tiistai 2. marraskuuta 2010

Peitä jälkesi surffatessasi - ainakin melkein

Stanfordin yliopisto on julkaissut tutkimuksen siitä, miten hyvin eri selaimet peittävät jälkesi siinä koneessa, jossa internetiä selaat. Kaikissa nykyselaimiessa (Internet Explorer, Firefox, Safari ja Chrome) on oma toimintonsa, jonka aktivoimalla selain ei tallenna (tai sen ei pitäisi) esimerkiksi historiatietoja selatuista sivuista ynnä muuta sellaista, josta voisi jälkikäteen päätellä missä verkkosivuilla käyttäjä on vieraillut. Internet Explorerissa tämä tunnetaan nimellä InPrivate Browsing ja esimerkiksi Firefox:ssa Private Browsing.

Tutkimukset metodit ja tarkat tulokset voi käydä lukemassa alkuperäiseltä sivulta, mutta yhteenvetona tuloksista voi kertoa seuraavaa: Vaikka selaisit verkkoa yksityisyys-tilassa, tallentavat kaikki selaimet silti joitain tietoja koneellesi avatuista sivuista (vaihtelee hieman selainten kesken). Esimerkiksi, jos lataat jonkin tiedoston, ovat jäljet tästä näkyvillä myös myöhemmin, samoin tieto hyväksytyistä poikkeuksista esimerkiksi salaukseen käytettävissä certifikaateissa voi olla myöhemmin saatavilla.

Päivän opetus on siis seuraava, kun et halua, että muut samaa konetta käyttävät näkevät mitä olet tehnyt, käytä Private-tilaa selaimessa, mutta älä luota siihen liikaa. Selaamisen aikana mieti kahdesti, ennenkuin tallennat mitään valintoja tai tiedostoja, ja selaamiseen jälkeen muista sulkea selain oikein ja mahdollisesti poistaa tallentuneet tiedot.

torstai 28. lokakuuta 2010

Kirjesalaisuus ja postisi vaarassa? Näin parannat omaa suojaasi

Iltalehti uutisoi tänään näyttävästi Itellan (ent Posti) työntekijän materiaaliin viitaten, että Itellan uusi postinlajittelujärjestelmä rikkoo merkittävästi postia, jolloin sen sisältö voi paljastua työntekijöille. Työntekijän mukaan näissä paljastuukin mm.pankkikorttien tunnuslukuja, lääketieteellisiä papereita, valtion luottamuksellisia papereita ja ties mitä.

Onko tämä sitten merkittävä uhka yksityisyydellesi? On ja ei. Kyllä, on mahdollista että luottamuksellinen, kirjesalaisuuden alainen, viesti paljastuu kolmannelle osapuolelle. Mutta se uhka ei perustu (pelkästään) tähän lajittelukoneeseen. Muun muassa seuraavat uhat kohdistuvat yhtälailla kirjesalaisuuteen: Postilähetysten anastamisesta vankeutta ja Postimies varasti rahaa kirjeistä Forssassa. Kyseiset esimerkit ovat ensimmäiset Googlesta esiintulleet, ja vastaavia tapauksia on ollut menneinä vuosina usein, hataran muistin mukaan vuosittain. Sekoileva lajittelukone on siis vain uusi muoto uhalle, joka postiisi on aina kohdistunut: Se voi kadota, rikkoontua tai olla saatavilla tarkoitetun vastaanottajan piirin ulkopuolella.

Jokainen postia käyttävä voi arvioida uhan itse, ja toimia sen mukaan. Esimerkiksi rahan lähettäminen postissa on monesti riskialtista, erityisesti jos lähetyksen sisältö on helposti arvattavissa. Lomatervehdyksen taas ei pitäisi olla yhtä riskialtista. Mitä tulee viranomaisten lähettämiin viesteihin, tilanne ei ole niin helppo. Tavallinen tallaaja ei voi juuri vaikuttaa siihen, miten virkamies X tietosi lähettää. Toki verkkolaskujen ja Netpostin ym suosiminen vähentää tällaista turhaa postiliikennettä, mutta loppukädessä päätös on lähettäjällä.

Mitä itse uutiseen tulee, niin olisin kovasti hämmästynyt mikäli sillä ei olisi mitään tekemistä Itellan työtaistelujen ja sopimusvääntöjen kanssa. Jotakuta työntekijää on nyt vain ilmeisesti alkanut korpeamaan, ja hän on päättäny kostaa työnantajalle negatiivisen julkisuuden muodossa. Samasta syystä hän ei muista kertoa, että postia katoaa paljon myös työntekijöiden mukaan, vaikka historia sen onkin todistanut. Uutisen motiiveista riippumatta, tosiasia on, että esimerkiksi valtion (tai suurten yritysten) ohjeistuksen mukaan "oikeasti salaista" materiaalia ei saa lähetellä postilla, vaan se toimitetaan muita reittejä. Tavallisella kansalaisella ei tällaista mahdollisuutta tietysti samassa mittakaavassa ole, joten seuraavat pienet neuvot voivat olla hyödyksi:

  1. Siirry Netpostin tms käyttäjäksi. Tällöin sen kautta kulkeva postisi ei joudu Itellan työntekijöiden käsiin ollenkaan (toki verkkopalvelu on aina altis tietoturvaongelmille). Samalla vähennät paperisaasteen määrää.
  2. Älä itse lähetä sellaista materiaalia postisa, joka on erittäin arvokasta tai todella luottamuksellista. Jos muita toimitusmetodeja ei ole, käytä kirjattua/vakuutettua kirjettä, joka käsitellään erillään.
  3. Milloin mahdollista, kiellä tietojesi lähettäminen postitse.
  4. Tarkista saamiesi luottamuksellista tietojen sisältävien kirjeiden koskemattomuus (esimerkiksi pankin tunnuslukujen kirjekuorien avaamattomuus)

keskiviikko 27. lokakuuta 2010

Näin helposti Facebook ja twitter profiilisi varastetaan

Kuluneen viikon kuuma puheenaihe sosiaalisen median turvallisuudessa on ollut Firesheep -niminen lisäosa, jonka avulla sen käyttäjä voi kuunnella avoimessa, suojaamattomassa, wlan-verkossa muiden käyttäjien liikennettä ja myös kaapata istunnon. Aiheesta on uutisoitu erittäin laajasti mm. Iltalehdessä ja Digitodayssä ja se saikin reilusti huomiota.

Mistä tässäkin nyt sitten on kyse? Ei ainakaan mistään dramaattisen uudesta asiasta. Kaikille asiasta ymmärtäville kyseinen ongelma on jo pitkään ollut selvä. Kun mitä tahansa kirjautumista vaativaa palvelua, joka ei käytä salausta (eli https yhteyttä), käytetään avoimessa wlan-verkossa, on sen verkkoliikenne ollut muillekin verkossa oleville avointa. Tätä voidaan verrata luottamuksellisuudeltaan esimerkiksi postikorttiin, joka on kaikkien luettavissa. Käytännössä hyökkäys sujuu siten, että hyökkääjä kuuntelee liikennettä käyttäjän ja palvelun välillä. Tässä liikenteessä käyttäjä tunnistetaan istuntotunnisteesta, joka on istuntokohtainen. Tämän istuntotunnisteen kopioimalla hyökkääjä voi esiintyä käyttäjänä niin kauan kuin istunto on voimassa.

Asiassa tai ongelmassa ei sinänsä ole mitään uutta. Nyt vain on saatavilla työkalu, jolla tämän toteuttaminen on entistä helpompaa. Olisi se ennenkin ollut tietoliikenteen alkeet omaavalle erittäin helppoa esimerkiksi Wireshark-nimisen työkalun avulla. Onpa kyseisenlaisia hyökkäyksiä toteutettu jopa tietoturva-alan konferensseissa, joissa jotkut asiantuntijat ovat haksahtaneet käyttämään Facebookia tai Twitteria ilman salausta avoimen, ilmaisen Wlan-yhteden yli.

Turhaa tämä kohu ei tokikaan ole. Tämä nostaa ongelman suuren massan tietoon ja opettaa käyttäjille hyviä tapoja, kuten avoimien verkkojen välttämisen. Normalilla käyttäjällä kun ei muuten ole helppoja tapoja suojata itseään tällaisessa avoimessa verkossa, jossei sellaiseksi lasketa Firefox-lisäosaa, jonka avulla muutamaa palvelua on turvallisempaa käyttää (pakottamalla yhteyden kulkemaan salauksen kautta). Kyseinen lisäosa ei kuitenkaan ratkaise ongelmaa muille kuin muutamalle, erittäin suositulle, palvelulle. Muut palvelut (kuten monet keskustelusivut) jäävät ilman suojaa.

Paras suojausmenetelmä olisi aina salattu yhteys, mutta palveluntarjoajat eivät sitä suosi sen kustannusvaikutuksen takia. Salatun yhteyden ylläpito vaatii moninkertaisesti resursseja (lue: rahaa) salaamattomaan verrattuna. Ja kun loppukäyttäjätkään tai viranomaiset eivät sitä vaadi, niin muutosta lienee turha odottaa..

torstai 21. lokakuuta 2010

Googlelle tulossa varoitus WLAN urkinnasta?

Digitoday uutisoi eilen, että Viestintävirasto Ficora harkitsee Googlen näpäyttämistä huomautukselle sen taannoisesta WLAN urkinnasta, seuraten näin Britannian ja Kanadan vastaavia päätöksiä. Tämä liittyy omasta mielestäni läheisesti edelliseen kirjoitukseeni, jossa totesin että säännöt tai lupaukset eivät yksityisyyttä todellisuudessa riittävästi suojaa, jos henkilö ei sitä itse tee.

Esimerkiksi tässä tapauksessa kaikki tahot ovat herttaisen yhtämielisiä siitä, että Google käyttäytyi laittomasti. Tästä kuitenkin rangaistaan huomautuksella, jolla ei käytännössä ole mitään vaikutusta Googlen tapaiselle jättiläiselle. Huvittava yksityiskohta on myös se, että uutisten mukaan "(Kanadan viranomainen) Jennifer Stoddart haluaa myös, että Google tuhoaa urkkimansa tiedot siltä osin kuin se on mahdollista." Sen sijaan esimerkiksi sitä ei vaadita, että Googlen tästä materiaalista mahdollisesti saama hyöty / analysointidata tulisi poistaa (toki näin voi olla, ja uutiset vain ovat epätarkkoja). Jos oletetaan, että Google on tietoja käyttänyt analysoinnissaan (ja miksipä ei olisi, Googlen ydintoimialaa nimenomaan on automatisoitu analysointi ja tiedonkeruu eri lähteistä), niin tällainen "soo-soo, ei noin saa tehdä" tyyppinen rangaistus jälkikäteen vain vahvistaa sen, että temppu oli kannattava (paitsi ehkä PR mielessä).

En toki ole Googlella töissä tai muutenkaan tiedä todellista syytä siihen, miksi tähän episodiin ylipäätään päädyttiin. On toki mahdollista, että tämä oli täysi vahinko, mutta itse epäile sitä ainakin hieman. Itse asiassa monet yritykset (eikä mitenkään vain Google) kokeilevat usein lakien ja määräysten rajoja liiketoimintaansa parantaakseen. Mikäli rajan yrittämisestä ei edes yritetä rangaista, tullaan näitä rajan ylityksiä näkemään tulevaisuudessa vielä reilusti lisää. Nin yritykset toimivat, sillä ei niiden tarkoitus ole suojella yksilöitä, vaan tuottaa rahaa. Yksilön suojeleminen on (tai pitäisi olla) valtioiden ja viranomaisten työtä.