Henkilökohtaisen tietolaitteiden käytön tietoturvaa käsittelevä yleisöluento Keuruun kirjastolla 22.1.2016. Luennolla käsitellään Tunnistautumista, Järjestelmää sekä Tietoja. Luennon asioista tarkemmin http://tvtkoulu.fi/tietoturva
Tieto- ja viestintätekniikan luontevan käytön koulutus, luennointi ja kurssit: http://tvtkoulu.fi
1. Tietoturva ja Internet
Luennolla esitellään menetelmiä tietolaitteiden riittävän
turvallisen henkilökohtaisen peruskäytön varmistamiseksi.
Avainkäsitteitä ovat Tunnistautuminen, Järjestelmä sekä
Tiedot. Päämääränä puolestaan helppokäyttöinen ja hyvä
tietoturva.
2. Sisällys
• Tietoturvaongelmien tyypit ja suojautuminen
• Salasanat, verkkopankki, tietoturvaohjelmistot
• Käytännön tietoturvaratkaisut ja pilvipalvelut
3. Tietoturvahyökkäyksiä
• Digitaalisen identiteetin väärinkäyttö
Esim: sähköpostitilin ”kaappaaminen”
• Järjestelmän resurssien käyttö
Esim: haittaohjelma käynnistää turhia toimintoja
• Tiedon varastaminen tai tuhoaminen
Esim: haittaohjelma tuhoaa ladatut tiedostot
3
4. Suht hyvin paikkansa pitävä
tosiasia (Gary McGraw)
“The most impressive
tool in the attackers’
arsenal is Google.”
4
5. Hyökkäyksiltä suojautuminen
• Käytä turvallisia salasanoja
Vähintään 12 merkkiä, ISOT ja pienet kirjaimet &
num3r0t.
• Asenna uusimmat päivitykset
Korjauksia, jotka suojaavat tietoturvauhkia vastaan.
• Varmista tiedot verkkoon
Pilvipalvelun tai vastaavan tietojärjestelmän käyttö.
Identiteettivarkaudet, haittaohjelmat, tietojen korruptio
5
6. Asenne tietoturvaa kohtaan
1/2
• 100 % turvallisia ratkaisuja ei ole olemassa. On
osoitettu (matemaattisesti, Fred Cohen: Computer
Viruses v. 1987), että ei ole algoritmia, joka löytäisi
kaikki mahdolliset haittaohjelmat.
• Järjestelmät ovat ihmisen tekemiä ja sisältävät aina
tietoturva-aukkoja. Uusia aukkoja havaitaan, kun
tekniikoita kehitetään. Tästä syystä on tärkeää
asentaa päivityksiä laitteisiin.
6
7. Asenne tietoturvaa kohtaan
2/2
• Tietoturvasta ei voida kunnolla puhua, jos ei tiedetä,
mitä tietoja on varmistettava. Esimerkiksi yhteystiedot,
kalenteri, muistiinpanot, sähköpostit, dokumentit,
valokuvat, musiikki ja videot. Tarvitaan tiedonhallintaa!
• Usein ongelmat tietoturvan kanssa ovat peräisin
epätarkasta tiedosta. Monet kysymykset menettävät
merkityksensä, kun asiaa katsotaan yleisemmästä
näkökulmasta (pilvipalvelut ja tiedonhallinta).
7
9. Turvalliset salasanat
• Keksi salasanarunko eli hauska ja persoonallinen
ilmaus, jonka muistat varmasti. Esimerkiksi:
Ankka2Grill8
• Salasanaksi tulee Ankka2Grill8 sekä osa palvelun
nimestä.
• Esimerkiksi palvelulle Gmail salasana on:
Ankka2Grill8 + Gma => Ankka2Grill8Gma
Tunnistautuminen
9
10. Salasanojen muistamisesta
• Salasanojen hallintaan on olemassa erityisiä ohjelmia.
Esimerkiksi Lastpass tai KeePass.
• Käyttäjätunnukset tallennetaan muistiinpanoihin.
Työkaluja ovat esimerkiksi OneNote tai Evernote.
• Muutamat salasanat, kuten pankkitunnukset, on syytä
säilyttää erillään. Älä ota kuvaa pankkitunnuksista
mobiililaitteella!
Tunnistautuminen
10
11. Verkkopankki: Tietokone vs. Mobiili
Tietokone
• Internet-selain
• Erilaisia fyysisiä laitteita
• Windows-käyttöjärjestelmä
Mobiililaite
• Mobiilisovellus
• Yhtenäiset fyysiset laitteet
• Unix-pohjainen käyttöjärjestelmä
Summa Summarum: molemmat ovat turvallisia, sillä avainluvut
vaaditaan salasanojen lisäksi. Mobiililaite on teoriassa turvallisempi.
Tunnistautuminen
11
13. Tietoturvaohjelmistoista 1/2
• Päivitykset (järjestelmä, sovellukset) suojaavat
tietoturvauhkia vastaan. Ne voivat nopeuttaa
toimintoja ja muuttaa käyttökokemusta.
• Tietoturvaohjelmisto eli ”virustorjunta” suojaa
monipuolisia tietoturvauhkia vastaan.
• Joskus järjestelmän kehittäjä ei ole ehtinyt päivittää
järjestelmäänsä, mutta tietoturvaohjelmiston
kehittäjältä päivitykset löytyvät.
Järjestelmä
13
14. Tietoturvaohjelmistoista 2/2
• Windows-versiot 8-10 sisältävät tietoturvaohjelmiston
Windows Defender sekä palomuurin eli ohjelman, joka
estää luvattomat yhteydet koneelle.
• iOS ja Windows Phone –laitteilla ei tarvita erillistä
tietoturvaohjelmistoa. Epäilyttäviä sovelluksia ei tule
asentaa eikä käydä epämääräisillä verkkosivuilla.
• Android-laitteella ei tarvita erillistä tietoturvaohjelmistoa,
jos käytetään ”turvallisia” palveluja (Yle Areena, Ilta-
Sanomat, …). Jos laitteelle asentaa epäilyttäviä tai juuri
julkaistuja sovelluksia, on tietoturvaohjelmisto tarpeen.
Järjestelmä
14
16. Pilvipalveluun 1/2
•Tietojen moniulotteisuus:
• yhteystiedot, kalenteri, muistiinpanot,
• sähköpostit, muu viestintä
• dokumentit, valokuvat, videot, …
•Google, Microsoft ja Apple tarjoavat pilvipalveluiden
ympäristöt, joihin moniulotteinen tieto tallennetaan.
Vaihtokauppaa: Tiedot oikeus palvelun käyttöön.
Tiedot
16
17. Pilvipalveluun 2/2
• Hyödyt:
• Yksi käyttäjätunnus ja salasana tietojen käyttöön
• laite hajoaa tai katoaa tiedot silti tallessa
• lähes reaaliaikainen ja virhetarkistettu varmistus
• Heikkoudet:
• Tiedon luottamuksellisuus kustannukset
• Verkon toimivuusongelmat
• Käyttöönotto voi viedä jonkin verran aikaa
Tiedot
17
19. Ilmainen tietoturvaratkaisu
• Kaikki omat tiedot joko Googlen, Microsoftin tai
Applen pilvipalveluun. Ilmainen tietoturvaohjelmisto.
• Jos tulee ongelmia tietolaitteelle, nollataan laite
asetuksista. Tiedot ovat edelleen verkossa tallessa.
• Tiedon saatavuus ja eheys hyvät. Yksityisyys
kyseenalainen, sillä palveluntarjoajalla on oikeus
käyttää tietoja. Tiedot ovat ”salasanan takana”.
Yhteenvetoa
19
20. Maksullinen tietoturvaratkaisu
• Omat tiedot esim. Microsoftin Office 365 –palveluun.
Tarvittaessa yrityksille suunnattu palvelu.
• Tiedon saatavuus ja eheys edelleen hyvät. Lisäksi tiedot
ovat ”vain omia” eli Microsoft ei käytä tietoja
mainonnassaan tai markkinoinnissaan, paitsi ehkä
tilastollisessa mielessä.
• Enemmän tallennustilaa kuin ilmaisella palvelulla.
Yhteenvetoa
20
22. Lisätietoa & Kiitokset
Kiitokset luennolle osallistumisesta . Lisätietoa (ilmaisia):
• tvtkoulu.fi/tietoturva
Tietoturvasta, laajemmin ja perusteellisemmin
• tvtkoulu.fi/google
Pilvipalveluista (Google), yleiskatsaus ja perusteita
• tvtkoulu.fi/sanasto
Tietotekniikan käyttäjän sanastoa
22
Notes de l'éditeur
Näkökulma
Käsitellään henkilökohtaisen tietolaitteiden käytön tietoturvaa. Käyttäjä on ihminen, joka hyödyntää valtion tai kunnan asiointipalveluja sekä verkkopalveluja, kuten verkkopankki ja sähköposti. Luennolla ei käsitellä tietoturvaa esimerkiksi valtion toimijoiden (erityissegmentit kuten mm. terveydenhuollon tietojärjestelmät) tai yritysten (palveluntarjoajien) näkökulmasta.
Tunnistautuminen
Palveluja käytetään nykyään käyttäjätunnuksilla ja salasanoilla. Käsitellään salasanojen vahvuuksia, muistisääntöjä sekä hallintaa.
Järjestelmä
Laitteiden tulee toimia riittävän hyvin, vaikka järjestelmää vastaan hyökättäisiin jatkuvasti.
Tiedot
Tiedot eivät saa kadota, vaikka tietolaitteelle tapahtuisikin jotain ikävää. Lisäksi tietojen tulee olla käytettävissä aina tarpeen tullen.
Tietoturvakurssi
Kurssilla "Tietoturva ja Internet", http://tvtkoulu.fi/tietoturva käsitellään luennon asiat huomattavasti laajemmin ja perusteellisemmin.
Uutisoinnista
Useat uutiset käsittelevät tietoturva-asioita, joihin käyttäjillä ei ole vaikutusmahdollisuuksia. Esimerkiksi laajat palvelunestohyökkäykset (DDoS), joissa hakkeri kaappaa tuhansia tietokoneita ja saa ne käyttämään verkkopalvelua (sähköposti, verkkokauppa) jatkuvasti. Todelliset käyttäjät eivät pysty palvelua hyödyntämään, sillä kaikki resurssit ovat käytössä.
Käyttäjä ei voi vaikuttaa edellisen kaltaiseen hyökkäykseen. Se näkyy hänelle vain palvelun toimimattomuutena. Käyttäjän riittää varmistaa, että verkkoyhteydet ja laitteet "omassa päässä" ovat toimivia. Lisäksi saatavilla tulee olla kaikki tiedot, joita palvelun käyttö vaatii (yleensä käyttäjätunnukset ja salasanat).
Pilvipalvelun käyttö tarjoaa tietoturvan näkökulmasta mielestäni enemmän hyötyjä kuin haittoja peruskäytössä. Luonnollisesti erittäin arvokasta tai arkaluontoista materiaalia ei tule tallentaa ainakaan ilmaiseksi käytettävään pilvipalveluun. Tiedonhallinta on oleellinen osa tietoturvaa. Kun tiedämme mitä tietoa omistamme, pystymme arvottamaan tiedon ja määräämään sille sopivan tietoturvan tason.
Kysymys : Mihin sähköpostia tarvitaan? Vastauksia : Sähköposti on yhteyskanava ihmiseen. Virallinen asiointi (terveys, kela, poliisi, posti, verkkopankki) sekä henkilökohtaiset asiat (verkkopalvelut, netti-tv, verkosta ostaminen). Salasanan palautus tulee omaan sähköpostiin.
Kysymys : Mistä haittaohjelmia tulee laitteille? Vastauksia: Haittaohjelma voi tulla verkkosivulta ladatun tiedoston mukana, sähköpostin kautta tai esimerkiksi sosiaalisesta mediasta. Linkin klikkaaminen verkkosivulla ei välttämättä tee sitä, mitä sen odottaisi tekevän. Se voi käynnistää tiedoston lataamisen näkymättömästi tai suorittaa ohjelman. Tietoturvaohjelmistot havaitsevat tällaista ”kummallista” käyttäytymistä.
Järjestelmä
Windows-järjestelmässä seuraava koodi (.bat-tiedosto) avaa resurssienhallinnan: explorer . Koodi explorer explorer explorer käynnistää resurssienhallinnan kolme kertaa. Kun toiminto laitetaan toistumaan äärettömän monta kertaa, saadaan haittaohjelma, joka ”jumittaa koneen”:
:loop explorer goto loop
Tiedon varastamisesta
Ladattujen tiedostojen tuhoaminen säännöllisesti, Windows (löytyi Google-haulla, aikaa kului noin 2 min):
REM poista yli 1 pvä vanhat ladatut tiedostot
forfiles /p "C:\Users\YOURUSERNAME\Downloads" /s /m *.* /c "cmd /c Del @path" /d -1
http://www.howtogeek.com/201930/how-to-automatically-delete-files-in-your-download-folder-on-a-schedule/
Mobiililaitteilla sovellukset pyytävät käyttäjältä oikeuksia esimerkiksi valokuvien käyttöön. Sovellus voi käyttöoikeuden saadessaan jakaa tietoja eteenpäin.
Kysymys : Mihin sähköpostia tarvitaan, vaikka ei lähettäisi sähköpostiviestejä? Vastauksia : Sähköposti on yhteyskanava ihmiseen. Virallinen asiointi (kela, poliisi, posti) sekä henkilökohtaiset asiat (verkkopalvelut, netti-tv, verkosta ostaminen). Myös salasanan palautus tulee yleensä sähköpostiin.
Kysymys : Mistä haittaohjelmia tulee laitteille? Vastauksia: Haittaohjelma voi tulla verkkosivulta ladatun tiedoston mukana, sähköpostin kautta tai esimerkiksi sosiaalisesta mediasta. Linkin klikkaaminen verkkosivulla ei välttämättä tee sitä, mitä sen odottaisi tekevän. Klikkaus voi käynnistää näkymättömän tiedoston lataamisen tai suorittaa ohjelmam. Tietoturvaohjelmistot havaitsevat tällaista ”kummallista” käyttäytymistä.
Järjestelmä
Windows-järjestelmässä seuraava koodi (.bat-tiedosto) avaa resurssienhallinnan: explorer . Koodi explorer explorer explorer käynnistää resurssienhallinnan kolme kertaa. Kun toiminto laitetaan toistumaan äärettömän monta kertaa, saadaan haittaohjelma, joka ”jumittaa koneen”:
:loop explorer goto loop
Tiedon varastamisesta
Ladattujen tiedostojen tuhoaminen säännöllisesti (löytyi Google-haulla, aikaa kului noin 2 min):
REM poista yli 1 pvä vanhat ladatut tiedostot
forfiles /p "C:\Users\YOURUSERNAME\Downloads" /s /m *.* /c "cmd /c Del @path" /d -1
http://www.howtogeek.com/201930/how-to-automatically-delete-files-in-your-download-folder-on-a-schedule/
Mobiililaitteilla sovellukset pyytävät käyttäjältä oikeuksia esimerkiksi valokuvien käyttöön. Sovellus voi käyttöoikeuden saadessaan jakaa tietoja eteenpäin.
Turvallisista salasanoista
Eri palveluihin tulee olla keskenään erilaiset salasanat. Käyttäjätunnus voi olla sama eri palveluihin.
Päivityksistä
Päivitys tarkoittaa ohjelmiston ongelmaa, johon tulee korjaus. Se sulkee tyypillisesti pois useita tietoturvauhkia. Valitettavan usein uutisoidaan epäonnistuneista päivityksistä. Käytännössä lähes aina päivitykset parantavat käyttökokemusta ja tietoturvaa.
Varmistuksesta
Pilvipalvelu on verraten helppokäyttöinen tapa varmistaa moniulotteista tietoa verkkoon (yhteystiedot, kalenteri, muistiinpanot, sähköpostit, tiedostot, valokuvat, musiikki, videot,…). Varmistus verkkoon eli kodin ulkopuolelle on tärkeää siksi, että sähkökatkos, tulipalo tai vastaava tapahtuma voi tuhota paikalliset tiedot kokonaan.
Kun uusia tekniikoita kehitetään, huomataan niiden kautta tietoturva-aukkoja nykyisissä järjestelmissä. Osittain tästä syystä laitevalmistajat ja ohjelmistojen valmistajat julkaisevat päivityksiä eli korjauksia laitteisiin. Nämä tulee asentaa, kun ne ovat saatavilla, mielellään heti sopivan ajan ollessa käsillä.
Kun tiedetään tiedon muodot, voidaan tieto arvottaa. Toisin sanoen päätetään, minkä tasoista tietoturvaa tarvitaan. Esimerkiksi yhteystiedoille on Fonecta Caller -palvelu eli useat yhteystiedot ovat käytännössä julkisia. Kysymys "kannattaako yhteystietoja tallentaa verkkoon?" arvioidaan tapauskohtaisesti. Vastaavasti esimerkki Google Photos: voiko palveluun tallentaa omat valokuvat turvallisesti? Siellä on kymmeniä miljardeja valokuvia jo valmiiksi eli todennäköisyys omien valokuvien käytölle (Googlella käyttöoikeus) on erittäin pieni.
Tärkeässä asemassa ovat myös käyttäjän toiminnalle asetetut vaatimukset, esimerkiksi käyttäjätunnusten ja salasanojen hallinta.
Esimerkiksi kadonneiden tietojen palauttamisen miettiminen on täysin turhaa, kun tiedot on alun perin varmistettu pilvipalveluun. Pilvipalveluihin on myös oma kurssinsa: tvtkoulu.fi/google
Verkkosivulla howsecureismypassword.net voi tarkistaa salasanan vahvuuden. Palveluun ei tule kirjoittaa omaa salasanaa täsmälleen oikeassa muodossa, vaan vastaavan mittainen ja tyylinen merkkijono. Esimerkissä käytetyn salasanan Ankka2Grill8Gma rikkominen veisi tavalliselta tietokoneelta noin 6 miljardia vuotta.
Unohtunut salasana voi mobiililaitteilla johtaa jopa siihen, ettei pysty asentamaan uusia päivityksiä. Tästä seuraa tietoturvaongelmia!
Verkkopankkia EI tule käyttää mobiilselaimella. Ne sisältävät vielä nykyään useita tietoturva-aukkoja, esimerkiksi voivat käyttää turvattomia tiedonsiirron protokollia (SSL 3.0 tai vastaava).
Virus vai haittaohjelma?
Virus on haittaohjelma, joka levittää itseään muille koneille. Läheskään kaikki haittaohjelmat eivät ole viruksia, vaan tekevät tuhojaan ainoastaan sillä koneella, jolla ohjelma käynnistetään.
Tietoturvaohjelmisto haittaohjelmana?
Tietoturvaohjelmisto voi joskus olla myös haittaohjelma järjestelmän toimivuuden näkökulmasta. Mikäli vanhalle tietokoneelle asennetaan uusi tietoturvaohjelmisto, se voi hidastaa koneen toimintaa merkittävästi ja tätä kautta haitata käyttöä.
Mobiililaitteen tietoturvaohjelmiston valinnasta
Kun mobiililaitteelle asentaa tietoturvaohjelmiston, tulee valita luotettava toimija (Avast, AVG, F-Secure, McAfee tms.). Mobiililaitteen tietoturvaohjelmistolla on oikeudet päästä käsiksi lähes kaikkiin mobiililaitteen tietoihin tarpeen niin vaatiessa.
Käyttöoikeudet mobiilissa
Mobiililaitteilla tietoturvaongelmana ovat sovelluksille myönnetyt käyttöoikeudet, ei järjestelmä itsessään (Androidilla SE-Linux eli Security Enhanced Linux pohjalla).
Mistä tunnistaa turvallisen mobiilisovelluksen? Turvallisella sovelluksella on yleensä paljon käyttäjiä, se on saanut hyvät arvostelut, se tekee sen mitä pitääkin, useat ”kunnon arvostelut” puoltavat sovellusta (techrepublic, gsmarena, mobiili.fi),..
Tiedon saatavuus tarkoittaa, että tiedot ovat käytettävissä "missä vain". Esimerkiksi kadonnut tai rikkoutunut tietolaite -> tarvittava resurssi verkossa on käytettävissä
Tiedon eheys tarkoittaa tiedon säilymistä alkuperäisenä esimerkiksi tiedonsiirrossa (valokuvat mobiililaitteesta pilveen tms.)
Pilvipalvelussa on helppoa jakaa tiedostoja muille saman pilvipalveluympäristön käyttäjille (esimerkiksi Google Drive). Tämä voi olla tietoturvariski. Jos yhdenkin henkilön, jolle tiedosto on jaettu, tili hakkeroidaan, päästään tiedostoon käsiksi.
Esimerkiksi Googlen pilvipalveluympäristö :
Rajattomasti tilaa valokuville (peruslaatu), 15 Gt tiedostoille. Lisäksi yhteystiedot, kalenteri, sivuhistoria, karttahistoria, muistiinpanot, toimisto-ohjelmisto sekä useita muita toimintoja.
Käytännössä :
Tehdään vastaava sähköpostitili (Google -> Gmail, Microsoft -> Outlook tai Apple -> iCloud) ja siirretään omat tiedot palveluun & synkronoidaan omalle laitteelle.
Kirjallisuutta (edistynyt):
Peter W. Singer ja Allan Friedman: Cybersecurity and Cyberwar (Oxford University Press, 2014)
Umesh H. Rao ja Umesha Nayak - The InfoSec Handbook (Apress 2014)
Kimmo Rousku: Kyberturvaopas (Talentum, 2014)
Kevin Mitnick ja William L. Simon : The Art of Deception (Wiley, 2002)