Tietoturva ja internet luento 22.1.2016
•Télécharger en tant que PPTX, PDF•
0 j'aime•416 vues
Henkilökohtaisen tietolaitteiden käytön tietoturvaa käsittelevä yleisöluento Keuruun kirjastolla 22.1.2016. Luennolla käsitellään Tunnistautumista, Järjestelmää sekä Tietoja. Luennon asioista tarkemmin http://tvtkoulu.fi/tietoturva Tieto- ja viestintätekniikan luontevan käytön koulutus, luennointi ja kurssit: http://tvtkoulu.fi
Recommandé
Recommandé
Contenu connexe
Tendances
Tendances (12)
Similaire à Tietoturva ja internet luento 22.1.2016
Similaire à Tietoturva ja internet luento 22.1.2016 (20)
Plus de rierjarv
Tietoturva ja internet luento 22.1.2016
- 1. Tietoturva ja Internet Luennolla esitellään menetelmiä tietolaitteiden riittävän turvallisen henkilökohtaisen peruskäytön varmistamiseksi. Avainkäsitteitä ovat Tunnistautuminen, Järjestelmä sekä Tiedot. Päämääränä puolestaan helppokäyttöinen ja hyvä tietoturva.
- 2. Sisällys • Tietoturvaongelmien tyypit ja suojautuminen • Salasanat, verkkopankki, tietoturvaohjelmistot • Käytännön tietoturvaratkaisut ja pilvipalvelut
- 3. Tietoturvahyökkäyksiä • Digitaalisen identiteetin väärinkäyttö Esim: sähköpostitilin ”kaappaaminen” • Järjestelmän resurssien käyttö Esim: haittaohjelma käynnistää turhia toimintoja • Tiedon varastaminen tai tuhoaminen Esim: haittaohjelma tuhoaa ladatut tiedostot 3
- 4. Suht hyvin paikkansa pitävä tosiasia (Gary McGraw) “The most impressive tool in the attackers’ arsenal is Google.” 4
- 5. Hyökkäyksiltä suojautuminen • Käytä turvallisia salasanoja Vähintään 12 merkkiä, ISOT ja pienet kirjaimet & num3r0t. • Asenna uusimmat päivitykset Korjauksia, jotka suojaavat tietoturvauhkia vastaan. • Varmista tiedot verkkoon Pilvipalvelun tai vastaavan tietojärjestelmän käyttö. Identiteettivarkaudet, haittaohjelmat, tietojen korruptio 5
- 6. Asenne tietoturvaa kohtaan 1/2 • 100 % turvallisia ratkaisuja ei ole olemassa. On osoitettu (matemaattisesti, Fred Cohen: Computer Viruses v. 1987), että ei ole algoritmia, joka löytäisi kaikki mahdolliset haittaohjelmat. • Järjestelmät ovat ihmisen tekemiä ja sisältävät aina tietoturva-aukkoja. Uusia aukkoja havaitaan, kun tekniikoita kehitetään. Tästä syystä on tärkeää asentaa päivityksiä laitteisiin. 6
- 7. Asenne tietoturvaa kohtaan 2/2 • Tietoturvasta ei voida kunnolla puhua, jos ei tiedetä, mitä tietoja on varmistettava. Esimerkiksi yhteystiedot, kalenteri, muistiinpanot, sähköpostit, dokumentit, valokuvat, musiikki ja videot. Tarvitaan tiedonhallintaa! • Usein ongelmat tietoturvan kanssa ovat peräisin epätarkasta tiedosta. Monet kysymykset menettävät merkityksensä, kun asiaa katsotaan yleisemmästä näkökulmasta (pilvipalvelut ja tiedonhallinta). 7
- 9. Turvalliset salasanat • Keksi salasanarunko eli hauska ja persoonallinen ilmaus, jonka muistat varmasti. Esimerkiksi: Ankka2Grill8 • Salasanaksi tulee Ankka2Grill8 sekä osa palvelun nimestä. • Esimerkiksi palvelulle Gmail salasana on: Ankka2Grill8 + Gma => Ankka2Grill8Gma Tunnistautuminen 9
- 10. Salasanojen muistamisesta • Salasanojen hallintaan on olemassa erityisiä ohjelmia. Esimerkiksi Lastpass tai KeePass. • Käyttäjätunnukset tallennetaan muistiinpanoihin. Työkaluja ovat esimerkiksi OneNote tai Evernote. • Muutamat salasanat, kuten pankkitunnukset, on syytä säilyttää erillään. Älä ota kuvaa pankkitunnuksista mobiililaitteella! Tunnistautuminen 10
- 11. Verkkopankki: Tietokone vs. Mobiili Tietokone • Internet-selain • Erilaisia fyysisiä laitteita • Windows-käyttöjärjestelmä Mobiililaite • Mobiilisovellus • Yhtenäiset fyysiset laitteet • Unix-pohjainen käyttöjärjestelmä Summa Summarum: molemmat ovat turvallisia, sillä avainluvut vaaditaan salasanojen lisäksi. Mobiililaite on teoriassa turvallisempi. Tunnistautuminen 11
- 12. Järjestelmä 12
- 13. Tietoturvaohjelmistoista 1/2 • Päivitykset (järjestelmä, sovellukset) suojaavat tietoturvauhkia vastaan. Ne voivat nopeuttaa toimintoja ja muuttaa käyttökokemusta. • Tietoturvaohjelmisto eli ”virustorjunta” suojaa monipuolisia tietoturvauhkia vastaan. • Joskus järjestelmän kehittäjä ei ole ehtinyt päivittää järjestelmäänsä, mutta tietoturvaohjelmiston kehittäjältä päivitykset löytyvät. Järjestelmä 13
- 14. Tietoturvaohjelmistoista 2/2 • Windows-versiot 8-10 sisältävät tietoturvaohjelmiston Windows Defender sekä palomuurin eli ohjelman, joka estää luvattomat yhteydet koneelle. • iOS ja Windows Phone –laitteilla ei tarvita erillistä tietoturvaohjelmistoa. Epäilyttäviä sovelluksia ei tule asentaa eikä käydä epämääräisillä verkkosivuilla. • Android-laitteella ei tarvita erillistä tietoturvaohjelmistoa, jos käytetään ”turvallisia” palveluja (Yle Areena, Ilta- Sanomat, …). Jos laitteelle asentaa epäilyttäviä tai juuri julkaistuja sovelluksia, on tietoturvaohjelmisto tarpeen. Järjestelmä 14
- 15. Tiedot 15
- 16. Pilvipalveluun 1/2 •Tietojen moniulotteisuus: • yhteystiedot, kalenteri, muistiinpanot, • sähköpostit, muu viestintä • dokumentit, valokuvat, videot, … •Google, Microsoft ja Apple tarjoavat pilvipalveluiden ympäristöt, joihin moniulotteinen tieto tallennetaan. Vaihtokauppaa: Tiedot oikeus palvelun käyttöön. Tiedot 16
- 17. Pilvipalveluun 2/2 • Hyödyt: • Yksi käyttäjätunnus ja salasana tietojen käyttöön • laite hajoaa tai katoaa tiedot silti tallessa • lähes reaaliaikainen ja virhetarkistettu varmistus • Heikkoudet: • Tiedon luottamuksellisuus kustannukset • Verkon toimivuusongelmat • Käyttöönotto voi viedä jonkin verran aikaa Tiedot 17
- 18. Yhteenvetoa 18
- 19. Ilmainen tietoturvaratkaisu • Kaikki omat tiedot joko Googlen, Microsoftin tai Applen pilvipalveluun. Ilmainen tietoturvaohjelmisto. • Jos tulee ongelmia tietolaitteelle, nollataan laite asetuksista. Tiedot ovat edelleen verkossa tallessa. • Tiedon saatavuus ja eheys hyvät. Yksityisyys kyseenalainen, sillä palveluntarjoajalla on oikeus käyttää tietoja. Tiedot ovat ”salasanan takana”. Yhteenvetoa 19
- 20. Maksullinen tietoturvaratkaisu • Omat tiedot esim. Microsoftin Office 365 –palveluun. Tarvittaessa yrityksille suunnattu palvelu. • Tiedon saatavuus ja eheys edelleen hyvät. Lisäksi tiedot ovat ”vain omia” eli Microsoft ei käytä tietoja mainonnassaan tai markkinoinnissaan, paitsi ehkä tilastollisessa mielessä. • Enemmän tallennustilaa kuin ilmaisella palvelulla. Yhteenvetoa 20
- 21. Hyödyllisiä apuvälineitä • Salasanojen ja muistiinpanojen hallinta howsecureismypassword.net, LastPass/KeePass, Evernote/OneNote • Nopeutus, skannaus, tietojen poistaminen ja palautus Ccleaner, Defraggler (HDD), Recuva, F-Secure Online Scanner, AdwCleaner, Malwarebytes Anti-Malware, McAfee:n työkalut • Verkkoyhteyden tarkistus speedtest.net, Wi-Fi päälle/pois, Mobiilidata päälle/pois Yhteenvetoa 21
- 22. Lisätietoa & Kiitokset Kiitokset luennolle osallistumisesta . Lisätietoa (ilmaisia): • tvtkoulu.fi/tietoturva Tietoturvasta, laajemmin ja perusteellisemmin • tvtkoulu.fi/google Pilvipalveluista (Google), yleiskatsaus ja perusteita • tvtkoulu.fi/sanasto Tietotekniikan käyttäjän sanastoa 22
Notes de l'éditeur
- Näkökulma Käsitellään henkilökohtaisen tietolaitteiden käytön tietoturvaa. Käyttäjä on ihminen, joka hyödyntää valtion tai kunnan asiointipalveluja sekä verkkopalveluja, kuten verkkopankki ja sähköposti. Luennolla ei käsitellä tietoturvaa esimerkiksi valtion toimijoiden (erityissegmentit kuten mm. terveydenhuollon tietojärjestelmät) tai yritysten (palveluntarjoajien) näkökulmasta. Tunnistautuminen Palveluja käytetään nykyään käyttäjätunnuksilla ja salasanoilla. Käsitellään salasanojen vahvuuksia, muistisääntöjä sekä hallintaa. Järjestelmä Laitteiden tulee toimia riittävän hyvin, vaikka järjestelmää vastaan hyökättäisiin jatkuvasti. Tiedot Tiedot eivät saa kadota, vaikka tietolaitteelle tapahtuisikin jotain ikävää. Lisäksi tietojen tulee olla käytettävissä aina tarpeen tullen. Tietoturvakurssi Kurssilla "Tietoturva ja Internet", http://tvtkoulu.fi/tietoturva käsitellään luennon asiat huomattavasti laajemmin ja perusteellisemmin.
- Uutisoinnista Useat uutiset käsittelevät tietoturva-asioita, joihin käyttäjillä ei ole vaikutusmahdollisuuksia. Esimerkiksi laajat palvelunestohyökkäykset (DDoS), joissa hakkeri kaappaa tuhansia tietokoneita ja saa ne käyttämään verkkopalvelua (sähköposti, verkkokauppa) jatkuvasti. Todelliset käyttäjät eivät pysty palvelua hyödyntämään, sillä kaikki resurssit ovat käytössä. Käyttäjä ei voi vaikuttaa edellisen kaltaiseen hyökkäykseen. Se näkyy hänelle vain palvelun toimimattomuutena. Käyttäjän riittää varmistaa, että verkkoyhteydet ja laitteet "omassa päässä" ovat toimivia. Lisäksi saatavilla tulee olla kaikki tiedot, joita palvelun käyttö vaatii (yleensä käyttäjätunnukset ja salasanat). Pilvipalvelun käyttö tarjoaa tietoturvan näkökulmasta mielestäni enemmän hyötyjä kuin haittoja peruskäytössä. Luonnollisesti erittäin arvokasta tai arkaluontoista materiaalia ei tule tallentaa ainakaan ilmaiseksi käytettävään pilvipalveluun. Tiedonhallinta on oleellinen osa tietoturvaa. Kun tiedämme mitä tietoa omistamme, pystymme arvottamaan tiedon ja määräämään sille sopivan tietoturvan tason.
- Kysymys : Mihin sähköpostia tarvitaan? Vastauksia : Sähköposti on yhteyskanava ihmiseen. Virallinen asiointi (terveys, kela, poliisi, posti, verkkopankki) sekä henkilökohtaiset asiat (verkkopalvelut, netti-tv, verkosta ostaminen). Salasanan palautus tulee omaan sähköpostiin. Kysymys : Mistä haittaohjelmia tulee laitteille? Vastauksia: Haittaohjelma voi tulla verkkosivulta ladatun tiedoston mukana, sähköpostin kautta tai esimerkiksi sosiaalisesta mediasta. Linkin klikkaaminen verkkosivulla ei välttämättä tee sitä, mitä sen odottaisi tekevän. Se voi käynnistää tiedoston lataamisen näkymättömästi tai suorittaa ohjelman. Tietoturvaohjelmistot havaitsevat tällaista ”kummallista” käyttäytymistä. Järjestelmä Windows-järjestelmässä seuraava koodi (.bat-tiedosto) avaa resurssienhallinnan: explorer . Koodi explorer explorer explorer käynnistää resurssienhallinnan kolme kertaa. Kun toiminto laitetaan toistumaan äärettömän monta kertaa, saadaan haittaohjelma, joka ”jumittaa koneen”: :loop explorer goto loop Tiedon varastamisesta Ladattujen tiedostojen tuhoaminen säännöllisesti, Windows (löytyi Google-haulla, aikaa kului noin 2 min): REM poista yli 1 pvä vanhat ladatut tiedostot forfiles /p "C:\Users\YOURUSERNAME\Downloads" /s /m *.* /c "cmd /c Del @path" /d -1 http://www.howtogeek.com/201930/how-to-automatically-delete-files-in-your-download-folder-on-a-schedule/ Mobiililaitteilla sovellukset pyytävät käyttäjältä oikeuksia esimerkiksi valokuvien käyttöön. Sovellus voi käyttöoikeuden saadessaan jakaa tietoja eteenpäin.
- Kysymys : Mihin sähköpostia tarvitaan, vaikka ei lähettäisi sähköpostiviestejä? Vastauksia : Sähköposti on yhteyskanava ihmiseen. Virallinen asiointi (kela, poliisi, posti) sekä henkilökohtaiset asiat (verkkopalvelut, netti-tv, verkosta ostaminen). Myös salasanan palautus tulee yleensä sähköpostiin. Kysymys : Mistä haittaohjelmia tulee laitteille? Vastauksia: Haittaohjelma voi tulla verkkosivulta ladatun tiedoston mukana, sähköpostin kautta tai esimerkiksi sosiaalisesta mediasta. Linkin klikkaaminen verkkosivulla ei välttämättä tee sitä, mitä sen odottaisi tekevän. Klikkaus voi käynnistää näkymättömän tiedoston lataamisen tai suorittaa ohjelmam. Tietoturvaohjelmistot havaitsevat tällaista ”kummallista” käyttäytymistä. Järjestelmä Windows-järjestelmässä seuraava koodi (.bat-tiedosto) avaa resurssienhallinnan: explorer . Koodi explorer explorer explorer käynnistää resurssienhallinnan kolme kertaa. Kun toiminto laitetaan toistumaan äärettömän monta kertaa, saadaan haittaohjelma, joka ”jumittaa koneen”: :loop explorer goto loop Tiedon varastamisesta Ladattujen tiedostojen tuhoaminen säännöllisesti (löytyi Google-haulla, aikaa kului noin 2 min): REM poista yli 1 pvä vanhat ladatut tiedostot forfiles /p "C:\Users\YOURUSERNAME\Downloads" /s /m *.* /c "cmd /c Del @path" /d -1 http://www.howtogeek.com/201930/how-to-automatically-delete-files-in-your-download-folder-on-a-schedule/ Mobiililaitteilla sovellukset pyytävät käyttäjältä oikeuksia esimerkiksi valokuvien käyttöön. Sovellus voi käyttöoikeuden saadessaan jakaa tietoja eteenpäin.
- Turvallisista salasanoista Eri palveluihin tulee olla keskenään erilaiset salasanat. Käyttäjätunnus voi olla sama eri palveluihin. Päivityksistä Päivitys tarkoittaa ohjelmiston ongelmaa, johon tulee korjaus. Se sulkee tyypillisesti pois useita tietoturvauhkia. Valitettavan usein uutisoidaan epäonnistuneista päivityksistä. Käytännössä lähes aina päivitykset parantavat käyttökokemusta ja tietoturvaa. Varmistuksesta Pilvipalvelu on verraten helppokäyttöinen tapa varmistaa moniulotteista tietoa verkkoon (yhteystiedot, kalenteri, muistiinpanot, sähköpostit, tiedostot, valokuvat, musiikki, videot,…). Varmistus verkkoon eli kodin ulkopuolelle on tärkeää siksi, että sähkökatkos, tulipalo tai vastaava tapahtuma voi tuhota paikalliset tiedot kokonaan.
- Kun uusia tekniikoita kehitetään, huomataan niiden kautta tietoturva-aukkoja nykyisissä järjestelmissä. Osittain tästä syystä laitevalmistajat ja ohjelmistojen valmistajat julkaisevat päivityksiä eli korjauksia laitteisiin. Nämä tulee asentaa, kun ne ovat saatavilla, mielellään heti sopivan ajan ollessa käsillä.
- Kun tiedetään tiedon muodot, voidaan tieto arvottaa. Toisin sanoen päätetään, minkä tasoista tietoturvaa tarvitaan. Esimerkiksi yhteystiedoille on Fonecta Caller -palvelu eli useat yhteystiedot ovat käytännössä julkisia. Kysymys "kannattaako yhteystietoja tallentaa verkkoon?" arvioidaan tapauskohtaisesti. Vastaavasti esimerkki Google Photos: voiko palveluun tallentaa omat valokuvat turvallisesti? Siellä on kymmeniä miljardeja valokuvia jo valmiiksi eli todennäköisyys omien valokuvien käytölle (Googlella käyttöoikeus) on erittäin pieni. Tärkeässä asemassa ovat myös käyttäjän toiminnalle asetetut vaatimukset, esimerkiksi käyttäjätunnusten ja salasanojen hallinta. Esimerkiksi kadonneiden tietojen palauttamisen miettiminen on täysin turhaa, kun tiedot on alun perin varmistettu pilvipalveluun. Pilvipalveluihin on myös oma kurssinsa: tvtkoulu.fi/google
- Verkkosivulla howsecureismypassword.net voi tarkistaa salasanan vahvuuden. Palveluun ei tule kirjoittaa omaa salasanaa täsmälleen oikeassa muodossa, vaan vastaavan mittainen ja tyylinen merkkijono. Esimerkissä käytetyn salasanan Ankka2Grill8Gma rikkominen veisi tavalliselta tietokoneelta noin 6 miljardia vuotta. Unohtunut salasana voi mobiililaitteilla johtaa jopa siihen, ettei pysty asentamaan uusia päivityksiä. Tästä seuraa tietoturvaongelmia!
- Verkkopankkia EI tule käyttää mobiilselaimella. Ne sisältävät vielä nykyään useita tietoturva-aukkoja, esimerkiksi voivat käyttää turvattomia tiedonsiirron protokollia (SSL 3.0 tai vastaava).
- Virus vai haittaohjelma? Virus on haittaohjelma, joka levittää itseään muille koneille. Läheskään kaikki haittaohjelmat eivät ole viruksia, vaan tekevät tuhojaan ainoastaan sillä koneella, jolla ohjelma käynnistetään.
- Tietoturvaohjelmisto haittaohjelmana? Tietoturvaohjelmisto voi joskus olla myös haittaohjelma järjestelmän toimivuuden näkökulmasta. Mikäli vanhalle tietokoneelle asennetaan uusi tietoturvaohjelmisto, se voi hidastaa koneen toimintaa merkittävästi ja tätä kautta haitata käyttöä. Mobiililaitteen tietoturvaohjelmiston valinnasta Kun mobiililaitteelle asentaa tietoturvaohjelmiston, tulee valita luotettava toimija (Avast, AVG, F-Secure, McAfee tms.). Mobiililaitteen tietoturvaohjelmistolla on oikeudet päästä käsiksi lähes kaikkiin mobiililaitteen tietoihin tarpeen niin vaatiessa. Käyttöoikeudet mobiilissa Mobiililaitteilla tietoturvaongelmana ovat sovelluksille myönnetyt käyttöoikeudet, ei järjestelmä itsessään (Androidilla SE-Linux eli Security Enhanced Linux pohjalla). Mistä tunnistaa turvallisen mobiilisovelluksen? Turvallisella sovelluksella on yleensä paljon käyttäjiä, se on saanut hyvät arvostelut, se tekee sen mitä pitääkin, useat ”kunnon arvostelut” puoltavat sovellusta (techrepublic, gsmarena, mobiili.fi),..
- Tiedon saatavuus tarkoittaa, että tiedot ovat käytettävissä "missä vain". Esimerkiksi kadonnut tai rikkoutunut tietolaite -> tarvittava resurssi verkossa on käytettävissä Tiedon eheys tarkoittaa tiedon säilymistä alkuperäisenä esimerkiksi tiedonsiirrossa (valokuvat mobiililaitteesta pilveen tms.) Pilvipalvelussa on helppoa jakaa tiedostoja muille saman pilvipalveluympäristön käyttäjille (esimerkiksi Google Drive). Tämä voi olla tietoturvariski. Jos yhdenkin henkilön, jolle tiedosto on jaettu, tili hakkeroidaan, päästään tiedostoon käsiksi.
- Esimerkiksi Googlen pilvipalveluympäristö : Rajattomasti tilaa valokuville (peruslaatu), 15 Gt tiedostoille. Lisäksi yhteystiedot, kalenteri, sivuhistoria, karttahistoria, muistiinpanot, toimisto-ohjelmisto sekä useita muita toimintoja. Käytännössä : Tehdään vastaava sähköpostitili (Google -> Gmail, Microsoft -> Outlook tai Apple -> iCloud) ja siirretään omat tiedot palveluun & synkronoidaan omalle laitteelle.
- Kirjallisuutta (edistynyt): Peter W. Singer ja Allan Friedman: Cybersecurity and Cyberwar (Oxford University Press, 2014) Umesh H. Rao ja Umesha Nayak - The InfoSec Handbook (Apress 2014) Kimmo Rousku: Kyberturvaopas (Talentum, 2014) Kevin Mitnick ja William L. Simon : The Art of Deception (Wiley, 2002)