Avainsana: tietoturva

Näin suojaudut Java-aukolta

Posted on1 Comment

Oraclen Java 7:ssä ole­va auk­ko on va­ka­va, mut­ta oman ko­neen suo­jaa­mi­nen on help­poa.

Kuva: Java-logo/ Oracle

Viestintäviraston CERT-FI-viranomainen tiedotti eilen Sunin1 Oraclen Javan nollapäivähaavoittuvuudesta:

Java 7:n kaikki versiot sisältävät korjaamattoman haavoittuvuuden.
Haavoittuvuutta tiedetään käytetyn hyväksi kohdistetuissa hyökkäyksissä.
Koska korjausta ei ole, verkon käyttäjät voivat suojautua mahdollisilta
drive-by haittaohjelmatartunnoilta esimerkiksi poistamalla Javan
käytöstä selaimissaan.

Haavoittuvuus on varsin vakava: Java on asennettuna lähes kaikille koneille, eikä haavoittuvuuden hyväksikäyttö vaadi käyttäjän toimenpiteitä. Teoriassa siis Javan käyttäjät ovat jo voineet tietämättään saastuttaa koneensa.

Koska ohjelmistojätti Oracle ei ainakaan kirjoitushetkeen mennessä ole julkaissut korjauspäivitystä, ei aukkoa voi niin vain peittää. On olemassa kuitenkin ratkaisuja, joilla haavoittuvuuden vaikutusta omaan tietoturvaan voi rajoittaa. CERT-FI julkaisi varsin sekavan selityksen asiasta Facebook-sivullaan, joten tässä kirjoituksessa yritän kertoa asian hieman selkeämmin ja kuvien kera. Ohjeet ovat Windowsia tai Linuxia käyttäville Chrome-, Chromium-, Firefox- ja Opera-käyttäjille.

Päivitys 31.8.: Oracle on julkaissut haavoittuvuuden korjaavan päivityksen. Päivitetyn Java 7:n voi ladata Oraclen sivustolta.

Päivitys 1.9.: The Register kertoo, että tietoturvayhtiö Security Explorationsin mukaan Oraclen vasta julkaisemassa Java 7 Update 7 -päivityksessä on myös haavoittuvuus, joten suojautumistoimenpiteet ovat edelleen tarpeen, vaikka haavoittuvuutta ei vielä aktiivisesti hyväksikäytettäisikään.
Päivitys 1.2.2013: Tämä artikkeli saa kovasti Google-osumia! Koska kirjoitus on jo puolisen vuotta vanha, ja käsittelee jo korjattua aukkoa, täytyy ohjeita hieman soveltaa. Pääperiaatteet ovat kuitenkin samat. Saatan kirjoittaa jossain vaiheessa päivitetyn ohjeen, jolloin linkitän sen tästä kirjoituksesta.

Oletko vaarassa?

Vaikka maailmalla huudellaan, että kaikki tietokoneet olisivat yhtäkkiä vaarassa, ei tämä aivan pidä paikkaansa. Vain Oraclen ”virallinen” Java on haavoittuvainen, eikä esimerkiksi avoimen IcedTea-liitännäisen käyttäjien tarvitse ryhtyä mihinkään toimenpiteisiin. Aukko ei myöskään koske Oraclen Javan vanhemman 6-version käyttäjiä.

Jos et tiedä, mikä versio sinulla on käytössä, ota asiasta selvää:

  • Firefox: Vieraile Mozillan Tarkista liitännäisesi -sivulla. Jos luettelosta löytyy Java(TM) Platform SE 7 -alkuinen rivi, käytät haavoittuvaista Javaa, ja toimenpiteitäsi tarvitaan. Sillä, mikä päivitysversio Java 7:stä on käytössä, ei ole merkitystä.
    Haavoittuvainen Java-liitännäinen näkyy Firefoxin liitännäistarkistussivussa tähän tapaan.

    Kuva: Kuvakaappaus Mozillan Tarkista liitännäisesi -sivusta
  • Chrome ja Chromium: Siirry Chromen/ Chromiumin liitännäisten hallintaan syöttämällä chrome://plugins osoitekenttään. Laajenna tietoja valitsemalla sivun oikean yläkulman ”+ Tiedot” -linkki. Siirry Java -kohtaan. Jos Nimi-sarakkeen teksti alkaa ”Java(TM) Platform SE 7”, on käytössäsi haavoittuvainen versio. Tarkalla päivitysversiolla (U-jotakin) ei ole merkitystä.
    Chromen ja Chromiumin liitännäishallintapaneelista vaarallisen Java-liitännäisen tunnistaa tästä.

    Kuva: Kuvakaappaus Chrome-selaimen liitännäishallinnasta.
  • Opera: Siirry Operan Lisäosat -sivulle syöttämällä opera:plugins osoitekenttään. Jos luettelossa on rivi, joka alkaa ”Java(TM) Platform SE 7”, on käytössäsi haavoittuvainen Java-versio.
    Operan liitännäisissä vaarallinen Java 7 näkyy näin.

    Kuva: Kuvakaappaus Operan Liitännäiset-sivusta.

Jos Javan vaarallinen versio on selaimellasi käytössä, voit suojata itsesi muutamallakin tavalla:

  • Jos et tarvitse Javaa, poista se kokonaan (ohje 1).
  • Jos tarvitset Javaa, harkitse nykyisen Java 7:n poistamista ja vanhemman Java 6:n asentamista sen tilalle (ohje 2). Linux-käyttäjät voivat harkita myös esim. IcedTean asentamista (ohje 3).
  • Jos et tarvitse Javaa hetkeen, voit ottaa selaimen Java-liitännäisen pois käytöstä siksi aikaa kun Oracle valmistelee korjauksen siihen (ohje 4).
  • Jos välttämättä tarvitset Javan 7-versiota, on tilanne mutkikkaampi. Operan, Chromen ja Chromiumin käyttäjät voivat asettaa selaimensa toiminnolla Javan käyttöön vain niille sivustoille, joissa se on pakollista (ohje 5). Firefox-käyttäjien pitää käyttää esimerkiksi NoScript-lisäosaa saavuttaakseen saman lopputuloksen.

Riippuen tilanteestasi seuraa jotakin seuraavan kohdan ohjetta.

Ratkaisuohjeet

1. Javan poistaminen

  • Windows-käyttäjät: Javan voi poistaa avaamalla Ohjauspaneelin Ohjelmat » Ohjelmat ja toiminnot -ikkunan, valitsemalla Java 7 Update 6 -rivin (tai vastaavan), valitsemalla Poista asennus ja seuraamalla ohjeita.
  • Linux-käyttäjät: Java 7:ää ei vaikuttaisi olevan Ubuntun tai Debianin pakettivarastoissa. Muissa jakeluissa näin voi olla, ja poistaminen tapahtuu jakelun ohjeiden mukaan. Jos Java on asennettu paketinhallinnan ohi Oraclen ohjeiden mukaan, täytyy Javan kansio poistaa. Jos selaimille on luotu omat kopiot Java-pluginista (ei siis symbolisia linkkejä), tulee nämä myös poistaa. Lisätietoja on Oraclen sivustolla.

Varmista lopuksi, että Java on varmasti poistettu. Helpoiten sen voit tarkistaa samalla tavalla kuin aluksi tarkistit sen version – tässä tapauksessa Java-liitännäistä ei pitäisi olla listattuna lainkaan.

2. Java 6:n asentaminen

Poista aluksi Java 7 edellisen ohjeen mukaisesti. Asenna sitten Java 6:

  • Windows- ja useimmat Linux-käyttäjät: Lataa Java 6 Oraclen verkkosivustolta (Windows, Linux), ja suorita sen asennusohjelma.
  • Osa Linux-käyttäjistä: Jos jakelusi pakettivarastossa on Java 6 saatavilla, se kannattaa tietenkin asentaa ensisijaisesti normaalien pakettienhallintatyökalujen kautta. Esimerkiksi Debian Squeezessa paketti löytyy nimellä sun-java6-plugin.

Varmista lopuksi, että oikea versio on varmasti selaimessa käytössä. Tarkistaminen tapahtuu kirjoitukseni alun ohjeiden mukaan.

3. IcedTean asentaminen

Poista aluksi Java 7 ohjeen 1 mukaan. Asenna sitten IcedTea:

Avoimen lähdekoodin OpenJDK-ympäristöön perustuvan IcedTea-selainliitännäisen voi asentaa useimpiin Linux-jakeluihin, ja joissakin se on jo valmiiksi asennettuna. Ubuntussa paketti on icedtea-7-plugin ja Debianissa icedtea6-plugin. Paketti asennetaan jakelun oman pakettienhallinnan kautta.

Varmista lopuksi, että IcedTea on varmasti selaimessa käytössä. Tarkistaminen tapahtuu kirjoitukseni alun ohjeiden mukaan.

4. Java-liitännäisen käytöstä poistaminen

Liitännäisen käytöstä poistaminen on selainkohtaista:

  • Firefox: Avaa selaimen Lisäosien hallinta -sivu kirjoittamalla osoiteriville about:addons. Siirry sivun osioon Liitännäiset, ja klikkaa kohdassa ”Java(TM) Platform SE 7 …” olevaa Poista käytöstä -painiketta.
  • Chrome ja Chromium: Avaa selaimen Laajennukset-sivu kirjoittamalla osoiteriville chrome://plugins. Etsi luettelosta Java-liitännäinen ja klikkaa sen tietojen lopussa olevaa Poista käytöstä -linkkiä.
  • Opera: Avaa selaimen Lisäosat-sivu kirjoittamalla osoiteriville opera:plugins. Klikkaa ”Java(TM) Platform SE 7 …” -rivin otsikon Poista käytöstä -linkkiä.

5. Java-liitännäisen käytön rajoittaminen

Jos uusinta Javaa välttämättä tarvitaan jollakin tietyllä sivulla, kannattaa selain säätää niin, että Java sallitaan vain tietyille sivuille:

  • Chrome ja Chromium: Siirry Sisältöasetukset-dialogiin kirjoittamalla osoiteriville chrome://chrome/settings/content, ja vaihda Laajennukset-asetus valintaan Estä kaikki. Lisää sitten Javaa tarvitsevat sivustot Hallinnoi poikkeuksia… -dialogissa.
  • Opera: Avaa Asetukset-ikkuna valitsemalla Opera-valikon Asetukset-alivalikosta toiminto Asetukset…. Lisäasetukset-välilehden Sisältö-osiossa poista valinta kohdasta Lisäosat käytössä, ja hyväksy muutokset. Mene sitten sivustolle, joka vaatii Javan, ja valitse kontekstivalikon (klikkaa hiiren 2. painikkeella sivua) toiminto Muokkaa sivustokohtaisia asetuksia…. Valitse aukeavan dialogin Sisältö-välilehden Lisäosat käytössä -valintalaatikko, ja hyväksy muutos OK-painikkeella.


1) Kuka muistaa vielä Innotekin VirtualBoxin?

7 kysymystä kotikoneen ylläpitäjälle

Posted onLeave a comment

Ko­ti­ko­neen yl­lä­pi­tä­mi­nen on vas­tuul­lis­ta, han­ka­laa­kin, hom­maa. Aja­tuk­sia he­rät­tä­mään kir­joi­tin seit­se­män ky­sy­mys­tä, joi­ta jo­kai­sen ko­neen pää­käyt­tä­jän sie­täi­si poh­tia.

Kuva: Lei­kat­tu ver­sio Col­lege­De­grees360:n ku­vas­ta Con­fused. CC BY-SA 2.0

(Lämmittelyteksti ennen varsinaisia kysymyksiä on verrattain pitkä, joten voit halutessasi hypätä suoraan kysymyksiin tai lukea PDF-esitykseksi tiivistetyn version.)

Olen monesti ääneen ajatellut, että jokaisella koneella pitäisi olla järjestelmänvalvojanaan vain jonkinlaisen tietokoneen hallintakoulutuksen1 saanut henkilö, sillä yleensä tietoturva- ja muut tietokoneongelmat johtuvat pääkäyttäjästä, joka ei osaa huolehtia koneestaan.

En tahdo mollata tässä niitä perheenisiä tai opiskelijatyttösiä, joilla ei ole muuta vaihtoehtoa, kuin astua hehtaaria liian isoihin saappaisiin, ja yrittää ylläpitää konettaan. Nykyiset tietokoneet niin laitteistoltaan kuin ohjelmistoiltaankin ovat kuitenkin niin helppoja käyttää, että pitkään kaikki meneekin mukavasti, ja tuudittaudutaan.

Sitten eräänä päivänä kakka osuu tuulettimeen, ja peruskäyttäjä on pulassa – pahimmillaan aiheutuneet vahingot ovat vakavia ja peruuttamattomia, kuten kiintolevyn rikkoutuessa tai koneen tullessa varastetuksi. Soitetaan nörttitutuille, ja anellaan apua. Käydään IT-liikkeessä, jossa myyjä kertoo työn maksavan satoja euroja. Lopulta kiroillaan ja käydään ostamassa kikantista uusi kone. Mielikuva on varmasti tuttu niin näille pääkäyttäjille kuin heidän läheisilleen (ainakin minulle on), ja yleensä muistot ovat katkeria.

Jos kerran ammattilaisylläpitäjän palkkaaminen jokaiselle koneelle ei kuitenkaan ole kovinkaan monelle taloudellisesti mahdollista, eikä ”näin tulet täydelliseksi järjestelmänvalvojaksi yhdessä yössä” -kursseja järjestetä, niin miten sitten noilta ikäviltä muistoilta voidaan välttyä? Lyhyt vastaus: ei mitenkään. Ottamalla tietokoneen järjestelmänvalvojan vastuullinen tehtävä tarvittavalla vakavuudella, ja pienellä opettelulla niiden esiintymistiheyttä voidaan kuitenkin huomattavasti vähentää.

Olen tähän kerännyt muutamia kysymyksiä herättämään ajatuksia kaikissa tietokoneiden pääkäyttäjissä. Aluksi kannattaa saattaa asiat sellaiselle tolalle, ettei mihinkään seuraavista kysymyksistä tarvitsisi vastata ”en tiedä”, sillä oman järjestelmänsä ja sen toiminta- ja käyttöympäristöjen tunteminen on ensimmäinen askel kohti Hyvää Ylläpitäjyyttä™.

Kun ongelmat ovat selvillä, niille voi tehdä jotain. Usein se tarkoittaa erinäisiä ennaltaehkäiseviä toimenpiteitä, jotta isompaa vahinkoa ei pääsisi tapahtumaankaan. Toisinaan tämä tarkoittaa laiteinvestointeja, toisinaan vain muutamia klikkauksia.

Vaikka kaikki olisikin kunnossa seuraavien kysymysten osalta, on varmasti monia muitakin asioita, joista pitää huolehtia. Oma vastuullisuus onkin tärkeintä ylläpidettäessä tietokonetta tai -koneita. Kuitenkin vastaamalla näihin päästään jo hyvään vauhtiin.

1. Miten varmuuskopioit tärkeät tiedostot?

Vaikka pitäisi tietokonettaan kuin kukkaa kämmenellä, voi kiintolevyn rikkoontuminen tai ohjelmistovika viedä rakkaat valokuvat tai tärkeät asiakirjat mennessään. Siksi kaiken tärkeän pitäisi olla fyysisesti kahdessa paikassa, koneen kiintolevyn lisäksi esimerkiksi poltetulla DVD:llä tai ulkoisella levyllä. Myös tallentaminen verkkopalveluun on vaihtoehto, tosin varauksellinen sellainen.

Varmuuskopiot kannattaa tehdä usein, jotta ne sisältävät mahdollisimman ajantasaiset tiedostot. Toisaalta varmuuskopioista kannattaa olla useita versioita eri ajoilta, jotta huomaamatta tapahtunut tiedoston katoaminen voidaan kumota vanhalta varmuuskopiolta. Käytännössä tällainen varmuuskopiointi voitaisiin toteuttaa vaikka siten, että koneeseen kytketylle ulkoiselle kiintolevylle kopioidaan joka päivä (tai yö) varmuuskopioitavat tiedostot, ja levyltä poltetaan kuukauden välein yksi otos DVD:lle, samalla poistaen sitä vanhemmat kopiot.

Ihan kaikkea ei kannata kopioida. Käyttöjärjestelmä ja ohjelmistot voidaan asentaa aina uudelleen, ja musiikit ja elokuvat voidaan hankkia2 takaisin. Sen sijaan kummilapsen kaste- tai Ranskan matkan lomakuvia ei voi ostaa. Digitaalisessa pöytälaatikossa pölyttyvää romaanintekelettäkin on vähän ankeaa alkaa kirjoittaa ulkomuistista uudelleen. Olennaista onkin kopioida ne tiedostot, joita ei voi saada muualta takaisin. Varmuuskopioiden toimivuus tulee myös tarkistaa, sillä hädän hetkellä rikkinäinen varmuuskopio ei mieltä juuri lämmitä.

Kopioida tulee kaikkien koneenkäyttäjien tärkeät tiedostot, sillä rakkaiden asioiden katoaminen harmittaa vähintään yhtä paljon 9-vuotiasta lastasi kuin itseäsi. Siitä, mitä kukin pitää tärkeänä, kannattaa keskustella, ja opettaa muut käyttäjät varmuuskopioimaan tiedostonsa itsenäisesti. Muista kuitenkin, että ylläpitäjänä olet moraalisesti vastuussa myös heidän tiedostoistaan.

Kun nykyisten pakettikoneiden mukana ei enää toimiteta järjestelmän palautuslevyjä, nämä kannattaa tietenkin myös itse tehdä valmistajan ohjeiden mukaan. Jos käyttöjärjestelmä menee solmuun, on omilta palautuslevyiltä uudelleenasentaminen paitsi nopeampaa, paljon edullisempaa kuin koneen vieminen IT-huoltoliikkeeseen.

2. Milloin kiintolevysi on viimeksi skannattu virusten varalta?

Haittaohjelmien torjuntaohjelmiston asentaminen ja sen voimassa pitäminen on tietokoneen käyttäjiin valistuksella ja Windowsin nalkuttamisella saatu hyvin iskostettua, enkä ole aikoihin törmännyt Windows-koneeseen, jossa ei olisi kunnollista virustorjuntaa.

Lähemmin tarkasteltuna virustorjuntaohjelmistot usein kuitenkin kertovat, että tietokoneen levyt on kokonaan skannattu viimeksi joko ”marraskuussa 2010” tai ”ei koskaan”. Vaikka tietoturvaohjelmistot skannaavatkin verkkoliikenteen, voi koneelle pesiytyä haittaohjelma, jota virustorjuntaohjelman tietokannasta ei lataushetkellä löydy. Onkin syytä joko ajastaa tai itse silloin tällöin (esim. kuukausittain) ajaa tietoturvaohjelmiston täystarkistus.

On kuitenkin mahdollista, että haittaohjelma on onnistunut manipuloimaan tietoturvaohjelmistoa siten, että haittaohjelma jää löytymättä ja poistumatta. Suosittelenkin lämpimästi kiintolevyjen skannausta myös erilliseltä tietoturvatarkistuslevyltä, kuten F-Securen Rescue CD:ltä.

OS X- ja Linux-koneiden kanssa tulee olla yhtä tarkkana kuin Windowsinkin osalta, sillä ”haittaohjelmia ei ole kuin Windowsille” on vain myytti. OS X:lle kaupallisten tietoturvaohjelmistojen saatavuus on jo kohtalainen, ja paranee koko ajan, joten suosittelenkin lämpimästi sellaisen hankkimista ja asentamista. Linux-tarjonta on sen verran heikkoa, että tällä hetkellä paras tapa suojautua on olla asentamatta ohjelmia virallisten pakettivarastojen ulkopuolelta, ja pitämällä asennetut ohjelmistot ajan tasalla.

3. Kuinka paljon koneen levyillä3 on vapaata tilaa?

Tietokoneen levyosiot täyttyvät ennen pitkää sekä ohjelmistojen että käyttäjien toimesta, ja jossain vaiheessa raja tulee vastaan. Pahimmillaan levyaseman tulemineen täyteen estää tietokoneen käytön, ja jo paljon ennen sitä tietokoneen suorituskyky laskee.

Suosittelen jättämään kaikille4 levyosioille vähintään 20 % tai 10 gigatavua vapaata tilaa, kumpi tahansa on enemmän. Kun jompikumpi raja ylittyy, tulisi tilaa järjestää lisää. Käytännössä tämä tarkoittaa tiedostojen poistamista tai siirtoa muualle.

Järjestelmälevyiltä5 voidaan yleensä vapauttaa huomattavia määriä tilaa poistamalla tarpeettomia ohjelmistoja ja erilaisia väliaikaistiedostoja. Ohjelmistojen poistoon riittää yleensä käyttöjärjestelmän oma ohjelmistojen- tai pakettienhallinta, mutta turhat väliaikaistiedostot tulee poistaa joko käsin tai käyttämällä jotain siihen tarkoitettua ohjelmistoa.

Kotikansioihin tilaa saa siirtämällä harvemmin tarvittavia tiedostoja esimerkiksi ulkoiselle kiintolevylle, muistitikulle, muistikortille tai DVD:lle. Yleensä eniten levytilaa on syömässä laaja musiikki- ja elokuvakokoelma, joka voidaan yleensä siirtää ulkoiselle kiintolevylle.

Jos, ja kun, sekä omat tiedostot että käyttöjärjestelmä ovat samalla osiolla, tulee tilan vapauttamisessa yhdistellä luovasti kahden edellisen kappaleen sisältöä. Jossain vaiheessa levy saattaa putsailusta jä organisoinnista huolimatta käydä liian pieneksi, jolloin täytyy keksiä jotain muuta.

Pöytäkoneiden omistajille lisäkiintolevyn ostaminen voi olla järkevää, kun lisätilaa ei enää voida järjestellä. Levyt ovat suhteellisen edullisia, eikä niiden asentaminen vaadi kuin muutaman ruuvin kiertämistä ja kahden johdon kiinnittämistä. Tavalliseen pöytäkoneeseen mahtuu kahdesta neljään kiintolevyä alkuperäisen lisäksi.

Kannettaviin tietokoneisiin voi harvemmin asentaa toista kiintolevyä, mutta alkuperäisen levyn voi yleensä vaihtaa tilavampaan. Toimenpide ei ole niin yksinkertainen kuin lisälevyn asentaminen, joten ammattilaisen puoleen kääntymistä kannattaa ainakin harkita.

4. Miten verkkosi on suojattu?

Kun langattomat lähiverkot alkoivat yleistyä viime vuosikymmenen lopulla, ei WLAN-reitittimissä ollut oletuksena käytössä minkäänlaista salausta, jolloin default-, zyxel– tai wlan-ap-nimiset langattomat verkot saivat kutsumattomia vieraita nettiä käyttämään. Nyttemmin sekä verkkojen ylläpitäjät että laitevalmistajat ovat havahtuneet, ja avoimet WLAN-verkot ovat sellaisia tarkoituksella.

Ei kuitenkaan riitä, että tietokone näyttää lukon kuvaa WLAN-kuvakkeen vieressä, sillä yhteyden salauksia on monenlaisia. Laitteissa yleisimmät vaihtoehdot yhteyden salaukseen ovat WEP, WPA ja WPA2. Näistä kaksi ensimmäistä on murrettu, eikä niitä voida pitää turvallisina, mutta siitä huolimatta WPA vaikuttaisi olevan yleisin salaustapa.

Kaikki langatonta verkkoa käyttävät laitteet eivät ymmärrä WPA2:a, joten WPA:n käyttö on välttämätöntä. Tällaista yhteyttä voidaan kuitenkin salakuunnella, ja pahantahtoinen käyttäjä voi saada tietoon luottamuksellisiakin tietoja, kuten salasanoja. Onkin suositeltavaa siirtyä WPA2-salaukseen, jos se vain on mahdollista (tarvittaessa reitittimen tai muiden laitteiden ohjelmistopäivitysten jälkeen). WPA2:n käyttöönotto tapahtuu WLAN-reitittimen asetuksissa valmistajan ohjeiden mukaan.

Langattoman lähiverkon salauksen lisäksi tulee huolehtia, ettei koneilta tai kodin lähiverkosta pääse vuotamaan luottamuksellisia tietoja Internetiin, ja ettei vastaavasti hyökkääjä pääse käsiksi koneeseen Internetin kautta. Yleensä ADSL:llä tai kaapelimodeemilla Internetiin yhdistävässä kotilähiverkoissa suojaustaso on NAT-osoitteenmuutoksen ansiosta hyvällä tolalla, mutta jos konetta käytetään 3G- tai 4G-mokkulan kanssa, on tietokone periaatteessa suoraan yhteydessä Internetiin. Tällöin palomuurin asentaminen on tärkeää murtautumisen ehkäisemiseksi. Myöskin erilaiset tiedostojen- ja tulostintenjakotoiminnot kannattaa tällöin poistaa käytöstä.

5. Ovatko ohjelmistosi ja käyttöjärjestelmäsi ajan tasalla?

Kukaan ei ole täydellinen, ei edes päivittäin käyttämäsi tekstinkäsittelyohjelman tai selaimen ohjelmoija. Ohjelmistoihin jää käyttöä haittaavia vikoja eli bugeja. Pahimmassa tapauksessa bugi on sellainen, että sitä voidaan käyttää hyväksi tietokoneelle murtautumiseen. Tällöin puhutaan tietoturva-aukosta tai -haavoittuvuudesta. Bugeja korjataan ohjelmistonjulkaisijan päivityksin, joten päivitysten asentaminen heti niiden tullessa tarjolle on tärkeää koneen turvallisen käytön varmistamiseksi.

Päivityksiä julkaistaan niin itse käyttöjärjestelmään kuin siinä käytettäviin ohjelmistoihin, ja nämä päivitykset asentuvat yleensä itsestään tai viimeistään järjestelmänvalvojan hyväksyessä päivityksen asentamisen. Onkin syytä kiinnittää huomiota päivityksistä kertoviin ilmoituksiin, ja toimia niiden mukaisesti.

Windowsissa käyttöjärjestelmän ja muiden Microsoft-ohjelmistojen ajantasaisuudesta huolehtii Windows Update, mutta muiden valmistajien ohjelmistot tulee päivittää niiden omien toimintojen kautta. Selaimet, sähköpostiohjelmat ja muut Internetiä käyttävät ohjelmat päivittyvät yleensä itsestään, mutta muiden ohjelmien osalta vaaditaan pääkäyttäjän valveutuneisuutta.

On syytä aika ajoin, esimerkiksi kerran kahdessa kuukaudessa, tarkistaa muiden kuin itsestään päivittyvien ohjelmien valmistajien Internet-sivustolta, että käytössäsi on ajantasaisin versio, ja tarvittaessa ladata korjauspäivitys. Jos tehtävä tuntuu suuren ohjelmistovalikoiman takia ylivoimaiselta, kannattaa turhia ohjelmistoja poistaa. Omaa työtään voi helpottaa käyttämällä tehtävään tarkoitettua ohjelmaa.

Linux-jakeluissa ohjelmistojen asennus on yleensä keskitetty yhteen pakettienhallintajärjestelmään, ja sekä käyttöjärjestelmän ytimen että asennettujen ohjelmistojen päivittäminen tapahtuu saman työkalun kautta. Linuxien osalta päivityksiä ei siis tarvitse kytätä ohjelmistokohtaisesti, kunhan ohjelmistoja ei asenneta pakettienhallinnan ulkopuolelta. Järjestelmänvalvojan tulee kuitenkin usein hyväksyä päivitysten asentaminen, joten työpöydälle ilmestyvään päivitysilmoitukseen tulee reagoida.

6. Miten olet suojannut tiedostot?

Ensimmäisessä kysymyksessä halusin sinun miettivän, miten pidät huolta siitä, etteivät tärkeät tiedostot pääse tuhoutumaan. Toinen tärkeä seikka tietojen säilytyksessä on se, että arkaluonteiset tiedostosi ovat vain sinun tiedossasi – ei hakkerin, konettasi lainanneen kaverisi tai murtovarkaan tiedossa.

Jotta tiedot pysyvät yksityisenä, ei kukaan muu saa päästä käsiksi tiedostoihisi. Siis ei kukaan muu. Käytännössä tämä tarkoittaa ensinnäkin sitä, että jokaisella tietokoneen käyttäjällä on oma, salasanalla suojattu, käyttäjätili. Jos konetta täytyy lainata kavereille, voi koneelle luoda vierailijatunnuksen, jota he voivat käyttää.

Ja kuten tiedämme, hyvä salasana on pitkä, hankalasti arvattava ja usein vaihdettava. Tätä asiaa kannattaa teknisin salasanarajoituksin ja -asetuksin sekä ihan puhumalla iskostaa myös muiden koneenkäyttäjien kaaleihin. Teknisistä keinoista esimerkiksi salasanan vaihdon pakottaminen kaksi kertaa vuodessa on varsin toimiva keino, vaikka soraääniä politiikalle voikin käyttäjäkunnan keskuudesta kuulua.

Hyväkään salasana ei kuitenkaan suojaa tiedostoja, jos tietokoneelle päästään fyysisesti käsiksi (esim. laitevarkauden jälkeen), sillä tiedostot ovat kiintolevyllä salaamattomana, ja näin ollen osaavan käyttäjän saavutettavissa. Käytännössä tällöin voidaan – niiden nolojen alastonkuvien lisäksi – kaivella esimerkiksi selaimen asetustiedostoihin tallentuneita verkkopalveluiden salasanoja.

Tiedostot voidaan kuitenkin salata, jolloin salausavainta tuntemattoman henkilön on hyvin vaikeaa teknisin vippaskonsteinkaan päästä käsiksi arkaluonteiseen materiaaliin. Erilaisia salausohjelmistoja on niin yksittäisille tiedostoille, kansioille kuin koko asemillekin. Esimerkkeinä kokonaisten levyosioiden salauksesta mainittakoon järjestelmäriippumaton TrueCrypt, Linuxin dm-crypt ja Windowsin BitLocker.

7. Milloin puhdistit koneesi fyysisesti?

Klišeinen sananlasku kertoo, että puhtaus on puoli ruokaa. Tietokoneen fyysinen puhtaus lisää paitsi käyttömukavuutta, myös koneen käyttöikää. Näppäimistön, hiiren ja näytön puhtaana pitäminen ei suuria ponnistuksia vaadi, mutta toki sen verran tarkkana kannattaa olla, ettei riko mitään. Esimerkiksi vettä ja elektroniikkaa yhdisteltäessä tulee olla varovainen jo oman turvallisuutensakin tähden.

Lisäksi niin pöytä- kuin kannettavien tietokoneiden sisälle kertyy ajan myötä pölyä ja muuta likaa, joka haittaa koneen sisäistä ilmanvaihtoa. Kun tietokone ei kykene jäähdyttämään komponenttejaan tarpeeksi tehokkaasti, ne kuumenevat, jolloin niiden käyttöikä lyhenee, eikä niitä voida välttämättä käyttää täydellä teholla, jolloin koneen suorituskyky heikkenee.

Pöytäkone tulisi avata ja puhdistaa pölystä muutaman kerran vuodessa. Itse puhdistan pöytäkoneeni viemällä kotelon ulos, puhaltamalla purkitetulla6 paineilmalla jämähtäneet pölyt irti ja imuroimalla sisustan kunnolla. Tarkkana kannattaa olla, jottei sörki mitään irti tai rikki, vaikka suhteellisen ronskisti imurilla saa vedellä jäähdytyssiilien päältä kaiken pölyn irtisaamiseksi.

Kannettavissa tietokoneissa siivousprosessi on tiiviimmän ja hankalammin avattavan kokoonpanon takia työläämpi, enkä siksi sitä lähtisi edes joka vuosi tekemään. Päällisin puolin ilmanvaihtoaukot voi toki paineilmalla ja imurilla hoidella konetta avaamattakin.

Jos koneen aikoo puhdistamista varten avata, kannattaa varmistaa, ettei tule mitätöineeksi laitteen takuuta, ja pitää mielessä mikä ruuvi kuuluu mihinkin. Näppäimistön (ja monien muiden komponenttien) kytkemiseen käytettävien nollavoimaliittimien7 läheisyydessä varovainen saa todella olla, sillä niihin kytketyt lattakaapelit irtoavat varsin herkästi.

Lopuksi

Koneen ylläpitäminen saattaa tuntua tämän artikkelin lukemisen jälkeen paljon vaikeammalta kuin ennen sitä, mutta stressiä ei silti kannata ottaa – jopa kylän kovimmat nörtit osuvat itse välillä näihin ”ilmiselviin miinoihin”, ja niin on käynyt lukemattomat kerrat myös itselleni. Sinun ei myöskään tarvitse tältä istumalta ryhtyä ratkaisemaan jokaista esilletullutta epäkohtaa.

Kannattaa kuitenkin pitää mielessä, että koneen ylläpitäminen on vastuullinen tehtävä, käyttipä konetta monipäinen perhe tai vain sinä itse. Siksi sinä – järjestelmänvalvoja – olet tärkeässä asemassa koko tietokoneen käyttömukavuuden, -turvallisuuden ja -tehokkuuden määrittelemisessä.

Tässä kirjoituksessa haluan herättää sinut huomaamaan ylläpitämässäsi koneessa olevat ongelmat, joista voi seurata suuria – jopa peruuttamattomia – vahinkoja.

Jos jotkin asiat tuntuvat vaikeilta, aloita ottamalla asiasta selvää. Vaikka kirjoitukseni on varsin pitkä (2236 sanaa), ei tässä voida kuin ottaa pienenpieni ensiaskel kohti aiemmin mainitsemaani Hyvää Ylläpitäjyyttä. Lisätietoja löytää Internetistä lähes loputtomasti, eikä tuttaviesi tietämystäkään pidä aliarvioida.

Voi olla, ettei jokin asia selviä sinulle, vaikka parhaasi yrittäisitkin – ja kuten sanottu, ei stressiä. Tai sitten se katastrofaalinen epäonnistuminen iskee. Kun kädet on heitetty ilmaan, eikä tuttavista ole enää apua, ratkaisua voi lähteä hakemaan paikallisesta IT-huoltoliikkeestä. Suomessa on lukematon määrä isoja ja pienempiä yrityksiä, jotka työkseen auttavat niitä, joilla on ongelmia tietokoneidensa kanssa.

Huoltoliikkeen puoleen kannattaa kääntyä heti, kun omat taidot eivät enää riitä, vaikka hinnat toisivatkin kylmiä väreitä. Pientä, yksittäistä, ongelmaa on näet nopeampaa (=halvempaa) korjata, kuin pientä ongelmaa, joka on aiheuttanut massiiviset vahingot.

Tietokoneen järjestelmänvalvojan tulisi pitää mielessään Stan Leen Spiderman-sanat With great power comes great responsibility (Suuri valta tuo mukanaan suuren vastuun). Toivon, että tämän kirjoituksen myötä ylläpitämisvallan tuomat vastuut on helpompaa ymmärtää.
 —
1) En tiedä, järjestääkö tällaisia ”näin ylläpidät tietokonettasi” -kursseja kukaan. Jos ei, niin siinä olisi oivallinen bisnesrako jollekin.
2) Moraalista riippuen tämä tarkoittaa alkuperäisiltä levyiltä kopiointia, musiikkikaupasta uudelleenlataamista (tämä on yleensä ilmaista, kun kappaleen on kerran ostanut), ja/tai warettamista. 
3) Oikea termi olisi levyosioilla, mutta en halua hämmentää liiaksi. Tässä kysymyksessä tarkoitan levyllä, levyosiolla ja levyasemalla samaa asiaa.
4) Suositukseni ei ole toimiva erittäin pienillä (alle 20 Gt) levyillä. Tällaisissa tilanteissa täytyy ottaa huomioon käyttötilanne, ja sopivan vapaan tilan arvioiminen yleisellä tasolla ei näin ollen ole mahdollista.
5) Levyosiot, joille on asennettu käyttöjärjestelmä(ä) tai ohjelmistoja. Windowsissa tyypillisesti C:-asema, Linuxeissa muut kuin /home-osio.
6) Joo, purkkipaineilma on kallista, mutta hönkimällä ei tahdo pölyä irti kunnolla saada. Paineilmakompressorin käyttöä en lähtisi suosittelemaan, sillä ulos tuleva ilma on yleensä turhan öljyistä.
7) Eli ZIF -liitin, eli Zero Insertion Force -liitin.

Verkko-osta­misen tur­val­li­suu­des­ta huo­leh­ti­mi­nen on helppoa

Posted onLeave a comment

Verk­ko­kaup­po­jen käyt­tö on tur­val­lis­ta, kun­han osaa huo­leh­tia omas­ta tur­val­li­suu­des­taan. Ko­vin vai­ke­aa se ei ole.
Kuva: 401(K) 2012: Credit Card Debt. CC BY-SA 2.0

Verkkokaupoista ostaminen on suomalaisille tuttua puuhaa, ja ymmärtäähän sen: välimatkat ovat pitkiä, ja kotimaisten kivijalkakauppojen hintataso korkea.

Verkko-ostaminen on yleensä turvallista, kunhan ostaja tietää, mitä on tekemässä. Olen kuitenkin huomannut, että valitettavan usein ostokset tehdään Internetissä ”hasardilla” perehtymättä sen enempää omaan turvallisuuteensa.

Toisin kuin perinteisessä myymälässä asioidessa, verkkokauppaa käydessä myyjä saattaa kadota tuhkana tuuleen ostajan rahojen kanssa. Koska verkko-ostamiseen liittyy monta muutakin muuttujaa ostajan ja myyjän lisäksi, ei ostaja voi täysin riskittä ostoksiaan tehdä, mutta pienellä valveutumisella vaaranpaikkojen välttäminen onnistuu.

Kaikista turvallisintahan olisi toki olla ostamatta mitään verkkokaupoista, mutta tällöin pitäisi tyytyä vain kulkumatkan päässä oleviin myymälöihin tai postitilauskatalogien1 tarjontaan. Jos haluaa Suomessa tai Suomeen hankkia edullisesti laadukasta tavaraa, on verkkokaupan käyttäminen näin ollen lähes välttämätöntä. Monia harvinaisempia tuotteita ei Suomeen edes maahantuo kukaan, jolloin ostaminen verkkokaupasta on ainoa vaihtoehto.

Ensisijaisesti kannattaa luottaa tunnettuihin, mielellään kotimaisiin, verkkokauppoihin. Kotimaisilla toimijoilla toimitus (varastossa olevalla tavaralla) on yleensä nopeampaa kuin kaukomailta tilattaessa, ja kuluttajansuojan toteutuminen on varmempaa2. Lisäksi maksu tapahtuu tyypillisesti verkkopankin e-maksu -toiminnolla, jolloin maksukorttia ei edes tarvita ostosten tekoon – verkkopankkitunnukset riittävät.

On kuitenkin mahdollista, että jotain tiettyä tuotetta ei saa kuin valmistajan omasta verkkokaupasta, tai sitä ei jostain muusta syystä tuoda Suomeen. Tällöin kotimaiset pankkikohtaiset verkkopankkimaksupalvelut eivät ole käytettävissä. Erilaisia verkkomaksuratkaisuja on lukematon määrä, ja ostajan kannattaakin olla tarkkana, miten maksu tapahtuu, ennen kuin maksukorttinsa numeroa alkaa nettiin syöttää.

Yleensä niin EU:ssa kuin muuallakin maailmassa PayPal-maksupalvelu on käytettävissä. PayPal on turvallinen tapa maksaa, eikä sen käyttö vaadi palveluun rekisteröitymistä (joskin rekisteröityminen on ilmaista ja mielestäni ihan hyödyllistä). Käytännössä PayPal-tiliin joko siirretään tilisiirtona rahaa tai PayPal veloittaa suoraan maksukorttia, ja verkkokauppa taas ottaa rahat PayPal-tililtä. Etuna palvelussa on se, ettei maksun saaja näe luotto- tai pankkikortin tietoja, eikä näin voi aiheuttaa yllätyksiä, sillä kaikki maksut hyväksytään PayPalin oman verkkopalvelun kautta.

PayPal huolehtii myös ostajan turvallisuudesta: jos tilattu tavara ei saavu perille tai on väärä tai viallinen, voi ostaja ”riitauttaa” tapahtuman. PayPal, ostajan ja myyjän kanssa asiaa selvitettyään, ratkaisee asian, ja tarvittaessa palauttaa maksetun summan ostajalle.

Jos PayPal-maksuvaihtoehtoa ei ole saatavilla, kannattaa selvittää, onko verkkokauppa Verified by Visa– tai MasterCard SecureCode -yhteensopiva (kortista riippuen). Tällaiset palvelut lisäävät maksutapahtumaan yhden käyttäjän ja maksajan välisen vaiheen, jolloin maksu on turvallisempaa.

Verk­ko­kau­pas­sa asi­oi­des­sa kan­nat­taa var­mis­taa, et­tä yh­teys on vä­hin­tään­kin sa­lat­tu, mie­lel­lään tun­nis­tet­tu. Ku­vas­sa tun­nis­te­tun Vies­tin­tä­vi­ras­ton Do­main.fi -pal­ve­lun tie­dot Fi­re­fox 14:lla kat­sot­tu­na.
Kuva: Kuvakaappaus: Domain.fi/ Firefox 14

Hyvin harvoin on tarpeen syöttää maksukortin numeroa suoraan verkkokaupan omille sivuille, ja tällaisen tilanteen sattuessa kannattaa käyttää hetki sen tarkistamiseen, että toinen osapuoli on luotettava, ja että on varmasti myyjän virallisella sivulla (eikä esim. kalastelusivustolla). Osoiterivi kannattaakin katsoa kirjain kirjaimelta, ja varmistaa että yhteys on salattu (lukon kuva) ja mielellään tunnistettu (verkkokauppiaan nimi ennen osoitetta osoiterivillä). Tällaiset toimenpiteet on hyvä tehdä myös muulla tapaa maksettaessa – varmuuden vuoksi.

En ole itse törmännyt maksukortin numeroa suoraan ruinaaviin, mutta rehellisiin, myyjiin kuin muutaman kerran elämässäni. Siksi suosittelenkin, että jos aiemmin mainitsemani maksutavat eivät ole mahdollisia, kannattaa harkita ostoksiensa tekemistä jostain muualta, ellei luottamus myyjää kohtaan ole äärettömän suurta.

Kun maksu on veloitettu ja tuote saapunut, kaikkien pitäisi olla tyytyväisiä. Rikolliset ovat kuitenkin ovelia, ja on mahdollista, että kaikesta huolellisuudesta huolimatta maksukortin tiedot ovat päätyneet vääriin käsiin. Oman tilinsä tapahtumia kannattaakin aktiivisesti seurata, vaikkei olisikaan ostanut mitään vähään aikaan. Jos huomaa outoja veloituksia, kannattaa ottaa saman tien yhteyttä pankkiin, kuten myös myyjään, jos se on tiedossa, ja selvittää asia.

Kerron vielä oman niksini, jolla rajaan maksukortin käyttöön liittyviä riskejä: pankissani on kaksi tiliä, joista vain toiselle on pankkikortti. Korttitilillä pidän rahaa vain sen verran kuin tarvitsen, jolloin kortin tai sen tietojen joutuminen vääriin käsiin ei syökse minua vararikkoon. Keinon olen todennut hyväksi myös oman talouden hallintaan. Myöskin nosto- ja ostorajat kannattaa pitää järkevinä: jos kriisi iskee, pankkikonttorissa asioimalla saa kyllä tarvittaessa vaikka tilinsä tyhjäksi.

Verkko-ostamisvinkkini vielä tiivistettynä:

  • Suosi suomalaisia verkkokauppoja – maksa pankkisi e-maksulla.
  • Ulkomailta tilatessasi käytä PayPal-tiliä, tai vähintäänkin Verified by Visa- tai MasterCard SecureCode -maksua.
  • Asioi vain luotettavien kauppiaiden kanssa. Varmista että olet varmasti oikealla sivustolla, ja että sivusto on turvallinen: salattu ja tunnistettu.
  • Valvo tilisi käyttöä. Ota heti yhteys pankkiisi, jos huomaat jotain poikkeavaa.
  • Älä pidä korttitililläsi enempää rahaa, kuin tarvitset. Säilytä suuria rahamääriä eri tilillä, ja siirrä sieltä tarvittaessa.

Lisää hyviä ohjeita verkkomaksamiseen antaa Luottokunnan Korttiturvallisuus.fi-sivuston Usein kysyttyä– ja Verkossa-sivut. Lisäksi kannattaa käyttää 2 minuuttia 2 sekuntia seuraavan CERT-FI:n videon katsomiseen:

Sisältöä ei voida näyttää, sillä evästeet eivät ole käytössä.


1) Vieläkö tällaisia julkaistaan?
2) Eli yhtä varmaa kuin kivijalkamyymälässä asioidessa. Toiset liikkeet hoitavat asiansa kunnialla, toiset eivät, mutta kuluttajansuojaviranomaisien avulla asiat yleensä ratkeavat, viime kädessä oikeusteitse.

Uusia tietomurtoja suomalaisille sivustoille – oletko listalla?

Posted onLeave a comment

Setan ja Over­drive.fi:n käyt­tä­jä­tie­to­kan­nat pyö­ri­vät ne­tis­sä. Voit tar­kis­taa pal­ve­lu­ni avul­la, ovat­ko tie­to­si jul­kais­tuil­la lis­toil­la.

Kuva: Davide Restivo: A Modern Hacker #1
CC-By-SA 2.0

Setan keskustelupalstan ja Overdrive.fi-sivuston käyttäjätietokannat on murrettu, ja ne on julkaistu Internetissä. Yhteensä puhutaan reilusta 45 000 käyttäjätunnuksesta. Molemmissa tapauksissa listat sisältävät käyttäjätunnuksen, salasanan tiivisteen ja sähköpostiosoitteen. Ainakin Overdrive.fi:n osalta vaikuttaa siltä, että salasanoja ei ollut suolattu, sillä eräällä listalla reilusti yli puolet palvelun tunnusten salasanoista oli saatu laskettua auki.

Viimeksi suomalaispalvelujen vuodettuja tunnuksia julkaistiin Internetissä viime vuoden lopulla, jolloin perustin palvelun, jossa voi tarkistaa, löytyykö omia tietoja julkaistuilta listoilta. Nyt palvelu toimii myös Seta- ja Overdrive-vuotojen osalta.

Itse palvelu ei kerää mitään käyttäjätietoja, eikä sellaisia järjestelmässä ole, vaan palvelu muuntaa sille annetut arvot SHA512-tiivisteiksi ja vertaa tiivisteitä vuodettujen listojen pohjalta tehtyihin tiivisteisiin. Tarkemmin käytetty tekniikka kuvataan itse palvelussa.

Jos olet rekisteröitynyt Setan tai Overdrive.fi:n palveluihin, on tietosi ehkä vaarantuneet. Ja vaikket olisi kyseisiä verkkopalveluita käyttänyt, suosittelen kuitenkin lämpimästi syöttämään käyttäjätunnuksen, salasanan ja sähköpostiosoitteen palvelun läpi siltä varalta, että tunnuksesi oli jollain aiemmin julkaistulla listalla.

Sertifikaatti palveluun on itseallekirjoitettu, ja sen MD5-tunniste on 47:cf:52:5f:ac:1f:79:30:0d:81:32:74:95:2d:af:2a .

Siirry palveluun »

Millainen on hyvä salasana – ja miksi?

Posted onLeave a comment

Hyvä salasana on pitkä ja sisältää
mitä erilaisimpia näppäimistön
anteja.
Kuva: Keyboard, cafenut,
CC-BY-NC-SA-2.0

Viestintäviraston tietoturvaan keskittynyt CERT-FI -osasto julkaisi – viimeaikaisiin tietomurtoihin liittyen – jokin aika sitten ohjeen hyvästä salasanasta. Kuinka sitten keksiä sopiva salasana, kun joka palveluun tarvittaisiin oma, vähintään 15 kirjainta, numeroa ja muuta merkkiä sisältävä rimpsu, jota ei saisi kirjoittaa paperillekaan?

Lähdetään liikkeelle siitä, miten salasanat oikeastaan murretaan. Oion tässä yksikertaisuuden nimissä: esimerkiksi suolausta ei ole otettu huomioon, kuten ei myöskään sitä, että jotkut verkkosivut tallentavat salasanat selväkielisinä, kuten vastikään murtunut Netcar.fi.

Hyökkääjä-Heikki, korkattuaan käyttäjätietokannan ja saatuaan salasanatiivisteet käyttöönsä, voi nykyaikaisella tietokoneella laskea satojatuhansia tiivisteitä sekunnissa ja vertailla niitä salasanatiivisteitä vastaan: tässä kirjoituksessa on lähdetty siitä, että hyökkääjä laskee 500 000 tiivistettä sekunnissa. Tämä tarkoittaa sitä, että hyökkääjä voi käydä kaikki ne salasanat, joissa on 6 pientä kirjainta, läpi alle kahdessakymmenessä minuutissa. Koska erilaisten salasanojen määrä voidaan laskea kaavalla salasanat=merkkivalikoimapituus, on jo kahdeksankirjaimista salasanaa huomattavasti vaikeampi murtaa: 298≈5,002×1011.

Heikki ei kuitenkaan ole rajoittunut vain tuollaiseen brute-force -hyökkäykseen. Hän todennäköisesti alottaisi sateenkaaritaulukolla vertaillen valmiiksi laskettuja tiivisteitä rikollisesti hankittuja salasanatiivisteitä vastaan. Kun siitä on selvitty, siirtyisi hän sanakirjahyökkäykseen: kokeillen yleisiä salasanoja, sanakirjasanoja sekä sanojen ja numeroiden yhdistelmiä. Tässä vaiheessa jo hyvin moni salasana olisi auennut, sillä Heikin ei tarvitse murtaa salasanaa kerrallaan, vaan hän voi kokeilla saatuja tiivisteitä kaikkien salasanojen tiivisteitä vasten yhtä aikaa. Viimeisenä keinona hän sitten kokeilisi brute forcea, joka on tehokas lähinnä 1-8 merkkiä pitkien salasanojen murtamiseen.

Jos murtomies pääsee käsiksi käyttäjätietoi-
hin, on hänellä monia keinoja salasanan sel-
vittämiseksi.
Kuva: Davide Restivo: A Modern Hacker #1
CC-By-SA 2.0

Kun Heikillä on kasa käyttäjätunnuksia ja mahdollisesti muita henkilötietoja salasanoineen, hän voi käyttää hyväksi sitä, että monet käyttävät samaa salasanaa eri paikoissa, ennen kaikkea sähköpostissa. Jos Heikki pääsee saamallaan salasanalla käsiksi myös uhrin sähköpostitiliin (tai jos hyökkäys kohdistui siihen), voi hän vallata uhrin muita käyttäjätilejä palveluiden ”Unohdin salasanani” -toiminnoilla, jotka tavallisesti lähettävät uuden salasanan tai linkin sen luontiin sähköpostina.

Nyt, kun tiedetään miten salasanoja murretaan ja mitä niiden avulla voidaan tehdä, voidaan lähteä miettimään tehokasta vastatoimea. Unohdetaan saman salasanan käyttäminen useissa paikoissa, ja valitaan sellaisia salasanoja, joita ei kenellekään muulle tulisi mieleenkään. Internet on pullollaan palveluita, jotka kehittävät pyydetynpituisia ja -tyyppisiä salasanoja (kuten Wolfram Alpha), mutta nämä ovat usein hankalasti muistettavia.

Kuvitellaan salasana vaikka musiikkiaiheiselle keskustelufoorumille: otetaan sen päässä jatkuvasti soivan lempikappaleen kertosäe, ja käytetään sitä salasanan muistisääntönä. Kertosäkeestä voi sitten oman maun mukaan poimia kirjaimia, numeroita ja muita merkkejä, kunnes pituus on 15 merkkiä. Sellaisenaan kertosäettä ei kannata käyttää, sillä nokkela hyökkääjä keksii kokeilla myös sitä. Samalla tapaa voidaan luoda yksilöllisiä salasanoja, joihin on olemassa aina sopiva muistisääntö, ja jotka eivät teemansa takia sekoitu toisiinsa.

Hyvä salasana ei kuitenkaan vielä täysin ratkaise ongelmaa. Palveluissa on usein salasanan palauttamiseksi valittavissa myös salainen kysymys -vaihtoehto. Jos mahdollista, tällaiset kysymykset kannattaa poistaa käytöstä, tai vastata kysymykseen pupulla. Ventovieraskin hyökkääjä voi nimittäin esimerkiksi sosiaalisen median, kuten Facebookin, avulla saada selville äidin tyttönimen tai lempiruoan. Jos hyökkääjä tuntee uhrin entuudestaan, on tietojen selvittäminen vielä helpompaa.

Lisäksi kannattaa tarkkaan miettiä, kannattaako palveluun todella rekisteröityä. Jokainen palveluun rekisteröityminen lisää riskiä sille, että käyttäjätietojasi – muutakin kuin salasanasi – joutuu vääriin käsiin. Pohdintaansa voi alustaa vaikka sillä ajatuksella, että mitä palveluun syöttämillä tiedoilla voitaisiin tehdä niiden joutuessa vääriin käsiin.

Salasana kannattaa myös vaihtaa aika ajoin, vaikkapa vuosittain. Tällöinkään salasanoja ei pidä kierrättää, vaan keksiä uusia. Ja jos uusi salasana ei muuten uppoa päähän, voi sen hetkeksi kirjoittaa esimerkiksi paperille, ja pitää paperin visusti tallessa. Jos palveluun kirjautuu monia kertoja, jossain vaiheessa pidempikin salasana jää päähän. Jos toisaalta kirjautumiskertoja on kovin vähän, kannattaa miettiä, onko käyttäjätili kyseisessä palvelussa kovin tarpeellinen muutenkaan.

Selaimen salasananmuistamis-
toimintoa kannattaa käyttää, jos
salasanat eivät muuten pysy mie-
lessä.
Kuva: Kuvakaappaus Firefox 7:sta.

CERT-FI neuvoo ohjeessaan käyttämään tarvittaessa apuohjelmia salasanojen muistamiseen, mutta pitäisin itse sitä viimesijaisena keinona. Selainten oma Muista salasana -toiminto on yleensä kaikki, mitä tarvitaan. Nämä tiedot kannattaa tietenkin varmuuskopioida offline-medialle (kuten CD- tai DVD-levylle, tai muistitikulle), eikä esimerkiksi sähköpostin tai PayPalin kirjautumistietoja kannata tallentaa edes sinne: ne on turvallisinta opetella sovinnolla ulkoa.

Lopuksi pari linkkiä. Splashdata julkaisi vuosittaisen 25 huonointa salasanaa -listansa, josta salasanojaan ei välttämättä kannata poimia. Toisena linkkinä tarjoan mahdollisuutta tekemässäni palvelussa tarkistaa, onko viimeaikaisilla nettiin vuodetuilla listoilla sinun tietojasi. Sertifikaatti on itseallekirjoitettu, ja sen MD5-summa on 634CE8C0950751A7E3C7FE71FFFE8D3C.