Veebilehitsejate turvalisuse seadmine

Tänapäeval müüakse üsna palju arvuteid, millesse on tarkvara juba eelnevalt installeeritud. Kasutajatele on see suureks eeliseks, kuna ei pea enam operatsioonisüsteeme ise paigaldama ja võidakse kohe läbi interneti maailma vallutama minna. Ent vähesed hindavad selle juures kõigepealt riske – mis tarkvaraga on tegemist ja kui turvaliseks on see konfigureeritud, et internetist tulevatele rünnakutele vastu seista.

Näiteks Microsofti operatsioonisüsteemidega kaasneb automaatselt veebilehitseja Internet Explorer. Paljud jäävadki seda kasutama, ent teadlikumad tirivad selle kõrvale alternatiivina mõne teise brauseri , näiteks Mozilla Firefoxi , OperaGoogle Chrome‘i jne. Ent paraku just siin tehaksegi eksiarvestus, et sellega on ka kogu turvalisus tagatud. Tegelikult aga ei Internet Exploreri ega ka teiste brauserite vaikesätted pole vaikimisi turvaliseks seatud, vaid seda tuleb ise teha.

Veebilehitseja omadused ja riskid

Veebilehitsejad on ühed enamkasutatavad arvutirakendused. Turvaliseks seadistamata brauseriga internetis surfates on aga suurim oht  arvutisse nakkusi saada. Ehkki brauserite haavatavusi on kurikaelte poolt varemgi ära kasutatud, siis just viimasel ajal näitab see aina suuremat kasvutendentsi.

Iga päevaga lisandub internetiavarustesse üha uusi põnevaid lehti, kutsudes kasutajad  kõikvõimalikel linkidel klikkima. Paraku ei pruugi esmapilgul arugi saada, et tegemist võib olla pahatahtliku veebisaidiga. Varjatult kontrollitakse üle kasutajate brauserid ja kui neist leitakse turvaauke, laetakse arvutisse pahavaralisi komponente, mis võivad tekitada väga erinevaid probleeme. Võidakse  varastada kasutajate andmeid, rikkuda arvutis olevaid faile, muuta arvuti ründevahendiks teiste arvutite suhtes ning  halvemal juhul  isegi haarata kontroll arvuti üle.

Nakatumine toimub tavaliselt kasutaja teadmata, ent sageli tema kaasabil. Paljudel on kalduvus klikata veebilehtedel igale lingile, mis seal pakutakse. Enamasti on tegu kas mõtlematuse või rumalusega, kuna kõiksugused teadaanded suure võidu kohta on vaid salakavalad peibutised.

 

Suureks probleemiks on ka kasutajate tahtmatus, teadmatus või viitsimatus veebilehitsejaid uuendada.

Iga natukese aja tagant pakuvad arendajad veebilehitsejatele turvapaikasid või uusi versioone, mis parandavad seni teadaolevad vead. Näiteks Internet E xplorer  8 saab alla laadida siit või läbi Microsoft update’i, Mozilla Firefoxi ja Opera värskendamiseks  tuleb valida tööriistaribalt Help – Check for Updates, Google Chrome’is leida paremast nurgast mutrivõtme kujutis ning see lahti klõpsates valida Teave Google Chrome kohta.

Nakatumine on võimalik ka veebilehitsejale paigaldatud kolmanda osapoole tarkvara tõttu, kas selle suutmatusest vastu võtta üleüldiseid turvavärskendusi või on nende endi kaitsemehhanismid ebapiisavad või vananenud. Näiteks brauserile paigaldatud lisatööriistaribad või ka pluginad võivad teinekord  olla haavatavad.

Üsna oluliseks tuleb pidada ka ka veebilehtede omanike endi tööd oma saitide arendamisel ja turvamisel. Sageli tehakse siin järeleandmisi, mis võivad põhjustada sissemurdmist ja pahalaste istutamist või siis lehe kaaperdamist. See aga  omakorda haavab mitte midagi kahtlustavat veebilehele sisenejat, kes omateada külastab ohutut lehte.

TMõnikord on kasutaja ise tahtlikult turvafunktsioonid kinni pannud, kuna peab neid netis surfamisel tüütuteks. Paraku tõesti peab leppima sellega, et turvaliseks sätitud brauser  teeb kasutaja elu mõnevõrra ebamugavamaks , kuid parem kannatada see ära kui hiljem kahetseda.

Veebilehitseja funktsionaalsust ja turvalisust mõjutavad ka mitmed teised lisategurid.

  • ActiveX on tehnoloogia, mida kasutab ainult Internet Explorer Windows keskkonnas. See võib täiustada veebis surfamist ja aitab veebilehitsejale paigaldada uusi funktsioone. Näiteks IE baasil online viirusskannerid nõuavad ActiveX’i lubamist, samuti on see vajalik ID-kaardi paigaldamisel. Ka kodulehtede arvutist üleslaadimisel veebisaidile võib sellest abi olla. Paraku on AxtiveX komponentidel otsene juurdepääs opisüsteemile, seetõttu võivad need kujutada turvalisuse seisukohast suurt ohtu. Lisainfot siit.
  • Java on programmeerimiskeel, mille abil saab välja arendada interaktiivseid ja animeeritud sisu veebisaitidel. See aitab mängida online mänge ja vaadata pilte 3D mõõtmes. Java on lokaalsest platformist ja operatsioonisüsteemist sõltumatu. Javas kirjutatakse kahte liiki programme, rakendusi ja applette, mis abistavad WWW kliendiprogramme. Kuigi Javasse on rakendatud väga tugevad kaitsemehhanismid rünnakute vastu, on häkkerid neist ikka ja alati  leidnud turvaauke. Lisainfot siit.
  • Plug-ins ehk pluginad on pisikesed programmijupid, mis liidetakse abistava vahendina brauseri külge ja mis vastavalt oma eesmärgile täiendavad seda. Ent vahetevahel võib ka neis esineda puudusi või programmeerimisvigu, mis võivad põhjustavad näiteks puhvri ületäitumist programmides. Üsna sageli leitakse turvavigu näiteks brauserilaiendist  Adobe Flash Player, viimasest neist hoiatati alles mõned päevad tagasi.
  • Cookies ehk küpsised on tekstijupid, mis veebilehti külastades paigaldatakse kasutaja arvutisse. Küpsised salvestavad teavet külastatud saitide kohta,  aga sageli ka mõnda portaali sisenemiseks vajalikke salasõnu koos kasutajanimega või krediitkaardi numbreid. Küpsiseid kasutatakse tavaliselt  statistiliste andmete kogumiseks, jälgides kasutajate eelistusi saitide külastamisel, mis pole küll otseselt ohtlik, ent mida võiks nimetada isiku privaatsuse rikkumiseks, kui veebilehel  pole sellekohast teavet. Ent mis puudutab portaalide juurdepääsuõiguste salvestamist küpsistesse, siis häkkerite kätte sattudes võivad need kujutada suurt turvariski. Nende abil võidakse siseneda kasutaja kontole ja tegutseda seal oma äranägemise järgi.
  • JavaScript ja  VBScript on skriptikeeled, mis võimaldavad veebilehti täiustada erinevate funktsioonide ja efektidega. Võime käivitada skripte muudab veebilehti põnevamaks ja huvitavamaks, ent sama võimet kasutavad ära häkkerid nende haavamiseks. Kuna enamuse veebibrauserite vaikesätted lubavad skriptide tuge, siis võib see põhjustada pahavarasse nakatumisi. Kui Javascript on platvormist sõltumatu, siis VBScript toetab ainult Internet Explorerit.

Loe ka Internet Explorer turvaliseks seadmisest.

Loe ka Mozilla Firefox turvaliseks seadmisest.


Artikli kirjutamisel on kasutatud US-CERT materjale.

at.lineOK

6 Vastust to “Veebilehitsejate turvalisuse seadmine”

  1. Arvutikaitse » Blog Archive » Mida Sinust teatakse Internetis? Says:

    […] turvaliseks seadmisest olen kirjutanud varemgi.  Loomulikult on see igaühe enda asi, kas neid ka turvaliseks seatakse.  Paljude kasutajate […]

  2. Algaja arvutikasutaja Says:

    Olen oma senise elu olnud suhteliselt suur arvutipõlgur. Ülikooli minnes tabas mind halb üllatus – ilma arvutita läbi ei aja. Soetasin siis endale kah umbes aasta tagasi sülearvuti. Kas ma ka seda internetis valitsevate ohtude eest kaitsta oskan? Ilmselt mitte eriti, sest näiteks selle veebilehe avastasin alles täna.😀 Ja mul tekkis kohe paar küsimust:
    * Kasutan vaheldumisi kolme erinevat veebibrauserit: IE8, Mozilla Firefox 3.6.3, Google Chrome 4.1.249.1064, millest viimast kõige sagedamini. Kõik on up to date ja jookseb okipoki. Tegin brauserite turvalisuse kontrollimiseks ka soovitatd crash-testi (http://bcheck.scanit.be/bcheck/index.php). Nägin, et test tuvastas kõigi kolme brauseri olemasolu, kuid testi tulemused olid näha vaid Mozilla ja IE kohta. Kas Chrome’i ei testitudki? Kust leida infot Chrome’i turvalisuse kohta?Muide, ühtki puudust test ei leidnud.

    *Mul lippab arvutis ka AVG 9.0.814 Free ja Windows Defender 1.81.438.0. Mida saaksin/võiksin/peaksin veel tegema, et võiksin suhteliselt kindel olla, et mu arvuti on kaitstud? (Muidugi, oma rumaluse eest ei kaitse ükski programm, see on selge. :D)

  3. Priit Says:

    See testibki ainult kolme maailma enimkasutatavat veebilehitsejat – IE, Firefox ja Opera. Millalgi, kui Chrome saavutab suurema populaarsuse, siis kindlasti lisatakse ka selle haavatavuse kontroll juurde.

    AVG ja Win Defender on head, olenevalt arvuti võimsusest võid paigaldada ka mõne tulemüüri. Veebilehitsejatele kindlasti veel eraldi kaitsepluginad, kui mälu ei peta, siis McAfee Siteadvisor peaks Chromele ka sobima. Mõned lisa nuhkvaratõrjed võiksid ka olla, millega saad aeg-ajalt arvuti üle kammida.

    Selle lehe paremast reast Kasulikku leiad viiteid nendeni jõudmiseks. Vasakus reas Teemade all on ka palju infot koos programmide ülevaadetega.

    Vabandan, et ei saa momendil põhjalikumalt ja konkreetsemalt kirjutada, viimasel ajal on väga kiireks läinud. Kui laup-pühapäevadel veel ei jõua põhjalikumaid artikleid kirjutada, siis jaanipäeva paiku puhkuse ajal teen ühe loo ka sellest, ekstra Sinu jaoks😉 , mida kohe peale opisüsteemi paigaldamist tuleb turvalisuse osas arvestada, mida paigaldada jne – nii nagu ma valmistan ette tööks nende kasutajate arvutid, kes toovad need mulle tegemiseks, alates opisüsteemi paigaldamisest kuni vajalike turvaprogrammide paigaldamiseni, et arvuti saaks optimaalselt turvatud ja samas jääks ka kiireks.

    Usun, et kui siis veel külastad seda blogi, siis saad kindlasti tollest loost palju vajalikku infot🙂

  4. Algaja arvutikasutaja Says:

    Aitäh kiire ja asjaliku vastuse eest!😀

    Tulemüür mul on on Windows XP oma. Aga see on mu meelest nii elementaarne, et ei teadnud seda mainidagi. Ma tõesti ei teadnud, et sellest ei piisa. Nüüd haringi end tulemüüride alal😀

    McAfee SiteAdvisorit jõudsin põgusalt vaadata, aga Chrome’i ta vist ikka ei tunne. Igatahes uurin asja edasi. IE ja Mozilla külge ta sobiks, aga üks punkt mulle nende Privacy Policys ei meeldinud (ilmselt seetõttu, et tunnen end saksa keeles kodusemalt kui inglise keeles ja mul on kalduvus asju keerulisemaks mõelda :p ). Ma uurin nüüd lähemalt, mida see punkt sisuliselt tähendab.

    Ah jaa! What The Internet Knows About You? Hmm… Tegelikult mitte midagi. Suutis leida kaks saiti, millest üks oli Google.ee ja teine üks otsingusait, mida külastasin kuu või poolteist tagasi ühe korra. Mike On Ads pani mu soo ka 54:46 puusse. Kindel et ta seksuaalseid eelistusi ei testi?😉
    Et siis see on ju hea?

  5. Priit Says:

    Mike On Ads tegelikult kirjutabki, et seda testi väga tõsiselt ei võetaks. Et mõni, kes on näiteks poiss, aga määratakse testi põhjal tüdrukuks, soovahetuseks kinnisideed ei saaks🙂

    Testis peamiselt jälgitaksegi saite, kus keegi viibinud on, aga paraku paljudele tüdrukutele meeldivad ka poistelehed ja poisid viibivad tüdrukutelehtedel, seega põhinevad kõik sellised testid statistiliste andmete analüüsil, mis ei pruugi alati paika pidada.

    Minu kohta pakuti, et olen kesksoost – 50-50.🙂

    Muide, kui oled huvitatud just viimati kirjutatud turvaalaste artiklite lugemisest, siis jälgi siin blogi paremas reas viidete all Arvutikaitse.ee viimaseid sissekandeid. Kuna olen ka http://www.arvutikaitse.ee/ -s tegev, siis alati avaldan turvalisusega seotud artiklid esimesena just seal ja alles hiljem, u. nädala-paari pärast tõstan need siia ümber.🙂

  6. Barbara E. Says:

    Happy Holidays to all of you. And a happy new year🙂


Lisa kommentaar

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Muuda )

Twitter picture

You are commenting using your Twitter account. Log Out / Muuda )

Facebook photo

You are commenting using your Facebook account. Log Out / Muuda )

Google+ photo

You are commenting using your Google+ account. Log Out / Muuda )

Connecting to %s

%d bloggers like this: