Elver Loho: Kui luurajast saab julgeolekurisk

Artikli kuulamine on saadaval MINU TELEGRAM tellijatele

4. november 2013 kell 14:03



”Küberturbe kaks olulist alustala on turvaaukudeta tarkvara ja usaldusväärne krüptograafia. Hiljutise luureskandaali põhjustanud USA küberjulgeoleku strateegia on aga mõlema alustala uppi löönud. Luurajad avastavad auke, kuid jätavad tarkvaratootja teavitamata, et neid auke ise ära kasutada. Samuti rikutakse meelega krüptoalgoritme, et igale poole sisse murda. Säärane lähenemine vähendab meie kõigi turvalisust,” kirjutas kodanikuühiskonna ja internetivabaduse aktivist Elver Loho ajalehes Sirp. Autori loal avaldame arvamusartikli Telegramis täiskujul.

 

Kaks mütsi

Inimesi, kes tarkvarast turvaauke otsivad, on igasuguseid. Üldjoontes jagatakse neid ”mütsi värvi” järgi. ”Valge mütsiga” on need, kes otsivad auke kas tarkvara tootja teadmisel ja palgal või siis eesmärgiga teavitada tarkvara tootjat. Põhiliseks sissetulekuks on neil turvaauditite teostamine ja mõned neist töötavad ka viirustõrje tarkvara tootvates ettevõtetes.

”Musta mütsiga” turvaaukude otsijad kasutavad oma teadmisi troojalaste ja muu pahavara tootmiseks või müüvad enda leitud turvaauke mustal turul kalli raha eest – auk, millest tarkvara tootja isegi ei tea veel, on väga väärtuslik kaup küberkurjategijatele.
Kui ”valge mütsiga” mehed-naised on meile kõigile abiks, siis omamoodi on kasu olnud ka ”musta mütsiga” pahalastest. Jah, aeg-ajalt panevad nad kusagilt suure raha pihta, aga nende valdkonna spetsiifika dikteerib, et maksimaalse mõju ja omakasu saavutamiseks tuleb seni avastamata turvaauku kasutav pahavara korraga ja suurtes kogustes internetti paisata. See aga tähendab, et üsna kiiresti uus pahavara leitakse, uuritakse põhjalikult läbi ja turvaauk lapitakse ära.

 

Vead kui kaup

Maikuus teavitas Reuters, et maailma suurimaks mustal turul turvaaukude kokkuostjaks on saanud USA valitsus, kes siis arendab nendega küberründerelvi. Võib ju mõelda, et väga hea – ostetakse kokku, siis küberpätid ei saa nendest aukudest teada ja niimoodi on meil kõigil turvalisem. Nii siiski ei ole. Mõju on lausa vastupidine.

Nimelt küberturbel on üks veider spetsiifika: kui lased oma küber­relva käiku, siis vastane näeb seda, saab selle juppideks lahti analüüsida ja võib üsna kiiresti samal põhimõttel töötava küberrelva ükskõik kelle vastu lendu lasta. Tegu on mürsuga, mis küll tekitab kahju või annab juurdepääsu olulisele infole, aga millel on mürsu enda tootmise juhendid kaasas.

Kui USA kasutab seni avalikult teadmata turvaauku üldkasutatavas tarkvaras (nagu Windows või Office) selleks, et rünnata näiteks Hiinat või Venemaad, siis koos ründega annavad nad tahes-tahtmata hiinlastele ja venelastele kõik vajalikud teadmised, et nood saaksid sama relva kasutada USA, Euroopa või ükskõik kelle vastu.

 

Inforelvad

Rääkides ”relvast” ei räägi me ainult sellistest, mis kahju teevad või midagi hävitavad, nii nagu USA kasutas küberrelva Iraani tuumaprogrammi tsentrifuugide lõhkumiseks. Küberrelvade eesmärk võib olla ka vaid infole juurdepääsu andmine. Näiteks äsja teatas Spiegel, et Briti luureagentuur GCHQ murdis digitaalselt sisse Belgia suurimasse sideettevõttesse Belgacom, et luurata tema klientide järele: Euroopa Parlament, Euroopa Komisjon ja Euroopa Nõukogu. Brittide teada-tuntud hea huumorisoone tõttu oli ründeprojekti nimetuseks ”Operation Socialist.”

Turvalise interneti teine alustala on krüptograafia, mis kaitseb meie kõigi sõnumisaladust ja ka pangasaladust internetis. Meie endi uhkuseallikas ID-kaart on võimas krüptovahend ja kaitseb meid internetis. Hiljutised Snowdeni tehtud paljastused aga näitavad, et USA signaalluure agentuur NSA on sihikindlalt igasuguseid krüptostandardeid ussitanud, eesmärgiga jätta enda jaoks sinna tagauks.

 

Lukumeistrid ja muukijad

Näiteks äsja teatas USA suurfirma nimega RSA, kelle krüptovahendeid kasutatakse üle maailma kõrgel saladustasemel oleva info kaitsmiseks, et üheks nende toodete aluseks olev algoritm nimega Dual_EC_RNG ei ole nende teada enam turvaline. Algoritmi autoriks olid NSA krüptosepad ja RSA teadaanne järgnes Snowdeni leketele, mis selle algo­ritmi kahtluse alla panid.

Krüptosüsteemidesse ja -algoritmidesse tagauste ehitamine on Snowdeni lekete järgi olnud NSA strateegia juba mõnda aega. Jah, see annab NSA-le küll mõninga eelise teiste riikide järel luuramiseks, aga niimoodi kogu maailma küber­turbe nõrgestamine annab samal ajal eelise ka teiste riikide luurajatele. Ega nemadki maga, vaid jälgivad hoolega, mida USA kolleegid teevad. Piltlikult öeldes: kui ameeriklane soetab omale võimsa puuri ja puurib naabrite koduseintesse igale poole augud, et vaadata, kas seal terroriste leidub, siis venelane ei hakka ehituspoodi minemagi, vaid sörgib lihtsalt ameeriklase järel, et samadest aukudest sisse vaadata, nüüd siis juba oma huvides.

 

Väljamõeldud maailma immuunsus on nõrk

Küberjulgeoleku küsimusi ei saa vaadata kui traditsioonilise sõjatehnika edasiarengut tänapäeva maailma. Ei saa samuti vaadata seda kui tavalist luuretemaatikat – et las poisid luuravad, peaasi, et vahele ei jää. Kübervõidurelvastumine tänapäeva internetist läbi imbunud maailmas meenutab rohkem bioloogiliste relvade temaatikat. On ju ka terminoloogia sarnane. Igapäevaselt räägime arvutiviirustest, mis pärast lahtilaskmist elavad oma elu, mitte kübermürskudest. Räägime organismide puhul geneetilisest koodist ja arvutiviiruste puhul lähtekoodist, mida on tuhat korda odavam ja lihtsam kopeerida kui DNA-d.

Tänapäeva luurajad üle kogu maailma jätavad lappimata olulised turvaaugud, saboteerivad vaba tarkvara, ehitavad tagauksi infosüsteemidesse ning nõrgendavad krüptoalgoritme, et oleks lihtsam huvitavatesse kohtadesse sisse murda. Kõike seda tehes on neist saanud maailma üks suurimaid julgeolekuriske. Nende selja taga kiidavad takka seaduseloojad ja kohtunikud, kel pole vähimatki aimu, kuidas kübermaailm toimib, ega saa aru, kuidas nad saevad oksa, millel maailma majandus istub.

 

Elver Loho

 

 

Allikas: Sirp

Foto: erakogu

 



Kommentaarid

Kommentaare lugeda ja kommenteerida saavad vaid Minu Telegrami tellinud kasutajad. Tellimuse esitamiseks kliki siia või logi sisse siit.

Päevapilt