi-dab muu hulgas lisaks eespool nimetatule ka palju tähtsamaid funktsioone:Kui kommunikatsioon mitme koosluse süsteemi vahel langeb välja sama-aegselt, peab iga süsteem suutma otsustada, kas ta ise või teised süsteemidon väljalangemisest puudutatud (Isolatsiooniprobleem). Kui kaks või rohkemkõrge käideldavusega koosluses osalevat virtualiseerimisserverit üksteisestisoleerituna virtuaalset IT-süsteemi mitu korda uuesti käivitaksid, võivad se-da virtuaalset süsteemi esindavad andmed kahjustatud saada. Seeläbi võibvirtuaalne IT-süsteem muutuda kasutamiskõlbmatuks. Kui üks ja seesamaIT-süsteem on võrgus mitu korda olemas, võib ette tulla rikkeid (nt topelt IP-või MAC-aadressite tõttu).

526 / 781

• Salvestusvõrkude ühendamine - virtuaalsete IT-süsteemide esindaminetoimub reeglina füüsiliselt rea andmete kaudu. Need failid sisaldavad lisaksvirtuaalse IT-süsteemi taristule näiteks ka virtuaalsete kõvaketaste kontei-nereid. Kui snapshot ’tide ehk virtuaalse IT-süsteemi kujutise loomine toi-mub suvalises operatsioonisüsteemi seisundis, ka töö käigus, salvestab vir-tualiseerimisserver seejuures tekkivad andmed samuti failidesse. Need fai-lid võivad olla salvestatud kas virtualiseerimisserveril endal või selle juur-de kuuluvas tsentraalses salvestusvõrgus. Virtuaalsed serverikeskkonnadmitmest virtualiseerimisserverist on tihti seotud tsentraalsete salvestusvõrk-udega, selleks et failidele, mis esindavad virtuaalseid IT-süsteeme, oleksmitmest kohast juurdepääs. Kui side nende salvestusressurssidega katkeb,avaldab see virtuaalsetele IT-süsteemidele sellist mõju, nagu eemaldataksfüüsiliselt serverilt töö käigus kõvaketas. Kuna salvestusressurssidele sal-vestusvõrgus on tihti salvestatud rohkem kui üks virtuaalne IT-süsteem,on väljalangemise korral paljude virtuaalsete IT-süsteemide tööprotsessiturvaline kulgemine häiritud. Väljalangemisest puudutatud virtuaalsetes IT-süsteemides ja virtualiseerimisserverites võib väljalangemise korral tekkidafailisüsteemi ebapüsivus, mis nõuab mõnikord ulatuslikke taastemeetmeid.

527 / 781

G 4.76 Virtualiseerimissüsteemide haldusserverite tõrge

Mitme virtualiseerimisserveri abil saab üles ehitada virtuaalse taristu. Seejuuresühendatakse virtualiseerimisserverid üksteisega viisil, et nendel töötavad virtuaal-sed IT-süsteemid käivitatakse alati virtualiseerimisserveril, mis suudab pakkudasellele IT-süsteemile optimaalset jõudlust. Kui üks virtualiseerimisserver suudabfunktsioneerivale IT-süsteemile rohkem ressursse pakkuda (dünaamiline ressurs-side jaotamine, nt Citrix XenServer Workload Balancing või VMware Dynamic Re-source Scheduling), on isegi võimalik seda IT-süsteemi migratsiooni abil (Live Mig-ration) vabade ressurssidega IT-süsteemile teisaldada. Lisaks saab virtuaalseteIT-süsteemide käideldavust tõsta kõrge käideldavuse tagamise mehhanismideganagu väljalangenud virtuaalsete masinate automaatse taaskäivitamise funktsioon.Virtualiseerimistooted, mis saavad sellist tsentraalset haldusserverit kasutada, onnäiteks Citrix XenServer, Microsoft Hyper-V või VMware ESX. Haldusserver ( Cit-rix XenCenter, Microsofi System Center Virtual Machine Manager, SUN Manage-ment Center või Vmware vCenter ) omab reeglina samuti seirekomponente, milleabil on võimalik virtuaalsete IT-süsteemide funktsiooni ja virtualiseerimisserveritjärelevalve all hoida.

• Juhtimiskomponentide tõrge - kuna haldusserveri kaudu toimub virtuaal-se taristu kõikide funktsioonide juhtimine ja haldamine, loob haldussüsteemitõrge olukorra, kus ei ole võimalik läbi viia taristu konfiguratsioonimuuda-tusi. Administraatoritel on sel ajal aega reageerida kas esilekerkivatele prob-leemidele nagu ressursside puudumine või üksikute virtualiseerimiserveriteväljalangemine või integreerida taristusse veel üks virtualiseerimisserver võisisse seada uued virtuaalsed IT-süsteemid. Ka funktsioonid nagu Live Mig-ration ja koos sellega ressursside dünaamiline jaotamine üksikutele külalis-süsteemidele ei ole enam kättesaadavad, kuna selliseid funktsioone koordi-neeriv instants ei ole enam töökindlas seisundis. Tulemusena ei reageeri vir-tuaalne taristu enam automaatselt ressursside puudusele ning negatiivselton mõjutatud ka jõudlus ja üksikute virtuaalsete IT-süsteemide käideldavus.See tekib eriti siis, kui virtualiseerimisserverite ressursid on ülebroneeritud.

• Seirekomponentide tõrge - lisaks sellele teostab haldusserver järeleval-vet virtualiseerimisserverite ja nendel käitatavate virtuaalsete IT-süsteemidetalitlushäirete üle. Kui haldusserver või selle seirekomponent edastab va-lesid andmeid või ei edasta neid üldse, ei saa administraatorid teostada vir-tuaalse taristu funktsiooni üle enam küllaldast järelevalvet. Sellega seosestekib oht, et probleemid ressurssidega jäävad virtuaalses taristus märkama-tuks ning virtuaalset taristut ei laiendata õigeaegselt. Üksikute virtuaalseteIT-süsteemide tõrge võib samuti jääda õigeaegselt märkamata, kui virtuaal-se taristu järelevalve ei funktsioneeri. Lisaks sellele võib isegi virtualisee-rimisserverite tõrge märkamatuks jääda, kui sellel töötavad virtuaalsed IT-süsteemid on migreeritud teisele virtualiseerimisserverile ning sellega seo-ses ei toimu arvutuskeskuses teenuste väljalangemist, haldus- ja järelevalvetarkvara veast tingitud tõrget aga ei signaliseerita. Sellega seoses oleva va-rude vähenemise tõttu võib virtuaalse taristu käideldavus oluliselt langeda.

Näide

• Organisatsoon käitab mitmeid virtualiseerimiservereid, mis on koonda-tud kaheks farmiks. Nendes farmides käitatakse mitmeid virtuaalseid IT-

528 / 781

süsteeme. Virtualiseerimisserverid on jaotatud kahte farmi, kuna erinevatekaitsenõuete tõttu ei saa teatud kindlaid virtuaalseid IT-süsteeme koos teis-tega käitada. Mõlema farmi kavandamisel on vajalike virtualiseerimisserve-rite arv kindlaks määratud tulevase jõudlusnõude prognoosi põhjal. Mõneaja pärast selgub, et prognoos ei pea paika. Tehakse kindlaks, et esime-ses farmis on vaja veel üht virtualiseerimisserverit, et katta virtuaalsete IT-süsteemide vajadust jõudluse järele. Virtualiseerimisserverite administraa-torid teevad pärast teise farmi jõudlusanalüüsi kindlaks, et selle prognoosi-tud töövõime ei ole kaugeltki maksimaalselt ära kasutatud. Seetõttu otsusta-takse uut virtualiseerimisserverit mitte muretseda, vaid paigutada üks teisestfarmist esimesse. Sellega koos viiakse virtuaalsed IT-süsteemid virtualisee-rimisserverilt, mis tuleb ümber paigutada esimesse farmi, üle teistele ningserver ühendatakse esimesse farmi. Selle tagajärjel broneeritakse teise far-mi ressursid tugevasti üle ning jõudluse osas tekib suur puudujääk. Sellegaei osatud jõudlusanalüüsi tulemusi silmas pidades arvestada. VirtuaalseteIT-süsteemide jõudluse märkimisväärse vähenemise põhjuseks teises far-mis oli asjaolu, et selle farmi haldussüsteem oli üksikute virtualiseerimisser-verite jõudluse valesti kindlaks määranud ning näidanud ressursside kuluoluliselt madalamana.

529 / 781

G 4.77 Külastaja tööriistade valest funktsioonist virtuaalseskeskkonnas tingitud ressursside kitsaskohad

Paljud virtualiseerimistooted võimaldavad installeerida virtuaalsetesse IT-süsteemidesse nn külastaja tööriistu. Need on ühelt poolt selleks, et andavirtuaalse masina virtuaalsete riistvarakomponentide käsutusse spetsiaalsedoptimeeritud seadmedraiverid. Teiselt poolt võib virtualiseerimisserver teatudtoodete puhul külastaja tööriistade kaudu juhtida virtuaalse IT-süsteemi ressurs-side kasutamist. See on eriti vajalik juhul, kui rakendatav virtualiseerimistoodevõimaldab ressursside nagu töösalvesti või kõvakettaruumi ülebroneerimist. Kuinäiteks kaks virtuaalset IT-süsteemi konkureerivad töömälu pärast, saab hostioperatsioonisüsteem või hüperviisor kätte juhatada külastaja käsutuses olevadtööriistad, reserveerida virtuaalse RAM-i ning selle füüsilise vastavuse virtuaalsesIT-süsteemis. IT-süsteem ei kasuta nüüd selle salvesti füüsilist esindust ning onkülastaja tööriistade kaudu hüperviisori kontrolli all. Hüperviisor saab nüüd sellefüüsilise salvesti teisele virtuaalsele IT-süsteemile virtuaalse RAM-na käsutusseanda. Teiselt poolt saab virtuaalne IT-süsteem külastaja tööriistade kaudu nõudajuurdepääsu ka peasalvestile. Sellist tehnikat kasutab näiteks Vmware toode ESX. Siin toimub salvesti reserveerimine nn Ballooning draiveri kaudu. See on olemaskülastaja tööriistades (VMware Tools). Lisaks sellele saab mõnede virtualiseeri-mistoodetega piirata külastaja tööriistade seadme draiverite kaudu juurdepääsuressurssidele. Nii näiteks on võimalik piirata ribalaiust, millega pöördub virtuaalneIT-süsteem võrgu või salvestusvõrgu poole. Külastaja tööriistade programmee-rimisvigadel võivad paljude funktsioonide tõttu olla kaugeleulatuvad tagajärjedvirtuaalsete IT-süsteemide tööle, kuna nendest on üheaegselt mõjutatud paljudIT-süsteemid.

• Seadmete draiverid - külastaja tööriistade kõige sagedasem rakendusots-tarve on anda virtualiseerimisserveri virtuaalsete IT-süsteemide emuleeri-tud riistvara (graafikakaardid, võrgukaardid, massisalvestid) käsutusse op-timeeritud seadme draiverid. Virtuaalne IT-süsteem saab emuleeritud riist-vara enamasti kasutada ka levinud operatsioonisüsteemide tarnekomplektikuuluvate draiverite abil, kuid optimaalne kasutamine on võimalik alles spet-siaalselt kohandatud draiveritega. Kuna neid kasutatakse üldjuhul kõikidesvirtuaalsetes IT-süsteemides, mõjutab viga draiveris kõiki virtuaalseid masi-naid.

• Salvestusressursside ülebroneerimine - kui virtualiseerimisserveri pea-salvesti broneeritakse üle ning nõuded virtuaalse IT-süsteemi salvestile kü-lastaja tööriistade kaudu arvestatakse valesti, võib protsesside käsutusesolla liiga vähe salvestusruumi.

• Vead ribalaiuse halduses - kui ribalaiuse haldamise funktsioonid on kü-lastaja tööriistades valesti programmeeritud, võivad asjakohased eeskirjadolla kasutud. Samuti võib juhtuda, et virtuaalse IT-süsteemi käsutusse an-takse liiga vähe ribalaiust või üldsegi mitte. Kui virtuaalne süsteem põhjus-tab pidevalt väga palju võrguliiklust ning seeläbi kasutab viimseni ära füü-siliselt olemasolevad ressursid, võivad kaaskannatajateks osutuda ka teistevirtuaalsete IT-süsteemide ühendused, nii et selle tagajärjel katkeb nende IT-

530 / 781

süsteemide ühendus ja käideldavus satub ohtu. Külastaja tööriistade kauduvõiks nüüd virtualiseerimisserveri administraator piirata esimese virtuaalseIT-süsteemi kasulikku ribalaiust või garanteerida teistele süsteemidele tea-tud ribalaiuse. Kui ribalaiuse reguleerimise eeskirjad ei toimi pärast külasta-ja tööriistade uuendamist programmeerimisvea tõttu, jäävad nende eeskir-jade abil taotletavad eesmärgid saavutamata. Süsteemide käideldavus onniisiis edaspidi piiratud. Kui viga külastaja tööriistades vaatamata korrektse-tele reeglitele viib antud juhul selleni, et esimese IT-süsteemi käsutuses onliiga vähe ribalaiust, võib selle süsteemi käideldavus olla piiratud, kuna seeei saa võrgule vajaliku ribalaiusega juurdepääsu. Sama kehtib ka teisteleIT-süsteemidele, mille kommunikatsioon peab olema kaitstud.

Näide

• Keskmise suurusega ettevõte käitab tervet rida virtualiseerimisservereid, etnendel oleks võimalik muud serveri taristut efektiivselt käsutusse anda. Kõikettevõttes kasutatud teenused sõltuvad otseselt või kaudselt virtuaalse ta-ristu virtuaalsetest IT-süsteemidest. Seal töötavad sellised süsteemid nagukataloogiteenus, tsentraalne meiliserver ja ERP-süsteem. Lisaks sellele käi-tatakse faili- ja printservereid virtuaalsete IT-süsteemidena. Need süstee-mid funktsioneerivad mõnda aega häireteta. Pärast virtualiseerimistarkvarauuendamist virtualiseerimisserveritel näitas virtualiseerimisserverite tsent-raalne haldustarkvara, et virtuaalsete IT-süsteemide külastaja tööriistad eiole enam aktuaalsed. Volitatud administraator otsustab külastaja tööriistadvirtuaalsetes IT-süsteemides aktualiseerida. Tal ei ole varem seoses uuen-duste tegemisega olnud halbu kogemusi. Kuna tal ei ole administraatoriõi-gusi kõikidel virtuaalsetel IT-süsteemidel, kasutab ta aktualiseerimiseks vir-tualiseerimisserverite funktsiooni, mis võimaldab uuendada tööriistu kõikidelvirtualiseerimisserveritel ilma üksikute virtuaalsete IT-süsteemide interakt-sioonita. Ta alustab ühel päeval uuenduste tegemist kaks tundi enne tööa-ja algust. Ta jälgib, kuidas külastaja tööriistad virtuaalsetes IT-süsteemidesuuesti installeeritakse ning ei märka esialgu ühtki viga, kuna virtuaalsetesüsteemide konsoolil ei registreerita neid. Pärast seda, kui teatud arv vir-tuaalseid IT-süsteeme on uuendatud, märkab ta, et need pole enam võrgugaseotud. Ta uurib probleemi ja teeb kindlaks, et külastaja tööriistade osadenaon uuendatud ka virtuaalsete IT-süsteemide võrgukaardi draivereid. Tege-mist on tootja veaga, mis viib selleni, et virtuaalsete IT-süsteemide operat-sioonisüsteemid peavad virtuaalset võrgukaarti uueks riistvaraks. Seetõttuon võrgukaart konfigureerimata. Alles siis, kui teised administraatorid töölejõuavad, saab võrgukaardid uuesti konfigureerida. Selle ajani puudub palju-del töötajatel ettevõttes juurdepääs oma andmetele ning palju tööaega lähebkaotsi.

531 / 781

G 4.78 Virtuaalsete masinate väljalangemine lõpetamataandmevarundusprotsesside tõttu

Klassikalised andmevarundusmeetodid põhinevad agentidel, mis installeeritaksevarundatavatele IT-süsteemidele. Need agendid edastavad varundatavad andmedIT-süsteemilt andmevarundusserverile. See omakorda juhib andmed edasi and-mevarundusseadmetele. Salvestusvõrkude sisseseadmisega saab IT-süsteemidja nende poolt kasutatavad massisalvestid lahti ühendada. See tähendab, et and-mevarundus edastatakse andmevarundusserverile mitte enam varundatava IT-süsteemi enda, vaid salvestusvõrgu poolt. Mõnede salvestusvõrgutoodete puhulon andmesalvestusseadmed ise salvestusvõrgu osad ning nende juhtimine toimubvaid andmevarundusserveri abil. Seeläbi vabastatakse varundatud IT-süsteem jaandmevarundusserver varundatud andmete transportimisest.

Seda kavandit jäljendavad ja laiendavad mõned virtualisserimistooted. Nii saa-vad virtualiseerimisserverid anda andmevarundussüsteemi käsutusse virtuaalse-te IT-süsteemide massisalvesti (virtuaalsed kõvakettad), et andmevarundussüs-teem saaks massisalvestil asuvad andmed varundada. See virtuaalne kõvaketaspeaks olema konsistentses seisundis, et varundusse ei satuks mittekonsistentsedandmed. Selle saavutamiseks külmutatakse virtuaalse kõvaketta sisu (snapshot).See protseduur on varundatud virtuaalse IT-süsteemi jaoks täiesti transparentne.Kuna varundatav IT-süsteem töötab edasi ja kõvakettal toimuvad ikka muutused,kirjutatakse need muutused erinevusfaili. Seejuures kasvab IT-süsteemi poolt va-jatav salvestusruum. Selle erinevusfaili suurus sõltub sellest, kui palju muutusi toi-mub varundamise jooksul virtuaalse IT-süsteemi failisüsteemis. Kui andmete va-rundamine on lõppenud, kohandatakse muutused külmutatud seisundiga ja erine-vusfail kustutatakse. Kui andmevarundusprotsess virtualiseerimiskeskkonnas eiõnnestu selle pika toimumisaja või kommunikatsiooniprobleemide tõttu täielikult,võib sisseseatud erinevusfail, kui loodi snapshot, väga suureks paisuda. See võibjääb alatiseks püsima, kui andmevarundusprotsess ootamatult katkeb. See võibviia olukorrani, et salvestusruum, milles paiknevad varundatava virtuaalse masinakõvakettad, on täiesti ammendunud, eriti siis, kui sel viisil varundatakse samaaeg-selt mitut virtuaalset IT-süsteemi. Kui salvestusruum, mida on vaja eespool maini-tud erinevusfaili jaoks, on ammendunud, ei anna virtualiseerimisserver virtuaalse-le IT-süsteemile edasist kirjutusõigust virtuaalsele kõvakettale ning tekib virtuaalseIT-süsteemi tõrge. Kui operatsioonisüsteem ei suuda veast tingitud probleeme ta-sakaalustada, võib see viia virtuaalse IT-süsteemi kokkuvarisemiseni.

Näide

• Arvutuskeskuse käitaja on virtualiseerinud terve hulga serverisüsteeme.Nendel serveritel töödeldakse iga päev suurel hulgal andmeid. Neid and-meid tuleb iga päev varundada. Suurel hulgal andmete varundamine on vir-tuaalsetele süsteemidele suureks koormaks ning ei saa enam teha ainultöösiti. Seepärast tekib tavapärasel tööajal probleeme jõudlusega. Seetõttuotsustati, et andmevarundust ei viida enam läbi klassikalisel agentidel põ-hineval viisil, vaid snapshot ’e kasutades. Need seatakse alati õhtul teatudkindlal ajal sisse, andmed varundatakse ja niipea, kui varundusprotsess onlõppenud, kustutatakse snapshot ’id jälle. Niisugune lahendus kulgeb mõn-da aega häireteta, kuid andmevarunduse maht kasvab peagi nii suureks,

532 / 781

et uus andmevarundusprotsess vallandatakse enne, kui vana on lõppenud.Veidi aja pärast tekib kõikide virtuaalsete IT-süsteemide tõrge virtualiseeri-misserveril, kuna käsutuses olev salvestusruum on ammendunud.

533 / 781

G 4.79 Bluetooth’i kasutuselevõtul tehtud vead

Bluetooth’i spetsifikatsioonidesse on jäetud suur vabadus, kuidas neis kirjeldatudfunktsioone ellu rakendada. Juba Bluetooth’i spetsifikatsioonid ise sisaldavad pal-ju turvaaukusid ning sõltuvalt Bluetooth-seadmete rakendamisest võib lisandudaka uusi. Lõppseadmete Bluetooth-rakenduste, st Bluetooth’i spetsifikatsioonideturvaaukude ärakasutamiseks on teada erinevad ründemeetodid. Järgneb üle-vaade tuntumatest ründemeetoditest:

• Bluejacking - Bluejacking on koondmõiste, mille alla kuuluvad ründemee-todid, kus ühest Bluetooth-lõppseadmest, nt mobiiltelefonist või pihuarvu-tist saadetakse Bluetooth funktsiooni abil tekstisõnum mõnda võõrasseBluetooth’i toega seadmesse. Sõnumi eesmärgiks on paljudel juhtudel sel-le adressaadile hämmeldust tekitada. Tüüpilisteks sõnumiteks on sellisteljuhtudel nt „Sul on päris ilusad punased püksid“, „Cebitit külastades tuleksoma mobiilil paremini silm peal hoida“ või lihtsalt „Hello, you’ve been bluejac-ked“. Selliste sõnumitega edastatakse infot, et ühelt poolt on reaalse ründetoimepanek vägagi kerge ning teiselt poolt seda, et teid jälgitakse. Kunaaga Bluetooth töötab ainult lähiümbruses, pole selles iseenesest mitte mi-dagi hämmastavat. Tekstisõnum, mida sellistel juhtudel edastatakse, poletegelikult ei midagi muud kui edastusrežiimil töötava Bluetooth-seadme ni-mi, mida on kujundatud, nii et see muutub sõnumiks. Ühenduse loomisekstehtava päringu raames kuvatakse päritava Bluetooth-seadme nimi tavali-selt päringu esitanud seadme ekraanile. Bluetooth-seadme nime saab isevabalt valida ning see võib olla kuni 248-kohaline. Seetõttu on võimalik kanime väärkasutus eesmärgiga edastada lühikesi sõnumeid, et inimesi sega-dusse ajada.

• Blueprint - Blueprint nimelise ründemeetodiga on võimalik välja lugedaBluetooth-lõppseadme tunnus (ID). ID põhjal on võimalik tuvastada lõpp-seadme mudelit. Pärast ID teadasaamist ja analüüsimist, millised on vastavaseadmemudeli turvaaugud, saab hakata tegema ettevalmistusi sihipäraseksründeks.

• Bluesnarfing - Bluesnarfing tähistab Bluetooth-mobiiltelefonides leiduva-te andmete nagu aadressiraamatute ja kalendrisissekannete spioneeri-mist nõnda, et telefoni omanik seda ei märka. Bluesnarfing kasutab äraBluetooth-mobiiltelefonide turvaauku. Mõningate mudelite korral on võimaliksalvestatud andmetele piiranguteta ligi pääseda, kui Bluetoothi funktsioonon sisse lülitatud ja telefon töötab režiimil „nähtav“. Bluesnarfing’ u korralkasutatakse sarnaselt Bluejacking ründemeetodile ära lõppseadmes valestitööle rakendatud Object Exchange profiili. Ründega on võimalik Bluetooth-lõppseadmega saavutada otseühendus ja sealt ükskõik milliseid salvestatudandmeid välja lugeda. Niimoodi saab mobiiltelefonidest hankida andmeid, ntaadressiraamatuid, ilma et kasutajad seda märkaksid.Sama ründemeetodi-ga on mobiiltelefonidest ja nutitelefonidest võimalik välja lugeda ka lõpp-seadme IMEI-koodi (International Mobile Equipment Identity). Iga lõppsead-me IMEI-kood on ainulaadne ning selle teadasaamisel on ründe toimepa-nijal võimalik sissetulevad kõned oma suva järgi mõnda teise seadmesse

534 / 781

ümber suunata, teeseldes, et tema seade on see seade, millele taheti alg-selt helistada. Bluesnarfing ++-ründemeetodiga kaasneb täiendav võimalussaavutada lõppseadme suhtes kirjutusõigusega juurdepääs.

• Bluebugging - Bluebugging ründemeetod suudab enda hüvanguks ära kasu-tada mõningate vanemate seadmete vigaseid Bluetooth-rakendusi, et pan-na toime rünnet kas otse seadme vastu või saavutada kontroll seadmeüle. Bluetooth funktsiooniga seadmes hoitavate andmete hankimiseks võilõppseadme seadistuste muutmiseks kasutatakse ära Bluetooth-protokolliRFCOMM (Radio Frequency Communication) kanaleid nr 16 ja 17, mil-le algseks otstarbeks on jadaliideste emuleerimine. Lisaks on võimalikBluebugging ründemeetodiga alustada kõnesid, et sellega kulusid tekitadavõi kasutaja tehtavaid kõnesid jälgida. Bluebugging võimaldab pärssida kateiste seadmefunktsioonide kasutamist. Vanemate lõppseadmete korral eisaa kasutaja mitte mingisugust infot selle kohta, et tema seadet rünnatak-se. Uuemates seadmetes kuvatakse enamasti mingi hoiatus, et mõni teineseade püüab teie seadmega ühendust luua.

• Bluesniping - Bluesniping tüüpi rünnete puhul on tegu sihipäraste Bluetooth-seadmete vastaste rünnetega, mis toimuvad pikkade vahemaade tagantning milleks kasutatakse suunatavaid antenne. Laborikatsetes on õnnestu-nud katta kuni kahe kilomeetri pikkuseid vahemaid. Bluesniping võimaldablaiendada Bluetooth’i erinevate ründamismeetodite tegutsemispiirkonda.

• Denial of Service/ BlueSmacking - Bluetoothi vastu suunatud Denial-of-Service tüüpi ründed seavad enamasti eesmärgiks Bluetooth-liidedesekompromiteerimise, et muuta seadme kasutamine võimatuks, nt saates jär-jepidevalt Pairing-tüüpi päringuid, millele on tarvis vastata või koormatesseadme akut nõnda, et see kiirelt tühjeneb. Bluetooth-keskkonna tüüpili-seks Denial-of-Service -ründeks on BlueSmacking . Selleks kasutatakse äraL2CAP-päringuid, eesmärgiga halvata samaaegselt kõikide levialas asuvateBluetooth-seadmete töö. L2CAP-päringu „Echo Request“ peamiseks raken-duseks on sarnaselt Ping-käsule testida valmisolekut vastuvõtuks ja ühen-duse kiirust.

535 / 781

G 4.80 Bluetooth’i ebausaldusväärsed või puuduvadturvamehhanismid

Bluetooth-spetsifikatsioonides kirjeldatud ja tootjate poolt vastavalt tööle raken-datud turvamehhanismides on mitmeid põhimõttelisi vigu. Järgnevalt lühidaltmõningad näited:

• Krüpteerimisprotseduur on valikuline - sõltumata sellest, millist turvarežii-mi seadmes kasutatakse, on Bluetooth funktsiooniga edastatavate andmetekrüpteerimine valikuline ning kasutaja peab selle ise eraldi tellima.

• Ebaturvalised eelseadistused - tootjate tehtud eelseadistused ei ole sageliturvalise konfiguratsiooniga. Turvamehhanismid nagu autentimine ja krüp-teerimine on sageli välja lülitatud ning paroolid ja PIN-koodid on reeglinastandardväärtusega („0000“, „1234“ jne). Seadmetel, millel puudub andme-te sisestamisvõimalus, nt peakomplektidel, pole eelseadistatud väärtustemuutmine kas üldse võimalik või ainult suure vaevaga.

• Nõrkade PIN-koodide äraarvamine ilma Secure Simple Pairing’ uta (SSP)Bluetooth’idel - kahe Bluetooth-seadme pairing -funktsiooni kasutadesluuakse ühenduse võti ja see salvestatakse püsivalt mõlema seadme mällu.Võtme genereerimine põhineb muuhulgas seadmeaadressil ja PIN-koodil.Protseduuriga Secure Simple Pairing (SSP) tekitatakse ühenduse loomiselturvaline kanal, kui SSP-d ei kasutata, edastatakse autentimisandmed krü-peerimata kujul. Juhul kui kahe seadme ühendamisel kasutatakse nõrkaPIN-koodi, võib ründaja PIN-koodi ära arvata ja selle põhjal endale ühen-duse tagajärjel genereeritava võtme välja arvutada. Selleks peab ründajapealt kuulama vaid pairing -funktsiooni läbiviimist ja sellele järgnevat au-tentimist. Kui SSP-d ei kasutata, saab ründaja pealtkuulatud protokollidesalvestiste põhjal kontrollida, kas ta arvas PIN-i ära või mitte. Turvalisuseseisukohast tuleks käsitleda kriitilisena asjaolu, et ilma SSP-ta Bluetooth’ikorral lisandub ühendusvõtme genereerimisprotseduuri ainukese salajaseparameetrina vaid PIN-kood. Kogemused on näidanud, et nii kasutajate kuika tootjate eelistusi nõrkade turvaseadistuste suhtes on väga raske mur-da. Bluetooth-seadmeid, mis kehtestaksid kasutajatele PIN-koodi minimaal-se pikkuse ja keerukuse, peaaegu et ei leidu. Reeglina jääb see kasutajaotsustada, millise PIN-koodi ta endale valib.

• Poolpüsivate ühenduste korduvlähtestamine ilma SSP-ta Bluetooth’i korral- Bluetooth’i spetsifikatsioon näeb ette võimaluse korduvaks autentimiseks,nt juhtudel, kus tuvastatakse, et kahe seadme ühendamiseks kasutatav võtion ühest seadmest kaotsi läinud. Selline olukord loob ründe toimepanijalevõimaluse oodata ära sobiv moment, et paigaldada mõlemasse seadmessevastav andmepakett, mis käivitaks toimiva andmesideühenduse taaslähtes-tamise. Sellega kutsutakse esile täiendav pairing -funktsioon ning seejärelsaab ühendust pealt kuulata.

• Piisava võtmepikkuse kehtestamata jätmine - lisaks autentimiseks kasutata-va PIN-koodi pikkusele ja keerukusele (Bluetoothi kasutamisel ilma SSP-ta)on turbe seisukohast oluline ka edastatavate andmete krüpteerimiseks ka-sutatavate võtmete pikkus. Bluetooth’i spetsifikatsioon näeb autentimiseks

536 / 781

kasutatavatele võtmetele küll ette, et nende võtmepikkus peab olema 128bitti, kuid andmepaketi ülejäänud sisu krüpteerimiseks kasutatavate võtme-te pikkused võivad varieeruda. Reaalselt kasutatava võtmepikkuse lepivadseadmed omavahel kokku ühenduse loomise protsessi käigus. Bluetooth’ispetsifikatsioon lubab kasutada võtmepikkuseid vahemikus 8–128 bitti, mistähendab, et minimaalse ehk 8-bitise võtme kasutamine ei riku spetsifikat-sioonis sätestatud nõudeid.

• Spetsifikatsioonis välistatakse koguni selge sõnaga võimalus, et kasutajavõiks ise minimaalset võtmepikkust muuta. Võtmepikkusi tohivad defineeri-da ainult tootjad, määrates need tehaseseadetega. Seega sõltub krüpteeri-misel saavutatav kvaliteet ainuüksi tootja valikutest ja otsustest.

• Nõrk tervikluse kaitse - tervikluse tagamiseks rakendatakse Cyclic Re-dundancy Check’ i (CRC-d, protseduuri, mis peab tuvastama edastamisekäigus tekkinud vigu, tuginedes kontrollsummale). Selle rakendamisega tu-vastatakse küll suure tõenäosusega kõikvõimalikud andmepakettide edas-tamise käigus tekkinud juhuslikud tõrked, kuid andmepakettide sihipärasemanipuleerimise vastu pole CRC-tüüpi protseduuridest mitte vähematki ka-su.

• Juhuarvugeneraatorite kvaliteet - juhuarvude genereerimiseks näevadBluetooth’i spetsifikatsioonid 1.x ja 2.0 + EDR ette, et kasutada tuleb nnpseudojuhuarvugeneraatorit. Samas on jäetud märkimata, kuidas seda ra-kendada. Seetõttu ei saa välistada, et kasutatavates juhuarvugeneraatoritesvõib leiduda turvaaukusid, mida võib õnnestuda ära kasutada krüptograa-filiste protseduuride muukimiseks. Bluetooth’i spetsifikatsioonis alates ver-sioonist 2.1 + EDR nõutakse seevastu juhuarvugeneraatori kasutamist, misvastab normile FIPS 140-2.

• Lühendatud lähtestamisvektor - iga edastatud andmepakett krüpteeritakseuue lähtestamisvektoriga. Vektor arvutatakse muu hulgas Masteri poolt etteantud aja põhjal. Samas „unustatakse“ ajamääratluse kõige kõrgema väär-tusega bitt lihtsalt ära. Selle tagajärjel on võimalik isegi sisselülitatud krüp-teerimisfunktsiooni korral toime panna Man-in-the-Middle -tüüpi ründeid, ku-na lähtestusvektori hüppesageduses on alati kaks erinevat ofseti. Man-in-the-Middle -tüüpi ründed võimaldavad õnneks siiski vaid andmevoogu ma-nipuleerida, mitte dekrüpteerida.

• Krüpteeritud andmete manipuleerimine - voošifrite omaduste tõttu, mis aval-duvad koostöös tervikluse kaitseks rakendatava CRC-ga, on võimalik muutašifri tüüpi, nii et andmepaketi adressaat käsitleb vastavat šifrit jätkuvalt keh-tivana. Nõnda on ilma SSP-ta Bluetooth’i korral võimalik Man-in-the-Middle-tüüpi ründega sihipäraselt manipuleerida IP-Headerit.

537 / 781

G 4.81 Laiendatud õigused terminaliserveril programmdialoogikaudu

Terminaliserveri turvaline konfiguratsioon näeb ette piiratud ligipääsu. Kasutajaletohib pakkuda ja käivitamiseks lubada ainult Whitlist is paiknevaid rakendusi.Reeglina keelustatakse ligipääs kogu töölauale (Desktop), mis hõlmab suurel hul-gal rakenduste käivitus- ja interaktsioonivõimalusi. Tihti on programmidialoogidekaudu vabaks antud rakendustes võimalik käivitada teisi rakendusi ja laiendadaoma kirjutus- ja lugemisõigusi.

• Volitamata ligipääs failidele - ligipääsuks terminaliserveri turvamata kataloo-gidele ja ajamitele on põhilisteks ründepunktideks dialoogid, milles on või-malik faile avada ja salvestada. Ilma erilise ettevalmistuseta on näiteks Win-dowsil põhinevate lahenduste kasutajad võimelised ligi pääsema tegelikultpeidetud ja operatsioonisüsteemi sisaldavale kettale M. Unixil põhinevatelahenduste korral on samuti võimalik ilma vastava õiguskontseptita kataloo-gipuus paiknevatele ressurssidele ligi pääseda. Ka näiliselt ohutud dialoo-gid, näiteks abifunktsioonid, printimisdialoogid jne, võivad sisaldada menüü-punkte, mis võimaldavad terminaliserveris luurata.

• Directory Traversal - Directory Traversal kaudu on võimalik vahetada üle-valpool asuvatesse failikaustadesse. Selleks võib kataloogistruktuuris liiku-miseks kasutada näiteks nuppe. Kui need on süsteemiadministraatori pooltdesaktiveeritud, saab sellest kaitsest mööda hiilida, kui sisestada otse mär-gijada, näiteks Unixi all “../” või Windowsi all “..\”.

• Ühtne ressursi-indikaator (Uniform Ressource Identifier - URI) - tuvastab niivirtuaalsed kui ka füüsilised ressursid ja ühendab seeläbi lokaalsed või ser-verile asetatud failid lokaalselt installeeritud rakendustega. URI-le klõpsa-misel avatakse määratud fail koos eelnevalt kindlaks määratud rakenduse-ga. Siin saab kasutaja teatud juhtudel otsese ligipääsu failile, mille kausta tatavaliselt ei saa siseneda. Kasutaja ei pea samuti teadma, millises kaustaskindlaks määratud rakendus paikneb ja võib niimoodi ligi pääseda raken-dustele, millele ta tegelikult ligi pääseda ei tohiks. Lisaks algselt brauserisdefineeritud URI tüüpide http:// ja ftp:// on olemas veel palju teisi tüüpe, millekasutamine ei ole piiratud ainult dialoogidega veebirakendustes. RFC4395kohaselt hoiab aktuaalset ülevaadet IANA (Internet Assigned Numbers Aut-hority ). Lisaks sellele registreerivad mõningad programmid mõningaid URI-sid, mis ei ole veel standardi osa.

Näited sagedasti registreeritud URI-de kohta:

• file:// - Lubab ligipääsu lokaalsele failisüsteemile• tftp:// - Triviaalne failiedastusprotokoll (Trivial File Transfer Protocol - TFTP)

lubab teatud juhtude ligipääsu süsteemifailidele, näiteks marsruuter, printerjne.

• mailto:// - käivitab süsteemi vaikeseadistustes oleva meiliprogrammi• telnet:// - käivitab Telnet rakenduse• nfs:// - võrgu-failisüsteemi protokoll (Network File System Protocol - NFS),

ligipääs NFS-failiserverile

538 / 781

• skype://, callto:// - Sidumine VOIP (Voice Over IP) rakendusega

539 / 781

G 4.82 Terminaliserveri rivist väljalangemine ja mitte kättesaadavus

Klassikalise klient-server arhitektuuri korral teostatakse rakendused nagu teks-titöötlusprogrammid otse kasutaja arvutil. Kui hetkel vajaliku serveriga puudubühendus, saab sõltuvalt rakendusest ilma sünkroniseerimata kliendil edasi töö-tada. Näiteks saab sedasi võrgu rivist väljalangemise korral avatud dokumendisalvestada failiserverile ka hilisemal ajahetkel. Kui meiliserver ei ole ajutiselt kät-tesaadav, salvestatakse teade meiliserveri poolt ja edastatakse viivitusega. Tea-tud juhtudel ei märkagi kasutaja seda vahejuhtumit. Terminaliserverite korral teos-tatakse rakendused keskselt ja edastatakse siis vastavale terminalile. Kui termi-naliserver ei ole kättesaadav, ei saa enam kasutaja sisestusi töödelda ja serveripoolt võimaldatud rakendused lõpetavad kohe töö. Kui kliendid, nagu näiteks ThinClient keskkond, hangivad kogu oma kasutajaliidese koos operatsioonisüsteemi-ga eemal asuvalt serverilt, langeb kasutaja vaatepunktist vaadatuna IT-süsteemtäielikult välja. Võrkude või terminaliserverite rivist väljalangemisest ei ole reegli-na puudutatud ainult üksikud kasutajad. Paljudel juhtudel sõltuvad terminaliserve-rist paljud või isegi kõik institutsiooni kliendid. Kui üks terminaliserver langeb rivistvälja, on sellest korraga puudutatud suur hulk kasutajaid.

Näide

• Teenusepakkuja paigaldab oma ettevõtte mitmes harus sisse terminaliser-verid. Selle tarvis muretsetakse küll mitu terminaliserverit, aga ühe keskseterminaliserverite farmi asemel saab ettevõtte iga haru enda terminaliser-veri. Seeläbi saab koormuse tasakaalustaja pealt kulutusi kokku hoida ningsideteed kliendi ja serveri vahel on lühemad. Kui terminaliserverid on paarkuud stabiilselt töötanud, langeb üks terminaliserver rivist välja ning koguettevõtte haru ei saa kuni selle parandamiseni enam tööd teha. Veel mõnekuu möödudes oli üks teine ettevõtteharu võimeline laienema ja sai seeläbitööle võtta mitmed uued töötajad. Sellest tulenev terminaliserveri suurene-nud koormus tasakaalustati seeläbi, et uued töötajad jaotati laiali ettevõtteteise harude vähem koormatud terminaliserverite vahel. See põhjustas ter-minaliserveritel struktureerimata kaose ja tõi endaga kaasa suured organi-satsioonilised jõupingutused.

540 / 781

G 4.83 Enda arendatud makrode väärfunktsioonid Outlookis

Paljud tarkvaratootjad lisavad koostalitusvõime suurendamiseks enda tarkvaratöö-riistadesse ja rakendustesse programmeerimisliidesed, nt Application Program-ming Interface (API). Need liidesed võimaldavad kasutada ka teistes programmi-des toimivaid funktsioone ja suurendavad sellega rakenduse funktsioonivalikut.Puudusena tuleb aga esile tuua, et makrodes tehtud võimalikud valearvestusedpõhjustavad suurt ohtu. Enda arendatud tarkvara võidakse ettekavatsetult kasuta-da rünneteks (vt G 5.164 Programmeerimisliideste väärkasutus Outlookis ). Mic-rosoft Outlooki jaoks on olemas programmeerimisliidesed, millega kasutajad saa-vad endale kirjutada isiklikke rakendusi või funktsioonilaiendusi (makrosid), missuudavad klientsüsteemis teateid, kalendrimärkmeid ja tööülesandeid nii saata kuika vastu võtta.

Näide

• Makrot kasutatakse meilide skannimiseks, et koguda statistika otstarbelnendest võtmesõnu. Indeksivea tõttu loendab makro võtmesõnu valesti. Sel-le tagajärjel käivituvad väärad, st planeerimata majanduslikud protsessid, ntostu- või müügitehingud.

541 / 781

G 4.84 Veebirakenduste sisendi- ja välundiandmete ebapiisavvalideerimine

Veebirakendusi kasutavad enamasti geneerilised klientprogrammid (veebilehitse-jad), mis tähendab, et kasutajad saavad serveritesse saata mis tahes sisendiand-meid. Kui veebirakendus asub töötlema ründaja sisestatud andmeid, võib juhtuda,et selle tagajärjel saab ründaja veebirakenduse turbemehhanismidest mööda hii-lida. Veebirakenduste vastu toime pandavate rünnete hulka, mis põhinevad sisen-diandmete ebatõhusal valideerimisel, kuuluvad SQL Injection (vt G 5.131 SQL-injektsioon ), Path Traversal (vt G 5.172 Veebirakenduste autentimise eiramine )ja Remote File Inclusion. Nende rünnetega võivad volitamata isikud saada juurde-pääsu operatsioonisüsteemile või taustsüsteemidele. Eduka ründe korral võidaksekaitset vajavaid andmeid volitamatult lugeda ja manipuleerida.

Pärast seda, kui veebirakendus on sisestatud andmete töötlemise lõpetanud,leiab enamasti aset ka andmete väljastamine. Väljundiandmeid saab edastadakas kasutaja veebilehitsejale (nt seisunditeadetena või uute sissekannetena kü-lalisteraamatus) või järgasetusega süsteemidele. Kui väljundiandmeid ei validee-rita piisavalt, on oht, et need võivad sisaldada pahavarakoodi, mida sihtsüsteemidasuvad interpreteerima või ka käivitama.

Järgnevalt on toodud näiteid ohtudest, mis kaasnevad nii sisendi- kui kaväljundiandmete puuduliku valideerimisega.

• Veebirakenduse turbefunktsioon rakendab kasutajasisestusi andmebaasi-pöörduste koostamiseks, kuid ei filtreeri kasutajasisestusi. Sellist olukordasaab ründaja enda huvides ära kasutada, koostades otsingu, mis sisaldabotsingusõna kõrval ka andmebaasile mõeldud käske. Kuna andmebaasistehtavate otsingute puhul kasutajate sisestusi ei filtreerita, asubki andme-baas antud käske täitma. Nii võib ründaja saada endale otsejuurdepääsuandmebaasile.

• Veebirakenduses on olemas failide üleslaadimise funktsioon, mille failitüü-pide loetelu on piiratud. Failitüübi kindlakstegemiseks kontrollib veebiraken-dus üksnes faililaiendit ja ei pööra üldse tähelepanu faili sisule. Kui failideüleslaadimiseks kasutatakse lubatud laiendit, on võimalik mis tahes sisugafaile serverisse üles laadida.

• Kui rakendatakse filtreerimiskomponenti, mis muudab ja kohandab (sani-tizing) sisendiandmeid automaatselt, saab ründaja sihipäraste andmesises-tustega filtreerimiskomponendi tööd juhtida nii, et tekib ründevektor.

• Sisendi- ja väljundiandmed võivad olla väga erinevates kodeeringutes (ntUTF-8 või ISO 8859-1) ja noteeringutes (nt UTF-8 puhul kehtib: “.” = “2E”= “C0 AE”). Kasutatavast kodeerimisskeemist olenevalt võidakse üht ja sa-ma väärtust interpreteerida erinevalt. Kui filtreerimiskomponent interpretee-rib andmeid teistmoodi kui veebirakenduse andmetöötluskomponendid, onründajal võimalik kahjulikke andmeid (nt SQL-suuniseid) kodeerida nii, et filt-reerimisprotseduur neid ei avasta. Sel viisil saab ründaja kahjulikud andmedsuunata andmetöötluskomponentidesse, kus need erineva interpreteerimis-meetodi tõttu ka käivitatakse.

542 / 781

• Filtreerimata HTML-kood kommentaarifunktsioonides - Veebirakenduseskasutatav kommenteerimisfunktsioon võimaldab tekste vormindada HTML-iga. Kuna sisendiandmed ei ole piiratud, st sisestada ei saa mitte üksnesspetsiaalseid HTML-märgendeid ( tags ), vaid ka kõike muud, võib ründajaselle funktsiooniga veebirakendusse sisestada mis tahes HTML-koodi. Niisaab ründaja veebilehe osi manipuleerida või lehe enda valdusse haarata jahakata kasutaja sisestusi püüdma (vt G 5.175 Klõpsurööv (clickjacking) ).

543 / 781

G 4.85 Veebirakenduste ebapiisav või puuduv tõrkekäsitlus

Veebirakenduse käitamisel tekkivad tõrked võivad olla ettenägematute tagajärge-dega ning ohustada veebirakenduse käideldavust ja isegi selle kasutuse peata-da. Võib juhtuda, et protsessid jäävad nõuetekohaselt lõpetamata, vahesalvesta-tud seisundid ja andmed lähevad kaduma ning turvamehhanismid lakkavad tööta-mast. Kui tõrkeid ei käsitleta korrektselt, võib see ohtu seada nii veebirakendusekäitamise kui ka veebirakenduse funktsioonide ja andmete turbe.

Näited

• Veebirakendus kasutab töö käigus tavaliselt mitmeid ressursse, nt võrgu-ja failivooge, et tagada endale juurdepääs taustsüsteemidele, vahesalvesta-tud seisunditele ja muudele andmetele. Senikaua, kuni veebirakendus neidressursse kasutab, on need enamasti veebirakenduse jaoks eksklusiivseltreserveeritud ja teised protsessid ei saa neid kasutada. Kui reserveeritudressurssides esinevaid tõrkeid ei tühistata nõuetekohaselt, st kui ressurs-se reserveeringust ei vabastata, võivad need jääda blokeeritud seisundisse.Selle tagajärjel võib tekkida andmekadu, sest näiteks vahesalvestatud muu-datusi ei saa nõuetekohaselt kirjutada.

• Kui turvakomponentide töös (nt autentimisel ja volitamisel) ilmneb tõrge ningkui tõrkeid ei käsitleta nõuetekohaselt, on oht, et päringutes soovitud toimin-guid võidakse käivitada täiesti kontrollimatult. Tegevusi, mille käivitamisestveebirakendus tavaseisundis kindlasti keelduks, võidakse tõrkeseisundis lu-bada.

• Veateated võivad kajastada liiga detailset teavet tõrke põhjuse kohta. Selli-ne teave on kasutajale sageli ebavajalik, kuid ründajale vägagi huvitav, sestsee võimaldab ründeid sihipäraselt planeerida. Sellise detailse teabe hul-ka kuuluvad näiteks stacktraces -andmed, debugging -väljundid, kehtetuteSQL-päringute veateated, andmed kasutatavate veebiserverite ja teiste ra-kenduse komponentide kohta. Brute-Force-rünneteni võivad viia ka näiliselttähtsusetu sisuga andmed, nagu kasutajatunnuse ja parooliga sisselogimiseebaõnnestumise veateated, mis annavad teavet selle kohta, et kasutajatun-nus on kasutusel, kuid sisestati vale parool. Sellisel juhul saab ründaja tea-da, et kasutajatunnus on olemas.

• Kui nõuete järgi tuleks tõrkeid käsitleda kliendis (nt veebilehitsejas), on või-malik tõrkekäsitlust manipuleerida ja protsessi välja lülitada. Nii saab ründa-ja tõrgete käsitlemist ise mõjutada ja juhtida.

544 / 781

G 4.86 Turbe jaoks oluliste sündmuste ebapiisav kontrollitavusveebirakendustes

Kui veebirakenduse turbe jaoks olulisi sündmusi ei logita piisavalt, ei ole hiljem ta-gantjärele võimalik turvaintsidente kindlaks teha ega nende põhjust välja selgita-da. Kriitilised tõrked ja ka ründed võivad jääda märkamata, mistõttu muutub nendekõrvaldamine kas väga raskeks või koguni võimatuks. Kui sellele lisaks logitakseveel ka süsteemi- ja võrgutasandi sündmusi üksnes piiratud mahus, muutub turbe-ga seotud sündmuste kindlakstegemine ja nende põhjuste väljaselgitamine veelgiraskemaks.

Näited

• Veebirakenduse turbega seotud sündmusi ei logita kas üldse või logitakseüksnes logitavate sündmuste valik vähesel määral. Seetõttu jäävad volita-mata (nt ründaja tehtud) konfiguratsioonimuudatused märkamata.

• Sündmuste puhul ei logita kõiki vajalikke parameetreid, mis tähendab, etsündmuste ebatäpne logimine protsessidest ei suudeta lõpuni aru saada (nton olemas kuupäev, kuid andmed kellaaja kohta puuduvad).

• Kui logiandmeid ei kaitsta piisavalt, võivad need langeda manipuleerimiseohvriks. Näiteks saab sel viisil ründaja kustutada andmed enda tegevusekohta ning seejärel pole turvaintsident enam kas tuvastatav või ei saa sedarohkem analüüsida.

545 / 781

G 4.87 Konfidentsiaalse info ilmsikstulek veebirakendustes

Veebilehed ja andmed, mida veebirakendus genereerib ja väljastab, võivad sisal-dada konfidentsiaalseid andmeid, mis ei ole veebirakenduse kasutamiseks häda-vajalikud (nt teave kasutatava toote, tooteversioonide või raamistike kohta). Sedalaadi teave võib aidata ründajal veebirakenduse vastu sihipäraselt ründeid pla-neerida. Kui selliste teadetega avaldatakse liiga palju detailset teavet, võib seeründaja tööd oluliselt lihtsustada. Sellist teavet võidakse edastada ka kohtades,mis ei pruugi isegi kohe meenuda (nt HTTP päised).

Näited

• Teadete tekst võib sisaldada liiga detailset teavet turbemehhanismide võiatribuutide kohta, mis ei ole veebirakenduse kasutaja jaoks olulised, kuidpakuvad ründajale potentsiaalseid ründepunkte (nt teksti „Sisestage PIN-kood” asemel kasutatakse teksti: „Sisestage 6-numbriline PIN-kood”). Selleteabe põhjal saab ründaja enda Brute-Force-rünnet täpsemini piiritleda jaseeläbi kiiremini PIN-koodi välja selgitada.

• Kommentaarid (nt HTML-i lähtetekstis) võivad sisaldada andmeid teadaole-vate vigade, tööpõhimõtete, kasutatava tehnoloogia ja taristu kohta. Selleteabe põhjal saab ründaja sihilikult veebirakenduses ja taristus leiduvaid kit-saskohti otsida ja ära kasutada. Kui kommentaarides mainitakse näiteks ra-kenduse arendustööde käigus andmebaasi jaoks kasutatud pääsuandmeid,võib juhtuda, et nende abil luuakse töötavas veebirakenduses volitamatajuurdepääs.

• Tundmatu faililaiendiga failid (nt veebirakenduse skriptide ajutised failidlaiendiga .tmp või andmevarunduse failid laiendiga .bak) on veebirakenduselähtetekstis loetavad. Nii saab konfidentsiaalseid andmeid, nt kindlalt kodee-ritud pääsuandmeid, välja lugeda. Lisaks tekib ründajal võimalus tutvudaavatud koodi põhjal programmi tööetappidega, et sealt kitsaskohti otsida.

• WSDL-failides määratletakse veebiteenuse liidesed. Kui need failid saavadründajale avalikuks, saab ta selle kaudu teavet pakutava veebiteenuse lii-deste ja käivitamisparameetrite kohta, mis kergendavad ja kiirendavad oluli-selt ründeid nendele liidestele.

• Kui ründe toimepanijal on olemas vajalikud andmed, et luua transpordikon-teineris XML-sõnumeid, võib ta katsetada, kas sõnumis edastatakse teatudparameetreid, nt REST-s, SOAP-s või ZIP-s. Teenuseosutajalt tagasi tulevadvaleteated sisaldavad mõnikord ründe jaoks vajalikku teavet, näiteks and-meid kasutatud raamistiku, programmiraamatukogude või asutusesisestesüsteemistruktuuride kohta. Seetõttu saab ründe toimepanija vajaduse kor-ral veakoodide kaudu kindlaks teha, kas sisestused on kontrollitud või kaskonkreetsed tegevused teostati filtreerimata. Kui filtreerimist ei toimu, võibläbi viia nn injektsiooniründeid. Need kujutavad endast Backend-rakendustejaoks väga suurt ohtu (vt G 5.143 Man-in-the-Middle tüüpi rünne ).

546 / 781

G 4.88 EMC nõuetele mittevastav elektrisüsteem

Moodsad IT-süsteemid paistavad muu hulgas üha rohkem silma järgmiste oma-duste poolest:

• väga suur arv võrke;• äärmiselt suur taktsagedus;• väga madal signaliseerimistase.

Just need omadused muudavad moodsad IT-võrgud aina vastuvõtlikumakstõrgetele, mis on seotud elektrivõrkudega, mis ei vasta EMC nõuetele, stmille elektromagnetilised näitajad ei ole piisavad. Peamiseks rikkeallikaks onsiinkohal elektrivõrgu vale ülesehitus (mõni muu süsteem TN-S-süsteemi asemel).

Kõik võrgutüübid, v.a TN-S-süsteemid ja heade maanduselementidega TT-süsteemid, soodustavad PE-süsteemis järgmiste rikkevoolude teket:

• Keelatud rikkevoolud PE-süsteemis• Keelatud induktiivne ühendusviis EMC nõuetele mittevastavate lülituskappi-

dega

PE-süsteemis tekkiv rikkevool pärsib vasest andmekaablites andmeedastust jalühendab tehniliste seadmete kasutusiga.

• Liiga suur rikkesagedus vahemikus 150 Hz kuni 100 kHz - Andmeedastus-protsesside toimimist ja IT-süsteemide tööd ei või märkimisväärselt pärssi-da mitte üksnes sageli vaadeldavad harmoonilised sagedusvahemikud 1–2kHz, vaid ka suuresti seda vahemikku ületavad sagedused.

• Kaablite oskamatust paigaldusest tingitud elektromagnetväljad - Elektro-magnetväljad tekitavad elektrit juhtivates süsteemides rikkevoolu, mis sin-na üldse ei kuulu ja mis võib kahjustada IT valdkonda tervikuna. Elektri-ga varustatavate tarvikute nihkenurga (koosinus fii) väär kohandamine. Pal-jud elektrisüsteemid koos võimalike elektritoite asendusseadmetega (Emer-gency Power Systems – EPS) ja UPS-idega on sageli konstrueeritud eelkõi-ge induktiivkoormuse tagamiseks, kuid suur osa IT-seadmeid põhjustab toi-tevõrgus mahtuvuspõhist koormuskäitumist. Sellise olukorra kohandamatajätmine viib jõudluse languse kõrval ka EPS-ide, UPS-ide ja elektritarvikutetöö ootamatute katkestusteni.

• Elektrivõrgu tööseisundit reaalajas kajastava teabe puudumine, eriti TN-S-süsteemi korrektse töö kohta. Kui elektrivõrgu tööseisundi kohta ei olereaalajas antavat teavet, ei saa ka potentsiaalseid probleeme mitte kuidagiette näha. Reaalajaliste käitusandmeteta on kahjude korral peaaegu võima-tu nende tegelikke põhjusi välja selgitada ja kõrvaldada.

547 / 781

G 4.89 Logimise puuduv või ebapiisav hoiatamiskontseptsioon

Logi- ja seireandmeid salvestavates ja analüüsivates toodetes on sageli olemaska valikulised komponendid, mida saab kasutada IT-hoiatussüsteemi jaoks.IT-hoiatussüsteeme kasutatakse selleks, et turvaintsidendid avastataks võima-likult kiiresti ja nende vastu saaks võtta meetmeid juba enne, kui need jõuavadsuurt kahju tekitada. Kõige paremini toimivad sellised hoiatussüsteemid siis,kui kasutatakse tsentraalset logimist. Logisündmuste tõhus analüüs võimaldabturvaintsidente avastada tavapärasest kiiremini.

• Seiresüsteemi teavituskomponent - kui terves infokoosluses seire küll toimibja logiandmeid analüüsitakse, aga tulemustest kedagi ei teavitata, mõjutabsee negatiivselt nii süsteemide käideldavust, konfidentsiaalsust kui ka ter-viklust.

• Valepositiivsed ja -negatiivsed tulemused - teavitussüsteemide üks sage-dasem veapõhjus seisneb kas liiga väikseks või liiga suureks seadistatudpiirväärtustes. Piirväärtustega määratakse kindlaks, millest alates administ-raatorit teavitatakse. Liiga väikseks seadistatud piirväärtused võivad andavalepositiivseid tulemusi, st administraatorit teavitatakse ka siis, kui reaalsetohtu pole. Seevastu liiga suurte piirväärtuste korral võivad reaalsed turvaint-sidendid ka tähelepanuta jääda, st tekivad valenegatiivsed tulemused. Vale-positiivsete tulemuste põhjus võib seisneda ka selles, et administraatorid onjätnud osa süsteeme eksikombel lubatud nimekirja ( whitelist ) eranditenasisse kandmata, mistõttu käsitleb teavitussüsteem neid ohtlikena. Näitekshõlmab see kõikvõimalikku skannimistarkvara ja seiresüsteeme, mis loovadendale ühendusi teiste süsteemide ja teenustega tihti läbi erinevate portidening ületavad sageli piirväärtusi. Whitelist -nimekirju võivad aga ründajadka enda huvides ära kasutada, et teavitussüsteem jätaks ründe korral ad-ministraatori olukorrast teavitamata, st annaks valenegatiivse tulemuse. Kuilubavatesse nimekirjadesse on sisse kantud liiga palju süsteeme, võib vale-negatiivsete sündmuste hulk paisuda väga suureks.

• Vale reageerimine turvaintsidentidele - sage probleem on ka see, et re-gistreeritud turvaintsidentidele reageeritakse valesti. Vale reageerimine võibolenevalt olukorrast põhjustada ka suuri kahjusid või isegi katastroofe, ntkui rünnatavad teenused lakkavad töötamast või kui lihtsalt ruumi sisene-mise peale hakkab tööle tulekahju kustutamiseks mõeldud vihmutussüs-teem. Võimalik on ka turvaintsidentide ignoreerimine, st olukord, kus tööta-jad jätavad tekkinud turvaintsidendile reageerimata. Selliseid olukordi soo-dustab administraatorite puuduv või väär väljaõpe.

Näide

• IT-hoiatussüsteemi töö eest vastutavad administraatorid avastavad ühe tur-valüüsi logifailidest kahtlust äratavad sissekanded. Kuna need logikirjed onseotud lubatud nimekirja kantud süsteemiga, ei pööra administraatorid nei-le rohkem tähelepanu. Eelmisel päeval oli süsteem tuvastanud logiserverivastu suunatud ründe, kuid teavitussüsteemi teadet peeti valeks. Seetõttu

548 / 781

õnnestus ründajal luua endale juurdepääs logiserverisse ja ta kandis tur-valüüsi lubatud nimekirja. Nii sai ründaja muude ründekatsetega märkama-tult tulemüürist jagu ja ta tungis institutsiooni sisevõrku.

549 / 781

G 4.94 Volitamata juurdepääs teise teenusetarbija andmeteleveebirakendustes ja veebiteenustes

Keskne eelis IT-teenuste teostamisel veebiteenustena on võimalus osutadaühises tehnilises taristus identseid teenuseid erinevatele kasutajatele (teenu-setarbijatele) ja vähendada seeläbi kasutuskulusid ühe teenusetarbija kohta.Pakutavate teenuste liigid võivad seejuures olla mitmekesised, alates pilvesalvestiteenustest ja võrgu makseteenustest kuni ärirakendusteni, näiteks CRM-ivõi raamatupidamiseni.

Niipea kui veebiteenused pääsevad seejuures ligi kliendipõhistele andmekogu-dele, on olemas oht, et kontseptsiooni- või rakendusvigade kaudu tekivad juurde-pääsuvõimalused teenuse teiste klientide andmekogudele. Selliste vigade tüüpili-sed põhjused on järgmised:

• Kliendile määratakse kasutajad valesti: kui kasutajate ja volituste administ-reerimisel toimub käsitlus- või programmivigade tõttu vale liigitamine, võibühe kliendi töötaja saada eksikombel juurdepääsu teise kliendi andmetele.Siin võib tegemist olla ka kasutajate puuduliku automaatse kujutamisegataustsüsteemide tehnilistel teenusekontodel.

• Vead programmiloogikas: kui kliendikohast andmete eraldamist tehakseüksnes programmikoodi kontrollimisega, võivad lihtsad vead tuua kaasaprogrammivead juurdepääsuks valedele andmetele, mis teatud tingimustelkuuluvad ka teisele klientidele.

• Puuduvad kontrollid veebiteenuse otsesel käivitamisel: kui veebiteenuse ot-sesel käivitamisel antakse üle parameetrid (või muudetakse REST-l põhi-nevate veebiteenuste korral URL-i koostisosi), mis on seotud teise kliendiandmetega, tekib kontrollimiste puuduliku või puuduva rakendamise korralvõimalus, et näidatakse või töödeldakse teise kliendi andmeid.

• Volitamata juurdepääs haldusliidestele: kui haldusfunktsioonid ei ole teenu-se kliendiülese halduse jaoks, eriti veebiteenuse osutaja enda kaudu, kind-lustatud piisaval määral lubamatu juurdepääsu vastu, on ka siin võimalikjuurdepääs kliendispetsiifilistele andmetele.

• Võõraste andmete tarbetu teatavaksvõtmine vahendustegevuste käigus:turvaintsidentide lahendamiseks võib teenuse kasutaja või kolmandad isikud(nt uurimisasutused) nõuda ligipääsu protokolliandmetele või IT kohtueks-pertiisi rakendatavatel süsteemidel. Kui sellistel juhtudel puuduvad andmeteeraldamise tagamiseks vastavad kontseptsioonid, võidakse seejuures ette-vaatamatusest koguda ka teiste, intsidendiga mitteseotud klientide tundlikkeandmeid ja dokumenteerida neid näiteks uurimisaruannetes.

Juurdepääs võõraste teenusetarbijate andmetele võib igal juhul hõlmata kakindlaks tehtud teenusekasutaja andmeid, sealhulgas ka autentimise teavet (ntparoolid). Sellisel juhul võivad tagajärjed ulatuda ka väljapoole puudutatud tee-nust, kui autentimise andmeid kasutatakse ka muude teenuste jaoks või kui needvõimaldavad seostamist kasutaja paroolimustriga.

550 / 781

G 4.95 Salvestisüsteemi komponendi rike

Keerulised, võrgul põhinevad salvestisüsteemid koosnevad tavaliselt paljudestkomponentidest. Rikete esinemise võimalus esineb põhiliselt järgmistes valdkon-dades:

• FC-kommutaatorid

• virtualiseerimisrakendus

• Storage Controller (plokk, NAS, NAS-Gateway )

• liinid

• andmekandjad

Salvestisüsteemi komponendi rikkel võivad asutuse jaoks olla kaugeleulatuvadtagajärjed. Seoses sellise rikkega ei tööta olulised rakendused enam õigesti, äh-vardavad andmekaod ja finantsriskid. Sageli ei ole probleemi korral kohe selge,milline eespool nimetatud komponentidest ei tööta ja konkreetse probleemi põh-justas. Nii võib tegelikult väike rike tuua kaasa pikema katkestusaja ja märkimis-väärsed kulutused seoses veaotsingu ja vigade kõrvaldamisega.

551 / 781

G 4.96 Salvestisüsteemi komponendi tõrge

Salvestisüsteemi komponendi tõrkel võivad asutuse jaoks olla kaugeleulatuvadtagajärjed. Esineva tõrke tõttu ei tööta olulised rakendused enam õigesti, ähvar-davad andmekaod ja finantsriskid. Salvestilahenduste rakendamisel pilvteenustejaoks kehtib see ka tõrke kohta suhtluses niinimetatud pilve orkestreerija ja sal-vesti Element Manager ’i vahel.

Selliste tõrgete põhjused võivad olla erineva iseloomuga. Sagedane põhjusseisneb selles, et kasutatakse mitteühilduvaid süsteemikomponente. Paljud toot-jad eeldavad, et asutused säilitavad keeruliste IT-taristute ülesehitamisel ja kasu-tamisel tootja ühilduvusmaatriksi. Kui sellest korrast aga kinni ei peeta, võib seekaasa tuua tõrke või väheneb jõudlus.

Kui asutus registreerib näiteks puuduliku teenusekvaliteedi (Quality of Service)alusel jõudlusprobleemid ja kui pöördutakse vajalike salvestiressursside poole,võib seda samuti vaadelda kui komponentide tõrget.

Komponentide tõrke erivormi on kirjeldatud osas G 4.95 Salvestisüsteemi kom-ponendi rike .

552 / 781

G 4.97 Välisteenuse osutajaga seotud kitsaskohad

Välisteenusepakkuja kasutamise kava teostamine nõuab kõigi reeglite kohaseltteenuseosutaja juurdepääsu tellija sisemistele ressurssidele. See realiseeri-takse sageli antud IT-taristu osade vastastikuse ühendamise kaudu. Tellija jateenuseosutaja vaheliseks kiirendatud teabevahetuseks võib rajada spetsiaalsedinfokanalid (nt eraldi püsiliinid, VPN-ühendused, juurdepääsud kaughooldusele).

Kui see ühendus ei ole turvaline või esinevad turvalisuse tagamisel nõrgad ko-had, ilmnevad paratamatult järgmised ohud:

• Ohustatud võib olla suhtluse usaldusväärsus.

• Enam ei ole tagatud vahendatavate andmehulkade terviklus.

• Vahendatava teabe ja sõnumite vastuvõtmine võib olla vaieldav.

• Asutusevälistele isikutele antakse teenusepakkuja tegelike vajaduste jaoksliiga ulatuslik ligipääs tellija siseasjadele.

• Kõrvalistele isikutele tekivad täiendavad juurdepääsuvõimalused asutuseintranetile ja sellega seoses luuakse ohuallikad.

• Avatud või halvasti turvatud IT-juurdepääsude korral tekivad manipuleeri-misvõimalused.

• Konfidentsiaalne teave ja intellektuaalne omand võidakse edasi andakõrvalistele isikutele.

• Väliseid juurdepääse süsteemile ei kontrollita teatud tingimustes piisavalt.

Liideste süsteemide ja liinide kaitsevajadus (nt Application Level Gateway -d,paketifilter) võib väljasttellimuse kasutamisel tõusta. Kui ei tehta kaitsevajaduseuut analüüsi, tekib oht ühenduse kättesaadavusele.

Allhankija ja teenuseosutaja vaheline IT-ühendus võib täielikult katkeda.Seejuures võivad andmed, mille ülekandmist ei jõutud enne katkestust täielikultlõpetada, hävida või kaotada oma tervikluse. Olenevalt katkestuse kestusest jaliigist võivad tagajärjed olla ka eksistentsiaalse iseloomuga. See oht suureneb,kui ei ole olemas hädaolukordade ennetamise kava (vt G 2.93 Puudulik jätku-suutlikkuse planeerimine väljasttellimise korral ).

553 / 781

554 / 781

G 4.98 Pilvteenuste haldustööriistade tõrked pilvteenustekasutamisel

Haldustööriistade tõrge kujutab endast seoses pilvteenuste kasutamisega ohtuasutuse jaoks. Haldustööriistade tõrgete põhjused võivad olla näiteks tarkvarakitsaskohad või vead, nagu neid on kirjeldatud osas G 4.22 Tüüptarkvaraturvaaugud või vead .

Põhimõtteliselt tuleb vahet teha pilvteenuste kasutamise jaoks vajalike hal-dustööriistade tõrgete ja pilvteenuste osutaja haldusserverite või haldustarkvaratõrgete vahel.

Pilve haldusserverite tõrge puudutab otseselt või kaudselt peaaegu kõiki pilvehaldusprotsesse, nii et paljude või kõikide pilve halduse funktsioonide, näitekshaldusliideste töö katkeb.

Pilvteenuste kasutamise keskkonnas tuleb haldustööriistu eristada nendejuurutamise alusel. Sageli annab pilvteenuste osutaja need teenust tarbivaleasutusele kasutada. Seetõttu on olemas haldustööriistad, mida annavad kasutadakolmandad isikud, nn Third-Party-Management-Tools. Sellisel juhul saab kasutajavalida erinevate, turul pakutavate toodete hulgast. Third-Party-Management-Tool’id sõltuvad tavaliselt API-st (liides), mille määratleb pilvteenuste osutaja. Kuita muudab API-d, võib juurdepääs vastavale haldustööriistale olla häiritud.

Selline haldustööriistade põhjustatud juurdepääsu takistus kujutab endast asu-tuse jaoks ohtu. Selle tagajärjel ei saa teenust tarbiva asutuse administraator tehamuudatusi olemasolevates teenustes.

Näide.

Teenusele, mida osutatakse Platform as a Service’ina, tuleb taotleda täiendavatsalvestusmahtu. Asutus kasutab pilvteenuse haldamiseks kolmanda tootja tarkva-ra. Kasutatav haldustööriist ei pääse siiski vastavale pilvteenuste pakkuja liideseleligi. Seotud teenuse kättesaadavus ei ole selle tagajärjel enam tagatud.

555 / 781

G 4.99 Rakenduste ebapiisavad või puuduvad turbemehhanismid

Teadmiseks: sama teemat käsitletakse osades G 4.22 Tüüptarkvara turvaaugudvõi vead ja G 4.39 Tarkvarakontseptsiooni viga .

Paljude rakenduste arendamisel ei olnud teabeturve tähelepanu keskpunktis,nii et sageli on vajalikud turbemehhanismid ebapiisavad või puuduvad need üld-se. Seetõttu võib ette tulla, et olemasolevad turbemehhanismid on halvasti väljatöötatud, rakendatud või ebausaldusväärsed ning ei paku seega piisavat kaitset.Pärast esmast installeerimist on rakendused lisaks sageli niimoodi eelnevalt kon-figureeritud, et aktiveeritud on ainult mõned turbemehhanismid või mitte ükski.

Olenevalt rakenduse liigist võib selle kasutuskeskkonna ja sellega töödeldavateandmete kaitsevajadusele olla tarvis erinevaid turvafunktsioone ja need on olemasüksnes osaliselt. Alljärgnevalt on näitena esitatud mõned kahjuks väga tüüpilisedkitsaskohad.

• Puudub kasutajate eraldamine:

• seetõttu saab igaüks, kellel on rakendusele juurdepääs, pääseda ligikõikidele salvestatud andmetele.

• Mitteküllaldased juurdepääsu kaitse- ja autentimismehhanismid:

• kahjuks leidub alati rakendusi, millel puuduvad igasugused juurdepääsukaitsemehhanismid. Seetõttu esinevad olemasolevatel autentimismehha-nismidel kitsaskohad, mis pärsivad turvalisust (vt ka G 4.33 Autentimisepuudumine või puudulikkus ). Nii võib mehhanismi tugevus olla autentimiselebapiisav. Näiteks võib paroolivalik olla piiratud nelja kohaga.

• Puuduvad või mitteküllaldased võimalused andmete krüpteerimiseks.

• Ebaturvaliste krüptoalgoritmide kasutamine (vt ka G 4.35 Ebaturvalinekrüptoalgoritm )

• Puuduvad või ebapiisavad logimisvõimalused.

• Ebaturvalised eelseadistused:

• rakenduses sageli olemasolevad turvafunktsioonid nagu autentimine jakrüpteerimine on välja lülitatud ning paroolid või PIN-koodid on seadistatudstandardväärtustele („0000”, „1234” jne).

556 / 781

• Rakendus ei olnud ette valmistatud tuntud ja kavandatud kasutuseesmärgilevinud rünnete vastu. Näited sellest on andmebaasiühendusega veebira-kendused, mis ei ole turvatud või on ebapiisavalt turvatud injektsioonirün-nete (vt ka G 5.131 SQL-injektsioon ) või Cross-Site-Request-Forgery /Cross-Site-Scritping’i vastu.

557 / 781

G 4.100 Integreeritud süsteemide riistvara tõrked ja riistvara vead

Integreeritud süsteemide riistvara võib rikki minna või töötada vigaselt. Selle põh-jused võivad olla väga erinevad, nt

• ebasobivad keskkonnamõjud, nt elektromagnetiline häire,• temperatuuri kõikumised,• niiskus,• mehhaaniline koormus,• radioaktiivne kiirgus,• ebastabiilne toitepinge,• valmistamisest tingitud materjalivead ja tootmise hajutatus ning• normaalne või enneaegne kulumine.

Peale selle raskendavad riistavara vigade tuvastamist vähenevad struktuuri suu-rused, suurenev integratsioonitihedus ja vähenevad pooljuhtide toitepinged. Needvõivad esineda eelkõige ainult ajutiselt ebaühtlaste ajavahemike tagant (juhusli-kud vead) või piiramatult pika ajavahemiku jooksul, või sellisteks muutuda (alalisedvead).

Lühiajalised vead esinevad sarnaselt juhuslike vigadega ebakorrapäraselt, eimuutu aga üldiselt alalisteks vigadeks. Neid võivad põhjustada nt osakesed janeed avalduvad bitivigadena. Sellised vead võivad esineda mäluelementides, sii-nisüsteemides või Central Processing Uniti (CPU) registrites. Võimalikud tagajär-jed sõltuvad sellest, kui veatolerantne on süsteem, samuti üksikjuhtumi konkreet-sest olukorrast. Tarkvaramoodul võib edastada valesid väärtusi, mis võib põhjus-tada valesid reaktsioone või integreeritud või üldise süsteemi tõrke. Tuvastama-ta jäänud viga või valearvestused võivad põhjustada suuri kahjusid, nt kui anduredastab kriitilise mõõteväärtuse, mis nõuab viivitamatut tegevust ning kui see võikontrollväärtus on võltsitud.

Iga viga võib lõpuks põhjustada integreeritud süsteemi täieliku rikke ja mõjutadaseetõttu oluliselt ümbritsevaid süsteeme.

558 / 781

G 4.101 Keskse identiteedi- ja volituste halduse süsteemi tõrge

Kesksesse identiteedi- ja volituste halduse süsteemi kogutakse kõikide juurdepää-suõigust omavate isikute identiteedid ja hallatakse asutust hõlmava teabe töötle-mise vastavaid õigusi.

Kui keskne identiteedi- ja volituste halduse süsteem langeb rivist välja, ei saakasutajaprofiile enam muuta, kustutada ega uuesti määrata. Ajutiselt ei saa enamkasutada ka seotud protsesse ja rakendusi, sest õigusi ei ole võimalik uuendada.

Kui IT-komponentidesse sisselogimist või rakendusi töödeldakse keskselt, ei oleidentiteedi- ja volituste halduse süsteemi rikke korral võimalik kasutada tervet asu-tust hõlmavat infotehnoloogiat, sest kasutajad ei saa enam sisse logida. Selle tu-lemusena võib tekkida olukord, kus ka asutuse tuumprotsessid ei tööta enam.

Näide.

• Asutuse keskne identiteedi- ja volituste halduse süsteem langeb Denial-of-Service-ründe tõttu rivist välja. Sel viisil tõkestatakse töötajate juurdepäässerveris keskselt salvestatud andmetele, sest süsteem ei saa kasutajaidenam autentida.

559 / 781

G 4.E1 Teenusekatkestuste oht SSOga ühislogimisel

SSO (Single-Sign-On) põhimõtete kasutamisel aktiveeritakse ID-kaardiga tihtihulk arvutis töötavaid teenuseid ja programme. Sel juhul katkeb ID-kaardi (samutika digi-ID) väljavõtmisel nende töö, mistõttu võib ID-kaardi läbimõtlemata eemal-damine arvutist viia käideldavuskadudeni.

560 / 781

ISKE ohtude kataloog G

Ohtude nimekiri

G 5.1 IT-seadmete või -tarvikute manipuleerimine ja hävitamine . . 566G 5.2 Andmete või tarkvara manipuleerimine . . . . . . . . . . . . 567G 5.3 Volitamatu sisenemine hoonesse . . . . . . . . . . . . . . . 568G 5.4 Vargus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569G 5.5 Vandalism . . . . . . . . . . . . . . . . . . . . . . . . . . . 570G 5.6 Füüsiline rünne . . . . . . . . . . . . . . . . . . . . . . . . . 571G 5.7 Liinide pealtkuulamine . . . . . . . . . . . . . . . . . . . . . 572G 5.8 Liinide manipuleerimine . . . . . . . . . . . . . . . . . . . . 573G 5.9 IT-süsteemide volitamata kasutamine . . . . . . . . . . . . . 574G 5.10 Kaughooldeportide väärkasutus . . . . . . . . . . . . . . . 575G 5.11 Kodukeskjaamas (PBX) salvestatud andmete konfident-

siaalsuse kadu . . . . . . . . . . . . . . . . . . . . . . . . 576G 5.12 Telefonikõnede ja andmesaadetiste pealtkuulamine . . . . 577G 5.13 Pealtkuulamine kodukeskjaama (PBX) lõppseadmete

ruumides . . . . . . . . . . . . . . . . . . . . . . . . . . . 578G 5.14 Telefoniteenuste vargus . . . . . . . . . . . . . . . . . . . 579G 5.15 Kodukeskjaama rakenduste väärkasutus . . . . . . . . . . 580G 5.16 Ohud hoolde- ja haldustööde ajal . . . . . . . . . . . . . . 581G 5.18 Süstemaatiline paroolide mõistatamine . . . . . . . . . . . 582G 5.19 Kasutajaõiguste väärkasutus . . . . . . . . . . . . . . . . . 584G 5.20 Administraatori õiguste väärkasutus . . . . . . . . . . . . . 585G 5.21 Trooja hobused . . . . . . . . . . . . . . . . . . . . . . . . 586G 5.22 Kaasaskantava IT-süsteemi vargus . . . . . . . . . . . . . 587G 5.23 Pahavara . . . . . . . . . . . . . . . . . . . . . . . . . . . 588G 5.24 Sõnumite korduv sisestamine . . . . . . . . . . . . . . . . 589G 5.25 Maskeerimine . . . . . . . . . . . . . . . . . . . . . . . . . 590G 5.26 Sõnumivoo analüüsimine . . . . . . . . . . . . . . . . . . . 591G 5.27 Sõnumi salgamine . . . . . . . . . . . . . . . . . . . . . . 592G 5.28 Teenuse halvamine . . . . . . . . . . . . . . . . . . . . . . 593G 5.29 Andmekandjate volitamata kopeerimine . . . . . . . . . . . 594G 5.30 Faksiaparaadi või -serveri volitamata kasutamine . . . . . . 595G 5.31 Saabuvate fakside volitamata lugemine . . . . . . . . . . . 596G 5.32 Faksiaparaadi ja -serveri jääkinfo lugemine . . . . . . . . . 597G 5.33 Väära identiteedi kasutamine faksi saatmisel . . . . . . . . 598G 5.34 Faksi sihtaadressiklahvide ümberprogrammeerimine . . . . 599G 5.35 Faksisaadetistest tulenev ülekoormus . . . . . . . . . . . . 600G 5.39 Sissetung arvutitesse modemi kaudu . . . . . . . . . . . . 601G 5.40 Pealtkuulamine ruumis arvuti mikrofoni kaudu . . . . . . . 602

561 / 781

G 5.41 Unix-süsteemi väärkasutus UUCP-ga . . . . . . . . . . . . 603G 5.42 Inimestega manipuleerimine (Social Engineering) . . . . . 604G 5.43 Makroviirused . . . . . . . . . . . . . . . . . . . . . . . . . 606G 5.44 Kodukeskjaama (PBX) kaughooldusportide väärkasutus . . 607G 5.48 IP-aadressi võltsimine . . . . . . . . . . . . . . . . . . . . 608G 5.49 Lähtemarsruutimise väärkasutus . . . . . . . . . . . . . . 609G 5.50 ICMP-protokolli väärkasutus . . . . . . . . . . . . . . . . . 610G 5.51 Marsruutimisprotokollide väärkasutus . . . . . . . . . . . . 611G 5.52 Windows NT administraatoriõiguste väärkasutus . . . . . . 612G 5.53 Mugavusest tingitud andmekappide väärkasutus . . . . . . 613G 5.57 Võrguanalüüsi tööriistad . . . . . . . . . . . . . . . . . . . 614G 5.61 Marsruuterite kaughaldusportide väärkasutus . . . . . . . 615G 5.63 ISDN-i D-kanali manipulatsioonid . . . . . . . . . . . . . . 616G 5.64 Andmete või tarkvara manipuleerimine andmebaasisüs-

teemides . . . . . . . . . . . . . . . . . . . . . . . . . . . 617G 5.65 Teenusetõkestus andmebaasisüsteemis . . . . . . . . . . 618G 5.66 IT-süsteemide volitamatud võrguühendused . . . . . . . . 619G 5.67 Võrguhaldusfunktsioonide volitamatu käivitamine . . . . . . 620G 5.68 Volitamata juurdepääs aktiivsetele võrgukomponentidele . 621G 5.69 Varguseoht kodutöökohas . . . . . . . . . . . . . . . . . . 622G 5.70 Pereliikmete või külaliste manipulatsioonid kodutöökohas . 623G 5.71 Tundliku informatsiooni konfidentsiaalsuse kadu . . . . . . 624G 5.72 Rühmatarkvarasüsteemi kuritarvitamine . . . . . . . . . . . 625G 5.73 Saatja aadressi võltsimine . . . . . . . . . . . . . . . . . . 626G 5.75 Ülekoormus siseneva meili tõttu . . . . . . . . . . . . . . . 627G 5.77 Võõraste meilide lugemine . . . . . . . . . . . . . . . . . . 628G 5.78 DNS-i võltsimine . . . . . . . . . . . . . . . . . . . . . . . 629G 5.79 Windowsi süsteemide administraatoriõiguste volitamatu

omandamine . . . . . . . . . . . . . . . . . . . . . . . . . 631G 5.80 Pettemeilid . . . . . . . . . . . . . . . . . . . . . . . . . . 632G 5.81 Krüptomooduli volitamata kasutamine . . . . . . . . . . . . 633G 5.82 Krüptomooduli manipulatsioon . . . . . . . . . . . . . . . . 634G 5.83 Krüptograafiliste võtmete paljastamine . . . . . . . . . . . 635G 5.84 Võltsitud sertifikaadid . . . . . . . . . . . . . . . . . . . . . 636G 5.85 Tundliku informatsiooni tervikluse kadu . . . . . . . . . . . 637G 5.86 Haldusparameetrite manipulatsioon . . . . . . . . . . . . . 639G 5.87 Veebilehe võltsimine . . . . . . . . . . . . . . . . . . . . . 640G 5.88 Aktiivsisu väärkasutus . . . . . . . . . . . . . . . . . . . . 642G 5.89 Võrguühenduse ülevõtt . . . . . . . . . . . . . . . . . . . . 643G 5.90 Aadressi- ja levitusloendite manipuleerimine . . . . . . . . 644G 5.92 VPN-klientsüsteemi kasutamine VPN-serverina . . . . . . 645G 5.93 VPN-ühenduse kasutamise võimaldamine kõrvalistele isi-

kutele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646G 5.94 SIM-kaardi kuritarvitamine . . . . . . . . . . . . . . . . . . 647G 5.95 Pealtkuulamine ruumis mobiiltelefonidega . . . . . . . . . . 648G 5.96 Mobiiltelefoni ehituse muutmine . . . . . . . . . . . . . . . 649G 5.97 Volitamata andmeedastus mobiiltelefonide kaudu . . . . . 650G 5.98 Mobiilikõnede pealtkuulamine . . . . . . . . . . . . . . . . 651G 5.99 Mobiiltelefonikõnede ühenduseandmete analüüs . . . . . . 652G 5.100 Aktiivsisu väärkasutus Lotus Notesi poole pöördumisel . . 653

562 / 781

G 5.101 Lotus Notesi häkkimine . . . . . . . . . . . . . . . . . . . 654G 5.102 Sabotaaž . . . . . . . . . . . . . . . . . . . . . . . . . . . 655G 5.103 Veebimeili väärkasutus . . . . . . . . . . . . . . . . . . . 656G 5.104 Infoluure . . . . . . . . . . . . . . . . . . . . . . . . . . . 657G 5.105 Arhiivisüsteemi teenuste halvamine . . . . . . . . . . . . 658G 5.106 Arhiivi andmekandjate volitamata ülekirjutamine ja kustu-

tamine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659G 5.107 Välisteenusepakkuja poolne andmete paljastamine kol-

mandatele isikutele . . . . . . . . . . . . . . . . . . . . . . 660G 5.110 Veebilutikad . . . . . . . . . . . . . . . . . . . . . . . . . 661G 5.111 Meilide aktiivsisu kuritarvitamine . . . . . . . . . . . . . . 662G 5.112 ARP-protokolli tabelitega manipuleerimine . . . . . . . . . 663G 5.113 MAC-aadresside võltsimine . . . . . . . . . . . . . . . . . 664G 5.114 Genereeriva puu (Spanning Tree) väärkasutus . . . . . . 665G 5.115 Virtuaalsete kohtvõrkude vaheliste piiride ületamine . . . 666G 5.116 z/OS-i konfiguratsiooni manipuleerimine . . . . . . . . . . 667G 5.117 z/OS-i manipuleerimise varjamine . . . . . . . . . . . . . 669G 5.118 Suuremate õiguste volitamatu omandamine RACF-is . . . 670G 5.119 Võõraste kasutajatunnuste kasutamine z/OS-is . . . . . . 671G 5.120 Linux/zSeries-i konfiguratsiooni manipuleerimine . . . . . 672G 5.121 z/OS-süsteemi rünne TCP/IP-ühenduse kaudu . . . . . . 674G 5.122 z/OS-i RACF-i atribuutide väärkasutus . . . . . . . . . . . 675G 5.123 Ruumide pealtkuulamine kaasaskantavate seadmetega . 676G 5.124 Kaasaskantavate seadmete teabe väärkasutus . . . . . . 677G 5.125 Volitamatu andmeedastus kaasaskantavate seadmetega . 678G 5.126 Volitamatu pildistamine ja filmimine kaasaskantavate

seadmetega . . . . . . . . . . . . . . . . . . . . . . . . . 679G 5.128 Volitamatu juurdepääs andmetele seoses võõra koodi lisa-

misega SAP tarkvarasse . . . . . . . . . . . . . . . . . . . 680G 5.129 Andmete manipuleerimine salvestisüsteemi kaudu . . . . 681G 5.130 Salvestisüsteemi konfiguratsiooni manipuleerimine . . . . 682G 5.131 SQL-injektsioon . . . . . . . . . . . . . . . . . . . . . . . 683G 5.132 RDP-seansi kompromiteerimine alates Windows Server

2003-st . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684G 5.133 Veebipõhiste administreerimisvahendite volitamata kasu-

tamine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 685G 5.134 Telefonikõne osapoolte puudulik identifitseerimine . . . . 686G 5.135 SPIT ja Vishing . . . . . . . . . . . . . . . . . . . . . . . 688G 5.136 Vaba ligipääsuga telefoniliinide kuritarvitamine . . . . . . 689G 5.137 Traadita sideühenduse andmete analüüs . . . . . . . . . 690G 5.138 WLAN-i komponentide vastu suunatud ründed . . . . . . 691G 5.139 WLAN-i side pealtkuulamine . . . . . . . . . . . . . . . . 693G 5.140 Printerite, koopiamasinate ja multifunktsionaalsete sead-

mete jääkinfo lugemine . . . . . . . . . . . . . . . . . . . . 694G 5.141 Andmevargus kaasaskantavate andmekandjatega . . . . 695G 5.142 Pahavara levimine kaasaskantavate andmekandjate kaudu 696G 5.143 Man-in-the-Middle tüüpi rünne . . . . . . . . . . . . . . . 697G 5.144 Kataloogiteenuste kompromiteerimine volitamata juurde-

pääsu kaudu . . . . . . . . . . . . . . . . . . . . . . . . . 698

563 / 781

G 5.145 Andmete ja utiliitide manipuleerimine turvapaikade ja muu-datuste haldamisel . . . . . . . . . . . . . . . . . . . . . . 699

G 5.146 Saalimisfailidest tingitud konfidentsiaalsuse kadu . . . . . 700G 5.147 Volitamata lugemine või segamine virtualiseerimisvõrgus . 701G 5.148 Virtualiseerimisfunktsioonide kuritarvitamine . . . . . . . 703G 5.149 Külalistööriistade kuritarvitamine virtuaalsetes IT-

süsteemides . . . . . . . . . . . . . . . . . . . . . . . . . 705G 5.150 Virtuaalsete IT-süsteemide hüperviisori kompromiteerimine 707G 5.151 DNS-i üleujutamine ja teenusetõkestamine . . . . . . . . 709G 5.152 DNS-i kaaperdamine . . . . . . . . . . . . . . . . . . . . 710G 5.153 DNS-i ülevõimendamine . . . . . . . . . . . . . . . . . . 711G 5.154 DNS-i info lekkimine . . . . . . . . . . . . . . . . . . . . . 712G 5.155 DNS-i dünaamiliste värskenduste ärakasutamine . . . . . 713G 5.156 Robotvõrgud . . . . . . . . . . . . . . . . . . . . . . . . . 714G 5.157 Andmepetturlus ja Pharming . . . . . . . . . . . . . . . . 716G 5.158 Sotsiaalvõrgustike väärkasutus . . . . . . . . . . . . . . . 717G 5.159 Liikumisprofiilide koostamine Bluetooth’iga . . . . . . . . 719G 5.160 Bluetooth’i profiilide väärkasutus . . . . . . . . . . . . . . 720G 5.161 Võltsitud vastused XDMCP-levisaatele terminaliserveritel 721G 5.162 X-Windowsi seansside ümberjuhtimine . . . . . . . . . . 723G 5.163 Exchange’i süsteemide vastu suunatud ründed . . . . . . 724G 5.164 Programmeerimisliideste väärkasutus Outlookis . . . . . 725G 5.165 Volitamata juurdepääs veebirakenduse andmetele või and-

mete manipuleerimine . . . . . . . . . . . . . . . . . . . . 726G 5.166 Automatiseeritud kasutusest tingitud veebirakenduste

väärkasutus . . . . . . . . . . . . . . . . . . . . . . . . . . 727G 5.167 Veebirakenduste loogikavead . . . . . . . . . . . . . . . . 728G 5.168 Veebirakenduste turbefunktsioonide kasutamise eiramine

klientprogrammides . . . . . . . . . . . . . . . . . . . . . . 729G 5.169 Veebirakenduste ja veebiteenuste puudulik seansihaldus . 730G 5.170 Murdskriptimisründed (XSS) . . . . . . . . . . . . . . . . 731G 5.171 Cross-Site Request Forgery (CSRF, XSRF, Session Riding) 733G 5.172 Veebirakenduste ja veebiteenuste autentimise eiramine . 734G 5.173 Võõraste andmete ja pahavara koodi smugeldamine vee-

birakendustesse . . . . . . . . . . . . . . . . . . . . . . . 736G 5.174 Injektsiooniründed . . . . . . . . . . . . . . . . . . . . . . 738G 5.175 Klõpsurööv (clickjacking) . . . . . . . . . . . . . . . . . . 739G 5.176 Logiandmete edastuse kompromiteerimine tsentraalses

logimises . . . . . . . . . . . . . . . . . . . . . . . . . . . 740G 5.177 Lühi-URL-ide või QR-koodide kuritarvitamine . . . . . . . 742G 5.179 Logide vastu suunatud ründed . . . . . . . . . . . . . . . 744G 5.180 Registrite ja hoidlate vastu suunatud ründed . . . . . . . . 745G 5.181 Veebiteenuste isikutuvastuse ja pääsuõiguste halduse

vastu suunatud ründed . . . . . . . . . . . . . . . . . . . . 746G 5.182 Marsruutide manipuleerimine (Routing Detours) . . . . . . 748G 5.183 XML-i vastu suunatud ründed . . . . . . . . . . . . . . . . 749G 5.184 Andmete hankimine veebiteenuste kaudu . . . . . . . . . 752G 5.185 Füüsiline juurdepääs salvestusvõrgu kommutaatoritele

(SAN-switch’idele) . . . . . . . . . . . . . . . . . . . . . . 754

564 / 781

G 5.186 Juurdepääs teiste teenusetarbijate andmetele WWN-Spoofing’uga . . . . . . . . . . . . . . . . . . . . . . . . . 755

G 5.187 Võrgu loogiliste lahutuspiiride ületamine . . . . . . . . . . 756G 5.189 Salvestipõhiste replikeerimismeetodite konfidentsiaalsuse

kadu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757G 5.190 Teenuste väärkasutus . . . . . . . . . . . . . . . . . . . . 758G 5.191 Teenusarvete andmete manipuleerimine . . . . . . . . . . 759G 5.192 Helistaja või SMS-i saatja telefoninumbri võltsimine . . . . 760G 5.193 Nutitelefonide, tahvel- ja pihuarvutite ebapiisav kaitse pa-

havara eest . . . . . . . . . . . . . . . . . . . . . . . . . . 761G 5.194 GSM-koodide smugeldamine telefonifunktsioonidega

lõppseadmetesse . . . . . . . . . . . . . . . . . . . . . . . 762G 5.195 Turvaaukude ärakasutamine Backend-rakendustes . . . . 763G 5.196 Teabe ja teenuste sünkroniseerimise takistamine jaotatud

SOA-keskkonnas . . . . . . . . . . . . . . . . . . . . . . . 764G 5.197 SAML-pääsmiku väärkasutus SOA-keskkonnas . . . . . . 765G 5.198 WS-Notification-Broker’i väärkasutus SOA-s . . . . . . . . 766G 5.199 SOAP-suhtluse ebapiisav kaitse . . . . . . . . . . . . . . 767G 5.200 Suuniste manipuleerimine SOA-s . . . . . . . . . . . . . 768G 5.201 Manipuleeritud tarkvaravärskenduste ja uute versioonide

paigaldamine integreeritud süsteemides . . . . . . . . . . 769G 5.203 Füüsikaline sekkumine integreeritud süsteemi . . . . . . . 770G 5.204 Sissetungimine ja manipuleerimine integreeritud süs-

teemide suhtlusliidese kaudu . . . . . . . . . . . . . . . . 771G 5.205 Võltsitud komponentide kasutamine . . . . . . . . . . . . 772G 5.206 Pöördkonstrueerimine . . . . . . . . . . . . . . . . . . . . 773G 5.E4 PIN-koodide vargus ja/või volitamata kasutamine . . . . . . 774G 5.E5 ID-kaardi või sarnase seadme vargus või röövimine . . . . 775G 5.E6 PIN koodi ja ID-kaardi (või sarnase seadme) üheaegne var-

gus või röövimine . . . . . . . . . . . . . . . . . . . . . . . 776G 5.E7 Pahavara rünne signeerimis- või autentimissüsteemile . . . 777G 5.E8 Välise teenuseosutaja poolne käideldavuse häirimine . . . 779G 5.E9 Välise teenuseosutaja poolne tervikluse häirimine . . . . . 780G 5.E10 Välise teenuseosutaja poolne konfidentsiaalsuse häirimine 781

565 / 781

G 5.1 IT-seadmete või -tarvikute manipuleerimine ja hävitamine

Seadmeid, lisaseadmeid, dokumente ja andmekandjaid (nt DVD-sid, USB-mälupulki) võivad erinevatel põhjustel (kättemaksu, pahatahtlikkuse, masendusetõttu) tahta hävitada või manipuleerida nii organisatsioonivälised isikud kui kaoma töötajad. Tagajärjed võivad suuresti oleneda manipulatsioonide avastamisekiirusest, samuti on olulised manipuleerija teadmised ja see, kui palju manipu-latsioon mõnda tööprotsessi mõjutab. Mõju ulatub volitamatust tutvumisest kon-fidentsiaalsete andmetega kuni andmekandjate või IT-süsteemide hävitamiseni,millega võivad kaasneda märkimisväärsed tööseisakud.

Näited

• Ettevõtte töötaja kasutas ära teadmist sellest, et oluline server on vastuvõtlikliiga kõrgetele töötemperatuuridele ja peitis serveri taha ühe eseme, misblokeeris serveri toiteploki ventilaatori õhutuspilud. Kaks päeva hiljem tekkisserveri kõvakettas liiga kõrge temperatuuri tõttu defekt ja server tuli mitmekspäevaks seisma panna. Töötaja väitis, et see juhtus kogemata.

• Töötaja vihastas süsteemi korduva kokkujooksmise tõttu niivõrd, et valasoma viha välja töökoha arvuti peale. Jalalöögid kahjustasid arvuti kõvake-tast nii, et see muutus kasutuskõlbmatuks. Kõvakettale salvestatud andmedsuudeti taastada ainult osaliselt, kasutades eelmise päeva varukoopiat.

566 / 781

G 5.2 Andmete või tarkvara manipuleerimine

Andmeid ja tarkvara on võimalik manipuleerida väga erineval moel. Vead võivadtekkida andmete kogumisel, pääsuõiguste muutmisel, arveldusinfo või kirjavahe-tuse sisu muutmisel, operatsioonisüsteemi tarkvaras muudatuste tegemisel jne.Üldjuhul ei puuduta manipulatsioonid mitte ainult digitaalseid andmeid, vaid kapaberdokumente. Igal teo toimepanijal on siiski võimalik manipuleerida ainult neidandmeid, millele tal on juurdepääs. Mida rohkem on ühel inimesel erinevate IT-süsteemide failide ja kataloogide pääsuõigusi, st mida parem võimalus on tal juur-de pääseda erinevale infole, seda raskekujulisemaid manipulatsioone on tal või-malik teha. Kui manipulatsioone ei avastata piisavalt vara, võib see vägagi suures-ti häirida tööprotsesside toimimist ja tööülesannete täitmist. Andmete ja tarkvarakallal toime pandavate manipulatsioonide ajenditeks võivad olla näiteks kättemak-suhimu, pahatahtlik kahjutekitamine, isiklike eeliste loomine ja isiklik kasu.Pahategijate ajendid on mitmesugused ning ulatuvad kättemaksust ja pahatahtli-kust hävitamissoovist kuni rikastumise või muude isiklike hüvedeni.

Näited

• Ühes Šveitsi rahaasutuses leidis aset juhtum, kus kaastöötaja manipuleeristeatud finantsteenuste töötarkvara. Selle tulemusel õnnestus tal illegaalseltoma käsutusse saada suurem summa raha.

• Väga tihti juhtub, et töökohta vahetades võtavad lahkuvad töötajad endisetööandja juurest kaasa firma kliendiandmebaaside koopiad, et nendega mõ-nel muul moel tulu teenida. Selliseid illegaalselt hangitud eraklientide and-meid on kasutatud näiteks lepingute võltsimiseks. Töötajad, kes lahkuvadettevõttest või asutusest mõne konflikti tõttu, võivad andmeid ja IT-süsteemeka tahtlikult hävitada või tõkestada juurdepääsu olulistele andmetele või IT-süsteemidele.

• Arhiveeritud dokumendid sisaldavad tihti väga konfidentsiaalset infot. Sellis-te dokumentide manipuleerimine on eriti raske juhtum, sest olenevalt olu-korrast võib see ilmsiks tulla alles aastate möödudes ning tagantjärele kont-rollimine on sageli siis juba võimatu.

• Üht raamatupidamisosakonna töötajat pahandas samas toas töötava kol-leegi edutamine sedavõrd, et ta kasutas ajal, mil kolleegi toas ei viibinud,volitamata tema arvutit. Tehes mõningaid muudatusi ettevõtte kuubilansis,suutis ta ettevõtte majandusaasta kohta avalikustatavaid tulemusi näidataülinegatiivses valguses.

• Töötaja vihastas oma ülemuse peale, sest too ei andnud talle palgakõrgen-dust. Vihast ajendatuna saatis ta oma kolleegidele meiliga dokumendi, misnägi välja nagu töökiri, kuid sisaldas makroviirust. Dokumendi avamise järelmuutis see vastavas IT-süsteemis ära erinevate failide sisu.

• Töötajale tunduvad turvameetmete tõttu rakendatud piirangud tema nutite-lefonis olevat liiga tõkestavad ja ta „ruudib” oma nutitelefoni. Nii satub sead-mele keelatud tarkvara, mis sisaldab pahavara, see hangib asutuse usaldus-väärsed andmed ja saadab need volitamata kolmandatele isikutele. Seetõttutekib suur majanduslik kahju.

567 / 781

G 5.3 Volitamatu sisenemine hoonesse

Kui volitamata isikud tungivad hoonesse või ruumidesse, võivad tagajärjeks ollamitmed turvaprobleemid. Esineda võib nt info või IT-süsteemide vargust või nendemanipulatsioone. Soovimatuid tagajärgi aitavad ära hoida asjakohased meetmed.Kogenud ründajate puhul saab määravaks aeg, mille jooksul on neil võimalik se-gamatult oma eesmärgi nimel tegutseda. Sissemurdmise eesmärk ei pruugi ollaainult IT-komponentide või mõne muu kergesti kaasavõetava vara vargus, vaidka andmete või IT-süsteemide kopeerimine või manipuleerimine. Siinkohal tulebarvestada, et pikaks ajaks märkamatuks jäänud manipulatsioonid võivad endagakaasa tuua oluliselt suuremat kahju kui otsene vandalism. Varakahju võib tekitadajuba ainuüksi sissetungimine. Akende ja uste vägivaldse avamisega kaasnevadremondi- või vahetamiskulud.

Näited

• Vandalism - Tunginud öösel büroohoonesse, ei leidnud kurjategijad eest mit-te midagi varastamisväärset. Pettumusest tühjendasid nad bürooruumideskõik tulekustutid. Sissetungimisega seotud kahju oli väike, seevastu van-dalismikahju koristuskulude ja tööseisaku tõttu märkimisväärselt suurem.

• Manipuleerimine - Nädalalõpul murti ettevõttesse sisse ja tekitati esmapilgulvaid pisemaid kahjustusi, nt lõhuti aken, võeti kaasa töötajate kohviostukskogutud ühiskassa raha ja väiksemaid mööbliesemeid. Hilisema rutiinsekontrolli käigus aga tuvastati, et sissemurdmise ajal manipuleeriti osavaltkeskserveriga.

568 / 781

G 5.4 Vargus

Andmekandjate, IT-süsteemide, lisavarustuse, tarkvara või andmete vargusest te-kivad ühelt poolt planeerimata väljaminekud, sest tuleb soetada uued seadmed janeed tööle sättida, kuid teisalt võivad käideldavuse kadumise tõttu tekkida ka kah-jud. Rasked tagajärjed võivad olla ka sellel, kui ohtu satub organisatsiooni usal-dusväärsus. Kallite IT-süsteemide, nt serverite kõrval varastatakse sageli ka kaa-saskantavaid IT-süsteeme, mida on kerge transportida.Kallite IT-süsteemide kõrval varastatakse ka mobiilseadmeid, mida on võima-lik märkamatult ja hõlpsalt transportida. Just uued nutitelefonid või tahvelarvutidmeeldivad varastele kui kallid staatuse sümbolid. Nende kaotus on tavaliselt tõsis-te tagajärgedega, sest neid kasutatakse paljude rakenduste jaoks (e-kirjad, inter-net, esitluste koostamine) ja need võivad sisaldada suuri andmehulki.

Näited

• 2000. aasta alguses kadus Ameerika Välisministeeriumist sülearvuti. Amet-likus seisukohavõtus ei välistatud, et seade võis sisaldada ka konfidentsiaal-set teavet. Samuti ei olnud teada, kas seade oli lubamatu juurdepääsu eestkrüptograafiliselt või muude meetmetega kaitstud. Turbealaste uuringute ajaloli juba hoiatatud mitteküllaldaste kontrollide eest.

• Ühes Saksa asutuses murti korduvalt sisse läbi samade turvamata akende.Muude väärtuslike esemete kõrval kadusid ka mobiilsed IT-süsteemid. Kaht-lusteta ei saanud välistada ka kaustade kopeerimist või manipuleerimist.

• Suurbritannias toimus terve rida andmetega seotud rikkumisi, mille korralavalikustati konfidentsiaalsed dokumendid, sest andmekandjad olid varas-tatud. Ühel juhul varastati briti õhuväe arvuti kõvakettad. Need sisaldasid kaväga isiklikke andmeid, mis olid koostatud töötajate turvakontrolliks.

• Kõnekeskuse töötaja kopeeris vahetult enne ettevõttest lahkumist suurehulga konfidentsiaalseid kliendiandmeid. Pärast ettevõttest lahkumist müüsta need edasi ühele konkurendile. Kuna selle sündmuse üksikasjad jõud-sid avalikkuse ette ajakirjanduse kaudu, kaotas kõnekeskus mitmeid olulisikliente.

569 / 781

G 5.5 Vandalism

Vandalism on tegevus, mille käigus hävitatakse või kahjustatakse võõrast vara.Tagajärjed on võrreldavad ettekavatsetud füüsilise ründega, kuid vandalismi puhulei järgita enamasti kindlat plaani, vaid see väljendab pigem spontaansest ja pime-dast vihast kantud hävitamistungi. Vandaalitsejad võivad tulla nii väljastpoolt orga-nisatsiooni (nt pettunud sissemurdjad, kontrolli alt väljunud demonstrandid) kui kaorganisatsioonist (nt masendunud või psüühiliste probleemidega töötajad). Van-dalismi tagajärgi on sihiliku füüsilise ründega võrreldes väga raske prognoosida,sest tavaliselt puudub vandalismil selge motiiv. Vandalismi võimalikeks põhjustaja-teks võivad olla lahkarvamused, isiklikud probleemid, tagakiusamine või ettevõttehalb sisekliima.

Näited

• Kuna klient pidi ettevõttes liiga kaua oma järjekorda ootama, pahandas seeteda nii väga, et ta vigastas läbi ooteala kulgevaid võrgukaableid. Selle ta-gajärjel tekkis kohtvõrgus pikem ühendustõrge, sest vea allikat ei suudetudkohe tuvastada.

• Vandalism võib olla ka virtuaalne. Ettevõtte ühe toote kaheti mõistetav rek-laam põhjustas teatud rahvastikurühmades suurt rahulolematust. Selle ta-gajärjel vandaalitsesid ründajad internetis selle ettevõtte reklaamide kallal.

570 / 781

G 5.6 Füüsiline rünne

Füüsiline rünne võib esineda mitmesugusel kujul, hõlmates näiteks visatud tellis-kivi, lõhkeaineplahvatusi, tulirelvade kasutamist, süütamist. See, kas ja mil määralvõib organisatsiooni ohustada sihilik füüsiline rünne, oleneb sageli hoone asuko-hast ja ümbruskonnast, samuti organisatsiooni tööülesannetest ning poliitilisestja sotsiaalsest olukorrast. Ettevõtted ja ametkonnad, kelle tegevus puudutab neidvaldkondi, mille kohta peetakse ühiskonnas tuliseid poliitilisi vaidlusi, on rohkemohustatud kui teised. Organisatsioonid, mis asuvad massimeeleavalduste välja-kujunenud toimumispaikade ligidal, on suuremas ohus kui need, mis paiknevadkõrvalistes kohtades.

Arhiivide puhul tuleb füüsilise ründe ohu analüüsimisel arvestada sellega, etsuhteliselt väikestesse ruumidesse on enamasti kokku kuhjatud küllaltki suur hulkdokumente ja andmeid. Need andmed võivad olla nt haiguslood, lepingud, nota-riaalsed dokumendid või testamendid. Andmete ja dokumentide hävimise taga-järjed võivad olla ulatuslikud mitte ainult nende hoiukoha, vaid ka paljude teistejaoks. Näiteks võib sellisel juhul tekkida vajadus koguda kogu hävitatud info uuestikokku, mis on aga äärmiselt töömahukas. Võib ka juhtuda, et teatud info on jääda-valt hävinud. Seega võivad nii paberarhiivide kui ka elektrooniliste arhiivide vastusuunatud ründed endaga kaasa tuua äärmiselt suurt kahju.

Näited

• 1980-ndatel pandi Kölnis ühe suure ametiasutuse arvutuskeskuse vastu toi-me pommirünnak. Lõhkekeha suur plahvatusjõud ei purustanud mitte üks-nes hoone aknaid ja seinu, vaid hävitas ka mitmed arvutuskeskuse IT-süsteemid.

• Maksuameti Reini jõe piirkonnas asuva osakonna töö on peaaegu igal aastalmitmeks tunniks halvatud tulenavalt Maksuametile tehtavatest pommiähvar-dustest.

• 11. septembril 2001 New Yorgi Maailma Kaubanduskeskuse vastu toimepandud ründes tapeti palju inimesi, kuid lisaks hävisid ka arvukad IT-kooslused. Selle tagajärjel oli paljudel ettevõtetel oma äritegevuse jätkami-sega suuri raskusi.

571 / 781

G 5.7 Liinide pealtkuulamine

Liinide pealtkuulamine ohustab IT-turvet ja seda ei tohiks alahinnata, sest sedaavastatakse suhteliselt harva. Pealtkuulamiskindlaid kaableid ei ole olemas. Eri-nevus seisneb vaid töövaevas, mida läheb tarvis kaablite pealtkuulamiseks. Seda,kas liini kuulatakse pealt või mitte, saab tuvastada ainult suuremahuliste mõõtmis-töödega. Liinide pealtkuulamise kasuks otsustamisel saab määravaks küsimus,kas saadav info kaalub üles selleks kulutatavad tehnilised ja rahalised vahendidning vahelejäämise ohu. Vastus sellele küsimusele oleneb suuresti ründaja indivi-duaalsetest võimalustest ja huvidest. Seetõttu on raske täpselt kindlaks määrata,millist infot ja milliseid liine võidakse pealt kuulata.

Liinide pealtkuulamise vaev võib olla väga väike. Teatud kaablitüüpide puhulvõib kohtvõrgu kogu võrguliikluse pealtkuulamiseks piisata üksnes sellest, kui rün-dajal on juurdepääs mõnele kohtvõrgu ühenduspesale. Risk on veelgi suurem, kuiründajal on juurdepääs IT-võrgu passiivsetele või lausa aktiivsetele ühendusele-mentidele. Veelgi lihtsam on pealt kuulata traadita võrkude võrguliiklust (traaditakohtvõrk / raadiokohtvõrk, IEEE 802.11). Lisaks on traadita võrkude pealtkuula-misel vahelejäämise oht ründaja jaoks peaaegu olematu.Eriti probleemne on autentimisandmete kaitsmata edastamine avatekstiprotokolli-dega, nt HTTP, ftp või Telnetiga, sest nende protokollide struktuur on nii lihtne, etkasutaja sisestatud andmete asukoha saab edastatud pakettide põhjal suuremateraskusteta kindlaks teha (vt G 2.87 Ebaturvalised protokollid avalikes võrkudes ).Seetõttu saab selliseid ühendusi suurema vaevata automaatselt analüüsida. Rün-de esimeses etapis püütakse sniffing ’uga kinni mõned süsteemi edastatavad pa-roolid. Seejärel saab ründaja juba IT-süsteemi tungida ja seda otse rünnata.Sõrmejäljetehnoloogiate abil saab lisaks tuvastada ka kasutatud raamistiku võioperatsioonisüsteemi. Nende andmetega on järgnevalt juba võimalik süsteemiteadaolevaid turvaauke ära kasutada. Samuti on mõeldav, et andmed saadaksekataloogiteenustest, mis aitavad ründe toimepanijatel vältida autentimismehhanis-me.

Näited

• Ei tasu arvata, et elektronkirjade saatmine meiliteenusega on täpselt samamis ümbrikusse suletud paberkirjade saatmine. Kuna meilid on kogu omateekonna vältel võrgukeskkonnas loetavad, oleks neid õigem võrrelda post-kaartidega.

• Mõned tootjad pakuvad juba koos operatsioonisüsteemiga ka programme(sniffers), mille põhifunktsioon on võrkude silumine (debugging), kuid neidsaab kasutada ka pealtkuulamiseks.

572 / 781

G 5.8 Liinide manipuleerimine

Liinide pealtkuulamise kõrval (vt G 5.7 Liinide pealtkuulamine ) kujutavad endastasutusele ohtu ka IT-liinide teadlik manipuleerimine või isegi hävitamine. Eelkõigetuleb seoses kättesaadavusega kaitsta suuremate asutuste primaarkaabeldust jaliine, mille kaudu toimub IT- või TK-ühendus teenuseosutajaga.

Liinide talitlushäireid võidakse esile kutsuda teadlikult ja manipuleerimise ees-märgil. See on võimalik ka järgmisel moel:

• Keelatud ühendused - Masendunud töötajad võivad kaableid selliselt mani-puleerida, et loovad keelatud ühendusi nii oma IT-süsteemide vahel kui kaväliste süsteemidega. Sageli on selle ainuke eesmärk segada IT-seadmetetööd.

• Erakasutus - Kaableid saab selliselt manipuleerida, et neid hakatakse kasu-tama eraotstarbel, jättes kulud seejuures teenusepakkuja kanda. Peale ta-suliste teenuste kasutamisest tekkivate kulude võib selline erakasutus kaab-leid ja ressursse ka blokeerida.

• teadlikult põhjustatud väärkasutus või kaablite hävitamine• kiudoptiliste kaablite olemasolevate painderaadiuste teadlik kahjustamine• pistikühenduste teadlik saastamine (nt optilised sidekanalid, Fibre Channel)

IT-kaablite kahjustamisega võib organisatsioonile tekitada märkimisväärseid ku-lutusi. Suuremate hoonete põhilisi kaablikogumeid ja liine, mis ühendavad IT-süsteeme või telefonikeskjaamu teenusepakkujatega, tuleb enamasti käsitledasuure turbevajadusega rajatistena, sest need peavad tagama käideldavuse.

Näide

• Suure ettevõtte territooriumil toimunud ehitustööde ajal tungisid kurjategi-jad halvasti kaitstud ehitusplatsile ja avasid seal kontrollšahti. Oksakääride-ga lõigati läbi peamised optilise kaabli liinid. Kuna sellise kahjustuse tõttukaotas osa tootmishooneid ühenduse IT-võrguga, tootmisprotsessis tekkisidtõrked ja seisakud, mis põhjustasid miljonitesse ulatuva kahju.

573 / 781

G 5.9 IT-süsteemide volitamata kasutamine

Ilma kasutajate tuvastus- ja autentimismehhanismideta ei ole kontroll volitamataIT-kasutuse üle praktiliselt võimalik. Isegi kasutajatunnuse ja parooliga varustatudtuvastus- ja autentimisfunktsiooniga IT-süsteemide puhul on volitamata kasutusmõeldav, kui parool ja kasutajanimi välja uuritakse. Salajase parooli äramõistata-miseks võivad kõrvalised isikud sisselogimisel võimaliku parooli sisestada. Seejä-rel saab IT-süsteemi reaktsioonist järeldada, kas tegemist on õige parooliga. Selmoel on võimalik mitut parooli proovida ja lõpuks õige ära arvata.Palju edukam on siiski rünnak, mille puhul võetakse parooliks mõni tähendusegasõna ja proovitakse kõiki kasutajasisestusi. Piisavalt suure kasutajate hulga pu-hul leitakse sel viisil sageli õige kombinatsioon. Tuvastus- ja autentimisfunktsiooniväära kasutuse puhul saab isegi süsteemi panna automaatselt kõiki võimalikkeparoole läbi proovima.

Näide

• Interneti ussviirus kasutas ära Unix-operatsioonisüsteemi nõrka kohta, etleida kehtivaid paroole, kuigi paroolid olid salvestatud krüpteeritult. Selleksproovis programm kõiki sõnaraamatu kandeid, krüpteeris need kasutusesoleva šifreerimisfunktsiooniga ja võrdles tulemust salvestatud krüpteeritudsalasõnadega. Niipea kui leiti kokkulangevus, oli tuvastatud ka kehtiv parool.

574 / 781

G 5.10 Kaughooldeportide väärkasutus

Kaughooldepordid võimaldavad IT-süsteemidesse siseneda väljastpoolt. Ebapii-savalt kaitstud kaughooldeportide kaudu on kõrvalisel isikul võimalik märkamatultIT-süsteemi siseneda, vahel isegi administraatori õigusega. Näiteks võib ründajapärast autentimismehhanismi lahendamist ehk parooli sisestamist tegutseda naguadministraator. See võib viia kogu süsteemi hädaolukorrani, raskete käitamishäi-reteni, andmete võltsimiseni või ka kõigi sellesse IT-süsteemi salvestatud andmeteilmsikstulekuni, mis kõik võivad põhjustada suurt rahalist kahju.

Näited

• Süsteemivigade tootjale edastamiseks kasutatakse suurarvutites tavaliseltz/OS-käitussüsteemis kaugpääsukonsooli (remote support facility – RSF). RSF-i võib kasutada ka tootja mikrokoodi turvapaikade paigaldamiseks.Seepärast kujutab z/OS-süsteemide RSF-pordi väärkasutus endast tuntavatriski.

• Paroolijuhendi puuduliku järgimise või olemasoleva juhendi üldsõnalisusetõttu saadi süstemaatilise läbiproovimise teel (sõnastikuründe abil) teadakodukeskjaama hooldusarvuti parool. Pärast keskjaama parooli häkkimistvõis ründaja kodukeskjaama oma äranägemise järgi hallata.

575 / 781

G 5.11 Kodukeskjaamas (PBX) salvestatud andmetekonfidentsiaalsuse kadu

Kodukeskjaama kõvaketastele või salvestuskaartidele salvestatakse pikemaksajaks isikuandmeid ja asutusesiseseid andmeid. Arve koostamiseks võivad ko-dukeskjaamad sageli salvestada sidusandmed, mis miinimumina sisaldavad infotesimeste numbrite kohta, millele on helistatud, samuti teavet helistamise aja jakõne pikkuse kohta. Sellest on võimalik teha järeldusi üksikute lõppseadmete võikasutajate sideprofiilide kohta. Kuna kõneandmed võivad kõrvalistele isikutele hu-vi pakkuda, tuleks neid kaitsta volitusteta kasutajate eest. VoIP-keskjaama korralvõib väga efektiivselt logida ka kõneinfot, kuna see on digitaalselt juba olemas. Niion võimalik näiteks kõik peetud telefonikõned täielikult kõvakettale salvestada janad töötlemiseks teise süsteemi kopeerida. On oht, et taolise logimise tagajärjelaktiviseeruvad kõned iseenesest ja ründajad võivad seda ära kasutada.

Paljud kodukeskjaama rakendused töötavad isikuandmetega ja edastavad neidmõnikord teistele kasutajatele. Siinkohal tuleks osutada just unified messagingsüsteemidele, kuna nende erinevate andmetüüpide keskse kogu leke võib kaasatuua tõsiseid tagajärgi. Ka kodukeskjaama halduspersonal võib salvestatud and-meid vaadata ja muuta. Taoliste sekkumiste viis ja ulatus sõltuvad keskjaama tüü-bist, aga ka jagatud pääsuõigustest. Halduspersonalil on sekkumise võimalus niikohapeal kui ka kaughoolduse kaudu. Välise kaughoolduse korral on see võimalusalati olemas selleks volitatud isikul (tavaliselt tootja või teenusepakkuja).

576 / 781

G 5.12 Telefonikõnede ja andmesaadetiste pealtkuulamine

Kui telefonikõnesid või andmed edastatakse krüpteerimata kujul, on põhimõtte-liselt oht, et ründajad võivad edastatud infot pealt kuulata või lugeda. Ründajadvõivad end näiteks otse telefonikaabli külge ühendada või kuulata pealt vestlus-partnereid ühendava kodukeskjaama juures. Kui kasutatakse VoIP-i, on telefoni-kõnede ja andmesaadetiste pealkuulamine lihtsam kui tavapärase kodukeskjaa-ma korral. Kogu kõneteavet edastatakse IP-voogmeedia rakendustega, näiteksreaalajalistes transpordilogides (RTP). Kui kasutada spoofing ’ut ja siffing ’ut, onvõimalik rünnata kõiki IP-andmevõrke.

Paljude kodukeskjaamade puhul võib helistaja helistatavale – juhul kui too kõ-net vastu ei võta – jätta teate. Mõned automaatvastajad, põhiliselt VoIP-seadmed,edastavad selle info meili teel audiofailina. Selle meili sisu võib ründaja sarnaseltVoIP-voogmeediaga otse kinni püüda ja kuulata. Samuti on võimalik, et VoIP- võikeskjaama-süsteemide rakendusi kasutatakse vääralt ning kõnesid kuulavad pealtkaastöötajad. Üheks näiteks on siin three way calling. Kui osaleja A võtab vastuosalejale B mõeldud kõne, võib ta kõne üleandmise asemel proovida kõnet vargsipealt kuulata. Kui osalejal B on ilma ekraanita telefon või kui ta ei pööra ta selleletähelepanu, ei avasta ta, et kõnet pealt kuulatakse.

577 / 781

G 5.13 Pealtkuulamine kodukeskjaama (PBX) lõppseadmeteruumides

Lõppseadmete mikrofonide kaudu on põhimõtteliselt võimalik ka ruume pealt kuu-lata. Eristatakse kaht varianti. Esimese puhul lähtub oht lõppseadmest. Siin võiksnimetada sisseehitatud mikrofoniga, n-ö intelligentseid lõppseadmeid nagu nt mul-timeediumarvutid, PDA-d, mobiiltelefonid, aga ka telefonide automaatvastajad. Ju-hul, kui vastavaid funktsioone on rakendatud, võivad taolised lõppseadmed avalikuvõrgu või kohtvõrgu signaali kaudu aktiveerida sisseehitatud mikrofoni (vt G 5.40Pealtkuulamine ruumis arvuti mikrofoni kaudu ). Üheks tuntud näiteks on siin tele-fonide või automaatvastajate nn „beebimonitori” funktsioon.

Teise variandi puhul kasutatakse ära kodukeskjaama funktsionaalsust koos vas-tavalt varustatud lõppseadmega. Oht tekib siin seeläbi, et funktsiooni „otsekõne”kasutatakse vääralt, kombineerides seda „vabakäesüsteemiga”. Sellisel viisil rea-liseeritavat kõneseadme funktsiooni võib teatud juhtudel kasutada ruumi pealtkuu-lamiseks. Tavaliselt kostab mikrofoni aktiveerimisel ühekordne lühike hoiatustoon.Vastava konfiguratsiooniga on hoiatustooni aga võimalik ära hoida. Igaüks, kesoskab keskjaama hallata, võib sel juhul ka pealt kuulata igat ruumi, kus on sellisevarustatusega telefon, igast lõppseadmest, millel on juurdepääs keskjaamale võiseadmeteühendusele.

VoIP-tarkvaratelefoni kasutamisel tekib veel üks ohtlik olukord. Nimelt võimalda-vad selle telefoni rakendused kasutada multimeediumarvutit telefoni lõppseadme-na. Multimeediumarvutit kasutatakse reeglina ka teistel eesmärkidel, näiteks inter-netis surfamiseks. Kuna kõne edasiandmiseks on vaja mikrofoni, võib kahjurvaraselle aktiveerida ja nii on võimalik arvuti ümbrust pealt kuulata.

578 / 781

G 5.14 Telefoniteenuste vargus

Andme- ja sideteenuste valdkonnas toimuva telefoniteenuste varguse eesmärgikson peetud kõnede või andmeülekannete maksete suunamist kellelegi teisele,seda näiteks kodukeskjaama väära kasutamise abil. Vastavaid manipulatsioonesaab erinevalt läbi viia.

• Esmalt on olemas võimalus, et sel eesmärgil üritatakse vääralt kasutadakeskjaama olemasolevaid rakendusi. Selleks võidakse kasutada näiteks väl-jastpoolt ümberprogrammeeritavate kõnede ümbersuunamisi või sissehelis-tamisvalikuid.

• Teisalt võivad pääsuõigused olla jagatud nii, et sissetulev „kliendiliin” ka-tab kinni väljamineva „kliendiliini”. Sel juhul võib väljastpoolt helistaja kindlanumbri valimisel rääkida vastaja ehk keskjaama käitaja kulul.

• Lisaks tehnilistele võimalustele võib telefoniteenuste vargust korraldada kakasutaja ise. Selle all mõeldakse nt võõrastelt telefonidelt helistamist, võõ-raste paroolide kasutamist või isiklike pääsuõiguste muutmist nii, et telefoni-kõnesid saab pidada tööandja või teiste töötajate arvelt.

579 / 781

G 5.15 Kodukeskjaama rakenduste väärkasutus

Tavapärastel kodukeskjaamadel on hulk rakendusi, mis muudavad kasutaja suht-luse võimalikult mugavaks ja pakuvad vastavasse töökeskkonda sobitumiseks eri-nevaid võimalusi. Mõningaid rakendusi võib aga eesmärgistatud rünnete korralväärkasutada, eriti salajasuse või kättesaadavuse suhtes.

Mõningaid kodukeskjaama rakendusi võivad väärkasutada ka töötajad ise, kunaselleks ei ole vaja põhjalikke erialateadmisi. Nii tekib oht, et töötajateni jõuab tea-ve, mis ei ole neile mõeldud ja mis võib isegi salajane olla. Näiteks võivad töötajadüritada:

• teiste töötajate sissetulevaid kõnesid omavoliliselt enda telefonile ümbersuunata,

• teiste töötajate kõnesid omavoliliselt vastu võtta,• vabakäe- või valjuhääldifunktsiooniga kuulata ruumis toimuvaid vestlusi,• omavoliliselt vaadata kõne- ja taasvalimise salvestilt seal olevaid telefoni-

numbreid ja• kolmanda osaleja sisselülitamisega telefonikõnesid omavoliliselt pealt kuu-

lata.

Näited

• „Otsekõne” ja „automaatvastamise” funktsioone võib koos „vabakäesüstee-miga” kasutada ruumide pealkuulamiseks.

• Kogemata juhtunud või tahtlik kõnede ümbersuunamise väärkasutus võibblokeerida kasutaja telefoniühenduse.

• Sissehelistamisfunktsioonid võimaldavad mobiilsetele töötajatele väljast-poolt juurdepääsu, samas võib seda kasutada näiteks telefoniteenuste var-guseks.

• Funktsiooni „konverentslülitus” võidakse kasutada ruumi varjatud pealkuu-lamiseks.

580 / 781

G 5.16 Ohud hoolde- ja haldustööde ajal

Hooldustööde ajal saab IT-süsteemiga erinevatel viisidel manipuleerida. Ükspeamisi ohte on selles, et sageli ei oska omanik tehtud muudatusi kohe äratunda. Lisaks on tavaliselt nii välistel kui majasisestel hooldustehnikutel täielikjuurdepääs kõigile hooldatavasse IT-süsteemi salvestatud andmetele.

• Välised hooldustehnikud võivad omavoliliselt üritada endale siseinfot hanki-da või luua endale võimalusi igal ajal varjatult IT-süsteemi pääseda.

• Majasisesed hooldustehnikud võivad haldustööde käigus enda huvides võikolleegide meeleheaks muuta hooldus- või pääsuõigusi (nt võimalust he-listada välismaale või kasutada internetiteenuseid) või aktiveerida muid ra-kendusi. Asjatundmatus võib sel juhul viia süsteemi hädaolukorrani, samutivõivad konfiguratsioonivigade tõttu tekkida muud turvaaugud.

• Hoolduspersonalil on lisaks täielik juurdepääs kõigile hooldatavasse IT-süsteemi salvestatud andmetele (õigus nii lugeda kui kirjutada). Isegi kuikindlatele salvestistele juurdepääs on piiratud, seda ka ajaliselt, on olemasvajalik ajavahemik, mille kestel on juurdepääs avatud ja mil saab salvesta-tud andmeid vajadusel omavoliliselt edastada või nendega manipuleerida.Ka hooldustööde käigus tehtud omakäeline juhtimine või kontroll- ja alarm-tehnika ajutine desaktiveerimine sisaldab endas suurt ohtu. See puudutabka alarm- ja juhtsüsteeme.

Näited

• Ajutine töötaja, kelle ülesandeks oli sulgeda kontod, mida enam ei kasu-tata, sai tänu oma õigustele kesksest rakendusteserverist autoriõigusegakaitstud tarkvara isiklikuks kasutamiseks alla laadida. Programmi sõpradelejagamiseks kasutas ta teenistuslikke CD-ROM-/DVD-sid ja andmekandjaid.

581 / 781

G 5.18 Süstemaatiline paroolide mõistatamine

Liiga lihtsaid paroole saab tuvastada süstemaatilise katsetamisega. Siinkohal tu-leb eristada kuni teatud pikkuseni rakendatavat katseeksituse meetodit kõikidevõimalike märgikombinatsioonidega (nn Brute-Force-rünnet) ja märgikombinat-sioonide konkreetse nimekirja läbiproovimist (nn sõnaraamaturünnet). Neid mee-todeid on võimalik kombineerida. Suuremal osal operatsioonisüsteemidest on ole-mas kas fail või andmebaas (nt Unixis passwd- või shadow-fail ja z/Os-is RACF-andmebaas), mis sisaldab kasutajate kasutajatunnuseid ja paroole. Siiski on palju-des operatsioonisüsteemides vähemalt paroolide salvestamisest avatekstina hoi-dutud ning selle asemel kasutatakse krüptograafilisi mehhanisme. Kui fail ei olevolitamata juurdepääsu eest piisavalt kaitstud, saab kõrvaline isik selle kopeerida,ning kui ründajal on võimas arvuti ja kui juurdepääsule ei ole kehtestatud ajalisipiiranguid, saab ta faili Brute-Force-ründega lahti muukida.

Brute-Force-ründe toimepanekuks kuluv aeg, mille jooksul parool lahti muugitak-se, oleneb järgnevast:

• iga parooli läbikontrollimise kestus;• parooli pikkus;• parooli koostisosad (nt tähed/numbrid).

Üksiku paroolikontrolli kestus oleneb olulisel määral kasutatavast süsteemistning selle töötlemis- ja andmeedastuskiirusest. Ründe korral on olulisel kohalka ründaja valitud meetod ja tehnika. Parooli pikkust ja koostisosi saab sagelimõjutada organisatsiooniliste või lausa tehniliste meetmetega.

Räsitabelite kasutamine võib vajalikku arvutusaega veelgi oluliselt vähendada.Räsitabelites ühendatakse paroolid räsifunktsiooni ja muude funktsioonide kaudukülgnevate paroolijärjestustega. Kui paroolide kontrollimise rakendamisel ei olekasutatud vastavaid vastumeetmeid, võivad ründe toimepanijad räsitabeleidjõurünnete kiirendamise eesmärgil väärkasutada.

Parooli pikkust ja sümbolite koostist on seevastu võimalik mõjutada töökorraldus-like nõuete või isegi tehniliste meetmetega.

Näide

• Kui meil on näiteks 26 sümbolit, seega näiteks, kui paroolide jaoks kasu-tatakse üksnes väiketähti ilma erisümboliteta, on ühe 8 sümbolit pika pa-rooli jaoks olemas umbes 209 miljardit võimalikku kombinatsiooni. Moodnearvuti, mis on ühes sekundis võimeline arvutama umbes 100 miljonit räsi-väärtust, oleks 35 minuti pärast ära kontrollinud kõik võimalikud paroolid,mis koosnevad kaheksast väiketähest. Erisümbolite, suurtähtede ja numbri-te kasutamisega tõuseb kasutatavate sümbolite arv 72-le. Kaheksakohaliste

582 / 781

paroolide puhul oleksid seega võimalikud 722 triljonit kombinatsiooni. Kõi-kide räsiväärtuste arvutamiseks kaubandusest saadavate arvutitega kuluks83 päeva.

583 / 781

G 5.19 Kasutajaõiguste väärkasutus

Väärkasutus esineb siis, kui kasutatakse tahtlikult õigusi või ebaausalt saadud või-malusi süsteemile või kasutajatele kahju tekitamiseks. Paljudel juhtudel on kasu-tajatel süsteemitehnilistest põhjustest tulenevalt kõrgemad või suuremad ligipää-suõigused, kui nende tööks tegelikult vaja on. Neid õigusi on võimalik kasutadaandmete teadasaamiseks ja seda ka siis, kui töökäsud seda keelavad.

Näited

• Paljudel Unixi süsteemidel on fail /etc/passwd kõikidele kasutajatele loetav,nii et ta saab sealt informatsiooni sinna kantud isiklike andmete kohta. Pealeselle võib ta sõnastikuründega (vt G 5.18 Süstemaatiline paroolide mõista-tamine ) proovida krüpteeritud paroole ära arvata. Liiga kergekäelise grupi-õiguste jagamise korral, eelkõige süsteemigruppide, nagu näiteks root, bin,adm, news või daemon korral on väärkasutus, nagu näiteks võõraste and-mete muutmine või kustutamine väga kergesti teostatav.

• z/OS-süsteemis kõvaketaste eest vastutav mäluadministraator sai tänu at-ribuudile Operations, mille ta oli saanud RACF-administraatori ülesannetetäitmiseks, näha kliendiandmeid. Ta kuritarvitas neid õigusi ja tegi volitama-tult koopiaid teha.

584 / 781

G 5.20 Administraatori õiguste väärkasutus

Administraatori õiguste väärkasutusega on tegu juhul, kui süsteemile või selle ka-sutajatele kahju tekitaval eesmärgil kasutatakse ära Super-Useri volitusi (root- vo-litusi).

Näited

• Kuna root -volitustel pole Unix-seadmetes mitte mingisuguseid piiranguid,saab administraator olenemata sellest, millised pääsuõigused talle kehtivad,kõiki faile lugeda, muuta ja kustutada. Lisaks on administraatoril võimalik en-dale hankida ükskõik millise kasutaja identiteet, ilma et keegi teine kasutajaseda märkaks, mis tähendab, et administraator saab näiteks vale nime altmeile saata ning võõraid meile lugeda ja kustutada.

• Super-Useri volituste väärkasutuseks on palju võimalusi. Siia kuuluvad näi-teks valest hallatud Super-Useri failide (failide, mille omanik on root ja millelon s-Bit määratud) ja käsu su väärkasutus.

• Kahjulikult võib mõjuda ka vahetatavate andmekandjate automaatne ühen-damine. Niipea kui andmekandja asetatakse ajamisse, luuakse kohe ühen-dus. Seejärel on kõikidel ligipääs sealsetele failidele. Ühendatud ajamil asu-vate s-Biti programmidega saab iga kasutaja hankida endale Super-Useriõigused.

• Olenevalt sellest, millist Unixi varianti ja riistvara kasutatakse, võidakse kon-soolile juurdepääsu omades sisse lülitada Monitori režiim või buutida Single-Useri režiimis. See võimaldab manipuleerida konfiguratsiooni.

• Tarkvaravigade tõttu võib tekkida olukord, kus teatud rakendus suudab läbitöötada ainult piiratud hulga andmeid. Olukorras, kus sellisele rakenduse-le edastatakse kas suurem kogus andmeid või suuremad parameetrid, võibjuhtuda, et põhimälu kirjutatakse võõra koodiga üle. Seejärel on võimalikkäivitada funktsioone vastava rakenduse õigustega. See oli muu hulgas või-malik käsuga eject süsteemikeskkonnas SunOS 5.5, kui see oli varustatudSetUID õigustega, st kui sellel olid käivitamisel Super-Useri õigused.

585 / 781

G 5.21 Trooja hobused

Trooja hobune, mida nimetatakse sageli (tegelikult eksikombel) lühidalt ka trooja-laseks, on programm, millel on varjatud, dokumenteerimata funktsioon või toime.Kasutajal ei ole võimalik selle programmi töölehakkamist mõjutada ja selle oma-duse poolest sarnaneb Trooja hobune teatud määral arvutiviirustega. Erinevus onsee, et Trooja hobune ei paljune iseseisvalt. Selle kandjateks sobivad kõikmõelda-vad rakendusprogrammid. Trooja hobuste smugeldamiseks kasutatakse ka skrip-tikeeli, näiteks pakkfaile, ANSI juhtkoodide jada, operatsioonisüsteemi z/OS pu-hul selliseid skriptikeeli nagu REXX Execs ja ISPF Command Tables, PostScriptijms, mida operatsioonisüsteemid või rakendusprogrammid suudavad tõlgendada.Trooja hobuse kahjulik mõju suureneb vastavalt sellele, kui laialdased õigused onselle kandjaprogrammil.

Näited:

• Muudetud sisselogimisprogramm võib kanda endas Trooja hobust, mis saa-dab kasutaja nime ja parooli võrgu kaudu edasi ründajale ja alles seejärelõigele sisselogimisprogrammile. Selliseid Trooja hobuseid on esinenud näi-teks AOL-i ja T-Online’i operaatorfirmade veebiteenustes.

• Ka ekraanisäästjad, eriti sellised, mis laetakse alla Internetist, võivad sisal-dada varjatud funktsioone, mis fikseerivad sisseloginud kasutaja paroolid jaedastavad need ründajale.

• Programmi Back Orifice puhul on tegemist klient-server-rakendusega, mislubab kliendil võrgu kaudu Windowsi arvutit kaughooldada. Esmajoonessaab sellega andmeid lugeda ja kirjutada, samuti saab käivitada paljusidprogramme. Oht seisneb selles, et nimetatud programm on integreeritudmõne teise rakendusprogrammiga ja seetõttu saab seda kasutada Troojahobusena. Juhul kui Trooja hobune käivitatakse ja võrguühendus on ole-mas, saab ründaja rakendada Back Orifice ’i kaughooldusfunktsiooni nõn-da, et kasutaja seda ei märka. Siin kontekstis on oluline mainida veel kaprogrammi NetBUS, millel on sarnased funktsioonid.

• Erinevatele Unixi versioonidele mõeldud juurkomplektidega (rootkits), missisaldavad programme ps, who, netstat ja muid manipuleeritud süsteemi-programme, on võimalik pikemat aega lahti hoida tagauksi (back doors),mis võimaldavad märkamatult süsteemi sisse tungida ja kõrvaldavad samaska ründe jäljed. Sageli muudetakse ära ka failid /sbin/in.telnetd, /bin/login,/bin/ps, /bin/who, /bin/netstat ja C-ketta teegid.

• Unixi süsteemide korral on veel üks ohuallikas “.” sisaldumine keskkonna-muutujas $PATH . Kui muutujas PATH sisaldub hetkel kasutatav töökataloog(.), käivitatakse esmalt seal asuvad programmid. Näiteks võib juhtuda, et kuiülemkasutaja ( superuser ) laseb kuvada mõne kataloogi sisu, kaasneb sel-lega muudetud, juurkasutaja õigustega "ls programmi tahtmatu käivitamine.

• Operatsioonisüsteemi z/OS keskkonnas tekib ründajatel hea võimalus han-kida pettuse teel suuremaid volitusi siis, kui neil on värskendusfunktsiooni-ga ( update ) juurdepääs failidele, mida kasutatakse kas sisselogimisel (ntREXX EXEC) või üldises andmetöötluses (nt ISPF Command Tables). Selli-ses olukorras saab ründaja olemasoleva koodi asendada oma programmio-sistega.

586 / 781

G 5.22 Kaasaskantava IT-süsteemi vargus

Kaasaskantavaid IT-süsteeme mõjutavad teistsugused ohud kui statsionaarseidIT-süsteeme. Näiteks ei kasutata sülearvuteid tavaliselt spetsiaalsete turbemeet-metega ruumides. Neid veetakse isiklike sõiduautodega, nendega liigutakse ühis-sõidukites, neid jäetakse lõunapauside ajaks võõrastesse bürooruumidesse võijärelevalveta hotellitubadesse. Selliste kasutustingimuste tõttu tekib kaasaskan-tavate IT-süsteemide puhul tavapärasest suurem vargusoht. Sõiduki pagasiruumipandud sülearvuti võidakse varastada, ilma et varas oleks sülearvuti vargust üldseplaneerinud, sest koos ärandatud autoga satub võõrastesse kätesse ka sülearvuti.

Näide

• Töölähetuse ajal varastati ühe suure ettevõtte ärijuhi sülearvuti. Materiaal-ne kahju polnud märkimisväärne ning uus sülearvuti muretseti kõigest ühepäevaga. Palju suurem probleem seisnes sülearvutisse salvestatud olulis-te kliendiandmete kaotsiminekus. Nendest andmetest polnud varukoopiaid,sest need olid kogutud töölähetusel.

587 / 781

G 5.23 Pahavara

Pahavara on tarkvara, mis töötati välja eesmärgiga teostada soovimatuid ja ena-masti kahjulikke funktsioone. Pahavara tüüpiliste liikide hulka kuuluvad teiste hul-gas viirused, ussid ja Trooja hobused. Pahavara muutub enamasti aktiivseks sala-ja ja ilma kasutaja loata.Tänapäeval pakub pahavara ründajale laialdasi side- ja juhtimisvõimalusi ja ningneil on suur hulk erinevaid funktsioone. Muu hulgas võib pahavara olla mõeldudainult paroolide välja uurimiseks, süsteemi kaugjuhtimiseks, kaitsetarkvara deak-tiveerimiseks ja andmete luureks.Suurima kahjuna võib vaadelda informatsiooni ja rakenduste kadu või võltsimist.Samas on suure tähtsusega ka maine kahjustumine ja rahaline kahju, mis võibpahavara tagajärjel tekkida.

Näited:

• Minevikus levis W32/Bugbear nimeline viirus kahel viisil: Ta otsis lokaalsesvõrgus arvuteid, millel oli kirjutusluba ja kopeeris ennast sellele. Lisaks saa-tis ta ennast ise HTML-meilina kõigile nakatunud arvuti meiliprogrammi aad-ressiraamatus olnud kontaktidele. Vea tõttu teatud meiliprogrammide HTML-rutiinis teostati viirus teate avamisel ilma igasuguste teadeteta.

• Pahavara W32/Klez levib erinevate variantidena. Nakatunud arvutid saada-vad viiruse kõigile arvuti meiliprogrammi aadressiraamatus olevatele kontak-tidele. Kui see viirus on arvuti nakatanud, takistab see operatsioonisüsteemipideva manipuleerimisega tuntumate tootjate viirusetõrjeprogrammide ins-talleerimist ja raskendab seeläbi nakatunud seadmete puhastamist.

• Ka integreeritud süsteemide teatud liigid võivad nakatuda pahavaraga. Kõi-ge tähtsam esindaja on „Stuxnet”, protsessijuhtimissüsteemidele spetsia-liseerunud pahavara, mis manipuleerib seal muu hulgas ka protsessiand-meid. Pahavara „Duqu” on arvatavasti Stuxneti edasiarendus ja on mõeldudilmselt selleks, et koguda teavet rünnete ettevalmistamiseks. Tööstussead-meid võib tõenäoliselt kahjustada ka troojalane „Havex Remote Access Tro-jan”. See püüab võrguliiklust pealt kuulata ja viia nakatunud süsteemi admi-nistratiivse kontrolli alla ning seda eemalt juhtida.

588 / 781

G 5.24 Sõnumite korduv sisestamine

Selle ründe puhul salvestavad ründajad sõnumi ja sisestavad selle hiljem muut-mata kujul uuesti.

Näide

• Ründaja märgib autentimisandmed (näiteks kasutajanime ja parooli) kasu-taja registreerimisel üles, loob endale vale identiteedi ja pääseb nõnda süs-teemile ligi (vt G 5.21 Trooja hobused ).

• Töötaja annab tööandjale (ettevõttele või asutusele) rahalise kahju tekita-miseks kinnitatud tellimuse mitu korda sisse.

589 / 781

G 5.25 Maskeerimine

Maskeerimist kasutab ründaja vale identiteedi loomiseks, näiteks võrgus kasuta-janime ja parooli väljauurimise (vt G 5.9 IT-süsteemide volitamata kasutamine ),sõnumi saatjavälja või aadressi manipuleerimise (vt G 5.48 IP-aadressi võltsimineja G 5.87 Veebilehe võltsimine ) teel. Lisaks võib vale identiteeti kasutada ISDN-ipuhul telefoninumbrinäidu (Calling Line Identification Presentation) või faksi saat-jatunnuse (CSID – Call Subscriber ID) manipuleerimise teel.

Kasutaja, keda on suhtluspartneri identiteedi suhtes petetud, võib edastadakaitstavat infot.Ründaja võib maskeerimise kaudu üritada ka juba olemasolevaühendusega liituda, ilma et tal oleks tarvis ennast autentida, sest seda on teinudjuba algne suhtluspartner (vt G 5.89 Võrguühenduse ülevõtt ).

590 / 781

G 5.26 Sõnumivoo analüüsimine

Liiklusvoo analüüsimisega üritab ründaja teada saada, kes, millal ja milliseid and-mehulki kellele ja kui sageli saatnud on. Isegi kui ründaja ei saa sõnumi sisu lu-geda, saab ta kasutajate käitumise kohta järeldusi teha. Sõnumi koostamise kuu-päeva ja kellaaja põhjal saab hinnata saatja isiklikku profiili. Peale selle koguvadaadressikogujad meiliaadresse tellimata reklaami saatmiseks.

ISDN-i (Integrated Services Digital Network ) puhul oleks sobivaks ründeobjek-tiks kommunikatsiooniühenduse D-kanal, mida kasutatakse lõppseadme ja kesk-jaama vahel signaalide vahetamiseks. Selles kanalis ülekantavaid signaale võibanalüüsida protokollianalüsaatori abil – see ei võimalda mitte ainult teha järeldusikasutaja käitumise kohta (näiteks kes kellele ja kui kaua helistab), vaid ka ettevalmistada selle kanali kaudu tehtavaid keerukamaid ründeid.

591 / 781

G 5.27 Sõnumi salgamine

Igasuguse suhtluse puhul saab suhtluses osaleja sõnumi vastuvõtmist eitada (Re-pudiation of Receipt). See on eriti oluline rahaülekannete puhul. Sõnumi vastuvõt-mist saab eitada tavaposti, aga ka faksi või meili puhul.

Näide

• Elektroonilisel teel telliti väga vajalik varuosa. Pärast nädalast seisakut esi-tati saabumata osa kohta pretensioon, tarnija aga eitab tellimuse saamist.Samuti võib juhtuda, et suhtluses osaleja eitab sõnumi saatmist. Näiteksvõib eitada tellimuse saatmist (Repudiation of Origin).

• Samuti võib juhtuda, et suhtluses osaleja eitab sõnumi saatmist, st näitekseitab esitatud tellimust (Repudiation of Origin).

• Ühel puhkepäeval teavitatakse asutuse administraatorit, et üks server ei töö-ta. Administraator aga ei lähe asutusse ja eitab hiljem sellise SMS-i saamist.Viivituse tõttu ei tööta server pikemat aega, mistõttu tekib majanduslik kahju.

592 / 781

G 5.28 Teenuse halvamine

Teenuse halvamine (Denial of Service) on ründe liik, mille eesmärgiks on pärssidakasutaja võimalust kasutada teatud funktsioone või seadmeid, mida ta tavatin-gimustes saab kasutada ilma probleemideta. Sellist liiki ründed esinevad sagelijagatud ressursside korral ning ründe toimepanija manipuleerib nende ressurssi-dega nii palju, et teistel kasutajatel pole võimalik oma tööd jätkata. Eesmärgipära-selt on võimalik pärssida nt järgmisi ressursse: protsessid, CPU aeg, infosõlmed(inodes), kataloogid.

Põhjuseks võivad olla näiteks:

• suure hulga suvaliste programmide samaaegne käivitamine,• palju CPU aega vajavate programmide mitmekordne käivitamine,• kõikide vabade infosõlmede hõivamine Unix-süsteemis, mille tagajärjel muu-

tub uute failide loomine võimatuks,• z/OS-süsteemide lintsalvestite ebakoordineeritud hõivamine, mistõttu pea-

vad rakendused seadma ennast ootejärjekorda ning andmete online režiimison pärsitud,

• paroolide teadlik valesti sisestamine (ka skriptide toel) eesmärgiga saavuta-da kõikide z/OS-süsteemi kasutajatunnuste sulgemine,

• konstrueeritud, turvaaukusid ära kasutavate andmepakettide saatmine, misvõib adressaadile põhjustada tõrkeid tema funktsioonide töös,

• võrgu sihipärane ülekoormamine,• võrguühenduste katkestamine,• suurte andmehulkade, rekursiivse sisu, suure hulga pesastatud failidega

XML-sõnumite ja puudulike DTD-de sihipärane loomine, nii et XML-parserhõivab intensiivselt oma süsteemi salvestiressursse.

593 / 781

G 5.29 Andmekandjate volitamata kopeerimine

Andmekandjate väljavahetamisel või transportimisel kantakse edastatav informat-sioon teatud juhtudel kantakse turvalisest keskkonnast ebaturvalise edastusteekaudu üle vastuvõtja turvamata keskkonda. Volitamata isikud võivad sellistel juh-tudel endale informatsiooni kopeerimise teel lihtsamalt soetada, kui seda oleksolnud teha endises keskkonnas. Kaitset vajava teabe suure kontsentratsiooni tõttuelektrooniliste arhiivide andmekandjatel (nt isikuid või firmat puudutavad konfident-siaalsed andmed) on need varguse või kopeerimise eesmärgil meelisründeobjek-tiks volitamata isikutele.

Näide

• Konfidentsiaalsed arendustulemused tuleb X linna arenduslaborist transpor-tida tootmiseks Y linna. Kui andmekandjad saadetakse kontrollimata postiteel, ei ole võimalik välistada nende volitamata kopeerimist ja konkurentide-le edasimüümist, ilma et kompromiteeriva info paljastamist märgatakse.

594 / 781

G 5.30 Faksiaparaadi või -serveri volitamata kasutamine

Volitamata juurdepääsu faksiaparaadile või -serverile saab ära kasutada manipu-leerimiseks. Peale faksi kasutuskulude (side- ja materjalikulude) võib probleemepõhjustada ka see, kui volitamata isik teeskleb, et tal on luba seadet kasutada(faksiaparaat lisab väljuvale faksile ettevõtte ametliku päise). Lisaks tuleb vältidaolukorda, kus volitamata isikud pääsevad ligi saabuvatele faksidele.

Näited

• Faksiseade on üles seatud koridori, nii et iga mööduja saab fakse lugeda võineid aparaadist välja võtta.

• Kui faksiserveris on salvestatud faksiandmete volitused valesti seadistatud,saavad volitamata isikud võõraid fakse lugeda.

595 / 781

G 5.31 Saabuvate fakside volitamata lugemine

Faksiseadmete kasutamisel tekib saabunud fakside volitamata lugemise oht,kui seadmed asuvad vabalt ligipääsetavates kohtades. Lisaks võivad volitamataisikud näha konfidentsiaalsete fakside sisu juhul, kui nende organisatsioonisisenekättetoimetamine on valesti korraldatud.

• Faksiserverite kasutamisel võib saabuvate ja väljuvate fakside volitamatanägemine võimalikuks saada, kui faksiserveri pääsuõiguste andmisel ontehtud vigu.

• Faksiserveritel on muu hulgas nn aadressiraamatud. Aadressiraamatud liht-sustavad fakside saatmist, sest kasutajad peavad valima ainult adressaadinime, mitte ei pea enam sisestama tervet numbrit. Kui aadressiraamatusseon sisestatud vale number, saadetakse selle sissekande kasutamisel faksvalele adressaadile. Sageli pakuvad aadressiraamatud ka võimalust koon-dada mitu adressaati ühte rühma. Kasutaja, kes tahab faksi saata kõikidelemingisse rühma kuuluvatele adressaatidele, peab adressaadiks valima ai-nult rühma. Kui sellises rühmas leidub mõni volitamata adressaat, jõuavadtemani ka kõik sellised faksid, mida ta näha ei tohiks. Selline vale liigitaminevõib tekkida tähelepanematusest või ka sihilikust manipulatsioonist.

• Faksiserverisse saabunud faksid tuleb toimetada nende adressaatideni. Sel-leks võib saabunud faksid välja printida ja käsitsi adressaatidele kätte toime-tada või lasta faksiserveril need automaatselt võrgu kaudu edasi suunata.

• Saabunud fakside volitamata nägemine võib tekkida nende käsitsi kättetoi-metamisel, nt kui printer, millesse faksid saadetakse, asub avalikus kohasvõi kui organisatsioonisisesel kättetoimetamisel tehakse vigu.

• Fakside automaatseks edasisuunamiseks vajab faksiserver liigitamistabelit,mis määrab kindlaks, millisele kasutajale või kasutajarühmale tuleb saabu-nud faksid edasi saata, võttes aluseks kas konkreetse saatja või faksinumb-ri. Kui sellises liigitamistabelis on mõni volitamata isik, olgu siis tähelepa-nematuse või sihiliku manipulatsiooni tõttu, jõuavad temani faksid, mis poletalle määratud.

596 / 781

G 5.32 Faksiaparaadi ja -serveri jääkinfo lugemine

FaksiaparaadidOlenevalt tehnilisest meetodist, millega faksiaparaadid infot salvestavad, töötle-

vad või väljastavad, võib pärast faksi saabumist aparaati alles jääda erinevas ma-hus jääkinfot. Kui ründaja saab seadme või vastava komponendi oma valdusesse,on tal võimalik seda infot taastada.

Termoprintimisega töötavad faksiaparaadid kannavad saabunud faksi info es-malt vahekilele, mida kasutatakse lõplikuks väljaprintimiseks. Vahekile on kuluma-terjal ja seda tuleb regulaarselt vahetada, mis tähendab, et kilet on lihtne eemal-dada. Kui volitamata isik saab vahekile oma valdusesse (varastab selle või sobrabprügi sees), saab ta kilele talletatud info lihtsate tehniliste vahenditega taastada.Nii võib temani jõuda mitusada lehekülge faksisaadetisi.

Suuremal osal faksiseadmetest on vahemälu (dokumendisalvesti, puhver), mil-lesse saab salvestada väljuvaid fakse kuni õnnestunud saatmiseni või saabunudfakse kuni väljaprintimiseni. Olenevalt faksiaparaadist võib see salvesti sisaldadaka küllaltki suurt hulka faksilehekülgi ning iga faksiaparaadile ligi pääsev isik saabneid lehekülgi ka välja printida.

FaksiserverFaksiserverid on rakendused, mis on installitud IT-süsteemidesse, millel on ta-

valiselt vähemalt üks kõvaketas või mis kasutavad mõnda võrgus töötavat kõva-ketast. Faksid salvestatakse faksiserveritesse seniks, kuni need õnnestub saa-ta adressaadini. Moodsad operatsioonisüsteemid töötavad saalimisfailidega, misvõivad sisaldada ka jääkinfot. On oht, et seda infot saab faksiserveri juurdepääsukaudu ära kasutada. Näiteks kui kõvaketas lakkab garantiiajal töötamast, tuleb seenõude esitamiseks tagastada kas edasimüüjale või tootjale. Probleeme põhjustabasjaolu, et kõvakettal olevad andmed võivad sattuda volitamata isikute kätte. Rik-kis kõvaketaste puhul on andmete kustutamine tarkvaraga sageli võimatu.

Volitamata juurdepääs faksiteenuse klientsüsteemi faksiandmetele on võimaliksiis, kui sellesse installitud faksitarkvara ei ole piisavalt kaitstud. Volitamata isiksaab vastava info sealt kätte ka juhul, kui tal on juurdepääs töökohaarvuti kõva-kettale.

597 / 781

G 5.33 Väära identiteedi kasutamine faksi saatmisel

Nii nagu kirjadel saab kasutada võltsitud allkirju ja päiseid, on võimalik saata kavõltsitud fakse. Kui adressaat peab faksis sisalduvat infot autentseks või isegi jurii-diliselt siduvaks, võivad tagajärjeks olla kahjud (vt G 3.14 Faksi juriidilise siduvuseülehindamine ).

Näited

• Allkirju saab teistelt kirjadelt sisse skannida ja faksilehele välja printida võifaksiserveri kasutamisel graafikafailina faksifailile lisada. Vastuvõetud faksipuhul pole võimalik vahet teha, kas tegu on võltsingu või autentse allkirjaga.

• Faksi saatmisel edastatakse faksiga tavaliselt ka faksi saatnud faksiühen-duse number. Õige numbri asemel on võimalik rakendada ka võltsitud numb-rit. Seega kui soovitakse veenduda saatja identiteedi õigsuses, ei piisa ai-nuüksi vastuvõetud faksil kajastuva saatjanumbri uurimisest.

598 / 781

G 5.34 Faksi sihtaadressiklahvide ümberprogrammeerimine

Selleks, et sageli kasutatavaid faksinumbreid ei peaks pidevalt uuesti sisesta-ma, pakuvad mõned faksiaparaadid kiirklahvide seadistamise võimalust. Kui faksesaadetakse kiirklahvide abil, jäetakse adressaatide numbrid sageli üle kontrolli-mata. Kui volitamata isikul õnnestub kiirklahve ümber programmeerida ja ta saabasjad korraldada nii, et uuel aadressil saabunud faksid saadetakse tegelikule ad-ressaadile kiirelt edasi, saab ta mugavalt sellele adressaadile saadetavaid fakselugeda, ilma et teda teolt tabataks.

599 / 781

G 5.35 Faksisaadetistest tulenev ülekoormus

Saabuvatest faksidest võib ülekoormus tekkida näiteks siis, kui faksiühendusivõi sideliine ja -kanaleid on liiga vähe. Lisaks saab faksiühendusi ka meelegablokeerida:

• saates pidevalt mahukaid fakse (mis võivad olla täiesti mõttetu sisuga);• saates meelega fakse seni, kuni faksiaparaadi paberivaru saab otsa ja va-

hemälu saab täis.

Ka faksiserverit saab üle koormata, nt kui fakse saadetakse pidevalt seni, kunikõvaketta mälumaht saab otsa. Siin tuleb arvestada, et üks A4 faksilehekülg onumbes 70 kB suurune. Tänapäevaste kõvaketaste puhul tuleks ülekoormamiseksselliseid fakse saata tohutul hulgal. Lisaks ei tohi unustada, et kasutatavate ühen-duste/kanalite arv on piiratud ja igal faksisaadetisel kulub faksiprotokolli läbimiseksteatud aeg. Seetõttu võib faksiserveri ülekoormamine õnnestuda vaid juhul, kui kõ-vaketas on liiga väike või kui faksisaadetised arhiveeritakse serverisse. Erinevalttavalistest faksiaparaatidest on faksiserverit võimalik üle koormata ka väljuvatefaksidega. Ülekoormus võib tekkida näiteks juhul, kui korraga saadetakse teeleväga suur arv fakse ning see muudab võimatuks ka fakside vastuvõtmise.

600 / 781

G 5.39 Sissetung arvutitesse modemi kaudu

Modemikaardid (nt ISDN-kaardid või integreeritud modemid, aga ka välised mode-mid) suudavad laekuvaid kõnesid automaatselt vastu võtta. Olenevalt kasutatavastsidetarkvarast ja selle konfiguratsioonist on võimalik, et helistaja saab ühendatudIT-süsteemile märkamatult ligi pääseda. Sidekaardi abil saab välise arvuti ühen-dada serveriga ja nii kujuneb arvutist terminal. Kui kasutaja logib ennast pärastterminaliseanssi välja, kuid ühendus jääb püsima, säilib välise arvuti jaoks ligi-pääs, st väline arvuti võrdsustub lokaalse terminaliga. Seeläbi saavad kolmandadisikud, kellel on juurdepääs sellele arvutile, katsetada kasutajatunnuseid ja paroo-le. Seevastu märksa ohtlikum on olukord, kus ühendus katkeb, kuid kaugsüsteemikasutajat ei logita automaatselt välja. Sellisel juhul saab järgmine sissehelistajasama kasutajatunnusega edasi töötada, ilma et ta peaks üldse sisse logima. See-läbi on tal täielik juurdepääs IT-süsteemile, kuigi ta pole end ei identifitseerinudega autentinud.

601 / 781

G 5.40 Pealtkuulamine ruumis arvuti mikrofoni kaudu

Paljudel tänapäevastel IT-süsteemidel on olemas mikrofon. Võrku ühendatud arvu-ti mikrofoni saab kasutada igaüks, kellel on asjakohastele seadmefailidele (Unixisnt failile /dev/audio, Windows NT-s vastavale registrisissekandele) juurdepääsuõigused. Kui nende volituste kindlaksmääramisel ei olda hoolikas ja süsteemilepääsevad seetõttu ligi ka volitamata kasutajad, saab mikrofoni kasutada pealtkuu-lamiseks.

Näide

• Ühes majandussaates näidati, kuidas sülearvuti mikrofoni saab kasutadapealtkuulamiseks, kui arvuti on ühendatud ISDN-telefonijuhtmega. Seda de-monstreeriti ühe poliitiku sülearvutiga. Esmalt lasti tal avada meilile saade-tud võltsitud viirusehoiatus ja sellele meilile lisatud manus, milles oli väidetavkaitseprogramm. See programm sisaldas Trooja hobust, mis lõi ISDN-liinikaudu välisühenduse ja edastas telefoninumbri. Pärast seda sai arvutisseväljast helistada, ilma et arvuti oleks sellest kasutajat nähtavalt või kuulda-valt teavitanud. Seejärel aktiveeriti toimiva ühenduse abil sülearvuti mikrofonja hakati büroos tekkivat heli ühenduse kaudu büroost välja saatma.

602 / 781

G 5.41 Unix-süsteemi väärkasutus UUCP-ga

Programmipakett UUCP (Unix-to-Unix Copy) võimaldab IT-süsteemide vahel va-hetada ASCII- ja binaarandmeid ning käivitada kaug-IT-süsteemides käske. UUCPkasutamine piirdus esialgu Unix-süsteemidega, kuid nüüd saab seda kasutada kamitmete teiste operatsioonisüsteemide jaoks. UUCP kaudu toimuva kommunikat-siooni puhul antakse kaugarvuti kasutajale lokaalse arvuti kasutajaõigused. Kuineid õigusi ei piirata, on oht, et lokaalseid süsteeme saab hakata ära kasutama.UUCP puhul on mõeldav ka teesklus, nt kui parooli tundmisel teeseldakse hosti.

603 / 781

G 5.42 Inimestega manipuleerimine (Social Engineering)

Social engineering on meetod, mille käigus kasutatakse kavalat ja ettevaatlikkuküsitlemist infole või IT-süsteemidele omavolilise ligipääsu saamiseks. Selle juureskasutatakse ära inimeste loomupäraseid omadusi nagu nt abivalmidus, usaldus-likkus, hirm või respekt autoriteedi ees. Inimestega manipuleeritakse nii, et nadmuutuvad ebakindlaks. Tüüpiliseks näiteks on inimestega manipuleerimine telefo-ni teel, kusjuures ründaja valib välja ühe kindla manipuleerimise võtte, esinedeshelistades:

• sekretärina, kelle ülemus tahab midagi veel kiiresti ära teha, too on agaparooli ära unustanud ja vajab nüüd seda tingimata,

• IT-administraatorina, kellel on vaja vea kõrvaldamiseks parooli ja kes palubselle endale telefoni teel öelda,

• telefonirikete kõrvaldajana, kes tahab teada mõningaid tehnilisi detaile, ntmillise numbri alla on ühendatud modem ja millised on selle seadistused,

• väljastpoolt helistajana, kes sooviks rääkida härra X-ga, kes ei ole aga hetkelkättesaadav. Vastuseks saadud teave, et härra X on kolm päeva ära, annabhelistajale samal ajal teada, et härra X kontot sel ajal ei kasutata, st seda eijälgi keegi.

Kui tahetakse teada, kes on helistaja, ütleb uudishimulik helistaja vaid, et ta onvaid „abitöötaja” või „tähtis” isik.

Teiseks strateegiaks on süsteemne näitlemine selleks, et luua ohvriga pikaaeg-sed sidemed. Ründaja võib mõne korra helistada ja kõnelda mitteolulistel tee-madel, kogudes nii aga andmeid ja võites usaldust, mida hiljem ära kasutada.Taolised ründed võivad olla ka mitmeastmelised, kusjuures järgmised sammudpõhinevad eelmisel astmel saadud teadmistel ja tehnikatel.

Paljud kasutajad teavad, et parooli ei tohi kellelegi edasi anda. Social enginee-ring ’uga tegelevad isikud teavad seda ja püüavad seepärast kõrvalteid pidi soovi-tud eesmärgini jõuda, näiteks:

• Ründaja palub ohvril käivitada talle tundmatuid käske või rakendusi, nt kunasee aitab lahendada IT-probleemi. See võib aga olla varjatud sooviks, etmuudetaks pääsuõigusi. Nii võib ründaja jõuda tundliku informatsioonini.

• Paljud kasutajad kasutavad küll tõhusaid paroole, kuid nad kasutavad neidmitmetele erinevatele kontodele pääsemiseks. Kui ründaja pakub mõnd ka-sulikku võrguteenust (nt e-maili aadresside süsteem), võib ta jõuda soovitudparoolide ja sisselogimisandmeteni, kuna paljud kasutavad neidsamu pa-roole ka teistesse süsteemidesse sisselogimiseks.

Social engineering ründe korral ei ole ründaja mitte alati tuvastatav, sest onpalju variante, mis lubavad tal tahaplaanile jääda. Sageli ei saagi ohver teada, etteda kasutati ära. Sellisel juhul jääb ründaja karistuseta, lisaks on tal allikas, millekaudu hiljem soovitud infoni jõuda.

Meili- ja internetiteenuste kasutamine pakub palju võimalusi, kuidas inimestemanipuleerimise ja valede andmete esitamisega informatsioonini jõuda. Kui ohvriusaldus on kord juba võidetud, on ründajal lihtne saata ohvrile meilimanusenatrooja hobune. Kuna ohver tunneb saatjat ja peab teda usaldusväärseks, peab taenamasti ka tema meile ja saadetud manuseid usaldusväärseiks ja avab need.

Sotsiaalvõrgustikud

604 / 781

Interneti sotsiaalvõrgustikud pakuvad inimestega manipuleerimiseks häid või-malusi. Sotsiaalvõrgustikest on võimalik leida isiku kohta hulgaliselt taustteavet,mille kaudu joonistub välja isiku profiil. Taolise info kogumine võimaldab luua alu-se, millelt isiku kohta täiendavat teavet hankida.

Näide

• Ründajal on lihtne tegutseda, kui ta suudab ohvri selleni viia, et too ise te-maga ühendust võtab. Näiteks võib ründaja rünnatava asutuse telefonisea-dega nii manipuleerida, et kõik administraatorile tulevad kõned suunataksetalle edasi. See võib juhtuda näiteks pärast edukat manipulatsioonirünnakuttelefonitehnikule või pärast halvasti konfigureeritud telefoniseadme edukatväljastpoolt kompromiteerimist. Kui ründajal õnnestub läbi viia näiteks DoS-rünne, teavitab rünnaku ohver administraatorit. Telefoniseadme manipulat-siooni tagajärjel kontakteerub ohver aga ainult ründajaga. Seda, kas too ikkaon „päris” administraator, ei päri tavalises igapäevatöös aga keegi.

605 / 781

G 5.43 Makroviirused

Andmevahetuse käigus (nt andmekandjatega või meili teel) on oht, et peale faili (nttekstidokumendi, tabeli) saadetakse edasi ka dokumendiga seotud makrod või in-tegreeritud redaktorkäsud. Makrode toime avaldub alles rakendusprogrammis (ntWinword, Excel), kui dokumenti hakatakse kasutama ning kasutaja lülitab mak-ro sisse või toimub see automaatselt. Olukorras, kus dokument võetakse vastuveebilehitsejaga, mis avab dokumendi automaatselt, võidakse sisse lülitada mõni(auto-)makro. Kuna makrode käsukeele kasutusvõimalused on väga laialdased,tekib oht, et dokumendile võidakse lisada makro, mille funktsioon on tekitada kah-ju (nt arvutiviirus).

Praktikas on kogu maailma näitel selliste ohtude tekke tõenäosus märkimis-väärselt suurenenud eriti selliste Microsofti programmide nagu Windowsi jaoksmõeldud Wordi ja Exceli kasutamisel. Kasutajatele ei ole üheselt arusaadav, etmakrosid sisaldavate Wordi mallidega failide (*.DOT ) ümbernimetamine *.DOC-failideks muudab need ainult pealtnäha andmefailideks, sest makrod jäävad neis-se tegelikult alles. Microsoft Word töötleb selliseid faile nimetatud tõsiasjale viita-mata peaaegu ühtmoodi (erand on Winword alates versioonist 7.0a).

Arvutiviirustesse nakatumise kohta kogutud statistikas on Wordi makrodegaseotud viirused tõusnud tänaseks nimekirja tippu. Tuleb rõhutada, et makrovii-rused võivad esineda väga erinevates operatsioonisüsteemides, nimelt kõikides,kus kasutatakse Winwordi (Windowsi versioonid 3.1 ja 3.11, Windows 95, Win-dows NT, Apple’i arvutid).

Näide

• Winwordi makroviirust Winword.Nuclear levitati internetis failigaWW6ALERT.ZIP. Ühelt poolt lisas see makroviirus kõikidele väljatrük-kidele teksti „STOP ALL FRENCH NUCLEAR TESTING IN PACIFIC!”, kuidteiselt poolt püüdis see ka kustutada süsteemifaile.

606 / 781

G 5.44 Kodukeskjaama (PBX) kaughooldusportide väärkasutus

Kodukeskjaama kaughooldusportide kaudu on võimalik seadet hallata. Kaughool-duspordid võimaldavad läbi viia kõiki haldus- ja hooldustöid, kuid nad täidavad kamuid funktsioone, nagu nt häiresignalisatsioon.

Taolisi kaughooldusporte on vaja eelkõige kodukeskjaama ühendustes (corpo-rate networks) ning osalt on nad isegi asendamatud. Kaughooldusporte võib liigi-tada järgmiselt:

• IP-l baseeruvad pordid andmevõrkude kaudu,• modem-kaughoolduspordid neile pühendatud juhtimisportide kaudu,• otsevalimine DISA (direct inward system access) kaudu.

Uuemad logimeetmed nagu nt QS ja mõned teised tarkvara juhtimisfunktsioo-ni logid sisalduvad juba signalisatsioonifunktsioonis. Selle kaudu on väärkasutusvõimalik.

Kui kaughoolduspordid ei ole piisavalt kindlustatud, võib häkkeritel õnnestudajuurde pääseda kodukeskjaama juhtimisprogrammidele. Välja selgitanud keskjaa-ma pääsuparooli, võivad nad läbi viia administraatori kõiki tegevusi. Seeläbi võibtekkida kahju, mis võib ulatuda alates seadme täielikust hädaolukorrast, raske-test käitamishäiretest, kõigi seadmel olevate andmete lekkest kuni suurte otsesterahaliste kahjudeni. See võib juhtuda nt telefoniteenuste varguse tõttu.

607 / 781

G 5.48 IP-aadressi võltsimine

IP-aadressi võltsimine on ründemeetod, mille korral on võltsimise eesmärk varjatarünnatava IT-süsteemi ees oma tegelikku identiteeti.

Paljude TCP/IP-perekonda kuuluvate protokollide puhul autenditakse andmesi-des osalevaid IT-süsteeme ainult IP-aadressi põhjal, mida on lihtne võltsida. Kuilisaks kasutatakse ka veel ära asjaolu, et arvutite poolt TCP/IP-ühenduse loo-misel koostatud järjenumbreid on lihtne ära arvata, saab välja saata ükskõik millisesaatja-aadressiga andmepakette. Niimoodi on võimalik kasutada vastava konfigu-ratsiooniga teenuseid, nagu rlogin. Ründaja peab samal ajal siiski arvestama, etolenevalt olukorrast ei pruugi ta väärkasutatud arvutilt saada vastuspaketti.

Muudeks teenusteks, mida IP-aadressi võltsimine ohustab, on rsh, rexec,X-Windows, RPC-põhised teenused nagu NFS, DNS ja TCP-Wrapper, mison iseenesest väga mõistlik teenus juurdepääsukontrolli loomiseks TCP/IP-võrguühendusega süsteemides. Kahjuks on ka OSI mudeli teises kihis rakendata-vaid aadresse (nt Etherneti ja Hardware aadresse) kerge võltsida ning seetõttu eisaa neid autentimisel usaldusväärse baasina kasutada.

Eelnevaga võrreldes palju rängemate tagajärgedega ründed ohustavad LAN-e,kus kasutatakse ARP-d (Address Resolution Protocol). ARP ülesanne on leida 32bit suurusele IP-aadressile tema juurde kuuluv 48 bit suurune Hardware või Ether-neti aadress. Kui arvutisisesest tabelist asjakohast sissekannet ei leita, saadetak-se ARP-Broadcasti pakett välja tundmatu IP-aadressiga. Vastava IP-aadressigaarvuti saadab seejärel ARP-vastuspaketi koos oma Hardware aadressiga tagasi.Kuna ARP-vastuspaketid pole manipulatsioonide eest kaitstud, piisab terve võr-gu kompromiteerimiseks enamasti juba sellest, kui saavutada kontroll kas või üheLAN-is asuva arvuti üle.

608 / 781

G 5.49 Lähtemarsruutimise väärkasutus

Lähtemarsruutimise mehhanismi ja protokolli väärkasutus on väga lihtne protokol-lipõhine ründevõimalus. IP-paketis saab kindlaks määrata andmetee, mille kaudupeaks pakett jõudma oma sihtpunkti või mida peaksid kasutama vastuspaketid.Andmetee kirjeldust saab edastamise ajal muuta nii, et enam ei kasutata mars-ruutimississekannetes kindlaks määratud turvalisi andmeteid (nt ei läbita enamtulemüüri), vaid kontrollimata andmeteid.

609 / 781

G 5.50 ICMP-protokolli väärkasutus

Internet Control Message Protocol (ICMP) on transpordikihi protokoll, millegatransporditakse ülesande-, vea- ja diagnostikainfot. ICMP-teadete kuritarvita-misega saab ründaja ühelt poolt segada võrgukasutust, kuid teisalt hankida kasisevõrgu kohta infot ja planeerida selle abil rünnet.

• ICMP-Redirect-teadetega saab manipuleerida arvutite marsruutimistabe-leid.

• ICMP-Unreachable-teateid saab kasutada olemasolevate ühenduste sega-miseks või täielikuks katkestamiseks.

• Erinevaid ICMP-Request-teadete tüüpe (echo request , information request, timestamp request , address mask request) saab väga lihtsalt kasutadaselleks, et n-ö kaardistada organisatsiooni sisevõrku (ICMP sweeps).

• Sisevõrgu kohta saab infot koguda ka võltsitud ICMP-reply-teadetega, sun-dides sihtarvuteid teadetele vastama veateatega.

• Erinevad operatsioonisüsteemid reageerivad teatud liiki ICMP-teadetele eri-neval viisil. ICMP-teated võivad reeta nii seda, kas teatud aadress on ak-tiivne, kui ka seda, millist operatsioonisüsteemi uuritav arvuti kasutab (fin-gerprinting).

• Igasugust liiki ICMP-teateid saab kasutada selleks, et luua varjatud infoka-nal, mis võimaldab sisevõrgust andmeid välja saata.

Teatud operatsioonisüsteemides on valesti juurutatud ICMP tekitanud järgmisiturbeprobleeme:

• Windows 95-ga arvuteid sai teatud ICMP-Echo-pakettidega („Ping ofDeath”) kokku jooksutada;

• erinevate operatsioonisüsteemide ICMP-vastuspaketid võisid sisaldada väl-javõtteid arvuti töömälust. Äärmisel juhul võidi välisele arvutile edastada selviisil isegi paroole või krüptograafilisi võtmeid.

610 / 781

G 5.51 Marsruutimisprotokollide väärkasutus

Sellised marsruutimisprotokollid nagu RIP (Routing Information Protocol) võiOSPF (Open Shortest Path First) on mõeldud selleks, et toimetada kahe ühen-datud süsteemi marsruutide muudatused edasi vajalikesse süsteemidesse ja või-maldada seeläbi marsruutimistabelite dünaamilist muutmist. Kuna RIP-pakette po-le raske võltsida, saab kerge vaevaga konfigureerida soovimatuid marsruute. Dü-naamilise marsruutimise abil saab saata marsruutimisinfot arvutisse, mis kasutabseda infot oma marsruutimistabelite loomiseks, ilma et seda kontrollitaks. Ründajasaab seda ära kasutada, muutes tahtlikult edastuskanalit.

611 / 781

G 5.52 Windows NT administraatoriõiguste väärkasutus

Administraatoriõiguste väärkasutusega on tegu juhul, kui ametlikult või lubamatultsaadud administraatorivolitusi rakendatakse eesmärgil, mis tekitab kas süsteemilevõi selle kasutajatele kahju.

Näide

• Omandiõiguse ülevõtmise funktsiooni kuritarvitades saab administraatorWindows NT-ga töötavas süsteemis tagada endale juurdepääs ükskõik mil-listele failidele, kuigi nende omanik on selle juurdepääsukontrolli kasutami-sega selgelt ära keelanud. Failide omanikule ei jää see siiski märkamatuks,sest administraator peab end määrama vastavate failide omanikuks. Win-dows NT-ga töötavates süsteemides puudub funktsioon, mis laseks sedamuudatust tühistada. Seevastu alates versioonidest Windows Server 2003ja Windows Vista saab omaniku vahetamist varjata ja omandiõigust suva-lisele kasutajale tagasi anda. Administraator saab märkamatult teiste ka-sutajate faile kasutada ka omandiõigust üle võtmata, nt kui ta määrab endvarundusoperaatorite rühma ja teeb failidest, mida ta lugeda tahab, varu-koopiad.

• Administraatoriõiguste kuritarvitamiseks on mitmeid võimalusi. Siia alla kuu-luvad failide lubamatu kasutamine, logimisseadistuste lubamatu muutmineja kasutajakontode lubamatu seadistamine. Muud kuritarvitamise võimalu-sed on logimisinfo võltsimine süsteemiaja muutmise teel või kasutajate te-gevuse üksikasjalik jälgimine.

• Olenevalt kasutatavast riistvarast võib juurdepääs konsoolile või süsteemikorpusele tähendada seda, et süsteemi saab buutida. Seegi võimaldab kon-figuratsiooni manipuleerida, sest buutida on võimalik ka väliselt andmekand-jalt ja buutimisel saab valida mõne teise operatsioonisüsteemi.

612 / 781

G 5.53 Mugavusest tingitud andmekappide väärkasutus

Mehaaniliste koodlukkudega kaitsekappide sagedane tahtlik väärkasutus seisnebselles, et koodluku kood jäetakse pärast kapi sulgemist muutmata, et seda eipeaks järgmisel avamisel enam uuesti valima. Selline väärkasutus vähendab voli-tamatu juurdepääsu korral kapi kaitseväärtust, sest võõras isik saab nõnda kaitse-kapi avada ka koodi tundmata. Sama sagedane on olukord, kus töötajad lahkuvadruumist enda arvates ainult hetkeks ja jätavad seetõttu kaitsekapi ukse lahti, et ta-gasi tulles ei peaks kappi enam uuesti avama. Ka selline tegevus vähendab kaitsetvolitamata juurdepääsu eest.

613 / 781

G 5.57 Võrguanalüüsi tööriistad

Kui võrguossa ülekantavad andmed ei ole krüpteeritud, saab neid andmeid võrgu-analüüsi tööriistade (Sniffer) abil loetavas tekstis lugeda.

Kaasaegsed haldustööriistad sisaldavad tänapäeval funktsioone, mille abil võiblugeda andmepakette, et analüüsida võrkudes esinevaid probleeme. Rünnete toi-mepanijad võivad neid lisafunktsioone väärkasutada, et lugeda konfidentsiaal-seid andmeid. IP-võrkude kõrval on võrguanalüüsi tööriistade poolt ohustatudka Fibre-Channel-ühendused. Erinevad tootjad pakuvad praegu vaba juurdepää-su FC-analüsaatoritele, mille abil on võimalik lugeda andmeliiklust. Nii saab sal-vestusvõrkudest hankida salvestatud andmeid, ilma et pääsetakse ligi füüsilisteleandmekandjatele. Kui seda rakendatakse turvamata kesksetel sõlmpunktidel, te-kib sellest väga suur andmete konfidentsiaalsuse ohustamise risk.Täiendavaid ohte võrguanalüüsi tööriistade rakendamisel põhjustab teenuseosu-tajate juurdepääs renditud liinidele.

614 / 781

G 5.61 Marsruuterite kaughaldusportide väärkasutus

Marsruuterite haldusfunktsioone saab kasutada läbi kaugpöörduse. Selliste kaug-juurdepääsude kaudu saab teha kõiki haldus- ja hooldustöid ning kasutada signa-liseerimisfunktsiooni. Kaugjuurdepääsud on eriti kasulikud suuremates võrkudes,kus töötab korraga mitu marsruuterit, ning juhtudel, kus kohtvõrke ühendatakseomavahel läbi laivõrgu, on need vahel lausa asendamatud.

Kaugjuurdepääsude puhul saab eristada järgmisi liike:

• modemjuurdepääs läbi eraldi liidese (nt V.24);• otsejuurdepääs läbi reserveeritud ribalaiuste.

Kui võrguhalduse jaoks kasutatakse protokolli SNMP (Simple Network Manage-ment Protocol), tekivad turbefunktsioonide puudumisest või nende rakendamatajätmisest lisaohud, mis on veelgi tõsisemad kui kaitsmata kaugliideste kuritarvita-mine.

• Volitamata kasutaja püüab kinni SNMP haldusjaama andmepaketid ja muu-dab neis sisalduvaid parameetreid oma salajaste eesmärkide täitmiseks.Pärast manipuleerimist saadab ta andmepaketid edasi nende õigesse siht-kohta. Andmepaketti vastu võtval seadmel pole võimalik tuvastada, kas and-meid on manipuleeritud või mitte, mistõttu käsitleb see paketiga laekunudmanipuleeritud andmeid samamoodi nagu kõiki teisi, otse haldusjaamastlaekuvaid andmeid.

• Kui võrgu haldusjaama kasutaja saab juurdepääsu SNMP-ga hallatavalevõrgule, suudab ta teeselda community ’t (haldusala SNMP-s). Volitamatakasutaja saab teeselda, et tal on vajalikud volitused, ja seega lugeda agenti-de (võrgus hallatavate objektide, nt marsruuterite) kogu infot ning teha kõikihaldustoiminguid. Agendid ei suuda õiget ja valet identiteeti eristada.

615 / 781

G 5.63 ISDN-i D-kanali manipulatsioonid

Kommunikatsioonis osalejate kõiki füüsilisi ühendusi neile määratud digitaalseühenduspunktiga käsitletakse kokkuvõtvalt ühendusvõrguna. Ühendusvõrgus onarvukalt jaotureid ja edastuspunkte, mis võivad olla vabalt ligipääsetavad ja korra-liku kaitseta (nt kaablite harukarbid). Ühendusvõrgu kommunikatsiooni katkemisekõige lihtsam põhjus on ühenduskaabli mehaaniline kahjustus. Lisaks saab ISDN-iprotokollianalüsaatoriga kommunikatsiooni salvestada ja analüüsida. Kui süsteemisokutatakse protokollianalüsaator, saab muu hulgas manipuleerida ka ISDN-i D-kanalis liikuvat juhtinfot. Sel moel on võimalik rünnatavaid andmesidekomponente(nt ISDN-i kaarte, marsruutereid, kodukeskjaamu) sundida reageerima viisil, mispärsib nende tavapärast tööd või kompromiteerib salvestatud andmeid.

616 / 781

G 5.64 Andmete või tarkvara manipuleerimineandmebaasisüsteemides

Andmete sihiliku manipuleerimisega muudetakse need kas valeks või kasutus-kõlbmatuks. Võimalikke tagajärgi on kirjeldatud ohukataloogi peatükkides G 4.28Andmebaasi andmekadu ja G 4.30 Andmebaasi tervikluse ja vastavuse kadu .

Kui andmebaasi failid või andmebaasi standardtarkvara failid kustutatakse sihi-likult ära või kui neid muudetakse, siis on tegu kogu andmebaasisüsteemi tahtlikuhävitamisega (vt G 4.26 Andmebaasi rike ).

Olukorda, kus asjakohaste pääsuõigustega kasutaja hakkab andmebaasi kassihilikult muutma või hävitama, on peaaegu võimatu takistada. Kui pääsuõigustekontrollimist on võimalik vältida (nt DBMS-i väära haldamise tõttu), võivad andme-baasile peale ründajate ligi pääseda ka tavakasutajad, kes võivad samuti andme-baasi manipuleerida.

617 / 781

G 5.65 Teenusetõkestus andmebaasisüsteemis

Selleks, et IT-kasutaja ei pääseks ligi andmebaasisüsteemi funktsioonidele jateenustele, mida ta on harjunud kasutama, on võimalik rakendada sihilikkeründeid. Peale ohukataloogi peatükis G 5.28 Teenuse halvamine loetletudnäidete võib selline olukord andmebaasides tekkida järgmistel põhjustel:

• Liiga palju päringuid - suur arv samaaegseid päringuid on sage probleeminternetiandmebaasides, mis väljastavad veebibrauseritele infot läbi liideste(interface), nt Common Gateway Interface (CGI) või Active Server Pages(ASP).

• Liiga keerulised päringud - kui suurtest andmebaasidest otsitakse termi-nit, mida pole üheski tabelis, kestavad päringud väga kaua, sest päringugakaasnev minimaalne tegevus hõlmab vähemalt indeksitabeli kõikide sisse-kannete kontrollimist. Kui päringus on mitu sellist terminit ühendatud para-meetriga OR, pikeneb vastuse laekumise aeg veelgi.

• Valed laused (statements) - parser kujutab endast andmebaasi haldussüs-teemis (DBMS) haldussüsteemi pakutava päringukeele (nt SQL) rakendust.Parser kontrollib igat andmebaasi laekuva päringu õigsust päringukeele suh-tes ning kui kontroll näitab, et tehtud päring on keeleliselt õige, sooritab par-ser päringu. Kui päringukeelt ei ole suudetud selgelt ja lõplikult defineeridavõi kui päringukeele kasutamisel esineb parseris vigu, st kui parser lepibvigaste lausetega, saab manipuleeritud lauseid kasutada andmebaasitee-nuste tõkestamiseks. Olukorral, kus parser tunnistab manipuleeritud lausedõigeks ja asub neid pärast kontrolli täitma, võivad olla ettearvamatud taga-järjed ning välistatud ei ole ka täielik rike.

• Liiga pikad vastused - päringutega, mida ei ole üldse piiratud või on piira-tud väga sagedasti leitavate kriteeriumidega, võivad kaasneda väga pikadvastused, mis võivad DBMS-i üle koormata.

• Puhvri ületäitumine - andmebaasisüsteemi tõrke võib põhjustada ka puhv-ri ületäitumine (buffer overflow). Selleks peab ründaja koostama DBMS-iväga tugevalt koormava keeruka päringu. Päringu keerukust saab suuren-dada sellega, kui lisada ülipikki parameetreid, mis parseri üle koormavad.Tagajärjed on ettearvamatud ja võivad DBMS-i isegi täielikult rivist välja viia,võimalikud on ka kontrollimatud andmemuudatused.

618 / 781

G 5.66 IT-süsteemide volitamatud võrguühendused

Olukordi, kus IT-süsteem ühendatakse volitamatult mõne võrguga (süsteem ühen-datakse kas olemasolevate kaablite või jaotus- ja bürooruumide liideste külge), onpeaaegu võimatu vältida. Nii kavalat kaablite paigaldamise varianti, mis suudaksvolitamata ühendused täielikult välistada, ei ole olemas. Erinevus seisneb vaidselles, kui palju tuleb kulutada aega kaabliühenduste lahtivõtmiseks ja andmetelugemiseks või salvestamiseks.

Arvutite volitamata võrguühendusi on väga raske avastada ja tavaliselt neidei märgata. Volitamata juurdepääs puudutab kogu segmendi võrguliiklust ja võibsoodustada näiteks järgmisi tegevusi:

• andmete või tarkvara manipuleerimine;• liinide pealtkuulamine;• liinide manipuleerimine;• teadete taastamine;• volitatud kommunikatsiooniosalise teesklemine;• uudistevoo analüüs;• teenuste tõkestamine;• võrguhaldusfunktsioonide volitamata käivitamine;• volitamatu juurdepääs aktiivsetele võrgukomponentidele.

619 / 781

G 5.67 Võrguhaldusfunktsioonide volitamatu käivitamine

Võrguhaldusfunktsioonide volitamatu käivitamine võimaldab ründajal aktiivseidvõrgukomponente osaliselt või täielikult oma kontrolli alla saada. Kontrollivõi-malused määrab muu hulgas ära kasutatav võrguhaldusprotokoll, nt SNMP võiCMIP/CMOT. Tagajärjeks võib olla võrgu tervikluse, üksikute või kõikide võrgukoostisosade käideldavuse või andmete konfidentsiaalsuse ja tervikluse kadu.

Kui võrgus kasutatakse teenuseprotokolli, nt SNMP-d, saab aktiivsete võrgu-komponentide eriotstarbelisi porte aktiveerida ja ka desaktiveerida. Lisaks saabmanipuleerida näiteks VLAN-i konfiguratsiooni, marsruutimistabeleid, marsruuterija filtrite konfiguratsiooni (vt G 3.28 Võrgu aktiivkomponentide ebasobiv konfi-guratsioon ). Võrgupõhist püsivara värskenduste evitamise funktsiooni saab muuhulgas kasutada selleks, et installida aktiivsetesse võrgukomponentidesse volita-mata tarkvara, millega saab omakorda korraldada või lihtsustada võrgukomponen-tide vastu suunatud ründeid.

620 / 781

G 5.68 Volitamata juurdepääs aktiivsetele võrgukomponentidele

Aktiivsetel võrgukomponentidel on tavaliselt jadaliides (RS-232), mille külge saabühendada terminali või kaasaskantava arvuti. Seeläbi on võimalik hallata aktiiv-seid võrgukomponente ka lokaalselt. Ebapiisavalt kaitstud liideste puhul on mõel-dav, et ründaja loob enda tarbeks volitamatult juurdepääsu võrgukomponentidele.Sellisel juhul saab ründaja pärast lokaalsete turbemeetmete (nt parooli) murdmistjuurdepääsu kõikidele haldamisprotsessidele.

Aktiivsete võrgukomponentide konfiguratsioonide lugemisega saab ründaja ko-guda infot võrgu topoloogia, turbemehhanismide ja kasutusvaldkonna kohta. Kon-figuratsiooniandmete lugemine on võimalik näiteks juhtudel, kui terminal või kaa-saskantav arvuti ühendatakse aktiivsete võrgukomponentide jadaliidesesse, kuikohtvõrgu kaudu pääsetakse ligi aktiivsetele võrgukomponentidele või kui and-meid loetakse ekraanilt või kuvarilt ajal, mil parasjagu seadistatakse aktiivseidvõrgukomponente.

621 / 781

G 5.69 Varguseoht kodutöökohas

Kodune töökoht on tavaliselt vähem kaitstud kui ettevõtte või ametiasutuse omad.Need on tänu põhjalikele turbemeetmetele, nt turvauste, vargusevastaste süs-teemide ja turvatöötajate kasutamisele, volitamatu sissetungimise eest märksaparemini kaitstud kui eramud.

Eramutesse sissemurdmise ja sealt varastamise eesmärk on tavaliselt rikas-tumine. Esmajoones varastatakse kas ehteid või IT-seadmeid, mida saab kiirestija raskusteta maha müüa. Seejuures on oht, et varguse ohvriks võib langeda katööandjale kuuluv IT-varustus. Varastatud IT-süsteemides leiduv tööinfo on tavali-selt palju rohkem väärt kui seade ise. Sissemurdjad võivad üritada oma kasumitsuurendada, rakendades väljapressimist või müües andmeid konkureerivatele et-tevõtetele.

622 / 781

G 5.70 Pereliikmete või külaliste manipulatsioonid kodutöökohas

Kodutöökoha puhul tuleb arvestada, et pereliikmed ja külalised võivad tööandjaltsaadud IT-süsteeme manipuleerida. Lisaks tuleb võtta arvesse ohtu, et pereliik-med võivad arvutisse installida isiklikku tarkvara (nt arvutimänge), lapsed võivadIT-süsteemi kogemata ära lõhkuda ning ametiasutuse andmekandjad võivad sat-tuda asutuseväliste inimeste kätte. Sellised osalt hooletusest ja osalt tahtlikult asetleidvad manipulatsioonid võivad vähendada tööandmete konfidentsiaalsust ja ter-viklust ning ka andmete ja IT-süsteemide käideldavust.

623 / 781

G 5.71 Tundliku informatsiooni konfidentsiaalsuse kadu

Konfidentsiaalsus on nõue, et info tohib olla kättesaadavaks tehtud ainult õigus-tatud isikutele. Integreerituse ja kättesaadavuse kõrval on salajasus üks infoturbepõhiväärtusi. Infot, mida on vaja konfidentsiaalsust silmas pidades kaitsta (nagunt paroolid, isikuandmed, firmade ja ametiasutuste salajane info, arenguandmed),ähvardab loomupäraselt oht, et tehniliste rikete, hoolimatuse või tahtliku tegevusetulemusel võib selle konfidentsiaalsus kaduda.

Konfidentsiaalsele infole võib juurde pääseda erinevaid teid pidi, näiteks:

• arvuti sees olevate salvestusmeediumite (kõvakettad) kaudu,• vahetatavate salvestusmeediumite (mälupulgad, CD-d või DVD-d) kaudu,• andmete paberile trükkimise (prindid, aktid) ja• andmete ülekandmisel ülekandeteede kaudu.

Samuti võib olla erinev see, kuidas konfidentsiaalset infot saadakse, näiteks:

• andmete lugemisel,• andmete kopeerimisel,• varukoopiate uuesti arvutisse salvestamisel,• varastatud andmekandjate läbitöötamisel,• ülekandeliinide pealtkuulamisel,• kahjurprogrammidega nakatamisega,• arvutiekraanilt kaasalugemisega,• turvaaukude ärakasutamise või teadlikult rakendustarkvarasse paigaldatud

tagauste või operatsioonisüsteemide kaudu,• kaughooldusmehhanismide väärkasutuse kaudu,• andmete väljauurimine hooldus- või tellitud töötajate kaudu,• andmete edastamine IT-teenuspakkujate kaudu.

Konkurentsipuudused ärisaladuste, nagu kliendinimekirjade, hinnapoliitika võiehitusplaanide avaldamise kaudu.

Kui infot loetakse omavoliliselt või kui info jäetakse järelevalveta, võib see asutuse-le kaasa tuua tõsiseid tagajärgi. Muuhulgas võib konfidentsiaalsuse kadu tähen-dada asutusele:

• seaduste (nt andmekaitseseaduse) rikkumist,• negatiivset sisemõju, nt töötajate demoraliseerumist,• negatiivset välismõju, nt suhete halvenemist äripartneritega, klientide usal-

duse kadu,• rahalisi mõjud, näiteks kahjutasunõudeid, rahatrahve, kohtutasusid,• informatsioonilise enesemääratlusõiguse kahjustumist.

Lisaks tuleks silmas pidada, et mitte alati ei märgata konfidentsiaalsuse kadukohe. Tihti selgub alles hiljem, et kõrvalised isikud on saanud juurdepääsu konfi-dentsiaalsele infole ning sellega kahju tekitanud.

624 / 781

G 5.72 Rühmatarkvarasüsteemi kuritarvitamine

Rühmatarkvarasüsteeme võidakse kuritarvitada erinevates kohtades – kasutajajuures, sisevõrgus, ülekandvas rühmatarkvara- või meiliserveris või sõnumite vas-tuvõtjate juures. Kui juurdepääs rühmatarkvararakendustele ei ole kasutajate võiasutuse rühmatarkvarasüsteemi puhul piisavalt hästi kaitstud, võib kõrvaline isikmanipuleerimise eesmärgil endale volitamatu juurdepääsu luua. Seejuures võiblisaks ülekandekuludele tekkida kahju ka seetõttu, et volitamata isik esineb vo-litatud isikuna. Samuti ei tohi volitamata isikud suletud rühmatarkvarasüsteemisinfot lugeda, sest nii võib konfidentsiaalne info avalikuks saada või oma väärtusekaotada. Samuti võidakse teavet kasutada vastuvõtja kahjustamiseks.

Näited

• Osakonnajuhataja läheb natukeseks välja ja jätab IT-süsteemi valveta, kus-juures rühmatarkvaraprogramm on juba käivitatud ja juhataja on ennast au-tentinud. Juhuslikult sisse astunud kolleegi meelest on naljakas saata sellemeilikonto alt teistele vallandamisteateid ja tööülesandeid .

• Üks töötaja levitab oma ametimeili alt eraviisilisi seisukohti, mis võivad tematööandja reputatsiooni kahjustada .

• Pidevalt korduvate meiliaadresside ikka ja jälle sisestamise vältimiseks saabpseudonüüme kasutades valida meiliaadressiks mõne ilmeka nime. Samutisaab meililistide abil välja valida suure saajate ringkonna. Selliste pseudo-nüümide või meililistide volitamata muutmise korral saab meili edasisaat-mise siduda soovitud vastuvõtjaga või saata kiri soovimatule saajale. Eritiohustatud on sel juhul keskselt hallatavad pseudonüümifailid või aadressi-raamatud.

625 / 781

G 5.73 Saatja aadressi võltsimine

Meili saatmisel on saatja vale meiliaadressi sisestamine üsna lihtne, kuna SMTP-põhiste meilide edasisaatmisel ei kontrollita tavaliselt, kust sõnum tuleb, vaid ai-nult seda, kuhu see peab minema. Peale selle võimaldavad paljud meilikliendidsisestada suvalisi saatjaandmeid. Nii võib tekkida oht, et saaja võtab sõnumis si-salduvat infot autentse ja siduvana.

Näited

• Enamikul arvututest rämpskirjadest, mis kasutajate postkaste ummistavad,on võltsitud saatja.

• Mõned juba aastaid internetis nuhtluseks olnud meiliussid kasutavad saatjaaadressina äsja rünnaku ohvriks langenud kasutaja aadressiraamatust pä-rit aadressi. Nii saavad järgmised ussi ohvrid kirja tuntud saatjalt ja võivadavada meili või lausa selle nakatatud manuse.

• Paljude levinud meiliprogrammide puhul saab võltsitud saatjaandmetegameili probleemideta meiliserverile edastada, ilma et parooli peaks üle kont-rollima . Selliselt saadetud meilile antakse küll mõnikord ebaõnnestunud ka-sutaja autentimise korral väljal X-Sender tähistus „kontrollimata”, kuid koge-mus näitab, et see jääb enamasti tähelepanuta. Pealegi ei kuvata seda tä-histust standardkonfiguratsiooni puhul suuremas osas meiliprogrammidest.

626 / 781

G 5.75 Ülekoormus siseneva meili tõttu

Meiliaadressi saab kestvalt mahukate (sageli sisutühjade) meilide saatmisega si-hilikult blokeerida. See võib toimuda näiteks siis, kui kasutaja ei pea kinni netike-tist ning on muutunud seetõttu ebasoovitavaks või kui tegemist on asutusevastaseründega. Netiketi (võrguetiketi) all mõeldakse aja jooksul internetikasutuses, eritiuudisgruppides kindlakskujunenud viisakusreegleid, millest kinnipidamine tagab,et igaüks saab internetti tõhusalt ja kõiki osapooli rahuldaval viisil kasutada.

Meelega esilekutsutud suure liikluse tõttu võidakse kohalik meilisüsteem nii ülekoormata, et see ütleb üles. Tulemuseks võib olla lausa see, et teenusepakkujavõtab kasutaja või kogu tema asutuse võrgust maha. Meilisüsteemi võib samutiüle koormata see, kui mõned töötajad ühinevad kettkirjaga. Kettkirjaaktsioon võttisüle kogu maailma paljusid IT-süsteeme maha juba 80. aastate keskel. Kasutajadsaid jõulutervituste ja ilusa pildiga meili, milles neil paluti see kopeerida ja kümnelekasutajale edasi saata.

MeilipommidMeilipommide all mõeldakse meelega sõnumisse sisse ehitatud, enamasti ma-

nuses peituvaid kahjustavaid funktsioone. Kui selline manus lugemiseks aktiveeri-da või lahti pakkida, loob see hulgaliselt alamkatalooge või võtab enda alla vägapalju kettaruumi. Sageli mõeldakse meilipommitamise all ka meiliaadresside sihi-likku ülekoormamist meilidega, mille sisu on enamasti mõttetu.

627 / 781

G 5.77 Võõraste meilide lugemine

Tavaliselt kantakse meil üle avatekstina. Kõigis andmete ülekandmiseks kasu-tatavates. IT-süsteemides saab võõraid krüpteerimata andmeid lugeda või isegimärkamatult muuta . Meilide internetis ülekandmisel võivad osaleda väga paljudIT-süsteemid. Täpne ülekandetee ei ole varem teada: see sõltub lüüside ja võr-guosade koormusest ning saadavusest. E-kiri võib ühest linnaosast teise minnaisegi välismaa kaudu.Sissetulevatele meilidele võib juurde pääseda ka saaja meiliserveris töötava post-kasti kaudu, mis sisaldab kõiki vastuvõetud meile ja vastavalt konfiguratsioonilemitte ainult lugemata, vaid kõigi viimastel kuudel saabunud sõnumite arhiivi, mille-le on juurdepääs vähemalt meiliserveri süsteemihalduril. Mõnikord salvestataksemeiliserveril ka väljaminevate meilide koopiad. Sageli aga salvestab kasutaja mei-liprogramm need saatja arvutisse.

Näited

• Microsofti konkurendid kasutasid mitmeid ettevõtte sisemeile monopolide-vastase meetodina, et Microsofti positsiooni õõnestada. Sellised meilid si-saldasid osaliselt laimavaid väljaütlemisi Microsofti konkurentide kohta.

• Üks teenusepakkuja osutab interneti teel teenuseid, mille kasutamiseks tu-leb ennast tema serveris registreerida . Selleks vajalik autentimisinfo saade-takse kliendile meilitsi. Sellise meili lugemise korral saab ründaja end teenu-sepakkuja serveris volitamata registreerida ja teenuseid registreeritud klien-tide arvel kasutada.

628 / 781

G 5.78 DNS-i võltsimine

Internetis asuvate arvutitega suhtlemiseks on tarvis teada nende IP-aadressi.Kuna neid numbreid pole enam võimalik kergesti meelde jätta, seob DNS(Domain Name System) iga IP-aadressi vastava nimega. DNS-i võltsimisest võibrääkida siis, kui ründajal õnnestub võltsida arvutinime ja sellega kokku kuuluvaIP-aadressi seost, st kui nimi teisendatakse kas valeks IP-aadressiks või kuiIP-aadress teisendatakse valeks nimeks. DNS-i võltsimise klassikaliste juhtumitekorral ei manipuleerita pahavaraga mitte klientsüsteemi arvutit, vaid kasutatakseära DNS-andmesides leiduvaid kitsaskohti. Seeläbi on muu hulgas võimalikudjärgmised ründed:

• r-teenuste (rsh, rlogin, rsh) ründamine. Need teenused võimaldavad autenti-mist klientsüsteemi nime põhjal. Serverile on klientsüsteemi IP-aadress tea-da ja ta esitab DNS-i kaudu päringu tema nime kohta. DNS-i manipulee-rimise tõttu võib ründajal õnnestuda r-teenusesse sisse logida, ilma et taloleks selleks volitusi, ja saada juurdepääs konfidentsiaalsele infole;

• veebilehe võltsimine (web-spoofing). Ründaja võib aadressi www.ria.eemäärata mõnele valele arvutile. Seega kui sisestatakse aadresshttp://www.ria.ee, pöördutakse vale arvuti poole.

See, kui kerge või raske on DNS-i võltsida, oleneb rünnatava võrgu konfigu-ratsioonist. Kuna ükski arvuti ei suuda endas talletada kogu maailma DNS-infot,sõltuvad arvutid alati teiste DNS-serverite infost. DNS-päringute kuhjumise välti-miseks salvestavad paljud Resolvingu DNS-serverid teistelt DNS-serveritelt saa-dud andmed mõneks ajaks oma vahemällu. Üks lisavõimalus, kuidas DNS-i võlt-simisega kahju tekitada, on DNS-serverisse sissemurdmine. Seda siinkohal lähe-malt ei käsitleta. Palju olulisem on näidata põhimõttelisi vigu DNS-i kasutamisel.

Näited

• Kasutaja, kelle arvuti nimi on pc.klient.ee, soovib esmalt külastada fir-mat www.firma-x.ee ja seejärel konkureerivat firmat www.firma-y.ee . Sel-leks, et külastada firmat www.firma-x.ee , peab ta esitama oma Resolvin-gu DNS-serverile ns.klient.ee IP-aadressi kohta päringu. Resolvingu DNS-serverile on see aadress esialgu võõras, mistõttu esitab see omakordapäringu Advertisingu DNS-serverile ns.firma-x.ee. See saadab IP-aadressining ns.klient.ee saadab selle edasi kasutajale ja salvestab selle. Juhul kuins.firma-x.ee vastuspakett sisaldab peale www.firma-x.ee IP-aadressi veelka www.firma-y.ee arvutinimega seonduvat vale IP-aadressi, salvestatakseka see. Kui kasutaja soovib külastada firmat www.firma-y.ee, ei esita omasüsteemi Resolvingu DNS-server päringut nüüd enam mitte ns.firma-y.eeDNS-serverile, vaid annab hoopis edasi selle info, mille ns.firma-x.ee tallesokutas. DNS-serveritoodete tänapäevastes versioonides pole sellised rün-ded enam võimalikud. Sellele vaatamata leidub modifitseeritud ehk täienda-tud ründemeetodeid, mis on edukaks osutunud ka tänapäevastes versiooni-des.

• Firma X teab, et kasutaja arvutinimega pc.klient.ee soovib külastada kon-kureerivat firmat www.firma-y.ee. Firma X takistab seda sellega, et esi-

629 / 781

tab DNS-serverile ns.klient.ee päringu www.firma-x.ee aadressi kohta. Seepeab DNS-serverist ns.firma-x.ee järele uurima ja saab vastuseks, nagu esi-meses näites juba kirjeldatud, www.firma-y.ee kohta käiva valeinfo.

Mõlemad näited tuginevad sellele, et DNS-server aktsepteerib lisainfot, millekohta ta päringut ei esitanud. DNS-tarkvara uuemates versioonides (nt BIND-is)on see viga juba kõrvaldatud ja sellist liiki rünnete toimepanek on tõkestatud. Sa-mas on IP-aadressi võltsimist kasutades jätkuvalt võimalik koostada valesid DNS-sissekandeid. Sellised ründed on aga tehniliselt keerukamad, vt ka G 5.48 IP-aadressi võltsimine .

Mõlemale ründeliigile on ühine see, et püütakse saavutada olukord, kus rünnatavarvuti salvestaks endale IP-aadressi ja nime vahelise vale seose. Seda protses-si nimetatakse veel ka vahemälu mürgitamiseks (cache poisoning). Kuna DNS-serverid salvestavad domeeniinfo enda vahemällu, nagu teises näites kirjeldatud,võivad võltsitud andmed levida väga laialt. Kui DNS-servereid on manipuleeri-tud, saadavad need neile laekuvatele päringutele vastuseks võltsitud info. Vastusesaaja salvestab võltsitud andmed samuti vahemällu ja niimoodi on tema vahemä-lu samuti mürgitatud. Salvestatud andmetel on defineeritav eluiga (Time To Live,TTL). Juhtudel, kus Resolvingu DNS-server esitab päringu mõne manipuleeritudaadressi kohta, esitab see päringu mõnele teisele DNS-serverile alles pärast se-da, kui andmete eluiga on täis saanud. Nii on võimalik, et manipuleeritud andmedsäilivad pikka aega, kuigi esmalt ründe ohvriks langenud DNS-serveril on veadjuba parandatud.

Vahemälu mürgitamine on DNS-i suhtes toime pandavatest rünnetest kõige oht-likum. Kui ründajal õnnestub saavutada kontroll näiteks mõne domeeni nimetei-senduse üle, kasutades selleks sissekannete manipuleerimist, mille tagajärjel esi-tatakse päringud tema DNS-serverile, puudutab see automaatselt ka kõiki alam-domeene.

630 / 781

G 5.79 Windowsi süsteemide administraatoriõiguste volitamatuomandamine

Windows NT standardse installimise käigus luuakse lokaalne administreerimis-konto. See kehtib nii klientsüsteemide kui ka serverite versioonide kohta. Erinevaltise loodud kontost ei saa seda lokaalset eeldefineeritud administreerimiskontotWindows NT-s ja Windows 2000-s ei kustutada ega sulgeda. Seega tuleb välista-da olukord, kus administraator ei saa enam haldamistöid teha põhjusel, et ta onpääsuandmed kas kogemata või tahtlikult ära kaotanud. Siinkohal tuleb arvestadaprobleemiga, et eeldefineeritud administraatorikontot ei suleta isegi siis, kui va-lesid paroole sisestatakse sagedamini kui kontode eeskirjades on kindlaks mää-ratud. Asjakohaste vastumeetmete puudumisel on võimalik spetsiaalsete prog-rammide abil paroole süstemaatiliselt katsetada. Lokaalset eeldefineeritud admi-nistraatorikontot saab desaktiveerida alates versioonidest Windows XP ja Win-dows Server 2003. Windows Vista standardses installatsioonis on see konto jubadesaktiveeritud. Sellele vaatamata pole seda kontot jätkuvalt võimalik kustutada.

Võimalusi, kuidas administraatorikonto juurde kuuluvat parooli ja seeläbi ka ad-ministraatoriõigusi volitamatult oma valdusesse saada, on veel teisigi. Näiteks või-dakse Windows NT-ga töötava süsteemi kaughaldamisel edastada sisselogimis-parool olenevalt kasutatavast autentimismeetodist avatekstina, st ründaja jaoksloetaval kujul. Seevastu Windows Vista pakub IPSec-i tuge juba standardses ins-tallatsioonis. Isegi kui süsteemi seadistamisega on tagatud, et sisselogimiseks va-jalikud paroolid edastatakse ainult krüpteeritult, on jätkuvalt võimalik, et ründajalõnnestub krüpteeritud paroolid salvestada ja spetsiaalse tarkvaraga dekrüpteeri-da. See kehtib eriti Windows NT puhul, kui kasutatakse mõnda vanemat NTLM-protseduuri. Alates versioonist Windows 2000 kasutatakse domeenikeskkonnasstandardselt Kerberost, mis on sellistele rünnetele vastupidavam.

Lisaks salvestatakse Windows XP-s ja Windows Server 2003-s iga pa-rool registrisse ja faili, mis asub taastediskettide kataloogis %System-Root%\System32\Repair või %Systemroot%/Repair, ning vajaduse korral ka lint-varukoopiana krüpteeritult. Kui ründaja saab faili oma valdusesse, võib ta ürita-da spetsiaalse tarkvaraga vajalikku parooli dekrüpteerida. Windows Vistal Repair-kataloog puudub. Pahavaraga saab ründaja Windows NT arvutis, millesse ta onlokaalselt sisse logitud, lisada gruppi „Administrators” mis tahes kasutajakontosidning anda nende kontode omanikele administraatorivolitusi.

Lisatud on veel mõned näited rünnetest, millega püütakse administraatoriõigusihankida:

• volitusi on võimalik täiendada (privilege escalation), kui kasutada äraadministraatori- või süsteemiõigustega programmide ja teenuste kitsaskohti;

• tehnilist laadi ründeid saab kasutada koos inimestega manipuleerimisega(Social-Engineering-rünnetega). Näiteks on lokaalset süsteemi võimalik ma-nipuleerida tavaliste kasutajaõigustega, samuti saab takistada administraa-torit sisse logimast;

• paroole saab mõne teise buutimisandmekandjaga (nt disketi/CD/USB-mälupulgaga) üle kirjutada.

631 / 781

G 5.80 Pettemeilid

Võltsteade (hoax) on teade, mis hoiatab uute hirmuäratavate arvutiviiruste võimuude IT-probleemide eest ja külvab paanikat, kuid mis ei põhine faktidel. Selliseidteateid saadetakse enamasti meiliga. Levinud on näiteks hoiatamine arvutiviirusteeest, mis võivad tekitada riistvarakahjustusi või mis nakatavad kõigest meili (mit-te manuse) avamisega arvuti, tuues kaasa kahju, ning mida ei suuda avastadamitte ükski viirusetõrjeprogramm. Peale hoiatuse palutakse vastav teade ka kõi-kidele sõpradele ja tuttavatele edasi saata. Selline pettus on veelgi tõhusam, kuisaatja aadress on võltsitud nii hästi, et tegu näib olevat mõne maineka tootja mei-liga. Sellist võltsteadet ei tohi segi ajada arvutiviirusega, mis võib IT-süsteemis kareaalselt midagi muuta. Pigem on tegu eksitava teatega, mille saab probleemidetaära kustutada, ja seda tulekski teha. Võltsteate ainus tõeline kahju on adressaa-di segadusse ajamine ning olenevalt olukorrast ka teate edasisaatmisest tulenevaja- ja rahakulu.

Mobiilside kaudu on levitatud mitmeid võltsteateid, milles hoiatati kasutajaid, etkui nad valivad mobiiltelefonis teatud klahvikombinatsiooni või helistavad teatudnumbril, on võimalik kõnesid pealt kuulata või helistada teiste kulul. Veenvusesuurendamiseks nimetati teadetes konkreetseid mobiiltelefonitootjaid ja kasutatispetsiifilisi tehnilisi väljendeid. Sellised kuulujutud on visad kaduma ja tekitavadkasutajates ebakindlust.

Näide:

• 2000.aasta kevadel liikus meili teel (ja osalt isegi kirja teel) järgmise sisugavõltsteade: „Kui teie mobiili saabub sõnum, milles palutakse teil helistadanumbril 0141 455xxx, ärge sellele mitte mingil juhul reageerige. Muidu tu-leb teil ülisuur telefoniarve. Käesoleva info edastas teile PetturlusevastaseVõitluse Keskus (Office Central de Repression du Banditisme).”

632 / 781

G 5.81 Krüptomooduli volitamata kasutamine

Kui võõrastel õnnestub krüptomoodulit volitamatult kasutada, võib see tuua kaasaerinevat kahju. See võib hõlmata järgmist:

• Krüptomooduli volitamata kasutamisega saab ründaja salajasi võtmeid luge-da ja muuta ning ta võib manipuleerida ka kriitilisi turbeparameetreid. Selletagajärjel kaovad krüptograafiliste protseduuride turbeomadused.

• Volitamata kasutamisel saab ründaja krüptomoodulit selliselt manipuleerida,et see töötab esmapilgul küll õigesti, kuid on tegelikult ebaturvaline.

• Ründaja kasutab krüptomoodulit teeskluseks. Kui ründaja peaks krüptomoo-duli volitamata kasutamise käigus faile allkirjastama või krüpteerima, siis tõl-gendab andmete vastuvõtja neid selliselt, nagu oleks need toimingud teinudvolitatud kasutaja.

Näide

• Krüptomooduli volitamata kasutamine saab võimalikuks siis, kui volitatudkasutaja lahkub ajutiselt oma töökohalt ja loob sellega olukorra, kus krüp-tomooduli juurdepääs jääb kaitseta, sest see on töövalmis, nt kui kasutajajätab lahkudes allkirja- või krüpteerimiskaardi arvutisse. Seeläbi saab iga-üks, kes juhuslikult mööda astub, volitatud kasutaja nimel meile allkirjastadavõi IT-süsteemi salvestatud faile selliselt krüpteerida, et volitatud kasutaja eisaa neid enam ise kasutada.

633 / 781

G 5.82 Krüptomooduli manipulatsioon

Ründaja võib üritada krüptomoodulit manipuleerida selleks, et lugeda või muutasalajasi võtmeid või muuta kriitilisi turbeparameetreid. Krüptomoodulite manipu-leerimine võib puudutada muu hulgas järgmisi valdkondi:

• superparool, mille abil saab mööda kõikidest teistest paroolidest;• dokumenteerimata kontrollrežiimid, millega võib ükskõik millal ligi pääseda

tundlikele valdkondadele;• Trooja hobuste rakendamine, st kasutatakse tarkvara, mis täidab oma tege-

like ülesannete kõrval teisi, salajasi ülesandeid, nt salvestab paroole;• teatud käskude pääsuõiguste manipuleerimine.

Muud võimalikud ründed on järgmised:

• krüptograafiliste võtmete muutmine;• sisemiste võtmete genereerimise pärssimine, nt juhugeneraatori manipulee-

rimine;• krüptomooduli siseprotseduuride muutmine;• krüptomooduli lähtekoodi või käivitatava koodi muutmine;• krüptomooduli lubatud töötingimuste, nt pinge, temperatuuri, EMC-

piirväärtuste jms ületamine.

Krüptomooduli manipuleerimist üritab ründaja enamasti peita, st ründaja loobolukorra, kus krüptomoodul töötab näiliselt täiesti nõuetekohaselt, kuid on tege-likult ebaturvaline. Samas leidub ka hävitavaid ründeid, mille käigus on krüpto-mooduli hävimine ründaja jaoks täiesti vastuvõetav, nt kui ta tahab koguda infotkrüptomooduli tööviiside kohta või lugeda krüptograafilisi võtmeid. Ründaja võibründe toime panna krüptomooduli paigalduskohas või üritada moodulit varastada.Halvasti kaitstud paigalduskohas võib manipuleerimine toimuda väga kiirelt ningseetõttu ka väga pikaks ajaks märkamatuks jääda. Seevastu krüptomooduli vargu-sega võib ründaja koguda olulist infot selle kohta, kuidas saab mõnda komponentikõige lihtsamini manipuleerida. Varastatud komponentidest võidakse koguda kakonfidentsiaalset infot, nt võtmeid, tarkvara või teadmisi riistvaraliste turbemehha-nismide kohta. Võimalik on ka see, et varastatud komponenti hakatakse kasutamaselleks, et jätta muljet krüptomooduli autentsusest.

634 / 781

G 5.83 Krüptograafiliste võtmete paljastamine

Krüptograafiliste protseduuridega saavutatav turve oleneb suurel määral sellest,kas konfidentsiaalsed krüptograafilised võtmed jäävad konfidentsiaalseks võitulevad avalikuks. Kui ründaja teab nii kasutatud võtit kui ka krüptograafilistprotseduuri, on tal enamasti väga lihtne krüpteeritud tekst lahti murda ja sellestavatekst saada. Seetõttu püüabki potentsiaalne ründaja tuvastada kasutatavaidvõtmeid. Rünnatavad valdkonnad võivad olla järgmised:

• võtmete genereerimise protseduurid: on võimalik, et nt juhuarvude kindlaks-määramiseks või võtmete tuletamiseks kasutatakse sobimatuid protseduu-re;

• võtmete genereerimine: ründaja loeb võtmed välja enne nende salvestamistturvalisele andmekandjale;

• igapäevane kasutus: töötavast krüptomoodulist hangitakse võtmeid tehnilis-te rünnetega;

• võtmete varukoopiate varastamine;• sisestuse pealtkuulamine: krüptograafilised võtmed hangitakse nende si-

sestamise pealtkuulamisega;• rakendatavate krüptoprotseduuride lahtimurdmine, nt on tänapäeval võima-

lik sümmeetriliste krüpteerimismeetodite (nt DES-i) kasutamisel võtmeidhankida paralleelse arvutimassiiviga, mis neid katse ja eksituse meetodillihtsalt läbi proovib (Brute-Force-rünne);

• krüptograafilised võtmed võivad ründaja kätte sattuda ka põhjusel, et mõnitöötaja on need lihtsalt reetnud.

635 / 781

G 5.84 Võltsitud sertifikaadid

Sertifikaadid on välja töötatud selleks, et avalikku krüptograafilist võtit saaks seos-tada konkreetse isikuga. Võtme seostamine inimese nimega on omakorda krüp-tograafiliselt kaitstud usaldusväärse kolmanda isiku digiallkirjaga. Kolmas isik ka-sutab neid sertifikaate, et kontrollida sertifikaadis kindlaks määratud isiku digiallkir-ju või kasutada sellele isikule saadetavate andmete krüpteerimiseks sertifikaadistoodud võtit. Kui sertifikaat on võltsitud, tunnistatakse valed digiallkirjad ekslikultõigeks ja seostatakse need sertifikaadis märgitud isikuga, samuti on oht, et and-meid krüpteeritakse ebaturvalise võtmega. Mõlemad ründevõimalused on piisavpõhjus, miks ründaja on huvitatud sertifikaatide võltsimisest.

Sertifikaate saab võltsida mitmel moel:

• Usaldusväärse üksuse töötaja genereerib oma allkirjavõtmega sertifikaadi,kasutades valesid andmeid. See sertifikaat on autentne ja läbib kontrolli.

• Ründaja teeskleb, et ta on keegi teine, ja taotleb sertifikaati. Sertifikaat väl-jastatakse teeseldud isiku nimele, kuigi tegelikult on salajane võti, mis vas-tab sertifikaadi avalikule võtmele, hoopis ründaja valduses.

• Ründaja koostab sertifikaadi ja allkirjastab selle oma võtmega. Võltsingutmärgatakse ainult siis, kui sertifikaati kontrollitakse ja seejuures suudetaksetuvastada, et sertifikaadi väljastaja oli ebausaldusväärne.

Kui ründaja on juba kord valede andmetega sertifikaadi mingil moel oma val-dusesse saanud, saab ta sidepartnerite ees alati teeselda, et ta on keegi teine, jaseda nii teadete saatmisel kui ka vastuvõtmisel.

636 / 781

G 5.85 Tundliku informatsiooni tervikluse kadu

Tervikluse nõue seab tingimuse, et info peab olema säilinud võltsimata kujul. Seetähendab, et infos ei tohi teha soovimatuid muudatusi. Terviklusel on kindel kohtkonfidentsiaalsuse ja käideldavuse kõrval infoturbe põhiväärtuste hulgas.

Olukord, kus andmete terviklust on rikutud, võib viia mitmesuguste probleemi-deni:

• Kõige lihtsamatel juhtudel võivad andmed muutuda loetamatuks, st neid po-le enam võimalik töödelda.

• Andmeid võidakse eksikombel või ka tahtlikult muuta, mille tagajärjeks onvaleinfo edastamine. Näiteks võidakse valed summad üle kanda valedeleadressaatidele, võib esineda meilide saatja-aadresside võltsimisi jpm.

• Krüpteeritud või kokkupakitud andmete tervikluse kao puhul, milleks piisab,kui muutunud on vaid üksainus bitt, võib osutuda võimatuks nende andmetedekrüpteerimine või lahtipakkimine.

• Sama kehtib ka krüptograafiliste võtmete kohta, st selleks, et võtit kasutuksmuuta, piisab ka siin vaid ühe biti muutmisest. Selle tagajärjel pole võimalikandmeid enam kas dekrüpteerida või nende autentsust kontrollida.

• Kui elektroonilistesse arhiividesse talletatud dokumentide terviklust pole või-malik tõestada, kaob sellega ka nende väärtus tõestusmaterjalina.

Tervikluse kadu võib tekkida väga mitmel viisil:

• Andmed võivad kaotsi minna andmekandjate vananemise tõttu.• Andmed võivad muutuda valeks andmeedastusvigade tõttu.• Pahavara võib muuta või koguni hävitada terveid andmehulkasid.• Andmete sisestamisel võivad käivituda protsessid, mida esialgu ei soovitud

ning mis võivad koguni pikaks ajaks märkamatuks jääda.• Ründajad võivad üritada andmeid oma eesmärkidel manipuleerida, näiteks

selleks, et saavutada juurdepääs teistele IT-süsteemidele või andmekogu-mitele.

• Index-andmebaaside manipuleerimisega võidakse elektroonilistes arhiivi-des luua olukord, kus süsteem arhiveerib ja väljastab võltsitud dokumente.

• Terviklus tähendab seejuures ka seda, et andmehulk on täielikult terviklik, stet andmete omavahelisi seoseid saab õigesti kasutada ja et kõikide andmeteajakohasus vastab kasutaja ootustele.

• Usaldusväärsuse ja kättesaadavuse kõrval kuulub terviklus teabeturbe põ-hiväärtuste hulka.

• Valede, mittetäielike või vananenud andmete põhjal võidakse teha valesidettevõtlust puudutavaid otsuseid, millel võivad olla kaugeleulatuvad tagajär-jed.

• Kui krüpteeritud ja kahjustatud andmekogud kaotavad oma tervikluse, jasiinjuures piisab ühe biti muutmisest, võib nende krüpteerimine ja lahtipak-kimine muutuda teatud tingimustel võimatuks.

• Sama kehtib ka krüptograafiliste võtmete kohta. Ka siin piisab ühe biti muut-misest, et võti muutuks kasutuks. See viib samuti selleni, et andmeid ei saaenam krüpteerida või nende autentsust ei saa enam kontrollida.

637 / 781

• Salvestatud krüptograafiliste sertifikaatide manipuleerimisega võib ära ka-sutada autentimis- või allkirjastamisprotseduure ning sel moel tuua paha-vara käitamiseks kaitstud keskkonda või katkestatakse krüpteeritud tunnel(man-in-the-middle-tüüpi rünne).

• Andmehulkade hindamised ebaõnnestuvad, sest viited ei ole enam õigedvõi esinevad andmehulgas vastuolud.

• Isikuandmeid võidakse edastada valedele vastuvõtjatele (andmekaitse rik-kumised). Valede isikuandmete korral on puudutatud isikutel seaduslik õigusnõuda paranduste tegemist.

• Elektroonilistes arhiivides salvestatud dokumendid kaotavad tõendusjõu, kuinende terviklust ei ole võimalik tõestada.

• Ründe toimepanijad võivad proovida andmeid oma eesmärkidel manipulee-rida, et pääseda ligi nt täiendavatele IT-süsteemidele ja andmehulkadele.

• Teadliku saboteerimisega võidakse tööstusseadmete juhtimisandmeid muu-ta nt nii, et selle tagajärjel tekivad masinate või kaupade hävinemise tõttusuured kahjud. Kahjud võivad seejuures tekkida suure ajalise viivitusega (ntteadlikult suurendatud kulumise kaudu) ja neid on seejärel väga raske kokkuviia manipulatsiooni kui vea põhjusega.

638 / 781

G 5.86 Haldusparameetrite manipulatsioon

Haldussüsteemide teadliku manipuleerimisega on võimalik luua väärkonfigurat-sioone, mida saab kasutada lokaalse arvutisüsteemi ründamiseks. Väärkonfigu-ratsioone saab tekitada mitmel viisil. Seejuures on võimalik manipuleerida niihaldusplatvormi kui ka hallatavaid seadmeid. Eriti tundlikud rünnete suhtes onSNMP-d kasutavad võrguhaldussüsteemid, mille puhul luuakse haldusparameet-rite väärkonfiguratsioon tahtlikult nt eraldiseisva SNMP-klientsüsteemiga. Olene-valt seadistatavatest parameetritest ulatuvad ründed lihtsatest Denial-of-Service-rünnetest (nt IP-aadresside muutmisest) kuni andmete muutmiseni (nt pääsuõi-guste muutmiseni).

Kui haldussüsteemi kasutatakse võrgukomponentide haldamiseks, tuleks konfi-guratsiooni kõiki hallatavaid parameetreid muuta üksnes haldussüsteemiga. Siin-kohal tuleb arvestada, et osa haldussüsteeme on sellised, mille puhul saabhallatavate komponentide konfiguratsiooniparameetreid jätkuvalt muuta ka lo-kaalselt. Näiteks kui arvuti haldamiseks kasutatakse SNMP-ga töötavat võrgu-haldussüsteemi, saab lokaalne kasutaja seadistusi muuta kas lokaalse SNMP-klientprogrammi (kui ta teab SNMP parooli) või ka lokaalse seadme (nt printeri)kaudu. Sellise manipuleerimise tagajärjel tekivad võrguhaldussüsteemis enamastivähemalt ebakõlad, kuid võimalik on ka teadlik turvaaukude esilekutsumine. Näi-teks võib Windows NT arvutile anda tagantjärele volituse, mis lubab ühiskasutussemääratud kataloogidele võrgu kaudu SNMP-ga päringuid esitada.

639 / 781

G 5.87 Veebilehe võltsimine

Termin Spoofing kirjeldab vale identiteedi teesklemist ründe toimepanija poolt.Spoofing’i erinevad liigid on näiteks ARP-, DHCP-, DNS-, IP-, MAC-, e-kirja jaURL-Spoofing.

Veebi- või URL-võltsingu korral võltsib ründe toimepanija olemasolevat veebi-lehte, st ta kujundab enda pakutud veebilehe nii, et see näeb välja nagu mõnetuntud asutuse veebileht. Juba olemasolevat veebilehte, mida järgi tehti, seejuu-res ei muudeta, vaid see on endiselt algsel kujul saadaval. Erinevate nippidegaüritab ründe toimepanija meelitada kasutajat enda poolt võrku pandud veebilehe-le.

Seejuures võis ta näiteks oma veebiaadressi valida nii, et paljud kasutajad ole-tavad juba üksnes aadressivaliku põhjal, et see on seotud konkreetse asutusega.Nii võib ta näiteks registreerida veebilehe, kusjuures hosti nimi on originaalveebi-lehega identne, aga välja on vahetatud ülemdomeen (nt http://www.example.nethttp://www.example.de asemel). Ta võib ka proovida kasutada aadressi, mis sisal-dab palju trüki- või kirjavigu (Typosquatting) ja meelitada kasutaja niimoodi valeleveebilehele (nt http://www.exampel.com).

Veel üks võimalus on levitada manipuleeritud linke. Kasutada võib erinevaidmärgijadasid ja sarnaseid tähti, et luua petlikult ehtsana näivaid linke. Näiteks võibkasutada numbreid, mis esmapilgul näevad välja nagu tähed, või tähti, mis onsarnased. Lisaks peaaegu tuvastamatule erinevusele „I” (suur „i”) ja „l” (väike „l”)vahel võib kasutada ka sarnasena näivaid tähti. Üks näide on tähe „a” ladina jakirillitsa kirjaviis, mis näeb sama välja, kuid mida kodeeritakse erinevalt.

Kasutajad võivad kuvada ka aadresse, mis ei ole aga identsed nendega, millejuurde link viib. Näiteks võib HTML-lingi kasutamisega kuvada usaldusväärselehe URL-i, kuigi link viib valele lehele. Teine võimalus on panna kasutajanimed japaroolid URL-is lehenime ette (http://www.example.com@attacker.com). Kasuta-jad, kes seda kirjaviisi ei tunne, oletavad, et nad juhatatakse veebilehele, mis onantud kui kasutajanimi/parool, kuigi tegelikult kasutatud hosti nimi asub oluliseltkaugemal URL-i taga.

Veebiteenuste võltsimineEnne, kui veebiteenuse klient kasutab veebiteenust, vajab ta teavet, kuidas ja

milliste parameetritega soovitud veebiteenust käivitada. Need andmed on määrat-letud metaandmete dokumentides, st näiteks WSDL-failis või WS-Security-Policy-failis. Kui ründe toimepanijal õnnestub tahtlikult neid andmeid muuta, võib ta selle-ga mõjutada kliendi käitumist või rakendatud turvamehhanisme. Selline metaand-mete failide muutmine on tuntud ka kui Metadata Spoofing.

Muud Spoofing-ründed veebiteenustele põhinevad SOAP-protokollis ettenäh-tud valikulistel marsruutimisandmetel. Nii võib veebiteenuse käivitamisel SOAP-päringu <ReplyTo>-väljal olla esitatud päringu teinud kliendi omast erinev süsteemja seega algatatakse IP-ühendus veebiserverist teise süsteemi, et viia läbi näiteksDenial-of-Service-tüüpi rünne või muid keerulisi ründestsenaariume.Kasutajad, kes need lehed käivitavad, oletavad, et nad suhtlevad oma panga vee-biserveriga. Seega on nad valmis sisestama on kontonumbri ja PIN-koodi võimuud juurdepääsuandmed.

Näited

640 / 781

• XY pank kasutab oma veebilehe jaoks URL-i www.xy-pank.ee. Ründaja loobURL-ile www.xypank.ee või www.xy-pank.com veebilehe, mis on esmapil-gul XY panga omaga täiesti sarnane. Lisaks hoolitseb ründaja selle eest, etkliendid satuksid otsingumootorite kaudu tema võltsitud aadressile. Kasuta-jad, kes jõuavad võltsitud veebilehele, oletavad, et nad on ühenduses omapanga veebiserveriga. Seetõttu on nad valmis sisestama oma kontonumbri,PIN-koodi ja teisi pääsuandmeid.

• Veebilehel nimega whitehouse.com on olnud üsna kirju ajalugu. Sellel aad-ressil pole aga mitte kunagi asunud Valge Maja ametlik koduleht, nagu pal-jud kasutajad on algul oletanud, vaid vahelduva eduga kas reklaami- võipornolehekülg.

• Saksa infoturbe ameti URL-id www.BSI.bund.de ja www.BSl.bund.de näe-vad vähemalt esmapilgul välja üpris identsed. Alles lähemal vaatlusel võibavastada, et esimene viib teid Saksa infoturbe ameti kodulehele ja teine mit-te. Teise lingi puhul on suur I-täht asendatud väikese L-tähega.

• Kui ründe toimepanijal õnnestub veebiteenuse kliendile kaela määrida muu-detud veebiteenuse WS-Security-Policy, saab ta sellega muuta näiteks keh-tetuks krüpteeritud suhtluse turvanõude ja selle tagajärjel lugeda kliendi al-gatatud teenuse käivitamise andmeid.

• Teenusele suunatud arhitektuuris (SOA) võltsib ründe toimepanija teenu-seosutaja identiteeti, nt manipuleeritud URL-i kaudu domeeniga, mille nimisarnaneb tuntud ettevõtte omaga. Kasutajad lähtuvad sellest, et tegemiston usaldusväärse teenuseosutajaga ja edastavad andmed pakutud teenu-sele. Nii saab ründe toimepanija teenusetarbija konfidentsiaalsed andmed,millega ta võib nüüd kasutada „ehtsat” teenust.

641 / 781

G 5.88 Aktiivsisu väärkasutus

Aktiivsisu alla kuuluvad programmiosad või skriptid, mis käivitatakse brauseris.Levinumad aktiivsisu liigid on JavaScript, JavaApplets, ActiveX-i komponendid,Flash jms. Aktiivsisu ülesanne on tihti muuta veebileht interaktiivsemaks, saavu-tada erilisi graafikaefekte või paigutada leheküljele multimeediat. Samas võib ak-tiivsisu olla loodud ka spetsiaalselt selleks, et luurata konfidentsiaalseid andmeid,teha manipulatsioone või nakatada arvuti pahavaraga. Võimalikud on ka ründed,mis püüavad halvata klientsüsteemide käideldavust. Levinumad brauserid sisalda-vad turbemehhanisme, mis on võimelised aktiivsisude ligipääsuvõimalusi piirama.Kuid ikka ja jälle tuleb ilmsiks nõrku kohti ja võimalusi, kuidas nendest turvameh-hanismidest mööda hiilida.

Turbeprobleemide tekkimine aktiivsisu käivitamisel võib olla tingitud järgmistestaspektidest:

• Aktiivsisu on võimalik internetist alla laadida ja käivitada, ilma et kasutajadoleksid sellega aktiivselt seotud. Käivitamine jääb kasutajatele tihti märka-matuks.

• Aktiivsisu saab standardsete võrguprotokollide, nt SMTP kaudu suhelda in-ternetis olevate arvutitega. Seeläbi võidakse kolmandatele isikutele edasta-da konfidentsiaalset infot.

• Eri sorti aktiivsisud kasutavad operatsioonisüsteemi ressurssidele ja riistva-rale ligipääsemiseks erinevaid võimalusi.

Erinevalt Javast ja JavaScriptist on ActiveX-i komponentide (controls) võimalu-sed pea piiramatud. Komponendid võivad töötada otse arvutis ning saada ligipääsriistvarale ja operatsioonisüsteemile. ActiveX-i komponentide mitmekülgsete ligi-pääsuvõimaluste tõttu kaasneb nende käivitamisega suur risk. Veebibrauseri sea-distamisega saab kasutaja hoolitseda selle eest, et käivitataks ainult digitaalseltallkirjastatud ActiveX-i komponendid. Selline kehtiv allkiri kinnitab aga ainult seda,et ActiveX-i komponentide tootja on sertifitseerimiskeskusele teada ja et tootja pa-kutud komponent on alla laaditud ilma igasuguste muudatusteta. Sellega ei antaaga hinnangut komponentide toimimise ja ohutuse kohta ega garantiid.

642 / 781

G 5.89 Võrguühenduse ülevõtt

Palju kriitilisem kui ühenduse pealtkuulamine on ühenduse ülevõtmine. Sellisel ju-hul toimetatakse võrku ebaseaduslikult paketid, mis kas blokeerivad kliendi võisuunavad ta ümber. Serveri protsess ei tunne seejärel ära, et originaalkliendi ase-mel töötab muu programm. Olemasoleva ühenduse ülevõtmise korral võib ründetoimepanija võtta pärast volitatud isiku edukat autentimist tema nimel ette mis ta-hes tegevusi.

643 / 781

G 5.90 Aadressi- ja levitusloendite manipuleerimine

Faksiserverites on enamasti võimalik kasutada aadressi- ja levitusloendeid. Aad-ressiloenditesse salvestatakse muu hulgas nt adressaatide faksinumbrid. Lisakson võimalik mitu faksiadressaati koondada ühte rühma, nt järjestikuste faksidesaatmiseks. Selliseid aadressiloendeid on väga mugav kasutada, sest kord jubasalvestatud numbreid pole enam tarvis uuesti käsitsi sisestada. Kahjuks jätavadfaksiserveri kasutajad väga sageli aadressiloendisse salvestatud numbrid ennefaksi saatmist kontrollimata. Sama kehtib ka adressaadi määramisel mõnda rüh-ma. Tihti jäetakse enne järjestikuseid faksisaadetisi kontrollimata, kas rühma kuu-luvad adressaadid kattuvad soovitud adressaatidega.

Levitusloenditega saab saabuvaid fakse edasi suunata ka mitmele adressaa-dile. Kui volitusteta isikul õnnestub aadressi- ja levitusloendeid muuta, on oht, etfaksid jõuavad valede adressaatideni. Lisaks on võimalik, et faks ei jõua õige ad-ressaadini. Eriti ohustatud on tsentraalsed aadressi- ja levitusloendid.

644 / 781

G 5.92 VPN-klientsüsteemi kasutamine VPN-serverina

VPN-klientsüsteemidesse installitud tarkvara, millega saab kaugpöörduse VPN-isisse valida, võimaldab klientsüsteemil sageli tegutseda ka VPN-serverina ja sis-setulevaid ühendusi vastu võtta. Sellega kaasneb oht, et volitamata isikud võivadüritada VPN-klientsüsteemiga ühendust luua ja selle kaudu kohtvõrku pääseda.Kui ründaja suudab VPN-i autentimismehhanismist jagu saada, pääseb ta muuhulgas ligi ka VPN-klientsüsteemi andmetele. Ründaja võib end volitamatult klient-süsteemi sisse logida, katsetades näiteks erinevaid paroole või kasutades äraklientsüsteemis leiduvaid paroolikaitseta kasutajakontosid või standardsete paroo-lidega külaliskontosid. Olenevalt sellest, kuidas VPN-klientsüsteem on ühendatudfirma või ettevõtte kohtvõrguga, võib ründajal tekkida muu hulgas ligipääs ka sise-ressurssidele.

645 / 781

G 5.93 VPN-ühenduse kasutamise võimaldamine kõrvalisteleisikutele

Kui volituseta isikutel võimaldatakse kasutada VPN-võrgu komponente, steiratakse kehtivat volituste kontseptsiooni, kaob VPN-i turve (vt ka G 3.30Kaugtööjaamade volitamatu kasutamine eraotstarbel ). VPN-ide, eriti Remote-Access-VPN-ide puhul esinevad järgmised ohud:

• VPN-juurdepääsude volitamata kasutus - VPN-juurdepääsude volitamatakasutus võib esineda olukorras, kus eiratakse turvapoliitikat. Näiteks juhtubikka ja jälle, et administraatorid võimaldavad keelust hoolimata sõbralikunanäival isikul VPN-i sisse logida (nt interneti kasutamiseks).

• Paroolide või lubade edasiandmine - VPN-i kasutajad annavad oma auten-timisandmed või -load edasi volitamata isikutele, võimaldades neil oma tun-nustega kohtvõrku sisse logida. Motiiviks võib olla nt andmete edastaminekolleegile, kellel pole VPN-i turvapoliitika kohaselt õigust VPN-i kasutada võikes on unustanud õigel ajal enne töölähetusele minemist esitada VPN-i ka-sutamise taotluse. Selle tulemusel kasutab VPN-i kasutajakontot mitte üks,vaid mitu kasutajat, ning kui tekivad probleemid, ei saa nende põhjustajatenam selgelt tuvastada.

• Volitamata kasutus väljaspool töökeskkonda - Kaugtöötajatel esineb sageliprobleem, et VPN-klientsüsteemi kasutavad pereliikmed või sõbrad. VPN-klientsüsteemiga töötavad organisatsioonivälised isikud ei järgi tavaliselt or-ganisatsioonis kehtivaid turbe-eeskirju. Selline teguviis võib ohustada orga-nisatsiooni kohtvõrgu turvet.

Kaugtöökohtade puhul ei saa kunagi olla täiesti kindel selles, et sealseidIT-süsteeme kasutavad ainult volitatud isikud. Kuna kõrvalistel isikutel on IT-süsteemidele füüsiline juurdepääs, võivad need süsteemid olla ka manipuleeritud.Turbemehhanisme võidakse vältida.

646 / 781

G 5.94 SIM-kaardi kuritarvitamine

Mobiiltelefone kaotatakse või varastatakse iga päev. Lisaks vahetule kaotuselevõivad siinjuures tekkida ka rahalised kahjud. Kui volitamata isik saab koos sead-mega enda kätte ka SIM-kaardi, saab ta teha õigusjärgse kaardiomaniku kulultelefonikõnesid, kui

• ta teab SIM-kaardi PIN-koodi,• SIM-kaardil ei ole PIN-koodi,• telefon on sisse lülitatud (ooterežiim ilma ekraaniparoolita)• või ta arvab SIM-kaardi PIN-koodi ära.

Andmeteenuste pakkumisega mobiilside kaudu on oluliselt tõusnud ka kaardikuritarvitamise õiguslik risk. Kui volitamata isik kasutab SIM-kaarti, et laadida al-la näiteks autoriõigusega kaitstud materjali, saata laiali rämpsposti või teostadaDenial-of-Service-tüüpi ründeid, võib selle eest vastutusele võtta eelkõige SIM-kaardi omaniku.

Andmetel nagu telefoniraamat või lühisõnumid, mis on salvestatud mobiiltelefonivõi SIM-kaardile, võib olla tervikuna konfidentsiaalne iseloom. Mobiiltelefoni võikaardi kaotus tähendab teatud tingimustel selle salvestatud teabe avalikustamist.

Mõnede võrguoperaatorite SIM-kaardi krüptograafilised turvamehhanismid olidvõrreldes 1998. aastaga nõrgalt varustatud. Seetõttu sai nende võrguoperaatoriteSIM-kaarte kopeerida. Selleks pidi ründe toimepanija kasutuses olema siiski ori-ginaalkaart. Lisaks sellele pidi teadma PIN-koodi või pidi PIN-i päring olema väljalülitatud, mis võimaldas lugeda IMSI-d.

Kasutajad saavad sellist rünnet peaaegu täiesti vältida, kasutades raskeltäraarvatavat SIM-kaardi PIN-koodi.

647 / 781

G 5.95 Pealtkuulamine ruumis mobiiltelefonidega

Mobiiltelefone võib kasutada selleks, et kõnesid märkamatult salvestada või pealtkuulata. Kõige lihtsamal juhul pannakse nt kohtumisel märkamatult ruumi mobiil-telefon, millel on ühendus huvitatud kuulajaga. Suurem osa mobiiltelefone on va-rustatud vabakäefunktsiooniga ja need võivad kõnesid ilma probleemideta tervesruumis vastu võtta. Lisaks võib mobiiltelefonid seadistada nii, et need vastavad kõ-nedele ilma kasutajapoolse sekkumiseta ja nii võib läheduses toimuvaid kõnesidpealt kuulata. Ka siis, kui akuvõimsus on piiratud, piisab kõnede tõhusaks pealt-kuulamiseks mitmepäevasest valmisolekuajast ja mõnetunnisest kõneajast.

Ruumis tehtavaid kõnesid saab sageli ka niimoodi pealt kuulata, et sinna onosavalt asetatud aktiveeritud diktofonifunktsiooniga mobiiltelefon.

Sellel eesmärgil võib aga kasutada ka mobiiltelefone, mille puhul ei oleoluline, et need oleksid sisse lülitatud. Mobiiltelefoni kasutatakse sellisel juhulpealtkuulamisseadmena, mida on võimalik telefonivõrgu kaudu aktiveerida igastmaailmapunktist, ilma et seda oleks mobiiltelefonil võimalik tuvastada. Tuntud onka seadmed, millel on see funktsioon realiseeritud täiendavate lülitusseadmetega.Seda manipulatsiooni oli silmaga kontrollimisel pärast seadme lahtivõtmist võispetsiaalsete uurimismeetoditega üsna lihtne tõestada. Nende ruumis peetavatekõnede mobiiltelefonide kaudu pealtkuulamise tehniliste abinõude kõrval võibsama tulemuse saavutada nutitelefonide sobivate rakendustega (vt G 5.96Mobiiltelefoni ehituse muutmine ).

648 / 781

G 5.96 Mobiiltelefoni ehituse muutmine

Osas G 5.95 Pealtkuulamine ruumis mobiiltelefonidega kirjeldatud täiendavateelektrooniliste lülituste paigaldamine on tüüpiline riistvara manipuleerimine. Sel-lise manipuleerimise läbiviimiseks peab manipuleeritav seade asuma teatud ajajooksul ründe toimepanija valduses.

Pahategijad võivad mobiil- või nutitelefone kasutada pealtkuulamisrünnete jaokska nii, et nad manipuleerivad seadmes sisalduvat juhttarkvara (püsivara) või ra-kendust. Selliseid manipulatsioone on enamasti palju raskem avastada kui riistva-ra manipulatsioone.

Peidetud, dokumenteerimata pealtkuulamisfunktsioon võib olla juhttarkvarassesisse programmeeritud juba seadme arendamisel (teadlikult või tahtmatult).

Võimalik on siiski ka juhttarkvara hilisem muutmine kolmanda isiku poolt, nt kuikasutajal puudub (lühiajaliselt) kontroll seadme üle remondi ajal või muudel põh-justel (kaotus, vargus). Manipuleerimine nõuab põhjalikke eriteadmisi, mis on li-saks püsivara arendajatele kättesaadavad üksnes vähestele rünnete toimepanija-tele. Kõrvaliste isikute jaoks ei ole see manipulatsioon peaaegu üldse tuvastatav.

Seoses mobiiltelefonide menüüfunktsioonide laiendamisega SIM-Toolkit’i abil jaSIM-kaartide uue põlvkonnaga, mis seda funktsiooni toetavad, muutuvad mobiilte-lefonid veel paindlikumaks. Sel moel varustatud mobiiltelefoni on võimalik teenu-seosutaja mobiilside kaudu programmeerida uute funktsioonidega. Nii saab kaar-diteenuse osutaja kohandada menüüstruktuuri näiteks individuaalselt kliendi vaja-dustele.

See peidab endas aga püsivara manipuleerimise ohtu, sest püsivaras võivadjuba standardselt sisalduda funktsioonid, mis on vajalikud ka pealtkuulamissead-meks ümberehitamise jaoks. Suureneb tõenäosus, et funktsioonid, mis mobiilte-lefoni pealtkuulamisseadmeks muudavad, käivitatakse „väljastpoolt”. Mõeldav onka, et need funktsioonid on sisse- ja väljalülitatavad.

Nutitelefonidel manipuleerivad rünnete toimepanijad pigem rakendusi kuipüsivara, sest see on oluliselt lihtsam. See on seotud asjaoluga, et rakendusteleon antud hulgaliselt õigusi nutitelefonide liideste üle. Need on näiteks pidevaltühendatud internetiga ja tohivad vastu võtta keskkonnamüra. Ründe toimepanijavõib interneti kaudu selle funktsiooni käivitada ja nii peaaegu riskivabalt edukaltpealtkuulamisründe läbi viia. Pealtkuulamisfunktsiooni saab sisse lülitada kasündmusekohaselt, nt mingil kindlal kellaajal, kui mobiiltelefon asub teatudkohas või kui helistatakse. Ründe toimepanija võib manipuleerida internetistka tavalisi rakendusi läbi nõrkade kohtade nii, et nende abil on võimalik sise-ruumides peetavaid kõnesid pealt kuulata ja konfidentsiaalseid andmeid kasutada.

649 / 781

G 5.97 Volitamata andmeedastus mobiiltelefonide kaudu

Mobiiltelefonid võimaldavad andmete edastamist ühest IT-süsteemist, nt arvutistvõi sülearvutist teise, ilma et tuleks luua traadiga ühendus.

Seal, kus on avatud juurdepääs IT-süsteemidele, võidakse teabele märkama-tult juurde pääseda ja seda edastada. Ühendatud või sisseehitatud modemigamobiiltelefoni abil võib salvestatud andmeid edastada traadita ühenduse abil pea-aegu igasse maailmapunkti. Tänapäevased mobiiltelefonid on peaaegu pidevaltinternetiga ühendatud. Need kasutavad WLAN-i ja kiireid andmeteenuseid naguHSDPA ja LTE ning võivad seetõttu märksa hõlpsamalt edastada volitamata suuriandmehulki.

Sellist volitamata andmeedastust võib teostada just sellel eesmärgil kaasa too-dud või isegi sisemise mobiiltelefoniga. Sel moel on võimalik suuri andmekogusidmärkamatult välja viia. Uue tehnoloogia abil muutub suurte andmehulkade edas-tamine mobiiltelefonide kaudu üha atraktiivsemaks. GSM-i puhul on maksimaalneandmeedastuskiirus praegusel ajal 14,4 Kbit/s. Uuemad protokollid saavutavadoluliselt suuremaid ribalaiusi. Nii on GPRS-iga võimalik edastamine kiirusega 53,6Kbit/s, UMTS-iga edastamine kiirusega 384 Kbit/s ja LTE või LTE-Advances’igaedastamine kiirusega 300 Mbit/s või 900 Mbit/s.

Sellise volitamata andmeedastuse jaoks võib rakendada just sellel eesmärgilkaasa toodud või isegi sisemist mobiiltelefoni. Hilisem kontrollimine ei ole alativõimalik, sest võrguoperaator on ühenduse andmed juba kustutanud.

Näited

• Ühe ettevõtte töötaja kutsutakse koosolekult kõrvalise isiku poolt välja, etta vastaks tähtsale telefonikõnele. Kõrvaline isik kasutab lühikest ajavahe-mikku, mil teda ei jälgita, et ühendada koosolekuruumis asuv arvuti omaGSM-modemiga. Seejärel alustab ta andmeedastust enda valitud ühendus-ele.

• Paljusid mobiiltelefone võib rakendada WLAN-pääsupunktidena (nn lõasta-mine, ingl k tethering). Ründe toimepanija saaks mõnes ruumis (nt hotellifuajee), milles on pidevalt olemas WLAN-juurdepääs, sellise nutitelefonigaasendada tegeliku WLAN-i raadiosignaali. Nii võib ta salvestada ja pealtkuulata kõikide selles ruumis olevate isikute andmesidet, kes on nüüd sellenutitelefoni kaudu internetiga ühendatud.

650 / 781

G 5.98 Mobiilikõnede pealtkuulamine

Lihtsaim viis mobiilikõnet pealt kuulata on viibida helistaja vahetus läheduses. Sa-geli avalikustatakse väga palju siseinfot lihtsalt sellega, et mobiiltelefoni kasutatak-se avalikus kohas ja räägitakse liiga valjusti (vt ka G 3.45 Sidepartnerite puudu-lik autentimine ). Lisaks võidakse kasutada ka suure töömahuga seotud tehnilisipealtkuulamismeetodeid. Näiteks kui ründaja pääseb ligi teenusepakkuja tehni-listele seadmetele (kaablitele, edastussüsteemidele, baasjaamadele), suudab tapealt kuulata kõiki nende seadmete kaudu edastatavaid telefonikõnesid. See keh-tib nii mobiilsidevõrkude kui ka kaabliliinide kohta. Samas on kindla telefoninumbripealtkuulamine üpris keeruline, sest tegemist on väga suurte andmevoogudega.

Kui ühendus luuakse baasjaamast ja see liigub mobiilside edastuskohani lä-bi kaablite, tuleb pealtkuulamiseks toime panna kaablitevastane füüsiline rünne.Olukorras, kus baasjaam on mobiilside edastuskohaga ühendatud krüpteerimataraadiolingi kaudu, nagu seda mõnede teenusepakkujate puhul võib esineda, onoht, et raadiosidesignaale saab pealt kuulata antennide ja spetsiaalsete vastuvõt-jatega. Oht võib veelgi suureneda juhul, kui eranditult kõik baasjaama telefoni-kõned edastatakse selliste raadioreleeliinidega. Ka kaabliliinide kaudu toimuvadtelefonikõned kantakse edasi koostöös raadioreleeliinidega. Kuna selline edasta-mine ei ole tavaliselt krüpteeritud, saab kõnesid teatud tehniliste meetoditega pealtkuulata.

On olemas spetsiaalsed ründeseadmed, mis kasutavad ära GSM-võrgu ühe-poolse autentimise lihtsust (ainult mobiil autendib end baasjaamas), teeseldesmobiiltelefonile, et tegu on baasjaamaga, ning selle tagajärjel lülitatakse krüp-teering välja ja minnakse üle avatekstirežiimile. Olenevalt seadustest võib mõnesriigis olla andmeedastuse krüpteerimine täielikult välja lülitatud. Ka muud turvapa-rameetrid, nt võtmete vahetamise sagedus, võivad olla nõrgemad. Krüpteeringuväljalülitamise lisavõimalusena tuleb kõne alla mobiiltelefoni või teenusepakkujaseadmete tehniline manipuleerimine.

651 / 781

G 5.99 Mobiiltelefonikõnede ühenduseandmete analüüs

Mobiilside puhul edastatakse signaalid raadioleviga ning seetõttu ei saa nendevolitamatu pealtkuulamise ja salvestamise ärahoidmiseks rakendada füüsilist var-jestamist. Seega saab ründaja oma teo toime panna, ilma et sellega kaasneksidraskused, mis tekivad kaabliliine kasutavate kommunikatsioonipartnerite puhul.Teine, koguni suurema osa raadiosideteenuste puhul esinev probleem on see, ettehnilistel põhjustel tuleb esmalt tuvastada mobiilsidepartnerite asukoht ning allesseejärel saab luua sideühenduse. Kui sidepartnerid hakkavad ise mõnda ühen-dust looma, edastavad nad ühenduse loomise käigus ka oma asukoha andmed.Asukohainfot saavad sideoperaator või teenust vahendav firma, muu hulgas kakolmandad isikud, kasutada liikumisprofiilide koostamiseks.

Kui ründaja tunneb mobiiltelefoni filtreerimisomadusi, saab ta nende andmetepõhjal (suure tehnilise töömahuga) telefonikõnesid eristada. Nende ja ka teisterünnete jaoks läheb tarvis kliendinumbrit (IMSI), mobiilseadme numbrit (IMEI) võiabonendi numbrit (MSISDN). Telefoninumbri MSISDN-i võivad tuvastada ka sise-töötajad, kellel on nt firmas juurdepääs töö- või eraotstarbeliste telefoninumbriteloenditele.

Enamikule mobiil- ja nutitelefonidest on paigaldatud „Radio Resource LocationServices Protocol“ (RRLP) mis pakub mobiiliettevõtjale positsioneerimist häda-abikõnede korral ja mis võib vajaduse korral kasutada täpsemaks positsioneeri-miseks isegi sisseehitatud GPS-vastuvõtjat.

Üldjuhul ei saa RRLP-d välja lülitada. See teave on võrguoperaatoritel.

652 / 781

G 5.100 Aktiivsisu väärkasutus Lotus Notesi poole pöördumisel

Lotus Notesi andmebaaside funktsioone kasutatakse sageli nõnda, et aktiivsedkomponendid käivitatakse vaid teatud sündmuste korral (nt kui mõnda andmeväljasisestatakse andmeid). Aktiivsed komponendid koosnevad seejuures nt LotusSc-ripti või Java programmidest ja neid nimetatakse ka agentideks. Agendi käivita-misega võidakse omakorda käivitada teisi agente (nt kui agent kopeerib andmeidteise andmebaasi ja see tegevus toob endaga kaasa sihtandmebaasi agentidekäivitumise). Üldjuhul saab eristada serveriagentide ja klientsüsteemi agentidekäivitamist, kuid alati on võimalikud ka mõlemad variandid. Veebipöörduste puhulrakendatakse andmebaasi kasutajaliidesena aktiivsisu, mis käivitatakse brauseris(JavaScript, Java apletid).

Seda, millist aktiivsisu saab Notesi klientsüsteemis käivitada ja millised volitusedaktiivsisule antakse, juhib Execution Control List (ECL). ECL-i väär konfiguratsioonvõimaldab aktiivsisu kasutada klientsüsteemi ründamiseks. Sarnane olukord onka veebiliidesega, millel ei ole ECL-i ja mille puhul saab kasutada ainult brauseriturbemehhanisme.

ECL-i väär konfiguratsioon võib aktiivsisul võimaldada nt järgmist:

• ligi pääseda klientsüsteemina töötava arvuti lokaalsetele andmekogudele (ntandmebaasidele, failidele) ning andmeid varastada;

• muuta klientsüsteemi lokaalseid andmeid või neid kustutada;• installida kahjulikke programme, nt arvutiviiruseid või Trooja hobuseid.

653 / 781

G 5.101 Lotus Notesi häkkimine

Notesi serveri andmebaasidesse salvestatud andmeid saab kasutada ka avalikultläbi interneti. Selline kasutus seab Notesi serverile väga ranged turbenõuded.Turvaaukude korral on oht, et ründaja pääseb volitamatult mitte ainult Notesiserverisse, vaid ka sellega ühendatud sisevõrku. Järgnevalt on ära toodud mõnedprobleemid ja võimalikud turvaaugud, millega tuleb arvestada eriti neil juhtudel,kus Notesi serveriga võetakse ühendust interneti kaudu:

• Teadmata mehhanismid - Kuna Lotus Notesi sideprotokolli üksikasju poleseni avalikustatud, ei saa kindlalt väita, kui tugevad on selle turbemehhanis-mid. Ka õige konfiguratsiooni puhul tuleb siiski arvestada võimalike jääkoh-tudega.

• Keerulisus - Notesi server on keeruline süsteem. Serverikogum on sellestveelgi keerulisem. Kuna seadistamine, muu hulgas ka turbeseadistuste te-gemine, on kõike muud kui lihtne tegevus, võivad tekkida vead ja nendestomakorda turvaaugud.

• Mõju teistele süsteemidele - Kuna Notesi serveril on palju funktsioone janeid on võimalik ühendada taustsüsteemidega, võivad Notesi serveri tur-vaaugud olenevalt olukorrast kanduda üle ka taustsüsteemidesse. Ülekan-dumiseks piisab ainuüksi sellest, kui ründaja suudab ära kasutada kas võiüheainsa funktsioonipaketi üht turvaauku.

• Brute-Force-rünne - Veebiliideses ei ole piiranguid, mis kontrolliks ebaõn-nestunud autentimiste arvu. Seega kui Notesi serverisse logitakse sissebrauseriklientide abil, saab ründaja suvaline arv kordi läbi proovida erine-vaid kasutajatunnuseid ja paroole, et seeläbi volitamatult omale juurdepääshankida.

• Otsene ligipääs andmebaasile - Kui Notesi serverit kasutatakse läbi veebi-liidese, puudutab see alati kõiki serveris olevaid andmebaase. Kui eranditultigale andmebaasile pole määratud turvalisi pääsuõigusi, on sellist pääsuvõi-malust rünneteks kerge ära kasutada.

654 / 781

G 5.102 Sabotaaž

Sabotaaž tähendab asjade tahtlikku manipulatsiooni või kahjustamist eesmärgigatekitada ohvrile kahju. Eriti atraktiivsed sihtmärgid on ametkondade või ettevõte-te arvutuskeskused ja sideühendused, sest nende puhul saab suhteliselt väikesevaevaga tekitada suurt kahju. Arvutuskeskuse keeruka taristu tööfunktsioone onvõimalik saboteerida sellega, kui oma töötaja või ka organisatsiooniväline isik ma-nipuleerib teadlikult selle olulisi komponente. Eriti ohustatud on hoone kasutus-funktsioonide või sidelahenduste ebapiisavalt kaitstud tehnilised taristud, samu-ti kõikvõimalikud tsentraalsed varustuspunktid, mis pole piisavalt turvalised ningmillele pääsevad kergesti, järelevalveta ja märkamatult ligi võõrad isikud.

Näited

• Elektritoide - UPS-i manipulatsioon põhjustas suures arvutuskeskuses ajuti-selt täieliku katkestuse. Kui süüdlane tuvastati, selgus, et ta oli UPS-i kordu-valt käsitsi bypass -funktsioonile ümber lülitanud ja seejärel hoone peamistelektritoidet manipuleerinud. Täielik elektririke – kokku esines kolme aastajooksul neli töökatkestust – kahjustas kahel korral osaliselt isegi riistvara.Töökatkestused kestsid 40–130 minutit.

• Veerike - Arvutuskeskuses on ka sanitaarruumid. Äravoolutorude ummista-mise ja veekraanide avamisega tahtlikult esile kutsutud veerike võib tehni-kakomponente rikkuda ja tööprotsessid seisma panna.

• Elektroonilised arhiivid - Sabotaaž on elektrooniliste arhiivide jaoks vägasuur oht, sest arhiivi suhteliselt väike ruum sisaldab suurt hulka kaitsmistvajavaid dokumente. Seetõttu võivad ka väiksed ja mitte eriti suurt töövaevanõudvad manipulatsioonid tekitada suurt kahju.

655 / 781

G 5.103 Veebimeili väärkasutus

Kui kasutaja andmeid ei kontrollita piisavalt, saab ründaja endale hankida mõneteise isiku nimega meiliaadressi ja seda väärkasutada, nt selle kaudu rämpspostisaata ja teisi isikuid laimata. Kui teenusepakkuja juures saab endale valida mis ta-hes meiliaadressi, võib ründaja otsustada ka sellise kasuks, mida võidakse teatudoludes seostada mõne konkreetse firma või isikuga ning mis muudab adressaadidvõib-olla tavapärasest hooletumaks.

Paljude meiliteenust pakkuvate firmade puhul langeb meiliaadress ühte post-kasti kasutajatunnusega või saab seda selle põhjal kergesti tuletada. Kui kasutajaon endale valinud nõrga parooli või kui süsteem ei piira paroolide väärsisestusi,saab ründaja suvaline arv kordi katsetada erinevaid paroole ja seeläbi kontole ligipääseda.

Liigne kasutusmugavus muudab potentsiaalsete ründajate elu väga lihtsaks,sest kui nad saavad endale takistusteta edastada kasutajaparooli, tekib neil võõ-rale postkastile täielik juurdepääs. Tüüpiline näide on meiliteenuse pakkuja, kellelon juba esilehel link „Unustasite parooli?”, millega juhitakse kasutaja edasi lehele,mis võimaldab kasutaja valitud, aga kergesti äraarvatavate andmete sisestamisejärel kontole ligi pääseda. Populaarne on sünnikuupäev, mille sisestusvea puhulvõidakse kasutajat ka aidata, vihjates, et „Sünnikuu on vale”.

Uute viiruste puhul võib kesta mitu tundi, enne kui tõrjeprogrammide tootjad hak-kavad värskendusi pakkuma ja need saavad edukalt kõikidesse IT-süsteemidesseinstallitud. Sel ajal meiliserverisse jõudvad meilid võiks panna karantiini. Arvesta-da tuleb aga sellega, et kui kasutajatele jääb siiski alles võimalus oma veebikonto-de kaudu meile avada, võivad viirused nakatada kohtvõrgu arvuteid ja servereid.

Näited

• Hotmaili teenusepakkuja meiliteenusest on korduvalt leitud turvaauke. Eritisuur probleem on meilidesse integreeritud JavaScript, mis käivitatakse ju-ba meili lugemisel brauseris. Sellega saab ründaja mõjutada kasutajat omaparooli uuesti sisestama ning seejärel edastatakse parool ründajale. KunaJavaScripti saab HTML-vormingus meilidele lisada mitmel viisil, ei õnnestu-nud varem sellist aktiivsisu alati edukalt välja filtreerida.

• 2001.aasta septembris põhjustas suurt ärevust viirus nimega Nimda. Nimdaon mitme kahjuliku funktsiooniga ussviirus. See levib meilimanustega, kasu-tades Microsoft Internet Information Serveri (IIS) turvaauku, kuid ka ühiska-sutusse antud kettaajamite jms kaudu. Pärast viiruse avastamist kulus mõ-nel viirusetõrjetarkvara tootjal peaaegu 24 tundi, enne kui suudeti avaldadaoma esimesed tõhusad signatuurid. Mõnes suurettevõttes esines juhtumeid,kus töötajate arvutid nakatusid Nimdaga veebimeili kontode kaudu. Seeläbinakatusid ka firma kohtvõrgu IIS-i veebiserverid ja kohtvõrgus tekkis tõsiseidhäireid.

656 / 781

G 5.104 Infoluure

Keerulise tehnilise lahendusega rünnete kõrval leidub ka palju lihtsamaid meeto-deid, kuidas volitamatult väärtusliku infoni jõuda. Kuna tundlikud andmed on sagelipiisava kaitseta, saab neid luurata nt optiliste, akustiliste või elektrooniliste meeto-ditega.

Näited

• Krüptimata IT-süsteemid - Enamik IT-süsteeme rakendab volitamata kasu-tamise vastaseks kaitseks erinevaid identifitseerimis- ja autentimismehha-nisme, nt kasutajatunnuseid ja paroole. Kui parool edastatakse kasutajalekrüpteerimata kujul, on see aga ründajale nähtav.

• Ebapiisav volitamata nägemise vastane kaitse - Selleks, et pangaautomaa-dist deebet- või krediitkaardiga raha välja võtta, tuleb sisestada õige PIN-kood. Kahjuks on need seadmed sageli võõrastele pilkudele väga avatudning seetõttu saab kurjategija lihtsalt üle kliendi õla vaadata ja sisestatudPIN-koodi meelde jätta. Kui tal õnnestub seejärel kaart ära varastada, saabta konto väga lihtsalt rahast tühjaks teha. Panga kliendil on sellises olukor-ras kõige muu kõrval ka raske tõestada, et ta ei olnud oma PIN-iga hooletu,nt et ta ei märkinud seda oma pangakaardile.

• Trooja hobused - Kasutaja arvuti pääsuõiguste hankimiseks või arvuti ajuti-seks manipuleerimiseks saab ründaja saata kasutajale Trooja hobuse, mispeidab ennast meiliga saadetud näiliselt kasuliku programmi sisse. Kogemu-sed näitavad, et kasutajad avavad vaatamata selgitustööle meilimanuseidisegi siis, kui need on täiesti võõra päritolu või kummalise nimega. Trooja ho-bused tekitavad küll otsest kahju, kuid ühtlasi võimaldavad nad spioneeridanii üksikuid arvuteid kui ka tervet kohtvõrku. Paljud Trooja hobused püüavadennekõike välja uurida paroole või muid pääsuandmeid.

• Vestluste pealtkuulamine - Paljudes büroodes on töökabinetid ebapiisavaheliisolatsiooniga. Seetõttu saavad kolleegid või külalised pealt kuulata vest-lusi, mis ei pruugi olla neile mõeldud või on lausa konfidentsiaalsed.

657 / 781

G 5.105 Arhiivisüsteemi teenuste halvamine

Elektroonilise arhiivi teenused hõlmavad peamiselt järgmist:

• arhiveeritavate dokumentide kogumine ja indekseerimine;• dokumentide haldamine ja salvestamine;• arhiveeritud dokumentide otsimine ja leidmine;• dokumentide visualiseerimine ja reprodutseerimine;• arhiivisüsteemi hooldamine ja haldamine.

Kui arhiivisüsteemi teenuste tööd tõkestatakse, võivad tagajärjeks olla järg-mised kahjud:

• Indekseerimine - Kui arhiveeritud andmete indekseerimine halvatakse võiseda segatakse, nt valede kontekstiandmete sisestamisega, võib juhtuda,et andmeid ei õnnestu enam kas üldse üles leida või õnnestub leida ainultsuure vaevaga.

• Uute andmete arhiveerimine - Kui uute andmete arhiveerimist takistatakse,nt Denial-of-Service-ründega blokeeritakse arhiivisüsteemi võrguühendus,võib juhtuda, et olenevalt töömahust tekib andmetöötlusprotsessis suur um-mik ning kuhjunud andmed pole varundatud. Süsteemitõrke korral võivadneed arhiveerimist oodanud dokumendid kaduma minna. Kui valitakse ar-hiivisüsteem, mis ei kuva kasutajale teadet selle kohta, kas arhiveerimineoli edukas või ebaõnnestus, esineb oht, et dokumentide kadu märgataksevõib-olla liiga hilja. Samas kui kasutatakse arhiveerimiskinnitusega süsteemija see süsteem jätab mingil põhjusel kinnituse kuvamata, võib see omakordapõhjustada viivitusi oma järge ootavates töö- või haldusprotseduurides.

• Reprodutseerimine - Arhiveeritud andmete reprodutseerimise halvamise jahäirimise või sellega seotud viivituste korral võib juhtuda, et vajalikke doku-mente ei saa õigel ajal kasutada ning see võib tekitada tõsist majanduskahjuvõi kohtuvaidlusi.

• Haldamine - Kui arhiivisüsteemi haldamist takistatakse või selles esineb vii-vitusi, nt personali päringutega üle koormates, võib juhtuda, et isikud, kellejuurdepääs tuleks sulgeda, pääsevad jätkuvalt arhiivile ligi ja saavad sealvolitamatult dokumente seada või alla laadida. Haldamise tõkestamine võibtekitada kahju ka siis, kui arhiivisüsteemi hooldustöid takistatakse või kuineid ei lasta teha õigel ajal. Seetõttu võib juhtuda, et olulisi turbetarkvaravärskendusi ei paigaldata piisavalt kiiresti või ei ole neid paigaldamise ajaksjõutud piisavalt katsetada.

658 / 781

G 5.106 Arhiivi andmekandjate volitamata ülekirjutamine jakustutamine

Arhiivi andmekandjatele salvestatakse olulisi andmeid eesmärgiga säilitada neidpikaks ajaks muutmata kujul. Seega ei tohi neid volitamatult üle kirjutada, kus-tutada ega muul moel muuta. Volitamata kustutamine võib esineda nt järgmisteljuhtudel, kus töötajatele on antud valed kasutajaõigused.

• Kasutajal on IT-süsteemis õigus andmeid kustutada, kuid tema käsutuseson liiga vähe infot, et pädevalt otsustada, kas andmeid tuleks kustutada võimitte.

• Kasutajatele on süsteemihalduse vea tõttu antud volitus andmeid kustutada.

Seejuures tuleb eristada ülekirjutatavaid andmekandjaid ja WORM-andmekandjaid.

• Ülekirjutatavate andmekandjate puhul on andmete kustutamine ja ülekirju-tamine füüsiliselt võimalik.

• WORM-andmekandjate puhul on andmete kustutamine ja ülekirjutaminefüüsiliselt võimatu. Sellele vaatamata pakuvad arhiveerimissüsteemid siiskimärgistamisvõimalust, mille puhul loetakse andmed loogiliselt kustutatuks.Uuele andmekandjale ümberkopeerimisel neid andmeid ei kopeerida. See-ga eemaldatakse need andmekogumist alles uuele andmekandjale kopee-rimisel.

Mõlemal juhul võib seega andmekandjate vale käsitsemine endaga kaasa tuuasalvestatud info ja andmete tervikluse kao (vt ka G 5.85 Tundliku informatsioonitervikluse kadu ).

659 / 781

G 5.107 Välisteenusepakkuja poolne andmete paljastaminekolmandatele isikutele

Välisteenusepakkujatel on tavaliselt mitu klienti. Seega on võimalik, et nende hul-gas leidub ka konkurente. Selline olukord tekib sageli eriti just suurte välistee-nusepakkujate ning selliste firmade puhul, kes pakuvad mingi kitsama valdkonnateenust, nt IT-turvet. Kui välisteenusepakkuja täidab korraga kahe konkureerivaorganisatsiooni tellimusi ja tööülesanded ei ole piisavalt lahutatud, võib tekkidahuvide konflikt (välisteenusepakkuja ei pruugi olla piisavalt teenindusvõimeline).

Sellistes olukordades võivad teenusepakkuja töötajad või alltöövõtjad ühest pro-jektist saadud tulemusi ja teadmisi tahtlikult konkurendile edastada. Sel moel tek-kivat kahju pole tavaliselt võimalik heastada isegi siis, kui üksikud isikud või välis-teenusepakkuja tervikuna juriidiliselt vastutusele võetakse. Kui välisteenusepak-kuja töötleb või salvestab isikuandmeid, peab ta arvestama andmekaitsenõuete-ga. Näiteks kui teenuse tellija klientide andmed kompromiteeritakse ja avalikusta-takse, võib see jäädavalt rikkuda teenuse tellija ja tema klientide vahelist usaldus-suhet.

660 / 781

G 5.110 Veebilutikad

Veebilutikate all mõeldakse meili- või veebilehtedele peidetud pilte, mis laetaksevõõralt serverilt avamise puhul arvutisse. Need pildid võivad olla väga väikesed,näiteks suurusega piksel korda piksel. Pildid peidetakse ära, nii et neid pole ta-valiselt näha. Samas aga käivitab nende algserverilt laadimine teatud skripti võiprogrammi.

Kui veebilutikas peidetakse HTML-vormingus meilidesse, on saatjal näiteks või-malik kontrollida, millal meili loeti. Tellimata saadetud massimeilide puhul võib seeolla ebasoovitav.

Veebi kasutamisel peavad kasutajad arvesse võtma, et peale veebitehingutejaoks kasutatava serveri on ühendus loodud teistegi serveritega, näiteks üheltveebilehelt teises serveris olevatele piltidele viitamisel. Kuigi tegemist on tavaliseprotsessiga, võidakse sellise mehhanismi puhul kolmandatele osapooltele soovi-matut infot anda, nagu kinnitab allpool toodud näide. Eriti võib sel puhul kahjustadasaada süsteemi või serveri kasutaja konfidentsiaalne info.

Näide

• Ülikool kasutab veebiserveril dünaamilise sisu (CGI-skriptid) pakkumiseksvabavaralist tarkvarapaketti. Tarkvara genereerib veebiserveris vastavalt ka-sutaja sisestusele sobivaid vastuslehekülgi ja saadab need kasutajale ta-gasi. Lisaks tegelikule sisule sisaldavad genereeritud HTML-lehed aga kaviiteid piltidele, mis ei asu ülikooli serveris, vaid CGI-skriptide programmee-rija arvutis. Seetõttu saab programmeerija iga kord, kui ülikooli interneti-pakkumist kasutatakse, serverist nendele piltidele ligipääsu. Ühtlasi saab tapõhjalikku infot enda väljatöötatud tarkvarapaketi kasutamise, kuid kahjukska ülikooli internetipakkumise kohta.

661 / 781

G 5.111 Meilide aktiivsisu kuritarvitamine

Üha enam meile on tänapäeval ka HTML-vormingus. Ühelt poolt on see sagelikoormav, kuna kõik meilikliendid ei suuda seda vormingut näidata. Teisalt aga võibjuba selliste meilide näitamine vallandada kliendi juures soovimatuid toiminguid,kuna HTML-meil võib sisaldada näiteks JavaScript- või VisualBasic-skripti koo-di. Meiliklientide ja brauserite erinevate turvaaukude kombineerimisel on HTML-vormingus meilidega alati turvaprobleeme esinenud (vt G 5.110 Veebilutikad). Üks sellekohane näide leidub muuhulgas CERT-i käsiraamatus CA-2001-06(http://www.cert.org/advisories/CA-2001-06.html).

662 / 781

G 5.112 ARP-protokolli tabelitega manipuleerimine

ARP-spuufing - Vastupidiselt jaoturile ei ole kommutaatori korral võimalik kahe jaa-ma vahelist kommunikatsiooni ühestki teisest jaamast pealt kuulata. Selle tarvishooldab kommutaator tabelit, mis omistab erinevatele portidele suvaliste jaama-dele MAC-aadressid. Andmepaketid või Ethernet kaadrid, mis on adresseeritudkindlale MAC-aadressile, edastatakse ainult sellele pordile, mille külge on vas-tav arvuti ühendatud. MAC-aadressidega tabelit ei kasuta mitte ainult kommutaa-tor, vaid ka osalevad arvutid ise. ARP päringutega on võimalik need ARP-tabelidtäita osaleval arvutil. ARP-spuufingu eesmärgiks on ARP-tabeliga manipuleerimi-ne (ARP Cache Poisoning). Selleks saadab ründaja ohvrile ARP-vastuse, millesedastab marsruuteri MAC-aadressina enda oma, mis toimib vastavale alamvõr-gule standardlüüsina. Kui ohver saadab lõpuks paketti määratud standardlüüsile,jõuab see pakett lõpuks tegelikult ründajani. Samal viisil manipuleeritakse mars-ruuteri ARP-vahemäluga, ja Ethernet- kaadrid, mis tegelikult olid mõeldud ohvrile,jõuavad tegelikult ründajani. Tööriistu, mis võimaldavad kasutada sellist ründe-meetodit, võib leida asjakohastelt veebilehekülgedelt.

MAC-Flooding - MAC-Flooding on ründemeetod, mis mõjutab kommutaatori toi-mimist. Kommutaatorid kasutavad ühendatud MAC-aadresse dünaamiliselt. MAC-aadressid salvestatakse kommutaatori tabelis. Seeläbi teab kommutaator, millisepordiga on vastavad MAC-aadressid ühendatud. Kui nüüd ühendatud jaam vas-tava tööriista abiga suure hulga pakke erinevate Sourc-MAC-adress idega väljasaadab, salvestab kommutaator need MAC-aadressid oma kommutaatori tabelis.Niipea kui kommutaatori tabeli mälu on täidetud, saadab kommutaator kõik pa-kid kõikidele kommutaatorportidele. Sellise kommutaatori tabeli „üleujutamisega”mõttetute MAC-aadressidega ei saa kommutaator enam kindlaks määrata, mil-liste portidega on Source-MAC-aadress id nüüd tegelikult ühendatud. Seda rün-nakumeetodit kasutatakse pakettide pealtkuulamiseks kommuteeritud võrkudes.Asjakohastelt veebilehekülgedelt leiab vabalt kättesaadavaid tööriistu, mis võivadkommutaatoril ühe minuti jooksu tekitada rohkem kui 155 000 MAC-aadressi sis-sekannet.

663 / 781

G 5.113 MAC-aadresside võltsimine

Seadme MAC-aadress (Media Access Control) on tootja määratud aadress, milleabil suheldakse seadmega OSI mudeli 2.kihis. Mitmed võrgutasandi turbemeh-hanismid (nt kommutaatorite port-security ) tuginevad sellele, et ühendusi saabluua ainult ühest, kindla MAC-aadressiga seadmest. Ründaja saab asjakohasteprogrammidega oma seadme MAC-aadressi muuta ja saata võrgusegmenti võõratunnusega Etherneti kaadreid. Sel moel on võimalik mööda pääseda turbemeh-hanismidest, mis põhinevad ainult MAC-aadressi kasutamisel. Võltsimiseks peabründaja siiski asuma seadmega samas võrgusegmendis või omama koguni juur-depääsu samale kommutaatoripordile, nagu on seadmel, mille MAC-aadressi tasoovib võltsimise eesmärgil üle võtta. MAC-aadressi võltsimise oht võib esinedaka traadita võrkudes (WLAN), mille pääsupunktis on seadistatud sarnane juurde-pääsukontroll.

664 / 781

G 5.114 Genereeriva puu (Spanning Tree) väärkasutus

Genereeriva puu protokoll (Spanning Tree Protocol) on määratletud standardigaIEEE 802.1d. Genereerivat puud kasutatakse selleks, et vältida mitme kommutaa-toriga võrgus silmuste teket. Selle meetodi abil tuvastatakse liiasusega võrgust-ruktuurid ja muudetakse need ringlusvabaks. See meede liidab suvaliselt ühenda-tud võrgustruktuuri aktiivsed ühendusteed kokku üheks puustruktuuriks. Alljärg-neval joonisel on näha, et alumise kommutaatori üks port on genereeriva puugablokeeritud. Saates Bridge Protocol Data Uniteid (BPDU-sid), tuvastatakse sea-distatud prioriteedile ja kommutaatori MAC-aadressile tuginedes asjakohane root-sild. Joonise ülemine parempoolne kommutaator on root -sild.

Genereeriv puu ei paku BPDU-de andmevahetuseks autentimisvõimalust. Rün-daja saab seda kommutaatoritega võrkudes ära kasutada. Kui ründaja suudabBPDU-sid saata kommutaatoriga ühendatud jaamast, arvutatakse genereerivapuu algoritmi põhjal välja võrgu uus topoloogia. Topoloogia muudatuse arvutaminevõib genereeriva puu puhul kesta 30 sekundit. Seega saab BPDU-de saatmisegaoluliselt segada võrgu käideldavust.

665 / 781

G 5.115 Virtuaalsete kohtvõrkude vaheliste piiride ületamine

Virtuaalseid kohtvõrke (VLAN-e) kasutatakse võrkude loogiliseks struktureeri-miseks. Selleks luuakse füüsilises võrgus loogiline võrgustruktuur, kus funktsio-naalselt kokku kuuluvad tööjaamad ja serverid ühendatakse ühtseks virtuaal-võrguks. VLAN moodustab samal ajal eraldiseisva levipiirkonna (broadcast do-main). See tähendab, et leviedastusi suunatakse edasi ainult VLAN-i piires. VLANvõib seejuures hõlmata kogu kommuteeritud võrku ja see ei pruugi piirduda ühekommutaatoriga. VLAN-ide jaotamine mitme kommutaatori vahel viiakse ellu nntrunking -protokollidega. Selleks reserveeritakse kommutaatoris üks füüsiline portkommutaatoritevahelise kommunikatsiooni jaoks (kommutaatoritevaheline loogili-ne ühendus kannab nimetust trunk ). Etherneti raam kapseldatakse kommutaa-toritevahelise andmevahetuse käigus trunking -protokolli. Seeläbi suudab siht-kommutaator seostada infot vastava VLAN-iga. Standarditena on kasutusel IEEE802.1q ning Cisco protokollid ISL (Inter Switch Link) ja VTP (VLAN TrunkingProtocol). Kui ründaja, kes on ühendatud kommutaatoriga, kasutab nt trunking-protokolli ISL (Inter Switch Link) või IEEE 802.1q-d ja teeskleb, et ta on kommu-taator, saab ta sellega ligipääsu kõikidele konfigureeritud VLAN-idele ja õiguselugeda kõiki VLAN-is hoitavaid andmeid, millele ründajal tavaliselt ligipääs puud-uks.

Cisco protokolliga VTP vahetavad Cisco kommutaatorid omavahel andmeid konfi-gureeritud VLAN-ide kohta. Seejuures saab tsentraalse VTP-serveri VLAN-i konfi-guratsiooni VTP-domeeni piires üle kanda kõikidele osalevatele kommutaatoritele.See lihtsustab küll mitme kommutaatoriga VLAN-i haldamist, kuid kujutab endastka turvariski: VTP toetab küll autentimist VTP-domeeni piires, kuid kui domeenispole kommutaatorite autentimiseks kehtestatud parooli, saab ründaja (kasutadesnt eraldi kommutaatorit, mis on seadistatud VTP-serveriks) VTP-domeeni kommu-taatorites kogu VLAN-i arhitektuuri üle kirjutada.

666 / 781

G 5.116 z/OS-i konfiguratsiooni manipuleerimine

z/OS-süsteeme saab mõjutada mitmete liideste kaudu, nt Hardware ManagementConsole, MVS-Master-Console, Enhanced MVS Console Service, automatiseeri-mismeetmed, Remote MVS-Console ja kaughooldusjuurdepääsud. Alljärgnevalton kirjeldatud mõningaid nende liideste kasutamisega seotud turbeprobleeme:

• HMC (Hardware Management Console) - volitamata juurdepääs HMC-levõib tekitada suuri turbeprobleeme. HMC kaudu saab mõjutada süsteemikäitumist ajal, mil see töötab. Võimalik on üksikute LPAR-ide (loogiliste par-titsioonide) ja terve arvutikoosluse lähtestamine. Lisaks saab HMC kaudusisse lugeda ka uusi Input/Output Control Datasete, mis aktiveeruvad järg-mise Initial Program Loadi (IPL) ajal. Sellega esineb oht, et LPAR-idele mää-ratakse kettad, mis tegelikult nende juurde ei kuulu.

• MVS-Master-Console - z/OS-operatsioonisüsteeme juhitakse muu hulgasMVS-i konsoolidega. Standardkonsoolid on süsteemi osad ja nende kasu-tamiseks pole vaja ei kasutajatunnust ega parooli. See tähendab, et isi-kud, kellel on füüsiline juurdepääs autoriseeritud MVS-konsoolile (nt Master-konsoolile), saavad sisestada mis tahes MVS-käsu. Selle tulemusel on või-malik pakktöid ja ülesandeid (Started Tasks) volitamatult peatada ja käivita-da. Lisaks saab iga süsteemi kettaid lülitada online-režiimi , juhul kui needon selles süsteemis genereeritud. Muu hulgas on võimalik, et MVS-i käs-kudega saab kanalite andmeteid taasgenereerida, et ühendada kettaid, miskuuluvad hoopis mõne teise LPAR-i juurde.

• Enhanced MVS Console Service - MVS-i tavaliste konsoolide kõrval onz/OS-operatsioonisüsteemil kasutajale pakkuda ka EMCS (Enhanced MVSConsole Service). Mitmed rakendused, nt TSO, CICS või NetView, pakuvadseda ka funktsioonina. EMCS-is saab konsoole luua dünaamiliselt skriptitöö raames ning need konsoolid toetavad peaaegu kõiki käske, mida saabkasutada ka tavaliste konsoolidega. Kui EMCS on RACF-i profiilide kaitsestkas täiesti välja jäetud või kui seda kaitstakse ebapiisavalt, võib juhtuda, etz/OS-operatsioonisüsteemi saab manipuleerida mis tahes terminalist.

• Automatiseerimise ohud - Automatiseerimisprotseduurid võivad olla prog-rammeeritud selliselt, et need aktiveeruvad siis, kui ilmuvad asjakohasedteated. Kui automatiseerimisprotseduurid ei ole korralikult kaitstud, on oht,et funktsiooni võib volitamatult aktiveerida ka mõni võltsitud teade.

• Remote MVS-Console - z/OS-süsteeme saab juhtida erinevatest asukohta-dest, kasutades ühte tsentraalset konsooli. Sageli kasutatakse selleks utiliiti,mis võimaldab nt z/OS-süsteemide LPAR-e juhtida ka suurte vahemaade ta-gant. Asjakohane utiliit emuleerib tavalises arvutis MVS-konsooli. Kui sellisejuhtkonsooli füüsiline või loogiline juurdepääs on ebapiisavalt kaitstud, esi-neb oht, et sealt saab manipuleerida mõnda eemal asuvat z/OS-süsteemi.

• Kaughooldusjuurdepääsud - z/OS-süsteemi ohustab ka RSF-konsooli (Re-mote Support Facility) oskamatu seadistamine. Väline ründaja võib konfigu-ratsioonivigu ära kasutada ja end sellesse konsooli sisse valida (vt G 5.10Kaughooldeportide väärkasutus ).

Näide

667 / 781

• Special Privilege’i väljapetmine - RACF oli arvutuskeskuses tööle seatudsellise konfiguratsiooniga, et RACF-i käske sai sisestada muu hulgas kaMVS-Master-Console’i kaudu. Ruumile, kus need konsoolid asusid, oli juur-depääs ka ühel piisavate volitusteta töötajal. Selle tagajärjel õnnestus talenda User-ID-le anda Special-Privelege. Kulus palju aega, enne kui sedamärgati.

668 / 781

G 5.117 z/OS-i manipuleerimise varjamine

z/OS-süsteemi manipulatsioone saab varjata logiandmete muutmise või logi-funktsioonide väljalülitamisega. Suur osa z/OS-süsteemi komponentidest ge-nereerib logiinfot süsteemi tegevuse ja sündmuste kohta. See info salvesta-takse regulaarselt vastavatesse logifailidesse (nt System-Logi failidesse, SMF-andmehulkadesse), mida saab hiljem analüüsida. Logifaile saab muuta või ma-nipuleerida, kui on olemas vajalikud pääsuõigused. Seda võib esineda nt olukor-ras, kus süsteemiadministraator on kasutajatele andnud kogemata liiga suuredõigused või kui ründaja on pääsuõigused endale hankinud mingisuguse manipu-latsiooniga.

Lisaks saab süsteemilogisid manipuleerida hoopis logisid genereerivate kom-ponentide seadistamise kaudu. Näiteks kantakse andmed selle kohta, millisedandmehulgad SMF-i kirjutatakse, z/OS-i konfiguratsioonis parameetrisse Member.Memberi muutmise või Exitite seadistamisega on võimalik tõkestada teatud SMF-lausete kirjutamist. Tavalised turbemeetmed ei suuda seadistuse tõkestamist äratunda ega saa kasutajale teatada, et SMF-lauseid või süsteemiteateid enam eikirjutata.

Näide

• SMF-lausete väljalülitamine - Arvutuskeskuses õnnestus ühel kasutajalSMF-andmehulkade kirjutamine välja lülitada. Seejärel sooritas ta mõ-ned manipulatsioonid ja lülitas SMF-funktsiooni taas sisse. Sel ajal z/OS-süsteemis tehtud muudatusi ei ole enam võimalik logide järgi tuvastada, sestvastavad logid puuduvad. Süsteemilogi näitab vaid seda, et MVS-konsoolistsisestati käske, kuid seda konsooli võis korraga kasutada mitu inimest.

669 / 781

G 5.118 Suuremate õiguste volitamatu omandamine RACF-is

Kui kasutajal õnnestub oma õigusi z/OS-i turvasüsteemis RACF suurendada,võib tal muu hulgas tekkida volitamata ligipääs failidele ja võimalus süsteemimanipuleerimiseks.

• Võrgu- trace - TCP/IP- või TPX-protokollide trace -meetodiga (võrguliiklusepealtkuulamisega) saab ründaja olenevalt võrgu kaitseastmest välja nuhkidaSpecial-volitustega kasutaja kasutajatunnuse ja parooli. Nende andmetegasaab ta õigusi suurendada kuni selleni, et määrab oma kasutajatunnuseleSpecial-õigused.

• APF, SVC - Kaks lisaohtu, kuidas kasutaja võib endale z/OS-süsteemis voli-tamatult suuremad õigused saada, on APF-i (Authorized Programming Faci-lity) ja SVC (SuperVisor Calls) kasutamine. Kui kasutajal õnnestub seadista-da programme, mis asuvad APF-volitustega failides, või installida SVC-sid,saab ta nende kaudu endale hankida kas Special- või Operations-õigused(kasutaja peab manipuleerima enda ACEE kontrollplokki). Need kehtivadküll vaid kuni seansi lõpuni, kuid programmi saab alati uuesti avada.

• Õiguste kuhjumine - Veel üks oht on nn kuhjunud õigused, mis tulenevad vo-lituste ebapiisavast haldusest. Tüüpiline on järgmine stsenaarium. Kasutajavahetab organisatsiooni sees tegevusvaldkonda. Ta saab oma uute tööüles-annete täitmiseks vajalikud õigused, kuid vanu õigusi ei tühistata. Sel moelvõib kasutaja pika aja jooksul endale kokku kuhjata õigusi, mis on palju suu-remad, kui tal oma tööks reaalselt tarvis läheb.

Näide

• z/OS-i spetsialiste on vähe. Seetõttu võis sageli esineda olukordi, kus süs-teemi tundev z/OS-i nõustaja töötas pikka aega ühes firmas ja tema õigusedaina kuhjusid. Administraator märkas seda juhuslikult alles siis, kui ettevõt-tes muudeti volituste kontseptsiooni.

670 / 781

G 5.119 Võõraste kasutajatunnuste kasutamine z/OS-is

z/OS-i turvasüsteemi RACF Surrogat-õigus võimaldab kasutajal A käitada omapakktööd kasutaja B tunnuse all, ilma et kasutaja A teaks kasutaja B parooli.Kõikides turbekontrollides kontrollitakse kasutaja B tunnust ning logiandmed jaSMF-i andmed märgivad, et käsud on käivitanud kasutaja B. Kui Surrogat-õigustekindlaksmääramise ja kontrollimise turbemeetmed on ebapiisavad, on oht, et neidõigusi võidakse kuritarvitada:

• kasutaja võib nt sooritada toiminguid, mille jaoks tema enda kasutajatunnu-sel volitusi ei ole;

• kasutajad võivad muu hulgas teeselda, et nendes (keelatud) toimingutes onsüüdi teised kasutajad.

671 / 781

G 5.120 Linux/zSeries-i konfiguratsiooni manipuleerimine

zSeriesi Linuxis on kolm töörežiimi:

• zSeriesi riistvaral töötav Linux Native;• zSeriesi LPAR-is töötav Linux;• z/VM-kandursüsteemis töötav Linux.

Kõigi kolme zSeriesi keskkonnas kasutatava Linuxi töörežiimi puhul esinevadmoodulis B 3.102 Server Unixi all kirjeldatud ohud.

Mainframe’i ohud Linuxi kasutamisel - B 3.102 Server Unixi all kirjeldatud ohtu-de tõttu võivad juhtudel, kus zSeriesi mainframe’ ides kasutatakse Linuxit, esinedamuu hulgas allkirjeldatud turbeprobleemid.

zSeriesi LPAR-is töötav Linux

Mainframe ’i ohud tulenevad võimalikest mõjudest zSeriesi riistvarale:

• HCD-funktsioonide (Hardware Configuration Definition) juurdepääsuga saa-vad töötajad seostada riistvararessursse, nt kõvakettaid, Linuxi partitsioo-nidega, ilma et neil oleks selleks asjakohaseid volitusi. Nii luuakse Linuxioperatsioonisüsteemi jaoks juurdepääs riistvararessurssidele.

• Juurdepääs HMC-le (Hardware Management Console) võimaldab järgne-vaid manipulatsioone: ressursside käivitamine, peatamine ja seostamineLPAR-iga. Sarnase teemakäsitluse leiate ka ohukataloogi peatükist G 5.116z/OS-i konfiguratsiooni manipuleerimine . Turbe poolest sama kriitiline onpöördumine SE-de (Service Elements) poole. Service Element on zSeriesiriistvara komponent, mis pakub samu funktsioone nagu HMC.

z/VM-kandursüsteemis töötav LinuxSelles stsenaariumis käitatakse Linuxit virtuaalmasina emuleeritud riistvaras.

z/VM käitab virtuaalmasina emuleeritud riistvara zSeriesi riistvaras. Füüsilinepöördumine reaalsete ressursside poole toimub ainult z/VM-i kaudu. Mainframe ’iohud tulenevad esmalt võimalikest mõjudest emuleeritud riistvarale, kuid teisaltka võimalikest mõjudest z/VM-ile:

• Juurdepääsu HCD funktsioonidele ja HMC-le saab kuritarvitada sama moo-di nagu töörežiimi Linux zSeries’i LPAR-is.

• Töötajad, kes tohivad saata kriitilise tähtsusega z/VM-käske, võivad ohus-tada z/VM-i stabiilsust ja seega ka selles töötavate Linuxi operatsioonisüs-teemide stabiilsust.

672 / 781

• Töötajad, kes saavad piiramatu juurdepääsu utiliidile DIRMAINT, võivad sel-le abil genereerida nt uusi virtuaalsüsteeme või seostada ühe Linuxi mi-nidisc’e mõne teise Linuxi omadega. Kui z/VM-i RACF-i ei kasutata, saabDIRMAINT-iga hallata ka kasutajatunnuseid.

• Kui z/VM-i operatsioonisüsteemis kasutatakse turbekomponenti z/VM RACF(Resource Access Control Facility), on z/VM-i ohud võrreldavad z/OS-i ope-ratsioonisüsteemide omadega, mida kirjeldab ohukataloogi peatükk G 3.72z/OS-i turbesüsteemi RACF väär konfiguratsioon . Töötajatel, kellel on suu-red RACF-i/VM-i volitused (nt Special-volitused), saavad RACF-i/VM-i kaudumanipuleerida teisi z/VM-i tunnuseid ja volitusi.

• Kui Linuxi all autentimisel luuakse z/OS-RACF-i kaudu PAM-i mooduliga(Pluggable Authentication Module) LDAP-ühendus, saavad z/OS-i RACF-isuurte volitustega töötajad mõjutada ka Linuxi kasutajatunnuseid ja volitusi.

Näide

• z/VM-i haldamisõiguste volitamata kasutamine - Töötajale jäeti vana tavajärgi alles volitus, mis lubas z/VM-is kasutada funktsiooni DIRMAINT. Ta ka-sutas seda ära, et genereerida endale privaatne Linux. See kulutas aga niipalju ressursse, et zSeriesi masin ei suutnud oma tavapäraste protsesside-ga enam vajalikul moel toime tulla.

673 / 781

G 5.121 z/OS-süsteemi rünne TCP/IP-ühenduse kaudu

Selleks, et z/OS-süsteemi võrguühenduse kaudu rünnata, pole sageli tarviseriteadmisi ei SNA-võrguarhitektuuri ega MVS-i kohta. Mitmed z/OS-süsteemistandardprotokollid ja teenused, nt HTTP või FTP, on väliste ründajate jaoksligipääsetavad põhjusel, et süsteemid on Unixi süsteemiteenuse (Unix SystemServices) kasutamise tõttu avalike võrkudega ühendatud TCP/IP abil.

• Välised ründajad võivad TCP/IP-ühenduse kaudu avalikus võrgus pakutava-tele teenustele korralda Denial-of-Service-ründeid ning volitamatult lugedaja manipuleerida edastatavaid andmeid.

• Organisatsioonisisesed ründajad saavad TCP/IP-ühenduse kaudu sisevõr-gus oma volitusi suurendada, uurides nt välja mõne Special-õigustega ka-sutaja kasutajatunnuse ja parooli.

674 / 781

G 5.122 z/OS-i RACF-i atribuutide väärkasutus

z/OS-i turbesüsteemi RACF-i SPECIAL-, OPERATIONS- ja AUDITOR-atribuutidelon eriti suured volitused.

• SPECIAL-atribuut - SPECIAL-atribuudiga kasutajatunnust on tarvis RACF-turbesüsteemi haldamiseks. Seda atribuuti omav kasutaja saab muutaRACF-i seadistusi. Näiteks saab kasutajate jaoks aktiveerida nende juurde-pääsu süsteemiressurssidele ja failidele. Volituse omanik saab endale andaõiguse, mis tagab juurdepääsu süsteemi kõikidele ressurssidele ja failidele.Lisaks saab ta kõikidele kasutajatunnustele lisada allpool loetletud atribuu-te. Võimalikud kitsaskohad tekivad System Monitoride kasutamisel, mille pu-hul saab suurte volitustega programmiosade kaudu enda tunnusega sidudaSPECIAL-atribuudi. Kasutajad, kellel on juurdepääs System Monitoridele jaasjakohased RACF-i õigused, saavad anda enda kasutajatunnusele vara-semast suuremad pääsuõigused.

• OPERATIONS-atribuut - OPERATIONS-atribuudiga kasutajatunnust lähebpeamiselt tarvis z/OS-süsteemi Space-Managementi jaoks. See atribuutkätkeb endas failide kopeerimise, lugemise, kustutamise ja loomise õigu-si, mis rakenduvad ka siis, kui failile ja kasutajatunnusele ei ole neid õigusieraldi antud. Kasutaja saab OPERATIONS-atribuuti kuritarvitada volitamataandmepöörduste jaoks.

• AUDITOR-atribuut - Audiitorid peavad märkama turvet puudutavaid sünd-musi, neid õigesti tõlgendama ja kontrollima. Selle volitusega saab RACF-idefinitsioone muuta ainult auditit puudutavate definitsioonide piires (erinevaltSPECIAL-atribuudist), seega ei saa sellega anda endale suuremaid volitusi.Siiski kaasneb AUDITOR-atribuudiga oht, et süsteemi kohta on võimalik ko-guda suurel hulgal infot, nt kõikide RACF-i seadistuste kohta.

Näited

• Special-atribuut- Süsteemi programmeerijal polnud SPECIAL-atribuuti. Takirjutas vastava programmi ja paigutas selle APF-volitusega faili sisse. Juur-depääs APF-failidele oli vajalik tema igapäevase töö jaoks. Isekirjutatudprogrammiga suutis süsteemi programmeerija määrata endale SPECIAL-atribuudi ja sai seeläbi võimaluse RACF-i seadistust volitamatult muuta.

• Operations-atribuut - Kui ettevõttes selgus, et konkurent oli suutnud suurehulga kliente üle meelitada, asuti kiiresti olukorda uurima. Ilmnes, et ühekasutaja kasutajatunnusele oli määratud OPERATIONS-atribuut. Selle atri-buudiga sai ta klientide aadresse regulaarselt lubamatult kopeerida ja edasianda.

675 / 781

G 5.123 Ruumide pealtkuulamine kaasaskantavate seadmetega

Peaaegu kõiki kaasaskantavaid seadmeid nagu sülearvuteid, nutitelefone, tahvel-ja pihuarvuteid ning mobiiltelefone müüakse sisseehitatud mikrofoni ja/või kaame-raga. Seega saab seadmeid kasutada selleks, et vestlusi märkamatult salvestadavõi pealt kuulata (vt G 5.123 Ruumide pealtkuulamine kaasaskantavate seadme-tega ). Selleks piisab märkamatult nt koosoleku ajaks ruumi pandud nutitelefonist.

Näide.Ühel koosolekul on peaaegu kõikidel osalejatel kaasas sülearvutid ja nad ka-

sutavad neid pidevalt. Üks neist aktiveeris märkamatult oma arvuti mikrofoni. Niinagu suurema osa kaasaskantavate seadmete puhul ei ole ka siin teiste osalistejaoks tuvastatav, et mikrofon on sisse lülitatud. Ta jäädvustab täielikult koosolekuja lõikab sellest lühemad ettekanded välja. Seoses sellega, et need on kontekstistvälja rebitud, võib ta edukalt esitada teistsuguse koosoleku tulemuse.

676 / 781

G 5.124 Kaasaskantavate seadmete teabe väärkasutus

Kaasaskantavaid seadmeid on lihtne kaotada ja varastada (vt G 5.22 Kaasaskan-tava IT-süsteemi vargus ). Mida väiksemad ja ihaldatumad sellised seadmed on,seda suurem on varguse ja kaotamise risk. Seadme kaotamisega tekkinud otsesekahju kõrval võib probleeme tekitada ka oluliste andmete kadu või nende soo-vimatu avalikustamine. Selline kaudne kahju on sageli palju suurem kui seadmemateriaalne väärtus.

Näited

• Konfidentsiaalsete andmete hoidmine pihuarvutis. Pihuarvutisse salvesta-tud andmed, nt koosolekul tehtud märkmed või kirja pandud aadressid,võivad olla konfidentsiaalsed. Seadme kaotamisel võivad need andmedmuutuda avalikuks.

• Paljudel kaasaskantavatel seadmetel on turbemehhanismid, mis kaitsevadneid volitamata juurdepääsu eest. Need turbemehhanismid on aga sage-li liiga nõrgad, mistõttu on ründajatel lihtne neid eirata. Tihtilugu on turbe-mehhanismid küll olemas, kuid need jäetakse mugavusest tööle lülitamataning seetõttu pole konfidentsiaalsed andmed seadme kaotamise korral üld-se kaitstud.

• Kaasaskantavatesse seadmetesse salvestatakse tihti ka teiste IT-süsteemide ning ametiasutuse või ettevõtte kohtvõrgu pääsuandmeid.Kui volitusteta isik saab oma käsutusse (muutumatute) pääsuandmetegasüle- või pihuarvuti, võib ta ligi pääseda konfidentsiaalsetele siseandmetele.

• Mobiiltelefoni funktsiooniga pihuarvutite (nutitelefonide) puhul võib ebaausleidja omaniku kulul teha kõnesid, kui ta teab seadme PIN-koodi või suudabselle ära arvata või kui ta eirab seadme turbemehhanisme.

• Nutitelefonide, tahvel- või pihuarvutitega, millel on SIM-kaart juurdepääsuksinternetile mobiilivõrgu kaudu, võib varas seaduslikule omanikule kahju te-kitades internetist andmeid tõmmata.

• Paljudel pihu- ja sülearvutitel on vahetatavate andmekandjate kasuta-miseks, nt mälukaartide ja USB-mälupulkade jaoks, eraldi liidesed. Järe-levalveta jäetud pihu- ja sülearvutist saab vahetatavate andmekandjategakiiresti endale kopeerida suuri andmehulki. Jälgi selline kopeerimine ei jäta.

677 / 781

G 5.125 Volitamatu andmeedastus kaasaskantavate seadmetega

Kaasaskantavad seadmed nagu sülearvutid, nutitelefonid, tahvel- või pihuarvu-tid põhinevad suures osas muude IT-süsteemidega lihtsa andmevahetuse või-maldamisel. See võib toimuda ühenduskaabli kaudu või ka traadita, nt WLAN-i, Bluetooth’i või mobiilsideühenduse kaudu.

Seal, kus on võimalik vaba juurdepääs IT-süsteemidele, võivad ründe toimepa-nijad pääseda kaasaskantavate seadmete abil märkamatult juurde teabele, sedamuuta või kaasa võtta. Hilisem kontrollimine või isegi avastamine ei ole alati või-malikud, sest sageli ei ole juurdepääsud kohaselt protokollitud.

Kui kaasaskantaval seadmel on traadita suhtlusliides (nt WLAN, SIM-kaart võiBluetooth), võib salvestatud andmeid edastada ka vahetult igasse maailmapunkti(vt G 5.97 Volitamata andmeedastus mobiiltelefonide kaudu ).

Näide

• Ühe ettevõtte töötaja kutsutakse koosolekult kõrvalise isiku poolt välja, etta vastaks tähtsale telefonikõnele. Kõrvaline isik kasutab lühikest ajavahe-mikku, mil teda ei jälgita, et ühendada koosolekuruumis asuv arvuti omakaasaskantava seadmega. Seejärel edastab ta kõik hangitud andmed omakaasaskantavale seadmele.

• Suurel ettevõttel on oma isiklik traadita võrk (WLAN), mis ei ole siiski pii-savalt kaitstud. Ründe toimepanija kasutab seda ära ja ühendab oma tah-velarvuti WLAN-iga. Nüüd saab ta vaevata salvestada kõiki edastatavaidandmeid ja halvemal juhul on tal juurdepääs ettevõtte võrgu andmetele.

678 / 781

G 5.126 Volitamatu pildistamine ja filmimine kaasaskantavateseadmetega

Praeguseks on juba väga paljudes kaasaskantavates seadmetes, nt süle- ja pihu-arvutites ning mobiiltelefonides, integreeritud kaamerad või loodud eeldused kaa-merate ühendamiseks. Enamasti võimaldavad sellised kaamerad salvestada kavideoid. Selliste kaasaskantavate seadmetega saab kerge vaevaga märkamatultpildistada või filmida ka turvatud kohtades (nt tootearendusosakondades). Pildikvaliteet ei ole tavaliselt küll võrreldav n-ö korralike kaamerate omaga, kuid sel-legipoolest tuleks sellist ohtu teadvustada. Fotosid saab vahetult edasi saata jaseejärel seadmest kustutada nagu tavalise andmevarguse puhul (vt G 5.125 Vo-litamatu andmeedastus kaasaskantavate seadmetega ). Sellistel juhtudel on isegikahtluse korral peaaegu võimatu midagi tõestada.Kui nutitelefonile on installeeritud sotsiaalvõrkude või videoportaalide nagu You-Tube rakendused, võib äsja tehtud pildid ja videod avaldada ka internetis. Kaitsetvajavad andmed võidakse sel moel edastada kiiresti volitamata isikutele, rääkima-ta autoriõiguste kaitsega seotud probleemidest. Isikud ja asutused võivad komp-romiteerivate piltide tõttu kaotada oma maine.

Näited

• Paljudes ujulates ja spordikeskustes ei tohi fotoaparaate ja mobiiltelefoneenam kaasa võtta, sest esitatud oli erinevaid kaebusi salaja riietusruumidestehtud fotode kohta. See tuli välja seoses sellega, et mõned hobifotograafidesitlesid oma fotosid uhkelt veebilehtedel.

• Paljudel sülearvutite mudelitel on lisaks integreeritud mikrofonile ka väikeintegreeritud kaamera, mida saab vastavalt ehitusele kasutada fotovõteteja videoülesvõtete jaoks või veebikaamerana. Selliste kaameratega saab il-ma vaevata isegi auditooriumi viimastest ridadest salvestada loetavalt slaideja kuuldavalt kõnelejat. Sellega on võimalik üllatavalt hästi salvestada Isegivaheküsimusi. Kuna neid seadmeid ei võeta kui kaameraid, on ette tulnudebameeldivaid üllatusi, kui hiljem on avaldatud lubamatuid salvestusi.

679 / 781

G 5.128 Volitamatu juurdepääs andmetele seoses võõra koodilisamisega SAP tarkvarasse

Kui ründaja suudab SAP-süsteemi sisestada võõra ABAP-koodi, saab ta andme-tele volitamatult ligi pääseda, sest SAP-süsteemi turve toimib läbi ABAP-koodi.

Näited

• Tootearendaja paigaldab tarkvaravärskenduse käigus SAP-sse enda koodi,mis võimaldab tal SAP-süsteemi programmidele kaugpöördusega ligi pää-seda.

• Kui süsteemis on turvaauk, võib väline ründaja seda ära kasutada ja salves-tada nt ettevõtte SAP transpordikataloogi mõne enda transpordifaili. Kunaneid faile enne sisselugemist ja installimist ei kontrollita, saab sellega põh-justada mitmesuguseid probleeme.

680 / 781

G 5.129 Andmete manipuleerimine salvestisüsteemi kaudu

Halvasti seadistatud SAN-installatsiooni kaudu võivad võrkude vahel tekkida taht-matud ühendused. Kui SAN-iga ühendatud serverile pääseb ligi internetist ja kuiserver väljast kompromiteeritakse, võivad organisatsiooni siseandmed olla suuresohus. Kui salvestisüsteem on ühendatud serveriga, mis on internetist ebapiisavalteraldatud, võib serveri kompromiteerimine endaga kaasa tuua ka salvestisüstee-mi kompromiteerimise. Nii võib ründajal tekkida võimalus lugeda või muuta SAN-iandmeid, mis on seotud teiste masinatega. Kuna sellega eiratakse kõiki organi-satsiooni IT-võrkude turbe- ja seiremeetmeid, nt tulemüüre või IDS-e (IntrusionDetection Systems), võib sellega kaasneda ülisuur kahju.

681 / 781

G 5.130 Salvestisüsteemi konfiguratsiooni manipuleerimine

Kesksed salvestisüsteemid koondavad hulgaliselt asutuse olulisi andmeid. Sellejaoks on tavaliselt olemas erilised turvanõuded, millega tuleb hoolika konfiguree-rimise käigus arvestada.

Kui ründe toimepanijal õnnestub hankida paroolid, mis võimaldavad juurde-pääsu salvestisüsteemi konfigureerimisprogrammidele (Element Manager), võibta vältida mitmeid turva- ka kontrollimeetmeid.

Kui sellisel juhul puudub õiguste ja rollide kontseptsioon või see on koostatudebapiisavalt, on ründe toimepanijal võimalus muuta salvestisüsteemi konfigurat-siooni. Alljärgnevalt on kirjeldatud, kuidas manipulatsioon mõjutab konkreetseidkonfiguratsiooni parameetreid.

• Konfigureerimismuudatused puudutavad tsoneerimise seadistusi. Selle ta-gajärjel saab FC-võrku sisestada täiendavaid komponente, millel algseltjuurdepääsuõigusi ei olnud.

• Kui ründe toimepanija manipuleerib tsoneerimise konfiguratsiooni, on tal või-malik muuta juurdepääsuteid serverite ja salvestiressursside vahel. Seegasaab ta lubamatult ligi pääseda teabele või piirata teiste kasutajate juurde-pääsuõigusi.

• Kui ründe toimepanija manipuleerib LUN-konfiguratsiooni, on tal võimalik ligipääseda salvestiressurssidele, mis polnud talle varem kättesaadavad.

• WWN-Spoofing (vt G 5.186 Juurdepääs teiste teenusetarbijate andmete-le WWN-Spoofing’uga ). Kui ründajal on ligipääs paroolidele, mis võimal-davad tal ligi pääseda salvestisüsteemi seadistusprogrammidele, muutuvadmitmed turbe- ja kontrollmeetmed kasutuks.

Lubamatute manipulatsioonide ja konfiguratsioonimuudatuste tagajärjel ei oleenam tagatud, et peetakse kinni salvestisüsteemi turvanõuetest. Võimalikud onvolitamata juurdepääsud salvestiressurssidele või andmete manipuleerimine.

682 / 781

G 5.131 SQL-injektsioon

SQL-injektsiooniks nimetatakse kahjulike või soovimatute andmebaasikäskudesisestamist rakenduse andmebaasipäringusse. See on võimalik juhul, kui raken-duses tehtavaid sisestusi ei kontrollita piisavalt või kui sisestusi maskeeritakse.Rakenduse sisestusväljadesse või parameetritesse kantavaid andmeid kasu-tatakse dünaamiliste andmebaasipäringute genereerimiseks. Ründaja kasutaboma sisestustes teatud erimärke, et dünaamilisi päringuid manipuleerida jaandmebaasile enda käske saata. Selline rünne ohustab nii veebirakendusi kui kaeraldi rakendusi. Veebirakendused on siiski kõige enam ohustatud, sest nendekasutajarühm on sageli piiramatu.See suurendab potentsiaalsete ründajatehulka. Lisaks jääb ründaja anonüümseks, sest teda ei ole kasutajate lokaalseshaldussüsteemis kirjas. See meetod loob ründajale mitmeid võimalusi:

• volitamatu ligipääs andmetele;• andmete manipuleerimine;• info hankimine veateadete esilekutsumisega;• operatsioonisüsteemi käskude käivitamine;• kontrolli saavutamine andmebaasi üle;• kontrolli saavutamine serveri üle.

683 / 781

G 5.132 RDP-seansi kompromiteerimine alates Windows Server2003-st

Remote Desktop Protocolil (RDP) põhinev Remote Desktopi ühiskasutus on tõhusja levinud lahendus Windowsi serverite kaughoolduseks ja programmide kasuta-miseks kaugemal asuvates arvutites (kaugtöölaud). Ühenduse loomisel klientar-vutist RDPserverisse pole vaja kasutajat autentida. Kaugtöölaua kogu sisselogi-misekraan kuvatakse vahetult lokaalse klientsüsteemi ekraanile. On oht, et pealevolitatud kasutajate saab Windowsi RDP sisselogimise kaudu süsteemile kaug-juurdepääsu ka ründaja. Iga kaugtöölaua funktsiooni kasutaja näeb infot operat-sioonisüsteemi versiooni ja domeenikuuluvuse kohta, ilma et ta peaks sisestamakasutajatunnuse või parooli. Lisainfot võivad muu hulgas pakkuda ka taustapildid.Administraatorid kuvavad haldusinfot sageli oma ekraani taustapiltidel ning on kavõimalik, et serveri tootja on eelinstallitud operatsioonisüsteemis kasutanud mõn-da oma firmale viitavat taustapilti. See pakub väärtuslikku infot, mis võimaldabsüsteemi analüüsida ja kasutada ära teadaolevaid turvaauke.

Kui RDP-seansi ajal peaks võrguühendus katkema, taastab Windows Server 2003seansi automaatselt ilma sisselogimiseta, niipea kui klientsüsteem on oma võrgu-ühenduse serveriga taastanud. Sellega säästetakse võib-olla isegi mitu minutit.Suurema veatolerantsi hinnaks on aga RDP-seansi tervikluse ohustamine. Rün-daja võib saada süsteemiga kaugühenduse ka seeläbi, et manipuleerib inimes-tega või püüab ühenduse kinni. RDP 5.2 versiooni ühendust Windows Server2003-ga saab ründaja kergesti kinni püüda ja märkamatult ümber suunata. AlatesWindows Server 2003 SP1-st on küll juurutatud SSL-i kaitse, kuid kui see töölelülitada, siis ei saa paljud klientsüsteemid, nt Windowsi varasemate versioonidekaugtöölaudade kliendid ja Unixi/Linuxi RDesktopi kliendid, enam ühendust. See-ga ei saa SSL-i täiel määral kasutada ning ühenduse kinnipüüdmise ja volitamatusüsteemijuurdepääsu oht säilib. Kirjeldatud ohtude tõttu tuleb serverite puhul läh-tuda suurenenud ohupotentsiaalist niipea, kui hakatakse kasutama RDP-d.

Näited

• Ameerika tootja tarnis oma klientidele eelinstallitud Windows Server 2003OEM-versioonidega serverid. Logides operatsioonisüsteemi kas läbi kon-sooli või kaugtöölaua, ilmus nähtavale taustapilt, millel oli tootja logo ja fotoserveri riistvarast. Selline lisainfo võimaldab tuvastada süsteemi kitsaskohtija planeerida rünnet.

• Võrgukatkestuse ajal lahkub administraator korraks haldusarvuti juurest,milles oli pooleli RDP-seanss. Kui ta ei tule õigel ajal tagasi ja paroolikait-sega ekraanisäästjat pole sisse lülitatud, saavad volitamata isikud RDP-seanssi edasi kasutada, kui võrgukatkestuse probleem saab lahendatud.Kuna volitamata isik saab oma käsutusse täielikud administraatoriõigused,võib ta kogemata või tahtlikult suuri probleeme põhjustada.

684 / 781

G 5.133 Veebipõhiste administreerimisvahendite volitamatakasutamine

Veebipõhiste tööriistadega administreerimine on sagenenud. Üks otsustavatestpõhjustest tehnilise personali jaoks on sõltumatus hooldatava IT-süsteemi ope-ratsioonisüsteemi platvormist ja hooldatava IT süsteemi asukohast. Veebipõhisteadministreerimisvahenditega kaasnevad ohud on:

• Ebakindlad autentimismeetodid - Kõik tööriistad kasutavad kriitilisi logiand-meid. Nad on sõltuvad interneti jaoks standardiseeritud autentimismeeto-ditest, et võimaldada tehnilisele personalile volitatud juurdepääsu kriitilistelelokaalsetele süsteemidele. Paljudel haldustööriistadel on lisaks oma autenti-mismehhanismid või nad kasutavad lokaalseid, osaliselt standardiseerimataautentimis- ja turvamehhanisme. Antud juhul on oht, et volitamata kasutajadvõivad süsteeme kompromiteerida.

• Turvasuunistest möödahiilimine - Suur oht tekib, kui autentimise turvasuu-nistest võrgus või nende elluviimise eest vaadeldavas IT-koosluses veebi-põhiste autentimistööriistadega kasutatavate ebasobivate autentimismeeto-ditega mööda hiilitakse. Sagedasemad põhjused on vale või vananenud au-tentimismeetodi valik, kuna kasutatav tööriist ei toeta tugevamat autentimistvõi kuna teised osalevad IT-süsteemid (nt turvalüüsid) ei toeta eelistatudprotokolli ja veebipõhise autentimise ebasobiv realiseerimine või ülevõtminekohalikku autentimissüsteemi.

• Oht võib tekkida, kui veebipõhise haldusabi kasutamise eesmärgil aktiveeri-takse Windowsi Interneti infoteenuse komponent, ilma et see oleks vastavaltsoovitustele konfigureeritud. Oht võiks seisneda selles, et standardkonfigu-ratsioonis on aktiveeritud vaid nõrgemad autentimismeetodid. Arvestada tu-leb asjaoluga, et puudulik konfiguratsioon kujutab endast suurt riski kõigiturul olevate veebipõhistele halduslahendustele.

685 / 781

G 5.134 Telefonikõne osapoolte puudulik identifitseerimine

Nii tavalistel telefoniliinidel kui ka VoIP-l põhinevate telefonikõnede puhul saabhelistajat sageli tuvastada tema telefoninumbri põhjal. Sissetuleva kõne puhul ontelefoni ekraanil näha helistaja number, ilma et peaks kõnele vastama. IntegratedServices Digital Network (ISDN) pakub võimalust vastaspoolele oma telefoni-numbrit edastada funktsioonidega CLIP (Calling Line Identification Presentation)ja COLP (Connected Line Identification Presentation). VoIP puhul saab selleinfo kätte Caller-ID kaudu. Üldistavalt nimetatakse seda numbrinäidu teenuseks.Numbrinäitu kasutatakse sageli ka autentimiseks. Selle mehhanismi sagedaseksnäiteks on see, et kasutajad saavad oma automaatvastajasse jäetud sõnumeidkuulata, ilma et nad peaksid sisestama PIN-koodi või parooli.

• Ründaja võib manipuleerida kõnesid edastavat telefoniseadet ja muuta tele-foni originaalnumbrit, mistõttu kuvatakse adressaadile vale telefoninumber.Nii võib ründaja teeselda valeidentiteeti (vt G 5.42 Inimestega manipuleeri-mine (Social Engineering) ).

• Paljudel telefonidel on inkognito-funktsioon. Helistaja saab selle funktsioo-ni aktiveerida, kui ta ei taha, et helistatav näeks tema numbrit. Helistajapeab oma telefoninumbri siiski kõikidel juhtudel edastama, sest muidu eisaaks luua telefoniühendust. Telefonikeskjaam, millega helistatava telefonon ühendatud, otsustab talle laekuva info põhjal, kas helistaja telefoninumb-rit kuvada või mitte. Telefonikeskjaama programmeerimisega saab kasuta-jate teadmata inkognito-funktsiooni eirata.

• Homogeensetes VoIP-võrkudes, milles helistatakse ainult andmesidevõrgukaudu, selliseid probleeme ei esine, sest inkognito-funktsiooni pole seal ettenähtud. Seevastu praktikas kasutatakse homogeenseid VoIP-võrke siiski vä-ga harva. Tavaliselt on kohtvõrgud ühendatud vastava lüüsiga, mis võimal-dab suhelda ka kõikvõimalike teiste telefonisüsteemide kasutajatega. Seegavõivad eelmainitud probleemid esineda lüüsi ja telefonikõne vastuvõtja va-hel.

• Võrgu piires, milles VoIP-ga helistatakse, tuvastatakse osalejad nende IP-aadresside (või MAC-aadresside) põhjal. Portidel põhinevat tuvastamist, na-gu see toimib telefoniliine ühendavates keskjaamades, pole VoIP puhul ettenähtud.

• Nagu meili adressaadile, edastatakse ka VoIP-kõne vastuvõtjale signalisee-rimisinfoga saatja Caller-ID, mis ei sõltu saatja IP-aadressist. Caller-ID võlt-simine on sama lihtne nagu meilisaatja aadressi võltsimine. Selline võltsingvõib põhjustada olukorra, kus vastuvõtja teeb saatja identiteedi kohta valejärelduse. Ründaja saab seega teeselda mõnda teist kasutajat ja luua kõ-neühenduse mõne oma eesmärgi jaoks vajaliku kasutajaga. Vastuvõtja võibvale IP-aadressi tõttu teha vale järelduse saatja identiteedi kohta.

Näide

• Telefoniseadme manipuleerimise tõttu kuvab ründaja telefon välja helistadesühe suurettevõtte ärijuhi telefoninumbrit. Ründaja kasutab seda manipulat-siooni, et küsida töötajatelt, kes ärijuhti isiklikult ei tunne, teatud siseinfot.

686 / 781

Kuna töötajad peavad helistanud isikut telefoninumbri tõttu ärijuhiks, avalda-vad nad kogu küsitud info, ilma et nad kahtleksid helistaja isikus.

687 / 781

G 5.135 SPIT ja Vishing

VoIP kasutamine pakub mitut võimalust, kuidas pettuse teel infole ligi pääseda võiebapiisavalt informeeritud inimesi oma huvides ära kasutada. VoIP kaudu saabnäiteks soodsalt, kuid kasutajatele soovimatul moel oma tooteid või teenuseidreklaamida.

• SPIT (Spam over IP-Telephone) sarnaneb meiliteenuse kasutamisest tun-tud rämpspostiga (spam) ning kulutab samamoodi vastuvõtja aega ja ra-ha. Olenevalt sellest, kui sagedasti SPIT-kõnesid tehakse, võivad need ollakas lihtsalt tüütud või koguni nii häirivad, et hakkavad segama kogu orga-nisatsiooni tööd. SPIT on teenusepakkujale suhteliselt odav. Kui kasutajagasuudetakse interneti kaudu luua pakettühendus, siis rohkem kulusid reklaa-mipakkujal ei tekigi. Piisava võimsusega internetiühenduse korral suudab tamitmeid reklaame saata samal ajal. SPIT võib olla nt helireklaam. Sellisekõne vastuvõtmisel mängitakse maha salvestatud heli. Sel moel saab kiitanii tooteid kui ka teenuseid. SPIT-i saab kasutada ka petmiseks. Selle näideon Vishing-ründed.

• Vishing (Voice Phishing) on rünne, mille eesmärk on petta ühelt või mitmeltohvrilt välja tema isiklikke andmeid. Selleks helistab VoIP-põhine automaat-valija (dialer ) suurele hulgale kogutud VoIP-aadressidele. Kõnele vastamiselesitatakse salvestatud teade, mille puhul teeseldakse, et see pärineb usal-dusväärselt organisatsioonilt, nt mõnelt krediidiasutuselt, mille klient võibkõne adressaat olla. Kõnega palutakse ohvril edastada mingi oluline info,nt kontonumber, PIN või TAN.

688 / 781

G 5.136 Vaba ligipääsuga telefoniliinide kuritarvitamine

Organisatsioonides on sageli telefone, mis pole seotud mitte ühegi konkreetsekasutajaga. Mõned telefonid, nt sellised, mis asuvad printeriruumides, on ligi-pääsetavad ainult kindlatele isikutele. Sageli asuvad telefonid aga ka parklates,juurdepääsu kontrollsüsteemide ees või ruumides, kuhu on vaba juurdepääs kakülalistel. Kui nendes telefonides on elektroonilised telefoniraamatud, mis sisal-davad organisatsioonisiseseid telefoninumbreid, on oht, et need telefoninumbridvõivad organisatsioonist soovimatult välja levida.

• Vaba ligipääsuga ruumides tuleb VoIP-telefonide kasutamisel arvestada lis-aaspektidega. VoIP-telefonid sisaldavad palju tarkvara ja neid rakendatak-se sageli andmevõrkudes, mida kasutatakse ka teiste IT-rakenduste jaoks.Ründaja võib seepärast üritada seadmele vahetult ligi pääseda ja VoIP-tarkvara puudujääke ära kasutada või ise sellesse kahjulikku tarkvara instal-lida. Eriti just tarkvaratelefonide puhul on oht, et ründaja võib üritada buudita-va CD-ga saada endale lõppseadme või mõne muu, sama võrgu IT-süsteemiadministraatoriõigused.

• VoIP-telefonid peavad olema ühendatud andmevõrku. Ründaja võib selles-se andmevõrku ühendada oma kaasaskantava arvuti ja pääseda seeläbivõrku, mis on väljastpoolt kaitstud tulemüüriga, aga seestpoolt mitte. Sel-le juurdepääsu kaudu võib ta rünnata võrgu konfidentsiaalsust, terviklust jakäideldavust. Neid ühendusi võivad kuritarvitada ka organisatsioonisisesedpahatahtlikud isikud, sest selliseid ründeid ei saa seostada töötaja tööarvu-tiga ja ründaja tegevust ei logita.

689 / 781

G 5.137 Traadita sideühenduse andmete analüüs

Traadita side puhul edastatakse signaalid raadioleviga ning seetõttu ei saa nen-de volitamatu pealtkuulamise ja salvestamise ärahoidmiseks rakendada füüsilistvarjestamist. Seega saab ründaja oma teo toime panna, ilma et sellega kaasnek-sid raskused, mis tekivad kaabliliine kasutavate sidepartnerite puhul. Suurte aladeteenindamiseks mõeldud mitme baasjaamaga traadita sidevõrkudes, nt mobiilsi-devõrkudes, on tavaline, et kiirema kättesaadavuse tagamiseks tuvastatakse es-malt lõppseadmete umbkaudne asukoht. Kui sidepartnerid hakkavad ise mõndaühendust looma, edastavad nad ühenduse loomise käigus ka oma asukoha and-med. Asukohainfot saavad sideoperaator või teenust vahendav firma, muu hulgaska kolmandad isikud, kasutada liikumisprofiilide koostamiseks.

Näited

• IEEE 802.11 standardil põhinevas WLAN-is saadetakse iga andmeedas-tuse käigus ka WLAN-i kaardi riistvara-aadress ehk MAC-aadress. Sellepõhjal saab luua selge seose raadiolevi klientsüsteemi MAC-aadressi ningandmeedastuse kellaaja ja asukoha vahel. Sel moel saab koostada mobiil-telefonide kasutajate liikumisprofiile, nt kasutades andmeid avalikesse ak-tiivpunktidesse (hotspots) sisselogimise kohta. Kuna MAC-aadressid edas-tatakse krüpteerimata kujul, saavad peale aktiivpunktide teenusepakkujateliikumisprofiile koostada ka teised. Põhimõtteliselt saab igaüks, kes paigal-dab sobivasse kohta raadioside LAN-komponendi, lugeda teiste kasutajateMAC-aadresse.

• Bluetooth-ühenduse sidet saab Bluetoothi logianalüsaatoritega passiivseltkinni püüda ja salvestada. Sagedushüpitamise jadadega (Frequency Hop-ping Sequece) sünkroniseerimine õnnestub seadmeaadressi tundmisel kasiis, kui seadmed asuvad avastamist vältivas režiimis. Kõiki Bluetoothi proto-kollipinu kihte on võimalik hiljem offline -režiimis vaadata ja analüüsida. Puu-duva krüpteerimise korral saab edastatud kasutajaandmeid (payload) filtree-rida ja lugeda. Täpselt suunatud antenni ja Bluetoothi signaali elektroonilisevõimendi abil saab sidet pealt kuulata ka suurema vahemaa tagant, kui ta-vafunktsioonide puhul võimalik. Saatjavõimsuse piiramine on soovituslik jasugugi mitte iga Bluetoothi seade ei toeta seda. Sagedushüpitamise mee-tod üksi ei paku kahjuks oskusliku ründaja eest eriti suurt kaitset, kuigi sageliväidetakse, et see muudab soovimatu osaleja liitumise ning Bluetoothi ühen-duste vastuvõtmise ja pealtkuulamise oluliselt raskemaks. Sagedushüpita-mise kasutamise põhjus seisneb selles, et sellega minimeeritakse teistestsama sagedust kasutada võivatest seadmetest (nt WLAN-idest) tulenevadhäired ja tagatakse hea signaalitugevus.

• Bluetoothi seadmeaadresse saab kuritarvitada konkreetse seadme jälita-miseks. See võimaldab luua kasutaja liikumisprofiile. Seadmeaadressi eikasutata mitte üksnes ühenduse loomiseks, vaid põhiseadme aadress onosaliselt kirjas ka igas andmepaketis (48 võimalikust bitist kajastuvad 24 bit-ti).

690 / 781

G 5.138 WLAN-i komponentide vastu suunatud ründed

Traadita side, WLAN-i üksikute klientsüsteemide, pääsupunktide või jaotus-süsteemi turbeprobleemid võivad luua soodsa pinnase rünneteks. Rünnetegavõidakse lugeda või muuta konfidentsiaalseid siseandmeid. WLAN-i komponenteon võimalik manipuleerida ka selliselt, et neid saaks kasutada lähtepunktidenateiste võrkude ja võrgukomponentide ründamisel.

• Traadita võrgu tahtlik segamine - WLAN-i on võimalik tahtlikult segada, kuipanna tööle nn segajad. Segajad võivad kogu WLAN-i täielikult rivist väljaviia ja seega kujutavad need endast füüsilisel tasandil toime pandud Denial-of-Service-rünnet. Segaja võib piisava võimsuse korral asuda ka väljaspoolorganisatsiooni territooriumi, kus WLAN-i käitatakse.

• Kehtiva autentimise teesklemine - ründaja võib salvestada ja analüüsida tea-tud juht- ja haldussignaale ning neid seejärel uuesti saata. Seega saab taWLAN-i ees teeselda, et tal on mõne WLAN-i komponendi autentsus, ja tapääseb seeläbi volitamatult WLAN-i.

• Volitatud pääsupunkti teesklemine - smugeldades WLAN-i võõra pääsu-punkti, saab sooritada Man-in-the-Middle-ründeid (Cloning või Evil Twin).Selleks võib klientsüsteemi lähedusse paigaldada mõne lisapääsupunkti.Kui see pakub WLAN-i klientsüsteemile suuremat võimsust kui esialgu ettenähtud pääsupunkt, hakkab klientsüsteem baasjaamana kasutama võõrastpääsupunkti, välja arvatud juhul, kui kahepoolne autentimine on muudetudkohustuslikuks. Lisaks on võimalik ametlikku pääsupunkti Denial-of-Service-ründega välja lülitada. Selle tagajärjel hakkavad kasutajad tööle võrgus, mispole nende tegelik sihtvõrk. Nii saab ründaja sidet pealt kuulata. Võltsidenti-teeti saab ründaja teeselda ja võrguliiklust oma süsteemidesse ümber suu-nata ka Poisoning- ja Spoofing-rünnetega. Nende abil on ründajal võimaliksideühendusi pealt kuulata ja kontrollida.

• Jaotussüsteemi kompromiteerimine - pärast võõra pääsupunkti ühendamiston võimalik kompromiteerida ka jaotussüsteemi (Distribution System), lüli-tades pääsupunkti ja jaotussüsteemi vahele võõra jaoturi või kommutaatori,eeldusel et see ala on ründajale ligipääsetav. Ühendatud protokollianalüsaa-toriga saab salvestada kogu pääsupunkti ja jaotussüsteemi vahel toimuvaandmeliikluse. Lisaks saab asjakohaste lisautiliitidega aktiivselt rünnata kastaristut või mõnda pääsupunktiga seotud klientsüsteemi. WLAN-i krüpteerin-gu murdmine ei ole selleks isegi vajalik, sest jaotussüsteemi kohtvõrgualastoimub andmeedastus täiesti krüpteerimata kujul, kui just ei kasutata proto-kolli või rakenduse tasandi krüpteerimismehhanisme, nt VPN-i tehnoloogiat.

• WLAN-i klientsüsteemide vastu suunatud ründed - kui klientsüsteem ka-sutab traadita kohtvõrku, on selle lokaalsed andmed seetõttu suuremasohus. Rünnete sihiks võivad sattuda nii WLAN-i mehhanismid kui ka kasu-tatud operatsioonisüsteemi turvaaugud. Selliselt manipuleeritud klientsüs-teem võib endaga kaasa tuua kogu WLAN-i ja halvimal juhul ka kogu or-ganisatsiooni IT-taristu kompromiteerimise. Kui WLAN-is liikuv andmesideedastatakse krüpteerimata kujul, saab ründaja kõikvõimalikku kommunikat-siooni, nt VoIP-kõnesid, raskusteta pealt kuulata. Kui ebausaldusväärses

691 / 781

raadiovõrgus (Hotspotis või Ad-hoc-võrgus) on WLAN-i klientsüsteemi ka-sutamine valesti planeeritud, tekivad lisaohud, näiteks võltsimine (spoofing),millega ründaja saab WLAN-i kasutaja klientsüsteemi installida kompromi-teerivaid utiliite. Samuti võib ründaja otsida klientsüsteemi võrguteenustestja funktsioonidest turvaauke ning neid ära kasutada. Kui paroolid on liigalihtsad või personaalse tulemüüri konfiguratsioon ebapiisav, saab ründajaligipääsu arvutile.

• Pääsupunktide vastu suunatud ründed - klientsüsteemide kaudu saab rün-nata ka teisi WLAN-i komponente ja nendega ühendatud võrke. Kui mobiil-sete komponentide ja andmeedastusstandardite turbemehhanismid on puu-dulikud või halvasti konfigureeritud, saavad ründajad seda ametiasutuse võiettevõtte sisevõrku pääsuks ära kasutada. Iga võrku lisatav komponent loobuue, osalt raskesti kontrollitava võrgujuurdepääsu. Igat võrguühendust onvõimalik kasutada võrgu pealtkuulamiseks.

692 / 781

G 5.139 WLAN-i side pealtkuulamine

Kuna raadioside on jagatud side, saab traadita kohtvõrgu kaudu edastatavaidandmeid hõlpsasti salvestada. Salvestatud andmetest saab muu hulgas kättejärgmise info:

• WLAN-i parameetrid, nt SSID, kasutatud sidekanal ja krüpteerimismeetod;• WLAN-i sidepartnerite MAC-aadressid.

Lisaks saab WLAN-is jälgida levipiirkonna kõikide jaamade levi- ja multiedastusi(broad- and multicasts), seega muu hulgas ka LAN-i jaamade edastusi, kui neidpakette pääsupunktis välja ei filtreerita. Isegi kui kasutatakse krüpteeringut, saabründaja ikkagi näha vähemalt MAC-aadresse ja ühtlasi kõikide levipiirkonnajaamaseadmete tootjaid, mis annab ründajale infot 2. kihi protokollide kasutamisekohta. Ebapiisava krüpteerimise korral pääseb ründaja LAN-is vahetult ligi ntNETBIOS-e brauseriteadetele ja seega ka kohtvõrgu serveriteenuste infole.Kui krüpteerimisest hoidutakse või kui seda rakendatakse ebapiisavalt, muutubkättesaadavaks ka järgmine info:

• WLAN-i sidepartnerite IP-aadressid ja kasutatud pordid;• edastatud kasutajaandmed, kui need pole rakenduse tasandil kaitstud VPN-

i, SSL-i või muude krüpteerimismehhanismidega.

693 / 781

G 5.140 Printerite, koopiamasinate ja multifunktsionaalseteseadmete jääkinfo lugemine

Paljudel digitaalsetel koopiamasinatel ja multifunktsionaalsetel seadmetel onsuur sisemälu. Kui dokumenti on tarvis välja printida mitmes eksemplaris, piisabjuba selle ühekordsest sisselugemisest või seadmesse saatmisest. Dokumentdigitaliseeritakse (kui see pole veel digitaalne) ja salvestatakse seadme mällu,kust saab seda otse paljundada.

• Seejuures tuleb salvestite puhul eristada kahte liiki mälu: muut- ja püsimä-lu. Muutmäluga salvestitest kaovad andmed niipea, kui toitepinge katkeb.Püsimäluga salvestitesse salvestuvad andmed jäävad loetavaks ka pärastseadme väljalülitamist. Püsimälude näited on kõvakettad ja Flash-mälud.

• Olenevalt seadme tööviisist ja seadistusest võidakse salvestite sisu ära kus-tutada mitmesugustel põhjustel. See võib juhtuda näiteks juba järgmise do-kumendi sisselugemisel, kuid ka alles siis, kui salvesti mälu hakkab täis saa-ma.

• Kui salvestisse jääb alles mis tahes info, võib juhtuda, et sellele infole pääse-vad ligi volitamata isikud. Lihtsaimal juhul tähendab volitamata juurdepäässeda, et viimati salvestatud dokumenti on võimalik seadmest uuesti väljaprintida. Probleemsemaks võib olukord kujuneda siis, kui ründaja pääsebligi kogu salvesti sisule ja hakkab seda analüüsima.

• Isegi siis, kui salvestatud info kustutatakse kohe pärast kasutamist ära, onikkagi oht, et kustutatud andmed võidakse taastada. Andmete kustutami-ne ei tähenda kõikide seadmete puhul seda, et vanad andmed kirjutatakseuutega üle. Selline ülekirjutamine muudaks kustutatud andmete taastamisemärksa raskemaks.

• Digitaalseid koopiamasinaid ja printereid võidakse sageli ka ainult üürida.Pärast teatud ajavahemikku seade tagastatakse, et see näiteks uuema vas-tu vahetada. Seega võivad kõik seadme järgmised kasutajad ligi pääsedasalvestis olevale infole.

694 / 781

G 5.141 Andmevargus kaasaskantavate andmekandjatega

Paljudel IT-süsteemidel on vahetatavate andmekandjate kasutamiseks, nt mä-lukaartide ja USB-mälupulkade jaoks, eraldi liidesed. Järelevalveta jäetud IT-süsteemist saab vahetatavate andmekandjatega endale kiiresti volitamatult ko-peerida suuri andmehulki. See ei võta tavaliselt kaua aega ja seda pole ka nii-sama lihtne märgata. Muidugi on neid liideseid võimalik kasutada vastupidiseandmeedastuse jaoks, nt selleks, et kopeerida IT-süsteemi või võrku kahjulikkeprogramme. Kaasaskantavad andmekandjad võivad olla ka integreeritud erinevateseadmetega, nt mobiiltelefonide, MP3-mängijate või digikaameratega. Ka nende-ga on võimalik koguda konfidentsiaalset infot (vt G 5.126 Volitamatu pildistamineja filmimine kaasaskantavate seadmetega ).

695 / 781

G 5.142 Pahavara levimine kaasaskantavate andmekandjate kaudu

Kaasaskantavaid andmekandjaid kasutatakse sageli selleks, et kopeerida and-meid koduarvutist tööarvutisse ja vastupidi. Erakasutuses olevad arvutid on sageliebapiisavalt kaitstud ja ei vasta ametiasutuse või ettevõtte turbenõuetele. Näitekskasutavad koduarvuteid internetis käimiseks sageli ka sellised isikud, kellele po-le turbemeetmeid piisavalt selgitatud, näiteks lapsed või noored, kes kasutavadnetimängude või jututubade jaoks aktiivsisuga veebilehti. Kuna koduarvutite kon-figuratsioon on sageli ebatõhus ja arvuti kasutamist ei kontrollita nii rangelt nagutöökohtades, pääseb pahavara koduarvutitesse kergemini sisse ja võib sealt kaa-saskantavate andmekandjatega levida ka tööarvutisse. Pahavaraga nakatumiseoht ei eksisteeri siiski mitte ainult erakasutuses olevate IT-süsteemide puhul vaidkaasaskantavaid andmekandjaid kasutatakse sageli ka messidel, kongressidel jamuudel üritustel, kus inimesed soovivad omavahel dokumente, ettekannete slaideja muud infot vahetada. Ka siin esineb oht, et pahavara võib süsteemist süsteemilevida.

Näited

• MP3-mängijaid kasutatakse nende suure mahtuvuse tõttu sageli ka kaa-saskantavate andmekandjatena ja seda mitte ainult muusikafailide jaoks.Töökeskkonnas kasutamisel esineb oht era- ja tööfaile omavahel kogematasegi ajada ning edastada tööinfot sõpradele ja tuttavatele. Ka on võimaliktuua pahavara organisatsiooni IT-süsteemidesse.

• Kongressil palub külaline esinejalt äsja peetud ettekande slaide. Esinejaannab külalisele lahkelt oma USB-mälupulga. Kui külaline sisestab USB-mälupulga oma sülearvutisse, et slaide kopeerida, saab ta märkamatult kaa-sa ka salvestis oleva pahavara.

696 / 781

G 5.143 Man-in-the-Middle tüüpi rünne

Man-in-the-Middle -tüüpi ründe eesmärgiks on ehitada märkamatult üles kommu-nikatsioon kahe või enama sidepartneri vahel, nt sooviga andmeid pealt kuulatavõi manipuleerida. Ründe toimepanija osaleb sellises situatsioonis kommunikat-siooni keskpunktina, teeseldes saatjale, et ta on soovitud adressaat ning adres-saadile, et on soovitud saatja. Esmalt suunab ründaja endale ümber sidet alusta-da sooviva kommunikatsioonipartneri ühenduse loomise päringu. Järgmise sam-muna loob ründaja sideühenduse õige adressaadiga. Kui see tal õnnestub, saabründe toimepanija sõltuvalt olukorrast enda käsutusse kogu info, mida saatja ad-ressaadile edastab, st tal on võimalik edastatavat infot enne õigele adressaadi-le edasisaatmist näha ja manipuleerida. Kui pole rakendatud asjakohaseid kait-semeetmeid, saab ründaja samamoodi ligi pääseda ka adressaadilt laekuvate-le vastustele. Kõige raskem osa Man-In-The-Middle -tüüpi ründe toimepanekuston sageli ühenduse loomise ümbersuunamine oma kontakti peale. Ründe algata-miseks kasutatakse erinevaid meetodeid nagu spoofing või DNS-manipulatsioon.Man-In-The-Middle -tüüpi ründe vastu ei suuda alati kaitsta isegi mitte krüpteeritudühendus. Juhul, kui sidepartneri identiteet on võltsitud või kui seda ei kontrollita,võidakse ka krüpteeritud ühendus luua nii saatjalt ründajani kui ka ründajalt adres-saadini. Kuna ründaja toimib kõikidel juhtudel iga üksiku ühenduse lõpp-punktina,võib ta andmeid ka dekrüpteerida, lugeda ja muuta ning siis uuesti krüpteerida, etõige adressaadini edasi saata.Man-in-the-middle-tüüpi ründe erivorm on nn Malicious Morphing. Ründe toime-panija muudab seejuures sõnumi sisu või struktuuri ja võib sel moel ohustadateenuseosutaja juures nii andmete terviklust kui ka süsteemikomponentide talit-lusviisi, nt ummistusründega.

Näited:

• Ründajal õnnestub DNS-Spoofing ründemeetodiga mõningaid nimeserve-reid manipuleerida nõnda, et teatud panga kohta tehtud DNS-päringutelesaadetakse vastuseks mitte pangaasutuse, vaid ründaja arvuti IP-aadress.Kasutaja soovib luua ühenduse panga veebiserveriga, et hakata kasutamaoma internetipanka. Ühenduse loomiseks vajaliku veebiserveri IP-aadressihankimiseks saadab kasutaja arvuti pangaarvuti nime sisaldava päringuDNS-serverile, kuid vastus ei laeku mitte õigelt allikalt, vaid ründajalt, keson IP-aadressi võltsinud. Kuna IP-aadressi on võltsitud, loob kasutaja arvutiründaja arvutiga https-tüüpi ühenduse. Veebilehitseja kuvab küll hoiatuse,et SSL-sertifikaat on kehtetu, kuid kasutaja jätab need tähelepanuta, sestta ei saa neist aru. Kõige selle tagajärjel suunatakse kasutaja ümber rün-daja veebiserverisse. Seejärel loob ründaja krüpteeritud ühenduse vastavapangaga. Ründaja saab näha kõiki sellele järgnevaid, veebiseansi raamestehtavaid kasutaja pangatoiminguid ja nendega manipuleerida.

• Man-in-the-Middle -tüüpi rünnete toimepanekuks WLAN-is võidakse traadi-ta kohtvõrku sisse smugeldada täiendavaid Access Point ’e (Cloning ja EvilTwin). Kui mõni selline Access Point pakub lähedal asuvale WLAN-kliendiletugevamat levi kui tegelik Access Point, kasutab klientsüsteem baasjaama-na võltsitud jaama, eeldusel, ei toimu mõlemapoolset kohustuslikku autenti-mist.

697 / 781

G 5.144 Kataloogiteenuste kompromiteerimine volitamatajuurdepääsu kaudu

Kui ründaja suudab kataloogiteenuse autentimismeetoditest edukalt mööda pää-seda, saab ta seeläbi juurdepääsu paljudele andmetele, mille jaoks tal volitusedpuuduvad. Autentimismeetoditest mööda pääsedes on näiteks võimalik kompro-miteerida kogu kataloogiteenust. Lisaks on oht, et volituste laiendamisega saa-vad juurdepääsu võrguressurssidele või teenustele ka volitamata isikud. Seetõttuvõib ründajal õnnestuda tungida läbi kataloogiteenuste kõikidest kaitsemeetme-test. See võib mõjutada asjassepuutuvat süsteemi või selle lausa hävitada. Esi-neda võib näiteks piiramatute õiguste kuritahtlikku omandamist või enda õigustestsuuremate õigustega identiteedi võltsimist eesmärgiga hankida endale suuremaidvolitusi.

Olukord, kus kolmas isik suudab kataloogiteenust volituseta kasutada, võibtuua kaasa mitmesugust kahju. Kahju võib hõlmata järgmisi aspekte:

• Kataloogiteenuse volitamata kasutamise korral võib ründajal õnnestudalugeda või muuta salajasi võtmeid, kasutada kataloogiteenuses sertifit-seerimisüksuse võtit või ka manipuleerida kriitilise tähtsusega turbepara-meetreid. Selle tagajärjel ei paku krüptograafilised meetmed enam nõutudturvet, mis tähendab, et krüptograafiliselt kaitstud andmete konfidentsiaal-sus või terviklus pole enam tagatud.

• Kui kataloogiteenus on ette nähtud sisselogimisprotseduuride jaoks ja tu-vastatud identiteediga saadud volitus kehtib terves võrgus, on väära auten-timise korral ohus ka muud võrgusüsteemid. Seega võib kataloogiteenusekompromiteerimisega kompromiteerida ka teisi süsteeme. Kataloogiteenustsaab kasutada selleks, et anda kasutajale ühekordse autentimisega õiguskasutada ka teisi süsteeme, seevastu kui kataloogiteenuseta saaks kasuta-ja nende süsteemide kasutusõiguse alles siis, kui ta ennast eraldi autendib.Seega kui kataloogiteenus on kompromiteeritud, on ohus ka teised süstee-mid.

Kataloogiteenuse turve võib olla ohus ka siis, kui on lubatud anonüümsed ka-sutajad. Kuna nende identiteeti ei kontrollita, saavad anonüümsed kasutajad kata-loogiteenusesse saata esmalt suvalisi päringuid ning hankida nii vähemalt mõnin-gast infot teenuse struktuuri ja sisu kohta. Kui nn anonüümne ühendamine (LDAP-s) kataloogiteenusega (välja arvatud autentimiseks) on keelatud, vastatakse pä-ringutele lihtsalt veateatega, sest muidu saaksid ründajad vähemalt osalist infotkataloogiteenuse kohta. Seda infot saab kasutada edasiste rünnete ettevalmista-miseks. Eriti ohtlik on see siis, kui teadetega paljastatakse infot võrgus olevateressursside ja võrgu kohta. Anonüümsete juurdepääsude lubamisel on kataloogi-teenust muu hulgas lihtsam häirida DoS-rünnetega, sest ründajatel on valida paljurohkemate halvasti kontrollitud pääsuvõimaluste vahel.

698 / 781

G 5.145 Andmete ja utiliitide manipuleerimine turvapaikade jamuudatuste haldamisel

Turvapaikasid ja muudatusi hallatakse tavaliselt mõnest tsentraalsest punktist.Eksponeeritud asukoha tõttu tekib suur ründeoht. Kui ründaja suudab serveridoma kontrolli alla haarata, saab ta sellest tsentraalsest punktist saata korraga pal-judele IT-süsteemidele manipuleeritud tarkvara. Ründekohad tekivad sageli see-tõttu, et süsteeme haldavad ebaturvaliselt välised partnerid (outsourcing). Võima-lik on ka see, et seatakse sisse hoolduspääsud, mille kaudu pääsevad ründajadturvapaikade ja muudatuste evitamise keskserverisse.

Näited

• Kui paikade ja muudatuste haldamise utiliit laadib andmeid internetist alla,kuid ei kontrolli veebilehe autentsust ja ühendus pole turvaline, on ründajalvõimalus kasutada seda andmevoogu muudetud pakettide sisestamiseks.Seeläbi võib ta ligi pääseda muudatuste halduse kesksüsteemile ja nendelesüsteemidele, kuhu on installitud paigad.

• Ründajad suutsid ettevõttes üle võtta Linuxi distributsiooni keskse värsken-dusserveri. Seejärel asendasid nad olulised programmipaketid versioonide-ga, milles olid Trooja hobused. Selle tulemusel installis iga värskendusser-veri kasutaja oma arvutisse pahavara ja tagas seega ka ründaja jaoks juur-depääsu.

699 / 781

G 5.146 Saalimisfailidest tingitud konfidentsiaalsuse kadu

Selleks, et IT-süsteemi protsessor suudaks rakendusi käivitada, tuleb need täieli-kult või osaliselt töömällu kopeerida. Kaasaegsed operatsioonisüsteemid suuda-vad korraga mitut programmi töös hoida. Seejuures võib eriti just töömahukaterakenduste puhul olemasolevast töömälust väheks jääda. Selle vältimiseks suu-navad mitmed operatsioonisüsteemid hetkel mittekasutatava töömälu osa kõva-kettale.

Selliselt ümber suunatud andmeid nimetatakse saalimisfailideks või saalimis-partitsiooniks (swap), seejuures võib mõistet „saalimisfail” seostada peamiseltMicrosoft Windowsi operatsioonisüsteemidega. Operatsioonisüsteem haldab saa-limisfaili iseseisvalt ja kohandab seda dünaamiliselt vastavalt sellele, kui palju mä-lumahtu on parasjagu tarvis. Kui protsessi käivitamine vajab rohkem mälumahtu,muutub saalimisfail suuremaks. Niipea kui mälunõudlus muutub väiksemaks, ntrakenduste sulgemise tõttu, väheneb ka saalimisfail. Kui saalimisfaili suurus onvarem kindlaks määratud, muutub töö Windowsiga kiiremaks, eriti siis, kui põhi-mälu on väike. Kui kasutaja logib end süsteemist välja või kui süsteem välja lüli-tatakse, ei kustu saalimisfailid automaatselt. Seega sisaldab saalimisfail osaliseltseda infot, mida kasutaja oma töötamise ajal kasutas. Siia hulka võivad kuuludaka tundlikud andmed, nt paroolid või krüptograafilised võtmed. Selliste andmetekaitse pole tagatud, sest neid saab nt kõvaketta eemaldamise ja teise arvutissepaigaldamisega lugeda, vältides seega kõiki juurdepääsupiiranguid.

Näide

• Mõned ettevõtte töötajad kurtsid, et nende arvuti väljalülitamine võtab vägakaua aega. Seega seadis vastutav administraator vastava DWORD-i väärtu-sele 0, mistõttu ei kustutata saalimisfaili klientsüsteemi väljalülitamisel enamautomaatselt. Varsti pärast seda, kui ühe töötaja sülearvuti oli töölähetuselkaotsi läinud, avalikustati ettevõtte siseinfo ühel võõral veebilehel. Seega onpõhjust arvata, et volitusteta isikul õnnestus kriitilise tähtsusega andmeidlugeda ja süsteem käivitada.

700 / 781

G 5.147 Volitamata lugemine või segamine virtualiseerimisvõrgus

Virtuaalse taristu käitamiseks on vajalik mitmekesine võrguühendus. Ühendusikasutatakse salvestusvõrgule juurdepääsuks. Lisaks vajatakse üksikute virtuali-seerimisserverite vahelisi ühendusi serveri ja virtuaalse IT-süsteemi juhtimiseksja kontrollimiseks. Kõrgkäideldavusfunktsioonide ehk nn Live Migration (vir-tuaalsete IT-süsteemide liigutamine virtualiseerimisserverite vahel töö käigus)jaoks vajatakse samuti võrguühendusi. Selliseid ühendusi nimetatakse edaspidivirtualiseerimisvõrguks.

• Konfidentsiaalsete andmete lugemine - Virtuaalse taristu raames saab ük-sikuid virtuaalseid IT-süsteeme virtualiseerimisserverite vahel näiteks koor-muse jaotamise, hooldamise või väljalangenud komponentide kompensee-rimise otstarbel liigutada (Live Migration). Seejuures kantakse protsessoriseisund, põhimälu ja virtuaalse IT-süsteemi konfiguratsiooniandmed teiseserverisse üle. Ülekandmine toimub nn virtualiseerimisvõrgu kaudu. Virtua-liseerimislahenduste tootjate kasutatavad ülekandeprotokollid ei näe sageliselle andmevoo jaoks ette krüpteerimismehhanisme. Seetõttu on võimalik,et virtualiseerimisvõrgule pääsevad ligi selleks volitamata isikud, kes saavadülekantavate külalissüsteemide konfidentsiaalset sisu nagu näiteks põhimä-lu lugeda. Näiteks saab põhimälus sisalduvaid muidu võrgus ainult krüp-teeritult ülekantavaid konfidentsiaalseid andmeid lugeda ja mõnikord isegimuuta. Kui virtualiseerimisserverid kasutavad keskset salvestusvõrku, keh-tivad need ohud ka ühendatud salvestusvõrkude puhul. (Vt ka G 5.7 Liinidepealtkuulamine , G 5.8 Liinide manipuleerimine ja G 5.129 Andmete ma-nipuleerimine salvestisüsteemi kaudu ).

• Virtuaalmasinate töö segamine - Manipuleeritav virtualiseerimisserver saabvirtualiseerimisvõrku seda rohkem segada, mida rohkem ründaja võrgusülekantavale infole juurde pääseb ning võrgupakette alla surub ja muudab.Näiteks võib juhtuda, et virtuaalse IT-süsteemi põhimälu sisu muudatusi vir-tualiseerimisserveri kaudu Live Migration ’i kaudu ülekandmisel ei kontrollita.Nii saab ründaja külalissüsteemi põhimälu sisu muuta. Kui kommunikatsioo-ni virtualiseerimisvõrgus segatakse, võivad migratsioonid töö käigus nurju-da. Nii võivad virtuaalses taristus tekkida ressursi kitsaskohad, kui sellisedmigratsioonid käivitati nende kitsaskohtade vältimiseks.

Näide:

• Keskmise suurusega ettevõte kasutab personali isikuandmete töötlemiseksandmebaasiserverit. Isikuandmete kaitseks kirjutatakse andmebaasi sisuserveri kõvaketastele ainult krüpteeritult. Kliendirakendus, millega persona-liosakonna kasutajad töötavad, suhtleb ka andmebaasiserveriga krüpteeri-tult. Andmebaasisüsteemis endas aga on andmed osaliselt töötlemise ajalpõhimälus krüpteerimata.See andmebaasisüsteem on asutuse virtualisee-rimisprojekti käigus virtualiseeritud. Nüüd soovib virtualiseerimisserveri ad-ministraator pääseda juurde personaliandmebaasi palgaandmetele, et pal-galäbirääkimistel oma väljavaateid parandada, kuna ta arvab, et saab kol-leegidega võrreldes liiga vähe palka. Tema on andmebaasisüsteemi üles

701 / 781

ehitanud ja teab seetõttu, kuidas see töötab, kuid tal puudub võimalus ser-veri funktsioonidele või andmebaasitarkvarale märkamatult juurde pääseda.Seetõttu paigaldab ta virtualiseerimisvõrku võrgukontrolli tööriista, millegasaab selle võrgu liiklust lugeda. Seejärel annab ta virtualiseerimisserverilekäsu andmebaasiserverit töö käigus (Live Migration) kahe serveri vahel lii-gutada. Ta loeb põhimälu võrgus ülekandmist ja salvestab selle. Pärast mitutsalvestatud migratsiooni suudab ta teha andmebaasiserveri põhimälu üles-märgitud sisust palgatabeli täieliku koopia. See rünnak personalihaldusand-mete konfidentsiaalsuse vastu jääb märkamata, kuna Live Migration toimubandmebaasisüsteemi ja kliendirakenduste jaoks täiesti läbipaistvalt.

702 / 781

G 5.148 Virtualiseerimisfunktsioonide kuritarvitamine

Enamik virtualiseerimistooteid sisaldavad tööriistu virtuaalmasinate või nende tea-tud seisundite külmutamiseks. Need funktsioonid põhinevad tavaliselt sellel, etvirtuaalse IT-süsteemi kõvakettahoidla kopeeritakse või töömälu ja protsessoriseisundid salvestatakse virtualiseerimisserveri massimällu. Igal virtualiseerimis-serveril on juurdepääs kõigile enda poolt hallatavate virtuaalmasinate salvestus-ressurssidele. Seetõttu tekib oht, et virtualiseerimisserverist pääsetakse sellisteleressurssidele andmete lubamatuks kopeerimiseks või muutmiseks ligi. Seetõttusaab ründaja teha virtuaalmasinast hõlpsasti koopia, et viia see ilma loata arvu-tuskeskusest välja ja panna käima näiteks oma virtualiseerimisserveril. Saadudkoopiat võib ta kasutada virtuaalmasina uurimiseks. Lisaks võib virtuaalmasinamuutmata kloon tuua arvutuskeskuses kaasa IP-aadresside või muude ressurssi-de konflikti, kui seda klooni enne käivitamist ei kohandata.

Mõnede virtualiseerimistoodete puhul saab virtuaalmasinast teha snapshot ’eka töö käigus. Sel juhul kirjutatakse protsessori seisund ja põhimälu sisu virtua-liseerimisserveri kõvakettale. Ühtlasi külmutatakse virtuaalmasina kõvakettakon-teiner ja muudatused kirjutatakse erinevusfaili. Neid andmeid saab teise virtuali-seerimisserveri abil virtuaalmasina aktiivse klooni loomiseks kopeerida. Ründa-ja saab virtuaalmasina protsessori seisundi ja põhimälu salvestatud sisu kasuta-da virtuaalmasina salvestusvaldkondade analüüsimiseks. Siit saab näiteks väljavõtta virtuaalmasina põhimälus krüpteerimata kujul olevad krüpteerimistööriistadevõtmed. Lisaks sellele saab virtuaalmasinad snapshot ’e kasutades tagasi vanas-se seisundisse lähtestada. Nii saab ära petta näiteks turvaaukude sulgemisekskasutusele võetud meetmeid. Virtuaalmasina snapshot ’ile lähtestamisega saabmaskeerida ka rünnakuid, mis muidu registreeritaks virtuaalmasina protokollifaili-des. Virtuaalmasinate seisundiga lähtestatakse ka nende protokollifail. Vanematesnapshot ’ide aktiveerimisega saab samuti taastada andmeid, mis peaksid jubakustutatud olema. Virtuaalse IT-süsteemi snapshot ’ile lähtestamisel on väideta-valt kustutatud andmed jälle olemas. Kui snapshot luuakse enne tööriista virtuaal-ses IT-süsteemis kasutamist, ei mõju ka faili sisu taastamise vältimiseks mõeldudmitmekordselt ülekirjutavad tööriistad. Kui virtuaalmasina jaoks on loodud snaps-hot , mõjutavad ülekirjutamised ainult pärast snapshot ’ide tegemist toimunudmuudatusi sisaldavat erinevuste faili. Snapshot ’i kustutamisel ja erinevuste failisolevate muudatuste kõvakettakonteinerile rakendamisel toimuvad näivalt mitme-kordsed ülekirjutused vaid üks kord.

Näide

• Alusuuringutega tegeleva ettevõtte arvutuskeskuses töödeldakse virtuaal-ses IT-süsteemis väga konfidentsiaalseid kõrgendatud kaitsevajadusegaandmeid. Seetõttu paigaldatakse virtuaalmasinasse kõvaketta krüpteeri-mise programm, mis nõuab käivitamiseks parooli. Parool on teada ainultvähestele eriti usaldusväärsetele töötajatele. Kõvaketta krüpteerimise prog-ramm töötab virtuaalmasina operatsioonisüsteemi jaoks läbipaistvalt. Seetähendab, et virtuaalmasina töö ajal ei tule parooli sisestada. Virtuaalmasinatöö ajal on andmed piiratud õiguste tõttu kaitstud. Peale selle suletakse ka-sutajakontod automaatselt, kui nende kaudu üritatakse korduvalt andmetelevolitamata juurde pääseda. Kõvaketta krüpteerimise programmi kasutami-ne kaitseb virtuaalmasina andmeid salvestusvõrgus. Arvutuskeskuse käita-ja lähtub sellest, et virtuaalmasina kõvakettakonteineri kopeerimine ei anna

703 / 781

ründajale kasutuskõlblikke andmeid. Peale selle usub ta, et piiratud juurde-pääs ja automaatne konto sulgemine tagab piisava turvalisuse taseme. Üksselle arvutuskeskuse töötaja on rahalistes raskustes. Arvutuskeskuse ope-raatori konkurent pakub talle juurdepääsu eest virtuaalmasinas töödelda-vatele andmetele suurt rahasummat. Töötaja teebki virtualiseerimisserverisvirtuaalmasinast töö käigus snapshot ’i, mis sisaldab IT-süsteemi töömälusisu ja protsessori seisundit. Ta kopeerib konfiguratsioonifaili, kõvakettakon-teineri, virtuaalmasina töömälu sisu ja keskprotsessori seisundi kaasaskan-tavale mäluseadmele ja viib selle arvutuskeskusest välja. Nüüd saab vir-tuaalmasina koopiat kasutada konkurendi virtualiseerimisserveril. Kuna vir-tualiseerimisserver taastab salvestatud andmete põhjal virtuaalmasina töö-keskkonna, ei küsi kõvaketta krüpteerimise programm parooli. Virtuaalmasi-na operatsioonisüsteem seda probleemi „ei märka“. Ründaja üritab kasuta-japaroole jõuga lahti muukida. Protsessi kiirendamiseks loob ta virtuaalma-sinast mitu koopiat. Kui üks konto valede katsete tõttu suletakse, lähtestabta virtuaalmasina ja jätkab muukimist.

704 / 781

G 5.149 Külalistööriistade kuritarvitamine virtuaalsetesIT-süsteemides

Paljude virtualiseerimistoodete puhul installeeritakse virtuaalsetesse IT-süsteemidesse nn külalistööriistu, millega saab ühelt poolt anda operatsioo-nisüsteemi käsutusse vajalikud virtuaalsete ja emuleeritud seadmete (näiteksvõrgukaardid, kõvakettad või graafikakaardid) draiverid, teiselt poolt aga installee-ritakse nende tööriistadega virtuaalses IT-süsteemis programme hüperviisorigavõi hosti operatsioonisüsteemiga suhtlemiseks, virtuaalse IT-süsteemi jõudlusesuurendamiseks ja uute virtuaalsete IT-süsteemide töölerakendamise lihtsus-tamiseks. Hüperviisor või hosti operatsioonisüsteem jälgib nii näiteks külalisekäideldavust ja jõudlust. Külalistööriistadele antakse sageli nende süsteemilä-hedase toimimise tõttu väga suured õigused. Tihti töötavad nad kontekstis jaseega virtuaalmasina operatsioonisüsteemi tuuma õigustega. Funktsioone naguvirtuaalse IT-süsteemi põhimälu või massimäluruumi ülebroneerimine koordi-neeritakse hüperviisori ja virtuaalse IT-süsteemi vahel külalisprogrammidega.Need funktsioonid annavad arvutuskeskuse virtualiseerimistehnoloogiale oluliselisaväärtuse.

Mõnede tarkvaraarendusele spetsialiseerunud virtualiseerimistoodete puhul onette nähtud võimalus keerukate teststsenaariumide ülesehitamiseks. Sageli reali-seerivad või toetavad seda ka külalistööriistad, millel on selleks liidesed skriptifai-lide virtuaalsesse IT-süsteemi ülekandmiseks. Neid skripte saab seejärel samutikülalistööriistade abil virtuaalses IT-süsteemis käivitada. Kasutada saab kõiki vir-tuaalses IT-süsteemis ettetulevaid skriptikeeli. Skripti saab käivitada süsteemi käi-vitades, kasutaja sisselogimisel või suvalisel muul ajal. Liidesed ei vaja tavaliseltkülalissüsteemide vahelist võrguühendust, vaid võetakse kasutusse hüperviisorivõi hosti operatsioonisüsteemi kaudu.

Ründaja saab neid skriptide jaoks ettenähtud liideseid kasutada mitme virtuaal-se IT-süsteemi kaudu soovimatu ja klassikaliste meetoditega kontrollimatu suht-luse loomiseks. Seejuures kannab ründaja andmed skriptfailide transpordiks liid-ese kaudu üle. Peale selle saab ründaja kirjeldatud tarkvaraarenduseks mõeldudvirtualiseerimistoodete puhul külalistööriistade abil oma skriptifaile ühest virtuaal-sest IT-süsteemist teise üle kanda. Neid saab külalisprogrammile antud õigustegakäitada. Külalisprogrammide ulatuslike õiguste tõttu on see eriti ohtlik, kuna niisaab rünnatavas külalissüsteemis teostada suvalisi toiminguid. Näiteks saab käi-vitada pahavaraprogramme, lisada kasutajaid, muuta rühmaliikmelisust või muutavirtuaalse IT-süsteemi operatsioonisüsteemi konfiguratsiooni.

Denial of Service ressursside ülebroneerimise tõttu - Mõned virtualiseerimistootedvõimaldavad üle broneerida erinevaid ressursse nagu kõvakettaruum või muutmä-lu. Näiteks kui kaks virtuaalset IT-süsteemi töömälu pärast konkureerivad, saabhosti operatsioonisüsteem või hüperviisor käskida külalisprogrammil reserveeri-da virtuaalses IT-süsteemis virtuaalset muutmälu. Virtuaalne IT-süsteem ei kasutaenam seda mälu füüsiliselt. Hüperviisor saab anda selle füüsilise mälu virtuaal-se muutmäluna teise virtuaalse IT-süsteemi käsutusse ja virtuaalne IT-süsteemomakorda saab külalisprogrammi kaudu taotleda ka põhimälu. Kui virtuaalne IT-süsteem on ründaja kontrolli all, saab ta pahavaraprogrammi abil taotleda nii paljupõhimälu, et seda jääb teiste virtuaalsete IT-süsteemide jaoks väheks. Seeläbimõjutatakse teiste virtuaalsete IT-süsteemide jõudlust kuni DoS-rünnakuni välja.Sama juhtub siis, kui väline ründaja mõjutab mõnda virtuaalse IT-süsteemi teenust

705 / 781

nii, et see võtab enda kasutusse väga palju mälu. Kõvakettaruumi ülebroneeri-mise funktsiooni kasutamisel tekib enamasti võimalus see ruum jälle vabastada,mis toimub kasutamata mäluruumi ühendamise ja vabana märgistamise teel. Kuiründaja käivitab virtuaalses IT-süsteemis sellise protsessi, koormatakse mälusüs-teemid kõvasti üle ja nii võib teistegi IT-süsteemide efektiivsus väheneda.

Näited

• Tarkvarafirma töötab erinevate klientide jaoks välja tarkvaraarendusülesan-deid, kasutades selleks spetsiaalselt nende jaoks välja töötatud virtualisee-rimiskeskkonda, kuna klient-server-rakenduste jaoks on vaja koostada ma-hukaid teststsenaariume. Nende stsenaariumide jaoks mõeldud testsüstee-mid antakse erinevate virtualiseerimisserverite ja klientide käsutusse mit-mete mallide abil, mida vajadusel kopeeritakse ja vastava teststsenaariumi-ga sobitatakse. Tellimuste vähesuse tõttu tuleb mõned arendajad vallanda-da. Üks vallandatu tahab kätte maksta ja töötab välja skripti, mis lähtestabvirtuaalse testsüsteemi algseisundisse niipea, kui mõni kasutaja teist kor-da virtuaalsüsteemi sisse logib. Seejuures tundub, nagu oleks lähtestamisepõhjustanud sisselogija, kuid tegelikult tuuakse see skript iga kord sisseteistkordsel käivitamisel testsüsteemi virtualiseerimistarkvara poolt. Lisakskandub skript iseseisvalt virtualiseerimisfunktsiooni kaudu igasse virtuaalta-ristus jooksvasse virtuaalsesse testsüsteemi. Tarkvarafirma vastutavad töö-tajad arvavad, et nende süsteemis on uss ja tellivad IT-firmalt võrguanalüüsiprobleemi põhjuse väljaselgitamiseks. IT-firma ei tuvasta aga võrgus mida-gi kahtlast. Puhtjuhuslikult avastab üks arendaja oma endise kolleegi poolttestkeskkonnale tehtud rünnaku. Veaotsing ja testrežiimi häired seovad mär-kimisväärseid personaliressursse ja tähtajad kipuvad venima, mistõttu jubaniigi majanduslikult nõrk firma kannatab lisakahju.

• Üks teenusepakkuja käitab mitme kliendi jaoks veebiserverifarmi. Riistvara-kulude kokkuhoidmiseks on veebiserver virtualiseeritud, kusjuures ta annabklientide virtuaalsüsteemide käsutusse kokkuvõttes palju rohkem põhimä-lu kui virtuaaltaristus tegelikult kasutusel on. Kuna klientide veebiserveridon tavaliselt ainult vähe koormatud, ei teki virtuaalsüsteemides märgata-vat jõudluse kõikumist. Ühe kliendi veebiserver satub Denial of Service -rünnaku alla, kusjuures see virtuaalne IT-süsteem vajab väga palju põhimä-lu. See mälu ei ole aga samas füüsilises virtualiseerimisserveris, kus töötabvirtuaalne veebiserver, kasutamiseks vaba, vaid on teiste virtuaalsete vee-biserverite käsutuses. Rünnatud süsteemi selle mälu käsutusse andmisekstuleb ta teistest virtuaalsetest IT-süsteemidest vabastada. Seega võtab vir-tualiseerimisserveri hüperviisor kõigilt teistelt oma kontrolli all olevatelt vir-tuaalsetelt veebiserveritelt ressurssi vähemaks, mille tagajärjel veebiserverireaktsiooniajad pikenevad tunduvalt. Kohati hakkab ühendus katkema, nii etka mitte otseselt DoS-rünnete sihtmärgiks olevad virtuaalsed veebiserveridei ole enam käideldavad.

706 / 781

G 5.150 Virtuaalsete IT-süsteemide hüperviisori kompromiteerimine

Hüperviisor on virtualiseerimisserveri keskne komponent, mis juhib kõiki sellelserveril töötavaid virtuaalmasinaid, andes nende käsutusse protsessori- japõhimäluressursse ning jagades saadaolevat arvutusaega virtuaalmasinatevahel. Peale selle haldab ta virtuaalsete IT-süsteemide juurdepääsu võrgule jamäluressurssidele. Edukas rünne nende komponentide vastu tähendab kontrollikadumist kõigi virtuaalsete IT-süsteemide üle, mis töötavad selle hüperviisorikontekstis. Rünne hüperviisorile võib toimuda põhijoontes näiteks järgnevalt:

• Integreeritud virtualiseerimistoega protsessorite puhul virtualiseerimisfunkt-sioone juhtivate protsessoriregistrite manipuleerimine. Selliste rünnete abilsaab näiteks kindlaks teha, kas virtuaalses keskkonnas on mõni ründaja.Mõningate virtualiseerimistoodete puhul on teatud protsessorikäskude abilvõimalik hüperviisor ise virtualiseerida ja selle tagajärjel pahavaraprogram-mi kontrolli alla viia. See on võimalik isegi virtuaalsest IT-süsteemist.

• Virtuaalsete IT-süsteemidele hüperviisori poolt kasutada antavate ressurs-side rakendamise vea ärakasutamine. See võib puudutada näiteks emulee-ritud võrgukaarte, massimäluseadmeid või graafikakaarte. Mõnede virtuali-seerimistoodete puhul emuleeritakse ka põhikomponente nagu protsessorja põhimälu. Seadmete emuleerimine on virtuaalsete IT-süsteemide puhulkasutusel hüperviisori või hosti operatsioonisüsteemi vastavate funktsiooni-de ärakasutamiseks.

• Hüperviisor võtab keskse komponendina üle rea virtuaalsüsteemi turvalisu-se suhtes olulisi funktsioone. Kui ründajal õnnestub hüperviisorit kahjustada,on vastava virtuaalse IT-süsteemi ja virtualiseerimisserveri töö suurel määralohustatud. Ründajad võivad üritada sel viisil virtuaalseid IT-süsteeme mani-puleerida või segada. Teatud tingimustel võib ka konfidentsiaalne info vo-litamata isikute kätte sattuda. Seetõttu võivad kasutatud hüperviisoritootenõrkused tuua infotöötluse jaoks kaasa märkimisväärseid ohte.

• Mõned virtualiseerimissüsteemid sisaldavad veel hüperviisori ja virtuaalseIT-süsteemi vahelise kommunikatsiooni funktsioone, mis realiseeruvad ta-valiselt virtuaalsesse IT-süsteemi paigaldatavate külalisprogrammide kaudu.Külalisprogrammide ja hüperviisori vahelise kommunikatsiooni võimalda-miseks on igal virtuaalsel IT-süsteemil külalisprogrammi jaoks mõeldud kom-munikatsioonikanal hüperviisorisse. Selleks on virtuaalsetes IT-süsteemidesnäiteks firma VMware toote baasil olemas spetsiaalne DMA-Kanal, mis avabsellise kanali teatud väärtustega protsessoriregistrite laadimise korral. Sedateed võivad peale külalisprogrammide kasutada ka pahavaraprogrammid.Kui see kommunikatsioonikanal satub ründaja käsutusse, avaneb tal võima-lus hüperviisori turvaaukude ja disaininõrkuste ärakasutamiseks ja hüper-viisori üle kontrolli saamiseks või hüperviisori kontekstis oma koodi teosta-miseks. Nii saab ründaja teised virtuaalsed IT-süsteemid oma kontrolli alla.Kuna hüperviisor kontrollib ja juhib kõiki virtuaalse IT-süsteemi funktsioone,saab tema kaudu virtuaalse IT-süsteemi protsessorifunktsioonide või põhi-mälu sisuga pahavara süsteemi sissetoomiseks otse manipuleerida. Seeei nõua tingimata hüperviisori kaudu rünnatud virtuaalsüsteemis turvaaugu

707 / 781

olemasolu.

Näide

• Arvutuskeskuse käitaja pakkuja käitab mitme omavahel konkureeriva klien-di IT-süsteeme. Et süsteemi käituskulusid klientide jaoks väiksemana hoi-da ja ikkagi konkurentsivõimelisena püsida, juurutab ta ettevõttes virtuaalla-henduse ja annab klientidele teada, et nende süsteemid hakkavad edaspiditööle virtuaalselt. Kuna arvutuskeskuse käitaja võrk on üles ehitatud nii, eterinevate klientide IT-süsteemide vahel ei saa võrgu kaudu suhtlust toimu-da, garanteerib käitaja ka kliendiandmete konfidentsiaalsuse. Selle kontrol-limiseks teostab ta regulaarselt auditeid ning pakub auditivõimalust klienti-delegi. Ühe kliendi andmebaasiadministraatoril on võimalus arvutuskesku-se käitaja poolt käitatavatesse IT-süsteemidesse interaktiivselt sisse logida.Tal on andmebaasisüsteemis administraatoriõigused. Lootuses saada infotoma tööandja konkurendi kohta käivitab ta pahavaraprogrammi, mis võimal-dab hüperviisori graafikakaardi emuleerimisvea tõttu käivitada hüperviisorikontekstis oma koodi, mis võimaldab tal kõik hüperviisori funktsioonid omakontrolli alla saada. Nii avaneb tal võimalus identifitseerida ühe teise ar-vutuskeskuse kliendi ja oma otsese konkurendi andmebaasisüsteem endaomana. Hüperviisori massimäluliidese kaudu õnnestub tal selle virtuaalma-sina andmebaasist andmeid lugeda ja sisu muuta. Seeläbi häiritakse oluli-selt konkurendi tööd ja administraatori firma saab konkurentsieelise.

708 / 781

G 5.151 DNS-i üleujutamine ja teenusetõkestamine

Teenuseid tõkestavate rünnete (DoS-rünnete) eesmärk on takistada volitatud ka-sutajatel nende IT-süsteemide kasutamist. Selleks koormatakse tahtlikult üle piira-tud ressursid, nt protsessori arvutusaeg, töömälu, kõvaketta ruum, võrgu ribalaius.DNS-serverile suunatud DoS-ründe korral saadetakse serverile nii palju päringuid,et sellega koormatakse üle kas DNS-serverini viiv võrguühendus või DNS-serverise. Vajaliku andmesidemahu saavutamiseks saadetakse päringud tavaliselt teelerobotvõrgust (botnet). Kuna selle ründevormi korral ujutatakse DNS-server pärin-gutega üle, tuntakse seda rünnet ka DNS-i üleujutamisena (DNS-Flooding). Selmoel ülekoormatud DNS-server ei ole enam võimeline vastama mitte ühelegi pä-ringule. Tavaliselt rünnatakse kõiki domeeni eest vastutavaid DNS-servereid, mis-tõttu ei ole selle domeeni nime enam võimalik teisendada.

Näide

• Kaks firmat on loonud sarnase toote ning on seetõttu omavahel tihedaskonkurentsis. Mõlemad firmad müüvad toodet enda veebipoes. Üks firmaon müüdava toote käivet arvesse võttes teisest kaugele maha jäänud. Ma-hajäämuse likvideerimiseks otsustab väiksema käibega firma konkurendiDNS-serveri suhtes toime panna DoS-ründe. Seeläbi ei saa ründe alla sat-tunud firma veebipoe domeeninime enam teisendada. Kaubast huvitatudklientidel ei õnnestu enam luua ühendust, sest DNS-serverid pole ülekoor-muse tõttu võimelised enam ühtegi päringut töötlema. Äritegevuse katkemi-ne ja maine kahjustumine tekitavad ohvrile suurt kahju.

709 / 781

G 5.152 DNS-i kaaperdamine

DNS-i kaaperdamine (DNS-Hijacking) on ründemeetod, mida kasutatakse Ad-vertisingu DNS-serveri ja Resolveri vahelise kommunikatsiooni juhtimiseks läbiründaja IT-süsteemi. Tegemist on Man-in-the-Middle-ründega. Kommunikatsioonei toimu kahe sidepartneri vahel otse, vaid see juhitakse läbi kolmanda osaleja.Ründajal on võimalik kommunikatsiooni pealt kuulata ja salvestada. Oluliseltsuurem oht peitub aga selles, et edukas ründaja saab mõlema kommunikatsioo-nipartneri andmesidet oma tahtmise järgi muuta. Ründaja saab seega:

• pakettidest loobuda,• pakette muuta ja edasi saata või• enda loodud vastusepakette saata.

Kui pärast edukat DNS-i kaaperdamise rünnet saadetakse kliendi IT-süsteemiResolverilt päring DNS-serverile – olenemata sellest, kas tegemist on Advertisin-gu või Resolvingu DNS-serveriga, võib ründaja nimede ja IP-aadresside seosta-tust oma soovide järgi muuta. DNS-i kaaperdamist saab kombineerida ka teiste,eriti nt Phishing-rünnetega. Phishing on tuletatud sõnadest parool (password) jaõngitsemine (fishing) ning kirjeldab rünnet, mille käigus saadakse kasutajatelt kät-te paroolid vms info (vt G 5.42 Inimestega manipuleerimine (Social Engineering)ja G 5.78 DNS-i võltsimine ), et seda kas edasi müüa või enda heaks ära kasuta-da.

Näide

• Firma peab veebipoodi ja klient soovib sealt midagi osta. Ründajal õn-nestub kogu firma ja kliendi DNS-andmeside suunata läbi enda süsteemi.Klient sisestab oma brauserisse veebipoe domeeninime. Tavaolukorras tei-sendatakse nimi taustprotsessina automaatselt sinna juurde kuuluvaks IP-aadressiks. Kuna aga ründaja on end vahele lülitanud, loobub ta nendeDNS-päringute täitmisest ja saadab vastuseks enda koostatud vastusepa-keti. Seejuures muudab ta IP-aadressi ja nime paigutust, nii et klienti ei suu-nata mitte firma veebipoodi, vaid ründaja omasse. Ründaja veebipood onfirma veebipoe võltsing, aga originaaliga väga sarnane, mistõttu ei märkaklient mitte ühtegi erinevust. Klient sisestab oma sisselogimisandmed ningpärast ostu oma krediitkaardinumbri, mille ta reedab seega ka ründajale.Ründaja saab nüüd neid andmeid kasutada kliendi arvelt ostude tegemiseksvõi need andmed maha müüa.

710 / 781

G 5.153 DNS-i ülevõimendamine

DNS-i ülevõimendamine (DNS-Amplification) on teenusetõkestamise rünne (DoS-rünne). DoS-ründe korral üritatakse ülekoormusega viia üks teenus või mitu tee-nust töövõimetusse olekusse. Erinevalt DNS-i üleujutamisest ( G 5.151 DNS-i üle-ujutamine ja teenusetõkestamine ) ei ole siin ründe sihtmärk mitte DNS-server,millele päringud saadetakse, vaid vastuste saaja. Selles ründes kasutatakse äraasjaolu, et teatud liiki päringud tekitavad suhteliselt suure hulga vastuseandmeid.Seejuures on võimalik saavutada enam kui 50-kordne võimendusfaktor. See tä-hendab, et vastus on bittides mõõdetuna päringust 50 korda suurem. Vastustesuure arvu ja andmemahu tõttu koormatakse võrgu ribalaiust ja arvutit isegi ülemaksimaalse jõudluspiiri. Ründe siht võib seega olla ükskõik milline IT-komponent.

Näide

• Firma (sihtmärk) kasutab tsentraalset turvalüüsi. Turvalüüs on sisevõrgu jainterneti ainuke ühenduspunkt. Ründaja kuritarvitab mõnede firmade DNS-servereid, et panna sihtmärgi turvalüüsi vastu toime DNS-i võimendav rün-ne. Suure hulga päringute pidevaks saatmiseks kasutab ründaja robotvõrku(botnet). Turvalüüsi IP-aadressi sisestamiseks saatja-aadressina kasutab taIP-aadressi võltsimist ( G 5.48 IP-aadressi võltsimine ). Seeläbi saadetaksekõik vastused sellele aadressile. Suure hulga andmete tõttu koormatakseturvalüüs üle ja rünnatav firma on internetist ära lõigatud. Üks kõrvalmõ-judest võib olla see, et üle koormatakse ka päringuid vastu võtvad DNS-serverid.

711 / 781

G 5.154 DNS-i info lekkimine

DNS-i põhifunktsioon on nimede ja IP-aadresside teisendamine. Nende nõuetetäitmiseks salvestavad DNS-serverid endasse muu hulgas kõigi arvutite javõrgukomponentide nimede ja IP-aadresside seosed. Osa sellest infost tulebavalikustada:

• DNS-server,• veebiserver,• meiliserver,• failiserver,• VPN-i ühenduspunktid.

Kui loetletud domeeniinfo poleks avalikult ligipääsetav, ei saaks domeeninime-de põhjal läbi interneti selle serveriga ühendust luua. Seevastu institutsioonisi-seste arvutite ja võrgukomponentide domeeniinfo ei tohiks üldjuhul olla avalik japeaks seega jääma institutsioonisiseseks teabeks. Kuna domeeniinfo kannab en-das enamasti infot näiteks IT-komponendi funktsiooni või asukoha kohta, räägitak-se sellise info avalikuks tulemisel DNS-i info lekkimisest. Info avalikuks tulek ei ku-juta iseenesest IT-kooslusele otsest kahju. Domeeni kohta teada saadud andmeidsaab aga kasutada IT-koosluse ründamise ettevalmistamiseks. Ründaja saab üle-vaate võrgust, turvalisuse jaoks olulistest komponentidest ja tasuvatest sihtmär-kidest. Mida rohkem infot saab ründaja sihtmärgi kohta koguda, seda suurem ontõenäosus, et ta leiab süsteemis mõne nõrga koha.

Info lekkeks on mitu võimalust:

• kui domeeniinfo nähtavust ei ole piiratud, on võimalik seaduspäraselt ligipääseda tervele domeeniinfole;

• kui tsooniedastused ( G 3.104 DNS-serveri väär konfiguratsioon ) on lubatudilma igasuguste piiranguteta, on võimalik kogu domeeniinfo teada saada ühepäringuga.

712 / 781

G 5.155 DNS-i dünaamiliste värskenduste ärakasutamine

Dünaamilisi värskendusi kasutatakse domeeni nimeruumi andmete automaatseksmuutmiseks, lisamiseks või kustutamiseks. Dünaamilised värskendused on oluli-sed eelkõige seoses DHCP-ga. Kui DHCP-server annab hostile IP-aadressi, tu-leb see info lisada ka domeeni nimeruumi. Tavaliselt toimub see dünaamilistevärskendustega. Dünaamilisi värskendusi on võimalik kuritarvitada. Domeeniin-fot muudetakse automaatselt, mistõttu sõltub turvalisus nendest arvutitest, misvõivad teostada dünaamilisi värskendusi, ja reeglitest, mis määravad kindlaks sel-le, mida tohib muuta. Kui süsteem aktsepteerib kõikide allikate dünaamilisi värs-kendusi, saab iga host domeeniinfot oma tahtmise järgi muuta. Ründaja saab selviisil manipuleerida kõiki DNS-i vajavaid teenuseid. Lisaks on tõenäoline, et rünnetkombineeritakse Phishing-ründe, pahavaraga nakatamise ja muuga.

Näide

• Ründaja on teada saanud, et teatud firma DNS-serverid aktsepteerivad dü-naamilisi värskendusi ilma igasuguste tingimusteta. Ründaja kasutab sedaära ja manipuleerib domeeniinfot nii, et kogu firma meililiiklus juhitakse läbitema enda meiliserveri. Sellega saab ründaja enda käsutusse olulise in-fo, mille ta müüb rünnatud firma konkurentidele. Lisaks manipuleerib ta do-meeniinfot nii, et kõik ühendused, mis luuakse firma intraneti ja veebiser-veriga, juhitakse ründaja veebiserverisse. Seal üritatakse arvuteid nakatadapahavaraga ja lisada need ründaja robotvõrku. Seejärel suunatakse pärin-gud edasi soovitud intraneti- või veebiserverile, et ise märkamatuks jääda.Seega kompromiteeriti ründega mitte ainult firmasiseseid arvuteid, vaid kaarvuteid, mis soovisid väljastpoolt veebiserverile ligi pääseda.

713 / 781

G 5.156 Robotvõrgud

Bot ’i näol on tegemist programmiga, mille ründaja installib ohvri arvutisse ilmatema teadmata (nt viirustega), ning see võimaldab ründajal kaugpöördusega käi-vitada erinevaid funktsioone. Olukorras, kus mitu bot ’i liidetakse kokku, tekib bot-võrk ehk robotvõrk. Robotvõrke kasutatakse mitmesugusteks illegaalseteks te-gevusteks. Kasutusvaldkonnad on näiteks rohke rämpsposti või pahatahtlike ma-nuste ja linkidega meilide saatmine (nt andmepetturluse ründed), klahvivajutustesalvestamine (keylogging) ja sellega seonduv isiklike kasutajaandmete, nt parooli-de ja PIN-koodide vargus või konfidentsiaalse äriinfo luuramine (tööstusspionaaž).Lisaks on võimalik bot ’idega nakatatud arvuteid ära kasutada illegaalse tarkvarahoiustamiseks ning file-sharing -funktsioonidega isegi tarkvara levitamiseks. Võrk-ude ja teenuste puhul tuleb väga tõsiselt suhtuda DDoS-rünnetesse (DistributedDenial of Service). DDoS-rünnete motiivid võivad olla küll ka poliitilised ja ideoloo-gilised, kuid enamasti on ajendiks siiski raha.

Robotvõrgu lihtsustatud ülesehitus on järgmine:

1. Bot-Master (nimetatakse ka Bot Herderiks) töötab välja klientsüsteemi (Bot-Client). PC-de turvaauke ära kasutades nakatab ründaja läbi interneti mõnelõppkasutaja arvuti.

2. Bot-Client loob ühenduse Command and Control Serveriga (C&C Server).3. Bot-Master värskendab Bot-Clienti süsteemi ründeandmeid ja instruktsioo-

ne.4. Bot skaneerib mõnd suvalist IP-aadressi valdkonda, et tuvastada turvaauke

ja nakatada teisi arvuteid.5. Nakatunud arvutid ühinevad omavahel Command and Control Serveriks ja

hakkavad vastu võtma käske.

Nakatamise ja leviku mehhanismVarem nakatati arvuteid bot ’idega nõnda, et püüti ära kasutada süsteemitee-

nuste ja rakenduste teadaolevaid turvaauke. Näiteks sisaldasid ussviirused SD-Bot ja Agobot rutiinseid skaneerimisfunktsioone, mis pidid üles leidma kaitsetasüsteemi turvaaugud. SDBot kasutab levimiseks muu hulgas järgmisi turvaauke:NetBIOS (port 139), NTPass (port 445), DCOM (pordid 135 ja 1025) ja Web-Dav (port 80). Agobotil on vallutusraamistik (exploit-framework ), mis kasutab ärakaugteenuste (nt 135 ja 445) turvaauke. Lisaks otsib Agobot ka tagauksi, midajätab endast maha mõni muu pahavara, nt Bagle pordil 2745. Ründajate vaate-vinklist on üks efektiivsemaid ründemeetodeid ka inimestega manipuleerimine.Eesmärk on saavutada olukord, kus kasutaja teeb midagi spontaanselt ja läbi-mõtlematult, nt klõpsab meiliga või sõnumiside aknas saadetud manipuleeritudlingil või avab meiliga kaasa tulnud manuse. Palju pahavara levitatakse ka file-sharing -funktsioonidega (Peer-to-Peer-võrkudes). Viimasel ajal on ka aina enamtäheldatud, et pahavara levitamiseks kasutatakse muu hulgas ära suure külas-tatavusega legaalseid veebilehti. Selleks juurutatakse veebilehele mõni skripti-kood, mis installib pahavara automaatselt kasutaja arvutisse (Drive-by-Downloadvõi Drive-by-Infection). Robotvõrkude käsitlemisel on oluline vaadelda ka nende

714 / 781

kommunikatsiooni- ja juhtimisstruktuuri. Enamasti kasutatakse juhtimiseks üht võimitut Command and Control Serverit. Tsentraliseeritud juhtimisega robotvõrke onkergem arendada ja hallata. Siiski tekitab juba väheste Command and ControlServerite tõkestamine olukorra, kus robotvõrku pole enam võimalik edasi kasuta-da. Robotvõrkude kaitseks, et vältida nende avastamist ja desaktiveerimist, kasu-tavad ründajad aina sagedamini teisi kommunikatsioonimudeleid, nt Peer-to-Peer-protokolle (nende mittetsentraalse arhitektuuri tõttu) ja HTTP-d, ning varjamisteh-nikaid, nt tihendamist, krüpteerimist ja Fast-Fluxingut.

Näited

• Robotvõrk Zeus koosnes enam kui 100 000 nakatatud arvutist, mis asusidpeamiselt Hispaanias ja Poolas, ning selle loomiseks kasutati robotvõrku-de soodsat arendustarkvara Zeus. Robotvõrk Zeus kogus eelkõige selliseidfinantsandmeid nagu konto- ja krediitkaardiandmed ning teisi konfidentsiaal-seid andmeid. Võrku kontrolliti tsentraalselt ühest serverist. Sellest serveristsaadeti 2009. aasta aprillis välja käsk „Kill Operating System”, mille tagajär-jel kustutasid kõik robotvõrku liidetud arvutid Windowsi registrifailist olulisisissekandeid ja kirjutasid Windowsi virtuaalmälu üle nullidega. Nende toi-mingute tagajärjel ei olnud operatsioonisüsteemi enam võimalik käivitada,mistõttu tuli operatsioonisüsteem arvutitele uuesti installida.

• Torpig on Trooja hobune, mis vallutab Windowsi operatsioonisüsteeme jaliidab nakatatud arvutid kokku robotvõrguks. 2006. aastal levitati Torpigi täit-misfailina meili teel, praegu levitatakse seda ka veebilehtedel oleva skripti-koodina. Nakatunud arvutid genereerisid juhuelementide ja Twitteri postitus-test kogutud otsingutulemuste baasil uusi domeeninimesid, kust nad hiljemendile kahjulikke koode ja värskendusi juurde laadisid. Robotvõrgu ülesanneoli nuhkida pangakontode, krediitkaartide ja FTP-kontode andmeid. Kogu-tud info saadeti edasi tsentraalsesse serverisse. 2009. aasta algul õnnestusteadlastel end robotvõrku umbes kümneks päevaks lülitada ja seda uurida.Väidetavalt suutis Torpig välja nuhkida enam kui 300 000 konto andmed,sealhulgas erinevate finantsasutuste pangakontode ja krediitkaartide and-med.

715 / 781

G 5.157 Andmepetturlus ja Pharming

Andmepetturlus (Phishing) - phishing on ingliskeelsetest sõnadest password (pa-rool) ja fishing (kalapüük) tuletatud termin, millega kirjeldatakse ründeid, kus kasu-tajatelt püütakse sihipäraselt välja meelitada nende paroole, krediitkaardiandmeidvõi muid salajasi andmeid. Selleks kasutatakse sageli inimestega manipuleerimist(social engineering) ning vahel ka identiteedi vargust. Näiteks võivad ründajad ka-sutajatele saata väga peenelt viimistletud meile. Kui ohver usub, et meili saatja ontalle tuttav isik, keda ta peab usaldusväärseks, ei kahtle ta enamasti ka saabu-nud meili turvalisuses ning teeb seda, mida talt palutakse, nt klõpsab meilis olevallingil või avab meilile kaasa pandud manuse. Andmepetturlusega seotud rünne-te erivorm on eriotstarbeline pahavara, mis saadetakse kas otse kasutajatele võiistutatakse mõnd keerulisemat teed pidi ohvri arvutisse.

Pharming - pharmingu puhul manipuleeritakse interneti domeeninimede nime-teisendust eesmärgiga suunata klient-pöördused ümber mõnda võltsitud serveris-se. Ründaja võib sellega saavutada näiteks selle, et ohvri veebilehitsejas kuvatak-se soovitud ja õige veebilehe asemel mõni võltsitud veebileht. Pharming kasvasvälja Phishing-tüüpi rünnetest. Termin pharming on saadud sõnadest phishing jafarming (farmipidamine).

Nimeteisenduse manipuleerimiseks on ründajatel võimalik kasutada mitmeid,näiteks alltoodud tehnilisi võimalusi:

• Ründaja võib võltsida DNS-serveritel olevaid DNS-andmeid näiteks sellega,et kasutab ära turvaauke või konfiguratsioonivigu.

• Ründajad võivad valed DNS-andmed sisestada DNS-i vahemällu (DNS-i va-hemälu mürgitamine).

• Pahavara kasutades saab muuta klientsüsteemi hosts -faili.• Ründajad võivad muuta marsruuterite konfiguratsiooni, nt kui seadmetes ka-

sutatakse nõrku paroole.

Pharminguga võib ründaja siduda internetipanga serveri arvutinime mõnevale serveri IP-aadressiga, mille tagajärjel juhitakse kasutajate päringud valeleaadressile. Sageli on selliste rünnete jaoks loodud veebilehed originaalidegaäravahetamiseni sarnased, mistõttu ei oska kasutajad neid kahtlustada.

Näide

• Paljud internetipanga kasutajad said meili, mille saatjaks oli pealtnäha nen-de panga teenindusosakond. Meiliga informeeriti kasutajaid sellest, et kodu-lehel tehtavate tehniliste muudatuste tõttu palutakse neil külastada järgne-vat lehekülge, seal oma tavapäraste pangaparoolidega sisse logida ja uuedteenused TAN-iga (transaktsiooninumber) tööle lülitada. Veebileht nägi küllautentne välja, kuid mainitud pangaga polnud sellel mitte vähimatki pist-mist, sest selle koostas ja riputas internetti hoopis ründaja. Veebilehe ainuseesmärk oli varastada võõraste kontode pääsuandmeid. Sarnaseid ründeidpandi toime ka rohkearvuliste kasutajatega e-kaubandusettevõtete ja oksjo-niportaalide vastu.

716 / 781

G 5.158 Sotsiaalvõrgustike väärkasutus

Sotsiaalvõrgustikud on väga edukad suhtluskeskkonnad, mis koondavad ainaenam kasutajaid. Sotsiaalvõrgustikud pakuvad küll erinevaid eeliseid, kuid nendekasutamisega on seotud ka erinevad turvariskid, mida kasutajad peaksid alatimeeles pidama:

• Sotsiaalvõrgustikes või virtuaalmaailmas kasutatavad identiteedid (nt kasu-taja kirjeldus, tuntud ka kui avatar) on harilikult otseselt seotud kellegi reaal-se identiteediga. Virtuaalset identiteeti võidakse aga selle omaniku teadma-ta ära kasutada mõnel vääral otstarbel, nt selleks, et varjata oma tegevustkellegi võõra nimega.

• Selleks, et sotsiaalvõrgustikes osaleda ja neid kasutada, avaldavad kasuta-jad enda kohta suurel hulgal infot. Olenevalt sotsiaalvõrgustiku liigist aval-datakse kasutaja nimi ja foto, üks või mitu meiliaadressi, elukoht, tööandja,isiklik ja tööinfo. Kuna sellele infole pääseb ligi suur hulk kasutajagruppe, eisaa kasutaja ise selle info edasist levimist enam kontrollida.

• Kasutajate kohta kogutud infot saab kasutada lähtematerjalina inimestegamanipuleerimise rünneteks. Selliste rünnetega kogutakse kokku võimalikultpalju taustinfot, et võita ohvri usaldus ja veenda teda midagi tegema, nt ava-ma mõnd faili.

• Sotsiaalvõrgustike kaudu võib avalikuks tulla konfidentsiaalne info, sest võr-gustike algne idee, milleks on tihedate ja usalduslike suhete loomine kasu-tajate vahel, ei pruugi alati vastata tegelikkusele.

• Sotsiaalvõrgustikest kättesaadavat infot on võimalik kasutada parooliand-mete äraarvamiseks. Sageli sisestatakse sotsiaalvõrgustikus juba kasutaja-konto loomisel oma sünniandmed, andmed lõpetatud koolide, ülikoolide jmskohta eesmärgiga leida võimalikult palju uusi ja huvitavaid kontakte. Paljudeinternetiteenuste pakkujate puhul on aga vahepeal juba tavaks saanud kasee, et paroolide väljastamisel küsitakse otse isiklikku infot, mida kuvataksesiis, kui kasutaja peaks oma parooli ära unustama. Nii näiteks piisab telefo-nipanganduses autentimiseks lihtsalt sellest, kui teada kasutaja korrektsetsünnikuupäeva, mida saab sotsiaalvõrgustikest kergesti leida.

Näide

• „ Kuri kaksik”: ründe toimepanija (data-phisher) kasutas sotsiaalvõrgustik-ku andmete kogumiseks nõnda, et lõi endale ühe prominentse isiku võltsi-tud kasutajakonto. Kuna prominentse isiku kohta oli piisavalt saada avalikkefotosid ning veebileht koostati väga kiiresti ja oskuslikult, ei osanud paljudkasutajad selle kasutajakonto identiteedis kahelda ega selle taga võltsin-gut kahtlustada. Ründaja seadis profiililehele üles lingi, mis pidi avama ühevideo. Tegelikult viis see link külastaja hoopis ühele välisel veebiserveril asu-vale võltsitud sisselogimisleheküljele. Ohvritelt välja petetud sisselogimisin-fo salvestas ründaja nn dropzone ’i. Juhtumid, kus sotsiaalvõrgustike kasu-tajatelt petetakse välja nende pääsuandmed, ei tähenda üldjuhul seda, etohvrile langeb viivitamatult osaks rahaline kahju. Kui välja petetud andmed

717 / 781

satuvad aga valedesse kätesse, võib juhtuda, et ründaja (phisher) manipu-latsiooni osaliseks langenud online -profiil hakkab kahjustama ohvri mainet.Kirjeldatud näites kasutas ründaja oma eesmärkide saavutamiseks veebi-rakenduse turvaauku. Sellist tüüpi andmepetturlusega võib kokku puutudaükskõik millises online -kasutajakeskkonnas, kus puudub kasutaja identi-teedi kontroll. Kasutajaprofiili manipuleerimisest suurema kahju võib aga te-kitada olukord, kus võrgustiku kaudu saadetakse sõnumeid, mis suunavadkasutajaid pahavaraga nakatatud veebilehtedele. Kuna kasutajad usaldavadüksteist, võivad sellised ründed osutuda vägagi edukaks. Samamoodi nagutuleb ettevaatlikult suhtuda meilidesse, et vältida andmepetturluse ründeid,peab ka sotsiaalvõrgustike kaudu levitatavaid linke käsitlema terve mõistu-sega.

718 / 781

G 5.159 Liikumisprofiilide koostamine Bluetooth’iga

Sisselülitatud Bluetooth-liidestega seadmete asukohta on võimalik tuvastada. Sel-leks läheb reeglina tarvis mitut Bluetooth-vastuvõtjat, mille leviulatust on ideaalju-hul kas täiendavate antennide või võimendajatega laiendatud. Laborikatsetusteson jõutud juba kahekilomeetrise leviraadiuseni, mille puhul õnnestus Bluetooth-seadmete asukohti veel tuvastada. Sõltuvalt ründaja varustusest ei ole üldse va-het, kas Bluetooth-seadme konfiguratsioonis on seade määratud nähtavaks võinähtamatuks. Selliste ründemeetoditega, mis salvestavad Bluetooth-seadme asu-kohti pikema aja vältel, on põhimõtteliselt võimalik koostada isikute liikumisprofiile,kuna Bluetooth Device ID on alati seotud ühe kindla seadmega ning seetõttu ena-masti ka ühe kindla isikuga.

719 / 781

G 5.160 Bluetooth’i profiilide väärkasutus

Bluetooth võimaldab kasutada erinevaid standardseid profiile, millega saab sõ-numeid saata, vahetada andmeid ning teha konfigureerimistöid. Samu profiileon võimalik sõltuvalt olukorrast ära kasutada juurdepääsu loomiseks Bluetooth-lõppseadmetele, eesmärgiga nendega manipuleerida, pealt kuulata või neist and-meid varastada. Järgnevalt kirjeldatakse mõningaid ohtusid, mis on seotud vasta-vate profiilide väärkasutusega.

Ühenduse loomiseks ükskõik millise Bluetooth-seadmega on reeglina tar-vis kahe seadme vahel läbi viia paaristamine (pairing). Paaristamisfunktsiooniüheks osaks on alati autentimine. Sellele vaatamata näeb Bluetooth’i spetsifi-katsioon ette, et juurdepääs SDP-le (Service Discovery Protocol) on võimalikka juba enne paaristamisfunktsiooni ja vastavat autentimist. Selle protokolligalepivad Bluetooth-lõppseadmed omavahel kokku saadaolevate profiilide kasuta-mise. Varasemast on teada Bluetoothi rakendusi, mille jaoks olid ette nähtudprofiilid, mida SDP ei kuvanud. Tootjad olid ilmselgelt loonud nn tagaukse. Sel-lise turvaaugu tõttu oli varem muuhulgas võimalik ära kasutada profiile nõnda, etBluetooth-lõppseadmete vaheline andmevahetus võis aset leida ka ilma paarista-misfunktsioonita, st ilma eelneva autentimiseta.

• On teada juhtum seoses profiilitüübiga OBEX Push Profile, mis on algselt et-te nähtud tavaliseks andmevahetuseks, kuid ründajal õnnestus sellega väljanuhkida kalendrite ja telefoniraamatute sissekandeid. Juhtudel, kus lõpp-seade toetab ka OBEXi baasil töötava FTP-serveri kasutamist, saab ründajalõppseadme suhtes lisaks ka veel kirjutusõigusega juurdepääsu.

• Puuduva autentimise tõttu on võimalik ära kasutada ka HID profiili, mis onalgselt ette nähtud sisestamisseadmete nagu hiirte ja klaviatuuride jaoks.Kui ka siin ei toimu autentimist ning kui paaristamine, nt arvuti ja klaviatuurivahel, on juba edukalt tööle rakendatud, saab olemasolevaid andmeid ärakasutada täiendava andmesisestusseadme simuleerimiseks ning jälgida ntmõne Keylogger -tüüpi tarkvaraga klaviatuuriga tehtavaid klahvivajutusi.

• Problemaatiliseks võib kujuneda SIM Access Profile profiilitüübi väärkasu-tus. Selle profiiliga on võimalik otse Bluetooth’i vahendusel saavutada juur-depääs mobiiltelefonide SIM-kaartidele. Vastavaid profiile kasutatakse ntstandardvarustusena paigaldatud autotelefonides, mis peavad Bluetooth’ivahendusel looma kontakti mõne teise telefoniga. Selline otsene juurde-pääs SIM-kaardile võimaldab manipuleerida mobiililevi sideühendusi, ilmaet kasutaja seda üldse märkaks. SIM Access profiiliga saab nt ära kasu-tada paljudesse SIM-kaartidesse paigaldatud utiliitide komplekti SIM App-lication Toolkit, et saata SMSiga seadmest välja mobiilside krüpteerimisekskasutatud seansivõti. Seansivõtme abil on võimalik salvestatud andmesidemobiiltelefoni raadiolevi liidesega dekrüpteerida ning seeläbi avalikuks muu-ta. Niimoodi tekivad kahe tehnoloogia koosmõjul, st Bluetooth’i ja mobiilsidekoostöös uued ründevõimalused, mis mõlemat tehnoloogiat eraldi vaadel-des ei toimiks.

720 / 781

G 5.161 Võltsitud vastused XDMCP-levisaatele terminaliserveritel

Tihtipeale Unixi süsteemide all kohatav X-Window-süsteem on rakendus, milleabil kuvatakse ekraanile aknaid ja loetakse sisse klaviatuuri- ja ekraanisisestusi.Alles koos graafilise kasutajaliidesega nagu KDE (K Desktop Environment) võiGnome on kasutajatel võimalik ilma käskude käsureale sisestamiseta intuitiivseltkasutada Unixi süsteemi . X Windowsi süsteem koosneb ühest X-serveristja ühest X-kliendist. X-server saab signaali sisestusseadmetest nagu hiir jaklaviatuur ja edastab selle informatsiooni väljundseadmetele nagu kuvar. X-klienton tegelik rakendus, mis töötleb X-serveri sisendit ja väljundit ning edastab sellesiis vastavale rakendusele. X-klient suhtleb X-serveriga, töötleb signaale ja täidabsel viisil käsklused. X-klient ja X-server võivad paikneda ühel IT-süsteemil ningmõlemad komponendid saavad omavahel suhelda ka võrguühenduse kaudu. Sel-leks installeeritakse X-server töökohaarvutile, millega on ühendatud kõik sisend-ja väljundseadmed, ning X-klient installeeritakse kesksele terminaliserverile.IT-süsteemi, kuhu ei ole peale X-serveri installeeritud X-klienti ega teisi rakendusi,nimetatakse X-terminaliks.

X Display Manager

Kasutaja autentimiseks võib kasutada XDM-i ( X Display Manager ), mis on sar-naselt X-kliendile installeeritud terminaliserverile. XDM sisaldab mõningaid graa-filisi sisselogimisaknaid, mille kaudu on reeglina võimalik sisestada kasutajanimija parool. Et ennast X-kliendi suhtes autentida, loob X-terminal võrgu kaudu and-meühenduse XDM-iga.

X Display Manager Control Protocol (XDMCP)X-terminal ja XDM suhtlevad omavahel reeglina XDMCP kaudu ( (X Display

Manager Control Protocol ). Ühenduse loomiseks peavad X-terminalid teadma,millise hostinime või IP-aadressi alt XDM kätte saada. Selleks võib kasutadajärgnevaid režiime:

• Direct - Direct režiimis antakse X-terminalile tema konfiguratsioonis XDM-ihostinimi või IP-aadress juba ette. Pärast terminali starti või terminali emu-leerimist ühendab klient ennast XDM-iga ja kuvab sisselogimisakna.

• Indirect - Indirect režiimi kasutamisel luuakse samuti ühendus spetsiaalsehostiga. Esimeses sammus loob see loendi võimalike XDM-idega, millestkasutaja saab menüü, nn Chooser’ i kaudu valiku teha.

• Broadcast - Terminaliserver saadab võrgule levisaate (Broadcast), misjä-rel vastavalt konfigureeritud XDM-id oma valmidust signaliseerivad. Seejärelühendab terminal ennast esimesena vastanud hostiga või pakub kasutajaleChooser’ i kaudu serverite valiku.

Broadcast režiimi kaudu saavad kasutajad ennast ühendada erinevate XDM-

721 / 781

idega, ilma, et nad peaksid olema X-terminali sisse kantud. Kui uusi XDM-e tulebjuurde või vanu eemaldatakse, ei tule vastupidiselt Direct režiimile X-terminale üm-ber konfigureerida. Kui kasutatakse mitut Chooser’ it või muutub XDM-i või Choo-ser’ i IP-aadress, ei pea Broadcast režiimis X-terminali konfiguratsiooni muutma.Leviedastuse (Broadcast) kasutamisel võivad ründajad installeerida oma XDM-i,mis siis X-terminali päringutele vastab. Kui kasutaja sisestab XDM-i sisselogimis-aknas oma kasutajatunnuse ja parooli, pääseb ründaja sellele informatsioonile ligija saab seda kasutada hilisematel rünnakutel. Sõltuvalt ründaja teadmistest, saabta kasutaja kasutusse anda terminaliserveri keskkonna, mis nagu XDM-gi on te-ma kontrolli all. Kui kasutaja ei märka, et ta kasutab ründaja terminaliserverit ningkasutab seansisiseselt programme, ressursse ja tagaprogramme (back end), võibründaja kätte sattuda veelgi rohkem tundlikku informatsiooni.

722 / 781

G 5.162 X-Windowsi seansside ümberjuhtimine

X-Windowsi süsteemis X-serveri lahutamisel X-kliendist on võimalik neid kom-ponente käitada erinevatel IT-süsteemidel. Nii on võimalik rakendusi ja graafilisikasutajaliideseid teostada ja näidata erinevatel IT-süsteemidel. Terminaliserverid,millel rakendusi teostatakse, on ühenduses X-terminaliga, millega on ühendatudsisend- ja väljundseadmed. Ekraani sisu genereeritakse terminaliserveris, agaväljund juhitakse ümber X-terminali. Tavaliselt ei saa X-terminalile ümber juhtidamitte ainult üksikuid instantse, rakendusi või kasutajaliideseid, vaid ka mituinstantsi. Kasutaja võib terminaliserveril avada näiteks mitu erinevat graafilistkasutajaliidest, mille vahel ta siis vahetada saab.

• Ühele X-terminalile ei saa ümber juhtida mitte ainult ühe terminaliserveri eri-nevaid instantse, vaid ühe terminaliserveril paikneva instantsi saab ümberjuhtida erinevatele X-terminalidele. Kui ründajal õnnestub saavutada olu-kord, kus kuvari väljundit ei edastata mitte ainult kasutaja X-terminalile, vaidka tema omale, on tal võimalik kasutaja sisendeid ja väljundeid pealt kuula-ta.

• Lisaks saab ta ründaja poolt kontrollitud terminaliserveri graafilise kasuta-jaliidese või rakendused ümber juhtida kasutaja X-terminalile. Kui ründajalõnnestub töökeskkonda võltsida, nii et kasutaja seda ei märka, võib ta rün-dajale edastada ülimalt tundliku informatsiooni. Üks sellekohane näide onparooli sisestamine, mida ekraanil ei kuvata, aga mida ründaja saab ikkagilugeda.

• Võimalikud on ka ülaltoodud rünnakute kombinatsioonid.

Näide

• „xnest“ on paljude süsteemide osa, millele X Windowsit installeeritakse. Seerakendus lubab ühe terminaliseanssi raames käivitada veel ühe või mituseanssi ja neid mis tahes suurusega ekraanil kuvada. Seda võib kasutadauute konfiguratsioonide testimiseks või süsteemi kaughalduseks. Ründajalõnnestus see tarkvara kliendil käivitada, näiteks seetõttu, et kasutaja ei logi-nud ennast töökohalt lahkudes välja või turvaaugu tõttu X-server-teenuseteostuses. Maksimaalse ekraaniresolutsiooniga käivitatava xnest siseseltkäivitab ründaja terminali tavapärase sisselogimisdialoogi ning juhib sellevõrgu kaudu teisele arvutile ja saab seeläbi ligipääsu kasutaja autentimisin-formatsioonile.

723 / 781

G 5.163 Exchange’i süsteemide vastu suunatud ründed

Microsoft Exchange Serveri andmebaasidesse salvestatud andmeid saab kasuta-da ka kaasaskantavate seadmetega internetis. Exchange’i serveri lokaalsete post-kastide sisu asub tavaliselt käitaja organisatsioonisiseses kohtvõrgus ning sedatuleb kaitsta asjakohaste turbemeetmetega, et ründajad ei saaks juurde pääse-da Microsoft Exchange Serverile ega sisevõrku tungida. Järgnevalt on ära toodudmõned probleemid ja võimalikud turvaaugud, millega tuleb arvestada eriti nendeljuhtudel, kus Microsoft Exchange’i süsteemiga võetakse ühendust interneti kauduväljastpoolt organisatsiooni turvatud võrku.

• Microsoft Exchange’i sideprotokollist Remote Procedure Call (RPC) onavastatud mitmeid turvaauke. Seetõttu tuleb ka optimeeritud konfiguratsioo-ni puhul arvestada võimalike jääkohtudega.

• Microsoft Exchange’i süsteem on väga kompleksse ülesehitusega. Exchan-ge’i serverite ja Outlooki klientide kombinatsioon suurendab seda kompleks-sust veelgi. Kuna seadistamine, muuhulgas ka turbeseadistuste tegemine,on kõike muud kui lihtne tegevus, võivad tekkida vead ja nendest omakordaturvaaugud.

• Kuna Microsoft Exchange’i süsteemil on palju funktsioone ja seda on võima-lik ühendada taustsüsteemidega, nt uudisrühmade süsteemide, sisuhaldus-süsteemide ja ettevõtte ressursiplaneerimise süsteemidega, võivad turvaau-gud kanduda üle ka taustsüsteemidesse. Ülekandumiseks piisab ainuüksisellest, kui ründaja suudab ära kasutada kas või üheainsa funktsioonipaketiüht turvaauku.

Näited

• Outlook Web Accessi puhul saab ründaja võrgu kaudu toime panna Denial-of-Service-ründe, saates serverile muudetud URL-i. Puhvri ületäitumise tõt-tu seiskub asjaomaste komponentide töö.

• SMTP käsu manipuleerimisega võib ründaja väga tugevalt häirida Exchan-ge’i serveri tööd. Ründaja saab SMTP-s manipuleeritud käsuga esile kutsu-da Exchange’i serveri seiskumise või käivitada lisakoodi.

724 / 781

G 5.164 Programmeerimisliideste väärkasutus Outlookis

Paljud tarkvaratootjad lisavad koostalitlusvõime suurendamiseks enda tarkvara-tööriistadesse ja rakendustesse programmeerimisliidesed, nt Application Prog-ramming Interface (API). Need liidesed võimaldavad kasutada ka teistes prog-rammides töötavaid funktsioone ja suurendavad sellega rakenduse funktsiooniva-likut. Programmeerimisliidesed pakuvad küll kasulikke funktsioone, kuid neid või-dakse kasutada ka pahavara arendamiseks ning pahavara kahjuliku mõju aktivee-rimiseks API-de kaudu. Microsoft Outlooki jaoks on olemas programmeerimisliide-sed, millega kasutajad saavad endale kirjutada isiklikke rakendusi või funktsiooni-laiendusi (makrosid), mis suudavad klientsüsteemis teateid, kalendrimärkmeid jatööülesandeid nii saata kui ka vastu võtta. Seeläbi saab Microsoft Outlooki kuri-tarvitada pahavara levitamiseks.

Näited

• Programmeerimiskogemustega ettevõtte töötaja loob tööriista, mis kontrol-lib regulaarselt ettevõtte sisevõrgus ühiskasutusse antud kaustu teatud ot-singukriteeriumite järgi, nt „Patenditaotlus”, ja saadab leitud failid MicrosoftOutlooki kaudu automaatselt konkurendile.

• Halvaloomuline makro võib kasutaja postkasti laekuvad meilid sealt märka-matult ära kustutada. Kuna kasutaja ei saa päringutele aegsasti reageerida,muutuvad kliendid rahulolematuks.

725 / 781

G 5.165 Volitamata juurdepääs veebirakenduse andmetele võiandmete manipuleerimine

Veebirakenduse kasutamisel edastatakse andmeid, mis salvestatakse tavaliseltnii klienti kui ka serverisse (nt logifailidesse, brauseri ja proksi vahemällu). Kuineed andmed pole edastamisel ja salvestamisel piisavalt kaitstud, saab kolmasosaline nendega volitamatult tutvuda ja neid manipuleerida. Kuna veebiraken-duste andmete edastamiseks kasutatakse mitmesuguseid kanaleid ning andmeidsalvestatakse erinevatesse sihtkohtadesse, kaasnevad sellega eriohud, midakirjeldatakse alljärgnevalt:

• Pääsuandmed ja andmeplankide andmed, mida kasutaja sisestab veebile-hitsejasse, salvestatakse veebilehitseja vahemällu. Kui ründajal on juurde-pääs arvutile, saab ta lugeda veebilehitseja vahemälu ja seeläbi ka kait-set vajavaid andmeid, sest veebilehitseja vahemälu on tavaliselt kaitseta (ntkrüpteerimata).

• Kui URL-iga edastatakse GET-parameetreid, võidakse need teel veebira-kendusest kliendi juurde salvestada vahepeal asuvate IT-süsteemide (ntproksiserverite) logifailidesse. Proksiserverid logivad tavaliselt ka avatavaURL-i ja edastatud GET-parameetrid. Isikud, kellel on juurdepääs logidele,saavad seega lugeda GET-parameetrite andmeid. Kui veebirakendus edas-tab GET-parameetrites konfidentsiaalseid andmeid, osutub nende andmeteturve seetõttu võimatuks. GET-parameetrites sisalduvate konfidentsiaalseteandmete avalikustamise oht võib tekkida ka linkide saatmisel ja veebilehit-seja ajalooga tutvumisel.

• Kui ühendus veebiteenuse kliendi ja veebiteeninduse vahel ei ole krüpteeri-mise või digiallkirjade tõttu piisavalt turvatud, on olemas võimalus, et ründetoimepanija saab ülekande ajal lugeda ja muuta konfidentsiaalseid andmeid.

• Kui kliendis tuleb salvestada veebirakenduse seansiandmeid, tehakse se-da sageli küpsistega (cookies). Need võivad hõlmata ka konfidentsiaalseidandmeid, nt seansi ID-d. Kui ründaja pääseb kliendile juurde (nt pahava-rakoodi käivitamisega kliendis), on tal võimalik küpsiste sisuga volitamatulttutvuda või neid kasutada ja märkamatult ründajale edasi saata (vt G 5.170Murdskriptimisründed (XSS) ).

726 / 781

G 5.166 Automatiseeritud kasutusest tingitud veebirakendusteväärkasutus

Veebirakenduste automatiseeritud kasutamisel juhitakse rakenduse funktsioonearvutiga, nt klaviatuuri ja hiire abil tehtavaid sisestusi emuleerivate skriptidega.Tänu sellele on kõik toimingud väga kiired ning ründajad saavad veebirakendustevastu toime panna kordustel põhinevaid ründeid. Näiteks võimaldab korduv sisse-logimisprotsess süstemaatiliselt välja uurida kehtivaid kasutajanimede ja paroo-lide kombinatsioone (Brute-Force-ründed) või genereerida kehtivate kasutajatun-nuste loetelusid (Enumeration-ründed). Lisaks saab ressursimahukate funktsioo-nide (nt keeruliste andmebaasipäringute) korduvat käivitamist kuritarvitada Denial-of-Service-rünnete jaoks. Kui võrgu tasandil toime pandavad Denial-of-Service-ründed vajavad sageli paljusid ühenduskatseid, siis veebirakendusi saab sagelirünnata hoopis tõhusamalt.

Näited

• Kui online -küsitlus võimaldab andmeplangi automaatset täitmist ja ärasaat-mist, saab ründaja küsitluse tulemusi väga lihtsalt võltsida, kasutades sel-leks automaatselt hääletavat skripti.

• Registreeritud kasutajate kohta salvestatud teavet (nt profiilinimesidja meiliaadresse) saab vaadata veebirakenduse URL-i kaudu (nthttp://host.tld/app/userDetails.php?UserID=###). Kui seda funktsiooni kasu-tada automatiseeritult (nt numbrilise kasutaja-ID lihtsa inkrementeerimise-ga), võimaldab see kerge vaevaga koguda suure hulga teavet kasutajatekohta (Enumeration-rünne). Kogutud teavet saab kasutada näiteks rämps-posti saatmiseks.

• Kui kasutajakontod suletakse näiteks pärast viit ebaõnnestunud sisselogi-miskatset, et raskendada Brute-Force-ründeid, ja kui ründaja teab veebira-kenduse kasutajatunnuseid, on tal nende kasutajakontode suhtes võimalikautomaatselt toime panna ebaõnnestunud sisselogimiskatseid. Selle taga-järjel kasutajakontod blokeeritakse ning kasutajad ei pääse veebirakendus-ele enam juurde.

727 / 781

G 5.167 Veebirakenduste loogikavead

Selleks, et veebirakendus saaks tsentraalselt pakkuda erinevaid funktsioone,koondatakse eraldi funktsioonid tavaliselt kokku üheks kompleksseks rakenduseloogikaks. Seejuures on iga protsessi seisukohalt tähtis, mis järjekorras üksikudfunktsioonid või protsessisammud käivitatakse.

• Kui sellist protsessiloogikat kasutatakse veebirakenduse peamiste turbe-funktsioonide jaoks, nt kasutajate autentimiseks, on võimalik seda manipu-leerida (nt üksikute sammude vahelejätmisega) ja seeläbi veebirakendustjuhtida. Seetõttu tekib oht, et ründaja võib turbemehhanismidest mööda pää-seda.

• Kahjulikke tegevusi võib käivitada ka see, kui veebirakenduse funktsioonekasutatakse valedel eesmärkidel. Näiteks saab veebirakenduse kontaktideandmeplanki ära kasutada rämpsposti saatmiseks, juhul kui plangi etteantudkontaktaadressi on võimalik muuta.

Näited

• Veebirakendusel on sisestusväli, mille pikkus on piiratud 20 märgiga. Lisaksfiltreerib veebirakendus sellele väljale tehtud sisestusi. Seejuures nõuab si-sestatud andmete filtreerimine rohkem arvutusressurssi kui märgijada pik-kuse kontrollimine. Juhul, kui esmalt rakendatakse põhjalikku filtreerimist jaalles seejärel kontrollitakse märgijada pikkust, saab ründaja andmevälja täi-ta väga pika märgijadaga, mida hakkab töötlema suurt arvutusressurssi va-jav filtreerimiskomponent. Nii on kontrollijärjekorra kaudu võimalik kulutadarohkelt ressursse, mida saab ära kasutada Denial-of-Service-rünneteks.

• Ründe toimepanija muudab veebiteenuse marsruutimisreegleid ja teabeva-hetuse funktsioone, nii et takistatakse loodud tööprotsesse või konfident-siaalseid sõnumeid edastatakse mitteusaldusväärsetele süsteemidele. Or-kestreerimise kaudu loodud tööprotsesside loogika ei ole enam tagatud jaosutub puudulikuks. Teave võib veebiteenuse kliendini jõuda valesti või mit-tetäielikult.

• Internetipoes pakutakse tellimisel soodustust, kui ostja tellib kindla toote(toode X). Ostja ei soovi osta toodet X, vaid toodet Y. Kui ostja lisab ostukorvinii toote X kui ka toote Y, pakutakse talle hinnasoodustust. Kasutaja katkes-tab aga maksetoimingu ja eemaldab ostukorvist toote X. Nii pole tal enamõigust soodustust saada. Sellegipoolest, kui klient jätkab maksetoimingut,pakutakse talle toodet Y soodushinnaga. Kuna hinnasoodustuse andmisekriteeriumite lõplik kontroll on puudulik, saab pettur toote Y ostuhinda volita-matult muuta.

728 / 781

G 5.168 Veebirakenduste turbefunktsioonide kasutamise eiramineklientprogrammides

Veebirakendusi kasutatakse tavaliselt geneeriliste klientidega (nt veebilehitseja-tega). Kasutaja saab neid enamasti nii seadistada kui ka kohandada. Seega eiallu kliendid veebirakenduse kontrollile ning juurdepääsu hankinud ründaja saabneid vabalt manipuleerida. See võimaldab tal klientide turvafunktsioonidest möödahiilida. Kui muid serveripõhiseid kaitsemeetmeid pole võetud, tekib ründajal volita-matu juurdepääs veebirakenduse ressurssidele.

Ka veebiteenuseid kasutatakse osaliselt rakenduste kaudu, mis ei allu operaatorikontrollitavale turbekontekstile, nt kaasaskantavate seadmete rakendused („App-id”). Kui veebiteenused on mõeldud kasutamiseks sellisel otstarbel, ei tohi ka siinlähtuda turbemeetmete kasutamisest käivitatava kliendi kaudu, sest veebiteenusei tunne ära, kas käivitatavat klienti on manipuleeritud või vahetatud teise, ilmavastavate turbefunktsioonideta kliendi vastu.

Praktikas esineb selline oht eriti sageli seoses volituste kontrolliga, mida viivadläbi klientprogrammid, aga mida server pärast veebiteenuse käivitamist ei kinnita.Nii ei kaitse näiteks nupu peitmine klientprogrammis selle eest, et käivitada sellenupu taga olevat funktsiooni, millega manipuleeritakse näiteks klienti, käivitatakseotse URL-id või viiakse suhtlusel läbi Replay- või Man-in-the-Middle-tüüpi ründeid.

Näited

• Sisestatud andmete õigsust kontrollitakse ainult kliendis, kasutades selleksJavaScripti. Kui kliendis on JavaScripti tugi välja lülitatud, siis valideerimis-funktsiooni ei käivitata ja see ei rakendu. Nii saab veebirakendusele saatamis tahes sisestusi (nt kahjulikku koodi) ja veebirakendus hakkab neid ilmakontrollimata töötlema. Ründaja saab seda ära kasutada, nt saata veebira-kenduse taustsüsteemidele volitamatult käske (nt andmebaasi päringutenaSQL-injektsiooni rünnete toimepanekuks).

• Rakendus näitab menüüpunkti „Kasutaja haldus” ainult siis, kui sisselogitudkasutajal on administraatori õigused. Vastava veebiteenuse otsese käivita-mise kaudu on aga kliendihaldust võimalik töödelda ilma administraatori õi-gusteta, sest veebiteenuse programmeerija on lootnud sellele, et volitustekontroll on kliendil juba läbi viidud.

• Veebirakendus kontrollib ainult kliendis kindlaks määratavat autentimispara-meetrit (nt admin=true). Kui ründaja teab seda parameetrit, saab ta sedakäsitsi muuta ja ilma pääsuandmeteta veebirakendusse sisse logida.

729 / 781

G 5.169 Veebirakenduste ja veebiteenuste puudulik seansihaldus

Kuna veebirakenduse jaoks kasutatav HTTP-protokoll on olekurežiimita, identi-fitseeritakse veebirakenduse kasutaja seansi ajaks seansi ID-ga. Kui kolmandalosalisel õnnestub ebapiisava seansihalduse tõttu välja uurida mõne volitatud ka-sutaja seansi ID, saab ta veebirakendust selle seansi kontekstis kasutada. Seevõimaldab ründajal suhelda veebirakendusega nagu korrektselt autenditud kasu-taja, ilma et ta tegelikult pääsuandmeid (kasutajatunnust, parooli) teaks. Seegasaab kolmas isik kasutada seadusliku kasutaja õigustega veebirakenduse või vee-biteenuse funktsioone, pääsemaks volitamata juurde kaitset vajavatele andmetelevõi edastamaks käske.

Näited

• Session-Hijacking-ründe (seansi ülevõtmise) puhul on ohver end veebira-kendusse kehtiva seansi ID-ga juba sisse loginud. Kui veebirakendus ei valiseansi ID-d juhuslikult (vaid nt suurendab seansi ID loendurit sammhaaval),suudab ründaja kehtiva seansi ID sihiliku katsetamisega ära arvata ja sisse-loginud kasutaja seansi üle võtta.

• Session-Fixation-ründe puhul laseb ründaja endale esmalt veebirakendus-el väljastada seansi ID ja edastab selle siis ohvrile (nt meili sees saadetudlingina). Kui ohver avab selle lingi ja autendib end veebirakenduses ründajasaadetud seansi ID-ga, saab ründaja seejärel rakendust kasutada talle tea-daoleva seansi ID-ga. Nii saab ta rünnatud kasutaja turbekontekstis kasuta-da veebirakendust ja selle funktsioone, millele autentimata kasutajal ligipääspuudub.

• Kui veebirakenduse mitteaktiivsete kasutajate seansse ei muudeta kindlaaja möödudes kehtetuks (Session Timeout), jäävad seansid, millest kasuta-ja pole nõuetekohaselt väljunud (nt nad on veebilehitseja üksnes sulgenud,kuid pole end välja loginud), kehtima. Kui ründaja saab teada mõne selli-se seansi ID, mis küll kehtib, kuid mida enam ei kasutata, on tal võimalikveebirakendust väljalogimata kasutaja turbekontekstis edasi kasutada.

730 / 781

G 5.170 Murdskriptimisründed (XSS)

Murdskriptimisründed (XSS-ründed) on suunatud veebirakenduse kasutajate janende klientide vastu. Seejuures püüab ründaja kahjulikku koodi (tavaliselt veebil-ehitsejas käivitatavad skriptid, nt JavaScript) saata kaudselt veebirakenduse ka-sutaja kliendile. Kui veebirakendus sisestusi ja väljastusi ei valideeri, saab rün-daja sisestada veebirakendusse oma koodi (nt mõne artikli kommentaari sisse)ja seeläbi seda levitada. Kui kasutaja avab nakatunud veebilehe, käivitab klient(nt veebilehitseja) veebilehele sisestatud kahjuliku koodi. Kasutaja vaatepunktistkuulub kood veebirakenduse tavapäraste tööprotsesside hulka ning seetõttu peabta seda usaldusväärseks. Tegelikkuses tõlgendatakse kahjulikku koodi aga vee-birakenduse turbekontekstis, mis võimaldab ründajal kasutajale kuuluva seansiraames käivitada käske.

Eristatakse kolme XSS-ründe kategooriat:

• püsiv,• mittepüsiv (reflekteeriv),• DOM-il põhinev (lokaalne).

Näited

• Ründajal õnnestub jätta külalisteraamatusse sissekanne, mis sisaldab Ja-vaScripti koodi. Kui kasutaja avab selle külalisteraamatu sissekande, edas-tatakse skript ja veebilehitseja asub skripti avama. Skript käivitatakse veebi-rakenduse turbekontekstis, mistõttu on skriptil ka juurdepääs kasutaja klient-programmi küpsisesse salvestatud seansi ID-le, juhul kui see seansiküpsisloodi (ekslikult) ilma HttpOnly-lülitita (flag). Skript saadab teabe edasi rün-dajale, kes saab tänu seansi ID-le autenditud kasutaja seansi üle võtta. Ku-na veebilehitseja ainult tõlgendab JavaScripti koodi, kuid ei näita seda, onkasutajal raske seda protsessi märgata. Tegemist on püsiva XSS-ründega,sest kahjulik kood salvestatakse külalisteraamatu sissekandesse ja seegaka veebirakendusse püsivalt.

• Ründaja kohandab URL-i GET-parameetrit selliselt, et see sisaldab JavaSc-ripti koodi. Kuna veebirakendus kasutatud parameetreid veebilehe etteval-mistamisel ei kontrolli, saadetakse sisestatud JavaScripti kood edasi klien-dile ning veebilehitseja käivitab koodi veebirakenduse turbekontekstis. Kuiründajal õnnestub sel viisil ettevalmistatud linki jagada (nt meilidega) ja kuisisseloginud kasutaja vajutab sellele lingile, käivitatakse kahjulik skript kasu-taja veebilehitsejas. Sellist XSS-rünnet nimetatakse reflekteerituks ehk mit-tepüsivaks, sest kahjulik kood pole püsivalt salvestatud, vaid veebirakendussaadab selle pärast sisestamist kohe tagasi.

• Veebilehe JavaScripti kood töötleb URL-i parameetreid (nthttp://host.tld/param=“sisu”) ja lisab need kuvamiseks veebilehele. Pa-rameetrite manipuleerimisega saab seega veebilehele sisestada igasugustsisu. Kui avatakse lehekülg, mille parameetrid sisaldavad kahjulikku Ja-vaScripti koodi, seotakse see kood veebilehega ja veebilehitseja käivitab

731 / 781

selle. Erinevalt eelkirjeldatud rünnetest ei lisata kahjulikku koodi veebilehelemitte läbi võrgu, veebirakendusega, vaid lokaalselt veebilehitsejaga, kuiklient asub JavaScriptiga töötlema URL-i parameetreid. Seejuures saabkahjulik kood manipuleerida Document Object Modeli (DOM) keskkondaning muuta seeläbi veebilehe struktuuri ja sisu.

732 / 781

G 5.171 Cross-Site Request Forgery (CSRF, XSRF, Session Riding)

Kui veebirakenduse kirjutavaid funktsioone on võimalik kasutada lihtsalt niisama,ilma HTTP-päringute autentsust kontrollimata, nt sellega, et andmeplankide pei-detud väljad sisaldavad lube (tokens), saab ründaja edastada kasutajale etteval-mistatud lingi, mis käivitab mõne käsu. Lingi saab saata kasutajale (nt meili teel)koos palvega see avada, kasutades inimestega manipuleerimise ründemeetodeid.Kui kasutaja on end veebirakendusse sisse loginud ja kui tema seanss on aktiiv-ne ning ta avab sellise ettevalmistatud lingi, asub veebirakendus saadud käskutäitma. Veebirakendus tõlgendab seejuures HTTP-päringut kui kasutaja teadlikultsooritatud tegevust. Seejuures võib selline link varjata ka privilegeeritud käske,nt pääsuandmete muutmise või uue kasutaja loomise käsku. Seevastu kasutajaei pruugi selliseid toiminguid märgatagi ja talle väljastatakse ainult teade edukaltlõpetatud toimingu kohta.

Erinevalt XSS-ist (vt G 5.170 Murdskriptimisründed (XSS) ) ei ole ründe ees-märk skriptikoodi käivitamine, vaid volitamata, kirjutavad tegevused sisseloginudkasutaja kontekstis. CSRF-i ja XSS-i kombinatsiooni korral saab klienti skriptide-ga märkamatult juhtida nii, et kasutaja ei pea üldse protsessi sekkuma. Skriptisolevad juhised võivad näiteks edasisuunamise ettevalmistatud lingile ka automati-seerida.

Näide

• Sel ajal, kui kasutaja on sisse loginud marsruuteri administreerimisliideses-se, surfab ta sama veebilehitsejaga ka internetis. Veebilehel asub etteval-mistatud link, mis saadab marsruuterile parooli muutmise päringu. Seejuu-res paneb veebilehitseja automaatselt kaasa ka seansi küpsise, mille põhjaltuvastab veebirakendus päringu autentsuse ja viib muudatuse ellu. Kunakasutaja on administreerimisliidesesse sisse logitud ja tema seanss kehtib,täidetakse käsk ja senine ligipääsuparool asendatakse talle tundmatu pa-rooliga.

733 / 781

G 5.172 Veebirakenduste ja veebiteenuste autentimise eiramine

Kui kasutaja või veebiteenuse klient on nõuetekohaselt veebirakendusse või vee-biteeenusesse sisse loginud, ei ole tal seetõttu (olenevalt talle määratud rollist)ei ole tal (olenevalt talle määratud rollist) tingimata juurdepääsu kõikidele funkt-sioonidele, mida veebirakenduses või veebiteenuses pakutakse. Seepärast peabveebirakendus või veebiteenus andma pärast kasutaja või kliendi edukat auten-timist erinevate funktsioonide kohta kinnituse, kas nende käivitamine on lubatud(autentimine).Veebirakenduse volituskomponentide vastu suunatud rünnete käigus üritataksekasutada funktsioone või andmeid, mille kasutusõigus on ainult piiratud kasutaja-rühma liikmetel. Kui veebirakenduses esineb pääsuõiguste kontrollimisel puudu-jääke, saab ründaja oma volitusi avardada ning seeläbi juurde pääseda veebira-kenduse kaitstud aladele ja andmetele. Selleks kasutab ründaja enamasti sihilikultmanipuleeritud sisestusi.

Rünnete võimalikud sihtmärgid on näiteks konfiguratsioonifailid, mis sisaldavadtaustsüsteemide, kaitstud alade või veebirakenduse funktsioonide püsivalt kodee-ritud pääsuandmeid.

Järgnevalt kirjeldatakse puudujääke, mis võivad esineda veebiressurssidelejuurdepääsu võimaldavate volituste kontrollimisel:

• Veebirakenduse ja taustsüsteemide filtreerimiskomponendid tõlgendavadnn nullbaiti (URL-i koodis %00) erinevalt. Nii käsitleb veebirakenduse filtree-rimiskomponent märgijada malware.exe%00.jpg kui failinime, millel on pil-difailide lubatud faililaiend .jpg. Seevastu operatsioonisüsteem malware.exenimega faili ei aktsepteeri, sest ei käsitle nullbaiti ega sellele järgnevaid mär-ke failinimena. Erineva tõlgenduse tõttu saab ründaja eirata failitüüpideleseatud piiranguid ja paigaldada veebirakendusse näiteks pahavara.

• Suhteliste andmeteede sisestamisega (nn Path Traversali ründega) võibründajal õnnestuda avada ressursse, millele ei tohiks tegelikult veebiraken-duse kaudu ligi pääseda (nt ../../../config.xml). Seeläbi saab failisüsteemisleiduvaid kaitset vajavaid faile, nt konfiguratsioonifaile, volitamata alla laa-dida või ka üle kirjutada. Suhteliste andmeteedega pole võimalik ligi pää-seda mitte ainult veebirakenduse failidele, vaid ka veebirakendust käitavaIT-süsteemi ressurssidele.

• Veebirakendused kasutavad mõnele taustsüsteemi ressursile viitamisekssageli objekti referentse (nt http:// host.tld/get.php?id=2). Referentside põh-jal saab ressursse, nt veebilehe kuvamiseks vajalikku sisu, seostada and-mebaasi sissekandega. Kui volitusi kontrollivad komponendid ei arvesta ob-jekti referentsidega, saab URL-is kajastuva referentsi ID manipuleerimisegajuurde pääseda konfidentsiaalsetele ressurssidele.

• Kui veebiteenuse autentimiskomponent on valesti konfigureeritud, nii et seelubab näiteks ka anonüümseid juurdepääse või juurdepääse valedele tee-nustele, saab volitamata isik neid teenuseid käivitada ja hankida endale selmoel ligipääsu andmetele ja funktsioonidele.

734 / 781

• Vahel kasutatakse veebirakenduse info kaitsmiseks võimalust kuvada URL-i, mis seda infot lingib, ainult volitatud kasutajatele. Volitamata kasutajadURL-i ei tea. Ründaja võib veebirakenduse infole ja funktsioonidele juur-depääsemiseks proovida URL-i süstemaatilise katsetamisega ära arvata.Seda nimetatakse "Forced Browsingu ründeks.

735 / 781

G 5.173 Võõraste andmete ja pahavara koodi smugeldamineveebirakendustesse

Kui veebirakenduse sisend- ja väljundandmeid ei valideerita piisavalt, saab ründa-ja sisestada veebirakendusse kahjulikku sisu, nt pahavarakoodi, mille eesmärk onmanipuleerida otse veebirakendust või klienti (nt veebilehitsejat). Sisestatud and-meid kuvatakse kasutajale veebirakenduse turbekontekstis. Seetõttu on kasutajalpeaaegu võimatu aru saada, kas veebirakenduse komponente on manipuleeritudvõi mitte. Seega saab ründaja ära kasutada end juba autentinud kasutaja usal-dust veebirakenduse vastu. Sisestatud kahjuliku koodiga saab rünnata nii veebi-rakenduse kliente kui ka serverit. Ründaja sisestatud andmed võivad sisaldadanäiteks sellist kahjulikku koodi, mis käivitatakse klientides (nt konfidentsiaalseteandmete lugemiseks), või võltsitud sisselogimisandmeplanke, mida saab kasuta-da pääsuandmete varastamiseks. Kui sisestatud programmikood käivitatakse vee-birakenduses, esineb ka veebirakendust käitava operatsioonisüsteemi kompromi-teerimise oht.

Näited

• URL-i parameetritega saab dünaamilistele veebilehtedele lisada võõ-rast sisu, mida pole võimalik veebirakenduse enda sisust eristada (nthttp://host.tld/index.php? frame=http://ryndaja.tld&title=muudetud pealkiri).Selle näite puhul lisatakse parameetri title võõras sisu veebirakendusestväljastatava veebilehe HTML-dokumendi pealkirja. Lisaks kasutatakse para-meetrit frame, mis toimib veebilehe raami allikana. Selle parameetriga saabveebilehele lisada mis tahes sisu ja programmikoodi (nt JavaScript).

• Edasisuunamisfunktsioon aktsepteerib sihtaadressina kõiki väär-tusi. Selle tulemusel saab ründaja parameetri manipuleerimisegaalgatada edasisuunamise ebausaldusväärsetele veebilehtedele (nthttp://host.tld/redirect.php?target=http://ryndaja.tld). Kuna kasutaja peabveebirakenduse algdomeeni usaldusväärseks, eeldab ta, et veebiraken-dus suunab ta edasi usaldusväärsele aadressile. Nii saab ründaja temausaldust kuritarvitada ning toime panna andmepetturlusel põhineva ründe,suunates kasutaja võltsitud sisselogimislehele, kus ta peab sisestama endapääsuandmed.

• Veebirakendustesse saab sisestada koostööpartneritele kuuluvat võõrast si-su (nt reklaamid iFrame’is). Kontroll sellise sisu üle on tavaliselt koostööpart-neril, mitte veebirakenduse käitajal. Kui koostööpartner sisestab sinna paha-vara või kasutajaid riivava sisu, võib see kahjustada veebirakenduse käitajamainet, sest kasutajad näevad seda sisu veebirakenduse kontekstis ja pea-vad seda käitaja omaks. Pahavara võib nakatada ka veebilehe külastajateklientprogrammid ja need seeläbi kompromiteerida.

• Veebirakenduse üleslaadimisfunktsiooniga saab serveri kataloogistruktuurisalvestada mis tahes faile. Seetõttu on võimalik sinna ka veebirakenduseskäivitatavaid kahjulikke skripte salvestada ning olemasolevaid faile (nt konfi-guratsioonifaile) üle kirjutada. Suure andmehulga üleslaadimine võib tõkes-tada ka teenuse toimimist.

• Veebiteenuse XML-vormindatud parameetris rakendatakse väliseid vii-teid, nt <!DOCTYPE sample PUBLIC “foo” “”>. Kui välise viite tulemustetõlgendamisele järgneb serveripoolne rakendus, võib ründe toimepanijaalgatada sellega serverist väljuva IP-ühenduse ja segada sel moel tööd

736 / 781

(Denial-of-Service) või hankida sisemiste võrgustruktuuride kaudu teavet.

737 / 781

G 5.174 Injektsiooniründed

Injektsiooniründe käigus püüab ründaja veebirakendusse sisestada käske ja neidkäivitada. Rünne on tavaliselt suunatud interpretaatori või parseri vastu, mida vee-birakendus enda tööks kasutab. Näiteks kui veebirakenduse sisendandmeid ei va-lideerita piisavalt, saab kasutada selliseid sisestusi (nt andmeplankide andmeid,küpsiseid või HTTP-päiseid), mida veebirakendus ja kasutatud interpretaatorid võiparserid (nt SQL-i andmebaas, LDAP kataloogiteenus) tõlgendavad käsuna. Seevõimaldab volitamatult edastata käske andmete lugemiseks või nende manipulee-rimiseks.

Kui injektsiooniga saab käivitada mis tahes süsteemikäske, võib ründajaveebirakendust kasutada system shell ’i asendusena. Rakendatavad süsteemi-käsud käivitatakse seejuures tavaliselt veebirakenduse turbekontekstis ja seegaveebirakenduse või kasutatud interpretaatori või parseri privileegidega. Injekt-siooniründeid liigitatakse ründe sihtmärgiks olevate interpretaatorite ja parseritealusel. Sellest liigitusest annavad ülevaate järgmised näited:

• SQL-injektsioon (vt G 5.131 SQL-injektsioon );• LDAP-injektsioon;• Mail-Command-injektsioon;• OS-Command-injektsioon;• SSI-injektsioon;• XPath-injektsioon;• koodi injektsioon.

738 / 781

G 5.175 Klõpsurööv (clickjacking)

Klõpsuröövi puhul kaetakse veebilehe kuvas teatud osad üle kasutaja jaoks näh-tamatu läbipaistva sisuga. Sellised läbipaistvad alad võivad sisaldada eri laadi sisuvõi juhtelemente, ilma et kasutaja neid näeks. Kui kasutaja püüab klõpsata veebi-lehe tegeliku sisu peal, ei saadeta klõpsu edasi mitte nähtava tasandi, vaid sellepeal oleva tasandi kaudu ja röövitakse seega (hijacking). Ingliskeelne termin click-jacking tuleneb hiireklõpsu tähistavast sõnast click ja sõna hijacking osast jacking.Hiireklõpsude kõrval saab läbipaistvate tekstiväljadega võõrastesse serveritesseedasi suunata ka klaviatuuriga tehtavaid sisestusi (nt asetades katvad alad paroo-liväljade kohale).

Näited

• Ründaja osaleb reklaamiprogrammis, milles tasu suurus sõltub külastajatetehtud klõpsude arvust (pay per click ). Seejuures katab ta osa veebiraken-dusest üle nähtamatu, reklaamile viiva lingiga, nii et kasutaja klõpsab mär-kamatult reklaami peal. Seeläbi suureneb klõpsude arv ja ka väljamakstavtasu.

• Ründaja paigaldab veebilehele enda Facebooki lehe nähtamatu meeldib-nupu, mis liigub alati hiirekursoriga kaasa. Kasutaja seda ei näe. Kui taklõpsab lehel kuskil, aktiveerib ta Facebooki meeldib-funktsiooni ja edastabenda Facebooki andmed ründajale, kes saab neid kasutada.

739 / 781

G 5.176 Logiandmete edastuse kompromiteerimine tsentraalseslogimises

Logiandmete tsentraalse salvestamise korral edastatakse salvestatud info logi-serverile, mis asub seda infot töötlema ja analüüsima. Edastatud logisündmusedvõivad sisaldada isikupõhist infot, nt kasutajatunnuseid, mida saab seostadakonkreetse isikuga. Kui logiandmeid edastatakse kaitsmata ja krüpteerimatakanalite kaudu, saab neid pealt kuulata ja manipuleerida.

• Andmevõrgu (In Band) ühenduste ärakasutamine - Kui IT-süsteeme käita-takse ebaturvalises võrgus, langevad need suure tõenäosusega sellest võr-gust tulevate rünnete ohvriks. Üks sellekohane näide on turvalüüsi paketifil-ter, mis asetatakse avaliku võrgu ja Application Level Gateway vahele. Kuipaketifiltri logiinfot tahetakse saata tsentraalsesse logiserverisse, peab and-mesideühendus liikuma läbi Application Level Gateway ja vajaduse korralka läbi lisasüsteemide, et jõuda tsentraalse logiserverini (In Band). Ründajasaab seda liiki ühendust ära kasutada, sest väljastpoolt algatatud ja sise-võrku suunatud ühendused kujutavad endast sellise lahenduse kitsaskohti.Seevastu Out of Bandi ühenduse puhul selliseid probleeme pole, sest logi-andmeid edastatakse iseseisvas, eraldatud võrgus. Vajaminev töömaht onaga oluliselt suurem. Töömaht suureneb nii eraldiseisva võrgutaristu üles-ehitamise kui ka selle administreerimise arvel. Lisaks tuleb arvestada, etkui ründajal peaks õnnestuma kompromiteerida Out of Bandi võrku, võib tasellega tekitada väga suurt kahju.

• Tsentraalse logiserveri kompromiteerimine - kui tsentraalne logiserver, misei asetse eraldi administreerimisvõrgus, langeb kompromiteerimise ohvriks,lihtsustab see oma tsentraalse paiknemise tõttu ka teiste komponentide rün-damist. Kuna logiserver peab olema ligipääsetav nii turvalüüsi ees kui kaselle taga paiknevate IT-süsteemide jaoks, pakub see ründajale võimalusteirata infokoosluse turvalüüsi. Näiteks võimaldab see võrguanalüüsi tööriis-taga salvestada meili- ja logiserveri vahelist andmevahetust ning lugeda isi-kuandmeid. Lisaks on ründajal võimalik tutvuda logiandmetega ja neid ma-nipuleerida.

• Manipuleeritud logiandmed - kui ründajal õnnestub manipuleerida logiand-meid, on nende terviklus kahtluse all ning nende tõendamisvõime ja usal-dusväärsus pole enam tagatud. Manipuleeritud logiteated võivad põhjusta-da suuri probleeme ka IT-hoiatussüsteemides, nt kui manipuleerimise ta-gajärjel pole võimalik koostada terviklikku ülevaadet, jäävad IT-süsteemidevõi rakenduste vastu suunatud ründed avastamata. Ebatäielike logiandmeteüks põhjus võib seisneda ka selles, et kasutatakse võrguprotokolle (nt UserDatagram Protocol – UDP), milles puuduvad mehhanismid, mis peaksidkontrollima, kas kõik paketid edastati terviklikult.

• Ribalaiuse kitsaskohad - kuna logimisfunktsiooni kasutamisel edastatak-se võrgus peale tööandmete ka palju logiandmeid, võib ebapiisava riba-laiuse korral juhtuda, et logiteadete edastamine hakkab takistama töö-andmete edastamist. Lisaks võib juhtuda, et ebapiisava ribalaiuse tõttuedastatakse logiandmed viivitusega või need lähevad sootuks kaduma. IT-

740 / 781

hoiatussüsteemi kasutamisel võib see põhjustada suuri probleeme, sest in-fokoosluse tõene tervikpilt saab moodustuda ainult erinevate IT-süsteemideosainfo summast.

Näited

• Tsentraalse logiserveri kasutamist planeerides otsustati, et logiandmeid tu-leks edastada võrguliidese kaudu (In Band). Logiteateid edastatakse võrguskrüpteeritult, SSL-iga tunneldades. Tunneldamine tekitab turvalüüsi aga tur-vaaugu, mille kaudu saab ründaja tungida sisevõrku.

• Logiandmed edastatakse erinevatest IT-süsteemidest logiserverisse syslog-protokolliga, mis saadab sõnumeid välja ühendusevaba UDP-protokolliga.Ribalaiuse ajutise puudujäägi korral läheb osa logiteadetest kaduma. Kunapuuduvad lisamehhanismid, mis tagaksid kõikide andmepakettide jõudmisesihtkohta, jääb veebiserveri töö lühiajaline seiskumine märkamata.

• Keskmise suurusega ettevõtte infokoosluses kasutatakse juba aastaid niitöö- kui ka logiandmete edastamiseks üht ja sama võrguliidest (In Band).Koormuse suurenemise ja vahemälu (caching) puudumise tõttu on viimastelkuudel olulised logiandmed korduvalt kõrvale heidetud, et teha ruumi suure-ma prioriteediga tööandmetele. Selle tagajärjel avastatakse failiserveri tööseiskumine liiga hilja ning ettevõte on sunnitud oma tegevuse terveks päe-vaks peatama.

741 / 781

G 5.177 Lühi-URL-ide või QR-koodide kuritarvitamine

Veebilehtedeni jõudmiseks kasutatakse tavaliselt URL-e (Uniform Resource Loca-tor), mida nimetatakse seetõttu ka veebiaadressiks. Veebilehed on aga sageli üs-na kompleksse ülesehitusega, mille tagajärjel venivad veebiaadressid nii pikaks, etneid on keeruline meelde jätta ja võimatu, eriti just kaasaskantavates lõppseadme-tes, ühel real kuvada. Seepärast on välja töötatud mitmed meetodid, mis lihtsusta-vad veebiaadresside kasutamist. Tähtsaimad neist on lühi-URL-id ja QR-koodid.

Lühi-URL-idLühi-URL-id tähistavad laialt levinud internetiteenust, mis asendab pikad URL-

id lühematega. Lühi-URL-id lihtsustavad viidete kasutamist ajakirjade artiklites.Paljude paberajakirjade artiklid viitavad internetiallikatele või sisaldavad viiteidinternetis leiduvale lisateabele. Erinevalt internetiartiklitest tuleb need sisestadakäsitsi. Lühi-URL-id vähendavad seda vaeva oluliselt. Seega on lühi-URL-idelmõningaid eeliseid, kuid nendega kaasnevad ka riskid.

• Käideldavus: lühi-URL-id teisendatakse ilma kasutaja sekkumiseta teenu-sepakkuja andmebaasi põhjal samasse andmebaasi salvestatud tavaliseksveebiaadressiks. See lühikeste ja pikkade URL-ide vahelisi seoseid kajastavandmebaas peab olema käideldav. Suured andmebaasid sisaldavad miljar-deid sissekandeid. Kui andmebaas lakkab ajutiselt või püsivalt töötamast,muutuvad miljardid lühi-URL-id kasutuskõlbmatuks. Lisaks võib juhtuda, etsenine teenusepakkuja muudab teenuse kasutustingimusi nii, et sellega ge-nereeritud lühi-URL-e ei saa enam niisama lihtsalt kasutada.

• Andmekaitse: lühi-URL-ide kasutamine võimaldab teenusepakkujal näha,milline IP-aadress lehekülge külastas ja millal see toimus.

• Terviklus: lühi-URL ei anna infot lehe kohta, millele see viitab. Seepäraston lühi-URL-id atraktiivne sihtmärk igat liiki rünnetele, millega soovitaksemeelitada kasutajaid manipuleeritud veebilehtedele. Näiteks on tõenäosus,et võltsitud lingile ka tõepoolest klõpsatakse, oluliselt suurem juhtudel, kuslühi-URL on lisatud tuttavana näiva isiku võltsitud meiliaadressile. Lisaks onvõimalik, et lühi-URL-i teenusepakkuja andmebaasi manipuleeritakse selli-selt, et lühi-URL-id ei viita enam õigetele lehekülgedele.

QR-koodidNii nagu triipkoodide, on ka QR-koodide (Quick Response) puhul tegu andmete

kujutamisega masinatele loetaval kujul. Üldjuhul on need esitatud ruudu kujul, mil-lesse salvestatakse info standardiseeritud mustritena. QR-koodid asuvad toodetelvõi teabematerjalidel ja nende abil suunatakse kasutajaid kasuliku või huvitavalisateabeni. Kasutajad peavad esmalt QR-koodi pildistama või selle sisse skanee-rima, nt oma nutitelefoniga. Lõppseadmes tuleb kasutada rakendust, mis suudabtõlgendada QR-koodides olevat infot, nt URL-e, aadresse, telefoninumbreid võiWLAN-i pääsuinfot. Kodeeritud URL-e sisaldavaid QR-koode kasutatakse sagelibrošüürides, kuid ka tööstuskeskkonnas ja logistikas. QR-koodide masinloetavuson suure veatolerantsiga, kuid inimesed ei saa neid ilma abivahenditeta dekodee-rida. Seega ei saa kasutaja enne QR-koodi sisselugemist teada, mis infot seesisaldab. Ohud on sarnased lühi-URL-ide omadega. Näiteks võivad QR-koodidkasutajaid suunata pahavaraga veebilehtedele või tasulistele telefoninumbritele.

742 / 781

Lisaks võivad QR-koodid sisaldada infot, millega kasutatakse ära lugeva lõpp-seadme operatsioonisüsteemi turvaauke. Näiteks võib QR-kood sisaldada prog-rammikäske, mis viivad puhvri ületäitumise või injektsioonirünneteni.

Näide

• Ründaja koostas QR-koodi, millega suunati kasutaja URL-i kaudu edasi vee-bilehele, mis sisaldas nutitelefonide levinud operatsioonisüsteemi jaoks väljatöötatud pahavara. Ta printis selle sobivas formaadis välja ja kleepis paljudekülastajatega tehnikamessil originaalreklaamide QR-koodid enda omadegaüle. Arvukad kasutajad lugesid QR-koodi sisse. Selle tulemusena nakatusidnende nutitelefonid pahavaraga ja hakkasid kasutajate kulul saatma tasulisiSMS-e välismaale.

743 / 781

G 5.179 Logide vastu suunatud ründed

Teenusele suunatud arhitektuuri piires võib sõnumite ja andmete vahetamiseksrakendada erinevaid protokolle. Mitte kõikidel protokollidel ei ole seejuurespiisavaid turvamehhanisme, et tagada edastatavate andmete usaldusväärsust jaterviklust ning suhtluspartnerite autentsust.

Nii võidakse näiteks HTTP rakendamisel ilma täiendava turvakihita (naguSSL/TLS) edastatavaid andmeid võrgus lugeda või isegi muuta. Veebiteenuseturvalisus sõltub seega rakendatud või toetavate suhtlusprotokollide turvalisusest.

Ka omandiõigusega või ise arendatud protokollide rakendamisel suhtluse jaokson vajalik eriline ettevaatus. Rakendusvigade oht, mida ründe toimepanija võibära kasutada, on siin võrreldes juurutatud ja avaldatud protokollidega kõrge.

Kui kasutatakse krüptograafiliselt turvatud protokolle, sõltub kaitsetoime raken-datavast krüpteerimismeetodist, võtme pikkustest ja protokollide rakendamisest.Nii võib ka SSL/TLS-i kasutamine pakkuda üksnes vähest kaitset, kui kasutataksestandardi vananenud versiooni või nõrku krüpteerimismeetodeid.

Üks sageli veebiteenuste suhtluseks kasutatav protokoll on SOAP, mis põ-hineb XML-sõnumite ülekandmisel, reeglina HTTP kaudu. HTTP või kasutatudülekandeprotokolli puuduvad turvamehhanismid tuleb seejuures asendadavastavate struktuuridega XML-is, eriti XML-allkirjad, XML-krüpteering ja auten-timisload. Muidu ähvardavad ründed nagu pealtkuulamine või sõnumi sisudevõltsimine, parameetrite manipuleerimine teenuste käivitamisel SOAP-i kaudu võiinjektsiooni-ründed.

744 / 781

G 5.180 Registrite ja hoidlate vastu suunatud ründed

Teenusele suunatud arhitektuuris hoitakse metaandmeid keskselt teenuste kata-loogides (registrid) ja metaandmete mäludes (hoidlad). Seal talletatud andmedhõlmavad teenusekirjeldusi, liideseid ja käivitamisparameetreid, aga ka teenuse-või turvapoliitikaid.

Hoidlad toimivad seejuures nagu andmebaasid või kataloogiteenused, millel onmääratletud liides teabe kuvamiseks (tavaliselt HTTP kaudu). Ebapuhta raken-damise või ebaturvalise konfigureerimise korral võib ründe toimepanija hoidlaidmanipuleerida (nt injektsiooni-rünnetega). Sellega ei pääse ründe toimepanija ligimitte üksnes pakutavatele teenustele ja rakendatud turvamehhanismidele (vt kaG 5.184 Andmete hankimine veebiteenuste kaudu ), vaid ka teenusekirjeldusteleja poliitikatele ja võib need enda omadega asendada. Selle tõttu võib ta teatudtingimustel suunata teenuste käivitamised või XML-sõnumid ümber või tühistadaettenähtud turvafunktsioonid.

Metaandmete võltsimise või kustutamisega võib ründaja kahjustada ka pakuta-vate veebiteenuste töövõimet või kasutatavust (Denial-of-Service). Mõeldav on, etDenial-of-Service-tüüpi ründega registrile või hoidlale rünnatakse tõhusalt teenu-sele suunatud arhitektuuri mõnes keskses punktis.

745 / 781

G 5.181 Veebiteenuste isikutuvastuse ja pääsuõiguste halduse vastusuunatud ründed

Selleks, et kaitsta pakutavaid veebiteenuseid kuritahtliku juurdepääsu eest, tulebrakendada vastavaid juurdepääsu kaitsemehhanisme, mis kontrollivad veebitee-nust käivitava kasutaja või teenuse identiteeti ja kaitsevad tõhusalt juurdepääsu,kui kasutajal või teenusel puudub volitus teenuse käivitamiseks. Volitus võib see-juures sõltuda ka edastatud parameetritest. Nii on näiteks mõeldav, et klient võibesitada päringuid üksnes oma tellimuste kohta või volituste haldaja võib anda vo-litusi üksnes oma asutuse töötajatele.

Esimene võimalik lähtepunkt võib ründe toimepanija jaoks olla kasutatav juurde-pääsukaitse süsteem ise. Kui ründe toimepanija leiab vigu volituste kontrollimisel,võib ta neid ära kasutada, et hankida endale lubamatu juurdepääs. See juhtuberiti siis, kui ei ole rakendatud volituste kontrollimist, sest arendajad teevad vaidkaudseid oletusi selle kohta, kes ja millises kontekstis teenuseid käivitab. See, etrakenduse funktsioon on kättesaadav alles pärast edukat sisselogimist, ei tähendasiiski, et ründe toimepanija ei saa selle taustal olevaid veebiteenuseid käivitada kaväljaspool rakenduse konteksti.Kui teenusele orienteeritud arhitektuuris (SOA) manipuleeritakse pääsukontrolli,võivad ründe toimepanijad SOA-taristu teenuste kaudu hankida lubamatuid and-meid.

Kui volituste kontrollimise juurdepääsusüsteem kasutab andmeid välisest alli-kast, näiteks kataloogide teenusest, võib ründe toimepanija proovida manipulee-rida volituste andmeid välises allikas või sisestada juurdepääsusüsteemi valesidvõi manipuleeritud volituste andmeid, nt Man-in-the Middle-tüüpi ründega (vt G5.143 Man-in-the-Middle tüüpi rünne ).

Teine pidepunkt on veebiteenust käivitava kasutaja või teenuse identiteet. Kuiründe toimepanijal õnnestub algatada teenuse käivitamine volitatud kasutaja võiteenuse identiteediga, võib ta nende volitusi oma ründe läbiviimiseks tõhusalt ärakasutada.

Sellist identiteedivargust võimaldab näiteks sessiooni halduse nõrk rakendami-ne („Session Hijacking” või „Session Fixation”, vt ka G 5.169 Veebirakenduste javeebiteenuste puudulik seansihaldus ). Muud ründeliigid hõlmavad sõnumite sal-vestamist ja salvestatud sõnumite uuesti sisestamist (algse saatja kehtivate auten-timisandmetega) muus kontekstis („Replay-rünnakud”). Kui selle vastu ei ole ettenähtud kaitsemeetmeid, saab ründe toimepanija hankida ja kasutada rakendatudkrüpteeringut murdmata isegi krüpteeritud sõnumeid.Muud ründeliigid hõlmavad sõnumite salvestamist ja salvestatud sõnumite uuestisisestamist (algse saatja kehtivate autentimisandmetega) muus kontekstis (replay-ründed). Replay-ründe korral kasutatakse veebiteenuse poolt heaks kiidetud sõ-numeid veelkord. Seejuures hangib ründe toimepanija tavaliselt kasutajatelt keh-tivad sõnumid ja saadab need uuesti veebiteenusele. Replay-ründeid kasutataksetavaliselt järgmiste rünnete, nagu näiteks denial-of-service- või man-in-the-middle-tüüpi rünnete tegemiseks. Sageli aitavad need ründe toimepanijatel vältida auten-timismehhanisme. Kui selle vastu ei ole ette nähtud kaitsemeetmeid, saab ründetoimepanija hankida ja kasutada rakendatud krüpteeringut murdmata isegi krüp-teeritud sõnumeid.Lõpuks võib rünnata ka väliseid, veebiteenuse poolt kasutatavaid identiteedi hal-damise teenuseid eesmärgiga esitleda end veebiteenuses tõhusalt volitatud tee-nuse kasutajana. Teenuse autentimise puuduvate mehhanismide korral võib rün-

746 / 781

de toimepanija kasutada seejuures veebiteenuse või teenuse kasutaja suhtes kaenda identiteedi-teenust ja esitada niimoodi teenusele vale identiteedi või pannaseadusliku kasutaja avalikustama autentimisandmeid.

747 / 781

G 5.182 Marsruutide manipuleerimine (Routing Detours)

SOAP-sõnumid võivad standardite WS-Routing või WS-Addressing kasutamiselsaada andmeid marsruudi kohta, mille sõnum peab läbima. Seeläbi võivad tek-kida suhtlusvood, aga ka tööprotsessid, milles näiteks üht tellimussõnumit edas-tatakse üksteise järel erinevatele teenustele (saadavuse kontroll, maksmine, tel-limine). WS-Routing’u kasutamisel sisaldab sõnum juba kõiki sihtaadresse, WS-Addressing’u puhul ainult järgmise adressaadi oma.

Kui ründe toimepanijal õnnestub Man-in-the-Middle-tüüpi ründega (vt ka G5.143 Man-in-the-Middle tüüpi rünne ) manipuleerida SOAP-sõnumeid saatmiselvõi ülekandeteel, võib sõnumi sisu muutmise kõrval muuta ka sisestatud marsruu-di andmeid. Sellega saab ründe toimepanija kontrolli sõnumi edasise töötlemiseüle. Võimalikud sarnased ründed on järgmised:

• Ründe toimepanija võib SOAP-sõnumi marsruuti laiendada tema enda kont-rolli all olevate täiendavate süsteemide võrra. WS-Routing’u kasutamiselon seejuures võimalik sõnumit isegi pärast töötlemist ettenähtud teenusekaudu tagasi saata ründe toimepanijale. Nii saaks ta näiteks vähendadahinda, suunata sõnumit makseteenusele ja sealt jälle oma süsteemile,mis tühistab manipuleerimise, enne kui sõnum edasi ühendatud teenuseleedastatakse.

• Ründe toimepanija saab takistada SOAP-sõnumi edastamist ettenähtudteenustele. Nii võib näiteks vahele jätta maksmise toimingu või seal vaheloleva kontrollimisetapi, nii et sõnum saadetakse otse järgmisele ettenähtudteenusele.

• Ründe toimepanija saab muuta teenuste, millele sõnum edastatakse,järjekorda või järgnevust. Vastavalt rakenduse arhitektuuri loogikale saabründe toimepanija seda enda kasuks ära kasutada.

• Ründe toimepanija võib sisestada marsruudile kehtetuid aadresse ja takis-tada sellega sõnumite saatmist või kutsuda esile rikkeid (Denial of Service).

748 / 781

G 5.183 XML-i vastu suunatud ründed

Veebiteenused kasutavad sageli oma sõnumivormingu jaoks alusena XML-i.Selle tulemusel tekib olukord, kus kõik saabuvad sõnumid edastatakse kõigepealtXML-parserile, mis hindab XML-struktuure ja filtreerib saadud andmed töötle-miseks veebiteenuse kaudu.

XML-parserit ei arendata seejuures iga veebiteenuse jaoks uuesti, vaid seotak-se kolmanda osapoole valmis komponentidena. Sellised XML-parserid pakuvadseejuures funktsiooni ulatuses, mis ületab sageli veebiteenuse tegelikult vajatavaparserifunktsiooni. Sellega koos suureneb ka veebiteenuse rünnatav ala. Alatileidub kasutatavates XML-parserites ka nõrku kohti, mida ründe toimepanija saabära kasutada, luues vastavad XML-sisendid. Just kasutamata parserifunktsiooni-de nõrgad kohad jäetakse seejuures sageli tähelepanuta või alahinnatakse nendetähendust.

Seoses sellega, et XML-dokumendid võivad olla väga keerulised, võib vastavalttõusta ka XML-parserite ressursside kasutamine. Seda võivad ära kasutadaründe toimepanijad, kujundades XML-struktuurid nii (pesastamine, rekursioon,välised viited), et nad suurendavad sihipäraselt parseri ressursside tarbimist javiivad sellega töötleva süsteemi koormuse piirini.

Teada on erinevaid ründeliike, mis põhinevad spetsiaalsete XML-sõnumiteloomisel, et saavutada ründe eesmärk.

Sunniviisiline parsimineSunniviisilise parsimisega koormab ründe toimepanija rakendatud XML-parseri

üle, saates sellele sisendina väga suure või piiramatu hulga käivituselemente(Opening Tags) XML-elementide jaoks. Kui parseril ei ole töötlemiseks katkes-tuskriteeriumi, määrab see iga uue avatud elemendi jaoks pesastustasemel uuesalvesti, kuni olemasolevad ressursid on ammendunud.

XML-üksuse laiendus (XML-pomm)Selle rünnaku korral kirjeldatakse väga lühikeste XML-dokumentidega üksuse

määratluste väga tugeva pesastamise või rekursiooni kaudu ulatuslikke and-mestruktuure. XML-parserid, mis seda liiki rünnakuid ei tuvasta ja sihipärasekatkestuskriteeriumi kaudu ei takista, konstrueerivad XML-dokumentide analüü-simisel salvestis kirjeldatud andmestruktuuri. Ründe toimepanija saab seetõttuväga vähese vaevaga blokeerida täielikult olemasolevad süsteemi ressursid. Selleründe variandid kasutavad väliseid viiteid ja sulgevad nii täiendavalt ressursse.

749 / 781

XML-i dokumendi suurusRünde toimepanija saadab veebiteenusele ülipika dokumendi, et viia XML-

parser olemasolevate süsteemiressursside ammendumisele.

Liiga suur XMLSelle ründeliigi korral kasutab ründe toimepanija olukorda, et standard ei näe

XML-koostisosade nagu elementide nimed, atribuutide nimed või nimeruumidjaoks ette pikkuse piiranguid ja proovib nende koostisosade ülipikkade pikkustegasundida XML-parserit kokku jooksma.

XML-dokumendi laius / XML-dokumendi sügavusKa selle ründe eesmärk on süsteemiressursside kasutamine läbi parseri,

kasutades siin eelkõige ülisuurt hulka atribuute (laius) või pesastustasemeid(sügavus) ning hõivates seejuures ülisuuri salvestihulki.

XML-i hea vormistusXML-parsereid saab rünnata ka teadlikult XML-struktuuri sisestatud vigade

kaudu. Need võivad olla näiteks sarnased või mittesuletud XML-elemendid.Olenevalt rakendusest võidakse sellega esile kutsuda rikked parseris, mida eikäsitleta nõuetekohaselt.

XML-skeemide mürgitamine (Poisoning)XML-skeeme kasutatakse, et kontrollida XML-andmete kokkusobivust ooda-

tavate struktuuridega. Kui ründe toimepanijal õnnestub manipuleerida väljastviidatud skeeme või need enda omadega asendada, võib ta võimaluse korraltühistada veebiteenuse kaudu ülekantavate andmete kontrollimise ja sisestadakahjulikke komponente.

XML-i välised üksused / XML-i välised viitedXML-dokumendid võivad sisaldada viiteid välistele dokumentidele või üksus-

tele, mis tühistatakse XML-dokumendi töötlemisel parseri kaudu automaatseltseeläbi, et parser laadib alla välised ressursid ja analüüsib neid. Nii saavutabründe toimepanija, et parserisüsteem on käivitanud ühendused antud URL-idele.Denial-of-Service-tüüpi rünnakute kõrval võib ründe toimepanija ülisuurte võimitte kättesaadavate dokumentide allalaadimisega seda ka selleks ära kasutada,et tühistada näiteks turvalüüse, nii et parserisüsteem käivitab ühendused omavõrgukeskkonnast. Nii võib sel moel käivitada näiteks muud DMZ-is olevadveebiteenused, mida ei saa käivitada väljastpoolt.

750 / 781

Kui ründe toimepanijal õnnestub muuta väljastpoolt kasutatavate ressurssidesisusid, võib ta sellega vahetult rünnata ka veebiteenust, kui see laadib seadus-liku käivitamise ajal teise kasutaja kaudu alla manipuleeritud ressursse, kaasaarvatud ründe toimepanija kahjulikke sisusid.

XML Signature WrappingXML-allkirjad tagavad XML-dokumentide tervikluse ja/või autentsuse, nii

et need moodustavad elementidest krüptograafilised kontrollsummad, mis onallkirjas tähistatud vastava viitega. Allkiri kindlustab seejuures ainult viidatudelemendi, olenemata selle sisestamisest XML-konteksti. Ründe toimepanija saabtänu sellele hoolitseda XML-dokumendi muutmisega selle eest, et allkirjaga kind-lustatud element jääb iseenesest muutmata, aga seda ei analüüsita parseri pooltvõi kavatsetud kujul, sest XML-struktuuri sisestatakse näiteks muud sarnased,kõrgemal tasemel manipuleeritud sisuga elemendid. Allkirja kontrollimine viibedasi positiivse tulemuseni, kuigi veebiteenus töötleb manipuleeritud sisusid.

Siin esitatud ründeliigid on üksnes näited. Teada on ka muid ründeid või arenda-takse välja uusi, mis põhinevad aga samadel või väga sarnastel ründepõhimõtetel.

751 / 781

G 5.184 Andmete hankimine veebiteenuste kaudu

Selleks, et teenuseid oleks teenusele suunatud arhitektuuri (SOA) kaudu võimalikvaldkonnaüleste ülesannete täitmiseks dünaamiliselt kombineerida (orkestree-rimine), pakuvad üksikud veebiteenused andmeid enda ja oma liideste kohtastandardiseeritud kujul WSDL-dokumentidena (Web Service Description Lan-guage). Teenuste tarbijad võivad tänu sellele kuvada kõiki teenuse käivitamiseksvajalikke andmeid standardiseeritud, masinloetavas vormis. WSDL-dokumentepakutakse SOA-s keskse kataloogi kaudu (Repository ).

Nendest liidesekirjeldustest nähtuvad andmed võivad sisaldada siiski olulisijuhiseid ka ründe toimepanijale ja aidata kaasa teenustele sooritatavate rünneteettevalmistamisele või lihtsustamisele. Seoses sellega, et WSDL-andmed luuaksesageli automaatselt kasutatavatest arendusraamistikest, sisaldavad need tihtirohkem andmeid, kui kasutamiseks tegelikult vaja oleks.

Ründe toimepanijad, kelle ründed on suunatud veebiteenuste vastu, alustavadsageli uuringuetapist, mille jooksul püüab ründe toimepanija käivitada ja analüü-sida pakutavate teenuste WSDL-andmeid, näiteks otsingumootori abil (WSDLGoogle Hacking).

Andmete hulka, mis ründe toimepanijatele huvi pakuvad, kuuluvad

• käivitatavate meetodite ja sinna juurde kuuluvate parameetrite nimed. Justautomaatselt loodavate WSDL-dokumentide puhul on siin sageli tegemistmeetoditega, mis ei ole ette nähtud väljastpoolt käivitamiseks. Ründe toi-mepanijad võivad selliste meetodite otsese käivitamisega proovida vältidaturvafunktsioone nagu volituste kontroll.

• andmed kasutatavate nimeskeemide kohta. Nii võivad ründe toimepanijadavalikustatud meetodite nimede järgi ära arvata muude, mitteavalikustatudmeetodite nimesid ja käivitada neid otse. Mitteavalikustatud, aga avalikus-tatud nimedest tuletatud meetodite proovimist nimetatakse ka WSDL Scan-ning’uks või WSDL Enumeration’iks.

Andmetega kättesaadavatest (avalikustatud või tuletatud) meetoditest ja käivi-tusparameetritest võib ründe toimepanija proovida otse käivitada funktsioone, misei ole tema jaoks mõeldud. Edasi võib ta aga ka käivitusparameetrite muutmisekaudu provotseerida rikkeid, et teha näiteks veateadetest edasisi järeldusi tehnili-se teostuse jaoks (näiteks andmebaasid ja väljanimed, kasutatud raamatukogudja raamistikud). Veateadetest võib ka järeldada, kuidas kontrollib teenus edasta-tavaid parameetreid. Teadmiste põhjal on võimalik käivitada järgmisi ründeid (ntinjektsiooni-ründed).

752 / 781

Järgmine ründevariant seisneb selles, et manipuleerida URL-i käivitamaveebiteenust, et leida selle kaudu muid teenuseid, mille väljastpoolt käivitamineei ole ette nähtud, ja neid ära kasutada (nt serveri-kataloogide vahetamisegaDirectory Traversal ’-iga). Sellised ründed ähvaravad eriti REST-liideste puhulURL-i semantilise tähenduse kaudu teenuse käivitamisele.

753 / 781

G 5.185 Füüsiline juurdepääs salvestusvõrgu kommutaatoritele(SAN-switch’idele)

Kui asutuse pääsukontrollid salvestisüsteemi komponentidele ei ole piisavad võipuuduvad need täiesti, on ründe toimepanijal võimalik hankida endale füüsilinejuurdepääs olemasolevatele kommutaatoritele (switch’idele) või ühendada võrkutäiendavaid FC-SAN-kommutaatoreid.

Sellise ründe taga võivad peituda järgmised kavatsused, mis kujutavad endastasutusele ohtu.

• Juurdepääsu eesmärk võib olla, et ründe toimepanija pääseks ligi jagatudtsoneerimis-andmebaasile, et muuta seda niimoodi, et ta saaks salvestisüs-teemidele juurde pääseda.

• Andmevoogu smugeldatakse täiendavad FC-SAN-kommutaatorid, et sal-vestada andmeid, muutes FC-marsruutimist.

• Serveri andmebaasi nime muudetakse nii, et ründe toimepanija kujutab en-dast sihtsüsteemi ja saab sellega hankida käivitite andmeid.

• WWN-Spoofing kui alus järgmiste rünnete läbiviimiseks (vt nt G 5.186Juurdepääs teiste teenusetarbijate andmetele WWN-Spoofing’uga )

Füüsiline juurdepääs salvestisüsteemi komponentidele võib siit tulenevalt toi-muda ka kavatsusega viia läbi Denial-of-Service-tüüpi rünnak (DoS). Ründe toi-mepanijal on selleks kasutada erinevad manipulatsioonivariandid:

• komponentide väljalülitamine,• peidetud kaablite ümberühendamine või eemaldamine,• kaablite painderaadiuste kahjustamine, et segada andmete edastamist või

takistada täielikult andmete ülekandmist,• Reconfigure-Fabric-sõnumite (RCF) saatmine, et segada normaalset and-

meliiklust.

754 / 781

G 5.186 Juurdepääs teiste teenusetarbijate andmeteleWWN-Spoofing’uga

Programmide abil, mida saab kasutada Host Bus Adapter’ite (HBA) tootjatekaudu, saab muuta HBA World Wide Name’i (WWN). Seega pääseb ründetoimepanija ligi andmetele, mille nägemiseks tal puudub volitus. Petva HBAWWN-i teadmine muudab sellise ründe küll lihtsamaks, kuid ründe toimepanijalon siiski võimalus teostada neid ka muul moel. Üks lihtsalt edastatav WWN-i osaon vastava tootja Object Identifier (OID). Kui HBA-d on pärit samast tootepartiist,asuvad WWN-id suure tõenäosusega väga lähestikku. Tänu sellele saab Brute-Force-tüüpi-rünnakute abil WWN-i kokku panna.

WWN-i manipuleerimine, tähistatud ka kui WWN-Spoofing, peidab endasasutuse jaoks väga suurt ohuvõimalust. Eriti simultaanteeninduse salvestisüs-teemide tõttu võivad selliste rünnete tagajärjeks olla lubamatud juurdepääsudteiste teenusetarbijate andmetele.

Võimalikud ründed WWN-Spoofing’u kaudu on järgmised:

• Puuduv või mitteküllaldane õiguste ja rollide kontspetsioon võimaldab ad-ministratiivset juurdepääsu tööriistadele, millega saab HBA-l manipuleeridaWWN-i .

• WWN-tsoneerimisel võimaldab WWN-Spoofing lubamatut ligipääsu võrgu-ressurssidele.

• Port-tsoneerimise kasutamine võimaldab füüsilist juurdepääsu komponenti-de ühendamiseks vastavate portidega. Selle ründega saab ründe toimepa-nija manipuleerida kõiki andmeid antud WWN-is.

• LUN-Masking’ite manipuleerimine WWN-Spoofing’u abil toob kaasa selle,et süsteemid pääsevad ligi salvestiressurssidele, millele neil algselt puudusõigus.

755 / 781

G 5.187 Võrgu loogiliste lahutuspiiride ületamine

Kui erinevate teenustarbijate võrgustruktuuride eraldamine ei toimu füüsiliselt eral-datud võrkude loomise kaudu, vaid kasutatakse virtuaalseid Storage Area Ne-twork’e (VSAN-id) või Local Area Network’e (VLAN-id), võib see teatud juhtudelpõhjustada ohtu asutuse teabeturvalisuse jaoks.

Kui ründe toimepanijal õnnestub näiteks nõrkade kohtade ärakasutamisegasisse tungida teise teenusetarbija võrku, võib ta sel moel saada administratiivsejuurdepääsu selle teenusetarbija SAN-ile või LAN-ile või ka ülekantavatelekasulikele andmetele. Puuduvad või ebapiisavad õiguste, rollide ja tsoonidekontseptsioonid suurendavad seejuures rünnete kahjupotentsiaali.

Põhimõtteliselt on lahutuspiiride ületamine võimalik mitmete teede kaudu (vt kaG 5.115 Virtuaalsete kohtvõrkude (VLAN) vaheliste piiride ületamine ):

• Ründe toimepanija saab füüsilise juurdepääsu kommutaatorile ja saab sedamanipuleerida.

• Ründe toimepanija kasutab olemasolevat valekonfiguratsiooni. Ühelt pooltvõidakse seejuures konfigureerida simultaanteenindus valesti, nii et ründetoimepanija pääseb ligi teisele teenusetarbijale. Teiselt poolt võib kasutajategelik liigitamine virtuaalse SAN-i või LAN-i juurde olla valesti teostatud.Ründe toimepanija saab tänu sellele juurdepääsu andmetele virtuaalvõrgus,mille jaoks tal algselt volitus puudus.

• Ründe toimepanija kasutab ära paikadeta tarkvara turvaauku.

Virtuaalsetes Storage Area Network’ides (VSAN), mille füüsilisel SAN-serverilei ole piisavas koguses Fibre-Channel-Port’e, kasutatakse N-Port ID Virtua-lization’it (NPIV). NPIV võimaldab füüsilisel Host Bus Adapter Port’il astudaühendusse paljude World Wide Port Name’idega (WWPN). NPIV rakendamineFibre-Channel-võrkudes võib kaasa tuua selle, et server saab sama WWPN-ikasutamisega volitamata juurdepääsu teise serveri andmetele.

756 / 781

G 5.189 Salvestipõhiste replikeerimismeetodite konfidentsiaalsusekadu

Salvestipõhistel replikeerimismeetoditel oli varem eesmärk duplitseerida salves-tivõrgu kaudu reaalajas salvestatud või arhiveeritud andmeid ja luua sellegatäiendavaid liiasusi. Niimoodi välditakse andmekaotust.

Krüpteerimata andmete automaatne replikeerimine peidab endas siiski riskenii enda Campus-võrgu kui ka avalike võrgupakkujate kasutamisel. Nii IP- kui kaFC-replikatsiooni korral on ründe toimepanijatel võimalus kasutada ära salvesti-põhiseid replikatsiooni turvaauke, et pääseda andmetele volitamata juurde.

Põhimõtteliselt võib eristada järgmisi ründeid.

• Volitamata juurdepääs toimub seaduslikus replikatsiooniliikluses, näiteksFC-analüsaatorite (FC-replikatsioon) või võrgunuuskurite (IP-replikatsioon)rakendamise abil. Vt ka G 5.7 Liinide pealtkuulamine .

• Ründe toimepanija käivitab autentimata replikatsiooni enda poolt kontrollita-va süsteemi kui eesmärgi kaudu.

• Ründe toimepanija hangib juurdepääsu olemasolevale replikatsioonile, kuisee ei ole või on ebapiisavalt kaitstud.

757 / 781

G 5.190 Teenuste väärkasutus

Rünnete toimepanijad võivad teatud juhtudel kuritarvitada asutuse poolt kasutata-vaid pilvteenuseid. Selline väärkasutamine põhineb seejuures tavaliselt eelkõigealgsel tellijal. See võib pilvteenuse kasutaja jaoks kaasa tuua majandusliku kahjuja mainekaotuse.

Kui kolmas isik kuritarvitab teenuseid, toimub see enamasti eesmärgiga viia läbiüht või mitut järgmistest ebaseaduslikest tegevustest:

• rämpsposti laialisaatmine,• robotvõrkude kasutamine,• päritolu varjamine edasiste ebaseaduslike tegevustega,• pahavara paigaldamine,• teenuse tasuta kasutamine isiklikel eesmärkidel.

Põhimõtteliselt võib kolmas isik kuritarvitada pilvteenuseid mitmel moel. Ründetoimepanija võib kasutatavate liideste kaudu hankida endale juurdepääsu teenu-sele (vt G 5.89 Võrguühenduse ülevõtt ). Ohtu kujutavad endast ka turvaaugudveebiliidestes ja protokollides, mida kasutavad seotud kliendid. Lisaks on turva-aukude ärakasutamine mõeldav pilvteenuse tehnilises teostuses. Kui kasutajatevalideerimine puudub või on ebapiisav (nt antud e-posti aadressi kinnitamisega),võimaldab see pilvteenuse kompromiteerimist häkkeri või rämpsposti saatja pooltvõi pahavara paigaldamisega.

758 / 781

G 5.191 Teenusarvete andmete manipuleerimine

Telliv asutus peaks pärast arveldusandmete koostamist läbi viima kontrolli nendejälgitavuse ja õigsuse osas.

Praktikas on kasutaja poolt tegelikult kasutusse võetud teenuseid siiski rasketõendada. Teenuste osutamise tagajärjed, mis on tekkinud teenuse katkestustevõi kokkulepitud teenusetasemest mittekinnipidamiste tõttu, ei ole kasutaja jaoksteatud juhtudel läbipaistvad.

Kasutajale pannakse arvele teenused, mida tegelikult ei ole osutatud.

759 / 781

G 5.192 Helistaja või SMS-i saatja telefoninumbri võltsimine

Tänapäeval on üsna vähese vaevaga võimalik esitada kõne vastuvõtjale helista-ja (Caller-ID-Spoofing) või SMS-i saatja (SMS-ID-Spoofing) vale telefoninumbrit.Ründe toimepanijad saavad nii teeselda töölähetuses olevale töötajale, et kõne tu-leb oma asutusest või kliendilt ning hankida sel viisil konfidentsiaalseid andmeid.Ka tuttava saatja lühisõnumit usaldatakse rohkem ja pahavaraga manus avataksehoolimatumalt.

Näited.

• iPhone’i jaoks on mõnda aega olemas SpoofApp, millega helistaja saab va-balt valida telefoninumbri, mida kõne vastuvõtjale näidatakse. Nii saab töö-lähetuses olev töötaja näiteks kõne oma firma arvatavalt prokuristilt, kestahab kiiresti teada just tehtud pakkumise hinda. Töötaja avaldab numbridja ründe toimepanija müüb andmed edasi konkurendile, kes teeb madalamahinnapakkumise.

• SMS-Spoofing’uga on võimalik telefoninumbri asemel kuvada vastuvõtjalenime. Nii saab ründe toimepanija näiteks takistada, et suure ettevõtte juhtreisiks tähtsale nõupidamisele. Selleks peab ta üksnes võltsima ettevõttejuhi lennufirma SMS-i, et lend on tühistatud.

760 / 781

G 5.193 Nutitelefonide, tahvel- ja pihuarvutite ebapiisav kaitsepahavara eest

Nutitelefonidel, tahvel- ja pihuarvutitel on enamasti ainult üks aktiivne piiratud õi-gustega kasutajakonto. Administraatori konto on tavaliselt välja lülitatud. See tä-hendab, et kasutajad saavad küll installeerida ja eemaldada uusi rakendusi, kuidei saa ise teostada suuremaid muudatusi operatsioonisüsteemis. Sellised admi-nistratiivsed õigused on ligipääsetavad üksnes operatsioonisüsteemi manipuleeri-misega („rooten” või „jailbreaking”).

Teisiti kui lauaarvutite puhul, ei ole seetõttu võimalik varustada programme pa-havaraprogrammide eest kaitsmiseks nii suurte õigustega, et neid ei oleks võima-lik pahavaraprogrammidega manipuleerida. Leidub sellist pahavara, mis kasutabära operatsioonisüsteemi turvaaugud, et hankida endale seadme administratiiv-sed õigused. Sellega on pahavaraprogrammil suuremad õigused kui mis taheskaitseprogrammil. Selliseid pahavaraprogramme on väga raske tuvastada ja neidei ole tavapäraste vahenditega võimalik enam seadmest eemaldada.

Järgmine takistus kaitseprogrammide jaoks on see, et ühe rakenduse juurde-pääs teisele rakendusele on tavaliselt piiratud ja mõnedel platvormidel isegi täiestivälistatud. See raskendab kaitseprogrammide tööd või muudab selle isegi võima-tuks.

Lisaks sellele töötavad kaitseprogrammid pahavara tuvastamiseks enamasti ai-nult viirusesignatuuridega. Lisameetodid, nagu heuristilised andmeanalüüsid võikäitumise analüüs ei ole tavaliselt piiratud akuvõimsuse tõttu kasutatavad. Mee-todid, mis seda probleemi välise andmeliikluse analüüsi kaudu lahendada taha-vad, tõstatavad siiski andmekaitseõigusega seotud küsimusi ja tekitavad turvaris-ke, sest siin analüüsitakse kogu seadmele edastatavat andmevoogu heuristiliseotsinguga. Selle jaoks tuleb murda krüpteeritud ühendused või analüüsi ei ole või-malik teostada.

761 / 781

G 5.194 GSM-koodide smugeldamine telefonifunktsioonidegalõppseadmetesse

GSM-koodid (või ka USSD- või MMI-koodid) koosnevad numbrikombinatsiooni-dest, mis algavad või lõpevad tähe, rombi või mõlemaga. Need panevad sead-me teostama mingeid kindlaid funktsioone. Tuntud GSM-kood on *#06#, mis toobkõikidel telefonifunktsioonidega seadmetel kaasa selle, et ekraanil kuvatakse rah-vusvaheliselt üheselt mõistetavat seadme ID-numbrit (IMEI-number). Lisaks võibGSM-koodidega muuta ka PIN- ja PUK-koode.

Lisaks GSM-koodidele on olemas veel tootjale omased koodid, mis lähtesta-vad näiteks seadme tehase seadetele või käivitavad teenusemenüüd. Järgminekoodide klass sõltub võrguoperaatorist või mobiiliside pakkujast, nt krediidikontopäringu esitamiseks.

Teabeturvalisuse oht tekib seetõttu, et need GSM-koodid ei ole mõeldudüksnes seadmel otseseks sisestamiseks, vaid neid võib edastada seadmele kamuude liideste kaudu. Nii võivad vastavalt konfigureeritud veebilehed vahendadaGSM-koode seadme brauseri kaudu. Ka QR-koodid (vt G 5.177 Lühi-URL-ide võiQR-koodide kuritarvitamine ) võivad sisaldada GSM-koode ja edastada neid pä-rast skaneerimist seadmele. Lisaks on võimalik, et sellised koodid smugeldatakseseadmesse „Near-Field-Communication”-liidese (NFC-liides) kaudu. Nii on ründetoimepanijatel võimalik näiteks installeerida seadmele andmete spioneerimisekspahavara või sulgeda SIM-kaardi.

Näited.

• Ühel ründe toimepanijate loodud veebilehel sisaldub GSM-kood PIN-koodikolmekordseks muutmiseks ja seejärel PUK-koodi kümnekordseks muut-miseks. Töötaja külastab oma nutitelefoniga seda veebilehte ja GSM-koodedastatakse tema seadmele. Seejärel on SIM-kaart niimoodi suletud, et ka-sutaja ei saa seda enam ilma IT-osakonna abita avada.

• Ründe toimepanijad kleepisid QR-koodi ühel reklaamplakatil teise QR-koodiga üle. See sisaldab nüüd täiendava teabega veebilehe linkide asemelGSM-koodi püsivara lähtestamiseks. . Selline juhtum ei ohusta mitte üks-nes teabeturvalisust, vaid kahjustab ka antud asutuse mainet, kust posterpärineb.

762 / 781

G 5.195 Turvaaukude ärakasutamine Backend-rakendustes

Üldiselt võib protseduuride kaugkäivituste Backend-rakendustele edastamisekskasutada XML-transpordikonteinerit, nii et nende funktsioonid on kasutatavad. Kuisüsteemid avatakse kaugkasutuseks, võivad tekkida märkimisväärsed turvariskid,mis võimaldavad halvimal juhul üle võtta kogu IT-süsteemi. Eriti Legacy-süsteemidsisaldavad sageli tõsiseid turvaauke, mida ründe toimepanijad saavad hõlpsalt ärakasutada. Need süsteemid on vastuvõtlikud näiteks Buffer-Overflow-rünnetele.

763 / 781

G 5.196 Teabe ja teenuste sünkroniseerimise takistamine jaotatudSOA-keskkonnas

Jaotatud SOA-keskkonnas, nt mobiilses keskkonnas, esitatakse üksikuid teenu-seosutajaid nende kasutatavuse suurendamiseks mitmekordse varuga. Teenusteja andmete sisu jaoks on nõutav, et teenuseosutajad sünkrooniksid end üksteise-ga perioodiliselt või sündmuste põhiselt.

Ründe toimepanijat, kellel on teadmised teabestruktuuri kohta ja kes võib ees-märgipäraselt rünnata kriitilisi sideühendusi, saab takistada või ennetada, kui tee-nuseosutajad sünkroniseerivad end õigeaegselt.

764 / 781

G 5.197 SAML-pääsmiku väärkasutus SOA-keskkonnas

Infodomeeni A kliendi juurdepääsu korral infodomeeni B teenuseosutajale tulebühelt poolt kontrollida, kas vastaval kliendil on juurdepääsuõigus sellele eemalasuvale ressursile. Teiselt poolt peab vastav teenuseosutaja sellest sõltumatultkontrollima, kas selle kaugpöörduse võib heaks kiita.

Kui volitused on kontrollitud, kasutatakse suhtluses Security-Assertion-Markup-Language-(SAML)-pääsmikku, mis võimaldab juurdepääsu. SAML-pääsmiku võibsiinjuures väljastada nii domeenile A kui ka domeenile B Security-Token-Service(STS).

Siin on esitatud kaks SAML-pääsmiku andmise mudelit:

• Liit-mudel: domeeni A klient taotleb oma kohalikult STS-teenuseosutajaltSAML-pääsmikku juurdepääsuks domeeni B määratletud teenuseosutaja-le. Domeeni A STS-teenuseosutajal on nõutavad teadmised domeeni Bteenuseosutaja kohta ning ta saab seega väljastada mõlema jaoks SAML-pääsmiku.

• Enterprise-mudel: siin on üksnes domeeni B STS teenuseosutajal vajalikudteadmised domeeni B vastava teenuseosutaja kohta. Sellisel juhul võtabdomeeni A STS-teenuseosutaja ühendust domeeni B STS teenuseosuta-jaga ja väljastab läbirääkimiste põhjal SAML-pääsmiku, mille vastav STS-teenuseosutaja edastab seejärel oma kliendile (või teenuseosutajale).

Esimesel juhul usaldavad kõik instantsid käivitava domeeni STS-teenuseosutajat, teisel juhul usaldavad ühe domeeni instantsid üksnes omakohalikku STS-teenuseosutajat. Sellisel juhul käsitletakse STS-teenuseosutajaidparalleelselt.

Üldiselt seisneb oht selles, et usaldussuhe luuakse või see eksisteerib domee-nipiiride üleselt. Sekkumisvõimalused selle usaldussuhte loomisel põhjustavad se-da, et SAML-pääsmik võidakse väljastada volitusteta ja ilma, et suhtlemises osale-vad instantsid seda teaksid.

765 / 781

G 5.198 WS-Notification-Broker’i väärkasutus SOA-s

NotificationBroker saab Subscription’i NotificationConsumer’i jaoks, kusjuures vii-mase käivitas asendaja. Seoses sellega on olemas Denial-of-Service- (DoS)-ründe oht tuntud aadressile, mille korral saadab maakler etteantud aadressile paljusõnumeid (Notifications).

Kui töötatakse kehtiva suunisega, võib igaüks käivitada liidesel operatsiooni (vtG 5.183 XML-i vastu suunatud ründed ). Subscription’is määratakse teenusetar-bija jaoks sihtaadress. Niipea kui abonent on ka sõnumi saaja, luuakse Peer-to-Peer-side.

Teabele juurdepääsu jaoks toetavad WS-Notification-standardidPublish/Subscribe-meetodit.

Kui kasutatakse NotificationBroker’it võib juhtuda, et maaklerite kõrval kasuta-takse oma infodomeenis ka muude domeenide maaklereid.

Andmed, mida teenuseosutaja maaklerile teises domeenis edastab, ei allu siiskienam oma domeeni halduskontrollile. Jagatavaid andmeid kaitsmata on seegaolemas oht, et volitusteta NotificationConsumer’id pääsevad nendele andmetelevõõra suunise juurdepääsu abil ligi.

NotificationConsumer’id võivad sisse logida, et pääseda ligi teatud teemade-le (Topics). Kui NotificationBroker jagab sõnumid (Notifications) koos nende To-pics’itega vastuvõtjate rühmale, võib ta koondada vastavad NotificationConsu-mer’id oma IP-aadressi kaudu ühte rühma ja saata sinna juurde kuuluvad sõnumidsellele rühmale (One-Way-Notification).

Kui erinevad teenusetarbijad koondatakse ühe rühma-aadressi alla, peitub sel-les oht, et Multicast-adresseerimise korral internetis on tegemist anonüümse rüh-maga, mille kontroll- ja replikeerimismehhanismid ei ole maakleri administraatoriteega ka teenusetarbija kontrolli all.

Rühma sisselogimist ja teadete saatmist rühmale saab toetada ühe suunisega.Kui rühmasuhtluse korral tuleb ellu viia suunis, suurendab see siiski Peer-to-Peer-side ohtu: juurdepääsu kaudu Multicast-teenuseosutajale võib ründe toimepanijahaakida end infovoo külge, läbimata maakleri juures nõutavat autoriseerimist, näi-teks võrgus „Sparse Mode Rendezvous Point (RP)”.

Kui NotificationConsumer logib end teatud Topic’usse teavitatakse teda One-Way-Notification’i kaudu NotificationBroker’i vastava teabega maakleri kohalikekehtivate suuniste (Policies) kohaselt.

Maakleri juures võib siiski Subscription kaduma minna, nt kui see kustutatak-se automaatselt, tehniliselt või teadlikult käsitsi. Teenusetarbija ei tuvasta, et taei saa ühtegi väljaannet, sest maakleris ei ole sõnumeid või et määratletud eiole enam ühtegi Subscription’it. Praegu ei ole olemas protokollivahendeid, millegasaab kontrollida juba rakendatud Subscription’i olekut.

WS-Notification’i sisu kaitse ja õige liigitamise eest vastutab olukorra põhjustaja(looja). Seoses sellega, et selle WS-Notification’i vastuvõtjate võimalik ring ei oleette teada, võib kasutada vastuvõtjate kasutajasertifikaati.

Teine võimalus on kasutada atribuudi sertifikaati. Siiski on siinjuures probleem,kuidas jaotatakse volitatud vastuvõtjatele privaatne võtmeosa. See oht muutubveel suuremaks, kui asjakohast WS-Notification’i jaotatakse rohkem kui ühele in-fodomeenile. Kõige suurem oht peitub selles, et sellise privaatse võtmeosa oma-mine ei näita veel selle kasutamise õigust.

766 / 781

G 5.199 SOAP-suhtluse ebapiisav kaitse

Veebiteenustel puudub põhimõtteliselt olek. „Web Services Resource Framework”(WSRF) kirjeldab, kuidas saab teha päringuid olekuga seotud ressurssidesse,neid muuta ja esitleda. Ressursside andmed koondatakse ühte pääsmikku ja saa-detakse seega läbipaistvalt teenuseosutajalt kliendile.

Kui on vaja kaasata ressursside olek, toimub see enamasti siiski väljaspoolkaitstud keskkonda, nii et siin peavad andmed läbima erinevad klassifitseerimis-astmed. Seejuures saavad ründe toimepanijad kõrgemale klassifitseerimisastme-le ülemineku korral manipuleerida parameetri väärtust nii, et seda ei avastata.

Teise võimalusena lubab World Wide Web Consortium (W3C) SOAP-suhtlusejaoks kasutada ühendusevaba toimingut. Selle asemel, et kasutada SOAP-dHTTP/TCP-ga saab nüüd SOAP-d kasutada otse UDP-ga . See toiming on ole-kuta, seda ei kinnitata edastustasandil. Kui sisestatakse järjestuste lugeja, ntSOAP/UDP korral koos WS-Policy’ga, ei muutu selle olekuta toimingu puhul mida-gi. Siin taastatakse ainult pakettide õige järjekord, kuid ei juhita ühendust. Seeläbion olemas oht, et sõnumid edastatakse volitamata vastuvõtjatele. Ilma järjestustelugejata on veel ka Replay-rünnete oht.

Ühenduse juhtimise eest vastutab seega rakendus, mida kasutab SOAP-suhtlus. Senikaua kuni ühendust aktiivselt ei lõpetata, määrab see saatja ja vas-tuvõtja poolele arvutiressursid.

767 / 781

G 5.200 Suuniste manipuleerimine SOA-s

WS-Policy võimaldab teenuseosutajal pakkuda Service-Consumer’ile suuniseid(Policies) oma teenuse turvalisuse, kvaliteedi ja versiooniga seoses masinaga loe-tavate XML-andmete kujul. Service-Consumer määratleb oma nõudmised samutiXML-andmete kujul. Kui mõlemad nõudmised lähevad üksteisega vastuollu, saabüksnes töötamise ajaks leppida mõlema poole vahel kokku tõhusa suunise. Sel-leks kasutatakse nn WS-Policy-Assertions’i, seega hulka standardsuuniseid, midasaab kasutada ühe suunise piires.

Kui infodomeenis kasutatakse WS-Policy elementi, peavad seda arvesse võtmakõik instantsid, nt teenuseosutaja, maakler ja teenusetarbija.

Olemas on oht, et ründe toimepanija manipuleerib suuniseid ja saadab nendegakaasa lingi vormis lisatud sisusid või ID. Seeläbi võidakse toime panna tahtmaturünne andmetele või teenustele. See võib toimuda järgmistel juhtudel:

• kui andmed edastatakse volitamata vastuvõtjale, ka võõrastes infodomeeni-des, ning

• kui andmeid ei edastata volitatud vastuvõtjatele.

Peale selle võivad ohud tekkida seeläbi, et suunised ei ole ühtlustatud või onseda ebapiisavalt. Kui teabele pääsetakse ligi Subscription’iga NotificationBroker’ikaudu, võivad vastuollu sattuda kolm suunist (Policies):

• Provider-Policy,• Consumer-Policy,• separate Broker-Policy.

Sellisel juhul peab maakler ühtlustama omavahel kõik kolm suunist. Maakleridvõivad aga olla paigutatud erinevatesse infodomeenidesse, mis kasutavad üksnesoma isiklikke suuniseid. Kui need suunised ei ole omavahel ühtlustatud, on olemasteabele volitamata juurdepääsu oht üle domeenipiiride.

768 / 781

G 5.201 Manipuleeritud tarkvaravärskenduste ja uute versioonidepaigaldamine integreeritud süsteemides

Minevikus oli integreeritud süsteemide korral kirjutatud püsivara ROM-i (Read On-ly Memory) moodulitele ja seda sai muuta üksnes nende vahetamisega. Palju-de moodsate integreeritud süsteemide tarkvara on välkmäludes või EEPROM-isja pakub võimalust, et värskendada püsivara pärast programmeerimisseadmegaühendamist andmeliidese kaudu või kaugpöördust võrguühenduse kaudu.

Ründe toimepanija võib üritada neid teid pidi paigaldada manipuleeritud tarkva-ravärskendusi või uusi versioone. Ründe jaoks, mis teostatakse integreeritud süs-teemi jaoks ette nähtud programmeerimisseadmega, nt vastava tarkvaraga sülear-vutiga, tulevad enamasti kõne alla siseringi kuuluvad isikud, sest neil on seadmelefüüsiline juurdepääs. Andmevõrgu kaudu võiks ründe põhimõtteliselt toime pannaükskõik kes ja seda lihtsustaks puuduv või nõrk autentimine ning puuduv või nõrktarkvara tervikluse kontrollimine. Selleks peab ründe toimepanijal õnnestuma pää-seda ka veel andmevõrku, et pääseda sealt ligi integreeritud süsteemile.

Kui õnnestub paigaldada manipuleeritud tarkvara, võib ründe toimepanija muu-ta süsteemi funktsioone. Nii saab katkestada või manipuleerida süsteemi algseidfunktsioone.

769 / 781

G 5.203 Füüsikaline sekkumine integreeritud süsteemi

Kui ründe toimepanijate käsutusse satub integreeritud süsteem, võivad nad füüsi-kaliste meetoditega lugeda ja manipuleerida andmeid. Sellise ründe jaoks on vajaavada kiibi korpus, et pääseda ligi põhimikule. Seda saavad teostada üksnes vas-tava laborivarustusega eksperdid. Tüüpiline protseduur, mille abil murti minevikuslahti erinevaid turvakiipe, toimus kiibi esiküljel. Selleks vabastati kihthaaval kontak-tid ja lülitusskeemid. Seejärel analüüsitakse ja manipuleeritakse lülitusskeemi la-serkiirte või peenete traatidega. See protseduur ei ole turvakiipide puhul enam või-malik, sest tootjad on hakanud lisama mitmekihilisi metallist struktuure, nn võrkevõi kilpe, et hoida ära juurdepääs lülitusskeemile esiküljelt.

Kiipide puhul, mis pole veel piisavalt kaitstud, võib toimuda füüsilise juurdepää-suga algav pöördkonstrueerimine. Esimese sammuna vabastatakse selleks kor-pusest pooljuht, näiteks keemiliselt lämmastik- või väävelhappe abil (HNO3 võiH2SO4). Seejärel võib toimuda puhastamine atsetooni või ultraheliga. Professio-naalsetel ründe toimepanijatel võib olemas olla ka masin, mis vabastab pooljuhiHNO3 aurujoaga. Selle meetodiga on parem eemaldada kattekihte ja samal ajalka lahusejääke. Järgmisena vabastatakse kiibi erinevad tasemed. Selleks tulebkombineerida mehaanilised meetodid, nagu lihvimine ja poleerimine, ning keemi-lised meetodid, nagu fluor-vesinikgaas või vesinikfluoriidhape. Kiibitasemeid saabseejärel kihthaaval mikroskoobi abil salvestada ja uurida. Pöördkonstrueerimisejaoks on palju muid lähtepunkte ja mitmed uurimistööd on alles pooleli. Üks tao-line näide on infrapunalaseri kasutamine, mille puhul valitakse lainepikkus nii, eträni muutub selle jaoks läbipaistvaks. Selle abil on võimalik kindlaks teha transis-tori individuaalne olek. Ühe teise meetodi korral kantakse peale pallaadiumist võikullast õhuke kile. See kile moodustab Schottky efekti alusel olenevalt aluspinnatoetusest ränist materjaliga dioodi. Neid dioode saab tuvastada edasiarendatudelektronmikroskoobiga ja hinnata spetsiaalse tarkvaraga.

Tagaküljelt sissetungimist peeti juba ammu teostatamatuks. 2013. aastal näita-sid uurijad siiski, et ka see on võimalik eemaldades kontrollitult transistorite kohaloleva suhteliselt paksu ränikihi. Edasi õhendatakse ioonivooge edastava seadme-ga senikaua, kuni struktuuridel muutuvad üksikud transistorid tuvastatavaks. Või-malik on luua ka uusi ühendusi või eraldada olemasolevaid. Näiteks võiks eraldadakiibis olemas oleva sissetungianduri. Täiendavate mõõteriistadega on võimalik lu-geda lülitusskeemile ülekantavaid andmeid, seega põhimõtteliselt ka salajast võtit.Põhimõtteliselt on võimalik ka signaalide sissesmugeldamine ja juurdepääs mitte-turvaliselt kustutatud andmetele.

Veel üks näide turvamehhanismi kahjustavast ründest on suunatud turvabitivastu, mida kasutatakse mõnedes mikrokontrollerites. Kui see on paigaldatud, ta-kistab see välist elektrilist juurdepääsu programmimälule ja selle saab lähtestadaalles programmimälu täieliku kustutamisega. EPROM-iga mikrokontrollerite puhulja turvabiti elemendi piisavalt suure vahe korral ülejäänud mälust saab selle agalähtestada UV-valguse abil, mis suunatakse turvabiti elemendile.

Ründe toimepanijad võivad üritada ekstreemväärtuste abil tekitada sisestus-andmetel ebatavalisi mõjusid. Muutujate väärtusskaala ülemisel ja alumisel piirilolevate ekstreemväärtustega saab põhjustada hoolimatult programmeeritud integ-reeritud süsteemi tõrke või kutsuda esile talitlushäireid. Nulli läheduses olevadväärtused võivad põhjustada jagamist nulliga ja seega süsteemi vale käitumist võitäielikku tõrget. Põhjused võivad peituda nt ümardamisvigades, protsessori erilis-tes omadustes või kasutatavas aritmeetikas.

770 / 781

G 5.204 Sissetungimine ja manipuleerimine integreeritud süsteemidesuhtlusliidese kaudu

Mis puudutab koodi suurust, ajakasutust, energiakulu, kulusid ning mõõtmeid jakaalu, on integreeritud süsteemid sageli piiratud. Seetõttu ei ole need sageli va-rustatud piisavate turvafunktsioonidega, nagu nt tugeva krüptograafiaga. Moodsadintegreeritud süsteemid on siiski järjest enam levinud tehnoloogiate ja protokollideabil ühendatud ning seega ka potentsiaalselt rünnatavad.

Ründe toimepanijad võivad üritada manipuleerida integreeritud süsteemidesolevaid andmeid või tarkvara, kasutades oma eesmärkidel ära standardite ko-haselt ettenähtud suhtlusliideseid ja -protokolle. Kui nt IP-suhtlus või Ethernet-, WLAN-, Bluetooth- ja mobiil- või digitaal-liidesed ei ole piisavalt kaitstud, võibründe toimepanija üle võtta ühendusi, võltsida sõnumeid või tungida süsteemi jateostada järelründeid.

Moodsaid integreeritud süsteeme hallatakse sageli veebi kaudu eemalt. Sellejaoks on süsteemis olemas minimeeritud integreeritud veebiserver. Ründe toime-panijad võivad ära kasutada sellise veebiserveri haavatavust.

Peale selle võib ründe toimepanija proovida ka muude olemasolevate suhtlus-liideste, nt USB-portide kaudu süsteemi sisse tungida.

771 / 781

G 5.205 Võltsitud komponentide kasutamine

Tootmisprotsessis või komponentide vahetamisega seotud teenuse korral võidak-se paigaldada võltsitud komponendid. See võib juhtuda ka tahtmatult, sest võlt-singuid on ringluses paljude detailide jaoks. Võltsitud detailide masstootmise ees-märk on majanduslikku laadi ja see saavutatakse nende detailide müügiga. Võlt-situd detailide valmistamine on tunduvalt odavam ja võltsijate eesmärk on valmis-tada detailid võimalikult identsed originaaldetailidega, seepärast ei esine sageli kaerilisi kahjulikke funktsioone.

Sageli ei ole võltsingutel siiski sama täpsed funktsioonid nagu originaaldetaililja need on eelkõige odavamate tootmismeetodite tõttu vähem usaldusväärsed.Selliste võltsingute paigaldamise korral võib asjaomane süsteem rikki minna võitöötada vigaselt, mis võib üldise süsteemi teisendamise mõjuga kahjustada suurelmääral inimesi, keskkonda ja seadmeid.

Ründe toimepanijad võivad ka sihipäraselt välja töötada seadme või detaili, misnäeb välja samasugune nagu originaal ja mille funktsioon on manipuleeritud, etsaavutada kindel eesmärk. Selliste komponentidega võib näiteks paigaldada ta-gauksi, manipuleerida üksikuid funktsioone või rünnata kasutatavust.

Näide.Uuringuaruannete kohaselt, mh Ruhri Bochumi Ülikoolist aastast 2013, on krüp-

tograafilist protseduuri võimalik nõrgendada ka manipuleeritud riistvara abil. Pool-juhti on võimalik lisada häirekohti, saastades sihipäraselt alusmaterjali. Selle nntoetusega on võimalik muuta elektrijuhtivust. Seeläbi võib juhuslikkuse generaa-tori võimsus tunduvalt väheneda. See võib põhjustada, et juhuslike arvude gene-raator loob nõrku krüptograafilisi võtmeid.

772 / 781

G 5.206 Pöördkonstrueerimine

Pöördkonstrueerimise (Re-Engineering) korral proovitakse valmis süsteemiststruktuuride, olekute ja käitumisviide analüüsiga eraldada konstruktsioonielemen-te. Need võivad olla riistvara ja tarkvara elemendid.

Süstemaatilise riistvara pöördkonstrueerimise esimene samm seisneb sihtsüs-teemide, nende komponentide ja sisemise Board’i põhiandmete soetamises. See-järel analüüsitakse funktsioone, ajakasutust ja signaaliteid. Peale seda analüüsi-takse füüsikalise töötluse abil, nagu kirjeldati nt osas G 5.203 Füüsikaline sek-kumine integreeritud süsteemi , detaili ehitust. Skaneeriva elektronmikroskoobi,ülekande-elektronmikroskoobi või skaneeriva sondmikroskoobi ja spetsiaalsetekemikaalidega saab muuta nähtavaks materjali üleminekukohad, struktuurisuuru-sed, kihtide arvu ja p/n-toetusega tsoonid. Nii saab järk-järgult tuvastada kiibi igakihi ning struktureerida ja dokumenteerida spetsiaalse tarkvara abil transistoreid,poole, vastupanusid, kondensaatoreid ja juhtmeid ning kinnitada elektriskeemi.

Tarkvara pöördkonstrueerimiseks peab ründe toimepanija pääsema kõigepealtjuurde masinakoodile. Pöördassembleri abil saab masinakoodi tagasi muuta as-semblerkoodiks ning kanda selle dekompilaatori abil üle arusaadavasse pseudo-koodi.

773 / 781

G 5.E4 PIN-koodide vargus ja/või volitamata kasutamine

ID-kaardi, mobiil-ID või sarnase seadme PIN-koodide vargus teeb ründaja jaoksvõimalikuks seadme järgneva varastamise korral selle volitamata kasutamise kasturvaliseks autentimiseks, CDOC-failide volitamata dešifreerimiseks või digiallkir-jade volitamata andmiseks. PIN-koodide eduka varguse korral kaotab turvalineseade oma kompleksturbe omadused, st edasiseks ründeks piisab vaid seadmevargusest (vt G 5.E5 ID-kaardi või sarnase seadme vargus või röövimine ). KunaPIN-koodidel on pikk, aastatesse ulatuv eluiga (uute ID-kaartide kehtivusaeg onnt viis aastat, PIN-koodidel vahepealset kohustuslikku vahetust pole), siis tuleb ar-vestada, et seadmete vargus võib toimuda PIN-koodide vargusest märksa hiljem.Samuti on võimalik, et varastatud PIN-koode levitatakse spetsiaalselt kuritegelikusmaailmas (vrd krediitkaardi andmete levitamine) ning seadmete hilisemad vargadvõivad olla PIN-koodide varastest erinevad.

Tuleb arvestada, et PIN-koode saab varastada mitmetel erinevatel meetoditel:

• arvutis või mobiiltelefonis aktiveerunud ründetarkvara (keylogger vms) poolt;• üleskirjutatud PIN-koodide sattumisel volitamata kätesse;• pealtkuulamise teel ruumides, kus PIN-koode sisestatakse (iga klaviatuu-

riklahv tekitab teistest eristatava unikaalse heli); pealtkuulamismikrofoniksvõib sh olla tavaline mobiiltelefon, milles on aktiveeritud spetsiaalne kuriva-ra;

• pealtvaatamise teel ruumides või keskkondades, kus PIN-koode sisestatak-se;

• algsete PIN-koodide vahetamatajätmisel koos koode sisaldava turvaümbri-ku volitamata levikuga.

Vt ka G 2.102 Inimeste infoturbeteadlikkuse ebapiisav suurendamine , G 3.3Hooletus turvameetmete suhtes , G 3.43 Puudulik paroolihooldus , G 3.44 Teabehooletu kasutamine , G 5.95 Pealtkuulamine ruumis mobiiltelefonidega , G 5.96Mobiiltelefoni ehituse muutmine , G 5.104 Infoluure , G 5.125 Volitamatu and-meedastus kaasaskantavate seadmetega ja G 5.E7 Pahavara rünne signeerimis-või autentimissüsteemile .

774 / 781

G 5.E5 ID-kaardi või sarnase seadme vargus või röövimine

ID-kaardi, mobiil-ID või sarnase seadme väljumine selle volitamata kasutaja käest(varguse, röövimise vms tagajärjel) on ohtlik eelkõige kolmest alltoodud aspektistlähtudes:

• Vargad võivad juba varem omanda seadme PIN-koode või selle seadmevarguse järel omandada. Sel juhul realiseerub oht G 5.E6 PIN koodi ja ID-kaardi (või sarnase seadme) üheaegne vargus või röövimine .

• Kui seadme omanikul puudus varuseade (ID-kaardi kõrval mobiil-ID, ID-kaardi kasutamiseks isikut tõendava dokumendina pass või juhiluba vms),võib seadme vargus või röövimine põhjustada käideldavuskadusid – isikjääb tuvastamata, kasutajat pole võimalik autentida, kasutajal pole võima-lik ruumi siseneda, transpordikrüpto vormingus faile dešifreerida, digiallkir-ja anda jms. Paljudel juhtudel omanik siiski avastab ID-kaardi, digi-ID võimobiil-ID seadme varguse või röövimise, millele järgneb loodetavasti sead-mes asuvate sertifikaatide peatamine, seega seadme toimimise peatamineolukordades, kus kasutamisega kaasneb alati ka OCSP- või LDAP-päring (vtM 5.E1 Sertifikaatide õigeaegne peatamine). Samas toimivad paljud ründedkaasaja IT maailmas sedavõrd kiiresti, et ründaja võib seadet enne sertifi-kaatide peatamist juba kasutada.

• Mõnikord võib ründaja eesmärgiks olla mitte seadme volitamata kasutami-ne, vaid seadme volitatud kasutuse blokeerimine (nt on keegi huvitatud, etkonkreetne isik ei saaks teatud aja vältel siseneda ruumidesse/infosüsteemi,anda digiallkirju vms). Sellest aspektidest lähtudes vt ka G 5.1 IT-seadmetevõi -tarvikute manipuleerimine ja hävitamine , G 5.6 Füüsiline rünne ja G5.28 Teenuse halvamine .

Vt ka G 5.4 Vargus .

775 / 781

G 5.E6 PIN koodi ja ID-kaardi (või sarnase seadme) üheaegne vargusvõi röövimine

Kui volitamata isikul on õnnestunud enda valdusse saada ID-kaart, digi-ID võimobiil-ID koos vastavate PIN-koodidega, suudab ta:

• seadme omaniku nimel volitamatult auntentida;• anda volitamatult seadme omaniku nimel digiallkirju;• avada seadme omanikule mõeldud transpordikrüpto faile.

Tavaliselt realiseerub see koht kahe ohu (ründe) tulemusena, kus varastatakseröövitakse vüi petetakse välja seade ning varastatakse või petetakse välja PIN-kood. Kui kasutaja hoiab aga oma PIN-kood avatud kujul koos seadmega, siispiisab selle ohu realiseerumisel ka ühest ründest.

Vt ka G 5.E4 PIN-koodide vargus ja/või volitamata kasutamine ja G 5.E5ID-kaardi või sarnase seadme vargus või röövimine .

776 / 781

G 5.E7 Pahavara rünne signeerimis- või autentimissüsteemile

Pahavara rünne signeerimis- või autentimissüsteemile, mis seda süsteemikuritahtlikult modifitseerib, võib teenida peamiselt kaht eesmärki:

1. Saada kätte seadme (ID-kaart, digi-ID, mobiil-ID) kasutamiseks vajalikudPIN koodid ning planeerida edaspidist seadme vargust selle volitamatakasutamise eesmärgil lubamatuks turvaliseks autentimiseks, lubamatukstranspordikrüpto vormingus dokumentide dešifreerimiseks ja/või lubama-tuks digiallkirjastamiseks.

2. Võimaldada selle seadme väärkasutust pahavara poolt kasutaja keskkon-nas ilma kasutaja teadmata.

Mainitud juhtumitest esimest on kirjeldatud ohu G 2.E6 Digiallkirja andminevõi autentimine ilma võtmepaari omaniku teadmata juures, alljärgnevalt vaatlemeseadme kohapealset väärkasutust.

Pahavara rünne koos kohapealse PKI-lahenduse väärkasutusega võib seisne-da ühes allkirjeldatud kolmest tegevusest:

1. Pahavara salvestab endas kasutaja poolt sisestatud PIN1-koodi. Edasi si-seneb pahavara salvestatud PIN1-koodi kasutades turvaliselt mingisse süs-teemi ja teeb seal volitamatult mingeid tegevusi sellest arvuti omaniku-le/kasutajale mingeid visuaalseid märke näitamata. Lihtsamatel juhtudel onneed tegevused pahavarasse sisse kodeeritud (nt mingi konkreetse faili var-gus või muutmine). Keerulisematel juhtudel toimib pahavara (õigemini – pa-havara poolt modifitseeritud tarkvara) omalaadse lüüsina, kus tegeliku pää-su saab ning tegelikke tegevusi teeb pahavara juhtija, kes asub kusagil in-ternetis ning suhtleb pahavaraga mingi pahavara poolt kindlaksmääratud si-deprotokolli abil.

2. Pahavara salvestab endas kasutaja poolt sisestatud PIN1-koodi. Edasi või-maldab see pahavara dešifreerida pahavara juhtija poolt etteantud transpor-dikrüpto vormingus dokumendi (mis on nt võrguliiklust jälgides kuritahtlikultkinni püütud), edastades dešifreeritud tulemuse mingi etteantud protokollipõhjal mingile etteantud võrguaadressile. Keerulisematel juhtumitel võib pa-havara juhtija kasutada seda pahavara paljude ettesöödetavate transpordi-krüpto vormingus dokumentide dešifreerimiseks, mis toimub ilma ID-kaardiomaniku teadmata sel ajal, kui ta ID-kaart arvutis on.

3. Pahavara salvestab endas kasutaja poolt sisestatud PIN2-koodi. Edasi sig-neerib pahavara ilma kasutaja teadmata ka mingi konkreetse dokumendi(dokumendid) või keerulisemal juhul need dokumendid, mille pahavara juh-tija talle ette annab.

Kõik nimetatud tegevused on võimalikud vaid siis, kui pahavaraga nakatunud ar-vutis on ID-kaart sees ning pahavaral õnnestub kuidagi saavutada oma juhtijaga

777 / 781

kas ühesuunaline või mõlemasuunaline side. Samas tuleb eeldada, et kui paha-varaga nakatunud arvuti omanik/kasutaja ID-kaarti oma igapäevatööks kasutab,siis vägagi tihti ta ID-kaart siiski arvutis sees on. Tuleb ka arvestada, et enamikesinfosüsteemides on nii väljuv kui ka sisenev kanal paljude subjektide jaoks vaiki-misi olemas – sisenevaks kanaliks on nt HTTP-ühendus üle pordi 80, väljuvakskanaliks aga SMTP-ühendus üle pordi 25. Suure tõenäosusega avastatakse sel-line pahavara viirusetõrjeprogrammide poolt, kuid keerukamatel juhtudel võib ollavõimalik viirusetõrjeprogrammide blokeerimine või üle kavaldamine.

Vt ka G 5.1 IT-seadmete või -tarvikute manipuleerimine ja hävitamine , G 5.2Andmete või tarkvara manipuleerimine , G 5.21 Trooja hobused , G 5.82 Krüpto-mooduli manipulatsioon , G 5.88 Aktiivsisu väärkasutus ja G 5.89 Võrguühen-duse ülevõtt .

778 / 781

G 5.E8 Välise teenuseosutaja poolne käideldavuse häirimine

Eriti oluline on siin käideldavuse häirimine tuumik- või elutähtsate funktsioonidepuhul, samuti kriitilistes olukordades, näiteks hädaolukorras

779 / 781

G 5.E9 Välise teenuseosutaja poolne tervikluse häirimine

Eriti oluline on siin tervikluse häirimine andmete puhul, mille terviklusnõudekestus ületab viit aastat - eriti tuumik- või elutähtsate funktsioonide puhul, samutikriitilistes olukordades, näiteks hädaolukorras.

Põhjused:

1. andmete manipuleerimist välise teenuseosutaja poolt ei saa garanteeritultvältida

2. tervikluse tagamiseks vajalike krüptoalgoritmide usaldusväärsuse ajahori-sonti võib hinnata viiele aastale

780 / 781

G 5.E10 Välise teenuseosutaja poolne konfidentsiaalsuse häirimine

Eriti oluline on siin konfidentsiaalsuse häirimine andmete puhul, mille konfident-siaalsusnõude kestus ületab viit aastat - eriti tuumik- või elutähtsate funktsioonidepuhul, samuti kriitilistes olukordades, näiteks hädaolukorras.

Põhjused:

1. andmete sattumist välise teenuseosutaja kätte ei saa garanteeritult vältidaja

2. konfidentsiaalsuse tagamiseks vajalike krüptoalgoritmide usaldusväärsuseajahorisont on viis aastat]

781 / 781