Avainsana-arkisto: tietoturva

GDPR – sanoista tekoihin, osa II

EU:n tietosuoja-asetuksen (GDPR) soveltaminen alkoi Suomessa 25.5.2018. Prog-It:n asiantuntijat jatkavat ahkerointiaan auttaen asiakkaitaan Suomessa ja Ruotsissa tietosuojan käytännön toimenpiteissä ja IT-ympäristöjen suojaamisessa. Tietosuoja ei ole asia, joka on valmis yhden palaverin, tai dokumentin tuottamisen jälkeen. Asian ydin on, että suunnitellut toimet viedään osaksi päivittäistä työntekoa.

Onko teidän yrityksessänne sääntöjä?

Uusi työntekijä aloittaa yrityksessänne – miten toimitte? Läppäri syliin ja hommiin, ei tässä ole aikaa perehdyttää, asiakkaat odottavat jo, kyllä työ tekijäänsä opettaa ja niin edelleen. Mitä jos sitten tapahtuu jotain tietoturvan kannalta ikävää? Työntekijän koneelta puuttui virustorjunta ja koneeseen pääsi virus, huolimaton selailu internetissä saastutti koneen tai huolimattomasti lähetetty sähköposti päätyi vääriin käsiin. Voisiko tällaisia riskejä ehkäistä sopimalla tietoturvan pelisäännöt? Meidän mielestämme kyllä.

Oleellista yksittäisen yrityksen kannalta on, että kaikki työntekijät tuntevat yrityksen turvalliset toimintatavat ja että ne ovat käyttökelpoisia. Löytyykö teidän yrityksestänne jo tietoturvan pelisäännöt? Miten ne on jalkautettu työntekijöille? Jos näissä on vielä parannettavaa, anna meidän auttaa. Ota yhteyttä niin kartoitetaan nykytilanne ja laitetaan pelisäännöt yhdessä kuntoon.

Tietoturvalliset työkalut käyttöön

Jotta tietoturvallinen toiminta olisi mahdollista, tulisi myös työkalujen olla kunnossa. Yksi puhutuimmista tietoturvaongelmista viime aikoina, ovat olleet käyttäjätunnusten kalastelut. Oletko sinä saanut sähköpostin jossa sinua pyydettiin välittömästi vaihtamaan sähköpostin salasana? Oliko sähköpostissa linkki joka ohjasi sinut Microsoftin tai muun kolmannen osapuolen sivulle? Tai siltä se ainakin näytti. Kyse saattaa olla tunnusten kalastelusta, jossa kirjautumistietosi yritetään anastaa. Miten tältä voisi välttyä?

Käyttäjän kaksivaiheinen tunnistus (MFA) tekee palveluihin kirjautumisesta entistä turvallisempaa. Käytännössä se tarkoittaa sitä, että käyttäjätunnuksen ja salasanan lisäksi tarvitaan vielä joku muukin tieto sisäänkirjautuvan käyttäjän tunnistamiseksi. Usein tämä tarkoittaa esim. käyttäjän puhelimeen lähetettävää kirjautumistunnusta tai vahvistuspyyntöä. Toisin sanoen vaikka tunnuksesi vietäisiin, ilman puhelintasi sisäänkirjautuminen ei onnistu. Suosittelemme kaikille asiakkaillemme palvelun käyttöönottoa. Kiinnostuitko? Ota yhteyttä niin puhutaan lisää. Voit myös kysyä omalta yhteyshenkilöltäsi lisätietoja.

Lue täältä viimeisin uutiskirjeemme aiheeseen liittyen!

 

 

 

 

 

 

Verkkopankkien suojaukset murtuvat

Keskusrikospoliisi kertoi tänään huijareiden yrittäneen viedä yli miljoona euroa Nordean asiakkaiden verkkopankkitileiltä. Onko kyseessä tosiaankin “huijaus” tai “puhallus” vai olisiko syytä puhua rikollisten toteuttamasta hyökkäyksestä välttääksemme liian kevyttä suhtautumista asiaan? Huijari ei mielestäni kuvaa hyvin tämän operaation takana olleita henkilöitä, heitä pitäisi kutsua verkkorikollisiksi. He käyttivät apunaan rahamuuleiksi kutsuttuja välikäsiä ja rikollisorganisaatioiden kehittämiä haittaohjelmia. Operaatioon epäillään osallistuneen 17 henkilöä mutta epäsuorasti osallisia on huomattavasti enemmän.

Operaatio on hyvä esimerkki järjestäytyneen verkkorikollisuuden vaikutuksista, jotka näkyvät jatkuvasti kasvavina hyökkäyksinä verkkopankkien suojauksia vastaan. Nämä hyökkäykset mahdollistavat alamaailman verkostot, jotka tarjoavat hienostuneet pankkitroijalaiset ja muut tarvikkeet tukipalveluineen jokaisen rikolliseksi pyrkivän saataville. Nordean verkkopankkia vastaan tehdyn Man-in-the-Browser hyökkäyksen toteuttamiseen tarvittava haittaohjelma maksaa muutaman tonnin ja sen saa asennettua esim. 1000 koneelle parin sadan dollarin hintaan. Jos sormi menee suuhun voi aina osallistua kursseille, joilla opastetaan “kädestä pitäen” verkkorikollisuuden saloihin.

Kirjoitin maaliskuussa ilmestyneeseen asiakaslehteemme aukeaman mittaisen jutun yhteistyöstämme Entrust Inc:n kanssa, joka tähtää pohjoismaisten verkkopankkien tietoturvan vahvistamiseen. Asia on tänään yhden hyökkäyksen verran ajankohtaisempi ja verkkopankkien uhat asteen verran todellisempia meillä täällä koti-Suomessakin. Pankkitroijalaisten kehittyessä koko ajan hienostuneemmiksi, verkkopankin tietoturva nousee yhdeksi pankkitoiminnan tärkeimmistä kilpailutekijöistä. Vaikka pankit korvaavat vahingot asiakkailleen, ei se muuta sitä tosiseikkaa, että kyseinen henkilö tai yritys on joutunut huijauksen uhriksi. Nordean tapauksessa uhreina oli yhteensä 89 henkilöä tai yritystä mutta epäsuorat vaikutukset ovat jälleen kerran huomattavasti suuremmat. Asia vaikuttaa kaikkien verkkopankkien kaikkiin asiakkaisiin.

Norjan suurin finanssipalveluorganisaatio DnB NOR aloitti yhteistyön Entrustin kanssa vuonna 2008. Yhteistyön tuloksena “DnB NOR pyrkii vahvistamaan kattavaa tietoturvastrategiaansa, ehkäisemään vilppejä ja parantamaan verkkopalvelun käyttäjien tietosuojaa entisestään”. Tulokset ovat olleet hyviä ja pankki on pystynyt Entrustin ohjelmistoilla ehkäisemään verkkopankkitoiminnassa esiintyneitä huijauksia. “Tavoitteenamme on saumaton petoksenpaljastusstrategia, jota ei tarvitse integroida kokonaan taustasovelluksiin – Entrustin ratkaisu antoi meille haluamamme”, kertoi DnB NOR:n IT Security Director Sofie Nystrøm Entrustin tiedotteessa yhteistyöhön liittyen. Tämän saman tavoitteen olen kuullut myös suomalaisten pankkien edustajilta. Meidän tehtävänä Salcom Groupissa on auttaa heitä sen saavuttamisessa.

Lehdistötiedote Entrustin ja DnB NOR:n yhteistyöstä

Salcom Groupin ja Datafrankin asiakaslehti GURU 1-2011 (ks. artikkelini sivuilta 32-34)

Entrust auttaa verkkopankkeja suojautumaan uusimpien haittaohjelmien aiheuttamilta uhilta

Kun tietoturva putos puusta…

…oli sovellukset täynnä reikiä, virustorjuntaohjelmat feikkiä, varmenteet epävarmoja ja vahva tunnistus heikkoa. Ajattelin soveltaa Ismo Alangon laulun sanoja tietoturvan nykyahdinkoon lueskellessani alan toimijoiden ja analyytikkojen koosteita vuoden ensimmäisen neljänneksen tietoturvahyökkäyksistä.

Mikko Hyppönen totesi helmikuun tietoturvatapahtumassa että ollakseen tehokas, tietoturvan pitäisi kehittyä verkkorikollisuuden vauhdilla. Rikollisten etumatka on kasvanut alkuvuoden aikana, jolloin sapiskaa ovat saaneet muun muassa SSL varmenteet ja käyttäjän vahva tunnistus.

Epsilonin kaltaisten –tietomurtojen tuloksena asiakastietoja on vuotanut jälleen rikollisille, jonka tuloksena ainakin roskapostit ja kohdennetut spear phishing-iskut tulevat koettelemaan jatkossa Epsilonin asiakasyrityksiä. Tämä kasvattaa entisestään huijausohjelmia tehtailevien yritysten miljoonatuloja. Nähtäväksi jää, milloin näistä ensimmäinen listautuu esim. Ukrainan pörssiin…

Pankkitroijalaiset, kuten Zeus ja URLZone kehittyvät huimaa vauhtia ja niiden viimeisimmät versiot sisältävät pankkikohtaisesti räätälöitävien konfiguraatiotiedostojen lisäksi käyttäjän vahvan autentikoinnin ohittamiseen tarvittavan älykkyyden. Edes IP-verkon ulkopuolinen käyttäjän tunnistus varmennustekstiviestien avulla ei tarjoa täydellistä suojaa, kun troijalaisten mobiiliversiot tulevat mukaan yhtälöön.

Mitä me suomalaiset voimme kaiken tämän edessä tehdä? Kaikkea vastaan ei voi täydellisesti suojautua mutta kannattaa valita tietyt keskeiset kehityskohteet paremman tietoturvatason saavuttamiseksi. Itse nostaisin käyttäjäkoulutuksen ja yhteisistä käyttäytymissäännöistä sopimisen etusijalle ratkaisua haettaessa.

Tietoturvan perusteiden kouluttaminen ja parhaiden käytäntöjen jalkauttaminen organisaatioon on paras investointi niin tietomurtoja kuin haittaohjelmiakin vastaan. Tämän jälkeen tietoteknisenä ratkaisuna kannattaisin monitasoisen suojausyhdistelmän rakentamista. Yhdistelmään kannattaa valita toisiaan täydentävät gateway-tason ja end pointin suojaukset eri valmistajilta, koska jokaisella ohjelmistoilla on vahvuutensa ja heikkoutensa. Päätelaitteisiin kannattaa valita ratkaisu, jossa yhdistyy tärkeimmät tietoturvaominaisuudet, kuten antivirus + antispyware ja patch management, eikä heikentää koneiden suorituskykyä useilla agenteilla.

Kuulisin mielelläni, miten teillä on vastattu näihin kasvaviin tietoturvariskeihin? Aloitetaan keskustelu parhaiden ratkaisujen löytämiseksi!

Mun telkku kaatu

Rakastan teknisiä vimpaimia! Omistan jokaiseen käyttöön jonkin jännittävän sähköllä toimivan laitteen ja päivitän olemassaolevia laitteitani suhteellisen nopeaan tahtiin. Jonkinasteisena tekniikan asiantuntijana opin laitteitteni käytön yleensä nopeasti ja saan niistä paljon irti.

Tietotekniikan laajentuminen uusiin laitteisiin on tuonut entistä laajemman määrän palveluita käytettäväksi laitteilla jotka ennen olivat omistettu tiettyä tarkoitusta varten. Ennen vain soittelemiseen tarkoitettu kännykkä kykenee postien lukuun ja Youtuben katseluun, nykyaikainen televisio näyttää kuvia usb-muisteilta ja toistaa itsekseen mediaa tietokoneelta. Tämä kehitys on tekniikkaa ymmärtäville monesti mieluisaa, sillä avaahan se uusia mielenkiintoisia mahdollisuuksia eri laitteiden käyttöön. Yhä useampi laite on omaksunut tietokoneiden piirteitä ja sen myötä myös tietokoneiden ongelmat.

Ensimmäinen ongelma:

Käytön vaikeutuminen laitteen ydinalueella, eli kyseisen laitteen tärkein toiminto muuttuu hankalammaksi käyttää kun muita toissijaisia toimintoja tuodaan laitteeseen. Tämä ongelma on näkynyt kaikissa älypuhelimissa joita olen käyttänyt: mitä enemmän toimintoja puhelimeen on saatu, sitä enemmän työtä puhelun soittaminen vaatii.

Esimerkkinä muutama itse käyttämäni puhelin: 3310:lla soitto vaati yhden napin painalluksen avatakseen kontaktit ja lyhyen selauksen jälkeen toisen painalluksen – ja puhumme fyysistä napeista, joten tämän pystyi selittämään vaikka isoäidille. Lisäksi napit olivat mukavan isoja ja selkeitä. Kun sitten päivitin ensimmäiseen älypuhelimeeni, klassiseen 6600-malliin, tämä hieman heikkeni koska kaikki toimi hieman tahmaisesti kuten Nokian klassikkoälypuhelimissa ennen tapasi. Lisäksi puhelimet tapasivat pienentyä, mikä teki näppäintuntumasta heikomman. Nykyinen HTC:n Desire-puhelimeni vaatii soittamiseen jo paljon enemmän: avataan People-sovellus (jonka avaaminen vaatii muutaman painalluksen) ja selataan henkilö ja lopuksi vielä valitaan mitä henkilölle halutaan tehdä. Prosessi on monivaiheisempi ja pidempi.

Toinen ongelma:

Toimintavarmuuden lasku kyseisen laitteen ydinalueella. Suomeksi, kännykkä joka osaa tehdä uusia temppuja onkin herkästi huonompi kännykkä. Televisio jolla voi selata nettiä ja joka toimii myös tallentavana digiboxina ja dlna-laitteena kaatuilee ja oikuttelee.

Omistin ennen 28” perinteisen television. Ainoa ongelma sen kanssa oli ajoittainen kuvan oikuttelu jos johdot olivat löysällä. Nykyinen litteä televisioni sen sijaan osaa kaikenlaista uutta ja jännittävää. Ensinnäkin se oikuttelee: satunnaisesti televisio tahtoo poistua pelikonsolien tai dvd-soitinten puolelta itsestään kesken pelisession tai elokuvan katselun, vaihtaen itsestään kuvan televisiokanavien puolelle. Ja kun kanavan kääntää takaisin peliin tai elokuvaan, hetken päästä televisio palauttaa kuvan takaisin television puolelle. Ainoa keksimäni tapa lopettaa tämä oikuttelu on vetää töpseli irti (katkasijasta sammuttaminen ei riitä!) ja käynnistää televisio kylmiltään. Lisäksi televisioni osaa kaatua. Joskus televisio jumiutuu hetkeksi ja sitten käynnistää itsensä uudelleen. Ajatelkaa sitä hetki: televisio joka kaatuilee.

Eikä edes aloiteta puhelinten kaatuilusta.

Kolmas ongelma:

Tietoturvallisuuden heikentyminen uusissa älylaitteissa. Perinteisissä vähemmän älykkäissä laitteissa ei ollut tapoja jolla vihamielinen koodi – virus tai haittaohjelma – voisi levitä. Ja vaikka älyä olikin, harva laite oli verkottunut, eikä näin virusten leviäminen onnistunut. Eikä virusten tekemiselle ollut suurta motivaatiota. On ehkä siis väärin sanoa vanhojen laitteiden olleen vähemmän turvallisia, niihin ei vaan ollut leviämisvektoreita eikä ekosysteemiä missä levitä, eikä läheskään niin paljon motivaatiota luoda viruksia.

Tietokoneiden ulkopuolella viruksia kirjoitetaan jo reitittimiä ja modeemeita varten. Nykyiset älylaitteet puhelimista televisioihin ovat jo nähneet ensimmäiset viruksensa. Mikä tahansa laite, joka kykenee suorittamaan koodia ja on yhdistetty ulkoiseen verkkoon ja kykenee tallentamaan tietoa on potentiaalinen ekosysteemi haittaohjelmalle.

Moderni laitteen tärkeintä toimintoa on siis vaikeampi käyttää ja lisäksi laite on edeltäjiään epäluotettavampi ja turvattomampi. Osaavalle käyttäjälle nämä eivät tosiasiassa ole ongelmia. Puhelimensa sielunelämää ymmärtävä käyttäjä osaa tehdä haluamansa toiminnot puhelimellaan, osaa kiertää sen tekniset ongelmat ja osaa huolehtia laitteen turvallisuudesta. Ongelmia tulee vähemmän asiantuntijoiksi tunnistettavien käyttäjien kanssa.

Pekka ja Paula Peruskäyttäjä ostavat yhä useammin älylaitteen markkinoinnin kehuessa sitä juurikin markkinoiden parhaaksi. Mikäli käyttäjällä ei kuitenkaan ole mielenkiintoa perehtyä laitteen sielunelämään, huomaavat he äkkiä omistavansa hankalakäyttöisen, kaatuilevan laitteen, joka pahimmillaan lähettää mainostekstiviestejä ja roskapostia heidän lähipiirilleen. Peruskäyttäjät yhä useammin hankkivat tarpeettoman monimutkaisia laitteita muutamasta huonosta syystä: media, myyjät ja mahtailu.

Mediassa tekniikasta kirjoittavat tekniikan asiantuntijat, jotka usein ymmärtävät laitteita. Heidän perspektiivinsä ei välttämättä ole tasolla tavallisen käyttäjän kanssa. Kun asiantuntija arvioi laitetta, hän arvioi sen oman osaamisensa lävitse ja asiantuntija on jo määritelmänsä perusteella asiantuntevampi kuin valtaosa yleisöstään.

Laitteita ostettaessa myyjät mielellään suosittelevat uusia teknisiä laitteita yksinkertaisempien sijaan kiitos niiden korkeamman hinnan ja yleensä myös paremman katteen. Myyjän tehtävä on pääasiallisesti tuottaa voittoa yritykselleen, ei palvella asiakasta mahdollisimman hyvin. Luonnollisesti hyvä myyjä pyrkii hakemaan tasapainoa näiden äskeisten välillä, mutta liike-elämän realiteetit käytännössä sanelevat hänen kallistuvan yrityksen puolelle ostajarukkaa vastaan.

Kun siis seuraavan kerran hankit teknistä laitetta, mieti tarpeitasi. Jos oikeasti hyödyt televisiossa olevasta nettiselaimesta tai puhelimesta joka osaa surffata nettiä, anna palaa. Mutta jos television on tarkoitus istua olohuoneessa televisiona, mieti tarvitseeko sen oikeasti mennä joka paikkaan. Jos kannettava jo hoitaa verkkosurffauksen ja oma näkö on niin heikentynyt ettet näe puhelimen näyttöä muutenkaan kunnolla, älykkyys laitteessa tulee valumaan hukkaan. Moni käyttäjä pääsee helpommalla ostamalla peruslaitteet. Ja jos sitä toiminnallisuutta kaipaa lisää, muita peruslaitteita voi hankkia edellisiä täydentämään. Esimerkiksi matkasurffailuun saa hyvin halvalla miniläppäreitä tai uusia Android-tabletteja jos alkaakin tuntumaan että verkkoon pitäisi päästä kadulta ja kahvilasta. Ja jos musiikin kuuntelu kiinnostaa, erillinen mp3-soitin maksaa nykyään muutaman pähkinän verran.

Ja me tekniset tyypit voimme jatkaa rauhassa älyvermeillämme mahtailua.

VMware-koneiden tietoturvan kohtalo?

Kun VMware Update Managerin (VUM) toiminto Guest OS & Applications päivityksille (patchit, service packit…) poistuu seuraavan vCenter version julkaisun myötä, miten käy virtuaalikoneiden tietoturvalle jos haavoittuvuuksia ei enää paikata?

Päämiehemme Shavlik Technologiesin vierailu Suomessa toi vastauksen tähän kysymykseen, kun saimme selville että Shavlik julkaisee ensi viikolla ratkaisun tähän ongelmaan ja tarjoaa helpon siirtymän VMware käyttäjille vProtect tuotteeseen, jolla voidaan pitää huolta virtuaalikoneiden tietoturvasta myös jatkossa. Kiinnostavaa on, että Shavlik lupaa kaikille halukkaille ilmaisen vProtect version yhdelle CPU:lle (host), jolla voi hallita maks. 10 virtuaalikonetta.

Shavlik sanoo olevansa ainoa yhtiö, joka voi korvata tämän VUM toiminnon. vProtect ominaisuudet sisältyvät myös viime viikolla julkaistuun NetChk Protect versioon 7.8, joka on saanut paljon huomioita lehdistössä etenkin Yhdysvalloissa. Tässä muutama linkki aiheeseen liittyen;

Tuotteen ilmaisen version saa ladattua Salcomin sivujen kautta heti kun vProtect on julkaistu eli todennäköisesti heti 15.3.2011 jälkeen.

Taistelu pilvien herruudesta on alkanut

Kohtalaisen kauan aikaa sitten kun kiinteät internet-yhteydet alkoivat yleistymään, pidin oman kotiverkkoni suojana GNU/Linux-pohjaista palomuuria. Olin järjestellyt työpöydälleni näytöt (siihen aikaan kuvaputket) kuin NASAn rakettilähettämöön konsanaan, ja yhdellä kuvaputkista pyöri palomuurin shelli, jossa reaaliaikaisena tuloksena näkyi tcpdump-ohjelman tulostus. Olin rakentanut tcpdumpiin filtterin, joka tulosti ruudulle kaiken epämiellyttävän liikenteen. Joku saattoi kutsua meikäläistä hieman vainoharhaiseksi tietoturvan suhteen, varsinkin kun verkkopankkiinkin uskalsin mennä silloin vain ip-osoitteella. Se oli kyllä kieltämättä hieman liioiteltua koska DNS spoofinghan taisi yleistyä vasta ihan lähiaikoina.

Kerran kauniina syysaamuna huomasin sivusilmällä tcpdumpin monitorissa liikettä. Palomuurini oli kokenut porttiskannauksen. En pitänyt sitä lainkaan hyväksyttävänä. Tapanani oli selvittää samantien IP-osoitteen perusteella kaikki mahdollinen skannaajasta. Paljastui, että skannaaja oli Suomesta. Porttiskannaustekniikasta päättelin että kyseessä on varmasti taas joku amatööri joka oli onnistunut asentamaan itselleen GNU/Linux distron. Siihen aikaan GNU/Linux-distrojen palomuurit (ipchains tai iptables) eivät oletuksena olleet yleensä päällä. Niinpä päätin tehdä yhden tarkkaan harkitun liikkeen. Otin telnetillä yhteyttä skannajan koneen TCP-porttiin 25. En ollut edes yllättynyt siitä, että pääsin sisään ja että sieltä vastasi nätisti sendmail. Naputin telnetillä SMTP-komentoja käyttäjäen rootille viestin että nyt on parempi jättää IP-osoiteeni rauhaan. Muutaman päivän kuluttua skannaajalta tuli sähköpostia. Ei älynnyt edes pyytää anteeksi vaan laittoi skannauksen kaverinsa piikkiin.

Jotain näin työlästä on saattanut olla verkon kautta tihutöitään tekevien jäppisten elämä. On pitänyt olla GNU/Linux asennettuna ja on pitänyt osata suorittaa komentoja tai peräti etsiä netistä jotain ohjelmia jotka on pitänyt kääntää ja vääntää toimimaan siinä GNU/Linuxissa. Tihutyötä tekevien tihutyöläisen onneksi pilvipalvelut ovat alkaneet tuomaan helposta myös heidänkin elämään.

CA julkaisi State of the Internet 2010: A Report on the Ever-Changing Threat Landscape reportaasin hiljattain ja ennakoi nyt vahvasti Crimeware as a Servicen (CaaS) kasvua. CaaSista on puhuttu ja varoiteltu jo pari vuotta, mutta nyt viitteitä sen kasvusta on taas löydetty. Reportaasin sivulla 23 on juttua tästä asiasta.

Crimeware as as Service vaikuttaa vielä olevan käsitteenä hieman vaikeasti määriteltävä, mutta yhden määrittelyn mukaan kyseessä olisi haittaohjelmien ostamista pilvipalveluna alamaailman tapaan. Ei siis tarvitse enää itse viritellä purkkeja tekemään sitä mitä halutaankaan tehdä, vaan haittatoimintaa voidaan ostaa palveluna visaa tai masteria vinguttamalla.

Taistelu pilvien herruudesta on siis alkanut.