This work is dedicated to the Public Domain.
Eräät yritykset ja viranomaiset julkaisivat tietoturvaoppaan (www.tietoturvaopas.fi),
joka liittyi "tietoturvatalkoisiin" ja kansalliseen
tietoturvapäivään 11.2.2004. Oppaan paperiversiota jaettiin
koteihin vuoden 2004 alussa.
Tietoturvaoppaan webbipalvelimelle murtauduttiin julkaisuvuonna kahdesti:
On hyvä, että tietoturvasta tiedotetaan. Opas tosin muistuttaa osiltaan Microsoftin ja joidenkin virustorjuntayritysten mainoksia ja käyttöohjeita. Esimerkiksi muiden kuin Microsoftin valmistamista käyttöjärjestelmistä, sähköpostiohjelmista tai webbiselaimista ei kotiin jaetussa oppaassa juuri mainita. Onneksi oppaan webbiversiota on näiltä osin jo täydennetty. Opasta tullaan toivottavasti vielä kehittämään.
Tämän dokumentin tarkoitus on täydentää opasta näiltä osin. Tämä dokumentti on tarkoituksella vähän asenteellisesti kirjoitettu. ;) Toisaalta myös alkuperäistä tietoturvaopasta voisi syyttää asenteellisuudesta - se oli yllättävän yksipuolinen julkaisuksi, jonka tekemisessä myös viranomaiset ovat olleet mukana. Toivottavasti tämä kirjoitus auttaa ihmisiä lukemaan alkuperäistä opasta kriittisesti ja erottelemaan siitä hyödylliset neuvot, kaupallisen markkinoinnin ja oleelliset asiat, joista alkuperäisessä tietoturvaoppaassa ei syystä tai toisesta sanota mitään.
Alkuperäistä opasta ei pidä ehkä kuitenkaan liikaa syyttää Microsoft-keskeisyydestä, ovathan kyseisen yrityksen tuotokset kuitenkin kuluttajakäytössä yleisimpiä. Samaten virusongelma on koskenut lähinnä Microsoftin käyttöjärjestelmiä ja ohjelmia, ei niinkään esimerkiksi Applen OS X -käyttöjärjestelmää tai Linuxia. Tavalliselle kotikäyttäjälle, joka käyttää tietokoneeseen esiasennettua Windows-käyttöjärjestelmää, oppaasta on varmasti hyötyä.
Osaltaan Microsoftin tietoturvaongelmien syynä on yhtiön ohjelmien yleisyys ja monokulttuuri (haittaohjelmat leviävät parhaiten ympäristössä, jossa kaikki käyttävät täsmälleen samanlaisia ohjelmia), mutta tämä ei kuitenkaan selitä kaikkea. Microsoftin monissa ohjelmissa on ollut luvattoman paljon erilaisia tietoturvaa vaarantavia ohjelmointivirheitä, mikä kielii puutteellisesta laadunvalvonnasta.
Tärkeä syy tietoturvaongelmiin on myös Microsoftin vuosien takaa periytyvä suunnittelufilosofia, jossa uudet ominaisuudet ja käytön "helppous" ovat olleet tietoturvaa tärkeämpiä: ohjelmia ajetaan turhaan pääkäyttäjän oikeuksilla; tuotteissa on oletusarvoisesti päällä turhia ominaisuuksia, jotka ovat potentiaalisia haavoittuvuuksia; tiedoston katsomisen ja ajamisen (datan ja ohjelmakoodin) erottelu ei toimi tarpeeksi tehokkaasti, kuten ei myöskään luotetun ja ei-luotetun tiedon erottelu. Monet vakavat haavoittuvuudet ovat perustuneet näihin arkkitehtuurin perusoletuksissa oleviin puutteisiin, joiden paikkailu jälkikäteen on hyvin vaikeaa.
Toisaalta Microsoft on tehnyt joistakin tuotteistaan tarkoituksella epäyhteensopivia vaikeuttaakseen kilpailijoidensa toimintaa. Omien epäyhteensopivien ja usein ei-julkisten ratkaisujen käyttö avoimien standardien sijasta on näkynyt myös tietoturvatoteutusten heikompana tasona, esimerkkinä Microsoftin turvattomaksi osoittautunut useita yksinkertaisia virheitä sisältänyt etäkäyttöprotokollan toteutus.
Ongelmien syiden poistamisen sijasta korjauksiksi tarjotaan virustorjuntaohjelmien ja henkilökohtaisia palomuurien kaltaisia väliaikaisratkaisuja. Tälle eivät tietoturvaoppaan tekijät Microsoftia lukuunottamatta tietenkään voi mitään.
Oppaassa olisi kuitenkin tasapuolisuuden nimissä voinut edes mainita muista vaihtoehdoista.
Toinen merkittävä puute tietoturvaoppaassa on, että tietojen varmuuskopioinnista ei mainita mitään.
Sisällysluettelo vastaa suunnilleen alkuperäisen tietoturvaoppaan sisällysluetteloa 17.2.2004.
Seuraavassa on joitakin tärkeitä neuvoja, jotka puuttuivat alkuperäisestä tietoturvaoppaasta tai joita oppaassa ei sanottu tarpeeksi selkeästi:
Kun tiedosto häviää kovalevyrikon, käyttövirheen tai haittaohjelman takia, ei mitään ole ehkä tehtävissä, ellei tiedostosta ole olemassa varmuuskopioita. Varmuuskopiot on syytä ottaa säännöllisesti. Kovalevyn jo rikouduttua se on liian myöhäistä. Kotikäyttäjä voi ottaa varmuuskopioita esimerkiksi kirjoittavan CD- tai DVD-aseman avulla. TIEKEn tietoturvaohjeistossa kerrotaan enemmän varmuuskopioinnista. Tietoturvapäivänä koteihin jaetussa oppaassa varmuuskopioinnista ei mainita.
Aja vain luotetuista lähteistä saatuja ohjelmia. Kun mahdollista, älä aja ohjelmia pääkäyttäjän oikeuksilla.
Esimerkiksi viattomalta näyttävä tiedostonlatausohjelma voi sisältää vakoiluohjelman, joka välittää pääpalvelimelleen tietoja esimerkiksi käyttäjän Internet-selailusta. Näitä tietoja voidaan käyttää markkinointiin tai mihin tahansa muuhun tuottoisaan tarkoitukseen - henkilötiedot ovat arvokasta kauppatavaraa.
Tarpeeksi luotettavia lähteitä ovat tyypillisesti oman käyttöjärjestelmäjakelun valmistaja (jos käyttöjärjestelmänsä valmistajaan ei luota, kannattaa vaihtaa käyttöjärjestelmää), kunnialliset ohjelmistovalmistajat ja organisoituneet avoimen lähdekoodin projektit. Onko lähde "tarpeeksi luotettava" ratkaisee tietysti viime kädessä käyttäjä itse, mitään kaikkiin tilanteisiin sopivaa määritelmää ei voi antaa. Suuremmissa organisaatioissa tämä on usein määritelty organisaation yhteisessä tietoturvapolitiikassa - tyypillisesti yksittäisiltä käyttäjiltä on kokonaan kielletty omien ohjelmien asentaminen.
Käytä hyvää salasanaa. Lisätietoja:
Kommentteja ja täydennyksiä alkuperäisen tietoturvaoppaan lukuihin:
Ks. tietoturvaopas.
Internetin käyttöön liittyy varjopuolia. Niiltä voi kuitenkin suojautua käyttämällä Internettiä hyvän tavan mukaan ja järkevästi ja pitämällä käyttöjärjestelmän ajan tasalla. Apuna voi lisäksi käyttää palomuuria. Microsoft Windowsia käyttävät voivat lisäksi tarvita virustorjuntaohjelman.
Mitä Windows-koneiden riesana olevat haittaohjelmat voivat tehdä? Haittaohjelma voi tuhota tiedostoja ja sotkea uhrin tietokoneen toiminnan. Haavoittuvuuden tai käyttäjän virheen avulla asentunut haittaohjelma voi välittää käyttäjän näppäinpainallukset, luottokorttinumerot mukaan lukien, rikollisille tai lähettää luottamuksellisia tiedostoja haittaohjelman saastuttamina massasähköpostilähetyksinä satunnaisille vastaanottajille. Haittaohjelma voi näyttää käyttäjälle mainoksia ponnahdusikkunoissaan. Ohjelmat voivat välittää tietoja Internetin käytöstä keskuspalvelimelleen. Tällaiset tiedot ovat arvokasta kauppatavaraa. Haittaohjelman avulla ulkopuoliset voivat käyttää tietokoneessa olevaa webbikameraa tai mikrofonia ja seurata käyttäjän toimia. Joissain tapauksissa kräkkerit ovat jopa kommentoineet tietokoneen kamerasta näkemänsä hämmentyneen käyttäjän pukeutumista tai auttaneet häntä kamerasta näkemänsä ristisanatehtävän ratkaisemisessa viestipalvelun (WinPopup) avulla! Haittaohjelmat asentavat uhrien koneille takaovia, joita käytetään muun muassa spämmin lähettämisen ja palvelunestohyökkäysten ja tietomurtojen apuna. Omasta tietoturvastaan kannattaa siis huolehtia - jos ei muusta syystä, niin siksi, että se on vastuullista muita netin käyttäjiä kohtaan.
Ks. myös tietoturvaopas.
Virukset ja madot tekevät tuhojaan lähinnä Microsoft Windowsissa. Myös muiden ympäristöjen käyttäjät kuitenkin kärsivät ongelmasta muun muassa haittaohjelmien lähettämien sähköpostiviestien ja virustorjuntaohjelmien varoitusten muodossa, vaikka haittaohjelmat eivät omaan järjestelmään muuten vaikuttaisikaan.
Ks. myös tietoturvaopas.
Ks. tietoturvaopas.
Roskaposti, eli spämmi, tarkoittaa
usealle vastaanottajalle ilman vastaanottajien hyväksyntää
lähetettyjä viestejä, viestin sisällöstä riippumatta. Ryhmän
sfnet.viestinta.roskapostit VUKKissa neuvotaan, miten roskapostin
kanssa tulee menetellä.
Joitakin ohjeita:
Ks. myös tietoturvaopas.
Ks. tietoturvaopas.
Ks. myös tietoturvaopas
Tietoturvaoppaan "kolmen askeleen ohje" on oleellisesti sama kuin Microsoftin sivuilla oleva vastaava ohje.
Käyttöjärjestelmän ja ohjelmien tietoturvapäivitykset tulee asentaa säännöllisesti. Tämä tarkoittaa sitä, että käyttöjärjestelmään ja ohjelmiin asennetaan uusimmat korjaukset ja päivitykset sitä mukaa, kun käyttöjärjestelmän valmistaja julkaisee niitä. Ohjeet päivitysten asentamiseen saa käyttöjärjestelmän valmistajalta. Tietoturvaopas sisältää ohjeet Windowsin päivittämiseksi. Useat nykyaikaiset käyttöjärjestelmät on mahdollista ohjelmoida hakemaan ja asentamaan tietoturvapäivitykset automaattisesti.
Käyttäjän on itse erikseen huolehdittava käyttöjärjestelmään kuulumattomien ohjelmien päivityksestä. Esimerkiksi Linux-jakelut voivat sisältää kaikki tarvittavat ohjelmat, joiden tietoturvapäivityksistä jakelun ylläpitäjä pitää keskistetysti huolta, mikä helpottaa järjestelmän pitämistä ajan tasalla.
Microsoft ei ole aina julkaissut tietoturvapäivityksiä ajoissa, huolimatta yrityksen lupauksista panostaa enemmän ohjelmiensa tietoturvaongelmiin. Esimerkkinä Microsoft julkaisi erääseen vakavaan haavoittuvuuteen päivityksen tietoturvapäivän aattona - puoli vuotta sen jälkeen kun haavoittuvuudesta oli kerrottu yritykselle. Valitettavasti tällaiset pitkät vasteajat eivät ole olleet Microsoftille erityisen poikkeuksellisia. Apple ja Linux-jakelut (esimerkiksi SUSE) ovat julkaisseet päivityksiä huomattavasti nopeammin, vasteajat on tyypillisesti laskettu päivissä.
Microsoft Windows -käyttöjärjestelmien käyttäjät voivat parantaa tietoturvaansa käyttämällä jotain vaihtoehtoista selainta ja sähköpostiohjelmaa (haittaohjelmat tarttuvat usein Internet Explorerin tai Outlook Expressin haavoittuvuuksien avulla), kuten Mozillaa tai Operaa. Niissäkin on toki tietoturvaongelmia ollut, mistä syystä käyttäjän on syytä huolehtia näidenkin ohjelmien päivityksistä.
Yhdysvaltain liittovaltion US-CERT-virasto on kehottanut käyttäjiä vaihtamaan Microsoftin Internet Explorer -selaimen johonkin turvallisempaan vaihtoehtoon yhtenä keinona tietoturvan parantamiseksi:
Käytä eri selainta
Internet Explorer -selaimen domain/zone-tietoturvamalliin, DHTML-objektimalliin, tiedostotyypin päättelyyn, graafiseen käyttöliittymään ja ActiveX:ään liittyy monia merkittäviä haavoittuvuuksia. Näille haavoittuvuuksille altistumista on mahdollista vähentää käyttämällä eri selainta, erityisesti, kun selaillaan ei-luotettuja webbisivustoja. - -
Vulnerability Note VU#713878, US-CERT (2004).
Myös Viestintäviraston alainen CERT-FI-ryhmä kehotti 22.11.2004 käyttäjiä luopumaan IE:n käytöstä, kunnes IFRAME-haavoittuvuuteen on saatavilla korjaustiedosto.
Melkein kaikki liikkeellä olevat virukset ja madot toimivat vain Microsoftin ohjelmissa. Windows-käyttäjät voivat tarvita erillisen virustorjuntaohjelmiston.
Virustorjuntaohjelma ei kuitenkaan ole ongelmaton. Virustorjuntaohjelmisto voi hidastaa järjestelmän toimintaa. Virustorjuntaohjelmassa voi olla ohjelmointivirheitä ja epäyhteensopivuuksia, mistä voi aiheutua tietoturvariskejä, mukaan lukien tiedon saatavuuden ja eheyden vaarantuminen (esimerkkejä haavoittuvuuksista McAfeen, Trend Micron, F-Securen ja Symantecin virustorjuntaohjelmissa). Virustorjuntaohjelmisto toimii avattavia tiedostoja tutkiessaan ja tarvittaessa niiden käyttöä estäessään järjestelmän luotettavuuden kannalta kriittisessä paikassa, jossa ohjelmointivirhe tai epäyhteensopivuus voi johtaa vakavaan haavoittuvuuteen tai tiedon menettämiseen. Virustorjuntaohjelmisto voi "sotkea" koneen toiminnan ja aiheuttaa outoja vikatilanteita - tätä näkee säännöllisin väliajoin uutisryhmissä valitettavan. Virustorjuntaohjelma ei myöskään luotettavasti tunnista ennalta tuntemattomia haittaohjelmia.
Virustorjuntaohjelmaa parempi ratkaisu olisi suunnitella järjestelmä alusta alkaen turvalliseksi, asentaa haittaohjelmien käyttämät haavoittuvuudet korjaavat tietoturvapäivitykset säännöllisesti ja toimia muutenkin järkevästi (esimerkiksi ajetaan vain luotettavia ohjelmia ja poistetaan käyttöjärjestelmän tarjoamat tarpeettomat palvelut). Toisin sanoen, sen sijaan että suojaudutaan tietyltä haavoittuvuutta hyväkseen käyttävältä haittaohjelmalta virustorjuntaohjelmalla poistetaan haavoittuvuus kokonaan tietoturvapäivityksellä tai otetaan mahdollisen haavoittuvuuden sisältävä palvelu pois käytöstä, jolloin mikään haittaohjelma ei voi enää käyttää haavoittuvuutta hyväkseen. Windows-käyttöjärjestelmillä virustorjuntaohjelman edut (virustartuntojen estäminen) ovat usein kuitenkin haittoja suurempia ja siksi virustorjuntaohjelma voi olla kannattava hankinta. Microsoft suosittelee virustorjuntaohjelman käyttöä.
Välttämätön virustorjuntaohjelmisto ei kuitenkaan Windowsissakaan ole, jos asentaa tietoturvapäivitykset säännöllisesti, välttää turvattomia ohjelmia ja jos toimii myös muuten järkevästi.
Applen OS X -käyttöjärjestelmän tai Linuxin käyttäjillä virusongelmaa ei juuri ole ollut. OS X:ssä käytännössä ainoa uhka nykyään ovat Microsoft Officen makrovirukset (Microsoft Office on saatavana myös OS X:lle), jotka voi välttää pitämällä makrotoiminnot pois päältä Officessa. OS X:n ja Linuxin käyttäjät eivät virustorjuntaohjelmaa pääsääntöisesti nykyään tarvitse (poikkeuksena esimerkiksi Linux-palvelimissa, jotka välittävät sähköpostia Windows-koneille tai jotka toimivat Windows-koneiden levypalvelimena, on usein viruskanneri Windows-koneiden suojelemiseksi).
Ei kuitenkaan kannata tuudittautua väärään turvallisuuden tunteeseen: Linuxillekin voi tehdä viruksen, joka voi levitä, jos käyttäjä esimerkiksi suorittaa sähköpostin liitteenä tai muusta ei-luotetusta lähteestä saatuja ohjelmia tai epäilyttäviä makroja OpenOfficessa tai muussa tekstinkäsittelyohjelmassa. Toisin sanoen: aja vain luotetuista lähteistä saatuja ohjelmia.
Tietoturvaoppaassa annetaan ohjeita erilaisten maksullisten virustorjuntapalvelujen asentamiseen.
Palomuuri on järjestelmä, joka valvoo ja rajoittaa paikallisverkon tai oman koneen ja ulkoisen verkon (Internetin) välisiä yhteyksiä. Palomuurilla voi muun muassa rajoittaa ulkoisesta verkosta tulevia yhteydenottoyrityksiä paikallisiin palveluihin tai estää sisäverkon ohjelmien viestintää ulkoisen verkon kanssa (mm. erilaiset vakoiluohjelmat, "spyware").
Vaikka palomuuri onkin oikein käytettynä hyödyllinen, se ei kuitenkaan ole välttämätön tietoturvan kannalta. Se voi aiheuttaa kummallisia vikatilanteita ja se voi jopa heikentää tietoturvaa, jos se antaa käyttäjälle väärää turvallisuudentunnetta. Lisäksi kuten virustorjuntaohjelmakin, myös henkilökohtainen palomuuri on monimutkainen järjestelmä, jossa voi itsessään olla haavoittuvuuksia, esimerkkinä äskettäinen järjestelmään murtautumisen mahdollistava haavoittuvuus Zone Alarm -palomuurissa. Jos palomuurin päättää hankkia, kannattaa niin sanottujen henkilökohtaisten palomuurien sijasta harkita edullisia ulkoisia palomuureja.
Linux-käyttöjärjestelmän ydin sisältää tehokkaan palomuurin. Applen avoimeen lähdekoodin pohjautuvassa OS X -käyttöjärjestelmässä on myös sisäänrakennettu palomuuri.
Palomuuri on valitettavasti välttämätön Windows-käyttöjärjestelmän joitakin versioita asentaessa. Joissakin Windowsin versioissa on tietoturva-aukkoja, jotka mahdollistavat nettiin yhdistetyn koneen murtamisen, jos koneeseen ei ole asennettu tietoturvapäivityksiä (kone on luultavasti kräkätty keskimäärin joidenkin kymmenien minuuttien kuluttua). Ja jotta koneeseen saa tietoturvapäivitykset, on se ensin yhdistettävä nettiin... Windows XP onneksi sisältää ominaisuuksiltaan rajoitetun palomuurin. On syytä varmistaa, että se on käynnissä ennen koneen yhdistämistä verkkoon tietoturvapäivitysten hakemista varten. Toinen vaihtoehto on käyttää ulkoista palomuuria tai NAT-reititintä. Windows-koneita verkkoon asentavien kannattaa lukea artikkeli "Windows XP: Surviving the First Day" (pdf).
Palomuureista kerrotaan enemmän ryhmän sfnet.atk.turvallisuus[.kotikoneet]
VUKKissa.
Tietoturvaoppaan verkkoversiossa mainitaan joitakin ohjelmia.
Toimisto-ohjelmista voisi vielä mainita avoimeen lähdekoodiin perustuvan OpenOffice.orgin ja Sunin StarOfficen, jotka tarjoavat saman toiminnallisuuden kuin Microsoftin Office -ohjelmat.
Ryhmän sfnet.atk.turvallisuus[.kotikoneet] VUKKissa
annetaan joitakin tietoturvalinkkejä.
Tietoturvapäivänä jaetun oppaan lisäksi kannattaa lukea TIEKEn
tietoturvaopas.
http://www.iki.fi/kaip/tietoturvaopas.html
Kai Puolamäki,Kai.Puolamaki@iki.fi
This work is dedicated to the Public
Domain.