tietoturva arkistot

Mobiililaitteiden tietoturva

16 elokuun, 2018 kirjoittaja tatu

Käytännössä meillä kaikilla on jonkinlainen mobiililaite käytössä, niin vapaa-ajalla kuin töissäkin. Kuinka moni mobiililaitteiden käyttäjistä miettii kuitenkaan laitteensa tietoturvaa ja sitä, kuinka pitkään kyseinen laite saa päivityksiä liittyen tietoturvaan. Yleensä laite ostetaan sen takia, että sitä tarvitaan nyt, erilaisten päivityspolkujen, julkaisuaikojen sekä muiden toissijaisilta tuntuvien asioiden tutkiminen jää vähän vähemmälle.

Sitten kun on valittu se uusi laite, joka julkaistu kaksi kuukautta ennen hankintaa, sitä olettaisi, että siihen saa päivityksiä seuraavat kolme vuotta. Aina näin ei kuitenkaan ole. Valmistajilta tulisi vaatia, että tietoturvapäivitykset tulisivat laitteisiin ainakin kolme vuotta julkaisun jälkeen. Tällä hetkellä tilanne on surullinen.

Sain joulukuussa 2015 julkaistun Sony Xperia Z5 Compact -puhelimen käyttööni. Ensimmäisen vuoden aikana päivityksiä tuli kiitettävästi. Tällä hetkellä uusin tietoturvapäivitys on vuodelta 2017, eikä uusia päivityksiä tähän kyseiseen laitteeseen ole enää tulossa. On totta, että kyseinen puhelin ei ollut kaikkein kallein, muistaakseni sen alv 0% hinta oli kolmen sadan tietämillä. Yksittäisen puhelimen kohdalla voisi ajatella, että olisi ostanut kalliimman mallin, niin tukea voisi tulla pidempään.

Näitä kyseisiä puhelimia ostettiin kerralla kymmenkunta. Se tekee aika ison satsauksen. Ja tällä hetkellä kyseinen satsaus, alle kolme vuotta hankinnasta, on tietoturvaton ratkaisu. Kun tehdään laitehankintoja isoja määriä kerralla, on yksittäisen laitteen hinnalla enemmän merkitystä, kuin jos se ostetaan vain yhdelle ihmiselle.

Mobiililaitteiden tietoturvalla on iso vaikutus kokonaisuudessa, sitä ei pidä väheksyä. Mikäli vähänkään epäilyttää, erillinen tietoturvaohjelma on ihan hyvä vaihtoehto myös mobiililaitteelle. Niiden toiminta toki hidastaa vähän laitetta, mutta parempi hitaasti ja varmasti kuin tietojen levittäminen maailmalle tai oman laitteiden käyttäminen vääriin tarkoituksiin.

Kyseisen Sonyn puhelimen versio on Android 7.1.1 ja sen haavoittuvuudet löytyvät täältä. Niitä on yhteensä 412 kappaletta, osa vakavia, osa vähemmän vakavia.

Hyvä muistisääntö ennen hankintaa on, tarkistaa laitteen julkaisupäivä ja valmistajan lupaama tuki laitteelle, joka lasketaan tuotteen julkaisupäivästä. Pakotetaan valmistajat skarppaamaan. Vähemmän malleja, enemmän tietoturvaa.

Palvelinten ja työasemien tietoturva julkisessa verkossa

2 heinäkuun, 2018 kirjoittaja tatu

Tein testimielessä yhden Centos 7 virtuaalikoneen, jolle tein palomuurista SSH porttiohjauksen oletusportista 22. Viikonlopun aikana kyseinen kyseinen kone sai 40821 epäonnistunutta kirjautumisyritystä noin 60 tunnin aikana. Se on vähän yli 11 kertaa minuutissa, mikäli yritykset ovat tulleet tasaisella tahdilla.

Internetyhteydellä, jossa testipalvelin on ei ole kiinteää ip-osoitetta, eikä siinä ole mitään julkisen verkon palvelimia. Myöskään portit eivät ole aiemmin olleet avoimia. Eivätkä ole tästä eteenpäinkään.

Mikäli palvelin on julkisessa verkossa, sen tietoturvaan on syytä kiinnittää erityistä huomiota. Vaikka kyseinen palvelin olisikin vain testikäytössä, on se silti hyvä suojata. Yksi vaihtoehto on käyttää palveluiden portteina joitain muita portteja, kuin standardeja. Myös demo-palvelin, jota näytetään asiakkaille, voi hyvin toimia jossain muussa portissa kuin oletusportissa.

Koska tämä piti myös todentaa käytännössä, tein uuden puhtaan asennuksen ja asetin palomuurista sattumanvaraisen portin ohjautumaan sisäverkon porttiin 22 kyseiselle palvelimelle. Viikon aikana kirjautumisyrityksiä ei tullut ensimmäistäkään. Portin vaihto on helppo ja kustannustehokas tapa lisätä hyppysellinen tietoturvaa.

Tietoturvan parantamiseen on myös operaattoreilla ja palomuurivalmistajilla olemassa ratkaisuja. Usein ne ovat maksullisia, mutta hintansa väärtejä. Jos tietoturva askarruttaa, katsotaan yhdessä missä tilassa asiat ovat ja tehdään mahdolliset korjaussuunnitelmat ja toimenpiteet.

(Kyllä, kuvissa olevalla testikoneella on root -kirjautuminen sallittu ssh:n yli. Näin ei kannata olla, mikäli kyseessä on tuotantopalvelin.)

Tietoturva julkisessa paikassa työskennellessä

26 helmikuun, 2018 kirjoittaja tatu

Tietoturvalla tarkoitetaan yleensä sitä, että tietokoneessa, puhelimessa ja muissa päätelaitteissa on riittävän turvallinen salasana, tallennuspaikat ovat turvalliset ja mahdollisesti paikallisen tallennusaseman sisältö on kryptattu mahdollisen tietovälinevarkauden varalta.

Kuitenkin, vaikka kaikki nämä asiat on otettu huomioon, huomaa yllättävän usein julkisissa paikoissa tehdään kannettavilla tietokoneilla töitä ilman mitään näytönsuojausta, mikä estäisi edes jonkin verran uteliaita katseita.

Silloin kun yritykseen ostetaan työntekijälle kannettava tietokone, tulisi siihen aina liittää mukaan näytön tietoturvasuoja. Sellaisen saa nykyään myös matkapuhelimille, mikä ei ole ollenkaan huono ajatus. Kyseinen asia maksaa 70 – 100 euroa, mikä ei kolmen vuoden ajalle ajateltuna ole kovin iso sijoitus siitä, että yrityksen ja ennen kaikkea yrityksen asiakkaiden asiat pysyvät vain niillä henkilöillä, joilla siihen tulisikin olla pääsy.

Jos tuntuu, että omassa yrityksessä ei ole mitään salassa pitämisen arvoista, kannattaa kysyä sitä myös asiakkailta. Ovatko asiakkaiden yhteystiedot ja asiat sellaisia, jotka olisi hyvä pitää asiakkaan valitsemassa kohderyhmässä?

Tietoturva ei ole vain salasanoja ja kryptausta. Se on osa yrityksen kulttuuria. Tai ainakin sen tulisi olla. Jos ei itsensä, niin asiakkaiden takia.

Kuvassa Targuksen tietoturvasuoja, joka kiinnittyy magneeteilla. MacBook Pro koneisiin. Helppo, kätevä eikä edes kallis.