Tiedottaminen tietoturvan näkökulmasta
Miten disinformaatioon tulisi vastata?

Miten kannattaa suhtautua tuotettasi koskeviin someväitteisiin, jotka tunnistat aivan absurdeiksi? 

Ei välttämättä mitenkään. Vastaus todennäköisesti aiheuttaa lisää absurdeja väitteitä. Loputon suo. Kyseessä voi olla myös ovela tiedon kalasteluyritys.

Tällainen sattui tässä taannoin omalle kohdalle:

Eräs ohjelmistotuotteemme on tuotantokäytössä yli 4000 palvelimella ja yli 190 maassa. Sillä on hyvä maine, eikä sitä pidetä helposti hakkeroitavana. Silti eräällä keskustelupalstalla henkilö, joka ei käytä kyseistä ohjelmistoa, väitti, että tuote on helposti hakkeroitavissa. Hänen kumppaninsa, jolla on kuulemma useiden vuosien kokemus tietokoneista, oli niin väittänyt.

Tällainen väite aiheutti välittömästi hälytystilan. Skannaamme säännöllisesti palvelimien tietoturvaa joka tapauksessa, mutta nyt sivusto tutkittiin välittömästi uudelleen mahdollisten tietoturva-aukkojen varalta. Ohjelmistojen koodit ajettiin tietoturvan ja huonon koodin tunnistavien skannereiden lävitse. Ei mitään. Aukkoja ei havaittu.
Väite, jonka mukaan sivusto olisi helposti hakkeroitavissa, oli täysin perusteeton.

Keskustelupalstan väitteet olivat näennäisesti asiantuntevilta vaikuttavia ja mahdollisesti asiakkaiden korviin kantautuvina huolta aiheuttavia. Mutta miten niihin voi vastata paljastamatta mitään tietoturvaa mahdollisesti vaarantavaa?  Pitääkö niihin vastata?

Vai mitä mieltä olet seuraavanlaisesta kysymyksestä:
"Miksi heillä ei ole proxya? Sen puutehan altistaa suoraan DDoS:lle ja malwarelle."


(Mainittakoon, että itse kysymyksellä ei hirveästi ole tekemistä tuotteen tietoturvan kanssa, mutta kuulostaahan se maallikon korviin vakuuttavalta.)

Tässä käytetään lisäksi toimittajienkin harrastamaa kysymystyyliä, jossa osaksi kysymystä laitetaan uusia väitteitä. Tuossa edellä niitä oli jo kaksi. 

Tyyliin miksi heillä ei ole panssariautoa vaan vain auto? Autohan altistaa liikenneonnettomuuksille.

Miten kysymykseen voi vastata? Varsinkaan, jos käytössä on panssarivaunu, mutta asiaa ei halua paljastaa kysyjälle.

Väitteet jatkuivat samalla linjalla:
"Miksi heillä ei ole SSH-avainta? Se nyt alkaa olla kuitenkin aika vakio."

Kysymys muistuttaa tilannetta, että jäät yöllä autosi kanssa tielle, kun auton rengas puhkeaa. Ohiajava auto pysähtyy ja autosta nousee kuljettaja, joka vaikuttaa huumehörhöltä ja sanoo: "miksi sinulla ei ole takaluukussa rengasrautaa..? Mietit uskallatko sanoa, että kyllä siellä on sellainen. Voiko keskustelu mennä sen jälkeen rumaksi ellei jopa käsirysyksi siitä, kuka rengasraudan saa haltuunsa. 

Väitteet jatkuivat vieläkin uskomattomampina. Jos sinulle järjestelmän ylläpitäjänä esitetään väite "Miksi SSH ja FTP on avoimia kaikille?"
veikkaan, että mietit useammankin kerran mitä vastaat. Parasta ainakin olisi, sillä kaikki järjestelmää koskeva tieto voi auttaa hakkereita/krakkereita kohdistamaan tietomurtoyrityksensä tehokkaammin.

Ja taas vertaus arkielämään. Murtovaras soittaa sinulle ja kysyy: "Miksi varashälyttimesi toimii langattomasti?" Vastaatko silloin, että sinulla ei ole varashälytintä tai että varashälytin ei toimi langattomasti vaan kaapeleilla kytketyillä antureilla ja sensoreilla paitsi keittiön ikkuna, jossa ei ole antureita. 

Keskusteluryhmässä olleen monologinsa lopputuloksena henkilö ei missään nimessä suositellut tuotetta. Pohdimme kommenttien tarkoitusta, mutta emme päässeet siitä yksimielisyyteen. Tiedon kalastelua? kilpailija? päteminen keskusteluryhmässä? 

Jouduttuamme moisen mustamaalauksen kohteeksi, mitä emme mielestämme ansainneet, pidimme lyhyen kriisi-/terapiakokouksen ja päätimme hyödyntää kokemusta tietoturvakoulutuksessamme. Väitteisiin teki mieli vastata, mutta onneksi emme lähteneet keskusteluun aktiiviseksi osapuoleksi. Pää kylmänä muillekin, jotka joudutte vastaavaan tilanteeseen!

Järjestämme Kyberturvallisuus- ja tietoturvakursseja sekä tietotekniikan ammattilaisille että ns. tavallisille tietokoneen käyttäjille.

Kursseilla kouluttajamme voivat kertoa tarkemmin tietoturva-asioista. Kouluttajillamme on useiden vuosien käytännön kokemusta järjestelmien tietoturvan ylläpidosta ja opettajataustaa.

Käytämme kurssin sisällössä esimerkkejä oikeista tapahtumista. Tämä oli tyypillinen esimerkki tiedon kalasteluyrityksestä somen kautta.     Kysy tarjousta.

Jutussa esiintyvien termien selitys

Palvelujen ylläpitäjät eivät voi kertoa käytössä olevista protokollista eikä myöskään niistä protokollista, joita ei käytetä. Kaikki sellainen tieto voi auttaa hakkereita/krakkereita kohdistamaan tietomurtoyrityksensä tehokkaammin. On parempi, että hakkeri tuhlaa aikaansa tehottomiin murtoyrityksiin käyttäen protokollaa, joka ei ole käytössä. Tietoturvallinen järjestelmä ei kerro murtautujalle mitään ja pitää murtautujan ennalta tuhoon tuomituissa murtoyrityksissä mahdollisimman pitkään. Periaate on, että hakkeri tuhlatkoon aikaansa ja energiaansa vaarattomissa yrityksissä, jotka eivät voi onnistua. Tämä on yleinen käytäntö.

Palvelujen ylläpitäjät eivät voi kertoa mitään asiakkaidensa palvelimien arkkitehtuurista. Kantaa ei voi ottaa esimerkiksi siihen, millainen proxy on käytössä tai onko proxya ylipäänsä käytössä. Arkkitehtuurin paljastuminen auttaisi mahdollista murtautujaa kohdentamaan murtoyrityksensä tehokkaammin. Koska jutussa kuitenkin puhutaan proxy-palvelusta, kerron yleisellä tasolla, mikä on proxy-palvelu, mihin se on tarkoitettu sekä mitkä ovat sen yleisesti tiedossa olevat hyödyt ja haitat.

Proxy-palvelin toimii tyypillisesti erillisellä palomuuripalvelimella estäen pääsyn organisaation sisäverkkoon. Proxy-palvelimet eristävät organisaation sisäverkkoon kytketyt työntekijöiden laitteet työntekijöiden selaamista internetsivuista. Niiden tyypillinen tarkoitus on toimia sisäverkossa olevien laitteiden ja internetin välissä.

Proxy-palvelimella
1) voidaan taata anonymiteetti verkossa surffailevalle käyttäjälle. Tämä on hyödyllinen ominaisuus, mikäli palvelin toimii porttina sisäverkosta internettiin.
2) kontrolloidaan kävijävirtaa ja tarvittaessa estetään pääsy sivustolle. Asiattomien kävijöiden (hakkerit ja krakkerit) pääsyn voi toki estää muullakin tavoilla, kuten IPS-järjestelmän ja palomuurin avulla.
3) nopeutetaan netin selaamista sisäverkosta käsin. Kun liikenne on pääosin ulkoapäin suuntautuvaa, sitä voidaan nopeuttaa puskuroinneilla ja välimuisteilla. Tämän hoitavat erityisesti tarkoitukseen suunnitellut cache-ohjelmistot.
4) estetään osittain haittaohjelmien pääsy sisäverkkoon. Kun sisäverkko on piilossa, sinne on hankala päästä.  
5) voidaan hajauttaa tuleva tietoliikenne sisäverkossa oleville palvelimille. Tämä niin sanottu load balancing -ominaisuus suojaa palvelinta DDoS-hyökkäyksiltä. Hajauttaminen on kuitenkin yleensä järkevämpää tehdä erillisillä reverse proxy -tyyppisillä tekniikoilla kuin proxylla.

Puhtaan proxyn käyttö ei ole välttämättä järkevää järjestelmissä, joista ei ole pääsyä sisäverkkoon. Sen käytöstä voi olla jopa haittaa, jos asiakkaan laiteresurssit ovat niukat. Esimerkiksi striimauksiin tulee viivettä.

Proxy ei suojaa välttämättä haittaohjelmilta (malwarelta), sillä yleensä järjestelmän käyttäjä lataa malwaren itse. Suojaamiseen on tehokkaampia keinoja, kuten tietoturvan ja virusten säännöllinen skannaus sekä IPS ja ladattavien tiedostojen skannaus haittaohjelmien varalta. Verkkohyökkäysten torjuntajärjestelmä eli IPS (Intruder Prevention System) blokkaa hyökkääjät sivustolta ja estää heiltä pääsyn sivustolle käytännössä reaaliajassa.

Koska jutussa puhutaan SSH- ja FTP-protokollista, voin yleisellä tasolla kertoa, mitä SSH ja FTP ovat. SSH tekee mahdolliseksi salatun yhteyden tietokonelaitteiden välillä. Yhteyttä voidaan käyttää esimerkiksi pääteyhteyden luontiin tai salattuun tiedostojen siirtoon (sFTP). FTP on salaamaton tiedostojen siirtoon käytettävä protokolla. Se ei ole salauksen puutteen vuoksi kovin turvallinen.

SSH-avaintenvaihtoa käytetään tyypillisesti, kun halutaan luoda pysyvämpi salattu yhteys kahden tietokonelaitteen välille. Avaimet tallennetaan tietokoneiden asetustiedostoihin. Sillä, käytetäänkö SSH-avaintenvaihtoa vai käyttäjätunnusten ja salasanojen käyttöön perustuvaa tiedonsiirtoa, ei ole tietoturvan kannalta mainittavaa eroa, jos niitä käytetään oikein.



sisään Artikkeli
Kouluttajan ympäristö
Mitä oikeasti tarvitset?