Skip to main content



 



 



"Wanhaan hyvään aikaan" tietoturvaksi saattoi riittää ns. turvallinen surffaus, eli kunhan katsoi että millä sivustolla surffaili ja vältteli epämääräisten linkkien klikkailua niin kaikki ok ja oli turvassa viruksilta ja erilaisilta madoilta. Tänä päivänä tämä ei kuitenkaan riitä.



 



Case-esimerkki:

Suomessa(kin) on paljon erilaisia pienempiä ja isompia saitteja jotka käyttävät tiettyjä julkaisualustoja (keskustelufoorumeita, blogeja ja muita sivustoja). Voi olla, että käyttämäsi luotettavan ja tunnetun saitin julkaisualustasta on löydetty tietoturva-aukko. Ja tätä aukkoa ei olla vielä paikattu, ja/tai saitin ylläpito ei ole vielä päivittänyt alustaa uuteen versioon, jossa aukko on paikattu. Jo pelkästään meneminen tällaiselle nettisivulle 
voi tuoda haittaohjelmia laitteellesi jos hakkerit ovat kerenneet hyödyntää tätä suojaamatonta alustaa ja sen tietoturva-aukkoja.



 



Viestintävirasto tiedottaa sivuillaan:



 



"Suomessa yleisesti käytössä olevat julkaisujärjestelmät Wordpress ja Joomla ovat verkkorikollisille houkuttelevia kohteita muun muassa haittaohjelmien levitystarkoitukseen. Julkaisujärjestelmiin kohdistuu jatkuvasti hyökkäyksiä automatisoiduilla työkaluilla. Mikäli verkkorikolliset löytävät haavoittuvan julkaisujärjestelmän, valjastetaan se haitalliseen tarkoitukseen.



 



Murretulle verkkosivustolle lisätään haitallinen uudelleenohjaus, joka pahimmillaan johtaa sivulla vierailevan käyttäjän laitteen saastumiseen haittaohjelmalla. Erityisesti tietoja salaavat kiristyshaittaohjelmat, kuten Cryptowall ovat rikollisten suosiossa."



 



Saittien käyttäjänä et voi tietää onko foorumin päivitykset ajan tasalla, pääsääntöisesti tottakai ovat mutta onko kaikki/kaikkialla niin se on eri asia. Wordpress on suosittu julkaisujärjestelmä ja Suomestakin löytyy jopa niinkin isoja Wordpress-pohjaisia saitteja että niissä on jopa 200 000 kävijää viikossa = jos alusta ei ole päivityksien suhteen ajan tasalla se voi tarkoittaa pahimmassa tapauksessa 200 000 saastunutta tietokonetta/viikko. Ja tämä siis vain pelkästään Suomessa.



 





 



Toinen case-esimerkki on vanhentunut internet-selain. Jos sinulla on jo iäkkäämpi tietokone ja siinä on Internet Explorer 10 tai jopa vielä vanhempi versio niin näihin Microsoft ei enää tarjoa päivityksiä. Selaimet kyllä toimivat jatkossakin mutta näitä vanhentuneita selaimia ei enää kehitetä eikä niissä mahdollisesti olevia tietoturva-aukkoja paikkailla joten surffailu vanhentuneella selaimella on luvallasanoen edesvastuutonta.



 



Sen lisäksi, että oma tietokoneesi saastuu ja se tuo ongelmia sinulle itsellesi, samalla voi tulla ongelmia muillekin mm. sen takia että koneestasi voidaan tehdä esimerkiksi roskapostien massapostittaja tai tietokonettasi voidaan käyttää palvelimena erilaisiin internetissä tapahtuviin hyökkäyksiin ja niin edelleen.



 



Tiedote Viestintäviraston sivuilla ja ohje mm. siihen miten voit tarkistaa mikä selainversio sinulla on käytössäsi --> linkki.



 



---



 



Vaadi siis, että saittien joissa surffailet, julkaisualusta on ajan tasalla. Ja tämä vastuu kuuluu niiden ylläpitäjille, esimerkiksi foorumin ylläpitäjälle. Ja jos tietokoneellasi on Internet Explorer 10 tai vanhempi selain niin päivitä se joko uudempaan versioon tai hanki jopa kokonaan uusi tietokone. Uudesta tietokoneesta on usein myös muuta hyötyä, tekniikka kehittyy ja laitteet nopeutuvat ja niin edelleen 🙂 Ja huolehdi että laitteidesi päivitykset ovat ajan tasalla.



 



Muistathan, että voit suojautua netissä olevilta uhilta myös muilla keinoin. Sonera Turvapaketti suojaa laitteesi ja se huolehtii että tietoturva on laitteessasi ajan tasalla.



 



Voit tilata oman Sonera Turvapakettisi täältä.



 



EDIT:



 



1) Vaihdettu foorumi laajemmaksi käsitteeksi --> julkaisujärjestelmä



2) Lisätty esimerkkilukuja suosituista saiteista Suomessa



3) Muokattu otsikko, Tietoturva 2016 --> Tietoturva nyt

Tässä ei kerrottu vielä tärkeää asiaa eli kirjautuessa foorumille tai muualle verkkopalveluun että on käytössä HTTPS salaus eli vihreä lukkokuvake pitäisi näkyä selaimessa. Tämä takaa salaatun yhteyden käyttäjältä verkkosivustoon. Toki tässäkään ei ole apua jos foorumin sovellus on vanhentunut sillä palvelinmen päässä on tärkeä olla kaikki kunnossa.



 



Esimerkiksi Soneran Klaanissa on HTTPS käytössä kun kirjaudut Klaaniin. Tämän voit varmistaa aina lukkokuvakkeesta. Jos kirjautuessasi tulee virhe varmenteesta niin tulee heti ottaa yhteyttä sivuston ylläpitäjään. Virheilmoituksen syynä voi olla vanhentunut varmenne tai sitten että olet oikeasti väärässä sivussa. Tämä tietenkin on sivuston ylläpitäjän vastuulla ja aina on hyvä ilmoittaa tietoturvapoikkeamat sivuston ylläpitäjälle. 



 



Tietoturvan kannalta on hyvä poistaa turhat liitännäiset kuten Java, Silverlight ja Flash selaimelta käytöstä jos näitä ei tarvita ja ottaa käyttöön vain tarvittaessa. 



 



----



 



Toistaiseksi Suomessa on paljon foorumeita joissa ei ole https ollenkaan tai ei oletuksena käytössä edes kirjautumisen yhteydessä. Yleensä raha ei kyllä voi olla kyseessä koska varmenteita saa nykyään ilmaiseksi, esimerkiksi Let's Encrypt.  Yksi ongelma on sivuston ylläpitäjän laiskuus, osaamattomuus tai muuten vain välinpitämättömyys. 



 



---



 



Edelleenkin toimii pitkälle ettei klikkaa linkkejä mitä tulee eteen ja sähköposteista ei lataile liitetiedostoja tuntemattomilta lähettäjiltä. Aika vähän väärennettyilä osoitteilta tulee sellaista materiaalia. 



 



---



 



Suosittelen luopumaan Internet Explorer selaimesta kokonaan. Maailmalla on luotettavia selaimia liikkeellä niin monta että valinnan varaa on. Yleensä Explorer selain jää kotikäyttäjän osamattomuuden takia.



 


Olen kirjautuneena Klaaniin ja osoiterivillä on pelkkä http! (???)

http://klaani.sonera.fi/t5/Blogi/Tietoturva-2016-ei-ole-olemassa-turvallista-surffausta/ba-p/118309

 

Selaimeni on tämä Win10:n Edge.

 

 

Edit: Chrome-selaimella osoiterivillä on nyt

http://klaani.sonera.fi/t5/forums/editpage/board-id/blog/message-id/1409

 

Eikä lukonkuvia näy missään!


Klaanin sivut eivät oletuksena ole https mutta käyttämällä https everywhere laajennusta voit käsin uudelleenohjata salatulle sivulle https://klaani.sonera.fi . Kirjautumisen tapahtuu kyllä https yhteydellä. Kirjautumisen tunniste on istuntoina joten semi turvallista vielä on. Tokihan suositus nykyään olla sivuilla HTTPS aina käytössä kun se ei maksa mitään. Vastaavasti useilla foorumeilla ei ole kirjautumisen salatuilla yhteyksiä ollenkaan!


 kirjoittikin hyvin, lisään vielä sen että foorumin ja blogin puolella ei ole salausta mutta tosiaan kirjautumisessa on ja jos menet katsomaan/muokkaamaan oman profiilisi asetuksia eli henkilökohtaisia tietojasi niin siellä yhteys on myös salattu. 


Tietokoneessa on Win 10.1 Pro ja sisältää ilmaiset Microsoftin turvaohjelmat. 

 

Tabletissa ja kaikissa kännyköissä  on TrustGo  turvaohjelma. 


Soneran turvapaketti ollut nyt maksuttomassa koe käytössä (vuoden?) ajan, ihan pätevältä se vaikuttaa mutta eiköhän noilla Microsoftin ilmasillakin pärjää jos järkeä käyttää.


Päivitetäänpä blogiin tieto että Klaanissa on tänä päivänä kaikki liikenne salattua, siis myös muutkin osiot kuin vain ne joissa käsitellään käyttäjän henkilökohtaisia tietoja.



 



Muutos on tehty jo aikoja sitten mutta ajattelin kuitenkin sen kertoa koska siitä on keskustelua tämän blogin kommenteissa :)


Vastaa