Tietoturva

Avoin lähdekoodi (engl. open source) tarkoittaa määrätynlaisia avoimuuteen perustuvien tietokoneohjelmien tuottamis-, jakamis- ja kehitysmenetelmiä. Takana suuntauksella on loistava menneisyys, joka valitettavasti näyttäisi hiipuvan.

Muutama tietoturvaan liittyvä, kouriin tuntuva ongelmatapaus antaa osviittaa siitä, ettei rehti avoimuus olisi enää voimissaan. Nyt kysytään avoimen lähdekoodin ohjelmistojen ongelmista esim. sitä, ketä voi syyttää, jos ohjelmisto ei toimi?

Tekniikkasukupolven kehitystien pää

Parhaimmillaan, eräänlaisena tietotekniikan hippiaikana (vert. väite: open source on tekijänoikeussosialismia), avoimen lähdekoodin ratkaisut tarjosivat käyttäjälle mahdollisuuden tutustua ohjelman lähdekoodiin, ja muokata koodia omien tarpeidensa mukaisesti, kunhan julkaisevat nämä tekemänsä muunnokset. Se oli jotain muuta kuin Windows salaisine lähdekoodeineen. Muunnokset taas johtivat uusiin lisensseihin. Joillain Linux-versioilla näitä ehto-jargonia pullistelevia lisenssejä on kertynyt kolmisenkymmentä.

Entä sitten, kun lisenssit ovat epäyhteensopivia keskenään – eikä ohjelmien koodeja enää aina voi yhdistää. Open source on myös hankkinut ideoita kaupalliselta puolelta – pahimmillaan tehnyt avatuista ratkaisuista ilmaisia kopioita. Tämä nyt tosin on poikkeuksellista.

Mutta näin on alkanut hahmottua yhden tekniikkasukupolven kehitystien pää. Avoimen lähdekoodin ohjelmien heikosta käytettävyydestä voi kuitenkin puhua, ja käytettävyysasiantuntijoita haastatella asiasta ilman, että sähköposti räjähtää alatyylisestä palautteesta. Haavoittuvuuksille altistavaa rappiota lienee tapahtunut; se on myös havaittavissa.

Mitäpä siis kuuluu Mozillalle?

Yhtiö havahtui eräänä tavallisena toukokuun sunnuntaina laajaan ongelmaan: Firefox-selainlaajennokset eivät käynnistyneet; ne yksikertaisesti eivät suostuneet toimimaan. Käytettävyysongelman taustalla piili erikoinen syy: vanhentunut tietoturvasertifikaatti, joka ei ollut voimassa, mutta jonka voimassaoloon puolestaan selainlaajennokset nojasivat.

Sanotaan, että itseään kunnioittavan ohjelmistotalon tulisi kyetä huolehtimaan siitä, että se uusii sertifikaatit ajallaan. Firefoxin käyttäjät joutuivat tuon viikonvaihteen ajan käyttämään selaimiaan perusasetuksilla. Monet sitten turvautuivat erilaisiin kiertotapoihin, joilla sertifikaattien allekirjoituksen sai ohitettua. Monillahan Chrome on varalla. Eihän tämä ihan ensimmäinen Mozilla Foundationin ongelma ollut (yhtiön ansainlogiikka ei ole ikinä auennut minulle).

Sertifikaattien vanhenemista ei voi selittää millään. Itseään kunnioittavalla ohjelmistotalolla ei luulisi olevan varaa moiseen, vaan sen tulisi kyetä uusimaan ajallaan kaikki tärkeät sertifikaatit. Vika korjattiin Firefoxin versiossa 66.0.4, jonka voi ladata Download.fi-verkkopalvelusta. Firefoxin versiossa 67 loistaa ominaisuus, joka osaa muistin huvetessa automaattisesti poistaa muistista vanhat verkkosivut, jotka siis ovat käyttämättöminä. Muisti syö tietokoneen resursseja, tunnettua. Toiminto on tulossa osaksi Firefoxin Windows-, Linux- ja MacOS-versioita, ja päivitys lupaa vähentää selainvanhuksen kaatuilua. Chromessa vastaava tekniikka on toiminut jo aikapäiviä.

Sen sijaan Googlen kehittämä selaintekniikka, joka säilyttää äskettäin avattuja verkkosivuja välimuistissa mahdollistaa se, että web-sivujen välillä voisi liikkua entistä nopeammin. Mutta muistin kulutus lisääntyy. Firefoxissa puolestaan tämä muistitoiminto jo pelittää täyttä päätä.

Mozilla muuten julkaisi viime syksynä kehittämänsä uudenlaisen Firefox Monitor -palvelun, joka lähettää varoituksen, jos salasanat ja tiedot ovat vuotaneet ulos. Tarpeeseen se tuli.

Päivitämme taas kaikki käytössä olevat virusturvat, sillä älylaitteitamme vastaan hyökätään.

Yksi genreltään troijalainen algoritmi toimii ikään kuin evolutiivisesti orientoituen, etsien uusia mahdollisuuksia levittää haittakoodiaan. Ei ole pikku juttu, jos tämä Androidin haittasovellus Anubis varastaa esimerkiksi PayPalin käyttöoikeudet. Tosi asiassa tämä troijalainen vie kaiken, mikä ei pultattu kiinni. Se on alkujaan konfiguroitu Windows 10:lle. Lisäksi koodista on nyt tavattu versio, joka kykenee kiristämään lunnaita lukittuaan uhriksi päätyneen päätelaitteen.

Valeuutisvirta ja spämmäys eivät ole tietoturvaongelmia, jos rajaus on tiukka. Kuitenkin esimerkiksi vaaralliseksi tiedetyn Anubis-ohjelman arvellaan levinneen myös valeuutissivustoja hyväksi käyttäen. Saastuneella saitilla muka sivuston omat cookiet hyväksyttäessä Android-puhelimiin iskee Anubis, säälimätön kyylä, joka tallentaa näppäilyt ja algoritmillaan erottelee saalistaan rahanarvoiset salasanat ja käyttäjätunnukset.

Olinkin erilaisia EU:n määräämiä tietosuojalausekkeita hyväksyessäni sopivasti epäillyt, ”onkohan tämä hyväksytyksi klikkaus aina ihan turvallistakaan (?)”.

Ei välttämättä ole.

Useita vuosia riehunut Anubis naamioituu uudestaan, kun yksi jakopaikka paljastuu. Ehkä nimi Anubis, muinaisen Egyptin muumioinnin jumala, on enteellinen.

Googlella tuntuu olevan vaikeuksia estää haittaohjelmamuunnoksien hyökkäyksiä alkaen siitä, että haittakoodi lymyää sen omassa Play-kaupassa putkahtaen esiin mitä ihmeellisemmissä valesovelluksissa.

Sovelluksista, joita Google on jo poistanut Play-kaupasta, löytyy kokonainen kauhugalleria.

Tarvitaan yhteisiä ponnistuksia netin alamaailman toiminnan suitsemiseksi. Facebook valmistelee uusia keinoja fake news –toimintaa vastaan: vanha toiminto, jolla muun muassa jäädytetään käyttäjiä, saa uusia turvaominaisuuksia. Laajennus informoi esimerkiksi siitä, onko kyseisellä sivulla aiemmin julkaistu väärää tietoa tai harhauttavia linkkejä.

Tavallisimmillaan vakoojaohjelma Anubis leviää esittämällä uhriksi valikoituneelle käyttäjälleen väärän ilmoituksen järjestelmäpäivityksestä. Kojeeseen latautuu Anubis.

Trend Microin mukaan Anubis-troijalaista käytettiin laajamittaisessa haittaohjelmakampanjassa, joka kohdistui 377 pankkisovellukseen. Ainakin 93 maassa operoitiin kaikkialla maailmassa. Uhreina pankit kuten Santander, RBS, Natwest ja Citibank sekä transaktiosovellukset, kuten Amazon, eBay ja PayPal, näkyvät saastuneitten luettelossa.

Testaamme Windows 10 IoT Core –järjestelmää.

Osaltaan Win Core ikään kuin viestii, että MS on yhä mukana geimeissä ja läsnä esineiden internetissä. Ei uskosi, mutta mukana on jotain menneiltä vuosikymmeniltä tuttua menoa. Aina joku takaportti on voinut jäädä jää auki troijalaisille. Niin nytkin.

Win 10 IoT Core on erilaisille pientietokoneille, älymoduuleille ja muille vanhan IoT-genren esineiden internet – laitteille räätälöity ilmainen versio Windows 10:stä.

Joku voi kysyä, miksi yhä tuota vanhaa IP-pohjaista esineiden internetiä pidetään kehissä?

Se on hyvä kysymys. Suojaamaton IoT on mitä on, mutta sen ympäristön anturit ja moduulit ovat yli kaksikymmentä kertaa halvempia kuin samaa asiaa ajavat osat jossain hienonhienossa, toimintaympäristöltään 128-bittisessä Lorassa.

LoraWan-verkko toimii sekin, mutta maksaa ihan mukavasti.

Huomautanpa muuten, että NB IoT on jäänyt jälkeen. NB:n standardit päivittyvät koko ajan, peräti 14 toinen toistaan paikkaavaa standardia – vaikka laitteet, kaiken järjen (ja tuskastuneiden anturivalmistajien) mukaan, olisi aika saada kentälle.

Vaatimattomiin tarpeisiin riittää vähempikin, mutta ei sitten ole ihme, jos haavoittuvuudet ja troijalaiset ovat läsnä. Ei tämä Windows 10 IoT Core silti mitään karvalakkitekniikkaa ole, ajaa asiansa. Ja yksi esineinternetin idea on pitää kiinteät kulut mahdollisimman pieninä.

10 IoT Coren haavoittuvuus muhii erikoisessa paikassa: sen työkalunomaisessa testipenkissä.

Kyseessä on IoT Core’s Sirep Test -palvelu, jonka avulla käyttäjät voivat suorittaa testejä tietyillä laitteistoilla.

Tietoturvatutkijat havaitsivat, että tätä IoT Core’s Sirep Test -palvelua voidaan väärinkäyttää paljastamaan etäkomentorajapinta, jota taas on mahdollista käyttää järjestelmän kaappaamiseen, kun IP-osoitteet loistavat ulos suojaamattomina.

Tämä haavoittuvuus avasi Windows 10 IoT Coren ilmaisversiossa hyökkääjälle täyden määräysvallan eli pääkäyttäjäoikeudet kohdejärjestelmässä. Maksullisesta versiosta troijalaisen mentävä bugi puuttuu, kertoo haavoittuvuuden määritellyt SafeBreach’n tutkija Dor Azouri.

Erikoisuus tämäkin: ilman maksua pääsee vain riisutulle testialustalle, jota ei ole debugattu.

– Tämä hyökkäys hyödyntää kaapeleihin liitettyjä Windows IoT Core -laitteita, Azouri kuvaili haavoittuvuutta ZDNetin käsiinsä saamassa tutkimusraportissa.

Jos oikein ymmärsin, haittakoodi oli ajanut visuaalista Microsoftin lippulogoa. Sillä tavalla.

Microsoftin vastaus taas on perinteinen: bugissa kyse on ominaisuuksista (features).

Yhtymän pääomistaja Bill Gatesin vanhan linjauksen mukaan Windowsissa ei ole ollut koskaan yhtään bugia. Eikä sitä näin muodoin ole nytkään. Vika on käyttäjissä tai jossain.

Hieman tuossa on tuulahdus retroa ajalta, kun Microsoft Windowsin takaportit olivat hyökkäyskoodien tehtailun pääkohde.

Entäpä onko retrokaikua tässä? Kun Win Coren sisar Windows 10 on ARM -käyttöjärjestelmä speksattiin Raspberry Pi 3 Model B/B+:lle, kaikki ei siinäkään mennyt aivan nappiin. Järjestelmän käynnistys kestää pahimmillaan 20 minuuttia, ja näin muodoin on kyseenalaista sopiiko se hitautensa vuoksi tavan käyttöön.

Nyt ei juuri mietintäaikaa taida olla – puhumme turvallisuustasosta yhdessä kaikkein yleisimmistä toimisto-, tallennus- ja tiedostonjako-ohjelmistoista Microsoft Office 365:stä. Sen turvatasoa tulee nostaa omin toimin.

Kyberturvallisuuskeskus säilyttää hälyn Microsoft Office 365 –järjestelmään kohdistuneesta kalastelusta toiseksi korkeimmalla, keltaisella tasolla, vaikka tämä varoitus on jatkunut vuodenpäivät. Näin ei pitäisi tietenkään olla.

Kyberturvallisuuskeskuksen analysoimassa kyberrikollisten toimintamallissa lähetetään pdf-sähköpostinliitetiedosto, joka sisältää oikeasti vain ansalinkin toimintoon Open Document/Avaa dokumentti.

”Linkkiyhteyden kautta uhri ohjautuu hyökkääjän määrittelemälle sivustolle”, Kyberturvallisuuskeskus jatkaa.

Uhrien nimissä jaetaan linkkejä heidän OneDrive- tai Sharepoint-tilastaan, tai mahdollinen Dropbox-tili kaapataan salasanan nollauksella. Sitten saastunut tili valjastetaan kalasteluviestien edelleenlähettämiseen.

Ilmeisesti kentällä on yhä vaikeuksia ymmärtää, mistä oikeasti on kyse, mikä on pilvipalvelu, miten se toimii, mitkä ovat pilvelle tyypilliset haavoittuvuudet.

On suojauduttava.

Ne organisaatiot, joilla ei vielä ole käytössä kaksivaiheista tunnistautumista, tulisi nyt viimeistään selvittää itselleen, mistä on kyse. On varmaankin käynyt jo selväksi, että tunnistautumiseen liittyvät ongelmat eivät ratkea itsestään.

Yksi seikka selvästi liittyy terminologian haltuunottoon. Kaksivaiheisesta tarkistuksesta, todentamisesta tai tunnistuksesta puhuttaessa tarkoitetaan kuitenkin aivan samaa asiaa.

Kun asia on selvä, voimme edetä järjestelmäkonffaukseen.

• Ensimmäisenä tarkistamme, onko Office 365:n järjestelmänvalvoja ottanut tilimme käyttöön kaksivaiheisen tunnistuksen/tarkistuksen/todentamisen option. Jos näin ei ole, emme näe tunnistukseen liittyviä asetuksia Office 365:ssä, kun yritämme muuttaa sen kirjautumisasetuksia.

Asia saadaan kuntoon puhumalla järkeä pääkäyttäjän päähän. Ja jos ei auta, myös minä voin valaista asian akuuttia luonnetta, pyyntö vain esim. tuohon alle kommentti laatikkoon.

• Kun tunnistautuminen on avattu, napsautamme normaalisti Kirjaudu sisään -valikkoa,

Näemme pop up-sivun, jossa lukee:

”Tietoturvasyistä meidän on tehtävä tilillesi lisävahvistus”, sekä lisäksi:

”Järjestelmän valvojasi edellyttää, että määrität tähän tilisi ylimääräisen suojausvahvistuksen.”

Sitten selvää suomea ”Määritä se nyt”.

• Tämän jälkeen valitsemme todentamismenetelmän ja noudatamme velhon antamia toimintaohjeita suojauksen lisätarkistuksessa. Saamme vaihtoehtoisen yhteydenottomenetelmän, ja jatkamme:

• Käyttöön saamme sovellussalasanan. Kopioimme salasana leikepöydälle kopiointikuvakkeen avulla. Tämä salasana on väliaikainen: kopiointikuvakkeesta sovellussalasanan siis kopioimme leikepöydälle. Hyvä.

Kun olemme määritelleet, miten haluamme vastaanottaa tarkistuskoodin, meiltä pyydetään koodia, kun seuraavan kerran kirjaudumme Office 365:een. Koodi voidaan lähettää sinulle tekstiviestinä tai puhelimitse.

Tässä vaiheessa emme käytä WhatsAppia tai muita tietoturvatasoltaan alhaisia pikaviestipalveluja kriittisen tason merkkijonojen käsittelyyn.

Julkisilla palveluilla näkyy taas jonkin verran haavoittuvuusongelmia. VR ei välitä juuri asiakkaistaan, ei uutta.

Suomen ympäristökeskuksen teknisesti vanhentuneet sivut oli kaapattu haittaohjelman jakoon järjestelmäpäivitysten puutteessa. Laitoin asiasta viestin Sykeen. Selainturva-aukko näemmä korjattiin, havaitsin, kun lähdin hakemaan kaappauskuvaa tähän blogiin saastuneesta sivusta.

Sykelle palvelua tuottava Fujitsu lupasi ottaa yhteyttä eli tapausta selvitetään.

Google paikkasi vasta haavoittuvuuden, jonka kautta kyberrikollinen saattoi kaapata mobiilipäätelaitteen. Ansoitettu verkkosivu laukesi yhdellä klikkauksella ja avasi tunkeutujalle koko pajatson.  Aiheellisesti asiantuntijat kysyvät Wiredin sivuilla, kuinka on mahdollista, että Android on turva-aukon kautta vuotanut viiden vuoden ajan melkein kaiken mahdollisen käyttäjätietonsa.

Tämä toinenkin ansoitettujen saittien kautta toiminut bugi on nyt korjattu uusimmissa Android-versioissa. Mutta se vuotoaika, viisi vuotta, on hajamielisyyden riemuvoitto. Unohdettu haavoittuvuus toimi viisi vuotta ja mahdollisti lukemattoman määrän kyberrikoksia.

Vanha tapa systemaattisesti dokumentoida kaikki mahdollinen järjestelmälle tehtävä konffaus olisi ehkä säästänyt yhtiön tältä häpeältä. Käyttöjärjestelmäpäivitys 4.4:n lähdekoodiin sisälsi tämän vaarallisen bugin, jonka kautta hyökkääjä on voinut ottaa haltuun muun muassa pankkisovellutusten tilit ja nettiselaushistorian. Tietoturvayhtiö Positive Technologies paljastaa, että Google paikkasi vasta hiljakkoin Android-käyttöjärjestelmästä tuon vakavan haavoittuvuuden.

Sama haavoittuvuus toimi sepposen selällään niin Android 5:ssä kuin 6:ssakin. WebView päivitettiin Google Playssa. Silti 4.4 näyttää jääneen ilman paikkaa! Näiden haavoittuvien puhelemien määrää ei tiedetä, mutta siitä on esitetty huimia lukuja.

Mitä käytännössä tapahtui?

Vuosiksi unhoon jäänyt bugi syntyi Chromium-nimen saaneessa selaimen kehitysprojektissa, ja se on seurannut Chromiumiin perustuvissa Androidin selaimissa, kuten Chrome, Yandex Browser tai Samsung Internet Browser.  Hyökkääjä on sen kautta tullut sisään helposti: ovi aukeni, kun saastutettua verkkolinkkiä klikattiin ansoittelulla sivustolla. Hauskat ansoitetut sivut levisivät somessa.

Myös ylläpitäjä voi näemmä ansoittaa oman sivustonsa tietämättään, ja vieläpä varsin simppelillä tavalla. Kävi niin, että Itä-Suomen yliopistossa salasanani yllättäen vanheni käsiin. Palvelu ohjasi pankkitunnuksia käyttäen vaihtamaan salasanan. Ensinnäkin: salasananvaihtopalvelu herjasi, jos merkkijono oli pidempi kuin 16 merkkiä. Tämä nyt on aivan ajastaan jälkeen jäänyt suorastaan vaarallinen ehto, koska botit pystyvät murtamaan tällaiset lyhyet merkkijonot salasanoissa.

Sitten sivusto ilmoitti, että salasanavaihdolle tuki löytyy vielä toistaiseksi vain Internet Explorer –selaimelle. Vielä pahempaa! Tätä reikäistä IE-selainta ei ole paikattu enää vuosiin, ja sen kerrotaan olevan ainut tuettu selain.

Kokeilinpa, palvelu toimi Chromella. Hyvä niin, näet IE:n olen jo pannut lukkojen taakse edellä mainituista syystä. Se on seula, jonka reikiä ei enää päivitetä.

Mietin, miten yliopisto voi elää yli 10 vuoden takaisessa maailmassa? Häpeän yliopiston puolesta.

Kuuletteko? Maailmanvalloitukseen sorvattu Wifi 6 –standardi siinä murahtelee lähtökuopissaan.

Mikä ihmeen hype?

Tekninen hype = joko ylisanainen mainonta, tehomarkkinointi, mielikuva, mainostemppu tai julkisuuskohu. Jostain sellaisesta tässä lie kyse. Lisäisinpä vielä määreen: apinoiva epäanalyyttinen vouhotus asioista, joista joku auktoriteetti on alkanut intoilla. Perästätulijat monistavat sanomaa kuin joku sopulilauma.

Kritiikitön Wifi 6:n standardin esittely, muiden mukana Techspot, Cnet ja PCWorld artikkeleissaan vaahtoavat kaistanopeudesta. Messuesittelyt näemmä ovat menneet läpi melkein sellaisinaan.

Uuden tekniikan ykkösvalttina on nopeus. Wifi 6:ssa datavirta yltää enimmillään 9,6 gigabittiin sekunnissa verrattuna nykyisen Wifin 3,5 gigabittiin. Gigabittejä riittää, vaikka lampaat niitä söisivät.

Onko kaikki nyt paremmin?

Kaikkea kaunista esitellään, kuinka ”pullonkaulat” ovat poistuneet wifi-tekniikasta. Esineiden internet vain ei tarvitse lisää nopeutta, lukuunottamatta joitakin verkotettuja peliympäristöjä. IoT tarvitsee julmetun paljon parempaa tietoturvaa.

Sensorit eivät tarvitse enempää kaistaa, eivät edes tavan katselulaitteet. Kaista ja nopeus eivät millään tavalla korjaa sensorien häiriöherkkyyttä ja haavoittuvuutta, päinvastoin.

Viime syksynä markkinoille tulleella Wifi 6 -reitittimellä huippunopeus 2,4 gigahertsin taajuudella hipoo 1150 megabittiä sekunnissa. (Huom. viiden gigahertsin kaistaleveydellä data siirtyy peräti 4 804 megabitin sekuntivauhdilla.) En keksi viiden gigahertsin kaistalle käyttöä – ehkä kuitenkin joidenkin kuviteltavissa olevien ”elävien” 3D-hologrammien kanssa spesifikaatio vielä realisoituu.

Uutuuden kantamaa voidaan kasvattaa päätä huimaaviin lukemiin jakamalla reitittimen kanavia useampaan alakanavaan. Esim. Asus RT-AX88U on varustettu yhdellä wlan-portilla ja kahdeksalla lan-portilla sekä kahdella usb 3.1 -portilla.

Target Wake Time (TWT) –tekniikka taas voi parantaa akkukestoa yhteensopivissa laitteissa. Mutta tämäkään etu ei ole tilastollisesti merkitsevä. Langattoman reitittimen avulla luotu lähiverkko on yhä kaikki altis häiriöille, sillä siirtoteho ehkä vain boostaa häiriöitä. Mesh-verkkojärjestelmä, joka koostuu useasta yhteen liitettävästä tukiasemasta, saattaa vaikeuttaa olennaisesti vikadiagnostiikkaa. Mesh-tekniikan helmi on kuitenkin automatiikkajuuri, jonka ansiosta verkkoliikenne ohjautuu nopeimmalle saatavilla olevalle taajuusalueelle ja vähimmän rasitetulle reitityskanavalle.

Silti minä sanon teille, että 128 bittinen Lora ei tarvitse hypen lupaamia gigabittejä, se tekee työnsä turvallisesti ja varmatoimisesti.

868MHz:n taajuudella toimiva LoRa Mesh -radiomoduuli on korkean suorituskyvyn, pienitehoisen, pitkän kantaman mikroteho-RF-moduuli, joka käyttää hajautettua ad-hoc-verkkoviestintätapaa. Se on esimerkki siitä, mihin suuntaan tässä olisi liikuttava. Dataketjun mittainen salausavain ratkaisee dataturvan ongelmat itsestään (Lora1.1-versiosta lähtien), kantaa kilometrejä, eikä suhteellisesti arvioiden kuluta paljon virtaa.

Voi kuulostaa hieman oudolle, koska olen itsekin nuori, mutten käytä niinkään sosiaalista mediaa, kuten Snapchattejä ja tällaisia, mutta Instagramia saatan käydä vähän väliä katsomassa, jos on tylsää. Kuvia en sinne ole massatehtailemaan ruvennut.

Youtubea ja Twitchiä joskus saatan käydä katsomassa, mutta en ole ”Snäppistooria” ottamassa 24/7 koirafiltteri päällä aina, niin kuin useimmat minun ikäiseni tekevät.

Viime aikoina nuorten keskuudessa on edelleen olleet käytössä kaikki nämä vanhat somekanavat kuten Instagram, Snapchat ja niin edelleen. Kovin monen en ole nähnyt käyttävän Facebookia, varmaan sen takia, koska sitä käyttävät vanhemmatkin.

Nyt on kuitenkin tullut uusi ”Musically:a” kopioiva kiinalainen sovellus nimeltään TikTok (Kiinalaiselta nimeltään Douyin). Se näyttää olevan melko trendaava, koska sillä on tällä hetkellä yli 500 miljoonaa käyttäjää ympäri maailman. Itse en ole siihen koskenut, enkä koskaan tulekaan koskemaan. Ilmeisesti TikTokilla (Douyinillä) voi tehdä lyhyitä videoita itsestään, ja on yleensä videon taustalla on musiikkia. Videot voivat olla pisimmillään 15-sekunttia pitkiä.

Vuoden 2018 kesäkuussa TikTokilla oli siis 500 miljoonaa käyttäjää maailmanlaajuisesti, ja 150 miljoonaa päivittäistä käyttäjää pelkästään Kiinassa. Ja samalla TikTokia oli ladattu Applen App Storesta yli 104 miljoonaa kertaa.

TikTok antaa käyttäjilleen mahdollisuuden kommunikoida täysin tuntemattomien kanssa, ja tämän takia monet maat ovat lisänneet yksityisyydensuojaa sovelluksen takia. Yhtenä syynä tähän on se, että suuri osa sovelluksen käyttäjistä ovat lapsia, jotka voivat altistua ahdistelijoille.

Monet TikTok-käyttäjät ovat ilmoittaneet nettikiusaamisesta, joista jotkut tapaukset sisältävät rasistisia ja juutalaisvastaista toimintaa. Jotkut TikTokin käyttäjät voivat “addiktoitua” sovellukselle (mitenköhän sekin on mahdollista?) jonka takia sovellukseen lisättiin “addiktion vähennys” eli ominaisuus, joka sulkee sovelluksen automaattisesti, jos sitä käytetään yli 90 minuuttia putkeen.

Tammikuussa TikTok luokiteltiin “Huawein kokoiseksi ongelmaksi”, joka luo kansallisen turvallisuusuhan länsimaille. Hyvin suuri osa sovelluksen käyttäjistä on länsimaista.

Kaikki data menee kiinalaiselle yritykselle, joka on laillisesti kykenemätön vastustamaan datan jakamista Kiinan hallitukselle. TikTokia voidaan myös käyttää julkisen mielipiteen manipuloimiseen.

Videot ja hashtagit Pipsa-possuun liittyen on sensuroitu kokonaan TikTokista, koska Kiinan hallitus pitää animaatiohahmoa kumouksellisena symboolina.

Helmikuussa 2019 FTC (Federal Trade Commission) sakotti TikTokia 5,7:llä miljoonalla dollarilla COPPA-säädöksen rikkomisesta(Children’s Online Privacy Protection Act). Rikkomus johtui alle 13-vuotiaiden käyttäjien tietojen keräämisestä.

Olen joutunut kiristysyrityksen kohteeksi. Sangen kömpelön, mutta kuitenkin.

Työmailiini kolahtaneessa viestissä joku Zackary Anonymous Hacker väittää kaapanneensa tablettini, ja luoneensa sen kameralla MP4-tiedoston, jonka hän uhkaa nyt jakaa viemiensä sähköpostiyhteyksieni listalle.   

The last time you visited a porn website with teens….

My program has turned on your camera and recorded

the process of your masturbation.

If you want me to delete both the files and keep the secret,

you must send me Bitcoin payment.  I give you 72 hours for the payment.

Bitcoin-summa, jolla kiristetään on tuntuva, enkä tietenkään vastaa kiristäjälle mitään, Zackary muuttaa sävyään ja antaa minulle ”viimeisen varoituksen”. Hän esittää suorituksen jakamista kahteen maksuerään.

Jos en maksa, törky lähtisi MP4-formaatissa sähköpostissa kontakteilleni, joista arvattavasti osa on tärkeitä. Jos en maksa lunnaita, rikollinen vannoo tuhoavansa sosiaalisen asemani. Kuulostaa melko amerikkalaiselta, jos jotain sävystä voi päätellä.

Tietenkään tuollaista kiristäjän väittämää aineistoa ei ole olemassa, mutta vaikka olisi, en välittäisi.

Elämänasenteemme tunnetaan

Data-analytiikka-business käyttää avatareja, joissa toimii psykologinen profiili mieltymyksistämme mutta siinä sivussa datataivaassa vissi olento-ohjelmoinnin luomus on samalla myös elämänasenteidemme kuvaaja.

Tähän mittaan asti Google tosiaan analysoi viestintäämme.  

Zackary Anonymous Hacker ei ole piireissä, sillä ei ole tietoa datataivaasta. Se data-analyysi olisi vakuuttanut hänet siitä, etten ole pikkuporvarillisen ulkokuvani vaalija, jota ehkä voisikin kiristää jollain seksuaalisuuteen liittyvällä kamalla. Ylipäätään en ymmärrä, miksi ihminen ei saisi tyydyttää perustarpeitaan.

Kyseessä on selvä hakuammunta. En maksaisi mitään, vaikka mitä olisi salakuvattu.

Ehkä informaatioteknologia- ja startup-yritysten johtajia haarukoiva algoritmi poimii potentiaalisia hienohelmoja kiristettäviksi.

Vähintä mitä kiristäjän tulisi taitaa on, että hän vilauttelee aineistoa, jonka uhkaa jakaa uhrinsa maineen mustaamiseksi.

Tämä on se keskeinen seikka, todisteet, ennen kuin kannattaa edes harkita säikähtämistä.

Porno- ja viihdesivustoilla skriptit keräävät listoja miljoonista ip-osoitteista. Jos sellaisia sivuja selaatte, VPN-yhteys on ihan must.

Myös muu turvasuodatus on erittäin suotava, mitä syvemmälle netin alamaailmaan mennään. Läppäreille on tartutettu esim. CryptXXX-kiristysohjelmaa, joka on totinen paikka.

Levitessään se vei tiedostoja uhrien koneilta ja vaatii niiden avaamisesta lunnaita.

Miten kannattaa toimia?

CryptXXXn lähdekoodi on ollut mahdollista tunnistaa tiedostoista nimiltään de_crypt_readme.txt sekä de_crypt_readme.html.

Jos .exe on päässyt aukeamaan, .crypt -päätteelle salaamiensa tiedostojen avaamisesta kiristyskoodi vaati 1,2 bitcoinin lunnaat. Kiristäjäkoodia saatetaan vielä tavata, mutta sen maksuliikenneyhteys on katkaistu. Ainut tapa selvitä saastutuksesta on alustaa käyttöjärjestelmä uudestaan, ja palauttaa pilvestä varmuuskopioitu sisältö päätelaitteelle.     

Entä pornokiristäjä? Yhdysvalloissa tällaista nyt kohtaamani tapauksen kaltaista kaksinaismoralistiseen hömppään perustuvaa kiristystoimintaa on tavattu pitkään – jo ennen internetiä. Esimerkkinä hotellien läpinäkyvien peilien mahdollistama salakatselu.

Netti on osoittanut sen, että oli kiristämään luodun botin rahastusyritys miten kömpelö tahansa, maailmaa kiertäessään se tuottaa liikkeelle laskijalleen melkoisen saaliin. Valitettavasti.

Periaatteessa läppärinkameralla tai älytelevisiolla voidaan ehkä joskus hankkia arkaluontoista aineistoa meistä ihmisistä, ja tehdä sillä rahaa. Siksi ei ole hätävarjelun liioittelua käyttää laastaria tai maalarinteippiä nettiin kytkettyjen kamerasilmien päällä.

Älytelevision reitityksessä on paljastutunut haavoittuvuus kohteessa Universal Plug’n’Play eli tuttavallisemmin UPnP. Härpäke olisi syytä kytkeä kokonaan pois käytöstä. Joissakin televisioissa taas löytyy Chromecast built-in -teknologia älytöllön sisäänrakennettuna haavoittuvuutena.

Tämä  built-in suoratoistaa sarjoja, elokuvia, musiikkia, urheilua mutta myös pelejä mobiililaitteelta isolle näytölle monitoroituna. Toiminta voi mahdollistaa asetusten manipulointia, mikä onkin pahempi juttu.

Asetuspaneelin avaaminen tulee tehdä kaikessa rauhassa. Porttiavaruudesta löytyy säätö, jolla torpataan porttiohjauksia porteista 8008, 8009 ja 8443. Kiinni ne.

Reitittimen asetusvalikkoon sisäänkirjautuminen ja asetusten tarkistaminen ynnä muuttaminen manuaalisesti on melko helppo konffaus, vaikka manuaalit vaihtelevat hieman laitekohtaisesti.

Manuaalin lukeminen on siksikin tärkeää, että löytyy kyberhyökkääjien koulukunta, joka on keskittynyt hyödyntämään väärinkytkettyjä johdotuksia ja reitityksiä.

Taannoinen CastHack-hyökkäys UPnP:n kautta ei etsinyt ohjelmistohaavoittuvuuksia, vaan käytti hyväksi väärin ja väljästi säädettyjä reitittimiä. Pian 65 300 laitetta toistikin YouTube-mainosvideon, jonka henkisesti epävakaa tunkeutuja konfiguroi pyörimään tv-laitteissa.

Henkilö paljasti myöhemmin sairaskertomuksensa.

Rikollisuus kiehtoo monia tekniikan ihmelapsia, kun tylsä reaalimaailman elämä lyö vastaan. Huimin tapaus lienee EZCast-tv-tikku, joka tavallaan muunsi karvalakkimallin televisiosta älylaitteen. Se peilaa älypuhelimen ja tietokoneen kuvaa tv-ruudulle. Spesifin väylän avulla ulkopuolisen oli mahdollista saada tikun spesifikaation kautta hallintaan käyttäjän koko langattoman lähiverkon data sekä kaikki verkkoon kytketyt laitteet.

Tämä aukko mahdollistaa myös salakuuntelun ja salakatselun. Ei ole liioiteltua pitää kamerasilmien päällä laastareita. Ennen muinoin kiinnostavien tapahtumien salakuvaaminen saattoi tapahtua seinään piilotetulla mikrofonilla sekä hotellihuoneen peilin taakse piilotetulla kameralla – nyt älytelevisiossa löytyy toimintavalmiina kamera ja mikki, joilla tehdään samaa.

Listaa hyökkäystyökaluista, joilla voidaan automatisoida haavoittuvuuksien käyttö, voisi tietysti alkaa tässä kirjoittaa. Ne hyödyntävät aallonomaisesti, kulloinkin pinnalla olevaa haavoittuvuutta. Tämän tietäen uusia sovelluksia ei ehkä tulisi rynnätä käyttämään ensimmäisten joukossa ennen kuin niihin piilotetut mahdolliset haittakoodit ja muut piilotetut ohjausprotokollat ovat paljastuneet.

Televisiovalmistajista suurimmat, Samsung ja LG kärjessä, esittelivät äskettäin suorastaan mielikuvituksellisilta kuulostavia uusia äly-tv-mallejaan Las Vegasin CES-messuilla.

Taas rysähti. 140 miljoonaa uutta käyttäjätunnusta niiden vuotaneiden lisäksi, mitä nyt Collection #1:n (noin 2,7 miljardia riviä käyttäjätunnuksia ja salasanoja) on jo kartoittanut.

Käyttäjätunnuksia, siis 140 lisää 640 miljoonan aiemmin karanneen päälle, vaeltaa omilla teillään bittiavaruudessa. Järkyttävä määrä, jos saan sanoa.

Tämä kuuluu netin riskeihin, jotka kylläkin Sitran tekemän tuoreen tutkimuksen mukaan ovat jo aika hyvin suomalaisilla tiedossa.

Toistuvat uutiset tietovuodoista ovat nakertaneet ihmisten luottamusta palveluntarjoajia kohtaan. Sitran tilaamasta Kantar TNS:n viime marras–joulukuussa toteuttamasta kyselystä ilmenee, että suomalaisista 45 prosenttia ei olisi niinkään valmis luovuttamaan henkilötietojaan palveluntarjoajalle, ei millään ehdolla.

En minäkään, useimmiten, mutta yhä useammin sille ei enää tahdo löytyä vaihtoehtoa.

Taas saman tilaston mukaan 43 prosenttia suomalaisista sanoo, että luottamuksen puute palveluntarjoajia kohtaan estää heitä käyttämästä digitaalisia palveluita. Ei ihme.

Erityisen skeptisiä ollaan 25–34-vuotiaiden, johtavassa asemassa olevien ja ylempien toimihenkilöiden joukossa.

Sietää olla, pk-yritysten keskuudessa tuntuu elävän vielä menneen maailman aikaisia tietoturvakäsityksiä ja -käytäntöjä.

Aina on hyvä tarkistaa, onko oma osoite vielä turvassa, vai osa bittiavaruudessa kiertävää datamassaa.

Jos kaikki on hyvin, tulisi ehkä toimia. Käyttäjätietokantojen tyhjentäminen kybermurtojen yhteydessä on vielä luvattoman helppoa. Parempi riskien hallinta on itsestään selvästi pääsyy siihen, että käyttöön otetaan kaksivaiheinen tunnistautuminen 2FA.

Vahva todentaminen edellyttää käyttäjän tunnistamista kahden tekijän perusteella (two factor authentication). Tiedostojako ja pilviyhteyksien käyttö varsinkin altistaa jatkuville haavoittuvuuksille.

2FA tarkoittaa nettitilien käyttökulttuurin uudistamista turvallisuussyistä. Menetelmä perustuu asiakkaan käyttäjätietokannasta luettuun käyttäjätunnukseen, salasanaan ja sen lisäksi kertakäyttösalasanaan, joka saadaan joko tekstiviestillä (SMS-token), erillisestä todennuslaitteesta (HW-token) tai mobiilisovelluksesta (mobile-token).

Vaikuttaa siltä, että ilmaispalveluista Google olisi paras 2FA-harjoitteluun. Harjoitus: määritä kaksivaiheinen vahvistus.

Siirry Google-tilillesi.

Valitse vasemmasta navigaatiopaneelista Tietoturva.

Valitse Googleen kirjautuminen -paneelista Kaksivaiheinen vahvistus.

Valitse: Aloita.

Seuraa ohjeita näytöllä.

Toisen vahvistusvaiheen valinta.

Kun määrität kaksivaiheisen vahvistuksen, useimmissa palveluissa eteen tulee valintavalikko.

Jos et halua käyttää tekstiviesti- tai puheluvaihtoehtoa, valitse jokin toinen vaihtoehto. Tekstari tosin toimii vielä varsin hyvin ja turvallisesti tässä omimmassa toimintatarkoituksessaan: välittäessään radiolinkin kautta turvallisesti vahvistuskoodin käyttäjälle.

Huomatkaamme, se ei ole netissä.