Tietoturva

Jos voisin vaikuttaa siihen, kuka palkitaan seuraavalla valtion tiedonjulkistamispalkinnolla, se olisi Yle Tv1:ssä maanantai-iltaisin MOT-ohjelman paikalla nähtävä Digihuijatut. Viisiosainen sarja on saanut ansaitsemaansa huomiota. Osassa kolme näimme ykkösluokan vaarallisen Zeus-koodin kiristystoiminnassa. Säntillinen taustoitus paransi kokonaisuutta. Erityyppisten kyberrikosten uhreja pyydetään raportissa kertomaan karu tarinansa. Lisädramatisointia siinä ei tarvita.

Ohjelmalla on tärkeä viesti

On hyvä idea pistää jakoon tositarinoita digimaailman tavallisimmista kyberrikoksista. Rikokset saavat kummasti katu-uskottavuutta, kun häikäilemättömien rikosten uhriksi joutuneet kertovat kokemuksistaan omilla kasvoillaan. Ohjelman tekijät haluavat kertoa tarinoita, että ihmiset ymmärtävät, että kuka tahansa voi tulla huijatuksi karkealla tavalla. ”Monelle uhrille oli tärkeää huomata, ettei jonkun muun tarvitse olla tässä samassa tilanteessa, jos he kertovat kokemuksistaan. Taustalla oli vilpitön tahto auttaa muita.” Jaetut neuvot ovat hyödyllisiä: rikokset ovat kaavan mukaisia, ja taas niiden selvittely pitkällistä ja tuskaista. Tililtä on hävinnyt paljon rahaa ja pankki vielä syyttänyt asiasta; ”huolimattomuudesta”. Näin kyseessä on asiakkaan oma vastuu.

Jos tieto rikoksista ei leviä, kyberrikolliset voivat hyödyntää samaa teon kaavaa yhä vain – ja jatkaa ryöstelyä. Identiteettivarkauden uhrit puolestaan kertovat, miten postiluukusta alkoi tulla laskuja ostoksista, joita he eivät olleet tehneet. Entä miten ahdistavaa ja työlästä rikoksen uhrina on setviä omiin nimiin tulevien väärien laskujen tulvaa.

Sarjan kolmas jakso painotti selviytymiskeinoja Zeus-pankkihaittaohjelman iskiessä. Sen pirulliseen rakenteelliseen toimintaan on syytä perehtyä. Nyt kiusana on ohjelman ties mones variantti, vieläpä vapaasti satavilla.

Tietämystä ei ole liikaa

Tietoturva-alalla työskentelevien tai alaan muuten orientoituneiden tietämys Zeuksesta ja pankkihaittaohjelmien toiminnasta tuskin on liiallista. Samoin uhrin osa: pysyminen tyynenä on ykkönen, vaikka näyttäisi siltä, kuten Digihuijarit 3-osassa demonstroitiin, että tapahtuu peruuttamattomia vahinkoja. Kiristäjä on juuri tuhoamassa väitöskirjan tekstitiedoston käyttäjän silmien alla – hänen omalla koneellaan työpöydältä. Tosi asiassa kyse on taitavasta feikkauksesta.

Suomessa Zeusta on tutkittu asentamalla se virtuaaliseen testiympäristöön. Työn tuotoksena Haaga-Helian tietojenkäsittelyn koulutusohjelmassa syntyi teoriamateriaalia, jonka avulla Zeuksen ja pankkihaittaohjelmien toimintaa on helpompi havainnollistaa asiasta kiinnostuneille. Tätä tutkimiseen käytettyä testiympäristöä on käytetty myös muiden vastaavien haittaohjelmien tutkimiseen. Tähtäin on löytää lainalaisuuksia, joilla hyökkäys voidaan torpata.

Materiaaleista kautta linjan käy ilmi Zeus-tartunnan havaitsemisen vaikeus. Edes suojatusta yhteydestä kertova lukon kuva nettiselaimen osoitepalkissa ei takaa pankkitunnusten turvallisesta käytöstä. Haaga-Heliassa testipenkin kehittänyt Jussi Leskinen korostaa Windows-käyttöjärjestelmien tuntemista. Se näet helpottaa Zeuksen toiminnan ymmärtämistä. Sen sijaan Zeuksen lähdekoodin tutkiminen tai haittaohjelman ns. takaisinmallinnus eivät juuri auta tosi tilanteessa.

Viikon tärppi: Tulisi aina miettiä kahdesti, ennen kuin lataa yhtään mitään.

Uusi tulokas BeiTaAdi on erittäin huolellisesti kätketty aggressiivinen Android-ympäristön mainosohjelma, joka on ladattu sellainen 440 miljoonaa kertaa – ihan vain loisena hyötyohjelmien mukana. Jäljet johtavat taas kerran Kiinaan.

Haavoittuvuuksia korjataan päivittämällä prosessorissa ja muissa piirilevyille integroiduissa komponenteissa toimivaa sulautettua mikrokoodia. Vielä muutama vuosi sitten piirien haavoittuvuutta luultiin erittäin poikkeukselliseksi. Siitä on tullut arkipäivää.

Suorittimen mikrokoodi hyökkäyksen kohteena

ZombieLoadin, RIDL:n ja Falloutin hyökkäysten kohteena on pelkästään suorittimen mikrokoodi. Hyökkääjät ovat viimeksi keksineet hyväksikäyttää prosessorien tapaa ennakoida käskyjen suoritusta. Mikrokoodia paikkaavat päivitykset tulevat emolevy- ja prosessorivalmistajilta, samaan tapaan kuin softapuolella paikat käyttöjärjestelmävalmistajilta, entistä useimmin rauta- ja softavalmistajat toimivat yhdessä. Päivitykset tulevat emolevy- ja käyttöjärjestelmävalmistajilta, mutta jakelu voi tapahtua käyttöjärjestelmäpohjaisesti.

Mikrokoodin päivitys tulee asentaa sitä mukaa, kun päivitykset ovat saatavilla, koska haittakoodit vaikuttavat nopeasti prosessorin suorituskykyyn.

Mikrokoodipaikkojen jakelu tapahtuu emolevyjen BIOS-päivityksillä mutta entistä useammin myös käyttöjärjestelmän mukana jaettavalla päivityksellä. Käyttöjärjestelmä näyttää lataavan mikrokoodipäivityksen prosessoriin automaattisesti, kun kone resetoidaan ja käynnistetään uudelleen. Prosessorivalmistaja AMD on tarjonnut Windows-päivitysten osana paikan Spectre-haavoittuvuuden ykkösvarianttia vastaan. Kakkosvariantin takia tehtiin sama jakelu. AMD:n Bulldozerin mikrokoodin arkkitehtuurin paikka (vuoteen 2011 asti) tulee synkronissa Windows 10 -käyttöjärjestelmän tuoreimman päivitysversion kanssa.

Prosessorivalmistajat pyrkivät lisäämään läpinäkyvyyttä

Esimerkiksi prosessorivalmistaja Intel on tiedottanut jo tovin tuotteidensa haavoittuvuuksiin liittyen:

Microarchitectural Data Sampling Advisory

Side Channel Vulnerability Microarchitectural Data Sampling

Microarchitectural Data Sampling

Deep Dive: Intel Analysis of Microarchitectural Data Sampling

Microcode revision guidance

Intelin raportoimien hyökkäysten kohteena työasemakäyttäjien lisäksi voi toimia myös palvelimet, joilla toimii esimerkiksi pilvipalveluita. Tiedotuksessaan Intel kiistää, että sen kahdeksannen ja yhdeksännen sukupolven Intel Core -suorittimet tai toisen sukupolven Intel Xeon Scalable -suorittimet olisivat haavoittuvia. Periaatteessa valmistajavastuu raudan bugeista säilyy aivan samoin kuin softavalmistajilla. Tilanne tosin on vielä koko lailla uusi.

Saastunut mikrokoodi on jo vuosia sitten todennettu käytössä IoT-ympäristön kiinalaisessa halpaelektroniikassa. Osittain se onkin Huawein ongelmien perimmäinen syy. Huaweilla on ikään kuin käänteinen todistustaakka, etteivät sen kojeet sellaista tee. Osittain syy – amerikkalaisten yritykseen pudottaa Huawei – johtuu luurin kehittymisestä 5G-ympäristössä, NarrowBandissa, 2FA:ssa ja mm. näyttöteknologiassa. (muuten NarrowBand eli NB-IoT ylisummaan on nyt valtavissa vaikeuksissa, vaikka teknologiaa on hehkutettu monta vuotta)

2FA:ssa puhuttiin aiemmin mm. siitäkin, että mobiilimaksamisen auditoinnissa mennään yhä vain väärään suuntaan. Kun taas Huawein koje tarjoaa loistavia mahdollisuuksia vahventaa tunnistusta. Ei kannata kysyä, kuka tätä Huawein vastaista peliä USA:ssa ohjaa. Huawei näkeekin asian puhtaasti oikeudellisena kysymyksenä. Huawein kuuleminen tapahtuu tuomioistuimessa Teksasissa 19. syyskuuta. Enemmin tai myöhemmin kaikki mennee uusjakoon. Huaweissa osaavat rakentaa Linuxista oman mobiilikäyttöjärjestelmän.

Emme enää saa helposti selville, voiko meitä vakoilla joku huippuhieno älyluuri? Nyt huhutaan Huawein tekevän jotain sellaista.

Applikaatiot on tähän asti voitu vielä tutkia ja skannata. Mutta modernien mikropiirien kompleksisuus on sitä luokkaa, että niiden analysointi ei niin vain tapahdukaan. Piirillä näkyy toimivan useita itsenäisiä tietokoneita, joilla on omat ohjelmansa, jotka eivät näy ulospäin. Joihinkin näistä on sitten voitu tietty piilottaa jotain ylimääräistä toiminnallisuutta. Toiminnallisuus, jos sitä on, toimii mikrolähdekoodin firmwaressa, näin sanoaksemme. Se ei ole scifiä.

Evästeet on vielä ymmärrettävä torpata

Jos haluamme helpolla tavalla suojautua kaikkialle ulottuvalta data-analytiikalta, siihen löytyy nyt mittava välinearsenaali. Mahdollista on käyttää esimerkiksi selaimen lisäosia kuten Privacy Badger, Ghostery ja Disconnect, jotka estävät seurannan melko kattavasti – ja automaattisesti torppaamaan näkymättömät jäljittimet. Electronic Frontier Foundation, EFF, digitaalisten oikeuksien kansalaisjärjestön kehittämä vahti lupaa, että se oppii automaattisesti eristämään jäljittäjäevästeet: Privacy Badger torppaa datarosvo-haitakkeen, kun tämä on tavattu kolmella eri sivulla.

Privacy Badgerin äly riittää erittelemään näkymättömiä seurantaohjelmia, ja tekemään niitä koskevia ratkaisuja. Privacy Badger myös näyttää jokaisella sivustolla, mitä evästeitä se löytää. Jokaisen evästeen kohdalla ohjelma myös kertoo, onko se estetty vai ei. Tämän jälkeen voi itse valita, mitä evästeitä haluaa estää. Torppari lähettää kohteeseen Do Not Track -komennon. Badger oppii estämään ne sivustot, jotka eivät tosi asiassa itse estä evästeitään toimimasta, vaikka kysyvät suostumusta, ja alkaa torpata keksejä, kun se näkee saman seurannan kolmella eri verkkosivustolla. Käsipelillä pidetty luettelo torpattavista jäljittäjistä ei ole ihan tätä päivää. Työvälineet pystyvät analysoimaan, mitkä verkkotunnukset seuraavat meitä nettiselaamisen aikana.

Random Agent Spoofer, sen laajempi versio Githubissa, sekä Secret Agent ovat laajennuksia, joiden tarkoitus on jakaa väärää tietoa ja estää siten kävijöiden yksilöinti. Light­beam, Firefoxin laajennus visualisoi seurannan. Upea peli.

Adnauseam-selainohjelma (https://adnauseam.io) puolestaan klikkaa taustalla jokaista verkkosivujen mainosta. Se estää niiden näkymisen. Tämä kilke klikkailee näkymättömiä mainoksia ja lähettää järjettömän paljon turhaa tietoa data-analyysiin. Seuraus: yksilöivä tarkkailu vaikeutuu. Nettisivuilla piilottelevat ns. kolmannen osapuolen evästeet ovat epäreilujen mainostajien ja ties minkä valtakunnan nuuskijoiden keino yksityisyyden murtamiseksi.

Näitä toimintoja voi kontrolloida, esimerkkinä Firefox:

The Beacon-Enabled Mode -> vaihda arvoksi false – estää linkkien seurantaa/auditointia. 
Browser.cache.offline.enable -> vaihda arvoksi false – tämä estää offline-tietojen säilytyksen.
Browser.send_pings -> vaihda arvoksi false – loppu linkkien klikkauksien tarkkailulle.
Dom.storage.enabled -> vaihda arvoksi false – säätö estää DOM-tietojen tallennuksen (mutta voi tuottaa ongelmia).
Network.cookie.lifetimePolicy -> vaihda arvoksi 2 – asetus tuhoaa evästeet selaimen sulkemisen jälkeen.
Network.dns.disablePrefetch -> vaihda arvoksi true – se estää ennakoivan dns-tietojen haun.
Network.prefetch-next -> vaihda arvoksi false – ja ns. ennakoiva sivujen lataus ei enää toimi.
webgl.disabled -> vaihda arvoksi true – poistaa tietoturva- ja yksityisyysriskin.

Tilitietojen väärennys huijaus

Traficomissa toimiva Kyberturvallisuuskeskus varoittaa viime aikoina yleistyneestä ja palkanlaskentaan kohdistuvasta huijauksesta. Siinä yritetään vaihtaa työntekijän palkanmaksun tilitiedot hyökkääjän tiliksi. Väärennetyissä sähköpostiviesteissä on lähettäjänä määrätyn työntekijän nimi, jonka palkat halutaan ohjata väärälle tilille. Botti, jonkinlainen rootkit-troijalainen, on varastanut datan, josta algoritmi sorvaa huijausviestejä.

Uudenlainen datarosvo pystyy asentumaan puhelimiin pelkästään soittamalla luuriin WhatsAppin puhelusovelluksella. Haittaohjelman väitetään (Sky Newsillä) asentuvan ilman, että käyttäjä olisi puheluun edes vastannut. Sekä Android- että Iphone-puhelimet ovat haavoittuvia. Maailmanlaajuisesti WhatsAppia käyttää arviolta 1,5 miljardia ihmistä.

En tiedä, kuinka monta Windowsia olen ladannut, mutta monta ja käyttänyt melkein kaikkia sen versioita. Useinkin olen jäänyt ihmettelemään käyttöjärjestelmän häiriöherkkyyttä ja suht’ pikaista korruptoitumista – siihen lienee useita syitä, mutta yksi merkittävä liittyy Update-ketjuihin.

Windowsista vaatimattomalla 30 vuoden kokemuksella voin sanoa, ettei siinä teknisiä asioita ole tehty kovinkaan kunnianhimoisesti. Microsoft aikanaan toimi kyllä hyvinkin määrätietoisen häikäilemättömästi hankkiessaan itselleen Borlandin omistaman Mac-pohjaisen julkaisuohjelman; lakkauttaessaan FullWriten kehityksen – ja siirtäessään sen visuaalisen ilmeen Windows-käyttöjärjestelmäänsä. Windowsin animointi (latinan sanasta animatio ’elävöittäminen’) ei ollut ihan samaa tasoa kuin legendaarinen FullWrite, eikä muuten ole sitä vieläkään. Joku intuitiivisuus ja hauskuus Windowsista on jäänyt puuttumaan – mutta visuaalinen kokonaisuus toimii.

Sitten: tekniikka, josta jo Linus Torvalds sanoi, että se on keskinkertainen, ja siksi Windows ei häntä ratkaisuna juurikaan kiinnosta. Tietoturvan osalta tämä asiantila, kuinka katastrofaalinen käyttöjärjestelmä tosi asiassa on, valkenee vasta kouriin tuntuvien esimerkkien kautta.

Windows Update

Windows Update on liian monimutkainen juttu, jotta ohjelmistotalo Microsoft selviäisi siitä kunnolla. Näet, kun päivitysketju kerran menee rikki, se kuitataan ilmoituksella ”error 0x800177F2”, eivätkä seuraavatkaan päivitykset enää asennu. Tietokone korruptoituu niin, että Windows on asennettava uudelleen. Windowsista puuttuu selkeä toiminto, jonka avulla pystyisi asentamaan koko päivitysketjun uudelleen tarvittaessa. Windowsin kanssa ei ole vielä päästy niin pitkälle, vaikka tuollainen toiminto on ollut jo ennen Windowsia esimerkiksi Novelilla NetWaressa.

Mitä voi tehdä:

1) Ison päivityksen asentamisen jälkeen on syytä aina manuaalisesti tehdä restore point, palautuspiste. Restore Point Creator täydentää Windowsin omaa järjestelmän palautustoimintoa. Point Creatorilla voi sekä luoda palautuspisteen, poistaa palautuspisteen, tutkia kaikkia palautuspisteitä, että palauttaa järjestelmän ennalleen. Tehty palautepiste otetaan käyttöön vakavissa ongelmissa; tämä on yksi viimeiseistä keinoista estää käyttöjärjestelmän korruptoituminen ja käyttiksen uudelleen lataus.

2) Löytyy myös tapa käyttää WSUS Offline –päivitysasennusohjelmaa muistitikulla – ja päivitys kerrallaan käydä manuaalisesti läpi kaikki päivitysketjun osat. Mallissa Windows (ainakin sen vanhat versiot) ilmoittavat, jos tarjottava päivitys onkin jo ladattu koneelle. Tämä tosin vaatii mikrotuen osaamista vastaavan käyttäjätason. Jos päivitysketju menee rikki, järjestelmän vanhat turva-aukot vastoin oletusta jäävätkin auki. Tämä on ollut jonkinmoinen liike salaisuus Microsoftissa, mutta nyt yhtiö on muuttamassa kurssiaan.

Päivitysketjujen haavoittuvuus

Yhtymä tuli ulos kaapista, ja päätti poikkeuksellisesti julkaista turva-aukkokorjauksen myös Win 2003:lle ja XP:lle. CVE-2019-0708-koodinimieä kantava haavoittuvuus, voi Microsoftin mukaan synnyttää uuden globaalin haittaohjelmaepidemian, joten omia jälkiä täytyy paikkailla. Windows XP oli asiallisesti jätetty tietoturvatuen ulkopuolelle jo vuonna 2014, jotta käyttäjät ymmärtäisivät yskän ja hankkisivat käyttöönsä uusia Windows-versioita. Uusi aukko ei kosketa Windows 8:aa tai Windows 10:tä, mutta haavoittuvia ovat Windows 7, Windows Server 2008 R2, Windows Server 2008 sekä tuen ulkopuolella olevat Windows Server 2003 ja Windows XP.

Microsoft laittaa paikat 2003:lle ja XP:lle, mutta nähdäkseni suurin ongelma ovat nuo järeät Server-ohjelmat, joiden konffaus on ammattilaisten heiniä. Kaikesta päätellen tämä remontti koskee em. päivitysketjuihin liittyvää haavoittuvuutta, joka on järjestelmän arkkitehtuurin perusbugi. Automaattinen Windows-päivitysketju on hajonnut joidenkin palvelinversioiden osalta. Eräässä tapauksessa Server haki pikapäivityksen, mutta kertoi, että jätti osan yhteensä 79 paikasta ensi kuuhun.

Myös työasemien kanssa saattaa ilmetä mitä kiehtovimpia ongelmia. Työasemat näyttävät Ilmoituksia, että järjestelmän päivitys ja uudelleen käynnistys tapahtuisi seuraavana yönä. Aamulla kuitenkin havaitaan, ettei mitään olekaan tapahtunut. Sellaista.

Kalastelu jatkuu ja uhreiksi päätyy myös tietotekniikan kanssa sinunkaupat tehneitä konkarikäyttäjiä – No niin, heille sitten voikin olla sitä suurempi kynnys raportoida jymäytetyksi joutumisestaan.

Taas kerran aloitamme tietoturvan perusasioista. Kirjautuessa verkkopankkiin tai muuhun transaktiot mahdollistavaan palveluun tarkistetaan ensimmäisenä, että yhteydessä on verkkoliikennettä salaava SSL-protokolla käytössä – sekä siihen liittyen löytyy myös kaksivaiheinen tunnistus. Tämän lisäksi nykyisin yhteys on hyvä lisä varmentaa VPN-putkella. Verkkopankkisession jälkeen selaushistoria tyhjenee yhdellä klikkauksella.

Miksi?

Jos kakku väliaikaistiedostoja jää selainmuistiin, tulee mahdolliseksi ”cache poisoning”. Tämä vaikeasti torjuttava haavoittuvuus taas saastuttaa selaimen. Se on välimuisti, jonka kautta voidaan varastaa kriittistä tietoa. On muutenkin syytä suhtautua suurella varauksella selainmuistin kanssa pelaamiseen.

Google mainostaa Chrome-laajennuksena toimivaa Docsin offline-tilaa. Siinä voi ”työskennellä offline-tilassa Google Docs -tuoteperheen avulla”. On totta, että Google Drive –tiedostoja voi käyttää tämän laajennuksen avulla ilman nettiyhteyttä – esimerkiksi lentokoneessa. Näppärää, mutta kun löytyy haavoittuvuus, joka suosii tätä offline-toimintoa, ei vastaa tarkoitustaan. Hyökkääjä kehottaa offline-tilassa suorittamaan Google-sovellusten komentosarjan, joka sitten noutaa Google Driveen tallennetut haittaohjelmat, kertoo Trendmicro. Infektioketju muistuttaa vanhaa Office-asiakirjojen makro-haittaohjelmahyökkäystä. Bravo, polkupyörä on keksitty uudelleen!

Älkää silti langetko, hyvät ihmiset:

Pääsemme säätöihin oikean yläkulman Chrome-valikosta.
Muokkaaminen ja hallinta -> lisää työkaluja ->laajennukset.
Melkein kaikki härpäkkeet kiinni kiitos, jos emme tiedä niitä tarvitsevamme – eritoten No Coin, jos ei ole suuntautunut selainpohjaiseen kaivostoimintaan. Louhinta tietty voi kiehtoa, mutta ei sitä voi suositella maallikoille, riskibisnestä.

Lisää peruskauraa:

Emme avaa sähköpostiin tulleita linkkejä, joissa kehotetaan vaihtamaan salasana, ellemme ole itse nimenomaisesti pyytäneet kyseiseltä verkkopalvelulta salasanan vaihtoa (silloinkin e-mailiin tulee vain varmistus salasanan vaihtumisesta). Jos taas sähköpostiviestissä pyydetään kirjautumaan asiakastilille, emme vahingossakaan klikkaa sähköpostitse tullutta linkkiä. Luotetun verkkosivun domain kirjoitetaan selaimeen ja kirjaudutaan normaalisti palveluun. Hyperlinkki ehkä näyttää aidolta, mutta asiantilan voi tarkistaa helposti, onko html-koodiin piilotettukin toinen nettisoite; viemme hiiren osoittimen hyperlinkin päälle ja alapalkissa näkyy websivu, minne klikkaus on johtamassa. Tämä on tunnettu netin alkuaikojen huijausmetodi, mutta nyt näköjään polkupyörä on taas kerran keksitty uudelleen.

Sähköpostipalvelun asetuksista voi kääntää viestit toimimaan vain tekstimuodossa, jolloin viruksia ja huijauslinkkejä ei voi olla tekstikentässä, liitetiedostoissa yhä kylläkin entiseen tapaan. Tarvittaessa, sivun voi kääntää asetuksista näyttämään grafiikka ja muotoilut.

Tässä voidaan puhua tietoturvakulttuurista – asiat tehdään, tai opetallaan tekemään turvallisuusrutiinin mukaan, vaikka tietty aikaa siinä palaa. Kärsivällisyyden kehittäminen taas luetaan elämäntaitoihin, joilla on leikkauspinta osaamiseen.

Ilmaiseksi ladattavista virustutkista parhaat pitivät pintansa ohjelmistotestaaja AV-Comparativesin tekemässä kattavassa reittauksessa. Ilmainen karvalakkiversio ajaa asian, vaikka tietysti kauppias aina yrittää myydä jotain tutkan premium-tason versiota. Totuus kuitenkin on, että Android-laitteille löytyy ajettavaksi 250 antivirusohjelmaa, joista vain parikymmentä oikeasti suojaa puhelinta lupausten mukaisesti. Seikka ilmenee analyysistä. https://www.av-comparatives.org/tests/android-test-2019-250-apps/ Noin 40% ehtana myydyistä haitakkeiden metsästäjistä ei vakuutteluista huolimatta tee työtään luotettavasti.

Kohu testituloksista puri heti – Googlekaupassa kävi kato

Yli puolet testatuista sovelluksista olivat käytännössä tehottomia, eli ne tunnistivat alle 30 prosenttia haitallisista sovelluksista mutta saattoivat antaa vääriä hälytyksiä. Jotkut sovellukset liputtivat jopa itsensä haitalliseksi.

Ehkä olisi hyvä tarkastella muutamia virustutkien piskuisesta eliitistä tippujia. Silmään pistää Samsungin oma tutka, johon oletuksena voisikin luottaa. Se löysi 97,7 prosenttia haitakkeista. Taas aikaisemmin Top 10 –joukkueessa tavattu Panda virustorjuntatutka selviytyi etsintätehtävästään 91,6 prosentin arvoisesti. Suurin romahdus kirjataan Googlen omalle Android-tutkalle, sen haaviin jäi 68,8 prosenttia haitakkeista. Tämä näyttää kummalliselta, koska häntäpään suorittajat yleensä ovat hyvin vähäisillä resursseilla tehtyjä työkaluja. Googlella taas löytyy rahaa, vaikka maksaa miljardien eurojen sakkoja määräävästä markkina-asemastaan, ja hymyillä päälle.

AV-Comparatives nimesi keskeiseksi heikkoudeksi sen, etteivät tutkat analysoineet testattavien sovellusten koodia, vaan ainoastaan tarkistivat, löytyikö löydös virus- tai sovellus mustalta listalta. Yhtä heikko peruste seuloa oli, jos tiedostokansio alkoi com.facebook -merkinnällä. Dynaamiset haittasovellukset voivat lennosta yrittää piilottaa itsensä vaihtelemalla kansionimiä ja polkuja. Lisäksi usein ne, jotka ovat ovelimpia, ovat myös kaikista vaarallisimpia.

Useimmat ilmaistutkat ovat testin alisuorittajia, mutta toisaalta etsinnöissään 100 % jälkeä tekevistä ainakin Avast ja Antivir ovat ilmaisia, ja niiden asennusta olen itsekin opettanut kansalaisopistossa. F-secure ansaitsee paikkansa 100% prosentin kerhossa. Aineistosta ei käy ilmi, testattiinko myös tutkien nopeutta. Ainakaan sitä ei pisteytetty.

Huijauksiin on syytä varautua

Monenlaiset huijaukset tyypillisesti onnistuvat vain, koska uhreilla ei ole ollut käytössään kaksivaiheista tunnistusta. Esimerkiksi aggressiivinen Office 365 –tilien kaappaus pelkällä salasanalla jatkuu koko ajan, ja saa uusia muotoja. Kaksoistunnistukseen tulisi satsata, koska mobiililaitekanta muuttuu kaksivaiheista tunnistusta tukevaksi.

Haittojen kirjo on entinen – paitsi mukaan on hiipinyt muotoja perinteisestä rikollisuudesta. Kiristäjäohjelma käydään ”asentamassa manuaalisesti” paikan päällä yrityksessä. Norjalainen Norsk Hydro sai tuta lukitsijan rahanahneuden. Tietoturvagurut, mm. Kevin Beaumont BBC:llä, arvioivat että haittaohjelma sijoitettiin Norsk Hyrdron järjestelmiin manuaalisesti. Tarkemmin saastutus oli tapahtunut käsityönä ensin yhdelle työasemalle, jonka avulla hyökkääjä pyrkii saamaan hallintaansa mahdollisimman suuren määrän päätelaitteita sekä palvelimia, ja lukitsemaan ne. Norsk Hydro ei maksanut kiristäjille, mutta pahimmalta kuulostaa, että rikolliset olivat jalkapelillä päässeet toteuttamaan hyökkäyksen. Tähän löytyy lääke: laaja turvasuojausohjelma. Kantaverkkoyhtiö Fingrid muuten on harjoitellut tuon Hydron casen tapaista tilannetta, kuinka siitä selvitään. Tilannesimuloinnissa myyrä oli omissa. Kantaverkkoyhtiön valvomossa se asensi hyökkäyskoodin.

Puhelin kuin puhelin tekee yhden yön aikana kymmeniä omia yhteydenottojaan eri verkko-ositteisiin – ilman sille asetettuja estoja. Älypuhelimemme raportoi seikkaperäisiä tietoja omistajastaan, tämän erilaisista mieltymyksistä, liikkeistä verkossa ja ties mistä. Hiljaa paisunut data-analytiikkabisnes ei ole pitänyt ääntä itsestään, mutta näyttää olevan tarkka toimintavapauksistaan. Vuorokauden aikana puhelimemme kommunikoi jopa satojen meille tuntemattomien kaukaisten serverien kanssa. Kuinka tämä saadaan selville? Helposti.

Disconnect Mobile

Vuonna 2014 herkkähipiäinen Google poisti ensimmäisen kerran Google Play -sovelluskaupastaan Disconnect Mobile –ratkaisun täsmentämättä syytä moiseen. Väline, jolla data-analytiikkabisneksen datavirrat todennetaan, sai lähdöt ennen kuin se tosiasiallisesti oli edes virallisesti julkaistu.

Disconnect Mobile on Android-laitteissa ja Chrome-selaimessa toimiva VPN-työkalu. Sovelluksella voi todentaa ja hallita cookieiden yleensä täysin estotonta toimintaa. Tämä sovellus ehti olla kaupassa viisi päivää ennen kuin Google poisti sen. Poistoperuste oli se, että Disconnect Mobile häiritsi Google Playn ehtojen vastaisesti muiden sovellusten toimintaa. Kehittäjien mukaan he yrittivät noudattaa kaupan ehtoja, mutta ne eivät olleet yksiselitteisiä ja niiden tulkitseminen on ollut hyvin hankalaa. Googlelle siis yhä jää hyvin vapaat kädet valita mitkä sovellukset se hyväksyy kauppaansa ja mitkä ei.

Tietosuojasovellus tarjoaa käyttäjälleen helpon tavan hallita henkilökohtaisia tietojaan mutta myös erilaisia kolmansien osapuolien käyttöoikeuksia dataan. Tämä on lähinnä kirosana dataa analysoivien mainonnan kohdentajien keskuudessa. Mutta ratkaisu, kai lähinnä toimivan VPN-tunnelointinsa ansiota, on taas jaossa Google Play -kaupassa. Disconnect Mobilen karvalakkiversio on ilmainen.

Eroon ei toivotuista mainoksista

Myös Ghostery kertoo, millaisia seuranta- ja muita evästeitä kultakin sivustolta tulee. Cookie-uhkaa ei pysty kokonaan välttämään, mutta Ghostery-selainlaajennuksen avulla voi tutkia, miltä sivustoilta seurantaevästeitä tulee, ja torjua valitulta sivustoilta tulevat evästeet. Näiden sovellusten avulla käyttäjä pystyy estämään näkymättömiä trackereitä keräämästä hänestä tietoja. Sovellus ei estä mainoksia, mutta se estää mainosverkkoja keräämästä käyttäjään liittyvää dataa kohdennettujen mainoksia varten. On selvää, että mainokset voivat muodostaa vakavan uhan yksityisyydensuojalle ja niitä voidaan käyttää haittaohjelmien levittämiseen, minkä vuoksi tracker-esto päätettiin lisätä ohjelmaan.

Google elää mainoksista, joten Disconnect Mobilen kaltaiset kontrollivälineet tekevät hallaa sen ansaintamallille. Se lienee ollut myös todellinen syy Disconnect Mobilen poistamiselle Google Playstä.

Disconnect Mobile oli alkujaan saatavilla iOS:lle mutta nyt se skaalaa myös Androidia. Ja mitä vielä, yhtiö tarjoaa verkkosivuillaan hakukonetta, jolla voi hakea tietoa Googlella, Bingillä, Yahoolla, DuckDuckGolla tai Blekkolla jättämättä itsestään jälkiä.

Hittisovelluksia, joita kirotaan ja joiden jakamista vaikeutetaan, löytyy lisää:

Https Everywhere automatiikkalisäosa taas siirtää yhteyden automaattisesti käyttämään suojattua https-yhteyttä, jos sivusto vain sen sallii. AdBlock puolestaan suodattaa pois kaiken haitallisen mainonnan. Nämä kaikki lisäosat ovat saatavilla yleisimmille selaimille ja niiden käyttö on jokseenkin suotavaa. Ainakin itselleni mainoksista on koskaan ollut varsin vähän hyötyä tai edes iloa. Expat Shield tarjoaa koneelle asennettavan ohjelman, joka ohjaa internet yhteytesi Expat Shieldin palvelimen lävitse salattuna. Ohjelman voi helposti kytkeä tarpeen tullen aina päälle tai pois.

Noin se menee.

Kuinka pihalla tieturvamaailmasta ovat kaikki Microsoft Internet Exploreria oletusselaimenaan säilyttävät nettisurffarit? Aika pahasti ulkona, eikä Microsoft enää juuri puolustele tätä tilannetta.

Heitteille jätetty lippulaiva

Klassinen lippulaivaselain on jätetty heitteille. Mutta kuin reliikkinä se on yhä Windows-järjestelmässä alapalkissa. Ehkä yksi syy asiantilaan löytyy peilistäni: me, jotka sanaa käytämme emme ole asiasta puhuneet riittävän suoraan ja painokkaaksi.

”Emme enää tue uusia verkkostandardeja Internet Explorerille, vaikka vieläkin monet sivustot toimivat sillä”, Microsoftilta viestitetään lopulta. Tämä tarkoittaa sitä, että selainvanhusta ei kehitetä eikä päivitetä, ja se on jätetty haavoittuvuutensa kanssa paikoilleen käyttöjärjestelmään. Yleisesti suositellaan Chromea, Firefoxia tai Edgea, mutta edelleen jopa tietoturva-alalla toimivien yritysten sivuilla näkyy Explorer-selaimen ikoni, esim. siksi, että web-sivujen perusrakenteita ja freimejä ei ole uudistettu vuosiin.  Tosi asiassa Microsoftin Internet Explorer-selain ei ole enää aikoihin tukenut uusimpia verkkostandardeja.

Piileekö Internet Explorerissa tietoturvariski?

Yhtiön Windows tietoturva-asiantuntija Chris Jackson on julkaissut purevan analyysin Internet Explorerin oletusselain-statuksen vaaroista. Jacksonin mukaan yhtiö saa edelleen Internet Exploreria koskevia tiedusteluja, vaikka uusia sovelluksia IE ei voi enää lukea, ei mitenkään päin. Muun muassa juuri siksi, että Internet Explorer ei enää tue uusimpia verkkostandardeja, se on haavoittuva. Mikä pahin tulee tässä: blogitekstin mukaan IE-verkkoselaimen asema on määritelty yhteensopivuusratkaisuksi, mitä se ikinä tarkoittaakaan. Tämä hieman huolestuttaa. Voiko Internet Explorer myös suljettuna olla tietoturvariski?

Maailman toiseksi suosituin selain

Jacksonin mukaan Internet Explorerin aktiivinen kehittäminen jäi historiaan jo yli neljä vuotta sitten. Huimaa. Oletin, että sitä olisi paikattu vielä hiljakkoin. Tietotekniikan maailmassa neljä vuotta on pitkä aika. Vuonna 1995 julkaistu grafiikkapohjainen selain oli seula alkujaankin, ja siitä parsittiin turva-aukkoja 20 vuotta. Mutta tuolta muistilta IE on yhä maailman toiseksi suosituin selain, sitten Google Chromen. Chrome on hiljakkoin ajanut ohi ykköseksi. Voidaan se noteerata myönteisenä asiana. Mutta tutustukaapa hakukoneeseen nimeltä DuckDuckGo – jos yksityisyydensuoja kiinnostaa. Se ei ole Googlen tapaan data-analytiikkafirmojen käsikassara. 

Takaisin ongelmiin. Miljoonat nettisivustot olettavat, että niitä luetaan Internet Explorerilla, vaikka joka päivä yhä useammat sivut eivät enää toimi oikein tällä reliikkisellä selaimella. Lähdekoodien modernisointi uusille verkkoselaimille etenee etanan vauhtia. Microsoftin uusi selain Edge yrittää tehdä itsestään oletusselainta Windows 10:ssä. Mutta se ei uhkaa tutun ja muka-turvallisen Explorerin asemaa.

Nuoren polven sovelluskehittäjät eivät enää nykyisin testaa sivustoja Internet Explorerille. Huomaanpa, että Androidissani olisi himmennetty IE:n kirkkautta. Tämän taas on täytynyt tapahtua käyttiksen kernelissä.

Googlen brändillään myymän Nest Guard -kotihälyttimen mikrofonin ei koskaan pitänyt olla mikään salaisuus. Vaan sen olisi pitänyt, Googlen selityksen mukaan, sisältyä komponenttien listaukseen laitteen teknisissä tiedoissa. Toisin kävi. Tiedot mikistä, joka nähtävästi voi toimia myös etäohjauksella, jäivät pois Nest Guardin kuluttajapakkauksesta.

Mistä on kyse?

Kyseessä on vuonna 2017 Suomen markkinoille tuotu Nest Guard -turvaratkaisun perusyksikkö, joka sisältää hälyttimen, näppäimistön ja liiketunnistimen. Se myös puhuu ”ystävällisellä” äänellä. Lainausmerkit Googlen mainostekstissä. Ehkä siihen olisi ollut hyvä laittaa jatkovirke, ja ”kuuntelee” herkällä korvalla.

Nyt kun mikki salattiin, ja se paljastui, mokan myötä uhkaa koko jättiläistä maineen menetys. Siinä yritettiin vaieta omituisesta kaupantekijäisestä Nest Guardin sisällä, suhteellisen laadukkaasta mikrofonista. Business Insiderin mukaan myöskään mistään hälytinlaitteen teknisiä lisätietoja ja spesifikaatioita käsittelevistä nettisivustoista ei löydy halaistua sanaa ko. äänitallentimesta. Taas Googlen BBC:lle antaman selityksen mukaan mikrofoni lisättiin laitteeseen, jotta Nest Guardin käyttäjille voitaisiin joskus, vielä tarkemmin määrittelemättömässä tulevaisuudessa, tarjota lisäominaisuuksia. Heti perään selvisi, että kotihälytinlaitteen omistajat voisivat piankin aktivoida turvaratkaisuun ääniohjauksella toimivan spesifin Google Assistant –aputoiminnon.

Kaikki ei oikein täsmää, mikki on kuumana. Tässä on hätäkakan makua. Aputoiminnot nähtävästi keksittiin vasta paljastusten levittyä blogeissa.

Luottamus vaakalaudalla

Kansalaisoikeuksien, yksityisyydensuojan ja tietosuojan puolesta kampanjoiva järjestö, Iso-Britanniassa toimiva Big Brother Watch –ryhmä kommentoi, että IoT-ympäristön älylaitteista löytyy tallentavaa teknologiaa, ja yllättävän usein se jätetään kertomatta kuluttajille – ei uutta. Malliesimerkki on kiinalainen rihkamaelektroniikka, joka on vakoiluteknologiallaan mustannut jopa Huawein maineen. Näin petollisuudesta maksetaan kovaa hintaa.

Big Brother Watch on saanut Googlen jälleen kerran polvilleen selittelemään salailevaksi tai ainakin ylimalkaiseksi paljastunutta puutteellista markkinointiaan. Vuonna 2012 Google taltioi ilmakuvaa suurkaupunkien yllä lentäneiltä vakoilukoneilta ja droneilta. Tavoitteena on ollut luoda kaupungeista kolmiulotteisia karttoja, jotka olisivat huomattavasti satelliittien kuvaamia Google Earth -karttoja tarkempia. Big Brother Watch –ryhmän mukaan vaara oli, että 3D-virtuaalimaailmassa jopa 10 senttimetrin kokoiset esineet paljastaisivat yksityiskohtansa. Näin autorekisterien tunnukset, yms. suojattiin. Earth-tilassa Chromen oikeaan alalaitaan ilmestyy 3D-painike, paina sitä ja ihmety.

Pientä vääntöä siihen verrattuna, että nyt maailman suurin internetyritys piilottaa mikrofonin joka kodin turvajärjestelmään. Voihan tuo tietysti liittyä myös kohtalaisen edulliselta kalskahtavaan ohjemyyntihinnoitteluun. Onko hintaa kompensoitu, jollain muulla kuluttajille tuntemattomalla ansaintalogiikalla? Entä jos halvan hankintahinnan tarkoitus osaltaan oli siivittää laitemyyntiä? Monet muutkin kuin asiantuntijat ovat tämän casen myötä tulleet hyvin epäileviksi, elleivät nollanneet kokonaan luottamustaan.

Google! Tämä tällainen tekee minusta vainoharhaisen kodin älylaitteita kohtaan, Pixel Envy blogi huokaisee.

Lueskelin Tekun (Savonia AMK:n) kirjastossa insinöörityötä – se ruoti esineiden internetin tietoturvaongelmia. Työ käy pitkään läpi IoT:n vakavia haavoittuvuuksia. Aiheen rajauksesta johtuen – sortumatta lillukanvarsiin sanon, että kirja on väärällään eilispäivän ongelmia, joihin jo löytyy ratkaisu. Vaihtamalla tuo koko häiriöherkkä ja turvaton rihkamateknologia varmatoimiseen, aukottoman turvalliseen radiolinkkiteknologiaan. Voi vähän maksaa, mutta ei tarvitse jeesustella.

Tuntematon radiolinkkiteknologia

Radiolinkkien kautta toimivista 128-bitin verkkoteknologioista yleinen ymmärrys näyttää huolestuttavan vähäiseltä, esimeriksi sen osalta, että genren tekniikoista tunnetuimmat LoRa ja NB IoT ratkaisevat muun ohessa avoimen internetin toimintaympäristön kyberuhkat, luitte oikein, kaikki kyberuhkat, ehkä sotatilaa lukuun ottamatta.  Kyberturvallisuuden, käytettävyyden ja luotettavuuden osalta radioverkkojen 128-bittinen datan lohkosalaus on tietoturvaltaan samaa tasoa kuin esim.  pankkiyhteysputki. Tätähän muuten olen vaatinut jo tuossa alla avatarissani.

Muutaman vuoden vanhat tietoturvaopit eivät kerro enää tämän ajan langattoman ympäristön teknisistä ongelmista, tai vielä vähemmän uusista mahdollisuuksista. Tämän tajuaminen tuntuu olevan vaikeaa kaikille, jotka eivät ole oikeasti johtojen päässä työkseen.  

Esineiden internetin aikakausi

Avoimesti internetympäristöön tuotu esineiden internetin aikakausi, kun talotekniikkaan tuotiin halpa ja häiriöherkkä kiinalainen nettianturointi, ei tule saamaan osakseen hääviä muistokirjoitusta: Suojaamattomana avoimena netissä näkyvä IoT on joutunut mm. man-in-the-middle-, palvelunesto- ja zompiverkkohyökkäysten kohteeksi. Tähän ratkaisuna on käytetty purkkaviritystä, VPN-tunnelointia, tuota verrattain kallista ja käytettävyydeltään kömpelöä ratkaisua (tiedän, Tosibox on toista mieltä).

Kokemukseni mukaan taas yhä toimiva ratkaisu löytyy esineiden internetiä edeltävältä ajalta, vanhasta GSM-verkossa tekstivietillä kulkevasta kaksisuunataisesta ohjaustekniikasta. Toimii. Olen sitä vähäisiin etäohjaustarpeisiin hiljan vielä itsekin asentanut (mm. bändikämpän lisälämpöpatteri).  Näen näistä GSM-pohjaisista ratkaisuista suoran sillan uusiin edellä mainittuihin radioverkkotekniikoihin, jotka parhaillaan 4-5G:n myötä yleistyvät.

Tiedot ja taidot ajantasalle

Se taas, miksi uusi langaton ohjaus- ja valvontatekniikka ei yleisty, näyttäisi johtuvan ennen muuta sähkötukkujen suoranaisesta osaamistason puutteesta, suunnittelutoimistojen auttamattomasta vanhakantaisuudesta mutta myös siitä, etteivät NB IoT ja LoRaWAN -verkot Suomeen rakentaneet operaattorit ole osanneet pompöösillä markkinoillaan myydä tuotetta.

En malta olla lisäämättä listaan ammatillisen opetuksen, nimenomaan AMK, hidasta uudistumisvauhtia, johon ei paljon esimerkkejä tarvinne. Helpompi osoittaa, missä ajantasaisuus toimii, esimerkiksi Jyväskylässä. Kenttä tarvitsee ennen muuta ajantasaista perehdytystä 128-bittiseen ympäristöön. Liioittelematta uusi langaton sukupolvi korjaa kaiken mikä ennen mobiilitoimintaympäristössä on koettu puutteelliseksi.