tietoturva arkistot

Mobiililaitteiden tietoturva

16 elokuun, 2018 kirjoittaja tatu

Käytännössä meillä kaikilla on jonkinlainen mobiililaite käytössä, niin vapaa-ajalla kuin töissäkin. Kuinka moni mobiililaitteiden käyttäjistä miettii kuitenkaan laitteensa tietoturvaa ja sitä, kuinka pitkään kyseinen laite saa päivityksiä liittyen tietoturvaan. Yleensä laite ostetaan sen takia, että sitä tarvitaan nyt, erilaisten päivityspolkujen, julkaisuaikojen sekä muiden toissijaisilta tuntuvien asioiden tutkiminen jää vähän vähemmälle.

Sitten kun on valittu se uusi laite, joka julkaistu kaksi kuukautta ennen hankintaa, sitä olettaisi, että siihen saa päivityksiä seuraavat kolme vuotta. Aina näin ei kuitenkaan ole. Valmistajilta tulisi vaatia, että tietoturvapäivitykset tulisivat laitteisiin ainakin kolme vuotta julkaisun jälkeen. Tällä hetkellä tilanne on surullinen.

Sain joulukuussa 2015 julkaistun Sony Xperia Z5 Compact -puhelimen käyttööni. Ensimmäisen vuoden aikana päivityksiä tuli kiitettävästi. Tällä hetkellä uusin tietoturvapäivitys on vuodelta 2017, eikä uusia päivityksiä tähän kyseiseen laitteeseen ole enää tulossa. On totta, että kyseinen puhelin ei ollut kaikkein kallein, muistaakseni sen alv 0% hinta oli kolmen sadan tietämillä. Yksittäisen puhelimen kohdalla voisi ajatella, että olisi ostanut kalliimman mallin, niin tukea voisi tulla pidempään.

Näitä kyseisiä puhelimia ostettiin kerralla kymmenkunta. Se tekee aika ison satsauksen. Ja tällä hetkellä kyseinen satsaus, alle kolme vuotta hankinnasta, on tietoturvaton ratkaisu. Kun tehdään laitehankintoja isoja määriä kerralla, on yksittäisen laitteen hinnalla enemmän merkitystä, kuin jos se ostetaan vain yhdelle ihmiselle.

Mobiililaitteiden tietoturvalla on iso vaikutus kokonaisuudessa, sitä ei pidä väheksyä. Mikäli vähänkään epäilyttää, erillinen tietoturvaohjelma on ihan hyvä vaihtoehto myös mobiililaitteelle. Niiden toiminta toki hidastaa vähän laitetta, mutta parempi hitaasti ja varmasti kuin tietojen levittäminen maailmalle tai oman laitteiden käyttäminen vääriin tarkoituksiin.

Kyseisen Sonyn puhelimen versio on Android 7.1.1 ja sen haavoittuvuudet löytyvät täältä. Niitä on yhteensä 412 kappaletta, osa vakavia, osa vähemmän vakavia.

Hyvä muistisääntö ennen hankintaa on, tarkistaa laitteen julkaisupäivä ja valmistajan lupaama tuki laitteelle, joka lasketaan tuotteen julkaisupäivästä. Pakotetaan valmistajat skarppaamaan. Vähemmän malleja, enemmän tietoturvaa.

Palvelinten ja työasemien tietoturva julkisessa verkossa

2 heinäkuun, 2018 kirjoittaja tatu

Tein testimielessä yhden Centos 7 virtuaalikoneen, jolle tein palomuurista SSH porttiohjauksen oletusportista 22. Viikonlopun aikana kyseinen kyseinen kone sai 40821 epäonnistunutta kirjautumisyritystä noin 60 tunnin aikana. Se on vähän yli 11 kertaa minuutissa, mikäli yritykset ovat tulleet tasaisella tahdilla.

Internetyhteydellä, jossa testipalvelin on ei ole kiinteää ip-osoitetta, eikä siinä ole mitään julkisen verkon palvelimia. Myöskään portit eivät ole aiemmin olleet avoimia. Eivätkä ole tästä eteenpäinkään.

Mikäli palvelin on julkisessa verkossa, sen tietoturvaan on syytä kiinnittää erityistä huomiota. Vaikka kyseinen palvelin olisikin vain testikäytössä, on se silti hyvä suojata. Yksi vaihtoehto on käyttää palveluiden portteina joitain muita portteja, kuin standardeja. Myös demo-palvelin, jota näytetään asiakkaille, voi hyvin toimia jossain muussa portissa kuin oletusportissa.

Koska tämä piti myös todentaa käytännössä, tein uuden puhtaan asennuksen ja asetin palomuurista sattumanvaraisen portin ohjautumaan sisäverkon porttiin 22 kyseiselle palvelimelle. Viikon aikana kirjautumisyrityksiä ei tullut ensimmäistäkään. Portin vaihto on helppo ja kustannustehokas tapa lisätä hyppysellinen tietoturvaa.

Tietoturvan parantamiseen on myös operaattoreilla ja palomuurivalmistajilla olemassa ratkaisuja. Usein ne ovat maksullisia, mutta hintansa väärtejä. Jos tietoturva askarruttaa, katsotaan yhdessä missä tilassa asiat ovat ja tehdään mahdolliset korjaussuunnitelmat ja toimenpiteet.

(Kyllä, kuvissa olevalla testikoneella on root -kirjautuminen sallittu ssh:n yli. Näin ei kannata olla, mikäli kyseessä on tuotantopalvelin.)

Internetyhteys, yhteyden suojaaminen ja ymmärtäminen

15 huhtikuun, 2018 kirjoittaja tatu

Nykyään jokaisella yrityksellä on jonkinlainen internetliittymä. Yritysten tarpeet liittymien suhteen ovat yhtä moninaisia kuin on yrityksiäkin. Kun yhteyksiä ulkomaailmaan ostetaan yrityksille, kyseisten palveluiden myyjien tietotaito on avain asemassa. Valitettavasti liian usein taito ymmärtää asiakasta on huono, hyvin usein näkee myös niitä, jotka ovat vain myyneet, yrittämättä edes ymmärtää asiakkaan tarpeita.

Asiakkaalla on myös asiassa vastuu. Pitäisi ottaa selvää, ymmärtää ja hahmottaa. Se ei vain ole aina helppoa. Jos ydinosaaminen on esimerkiksi graafinen suunnittelu, ei verkot ja tietoliikenne ole päällimmäisenä mielessä. Internetpalveluntarjoaja (ISP, internet service provider) voi saada seuraavanlaisen pyynnön sähköpostiin:

Moi, avattiin uusi toimisto, tarvitaan netti, meille tulee kaksi tulostinta, tarvitsevat kuulemma kiinteät ip-osoitteet.

Tämän jälkeen innokas ISP-yrityksen myyjä laskee nettiliittymän kuukausihinnan, 45 euroa, 2 kiinteää ip-osoitetta 10 euroa kappale. 65 euroa kuussa. Hyvä, tarjous asiakkaalle. Asiakas hyväksyy tarjouksen. Homma toimii? Ei toimi.

Jos tämmöinen tapaus olisi yksittäistapaus, se ei olisi niin vakavaa. Mutta kun ei ole. Asiakasta ei kuunnella, eikä myyjä välttämättä oikeasti ymmärrä myymäänsä asiaa. Huonoimmassa tapauksessa myös palomuuri jää pois, niihinkin törmää liian usein.

Mitä asiakas siis kaipaisi? Se selviäisi kysymällä. Kyllä, tulostin tarvitsee kiinteän ip-osoitteen, mutta mikäli ei tarvitse tulostaa ulkoverkosta, ei asiakkaalle tarvitse myydä turhaa ip-osoitetta. Palomuuri, mikä tekee asiakkaalle oman sisäverkon, missä tulostimelle määritellään ip-osoite sisäverkon osoitteista on se ratkaisu, mitä asiakas tarvitsee. 20 euroa kuussa voi kuulostaa vähältä, itse tosin keksin vuodessa 240 eurolle muutakin käyttöä kuin maksaa turhasta.

Ja se palomuuri. Suurin osa asiakkaista pärjää sellaisella palomuurilla joka on operaattorin hallussa. Joskus tarvitaan kuitenkin itse hallittavaa palomuuria, mutta yleensä sellaiset yritykset, jotka sellaista tarvitsevat, tietävät sen tai ainakin heidän it-osasto tietää sen.

Mikäli tuntuu siltä, että ei ole ihan varma, minkälaisia yhteyksiä ja palveluita kannattaa ostaa ja mistä, siihen kannattaa pyytää apua. Kertamaksu siitä, että saa asiat kerralla oikein, on pienempi paha kuin jatkuva säätäminen tai turhasta maksaminen. Se voi olla hieman hitaampi prosessi, mutta se on kertaprosessi. Mieluummin hitaammin yhden kerran kuin nopeasti monta kertaa.

Ja siitä palomuurista. Kuvassa Secyrity Policy Control -säännön mukaiset 15 ensimmäistä lokimerkintää. Lokia on kerätty 2 päivää ja 20 tuntia, siihen mennessä vastaavia, estettyjä yrityksen verkkoon tulevia yhteyspyyntöjä on tullut 500 kappaletta. Se palomuuri on oikeasti hyödyllinen.

Source kohdan ip-osoitteet peitetty, porttinumero on kaksoispisteen jälkeen.

Tietoturva julkisessa paikassa työskennellessä

26 helmikuun, 2018 kirjoittaja tatu

Tietoturvalla tarkoitetaan yleensä sitä, että tietokoneessa, puhelimessa ja muissa päätelaitteissa on riittävän turvallinen salasana, tallennuspaikat ovat turvalliset ja mahdollisesti paikallisen tallennusaseman sisältö on kryptattu mahdollisen tietovälinevarkauden varalta.

Kuitenkin, vaikka kaikki nämä asiat on otettu huomioon, huomaa yllättävän usein julkisissa paikoissa tehdään kannettavilla tietokoneilla töitä ilman mitään näytönsuojausta, mikä estäisi edes jonkin verran uteliaita katseita.

Silloin kun yritykseen ostetaan työntekijälle kannettava tietokone, tulisi siihen aina liittää mukaan näytön tietoturvasuoja. Sellaisen saa nykyään myös matkapuhelimille, mikä ei ole ollenkaan huono ajatus. Kyseinen asia maksaa 70 – 100 euroa, mikä ei kolmen vuoden ajalle ajateltuna ole kovin iso sijoitus siitä, että yrityksen ja ennen kaikkea yrityksen asiakkaiden asiat pysyvät vain niillä henkilöillä, joilla siihen tulisikin olla pääsy.

Jos tuntuu, että omassa yrityksessä ei ole mitään salassa pitämisen arvoista, kannattaa kysyä sitä myös asiakkailta. Ovatko asiakkaiden yhteystiedot ja asiat sellaisia, jotka olisi hyvä pitää asiakkaan valitsemassa kohderyhmässä?

Tietoturva ei ole vain salasanoja ja kryptausta. Se on osa yrityksen kulttuuria. Tai ainakin sen tulisi olla. Jos ei itsensä, niin asiakkaiden takia.

Kuvassa Targuksen tietoturvasuoja, joka kiinnittyy magneeteilla. MacBook Pro koneisiin. Helppo, kätevä eikä edes kallis.