Tietoturva ja yksityisyys - Luento 7

• Tietoturvaan liittyviä uutisia maailmalta
• Tietoturvan riskit
• Ohjelmien ja käyttöjärjestelmien turva-aukot
  • Miten torjua ongelmat?
• Sähköposti
• Internet
• Mobiililaitteet
• Kannettava tietokoneet
• Tietohallintokeskuksen käyttösäännöt
  • Sääntöjen soveltamisohjeita
• Miksi joku haluaisi murtautua kotikoneelleni tai sähköpostiini?
  • Hyökkäystyyppejä ja tapoja
  • Suojautumiskeinoja kotikäyttäjälle
• Yksityisyys
  • Evästeet (Keksit, Cookies)
  • Web Bugs
  • Haittaohjelmat / Spyware / Adware
• Lisätietoa tietoturvasta ja viruksista

Tietoturvaan ja yksityisyyteen liittyvät uutiset ovat nykyään miltei joka päiväisiä, joten niihin kannattaa suhtautua vakavasti. Varovaisuus kannattaa aika, mutta vainoharhaiseksi ei kannata alkaa! Lisätietoja aiheesta kannattaa lukea tietoturvaoppaasta tietoturvakoulun sivuilta. Tämän sivun lähteenä on käytetty monesti suoraan CERT-FI-sivustoa.

Tietoturvaan liittyviä uutisia maailmalta

• CERT-FI Tietoturvakatsaus 2/2011
• Security Predictions 2012 & 2013 - The Emerging Security Threat
• Diditodayn uusimmat tietoturvauutiset.
  • 17.10. Lastenohjelma vaihtui pornoon YouTubessa
  • 14.10. FBI nappasi julkkisten nakukuvia varastaneen
  • 12.10. Uusia murtoja Sonyn palveluihin: 93 000 asiakkaan tili suljettu
  • 11.10. Poliisi varoittaa: KRP ei ole mukana nettihuijauksessa
  • 3.10. Vaarallinen aukko HTC:n Android-luurissa
  • 29.9. Paljastava Timeline tulee pian Facebookiin - näin suojaudut
  • 29.9. Microsoft tuhosi 40 000 saastuneen koneen verkon
• Tietoturva nyt!

Tietoturvan riskit

Ihminen on suurin ongelma, koska hän

• keksii huonoja salasanoja.
  • Käytä salasanan muistisääntönä jotakin mielessä pysyvää lausetta (esim. elokuva + pääosanesittäjä tms.).
  • Saman aihealueen lauseista saa useamman salasanan.
  • Rakenna lauseen osista oma salasana.
  • Varmista ettei se ole mikään selkokielinensana (esim. 007JamesBond).
  • Käytä salasanassa erikoismerkkejä ja numeroita.
  • Älä kerro käyttämääsi muistisääntöä muille!
• käsittelee salasanaa huolettomasti.
  • Suojaamattomissa WWW-palveluissa voi käyttää leikkisalasanoja.
  • Salasanan tarkkailu on yllättävän helppoa!
  • Älä käytä samoja salasanoja kuin salatuissa järjestelmissä.
  • Oletussalasana pitää muuttaa!
• on liian luottavainen.
  • Tunnuksia ja salasanaa ei saa koskaan antaa kenellekään!
  • Salasanaa ei koskaan udella puhelimessa tai sähköpostitse
  • Järjestelmän pääkäyttäjä tai ylläpitäjä ei tarvitse koskaan salasanaasi!
  • Phishing eli sähköisten tunnisteiden kalastelu
    • Tietojen kalasteluyrityksiä (phishing) liikkeellä - emme koskaan kysy salasanaasi!
    • Rahoituslaitokset eivät koskaan ota asiakkaisiin yhteyttä sähköpostitse kysyäkseen asiakkaalta verkkopankkitunnuksia, luottokorttinumeroita tai muuta luottamuksellista tietoa.
    • Älä luota sähköpostissa olevaan lähettäjätietokentän (FROM-kentän) sisältöön. Sähköpostin lähettäjätietokenttä voidaan helposti väärentää vaikkapa muotoon asiakaspalvelu@omapankkisi.fi.
    • Älä luota, että HTML-sähköpostissa tai www-sivustolla olevat linkit johtavat sinne, mitä linkeissä lukee.
• levittelee papereitaan missä sattuu.
  • Älä säilytä salasanoja kalenterissasi tai lapulla! (Entä jos lappu hukkuu?)
  • Bussissa, junassa, lentokoneessa jne.
• ei tunne tietoturva-asioita
  • Ei tunnista mahdollisia viruksia.
  • Käynnistää ja asentaa huolettomasti kaikenlaisia ohjelmia.
  • Ei päivitä ohjelmistoja tai käytä virustorjuntaa.

Ohjelmien ja käyttöjärjestelmien turva-aukot

Vaarallisimmat vuodelta 2009 (Sans.org)

Viime vuosien trendi on seuraava:

• Käyttöjärjestelmistä ei ole viime vuosina löytynyt niin paljon kriittisiä virheitä kuin vuosituhannen alussa
• Ohjelmista löytyneiden virheiden määrä on kasvanut huimasti
  • Esim. Adobe Acrobat reader, Quicktime, Adobe Flash, Internet Explorer ja Microsoft Office
  • Käyttäjä avaa vaarallisen dokumentin vanhentuneella ohjelmalla ja päästää viruksen koneelleen
• Suurin osa vaarallisista turva-aukoista on löytynyt WWW-sovelluksista
  • Aina ei edes tarvitse avata dokumenttia vanhentuneella ohjelmalla vaan riittää vaarallisella WWW-sivulla käyminen
  • Tartunnan saanut kone levittää virusta edelleen
  • Real-Life HTTP Client-Side Exploitation Example

Miten torjua ongelmat?

• Päivitä ohjelmia säännöllisesti.
  • Windowsiin liittyvät päivitykset (http://windowsupdate.microsoft.com/)
• Käytä virustutkaa, joka päivittää tietokantansa automaattisesti
  • Virukset leviävät jo nopeammin kuin virustietokannat päivittyvät. Pelkkiin virustutkiin ei siis pidä enää luottaa. Esimerkiksi F-securen virustietokanta listaa jo löydetyt virukset.
• Älä käytä tietokonettasi pääkäyttäjän (administratorin, rootin) oikeuksilla
  • Pääkäyttäjä pystyy tekemään mitä tahansa. Tavallinen käyttäjä voi toimia rajoitetummilla oikeuksilla. Virusohjelma toimii samoilla oikeuksilla kuin sinäkin!
• WWW
  • Internet Explorer
    • Pidä päivitettynä
    • Poista IE:ltä turhat oikeudet
    • Estä Active-X-laajennokset
    • Poista vakoiluohjelmat (spyware)
    • Käytä ennemmin Google chromea, Firefoxia, Operaa tai jotain muuta selainta
  • Mozilla Firefox
    • Security center
    • Five must-have security/privacy extensions for Firefox
  • Selainten laajennukset ja erityisesti Adobe Acrobat Reader. Käytä ennemmin Foxit readeria.
  • Poista selaimesta käytöstä Flash, Java, Javascript ja ActiveX!
    • Pidä Flash ja Java päivitettyinä
    • Internet Explorerin asetukset
    • Firefox: asetukset
• Microsoft Office: Outlook, Word, Powerpoint, Excel, Visio, Frontpage ja Access
  • Älä avaa tuntemattomia liitteitä
  • Estä Internet Exploreria avaamasta tiedostoja suoraan office-ohjelmissa
• Sähköpostiohjelmat: Outlook, Mozilla Thunderbird ja Eudora
  • Käytä ohjelman uusinta versiota
  • Älä avaa tuntemattomista osoitteista tulleita sähköposteja
  • Lue viestit pelkässä tekstimuodossa (plain text)
  • Älä avaa liitteitä ilman virusskannausta
  • Älä salli sähköpostiohjelmasi lähettää kuittauksia
  • Älä käytä sähköpostiohjelman esikatselutilaa liitetiedostojen tutkimiseen
  • Jos et käytä Outlookia niin poista se kokonaan koneelta
• Mediasoittimet: Realplayer, Apple iTunes, Adobe Flash Player, Apple Quicktime, Windows Media Player
  • Vaihtoehtoja: VLC ja Media Player classic
• Pikaviestintä ja chatit
  • Madot, virukset ja troijalaiset leviävät pikaviestintäohjelmien (MSN Messenger, ICQ etc.) avulla
  • bottiverkkoja kontrolloidaan usein IRC:n kautta
  • Verkko voidaan tukkia
  • Pikaviestintä kännyköissä
• P2P (tiedostojen jakaminen)
  • Älä asenna äläkä käytä epämääräisiä P2P-ohjelmia
  • Tiedä mitä tiedostoja (kansioita) jaat
  • Varmista, että ohjelma on päällä vain silloin kun tarvitset sitä

Sähköposti

• Kuka tahansa voi lähettää nimelläsi sähköpostia.
• Uskottavaan esiintymiseen tarvitaan kuitenkin murtautuminen.
• Kotona postit voivat olla koneen kovalevyllä. Ts. kuka tahansa, joka pääsee koneelle voi ne lukea?
• Postit ovat vain tekstitiedostoja.
• Sähköpostin voi myös salata
  • PGP

Internet

• Tieto liikkuu verkossa täysin selväkielisenä!
  • Tietojen salakirjoitus.
• Käytä aina salattuja yhteysohjelmia.
  • Pääteyhteysohjelmana SSH

    

  • Tiedostojen siirto SCP tai SFTP

    

  • WWW-sivustoilla tärkeiden tietojen siirto vain suojatun (HTTPS / TLS) yhteyden kautta (esim. Korppi, internet-pankit, sähköposti)
    • Yhteys on salattu jos selaimen alakulmassa oleva lukko on lukossa.

      

      

    • Yhteyden salaamiseen tarvitaan varmenne
      • Vahvaa todennusta varmenteista
      • Jyväskylän yliopiston juurivarmenne

Mobiililaitteet

• Haittaohjelmat voivat toimia mobiililaitteissa monella tavalla:
  • kasvattaa puhelinlaskua eri tavoin puhelimen haltijan tietämättä (esimerkiksi peliin piilotettu troijalainen voi pelattaessa käyttäjän tietämättä lähettää tekstiviestejä kalliisiin maksunumeroihin)
  • hävittää tai varastaa tietoa
  • pyrkiä leviämään muihin puhelimiin ja aiheuttaa häiriötä
  • aiheuttaa häiriötä matkapuhelinverkolle
  • vakoilla ja välittää tietoa matkapuhelimesi käytöstä.
• Älä paina matkapuhelimen Kyllä/Yes-näppäintä, ellet ole varma seurauksista.
• Tuhoa tuntemattomalta lähettäjältä tullut MMS-viesti avaamatta sitä.
• Jos sinulle tuntematon laite yrittää ottaa Bluetooth-yhteyttä, liiku muutama kymmenen metriä paikaltasi: yhteys katkeaa automaattisesti.
• muista PIN-koodin käyttö ja sen vaihto
• käytä operaattorin esto- ja rajoituspalveluita
• ota varmuuskopioita ja tyhjennä puhelin ennen myyntiä
• mieti ennen kuin lainaat puhelintasi
• muista, että soittopyyntö tai tekstiviesti voi olla huijausyritys
• asenna harkiten ohjelmia

Kannettava tietokoneet

• Pidä huoli, että kannettava tietokoneesi ei lähde varkaan matkaan.
• Varmista, että konettasi ei pääse käyttämään ilman käyttäjätunnusta ja salasanaa
  • Huom. muista tämä myös virransäästötiloista konetta käynnistettäessä
  • Kone voidaan asettaa kysymään salasanaa aina käynnistymisen yhteydessä
• Suojaa tärkeät tiedostot sekä tietokoneessasi, että muistitikuilla
  • Windows XP Pro: Using File Encryption
  • Truecrypt
• Käytä VPN-yhteyttä jos mahdollista
• Käytä salattua langatonta yhteyttä
  • Jos käytät salaamatonta langatonta yhteyttä niin varmista, että et käytä mitään tärkeitä palveluja, jotka eivät muuten ole salattuja (https vs http)

Tietohallintokeskuksen käyttösäännöt

• Jokaisella käyttäjällä on osavastuu järjestelmän turvallisuudesta.
• Käyttäjätunnus ja siihen liittyvä salasana ovat henkilökohtaisia eikä niitä saa luovuttaa muiden käyttöön.
• Kukin käyttäjä vastaa kaikesta tunnuksellaan tapahtuvasta käytöstä.
• Käyttäjätunnuksen sekä tietoliikenneyhteyksien luovuttaminen yliopiston ulkopuolisten käyttöön on kielletty.
• Tietokoneissa ei ilman vastuuhenkilön suostumusta saa ajaa ohjelmia jotka tarjoavat palveluita yliopiston ulkopuolelle.
• Käyttäjä vastaa itse tiedostojensa suojauksesta.
• Toista käyttäjää koskevien tai hänelle kuuluvien tietojen etsiminen ja lukeminen on sallittu vain hänen luvallaan.

Sääntöjen soveltamisohjeita

• Tietokonejärjestelmien turva-aukkojen etsimiseen käytettävien ohjelmien ajaminen on sallittu vain yliopiston tietokonejärjestelmien ja tietoliikenneverkon ylläpidosta vastaaville tai heidän luvallaan
• Tietokoneiden, tietoliikenteen ja muiden käyttäjien häiritseminen on kiellettyä. Kiellettyä on sekä suora häirintä, että epäsuora, esimerkiksi koneiden tai verkon kapasiteetin tuhlauksesta aiheutuva häirintä.
• Kiellettyjä ovat summittaiset massapostitukset: sähköpostiviestien lähettäminen suurelle joukolle ihmisiä, jotka eivät ole erikseen ilmoittaneet haluavansa vastaanottaa viestejä ko. aiheesta.
• Lisäksi on kiellettyä lähettää tai välittää ketjukirjeitä, mainoksia, automaattisesti leviäviä tiedostoja tai muutoksia (kuten tietokoneviruksia tai matoja) sekä ns. hyvien tapojen vastaista materiaalia.
• Tietotekniikkapalveluiden käyttö liike-, ansio- tai muuhun kaupalliseen tai poliittiseen toimintaan on kiellettyä.

Miksi joku haluaisi murtautua kotikoneelleni tai sähköpostiini?

Hyökkääjän motiiveja voivat olla esimerkiksi:

• seikkailunhalu ja maineen kasvattaminen.
• kiusanteko ja vandalismi.
• levytilan, prosessoritehon tai tietoliikenneyhteyksien luvaton käyttö.
• jälkien peittäminen kolmatta tietojärjestelmää vastaan tehtävää hyökkäystä varten.
• teollisuusvakoilu ja elektroninen sodankäynti.

Lähde: Tietoturvaloukkausten havainnointi ja ratkaisu - Hyökkääjät ja motiivit (CERT)

Hyökkäyksen kohteena voi kotikäyttäjän lisäksi olla:

• yleiset palvelut, kuten tiedostonsiirto tai sähköposti.
• verkon aktiivilaitteet kuten reitittimet.
• nimipalvelimet
  • Massive DDoS Attack Hit DNS Root Servers
• palvelimet
  • Ylen sivulle murtauduttiin

Lähde: Tietoturvaloukkausten havainnointi ja ratkaisu - Hyökkääjän kohteet (CERT)

Hyökkäystyyppejä ja tapoja

• Luvaton käyttö, jossa hyökkääjä luvatta käyttää kohteen resursseja hyödykseen. (Erityisesti kotikäyttäjää koskeva!)
• Palvelunestohyökkäys (DoS, Denial of Service), jossa hyökkääjä pyrkii hidastamaan, vaikeuttamaan tai estämään kohteensa toimintaa.
• Tietomurto tai tiedon varastaminen, jossa hyökkääjä anastaa hyökkäyksen kohteen tietoja.
• Kuormitushyökkäys (Flooding), jossa hyökkääjä kuormittaa kohdetta lähettämällä esimerkiksi suuren määrän palvelupyyntöjä lyhyessä ajassa.
• Kohteen skannaus (Host scanning), jonka avulla hyökkääjä tutkii kohteensa avoimia portteja ja kohteessa käytössä olevia palveluita. Seuraavassa muutamia palveluja, joiden avulla voit testata ylimääräisiä aukkoja.
  • Shields UP!
  • PCFlank scanner
• Social Engineering, jossa käytetään hyväksi ihmisten hyväntahtoisuutta.
• Salasanojen murtaminen, jossa hyökkääjä murtaa järjestelmän käyttäjätunnus-salasanapareja erityisiä salasanojen murto-ohjelmistoja hyväksikäyttäen.

Lähteet: Tietoturvaloukkausten havainnointi ja ratkaisu (CERT) - Hyökkäystyypit ja Tietoturvaloukkausten havainnointi ja ratkaisu (CERT) - Hyökkäystekniikat

Suojautumiskeinoja kotikäyttäjälle

• Jos teet etätöitä kotoa käsin niin varmista verkkoyhteytesi suojaus mikrotuen kanssa. (Esimerkiksi VPN)
• Käytä virustorjuntaohjelmaa koko ajan taustalla
  • Käytä automaattista virustietokannan päivittämistä
  • Jyväskylän yliopiston opiskelijat voivat hankkia virustorjuntaohjelman Tietohallintokeskuksesta, 5 eur (ei Avoin YO).
  • AVG Free
  • AntiVir Personal Edition ilmainen yksityiskäyttöön
  • Avast
  • Microsoft Security Essentials
• Asenna koneeseesi palomuuri!
  • Windows XP:n palomuuri
  • Comodo Free Firewall
  • Zonealarm
  • Sunbelt Kerio Personal Firewall
  Kiellä palomuurin avulla yhteys verkkoon niiltä ohjelmilta jotka eivät sitä tarvitse.
  
• Älä suorita ohjelmia, joiden alkuperästä et ole varma!
• Aseta kaikki tiedostopäätteet näkyviin (Windows)!
• Irroita tietokoneesi verkosta, kun et käytä sitä!
• Ota varmuuskopio tiedostoistasi säännöllisin väliajoin
  • Store it on the web
  • Synctoy
  • Windows XP backup made easy

Lähteet:

• http://www.cert.org/tech_tips/home_networks.html
• Suojautuminen haittaohjelmistoilta (Viestintävirasto)

Yksityisyys

Tiesitkö että:

• Jokainen käyttämäsi WWW-palvelin tallentaa koneesi osoitteen.
• WWW-mainostajat keräävät evästeiden avulla tietokantaa selaamistasi WWW-sivuista.
• Sinusta voidaan rakentaa lähes täydellinen profiili yhdistelemällä kaikkia näitä tietokantoja!?
• Yksityisyys - Effi

Evästeet (Keksit, Cookies)

• Eväste on pieni määrä tietoa, jonka WWW-palvelin voi pyytää selainta tallentamaan. Myöhemmin sama palvelin voi pyytää tätä tietoa selaimelta.
• Evästeen avulla ei voida vakoilla käyttäjän koneesta mitään sellaisia tietoja joita käyttäjä ei itse ole antanut.
• Evästeillä voidaan kuitenkin seurata käyttäjän liikkumista www-sivuilla.
• Evästeet ovat elintärkeitä monen www-palvelun toiminnalle esim. Korppi-järjestelmä, verkkopankki, verkkokauppojen ostoskorit ym.
• Selainta voi käskeä kieltäytymään turhista evästeistä
  • Ghostery
• Lisätietoja: Cookies FAQ
• Tracking cookies video

Web Bugs

• Web bugit ovat HTML-muotoisissa sähköpostiviesteissa tai ihan tavallisissa WWW-palvelimilla sijaitsevissa WWW-sivuissa olevia kuvia joilla voidaan seurata dokumentin lukijoita.
• Usein web bugit ovat näkymättömiä kuvia (1 pikselin kokoisia)
• Web bug paljastaa milloin sähköpostiviestin vastaanottaja lukee viestin ja myös millä koneella ja selaimella.
• Mikä tahansa kuva voi toimia web bugina.
• Webbugeista ja turhista mainoksista pääsee helposti eroon Adblock plussalla

Haittaohjelmat / Spyware / Adware

• Spyware - ohjelma, joka lähettää tietoa käyttäjästä kertomatta siitä käyttäjälle.
• Adware - ohjelma, joka näytää mainoksia.
• Malware - ohjelma, joka soluttautuu tietokoneelle käyttäjän tietämättä.
• Raja viruksien ja haittaohjelmien välillä ei ole selkeä - yhteistä on usein tavoite taloudelliseen hyötyyn epämääräisin keinoin
• Adwarea tai Spywarea voi asentua koneelle selaimen vikojen takia tai asentamalla ohjelmistoja joissa näitä tulee mukana.
• Haittaohjelmien tyyppejä
  • Modeemien valtaajat
  • Salasanoja nauhoittavat ohjelmat
  • Takaportteja avaavat ohjelmat
  • Käyttäytymistä seuraavat ohjelmat
  • Koneen resursseja käyttävät ohjelmat
  • Selaimien valtaajat - kotisivu, työkalurivit, pop-upit
  • Rootkit - käyttöjärjestelmää muuttavat ohjelmat, piilottavat haittaohjelman
  • Selaimien evästeet voidaan joskus luokitella Spywareksi
  • Ohjelmat, jotka väittävät olevansa esim. virustutkia mutta eivät olekaan
• Torjunta
  • Taustalla ajettavia ohjelmia voi tutkia Task Managerin Processes-listasta (Ctrl+Alt+Del). Hakukoneella voi selvittää mitä nämä ohjelmat tekevät ja ovatko ne vaarallisia.
  • Esimerkiksi Neuberin lista prosesseista tai Unibluen vastaava WinTasks Process Library .
  • Kotikone on helppo puhdistaa AntiSpywarella, Ad-awarella tai SpyBotilla.
  • Virustorjuntaohjelmakin osaa poistaa joskus Spyware-ohjelman.
  • Tietojen lähettämisen estää tarvittaessa tehokkaasti palomuuri!

Lisätietoa tietoturvasta ja viruksista

• Tietosuoja-lehti
• Tietosuoja suoramarkkinoinnissa
• Opas turvalliseen verkko-ostamiseen
• Tieken tietoturvaopas
• Tietosuojavaltuutetun toimisto
• Viestintävirasto - Tietoturva ja -suoja
• CERT-FI.
• F-Secure, "F-Secure Computer Virus Info Center", saatavilla HTML-muodossa osoitteessa <URL: http://www.f-secure.com/v-descs/>.
• F-Secure, "Hoax Warnings", saatavilla HTML-muodossa osoitteessa <URL: http://www.f-secure.com/virus-info/hoax/>.
• Rhode Island Soft Systems, Inc,"Truth about Computer Virus Myths and Hoax", saatavilla HTML-muodossa osoitteessa <URL: http://vmyths.com/>.
• Scott Hazen Mueller, "Fight Spam on the Internet!", saatavilla HTML-muodossa osoitteessa <URL: http://spam.abuse.net/>.
• Jason R. Heimbaugh, "The AFU & Urban Legend Archive"