Tietoturva

Viimeisten viiden-kuuden vuoden aikana kyberrikolliset ovat mitätöineet paljon: joukko klassisina pidettyjä turvallisen verkkosivuston tunnusmerkkejä, niitä, joita kuitenkin näkee vielä kulahtaneissa tietoturvaoppaissa, pannaan nyt roskiin. Toiminnan ohjaajina ne ovat vanhentuneet. Alallahan ei voi olla enää, jos koskaan ollutkaan raamattua, jota ei päivitetä jotenkin netissä, vaikkapa tämän blogin tapaan. Nyt vain on kyse enemmästä: yleisten it-oppien ja siinä sivussa toimivan tietoturvan perusta murenee.

Vanhat kirjat eivät tiedä mitään piirilevyjen komponenteissa toimivista mikrokoodeista, joihin isketään uusilla hyökkäysvälineillä. Tämä on rautavalmistajien oma riesa, joka on tuonut tietokonevalmistajat mukaan sotaan kyberkollisuutta vastaan. Heidän nettisivujaan on syytä pitää silmällä – ja olen ottanut repertuaariini nostot vakavista päivityksistä.

Rautavalmistajien on nyt pakko resursoida mikrokoodipaikkojen koodaukseen ja julkaisuun. Haavoittuvat prosessorit ja muut komponentit ovat uusi taloudellinen rasite tahoille, jotka luulivat olevansa kybertaistelunäyttämön katsomossa. Kuka tahansa voi haksahtaa.

Yksi uusista kujeista on osoiterivillä oleva lukkoikoni tai muuten vahvistettu turvallisena pidetty osoiterivi. Ei päde enää. Kun vuosikausia on kehotettu nimenomaan kiinnittämään huomiota varmoihin merkkeihin, hämmennys tyhjän päällä voi olla melkoinen.

Missä maailmassa me oikein elämme?

Maailmassa, jossa melkein kaiken opetetun perusta pettää? Näinpä voidaan sanoa.

Mitä tuumimme esimerkiksi Office.comin alle tehdystä tietojenkalastelusivusta, joka on naamioitu Onedrive-palvelun sisäänkirjautumisnäkymäksi ositetta myöten? Rikollinen esiintyy uskottavana Onedrive-sisäänkirjautumissivuna. Kalastelulomakkeisiin annetuilla tunnuksilla kirjaudutaan sisään automatisoidusti. Pahinta on, että tämä huijaus mahdollistaa myös kaksivaiheisen tunnistuksen ohittamisen. Tiedetään, että man-in-the middle-hyökkäys tunnuksen omistaja saa tekstiviestinä tai tunnistussovellukseensa ilmoituksen sisäänkirjautumisesta, ja vahvistaa kirjautumisen luullessaan sitä omakseen. Saatuaan esimerkiksi Office-tunnukset haltuunsa kyberkorikollisista viekkaimmat osaavat jäädä kyttäämään sähköpostikirjeenvaihtoa ja iskeä oikealla hetkellä.

Erilähteitä tietoa keräten muutoksen kourissa ovat nyt:

• käyttäjätunnistus, salasanahallinta
• tietoturvan ja riskienhallinnan periaatteet
• tietoturvan ja tietosuojan hallinta ja organisointi
• sähköpostin turvaaminen
• verkossa tunnistamisen ja maksamisen konseptit
• fyysiset ja laitteistoihin liittyvät tietoturvanäkökulmat
• IT-projektien riskikartoitukset
• sosiaalisen median hyödyt ja haitat

Siis säännöistä valtaosa ei enää päde. Mielellämme näkisimme tietotekniikan stabiilina (tai edes vähän stabiilimpana) maailmana. Siinä ei testattaisi muutospainekestävyyttä tavallisilla netinkäyttäjillä.

Kun jokainen suorittava ohjelma, selainsivu + muu härpäke tapetaan, sekä kaikki päivityksiä hakevat velhot kytketään lepoon, tietokoneen kuorman pitää silloin pudota lähelle nollaa. Jos näin taas ei käy, todennäköisesti laitteella tapahtuu louhintaa tai bottiverkko rullaa omiaan. Vaarallisia laitteilla lymyäviä rootkit-bottiverkkoja on vaikea tunnistaa.

IoT-bottiverkko viittaa paljon kehittyneempään hyökkäyskampanjaan

Bottiverkon avulla toimiva pornokiristysohjelma läpäisee virussuotimia, kertoo israelilainen tietoturvatoimija Check Point. Sen mukaan ilmainen tiedostojen skannausohjelma VirusTotal tunnistaa pornokiristysohjelmien alustana toimivia bottiverkkoja. Monet skannerit päivittyvät niin hitaasti, että kiristäjä on jo ehtinyt kalastaa saaliinsa ja lopettaa uhkavaatimusten lähettämisen ennen satimeen jäämistä. Pahinta on, että kyberrikollisen kirjoittama algoritmi rahastaa herkkiä ihmisiä. Tehdäkseen vaikutuksen kiristäjä esimerkiksi esittelee salasanoja, ja tai jakaa näytteitä anastamaan aineistosta sinne tänne. Iot-bottiverkoilla on isketty hyvinkin vartioituihin kohteisiin, kuten sairaaloiden tietojärjestelmiin.

Tutkijoiden nyt havaitsema IoT-bottiverkko viittaa kokonaan uuteen ja aikaisempaa paljon kehittyneempään hyökkäyskampanjaan, joka leviää maailmalla kuin kulovalkea.

Espanjalaisen Hispasec Sistemsin kehittämän VirusTotalin toimintaa on buustattu viime vuodet. Google osti vanhan yhteistyöpalvelunsa VirusTotalin syyskuussa 2012. Totalin avulla pystyy nyt hyvin tarkastamaan, sisältävätkö linkit ja tiedostot haittaohjelmia, mutta voi myös näyttää, kuinka eri virustorjuntaohjelmat tunnistavat haittaohjelman näytteen perusteella. https://www.virustotal.com/gui/home/url

Check Point käyttää VirusTotalin toiminnallisuutta haittakoodien jäljityksessä

CP:n arvion mukaan Microsoftin, AVG:n, Kasperskyn, Check Pointin itsensä sekä F-Securen virustorjuntaohjelmat haistavat bottiohjelmat päätelaitteilta. Phorpiex-bottinäytteet olivat haaste suurelle osalle testattuja skannereita. VirusTotalin avulla pystyy tarkastamaan, sisältävätkö linkit ja tiedostot haittaohjelmia. Palvelulla ei varsinaisesti ole omaa virustorjuntaa, vaan skanneri hankkii haittaohjelmatietonsa 44 muusta virustorjuntapalvelusta. Mac OS X käyttäjille suunnattu VirusTotal Uploader käyttää hyväksi yli 50:tä virustorjuntapalvelua.

Tietoturva tulee ottaa huomioon myös kodin älylaitteissa

-Kaikki älykkäät laitteet ovat mahdollisia hyökkäyskohteita, eivätkä järjestelmäkamerat muodosta poikkeusta sääntöön. Kamerat, joissa on USB-liitännän lisäksi myös WiFi-yhteys, ovat muita haavoittuvaisempia, koska niihin pääsee käsiksi myös suoraan langattomasta verkosta eikä pelkästään tietokoneen kautta. Kameraan voidaan tartuttaa esimerkiksi kiristyshaittaohjelma, jolloin sen sisältämät valokuvat päätyvät kiristyksen välineiksi, varottaa tietoturvatutkija Eyal Itkin Check Pointilta.

Testasin vähän, olisin päässyt Huawein älymasiinalla sisään naapurin LG-älytelevisioon. Ovet ovat auki, koska myyjät eivät osaa neuvoa edes tietoturvasäätöjen alkeita.

Check Point erittelee useita tapoja, joilla aineisto voi päätyä rikollisten käsiin. Yhtiö on löytänyt digitaalisten järjestelmäkameroiden käyttämästä kuviensiirtoprotokollasta (Picture Transfer Protocol, PTP) kriittisiä haavoittuvuuksia. Kriittiset haavoittuvuudet voivat johtaa esimerkiksi siihen, että kiristäjä vaatii lunnasrahaa kaappaamiensa kameran valokuvien vapauttamisesta.

CP:n pistokokeessa kiinni jäi Canon EOS 80D, joka tukee sekä USB-liitäntää että WiFi-verkkoja ja hyödyntää yhteyksissä PTP:tä, mutta tieturvayhtiö uskoo, että samanlaisia haavoittuvuuksia löytyy myös muiden valmistajien kameroista. Canon ja Check Point tekivät yhteistyötä korjatakseen ongelmat (Check Pointin tapa hankkia itselleen asiakkaita). Pian Canon julkaisi ohjelmistopäivityksen ohella myös tietoturvaan liittyvän tiedotteen kameroiden käyttäjille.

Tehkäämme näin:

Jotta emme vuoda henkilökohtaista dataa varmistamme, että kamerassa on valmistajan viimeisin ohjelmistoversio, jos ei lataamme uudet päivitykset välittömästi. Kameran WiFiä emme pidä päällä, kun se ei ole käytössä. Kameraa käytämme oman lähiverkon kautta, ilman että yhdistämme laitetta tai tietokonetta mihinkään julkiseen WiFi-verkkoon.

Perehdyn organisaatioon, josta löytyy kohtuullinen määrä erilaista pientä turvavajetta – huitaistun tietoturvasäädön aiheuttaessa yhden yleisen turvaongelman lisää. Turvallisuuden suunnittelussa tarvitaan prioriteettien määrittelyä ennen edes hienojen riskianalyysityökalujen käynnistämistä. Tietoturva on tärkeä osa turvallisuutta, mutta se ei ole osista tärkein. Kokonaisuudessa se on alisteinen laajalle turvallisuusperiaatteelle. Hengen ja terveyden turvaaminen on tietysti aina turvatoiminnan tärkein tehtävä.    

Yksin tietoturvaa ajatellen voidaan mennä metsään, esimerkiksi vetämällä suodattimet niin tiukalle, että myös tärkeät viestit, jotka eivät missään nimessä kuuluu roskapostiin – päinvastoin –  tulevat sokeasti filtteröidyksi. Filtteröinti saattaa kapeasta näkökulmasta näyttää toimivalta ratkaisulta  virustorjunnassa, mutta sosiaalisessa organisaatiossa moinen lyö korvalle hyvin tärkeitä yleisiä turvallisuusperiaatteita.

Ei voida ajatella palveluorganisaatiota, jossa sähköisesti toimitettuja dokumentteja jäisi tulematta perille, härskisti, yleisen turvallisuuden kustannuksella. Tällaista saattaa tapahtua postilaitoksessa, jossa on paljon muutakin mätää, mutta mikään kilpailukykyinen ja iskussa oleva toimija ei  sellaista voi sietää. Sähköposti on työväline, ja nöyrä renki. Asioiden sujuvoittaja. Jos roskapostin suodatuksen asetukset toimivat serverillä, niihin on vaikea päästä käsiksi.

Näin ei kuitenkaan aina ole: jos serveri on ketterä, ja vieläpä paikallinen.

IPv6

Organisaatioille suosittelen asiantuntevaa tietoteknisten palvelujen  kilpailuttamista useista syistä, joista käytännölliset kysymykset, kuten älykäs filtteröinti serverillä, sijoittuvat kärkeen. On syytä kilpailuttaa, koska on  osattava ennakoida tulevaa; mihin tarvitaan 128-bittistä laiteympäristöä  tukevat IPv6-osoiteavaruutta?

IPv6 tarvitaan radiolinkkitekniikkajärjestelmiin, jotka ovat älykkäitä laiteapplikaatioiden ohjaajia – ja miksi ne tulevat? Koska ne tuottavat hyötyä (lue: rahaa). Esimerkkinä NarrowBand ja LoRaWan-verkko.

IPv6-osoitteita käyttävien sisältöjen määrä netissä kasvaa. On jo syytä ajatella, että käytössä olevat laitteet ja palvelut ovat IPv6-yhteensopivia. IPv6-valmiudella varmistamme esteettömän pääsyn netin eri sisältöihin myös tulevaisuudessa. Se on yksi tärkeä seikka kilpailutuksessa nyt ja eritoten lähitulevaisuudessa.

Entä nyt olemassa olevan tekniikan toimivuus?

Se on ykkösprioriteetti.

Roskapostifiltterit pystyy toki päätelaitteellaan konffaamaan itse niin, että uusin roskalähde nousee aina listan ylimmäksi. Roskaa tunnistavien avainsanojen blokkaus käsipelillä on yksi mahdollisuus. Sujuvaksi toimenpiteeksi sitä ei voi kutsua. Kallista aikaa tuhrautuu boksia säätäessä. Ei nykyaikaa.

Ennen tehtiin itse roskapostifiltterit sähköpostiohjelmiin. Sitten joku keksi myydä roskapostisuotimia, jolloin vasta ohjelmistovalmistajat heräsivät ja alkoivat tarjota niitä ohjelmiensa vakio-ominaisuuksina. Roskapostisuodinten säätö, mustat listat ja Bayes-suodatukset, olivat ammattiväen keskuudessa oma sisäpiirin juttunsa; roskaviestien suodatusprosenteilla kilpaitiin ainakin duuni.net:ssä. Hienoudet olivat oma aikansa. Ajankäytön priorisoinnin kannalta ei mielekästä.

Nyt puhaltavat uudet tuulet.

Jälleen puskista iski nollapäivähaavoittuvuus, ja vaarallinen. Selaimen kautta kyberhyökkääjät saavat koko tietokoneen haltuunsa: Internet Explorer -selaimessa toimiva nollapäivähaavoittuvuus tarjoaa mahdollisuuden ajaa haitallista koodia etänä saastuneessa älylaitteessa, pöytä- tai taskukoneessa.

Haavoittuvuudella on tunnetut seuraukset

Microsoftin mukaan hyökkääjä asentaa pääkäyttäjänä uuden käyttäjätilin täysillä käyttäjäoikeuksilla. Kaapatulle koneelle se lataa työkaluohjelmiaan tunnetuin seurauksin. Hyökkääjä saa haltuunsa koko järjestelmän.

Microsoftin mukaan nollapäivähaavoittuvuutta käytetään hyväksi uhrien saalistuksessa. Haittakoodi käyttää leviämiseen huijaussivustoja huijaussähköpostiviestien ohjaamana. Suomessa myös Kyberturvallisuuskeskus varoittaa haavoittuvuudesta ja selaimen reliikkisyydestä. Microsoft on itsekin suositellut Internet Explorerin käytön lopettamista.

Käyttöjärjestelmiä on jäämässä hunningolle

IE-selainta ei pysty helposti päivittämään, tai päivitykset eivät ainakaan tule automaattisesti – eikä Microsoft enää ole kiinnostunut kirjoittamaan paikkoja vanhaan selainkoodiin. Myös käyttöjärjestelmiä on jäämässä hunnigolle oman onnensa nojaan. Microsoft ilmoitti hiljakkoin lopettavansa Windows 8.0 -käyttöjärjestelmän päivityksen. Käyttis tuleekin MS:n ohjeen mukaan heti päivittää 8.1 -versioon, jonka tuki jatkuu. Myös Win 8.0:n päivitys Windows 10 -versioon näkyy tarjolla hätäilmoituksessa. Kokeilujeni mukaan tämä päivitysvaihtoehto saattaa kysyä laiteresursseja eri tyyliin kuin Windows 8.1. Windows 10:n mukana taas, jos sen pystyy päivittämään, tulee Microsoftin oma Edge-selain, joka hulppeasti korvaa Internet Explorerin.

Chrome on turvallinen, mutta löytyyhän niitä myös muita selaimia. Ongelma piillee siinä, että Internet Exploreria käytetään laajasti vieläkin. Microsoft neuvoo käyttäjiä lataamaan päivitystiedostot käsin Microsoft Update Catalogin kautta, koska päivitystä ei löydy vielä Microsoft Update -palvelusta. Jos selaimen päivityksen onnistuu lataamaan, se tulee ehdottomasti tehdä. Internet Explorer on vaikea poistaa järjestelmästä, mutta mahdollista. Se tulisi deletoida, koska se saattaa olla vaarallinen passiivisenakin.

Paikkailua parempi olisikin ohjeistaa reliikkisen selaimen poisto käyttöjärjestelmästä.

Tässä yleisohje:

• Open Settings.
• Click on Apps.
• Click on Apps & features.
• On the right pane, under ”Related settings,” click the Program and Features option.
• On the left pane, click the Turn Windows features on or off option.
• Clear the Internet Explorer 11 option.
• Click the OK button.
• Click the Yes button to confirm.
• Click the Restart now button.

Huijausyritysten määrä vähenee sitä mukaa kuin viikko etenee

Sähköpostin kalasteluviestit ovat yleisin tapa huijata käyttäjä haitalliselle sivustolle, niin myös tässä nollapäivässä. Taas maanantai on viikonpäivistä haavoittuvin. Proofpoint-kyberturvallisuusyrityksen raportin mukaan lähes kolmasosa kaikista sähköpostitse tehtävistä petosyrityksistä tapahtuu viikon ensimmäisenä arkipäivänä. Maanantain käytön suosio kyberrikollisten joukossa selittyy monilla eri syillä, esimerkiksi sillä, että työviikon alussa on monesti enemmän tehtäviä hoidettavana ja kullekin tehtävälle on vähemmän aikaa. Lisäksi huomiokyky ei ole aina parhaalla mahdollisella tolalla vapaan jälkeen.

The Human Factor -raportin tämän vuoden julkaisussa viikonpäivät ovat yksi monista silmiin pistävistä kohdista. Yli 30 prosenttia kaikista sähköpostitse tapahtuvista petosyrityksistä, joissa lähettäjä yrittää esittää olevansa joku toinen kuin on, lähetetään viikon ensimmäisenä arkipäivänä. Huijausyritysten määrä vähenee sitä mukaa kuin viikko etenee – toiseksi korkein luku tulee tiistaina, jne.Sosiaaliseen manipulointiin perustuvien petosten eri muotoja ja niiden vaikutuksia tietoturvatyöhön ei vielä täysin mielletä.

Aikaisemmin vain erikseen asennettavana lisäosana tarjolla ollut uusi ominaisuus Chrome ja Firefox -selaimissa, hälyttää reaaliaikaisesti kirjautumistietojen vaarantumisesta. Nämä kaksi selainta ovat melko tasaväkisiä kärkisijoittujia uusissa testeissä. Tai sanotaanko, että Firefox ei ainakaan häviä.

The Next Webin mukaan selaimet reagoivat, kun ne havaitsevat jonkun käyttäjätunnuksista vuotaneen esimerkiksi tietovuodon yhteydessä. Hyödyllinen toiminto ei aivan itsestään käynnisty: selainpäivityksen jälkeen näistä asetuksista, Tietoja Firefoxista, samoin kuin Tietoja Google Chromesta –valikoista, toiminto täytyy aktivoida.

Päivityskierroksia, uusia ominaisuuksia ja suorituskykyparannuksia

Taas Chrome ja Firefox ovat käyneet läpi loputtoman määrän päivityskierroksia, joissa selaimiin on lisätty uusia ominaisuuksia ja suorituskykyparannuksia. Suoritustasoa löytyy, kertoo Bundesamt für Sicherheit in der Informationstechik (BSI). Sen äskettäin testaamat selaimet Mozilla Firefox 68 (ESR), Google Chrome 76 ja Microsoft Edge 44 sekä Internet Explorerin viimeiseksi jäänyt versio 11, vastaavat huutoonsa. Paitsi, että BSI:n punainen kortti nousi odotetusti IE 11 –selaimelle. Esimerkiksi suojastandardit, kuten ”same origin policy”, jonka on tarkoitus estää ulkopuolisia verkkosivuja laittamasta koodiaan toisille sivustoille, sekä ”!content security policy”, jonka taas on määrä estää haitallisen sisällön ajaminen luotetulla verkkosivulla, ovat hebreaa IE-selaimelle. Tämä selainrampa toimii vielä miljoonissa erilaisissa päätelaitteissa. Päivitys johti IE:ssa (samoin kuin koko Windowsissa) syntaksiongelmiin.

Chrome, Edge tai Internet Explolerin versiot eivät myöskään tarjoa mahdollisuutta estää telemetriatietojen keräämistä. Firefox taas tukee valinnanvapautta tässäkin suhteessa, haluaako jakaa telemetriatietojaan?

Vuonna 2019 Firefox on saanut isoimman päivityksensä 13 vuoteen. Parannus on kokonaisvaltainen. Techradarin testissä Mozilla Firefox -selain noteerataan listaykköseksi, maininnoilla:

• Erittäin nopea
• Järjestelmäresursseiltaan kevyt
• Vahvat yksityisyyssuojatyökalut
• (Selaimesta on vaikea löytää moitittavaa, summaa Techradar)

Päälle voidaan liittää BSI:n kiitoksia telemetriatietojen hallinnasta. Telemetriahan muuten tarkoittaa laitetietojen lähettämistä etänä. Huomautan, että myös suhteellisen harvat raudat kysyvät lupaa telemetriatietojen lähettämiseen valmistajille. Mutta esimerkiksi Huawei P smart 2019 –puhelimessa tämän eston voi halutessaan määritellä asetuksissa. Myös pääsalasanatoiminnon puute on valitettavan yleistä, mutta sekään ei ole Huawein puute.

Chrome parantaa

Maailman suosituin selain Chrome on nopea suorituskyvyltään ja laajennettavissa lähes mihin tahansa mittaan, mutta vaatii paljon resursseja, huomauttaa Techradar. Siksi rankkeeraus 2. sijalle. Google on kuitenkin rakentanut Chromesta laajennuskykyisen ja tehokkaan selaimen, joka ansaitsee hopean kaikissa listauksissa. Chrome toimii eri alustoilla vakaasti. Selain vaatii vähän näyttötilaa. Käytettävyydeltään miellyttävä selain tarjoaa välineet asettaa rajoituksia lapsille sopimattomaan sisältöön. Chromeen on mahdollista hankkia ja asentaa vähällä vaivalla melkoinen määrä erilaisia liitännäisiä, joilla selaimesta voi aidosti rakentaa kullekin käyttäjälle sopivimman ja yksilöllisimmän.

Techradar korostaa, että Firefoxin tavoin Chrome tukee nykyään WebAuthn-tunnistautumisteknologiaa. Tämä tarkoittaa mallia, jossa perinteinen salasana korvataan joko kokonaan tai sitä käytetään osana kaksiosaista kirjautumisauditointia. Chrome on myös perinteisesti tarjonnut työkaluja ja ominaisuuksia sovelluskehittäjille, nyt virtuaali-headseteille, sekä mahdollisuuksia hyödyntää paremmin tiettyjä laitteiden omia sensoreita kuten taustavalaistusta.

W3Schoolin selaintrendianalyysin mukaan Chromen käyttäjämäärä vain kasvaa. Tosin myös Microsoft Edgen asennusmäärät ovatkin kasvussa. Win 10 –järjestelmässähän Edge tulee tykötarpeena. Hieno kapistus.

Mobiiliuhkat pahenevat, ja ovat jo tietoturvatoiminnan keskiössä. Mitäpä siis tehdä, kun vanha ystävällinen, uskollisesti palvellut sovellus yrittää ottaa ohjat? Tulee aina olla vähän varuillaan, samoin tulen kanssa: hyvä renki, mutta huono isäntä.

Google Playsta lakaistaan säännöllisesti leveällä harjalla

Google Playsta tuskin voi enää ladata taskulamppusoftaa ilman, että se alkaa koodi touhuilla omiaan. Tällaisen villityksen lähde voi olla esimerkiksi röyhkeä data-analytiikkafirma mutta myös mainosbannereitten klikkauksia laskuttava monimutkainen hyötyketju. Alhaisen uhkatason haitake tekee puhelimesta mainosbannereita sarjatulella tykittävän zombin. Resurssi on varattu juuri tuohon toimintaan, ja muu käyttö tahmoo, lataustarve tuplaantuu. Kuulostaako tutulta?

Lait ja direktiivit kuten EU:n General Data Protection Regulation (yleinen tietosuoja-asetus) eivät ole paljon hillinneet villinlännen menoa – mutta toisaalta emme tiedä, mikä olisi tilanne ilman lakien edes muodollisesti tunkeilua suitsevaa vaikutusta. Sekin on nähty, että rahalliset sanktiot eivät aina riitä pelotteeksi. Ne maksellaan, ja jatketaan niin kuin ei mitään.

CamScanner-sovellus

CamScanner-sovellus, joka toimii puhelinkameran ja tiedostohallinnoinnin välineenä, muuttui tässä päivänä eräänä yhtäkkiä haitalliseksi – ja vain yhdellä ainoalla uudella ohjelmistopäivityksellä. Nähtävästi CamScanner kasvoi häijyksi, sen jälkeen, kun sen osakkaaksi ja ”kehittäjäksi” tuli muuan häikäilemättömänä mainostajana tunnettu taho.

Saman on huomannut tietoturvayhtiö Kaspersky Lab ZAO, joka valisti asiassa aina uutisnälkäistä Ars Technica -julkaisua. Lisää: https://arstechnica.com/information-technology/2019/08/google-play-app-with-100-million-downloads-executed-secret-payloads/

Päivitys teki vaatimattomat päälle 100 miljoonaa kertaa ladatusta sovelluksesta rookitin, Troijan hevosen. Tuttu skanneri alkoi salaa ladata haitallista koodia verkosta. Tulos: aggressiivisia mainoksia, klikkaus sarjatulella, mistä maksaa mainostaja. Tavattiin myös erilaisia spesifeitä haittakoodeja, jotka kykenivät laskuttamaan liittymän omistajaa. Uusi komponentti, “trojan dropper” pystyy lataamaan haittaohjelman muista lähteistä. Tässä tapauksessa se lataa salausavaimella suojattuja koodeja palvelimelta, avaa ne ja suorittaa ne uhrina toimivalla laitteella.

Moskovalainen Kaspersky Lab

Moskovalainen Kaspersky Labilla löytyy 3 300 työntekijää. Firma tekee hyvää työtä, vaikka siihen itseensä on joskus liitetty epäilyjä – mutta nyt ainakin yhtiö on suuntautunut hakkerietiikan mukaisesti paljastamaan kyberrikollisia entistä häikäilemättömämmäksi käyneellä kentällä, jossa tabletit ja puhelimet ovat vapaata riistaa. Kaspersky Lab suosittelee, että kaikille datansiirtolaitteille tehdään täydellinen tarkistus kerran viikossa. Näin varmistetaan, että henkilökohtainen data on turvassa.

Otamme käyttöön säännölliset tarkistukset: Kaspersky Internet Securityn ilmainen tutka tarkistaa laitteet läpikotaisin. Tämä tarkistus suoritetaan kerran viikossa. Käyttötilanteet huomioiva tutka ei häiritse laitteen käyttöä. Teknisten rajoitusten vuoksi sovellus ei voi tarkistaa arkistoja, joiden koko on 4 Gt tai sitä enemmän. Reaaliaikainen suojaus sisältää virustorjunnan. Komponentti havaitsee ja neutraloi uhkat, mainosohjelmat ja sovellukset, joita tunkeutujat voivat käyttää laitteen vahingoittamiseen tai henkilökohtaisten tietojen hyödyntämiseen. Myös reaaliaikainen tarkistus-scan on mahdollinen tutkasovelluksen ilmaisversiossa, eri niemellä Tarkistustoiminto.

Ilmaiset ratkaisut riittävät perustarpeisiin yksityiskäytössä.

https://www.kaspersky.fi/downloads/thank-you/try-free-cloud-antivirus

https://www.kaspersky.fi/free-antivirus

Kaspersky Security Cloud – Free

Maksuton virustarkistusohjelma Kaspersky Security Cloud – Free suojaa PC- ja mobiililaitteet, mutta myös iPhonen, viruksilta, tartunnan saaneilta tiedostoilta, vaarallisilta sovelluksilta ja epäilyttäviltä sivustoilta.Valikosta Euroopan unioni voi ladata EU:ssa käytettäväksi tarkoitetun ohjelmiston.Tämä varmistaa, että softa on yleisen tietosuoja-asetuksen gdpr-vaatimusten mukainen…

Yritys taas tarvitsee järeämpää suojaa, suunnittelun kanssa – Katso täältä: https://www.sollertis.fi/virustorjunta/

Grafiikat ovat hyödyllisiä, havainnollisia: siis käyrä yrityksiin kohdistuneiden kyberrikosten määrän kasvusta on karua katsottavaa. Jossakin vaiheessa näytti, että tilanne yleisessä tietoturvassa olisi jo osin hallinnassa, mutta sitten maailmanmitassa taas repsahti. Tämä maksaa, ja Suomi kun ei ole lintukoto, vaan kulkee keskiarvojen yläpuolella tietoturvarikosten kustannuksissa.

Tietoturvan kohentaminen yrityksissä ei ole suuri investointi

Jos yrityksessä sen omien sivustojen ja verkkopalvelujen perusasiat laitetaan kuntoon, ei puhuta vielä isostakaan tai kalliista urakasta. Tietoturvaohjelmistojen asennus joko/tai vanhan turvalliseksi päivitys koneissa ja älypuhelimissa tulee tärkeysjärjestyksessä ykkösenä. Datan varmuuskopiointi taas saadaan rutiininomaiseksi tavaksi kevyellä koulutuksella. Kyseessä on varsin pikku investointi siihen nähden, mitä maksaa, jos asiat jätetään rempalleen – ja isku tulee hetkellä, kun sitä vähiten odottaa. Se vain menee niin – nykyaikana – että joku kutsumaton tulee takaovesta, jos se jää repsottamaan auki.

Olen myös kysynyt, onko teillä tapana jättää auton ovet auki yöksi tai avain moottoripyöränne virtalukkoon?
Ai, ei ole?
Entä onko yrityksessänne tietojärjestelmää suojattu kyberhyökkäyksiltä?
Ai ei ole.

Tämäpä outoa, koska järjestelmän takaporttien tieturvan testaus ja koputtelu on jopa todennäköisempää, kuin että auton ovia käydään yöllä kokeilemassa, josko tuo olisi vietävissä.

Tietomurroista aiheutuneet kustannukset ovat nousussa

Amerikkalaisen Ponemon Instituten tuoreen v. 2019 seurantarapotin mukaan tietomurroista aiheutuneet kustannukset ovat nousseet globaalisti 12 prosenttia viimeisen 5 vuoden aikana. Kun taas pohjoismaista tehdyn tutkimuksen mukaan tietomurroista aiheutuneet kustannukset ovat nousseet 20 prosenttia viimeisen vuoden aikana. Olemme kärkiryhmää. Toisin laskien kyberrikollisuudesta aiheutuvat tappiot ovat keskimäärin 2 miljoonaa euroa vuodessa per organisaatio.

Varautumisen taso pohjoismaissa ei ole laadultaan hyvä ja vakaa

Kyberrikollisuuteen erikoistunut työelämäprofessori Jarno Limnéll Aalto-yliopistosta toteaa, että hyvinkin välinpitämätön asenneilmasto elää ja voi hyvin, valitettavasti. Viesti ei ole mennyt perille yrityksissä. Limnéll on itse kohdannut yliokaista suhtautumista kyberuhkiin – Sellainen asenne tulee kyllä ennemmin tai myöhemmin kalliiksi, Limnéll jatkaa. IBM Finland lataa lisää löylyä: kestää keskimäärin 200 päivää tajuta tapahtunut kyberrikos ja koota tieto, mitä hyökkäyksessä on tapahtunut. Seuraavaksi ”toipuminen” rikoksen uhriksi joutumisesta kestää vielä 70 vuorokautta päälle. Karuja arvioita. Tuonkin ajan, kun voisi käyttää turvalliseen bisnekseen – ja tietoturvan voi aina jättää ammattilaisten huoleksi.

Niin paljon kuin asioista on puhuttu, ja hyvää tietoturvakulttuuria juurrutettu yritysten ja organisaatioiden rutiineiksi, ei se (vielä) ole kantanut hääviä hedelmää. Uhkat eivät rajoitu koneisiin: yritys tarvitsee usein kokonaisen turvallisuussuunnitelman, jonka laatijalta lakipäivityksen myötä vaaditaan turvallisuusvalvojan erikoisammattitutkintoa. Monissa tapauksissa riskit täytyy arvioida kokonaisvaltaisesti. Tekninen tietoturva on hyvä alku, sitten tulee mm. se, että turvastandardit täyttyvät kulunvalvonnassa. Rakennuksen ulkopuolisissa datayhteysliittymissä ynnä muusta tulee tehdä vastaava turvaselvitys.

Tietoturvan kannalta on merkityksellistä, ovatko yrityksen tiedot omalla virtuaalipalvelimella Suomessa, vai liikkuuko data jaetulla alustalla jossain ulkomaalaisessa datataivaassa. Terminä suomalainen verkkotallennus on hyvä ja kuvaava: sanana se on informatiivisempi kuin (cloud) pilvipalvelu. Eihän pilvipalvelua ole todellakaan pakko valita Dropboxin ja Google Driven kaltaisista ylikansallisista kaupallisista alustoista, eikä ole välttämättä viisastakaan. Kyse on käyttäjille melkein ilmaisista ja mediaseksikkäistä palveluista.

Vastuullisuus maksaa hieman, mutta pilvipalvelut ovat osa liiketoiminnan perustaa

Siihenpä ne plussat loppuvatkin, sillä datapilvet vuotavat dataa enemmän kuin mitä jätit kertovat ulospäin. Toisaalta mitään tietoturvaa tai -suojaa ei edes käyttäjäsopimus lupaa. Palveluntarjoajan pitkä liturgia, joka käytännössä on pakko hyväksyä, kääntää kaiken mahdollisen vastuun pois operaattorin päältä käyttäjän omalle kontolle. Tällaista ei tee mikään vastuullinen palvelu. Vastuullisuus maksaa hieman, kyllä. Mutta verkkotallennus, toiselta nimeltään pilvipalvelu, jäsentyy moderniin digitaaliseen liiketoimintaan – organisaatiot tarvitsevat pilvistrategian. Käytännössä se on osa liiketoiminnan perustaa ja siksi tärkeä elementti yrityksen arjen pyörityksessä.

Miten kannattaisi toimia?

Meillä on kolme päävaihtoehtoa toimia toisin kuin mitä ylikansalliset datajätit odottavat. Ne odottavat, että lataamme heidän huomaansa, pilveen, myös kaiken henkilökohtaisen aineistomme: valokuva-albumit ja sukuselvitykset. Itse en tee niin, koska pelkään vainoharhaisesti, että tietoni päätyvät jotenkin härskien data-analytiikkafirmojen haltuun.

Ensimmäinen, suositeltavin tapa tulee tässä: Varmin, optimoiduin ja suositeltavin konsepti verkkotallennuksessa on turvautua paikalliseen internet-palveluntarjoajaan. Katso ylävalikkoa.

Löytyy tietenkin myös muita vaihtoehtoja, jos intoa ja harrastusta riittää. Pienen verkkotallennuspalvelimen voi rakentaa myös itse. Yksi mahdollisuus säilöä dataa on kotipalvelin. Silloin ei ole pelkoa epärehellisistä mies välissä -hyökkäyksistä (man-in-the-middle attack) ja sen voi modata 128-bittiseksi IPv6-protokollan palvelimeksi.

Paljon puhutaan Nextcloudista, jonka saa asennettua Ubuntu Snap –palvelusta, Depain 9 ja Ubuntu 16.04 Linux-järjestelmiin. Myös manuaalisesti käsin leivottu Nextcloud-konffaus on mahdollinen (vain kokeneille tietotekniikan harrastajille). Se antaa mahdollisuuden säätää sovelluksen asetuksia tarkemmin.

Pilvipalvelu omaan hallintaan

Kun pilvipalvelu on omassa hallinnassa, voi säätää sen toiminnan sellaiseksi kuin itse haluaa. Hyvin suojatulla palvelimella tiedot pysyvät varmassa tallessa, eikä kukaan ulkopuolinen pääse niihin käsiksi. Kotiverkossa toimivan privaattipilven etuna on myös tiedostojen vauhdikas synkronointi. Nextcloud on uusi versio tunnetusta tee-se-itse-pilvestä OwnCloudista. Nextcloud synkronoi sujuvasti tekstitiedostot, kuvat ja videot kodin eri laitteiden välillä. Tästä on vuoden päivät, kun Mikrobitti-lehti johdatti lukioitaan Nextcloudin aloihin. Lehti kävi rivi riviltä läpi konffauksen, kuinka rakentaa kotikäyttöön yksityisen ja salatun OwnCloud-pilvipalvelun. Briiffissä näkyy sellainen 80 komentoriviä ohjeineen selityksineen. Se on aikamoinen urakka. Sopii, jos aikoo erikoistua pienverkkopalvelimen ylläpitäjäksi.

Kiinalainen kursailee hieman kertoessaan radiolinkkialustoilla toimivasta uudesta mobiilikäyttöjärjestelmästään. Se tekee tietotekniikan historiaa. Tämä on käynyt jo ilmi. Kauppasodat ovat hauskoja ja hyödyllisiä, sanoi Yhdysvaltain presidentti Donald Trump. Näinköhän? Riippuu kenen kannalta.

Kauppasodan seuraus – HarmonyOS

Me eurooppalaiset näyttäisimme hyötyvän siitä, että Valkoisen talon lietsoman kauppasodan seurauksena epävakaalle pohjalle ajettu Huawei satsasi kaikki resurssinsa oman käyttöjärjestelmänsä viimeistelyyn. Alkujaan eri työnimillä tunnetun Huawein OS-mikrolähdekoodin kirjoitus käynnistyi vuonna 2017.

Huawei lupaa julkaista HarmonyOS:ää avoimena koodina – siihenpä yhtäläisyydet Linuxin kanssa taitavat loppuakin. Huawein käyttiksessä toimii kernelin lähdekoodina mikrokoodi, joka valmistajan ilmoituksen mukaan on määrältään vain joku tuhannesosa Linuxin lähdekoodista. HarmonyOS ei ole kopio länsimaisista käyttöjärjestelmistä, se edustaa uutta mikrokoodisukupolvea mutta se ei ole edes ensimmäinen genren edustaja. Näin muodoin pahimmat haavoittuvuudet löytynevät piireistä ja prosessoreista, ei itse mikrokoodista. Valmistaja on velvollinen päivittämään rautansa.

Käyttöjärjestelmän arkkitehtuuri

Huawein mobiililaitteeseen mitoitettu mikrokerneli ei varmasti jää hyökkääjiltä testaamatta. Harmonyn erikoinen arkkitehtuuri pohjautuu mikrokernel-ytimen päälle. Se ei myöskään ole vanhaan tapaan yksi koodimöykky. Pääosa elintoiminnoista sijaitsee käyttöjärjestelmän ytimessä, mutta muuten se järjestyy erillisiksi komponenteiksi kernelin päälle. Näin HarmonyOS toimii kaikilla (sana alleviivattuna) laitealustoilla. Tämä tarkoittaa 128-bittisiä komponentteja, radiolinkkitekniikkaa, jossa datajonon mittainen salausavain toimii sisäänrakennettuna. Tietoturvasta huolehtii järjestelmän sisäinen salakirjoitusmenetelmä. Tarvitaan vahva käyttäjätunnistus ja radiolinkissä toimiva datayhteys, niin yhteysputki pomminvarma kuin kohtuudella voidaan odottaa. Klassiset man-in-the-middle-hyökkäykset käyvät mahdottomiksi. Kärjistäen voidaan sanoa, että Androidit, Windowsit ja Linuxit toistaiseksi eivät taistele enää samalla areenalla kiinalaisen OS:n kanssa.

Huaweilta odotetaan paljon

HarmonyOS:n mikrokerneli tarkoittaa, että se käyttää vähän resursseja, mutta tarjoaa rajut toimintanopeudet ja jo kohta siis minimiviiveet. Lopulta käyttöjärjestelmä tukee 128-bittistä ympäristöä ja buustaa esineiden internetiä nyt kun se on lähtenyt vetämään: ensimmäistä kertaa 128-bittisen ympäristön IoT-sovellukset ovat kustannustehokkaita, ja investointi IoT-roinaan kuolettuu säällisessä ajassa. Tähän asti ohjausautomaation algoritmit ovat toimineet anturien rajapinnan takana: eivät mobiililaitteessa itsessään. Lora, Sigfox mutta ennen muuta NB-IoT-standardi ovat rampa ankka ilman luurissa itsessään toimivia älysovelluksia. Huaweilta odotetaan paljon, liian paljon?

Kiinalainen tuo teknologian, joka ratkaisee x määrän vanhan sukupolven tekniikka- ja tietoturvaongelmia (vaikka aina voi tietysti syntyä uusia).

Kyberrikokset, joiden uhreiksi päätyvät tavan kansalaiset, ovat pahenemaan päin. Julkisuudessa on ollut mm. digihuijaustapaus, jossa kaapatulta tililtä on siirretty rahaa espanjalaiseen pankkiin: erikoista sinänsä, että siirretään EU-alueen pankkien sisällä saalisrahaa – ja laiton transaktio onnistuu noin vain.

Kertooko tämä jotakin unionin tilasta? Lisäksi edellä mainitussa tapauksessa kyberrikollinen on puhunut hyvää suomea. Hän on esitellyt useita itsensä kannalta vakuuttavia seikkoja, ja saanut lopulta epäilijän luovuttamaan lukuja tunnuslukulistastaan. Riittääkö tämä näytöksi siitä, että pankkiyhteystunnistusta ei tule tehdä ”helpoksi”, eli heikentää entisestään? Kuulen helppo-sanan korvissani vihjeenä: helppo murtaa. Transaktion vahvistaminen joko sähköisellä tunnuslukulaitteella tai mieluummin avainlukulistalla on se perusta, jota ei voi ohittaa muuten kuin kontaktilla tilin todelliseen haltijaan. Näin huijaus satsaa siihen, että virtuaalisen pankkiryöstön transaktio saadaan ajattelua läpi: ja tilin todelliselta haltijalta tunnistuksen toinen vaihe, avainluku, saadaan rikolliselle tavalla tai toisella. Ei ihme, että siinä onkin menty röyhkeydessään pöyristyttäviin suorituksiin.

Kukaan ei ole suojassa kalasteluhyökkäyksiltä

Monivaiheisen, vähintään kaksivaiheisen todennuksen puuttuminen tulisi luokitella haavoittuvuudeksi palvelussa. Pikamaksu on erittäin haavoittuva, selvää, mutta sen maksurajaa mentiin silti nostamaan. Päätöksiä tekevät ekonomistit, joiden tietotekninen orientaatio, eritoten tietoturvan osalta on heikko. Sama muuten koskee sairaaloita: poskettoman kalliita potilastietojärjestelmiä suunnittelevat lääkärit ilman tietotekniikan, tieturvan ja tietosuojan menetelmäpaletit hallitsevien ammattilaisten mukanaoloa. Sutta on syntynyt, ja syntyy, veronmaksajien laskuun. Kyberrikokset arkipäiväistyvät hyvää vauhtia. On korkea aika tajuta, että kalasteluhyökkäyksiltä ei kukaan ole suojassa.

Kysymyskaavakkeen postannut Etlan tutkija ottaa rauhallisesti minun kyselyni siitä, kuinka voin varmistua, että linkki ajaa nettikyselykaavakkeen ja on sisällöltään sitä, mitä sen väitetäänkin olevankin? Sillä epäilykseni heräsi, kun sivu ei toiminut: olinhan mennyt sen avaamaan aika kevyin perustein.  Olisin siis voinut olla digihujauksen uhri.

Vaadin varmennusta:

”Lähetän tämän viestini sähköpostiosoitteesta, joka löytyy myös Etlan sivuilta.”

Ei riitä. Tuo feikki-e-malin konfigurointi on lapsenleikkiä.

Kontakti jatkaa vakuuttavaan sävyyn:

”Voin myös lähettää varmistukseksi tekstiviestin puhelinnumerosta, joka myöskin löytyy Etlan sivuilta.”

Tämä onkin jo jotain, mutta nyt myös puhelinnumeron aidolta näyttäminenkin on mahdollista. Netissä löytyy palveluntarjoajia, jotka mahdollistavat päätelaitteelta puhelua soittaessa ulos näkyvän numeron simuloinnin ihan vapaavalintaiseksi: puhelu reitittyy perille näyttäen tulevan aidosta numerosta, vaikka oikeasti se tulee ties mistä ihan muualta. SMS-viestillä pelittää sama kaava. Lopulta oli tehtävä päätös, että luotan siihen, että henkilö on asialla, jolla väittää olevansakin. Hänen työnsä näytti tähdelliseltä.