Kolme syytä painaa Win + L

Aina, kun poistut työpisteeltäsi, muista painaa tietokoneesi näppäimistöltä Win + L

Tähän on kolme erityisen hyvää syytä:

  1. Käyttöjärjestelmä menee lukkoon. Muut eivät pääse koneellesi ollessasi muualla.
  2. Toimit esimerkkinä muille ja hehkut oikeaa asennetta ympäristöösi.
  3. Opit muistamaan monimutkaisen salasanasi paremmin…

…kun rustaat sitä kahdeksan kertaa useammin kirjautumisikkunaan yhden päivän aikana.

 

Mikä ihmeen Win-näppäin? Se on Windows-logolla varustettu erikoispainike, joka sijaitsee useimmiten näppäimistön vasemmassa alareunassa.

Oletko sokkoklikkaaja?

Aina, kun olet avaamassa linkkiä sähköpostiviestistä tai nettisivulta, pidä mielessä seuraavat asiat: Linkkiteksti ei kerro, mitä sivua ollaan oikeasti aukaisemassa. Lyhennettyjen linkkien avaaminen on venäläistä rulettia.

Miten linkkejä sitten pitäisi avata?

Kun olet avaamassa linkkiä, niin vie hiiri ensin linkin päälle. Nettiselain näyttää, mihin linkki todellisuudessa vie. Esimerkiksi Mozilla Firefoxissa todellinen osoite näkyy selainikkunan vasemmassa alareunassa.

Vertaa näitä kahta linkkiä:
http://www.google.fi – Oikeasti Googlen nettisivu
http://www.google.fi – Ei vie Googlen nettisivulle
Molemmissa on sama linkkiteksti, mutta varsinaiset linkit vie eri sivuille. Älä luota sokeasti linkkitekstiin!

Ylimääräistä vaivaa aiheuttavat lyhennetyt linkit. Niitä käytetään erityisesti sosiaalisessa mediassa lyhentämään viestejä. Tässä on esimerkiksi eräs lyhennetty linkki tietojesiturvaksi.fi sivustolle: http://goo.gl/oTOD6b

Ennen klikkausta, kysy itseltäsi:
Mihin lyhennetty linkki oikeasti vie?

Tähän ei saa vastausta ilman apuvälineitä. Netissä on useita palveluita, jotka palauttavat lyhennettyä linkkiä vastaavat normaalit osoitteet. Tällaisia ovat esimerkiksi http://wheredoesthislinkgo.com/ ja http://unshort.me/ Lyhennetyn linkin todellinen sisältö kannattaa selvittää, sillä linkki voi sisältää ihan mitä vaan.

Ethän ole venäläistä rulettia harrastava sokkoklikkaaja?

Tietoturvabingon lisäarvonta

Pelasin tässä taannoin tietoturvabingoa erään järjestelmän sekä sen asiakasohjelmiston kanssa. Ohjelmiston idea on näyttää koneelle kirjautuneelle käyttäjälle häneen itseensä liittyviä tietoja, jotka haetaan etäpalvelimelta. Halusin selvittää liikkuuko käyttäjän salasana selkokielisenä ohjelmistosta palvelimelle.

Voitto ei tällä kertaa osunut kohdalle, mutta pääsin sentään mukaan lisäarvontaan. Asiakasohjelmiston kansiosta löytyi nimittäin asetustiedosto, jonka sisältö hieman ihmetytti. Yhdellä rivillä luki näin:
”Tässä määritellään se käyttäjä, jonka tunnuksilla asiakasohjelmistoa ajetaan.”

Testimielessä vaihdoin kyseiselle asetusriville toisen käyttätunnuksen ja käynnistin ohjelmiston uudelleen. Harmikseni saatoin todeta näkeväni toisen käyttäjän tiedot ruudullani. Siis sellaiset tiedot, joiden kuuluisi näkyä vain käyttäjälle itselleen sekä järjestelmän pääkäyttäjälle. Taas ihmetytti..

Otin yhteyttä järjestelmän jälleenmyyjään.

Myyjän asiantuntija vastasi, ettei hän ollut tietoinen kyseisestä asetuksesta. Pyysi ottamaan yhteyttä järjestelmän tekijöihin. Asiantuntija ei siis tuntenut tarjoamansa ratkaisun asetustiedostoa? Edelleen ihmetytti.

Tästä hämmentyneenä lähetin sähköpostia tekijöille. Kyseessä on kuulemma järjestelmässä alusta asti mukana ollut kätevä ominaisuus, jonka avulla käyttäjä saa näkyville tietonsa, vaikka ei olisikaan omalla koneellaan. Voitto!

Seuraavaksi kun järjestelmät vuotaa ja tietoja leviää ulkopuolisille, niin minua ei enää ihmetytä.

Tietosuojan huomioiminen verkkopalveluiden kävijäseurantaohjelmistoissa

Jokainen www-palvelun ylläpitäjä haluaa varmasti tietää paljonko sivustolla on ollut vierailijoita viime aikoina. Yrityksiä kiinnostaa usein myös vierailijan käyttäytyminen www-palvelussa sekä esimerkiksi mainonnan tehon mittaaminen jne.

Tätä varten otetaan usein käyttöön erillinen tilastointiohjelma tai -palvelu, kuten Google Analytics. Hintalapun lisäksi (Google Analytics: nolla euroa) helppo käyttöönotto sekä ohjelmiston kautta saatavat lisähyödyt tekevät palvelusta houkuttelevan.

Uskallan kuitenkin väittää, että monessa organisaatiossa ei varmastikaan ajatella asiaa palvelun käyttäjän näkökulmasta.
Ongelmat ovat nimittäin samat, kuin sosiaalisen median Tykkää/Jaa -nappien tapauksessa.

Samalla kun www-palvelun ylläpitäjä saa haluamansa kävijätilastot, niin vierailijan tietoja saattaa siirtyä myös ulkopuolisille (ja ulkomaisille) palveluntarjoajille. Useimmiten niin, että käyttäjä ei voi tähän mitenkään vaikuttaa.

Törkeimpiä ovat ne sivustot joiden tietosuojaselosteessa valheellisesti väitetään, että käyttäjän tietoja ei luovuteta ulkopuolisille tahoille. Ennen kuin vierailija on ehtinyt edes selosteita lukemaan, tiedot ovat jo päätyneet muualle.

Miten osapuolten tulisi suhtautua asiaan?

 

Käyttäjän vaikutusmahdollisuudet

Aseta selaimen Älä seuraa / Do not track -toiminto päälle.
Tämä kertoo www-palvelulle, että käyttäjä ei halua tulla seuratuksi. Huom! Tämä ei silti estä www-palvelua seuraamasta sinua.

Asenna selaimeen seurannan estäviä lisäosia.
Yleisimmät seurantaohjelmat ja -tekniikat voidaan estää, mutta 100% estoa on hankala toteuttaa.

Pyri liikkumaan verkossa anonyymisti.
Aiheen laajuudesta johtuen kehotan tässä vain tutustumaan esimerkiksi ns. Tor-verkkoon.

 

Verkkopalvelun ylläpitäjän vaikutusmahdollisuudet

Kunnioita käyttäjän tahtoa.
Jos vierailijan selain kertoo, että käyttäjä ei halua tulla seuratuksi, niin kunnioita sitä! Tämä on samalla moraalinen kysymys. Keräänkö käyttäjästä tietoa esim. liiketoiminnan kehittämisen nimissä vai kunnioitanko hänen tahtoaan pysyä piilossa.

Kartoita ohjelmistovaihtoehdot.
Markkinoilla on myös palveluita joissa kerätyt tiedot säilyvät Suomessa. Voit myös itse ylläpitää tilastointiohjelmistoa jolloin kerätty data ei päädy muille!

Rajoita kerättävän tiedon määrää.
Jos keräät tietoa, niin mieti mitä kaikkea tarvitset. Onko sinun esimerkiksi aivan pakko tallentaa käyttäjän IP-osoite kokonaisuudessaan?

Kerro avoimesti toiminnastasi.
Kun keräät tietoa käyttäjän toiminnasta sivustollasi, niin kerro se käyttäjälle selkeästi. Tällöin vierailija voi itse päättää miten asiaan suhtautuu.

Anna käyttäjälle mahdollisuus valita.
Verkkopalvelu voidaan toteuttaa myös siten, että käyttäjä voi itse vaikuttaa hänestä kerättävien tietojen määrään.

 

Laittakaapa jotain kommenttia aiheesta www-palvelun ylläpitäjän tai vierailijan näkökulmasta!

Miksi tietokoneesi halutaan hakkeroida?

Olet varmasti joskus pohtinut miksi ihmeessä juuri sinun tietokoneesi haluttaisiin hakkeroida?

Eihän sillä tehdä mitään tärkeää eikä siellä säilytetä liikesalaisuuksia. ”Minulla ei ole mitään salattavaa” kuulee myös usein sanottavan.

Lähtökohtaisesti rikollisia ei kiinnosta se, mitä normaalin kotikäyttäjän koneella on. Sen sijaan heitä kiinnostaa se mitä kaikkea koneellasi voi tehdä. Kaikki millä on rahallista arvoa ovat kohteena verkkorikollisille.

Ohessa on kaavio, jonka tarkoituksena on esitellä eri syitä hakkeroida / kaapata tietokone. Kaaviossa on yhdistettynä sekä yritysmaailman että kotikäyttäjän koneisiin liittyviä asioita. Vaikka kaavio ei ole täydellinen ja se sisältää päällekäisyyksiä niin kaikki varmasti ymmärtävät, miksi oma kone kannattaisi suojata..

hack_pc_arvo

Kaavion on alunperin julkaissut Brian Krebs.
Hän pitää aiheeseen liittyvää blogia osoitteessa http://krebsonsecurity.com

Näin hakkerit hyödyntävät konettasi

Tässä vielä lyhyesti selostettuna kaaviossa esitetyt kohdat. Tätä kaikkea koneellasi voidaan tehdä, kun se on hakkeroitu:

Palvelin
Koneestasi voidaan tehdä palvelin, jossa ylläpidetään huijaussivustoja sekä jaetaan haittaohjelmia ja laitonta materiaalia.

Sähköposti
Hakkerit voivat hyödyntää konettasi myös sähköpostipalvelimena. Koneesi kautta lähetetään roskpostia ja huijausviestejä ympäri maailmaa. Sähköpostitililtäsi voi löytyä myös tietoja, joiden avulla hakkerit pääsevät yrityksesi tai työnantajasi palvelimille.

Liikesalaisuudet
Mikäli kyseessä on yrityksen tietokone, voi sinne olla tallennettuna liikesalaisuuksia kuten tuotetietoja, alustavia patenttihakemuksia, tutkimustuloksia jne. Nämä kaikki ovat rahanarvoista tietoa rikollisille ja kilpailijoille.

Virtuaalinen omaisuus
Koneeltasi voi olla pääsy verkkopelien rahoihin ja muihin hyödykkeisiin. Maailmalla liikkuu myös paljon haittaohjelmia, jotka keräävät lisenssikoodeja koneilta ja lähettävät ne eteenpäin.

Sosiaalinen media
Et varmasti hirveästi ilahtuisi jos joku esiintyisi sinun tai yrityksesi tunnuksilla sosiaalisessa mediassa?

Henkilökohtaiset asiat
Koneellasi saattaa olla tietojasi tai muita henkilökohtaisia dokumentteja. Et varmastikaan halua, että muilla olisi pääsy lastesi valokuviin?

Kiristäminen
Rikolliset saattavat asentaa koneellesi ns Ransomware ohjelmistoja, jotka pyytävät lähettämään rahaa tai muuten koneesi ei enää aukea. Ohjelmat saattavat myös uhata tyhjentää koneesi ellei rahoja makseta. Sinua voidaan kiristää myös kaapatun webbikameran kautta otettujen kuvien avulla.

Taloudelliset hyödykkeet
Suomessakin on tavattu erilaisia verkkopankkihaittaohjelmia sekä pankkitunnuksia utelevia sivustoja (kts. kohta Palvelin). Näiden lisäksi myös luottokorttitiedot ja verkkokukkarot ovat hyviä kohteita rikollisille.

Käyttäjätunnukset
Eri verkkopelien, verkkopalveluiden sekä palvelimien käyttäjätunnukset avaavat rikollisille uusia mahdollisuuksia hankkia rahaa.

Bot-verkko
Koneesi saatetaan liittää osaksi ns bot-verkkoa, jota käytetään mm roskapostin levittämiseen ja isojen verkkohyökkäysten tekemiseen. Rikolliset saattavat myös peitellä omia jälkiään kierrättämällä verkkoliikenteen sinuun koneesi kautta.