Zone veebimeil muutus veelgi turvalisemaks

Täna räägime põgusalt ilmselt Zone ühest kõige rohkem igapäevaselt silmapaare nägevast tarkvarast ehk meie veebimeilist ja selle viimasest uuendusest. Olgu siin alguses kohe ära mainitud, et nüüdsest toetab meie veebimeil WebAuthn abil teise faktori autentimisvahendeid nagu biomeetria (FaceID, sõrmejälg) ja YubiKey.

Taustast lühidalt niipalju, et viimasest veebimaili-teemalisest blogipostist on nüüd üle kahe aasta möödas ning sellest rääkis meie koostööpartner Trinidad Wiseman. Zone veebimeili kujundamise protsessist. See protsess ehk veebimeili arendus jätkub sisuliselt tänaseni: kasutajamugavust silume igapäevaselt, lisades näiteks uusi funktsioone ja optimeerides rakenduse kiirust.

Vast on põnev teada, et hetkeseisuga on arenduses ootel pea 100 erinevat piletit, seni on aga viimase kahe aasta jooksul arendusel kulunud 4646 veebimeiliga seotud töötundi! 🙂

Lisaks kasvab igapäevaselt ka Webmail.ee kasutajate arv – ainuüksi webmail.ee unikaalseid kasutajaid on viimase seitsme päeva jooksul olnud 15 000 ringis. Nii muuseas: Zone veebimeil on täna kasutusel veel kahel erineval platvormil ning osad kasutavad veel vana platvormi.

Autentimisvahendid

Mugav ja sealjuures ka turvaline autentimine veebimeilis on meie jaoks alati olnud üks kõrgemaid prioriteete. Seetõttu oleme lõviosa oma viimaste kuude arendusressursist investeerinud just nimelt WebAuthn standardi implementeerimiseks Zone veebimeiliga. WebAuthn puhul on tegemist sellise standardiga, mille pikemaajaliseks lubaduseks on tagada paroolivaba tulevik, kasutades autentimiseks üle API toimivat avaliku võtme krüptograafiat. Kellel rohkem huvi, see saab tehnilise osa kohta rohkem lugeda siit.

WebAuthn tähendab seega seda, et Zone veebimeili tunnistab nüüd teise faktori autentimisvaheditena (lisaks TOTP standardile) ka näiteks biomeetriat nagu sülearvuti sõrmejälge, FaceID’d, TouchID’d, Android seadme sõrmejälge või Yubikey turvavõtit.

Oma veebimeili konto ühendamiseks uue autentimisvahendiga on esmalt vaja sisse logida Webmail.ee keskkonda ja valida seadete „Turvalisus” alt „Kahetasemeline autentimine”:

Peale turvavõtme lisamist küsitaksegi järgmisel veebimeili sisselogimisel lisaks salasõnale ka kirjeldatud viisil lisatud seadmega autentimist. Hetkel on küll veel tegu nn. teise faktoriga, kuid meie tulevikusooviks on pakkuda kasutajatele võimalust veebimeili sisenemist autentida vaid WebAuthn turvavõtme abil.

Tähelepanu! Oluline on mitte unustada, et teise faktori aktiveerimisel tuleb e-posti rakenduste (Outlook, Mac Mail jms.) tarbeks seadistada rakenduse-spetsiifiline salasõna. Seda saad teha samamoodi veebimeili „Turvalisus” seadetes alamvaliku „Rakenduste salasõnad” kaudu. Rakenduse salasõnaga saab sisse logida vaid SMTP, IMAP ja POP3 serveritesse.

Miks kaks faktorit (2fa)?

Tänapäeval on kahetasemeline autentimine muutunud standardiks ja lühidalt öeldes on kõik sellised ligipääsud ebaturvalised, mis küsivad sisselogimise autentimiseks vaid salasõna. Zone e-posti teenuse kasutamist analüüsides ning klientide tagasisidet arvesse võttes saame väita, et rünnakute ohvriks langemine on igapäevane probleem. Tasub meeles pidada, et postkastides hoitakse tohutul hulgal isikuandmeid, arveid jm olulisi dokumente. Kurjategijatel on õiget parooli teades võimalik mõne lihtsa manöövriga sokutada ennast legitiimse kirjavahetuse vahele ning röövida sel viisil klientidelt suur hulk raha. Sellest oleme detailsemalt oma blogis varem ka kirjutanud.

Seega – ära ela hirmus! Aktiveeri kahetasemeline autentimine nüüd ja kohe ning tunne ennast e-posti kasutades turvaliselt. 🙂

Kokkuvõtteks

Lisaks WebAuthn toe lisamisele on veebimeilis nüüdsest võimalik kõiki otsingutulemusi korraga kustutada ja/või liigutada. See aitab suurte kontode omanikel tuhandeid kirju kindlasti paremini sorteerida. Seda, kuidas kirju tulemuslikult otsida, saad teada siit.

Mida veel? Järgmiste uuendustega paraneb kindlasti kirjalõimede haldus, lisandub BIMI tugi ja parandame kontaktide importimise võimekust.

PS! Meie eriline tänu kuulub jätkuvalt meie klientidelt saadud tagasisidele. Ootame teilt seda nüüd ja edaspidigi.

Uus väljakutse: võitlus terrorismiga

See oli umbes 20 aastat tagasi, kui maailma ekraanidel vägivallatses esmakordselt kõikide terroristide hirm, CTU agent Jack Bauer.

Täna, 7. juunil 2022. aastal, tõusis päike maailma kohal, milles võitlusesse rahvusvahelise terrorismiga on kaasatud Zone sarnased veebimajutusteenuste pakkujad. Nimelt hakkas kehtima Euroopa Parlamendi ja Nõukogu Määrus (EL) 2021/784, mis käsitleb võitlemist terroristliku veebisisuga.

See määrus näeb ette, et iga veebimajutusteenuse pakkuja eemaldab või blokeerib oma serverites võimaliku terroristliku sisu hiljemalt ühe tunni (!) jooksul, pärast pädevalt asutuselt eemaldamiskorralduse saamist.

Kujundlikult on nüüd igal Euroopa Liidu liikmesriigis terrorismiga võitleval asutusel “nupp”, mida vajutades ei helise telefon Keither Sutherlandi näo ja häälega superagendi öökapil, vaid Zone valvetehniku padja kõrval. Kuid sarnaselt telesarjale “24” hakkab siiski sellest hetkest kell armutult sekundeid allapoole lugema.

Eestis sai selle “nupu” endale Kaitsepolitseiamet – eeldame, et see saab neil oma uues majas aukohale, nagu “Batphone”, mida maskistatud superkangelase väljakutsumiseks kasutada.

Kuidas see kõik tööle hakkab, on täna raske täpselt ennustada, sest Eesti pole veel vajalikke seadusandliku raamistiku parandusi suutnud kehtestada.
Vajalikke infoühiskonna teenuse seaduse ja karistusseadustiku muudatusi vedas meil Siseministeerium, aga viimase juht löödi just valitsusest aplombiga minema – vaevalt sel kogu protsessile positiivne mõju on.

Kuna aga Euroopa Liidu määrused on otsekohalduvad, siis praktikas peavad teenusepakkujad määruse mõttest täna juba lähtuma, kasvõi improviseerides. Nõuete mittetäitjaid võib nimelt oodata trahv, mis paneks mängu 40 000€ või koguni 4% kogu ettevõtte käibest.

Õnneks ei tähenda valdavale enamusele meie klientidest selline areng tõenäoliselt midagi, kuid suurematel sisuloojatel tasub see nüüd oma riskihinnangutesse sisse arvestada, eriti kui sisu loomine on usaldatud kasutajate kätesse.

Kohustus ööpäevaringselt tunni aja jooksul reageerida ei jäta nimelt veebimajutajatele erilist kaalutlusruumi või -aega. Kui kellegi veebis hakkab juuri ajama terroristliku sisu “vähkkasvaja”, siis ei pruugi selle eemaldamine tunni jooksul kirurgi skalpelliga olla võimalik, vaid ees ootab jackbauerlikult kindla käega amputatsioon, mille sooritab Zone valvetehnikust superagent.

Seepärast soovitame oma teenuste kasutajatele varakult selgeks teha, et sisul, mis

  • ärgitab kedagi kaasa aitama või toime panema terroriakte
  • ärgitab osalema terrorirühmituse tegevuses
  • õhutab või propageerib terroriaktide sooritamist (näiteks ülistades või õigustades terroristlikku tegevust)
  • annab juhiseid rünnakute läbiviimiseks ja suuniseid selleks vajalike vahendite kohta

ei ole teie veebikeskkonnas asja.

Teeme selgeks: mis asi on HTTPS ja miks peaks selle enda kodulehele lisama?

Tõenäoliselt on sullegi mõnda veebilehte külastades brauseriribalt silma jäänud, et sellesama saidi aadressi alguses on kunagise standardi “HTTP” asemel “HTTPS”. Tavalisele internetikasutajale ei pruugi see suurt midagi öelda, ent tegelikkuses on tegu ühe olulisima turvalisust puudutava elemendiga veebis.

Mida kujutab endast HTTPS, miks see oluline on ja kuidas seda oma kodulehele lisada?

Turvalisem ja lihtsasti leitavam veeb

Mõistagi liigub erinevatest kodulehtedest ja e-poodidest läbi väga palju tundlikku informatsiooni ja on enesestmõistetav, et päris igaüks ei tohiks seal olevatele andmetele ligi pääseda.

Siin tulebki mängu HTTPS, mis tagab turvalise andmete edastamise. Sisuliselt krüpteerib see saadetava info ära taolisel viisil, et ainult selle vastuvõtja saab seda näha. Kui veebilehel puudub HTTPS tugi, siis tähendab see seda, et kogu internetis liikuv info on avalik ja sellele pääsevad ka kõrvalised osapooled lihtsa vaevaga ligi.

Osad brauserid isegi näiteks hoiatavad külastajat veebilehtede eest, mis ei kasuta krüpteeritud ühendust.

Inimesed on internetiturvalisuse osas üha teadlikumaks saanud, mistõttu on HTTPSi lisamine iga äriga seotud veebi jaoks ülimalt tähtis, sest nii tagad enda klientidele kindlustunde, et nende isiklikud andmed kellegi teise kätte ei satuks.

Samuti mõjutab HTTPS-i olemasolu ka suuresti SEO-d. Nimelt tõstavad paljud otsingumootorid tahapoole need veebisaidid, mis ei kasuta turvalist ühendust. Mõnel juhul võidakse see üldsegi blokeerida otsingutulemustest.

Kuidas HTTPS oma kodulehele lisada?

HTTPS-i lisamine kodulehele ei nõua õnneks spetsiaalseid IT-alaseid teadmisi ning sellega saab hakkama peaaegu igaüks. Kui sinu veebilehte majutab Zone, siis ei pea isegi muretsema selle pärast, sest seal on kõikidel uutel veebidel aktiveeritud Let’s Encyrpti automatiseeritud sertifikaaditeenus, mida kasutatakse HTTPS-i pakkumiseks. Küll aga võib veebirakenduse seadistamine vajada pisut seadistuste muutmist ja teatavatel juhtudel pisiparandusi koodis. Kui peaksid hätta jääma, siis küsi julgesti abi meie klienditoelt.

Kui su veebilehel ei peaks mingil põhjusel veel HTTPS tuge olema, siis selle aktiveerimine on ülimalt lihtne. Let’s Encrypt sertifikaadi tellimine virtuaalserverisse on võimalik läbi serveri halduse menüüst Veebiserver -> Let’s Encrypt. Lahtrist vali hosti nimi” võta oma domeeninimi ja klõpsa “Genereeri Let’s encrypt sertifikaat”. Ja 15 minuti möödudes võimaldabki sinu veebiserver edaspidi HTTPS ühendusi.

Käesolev blogipostitus on sündinud koostöös DigiGeeniusega.

Küberilm lubab turbulentsi, tuletame instruktsioone meelde

Täna meenus mulle jutt piloodist, kes hiljuti õnnetuse toimumipaigaks olnud rajale lennukit ruleerides teavitas oma reisijaid: “Kogenumad teie hulgast meie turvainstruktsioone tavaliselt ei vaata, aga äkki täna…?”

Küberturbevaldkonna inimestel on tihti mure, avades suu rääkimaks järjekordselt riskide maandamisest lülitab suur osa publikust end teisele lainele – kõike seda on ju kuuldud!

Kuid vaadates Euroopas toimuvat on internetikasutajatel kindlasti asjakohane küsida endalt… aga äkki täna?  Eksisteerib käegakatsutav oht, et hoolimatusest tingitud viga või laiskusest ripakil ressurss muutub tahtmatult kuritöövahendiks või osaks võõrvõimu digitaalsest sõjamasinast.

Seepärast kordan taaskord meie “lennueelset” ohutussõnumit, toetudes Zone enda kasutatavatele reeglitele ja teistele kolleegidest “lennusaatjatele”.

Kahe faktoriga autentimine

Kus vähegi võimalik, lülita sisse kaheastmeline autentimine. See tähendab, et teenus hakkab sinult lisaks salasõnale (mida sa tead) küsima mõnd täiendavat faktorit, näiteks midagi mis sul on.

Zone võimaldab kahetasemelist autentimist kasutada nii ZoneID juures kui ka veebipõhise e-posti kliendi juures. Mõlema puhul on toetatud Google Authenticatori ja teiste sarnaste rakenduste poolt kasutatav TOTP standard.

ZoneID toetab lisaks oma olemuselt kahe faktoriga autentimisvahendeid nagu ID-kaart, Mobiil-ID ja Smart-ID. Zone veebipõhine e-post toetab ka U2F riistvaravõtmega sisselogimist, kui kasutada vähegi uuemat brauserit.

Kui ZoneID kasutajakonto on seotud ID-kaardi, Mobiil-ID või Smart-ID autentimisvahendiga, tasub salasõnaga autentimine üldse välja lülitada.

Turvalise autentimise kasutamise kohta leiab lisamaterjale meie kasutajatoe lehtedelt:

ZoneID: https://help.zone.eu/kb/turvaline-autentimine/

E-post: https://help.zone.eu/kb/e-posti-2fa/

Salasõnad (-fraasid)

Veendu, et sinu poolt kasutatavad salasõnad oleksid turvalised. Meie soovitame, et salasõnad oleksid vähemalt 10 tähemärki pikad, maksimaalset pikkust ei ole. Mõtle salasõnast pigem kui salafraasist.

Fraas ei sobi salasõnaks, kui:

  • see on sõna või kohanimi sõnaraamatust (näited: “Kalamaja”, “Ameerika”, “Secret”)
  • see sisaldab kasutaja kasutajanime või teenuse nime (näited: “ZoneID123”, “DataZone666”)
  • see koosneb korduvatest või järjestikustest märkidest (näited: “aaaaaaaaaaaa” , “abcdefghi”, “12345678”)
  • see esineb varem lekkinud paroolide nimekirjas (näiteks “Have I been pwned” poolt avaldatud nimekirjas).

Salasõnade säilitamiseks tuleb kasutada selleks ette nähtud spetsiaalset tarkvara. Meie soovitame kasutada Bitwarden (https://bitwarden.com/) nimelist avatud lähtekoodiga tarkvara, mille kasutusõigus on tasuta.

Salasõnade teemal on varem siin blogis kirjutanud minu kogenumad kolleegid:

Veel kord paroolidest

 

Ära seda soovitust jälgi: täna on rahvusvaheline paroolivahetamispäev

E-Post

Võta vastu ja edasta oma e-kirju ainult turvatud transpordikihiga (TLS ehk Transport Layer Security) ühenduse kaudu. Kui saad serveriga ühendumisel TLS sertifikaadi valideerimisvea, ära proovi sellest mööda minna.

Enne e-kirjadele lisatud failide avamist või e-kirjades olevatele URL-aadressidele klõpsamist ole äärmiselt ettevaatlik ja veendu, et see on ohutu. Võimalusel eelista selleks isoleeritud keskkonda, mis ei jaga teavet kolmandate osapooltega. Kui tegemist ei ole konfidentsiaalsete andmetega, võid  faili kontrolliks kasutada https://www.virustotal.com/ keskkonda.

Kui saad kirja, mis puudutab rahalisi transakstioone või mis nõuab salasõna lähtestamist, seadistamist või avalikustamist, tuleb sellise kirja autentsus kindlasti üle kontrollida, kasutades alternatiivseid kanaleid. Väiksemagi kahtluse puhul tuleb konsulteerida oma infoturbespetsialistiga või teadlikuma kolleegiga.

Näiliselt Zone poolt saadetud kirjade autentsuses on võimalik alati veenduda meiega ühendust võttes.

Tööjaamade ja seadmete turvalisus

Varustage kõik oma Windows, MacOS või Android seadmed pahavara tuvastamise ja ennetamiseks vajaliku tarkvaraga.

Microsoft Windows sisaldab vaikimisi küllaltki suurepärast Windows Defender tarkvara, tasub veenduda, et see on sisse lülitatud või sellele on alternatiiv. Mitmetel spetsiaalse tarkvara pakkujatel on olemas tasuta versioonid, nende võrdluse leiate näiteks aadressilt https://www.pcmag.com/picks/the-best-free-antivirus-protection

Veebirakenduste turvalisus

Uuendage kindlasti oma veebirakendusi.

Kui olete endale paigaldanud veebirakenduse Zone+ abil, veenduge, et see on jäänud väikesätetesse - ehk Zone uuendab rakendust teie eest automaatselt. Muutke seda ainult äärmisel vajadusel.

Kui olete veebirakenduse paigaldanud iseseisvalt, kontrollige, kas see uueneb automaatselt või vajab käsitsi uuendamist. Kui rakendus vajab uuendamist, tehke seda ja kontrollige edaspidi uuendusi regulaarselt.

Koristage oma veebiserveritest vana träni! Suurel osal juhtudest kui mõne meie kliendi veebileht kompromiteeritakse, on põhjuseks asjaolu, et seal vedeleb reaalselt kasutuses oleva veebirakenduse kõrval üks või mitu koopiat, mida keegi ei uuenda. Tavaliselt on need veebilehe varasemad versioonid ja arenduseks või testimiseks kasutatavad versioonid. Ka seda teemat on siinsamas blogis kajastatud:

“Teeme ära” koristustalgud sinu (tehtud) veebis – kõik /uus, /vana, /arhiiv ja /newsletter välja!

Turvamata WiFi võrgud

Ära kasuta oma e-posti lugemiseks või veebirakenduse haldamiseks avalikke või turvamata traadita võrke. Soovitame pigem kasutada oma telefoni "hot-spot" funktsionaalsust, veendudes ka selle salasõna turvalisuses.

Kokkuvõtteks

Suur tänu, kui vaevusid need nõuanded lõpuni lugema.

Lisalugemiseks soovitame viia end kurssi ka nippidega, mida jagab Riigi Infosüsteemi Amet aadressil https://www.itvaatlik.ee/.

Jääge turvaliseks ja terveks!

Log4Shell turvanõrkus

Käesolevas postituses teeme kiire ülevaate infotehnoloogia maailma tormina tabanud turvanõrkusest Log4Shell ja sellest, kuivõrd see mõjutab (või ei mõjuta) Zone kliente.

Möödunud 24 tundi on olnud ülemaailmselt infotehnoloogia valdkonna jaoks pingelised. 

Maailma ühe eelistatuma tarkvaraarendusplatvormi Java populaarsest logide käitlemise raamistikust Log4j avastati turvanõrkus (https://nvd.nist.gov/vuln/detail/CVE-2021-44228), mida on väga lihtne ära kasutada. Nõrkuse edukal ekspluateerimisel on ründajal võimalik panna ohvri server, arvuti vms seade  oma pilli järgi tantsima. Seepärast on nõrkus saanud endale ka vastava nime: Log4Shell.

Nagu arvata võite, siis on süsteemiadministraatorid, tehnikud ja tarkvaraarendajad jt üle maailma  rakkes sellega, et maandada selle nõrkusega seotud riske.

Sellest, kuivõrd laialdane on selle intsidendi mõju, annab aimu järgmine nimekiri mõjutatud ettevõtetest ja platvormidest: https://github.com/YfryTchsGD/Log4jAttackSurface

Nõrkus saab ilmneda pea igas situatsioonis kus üritatakse logida midagi, mis saabub ründajalt. Olgu see siis kasutaja veebibrauseri User Agent või vea tekitanud sisend. Turvaauk tekkiski sellest, et logimise mugavdamiseks mõeldud funktsionaalsus oli kättesaadav igale logisõnele mis log4j-ni jõudis. Võimalus küsida lisainfot JNDIga suvalisest LDAP kataloogiserverist (sellest ka näidetes leiduv jdni:ldap:// osa) võimaldab serverisse tõmmata täiesti ründaja valitud Java objekte. See on juba püha graal igale ründajale.

Zone poolt hallatud veebimajutusteenuste osas oli Log4j nõrkuse ärakasutamise risk õnneks minimaalne, ka täiendavaid turvameetmeid rakendamata.

Meie pakutavas platvormis pole lihtsalt kuigi palju Java põhiseid komponente, mis seda teeki kasutaks. 

Välja toomist tasub neist vaid üks – Elasticsearch, aga Zone teenuste raames kliendile pakutav Elasticsearch instants pole interneti kaudu saabunud külastajatele või teistele klientidele ligipääsetav, mis maandab nii selle kui ka teiste sarnaste nõrkuste ärakasutamise riski.

Sellegipoolest rakendasime juba eile Elasticsearchi osas täiendavaid turvameetmeid, et takistada teadaolevaid nõrkuse ärakasutamise meetodeid.

Meie kliendid peaksid siiski pöörama tähelepanu sellele, et nende tarkvaraarendajad või veebimeistrid võivad olla ise paigaldanud meie serveritesse tarkvara, mis Log4j kasutab. Selline tarkvara vajab kindlasti uuendamist või nõrkusega seotud riskide maandamist.

Täiendus: Ilmselt on üks levinumatest mõjutatud rakendustest Minecraft, kui teil tiksub kuskil pilve nurgas mõni ununenud Minecrafti server, siis nüüd on õige aeg sellega tegeleda!

Soovitame teemast huvitatutele ja mõjutatutele jälgimiseks järgmist Redditi jutulõime: https://www.reddit.com/r/netsec/comments/rcwws9/rce_0day_exploit_found_in_log4j_a_popular_java/

Rõhutame ka, et üldlevinud rakendused nagu WordPress, Drupal, Joomla ja nende laiendused, ei kasuta reeglina Java põhiseid komponente, mis võiksid sõltuda Log4j teegist.