peruuta
Näytä tulokset kohteelle 
Hae sen sijaan kohdetta 
Tarkoititko: 
53449 Jäsentä
153437 Kirjoitusta
Uusi käyttäjä, aloita täältä
^

Keskustele. Kerro kokemuksistasi. Ratko ongelmia. Testaile uusia makeita juttuja.

ALOITA HAUSTA

Etsimästäsi aiheesta voi löytyä jo valmiita keskusteluita tai artikkeleita. Jos ei, aloita uusi keskustelu.

HAKUUN

VERTAISTUKI

Yhteisössämme jäsenet ovat tähtiä. Törmäät nopeasti VIP-jäseniimme. Mukana on ajoittain myös telialaisia.

TUTUSTU

OLE AVULIAS

Paina peukkua hyville kommenteille. Merkitse ratkaisuksi vastaus, joka ratkaisi ongelmasi. Neuvo muita.

YHTEISÖN SÄÄNNÖT

Hakkerin vinkit tietoturvariskeihin – onko liiketoimintaa ilman tietoturvaa?

Moderaattori
Moderaattori

Hakkerin vinkit tietoturvariskeihin – onko liiketoimintaa ilman tietoturvaa?

kyberuhkat_liiketoiminta.jpg

 

Minkälainen mielikuva sinulla on hakkereista? Julkisuuteen nousseiden hakkeri-iskujen uutisointi on saattanut iskostaa ihmisten mieliin kuvan pimeässä kellarissa kyhjöttävistä harmaista hyypiöistä tai pikkurikollisista tietomurtojen tekijöistä, joiden ainoana intohimona on tehdä kiusaa.

 

Hakkerit ovat taitavia tietojärjestelmien käyttäjiä ja ohjelmoinnin ymmärtäjiä, jotka kykenevät käyttämään järjestelmiä myös niiden rajoituksia kiertäen. Heillä on valtavasti tietoa ja osaamista järjestelmistä ja toimintaetiikka määrittelee, käytetäänkö osaamista hyvään vai vähemmän hyvään.

 

Viime aikoina monesta hakkerista on tullut taitojensa ja toimintaetiikkansa ansiosta vaikuttaja. He saavat arvostusta muidenkin kuin alan harrastajien keskuudessa. Voidaankin sanoa, että hyvän tekemiseen valjastettu hakkeri on verkon immuunipuolustus.

 

 

IoT ja pilvipalvelut tuovat mukanaan uusia tietoturvariskejä

 

Teknologinen kehitys avaa uusia mahdollisuuksia niille, joilla on mielessä vähemmän hyvät päämäärät. Hakkereiden avulla voidaan estää myös yrityksiin ja organisaatioihin kohdistetut laajamittaiset kyberhyökkäykset. Haavoittuvuuksien olemassaolo on mahdollista löytää ennen kuin sitä käytetään hyväksi rikollisissa tarkoituksissa.

 

Kyberhyökkäyksiäkin voidaan harjoitella ennalta. Me Telialla harjoittelimme muutama vuosi sitten kyberhyökkäyksiin varautumista ja niiden estämistä Osuuskauppa Keskimaan kanssa. Harjoituksessa mukana oli myös JYVSECTEC.

 

Yritysten tulisi nykyisin huomioida tietoturva toiminnassaan ja varautua uhkiin ennalta. Se on tärkeä osa kestävää digitaalista liiketoimintaa. Miten esimerkiksi IoT-laitteiden tietoturva tulisi ottaa huomioon?

 

Webinar_IOT_security_expert_1200x628_display.jpg

 

Webinaari
Hakkerin vinkit: Onko liiketoimintaa ilman tietoturvaa

 

Järjestämme keskiviikkona 13.2.2019 klo 10:00 – 10:30 webinaarin, jossa Telia Cygaten toimitusjohtajan, Markus Kalalahden, kanssa tietoturvasta on keskustelemassa hakkeritapahtuma Disobeyn perustaja Benjamin Särkkä.

 

Benjamin aloitti uransa 8-vuotiaana, kun hän hakkeroi isänsä tietokoneen salasanan. Yläkouluikäisenä hän sai haltuunsa koulun ja kaupungin tietojärjestelmien käyttöoikeudet. Nykyisin Särkkä työskentelee tietoturvan parissa.

 

Webinaarissa selviää vastaukset muun muassa näihin kysymyksiin:

           

  • Miten IoT-laitteiden tietoturvariskeihin voidaan varautua onnistuneesti
  • Voiko tekoäly ratkoa tietoturvaongelmia
  • Miten vastuu pilvitoimijoiden välillä tulisi jakaa
  • Mitä on kriittinen pilviosaaminen

 

Lisätietoa ja ilmoittautuminen tietoturvawebinaariin tästä.

Tietoturvapalveluitamme pienille ja suurille yrityksille löytyy telia.fi-sivustolta.

 

Minkälaisia ajatuksia sinulle herää tulevaisuuden IoT-maailmasta ja tietoturvasta? Miten sinä olet ajatellut varautua tulevaisuuteen, jossa yhä useampi laite on kiinni verkossa, ja hoitaa tietoturva-asiat kuntoon? 

Voit kommentoida alle tai osallistua keskusteluun yhteisössä!

0 tykkäystä
12 Kommentit
Moderaattori

@TuizeKoo  kirjoitti:

 

 

Viime aikoina monesta hakkerista on tullut taitojensa ja toimintaetiikkansa ansiosta vaikuttaja. He saavat arvostusta muidenkin kuin alan harrastajien keskuudessa. Voidaankin sanoa, että hyvän tekemiseen valjastettu hakkeri on verkon immuunipuolustus.

 


Se on aina hienoa, kun hakkerit ryhtyy käyttämään taitojaan hyvään. Nykyisin on niin paljon tietoturvauhkia olemassa ja rikolliset hakkerit pyrkii tekemään rahaa kaikin tavoin. Toki hyvään tietoturvaan kuuluu lisäksi myös valveutuneet käyttäjät, jotta hyvä suojaus ei murru inhimillisessä kohdassa, kun käyttäjä toimii jollakin tavalla väärin. Tätä olen joskus pohtinut, että miten tulevaisuudessa voitaisiin myös ihmisiä paremmin opastaa kriittiseen ajatteluun ja huolehtimaan tietoturvasta. Kaikki sähköpostiin tai muihin verkon palveluihin tulevat viestit kun ei ole aina sitä, miltä ne näyttävät. Jatkossa tähänkin pitäisi varmasti kiinnittää entistä enemmän huomiota?

 

Itsellä on tullut nyt panostettua tietoturvaan paremmin myös ihan kotonakin. Ennen käytin lähes kaikissa nettipalveluissa samaa salasanaa, mikä on ehkä typerintä mitä voi tehdä. Nyt sitten ottanut käyttöön salasanojen hallintaa varten LastPass -sovelluksen, jolloin voi pitää kaikissa palveluissa erillisen pitkän ja turvallisen salasanan. Tottakai myös kaikilla laitteilla löytyy tietoturva -ohjelmistot, jotta vältytään perinteisiltä viruksilta. Millaisia suojauksia porukalla on kotosalla käytössä tai miten olette huolehtineet tietoturvasta?

Moderaattori

Hyvä huomio @NikoNo tuo salasanojen hallinta. Aika harva töissä tai yksityiselämässä tulee ajatelleeksi, miten tärkeässä osassa ne nykyisin ovat. Itse töissä pidän huolen siitä, etten jätä työkonetta auki edes vessareissun ajaksi - sekin on osa tietoturvasta huolehtimista, vaikka meille konttorille ei vieraat ihmiset ilman kulkulupaa eksyisikään. 

Kotia ajatellen olen kyllä miettinyt, että jos hankin lisää älylaitteita, niin niiden suojaaminen täytyy kyllä miettiä ennen kuin on myöhäistä. Oma lapsoseni hoksasi hassutella kyläpaikassa älykännykkänsä kaukosäädinsovelluksella ja vaihteli muina miehinä muiden tietämättä kanavia aiheuttaen lievää hämmennystä. Onneksi naapureiden telkkareiden infrapunan kantama ei ole niin pitkä, että neiti voisi kiusata naapurin mummoja.

Muakin kiinnostaisi, minkälaisia suojauksia ihmisillä on kotona. 

Vakiokalustoa ☆☆

- Kaikissa koneissa koko kiintolevyn salaus

 

- Tiedostot omalla NAS-palvelimella 19" räkissä, RAID5 ja säännölliset tilannevedokset kaikesta datasta, mahdollisuus palautella tiedostoja ja niiden aiempia versioita kuukauteen asti ajassa taaksepäin haluttuun kohtaan. Kaikista koneista otetaan säännöllisesti backupit NAS:ille.

 

- NAS:ista menee backupit kolmelle ulkoiselle USB-levylle kerran kuukaudessa, joista aina yksi synkataan tietyin väliajoin ja kaksi muuta jää koskemattomiksi. Näistä yhtä säilytetään paikassa X kodin ulkopuolella. Nämä levyt ovat salattuna, joka helpottaa levyjen säilytystä "ulkona". Eli näillä pääsee maks. 3 kk. taaksepäin ajassa.

 

- NAS:ilta menee tiettyjä backuppeja myös kahteen pilveen, kaskadisalauksella salattuna. Näissä dataa parisen teratavua.

- Kaikki kotiverkon kytkimet hallittavia, joissa käytetään DHCP Snooping, IP Source guard ja ARP inspection -tekniikoita. Verkkoon liitetyt laitteet voivat käyttää vain niille DHCP:llä annettuja osoitteita tai ennalta sovittuja staattisia osoitteita ja esim. toisen laitteen osoitteen "pölliminen" ei onnistu. Sama koskee myös langatonta verkkoa.

 

- VLAN-tekniikalla segmentoitu kotiverkko, jossa etenkin kaikki "rootless" laitteet on eriytetty niistä, joihin on täydet hallintaoikeudet. Eli siis roottaamattomilla puhelimilla, tableteilla, älytelkkareilla yms. ei ole mitään asiaa varsinaiseen kotiverkkoon. Kyseisten laitteiden DNS-kyselyt pakko-ohjataan omalle DNS-palvelimelle riippumatta siitä, mitä DNS:ää ne yrittävät oikeasti käyttää. DNS:n kautta näkee hieman, minne kaikkialle yhteyksiä otetaan ja voi rajoittaa esim. mainoksia. Myös työhommia, vierailijoita sekä R&D juttuja varten on omat segmenttinsä erillään kaikesta muista. Myös langaton verkko on samalla tavalla segmentoitu, eri VLANeille on erilaiset SSID:t ja salasanat.

 

- Verkkoon liitetty uusi laite ei toimi lainkaan, ennen kuin se rekisteröidään haluttuun segmenttiin ja sille annetaan IP-osoite joko DHCP-serverille tai kiinteästi. Ainoastaan vierasverkkoon voi kytkeytyä random-laitteilla, mutta tällöin on myös käytössä kaikista tiukimmat palomuurisäännöt.

 

- Keskitetty, rautapohjainen palomuuriratkaisu. Omiin etäohjattuihin juttuihin pääsee sisälle ainoastaan suomalaisista IP-osoitteista, työjuttuihin ainoastaan yksittäisistä ennalta sovituista IP-osoitteista. Palomuurilla rajataan myös sitä, mitkä laitteet ylipäänsä pääsevät Internetiin ja mitkä saavat kommunikoida ainoastaan sisäverkossa. Kaikki sellaiset laitteet, joilla ei ole mitään järkisyytä päästä Internetiin, ei sinne lasketa lainkaan.

 

- Salasanojen hallinnassa ei luoteta mihinkään valmiiseen sovellukseen. Käytössä on kokonaan oma, salattu taltio.

 

- Linuxia laajasti käytössä, varsinkin tärkeissä jutuissa. Todella paljon asioita tehdään sulautetuilla ratkaisuilla.

 

- Puhelimilla/Androideilla ei hoideta mitään juttuja, joihin liittyy jotenkin raha. Jos puhelimeen halutaan ostaa sovelluksia, niin siihen voi hankkia Google Pay-rahaa kaupasta koodikortilla etukäteen ladattuna. Luottokorttitietoja ei syötetä mihinkään puhelimiin, pelikonsoleihin ym.

 

Siinä hieman pintapuolista tietoa näistä... Hymiö Onnellinen

Vakiokalustoa

Millaisia suojauksia porukalla on kotosalla käytössä tai miten olette huolehtineet tietoturvasta?

Täällä myös salasanojen kanssa käytössä Lastpass, mutta tärkeimmät on koostettu omilla muistisäännöillä ja tavallaan korvamerkittyjä siinä mielessä että on salasanoilla on "pohja" jos yksi vuotaa niin sitten vaihtuu ne muutamat muutkin mitkä tuohon pohjaan perustuu. Tärkeimpiä en päästä Lastpassiin, mutta tuo on oiva apuri kun pitää luoda käyttäjätilejä vähän sinne sun tänne.

 

Laitteiden tietoturvan suhteen käytän vain maalaisjärkeä ja nettiselailussa erinäisiä blockereita - josta itseasiassa on nyt alkanut muodostumaan ajatus, että ostaisin Raspberry Pi:n ja virittelisin siitä ainakin koko verkon kattavan verkon mainossuodattimen.

 

Tietoturvan suhteen itseasiassa pelottavin lenkki on teidän toimittama reititin jonka kautta kaikki liikenne(tällä hetkellä) kulkee. Koska logiominaisuudet on poistettu asiakkailta näkyvistä ja dokumentaatio laitteen toiminnasta rajoittuu geneerisiin käyttöoppaisiin on päässä kypsynyt ajatus, että tuo ei nauti omaa luottamusta siinä määrin ettenkö jossain kohtaa virittelisi tuohon tilalle jotain missä itselläni on täysi hallinta ja pääsy seuraamaan verkon toimintaa. "Just trust us" on kylmiä väreitä aiheuttava suhtutuminen kun miettii, että kyseessä on kuitenkin kotiverkon pohja ja etenkin kun kyseessä on vain valinta, ettei se asiakkaalle kuulu mitä omassa verkossa tapahtuu. Toki tuo laatikko täytyy sitten ilmeisesti jättää kuitenkin hoitamaan sitten Telia TV:n liikenne.

 

Kivaa näpertelyä ja opettelua tiedossa Hymiö Onnellinen

Moderaattori

@SINAD"- Salasanojen hallinnassa ei luoteta mihinkään valmiiseen sovellukseen. Käytössä on kokonaan oma, salattu taltio."

 

Ihan mielenkiinnosta. Onko tämä siis vain tekstitiedosto, josta leikkaa/liimaa taktiikalla kopioidaan salasanoja eri palveluihin? Vai onko tässä jotakin automatiikkaa myös taustalla. Näiden valmiiden salasanojen hallinta -sovellusten kanssahan tuo toimii kivasti automaattisesti, jolloin ei tarvitse joka kerta itse syöttää salasanoja. Toki ymmärrän pointin, että ei välttämättä halua tallentaa tietoja mihinkään yksittäiseen palveluun.

Vakiokalustoa ☆☆

Juu, koska siellä on paljon muitakin juttuja merkittynä ylös, mm. sähköpostiosoitteet mitä minnekin on rekisteröity, niitäkin on kymmenkunta. Siksi tuo on vapaamuotoinen. Tässä on myös erittäin olennaista että kaikki tieto on tallennettu keskistetysti yhteen paikkaan (levypalvelimelle), josta eri koneilla voi käyttää/päivittää tietoja riippumatta käyttöjärjestelmästä (Win 2000, XP, Win7, erilaisia Linuxeja).

 

Joitakin ei-kriittisiä salasanoja on myös selaimen muistissa, kun järjestelmälevyt kun on salattuna niin myös kaikki selaimeen tallennettu on. Linuxeissa on myös eräänlainen salasanojen hallinta integroituna, eli pääsalasanalla saa "avainnipun" auki ja sieltä ne toimii sitten esim. selaimen kautta tai muutoin hyvinkin automaattisena.

 

Tuo aiemmin mainitsemani DNS-palvelin on muuten juurikin Raspberry Pi3:lla pyörivä (piHole), jollaista myös @nistop tuolla kaavaili. Mainosten ohittelussa ja muutenkin on kuitenkin muistettava sellainen juttu, että ilman destination nat-määritystä reitittimellä voivat laitteet ohittaa tuon oman DNS:n liian helposti. Esimerkiksi osa laitteista saattaa käyttää defaulttina Googlen DNS:ää, eikä käyttäjä voi vaikuttaa tähän. Jos haluaa olla varma että DNS-liikenne ohjautuu vain ja ainoastaan piHole DNS:lle, pitää reitittimeen tehdä destination nat-määrittely siten, että reititin pakottaa kaiken DNS-liikenteen piHoleen, vaikka laite itse yrittäisi käyttää Googlen DNS:ää. Laitteen puolelta tuo näyttää siltä kuin siellä olisi Googlen DNS, eli reititin kääntää esim. kaikki 8.8.8.8 DNS:lle osoitetut kyselyt omalle DNS:lle ja myös vastaukset näyttävät tulevan osoitteesta 8.8.8.8, vaikka todellisuudessa siellä häärii piHole.

Vakiokalustoa

@SINADKiitos infosta! Tuo löytynee mistä tahansa täysiverisella ohjelmistolla varustetusta reitittimestä? Totesin, että täytyy lähteä rakentamaan tätä ikäänkuin ulkoverkosta ylöspäin jättäen tuon Raspberryn sitten viimeiseksi silaukseksi, koska nykylaitteilla en saa edes oletus DNS palvelimia vaihdettua koko verkon laajuisesti vaan jokaiselle laitteelle tulee tehdä määritykset itse. Nyt olen yrittänyt miettiä mikä on paras edistymistapa asiassa ja mietin josko menisi ihan palanen kerrallaan, eli hankkisi tyyliin edgerouterin ja sitten erillisen laitteen hoitamaan langatonta verkkoa jne.

Moderaattori

Tämä blogissa mainittu ilmainen webinaari järjestetään siis keskiviikkona 13.2. joten nyt on hyvä aika ilmoittautua mukaan!

Vakiokalustoa ☆☆

@nistop  kirjoitti:

 

 

Tuo löytynee mistä tahansa täysiverisella ohjelmistolla varustetusta reitittimestä?

En tiedä onko miten laajalti, mutta ainakin Ubiquitin Edgeroutereista löytyy. Näissä on pohjana Linux, joten vain oma mielikuvitus on rajana virittelyille. Sinänsä koko mainosfiltteröinninkin voisi rakentaa pelkän EdgeRouterinkin varaan, mutta mielestäni piHole on kätevämpi hallittava, kun siinä on jo defaulttina oma WebUI hallintaan. Valmiina jaettavissa blokkilistoissa kun näyttää usein olevan osoitteita, joihin pitäisi kuitenkin päästä tai jota ilman joku webbisivu ei toimi. Siksi piHole on helppo; loggaa vain sisälle, katsoo query logista mitkä osoitteet estettiin tietylle koneelle ja siinä on "whitelist" nappi, josta saa kätevästi kyseisen osoitteen sallittua. Vastaavasti voi myös blokata tiettyjä osoitteita ihan samalla tavalla.

 

Reitittimessä ei muutenkaan kannata ajaa sovelluksia, jotka generoivat runsaasti levylle kirjoittamista. Kovalevyähän ei reitittimissä oletuksena ole, vaan kaikki data kirjoitetaan flashiin. Niillä on rajallinen määrä kirjoituskertoja eli flash kuluu kun sitä kirjoitetaan. Kun se kuluu loppuun, menee koko laite vaihtoon ellei flashia voi vaihtaa. EdgeRouter litessä on kyllä järjestelmälevynä pieni USB-tikku laitteen sisällä eli sen voisi vaihtaa, mutta jos se pettää on oltava jossain imaget siitä, että voi perustaa uuden.

 

Myös piHolessa on sama juttu, mutta Rapsberry Pi käyttää MicroSD-kortteja, jotka ovat aika halpoja vaihtaa sitten, kun tulevat aina tiensä päähän. Itse olen ajanut loppuun jo kaksi MicroSD-korttia RaspberryPi-laitteissa ja niinpä tuo piHole DNS on rakennettu iSCSI-bootin varaan eli MicroSD:llä on pelkkä bootloader ja sen jälkeen systeemilevy mountataan levypalvelimelta iSCSI:n kautta, jolloin kaikki kirjoitus menee sinne, eikä kuluta MicroSD-korttia. Mulla on tämä iSCSI-järjestely nyt käytössä jo useammassa laitteessa, joissa on runsaasti levyllekirjoittamista. Kyseinen bootloader löytyy nimellä Berryboot ja monet NAS-laitteet tarjoavat iSCSI-palvelua, joka on todella helppo laittaa käyttöön.

Vakiokalustoa

@SINADKiitos taas, tuossa tuli taas hyvin tietoa ja vakuutuin nyt että Edgerouter on se oikea lähtökohta tähän hommaan Hymiö Onnellinen

Vakiokalustoa ☆☆

Jep, Itse pidän Edgeroutereissa ennen kaikkea niiden rautakiihdytyksestä, eli ne toimivat esimerkiksi gigaisessa kuidussa hidastamatta nettiä yhtään, vaikka olisi varsin monimutkaisiakin palomuurisääntöjä laitettuna tai useampi lähiverkko reititettävänä. Tämän näkee siitä ettei reitittimen CPU-kuorma nouse juuri yhtään, vaikka siitä painetaan täysillä dataa läpi.. Hymiö Onnellinen

 

Laitteissa pyörivä EdgeOS tarjoaa periaatteessa kaikkien olennaisten asetusten säätömahdollisuuden webbiselaimella, mutta jos intoa ja osaamista riittää niin voi ottaa ssh-yhteyden ja sieltä sitten löytyy se Linux-puoli. Sinne saa Debianin repositoryt käyttöön helposti, jonka jälkeen voit asentaa vaikka mitä ohjelmistoja vaikkapa verkon liikenteen laajaan diagnostiikkaan. Tosin EdgeOS sisältää jo oletuksenakin DPI (Deep Packet Inspection) -toiminnallisuuden, joka pystyy tunnistamaan verkossa olevien koneiden harjoittamaa liikennöinitä jossain määrin. Näkee esimerkiksi Facebookit, YouTubet tms. käyttäjän tekemiset valmiilta listalta liikennemäärineen ja niitä voi jopa rajoittaa tarvittaessa.. Hymiö Onnellinen

 

Alkuperäiseen aiheeseen eli tietoturvaan liittyen on myös mahdollista conffata maakohtaisia IP-alue whitelisteja, mikäli haluat pitää palvelimia omassa tai lähipiirin käytössä. Pääsyn voi sallia esimerkiksi ainoastaan suomalaisista IP-osoitteista. Havaintojeni mukaan pelkästään tällainen rajaus pudotti kaikenlaisten hakkerointiyritysten määrän minimiin verrattuna siihen, jos annetaan pääsy koko maailmalle - silti voi edelleen itse käyttää noita etänä suomen sisältä joko mobiililaajakaistalla tai esimerkiksi hotellin nettiyhteydellä.

Moderaattori

Oliko joku eilen 13.2.2019 webinaarissa linjoilla? Mitä tykkäsit? 

Olipa älyttömän kattavaa ja painavaa asiaa sekä kotien, että yritysten kannalta! Webinaarissa jutellaan mm. kriittisistä toiminnoista ja tietoturvasta IoT-laitteiden yleistyessä - mm. ihmisen terveyden ja turvallisuuden kannalta. Itselle päälimmäisenä jäi mieleen, että yllättäen Ikean älylamppujärjestelmä on ehkä parhaiten toteutettu kuluttajien markkinoilla oleva IoT-systeemi. Ja  koska se on sellainen, on siitä tullut myös Ikean brändiin vaikuttava tekijä. Mikä siitä tekee hyvin toteutetun, se selviää keskustelusta. Tietoturva ei siis ole pelkästään liiketoiminnan jatkuvuuden kannalta tärkeä tekijä, se vaikuttaa myös mielikuviin yrityksen luotettavuudesta ja ihan suoraan brändiin. 

Herättelevää oli minusta myös jutut pilvipalveluista ja siitä, että niin kuluttajien kuin yritystenkin kannattaa olla niitä käyttäessään hereillä palveluntarjoajan taustoista ja kenties myös muutoksista niissä. Palvelu ja sen tarjoaja voi muuttua elinkaarensa aikana, samalla voi muuttua moni tietoturvaan liittyvä asia. 

Jos webinaari jäi väliin, niin ei hätää! Tallenne löytyy meidän webinaaritallenteista - ole hyvä!
Kommentoikaahan alle ajatuksianne, joita webinaari herätti.