Tietoturva-arjen kysymyksiä ja vastauksia kirjan perusteella

Ohje: Lue alla oleva johdanto ja valitse nimikoimaton tehtävä sen alla olevasta luettelosta. Nimikoi tehtävä eli kirjoita nimesi sen alkuun numeron jälkeen ja nimen jälkeen toteutuskerran tunnus muodossa (201*-x), missä x=s tai k. Tämän voit tehdä jo ennen kuin edes saat kirjaa haltuusi. Laadi noin 150 sanan mittainen vastaus määräaikaasi mennessä tehtävän alle. Jos käytät myös jotain muuta kuin omaa ja kirjan tietämystä, merkitse lähdeviite.

Petteri Järvinen: Arjen tietoturva, vinkit & ratkaisut

Järvinen on kirjoittanut tietoturvasta useita kirjoja 2000-luvulla ja niitä on käytetty Tietoturva-arjen kursseilla aiemminkin: Paranna tietoturvaasi (2006) ja Yksityisyys (2010). Vuonna 2012 hän julkaisi kurssille nimen puolesta erittäin osuvan kirjan Arjen tietoturva. Siinä on runsaasti tietoturva-arkeen sopivia vinkkejä ja ratkaisuja, kuten kirjan alaotsikko lupaa. Tämän sivun tehtävissä tarkastellaan niiden kautta Järvisen esittämää sanontaa "mukavuus kertaa turvallisuus on vakio". Hän muistuttaa tästä periaatteesta ja siihen liittyvän abstraktin vakion koosta monessa yhteydessä mutta ei sentään jatkuvasti. Tehtäväsi on tunnistaa ja kirjata tähän periaatteeseen soveltuvia tapausesimerkkejä, vinkkejä tai ratkaisuja yhdestä aihepiiristä — vähintään kaksi sellaista, joita Järvinen ei ole itse maininnut periaatteen sovelluksiksi. Periaatteen esittely kannattaa lukea kirjan luvusta 1. Kukin aihepiiri sisältyy yhteen kirjan lukuun, mutta ne on tässä lueteltu eri järjestyksessä.

1. Niko Kähkönen (2015-k) Puhelin osana puhelinverkkoa

Helpoin tapa suojata matkapuhelin olisi käyttää suojakoodia, tai vanhemmissa puhelimissa PIN-koodia käyttävää näppäinlukkoa. Tämä suojaisi kaikelta luvattomalta käytöltä, urkinnalta, kiusanteolta ja varkaustapauksissa ylimääräiseltä puhelinlaskulta. Monien mielestä käyttömukavuus kärsii turvakoodin vuoksi kuitenkin liikaa.

Yksityisyyttään voi suojata mm. piilottamalla puhelinnumeronsa vastaanottajalta. Käyttömukavuus kärsii paljonkin, koska monet kaveritkaan eivät vastaa tuntemattomaan numeroon. Lisäksi vieraisiin numeroihin soitettaessa vastaanottaja ei voi soittaa myöhemmin takaisin, jos ei pysty vastaamaan puheluun.

Soitto- ja viestihistorian tyhjennys säännöllisesti suojelee urkinnalta, jos puhelin joutuu vääriin käsiin. Monihan ei itse tee omalla historiallaan yleensä mitään, mutta joku utelias (esim. puoliso, tuttu tai kaveri) voi olla historiasta hyvinkin kiinnostunut. Moni säilyttää kuitenkin historian joko ’varmuuden vuoksi’ tai laiskuuttaan.

Kirjan kappaleessa 1 Petteri totesi että vaikka mukavuus kertaa turvallisuus onkin vakio, tämä vakio saattaa muuttua tekniikan kehittymisen myötä. Tämä näkyy myös em. esimerkeissä: Joissakin puhelimissa turvakoodin voi korvata näytölle piirrettävillä kuvioilla. Osoitekirjaan voi tallettaa tuttujen numeroiden eteen *31#, jolloin heille soitettaessa numero näkyy vaikka muuten numeron näytön esto olisikin päällä. Nämä tekijät kasvattavat vakiota, eli tekniikka mahdollistaa turvallisuuden paremmalla käyttömukavuudella.

2. Iiris Saarenpää (2015-s) Puhelin mobiilina tietokoneena

Järvinen ei suoranaisesti mainitse montaakaan esimerkkiä, jotka suoranaisesti liittyisivät periaatteeseen ”mukavuus kertaa turvallisuus on vakio”. Toisaalta niitä on helppo löytää älypuhelimien maailmasta.

Heti luvun alussa mainitaan salasanojen tallentaminen puhelimeen. Salasanojen tallentaminen helpottaa käyttäjän elämää ja käyttäjäkokemusta, kun salasanoja ei tarvitse muistaa ja aina kirjoittaa uudelleen. Salasanoilla ei tässä yhteydessä tarkoiteta puhelimen pin- tai suojauskoodia vaan esimerkiksi sovellusten ja internet-sivujen, kuten sähköpostin salasanoja. Nämä tallennetut salasanat kuitenkin ovat tietoturvariski, jos joku pääsee käsiksi puhelimeen.

Toinen esimerkki on laajempi ajatus puhelimen käytöstä. Turvallisinta olisi käyttää 3G yhteyttä ilman muita yhteyksiä. Turvallisinta olisi olla käyttämättä Internet-yhteyttä, sovelluksia, paikannusta jne. Näin jää kuitenkin huomattava osa älypuhelimen ominaisuuksista hyödyntämättä ja tällainen käyttö ei välttämättä palvele käyttäjän tarpeita parhaalla mahdollisella tavalla. Käyttäjän päätettäväksi jääkin, miten paljon haluaa käyttää erilaisia sovelluksia ja palveluita oman tietoturvansa kustannuksella.

3. Joonas Järveläinen (2016-s) Muut tietokonelaitteet käyttöjärjestelmineen

Kirjassa ei yhdistetä suoraan sanontaa ja tapausesimerkkiä muiden tietokonelaitteiden yhteydessä. Mutta sellainen esimerkki on ainakin missä Järvinen viittaa juuri hankittuun pelikonsoliin. Ennen kuin itse peliä pääsee pelaamaan, joutuu käyttäjä luultavasti päivittämään ensin konsolin ohjelmiston ja sitten vielä pelin. Tämä saattaa aiheuttaa ikävää odottamista, kun haluaisi päästä pelaamaan uutta hienoa peliä. Päivitykset konsoliin tehdään tietenkin sen takia, että mahdollisia tietoturva-aukkoja paikataan ja muutenkin parannetaan laitteen toimintaa. Jos päivityksiä ei tehtäisiin, päästäisiin heti pelaamaan, mutta tietoturva kärsisi.

Toisena esimerkkinä on keksimäni tapaus. Nykypäivänä monia laitteita voidaan yhdistää verkkoon, esimerkiksi valaistusta, kahvinkeitintä. Kaikissa näissä on omat käyttöjärjestelmänsä ja niiden päivittäminen voi olla vaikeaakin. Mikäli ei satu välttämättä tarvitsemaan näitä verkottuneita ominaisuuksia, niin kannattaako sitten niitä yhdistää verkkoon (tai oikeastaan edes sitten hankkia huomattavasti kalliimpia verkko-ominaisuuksilla olevia laitteita). Siitä saattaa käytettävyyttä saada lisää, mutta onko se sen arvoista että sitten tietoturva on huomattavasti huonompi, kuin laitteen joka ei edes ole verkossa tai sisällä mitään älyä.

4. Iiro Uusitalo (2015-s) Muut todentamisen keinot kuin salasanat

Kirjan kappaleessa käydään hyvin korkealla tasolla erilaisia todentamismenetelmiä salasanan lisäksi. Kirjassa käsitellään todentamismenetelmiä, jotka kuitenkin tarvitsevat myös toimiakseen salasanan.

Kaksivaiheinen vahvistusta käsitellään kappaleessa eniten ja miten se otetaan käyttöön puhelimessa. Kaksivaiheisessa kirjautumisessa käyttäjä syöttää käyttäjätunnuksensa ja salasanansa, jonka jälkeen häneltä varmistetaan vielä erillinen varmistuskoodi. Varmistuskoodi lähetetään joko tekstiviestillä kirjautujan kännykään tai nykyaikana Googlekin tarjoaa Google Authenticator sovellusta, joka pysyy kirjautujan mukana kokoajan.

Kaikki sovellukset eivät pysty toteuttamaan kaksivaiheisia salasanoja, joten näitä varten on kehitetty sovelluskohtaiset salasanat. Salasanan on tarkoitus olla tarpeeksi pitkä, joka säilötään ohjelmaa ja vain ohjelma käyttää kyseistä salasanaa.

Lisäksi kappaleessa käsitellään kuvioihin perustavaa todennusmenetelmää. Kuvio -todennusta käyttää mm. Androidi laitteen hyväkseen. Pääsylukitus voidaan avata piirtämällä ennalta määritetyn kuvion. Kuvion ongelmana kuitenkin on sen helppoa kaapata vierestä.

Biometrisesta tunnistautumisesta kerrottiin, että ihminen pystyy helposti huijaamaan koneellista biometrista tunnistautumista ja sormenjälki on ainut, jota voidaan käyttää lukitsemaan mobiililaite. Sormenjälkeen ei kannata sokeasti luottaa vaan sillä voidaan korvata mobiililaitteen näytön suojakoodi. Pitää kuitenkin huomioida että sormenjälki voi muuttua esim. haavan seurauksena ja tällöin mobiililaitteelle ei päästä kirjautumaan.

5. Katja Mäenpää (2015-s) Internetin käyttö matkalla

Jos hotellihuoneessa on langallinen verkkoyhteys eli Ethernet-liitäntä ja oma kone pystyy käyttämään sitä, lankaverkko on parastapa käyttää nettiä.

Avoimessa wlan-verkossa kaikki verkkoon kytkeytyneet käyttäjät näkevät toistensa liikenteen. Joku voi kaapata dataliikenteestä salasanoja, käyttäjätunnuksia ja luottokorttinumeroita. Avoimen verkon käyttö on aina riski, vaikka käyttäisi https-salattuja yhteyksiä. Urkkija voi kaapata ennen https-salauksen kytkeytymistä evästeitä tai manipuloida verkon dns-nimipalvelua. Ulkomailla avoimen koti- tai yritysverkon luvattomasta käytöstä voi seurata sakkoja.

3G-datansiirrossa ulkomailla haittana on kalleus. Jotta kotona ei matkan jälkeen odota kallis puhelinlasku, datasiirto ulkomaisessa 3G-verkossa kannattaa estää puhelimen asetuksista. EU maissa on käytössä datavartija, joka katkaisee 3G-datayhteyden laskun ylittäessä 61,50 euroa. Katkosta ilmoitetaan tekstiviestillä, jonka mukana tulee ohjeet miten toimia, jos haluaa ostaa lisää datasiirtoa 61,50 euron erissä. Monissa maissa myydään datakäyttöön tarkoitettuja sim-kortteja, joihin on pre-paid-periaattella ladattu saldoa 1,5 tai 20 gigatavun datasiirron edestä. Kortin avulla voi surffata huolettomasti läppärillä tai tabletti-tietokoneella.

Osassa suosituissa lomakohteissa valtio rajoittaa netinkäyttöä, kuten Kiina, Turkki, Thaimaa ja Dubai. Eräs yleinen estokohde on nettipuhelut, kuten Skype, sillä valtio ei pysty salakuuntelemaan niitä. Rajoitusten kiertäminen on erikseen kiellettyä. Vaikka se olisi teknisesti helppoa, siitä voi pahimmassa tapauksessa joutua salisen poliisin silmätikuksi.

6. Joni Piittala (2015-s) Tietoverkkoasiointi (muu kuin ostokset)

Kirjan luvussa 3 käsitellään turvallista nettiasiointia, kuten verkkopankin käyttöä ja sähköpostilla asiointia. Nettipalvelujen käytön turvallisuutta voi lisätä käyttämällä ssl-salausta, joka salaa automaattisesti selaimen ja www-palvelimen välillä kulkevan liikenteen. Ennen kuin salattu yhteys otetaan käyttöön, selain tarkistaa palvelun SSL-varmenteen. Varmenteet varmistavat, että palvelu on varmasti oikea ja luotettava. Kun sivuston varmenne on kunnossa, selaimen osoiteriville tulee yleensä lukon kuva.

Sivustojen turvallisuutta voidaan arvioida myös erilaisten suojaohjelmien avulla. Selaimissa on sisäänrakennettuna suojaus, joka estää yleensä pääsyn vaarallisiksi tiedetyille sivuille, mutta nämä suojaukset eivät ole aukottomia. Lisäksi voidaan käyttää ilmaisia ohjelmia, kuten Site Advisor ja MyWot?, jotka antavat lisäturvaa nettisurffailuun. Nämä ohjelmat varoittavat mm. epäluotettavista kauppapaikoista, tietojenkalastelusivuista sekä haittaohjelmia levittävistä sivuista.

Tietojenkalastelusivut ovat huijaussivuja, jotka yrittävät urkkia käyttäjätunnuksia ja salasanoja. Esimerkiksi sähköpostiviestit, joissa pyydetään kirjautumaan pankkipalveluun linkin kautta ovat varmoja kalasteluhuijauksia. Huijaussivustojen tunnistamiseksi kannattaa lukea selaimen osoiterivin sisältö huolellisesti, sillä joskus valesivuston nimi eroaa oikeasta vain muutamalla merkillä.

Sähköpostiasioinnissa kannatta muistaa myös muutama asia. Viestin perille meno on varmaa vasta kun vastaanottaja lähettää vastauksensa. Lähettäjän nimi on helppo väärentää, joten lähettäjän henkilöllisyys on varmistettava jollain muulla tavalla. Myös roskaposti kansio kannattaa tarkistaa säännöllisin ajoin tärkeiden viestien varalta.

7. Henry Myllylä (2015-s) Verkko-ostokset

Petteri Järvinen käsittelee verkosta ostamista kirjan luvussa neljä ja tarjoaa useita näkökulmia verkko-ostosten ongelmiin ja etuihin. Eräs hyvä esimerkki ajatusmallista, jonka mukaan ”mukavuus kertaa turvallisuus on vakio”, löytyy ulkomailla tarjottavista maksullisista wlan-yhteyksistä. Maksettava summa on hyvin pieni, mutta maksun turvallinen suorittaminen vaatisi pankkitunnusten käyttöä.

Toinen esimerkki ajattelutavasta löytyy verkkokauppojen luotettavuuden arvioinnista. Mikäli ostaja haluaa varmistua myyjän luotettavuudesta, on hänen tarkistettava Y-tunnukset ja sertifikaatit, tarkistettava myyntiosoitteet, luettava arvosteluita ja ajateltava kriittisesti.

Nettihuutokaupoista ostettaessa huomio on syytä kiinnittää ostetun tavaran aitouteen, laillisuuteen, soveltuvuuteen käyttömaassa sekä tuotteen eheyteen. Raha kannattaa siis maksaa vasta kun on päässyt itse tutustumaan tuotteeseen. Käytännössä tämä lisää vaivaa ja saattaa tarkoittaa postiennakkomaksujen käyttöä, joka taas korottaa hintaa.

Kirjassa neuvotaan suojautumaan kameroilta, jotka saattavat tallentaa pankkikorttisi tunnusluvut. Itse haluaisin lisätä tähän, että sormenpainalluksista tunnuskulunäppäimille jää myös lämpöjälki, joka voidaan nähdä lämpökameralla vielä asiakkaan mentyä pois. Erityisesti metalliset näppäimet ovat tässä suhteessa vaarallisia. Kirjassa varoitetaan myös skimmauslaitteista pankkiautomaateilla. Sirukorttien kohdalla vaaraa ei ole, koska kortti ei mene kokonaan laitteen sisälle. Magneettijuovaa ei voi näin ollen lukea.

8. Eero Räsänen (2015-s) Haittaohjelmat

Itseasiassa kirjan luku 7. Tässä luvussa käsitellään haittaohjelmia, eli kaikkia niitä ohjemia, jotka käyttäjän tietokoneeseen päästyään aiheuttavat harmia ja suoranaista vahinkoa. Luku käsittelee myös tapoja jolla haittaohjelmat livahtavat tietokoneellesi ja mitä ne tietokoneessa sekä aktiivilaitteissa aiheuttavat. Lisäksi perehdytään palomuureihin ja virustorjuntaohjelmistoon. Luvusta löytyy myös kattava ohje asettamaan kodinpalomuurille estot esimerkiksi nuoren netissä surffailuun.

Nykyaikana palomuuri on jokaisessa tietokoneessa välttämätön ja virustorjunta erittäin suositeltava, tosin jälkimmäisestäkin tietokone herjaa ellei ole asennettuna. Kotitarpeisiin riittää hyvinkin ohjelmallinen palomuuri verkonsuojaksi, mutta yrityksissä ja suuremmissa sisäverkoissa suositellaan käytettäväksi erillistä rautapalomuuria, joka hoitaa suojauksen tehokkaammin ja palvelee suurempaa verkkoa paremmin. Virustorjunnaksi Järvinen suosittelee jotakin ilmaista ohjelmistoa kuten esimerkiksi Avast!. Maksulliset ohjelmat hoitavat torjunnan yleensä "yli-innokkaasti" ja varoittavat liikaa kaikesta. Lisäksi nämä saattavat olla ilmaisversioita raskaampia ja jopa hidastaa tietokonetta pyöriessään taustalla. Ilmaisten virustorjuntojen ongelma on kuitenkin hitaat päivitykset, joten ne ovat alttiimpia nollapäivähyökkäyksille kuin maksulliset kilpailijansa.

Palomuuri ja virustorjunta eivät kuitenkaan takaa sataprosenttista suojaa haittaohjelmilta, vaan täysi suoja koostuu myös käyttäjästä itsestään. Mikään torjunta ei estä käyttäjää itse lataamasta haitallisia ohjelmia sähköpostien liitetiedostojen kautta tai naamioituneena hyödyllisiksi ohjelmiksi. Luvussa käsitelläänkin tälläisiä valetapauksia ja yritetään kasvattaa lukijan tietoisuutta näitä kohtaan.

9. Atte Finska (2015-k) Sosiaalinen media

Kirjan luvussa 11 Sosiaalinen media puhutaan kasvasta trendistä jakaa tietoa verkostolleen ja olla yhteydessä tuttuihin. Sosiaalisessa mediassa eli esimerkiksi Facebookissa ihmiset jakavat kaikenlaista sisältöä harkitsematta sen tarkemmin sen tietoturvaa. Kaikki jaettu materiaali (kuvat, videot, tekstit) jää tallennettuna palveluntarjoajan tietokantaan, eikä poistu sieltä koskaan. Järvisen mukaan sosiaalinen media kääntääkin tietosuojan päälaelleen - entiset kielletyt asiat muuttuvat sosiaalisessa mediassa suorastaan hyveiksi!

Järvisen periaate nousee sosiaalisessa mediassa esiin aika ongelmallisella tavalla: Esim. Facebookissa kaiken jakaminen on tehty mahdollisimman helpoksi ja mukavaksi, ja mikäli mukavuuden noustessa turvallisuus laskee, sosiaalisessa mediassa se laskee huolestuttavan alas. Esimerkiksi helpoksi tehtyjen tykkäysten perusteella joku ulkopuolinen voi tehdä ihmisestä hyvinkin pitkälle vietyjä (mutta virheellisiä) johtopäätöksiä. Ajattelematta lähetetyt, radikaalit mielipiteet voi aiheuttaa Facebookissa suurtakin hyväksyntää kavereiden kesken, mutta myöhemmin ne voi osoittautua vähintäänkin kiusallisiksi. Kannattaa ehkä tinkiä mukavuudestaan hieman ja miettiä mitä kirjoittaa, ja miltä oma sosiaalisen median toiminta näyttää ulkopuolisin silmin.

Järvinen ei puhunut periaatteesta koko kappaleessa mitään, mutta esimerkkejä hän antoi monistakin sovellutuksista. Facebook seuraa kaikkea käyttäjän toimintaa verkossa, mikäli hän on kirjautuneena Facebookiin. Tämän estämiseen oli mainio kikka käyttää Facebookia eri selaimella kuin muuta verkkoselailua, jolloin evästeet eivät pysty seuraamaan käyttäjän toimintaa. Mukavaa ja tietoturvallista tästä näkökulmasta.

10. Yksityisyys (muuten kuin somessa)

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Kehitteillä
Tyyppi Atomi
Luokitus Käytännöt
Mitä Useita
Miltä Useita
Missä Useita
Kuka Tite-maallikko
Milloin Päivittäin
Miksi Hyvä tapa
Print version |  PDF  | History: r12 < r11 < r10 < r9 | 
Topic revision: r12 - 13 Sep 2016 - 10:41:42 - JoonasJaervelaeinen
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback