Pokemon Go on melkoinen tietoturvashow

Ihmisen on sanottu olevan tietoturvan heikoin lenkki. Supersuosioon noussut Pokemon Go mobiilipeli näyttäisi taas tukevan tätä väitettä.

Peli ei ole ollut saatavilla kaikialla maailmassa, joten ihmiset ovat ladanneet sen epävirallisista lähteistä. Epäviralliset sovellusversiot ovat tietysti olleet hieman viritettyjä. Niistä löytyy haittaohjelmia, jotka ottavat haltuun koko mobiililaitteen. Hieman yllättäen myös virallisessa versiossa oli ollut tietoturvaongelmia. Pelifirmalla oli teoriassa pääsy pelaajan Googlen-tilin sisältöön. Siis sähköposteihin jne.

Pelin suosio on aiheuttanut myös muita haittailmiöitä. On tapahtunut onnettomuuksia ja ihmisiä on tullut ryöstetyksi. Jotkut paikat ovat jopa kieltäneet pelin pelaamisen alueillaan.

Jotta tämäkin blogipostaus ei päätyisi negatiivisuutta viljeleväksi valitusviestiksi, on todettava, että peli tekee myös paljon hyvää. Se näyttää, miten uutta teknologiaa voidaan soveltaa hienolla tavalla. Peli saa ihmiset kommunikoimaan livenä toistensa kanssa. Ihmiset saadaan myös ulos nauttimaan kauniista kesäpäivästä* sen sijaan, että he vain bloggaisivat henkilökohtaisissa datakeskuksissaan.

Tietoturvallisuuden osalta peli muistuttaa, että uhat on todellisia, mutta niiltä voi välttyä hyvin yksinkertaisilla ja helpoilla toimenpiteillä. Asenne ratkaisee paljon, tässäkin asiassa.

Lisätietoja Pokemon Go -pelin tietoturvariskeistä ja muita lähteitä:

* 15.7.2016, Varsinais-Suomi, +15C, kohtalaisen kovaa sadetta.

Identiteettivarkaus on rikos

Perjantaista 4.9.2015 lähtien identiteettivarkaus, eli toisena esiintyminen, on rikollista toimintaa.

Olennaisimmat kysymykset tietysti ovat:

  • Miksi vasta nyt?
  • Onko resursseja?

Molempiin kysymyksiin löytyy hyviä vastauksia Ylen artikkelista ”Identiteettivarkaus ei enää pelkkää petkuhuiputusta vaan oikea rikos”

Lisätietoja aiheesta voi hankkia esimerkiksi seuraavista lähteistä:

Yle: Nöyryyttävä identiteettivarkaus ei ole vielä rikos – väärillä henkilötiedoilla hankitaan pikavippejä ja arvotavaraa

Hallituksen esitys tietoverkkorikoksia koskevien säännösten muuttamisesta.

Eduskunta > Tietoverkkorikosdirektiivin täytäntöönpano > sivuston lopussa kattava tutkimus ja kirjalista.

Theseus: hakusanalla identiteettivarkaus löytyy kymmeniä opinnäytetöitä aiheesta.

Kootut selitykset: palvelinten ja järjestelmien (epä)ammattimainen päivittäminen

Palvelinten ja järjestelmien päivittäminen on leppoisaa järjestelmäasiantuntijan perustyötä. Ohessa vinkit hommasta kiinnostuneille.

Näin asennat palvelusi tietoturvapäivitykset

1. Suunnittelu

Esimerkiksi korjaus- ja tietoturvapäivitysten asentamisen suunnittelu on turhaa. Ajat vain päivitykset, kun ne tulevat jakoon. Päivitysprosessi etenee suurin piirtein näin:
Päivityksiä tarjolla > Next > Next > Eiku > Oho > Perkele!

2. Viestintä

Palvelun käyttäjille tai sen pääkäyttäjälle ei tarvitse ilmoittaa päivityksistä. He kyllä ymmärtävät, että kyseessä on päivitys, kun palvelu on ollut poissa käytöstä useita tunteja. Käyttäjät myös arvostavat sitä, kun ajat päivitykset aamupäivällä kello 9-12 välisenä aikana.

3. Päivitysten testaaminen

Voit oikeastaan ajaa päivitykset suoraan tuotantoympäristöön, koska ne joutuu ajamaan sinne joka tapauksessa jossain vaiheessa.

4. Palvelinten päivitysjärjestys

Päivitä kaikki palvelun palvelimet yhtä aikaa. Näin kaikkiin tulee saman tien uusimmat versiot. Kaikkien palvelinten yhtäaikainen päivittäminen näkyy käyttäjille vain hetkellisenä käyttökatkona.

5. Päivitysten sisältöön tutustuminen

Tietoturvapäivitys sisältää tietoturvapäivityksiä. Ei niitä tarvitse sen enempää pohtia. Ei ne vaikuta järjestelmän perustoimintaan millään tavalla.

6. Varmuuskopiot

Koska tietoturvapäivitykset ovat tietoturvapäivityksiä, niin järjestelmää on turha varmuuskopioida. Olisi myös yliampuvaa ottaa koko palvelimesta ns. snapshot-varmuuskopiota. Varmuuskopiot vie turhaa tilaa.

7. Uudelleenkäynnistys

Jotta päivitykset asentuisivat oikein, pitää palvelu käynnistää uudelleen. Uudelleenkäynnistystä ei kannata tehdä keskellä päivää. Sehän häiritsisi käyttäjiä! Sen sijaan ohjelmoidaan uudelleenkäynnistys tapahtumaan keskellä yötä. Mieluiten samaan hetkeen, jolloin palvelusta otetaan automaattista varmuuskopiota.

t. nimimerkit

#7oikein
#kokemuksensyvarintaaani
#ammattilainenasialla
#kantapaankautta

Välimieshyökkäys vaaransi koevastaukset

Ylioppilaskokeiden vastauksia löytyi parkkipaikalta 31.3.2015 uutisoi Yle. Epäilysten mukaan ”joku” oli vienyt paketin postiautosta, mutta hylännyt dokumentit myöhemmin parkkipaikalle. Ohikulkija otti paperit talteen ja palautti ne koulun rehtorille. Tarkistuskierroksen jälkeen todettiin, että yhtään paperia ei ollut kadonnut.

Tapahtuma sopii hyvin tietoturvaan liittyväksi esimerkkitapaukseksi.

Vastauspaperien (tieto) saatavuus oli hetken aikaa menetetty. Onneksi paperit saatiin takaisin, joten tiedon saatavuus pystyttiin takaamaan. Kolmas osapuoli pääsi kuitenkin lukemaan paketin sisältöä, joten tiedon luottamuksellisuus on menetetty.

Suurimmat ongelmat ovat kuitenkin pääsynvalvonnassa sekä tiedon eheydessä ja kiistämättömyydessä.

Pääsynvalvonta petti, joten kolmas osapuoli pääsi tietoon käsiksi. Vaikka papereita ei ollut kadonnut, niin päätyykö vastaanottajalle sama tieto, jonka lähettäjä on alunperin hänelle tarkoittanut? Mikäli tieto muuttuu matkalla, niin tiedon eheys on menetetty. Koska kenelläkään ei ole todisteita tapahtumien täydellisestä kulusta, niin myös tapahtumien kiistämättömyys on kyseenalaista.

Kyseessä on eräänlainen man-in-the-middle -hyökkäys, mutta fyysisessä maailmassa ja oikeilla paperidokumenteilla.

Muista: tietoturvallisuus ei ole pelkkä IT-asia!