Jyväskylän yliopisto Aku Talikka, TIE Yksinkertainen PC-peruskäyttäjän tietoturva TIES466 Oppilaitosturvallisuus 14.6.

Transkriptio

1 Jyväskylän yliopisto Aku Talikka, TIE Yksinkertainen PC-peruskäyttäjän tietoturva TIES466 Oppilaitosturvallisuus Tentaattori: Hannakaisa Isomäki

2 Yksinkertainen PC-peruska ytta ja n tietoturva Yleisesti on tiedossa, että virustorjunnan ja muun haittaohjelmien vastaisen ohjelmiston käyttö on tärkeää. Valitettavan vähän on kuitenkin tietoa siitä, pärjääkö peruskäyttäjä myös ilman erityisiä tietoturvaohjelmia. Tässä tutkimuksessa väitetään, että valistunut maalaisjärki riittää ja että hyvin tulee toimeen myös ilman erikseen asennettavaa aktiivista taustasuojausta. Sisällys 1 Johdanto ja tutkimuskysymykset Kirjallisuuskartoitus AMK-opinnäytetyöt Kirjat ja yliopistotutkielmat Blogit ja keskustelupalstat Tutkimusmetodi ja peruskäyttäjän määrittely Peruskäyttäjä Uutta järjestelmää käyttöönotettaessa Käytöstä poistettavat palvelut Peruskäyttäjän mahdollinen ohjelmistokokoonpano Aineiston keruu ja analysointi Windows Windows XP Muita selvityksiä Johtopäätöksiä Lähdeluettelo

3 1 Johdanto ja tutkimuskysymykset Tietoturva tarkoittaa yleisesti tietojen luottamuksellisuutta, eheyttä ja saatavuutta (Niemi, 2010), mutta tässä tutkimuksessa tietoturvaa käsitellään yksinomaan haittaohjelmien näkökulmasta. Monet ihmiset kokevat Internetin vaarat pelottaviksi tai niiltä suojautumisen vaivalloiseksi. Vaikka virustorjuntaohjelmat usein ovatkin luotettavia ja yksinkertaisia käyttää, ne saattavat hidastaa konetta merkittävästi. Palomuuri saattaa kysellä vaikeita kysymyksiä muista taustatarkistusohjelmista puhumattakaan. Esimerkiksi Viestintäviraston ylläpitämä tietoturvaopas.fi-sivusto kertoo, että haittaohjelmilta suojautumiseen tarvitaan maalaisjärkeä ja teknisiä apuvälineitä eli tietoturvaohjelmistoja. Se onkin hyvä nyrkkisääntö, mutta kuten monet nyrkkisäännöt, joissakin tapauksissa yksinkertaistaa ja liioittelee. Tutkimuksessa ei ole tarkoitus vähätellä verkkorikollisuutta. On kuitenkin syytä painottaa terveen järjen käyttöä ja varovaisuutta sekä rauhoittaa yleisöä: ei siellä netissä niin vaarallista ole kuin usein varoitellaan. Ensimmäinen tutkimuskysymys on, mitä suomenkielisessä kirjallisuudessa sanotaan haittaohjelmista ja niiden välttämis- ja torjuntatoimenpiteistä sekä nimenomaan siitä, tarvitaanko esimerkiksi virustorjuntaohjelmaa välttämättä. Lähes aina esimerkiksi opinnäytetöissä todetaan virustorjuntaohjelmien olevan jokseenkin välttämättömiä (joskaan ei riittäviä). Toinen tutkimuskysymys on, voidaanko Internetiä käyttää turvallisesti ilman haittaohjelmien torjuntaohjelmia. Siihen vastataan myönteisesti pienen tapaustutkimuksen avulla. Ensin perehdytään siihen, millä tavalla suomalaisissa opinnäytetöissä ja kirjallisuudessa on käsitelty tietoturvaa. Myöhemmissä luvuissa määritellään peruskäyttäjä ja pyritään muutaman tietokoneen käyttöanalyysin avulla selvittämään, minkälainen tietoturvaratkaisu olisi sellaiselle stereotyypille riittävä. Lopulta päädytään väittämään, että automaattisesti järjestelmän mukana tuleva palomuuri riittää ja että tarvittaessa lisänä voi olla rajoitettu käyttäjätili. Tässä tutkimuksessa käytetään vain Microsoft Windows-käyttöjärjestelmiä pc-tietokoneilla. Linux- ja MacOS-järjestelmiinkin kohdistuu monenlaisia uhkia nykyisin, mutta ne ovat yhä usein turvallisempia kuin Windows-järjestelmät. Lopputuloksena on julkisuudessa käytävään keskusteluun mahdollisesti arvokasta lisää, eli laitteistovaatimuksista ja ohjelmistosuosituksista voidaan joustaa vaarantamatta tietoturvaa. Eräänä tutkimuksen motivaationa oli hankkia tietoa tietokoneiden käyttämistä arastelevien tueksi ja rauhoittaa vaikkapa sanomalehtien palstoilla käytävää keskustelua tietoverkkojen vaaroista. Näistä asioista ei ainakaan suomeksi ole nimittäin juurikaan löytynyt tutkimustietoa. Lopuksi vielä todetaan, ettei tarvitse ostaa liikkeestä tai operaattorilta uusimpia tietoturvasovelluksia vaan että ilmaisetkin ohjelmat riittävät hyvin, joskaan nekään eivät välttämättömiä useinkaan siis ole. 2 Kirjallisuuskartoitus Kirjallisuuteen tutustuttiin sähköisten lähteiden perusteella. Painetut kirjat jätettiin ulkopuolelle; osa lähteistä on ensisijaisesti kirjoja mutta nekin olivat saatavilla Internetistä. Hauissa käytettiin suomalaista theseus-tietokantaa, joidenkin yliopistojen tutkimustietokantoja ja Google scholar - hakuja suomen kielellä. Hakusanoina käytettiin pääasiassa seuraavia: tietoturva, virustorjunta, haittaohjelmat, madot, virukset, antivirusohjelmisto. Jonkin verran käytettiin tavallisessa Googlen hakukoneessa myös englanninkielisiä lauseita, kuten do you need an antivirus ja löydettiin kiinnostavia sivuja. 2

4 2.1 AMK-opinnäytetyöt Jotkut opinnäytetyöt ovat hieman pintapuolisesti ja arkisesti kirjoitettuja (sisältäen jopa termivirheitä), mutta monissa on esimerkiksi mielenkiintoisia historiakatsauksia ja hyviä johdatuksia sekä historiakatsauksia aiheeseen (Vesterinen, 2010), (Koski, 2012). Vaikkapa edellä mainituista opinnäytetöistä saa hyvän yleiskuvan erityyppisistä haittaohjelmista (virukset, madot, troijalaiset, vakoiluohjelmat, mainosohjelmat, rootkitit) samoin kuin torjuntamenetelmistä, joten niitä ei tässä tutkimuksessa esitellä erikseen. Käyttäjän (myös torjuntaohjelmistosta riippumatonta) huolellisuutta ja vastuuta painotetaan useimmissa teksteissä. Lainaus Vesteriseltä voisi olla myös monesta muusta opinnäytteestä: "Vaikka virustorjuntaohjelmat ovatkin erittäin tarpeellisia tietoturvauhkien torjunnassa ja poistamisessa, aiheuttavat ne myös monia ongelmia tietokoneen käyttäjille. Sopivan virusohjelman löytäminen tietokoneen teknisiin ominaisuuksiin nähden on vaikeaa ja väärä ohjelma voi hidastaa käyttöjärjestelmän sekä tietokoneen käyttöä. Näissä tapauksissa käyttäjä usein poistaa virustorjuntaohjelmiston tietokoneeltaan ja saattaa ottaa sen pois käytöstä jopa kuukausiksi. Aloittelevat tietokoneiden käyttäjät eivät välttämättä osaa valita sopivaa virustorjuntaohjelmaa, eivätkä tiedä mitä tehdä tartunnan tapahtuessa. Aloittelijalle paras vaihtoehto virustorjuntaohjelmistojen kannalta on ostaa internetliittymän mukana sopiva ja helppokäyttöinen virustorjuntaohjelmisto, joka hoitaa kaiken käyttäjän puolesta ja jonka käyttöön saa apua internetoperaattorilta suomen kielellä." Windowsin päivityksistä Vesterinen (2010) toteaa, että "osa käyttöjärjestelmän päivityksistä voivat aiheuttaa tietokoneelle monia toiminnallisia ongelmia, esimerkiksi tietokoneen käynnistyksen vaikeutumista ja hidastusta. Näiden edellä mainittujen syiden vuoksi, päivityksiä laiminlyödään ja jätetään asentamatta. Windows-käyttöjärjestelmän tietoturva-aukot ovat olleet jo vuosia suuria tietoturvan uhkatekijöitä ja tietoturvapäivitysten lataaminen on välttämätöntä tietoturvauhkien ehkäisyssä, mikäli Windowsia halutaan käyttää." Muistakin lähteistä on syytä tähdentää, että helpoiten rikolliset voivat hyödyntää vanhoja, tunnettuja haavoittuvuuksia, joita käyttäjät eivät jostain syystä ole paikanneet nopeilla päivityksillä, jotka ovat olleet saatavilla usein jo vuosia. Palomuuri ja päivitykset riittävät aika hyvin (Minkkinen, 2007), joskin laittomien Windows-kopioiden turvallisuudesta ja päivitysmahdollisuudesta liikkuu vaihtelevaa tietoa. Vesterinen (2010) pitää virustorjuntaohjelmia välttämättöminä, mutta palomuurin suhteen vaatimus on heikompi. Hän lisäksi kirjoittaa Lex Nokian tuomista mahdollisuuksista, mutta tässä tutkimuksessa ei oteta kantaa tietoturvaan tai suodatukseen lainsäädäntö- ja operaattoritasolla. Koski (2012) perehtyy ilmaisiin tietoturvasovelluksiin. Testien perusteella lopputuloksena voidaan suositella Windows Xp:ssä käytettäväksi Avast-virustorjuntaohjelmaa ja Windows 7:ssä Aviravirustorjuntaohjelmaa. Lopullinen vastuu tietokoneen tietoturvasta on kuitenkin käyttäjällä itsellään. Yllättävän suuri osa kotikäyttäjien tietoturvaratkaisuista perustuu maksullisiin ohjelmistoihin: noin 20% käytössä olevista virustorjuntaohjelmista ovat ilmaisia. Toki maksullisiin ohjelmistoihin usein sisältyy lisäpalveluita, kuten varmuuskopiointi, palomuuri tai vakoilusuojaus. Nuoret tuntuvat tietävän palomuurin tärkeyden paremmin kuin keski-ikäiset. Toisaalta palomuurin suhteellinen merkitys kokonaistietoturvassa on vähentynyt. (Laaksonen, 2010) Useimmista opinnäytteistä käy ilmi merkittävä huoli tietoturvasta ja verkkorikollisuudesta: esimerkiksi tietojenkalastelun kautta rikollisille kulkeutui vuonna 2005 yli miljardi dollaria (Virtanen, 2011), ja vuonna 2010 verkkorikollisuuden kokonaiskustannukset arvioitiin peräti 388 3

5 miljardiin dollariin (Moisander, 2012). Esimerkiksi saastuneiden kotikoneiden muodostamat, hajautettuja palvelunestohyökkäyksiä toteuttavat bottiverkot ovat usein suuria, ja rikolliset kiristävät niillä rahaa yrityksiltä ja pankeilta. Bottiverkkoja vuokrataan ja phishing-ohjelmistoja myydään. Monella kirjoittajalla onkin sangen synkkä kuva tietoturvan ja uhkien kehityksestä lähitulevaisuudessa. 2.2 Kirjat ja yliopistotutkielmat Kovin monia pro gradu- tai kandidaatintutkielmia ei tässä tutkimuksessa käytetty, mutta ne vaikuttavat olevan sekä kielellisesti että teknisesti laadukkaampia kuin aiemmin käsitellyt opinnäytetyöt. Haastatteluihin ja muihin tutkimuksiin pohjautuen tietokoneen käyttäjien toimintatavoista voidaan sanoa, että he useimmiten kyllä käyttävät erilaisia tietoturvaohjelmia, kuten virustorjuntaa, mutta eivät useinkaan kovin paljon osaa kertoa tietoturvauhkista (Ikala, 2007). Suomalaiset suhtautuvat luottavaisemmin verkkopankkiin ja sen turvallisuuteen kuin monien muiden maiden asukkaat. Tietojenkalastelu (phishing) on käyttäjille tuttu vaara, mutta sen eri lajit ovat suhteellisen tuntemattomia. Pankeilla, viranomaisilla ja operaattoreilla on muutamia keinoja verkkopankkirikollisuuden torjuntaan. (Setälä, 2010). Ihmisten asennoituminen tietoturvaan ja tietotaso siitä eivät näytä kovin nopeasti muuttuvan: osa on ylihuolestuneita, osa ymmärtää tietoturvan tekniset ja psykologiset riskit (social engineering), osa luottaa liiankin rohkeasti tietoturvaohjelmistoihin (Kunnari, 2004). Toisaalta saatavilla olevaa tietoa on monissa yritysten ja viranomaisten kampanjoissa parannettu ja helpotettu. 2.3 Blogit ja keskustelupalstat On usein haastavaa löytää sopivia web-sivuja, joilla käsitellään riittävän monipuolisesti ja luotettavasti tietoturva-asioita. Useimmiten englannin kielellä löytyy helpommin hyvää tietoa kuin suomeksi. Monet IT-alan asiantuntijat pitävät blogia; yleisesti ottaen virustorjunta on vain yksi osa kokonaisesta tietoturvakäytännöstä (Bott, 2010) ja aloittelijoiden on parempi käyttää torjuntaohjelmia kuin olla käyttämättä. Jotkut esittävät keskustelupalstoilla kummallisia tai kärjekkäitä kysymyksiä mutta saavat aikaan hyvän keskustelun (Totty, 2011), (nimimerkki, 2009). Asiaa käsitellään kuitenkin yllättävän monipuolisesti, ainakin kommenteissa, ja esimerkiksi seuraavien seikkojen takia antivirusohjelmat voivat olla hyvinkin tarpeellisia: paikkaamattomat haavoittuvuudet, nollapäivähyökkäykset, huijaukset ja siirrettävät tietovälineet (automaattisen käynnistyksen ominaisuus). Bott (2010) huomauttaa, että Windows XP ei ole enää turvallinen verrattuna uudempiin Windowskäyttöjärjestelmiin, joissa on useita sisäisiä tietoturvaa parantavia ratkaisuita. Hänkin muistuttaa erillisten sovellusten päivittämisestä ja tarpeettomien ohjelmien (esim. Java), jotka usein tulevat järjestelmän mukana, poistamisesta. Tässäkin tapauksessa kommenttiosiossa on paljon hyvää lisätietoa. Eräiden väitteiden mukaan tietoturvayritykset ja operaattorit pitävät yllä ja liioittelevat uhkakuvia haittaohjelmista, jotta saisivat tuotteitaan myydyiksi. Toisaalta käytössä olevat torjuntaohjelmat saattavat tuudittaa käyttäjän turvallisuuden tunteeseen osin aiheettomastikin. Näissä kolmessa vain verkossa olevassa lähteessä oli lähtökohtana, että virustorjuntaohjelmaa ei välttämättä tarvita. Kuitenkaan riittävän yksiselitteistä näkemystä ei saatu, ja seuraavaksi pyritäänkin tuomaan lisäaineistoa väitettä tukemaan. 4

6 3 Tutkimusmetodi ja peruskäyttäjän määrittely Tutkimusta varten kannattaa selvittää myös käytännön esimerkein käyttöjärjestelmän, käyttäjän ja tietoturvaohjelmistojen toimintaa. Aluksi määritellään tietokoneen peruskäyttäjä, jonka käyttötarpeet ja -tottumukset sattuvat vastaamaan aika hyvin myös kirjoittajan (Aku Talikka) toimintatapoja. Peruskäyttäjän vähimmäistietoturva on pelkistettynä maalaisjärjen käyttöä, varovaisuutta ja luottamista lähinnä käyttöjärjestelmän omaan palomuuriin. Minimiratkaisusta on jätetty virustorjunta, aktiivinen vakoilusuojaus ja muukin tietoturvaohjelmisto pois. Kahta tietokonetta käytettiin kohtalaisen pitkäaikaisesti tällaisella määrittelyllä, pääosin aloittaen jo ennen varsinaista tutkimusta. Seuraavassa luvussa selostetaan molemmilla järjestelmillä suoritetut tietoturvatarkistukset tuloksineen. Tutkimusmetodi on siis yksinkertaisesti käydä tietokoneet läpi monilla tarkistusohjelmilla vähimmäistietoturvavaiheen lopuksi ja pohtia vähimmäistietoturvan kelpoisuutta. 3.1 Peruskäyttäjä Peruskäyttäjällä oletetaan olevan yksinkertainen ja yksittäinen kotikäyttöön tarkoitettu tietokone ilman monimutkaisia sovelluksia. Konetta käyttöönotettaessa hän ehkä tarvitsee neuvontaa ja alkumäärityksiä kokeneemmalta tuttavalta, mutta periaatteessa näitä tietoturvan valmisteluohjeita voisi aloittelijakin juuri ja juuri onnistua soveltamaan. Peruskäyttäjä tarvitsee tietokonetta lähinnä www-surffailuun, asiakirjojen kirjoittamiseen, sähköpostin käyttämiseen, Yleisradion ja muiden suomalaisten palveluiden hyödyntämiseen sekä musiikin kuunteluun. Käyttötarpeita toki löytyy helposti paljon lisää, ja niille voidaan laatia toimintasuosituksia erikseen. Peruskäyttäjän on syytä surffailla varovaisesti, eli lukea tarkkaan mitä sivustojen kyselyissä lukee ja useimmiten peruuttaa kysely. Väärin vastattuun kysymykseen ei aina virustorjuntakaan auta Uutta järjestelmää käyttöönotettaessa Uutta tietokonetta käyttöönotettaessa tai käyttöjärjestelmän uudelleenasennuksen jälkeen peruskäyttäjä asentaa ensin uusimman service packin, Windows XP:n tapauksessa SP3:n, ennen kuin kytkee koneensa verkkoon (Desmond, 2004). Sen jälkeen hän tai hänen ystävänsä ottaa pois ylimääräiset toiminnot (palvelut ja käynnistysohjelmat) käyttöjärjestelmästä. Palveluiden ottaminen pois käytöstä perustuu pääasiassa laitteistoresurssien säästämiseen, mutta toissijaisesti sillä voi olla tietoturvaa parantavia vaikutuksia. Tarpeettomien, järjestelmän käynnistyksessä automaattisesti käynnistyvien palveluiden ja ohjelmien poiskytkeminen ei todennäköisesti kuulu peruskäyttäjän keinovalikoimaan (tai hän ei sitä ilman neuvontaa keksi tehdä), mutta jäljempänä selostettavat tietoturvatarkistukset tehtiin seuraavanlaisella, jo alussa palveluista riisutulla järjestelmällä. Pois kytkemiseksi tarvitaan säätöjä mm. Ohjauspaneelissa ja ohjelmassa services.msc Käytöstä poistettavat palvelut visuaaliset tehosteet (valinnainen) indeksointipalvelu distributed link tracking client järjestelmän palauttaminen (joskus hyödyllinen, mutta hyvin harva tarvitsee) etätuki, etärekisteri, terminal services, palvelin (kotiverkkoa ei tarvita, ja etähallinnan voi tarvittaessa hoitaa muillakin, kolmannen osapuolen ohjelmilla) 5

7 tietoturvakeskus (jotta ei tule turhia varoituksia tietoturvasta) Windows time UPNP, SSDP ja näennäismuisti (koneen keskusmuistista ja käyttötarpeista riippuen) useimmat laitevalmistajien lisukeohjelmat ("crapware"), jos niitä on (msconfigohjelmalla), esimerkiksi tulostimen ja näytönohjaimen apuohjelmat ja järjestelmän ylläpitosovellukset, jotka eivät ole Microsoftilta peräisin joitakin muitakin palveluita voi ottaa pois käytöstä, mutta tässä ei tämän enempää niitä käsitellä Kun täten on suuri määrä peruskäyttäjälle turhia apuohjelmia (ja palveluita) kytketty pois käytöstä, myös osa tietoturvauhkista poistuu. Esimerkiksi etätuen mahdollisten tietoturva-aukkojen kautta ei haittakoodia voida huomaamatta suorittaa verkon kautta, kun kyseinen palvelu on otettu pois käytöstä. Kannattaa huomata, että Windows Update päivittää kyllä sellaisetkin haavoittuvuudet, joihin liittyvät palvelut on otettu pois käytöstä. Tutkimuksen kontekstissa peruskäyttäjä päivittää käyttöjärjestelmänsä, selaimensa ja useimmat apuohjelmat säännöllisesti. Todennäköisesti hänelle ei tule vastaan päivityksistä johtuvia ongelmia. Päivitykset eivät myöskään todennäköisesti hidasta järjestelmää oleellisesti, vaikka toisin saatetaan väittää Peruskäyttäjän mahdollinen ohjelmistokokoonpano Peruskäyttäjä ei tarvitse kotiverkkoa, vpn:ää tai P2P-sovelluksia. Vaikka vertaisverkot ovatkin parhaimpia tapoja esimerkiksi Linux-jakeluiden hankkimiseksi ja usein vaikkapa tietoturvapäivitysten lataamiseksi, niitä sovelluksia ei oletuksena asenneta tai käytetä. Pikaviestimiä tai nettipelejä peruskäyttäjä ei kovin paljon harrasta. Winamp ja muut äänen tai videon toistamiseen tarkoitetut ohjelmat ovat yleensä kevyempiä kuin järjestelmän oma Windows Media Player. Musiikin kuunteluun toimii hyvin myös vanha versio Winamp 2.95 ja kuvien katseluun IrfanView Javaan ei tässä oteta kantaa. Testikoneissa Javaa ei juurikaan käytetty. Javaanhan julkaistaan melko usein päivityksiä, jotka tarkistetaan automaattisesti. Toisaalta peruskäyttäjä ei ehkä tarvitse kovin usein Javaa ollenkaan tai ainakaan uusilla sivustoilla vaan ehkäpä vaikka vain tutuilla shakkipelisivustoilla (joilla niilläkin tietysti voi joskus olla epäsuoria haavoittuvuuksia). Virukset tarttuvat helpoiten sähköpostien liitetiedostoiden tai erilaisten keskustelu- ja tiedostojenjako-ohjelmien kautta (Vesterinen, 2010). Peruskäyttäjä voi käyttää sähköpostiohjelmia, kuten Mozilla Thunderbird, mutta tutkittavissa koneissahan ei ole käytetty erillisiä sähköpostiohjelmia vaan ainoastaan webmaileja. Salasanojen tallentamista selaimen välimuistiin ei ole käytetty. Suuri osa haavoittuvuuksista koskee Adoben PDF-lukijaa tai Flash Playeriä, joten näiden ohjelmien päivityksistä on tarkoin pidettävä huolta. Helpoiten peruskäyttäjä tekee sen valitsemalla oletusvalinnat eli automaattiset päivitykset. Toisaalta esimerkiksi pdf-tiedostot voi katsella Foxit Readerin kaltaisilla vaihtoehtosovelluksilla, jotka ovat yleensä nopeampia ja turvallisempia (ja vaikka ohjelmassa olisikin haavoittuvuus, kenties peruskäyttäjän riski saada haitallista koodia sisältävä pdf-tiedosto ei ole kovin suuri). Google Chrome -selain päivittää itsensä ja sisäänrakennetun Flashin automaattisesti. Internet Explorerin ActiveX-haavoittuvuudet ovat olleet merkittäviä, mutta tässä tapauksessa ne lienee helppo välttää käyttämällä eri selainta ja noudattamalla varovaisuutta surffauksessa (ei 6

8 sallita komponentin suorittamista). Peruskäyttäjä ei muutenkaan välttämättä tule vierailleeksi vaarallisilla, uusia haavoittuvuuksia käyttävillä sivustoilla. Järjestelmänvalvojalla, joka on oletuskäyttäjä asennuksen jälkeen, tulee olla salasana. Peruskäyttäjää voisi suositella käyttämään alkumääritysten jälkeen rajoitettua käyttäjätiliä (Vesterinen, 2010). Rajoitetuilla oikeuksilla suuri osa yllämainituista uhista ei toteudu vaikka muuten olisikin huolimaton tai epäonninen. Asennuksia ja joitakin päivityksiä varten on kuitenkin säännöllisesti käytettävä järjestelmänvalvojaakin. Peruskäyttäjä ei tarvitse selaimeensa yleensä lisäosia, poislukien Flash. Sitäkään ei tarvitse kaikkiin selaimiin asentaa. Järjestelmään voi asentaa vaihtoehtoisen (kolmannen) selaimen, jota käyttää vain pankkiasioihin ja muihin raha- tai henkilötietoja käsitteleviin tarpeisiin. Sekin saattaa hieman lisätä tietoturvaa. Selainten ja muiden ohjelmien lisäosat ovat usein haavoittuvaisia, vaikkeivät itse selaimet olisikaan. Liitännäisten riittävistä päivityksistä ei ole takeita, joten niitä kannattaa välttää, ellei todella tarvitse. Jos on oikein ylivarovainen, voi pitää tietoturvaohjelmia päällä vain järjestelmänvalvojan oikeuksilla, joilla sitten myös maksaa laskunsa ja tekee muut luottamukselliset asiat. Tietokoneen huolettomampi peruskäyttö onnistuu sitten turvallisesti rajoitetulla käyttäjätilillä. Tärkeintä on peruskäyttäjällekin kuitenkin muistaa pitää käyttöjärjestelmä ja sovellusohjelmat päivitettyinä (joitakin poikkeuksia lukuun ottamatta). 4 Aineiston keruu ja analysointi 4.1 Windows 7 Suomenkielinen Windows 7 Home Premium -kone asennettiin ja päivitetiin keskimäärin kerran kuukaudessa, viimeiseksi Esimerkiksi Windows Defenderiä tai Tietoturvakeskusta ei ole käytetty, vaan palvelut on poistettu käytöstä. Ainoastaan Windows Firewall palvelu on ollut käytössä. Järjestelmää tarkastettiin kahdeksalla ohjelmalla (testausajankohta oli huhti-toukokuu 2013): Panda Cloud Security ClamWin Portable Spybot - Search and Destroy F-Prot Antivirus (64-bit) Avast (tarjolla myös älypuhelimille) Ad-Aware Malwarebytes Anti-Malware Emisoft Anti-Malware Sattumoisin asennettiin rinnakkaiselle osiolle myös englanninkielisen Windows 7 ja siihen myöhemmin Panda Cloud Security. Englanninkielinen järjestelmä tarkistettiin 8.4. eikä löydetty mitään kummankaan kieliseltä puolelta. Osa suomenkielisestä järjestelmästä lienee Pandalta jäänyt tutkimatta, koska englanninkieliseltä puolelta turvaohjelmat eivät luultavasti pääse esimerkiksi suomenkielisen järjestelmän rekisteriin. Tarkastuksissa käytettiin siis pääasiassa suomenkielistä järjestelmää, joka oli ollut kirjoittajan ja tutkimusten tekijän (Aku Talikka) pääasiallinen ja henkilökohtainen käyttöjärjestelmä kannettavalla Toshiba-tietokoneella molempina vuosina. Tarkoitus oli etsiä ja diagnosoida ongelmia muttei puhdistaa niitä, joskin osa ohjelmista saattoi automaattisesti neutraloida joitakin 7

9 uhkia. Tarkastusten ruutukaappauksia ja lokeja on sen verran paljon, että niitä ei tähän kannata laittaa, mutta niitä voi katsoa sivulla Osa seuraavista selvityksistä liittyy henkilökohtaisiin käyttötottumuksiin, joten persoonamuoto vaihtuu yksikön ensimmäiseen. Olen käyttänyt konetta kaikenlaisissa verkoissa: kaapelitelevision verkossa, opiskelija-asuntolan lähiverkossa, langattomissa avoimissa ja suljetuissa verkoissa. Myös mokkula eli mobiililaajakaista on ollut käytössä. ClamWin ei löytänyt mitään oleellista, vaan lähinnä vanhasta sähköpostiarkistosta (Thunderbirdin tiedostoista), jota en käytä, joitakin roskapostiviestejä ja niistä troijalaisia. Tämä onkin eräs (tahaton) keino tiettyjen tietoturvaohjelmien testaamiseen. Olin nimittäin joitakin avaamattomia spam-viestejä tarkoituksellisesti jättänyt säilöön spam-kansioon nelisen vuotta aiemmin ja unohtanut ne sitten sinne. Nykyisin minulla on käytössä lähinnä pelkästään webmail-ratkaisuita. ClamWin kylläkin löysi IrfanView-ohjelman asennuksen poistoon liittyvistä tiedostoista troijalaisen, mutta se on väärä hälytys. Spybotilla löytyi jotain: kolmen tavallisen (luultavasti haitattoman) evästeen lisäksi löytyi kaksi adware-havaintoa: Widgi.Toolbar (Spigot) ja w3i.iq5.fraud (Freeze.com), joten alkoikin selvitys, mitä ne ovat. Löysin muutamia www-sivuja, esimerkiksi Luultavasti tämä havaittu ongelma liittyy Core Temp -lämpötilanseurantaohjelmaan, jonka olin asentanut englanninkieliseen järjestelmään ja joka tarjoaa oletuksena lisukeapuohjelmien hankkimista (jotka tarkentuivat Spigot-valmistajan sovelluksiksi). Aika monien pienohjelmien mukana tulee tällaisia, usein sinänsä vaarattomia pikkuohjelmia. Tässä tapauksessa näyttää kuitenkin siltä, että kyseinen uhka on väärä hälytys: Etsiessäni lisää tietoa tuosta haittaohjelmahavainnosta löysin sivun mutta sen teksti vaikutti osittain koneellisesti tuotetulta, ja linkintarkistuspalvelu kertoikin, että se on ainakin yhdellä mustalla listalla. Siis (sekä harmittomia että varsinaisia) haittaohjelmia voidaan neuvoa torjumaan myös huijaussivuilla, joiden URL ja otsikko sinänsä voivat vaikuttaa luotettavilta. Tämä on minullekin hyvää harjoitusta, sillä en ollut näin tarkasti tutustunut aiemmin löydöksiin. F-Prot löysi vain nelisen vuotta vanhasta sähköpostin liitetiedostosta jotakin, joka asetettiin karanteniin - yhdellä ohjelmalla aiemmin oli tainnut sama tulla huomatuksi. AdAwarella (2009 versio) löytyi lähinnä joitakin evästeitä alhaisella uhkaluokituksella. Avastilla ei järjestelmästä löytynyt mitään. Sen sijaan englanninkieliseltä puolelta AdAwaren uusi versio löysi DefaultTabStart - haittaohjelman, troijalaisen, joka asennettiin suunnilleen samaan aikaan kuin järjestelmäkin. Sen uhkaluokitus oli korkea, ja se asetettiin karanteeniin. Tämäkin lienee väärä hälytys ja liittyy em. Core Temp -ohjelmaan ja selaimen hakukonelisäosaan. Nehän nimittäin on asennettu samaan aikaan (CoreTemp klo ja DefaultTab 18.13). Huomionarvoista on, että nämä uhat löydettiin eri ohjelmilla mutta että useimmat ohjelmat eivät havainneet mitään. Kyseessä voi olla vakoiluohjelma mutta totta kai selainliitännäiset tallentavat tietoa, mitä hakuasetuksia käyttäjä haluaa. En kuitenkaan löytänyt Internetistä kunnolla tietoa DefaultTabista. Myöhemmin tarkistin alkuperäisen Core Temp -asennustiedoston mm. Jyväskylän yliopiston virusskannerilla, mutta se ei löytänyt mitään. Malwarebytes Anti-Malware ja Emisoft Anti-Malware palauttivat puhtaan tuloksen. Tosin Emisoftin skanneri epäili DefaultTabStartia ja lähetti sen palvelimelle analysoitavaksi. 8

10 Oikeastaan mitään ei siis löytynyt, vaikken ollut käyttänyt virustorjuntaa tai kolmannen osapuolen palomuuria vuoteen. Ainoat vuoden aikana tulleet löydökset liittyivät ylimääräiseen, erikseen asennettuun ohjelmaan, Core Tempiin. Sen korvaa esimerkiksi BrazosTweaker tai RMClock eli suorittimen jännitteen ja kellotaajuuden hallintaohjelma, joka myös näyttää mm. lämpötilan. Kuitenkaan tämäntyyppiset ohjelmat eivät kuulu aiemmin määritellyn peruskäyttäjän valikoimaan (ellei hän sitten halua pienentää suorittimensa lämpötilaa). Tarkistin järjestelmän perusteellisesti Windows Defender Offline -cd-levyllä vielä kesäkuussa, eikä silläkään löytynyt mitään. Kyseinen ohjelma on siis Microsoftin tarjoama ulkoisen tietovälineen kautta toimiva tarkistussovellus, joka ei vaadi Windowsin käynnistämistä. Sitä voi käyttää esimerkiksi rootkitien ja muiden hankalien haittaohjelmien puhdistamisyrityksissä. 4.2 Windows XP Windows XP Home EN -järjestelmä oli erään opiskelija-asuntolan kerhohuoneessa kymmenien opiskelijoiden yhteiskäytössä mm. Internet- ja tulostustarpeita varten. Sen johdonmukainen analysoiminen on haastavampaa, koska kovalevyt ja asennuskokoonpanot vaihtuivat välillä. Kuitenkin kaikissa oli peruskäyttäjällä rajoitettu käyttäjätili ja vain muutamalla ylläpitäjällä järjestelmänvalvojan oikeudet. Windows XP:n oman palomuurin lisäksi alkuvaiheessa oli käytössä Kerio Personal Firewall (versio 2.1.5), joka on monien ihmisten kokemusten mukaan vanha mutta yllättävän luotettava ja kevyt palomuuri. Tärkeä ominaisuus Kerio kakkosessa on, että sitä voi käyttää Windowsin oman palomuurin rinnalla (eli se ei kytke Windowsin omaa pois päältä kuten jotkut muut palomuurit). Pienen jatkotutkimuksen aihe voisi kyllä olla, onko KPF 2 todella luotettava eli tarjoaako se oleellista lisäsuojaa Windowsin omaan palomuuriin verrattuna. Ainakin ulospäin lähtevän liikenteen suhteen se toki tuo tiettyä lisäturvaa. Monessa paikassa on sanottu, että Windows XP:n omakin palomuuri riittää, joten syksyllä 2012 kokeilin jättää Kerion pois yhteiskäyttökoneesta, jonka asensin tilapäisesti kymmenen gigatavun kovalevylle (aiempi oli rikkoutunut). Koneen tietoturvaksi ajattelin siis riittävän automaattiset päivitykset ja rajoitetun käyttäjätilin. Joulukuussa tein pienen tarkistuksen Spybotilla. Sehän löysi tavalliseen tapaansa kaikenlaisia merkintöjä muttei mitään oleellisia tartuntoja. Lokitiedosto on em. sivulla nähtävissä. Keväällä 2013 ( ) ajoin Comodo Antivirus -ohjelmalla koneen läpi, eikä mitään löytynyt. Spybot-tarkistuksesta on ruutukaappaus. Kolmannen tarkistusohjelman lokiin (Malwarebytes Anti-Malware) ei tallentunut tartuntoja. Näissä tarkistuksissa oli mukana rinnakkaisena kovalevynä aiempi järjestelmä, joka oli asennettu Kerio-palomuurin kanssa 40 GB:n levylle vuoden 2011 lopulla. Sen data oli tallella, vaikka XP olikin lakannut käynnistymästä. Jokin kummallinen virhe oli tullut emolevyyn tai kovalevyyn, sillä Windows XP:tä ei pystynyt asentamaan enää vanhalle 40 GB:n kovalevylle, koska kone meni aina jumiin asensinkin uuden XP:n kolmannelle kovalevylle ja otin kymmenen gigatavun levyn pois käytöstä. Seuraavat tarkistukset ovat tästä uudesta järjestelmästä, joka oli siis tarkistusajankohtaan mennessä ehtinyt olla reilun kuukauden asennettuna. Nekin kattoivat vanhan 40 gigatavun levyn (rekisterejä ei välttämättä tullut tarkistetuksi). Tarkistin järjestelmän (kaksi 40 GB:n kovalevyä, vanha toimimaton XP ja uusi toimiva XP) vielä toukokuussa muutamilla, enimmäkseen samoilla ohjelmilla kuin Windows seiskankin. F-Prot ei löytänyt mitään. Ad-Aware löysi tavallisia, alhaisen tason evästeitä sekä yhden keskitason uhkan (Artua Vladislav, adware) vanhalta kovalevyltä, mutta sekin vierailijatilin eräästä FastDownload.exe-tiedostosta, jota ei siis ollut voinut suorittaa. 9

11 4.3 Muita selvityksiä Kokeilin suunnitelman ulkopuolella kahdella vanhalla Omnibook-kannettavalla, miten Kerio 2 - palomuuri ja Windowsin sisäänrakennettu suoriutuvat päivittämättömällä Windows XP - järjestelmällä. Kokoonpano oli samanlainen - päivittämätön järjestelmä (ei ensimmäistäkään Service Packia) - ja toisessa oli pelkkä Kerio ja toisessa pelkkä Windowsin oma, alkeellinen palomuuri. Kummassakaan tapauksessa ei oikein tuntunut kone saastuvan, vaikka yritin aktiivisesti etsiä haittaohjelmia (lähinnä matoja) esimerkiksi laulujen sanoituksia sisältäviltä sivuilta. Kytkin toisesta myöhemmin jopa kaikki palomuuritoiminnot pois, mutta ei tapahtunut mitään. Onkin todennäköistä, että kaapelimodeemi, jonka kautta tämän kokeilun aloitin, sisältää sen verran tietoturvaominaisuuksia, että pahimmat uhat tulevatkin torjutuiksi. Tällainen uhkarohkeuskokeilu palomuurilla ei siis kuulu varsinaiseen tutkimukseen. 5 Johtopäätöksiä Tutkimus onnistui melko hyvin: alkuarvioille minimitietoturvan riittävyydestä saatiin tukea. Tuloksia voisi parantaa vakioimalla järjestelmiä ja niiden käyttötapoja. Voisi esimerkiksi yrittää saastuttaa järjestelmää kaikenlaisia haittaohjelmia rajoitetulla käyttäjätilillä ja katsoa, kuinka hyvin järjestelmä pysyy suojassa. Maalaisjärki, jota Windows 7 -järjestelmää käytettäessä noudatettiin, tuntui riittävän hyvin: ei pidä vastailla kaikkiin kysymyksiin ja mainoksiin mitä sattuu. Vaikka Windows XP-järjestelmä on väistymässä vuonna 2014, kun Microsoft lopettaa sen tuen. Kuitenkaan ei ole odotettavissa, että se kevään 2014 tuen päättymisen jälkeenkään muuttuu tietoturvattomaksi: tärkeimmät haavoittuvuudet on vuosien varrella korjattu, ja uudet luultavasti koskisivat joitakin sangen eksoottisia tilanteita. Myös vanhat päivitykset varmastikin säilyvät saatavilla palvelussa, vaikka uusia ei enää julkaistakaan. Tieteellisen kirjallisuuden anti jäi melko vähäiseksi vaikka olikin mielenkiintoista. Tutkimuksia ja muita lähteitä olisi löydettävä enemmän. Tässä aihepiirissä voi hyvinkin olla lisää tutkittavaa. Tässä tutkimuksessa käytettiin pääasiassa opinnäytetöitä, vaikka ne eivät aina olekaan riittävän tieteellisiä. Useissa lähteissä viitattiin Petteri Järvisen tietoturvakirjoihin vuodelta 2002 ja 2006 (Docendo Finland oy, WS Bookwell, Porvoo), mutta tässä tutkimuksessa ei käytetty niitä suoraan. Palveluiden poiskytkemiseen liittyy joitakin epävarmuuksia. Jollakulla peruskäyttäjällä saattaisi ollakin jokin erityistarve, joka vaatii tietyn palvelun päälläoloa. Sähköpostin suhteen on ongelmia peruskäyttäjän määrittelyssä. Muutamia suosituksia ja ohjeita peruskäyttäjälle ei ole varmistettu. Olisi syytä järjestää tällaisen tietoturvakokeilu monimuotoisemmissa verkoissa, joiden infrastruktuurissa ei ole laitteistopohjaisia palomuureja. Oletettavasti tutkimuksessa käytetty Jyväskylän yliopiston alueen opiskelija-asuntolan verkko on sellainen. Tuloksia voitaisiin kenties raportoida tarjoamalla niitä jollekin tietokonelehdelle tai vähintäänkin johonkin blogiin kansalaisjournalistista vertaisarviointia varten. Tuloksista ilmeni paljon mielenkiintoisia asioita, joita olisi hyvä selvittää enemmän, samoin kuin epäselviksi jääneitä lähtöoletuksia. Todennäköisesti englanniksi asiaa löytyy melko paljon, mutta suomenkielisilläkin selvityksillä olisi sijansa. Näitä menettelytapoja voi soveltaa myös kouluissa, jos on esimerkiksi käytettävissä vanhoja kannettavia tietokoneita, jotka eivät oletusasennuksella kovin hyvin jaksa toimia. Linux Mint tai ohuet päätteet lienevät parempia ratkaisuita, mutta jos Windowsia halutaan käyttää, rajoitettu käyttäjätili ja ohjelmistorakenteen yksinkertaistaminen ratkaisevat monta ongelmaa. Toki koneiden olisi oltava koulun omia eikä esimerkiksi leasing-sopimuksella hankittuja. Joskus 10

12 tietokoneet voivat käydä liian kuumina ja muodostaa jonkinlaisen vaarankin. Silloin kannattaa vähintäänkin puhdistaa pölyt pois ja todennäköisesti myös alentaa suorittimen ja näytönohjaimen jännitettä ja kellotaajuutta jonkin verran. Yhteiskunnallista ja kaupallistakin kiinnostusta on odotettavissa. Kotikäyttäjistä suurehko osa käyttää maksullisia tietoturvaratkaisuita, vaikka ilmaisiakin olisi saatavilla. Joillakuilla on ymmärrettäviä tarpeita, esimerkiksi automaattinen varmuuskopiointi, mutta mielenkiintoista olisi selvittää, millä perusteilla ihmiset päätyvät valitsemaan itselleen tietoturvaratkaisuita. Edelleen valistus on tarpeen, sillä monet suorastaan laiminlyövät päivitykset ja muunkin tietoturvan. 6 Lähdeluettelo Anttila, H. (2006). Troijan hevoset. Teoksessa E. Mäkinen, Pieniä tietojenkäsittelytieteellisiä tutkimuksia (ss ). Tampereen yliopisto, Tietojenkäsittelytieteiden laitos. Noudettu osoitteesta Bott, E. ( ). Do you really need antivirus software? Noudettu osoitteesta ZDnet: Desmond, M. ( ). What You Should Know About Firewalls. Noudettu osoitteesta PCWorld: Ikala, T. (2007). Kodin tietoturvapäälliköt ja sukupuolittuneet subjektiasemat. Teoksessa J. Multisilta;A. Seppä;& J. Suominen, Käyttäjäyhteisöt ja tuotekonseptit - tutkimuksia ihmiskeskeisestä teknologiasta ja visuaalisuudesta (ss ). Pori: Juvenes Print - Tampereen yliopistopaino oy. Koski, K. (2012). Tietoturva - ilmaiset virustorjuntaohjelmat testissä. Turun ammatiikorkeakoulu (opinnäytetyö). Noudettu osoitteesta Kunnari, A. (2004). Peruskäyttäjän tietoturva. Teoksessa M. Helenius;& J. Paavilainen, Tietoturvallisuuden erityiskysymyksiä 2004 (ss ). Tampere: Tietojenkäsittelytieteiden laitos, Tampereen yliopisto. Noudettu osoitteesta Laaksonen, J. (2010). Kotikäyttäjän tietoturva : case eräs Nordean yksikkö. Haaga-Helia ammattikorkeakoulu (opinnäytetyö). Noudettu osoitteesta Minkkinen, A. (2007). Tietoturvakoulutus kotikäyttäjille. Tampereen ammattikorkeakoulu (opinnäytetyö). Noudettu osoitteesta Moisander, J. (2012). Tietoturva Microsoft Windows -verkoissa. Hämeen ammattikorkeakoulu (opinnäytetyö). Noudettu osoitteesta Niemi, K.-P. (2010). Yleiskatsaus tietoturvaan ja tietoturvakoulutuksen järjestäminen. Kymenlaakson ammattikorkeakoulu (opinnäytetyö). Noudettu osoitteesta nimimerkki. ( ). Tietoturvauhkia liioitellaan? Noudettu osoitteesta Suomi24: Nupponen, V. (2006). Tietoturvariskien hallinta tietojärjestelmissä. Jyväskylän yliopisto, Tietojenkäsittelytieteiden laitos (kandidaatintutkielma). Noudettu osoitteesta 11

13 Setälä, I. (2010). Verkkopankin käyttäjien kokemuksia ja käsityksiä palvelun turvallisuudesta. Helsingin yliopisto. Taloustieteiden laitos, kuluttajaekonomia (pro gradu -tutkielma). Noudettu osoitteesta Totty. ( ). Do we really need an antivirus? if yes, what for? And how do they activate and enter in a PC? Noudettu osoitteesta IT Security Stack Exchange: Vesterinen, T. (2010). PC:n ja Internetin tietoturva. Opinnäytetyö, Seinäjoen ammattikorkeakoulu (opinnäytetyö). Noudettu osoitteesta Virtanen, A. (2011). Tietojenkalastelu Menetelmät, määrä ja suojautuminen. Turun ammattikorkeakoulu (opinnäytetyö). Noudettu osoitteesta