Tietoturva nousee aina välillä uutisiin, etenkin kun jälleen keksitään uusi haittaohjelma joka saadaan leviämään räjähdysmäisesti koneelta toiselle. Verkkopankeista varastetaan rahaa ja käyttäjätiedot vuotavat nettiin. Sähköposti täyttyy epämääräisistä nigerialaisista prinsseistä ja turhankin hyvistä tarjouksista. Lista vain jatkuu ja jatkuu.

Tehdään nyt ensimmäisenä pari asiaa selväksi. Ensinnäkään hakkerit eivät ole pahoja, vaan ne jotka käyttävät osaamistaan oman edun tai toisen haitan tavoitteluun, ovat krakkereita. Hakkeri tarkoittaa henkilöä, joka pystyy tietotekniikan parissa saavuttamaan haluamansa esteistä ja rajoituksista huolimatta, eli saa aikaan asioita joita pidetään mahdottomina kunnes toisin todistetaan. Krakkerit ovat hakkereita, jotka käyttävät osaamistaan siten, että siitä muodossa tai toisessa muodostuu haittaa jollekulle. (Krakkeri joka ei ole hakkeri, ei ole myöskään krakkeri vaan kyseessä on tällöin script-kiddie, eli henkilö joka ilman sen parempaa osaamista käyttää muiden luomia työkaluja haittatyöhön)

Toisekseen, internetissä liikkuminen ei ole sen vaarallisempaa kuin kadullakaan liikkuminen kunhan pitää järjen mukana ja miettii edes hetken tekojaan. Samalla tapaa kuin kadulla kohtaamasi mies myy povaristaan sinulle "aitoa" Rolex-kelloa epäilyttävän halvalla, kannattaa harkita tilannetta kun netissä kohtaa jälleen yhden mainoksen jossa uutuuspuhelimen saa mukamas eurolla. Ainoa ero on, että kadulla saat itsellesi halvan kopion josta maksoit ylihintaa, netistä et saa edes puhelimen kuoria vaan luovutat pankkitietosi jollekulle tuntemattomalle.

Huijaus (Online scam)

Klassisin esimerkki perinteisestä huijauksesta on ns. Nigerialaiskirje. Tässä lähetetään sähköpostilla avunpyyntö vastaanottajalle, jossa pyydetään auttamaan kirjeen kirjoittaja eli nigerialainen prinssi hädästä siirtämällä rahaa tämän ulkomaalaiselle tilille. Tietenkin tämä avunanto huomioidaan avokätisesti ja tilanteen ratketessa auttajalle tullaan siirtämään huomattava summa rahaa.

Variaatioita on tullut mieletön määrä (kuten lotot joihin et muista osallistuneesi yms) ja kaikissa näissä on sama teema, lähetät rahaa ja saat takaisin huomattavasti suuremman summan kiitoksena. Odotan vieläkin ensimmäistä uutisointia ihmisestä joka oikeasti olisi näin tienannut rahaa.

(Sivuhuomautuksena tähän kohtaan, että oma suosikkini netin huijauksista on ollut "Onko luottokorttisi tiedot varastettu? Syötä tiedot tähän ja järjestelmä kertoo alle minuutissa ovatko luottokorttisi tiedot joutuneet vääriin käsiin"-tyylinen huijaus. Kyseinen huijaus oli niin selkeä ja tökerö, että siitä oikeastaan oli jo pakko pitää koska se oli niin lapsenkaltaisen suloinen :D )

Roskaposti

Heittämällä yleisin tietoturvarikos on roskaposti. Tällä tarkoitetaan massamainontaa, missä vastaanottajalta ei ole suostumusta saatu. Tätä ei siis tule sekoittaa normaaliin mainospostiin, jota tosin saattaa monesti lähes tietämättään tulla tilanneeksi. Roskaposti sisältää laidasta laitaan mainoksia, ehkä tunnetuimpina on Viagra-mainokset.

Optimististen arvioiden mukaan joka neljäs sähköposti on roskapostia ja pessimistisempien arvioiden mukaan yhdeksän viestiä kymmenestä lukeutuu roskapostiin. Määrä on siis järjettömän suuri ja valitettavan kannattava, roskapostiviestin pohjalta ostaessa tulee aina kuitenkin tukeneeksi rikollista toimintaa. Koska toiminta on lähestulkoon ilmaista, on voitot kovat vaikka tuotteita myydään pienemmällä katteella. Ja kyllä, ihmiset ostavat näiden mainosten pohjalta tuotteita...

Tietojen kalastelu (Phishing)

Tietoja kalastellaan siinä toivossa, että saataisiin käsiin etenkin luottokorttitietoja. Myös salasanat ja yrityssalaisuudet ovat kohteena kun lähdetään kalastelemaan. Yksinkertaisimmillaan tietoja voidaan kalastella väittämällä esimerkiksi ilmaissähköpostin olevan vaihtumassa uudeksi versioksi ja jotta sähköpostisi jatkossakin toimii, tulee sinun vastata käyttäjätilisi tiedoilla (mukaanlukien salasanalla) tuohon viestiin, joilla tiedoilla varmistetaan että tili on vielä käytössä.

Ensimmäinen sääntö näihin liittyen on: ÄLÄ IKINÄ LUOVUTA SALASANAASI KENELLEKÄÄN INTERNETISSÄ!

Älä kerro salasanaasi milloinkaan kenellekään etenkään internetissä. Salasanoja ei kannata kertoa edes kavereille tai sukulaisille, vielä vähemmän kenellekään kenen kasvoja et voi edes nähdä. Tähän sääntöön ei myöskään ole poikkeuksia, ei vaikka kuinka aidon näköisellä viestillä kuka vain kyselee salasanaasi, ei vaikka kuinka akuutti, kiireellinen ja kriittinen tilanne on. Piste.

Doxaus (Doxing)

Sana juontaa juurensa englanninkielen sanasta documents ja sillä tarkoitetaan toimintaa, missä henkilön tietoja kerätään kaikin mahdollisin tavoin, jonka jälkeen nämä tiedot jaetaan julkisiksi. Tällöin rikotaan yksityisyydensuoja ja pahimmillaan aiheutetaan isompaakin vauriota henkilökohtaiseen elämään.

Esimerkiksi terrori-iskun tekijöitä saattaa kotisalapoliisit yrittää tunnistaa ja jakaessaan oman epäiltynsä identiteetin verkkoon, he tekevät tästä suoraan kohteen vihaiselle väkijoukolle. Doxaamista käytetään myös aseena taisteltaessa joko valtiovaltaa vastaan tai poliittisella kentällä voidaan myös koittaa hiljentää arvostelijoita jakamalla näiden tietoja julki.

Kotimaisella kentällä mm. MV-lehti on doxannut kohteita jotka sotivat lehden lukijoiden kantaa vastaan, jonka seurauksena on esimerkiksi laittoman uhkauksen tunnusmerkit täyttyneet puhtaasti.

Suorat ja epäsuorat hyökkäykset
 
Sitten voidaankin käsitellä niitä hyökkäyksiä mitä ihmiset yleensä pelkäävät ja harva oikeasti joutuu kohteeksi. Suoralla hyökkäyksellä siis tarkoitan tapausta, jossa kohteeksi valitun henkilön käyttäjätilille, verkkopankkiin, tietokoneeseen tai vaikkapa sähköpostiin murtaudutaan tarkoituksellisesti. Näillä tiedoilla saadaan suora hyöty tekijälle ja/tai haitta uhrille.
 
Massahyökkäyksessä murtaudutaan palveluntarjoajan (kuten verkkopankki tai sähköposti) palvelimille ja kaapataan kaikki käsiin saatavat tiedot. Näitä voidaan yksittäin tai massana hyödyntää tai vaihtoehtoisesti myydä koko tietokanta eniten tarjoavalle, joka tekee näillä teidoilla mitä haluaa. Massahyökkäys on siis suora hyökkäys myös osaltaan, mutta yksittäisen henkilön, firman tai järjestön sijaan keskitytään palveluntarjoajaan.

 Yksittäiseen henkilöön kohdistuvia hyökkäyksiä on muunmuassa (samoja voidaan myös käyttää palveluntarjoajiin yleensä):

DDoS (Distributed denial-of-service)

- Näissä hyödynnetään "zombeja" eli tietokoneita sekä älylaitteita joihin on saatu ujutettua haittakoodia

- Hyökkäyksessä koko zombiarmeija lähettää viestejä kohteelle, tukkien tämän liikennöintiyhteydet ja pahimmillaan kaataen järjestelmät

- DDoS hyökkäyksellä on saatu Suomessa suljettua Ylen toiminta hetkellisesti ja maailmalla pahimmillaan suljettu kokonaisen valtion tietoliikenne

Mies välissä (Man in the middle)

- Kohteena yleensä yrityssalaisuudet

- Tekijä ujuttautuu kahden henkilön väliseen keskusteluun salakuuntelemaan

Tietomurto (Security breach)

- Tämä on se, mitä yleensä ihmiset eniten ovat pelänneet kun puhutaan hakkereista (tämäkin siis oikeasti on krakkeri, tarkemmin ottaen black hat hacker)

- Tietojärjestelmään tai tietokoneeseen murtaudutaan ilman käyttöoikeutta käyttäjätietoihin joilla kirjaudutaan ja/tai ohitetaan luvattomasti kirjautuminen

- Tarkoituksena yleensä joko varastaa tietoa tai aiheuttaa vahinkoa kuten internetsivujen muokkaus omistajalle haitalliseksi (website defacement)

Keylogger

- Haittaohjelma jolla tallennetaan tietokoneelta näppäinten (ja mahdollisesti hiiren) painallukset

- Vaatii haitallisen ohjelman toimiakseen, näitä yleensä välitetään muunmuassa roskapostin liitetiedostojen mukana

Rootkit

- Piilohallintaohjelmisto jolla voidaan mahdollistaa muiden hyökkäysten ujuttaminen järjestelmään

- Monesti sisältää takaoven tietokoneelle, jonka kautta voidaan tehdä lähestulkoon mitä halutaan saastuneelle järjestelmälle

- Tunnetuin rootkit-haitake on Sonyn käsialaa vuodelta 2005, jolloin Sony asennutti rootkitin CD-levyn mukana toimitetulla ohjelmistolla käyttäjien tietokoneille valvoakseen tekijänoikeuksiaan

Valitettavasti haittaohjelmia ja hyökkäyksiä on niin paljon, että niiden kaikkien listaaminen tähän ei ole millään muotoa järkevää. Tuossa yllä on listattuna muutamia yleisimmistä konsteista joita krakkerit käyttävät. Lisää tietoa löytyy pilvin pimein internetistä, mm. Wikipediasta (etenkin englanniksi) löytyy kattavasti tietoa erilaisista hyökkäyksistä sekä haittaohjelmista.

Sniidun spesiaali

Tällä kertaa säästövinkkinä on ajantasaisen virustorjunnan sekä palomuurin hankkiminen (esimerkiksi Windows-käyttöjärjestelmän mukana tulee molemmat ja molemmat kannattaa korvata kaupallisilla palveluilla). Jos haluaa suosia kotimaista ja samalla panostaa laatuun, molemmat onnistuvat F-Securen tietoturvalla. F-Secure on vuosien saatossa ollut monesti etunenässä lyömässä uusia viruksia ja haittaohjelmia pois pelistä ja F-Securen tietoturva-asiantuntijat ovat monesti haastateltuina ulkomaisissa julkaisuissa ammattitaidon vuoksi. Halvin vaihtoehto ei ole kyseessä, mutta ainakin henkilökohtaisesti valitsen mieluummin tietoturvan kuin parin euron säästön kuussa. F-Secure tarjoaa tietoturvan myös mobiililaitteille, joka on ehdottomasti suositeltava vaihtoehto mikäli älypuhelimella tai tabletilla käyttää verkkopankkia tai muuten käyttää pankkitunnuksia (mukaanlukien PayPal ja vastaavat palvelut) tilauksiin. Säästövinkin tästä tekee se, että kunnollisella tietoturvalla varustettuna on huomattavasti epätodennäköisempää että esimerkiksi pankkitunnukset joutuisivat vääriin käsiin. Parhainkaan tietoturva ei kuitenkaan suojaa tyhmyydeltä, joten kannattaa aina miettiä mitä on tekemässä kun astuu internetin syövereihin.

Loppusanat

Todennäköisesti et ikinä joudu suoran hyökkäyksen kohteeksi elämäsi aikana, mutta siitä huolimatta kannattaa suojautua kun liikkuu internetissä. Vielä tärkeämpää on pysähtyä miettimään, mitä on tekemässä. Esimerkiksi Facebook on täynnä kaikennäköisiä hupailutestejä joiden tuloksia jaetaan kavereiden iloksi ja riesaksi. Oletko koskaan miettinyt, minkä vuoksi tämän kaltainen sivu on olemassa; kuka maksaa palvelimen ylläpidon, kuka ostaa ja maksaa vuosimaksut nettisivun osoitteelle, kuka maksaa koodarille joka tekee testin? Todennäköisesti niillä mainoksilla, joita noilla sivuilla pyörii, ei kuitenkaan mitään suuria summia saada aikaiseksi rahaa vaan enemmänkin ollaan kiinnostuneita käyttäjien tiedoista, jotka saadaan kun käyttäjä hyväksyy kirjautumisen sivulle tai vaihtoehtoisesti nämä tiedot saadaan jo siinä kohtaa kun sivulle saavutaan Facebookin kautta.

 

Hakkeri, ei krakkeri,

Elektronikkari