Teksti suurus

Reavahe

Kontrastsus
Seaded

 

Nutiseadmete ruutimisest

Mobiiltelefonide ja nühvlite puhul võetakse üha sagedamini ette teema nimega rooting. Küsitakse nõu, küsitakse tegutsemisjuhist – kas peaksin oma telefoni ära ruutima või mitte? Paraku on tegemist tehniliselt küllalt keeruka ning mitme distsipliini piiril paikneva teemaga, mida on keeruline selgitada pelgalt turvanõuete või turvameetmete pinnalt. Pigem nõuab selle teema käsitlemine filosoofilist arusaamist taustsüsteemist ja senisest tasakaalust, kuid mis kõige tähtsam, infoühiskonna ja nutimaailma edasistest arengutest. Jätka lugemist!

See kirjutis kannab seisukohta, et telefoni äraruutimine pole mitte pelk tehniline toiming, vaid olulist tähendust omav sotsiaalne tegu. Enamikes näidetes viitan Androidile, kui privaatsuse seisukohast kõige vastuolulisemale ja Eestis samas kõige levinumale nutiopsüsteemile.

Androidi rohelise mehikese tagant piilub punane sarviline mehike. Kõrval on spiooni vari (kaabu ja mantliga mehe musta värvi kujutis).

Pildi allikas: www.vizz.co/must-best-free-spy-apps-android-smartphone/

Terminoloogia

Asjadest saab rääkida siis, kui nende tähistamiseks on olemas terminid. Ingliskeelne termin "rooting" tuleneb UNIX operatsioonisüsteemi semantikast, kus "root" on superkasutaja nimi. Microsofti terminoloogias on sarnane kasutaja administrator. Tegu on kasutajaga, kes teeb, mis tahab. Pärast esmast autentimist (= ah et ongi root?) tema õigusi/volitusi enam ei vaadata (volituskontroll sisuliselt jääb vahele) ning säärase eelistasemega kaasneb tehniline suutlikkus näiteks arvutuskeskkond suisa hävitada: failid kustutada, failisüsteem üle kirjutada vms, rääkimata teiste kasutajate töösse sekkumisest või nende töö takistamisest.

Olukorra kirjeldus ei oleks täielik lisamata, et moodsamates operatsioonisüsteemides ja programmides tekib osa "peenemaid" õigusi ka krüptograafiliste sertifikaatide tõttu, mistõttu omanikustaatuse kehtestamisel mängib tähtsat rolli riistvara. Mainime siinkohal trusted boot'i või riistvarasse kodeeritud sertifikaate. Mõne krüptograafilise tõendi võib laulatada rauaga ning edaspidi on selle tõendi teise poole valdajal alati eelisõigus kõigi teiste äktorite* ees.

* äktor – oma agendat omav ning selgete huvidega tegutseja/toimija, erineb subjektist, kes on reeglina passiivne käituja.

Uitmõtteid verbi "to root" eestistamise teemal:

  • privileegimine (privileegtoimingute võimaldamine) – keelemeeste pakutud, sisult ja vormilt õige termin. Pole teada, kas see juurdub ja kes peaks seda juurutama;
  • häälduselt väga sarnane sõnaga "routing" (marsruutimine). Kuivõrd kõnekeeles kasutatakse ruutingut ja ruutimist juba võrguühenduse tähenduses, siis teist "ruutimist" sinna kõrvale luua poleks ehk otstarbekas?
  • otsetõlge "juurimine" ei pruugi eesti keelega sobida, osalt on termini juba hõivanud matemaatikud ja põlluharijad;
  • "ruudustamine", kuid tegu pole ju geomeetrilise kujundiga :(;
  • "äraadministreerimine", "omamine" – neil sõnadel on juba muu tähendus (to /pwn/);
  • "õunamine* ;) – sõnamäng to own teemal, eriti õunalogoga aparaatide puhul.

Hetkeolukord: kõnekeeles räägitakse endiselt telefoni ruutimisest.

Paradoksaalne, kuid eesti terminoloogias on kujunenud olukord, kus leiduvad eestikeelsed sõnad haruldaste lindude ja loomade kohta, kusjuures mõne haruldase lehma nimetust vajab heal juhul vaid mõnikümmend inimest, kuid puudub termin olulise nähtuse kohta, mis otseselt puudutab kümneid tuhandeid ja seeläbi kogu ühiskonna turvalisust.

Kelle turvalisus?

Turvalisust kui üldmõistet saab mõista väga valesti. Turvalisusest rääkides unustatakse subjekt ning räägitakse vaid seisundist, seda kas 0/1 kahendhinnangus või hallskaalat kasutades. Väidetakse: see või too tehnoloogia on turvaline / ei ole turvaline. Usutakse isegi, et turvalisust saab kvantitatiivselt hinnata. Kuid kelle turvalisus? Vahel on mängulaua taga mitu erinevat subjekti (riik, eraisik, erafirma, teine eraisik) ning siis on vaja teada, kuidas hüpoteetiline turvaseisund nende vahel jaguneb. Kas võidavad kõik osalised või mõni ka kaotab (nt kaugloetavad arvestid).

Näiteks üks oluline, kuid krooniliselt alahinnatud printsiip (www.sirp.ee/s1-artiklid/c9-sotsiaalia/infouehiskonnast-hereetiliselt-iv/) – kellele tehnoloogia kuulub ja kuuletub? Näiteks koer (kui isikukaitse tehnoloogia) võib eri isikute suhtes olla kaitsja või ründaja rollis. Kui tegu on minu koeraga, siis see tehnoloogia tõstab kindlasti minu turvalisust – koer ju peremehe toitvat kätt ei hammusta, küll aga naabrimehe jalga. Laias laastus võib öelda, et koera turvaaspekti suund oleneb subjektist.

See paradoks ilmneb ka iga muu tehnoloogialiigiga. Tehnoloogia turvamisvõime on suurim omaniku või valdaja suhtes ja võib olla negatiivne kõigi teiste suhtes. Selles valguses muutub igati mõistetavaks, et mobiiltelefon ehitatakse moel, mis on turvaline ja kasumeid tagav telefoni tootjale (näiteks Samsung) ja tarkvaratootjale (Google), kuid ei pruugi olla piisavalt turvaline telefoni kasutajale (nuhib...). Olukorras, kus subjekte on mitu ja nende ootused või suhted vastandlikud, muutub tehnoloogia kuuluvuse määratlemine äkitselt ülioluliseks.

Selles mõistesüsteemis on ruutimine/privieegimine toiming, millega vahetatakse konkreetsel tehnoloogial alt ära seda kontrolliv subjekt – st võetakse seniselt omanikult kontrollimehhanismid üle. Tehniliselt ei ole privileegimises midagi ürghalba – hinnang on pigem ühiskonnapõhine. Sest kui ühiskonnas jõujooned erinevad loomulikest ja neid hoitakse paigas juriidika abil, siis võib üksiku häkkeri ruutimistalg vahel sildistuda ka taunitavaks aktsiooniks.

Senise ühiskonnakorralduse mõistes on tekkinud uus ja problemaatiline asjaolu – kui industriaalühiskonnas tootmisvahenditele eetikanõudeid ei esitatud, siis infoühiskonnas on tootmisvahendid märkamatult paigutunud meist igaühe info- ja suhtlusahelasse. Tootmisvahendi seisund ühiskonnas on kardinaalselt muutunud. Eetika puudumine ja toore kapitalismi esinemine infosfääris puudutab aga meist igaüht. Otse öeldes: eetikanõuded totaal-levikuga side- ja infotöötlusvahenditele on alles esitamata, seevastu loetelu tegevustest, milleks kapital on kasumi nimel valmis, esitas juba Marx.

Teadaolevalt on tehnoloogiate ülevõtmist (st kaaperdamist) varem esinenud pigem suveräänide vahelises võitluses, ka seisuste, klasside või eriteenistuste omavahelises võitluses (hobusevargusest sõjalaeva ekspropini). Nüüdseks oleme e-arengutega jõudnud tasemele, kus võitlus tehnoloogia kontrollimise üle on laskunud juba ka üksiku eraisiku tasemele. Kodanik pole täiesti arusaamatul kombel päris rahul viisiga, kuidas korporatsioonid ja riigid tehnokontrolli poliitikat teostavad (privaatsus, NSA, Snowden, SS7, Finfisher, Google jt märksõnad). Kodanik on asunud oma oletatavaid või eeldatavaid pärisõigusi mainit kildkondadelt tagasi võitlema.

Arusaadavalt käib võitlus ühte väravasse – eelkõige mänguväljaku asümmeetrilisuse tõttu. Täna pole kodanikul kodus mikroskeemitehast ega võimalust sertifikaate rauda laulatada, saati siis võimet ja oskust midagi masstoota või kedagi oma lahendust kasutama sundida. Vastupidi – standardset commodity nutiseadet ruutides ei saa üksikisik eales olla kindel, kaua säärane olukord kestab, sest juba järgmine mittevabatahtlik uuendus (värskendus ;)) tehnoloogia algselt omanikult annab kontrolli tagasi tehnoloogia algsele omanikule. Valmistajal on võimalus oma riistvarasse sisse monteerida sertifikaate ja privaatvõtmeid, mistõttu seadmel jääb oma "vana omaniku" suhtes alles teatav eelistus. Jõupingutus, mida tuleks tarkvara kallal rakendada, et ruutimine oleks ajas jääv, ületab üksikisiku intellektuaalsete ja majanduslike võimaluste piirid mitme suurusjärgu võrra.

Ühtlasi on huvitav märgata, kuidas mitmed ühiskondlikud kontseptsioonid, nagu näiteks süü ja häbi, on nüüd realiseeritud IT-vahenditega. Näiteks, kui Samsung Galaxy telefon naiivsel viisil ära ruutida, põleb tema kiibis läbi üks sulavkaitse (nn NP bitt). Kaasnev efekt sarnaneb primitiivse ühiskonna abiellumistraditsioonidega: pruudi üleandmisel isalt tulevasele abikaasale kaob pärast "esimest ööd" õigus garantiile.

Miks peaks oma telefoni ruutima?

Veel umbes suvel 2014 oli vastus sellele küsimusele ilmne – ega ei peagi. Kui just pole uudishimu karule niisama kõhtu vaadata.

2014. aasta lõpuks muutus olukord märkimisväärselt: mõnedki olulised enesekaitse äpid – secupwn.github.io/Android-IMSI-Catcher-Detector/ – saavad töötada vaid ruuditud telefonidel. Siia alla kuulub osa VPN äppe, varukoopiate tegemise äpid ning terve kuhi sideturvalisuse äppe.

Ekraanikuva sellest, millised ligipääsud tuleb anda aplikatsiooni Waze Social GPS Maps & Traffic kasutamiseks: identiteet, kalender, kontaktid, asukoht, kaamera, mikrofon, seadme ID ja kõneteave.

Androidi turvamudeli vead hakkasid endast märku andma aastatel 2010 ja 2011, kui selgus, et ühtesid õigusi on võimalik järk-järgult kätte saada teiste õiguste kaudu (permission leakage) – appleinsider.com/articles/11/12/05/serious_security_flaws_discovered_in_android_phones_samsung_and_htc_ignore_issue. Siis aga toimus turvamudeli kuritarvitamises hoopis sotsiaalne pööre. Selgus, et äpp ei peagi endale õigusi varastama, vaid võib need täiesti vabatahtlikult saada turvaasjades võhikliku kasutaja käest – tuleb vaid küsida. Aasta 2014 jooksul muutus Androidi õiguste (tegelikult lubade) süsteem lõplikult mõttetuks, sest pea iga programm küsib endale kohe paigaldamisel kõik mõeldavad ja mõeldamatud õigused, nii et tekib vallatu mõte – kas üldse oligi vaja eristada neid õigusi OS tasemel?

Tekst pildil: "Kas kasutada Google'i asukohateenuseid? Lubage Google'il aidata rakendusi asukoha tuvastamisel. See tähendab, et Google'ile saadetakse anonüümseid asukohaandmeid isegi siis, kui ükski rakendus ei tööta." All kaks valikut: "Ei nõustu" või "Nõustun".

Vahel jääb mõni muidu hea äpp peale panemata, sest selle nuhkimise tase on liiga kõrge. Aadressraamatu kopeerib vasakule juba enamik äppe, lisaks tahavad kõik teada omaniku nime ja asukohta ... eesotsas Guugliga ja Äppliga, kes tahab asukohta teada isegi siis, kui GPS on välja lülitatud.

Pildil asukohatäppidega kaart. Nii salvestatakse asukohainfot iPhone'is.

Allikas: www.cbsnews.com/news/apple-google-devices-secretly-gathered-data/

Ruutimine pole siiski ettemääratult illegaalne. Seda tõestab asjaolu, et Google'i Play poes on äraruuditud seadmetele mõeldud tarkvaral küljes täiesti legaalne marker – ROOTED – ning selles kategoorias on ka palju tasulisi äppe.

Disainivead Androidi ärimudelis pisendasid isiku õigusi tarkvaraarendaja ees ning muutsid isikuandmete legaalse pätsamise oma ärimudeli poolkohustuslikuks osaks.

Ruutimise sügav sisu

Operatsioonisüsteemi ülevõtmiseks on tegelikult kaks teed. Esimene – leida turvaauk, käivitada seda kuritarvitav skript ning peremeheks saades põhistada oma roll süsteemis. Välimuselt sama töö, mida teeb kuritahtlik häkker võõras süsteemis, olulise erinevusega, et siin võtab inimene omaenda telefoni tagasi kelleltki, keda ta ei usalda.

Teine võimalus on kasutada alglaadimise (boot-loader) võimalusi. Hõlbustamaks telefonide remonti ja uuendamist töökojas, on süsteemitarkvara jagatud osadeks. Esimene ja kõige väiksem osa ei teegi muud, kui laadib tööle põhitarkvara – firmware ehk püsivara. Teatud klahvikombinatsioonide abil, mis telefoniti erinevad, saab alglaaduri otsusi mõjutada ning panna ta "buutima" kusagilt mujalt – tavaarvuti mõistes oleks see nagu restart CD- või DVD-kettalt.

Niisiis tuleb eristada "korraks" ärahäkitud telefoni (sest oli põnev sisse vaadata) veidi kestvamalt "vabastatud" telefonist. Ajutine ülevõtt võib jääda üürikeseks, kuivõrd telefoni rauas või tarkvaras võivad sisalduda ülalkirjeldatud "omanikusertifikaadid". Juba homme võib taevast saabuda uuendus, mis muudab jõudude vahekorra taas valmistajafirma kasuks ning siis tuleks pwn'imise protseduuri korrata (mis aga ei pruugi alati õnnestuda). Kas ja kui tark oleks keelata uuendused, väärib eraldi arutlust kusagil mujal.

"Omandamise" krooniks on siiski telefoni üleviimine spetsiaalsele nn custom ROM'ile, mis lisab tavakasujatele seni kättesaamatuid uusi "featüüre". Tavaliselt saavad custom ROM'i valmistajad algse tarkvara kätte mõne piirkonna OTA-uuendusest, muudavad seda pisut ning taaslevitavad seda siis juba koos lisanduste ja täiendustega.

Kusagile ruutimise ja püsivara asendamise vahele jäävad eksperimendid kerneliga – OS tuumaga. Üldlevinud arvamuse kohaselt on võimalik kokku kompileerida tuum, mis sobib kasutajale paremini kui poetuum. Iseasi, kas uue kerneli saab paika seada ruutimisega või tuleb selleks ikkagi vahetada kogu püsivara.

Pilt Androidi rohelisest mehikesest, kellel on kõhu peal avatud tabalukk.

Pole kuigi põhimõttelist vahet Androidi ruutimise ja Apple'i jailbreak'imise vahel. Tarkvara on läinud nii keerukaks, et sisaldab igal ajahetkel kindlasti mitut turvaviga. Sobiva turvavea (või mitme säärase) kaudu on võimalik seadmesse siseneda ning seade üle võtta (pwn2ownen.wikipedia.org/wiki/Pwn2Own). Androidi ja iOS ökosüsteemid toimivad erinevalt. Android on pisut lahtisema koodiga, sestap on vaba infot riistvara ja draiverite kohta kogunenud rohkem. Apple on omi saladusi kiivamalt hoidnud ning õppimiseks sobivaid, avatud koodiga draivereid polegi olemas. Apple'i puhul pole teada, kas või kuidas saaks alglaadurit vahetada, mistõttu kasutaja käed ei ulatu sama sügavale kui Androidi ökosüsteemi seadmete puhul. Sestap jääb Apple ajateljel paar aastat maha. Nende "security through obscurity" mudelis on alles nüüd esimesed suuremad tõrked, samas kui Androidi puhul on see faas läbitud ja turg stabiliseerumas.

Kohandatud tarkvaraga telefonid

Tahaksin custom ROM'i kohta öelda kohandtõmmis, kuid nii peent sõna eesti keeles siiski veel pole.

Pärisprobleem nutiseadmete juures seisneb asjaolus, et tootjal on võimalik toodet paketeerida koos omaenda nuhk-, bloat- ja muu kolevaraga. Ilmselt annab see tootjale täiendava reklaamisissetuleku. Hiljuti käis ajakirjandusest läbi juhtum, kui riistvaratootja Lenovo eelinstalleeris müüdavatele aparaatidele ühtlasi peale nuhkvara SuperFish (http://majandus24.postimees.ee/3115583/lenovo-muub-ikka-veel-ohtliku-reklaamvaraga-arvuteid). Et säärast sülearvutit tohiks korporatiivses (asutuse või firma võrgus) kasutada, tuleb sellele kõigepealt nullist paigutada puhas opsüsteem – selline, milles teadaolevalt lõkse ja tagauksi ei sisaldu.

Nutiseadmete puhul saab kohandatud tõmmist enamasti installeerida otse alglaaduri (boot-loader) abil, mõne mudeli puhul aga on uue püsivara laadimine võimalik vaid eelneva priviligeerimise kaudu.

Siit edasi ei jahmata väga ka idee, et nutiseadme kasutaja peaks kohe alguses välja viskama kogu lisafunktsionaalsusega jõleduse, mis tootja või müüja soovivad talle päha tõmmata ning asendama selle mõne asjalikuma tarkvaraversiooniga. Arvestades viisi, kuidas telefonidesse tarkvara installeeritakse, tuleb säärane firmware ehk custom ROM kusagilt hankida ja siis oma telefonile selga kõrvetada. Kuid nagu eespool viidatud, mõni moobiliifirma saadab garantiilise telefoni pikalt, kui püsivara laadimise loendur (custom firmware paigalduste loendur) on nullist suurem... Tarbijakaitse lahendid säärase kaasuse kohta teadaolevalt puuduvad.

Seega mitte alati pole nutiseadme modifitseerimise algpõhjus ürgne häkkimishuvi, vaid sageli hoopis tootja ja levitaja tehtud ning kasutajat otseselt kahjustavad paketeerimisotsused.

Kokkuvõttes – ruutimine on ajutine vektor, custom ROM on püsiv seisund.

To root or not to root

Oma telefoni ruutides paneb isik end olukorda, kus edaspidi on tal vaja ajaühikus sooritada hulk tegevusi, et riista kõrgendatud seisund säiliks. Seda ajakulu ei tohi kunagi unustada, nagu ka asjaolu, et pwn'i hävitav tarkvarauuendus saabub enamasti sama planeerimatult kui esimene lumi Tallinna linnas.

Ammendavat loetelu ruutimise voorustest pole seni tehtud, kuid lühikokkuvõte oleks säärane:

  • Mõned äpid lõpetavad töö – näiteks Knox, mis aga niikunii kuulub pigem korporatiivsesse kui isiklikku maailma.
  • Mõned äpid hakkavad tööle, sealhulgas:
    • IMSI catcher catcher – valvekoer, mis väidetavalt annab märku GSM kuritarvitustest;
    • tekib võimalus näha omaenda võrguliiklust ja tuvastada võrguliikluse põhjal spioonitarkvara;
    • asjalikud varundusäpid;
    • asjalikud (sh tegelikult toimivad) tulemüürid;
    • turvalise side äpid (kuigi Androidi uuemad versioonid päris igaks sideäpiks enam ruutimist ei vajagi);
    • äpid, mis usuvad, et nad suudavad akutarvet ja voolutarvet veel paremini optimeerida.

Pildil aplikatsioonide ikoonid: NYTimes, Eesti Express ja Forbes.

Tekib uusi võimalusi:

  • igasuguse reklaami täielik (100%) äratapmine;
  • saab eemaldada tootja Brežnevi pakikesse (majandus24.postimees.ee/170370/kliendikesksus-ja-breznevi-pakike); kaasa pandud mahainstalleerimatu solkvara (bloatware); sundäpid, näiteks Financial Timesi või Eesti Ekspressi tasulised versioonid – need, mis (eriti Samsungi seadmetes) voolu võtavad (vt eelmine pilt);
  • sama, kuid mahasurumise teel – tuleb Advanced Task Manageris teha linnuke ja ebasündsaid programme tapetakse regulaarselt (vt järgmine pilt);
  • telefonist kasutajaandmete kättesaamine muutub lihtsamaks;
  • oma seadmele saab erinevaid ROM'e selga tõmmata ja proovida – tegevusel on suur sarnasus auto tuunimisega;
  • saab installeerida äppe, mida võimalike tagauste tõttu ei juletud installida, ning saab nendega riskimänge mängida.

Ekraanikuva tekstiga: "Anonymous Data 1.0 (1). Backup properties." Valikud: "Backup!", "Defrost!" ja "Un-install!". "Anonymous Data 1.0 (1) Current", juures valik "Wipe data". Lõpus valikud "Restore" ja "Delete".

Ruutimisega kaasnevaid puudusi on seni kirjeldatud oluliselt paremini. Vastava loetelu võib leida pea iga viirustõrjefirma saidist:

  • äraruuditud telefon on kvasipermanentne seisund, mis võib mööduda ootamatult ja kiiresti;
  • garantii kaob kui süütusbitt ettevaatamatusest läbi põletada;
  • võimalus, et tekitatakse uued turvaaugud, mille kaudu ronib samasse telefoni juba iga häkker (vaikeparool "alpine" juhtum: www.iphonefaq.org/archives/97721).

Lisaks on veel terve klass probleeme, mis ei puuduta otseselt ruutimist, vaid kaasnevad "mitte-ettenähtud" püsivara "pealepanekuga":

  • pealepandavad ROM immitsad pärinevad mõnikord väga valest riigist – nende kõrval näib Google tarnijana ikka väga usaldusväärne;
  • päris suur osa custom ROM'e ei oma tuge – eksperimentidena aeguvad need kiiresti;
  • vahel ei toeta custom ROM telefoni mõnda väga olulist funktsiooni (näiteks NFC sidet või isegi WiFit).

Kokkuvõttes võib öelda, et kui inimesel pole IT-kogemust ning ta väga täpselt ei taipa, mida ta teeb, võivad telefoni sisu tuunimise puudused üles kaaluda mõned ajutiselt kättevõidetud eelised. Vahel mõne populaarse mudeliga veab, aga garanteeritud õnne ruutimise abil ei saavutata.

Seejuures on huvitav, et needsamad firmad, mis ruutimise vastu hoiatavad, lisavad omaenda antiviirustoodetesse ikka ka lisafunktsioone, mis on kättesaadavad vaid ruuditud telefonide omanikele.

Sailfish

Juhuks, kui keegi soovib privaatsust saavutada väiksema hinnaga, siis on lahenduseks Jolla, mis käitab (samuti) Linuxil põhinevat Sailfish operatsioonisüsteemi. Sailfish on porditud ka mitmele muule telefonile, sh mõned Eestis populaarsed Galaxyd. Sailfishi ideoloogia on see, et operatsioonisüsteem on kasutaja enda, mitte valmistajate kontroll all. Eriti sobib säärane lahendus neile, kes Linuxiga sinasõbrad. Säärane lähenemine viitab tegelikult vaba tarkvara mõnevõrra suuremale usaldatavusele tehnoloogiasõjas ja lahinguolukorras.

en.wikipedia.org/wiki/Sailfish_OS

Windows Phone

Juhul kui tahate aga lihtsalt häkkerikindlat nutitelefoni ning aktsepteerite riski, et Microsoft (või mõni nende üle jõudu omav luureteenistus) teie privaatsust rikub, on hea valik Windows Phone. Microsoft on küll aastaid olnud peksukotiks, keda ohtrate turvavigade pärast igast otsast mõnitatud, kuid kes seetõttu ka oma tarkvara turvalisusse kõige tõsisemalt investeerinud.

Selle tulemuseks on ilmekas näide Pwn20wn murdmisvõistluselt, kus MSWIN telefonist jagu ei saadudki, kuid varem või hiljem murdusid ja ruuditi ära nii õuna- kui droidikujulised kõnesideseadmed ja muud tarkvaralised lahendused (http://arstechnica.com/security/2014/11/windows-phone-security-sandbox-survives-pwn2own-unscathed/).

Seega – kuigi avalikult teada olevate turvavigade puudumise tõttu pole Windowsi telefone võimalik ruutida, pole just sel põhjusel ka "lihtsatel kurjategijatel" võimalik nende telefonide kasutajaid rünnata. See ei tähenda üldsegi, nagu Windows Phone oleks murdmatu või selliseks jääkski, kuid tänaseni on Microsofti panustamine turvalisse riist- ja tarkvaraarendusse ära tasunud – kasutajad ei saa jailbreak'ida või ruutida ega saa kurjamid ka kasutajat rünnata.

Apple iOS

Kaunilt vormitud ja osavalt turustatud õunatelefonide ja -seadmete puhul on paradoksaalne, et kuigi aastaid kuulutas Apple, et nende tooted on kõige turvalisemad (http://www.slideshare.net/i0n1c/syscan-2015-esserios678securityastudyinfail), ruuditi (jailbreak'iti) need aga pärast müügiletulekut või iOS-i uuendamist üsna kiiresti. Samas ei suuda paljud tarbijad tänaseni aru saada, et jailbreak'imiseks kasutatakse turvavigu ning neidsamu vigu kasutavad oma eesmärkide saavutamiseks ka muud äktorid (aga seda juba telefoni kasutaja teadmata).

Apple'i suhtumise tõttu oma tarkvara parandamisse ("teie uskuge, meil on kõik korras") ei üritagi turvauurijad leitud vigu enam Apple'ile raporteerida või Pwn2Own kaudu peenrahaks vahetada, vaid müüvad neid haavatavusi pigem mustal turul ning kuuekohaliste summade eest. Vahendajate kaudu on ostjateks erinevad legaalsed ja vähem legaalsed kliendid (http://en.wikipedia.org/wiki/Vupen). Kuivõrd Apple on usk, siis siinkohal usulisi tundeid rohkem ei riiva.

Kokkuvõte

Lõpetame samas kohas, kust alustasime. Telefoni äraruutimine ja/või tarkvara väljavahetamine pole tänaseks mitte niivõrd tehniline toiming, vaid pigem sotsiaalne aktsioon. Tegu on inimese identiteedi [karusnahk, viin, identiteet – www.sirp.ee/s1-artiklid/c9-sotsiaalia/infouehiskonnast-hereetiliselt-vi/] osaga, sotsiaalsete valikutega, kuidas soovitakse sõprade ja vaenlastega käituda ning keda soovitakse usaldada.

Üha sagedamini ei taga senised usaldusmudelid üksikisikule enam tegelikku turvalisust. Tootjad kaugenevad eetikast üha enam ning üha suureneb ka vabrikantide nõudlus põhiseadus(t)ega justkui kaitstud privaatinfo järele. Ka eraisik võtab vastaselt malli, surub maha senised eetilised dilemmad ning talle sobivaima usaldusmudeli kehtestamiseks ühineb võidurelvastumisprotsessiga.

Selle kirjutise mõte oli anda märku, et ruutimist kui nähtust ei saa enam kauem eirata. Lisaks ajendas kirjutama kogemus kahelt mobiilseadmete kasutust ja turvet käsitlevalt küsitluselt, kus ei nõustutud ruutimisteemat küsitlusse võtmast, liigitades selle mingiks nišikaks häkkeriasjaks.

Lõpuks, infoühiskonna üldistest probleemidest seoses tehnoloogia arenguga võib lugeda lehelt amsterdamlawforum.org/article/view/95/169.

Anto Veldre,
CERT-EE


Kas said vastuse oma küsimusele?

Lisatud 30.03.2015
Uuendatud 07.04.2015

Tagasi lehele "CERT kirjutised"