Näin tietoturvagurut suojautuvat: on-off-wlan, teipit, salausohjelmat... - Tietoturva - Ilta-Sanomat

Näin tietoturvagurut suojautuvat: on-off-wlan, teipit, salausohjelmat...

Julkaistu: 11.4.2013 6:05, Päivitetty 13.4.2013 1:27

Tietoturvan ammattilaisilla on purkkavirityksensä vakoilijoita ja muita nuuskijoita vastaan. Meneekö touhu välillä överiksi?

Teippiä web-kameran eteen? Tietoturva-ammattilaisten lähes vainoharhaisesta käyttäytymisestä kertoi australialainen lehti The Sydney Morning Herald viime viikolla. Mutta käytäntö on yleinen suomalaistenkin osaajien keskuudessa.

– Olen itse aina teipannut läppärini kameran. Enkä ole tiimistämme ainoa, kertoo Viestintäviraston Cert-fi-yksikön päällikkö Erka Koivunen.

Tietoturvayhtiö F-Securen maailmallakin tunnettu guru Mikko Hyppönen osallistui SMH:n juttuun valokuvalla, jossa tietokoneen verkkokameran päällä oli laastari.

– Tuo laastari kameran päällä on vähän tuommoinen läppä. Tietenkään en oleta, että koneelleni pääsisi koskaan mitään troijalaista, mutta koskaan ei voi olla liian varovainen. Lisäksi laastarilla voi vähän näyttää esimerkkiä muille tai saada ihmisiä ajattelemaan näitä asioita, Hyppönen selittää.

Kameran suojaushan ei sinänsä auta, jos hyökkääjällä on siihen pääsy. Mikrofonia voi yhä kuunnella, ja lisäksi kameran kaappaus vihjaa siitä, että tietokone on laajemminkin hyökkääjän komennossa.

– Facebookissa joku onnitteli minua todellisena syntymäpäivänäni. Perhana, peitetarinani paljastui. Onneksi FB ei vielä tiedä todellista syntymävuottani. :-)" – Cert-fi:stä kerrottua.

Tietoturvakonsultoija Nixun asiantuntija Saku Vainikaisella oli erikoinen syy kameran teippaamiseen.

– Webbikameraa en ole teipannut kuin kerran: istuin kotoa käsin online-neuvottelussa pelkissä kalsareissani ja tajusin puolessa välissä palaveria, että kameran valo palaa…Vähänkö vikkelään länttäsin siihen postit-lappusen – onneksi video ei ollut neuvottelussa oikeasti käytössä, Vainikaimen muistelee.

Kovempiakoneita

Haastatellut asiantuntijat eivät muutenkaan käytä tietokonettaan helpoimman kautta. Erka Koivusen projektit tietokoneidensa "koventamiseksi" ovat legendaarisia hänen kollegojensa keskuudessa.

– Poistan rutiininomaisesti koneistani firmware-tuen ja laiteajurit kaikilta turhilta ominaisuuksilta, joita en tarvitse tai joiden en halua aktivoituvan. Bluetooth, modeemi, mikrofoni, kamera, paikannus ynnä muut mykistyvät, jos se vain on suinkin mahdollista. En sentään viitsi katkoa värkkien johtimia poikki. Kokemuksesta tiedän nyt, että  komponenttien karsimisella ei ole havaittavaa vaikutusta akun kestoon, Erka murjaisee.

– Tyypillisesti mikään uusi softa ei asennu tai ainakaan toimi koneissani ilman pitkällistä väkertämistä.

F-Securen Hyppösellä on käytössään useita eri tietokoneita eri käyttöjärjestelmillä. Kaikissa on päällä kiintolevyn kryptaus eli salaus.

– Tätä suosittelen kaikille, Mikko sanoo. Hänen tietokoneensa ja mobiililaitteensa myös lukittuvat automaattisesti parin minuutin käyttämättömyyden jälkeen.

Softa soittaa kotiinepäilyttävän usein

Joillakin internetin käyttö on muuttunut varsin tekniseksi. Yksi Cert-fi:n jäsen esimerkiksi putkittaa wlan-verkkoon kytkemänsä kotikoneen selainliikenteen salatun ssh-yhteyden yli toisaalla sijaitsevaan välityspalvelimeen.

– Http-välityspalvelimeni suodattimet puolestaan siivoavat mahdollisesti eteen tulevat haittaohjelmat, repivät selaimeni lähettämät ylimääräiset http-headerit pois ja piilottavat kotiliittymäni ip-osoitteen. Jaa miksikö? Cuz I can, hän kertoo.

Nixun Saku Vainikainen on samoilla linjoilla. Matkoilla hänellä on oma kustomoitu wlan-tukiasema, joka reitittää kaiken liikenteen salatusta wlanista kotireitittimeen muodostetun vpn-putken (virtual private network) kautta maailmalle.

– Tällä säästää samalla pikkusummia, kun joissain paikoissa vaadittava laitekohtainen wlan-maksu jää vain yhteen laitteeseen. Tärkeintä on kuitenkin, ettei wlan-tarjoaja pääse liikenteeseen väliin, Vainikainen korostaa.

Jotkut hänen kollegansa ovat vieneet kotiviritykset vieläkin pidemmälle, mutta Vainikainen ei viitsi ihan sellaisella tarkkuudella tutkia kaikkea kotiin ja kodista ulos suuntautuvaa liikennettä. Tosin hän kyllä asensi lokienhallintaohjelmiston, johon kerääntyvät kaikki kotireitittimen palomuuri- ja tietoliikennelokit.

– Pystyn sitten tarvittaessa katselemaan kartalta mistä, milloin ja mihin päin maailmaa kotoa ollaan oltu yhteyksissä: varsin moni nykyohjelmisto "soittaa kotiin" vähän turhan usein – en usko, että niin tiheään tarvitsee päivityksiä käydä tarkistelemassa.

Dotcomin Megakelpaa gurulle

– Tykkään olla irti verkosta ja keskittyä poikaani. – Sean Sullivan, F-Secure

Helpompia tapoja nettikäytön suojaamiseksi on esimerkiksi seurantaa estävän Do not track -asetuksen kytkeminen päälle selaimessa. Tosin siitä on apua vain, jos vierailtu verkkopalvelu sitä tukee.

Mobiilikäyttöjärjestelmän location services, eli paikkatietopalvelut kannattaa pyrkiä sallimaan vain halutuille sovelluksille, kun taas palomuurin voi asettaa estämään oletuksena kaiken, mitä ei ole erikseen sallittu.

Pgp-salaus on ammattilaisten suosima vakiotyökalu. Mikko Hyppönen on käyttänyt sitä sähköpostien salaamiseen vuodesta 1993 lähtien ja käyttää edelleen "jos en nyt päivittäin, niin ainakin viikoittain".

Jos jotain tiedostoja pitää jakaa, Nixun Vainikainen jakaa ne Kim Dotcomin kuuluisan Mega.co.nz:n avulla. Verkkopankissa Vainikainen käy yleensä vain mobiililaitteeseen asennetun pankkisovelluksen avulla.

Gurujen tapoihin voi kuulua myös epäilyttävien sähköpostien lukeminen tekstieditorilla ja liitteiden avaaminen strings-komennolla. Jotkut tarkkailevat koneidensa avaamia tietoliikenneyhteyksiä esimerkiksi netstat-toiminnon avulla ja tappavat turhia yhteyksiä avaavat komponentit.

Palvelinräkkiolohuoneessa

Nixun vanhempi tietoturva-asiantuntija Karo Vallittu haluaa olla verkkojen valtias. Hän pitää kaikki käyttämänsä verkkopalvelut omassa hallussaan, eli hänellä on oma sähköpostipalvelin, oma webbipalvelin, omat nimipalvelimet ja niin edelleen. Tätä tarkoitusta varten Vallittu aikoinaan hankki operaattorin verkosta pienen verkkolohkon, jota hän itse hallinnoi.

– Tämä ratkaisu ei todennäköisesti sovi suurimman osan ihmisistä käyttöön, kaikki eivät varmaankaan siedä räkkikaapillista palvelimia olohuoneen nurkassa, Karo aprikoi.

Hänellä on verkossaan suhteellisen tarkka seuranta, osittain myös siitä syystä, että siellä tulee kokeiltua erilaisia ratkaisuja työssä vastaantuleviin ongelmiin. Verkko on segmentoitu siten, että uusien kontrollien testaus ei kaada vaimon Facebook-surffailua "ainakaan kovin usein".

Kavereille ja vieraille on oma eristetty langaton verkkonsa.

– Operaattorin lähettämiä päätelaitteita en ole viitsinyt edes purkaa pahvilaatikoistaan.

Java-ohje synnyttisome-raivon

Java-ohjelmiston selainpalikka on tietoturvaajien usein karttama, koska softa on toiminut rikollisten pyöröovena lukuisiin tietokoneisiin.

Cert-fi:n Erka Koivunen laittoi Facebookiin taannoin ohjeen selainten Java-asetusten tiukentamiseen.

– Se keräsi lähes raivoisaa palautetta. Itse pidin sitä helpotettuna versiona, Erka muistelee. Hänen kotikoneessaan Java-palikka pyörii virtuaali-Windows-koneessa siltä varalta, että Javaa on aivan pakko käyttää.

Mikko Hyppönen rekisteröityy verkkopalveluihin avoimesti omalla nimellään. Esimerkiksi Redditissä ja Hacker Newsissä hänen tunnuksensa on "mikkohypponen".

– Näin myös kaikki, mitä kyseisissä palveluissa teen on täysin julkista ja läpinäkyvää.

Eräs certiläinen kertoo, ettei hän ikinä kirjaudu mihinkään verkkopalveluun muilta kuin omilta koneiltaan. Hän ei edes kysyttäessä tietäisi omaa sähköpostisalasanaansa, koska "luon salasanat soittamalla 'klusterisointuja' näppäimistöllä ja säilömällä sotkun salasanamanageriin".

– Skypeä varten on oma Linux container viritettynä, jossa se saa pyöriä. Tosin X-liikennettä se voisi vielä kuunnella – Qubes-os.orgista voisi saada siihenkin fiksin...vaan kun sitä käyttää niin vähän. – Nixusta kerrottua.

Piiloonprofiloijalta

Saku Vainikaista ärsyttää erityisesti käyttäjien big data -tyyppinen profilointi "markkinointitarkoituksessa".

– Minulla ei ole mitään salattavaa, mutta kotonani ikkunoissa on verhot ihan syystä, enkä ymmärrä, miksi online-ikkunoista saisi kurkistella sisään sen vapaammin. Hienoa olisi, jos muutkin lähtisivät "verhokauppaan".

Vainikainen taistelee verkkoprofilointia vastaan eri keinoin. Nykyisenä Mac-käyttäjänä hänellä on aina asennettuna Safariin tarvittavat ohjelmistot, kuten Ghostery ja JavaScript Blocker, kaupallisen peeping-tom -toiminnan estämiseksi.

Vainikaisen mukaan tiettyjä some-palveluita (Facebook, Twitter, Linkedin) "nyt vaan on pakko käyttää", eli niistä täytyy sitten niin hyvin kuin mahdollista säätää yksityisyys kohdalleen. Vaimon tileihin ei Vainikaisella ole mitään asiaa, mutta hän yrittää parhaansa mukaan huudella asetusohjeita.

– Hemmetinmoista harrastuneisuutta tämä taistelu (kaupallisia) isoveljiä vastaan kuitenkin vaatii – oletusarvoisesti yksityisyys valuu valmistajalle nykyään jo laitteen käyttöönottovelhon myötä. Peli on jo siis menetetty, mutta jotain täytyy pienen ihmisen yrittää, kauppatavaraksi en käyttämisprofiiliani halua kovin helpolla antaa.

– Joudun aina julkisissa puhetilaisuuksissa fyysisesti varjelemaan tietokonettani, etteivät avuliaat tapahtumanjärjestäjät vain pääse tökkäämään Powerpointien näyttämistä helpottavia kauko-ohjaimia usb-porttiini. En myöskään todellakaan halua kerran jollekulle antamiani usb-muistitikkuja takaisin. Ainakaan omiin koneisiini niitä ei enää tökitä. – Cert-fi:stä kerrottua.

Vainikaisen kustomoitu kotireititin vaihtaa joka yö ulospäin näkyvän ip-osoitteen pitkäaikaisen profiloinnin vaikeuttamiseksi.Bonuskortittunkiolle

Tietoturva-ammattilaisen voi tunnistaa myös ruokakaupassa tämän maksutavoista. Nixun Karo Vallittu on luopunut erilaisten kauppaketjujen bonuskorttien käytöstä, eikä oikeastaan käytä kovin usein edes korttia maksamiseen.

Kauppaan mennessä hän miettii etukäteen, mitä tarvitsee, laskee päässä karkean arvion kustannuksista ja nostaa tarvittavan määrän käteistä.

– Alkujaan käytäntö lähti liikkeelle korttien jäljitettävyydestä, mutta nykyään sillä on myös rahan käyttöä säätelevä tarkoitus, jäävät kaikki heräteostokset pois, Karo iloitsee.

Hänen kollegansa Saku Vainikainen erehtyi käyttämään bonuskorttia kerran K-raudassa. Seuraavana päivänä tuli viesti kotiin, että kiitos asioinnista silloin ja silloin siinä ja siinä liikkeessä. Pelkona on, että ostokäyttäytyminen päätyy vakuutusyhtiölle vakuutusten hinnannosto- tai epäysperusteeksi.

Guru meditation

F-Securen yhdysvaltalainen, Suomessa asuva asiantuntija Sean Sullivan myöntää omaavansa ammatista kieliviä, erikoisia tapoja kotona. Hän ei esimerkiksi käytä wlan-yhteyttä säännöllisesti.

– Haluan mieluummin, että tielläni on ylitettäviä esteitä internetin käyttämiseksi. Silloin olen varma, että olen keskittynyt sen sijaan, että toimisin "autopilotilla", Sullivan kertoo.

Hän käyttää useita tuotteita ja verkkoselaimia. Mutta aina yksinkertaisella tavalla ja laitteen pääasialliseen tarkoitukseen. Sullivan ei pidä "älykkäistä" laitteista, eikä halua pitää kaikkia munia samassa korissa.

– Puhelimeni on puhelin, ja iPodini on musiikkia varten.

Sean seuraa haluamiaan verkkosisältöjä usein rss-syötteiden kautta ja lukee ne offline-tilassa.

Kerran Sullivan haksahti tosielämän sosiaaliseen manipulointiin. Hän kohtasi kukkia myyvän kodittoman miehen reissullaan Atlantassa. Sean aikoi antaa vitosen, mutta hänellä oli vain 20 dollarin seteli. Mies lupasi antaa vaihtorahat, mutta setelin saatuaan hän tiputti kukat ja pinkaisi pois.

– Ajattelin, että nyt olen oppinut jotakin. Nettotappioni oli 15 dollaria. Mutta tuloksena syntynyt muutos käytökseeni on ollut monin, monin verroin arvokkaampaa.

Lisää aiheesta

Osion tuoreimmat

Luitko jo nämä?