TTY / Tietoturvallisuuden jatkokurssi / Tutkielma 2011

Juhani Saarinen

Facebookin käyttäjiin kohdistuvat tietoturvauhat

1. Johdanto

Facebook on sosiaalisen median yhteisöpalvelu, jonka käyttäjämäärä on lisääntynyt viime vuosina erittäin nopeasti. Facebookissa oli vuoden 2014 alussa yli 4600 työntekijää ja yli 1,3 miljardia käyttäjää [9], joten on mielenkiintoista tutkia miten tietoturva toteutetaan näin suuren mittakaavan internet-sovelluksessa. Lisäksi uutisointi erilaisista Facebookin tietoturva-aukoista ja -riskeistä sekä yksityisyyden suojan puutteista tai pettämisestä on ollut laajaa ja palvelun turvallisuus on aiheellisesti herättänyt huolta käyttäjissä. Mikäli Facebookin tietoturva pettäisi perusteellisesti, vaikutukset olisivat todennäköisesti erittäin vakavat globaalisti, sillä Facebook sisältää niin suuren määrän tietoa ihmisten yksityisyydestä ja käyttäjätunnuksista.

Tässä tutkielmassa kerrotaan, millaisia tietoturvauhkia Facebookiin liittyy, miten uhkia torjutaan ja miten tietoturvaa pyritään kehittämään. Tietoturvauhkia pyritään tuomaan esille käytännönläheisestä näkökulmasta. Osa uhista on teknisiä mutta myös käyttäjän valinnoilla on suuri merkitys ottaen huomioon, että kyseessä on yhteisöpalvelu, jossa tiedot ovat julkisia tai ainakin useiden henkilöiden nähtävillä. Näin ollen väärillä sisällön jakamisvalinnoilla voi olla vakavat seuraukset.

2. Suojattu yhteys

Tekninen peruskeino lisätä tietoturvallisuutta Facebookissa on käyttää suojattua yhteyttä. Suojattu yhteys toteutetaan HTTPS-protokollalla, joka on HTTP- ja TLS-protokollan yhdistelmä (tai sen edeltäjän eli SSL:n). Tiedot salataan ennen lähettämistä TLS-protokollan avulla. Normaalisti HTTPS-protokolla käyttää TCP-porttia numero 443. TLS-yhteyttä käytettäessä tarvitaan varmenne, joita myöntävät hakijan identiteetin takaavat yritykset. [1] Huonona puolena HTTPS-yhteyden käytössä on sivujen latausajan pidentyminen, ja lisäksi kaikki sovellukset Facebookissa eivät tue suojattua yhteyttä. HTTPS-yhteyttä käytettiin Facebookissa ennen ainoastaan salasanan lähettämiseen, mutta vuoden 2011 alussa laajennettiin suojatun yhteyden käyttöä siten, että käyttäjä voi asetuksista valita suojatun yhteyden käytön kaikissa yhteyksissä Facebookiin. [2]

TLS-yhteys perustuu siihen, että ulkopuolinen tarkkailija ei pysty seuraamaan yhteyttä ja näkemään luottamuksellisia tietoja. TLS-yhteys aloitetaan niin sanotulla turvakättelyllä, jossa saadaan muodostettua suojattu yhteys asiakkaan www-selainohjelmiston ja www-palvelimen välille. Kättelyssä selainohjelma ja palvelin sopivat yhteyskohtaisista ja kertakäyttöisistä salausavaimista, joita käytetään istunnon ajan tiedon salaamiseen ja tulkintaan. [3]

3. Facebookin käyttäjiin kohdistuvat suurimmat tietoturvauhat

Facebook on listannut suurimmat tietoturvauhat, jotka liittyvät yhteisöpalvelun käyttöön. Suurin osa uhkista on toteutukseltaan koodinpätkiä kuten esimerkiksi matoja tai sovelluksia, mutta lisäksi esimerkiksi ketjukirjeitä käytetään käyttäjien tietojen huijaamiseen. [6] Facebookin mukaan tunnettuja turvauhkia ovatkin mainosohjelmat, haittaohjelmat, tietojenkalastelu sekä epäilyttävät sähköpostit ja ilmoitukset. Mainosohjelmat houkuttelevat Facebookin käyttäjiä tarjoamalla tekaistuja lisäohjelmia Facebookin käyttöön, mutta todellisuudessa ne peittävät käyttäjän aikajanan ja uutisvirran mainoksilla. Myös haittaohjelmat voivat houkutella Facebookin käyttäjiä samalla tavalla. Ne voivat levitä myös, kun käyttäjä klikkaa linkkiä esimerkiksi Facebook-kaverin seinällä.

Tietojen kalastelussa huijarit luovat Facebookin sisäänkirjautumissivulta näyttäviä sivustoja ja yrittävät näin urkkia käyttäjätunnuksia ja ottaa haltuun tilejä, joiden kautta he voivat sitten levittää haittaohjelmia ja lähettää roskapostia. [10] Facebookin käyttäjät saattavat vastaanottaa tekaistuja ilmoituksia, ketjukirjeitä tai kirjeitä, joissa esiinnytään Facebookin henkilökuntana. Sisällössä kehotetaan yleensä käyttäjää ryhtymään toimiin, ja perusteeksi esitetään esimerkiksi, että Facebookissa on liikaa käyttäjiä, Facebook muuttuu maksulliseksi tai se myy käyttäjän dataa. Joskus näissä viesteissä pyydetään käyttäjää antamaan salasana tai henkilökohtaista tietoa. [6]

Facebookin mukaan clickjackingillä tarkoitetaan koodinpätkää, joka saattaa saada selaimen suorittamaan jotakin käyttäjän tietämättä tai ilman käyttäjän lupaa. Jos käyttäjä klikkaa clickjackingiä hyödyntävää linkkiä, saattaa sivuston linkki ilmestyä käyttäjän profiiliin huomaamatta. [6]

Koobface on mato, jonka kohteena ovat sosiaalisen median palvelut. Se leviää lähettämällä viestejä ja julkaisuja tartunnan saaneen käyttäjän tunnuksella. Nämä viestit ja julkaisut sisältävät linkin, jonka avulla pyydetään käyttäjää lataamaan ja asentamaan uusin versio Adobe Flash playeristä. Ladattava tiedosto sisältää kuitenkin haitallisen tiedoston, joka suorittaessa postittaa linkkiä Facebookissa levittäen virusta. Tartunnan saamisen jälkeen selaimeen saattaa ilmestyä pop-uppeja, jotka pyytävät asentamaan tietoturvaohjelmistoja, jotka ovat huijausta. Lisäksi mato saattaa manipuloida Googlen hakutuloksiin sivustoja, joissa kerätään rahaa rikollisille. Rikolliset hyödyntävät muutenkin epäilyttävien linkkien levittämistä spam-viestien avulla käyttäjätunnuksen kaappauksen jälkeen. [6]

Myös epäilyttävien sovellusten voidaan katsoa olevan Facebookin käyttäjiin kohdistuva tietoturvauhka. Facebookilla on tiukat tietoturvapolitiikat kehittäjille, jotta sovellukset eivät käyttäisi väärin käyttäjien tietoja. Suurin osa sovelluksista noudattaa sääntöjä, mutta joskus paljastuu sääntöjä rikkovia sovelluksia. Sovelluksia käytettäessä tulisikin noudattaa varovaisuutta, ja ylläpidolle pitäisi raportoida sääntöjä rikkovista sovelluksista. Lisäksi sovellusten esto on mahdollista. [6]

Facebookin käyttäjiin kohdistuu myös monille käyttäjille yllätyksenä tuleva tietoturvauhka. Vaikka käyttäjä olisi kirjautunut ulos palvelusta, Facebook pystyy tallentamaan tietoja käyttäjän surffailusta ja tekemään päivityksiä statukseen. Facebookin uuden ohjelmointirajapinnan avulla Facebookiin tallentuvat tiedot sivuilta, joilla on Facebookin sallima sovellus. Näitä sovelluksia ovat esimerkiksi sivuilla olevat tykkää-painikkeet. Kun käyttäjä vierailee tällaisella sivulla, tieto käynnistä lähetetään aina Facebookille. [7]

4. Yksityisyydensuoja

Kautta Facebookin kehityskaaren kysymys yksityisyydensuojasta on aina herättänyt huolta ihmisissä. Uutisissa on kerrottu esimerkiksi surullisista tapauksista, joissa nuori Facebookin käyttäjä on halunnut pitää ystävilleen pienet synttärijuhlat, mutta laitettuaan Facebook-tapahtuman julkiseksi näkyviin kaikille paikalle on tullutkin suuri määrä kutsumattomia vieraita. Myös Facebookin keräämät ja tallentamat tiedot ja näiden säilyvyys on aiheuttanut monille huolta. Koska monille Facebook on päivittäisessä käytössä, kertyy palveluun runsaasti tietoa jokaisesta käyttäjästä. Turvatakseen yksityisyydensuojansa palvelussa, käyttäjän on tarpeen tutustua perusteellisesti Facebookin turva-asetuksiin ja säätää yksityisasetukset kuntoon.

Koska Facebookissa esiinnytään omalla nimellä ja kuvalla, identiteettivarkaus on vakava riski palvelussa. Sen vuoksi palvelussa ei kannata antaa liian yksityskohtaista kuvaa itsestään. Identiteettivarkautta vastaan voi taistella paljastamalla mahdollisimman vähän tietoja itsestään julkisesti säätämällä yksityisyysasetuksia. Esimerkiksi kotiosoitteen, sähköpostiosoitteen, puhelinnumeron ja henkilökohtaisten valokuvien ja yksityisasioita käsittelevien tekstien ei ole tarkoituksenmukaista olla kaikkien Internet-käyttäjien saatavilla. Monet kokemattomammat käyttäjät saattavat kuitenkin kokea yksityisasetusten muokkaamisen vaikeaksi esimerkiksi termien tuntemattomuuden takia. Usein suositellaan, että käyttäjä valitsisi yksityisyysasetuksista jokaiseen kohtaan "Vain kaverini", jolloin kukaan ulkopuolinen ei pääse näkemään käyttäjän profiilia. Myös muutenkin käyttäjien kannattaa miettiä tarkkaan, mitä he julkaisevat palvelussa. Nyrkkisääntönä voidaan pitää, että data, jonka kerran laittaa nettiin, pysyy siellä aina. [11-13]

Myös yksityisyydensuojan saralla sovellukset ovat yksi suurimmista riskeistä. Asentamalla sovelluksen, kuten pelin tai tietovisan Facebook-tililleen, käyttäjän on yleensä hyväksyttävä ja annettava lupa, että sovellus voi käyttää tai nähdä käyttäjän tiettyjä Facebook-tietoja. Monilla sovelluksilla saattaa olla yllättävän laajat oikeudet käyttäjän Facebook-tietoihin. Tästä syystä turhat ja käyttämättömät sovellukset on syytä poistaa. Tämä onnistuu sovellusasetusten kautta, josta käyttäjä voi myös tarkastella, mitä tietoja hän luovuttaa sovelluksille. [12-13]

Yksityisyydensuoja Facebookissa on kiinni käyttäjän omista toimista ja lopullinen vastuu siitä on käyttäjällä. Facebook tarjoaa monipuoliset mahdollisuudet turvallisuuden ja yksityisyyden varmistamiseen ja voidaan pitää käyttäjän omana hölmöytenä, jos näistä ei piittaa. Yksityisyydensuojan kannalta on tärkeää voida luottaa itseensä ja kavereihinsa. Monet ovat ajattelemattomien julkaisujen takia menettäneet jopa työpaikkoja ja -mahdollisuuksia tai maineensa. Palvelussa kannattaa miettiä myös, mitkä kaveripyynnöt hyväksyy ja keitä haluaa pitää kaverilistallaan. Kavereita voi myös ryhmitellä ja antaa eri ryhmille erilaisia oikeuksia nähdä oma profiili. [12]

5. Facebookin tietoturvan kehittäminen

Facebookin tietoturvan kehittämisessä hyödynnetään niin sanottuja white hat -hakkereita, jotka etsivät tietoturva-aukkoja organisaatioiden internet-sivustoilta, perimmältään kuitenkin moraalisesti oikeana yhteistoimintana kohteen kanssa. Facebook-sivuston Security-osiossa rohkaistaan turvallisuusaukkojen tutkijoita tekemään yhteistyötä Facebookin kanssa. Lisäksi kerrotaan Facebookin vapauttavan turvallisuusaukkojen löytäjän oikeudellisesta vastuusta, mikäli löytäjä antaa Facebookille tarpeeksi aikaa tutkia tietoturva-aukkoa ennen kuin tiedoista tehdään julkisia. Sivuilla on myös kiitoslista white hat -toimintaan osallistujista, mikä osaltaan motivoi ulkopuolisia osallistumaan Facebookin turvallisuuden kehittämiseen. Lisäksi sovellusten käyttäjiä pyydetään raportoimaan välittömästi ylläpidolle sovelluksista, jotka rikkovat käyttöehtoja. [5]

6. Toimenpiteet

Käyttäjä pystyy toimenpiteillään edistämään tietoturvauhkilta suojautumista Facebookissa. Yksi keino tietoturvallisuuden edistämiseen on TLS-yhteyden käyttäminen. Sen pystyy ottamaan käyttöön Facebookin turvallisuusasetuksista.

Facebook tarjoaa paljon ohjeita siihen, miten käyttäjät voivat parantaa omaa tietoturvaansa ja yksityisyyttään palvelussa sekä siihen, miten käyttäjän tulisi toimia, jos hän epäilee saaneensa mainos- tai haittaohjelman. Facebook tekee yhteistyötä McAfeen kanssa tietoturvan parantamiseksi, ja Facebookin käyttäjille tarjotaan 6 kuukauden lisenssiä McAfeen viruksentorjuntaohjelmistoon. [4] Mainosohjelmien poistamiseksi Facebook neuvoo tarkastelemaan laajennuksia tai työkalupalkkeja, jotka käyttäjä on ottanut käyttöön selaimelleen ja poistamaan kaikki liitännäiset, jotka lupaavat erityisiä toimintoja sivustoon. Haittaohjelmien poistamistoimenpiteinä puolestaan toimivat salasanan vaihtaminen ja virustarkastus ja mahdollisesti selaimen päivitys versioon, joka sisältää sisäänrakennetun turvasuojan. [10]

Clickjackingia vastaan käyttäjä voi suojautua välttämällä epäilyttävien linkkien klikkaamista. Lisäksi clickjackingiltä suojautumiseen on kehitetty ohjelmistoja. Esimerkiksi Ghostery, NoScript, GuardedID ja Gazelle ovat ohjelmistoja ja selainten lisäosia, joilla pystytään suojautumaan clickjackingiltä [8]. Koobfacea vastaan suojaudutaan myös välttämällä epäilyttävien linkkien avaamista. Mikäli tietokone kuitenkin saa tartunnan, pitäisi madon poistaminen onnistua useimmilla viruksentorjuntaohjelmistoilla ja haittaohjelmanpoistotyökaluilla. On kuitenkin tärkeää pitää tietoturvaohjelmistot ajan tasalla, jotta ohjelma pystyy tunnistamaan madon.

Käyttäjän ei pitäisi ottaa vakavasti ketjukirjeitä, joissa esiinnytään Facebookin henkilökuntana, tai ryhtyä toimenpiteisiin kirjeiden ohjeiden mukaisesti. Käyttäjän pitää muistaa, että Facebookin henkilökunta ei kysy salasanaa koskaan sähköpostin välityksellä. Lisäksi sovelluksia käytettäessä kannattaa tarkastaa mitä oikeuksia sovellukset vaativat toimiakseen. Sovellusten oikeudet pystyy tarkastamaan sovellusasetuksista. Jos sovelluksen käytössä ilmenee tietoturvaongelmia, on mahdollista estää sovellus ja raportoida Facebookin ylläpidolle epäilyttävästä sovelluksesta.

Evästeiden mukana kulkee tietoja käyttäjän selailusta Facebookille. Evästeet eivät poistu käyttäjän kirjautuessa ulos Facebookista. Ainoa keino estää tietojen keruu on kieltää kaikki Facebokin evästeet selaimelta tai käyttää eri selaimia Facebookiin ja muuhun selaamiseen. [7]

Parasta ennaltaehkäisyä tietoturvauhkiin on noudattaa muutamia yksinkertaisia ohjenuoria Facebookin käytössä. Ensinnäkin, käyttäjän tulisi aina ajatella, mitä linkkejä hän klikkaa. Jos linkki vaikuttaa yhtään epäilyttävältä, on parempi olla klikkaamatta sitä. Toisekseen käyttäjän tulisi luonnollisesti valita yksilöllinen ja vahva salasana, joka koostuu monipuolisesti isoista ja pienistä kirjaimista, numeroista ja välimerkeistä. Kolmantena vinkkinä, käyttäjän on varottava paljastamasta kirjautumistietojaan ulkopuolisille palveluille. Tämän välttääkseen käyttäjän tulisi aina tarkistaa salasanaa syöttäessään, että URL-osoite on muotoa facebook.com. Lisäksi virustorjuntaohjelma ja selaimen säännölliset päivitykset ovat tärkeä suoja haittaohjelmia vastaan. [10]

7. Yhteenveto

Suojattu eli HTTPS-yhteys on yksi keino lisätä Facebookin tietoturvallisuutta. Suojattua yhteyttä käytetään Facebookissa aina salasanan lähettämiseen, ja lisäksi käyttäjä voi valita asetuksista suojatun yhteyden käytön kaikissa yhteyksissä Facebookiin.

Facebookin käyttäjiin kohdistuvat suurimmat tietoturvauhat ovat muun muassa erilaiset mainos- ja haittohjelmat kuten Koobfacea tai clickjackingiä hyödyntävät linkit, mutta myös käyttäjien huijaamista tavoittelevia ketjukirjeitä ja tietojenkalastelua on liikkeellä. Vaikka sovelluksille on tiukat politiikat ja säännöt Facebookissa, paljastuu sieltä toisinaan epäilyttäviä sovelluksia, sillä suuren volyymin takia kaikkien haitallisten sovellusten evääminen ei ole mahdollista. Toisinaan on uutisoitu myös vakavista tietoturva-aukoista palvelussa. Myös yksityisyydensuoja on sosiaalisen median palveluissa aina tärkeä tietoturvakysymys. Facebook kerää paljon tietoja käyttäjistä mainontaa varten ja se saattaa myös tallentaa käyttäjän huomaamatta tietoja ja päivityksiä surffailusta, jos käyttäjän vierailemilla sivuilla on Facebookin sallima sovellus. Suurin riski yksityisyydensuojan kannalta on kuitenkin käyttäjä itse.

Tietoturvan kehittäminen on tärkeä osa-alue Facebook-organisaatiossa. Käyttäjille tarjotaan ohjeita tietoturvan ja yksityisyyden parantamiseksi. Tärkeätä on muun muassa käyttää maalaisjärkeä palvelun käytössä, tutustua Facebookin turvaominaisuuksiin ja säätää yksityisasetukset kuntoon, käyttää ajantasaista virustorjuntaohjelmistoa ja selainversiota ja vältellä epäilyttävien linkkien avaamista. Facebookin tietoturvan kehittämisessä hyödynnetään niin sanottuja white hatteja, jotka pyrkivät etsimään tietoturva-aukkoja moraalisesti oikealla tavalla.

Lähteet

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmis
Tyyppi Ydin
Luokitus Uhkat
Mitä Yksityisyys
Miltä Useita
Missä Useita
Kuka Titu-ammattilainen
Milloin Päivittäin
Miksi Hyvä tapa
Print version |  PDF  | History: r11 < r10 < r9 < r8 | 
Topic revision: r11 - 28 Mar 2014 - 14:35:42 - JukkaKoskinen
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback