Tietoturva

4 kysymystä ja vastausta palveluidemme tietoturvasta

31.3.2021 Joanna Niininen

Tietoturva on aihe, josta meillä Sollertiksella puhutaan jatkuvasti. Se on koko yrityksemme elinehto.

Tietoturvaa pidetään kuitenkin valitettavan usein itsestäänselvyytenä. Jos palvelu on ostettu kolmannelta osapuolelta, luotetaan siihen, että kaikki on kunnossa. Omille palveluntarjoajille on kuitenkin hyvä esittää kysymyksiä, miten datasi on suojattu. Tämän innoittamana listasin alle kysymyksiä ja vastauksia, kuinka me Sollertiksella hoidamme tietoturvaa.

Missä tietojani säilytetään fyysisesti? Onko kaikki datani Suomessa?

Kyllä, datasi on turvassa Suomessa sijaitsevissa konesaleissa. Konesalimme on rakennettu vanhoihin pankkiholveihin, joten voit olla varma, että tietosi ovat turvassa rautaoven takana dynamiitin kestävässä tilassa.

Seuraamme konesalien turvallisuutta myös henkilökohtaisten kulkukoodien logituksella, jolloin tiedämme, kuka konesalia on hoitanut milloinkin.

Miten varmuuskopiointi hoidetaan?

Varmuuskopioimme kaikki asiakkaidemme verkkosivutilojen materiaalit ja ylläpidossamme olevat palvelimet. Ylläpidetyissä WordPresseissämme on myös erillinen varmuuskopiointi, joka mahdollistaa palauttamisen WordPressin kautta.

Automaattisten varmuuskopioiden lisäksi säilytämme tallelokerossa aina yksiä varmuuskopioita, joilla pystymme palauttamaan noin kuukauden vanhaa dataa riippuen tarvittavasta palautuspäivästä.

Näiden varotoimien lisäksi varmuuskopioimme vielä dataa salakirjoitettuna EU:ssa olevalla palvelimellemme. Tämä data on erittäin vahvasti salattua ja sen purkamiseen menee supertietokoneeltakin vuosia.

Kenellä on pääsy palvelimillemme? Miten salasanoja säilytetään?

Palvelimillemme on pääsy teknisellä henkilökunnallamme, joka ylläpitää palveluita. Henkilöstö käyttää palvelimia sisäverkon kautta. Sisäverkkoon pääsee vain rajatuilta laitteilta ja käyttö vaatii kirjautumisen. Avainhenkilöt on turvallisuusselvitetty suojelupoliisin kautta.

Palvelimille kirjaudutaan aina henkilökohtaisilla tunnuksilla. Näin palvelimen logeista on mahdollista tarkastaa, kuka on käynyt palvelimella ja milloin. Valvontajärjestelmä valvoo kirjautumisia ja hälyttää käyttäjätunnuksista, joille ei ole myönnetty käyttölupaa.

Kaikkia hallussamme olevia salasanoja säilytetään salasanakannassa, jonka ohjelmisto on asennettu sisäverkkoomme. Näin takaamme, ettei salasanakantaan pääse julkisesta verkosta. Etätyöntekijät käyttävät palvelua VPN-yhteyden kautta, joka luo salatun yhteyden palveluun.

Salasanakannassa käyttäjät on jaoteltu ryhmiin työtehtävien perusteella. Jokaiselle näkyvät vain ne salasanat, joita hän tarvitsee työssään. Ohjelma logittaa salasanan katselut.

Käyttämämme salasanat sisältävät aina pieniä ja isoja kirjaimia, erikoismerkkejä ja ne ovat riittävän pitkiä, jotta tietosi pysyvät turvassa hyökkäysyrityksiltä.

Haluan oman palvelimen, johon tulee asiakastietoja. Miten se kannattaa suojata?

Arkaluontoista dataa sisältävät palvelimet kannattaa sijoittaa aina yrityksen omaan sisäverkkoon. Käytännössä sinulle varataan oma fyysinen tai virtuaalinen palvelin konesalistamme. Palvelimen verkot luodaan niin, että palvelimelle on pääsy vain VPN-yhteydellä omasta yrityksestäsi tai ylläpitomme käyttämästä sisäverkosta.

VPN-yhteys voidaan luoda erillisellä tiloihisi tuotavalla palomuurilaitteella tai työasemalle asennettavalla ohjelmistolla, jolloin palvelimen tiedot ovat käytettävissäsi myös etätöitä tehdessä. Useimmat asiakkaamme haluavat molemmat vaihtoehdot käyttöönsä.

Palvelimelle asennetaan aina myös oma palomuuri. Käyttöjärjestelmästä riippuen palvelimelle asennetaan virustorjuntaohjelmisto. Samalla pääkäyttäjätunnukselle luodaan turvallinen ja pitkä salasana. Halutessasi lisäsuojaa saadaan vielä F-Securen radar-suojauksella.

Ota meihin yhteyttä, kun tarvitset apua tietoturva-asioissa

Jäikö sinulle vielä kysyttävää palveluistamme? Me autamme. Ota yhteyttä alla olevalla lomakkeella. Laitetaan maski naamaan ja tietoturva kuntoon!

Artikkeli julkaistu ensimmäisen kerran 28.10.2020. Nostettu uudelleen 31.3.2021.

Puhelinyhteyksissä toimii outo haavoittuvuus

18.3.2021 Reijo Holopainen

Kalastelupuhelut tekevät jotain sellaista, jota vasta tutkitaan. Kalastelupuheluihin voi jättää vastaamatta. Kun katsoo suuntanumeroa, filunki saattaa paljastua kättelyssä. Esimerkiksi 047-alkuisia ei oikeasti enää käytetä. Se on Viestintäviraston numeroreservissä, samoin suunta 048. Viestintävirasto on määritellyt myös 049, vanhan NMT-verkon numeroalueen käyttötarkoituksen koneesta koneeseen -yhteydeksi. Monet vieraat suuntanumerosarjat viittaavat koneiden välisten yhteyksien numeroavaruuteen, samoin 043. Alkujaan 043 oli Finnet-ryhmän numeroalue, nyt hämärien ihmisille soittelevien bottien käytössä.

Puheen asemasta käytöstä poistetulla suunnalla operoiva soittaja tarjoaa hiljaisuutta tai kohinaa. Ehkä mitään tietoja ei kalasteltukaan, kun ei kysytä mitään. Vaikuttaa, että tilanne on pahempi kuin miltä se ensin näyttää ja tuntuu. Kyseessä lienee Man in the Middle -tekniikka: todellakin voi näyttää, että puhelu tulee kaverilta, mutta onkin jotain muuta.

Pukkaa lisää kysymyksiä, kun tuollaisen soiton aikana kuuluu vain yhteyden kompleksisuuteen viittaavaa kohinaa. Puhelimen suljettuani, olen huomannut luurin torppauslistasta, että session aikana on tullut MMS-viesti. Datan kalasteluyritys, melko varmasti, muuta en juuri vielä osaa kertoa. Ehkä rootkit-koodi, joka purkaa, piilotta itsensä puhelimeen ja hävittää tai yrittää hävittää jälkensä.

Tuhat huijauspuheluilmoitusta viikossa Kyberturvallisuuskeskukselle

Huijauspuhelut alkoivat tulla riesaksi viime vuoden alkupuolella, jolloin Kyberturvallisuuskeskus otti vastaan jo tuhansia huoli-ilmoituksia viikossa. Kesällä alkoi uusi buumi. Huijaussoitot tulevat satunnaisesti valituista numeroista, mutta myös varattuja liittymänumeroja ryöstöviljellään kalastelurikollisuudessa. Tämä on Kyberturvallisuuskeskuksen havainto (mutta ei selitys).

Mikä tahansa numero voi olla siis krakkeroitu häiriöpuheluiden käyttöön, eikä numerotiedustelusta saatu tieto voi varmentaa soiton todellista alkuperää. Todella huonolla tuurilla puhelu voi tulla jopa kaverin numerosta. Kaapattuihin numeroihin soittamisesta takaisin ei pitäisi voida tulla laskua soittajalle.

Poliisillekin voi ilmoittaa, mutta tulisi tietää, mitä vahinkoa häiriösoitosta on tapahtunut. Vanhoilla opeilla estämme virusten ja roskapostin leviämisen, ja me torppaamme kalastelua verkossa. Niillä eväillä en tätä selvitä. Jälleen kerran rikolliset näyttäisivät olevan askeleen edellä, valitettavasti.

Huijausta epäiltäessä, olkootkin täysin absurdi, tapahtuma tulee ilmoittaa Kyberturvallisuuskeskukselle.

Osallistu haittanumeroiden leimaamiseen

Puhuvan huijari on kohinaa iisimpi hyökkääjä. Tämä yrittää puhumalla päästä hallitsemaan tietokonettamme. Se yrittää suostutella uhria asentamaan läppärilleen maksuttoman etähallintaohjelman, kuten Anydesk, TeamViewer, SupRemo, Alpemix, Zoho Assist, tai muu vastaava. Windowsin lisäksi näiden apsien versiot toimivat usein myös MacOS:lla ja Linuxilla. Soittaja manipuloi uhrin asentamaan ohjelman.

Huijarin kanssa on pidettävä huoli, ettei anna pankkitietoja, mitään kuvia tai henkilöpapereita. Rikollista ei kannata ylipäätään kuunnella pitkään. Yhden sortin mobiilihuijari pyytää ostamaan Google Play tai iTunes -lahjakortteja, mutta ehdottaa myös virtuaalivaluuttaa ja tilien koodit. Aneluun ei tietenkään tule suostua.

Anyways, jokaisen meidän kohdalle sattuu yhä useammin huijauspuheluja. Itse toimin niin etten vastaa, mutta googlaan numeron. Usein se aiemmin varmistui hetimiten, että kyseessä on jonkin sortin haitta tai huijaus – nyt jollakin tekniikalla, kuten edellä kerrotaan, voidaan napata lennosta ”oikea numero”.

Numerohakusivuilla muuten toimii palautelaatikoita häirikkötapauskuvauksia varten. Itse ainakin annan mennä aika rajusti luokittelut siitä, kuinka haitallinen puhelu on ollut.

Google paljasti haavoittuvuuksia laitealustoissa

20.1.2021 Reijo Holopainen

Kyberhyökkäykset terveydenhuollon toimijoita vastaan koronapandemian aikana ovat tuomittu erityisen raukkamaisina tekoina. Kansainvälistä koronatutkimusta tekevä softafirma eResearchTechnology joutui viime vuoden puolella kiristysohjelmahyökkäyksen uhriksi. eResearchTechnologyn ohjelmia käytetään kliinisissä kokeissa Pohjois-Amerikassa, Euroopassa ja Aasiassa.

Osin kyberiskuissa on käytetty haavoittuvuuksia, jotka ovat syvällä käyttöliittymän alla, eikä käyttöjärjestelmävalmistaja pääse estämään niitä.

Tämä on pääsyy siihen, miksi Googlen haavoittuvuusskanneri Android Partner Vulnerability Initiative (PVI) tuotiin julkisuuteen. Tutka etsii haavoittuvuuksia piireistä ja erityisesti Androidia käyttävien puhelinvalmistajien laitteista.

Google julkaisi vikalistan

Google tiedotti kolmansien osapuolten tietoturvapuutteista erityisellä vikalistallaan. Bugikalleriaa päivitetään. Uuttakin on: Kun havaitaan vakava haavoittuvuus, siitä vastuussa olevat tahot, piiri- ja älypuhelinvalmistajat, tuodaan julkisuuteen.

Julkisuuden kanssa pelaaminen näyttää Googlen tiedotuksessa ikään kuin triviaalilta seikalta, mutta tosiasiassa medianäkyvyys ehkä onkin koko homman clue. Valmistajat reagoivat Googlen listauksiin esimerkiksi fraasiksi muuttuneelle teesillä: se ei ole bugi, se on ominaisuus.

Eräänlainen tietty linnarauha ja kauhuntasapaino näyttää nyt murtuneen kuin suuri pato, joka päästää ulos valtavan purkautumattoman paineensa.

Tiedetään, että puhelimeen esiasennetut sovellukset ja ajurit tekevät jotain muuta kuin mitä hövelisti kerrotaan: esiasennukset saattavat vuotaa salasanoja ja avata portteja. Myös erilaisia laitetietojen käyttöoikeuksia on vuotanut kolmansille osapuolille.

Erilaisia haavoittuvuuksia laitevalmistajien omissa sovelluksista ja mikrokoodeissa on epäilty löytyvän aina, ja tähän asti se on ollut tabu. Haavoittuvia kohtia ovat esimerkiksi prosessorien ja piirilevyjen omat ohjaimet. Rautataso toimii Googlen ylläpitämän Android-käyttöjärjestelmän kernelin alla.

Datavuodot menevät kuitenkin helposti käyttiksen valmistajan piikkiin, ja Googlelle näyttäisi tulleen mitta täyteen.

Android Partner Vulnerability Initiative löytää Android-käyttöjärjestelmän alla piilossa lymyävät haavoittuvuudet. Google linkittää listaansa teknologiavalmistaja Digitimen sekä piirivalmistajista Mediatekin.

Google nostaa Oppon-, Vivon-, ZTEn-, Transsion-, Meizun- ja Huawei-puhelimet tieturvaltaan kyseenalaisiksi.

Lista ei yllätä, koska se on kiinalaispainotteinen. Mutta ei se PVI myöskään mikään ihmekone ole, joka tekisi uusia löytöjä yötä päivää. Lista päivittyy hitaasti.

Android-ohjelmistosta löytyviä puutteita ei korosteta, mutta saattaa joskus olla vaikea osoittaa, oliko haavoittuvuutena muna (koodi) vai kana (rauta). Tämän analyysin sijaan fokukseen nostetaan laitevalmistajat. Näiden ilmiselvästi toivotaan julkisuuden myötä vastaavaan nopeammin esimerkiksi turva-aukkoihin koodattaviin päivityksiin. Se on tärkeä askel tietoturvan tiellä.

Monilla laitteilla paikkakoodien julkaisu on ollut liian verkkaista ja vastentahtoisen oloista.

Tietoturvan suojaamiseen tarvitaan omatoimisuutta ja kotimaisuutta

4.1.2021 Reijo Holopainen

Tietoturva on vakavasti otettava haaste – siitä saadaan tämän tästä uusia vahvistuksia. Kyberrikollinen ei sananmukaisesti nuku: ilkeät iskut firmoihin ja organisaatioihin tapahtuvat öisin, kun muut nukkuvat.

Usein se murtohomma onkin helppoa kuin heinäteko. Tästä tulee nyt hyvä esimerkki.

USA:n entisellä presidentillä Donald Trumpilla ei ollut Twitter-tilillään toiminnassa kaksivaiheista tunnistautumista, eikä palvelu mennyt lukkoon, vaikka tunkeutuja siihen syötti aluksi neljä kertaa väärän salasanan.

Taitava rikollinen viilsi tilin auki viidennellä kerralla: hän syötti salasanan ”maga2020!”

Kaikki ei ole tekniikkaa, vaan intuitiota (joka on salonkikelpoinen nimi selvänäölle).

Gevers oli yksi krakkereista, joka pääsi viimeksi käsiksi Trumpin tiliin jo vuonna 2016 salasanan arvaamalla.

Melkein kaikkia annettuja tietoja voidaan käyttää kyseistä höveliä henkilöä vastaan. Ja se tapahtuu kun uhri vähiten sitä odottaa.

Jätämme itsestämme tiedostamatta paljon jälkiä internettiin. Niiden perusteella mainostajat ja palveluntarjoajat mainostavat ja tarjoavat juuri sinulle sopivia tuotteita ja palveluita. Paha puoli on se, että taitava kyberrikollinen näkee yleisestä tiedosta, mikä on salasanan runko, ja mitä numeroja siinä mahdollisesti on.

Oma käyttäytymisemme on tärkeää. Kun on hallinnassa mitä dataa vuotaa verkkoon, tulee teknisen suojauksen vuoro.

Siirretään kaikki data ensinnäkin kotimaiselle palvelemille. Jos mennään pidemmälle, puhutaan salauksesta.

Psykoterapiakeskus Vastaamon tyyppiset tietomurrot, jossa viedään dataa kiristystarkoituksessa, voidaan estää kryptaamalla ja varmuuskopioimalla potilasdata.

Tietomurrot voidaan estää ja data salata

F-Securen tietoturvajohtaja Erka Koivunen kuvailee tähän psykoterapiakeskukseen kohdistunutta tietomurtoa sydämettömäksi kiristämiseksi, mutta huomauttaa, että tietomurto olisi voitu estää. Suomalaisen F-Securen tarjoamat työkalut ovat erittäin hyviä, tekniikaltaan standardoituja, joita myös Sollertiksen kautta voi kysyä. Tarjoamme mm. F-Securen radar-suojausta.

Vaikka jopa kymmenien tuhansien suomalaisten arkaluontoisia tietoja joutui vääriin käsiin murtamalla Vastaamon pääkäyttäjätunnus, arkaluontoisten terveystietojen vuotaminen ei ole uusi ilmiö. Tapahtuu paljon myös tietojen avulla kiristämistä, mutta nämäkin teot muuttuvat koko ajan raaemmiksi.

Ei sattuma, vaan valikoitunut kohde

Onneton Vastaamo.fi näyttäisi seuloutuneen haaviin sopivaa tietomurtokohdetta haravoitaessa. Siis isku tapahtui kohteeseen, jossa oli heikko suojausjärjestelmä ja tarjolla herkkäluontoista data.

Jos firmassa todetaan, että datan suojaaminen on liian kallista ja hankalaa, on syytä huolestua.

Datan voi tallettaa verkosta irrotetulle arkistokoneelle, koska esimerkiksi terveystietoja ei voi noin vain hävittää.

Varminta on budjetoida tietoturvaan ja -suojaan, suunnittelusta alkaen. Loppupelissä se tulee halvemmaksi vaihtoehdoksi. Kun vahinko käy, yrityssalaisuudet ja asiakastietorekisterit ovat kauppavaraa Tor-verkon hämärillä markkinoilla huumeiden tapaan.

Uuden polven näppäinnauhurit iskivät älypuhelimiin

11.12.2020 Reijo Holopainen

Näppäinnauhurit ovat pieniä ohjelmia, jotka livahtavat sisään laitteeseen, toimivat taustalla ja tallentavat kaikki tekemämme näppäinpainallukset. Mobiiliympäristössä toimii uusissa kuosissa salakavala vanha riesa.

Entisestä elämästä, pöytäkoneiden maailmassa tutut rootkitit sieppasivat nauhureillaan koneiden lukituskoodit lennosta, ja avasivat takaovet muropurukoille.

Uuden polven näppäinnauhurit esiintyvät valevaatteissa. Niitä myydään esimerkiksi viranomaisten pakkokeinotyökaluina etsintöihin ja ratsioihin. Samoin vakoojaohjelmaa kaupataan lasten vanhempien apulaisiksi teiniensä paimennuksessa. Kuulostaa jenkkiläiseltä, mitä se onkin, mutta kauppasivustolla kieliversioita löytyy myös suomeksi.

Tätä näppäinnauhoittajien uutta aaltoa pidetään moraalisena ja eettisenä ongelmana.

Tapasimme Keylogger-ohjelmakoodin iPhonessa. Hide UI sieppaa koodin talteen, nauhoittaa sen, kun puhelimen omistaja näpyttelee laitteensa näytön auki. Hide UI on tavattu toimimasta synkassa GrayKey-nimisen laitteen kanssa. Koodi on peräisin Grayshift-yritykseltä. Erikoista tapauksessa on NBC Newsin dokumentaation mukaan, että tämä digitaalinen murtoväline on Yhdysvalloissa poliisiviranomaisten etsintöjä koskevissa pakkokeinovalikoimassa. Pakkokeinolaki USA:ssa ei ole muutenkaan maailman kehittyneimmästä päästä, ja etsintäluvat joskus, mitä sattuu, ”epäamerikkalaisten” ihmisten seurailua. NBC News julkisti FBI:n nimettöminä pysytelleiden virkailijoiden kriittisiä lausuntoja.

Tätä aina joskus kysytään, mistä ne aloittelevat krakkerit saavat käyttöönsä haluamiaan työkaluja? Ehkä asiaa on syytä miettiä.

Siinä on pieni mutka, jolla yritetään pysyä laillisuuden puolella – vaihtelevalla menetyksellä.

Esimerkiksi Spyrix Personal Monitor ohjelman mainostetaan sopivan ”täydellisesti vanhempien tai työnantajien tarpeisiin”. Myyntisivulla kirjataan työkalun tärkeimmät ominaisuudet: se mahdollistaa ”etävalvonnan turvalliselta web-tililtä”.

Keylogger (näppäilyn tallentaja) ohjaa myös kohteen ”elävään katseluun kamerasilmän avulla”. Tämä siis striimaa läppärin tai tv:n kamerasilmän kuvaa, jos edessä ei ole estettä.

Sitten kaiken kukkuraksi tarjotaan Spyrix Viewer -työkalua kaukokatseluun Android- ja iOS-laitteissa.

Mobiililaitteet kohteena

Entäpä edellisen hirmun ilmainen karvalakkiversio Spyrix Keylogger: sen kerrotaan olevan ilmainen ja helppokäyttöinen haluttujen käyttäjien toimintojen tallentamiseen.

Ilmainen keylogger, eli näppäilyn tallentaja, tallentaa kaikenlaisen näppäilyn näppäimistöllä, ottaa näytöstä kuvankaappauksia ja hallitsee leikepöydän sisältöä. Wau!

Ohjelman jakamista perustellaan näin: haluat varmistaa lapsiesi turvallisuuden Internetissä, ja estää lasten vierailut ei-toivotuilla sivustoilla.

Kaapattujen mobiililaitteiden datan imurointi ja katselu tapahtuu erityisellä mobiilisovelluksella, Spyrix Viewerilla, joka lukee niin Androidit kuin iOSit. Lisäksi Spyrix Viewerin kerrotaan pysyvän 100 % piilossa virustorjuntaohjelmistoilta. Valitettavasti kybervakooja näyttäisi ohittavan ainakin helpot esteet. Ei hyvä.

Korona haastaa edelleen etäyhteyksien suojaamisen

27.11.2020 Reijo Holopainen

Organisaatioilla pitää löytyä selvä käsitys siitä, mikä osa ja miksi verkkoliikenteestä kulkee salatun VPN-yhteyden kautta, ja mikä data on avoimessa verkossa.

Suojatun sisäverkon tiedostojenjakopalvelut tulivat viime keväänä yhtäkkiä suojattujen intranet-saarekkeiden ulkopuolelle. Pahimmillaan data virtasi suojaamattomana julkisessa internetissä. Monenmoiset laitteet, samoin kuin niiden käyttäjät, altistuvat väärinkäytöksille, tietää Traficomin kyberturvallisuuskeskus.

Myös suojauksia on yritetty työkseen murtaa: jälkiä VPN-hyökkäyksistä löydetäänkin lokitiedostoista yhä enemmän. Raskailla murotyökaluilla kopaistaan paikasta jos toisestakin, onko sinne jäänyt heikko salasana tai solmu, joka viilletään auki.

Korrelaatio etäyhteyskuormituksen ja koronapandemian aiheuttaman hyökkäysbuumin välillä ei kuitenkaan ole aivan selkeä. Ainakin yksi tekijä on.

VPN-verkkoihin kohdistuvat hyökkäykset ovat lisääntyneet rajusti tänä vuonna. Mutta osin se näyttäisi ainakin olevan suhteessa VPN:n lisärakentamiseen.

Kuormitus kertoo suojaputkien koklauksesta

Lisäksi VPN-yhteyksien lisääntynyt käyttö saattaa olla monen tekijän seurausta, ja periaatteessahan tietoturvan auditointi näkyy myös kuormana.

Ajatus näiden turva-asioiden tarkastelusta myöhemmin leppoisampina aikoina on huono: kyberrikollisia kiinnostaa ottaa ilo irti hetkestä.

Kyllä, he tekevät melkoista tiliä korona-aikaa hyväksikäyttäen, jos joku sitä vielä epäilee.

Juuri VPN-tunneloinnin hätäratkaisut valitettavasti näkyvät myös kyberturvallisuuskeskuksessa, kun se selvittää murtotapahtumia. Seurannasta ilmenee, että tämän vuoden maaliskuussa suojaamattomien laitteiden määrä Suomen verkoissa kasvoi neljänneksellä vuoden alusta.

Onko varamiesjärjestelmä kunnossa?

Kiinnostaisi tietää, onko organisaatiossa tehty tätä selvitystä: ovatko jotkut liiketoiminnan prosessit tai järjestelmät ainoastaan yhden henkilön varassa? Jos näin on laita, niin nyt viimeistään olisi syytä ruveta miettimään, onko kaikki käyttö ja data dokumentoitu pahanpäivän varalle, ja mikä on tilanne potentiaalisten varahenkilöiden koulutustason kanssa?

Yksi osaaja pitää olla aina varalla.

Jyrkässä kasvussa tänä vuonna ovat myös tietojen kalasteluyritykset.

Kyberturvallisuuskeskuksen tietoon on tullut niin organisaatioihin kuin yksityishenkilöihin kohdistuneita kiristys- ja kalasteluyrityksiä.

Kansalaisten henkilö- ja tilitietoja haalitaan yhä aktiivisesti erilaisten varkauksien mahdollistamiseksi. Tili tyhjäksi, tai jos saadaan luottokorttinumero, se pannaan vinkumaan.

Yhdessä tapauksessa rikollinen yritti luoda erikoisen transaktiotason, jossa luottokortin haltija ei huomaisi kuukausittain rikollisesti luottokorttitilillä tehtävien ostosten kokonaissummaa.

Googlelta myrskyvaroitus kevään suursiivouksesta

17.11.2020 Reijo Holopainen

Botti tulee ja tekee selvää datasta, joka ei enää kiinnosta omistajaansa, mutta se kuormittaa Googlen datataivasta. Miljoonia gigatavuja vapautuu uuteen käyttöön.

Ilmaispalvelun pilvi ei ole turvallisin mahdollinen datan säilytyspaikka. Se on tietoturvatasoltaan alhainen ja omistajan mielivallan armoilla. Tästä antaa tutaa nyt jätti nimeltä Google.

On huomautettava toisaalta, että eihän Google käyttösopimuksessaankaan lupaakaan mitään – ei vastuuta vahingoista, poistoista, ei tietoturvasta eikä tietosuojasta, jota sen uusin uhkaus kylläkin palvelee.

Google kertoo, että sen pilveen käyttämättä ja unohduksiin jäänyt data deletoidaan pois tallennusresurssista.

Muutos on tarpeellinen hyvän tallennuspalvelun tarjoamiseksi ja kasvavaan kysyntään vastaamiseksi. Samalla tosin varmistuu, ettei sen pilveen unohtunut data jää sinne kyberrikollisten saaliiksi. Tämä on puhdistuksen hyvä puoli.

Kuinka aktiivinen Googlen palveluiden käyttäjä olet?

Googlen maine perustuu markkinoiden tehokkaimpaan hakukoneeseen. Mutta vuosien mittaan konsepti on paisunut kuin pullataikina.

Googlen Gmailia ja Google Drivea, johon sisältyy Google Docs, Sheets, Slides, Drawings, Forms ja Jamboard, siirtyy omaehtoiseen datan tuhoamiseen.

Ankara aikasakko paukahtaa päälle, jos palveluja ei ole nykäistykään kahteen vuoteen. Uhka koskee tilejä, joissa tallennusraja on ylitetty.

Delete-komennot realisoituvat kuitenkin vasta yhtiön mielestä kohtuullisten, ja useasti toistetun ennakkoilmoitusajan jälkeen. Wau!

Ehto ei realisoidu Googlen mukaan, jos käyttäjä asioi sen palveluissa selaimella tai askartelee muissa Googlen-sovelluksissa. Aktiivisuusmittari on botti – samoin sen pyyhkijätoiminnot. Parametrien mukaan palvelun käyttäjä katsotaan aktiiviseksi, jos hän vierailee esimerkiksi Docsissa tai Sheetsissä.

Kuvien pläräys ei itsessään tarkoita, että Gmailin pilvessä tiedot olisivat suojassa poistolta.

Se, mikä lasketaan riittäväksi aktiivisuudeksi, jää nähtäväksi. Imaisen 15 gigatavun tallennustilan puhdistus alkaa keväällä tai kesällä 2021. Sitä ennen jokaisen on syytä siirtää rakkaat arkistot muistitikuille.

Google nosti ilmaisen tallennustilan huimaan 15 gigatavuun vuonna 2013. Nyt näyttää raja tulleen vastaan, ja ennen höveli palvelu pyytää rahaa datataivaana toimisestaan.

Tarkista myös Google Drive

Google Driven roskakorilla on omat ohjeet. Siihen tuli muutoksia jo 13.10.2020 alkaen. Tiedostot alkavat poistua, kun ne ovat olleet Google Driven roskakorissa 30 peräkkäistä päivää.

”Jos haluat poistaa tiedostoja Google Drivesta, siirrä ne roskakoriin Voit palauttaa tiedostot roskakorista, ennen kuin 30 päivää on kulunut. Voit myös poistaa ne pysyvästi tyhjentämällä roskakorin. Jos poistat, palautat tai poistat pysyvästi useita tiedostoja tai kansioita kerralla, muutokset saattavat näkyä viiveellä”, yhtiö tiedottaa.

Hankalasti kerrottu. En muuta sano.

Chrome-tietoturvaoppia etätyötarpeisiin

23.10.2020 Reijo Holopainen

Etätyöntekijä joutuu monesti olemaan itse oma mikrotukensa. Selain-haittakoodien tehtailijat taas eivät ole lomailleet koronaepidemian aikana, vaan painaneet pitkää päivää. Joten katsomme nyt muutaman tietoturvan perusasian kuntoon.

Tarvitaan Chromen selainversio 81.0.4044.113. Selain päivittää itsensä automaattisesti Windows-, Mac- ja Linux-alustoille, toivon mukaan. Päivitykset saattavat näkyä käyttäjälle selaimen muuttuneena ulkoisena ilmeenä. Yleensä ei muita toimia tarvita kuin selaimen sulkeminen ja uudelleen starttaus. Oikeassa yläreunassa havaitsemme “Chromen muokkaaminen ja hallinta” -ikonin. Kuvakkeen väri muuttuu, jos yhtiö on päivittänyt selaimensa lähdekoodia – on siis jakamassa haavoittuvuuteen koodaamansa paikkauksen – ja se on odottamassa selainmuistissa.

Värit puhuvat

Seuraavassa värikoodit, joita asennusta odottavia päivitykset käyttävät. Värit kertovat, kuinka kauan aukon paikka on ollut saatavilla:

Vihreä: Päivitys on julkaistu alle 2 päivää sitten.
Oranssi: Päivitys on julkaistu noin 4 päivää sitten.
Punainen: Päivitys on julkaistu vähintään viikko sitten

Jos ikoni on hapantunut väriltään punaiseksi, tilanne ei ole tarkoituksenmukainen: olemme vaikeuksissa. Googlen kaikki Chrome-selaimen myös kriittiseksi luokitellut haavoittuvuudet viestivät tällä samaa värisapluunalla päivitystarpeestaan. Siksi vihreä on jo käyttäjälle merkki välittömistä toimista: tapamme selainruudut, suljemme Chromen ja käynnistämme sen uudestaan.

Jos yläkulman ikoni ei selaimen lopetuksen ja uudelleenkäynnistymisen myötä normalisoidu alkuperäiseen muotoonsa on jotain pielessä: selaimessa on jäänyt joku sivu auki tai on tapahtunut jokin muu virhe. Tämäkään ei ole tavatonta, että joku haittakoodi yrittää estää päivityksen asennuksen selaimelle. Tällainen haavoittuvuus tavattiin Chromen puheentunnistustoiminnossa. Bugi mahdollisti rikollisille aukon iskeä selaimeen etänä. Hyökkääjä saattoi ajaa omaa koodiaan uhriksi valikoituneessa tietokoneessa – jossain tapauksessa normaalit selaimen esittämät varoitukset torpaten.

Herjaa joka lähtöön

Tilanne on pahin mahdollinen, jos ikoni ei palaudu oikealle ylös. Silloin Google Chrome ei todennäköisesti pysty päivittämään itseään. Selain herjaa virheestä tarkistettaessa päivityksiä, esim. “päivityspalvelin ei ole käytettävissä”. Odotamme, ja yritämme uudelleen. Myös nämä herjat ovat mahdollisia:

“Päivitystarkistuksen käynnistäminen epäonnistui.”

“Virhe tarkistettaessa päivityksiä: lataus epäonnistui.”

Yritämme uudelleen.

Oma lukunsa on tämä herjaus: “tämän tietokoneen Chromea ei enää päivitetä, koska Windows XP:tä ja Windows Vistaa ei enää tueta.” Mikään ei auta. Emmekä yritä uudelleen. Tietokoneen uusiminen on väistämätön toimi.

Kylmäjäähdytys periytyy DOS-ajalta

Taas selainpäivityksessä jumittunut Windows-tietokone, tätä tapahtuu, tulee sulkea mieluisten vanhalla kylmäjäähdytyksellä: Näppäinyhdistelmällä Ctrl + Alt + Del, järjestyksessä kaikki alas painettuna n. 5 sekuntia, ja esiin tulee tehtävienhallintaikkuna, jossa näkyvät kaikki käynnissä olevat ohjelmat ja prosessit: viemme kursorin selaimen ikonin päälle, painamme hiiren oikeanpuoleista painiketta: lopeta tehtävä. Päivitys asennetaan, kun käynnistämme selaimen seuraavan kerran. Tehtävienhallinnan kautta selain tapettaessa, se tallentaa avatut välilehdet, docs-dokumentit ja muut ikkunat. Selain avaa ne käynnistyessään uudelleen. Kuitenkaan Incognito-ikkunoita ei avata automaattisesti uudelleen.

Tietokoneen näyttö, jossa on tehtävienhallinta auki.

Vetoomus kybermaailman ammattirikollisille: ”säästäkää sairaalat” – se toimii

16.10.2020 Reijo Holopainen

”Meillä on työkalut, tietämys ja asiantuntemus globaalin yhteisön suojelemiseksi”, julistaa Globaali Internet-tietoturvayritys Fraudwatch International. Yhtiö on luvannut jäljittää ja ilmoittaa COVID-19-huijauksista – ja julkistaa blokattavaksi heidän verkkotunnuksiaan reaaliaikaisen sovellusliittymän kautta.

Melbournessa, Australian pääkonttoria pitävä turvallisuusyritys kertoi, että tämä on yksi monista askeleista, joita se on ryhtynyt ottamaan huijareista vastaan: metsästämään rikollisia, jotta koronaviruksen vastaiset torjuntatoimet eivät vaaraannu. Terveydenhuollon organisaatioiden ja sairaaloiden tietoturva ei ole samalla tasolla kuin yrityspuolella, vaikka asiasta on vaahdottu tämän tästä. Avun tarjouksiin tavallinen vastaus saattaa mennä rataa ”me huolehdimme tietoturvastamme itse”, se tapahtuu vaihtelevalla menestyksellä, valitettavasti. Pahimmillaan dataturva ei ole ammattimaista tasoa, vaan purkkaviritysten varassa. Valtion yhtiöistä monilla, kuten VR:llä, on sama meno: pärjätään omin voimin, he vastaavat. Tunnetuin seurauksin, voisiko sanoa.

Sairaaloille työrauha

Pandemian aikana sairaalat ovat nyt avainasemassa, joten rauhan puolesta rikollisiin on vedottu kuin sodassa konsanaan. Tiettävästi muutamat kiristysohjelmaliigat ovatkin keskeyttäneet toimintansa – Fraudwatch Internationalin sekä F-Securen tutkimusjohtaja Mikko Hyppösen esitettyä kiristysohjelmien levittäjille vetoomuksen olla hyökkäämättä sairaaloihin ja muihin terveydenhuollon organisaatioihin.

Vaikka Hyppösen twiittaus ransomware gangs –nimellä määritellylle ryhmälle sisälsi uhkauksen: ”jos iskette sairaalan tietojärjestelmiin pandemian aikana, käytämme kaikki voimavaramme teidän metsästämiseenne”, on vetoomus yllättäen purrut. Ottaen huomioon vieläpä se, että saattaa olla psykologisesti väärin esittää vetoomus ja siinä samassa nootissa uhkauksia.

Hyppönen laittoi aisoihin pahan Mazen

Hyppösen arvion mukaan löytyy tahoja, jotka ovat tehneet kyberrikollisuudesta leipäpuun itselleen, mutta ovat keskeyttäneet häiritsevän toimintansa koronaepidemian takia. Ensin näytti siltä, että rikolliset vain villiintyvät poikkeuksellista olosuhteista, esim. Postin häirinnässä. Aidossa saapumisilmoituksessa kerrotaan noutopaikka osoitetietoineen, eivätkä ilmoitukset kehota antamaan tilitietoja. Pakettien kulkua voi seurata OmaPostissa.

Kiristysohjelman uhriksi joutui muun muassa Brnon yliopistollinen sairaala Tsekissä. Nyt mennään toista vaihetta. Hyppönen nimeää Mazen. Vaarallisena pidetty kiristäjä Maze Ransomware Gang ilmoitti verkkosivuillaan, että hyökkäykset kaikkia terveydenhuollon toimijoita vastaan on lopetettu toistaiseksi. Aiemmin Maze on yrittänyt muuntaa uhrit suojelusrahaa maksaviksi lypsylehmiksi.

– Tiedot eivät ole heille tärkeitä. He eivät halua ansaita pelkästään rahaa, vaan käyttää uhkaa puhtaasti vipuvaikutuksena saadakseen yritys maksamaan suojelusta, kirjoittaa DataBreachToday & Europe -palvelun päätoimittaja Mathew J. Schwartz. Jospa mafiamaisesta ja mahtailevasta käyttäytymisestään tunnettu Maze toimii esimerkkinä pienemmille toimijoille.

Kuluttajat koronajan tähtäimessä

Terveydenhuoltoa vastaan tehdyt kiristysohjelmahyökkäykset eivät ole enää lisääntyneet, mutta eivät erityisen selvästi vähentyneetkään koronapandemian pahenemisen myötä. Uusi hyökkäysaalto saattaa olla luvassa pandemian jälkeen.

Sen sijaan kuluttajat ovat kokeneet valtavia piikkejä verkkohyökkäyksissä, jotka ovat naamioituneet koronaviruksen tiedotukseksi ja tueksi. Nämä hyökkäykset koostuvat muun muassa haitallisista mobiilisovelluksista, vilpillisten tuotteiden mainostamisesta. Check Point kertoo maaliskuussa havainneensa, että yli 6 000 uutta koronavirukseen liittyvää verkkotunnusta oli rekisteröity vain viikossa: näistä se havaitsi 2200 epäilyttäviksi ja vahvisti 93 haittaohjelmien levitysalustaksi, kertoo Computer Business Review magazine.

Any Run analysoi tematiikaltaan koronaan liitettyjä hyökkäyksiä. Piirakkamalli analyysista.

Any Run analysoi tematiikaltaan koronaan liitettyjä hyökkäyksiä. Analyysi paljasti yhdellä viikolla kymmenen pahinta COVID-19-aiheista hyökkäystä haittaohjelmatyypin mukaan.

Nyt yritykset identiteettikaappausten kohteina

2.10.2020 Reijo Holopainen

Uusi huijausbuumi, miljoona soittoa kuukaudessa, rasittaa myös pk-yrityksiä. Poliisitutkinnassa eri puolilla Suomea on jo satoja (yksin Helsingissä kymmeniä) samankaltaisella kaavalla toteutettuja epäiltyjä törkeitä petoksia. Ylisummaan kaikki, mikä ennen kohdistui yksittäisiin ihmisiin: tietojenkalastelu, identiteettivarkaudet, tilausansat, ynnä muu, se kohdistuu nyt kasvavalla paineella yrityskenttään. Teot kohdistuvat yrityksiin Suomessa, etenkin rakennusalan konevuokraamofirmoihin. Poliisin havaintojen mukaan ulkomailla toimivat liigat värväävät Baltiasta ja Romaniasta kenttäväkeä Suomeen. Yrityksiä kehotetaan tarkistamaan heille tilauksen tehneen uuden yrityksen oikeat yhteystiedot useista lähteistä ja muuten varmistamaan tilauksen oikeellisuus: soittamalla tilaajayritykseen.

Teonkuvauksessa yrityksen identiteetti kaapataan huijauksen toteuttamiseksi. Rikolliset sieppaavat kohteeksi valikoituneen suomalaisen yrityksen, yleensä rakennusalalta. Tekaistusta sähköpostiosoitteesta toimien lähestytään sitten jotakin toista yritystä haluten vuokrata koneita ja laitteita, ynnä muuta tarpeistoa.

Yritykset eivät itse tiedä rikoksista

Yrityksillä, joiden nimissä toimitaan, itsellään ei todellisuudessa ole yhteydenottojen kanssa mitään tekemistä. Mutta välikappaleena kulloinkin käytetyn yrityksen tiedoilla ratsastetaan: Firman toiminnasta vastaavan henkilön nimi ja yrityksen oikea osoite täsmäävät. Nämä tiedot liitetään huijaussähköposteihin uskottavuuden luomiseksi. Menetykset yritykselle ovat kymmeniä tuhansia euroja. Esimerkiksi näin saaliiksi saatu Yanmar Vio 20- minikaivuri vietiin laivalla Viroon. Koneen GPS-paikannus oli rikottu jäljittämisen vaikeuttamiseksi.

Yhteydenpitoon tarvitaan muutakin. Väärennettyjen sähköpostiosoitteiden lisäksi käytössä on suomalainen prepaid-numero. Myös numeroiden spooffaus on käytössä. Väärennetyt puhelut (esim. Windows-Helpdesk-huijauksissa yrityksille puhutaan nyt myös selvää suomea) näyttävät tulevan tavallisista suomalaisista puhelinnumeroista. Huijauksia ei pysty etukäteen havaitsemaan pelkästään puhelinnumeron perusteella. Puhelinnumeroista spoofaus eli numerokentän väärentäminen ei teknisesti ole kovinkaan haastavaa, mutta sen sijaan spooffauksen torppaus operaattoripäässä ei toimi. Näin olemassa olevia suomalaisten puhelinnumeroita käytetään rikollisessa tarkoituksessa.

Kyberturvallisuuskeskus yhteydessä puhelinoperaattoreihin

Myös robottipuhelut näyttäisivät muuttuneet entistä älykkäämmiksi. Rikolliset käyttävät anastettuja henkilötietoja, mikä ilmenee kohdennetuissa tekstareissa ”teille on tullut paketti”. Tämäkin on osa yrityksiin kohdistunutta uutta rikollisaaltoa. Paketti ja sen lähettäjä ovat todellisia, mutta tekstarina linkki, jossa kerrotaan, että pitäisi muka maksaa joku lisäkulu, että paketti alkaa liikkua. Tekaistu URL-osoite paljastaa tämä vedätyksen.

Botin lähettämä saattaa olla myös Zoom-yhteys-kutsu. Kaapattuja Zoom-tilejä on myyty ainakin ½-miljoonaa sentin muro-osan kappalehintaan Tor-foorumilla. Tämä huijausviestikonsepti sisältää e-mailin Zoom-kokouskutsulinkin, joka johtaa tietojenkalastelusivustolle, joka taas jäljittelee oikeaa Zoomin kirjautumissivua. Sama linkki mobiiliympäristössä robotin lähettämänä tulee MMS-viestinä. MMS voi olla myös muuta, ja avatessa se purkaa koodin puhelimeen.

Sitten. Näyttäsi, että on mahdollista, että huijauksissa yhdistyy kaksi huijaustekniikkaa, puhelin numeron spoofaus ja Wangiri-puhelinhuijaus, joilla soittaja hälyllä manipuloidaan soittamaan kalliisti takaisin tutulta näyttävään numeroon. Jos uhrin puhelinnumeromuistio on anastettu, periaatteessa on mahdollista, että Wangiri-puhelujen numerokenttä manipuloidaan lennosta, vaikkei se ole läheskään yhtä helppoa kuin tavallisissa puheluissa. Kyberturvallisuuskeskus on jatkuvassa yhteydessä puhelinoperaattoreihin, ja Wangiri- eli hälypuheluja torpataan puhelinoperaattorien valvomoissa.