Taulukauppiaat kyberavaruudessa [reblog]

Tämä on rebloggaus ruotsalaisen turpobloggaaja Wisemanin erinomaisesta merkinnästä maaliskuun alusta, koskien verkossa suoritettavaa sotilashenkilöstöön kohdistuvaa tiedustelua. Tämä liittyy aikaisempiin merkintöihini tietoturvasta ja kyberavaruuden tilanteesta Ukrainaan littyen, jota suosittelen lukemaan tämän yhteydessä. Käännös virheineen on minun.

Sodan ajan juliste: Sinuakin vaanii vakooja.

Sinuakin vaanii vakooja. Pommit ovat tosin muuttaneet muotoaan, mutta ne löytävät tarkemmin juuri Sinun kotiisi.


Maaliskuun 2. päivänä 2014 Wiseman kirjoitti:

Tämä ei ole sellaista, jota tavanomaisesti käsittelisin netissä, mutta tapa on arvioni mukaan paras ja nopein saada ihmiset heräämään ja ajattelemaan ja estämään toimijaa pääsemään käsiksi haluamaansa tietoon.

Twitterissä on päivän mittaan kohdistettu tiedustelua tileihin, joiden voidaan olettaa kuuluvan ruotsalaiselle sotilashenkilöstölle. Menetelmänä on ollut yhteydenotto tilin haltijaan sellaiselta tilitä, jonka esitetään kuuluvan henkilölle, joka on kiinnostunut palveluksesta valtiolla (ei normaalia ruotsalaiselle haluta yleisesti valtion palvelukseen, ruotsalainen puhuu useimmin tietystä ammatista). Päästyään yhteydenpitoon suoraviestinnällä (Direct Message, DM, käänt. huom.) [toimija] on kysynyt muista tileistä ja yhteydenoton kohteen työtehtävistä. Tällainen asia nostaa toivottavasti niskakarvat pystyyn. Vastapuolen huomattua ettei pääse mihinkään on tili poistettu.

Menetelmää on käytetty useampaa henkilöä kohtaan ja sitä tultaneen eri muodoissa kokeilemaan useampaan henkilöön myös muissa sosiaalisissa medioissa. Nämä ovat nykypäivän taulukauppiaita, jotka matkaavat kyberavaruudessa polkupyörän asemesta.

Eri toimijoilla on suuri kiinnostus Ruotsin [ja etenkin] puolustusvoimien tekemisiä kohtaan tämänhetkisten maailman tapahtumien keskellä. Olkaa siis tarkkana.

Miettikää myös Försvar och Säkerhetin [alla olevaa otetta] perjantaisesta merkinnästä, koskien tilanteen kehittymistä viikonloppua kohden:

Muita uusvanhoja tapoja voivat olla propagandistiset aineistot, jotka perustuvat perinteiseen hyvään tiedusteluun. Ilman omia teknisiä todisteita haluan tähdentää, että puhelinkeskusteluiden nauhoitukset, joita olemme viime aikoina kuulleet edistävät venäläisiä intressejä. Victoria Nulandin keskustelu Yhdysvaltain lähettilään kanssa Kiovassa ja siinä esiintyneet johtavien poliitikkojen arvostelut ja EU:n herjaaminen ovat pidemmmällä tähtäimellä [vahingollisia] EU:lle ja Yhdysvalloille.

[Turkin pääministeri] Erdoganin salattuun puhelimeen kohdistunut aidolta vaikuttava nauhoitus, jossa siis Erdogan ohjeisti poikaansa kätkemään rahoja, lienee myös jonkin kyvykkään toimijan tekemä.

Turkin pääministerin aseman heikentäminen tässä tilanteessa edistää venäläisiä intressejä, koska Turkki näkee krimintataarit suojatteinaan. Tämä käy ilmi Turkin ulkoministeri Ahmet Davutoglon eilisestä lausumasta.

Siksi haluan päättää vetoamalla kansanedustajiimme, valtioneuvostoon ja keskeisessä ulko- ja turvallisuuspoliittisissa asemissa oleviin valtion virkamiehiin:

Älkää puhuko puhelimessa salaisista asioista, näihin luetaan myös yksityiset arviot. Älkää myöskään lähettäkö näitä arvioita ja käsityksiä sähköpostitse. Etumme voivat vaarantua, ihmiset altistua uhille ja saatat kuulla äänesi BBC:n lähetyksessä. Informaatiosodankäynti raaistuu ja toisella puolen Itämerta on käynnissä voimakas varustelu.


Kommentti (James): Sanomattakin lienee selvää, että vastaavanlaisia yrityksiä on myös kohdistettu Suomen puolustusvoimien henkilöstöön. Tietoisuudesta tulee ongelma vapaa-ajan ja työajan erottelun takia ja uskon, että kynnys ilmoittaa vapaa-ajan ja sosiaalisen median piirissä tapahtuvasta toiminnasta on korkea, johtuen etenkin organisaation ambivalentista suhtautumisesta sosiaaliseen mediaan.

Pelko pois! Jos Sinua lähestytään kyberavaruudessa, niin ilmoita asiasta esimiehellesi. Tutkintaosasto tarvitsee näitä ilmoituksia ja tietoja voidakseen suojella henkilöstöään. Asia ei pelkästää koske palkattua henkilöstöä – myös reserviläisiä urkitaan. Alla lyhyt kommentti maanpuolustus.net -foorumin ylläpidolta:

Kommentti (maanpuolustus.net): ”Murtautumiseen käytetyt tavat ovat olleet laidasta laitaan, suoraan palvelimeen kohdistuvaa tai käyttäjiin kohdistuvaa. Yleisin tapa taitaa olla sähköpostiin tulevat kohdistetut viestit ja haavoittuvien ohjelmistojen kaivelu palvelimelta. Käyttäjiin on myös kohdistettu ihan siviilielämässä erinäisiä lähestymisiä koskien arkaluontoisia tietoja, tästä soisi saada viestiä vähän useammin ylläpitoon. Tietojen kaivelun aktiivisuuteen vaikuttaa varmasti kohteen mielenkiintoisuus ja kohderyhmä, meidän tapauksessa kohderyhmä ja käyttäjät ovat varmasti sieltä mielenkiintoisemmasta päästä tiettyjen tahojen simillä katsottuna ja sen kyllä välillä huomaakin.”

Kommentti (James): Reserviläinen! Osaat pysyä vaiti maanpuolustuksen asioista, mutta muista myös ilmoittaa tietojen kalastelusta ja havaitsemistasi uhista!

Reblog: Inhämtning genomförs

Detta är en reblog av Wisemans förträffliga inlägg från 2 mars gällande inhämtning som bedrivs på nätet mot militär personal. Jag återger detta i sin helhet. Läs gärna mitt tidigare inlägg om datasäkerhet.

Addenda: Kommentar av mig och administratören för maanpuolustus.net tillförd i slutet.


Den 2 mars 2014 skrev Wiseman:

Detta är inget jag normalt sett skulle ta på nätet, men detta är bedömt det bästa och snabbaste sättet att få folk att vakna och tänka efter och förhindra att aktören får den information man är ute efter.

På Twitter har under dagen bedrivits inhämtning mot svenska konton som får antas innehas av svensk militär personal. Arbetsmetoden har varit att man kontaktar kontoinnehavaren från ett konto som presenteras som någon som är intresserad av att få ”statlig anställning” (ej normal svensk strävan att bara allmänt jobba i staten. En svensk talar oftast om ett yrke) för att sedan när kontakt via direktmeddelande kunnat upprättas, ställa frågor om andra konton och vad den personen bakom kontot jobbar med. Bara en sån sak får ju förhoppningsvis nackhåren att resa sig. När motsidan märker att man inte kommer någon vart avregistreras senare kontot.

Metoden har använts mot flera personer och kommer därför sannolikt att prövas flera i en eller annan variant och även på andra sociala medier. Det är samtidens tavelförsäljare, men i cyberrymden istället för på cykel.

Det finns ett stort intresse från andra aktörer i vad Sverige gör och inte minst den svenska Försvarsmakten med tanke på vad som nu sker i omvärlden. Var vaksamma.

Betänk gärna också Försvar och Säkerhets rader från i fredags i inlägget om upptakten till det vi nu sett i helgen:

Andra nygamla grepp kan vara propagandistiska inslag baserad på sedvanlig god underrättelsetjänst. Utan egna tekniska bevis vill jag framhålla att de inspelningar av telefonkonversationer vi hört den senaste tiden gynnar ryska intressen. Victoria Nulands samtal med den amerikanska ambassadören i Kiev med sina recensioner av ledande politiker och invektiv mot EU förlorar USA och i förlängningen också EU på.

Likaså måste någon med hög kapacitet knäckt Erdogans kryptotelefon när han instruerar sin son att gömma pengar i en inspelning som verkar vara äkta.

Att den turkiske premiärministern försvagas i detta läge gynnar ryska intressen, eftersom Turkiet ser Krimtatarerna som sina skyddslingar. Något som framgår av den turkiske utrikesministern Ahmet Davutoglo’s uttalande igår.

Så därför vill jag sluta med en vädjan till våra folkvalda, statsråd och regeringstjänstemän med viktiga befattningar i försvars- och utrikespolitiken med tanke på skeendet och Försvarsberedningens överläggningar.

Tala inte i telefon om svenska angelägenheter som är hemliga, dit räknas även kvalificerade, privata bedömningar. Skicka inte dessa uppfattningar eller uppgifter på mail heller. Våra intressen kan skadas, människor kan utsättas för risker och du kan få höra din röst på BBC. Informationskriget blir alltmer brutalt och på andra sidan Östersjön pågår en våldsam upprustning.

Bild: AntePH?


Kommentar (James): Det står klart att motsvarande inhämtning bedrivits mot personal i Finlands försvarsmakt. Medvetenhet om dessa blir något av ett problem då vi så strikt skiljer fritid och arbete. Jag påstår att tröskeln för att meddela händelser som sker privat i sociala medier är för hög, mycket tack vare försvarsmaktens ambivalenta inställning till verksamhet i sociala medier.

Om Du kontaktas i ”cyberrymden” och det ens på något sätt liknar inhämtning, så ska Du meddela Din förman. Vår undersökningsavdelning behöver dessa uppgifter för att kunna skydda sin personal, Dig och mig, alltså. Det bör dock noteras att inhämtning också riktas mot reservister. Nedan en kort kommentar från försvarsforumets maanpuolustus.net administratör:

Kommentar (maanpuolustus.net): ”Metoder som använts för intrångsförsök har varierat stort, från direkta angrepp på servvern till angrepp mot användare. Det vanligaste sättet verkar vara meddelanden per e-post och försök att hitta sårbar programvara på servern. Användare har även utsatts för inhämtning av känsliga uppgifter i civila livet, vilket man skulle önska att bättre kom till administatorns kännedom. Aktiviteten kring inhämtning påverkas säkert av intresse och målgrupp, i vårt fall är målgruppen och användarna av det mera intressanta slaget från vissa aktörers perspektiv, vilket man ibland väl märker.” (min översättn.)

Kommentar (James): Bäste reservist! Du kan hålla truten om försvarsärenden, men kom även ihåg att meddela om inhämtning och andra hot Du upptäcker!

Tankar om datasäkerhet

Med anledning av mitt föregående inlägg (på finska) så vill jag ge mina läsare lite att tänka på angående datasäkerhet. Först i orderform ett par grundsaker med förklaringar, som förhoppningsvis alla är medvetna om (?) och sedan en liten lista över vardagliga saker som jag tycker Du ska se över och sätta i skick i Ditt digital liv.

Du skall icke upprepa Dig

Använd aldrig samma lösenord i olika tjänster. Har Du svårt att komma ihåg dina lösenord, så kan Du t.ex. ge den uppgiften till en applikation, som låser dom bakom ett huvudlösenord eller förvara dem krypterat på en särskild minnessticka som du inte använder för något annat eller helt enkelt ha dom på papper i ett kassaskåp.

Macro computer screen shot with binary code and password tex, great concept for computer, technology  and online security.

Ett bra lösen kräver inte en massa specialtecken (om inte tjänsten kräver det). Du väljer bara slumpmässigt fyra eller fem ord och ersätter en eller två tecken med siffror och specialtecken. Bäst är ord som inte finns i någon ordbok, t.ex. dialektala uttryck. Vi tar en titt på styrkan hos två olika fiktiva lösen för musiktjänsten Spotify:

  • Spotify:spo#fyr4töt4ltslump4deörd (läs: ”fyra totalt slumpade ord”)
  • $pO7I§µ (anm. unga lär skriva så här på nätet)

För det första lösenordet finns 6,49 x 1045 kombinationer. Dagens bästa superdator kan pröva 16,32 x 1012 kombinationer i sekunden. På ett år finns 31 536 000 sekunder. Datorn arbetar således i 1,26 x 1025 år. Med energiförbrukning i klass A++ skulle detta kräva en monopol på Solens energi i över 140 000 år.

Perspektiv: Universum är cirka 4,33 x 1017 sekunder gammalt.

P.S. Det andra lösenordet bryts på 5 sekunder…

Du ska både bära föremål och minnas lösenord

Med stark autentisering avses en elektronisk metod där identifieringen och verifieringen grundar sig på minst två av följande tre alternativ:

  1. ett lösenord eller någonting annat som en innehavare av ett identifieringsverktyg vet,
  2. ett smartkort eller någonting annat som en innehavare av ett identifieringsverktyg har i sin besittning, eller
  3. fingeravtryck eller någon annan egenskap som identifierar en innehavare av ett identifieringsverktyg.

Vid en bankomat autentiseras Du med både kort och PIN-kod. Traditionellt använder webbtjänster bara användarnamn och lösenord. Användarnamnet är ofta offentligt eller dåligt skyddat. Flere webbtjänster erbjuder stark autentisering. Ta vara på erbjudandet och använd stark autentisering åtminstone i de viktigaste tjänsterna. Om Du inte vaknade till i förra kapitlet, så är det nu skäl att avbryta läsandet och sätta ett skal till på Din digitala säkerhet.

P.S. Läs http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/ och ta en funderare hur lätt det vore att hacka Ditt digitala jag.

Sätt grundsakerna i skick!

Här har Du en förteckning på några åtgärder som Du ska skrida till, i syfte att öka Din säkerhet.

  • Använd i internet en tjänst som håller reda på Dina lösen. T.ex. F-Secure Key eller KeePass. Med dessa kan du lätt förvara, använda och skapa lösen. Kom trots allt ihåg att byta lösen tillräckligt ofta. Ett gammalt lösen är alltid ett gammalt lösen.
  • Kommentar: I världen efter Snowden blir vi lätt rädda för att överlåta våra lösen till en applikation. Du kan minska denna ångest genom att bekanta Dig med hur krypteringen fungerar. Det viktigaste är att Du väljer en tjänst som både skyddar förbindelsen och datan med stark kryptering. De ovannämnda är sådana. Jag brukar inte göra reklam eller rekommendera, men F-Secure för PC och mobilen är stenhård. Själv har jag ett par andra lösningarr ibruk, som närmast härstammar från ett nördaktigt kontrollbehov, men då jag tidigare använt F-Secure har jag aldrig blivit besviken. Vill Du ha en lätt, säker och pålitlig lösning, så ska Du köpa finskt.
  • Uppbackningar är viktiga och dom ska Du skydda. Du kan t.ex använda TrueCrypt programvaran. Märkväl att hotet av ”brute force” angrepp inte försvinner, så ha ett starkt lösen.
  • Använd sk tvåstegs autentisering alltid (när tillgänglig), där Du alltså ska ge en skild bekräftning efter att ha matat lösen. Detta kan vara ett svar på ett SMS eller YubiKey-autentisering.
  • Traditionella anti-virusprogram räcker inte längre. Se till att Du också har skydd mot sk malware, t.ex med MalwareBytes eller SpyBot jne.
  • Reklamer är lätta att klicka på, i synnerhet om datorn används gemensamt/offentligt. Du får stopp på reklamer i Din webbläsare med sk. add-ons, t.ex AdBlock.
  • På webbläsare i offentligt bruk ska Du använda incognito-funktionen, som inte lagrar historia eller annan data efter sessionen. Kom dock ihåg att stänga läsaren helt efter användning, eftersom vissa läsare kortvarigt lagrar data under pågående session.
  • Kom ihåg att skydda Din mobil och pekplatta. Samma program och lösningar finns mobilt och det är skäl attt skaffa dom!
  • Du ska städse uppdatera och uppbbacka. Automatisera gärna denna rutin och låt datorn göra jobbet så ofta som Du bestämmer. Granska regelbundet uppbackningarnas integritet.
  • Gardera Dig på sociala medier. SoMe är modernt och ger fler möjlligheter och dimensioner för kommunikation. Kom ihåg att skydda Dina (och andras) kontaktuppgifter. Du gör väl i att lämna känsliga ärenden och provocerande åsikter utanför sociala medier.
  • IRL: Vid bankomaten ska Du skydda din PIN-kod med handen.
  • E-posten fylls med phishingförsök, där man alltså frågar efter lösen och annat. Öppna aldrig dessa.

Här var nåra enkla tankar från en enkel soldat till andra enkla användare. Synpunkter och flera tips tas emot i kommentarsfältet nedan. I mitt nästa inlägg ska jag mera ingående svara på frågan varför?

Let’s keep ourselves and the internet safe!

Ajateltavaa tietoturvasta

Edelliseen blogimerkintääni liittyen tahdon antaa lukijoilleni mietittäväksi muutaman tietoturvaan liittyvän asian. Ensin käskymuotoon otsikoituna pari perusasiaa tarkasteluineen, jotka kaikki toivottavasti tietävät (?) ja sen jälkeen pieni listaus ihan jokapäiväisistä asioista, jotka Sinullakin pitäisi olla kunnossa.

Sinun ei pidä itseäsi toistaman

Älä koskaan käytä samaa salasanaa usemmassa palvelussa. Jos muistaminen on haaste, niin voit antaa sen tehtävän sovellukselle, joka lukitsee ne yhden pääsalasanan taakse tai säilyttää ne salakirjoitettuna tähän tarkoitukseen varatulla muistitikulla tai ihan yksinkertaisesti paperilla kassakaapissa.

Macro computer screen shot with binary code and password tex, great concept for computer, technology  and online security.

Salasanassa ei tarvitse olla loputtomasti erikoismerkkejä. Vahvaan salasanaan päästään valitsemalla esimerkiksi satunnaisesti 4-5 sanaa ja korvaamalla 1-2 merkkiä numeroilla ja erikoismerkeillä. Murresanat ja muut, jotka eivät löydy sanakirjasta ovat parhaimpia. Tarkastellaan esimerkkinä kahden fiktiivisen Spotify-palvelun salasanan vahvuutta:

  1. nelj4ih4n$47unnais7a$4naa (lue: ”neljä ihan satunnaista sanaa”)
  2. $pO7I§µ (nuorille tyypillistä nettikirjoittelua, kirj. huom.)

Ensimmäiselle salasanalle on käytettyyn merkkiavaruuteen perustuen vähintään noin 6,49×1045 kombinaatiota. Maailman tehokkain supertietokone pystyy kokeilemaan 16,32×1012 kombinaatiota sekunnissa. Yhteen vuoteen mahtuu 31 536 000 sekuntia. Tietokone työskentelee siis 1,26×1025 vuotta. A++ energiatehokkuudella tämä toimitus vaatisi energiamonopolisopimuksen auringon kanssa 140 000 vuodeksi.

Vertailun vuoksi: maailmankaikkeuden ikä on noin 4,35×1017 sekuntia.

P.S. Toinen salasana murtuu 5 sekunnissa…

Sinun pitää sekä esinettä kantaman että salasana muistaman

Vahvalla sähköisellä tunnistamisella tarkoitetaan henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttämällä perustuen vähintään kahteen seuraavista kolmesta vaihtoehdosta:

  1. salasanaan tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltija tietää;
  2. sirukorttiin tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltijalla on hallussaan; tai
  3. sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen;

Pankkiautomaatilla todennus tapahtuu sekä kortin että PIN-koodin avulla. Perinteisesti internetin eri palvelut käyttävät käyttäjänimeä ja salasanaa. Käyttäjänimi on useimmiten julkinen tai ainakin huonosti suojattu. Jotkut yleiset ja suositut palvelut tarjoavat vahvaa tunnistamista. Tartu tarjoukseen ja käytä vahvaa tunnistamista ainakin tärkeimmissä palveluissa. Verkkopalvelujen vahva tunnistaminen perustuu yleensä sekä salasanaan, jonka syötät ja esineeseen, joka on hallussasi (esim. puhelin tai tietokone). Jos et edellisestä salasanoihin liittyvästä varoituksesta ottanut vaarin, niin laita nyt heti yksi turvataso lisää tärkeimpiin palveluihin.

P.S. Lue http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/ ja mieti miten helppoa Sinun sähköisen minäsi hakkerointi olisi.

Laita perusasiasi kuntoon!

Tässä listamuodossa muutamia vinkkejä.

  • Käytä internetpalveluita varten keskitettyä salasanojen hallintaa. Esimerkiksi F-Secure Key tai KeePass. Näillä voit helposti hallinnoida ja generoida uusia tehokkaita salasanoja. Muista kuitenkin vaihtaa salasanat säännöllisesti!
  • Kommentti: Snowdenin jälkeisessä maailmassa pelkäämme helposti salasanojen luovuttamista keskitettyyn hallintaan. Tästä huolesta voit helposti vapautua tutustumalla siihen, miten salaus toimii. Tärkeintä on, että valitset palvelun, jossa sekä yhteys että tiedot ovat vahvasti salattuja. Yllä mainitut ovat sellaisia. En yleensä mainosta tai suosittele, mutta F-Secure PC:lle ja mobiilille on jäätävän kova. Itse käytän paria muuta ratkaisua, johtuen nörttimäisestä kaikkien asetusten ja toimintojen hallitsemisen tarpeesta (ja sen myötä tulevasta tuskasta), mutta käyttäessäni aiemmin F-Securea en koskaan pettynyt. Vuoden 2011 jälkeen konetta hidastava vaikutus ja muistin käyttö on saatiin ohjelmistossa hyvin hallintaan. Suosi siis tässä suomalaista, jos haluat jotain helppoa, varmaa ja luotettavaa.
  • Varmistukset ovat tärkeitä ja ne on syytä suojata. Tähän voit esimerkiksi käyttää TrueCrypt ohjelmistoa. Tämä tosin ei ikinä poista salasanaan kohdistuvaa ”brute force” -tyyppisen hyökkäyksen uhkaa.
  • Käytä aina salasanojen kanssa niin sanottua ”kahdensuuntaista” autentikaatiota, jossa salasanan lisäksi sinun pitää antaa vielä erillinen vahvistus. Tämä voi olla vastaus tekstiviestiin tai YubiKey-autentikaatio.
  • Perinteiset virustorjuntaohjelmistot (anti-virus) eivät nykyään enää riitä. Haittaohjelmistojen havaitsemiseen ja poistamiseen on kuitenkin hyviä ohjelmistoja kuten, MalwareBytes, SpyBot jne.
  • Selaimiin on myös saatavilla lisäosina (add-on) mainosesto, mikä on hyvä olla varsinkin, jos laite on yhteiskäytössä (lapset klikkaavat helposti mainoksia). Yksi tällainen ohjelmisto on AdBlock.
  • Yhteiskäyttöisessä selaimessa kannattaa aina käyttää ns. turvamoodia, jolloin historiaa ja muita tietoja ei talleneta. Muista kuitenkin sulkea istunnon jälkeen selain kokonaan, sillä istunnon aikana tietyt tiedot tallentuvat levylle tietyissä selaimissa.
  • Muista myös älypuhelimen ja tabletin tieoturva! Kyseisiin laitteisiin löytyy samat ohjelmat tai vastaavat ratkaisut ja ne on syytä hankkia.
  • Muista säännöllinen päivitys ja varmistus. Automatisoi mielellään tämä rutiini, jolloin kone tekee sen niin usein kuin Sinä määräät. Tarkista välillä myös varmistusten eheys.
  • Turvaa sosiaalisen median käyttö. Some on nykypäivää ja antaa lisää mahdollisuuksia ja ulottuvuuksia yhteydenpitoon. Muista kuitenkin suojata yhteystietosi. Somessa ei myöskään kannata kovin arkaluontoista tai provosoivaa mielipidettä esitää.
  • IRL: Pankkiautomaatilla Sinun pitää toisella kädellä suojata PIN-koodin syöttäminen.
  • Sähköposteihin voi tulee niin sanottuja salasanojen ja tunnusten kalasteluhyökkäyksiä (phishing). Älä koskaan avaa näitä.

Tässä näitä yksinkertaisen sotilaan ajatuksia ja vinkkejä muille yksinkertaisille peruskäyttäjille. Korjauksia ja tarkennuksia sekä lisää vinkkejä saa mielellään lisätä kommenttikenttään. Seuraavassa merkinnässä vastaan tarkemmin kysymykseen miksi?

Pidetään maailma turvallisena!

Propagandaa tai mielipiteitä?

Vieraskynä 7.4.2014, anonyymi.

Julkaisen poikkeuksellisesti anonyymin vieraskynän. Syynä tähän on saatuun tietoon liittyvä julkaisurajoitus. Lähteestä haluan kertoa sen verran, että kyseessä on suomalainen kyberturvallisuuden asiantuntija. Tekemäni hyvin pienet korjaukset alkuperäistekstiin on esitetty korostettuina.

Metadata
Author/Operator [redacted]
Status CONFIDENTIAL (see Release note)
Date 06/04/2014
Category Information security, social network analysis, media/information channels
Release Free for users provided under certain conditions: Authors contact info & COM/DOC metadata is classified/protected
Version Final

Text

Sosiaalisessa mediassa kuohuu. Ukrainan kriisin myötä syntyneet jännitteet ovat syventäneet epäluuloja ja vahvoja mielipiteitä. Tutkiva journalismi ja valveutuneet ihmiset ansiokkaasti paljastivat jopa maassamme toimineen valeuutissivuston. Internetin blogipalstoilla esitellään myös varsin kriittisiä mielipiteitä, varsin kyseenalaisilla lähteillä. Voimakkaita mielipiteitä (lukija tulkitkoon) on myös esitetty myös suosituissa Facebookissa ja Twitterissä.

Ukrainassa tilanne tietoverkkojen osalta on varsin kyseenalainen. Demokraattisilla vaaleilla valittujen kansanedustajien puhelimia on häiritty, sekä operaattorien tiloihin on tunkeuduttu. Nämä ovat vaarallisia ja arvaamattomia toimia.

Ajan ollessa vaikea on tärkeää pitää se seikka mielessä, että ihmiset seuraavat mediaa tarkemmalla silmällä. Sanojensa takana pitää pystyä seisomaan kritiikkiä esitettäessä. Disinformaatio (ja tarvittavan informaation puute) haittaa myös tärkeää ja valveutunutta viranomaisten/ihmisten aikaa, sekä työtä. Hyvä opetus tästä on se, että kaikki esitetty kyseenalaiset asiat/mielipiteet voidaan helpommin/nopeammin pystyä tarkastamaan (hakukoneet, operaattorit jne.) jälkikäteen.

Suomessa laajaa keskustelua eri viranomaisten välillä on käyty Suomeen perustettavasta kyberturvallisuusvirastosta. Snowdenin paljastukset (ja niistä seuraavat toimet) varmasti vaikeuttavat tätä käynnissä olevaa hanketta.

Turkissa yritettiin varsin epäonnisesti tukahduttaa sosiaalisen median välineitä kuten Youtube ja Twitter. Tämä herättää sen varsin mielenkiintoisen kysymyksen: voiko Internetiä edes kontrolloida? Vaikeina talous aikoina on varsin vaikeaa rakentaa sen rinnalle omaa verkkoaan. Senpä takia kannattaa käyttää tervettä järkeä, ja parantaa/kehittää jokaisen omaa henkilökohtaista tietoturvaansa.

Yleisesti Internetissä on ollut hieman laajemmin palvelunestohyökkäyksiä, sekä blogisivustoihin kohdistuneita kohdennettuja hyökkäyksiä (WordPressin aukot). Myös Googlen nimipalvelimiin hyökättiin. Jännittyneen tilanteen vuoksi, yritysten on kyllä syytä muistaa mahdollinen teollisuusvakoilu. Jos kommunikaatio maiden välillä tulehtuu, on tämän mahdollisuuden kasvu varsin luonnollista. Kannattaa nyt silti päivittää se mahdollinen Windows XP, sekä antivirus/muut tietoturvaohjelmistot lähitulevaisuudessa.

End of text

Windows XP SP3 ja Office 2003 tuki päättyy 8. huhtikuuta 2014. Linkki aikaa jäljellä -laskuriin.

Kommentti

Mainittuun valeuutissivustoon liittyen sain ylläolevaan tekstiin tämän kommentin, jonka lähteenä on suomalainen kyberturvallisuuteen perehtynyt toimittaja.

Toimittajan ja Suomessa oikeiksi tunnustettujen työtapojen puolesta sekä Finnbayn, sosiaalisessa mediassa keskusteluun osallistuneiden että joidenkin suomalaismedioiden suhde lähdekritiikkiin on huolestuttava. Mikäli Finnbay olisi viestimen kriteerit Suomessa täyttävä entiteetti, se tarvittaessa täsmentäisi saamiensa tietojen lähteitä. Nyt Finnbay pyrkii valkopesemään julkaisemaansa sisältöä. Teksti sisältää toimittajan näkökulmasta seuraavat puutteet:

  1. Se esittää raskaita väittämiä (Yle on rasisti) perustelematta niitä riittävän kattavasti.
  2. Finnbay ei tarjoa vastuullista henkilöä, keneen ottaa yhteyttä tarvittaessa. Vastaavan toimittajan roolista säädetään Suomen laissa.