Download   Report
  1. No category

Arjen tietoturvaa

Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
Petteri Järvinen
Arjen tietoturvaa
Mitä jokaisen tulee tietää tietoturvasta ja tietosuojasta
15.4.2015
Raisio Tietoturva
15.4.2015
Tietoturva ei ole tekniikkaa
• Tekniset ongelmat helppoja ratkaista
– ... mutta miten muuttaa ihmisten käyttäytymistä?
• Mukavuus * turvallisuus = vakio
• Rutiinit ovat hyvä ja huono asia
– kehitä hyviä rutiineja, pyri eroon huonoista
• Miten kilpailla ilmaisten
palvelujen kanssa?
– yritykseen syntyy varjo-IT
• Odota odottamatonta
– kaikkein vaikeinta!
Tietoturva 15.4.2015
@petterij
1
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
Windows XP – R.I.P.?
• Tuki loppui 8.4.2014
– missä ovat ongelmat?
– tuleeko tietoturvahyökkäyksiä jatkossa?
– ongelmana enemmänkin huonot koneet kuin XP
www.netmarketshare.com/
operating-system-market-share.aspx
XP 2/2015: 19,15 %
Windows 7: 55,99 %
Tietoturva 15.4.2015
Eräs kalasteluhuijaus
Toimii kaikilla koneilla ja käyttöjärjestelmillä
• Sähköposti kaverilta, kehottaa avaamaan tiedostoliitteen
• Valesivu kaappaa tunnukset
–
kutsu leviää omille ystäville, pyydetään rahaa tms.
• Gmail-yhteystietojen tyhjennys
–
–
häviävät myös puhelimesta synkronoinnin myötä
onneksi Googlesta voi palauttaa vanhoja versioita!
Tietoturva 15.4.2015
@petterij
2
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
Metro 21.10.2014
IS 24.1.2013
Tietoturva 15.4.2015
Tietoturva 15.4.2015
@petterij
3
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
IL 5.7.2013
• Nainen tutki läheistensä potilastietoja Porvoossa, 90
päiväsakkoa ja 1800 euroa korvauksia (IS 20.9.2013)
• Psykiatrian erikoislääkärille 40 ps (2160 eur) sukulaisen
tietojen katselusta + 1500 eur korvaukset (HS 24.11.14)
Tietoturva 15.4.2015
Salasana
• Jaettu salaisuus käyttäjän ja koneen välillä
– yleinen, koska toteutus ei maksa mitään – ei mitään muuta hyvää
– salasana voi paljastua tai unohtua – joskus valtuuden siirto
salasanan mukana on haluttu ominaisuus
• Toisen salasanaa on liki mahdoton arvata?
• Annatko selaimen muistaa salasanat?
– selaimet synkronoivat koneiden välillä, myös mobiiliin
• Montako salasanaa sinulla on?
– mikä on niistä tärkein?
Tietoturva 15.4.2015
@petterij
4
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
Salasanojen mahdoton yhtälö
Ei saa kirjoittaa muistiin
Vaihdettava
säännöllisesti
salasana
Joka paikkaan eri
salasana
Oltava pitkä ja mutkikas
Sg9+Iksq!slGknx?
Tietoturva 15.4.2015
Miten keksin hyviä salasanoja?
• Ei sama kuin käyttäjätunnus (etuperin tai takaperin)
–
–
–
–
–
eikä PIN-koodi saa olla syntymäaika!
ei mikään yksittäinen sana
riittävä pituus vaihtelee, vähintään 10 merkkiä
sana + numero ei ole turvallinen, helppo kokeilla kaikki vaihtoehdot
i=1, e=3, o=0, A=4, S=5 liian yleinen kikka,
numeroista viisi kokeiltavaa merkkiä lisää
• Niksejä
– OdJoKo2015KeLo (Odotan Jo Kovasti 2015
KesäLomaa)?
– Lumi&Tuisku, Vilu/Nälkä
– Hesari!Matti+2014 Google!Matti+2015 ...
– ”Laitetaan vain monta sanaa peräkkäin jos sallittua”
– ääkköset kaksiteräinen miekka, eivät aina sallittuja
Tietoturva 15.4.2015
@petterij
5
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
Erityisen huonoja salasanoja
Tietomurto 11/2011
salasana, aurinko,
123456, perkele,
johanna, qwerty,
tiikeri, nallepuh,
mansikka, rasmus,
susanna, pauliina,
porkkana, emilia,
oskari, karoliina,
rakkaus, hannele, 1234
Adobe tietomurto (2013)
Tietoturva 15.4.2015
Onko takaovi lukitsematta?
• Turvakysymys helpompi
arvata kuin salasana
– huom: turvakysymyksen
vastauksen ei tarvitse olla totta
Googlen turvakysymys 2014
• Sosiaalinen media
helpottaa arvauksia
– lemmikin ja läheisten
henkilöiden nimet, auton
rekisterinumerot ym. helppo
selvittää
• Jos koneessa on
näppäimistökaappari...
– salasanan hyvyydellä tai
vaihtotiheydellä ei ole merkitystä
Tietoturva 15.4.2015
@petterij
6
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
Kaksiosainen todennus
• Koodi matkapuhelimeen
–
–
kun kirjaudutaan uudelta koneelta
joissakin sovelluksissa (kiinteä salasanakenttä) vaaditaan
kertakäyttösalasanan määrittely
• Kallis palvelulle, turvallinen käyttäjälle
–
pitää urkkia salasana ja kaapata puhelin
• Microsoft, Google, Apple, Facebook
–
”Sisäänkirjautumisen hyväksyntä” (Facebook)
• Oma puhelinnumero kannattaa ilmoittaa
nettipalveluihin
–
vaikka se arveluttaa tietosuojan vuoksi
Tietoturva 15.4.2015
Salasanamanagerit
• Keksivät, muistavat ja syöttävät
salasanat automaattisesti
• Salasanat pilvessä yhden salasanan
takana, hmm...
• Entä kun ohjelmaa ei olekaan
käytettävissä?
– tai kun koneessa on näppäimistökaappari?
• PC/Mac-versiot ilmaisia, mobiilissa
yleensä maksullisia
– esim. LastPass, F-Secure Key
Tietoturva 15.4.2015
@petterij
7
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
EULA-käyttäjäsopimukset
• Netin suurin vale: “I have read and agree to the Terms”
– https://tosdr.org (Terms of Service, Didn’t read)
• Miksi ei lueta?
– ”12 % suomalaista tutustuu käyttöehtoihin perusteellisesti ja miltei joka neljäs
myöntää, että ei yleensä lue käyttöehtoja lainkaan” (Alma Media 9.3.2015)
– vieras kieli, muuttuvat koko ajan, vaikeat termit, pitkä teksti
• Pitäisikö lukea?
– palvelu varaa oikeuden hyödyntää käyttäjän laittamia tietoja
– kuka lähtee käräjöimään Kaliforniaan?
– sitovatko jenkkiehdot suomalaista käyttäjää?
Tietoturva 15.4.2015
Peruskäyttäjän ohjeet
• Älä klikkaa OK tai Yes ellet ymmärrä kysymystä
• Älä jätä tulosteita lojumaan kirjoittimelle tai papereita
työpöydälle päivän jälkeen
• Älä käytä toisen tunnusta luvatta (tietomurto)
• Muista välitallennukset työn aikana (ctrl+s)
• Vieras kone ei voi olla täysin turvallinen (yksityisyys-tila)
• Varo vieraita usb-tikkuja
• Vältä hiirijuoppous - jos otat, älä klikkaa
• Varo sähköpostien liitteitä ja linkkejä tutuiltakin lähettäjiltä
• Some-viestit turvallisempia kuin sähköposti
• Älä kerro omista/organisaation turva-asioista ulkopuolisille
• Älä luota hotellin tallelokeroon, älä jätä laitteita huoneeseen
Tietoturva 15.4.2015
@petterij
8
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
Peitä kamera kun et käytä sitä
•
•
•
Joissakin koneissa merkkivaloa ei ole tai
sen voi ohittaa (myös älytelevisiosta)
Vakoiluohjelmat käyttävät kameraa
Peitä kamera teipillä tai laastarilla
Tietoturva 15.4.2015
Laitteen suojaus
• PIN-koodi voi olla 4-8 numeroa
– 35 % joko 1234 tai 0000 (TNS Gallup 9/2007)
– lisäksi puhelinten omat suojaukset
– Androidin suojakuvio näkyy kilometrien päähän
• Tietoturvaohjelmat eivät yleensä tarpeen
– eivät suoraan netissä, ei palveluita joihin voisi hyökätä,
ei virusten kaltaisia haittaohjelmia
Tietoturva 15.4.2015
@petterij
9
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
Mobiili on turvallinen
• Suljettu OS, sovelluskaupat
– tablet kaikkein turvallisin, vain
Androidissa pieni riski
– appseissa ei selainhuijauksia (MITM)
eikä näppäimistökaappareita
– sopii vanhuksillekin
– erittäin turvalliset ja näppärät
pankkipalvelut
• Ei oikeita viruksia
– haitakkeet huijaavat käyttäjän
asentamaan itsensä tavallisina
sovelluksina
• Vaarat muualla
– laitteen hukkaaminen ja hajoaminen
– tietosuoja ja urkinta, nettihuijaukset ja
kalastelu
Tietoturva 15.4.2015
Tarvitaanko mobiilia virustorjuntaa?
• Ei vielä tänään, mutta ehkä jatkossa?
– älä roottaa puhelinta
– varmista, että lataat
vain aitoja sovelluksia
Valevaroituksia
Tietoturva 15.4.2015
@petterij
10
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
”Tutkimuksen mukaan peräti 99,86 prosenttia haitallista koodia sisältävistä
sovelluksista tulee epävirallisista kauppapaikoista. Googlen omasta Playkaupasta asennetut haittasovellukset muodostavat Cheetah Mobilen datan
mukaan kokonaisuudesta vain mitättömät 0,14 prosenttia.”
Tietoturva 15.4.2015
Smart Locator voi pelastaa henkesi
www.112.fi/hatatilanne/
matkapuhelinpaikannus
Tietoturva 15.4.2015
@petterij
11
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
Turvaominaisuudet
• Etäpaikannus, lukitus ja tyhjennys
– voi vaatia paikannuksen ym. asetusten tekemistä etukäteen
– harjoittele! nopeus on valttia jos jotain tapahtuu: akku tyhjenee,
rosvo karkaa ulkomaille
– etäpaikannuksesta vain rajallinen hyöty
– myös Mac-kannettavat
– soi, vaikka puhelin olisi mykistetty (löytyy kotona!)
• Muistikortin salaus
– Android-puhelimissa sd-kortin salaus
– keskusmuistin salaus iOS ja Android Lollipopista alkaen
Alusta
Osoite
Android
https://www.android.com/devicemanager
iOS
https://www.icloud.com/#find
Windows Phone
http://windowsphone.com/fi-fi/my/find
Tietoturva 15.4.2015
iPhone
Android
Tietoturva 15.4.2015
@petterij
12
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
Kiristysohjelmat
• Lukitsevat selaimen
–
–
yleensä salakirjoittavat myös tiedostot
myös pilvipalveluista (vanhat versiot voivat pelastaa)
• Kiristävät rahaa
–
maksu PaySafeCard tai Bitcoin
• Salaus vaihtelee
–
–
purkukoodia ei tule tai salausta ei ole
CryptoWall salaa oikeasti, TorrentLocker vain 2 Mt
alusta salattu, helppo salaus
Tietoturva 15.4.2015
Scareware - pelotteluohjelmat
•
•
•
•
mainostetaan hyvämaineisilla sivustoilla
saattavat olla suomenkielisiä ja asiallisen näköisiä
latautuvat koneelle usein puoliväkisin ja estelystä huolimatta
löytävät ongelmia tai viruksia, joiden korjaus edellyttää maksamista
– pahimmat saastuttavat koneen itse
– tai rikkovat työtiedostoja ja tarjoavat "korjausohjelmaa" niiden pelastamiseksi
Advanced System Protector
Driver Scanner
Registry Booster
Reg Clean
Registry Helper
WinZip System Utilities
Lataa vain luotettaviksi
tiedettyjä turvaohjelmia!
Tietoturva 15.4.2015
@petterij
13
Kotka 27.3.2014
15.4.2015
© Petteri Järvinen Oy 2015
Mainokset tutuilla sivuilla
•
•
Virheetön suomi ja tunnetut
sivustot luovat luottamusta
Samaa huijausta myös
älypuhelimissa!
Tietoturva 15.4.2015
Identiteettivarkaus
• Yleensä henkilöpaperien varastaminen
–
–
–
–
–
–
20 v naiselta varastettiin lompakko ravintolassa, myös ajokortti
ajokortti kriittinen, koska sisältää valokuvan ja hetun
huom: henkilötunnus ei ole salasana!
henkilöpaperien avulla pikavippi + muita yrityksiä
tili tyhjennetty DB:n konttorissa, saman näköisen naisen toimesta
nettikaupoista ostettu osamaksulla iPhone 6, tietokoneita, vaatteita
• Oma luottokielto
–
–
–
–
–
estää luotollisten sopimusten tekemisen (hetu)
Suomen asiakastieto Oy:ltä 19,95 euroa, voimassa kaksi vuotta
kirjallinen todistus, että kieltoa on haettu itse
https://www.omatieto.fi/luottotiedot/
http://www.nixu.com/fi/blogi/2015-01/identiteettivarkauksillesuojaa-mika-oma-luottokielto
Tietoturva 15.4.2015
@petterij
14
Mitä ovat tyypilliset tietovahingot

Mitä ovat tyypilliset tietovahingot

Tuuli Kalliom臾i

Tuuli Kalliom臾i

Tietoturvaa voi hankkia myös palveluna

Tietoturvaa voi hankkia myös palveluna

Lue lisää tarjouksestamme

Lue lisää tarjouksestamme

KYBERRIKOLLISET VEIVÄT 80 MILJOONAN ASIAKKAAN TIEDOT

KYBERRIKOLLISET VEIVÄT 80 MILJOONAN ASIAKKAAN TIEDOT

Kirjautuminen BEM-palveluun

Kirjautuminen BEM-palveluun

LANGATTOMAN VERKON TIETOTURVA

LANGATTOMAN VERKON TIETOTURVA

Kuvallinen ohje

Kuvallinen ohje

Tietoturva verkkotunnusten välitystoiminnassa

Tietoturva verkkotunnusten välitystoiminnassa

Kouluttaja - oppisopimuskeskus.fi

Kouluttaja - oppisopimuskeskus.fi

ja 5-vuotiaan määräaikaisen suun terveystarkastuksen ajanvaraus

ja 5-vuotiaan määräaikaisen suun terveystarkastuksen ajanvaraus

Avaa tiedosto

Avaa tiedosto

Tietoturvaohjeistusten noudattamisen motivaatio ja sen muuttuminen

Tietoturvaohjeistusten noudattamisen motivaatio ja sen muuttuminen

abcdocz.com

© Copyright 2024