Küberturvalisus ei ole teadupärast kuigi seksikas valdkond, kuid Briti kuningliku mereväe endine kommunikatsiooni- ja IT-spetsialist ülemleitnant Kieren Niĉolas Lovell toob küberturvalisuse piltlikult öeldes pimedast keldrist välja ja muudab cool’iks. Ta on jälginud Snapchati kaudu NATO sõjalaevade liikumist, kardab häkkeritena oma eks-kallimaid rohkem kui riiklikke professionaale ning arvab, et krüpteeritud sõnumirakendustele tagaukse loomine viib meid Hiinale sammu võrra lähemale. Täna juhendab Kieren küberturvalisuse keskuses küberjuhtumitele reageerimist ning küberharjutusi. Varasemalt on ta töötanud Briti ja Norra kuninglikus mereväes kommunikatsiooni-, IT- ja küberturvalisuse eksperdina. Samuti õpetab ta siiani Cranfieldi Ülikoolis kaitse ja julgeoleku osakonnas, King’s ja Pembroke Kolledžis (osa Cambridge’i Ülikoolist) ja juhib Eestis asuvate Suurbritannia vägede küberharjutusi.

Miks ja kuidas sa IT ning küberturvalisusega tegelema hakkasid?

Juba varajasest east huvitusin ma arvutitest, see on olnud püsiv hobi. Kuigi tol ajal ma polnud veel päris küberturvalisusest huvitatud. Ma ühinesin Briti kuningliku mereväega ning olin seal allveelaevade kommunikatsiooni ja IT-spetsialist. Mida enam ma sõjaväe heaks töötasin, seda enam mõistsin, et turvalisuse tähtsus kasvab järk-järgult. Sealt kasvas selle vastu veelgi enam huvi. Pärast üheksat aastat Briti mereväes, ühinesin Norra kuningliku mereväega ja aitasin neil üles seada nende kübersõjaosakonna. Veidral kombel sai minust seal lahingukomandör. Seega päeval tegelesin ma IT ja küberturvalisusega ning õhtul määrasin Somaalia piraatide asukohti.

Sa olid Computer Emergency Response Team (CERT, meil tuntud kui CERT-EE) juht Cambridge’i Ülikoolis ning nüüd teed sama TalTechis. Mis on CERT ülesanne?

Ülesanne on kaitsta indiviidi. Meeldib või mitte, me oleme muutnud küberturvalisuse üheks suureks tehniliseks harjutuseks. Tegelikkuses hõlmab suurem osa mu tööst häkitud indiviididega tegelemine. Seega enamjaolt on see seotud inimeste sotsiaalmeediaprofiilide, netikasutajate ja meiliaadressite uurimisega ning kuidas neid saab ära kasutada.

Hiljuti on see COVIDi tõttu muutunud eriti veidraks, kuna järsku töötavad kõik kodukontorites ja kasutavad enda isiklikke arvuteid. Töö ja eraelu eraldatus on olematu – kohtingurakendus, Facebook ja isiklik meil on kõrvuti kasutusel sinu töömeili ja informatsiooniga. Kõige värskemad uuringud näitavad, et suunatud andmepüügi rünnakute arv on tõusnud 667% võrra. See on olnud kriisi ajal lihtsalt massiivne. Inimesed postitavad endast rohkem informatsiooni kui eales varem.

Ma tegin Cambridge’is töötades uuringu inimeste salasõnade kohta. Enim kasutatud salasõnad olid: „Cambridge1“, „Password123“ ja „Letmein“. Üle 1200 inimese kasutas neid kolme salasõna.

Mis on suunatud andmepüügi rünnakud (ingl. k. spear phishing) rünnakud?

Spear phishing (suunatud andmepüük) rünnakud kujutavad endast suunatud kirju, mida saadetakse sulle või inimeste grupile, ning mille eesmärk on sinu seadme kahjustamine, sellest informatsiooni kogumine või raha varastamine.

COVIDist rääkides, me vestleme hetkel Zoomi vahendusel. Zoomi kasutamine on nüüdseks mitmes riigis piiratud ja NASAs lausa keelatud, kuna koosolekutesse on liiga lihtne sisse murda ning osaliste andmeid varastada. Vastab see tõele? Kuidas seda teha saab?

Jah ja ei. Ma veedan näiteks Briti kabineti kohtumise Zoomis. Nad olid kindlasti ohustatud, aga mitte tehnilise poole pealt. BBC uudised näitasid kuvatõmmist, kus oli näha koosoleku ID-d. Seega polnud vaja raketiteadust, et sinna sisse murda. Kas tehnilisi valukohti esineb? Jah. Aga kui aus olla, siis ma ei süüdista Zoomi. Nad olid pisike idufirma, kes üritasid lihtsalt hakkama saada ja COVIDi saabumisel kõik plahvatas. Kui nad end valesti reklaamisid, omamaks otspunktkrüpteerimist (ingl. k. end-to-end encryption), siis tuli välja, et turundusosakond lihtsalt ei teadnud, mida see tähendas.

Mis meetmeid tuleks kasutusele võtta, et netikeskkonnas ohutumalt tegutseda?

Esimese asjana ütleksin kindlasti, et me oleme andnud kohutavat nõu salasõnade puhul. Oleme inimestele öelnud, et kasutage suuri ja väikeseid tähti, tehke oma salasõna tohutult keeruliseks. Sellega pole mõtet ennast tüüdata.

Minu soovitus on, et salasõna peaks olema pikk ja püsima kergelt meeles, et seda ei pea üles kirjutama. Kui sa saad kasutada salasõnade haldajat, tee seda. Enamus seda ei kasuta. Ma olen inimestele korduvalt öelnud, et nad peaksid omama iga kasutaja jaoks erinevat salasõna. Selle puhul pean ütlema kahte asja. Esiteks, ma olen silmakirjalik, sest ma ise seda ei tee. Teiseks, inimene ei suuda meeles hoida 56 erinevat salasõna. Mul endal on süsteem, kus mul on neli salasõna. Üks panganduse ja finantsi jaoks, üks isikliku meiliaadressi tarbeks, üks töömeili jaoks, üks administratsiooni jaoks. Mu aju ei ole võimeline mäletama rohkem kui nelja asja. Kui sa suudad, siis vägev.

Miks noored on sotsiaalmeedia häkkimistele nii vastuvõtlikud?

Minu isiklikust kogemusest öeldes nad ei ole. Meil on väga lihtne öelda, et noored on palju vastuvõtlikumad. Üldiselt on siiski vanem põlvkond haavatavam. Kui jaotada teema kahte gruppi, siis esiteks noored mehed ja seejärel hilistes 40ndates mehed ning ka naised. Hiljuti lahutatud, otsivad kohtinguid, pole kunagi netikohtingutega kokku puutnud – seega üpris haavatavad. Emotsionaalne pool loeb siin enam kui miski muu, aga ma ei paneks seda kõike ühte kategooriasse.

Ma tegin Cambridge’is töötades uuringu inimeste salasõnade kohta. Enim kasutatud salasõnad olid: „Cambridge1“, „Password123“ ja „Letmein“. Üle 1200 inimese kasutas neid kolme salasõna. „Ära vajuta võõraste linkide ja meilide peale!“ – selle ütlemise peaksime lõpetama. Ma vihkan seda täielikult. Sest sel juhul pole sa kunagi arvet saanud, sulle pole kunagi CV-d saadetud, sa pole eales vajutanud ühegi reklaami peale, sa pole kunagi jälginud, kui kaugel su Amazonist tellitud pakk on. See on lihtsalt võimatu.

Me peaksime ütlema hoopis, et kui sa avad lingi ja näed, et see on ohtlik, siis sa tead, kellele öelda ja kuidas seda joonde ajada. Samamoodi kui su maja põleb, siis sa helistad 112. Kui midagi juhtub, siis peab teadma, kuidas käituda ja mida teha.

Teisiti öeldes, ma eelistan valitsuse häkkerit iga kell üle endise kallima. Ma ei karda tehnilisi oskusi, ma kardan südikust.

Mis on sinu kogemus Snapchatiga?

Kogemust on kestvalt üle kahe aasta, mille jooksul seadsin üles kaks projekti. Üks on Exercise Neptune, teine Exercise Mercury. Neptune analüüsis merel olevate madruste/meremeeste digitaalset jalajälge. Selle kaudu vaatasime, kas me saame neid jälgida, kasutades erinevaid sotsiaalmeediaplatvorme. Me kaasasime Facebooki, Twitteri ja kõiksugu kohtingurakendused. Snapchat oli kullaauk. Me saime mingi hetk uuendusi laeva asukoha, kursi ja kiiruse kohta iga kuue sekundi tagant.

Me võtsime sihile mitmed kaubalaevad ja NATO sõjalaevad. Minu loogika kohaselt pidanuks sõjavägi palju edukamalt saama hakkama kaubalaevadega võrreldes. Ma eksisin täielikult. Aga kui seda uuesti vaadata, tundus see palju loogilisem. Kaubalaeval töötava inimese keskmine vanus on 42. Nad on antisotsiaalsed inimesed, kes on merel olnud 20 aastat, neil on ükskõik. Isegi suure tankeri peal on arvatavasti kõigest 20-30 inimest. Sõjalaeval on umbes 130 inimest, keskmine vanus 22 ja neil on igav. Vahet pole, mida reeglid ütlevad, nad ikkagi kasutasid oma telefone. Seega me jälgisime neid igast nurgast. Kui minna Snap Map’i, siis näed kohe, kuhu on inimesed postitanud oma laius- ja pikkuskraadid koos pildiga. Kui nende postitus on tehtud keset merd, kus nad kannavad enda nimega vormi, siis pole kuigi keeruline välja nuputada, et nad on sõjalaeval. TalTech ja Adelaide’i Ülikool tegid koos uuringu, kus nad jälgisid Snapchati videoid Austraalia metsatulekahjude ajal. Nad suutsid täpselt määrata video filmimise ja inimese asukoha.

Snapchati majutab (ingl. k. host) Google App Engine. Piltide majutamise rakendamine on hästi dokumenteeritud. Pilte majutab server ja neid tarnitakse sellisena. Meediasisu (tuntud kui snap’idena) hoiustamise aeg serverites on erinev, sõltuvalt nende sisust. Kui kõik snap’id on soovitud saajate poolt vaadatud, kustutab need server. Serverid on kavandatud selliselt, et nad kustutavad avamata snap’id 30 päeva jooksul. Lugudesse (ingl. k. stories) lisatud snap’id kustutatakse 24 tunni pärast; erandiks on snap’id, mis on avalikult üles laetud ühislukku „Meie lugu”. Nende püsimise pikkus on täpsustamata. Öeldud on vaid nii palju, et seda saab „vaadata palju kauem”. Andmeid, mis on seotud nende kasutajatega, kes kasutavad lemmikute asukohtade funktsiooni kaardil, säilitatakse 40 päeva. See ajapikkus viitab sellele, et snap’id säilivad sama kaua. Minu praegune teadustöö uurib, kui kaua kõnealused snap’id on avalikul kaardil saadavad. Mul on üks kinnitatud tulemus, mis räägib vastu eelöeldule, kuid see pole veel avalikustamiseks valmis.

Snapchatis väidetavalt kaovad pildid peale mõnda sekundit. Kas see vastab päriselt ka tõele?

Ei. Snapchati puhul tean, et ei kao. Koos oma teaduriga Austraalias, leidsime nende pildikonteinerid, mis säilitavad kõike.

Mis asjad on pildikonteinerid?

Konteiner, või ümbris, on see, mis sisaldab endas video- või pildifaili. Rakendus siis saadab selle tavaviisil nagu iga teise netiülekande. Kuigi rakendus ütleb: „Vaata seda ja peale X sekundit, hävita fail”, siis see käib ainult telefoni kohta, mitte interneti kohta. Ehk siis see võib su telefonist ära kaduda, aga internetti jääb see ikkagi alles.

Kui Snapchatis teha pilt või video, siis see salvestatakse MP4-failina ja seejärel läheb konteinerisse. Kui seda edasi saadetakse, siis sellel on funktsioon iseenda kustutamiseks. Kui sellest konteinerist fail välja võtta, siis sa saad seda igavesti säilitada.

Kas igaüks saab konteinerist faile välja võtta?

Jah. Me kasutasime Snapchati API-d. Kuigi see hõlmas omajagu otsimist. Hästi igav osa meie töö juures nõuab lihtsalt erinevate logide torkimist kuniks miski reageerib. Isegi kui API-d saab kasutada konteinerite tuvastamisel. Lõpuks saime konteinerid kätte ja eemaldasime nendes olevad failid.

Teisiti öeldes, ma eelistan valitsuse häkkerit iga kell üle endise kallima. Ma ei karda tehnilisi oskusi, ma kardan südikust. Kui keegi sind ikka väga vihkab, siis nad õpivad häkkima. Informatsiooni on tänapäeval lademetes. Ma muretsen vaid selle inimese pärast, kes jaksab kulutada 40 tundi, et ainult ühte probleemi lahata ja sind vihata.

Mis on API?

API ehk eesti keeles masinliides, on põhimõtteliselt viis, mille kaudu programmid teineteisega suhtlevad.

Kas konteinereid saab hävitada?

Ei, hetkel mitte.

Ma saan väga tihti küberturvalisusega tegelevatelt inimestelt tagasisidet, kus nad ütlevad, et neil pole muretsemiseks põhjust, kuna neil pole Facebooki kasutajat. „Ma registreerin kasutaja sinu nimega ja olen sina“ on minu üldine vastus.

Vice kirjutas 23. mail 2019, kuidas Snapchati töötajad luurasid rakenduse kasutajaid, kuritarvitades oma ligipääsu nende andmetele. Mis oleks töötav lahendus sellisele probleemile?

Lahendus on tegelikult juba olemas ning seda on ka tükk aega rakendatud – priviligeeritud juurdepääsuhaldus. See tähendab, et ükski indiviid ei saa kogu informatsiooni näha. Teadlikumad inimesed mõistavad, et see on parim lahendus, mida on juba rakendatud, kuigi seda ikkagi kuritarvitatakse. Võtame näiteks 17. juuli Twitteri häki. Ühte kasutajasse murti sisse, millel oli jumalalaadne ligipääs kõigile kinnitatud kasutajatele. Kui ühel kasutajal on nii palju võimu, siis seda saab kuritarvitada.

Twitter kogemata tunnistas, et neil on üks superkasutaja, kes näeb kõike. Häki toimumise ajal ennustati, et see on mingisugune süsteemisisene nõrk koht, mis annab suuremat laadi juurdepääsu. Mina olin veendunud, et see on pigem keegi lihttööline, kellel on täielik ligipääs. Ennäe, mul oli õigus, sest see oli lihtsalt liiga laiaulatuslik, liiga koordineeritud ja liiga lihtsasti teostatav, et olla miskit muud. See oli üpris irooniline, et häki toimumise hetkel sai ikkagi Twitterit kasutada. Twitter ütles avalikult, et neid häkiti ja sellest räägiti enam kui millestki muust. See oli sel päeval üks räägitumaid teemasid UK-s.

Kui palju sinu infot oleks ühel inimesel vaja, et seda sinu vastu kasutada?

Väga vähe. Ma kasutan näitena Facebooki. Ma saan väga tihti küberturvalisusega tegelevatelt inimestelt tagasisidet, kus nad ütlevad, et neil pole muretsemiseks põhjust, kuna neil pole Facebooki kasutajat. „Ma registreerin kasutaja sinu nimega ja olen sina“ on minu üldine vastus. Näiteks, kui sul pole kunagi olnud Facebooki kasutajat, aga me oleme sõbrad, siis sul on juba Facebookis andmeid. Kui ma olen eales meist pildi üles laadinud, siis su biomeetriline info on juba kasutusel. Seda saab tõestada. Kui keegi, kellel pole kunagi kasutajat olnud, teeb omale kasutaja ja laeb üles pildi, siis Facebook hakkab neid pommitama küsimustega „Kas see oled sina?“ Isegi kui sul pole nendes rakendustes kasutajat, su info on mingil moel neil juba olemas.

Kas enda turvalisuse mõttes oleks lihtsam end täielikult sotsiaalmeediast eemaldada?

Ei, kahjuks mitte. Ma muidu ei kasutanud Facebooki Cambridge’ist lahkudes, kuna ma olin seotud Cambridge’i analüütilise poolega, kuid ma ei häkkinud demokraatiat (naerab). Eestisse kolides mõistsin, et ma ei saa siin elada ilma Facebooki ja WhatsAppita. Mul poleks sõpru, ma istuks üksi baaris ja jooks masendunult õlut. Kõik suhtlevad nende rakenduste kaudu. Võttes näiteks akadeemikud, siis oled sa ainult nii hea kui on sinu järgmine rahastus. Sa pead olema saadaval, sa pead end reklaamima ja näitama, mida sa teed. Oma erialal pead sa olema nähtav. Sa saad olla täielikult turvatud, aga see tähendab, et sa kasutad ainult sularaha, sul pole sõpru ja sa elad koopas. Keegi ei valiks seda teed.

Kui võrrelda enamikke sotsiaalmeediarakendusi, siis milline on sinu arvates vaikimisi kõige ohutum?

Instagram. Kuid see on isikliku poole pealt, mitte tehnilise. Instagramis postitatakse peamiselt ainult pilte ja videoid. Neil kõigil on eelised ja puudujäägid. LinkedIn on kullaauk, ma armastan LinkedI’i. Seda seetõttu, et paljud inimesed laevad sinna üles oma CV, milles on kirjas nende sünnikuupäev ja nende nimi. Mul on sinu kogu tööajalugu, su võrgustik ütleb mulle, kes on su ülemused. Kui ma lasen selle läbi LinkedIni rakendusest, saan ma näha, kui suur su palk on. Ma tean sinust kõike. Kui ma siis tahaks sinu vastu rünnakut sooritada, saan ma teeselda, et olen su ülemus. Või ma saan teeselda, et ma olen potentsiaalne töökoht, kus sa teeniksid 1000 eurot rohkem kui praegu. Kõike saab ära kasutada ning inimeste leidlikkus ei tunne piire.

Mis on rahvuslikule julgeolekule kõige märkimisväärsem ohukoht, mida laialdane andmete kogumine tekitab?

Ma arvan, et mingist vaatenurgast on lääneriigid ühed suurimad ohuallikad. Eriti Suurbritannia ja USA on hakanud liikuma samas suunas. Oled võib-olla märganud, et me üritame lõpetada otspunktkrüpteerimist WhatsAppis ja Telegramis. Põhjuseks tuuakse, et luureagentuurid peaksid saama neisse sisse murda ja neid koheselt dekrüptida. Probleem on selles, et kui me läheme mööda seda teed, siis me samastame end Hiinaga. Niipea kui sa selle katki teed, augu sisse paned ja selle kokku tagasi paned, on seal ikkagi auk. Kui sa arvad, et häkkerid ja teised grupid sinna ligi ei pääse, siis oled sa minust julgem inimene. Kohe, kui sa oled kujundanud midagi nõrga kohaga, on see nõrkus omane.

Me peame seda vaatama ka sellest nurgast, et Hiina on meist väga väga erinev. Seda on hästi näha ühe Hiina rakenduse kaudu – WeChat. WeChat on suurim andmekogumise rakendus, mida me eales näinud oleme. Kui rääkida suurest informatsioonikoguses, siis WeChat on hämmastav. Näiteks, kui ma tahaksin Pekingis juuksuri juurde minna, siis ma leiaksin ühe WeChati kaudu. Ma teeksin endast pildi ja postitaksin selle üles WeChati, mis on nende Instagram. Ma maksaksin WeChati kaudu, sest see on nende puutevaba kaardisüsteem. Ma lähen sushi-restorani ja süsteem automaatselt tuvastab, kes ma olen läbi WeChati, näidates mu profiilipilti ja nime. Ma poolitan sõbraga arve, me maksame läbi WeChati. Ma jään purju, sest olen britt, kukun välja restoranist ja murran oma jala, ma panen omale arstiaja WeChatis. Ma saan oma retseptid WeChatist. Mul oli sündmusterohke päev ja ma pole kordagi ühest rakendusest lahkunud. Neil pole otspunktkrüpteerimist, nad on kõik selle info endale kogunud. Sellega võrreldes on meie sotsiaalmeediaprofiilid Facebookis ja Twitteris tohutult väikesed. Nad omavad kõike, sest neil puudub piir valitsuse ja eraisiku vahel.

Mõned inimesed arvavad, et on loogiline lõpetada otspunktkrüpteerimine (end-to-end encryption), sest see kaitseb kriminaale. Tegelikkuses ei ole, see teeb lihtsalt kõigile teistele haiget.