Säkerhetspolitik från akademin

Med anledning av att jag blev intervjuad av Meddelanden från Åbo Akademi, så vill jag här återpublicera ingresserna och länka till några intressanta intervjuer från samma tidning. Samtidigt finner jag det värt att fästa uppmärksamhet vid MfÅA, som i ett antal nummer behandlat omvärldsläget från en säkerhetssynpunkt. Längst ner hittar Du andra mycket läsvärda artiklar från MfÅA. Länkarna tar dig till webbversionen och pdf-länkarna öppnar direkt på rätt sida.


Säkerhetspolitiken i Norden mera hotdriven och mindre viljedriven

carl-bergqvist

Carl Bergqvist. Foto: Privat.

Den ryska desinformationen har inverkat på hur medierna rapporterar händelser relaterade till rysk militär aktivitet. Med des­in­for­mationen har Ryssland lyckats föra in en osäkerhet i hur man förhåller sig till allt som rapporteras, både hos journalister och den enskilde mottagaren som själv måste agera källkritiskt.


Ryssland har efter ett år av krig inte uppnått sina mål

Fredrik-Westerlund

Fredrik Westerlund. Foto: FOI

Ryssland agerar aggressivt i sitt närområde för att markera sina stormaktsambitioner. I relation till sina grannar har Ryssland en näs­tan outsinlig militär eskalationsdominans som vilar på världens största kärnvapenarse­nal. Därför är det ingen i väst som vill eller vågar riskera en direkt konfrontation med Ryssland.


Vanliga människor vet inte hur dåligt kriget går för Ukraina

bildbyline-ALL-i-Kiev-(1)

Anna-Lena Laurén. Foto: Förbipasserande ukrainare.

I Ukraina pågår ett krig som först nu på allvar börjar lyftas fram på den internationella politiska arenan. Men bilden av vad som pågår är diffus, delvis bero­ende på den ryska desinformationen, delvis på grund av den Ukrainska statens inkompetens.


Vårt politiska narrativ binder oss

mashiri1

I förgrunden den högst aktive James Mashiri. I bakgrunden den pensionerade motorkanonbåten Nuoli 8.

Ur militär synpunkt är en läxa av det vi ser hända i Ukraina att vi måste ha fler förband som är gripbara direkt, säger James Mashiri. Ur ett framtida perspektiv verkar  det också som att vi måste  ingå någon form av för­svars­samarbete. ”Nato” – säger Mashiri – efter­som vi inte har inte råd med alla rele­van­ta typer av försvarsförmåga efter år 2030.


Mera läsvärda artiklar om krig och säkerhet i MFÅA

Meddelanden från Åbo Akademi 9-2014 [Syrien–Mellanöstern]

Meddelanden från Åbo Akademi 12-2013 [Krigsskador, PTSD]

Meddelanden från Åbo Akademi 11-2013 [Cyber, Snowden]


//James

Tankar om datasäkerhet

Med anledning av mitt föregående inlägg (på finska) så vill jag ge mina läsare lite att tänka på angående datasäkerhet. Först i orderform ett par grundsaker med förklaringar, som förhoppningsvis alla är medvetna om (?) och sedan en liten lista över vardagliga saker som jag tycker Du ska se över och sätta i skick i Ditt digital liv.

Du skall icke upprepa Dig

Använd aldrig samma lösenord i olika tjänster. Har Du svårt att komma ihåg dina lösenord, så kan Du t.ex. ge den uppgiften till en applikation, som låser dom bakom ett huvudlösenord eller förvara dem krypterat på en särskild minnessticka som du inte använder för något annat eller helt enkelt ha dom på papper i ett kassaskåp.

Macro computer screen shot with binary code and password tex, great concept for computer, technology  and online security.

Ett bra lösen kräver inte en massa specialtecken (om inte tjänsten kräver det). Du väljer bara slumpmässigt fyra eller fem ord och ersätter en eller två tecken med siffror och specialtecken. Bäst är ord som inte finns i någon ordbok, t.ex. dialektala uttryck. Vi tar en titt på styrkan hos två olika fiktiva lösen för musiktjänsten Spotify:

  • Spotify:spo#fyr4töt4ltslump4deörd (läs: ”fyra totalt slumpade ord”)
  • $pO7I§µ (anm. unga lär skriva så här på nätet)

För det första lösenordet finns 6,49 x 1045 kombinationer. Dagens bästa superdator kan pröva 16,32 x 1012 kombinationer i sekunden. På ett år finns 31 536 000 sekunder. Datorn arbetar således i 1,26 x 1025 år. Med energiförbrukning i klass A++ skulle detta kräva en monopol på Solens energi i över 140 000 år.

Perspektiv: Universum är cirka 4,33 x 1017 sekunder gammalt.

P.S. Det andra lösenordet bryts på 5 sekunder…

Du ska både bära föremål och minnas lösenord

Med stark autentisering avses en elektronisk metod där identifieringen och verifieringen grundar sig på minst två av följande tre alternativ:

  1. ett lösenord eller någonting annat som en innehavare av ett identifieringsverktyg vet,
  2. ett smartkort eller någonting annat som en innehavare av ett identifieringsverktyg har i sin besittning, eller
  3. fingeravtryck eller någon annan egenskap som identifierar en innehavare av ett identifieringsverktyg.

Vid en bankomat autentiseras Du med både kort och PIN-kod. Traditionellt använder webbtjänster bara användarnamn och lösenord. Användarnamnet är ofta offentligt eller dåligt skyddat. Flere webbtjänster erbjuder stark autentisering. Ta vara på erbjudandet och använd stark autentisering åtminstone i de viktigaste tjänsterna. Om Du inte vaknade till i förra kapitlet, så är det nu skäl att avbryta läsandet och sätta ett skal till på Din digitala säkerhet.

P.S. Läs http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/ och ta en funderare hur lätt det vore att hacka Ditt digitala jag.

Sätt grundsakerna i skick!

Här har Du en förteckning på några åtgärder som Du ska skrida till, i syfte att öka Din säkerhet.

  • Använd i internet en tjänst som håller reda på Dina lösen. T.ex. F-Secure Key eller KeePass. Med dessa kan du lätt förvara, använda och skapa lösen. Kom trots allt ihåg att byta lösen tillräckligt ofta. Ett gammalt lösen är alltid ett gammalt lösen.
  • Kommentar: I världen efter Snowden blir vi lätt rädda för att överlåta våra lösen till en applikation. Du kan minska denna ångest genom att bekanta Dig med hur krypteringen fungerar. Det viktigaste är att Du väljer en tjänst som både skyddar förbindelsen och datan med stark kryptering. De ovannämnda är sådana. Jag brukar inte göra reklam eller rekommendera, men F-Secure för PC och mobilen är stenhård. Själv har jag ett par andra lösningarr ibruk, som närmast härstammar från ett nördaktigt kontrollbehov, men då jag tidigare använt F-Secure har jag aldrig blivit besviken. Vill Du ha en lätt, säker och pålitlig lösning, så ska Du köpa finskt.
  • Uppbackningar är viktiga och dom ska Du skydda. Du kan t.ex använda TrueCrypt programvaran. Märkväl att hotet av ”brute force” angrepp inte försvinner, så ha ett starkt lösen.
  • Använd sk tvåstegs autentisering alltid (när tillgänglig), där Du alltså ska ge en skild bekräftning efter att ha matat lösen. Detta kan vara ett svar på ett SMS eller YubiKey-autentisering.
  • Traditionella anti-virusprogram räcker inte längre. Se till att Du också har skydd mot sk malware, t.ex med MalwareBytes eller SpyBot jne.
  • Reklamer är lätta att klicka på, i synnerhet om datorn används gemensamt/offentligt. Du får stopp på reklamer i Din webbläsare med sk. add-ons, t.ex AdBlock.
  • På webbläsare i offentligt bruk ska Du använda incognito-funktionen, som inte lagrar historia eller annan data efter sessionen. Kom dock ihåg att stänga läsaren helt efter användning, eftersom vissa läsare kortvarigt lagrar data under pågående session.
  • Kom ihåg att skydda Din mobil och pekplatta. Samma program och lösningar finns mobilt och det är skäl attt skaffa dom!
  • Du ska städse uppdatera och uppbbacka. Automatisera gärna denna rutin och låt datorn göra jobbet så ofta som Du bestämmer. Granska regelbundet uppbackningarnas integritet.
  • Gardera Dig på sociala medier. SoMe är modernt och ger fler möjlligheter och dimensioner för kommunikation. Kom ihåg att skydda Dina (och andras) kontaktuppgifter. Du gör väl i att lämna känsliga ärenden och provocerande åsikter utanför sociala medier.
  • IRL: Vid bankomaten ska Du skydda din PIN-kod med handen.
  • E-posten fylls med phishingförsök, där man alltså frågar efter lösen och annat. Öppna aldrig dessa.

Här var nåra enkla tankar från en enkel soldat till andra enkla användare. Synpunkter och flera tips tas emot i kommentarsfältet nedan. I mitt nästa inlägg ska jag mera ingående svara på frågan varför?

Let’s keep ourselves and the internet safe!

Ajateltavaa tietoturvasta

Edelliseen blogimerkintääni liittyen tahdon antaa lukijoilleni mietittäväksi muutaman tietoturvaan liittyvän asian. Ensin käskymuotoon otsikoituna pari perusasiaa tarkasteluineen, jotka kaikki toivottavasti tietävät (?) ja sen jälkeen pieni listaus ihan jokapäiväisistä asioista, jotka Sinullakin pitäisi olla kunnossa.

Sinun ei pidä itseäsi toistaman

Älä koskaan käytä samaa salasanaa usemmassa palvelussa. Jos muistaminen on haaste, niin voit antaa sen tehtävän sovellukselle, joka lukitsee ne yhden pääsalasanan taakse tai säilyttää ne salakirjoitettuna tähän tarkoitukseen varatulla muistitikulla tai ihan yksinkertaisesti paperilla kassakaapissa.

Macro computer screen shot with binary code and password tex, great concept for computer, technology  and online security.

Salasanassa ei tarvitse olla loputtomasti erikoismerkkejä. Vahvaan salasanaan päästään valitsemalla esimerkiksi satunnaisesti 4-5 sanaa ja korvaamalla 1-2 merkkiä numeroilla ja erikoismerkeillä. Murresanat ja muut, jotka eivät löydy sanakirjasta ovat parhaimpia. Tarkastellaan esimerkkinä kahden fiktiivisen Spotify-palvelun salasanan vahvuutta:

  1. nelj4ih4n$47unnais7a$4naa (lue: ”neljä ihan satunnaista sanaa”)
  2. $pO7I§µ (nuorille tyypillistä nettikirjoittelua, kirj. huom.)

Ensimmäiselle salasanalle on käytettyyn merkkiavaruuteen perustuen vähintään noin 6,49×1045 kombinaatiota. Maailman tehokkain supertietokone pystyy kokeilemaan 16,32×1012 kombinaatiota sekunnissa. Yhteen vuoteen mahtuu 31 536 000 sekuntia. Tietokone työskentelee siis 1,26×1025 vuotta. A++ energiatehokkuudella tämä toimitus vaatisi energiamonopolisopimuksen auringon kanssa 140 000 vuodeksi.

Vertailun vuoksi: maailmankaikkeuden ikä on noin 4,35×1017 sekuntia.

P.S. Toinen salasana murtuu 5 sekunnissa…

Sinun pitää sekä esinettä kantaman että salasana muistaman

Vahvalla sähköisellä tunnistamisella tarkoitetaan henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttämällä perustuen vähintään kahteen seuraavista kolmesta vaihtoehdosta:

  1. salasanaan tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltija tietää;
  2. sirukorttiin tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltijalla on hallussaan; tai
  3. sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen;

Pankkiautomaatilla todennus tapahtuu sekä kortin että PIN-koodin avulla. Perinteisesti internetin eri palvelut käyttävät käyttäjänimeä ja salasanaa. Käyttäjänimi on useimmiten julkinen tai ainakin huonosti suojattu. Jotkut yleiset ja suositut palvelut tarjoavat vahvaa tunnistamista. Tartu tarjoukseen ja käytä vahvaa tunnistamista ainakin tärkeimmissä palveluissa. Verkkopalvelujen vahva tunnistaminen perustuu yleensä sekä salasanaan, jonka syötät ja esineeseen, joka on hallussasi (esim. puhelin tai tietokone). Jos et edellisestä salasanoihin liittyvästä varoituksesta ottanut vaarin, niin laita nyt heti yksi turvataso lisää tärkeimpiin palveluihin.

P.S. Lue http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/ ja mieti miten helppoa Sinun sähköisen minäsi hakkerointi olisi.

Laita perusasiasi kuntoon!

Tässä listamuodossa muutamia vinkkejä.

  • Käytä internetpalveluita varten keskitettyä salasanojen hallintaa. Esimerkiksi F-Secure Key tai KeePass. Näillä voit helposti hallinnoida ja generoida uusia tehokkaita salasanoja. Muista kuitenkin vaihtaa salasanat säännöllisesti!
  • Kommentti: Snowdenin jälkeisessä maailmassa pelkäämme helposti salasanojen luovuttamista keskitettyyn hallintaan. Tästä huolesta voit helposti vapautua tutustumalla siihen, miten salaus toimii. Tärkeintä on, että valitset palvelun, jossa sekä yhteys että tiedot ovat vahvasti salattuja. Yllä mainitut ovat sellaisia. En yleensä mainosta tai suosittele, mutta F-Secure PC:lle ja mobiilille on jäätävän kova. Itse käytän paria muuta ratkaisua, johtuen nörttimäisestä kaikkien asetusten ja toimintojen hallitsemisen tarpeesta (ja sen myötä tulevasta tuskasta), mutta käyttäessäni aiemmin F-Securea en koskaan pettynyt. Vuoden 2011 jälkeen konetta hidastava vaikutus ja muistin käyttö on saatiin ohjelmistossa hyvin hallintaan. Suosi siis tässä suomalaista, jos haluat jotain helppoa, varmaa ja luotettavaa.
  • Varmistukset ovat tärkeitä ja ne on syytä suojata. Tähän voit esimerkiksi käyttää TrueCrypt ohjelmistoa. Tämä tosin ei ikinä poista salasanaan kohdistuvaa ”brute force” -tyyppisen hyökkäyksen uhkaa.
  • Käytä aina salasanojen kanssa niin sanottua ”kahdensuuntaista” autentikaatiota, jossa salasanan lisäksi sinun pitää antaa vielä erillinen vahvistus. Tämä voi olla vastaus tekstiviestiin tai YubiKey-autentikaatio.
  • Perinteiset virustorjuntaohjelmistot (anti-virus) eivät nykyään enää riitä. Haittaohjelmistojen havaitsemiseen ja poistamiseen on kuitenkin hyviä ohjelmistoja kuten, MalwareBytes, SpyBot jne.
  • Selaimiin on myös saatavilla lisäosina (add-on) mainosesto, mikä on hyvä olla varsinkin, jos laite on yhteiskäytössä (lapset klikkaavat helposti mainoksia). Yksi tällainen ohjelmisto on AdBlock.
  • Yhteiskäyttöisessä selaimessa kannattaa aina käyttää ns. turvamoodia, jolloin historiaa ja muita tietoja ei talleneta. Muista kuitenkin sulkea istunnon jälkeen selain kokonaan, sillä istunnon aikana tietyt tiedot tallentuvat levylle tietyissä selaimissa.
  • Muista myös älypuhelimen ja tabletin tieoturva! Kyseisiin laitteisiin löytyy samat ohjelmat tai vastaavat ratkaisut ja ne on syytä hankkia.
  • Muista säännöllinen päivitys ja varmistus. Automatisoi mielellään tämä rutiini, jolloin kone tekee sen niin usein kuin Sinä määräät. Tarkista välillä myös varmistusten eheys.
  • Turvaa sosiaalisen median käyttö. Some on nykypäivää ja antaa lisää mahdollisuuksia ja ulottuvuuksia yhteydenpitoon. Muista kuitenkin suojata yhteystietosi. Somessa ei myöskään kannata kovin arkaluontoista tai provosoivaa mielipidettä esitää.
  • IRL: Pankkiautomaatilla Sinun pitää toisella kädellä suojata PIN-koodin syöttäminen.
  • Sähköposteihin voi tulee niin sanottuja salasanojen ja tunnusten kalasteluhyökkäyksiä (phishing). Älä koskaan avaa näitä.

Tässä näitä yksinkertaisen sotilaan ajatuksia ja vinkkejä muille yksinkertaisille peruskäyttäjille. Korjauksia ja tarkennuksia sekä lisää vinkkejä saa mielellään lisätä kommenttikenttään. Seuraavassa merkinnässä vastaan tarkemmin kysymykseen miksi?

Pidetään maailma turvallisena!

Propagandaa tai mielipiteitä?

Vieraskynä 7.4.2014, anonyymi.

Julkaisen poikkeuksellisesti anonyymin vieraskynän. Syynä tähän on saatuun tietoon liittyvä julkaisurajoitus. Lähteestä haluan kertoa sen verran, että kyseessä on suomalainen kyberturvallisuuden asiantuntija. Tekemäni hyvin pienet korjaukset alkuperäistekstiin on esitetty korostettuina.

Image: Cyber war button
Kuva: www.thesleuthjournal.com
Metadata
Author/Operator [redacted]
Status CONFIDENTIAL (see Release note)
Date 06/04/2014
Category Information security, social network analysis, media/information channels
Release Free for users provided under certain conditions: Authors contact info & COM/DOC metadata is classified/protected
Version Final

Text

Sosiaalisessa mediassa kuohuu. Ukrainan kriisin myötä syntyneet jännitteet ovat syventäneet epäluuloja ja vahvoja mielipiteitä. Tutkiva journalismi ja valveutuneet ihmiset ansiokkaasti paljastivat jopa maassamme toimineen valeuutissivuston. Internetin blogipalstoilla esitellään myös varsin kriittisiä mielipiteitä, varsin kyseenalaisilla lähteillä. Voimakkaita mielipiteitä (lukija tulkitkoon) on myös esitetty myös suosituissa Facebookissa ja Twitterissä.

Ukrainassa tilanne tietoverkkojen osalta on varsin kyseenalainen. Demokraattisilla vaaleilla valittujen kansanedustajien puhelimia on häiritty, sekä operaattorien tiloihin on tunkeuduttu. Nämä ovat vaarallisia ja arvaamattomia toimia.

Ajan ollessa vaikea on tärkeää pitää se seikka mielessä, että ihmiset seuraavat mediaa tarkemmalla silmällä. Sanojensa takana pitää pystyä seisomaan kritiikkiä esitettäessä. Disinformaatio (ja tarvittavan informaation puute) haittaa myös tärkeää ja valveutunutta viranomaisten/ihmisten aikaa, sekä työtä. Hyvä opetus tästä on se, että kaikki esitetty kyseenalaiset asiat/mielipiteet voidaan helpommin/nopeammin pystyä tarkastamaan (hakukoneet, operaattorit jne.) jälkikäteen.

Suomessa laajaa keskustelua eri viranomaisten välillä on käyty Suomeen perustettavasta kyberturvallisuusvirastosta. Snowdenin paljastukset (ja niistä seuraavat toimet) varmasti vaikeuttavat tätä käynnissä olevaa hanketta.

Turkissa yritettiin varsin epäonnisesti tukahduttaa sosiaalisen median välineitä kuten Youtube ja Twitter. Tämä herättää sen varsin mielenkiintoisen kysymyksen: voiko Internetiä edes kontrolloida? Vaikeina talous aikoina on varsin vaikeaa rakentaa sen rinnalle omaa verkkoaan. Senpä takia kannattaa käyttää tervettä järkeä, ja parantaa/kehittää jokaisen omaa henkilökohtaista tietoturvaansa.

Yleisesti Internetissä on ollut hieman laajemmin palvelunestohyökkäyksiä, sekä blogisivustoihin kohdistuneita kohdennettuja hyökkäyksiä (WordPressin aukot). Myös Googlen nimipalvelimiin hyökättiin. Jännittyneen tilanteen vuoksi, yritysten on kyllä syytä muistaa mahdollinen teollisuusvakoilu. Jos kommunikaatio maiden välillä tulehtuu, on tämän mahdollisuuden kasvu varsin luonnollista. Kannattaa nyt silti päivittää se mahdollinen Windows XP, sekä antivirus/muut tietoturvaohjelmistot lähitulevaisuudessa.

End of text

Windows XP SP3 ja Office 2003 tuki päättyy 8. huhtikuuta 2014. Linkki aikaa jäljellä -laskuriin.

Kommentti

Mainittuun valeuutissivustoon liittyen sain ylläolevaan tekstiin tämän kommentin, jonka lähteenä on suomalainen kyberturvallisuuteen perehtynyt toimittaja.

Toimittajan ja Suomessa oikeiksi tunnustettujen työtapojen puolesta sekä Finnbayn, sosiaalisessa mediassa keskusteluun osallistuneiden että joidenkin suomalaismedioiden suhde lähdekritiikkiin on huolestuttava. Mikäli Finnbay olisi viestimen kriteerit Suomessa täyttävä entiteetti, se tarvittaessa täsmentäisi saamiensa tietojen lähteitä. Nyt Finnbay pyrkii valkopesemään julkaisemaansa sisältöä. Teksti sisältää toimittajan näkökulmasta seuraavat puutteet:

  1. Se esittää raskaita väittämiä (Yle on rasisti) perustelematta niitä riittävän kattavasti.
  2. Finnbay ei tarjoa vastuullista henkilöä, keneen ottaa yhteyttä tarvittaessa. Vastaavan toimittajan roolista säädetään Suomen laissa.