Älypuhelin on tärkeä – suojele sitä

Älypuhelimella on iso rooli jokaisen arjessa. Puhelin tekee arjesta sujuvampaa ja lisää turvallisuutta.

On tärkeää, että suojelemme tätä laitetta asianmukaisesti. Ohessa huomioita ja vinkkejä älypuhelimen turvalliseen käyttöön. Asioita voi soveltaa myös muihin mobiililaitteisiin, kuten tablet-tietokoneisiin.

Tiedosta älypuhelimen tärkeys ja toimi sen mukaisesti

Mieti mihin kaikkialle menetät pääsyn, jos puhelimesi hajoaa, katoaa tai varastetaan. Esimerkiksi jos käytät puhelintasi kaksivaiheisessa todennuksessa (MFA), niin saatat menettää hetkellisesti pääsyn näihin palveluihin. Puhelimen muistissa saattaa olla myös tietoja, tiedostoja tai kuvia, joita ei muualla ole. Huolehdi varmuuskopioista ja pidä käyttäjätunnukset tallella.

Mitä kaikkea ulkopuolinen saa haltuunsa, jos puhelimesi varastetaan? Entä mihin varas saa pääsyn puhelimesi kautta? Lukitse puhelin suojakoodilla, suojakuviolla tai sormenjälkitunnistuksella. Koodi on tärkeä suojamuuri ulkopuolisia vastaan. Harkitse myös viestien ja ilmoitusten piilottamista näytöltä. Jos menetät puhelimesi, niin tällöin ulkopuolinen ei pääse lukemaan ruudulta tärkeitä tietoja.

Harjoittele erikoistilanteiden varalle. Jos puhelimesi katoaa, miten löydät sen? Puhelimessa olevia paikannustoimintoja kannattaa testata – mielellään jo ennen puhelimen kadottamista. Entä jos yhtäkkiä tarvitset puhelimeen liittyvää käyttäjätunnusta ja salasanaa? Mistä ne löytyvät ja miten ne voi palauttaa? Työpaikan IT-tuella ei välttämättä ole keinoja päästä puhelimeen.

Sovelluksia vain tarpeen mukaan

Asenna laitteeseen vain työn tekemisen kannalta välttämättömät sovellukset. Ennen uuden sovelluksen asentamista on toki hyvä selvittää, onko laitteessa jo vastaava sovellus. Eli selvitä, tarvitsetko välttämättä mitään uutta sovellusta, vai pärjäisitkö laitteen omalla sovelluksella.

Asenna sovellukset aina virallisesta sovelluskaupasta. Selvitä etukäteen millaista sovellusta tarvitset, mitä vaihtoehtoja on olemassa ja millaisia arvosteluja sovellus on saanut. Kun tiedät minkä sovelluksen haluat, tarkista tarkkaan, että olet asentamassa oikean nimistä sovellusta oikealta julkaisijalta. Pyri suosimaan tunnettuja ja yleisesti käytössä olevia sovelluksia. Niissä mahdollisesti ilmenevät ongelmat tulevat todennäköisesti nopeammin esille.

Sovelluksen käyttöoikeuspyyntöjä kannattaa pohtia hetki. Jos sovellus pyytää käyttöoikeutta esimerkiksi laitteen tiedostoihin tai kameraan, niin anna oikeudet vain, jos pyyntö on mielestäsi aiheellinen. Jos sovelluksella ei ole tarkoitus ottaa kuvia, niin kameran käyttöoikeuksia ei tarvita.

Poista ylimääräiset sovellukset, kun niille ei ole enää tarvetta.

Huijausviestit ovat riski myös älypuhelimissa

Huijausviesteihin liittyvät riskit ovat olemassa myös älypuhelimissa. Riskit voivat olla puhelimissa jopa suurempia, koska laitteen näkymät ovat rajatumpia tietokoneeseen verrattuna. Rikollisen lähettämän linkin takaa mahdollisesti löytyvä huijaussivusto voi näyttää puhelimessa uskottavammalta kuin tietokoneen nettiselaimessa.

Sähköpostilla saapuneen linkin todellisen www-osoitteen selvittäminen on puhelimessa riskialttiimpaa kuin tietokoneella. Esimerkiksi tietokoneen sähköpostiohjelmassa voi viedä hiiren kursorin linkin päälle, jolloin linkin oikea osoite näkyy. Puhelimessa linkkiä pitää painaa pitkään, jolloin linkin todellinen osoite tulee näkyville. Vahinkoklikkauksen riski on puhelimessa suurempi kuin tietokoneella.

Älypuhelimen erikoisuus on se, että huijausviestejä ja haitallisia linkkejä voi tulla myös tekstiviestillä. Koska viestit saapuvat perinteisenä tekstiviestinä, ei sähköpostijärjestelmän roskapostisuodatin pysty niitä pysäyttämään. Rikolliset voivat lähettää viestejä niin, että viestit saapuvat samaan viestiketjuun oikeiden viestien kanssa. Puhelimen kautta avattavien viestien ja linkkien kanssa tuleekin olla todella tarkkana.

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.

Salasitko myös poistetut tiedostot?

USB-tikun tai levyosion salaaminen ei välttämättä salaa aikaisemmin poistettuja tiedostoja. Osiolta on siis mahdollista palauttaa jo poistetut tiedostot. Asiasta kysyttiin alunperin Truecrypt-ohjeen kommenttiosiossa. Laittakaa vastaavia haastavia ja mielenkiintoisia kysymyksiä tulemaan!

Kun poistat tiedoston esim. USB-tikulta, niin tiedosto ei oikeasti poistu. Käyttöjärjestelmä ei vain enää näe tiedostoa. Tiedosto on kuitenkin olemassa edelleen. Lue aiheesta lisää: Tiedostojen turvallinen poistaminen.

Salausta tehdessä pitää tietää, salataanko tiedostojen lisäksi myös vapaa tila. Jo poistetut tiedostot sijaitsevat käyttöjärjestelmän näkökulmasta tuossa vapaassa tilassa. Jos vapaata tilaa ei salata, tiedostot on palautettavissa.

Testasin tätä käytännössä. Tallensin 6 tiedostoa osiolle. Poistin niistä sen jälkeen 3 ensimmäistä.

Testdisk poistetut tiedostot

Yllä olevasta kuvasta huomaa, että käyttämäni TestDisk-työkalu näkee edelleen poistetut tiedostot. Ne on merkitty kuvassa (heikosti luettavalla) punaisella tekstillä. Seuraavaksi salasin osion Truecryptillä. Käytin salauksen yhteydessä osion pikaformatointia, joka ei salaa vapaata tilaa.

photorec tiedostojen palauttaminen

Salauksen jälkeen ajoin Photorec-työkalun. Photorec löysi ja palautti salatulta osiolta jopa 7 tiedostoa (kuva yllä). Ne olivat tässä sekä aikaisemmassa testissä poistamani tiedostot.

Jotta poistettujen tiedostojen palauttaminen salatulta muistitikulta tai osiolta ei olisi mahdollista, pitää myös vapaa tila salakirjoittaa. Toinen vaihtoehto on ylikirjoittaa tila ennen salausta esimerkiksi DBAN-ohjelmalla. Jotkut salausohjelmat voivat myös ylikirjoittaa tyhjän tilan salauksen yhteydessä.

Linkkejä aiheeseen liittyville ulkopuolisille sivuille:

Ransomware tietoisku ja posteri

Ohessa on tietoisku Ransomware eli kiristyshaittaohjelmista. Tein tietoiskun osana YAMK-opintojen Cybersecurity Management (kyberturvallisuuden hallinta) -kurssia. Tehtävänä oli tuottaa materiaalia sosiaalisen median tietoturvakampanjaa varten. Toinen osa tietoiskusta julkaistaan myöhemmin.

Lataa suomenkielinen Ransomware-posteri. Saatavilla on myös alkuperäinen englanninkielinen posteri.  Alla pieni esikatselukuva.

ransomware tietoisku

Ransomware eli kiristyshaittaohjelma ottaa haltuun tietokoneesi tai puhelimesi ja pyytää sinulta rahaa sen vapauttamiseksi.

F-Securen uhkaraportin mukaan yksi tietty kiristyshaittaohjelmaperhe oli vuoden 2014 jälkimmäisellä puoliskolla 10. suurin haittaohjelmauhka maailmassa. “Vasta kymmenes?” saatat pohtia.

Kyseinen haittaohjelmatyyppi on ollut huomattava ongelma viimeisen parin vuoden aikana. Havaituista uhista se saattaa olla jopa kaikkein ongelmallisin. (F-Secure 2014)

Näin Ransomware toimii

1. Saastuminen
Voit saada kiristyshaittaohjelman koneellesi saastuneesta sähköpostin liitetiedostosta tai päivittämättömän selainlaajennoksen kautta.

2. Salaus
Kiristyshaittaohjelma etsii koneeltasi mielenkiintoisia tiedostoja, kuten tekstidokumentteja, kuvia jne. Sitten ohjelma salakirjoittaa tiedostot niin, ettet voi käyttää niitä enää.

3. Kiristys
Haittaohjelma lukitsee koko laitteen ja pyytää rahaa. Käyttäjän on maksettava ajoissa tai hinta nousee.

4. Pelastus
Jos käyttäjä maksaa, tiedostot ehkä vapautetaan lukituksesta.

Miten suojaudun kiristyshaittaohjelmalta?

Paras suojaus kiristyshaittaohjelmia vastaan on pitää koneesi päivitettynä ja varmuuskopioida usein. Onko koneesi jo saastunut? Puhdista järjestelmä ja palauta kaikki tiedostot varmuuskopioista. Älä maksa rikollisille!

Lue lisää kiristyshaittaohjelmista poliisin, kyberturvallisuuskeskuksen ja F-Securen tekemältä sivustolta sekä F-Secure uhkaraportista H2/2014.

Avoin vs suljettu lähdekoodi – kumpi on turvallisempaa?

Mielenkiintoinen ikuisuuskysymys. Kokosin tähän muutamia näkökulmia ja lajittelin ne ohjelmiston lähdekoodin luottamuksellisuuden, eheyden ja saatavuuden perusteella.

Luottamuksellisuus – onko ohjelmakoodi turvallista?

Suljettujen ohjelmistojen tietoturva perustuu sille, että ohjelmiston koodivirheitä ei näe. Avoimissa ohjelmistoissa asia on täysin käänteinen. Kaikki voivat tarkistaa, onko koodissa virheitä vai ei.

Silmäpareja on enemmän, mutta kuinka moni oikeasti katsoo? Vakava Heartbleed-haavoittuvuuskin oli näkyvillä yli kaksi vuotta, mutta kukaan ei huomannut sitä.

Eheys – mitä ohjelmisto oikeasti sisältää?

Suljettujen ja avoimien ohjelmistojen asennuspaketeissa on sama ongelma: et voi tietää, onko paketissa mukana jotain ”ylimääräistä”. Avoimissa ohjelmistoissa on kuitenkin se etu, että voit ladata lähdekoodin ja rakentaa ohjelman itse.

Onko yrityksillä nykyaikana resursseja rakentaa itse lähdekoodista ohjelmistoja sekä ylläpitää niitä?

Saatavuus – onko ohjelmisto aina tarjolla?

Mitä jos ohjelmiston valmistaminen lopetetaan? Avoin lähdekoodi mahdollistaa sen, että kuka tahansa voi muokata ohjelmiston toimivaksi esim. eri käyttöjärjestelmissä. Suljetun koodin ohjelmistoissa sinun on odotettava, että ohjelmiston valmistaja tekee tämän.

Olisiko kuitenkin järkevämpää vaihtaa ohjelmistoa, jos nykyinen ei enää toimi uudemmissa järjestelmissä tai valmistus lopetetaan?

Extranäkökulma – vapaaehtoinen ammattilainen

Olen kuullut useasti väitteen, että vapaaehtoisesti toteutetut avoimen koodin sovellukset ovat harrastajien tekeleitä. Millä perusteella ammattilainen ei voisi olla vapaaehtoinen?

Avoin lähdekoodi mahdollistaa turvallisemman ohjelmiston kehittämisen

Ohjelmiston tietoturvan tasoa ei voi mitata pelkällä lähdekoodin avoimuudella. Avoin lähdekoodi kuitenkin mahdollistaa seuraavat asiat:

  • Voit tarkistaa, onko ohjelmassa virheitä
  • Voit rakentaa ohjelmasi itse koodista
  • Voit muokata ohjelmaa haluamallasi tavalla
  • Voit seurata muiden tekemiä muutoksia
  • Voit valita ohjelmiston toimittajan
  • Voit vaikuttaa ohjelmiston tietoturvaan

Voit tehdä kaiken ylläolevan itse tai tilata jonkun muun tekemään sen puolestasi.

Salasanani on liian pitkä

Kehoitin aikaisemmin käyttämään pitkiä salasanoja. Monimutkaista salasanaa ei kuitenkaan muista ulkoa.

microsoft_password

Noh, kuten kuvasta näkyy, niin eihän sitä pitkän salasanan käyttöä ole helpoksi tehty.

Microsoftin Live ID -palvelu valittaa, että salasanani on liian pitkä. Pyytää syöttämään vain ensimmäiset 16 merkkiä.

Yritin, yllätyin, petyin.