Yleiskatsaus mita on tietoturva? Virukset ja muut po poẗ Liikkuvan ja istuvan tiedon tietoturva Tunnistamisen tietoturva Yhteenveto

Transkriptio

1 Tietoturva Tietotekniikan peruskurssi Alkup. materiaali: Kaarlo Väisänen Luento: Miika Komu

2 T Tietotekniikan peruskurssi Luento 9 Kalvo 2 Yleistä Yleiskatsaus mita on tietoturva? Virukset ja muut po poẗ Liikkuvan ja istuvan tiedon tietoturva Tunnistamisen tietoturva Yhteenveto

3 T Tietotekniikan peruskurssi Luento 9 Kalvo 3 Luennon sisältö Yleiskatsaus mita on tietoturva? Virukset ja muut po poẗ Liikkuvan ja istuvan tiedon tietoturva Tunnistamisen tietoturva Yhteenveto

4 T Tietotekniikan peruskurssi Luento 9 Kalvo 4 Tietoturva (engl. Information / data security) Tietoturvalla tarkoitetaan niita hallinnollisia ja teknisia toimenpiteita, joilla varmistetaan tiedon luottamuksellisuus ja eheys. Tietosuojalla tarkoitetaan henkilo n yksityisyyden suojaamista henkiloẗietojen ka sittelyssa. Taẗa tarkoitusta varten henkiloẗiedot on suojattava oikeudettomalta tai henkiloä vahingoittavalta kaÿto lta.

5 T Tietotekniikan peruskurssi Luento 9 Kalvo 5 Eli konkreettisemmin..? Yksittaïsen tietokoneen sisa lta mien tietojen turvallisuus Tietoverkoissa siirtyvien tietojen turvallisuus Kaÿtta jia ja heida n kaÿttoöikeuksiaan koskeva turvallisuus Tietokoneen/tietoverkon yleisen toiminnan turvallisuus Tietojen alkupera n kiista maẗto myys...ja kaikki muu mahdollinen, mika tavalla tai toisella liittyy naïhin...

6 T Tietotekniikan peruskurssi Luento 9 Kalvo 6 Komplikaatio: järjestelmien haavoittuvuus Maailmanlaajuisen tietoverkon ongelma: jokainen verkkoon kytketty kone voi olla altis minka tahansa muun verkon koneen hyo kkaÿksille Riitta va n monta samanlaista konetta (kaÿtto ja rjestelmaä ) johtaa todenna koïsyyksien hyo dynta miseen hyo kkaÿksien suunnittelussa Suuri(n) ongelma: Microsoft Windows ja ennen kaikkea sen jatkuvasti monimutkaistuvat erilaiset liita nnaïsohjelmat (Internet Explorer, Outlook Express, ja niin edelleen) vaihtoehdot koko ajan yleistyma ssa

7 T Tietotekniikan peruskurssi Luento 9 Kalvo 7 Toinen komplikaatio: sähköisen tiedon taltiointi Maailmanlaajuisen tietoverkon siunaus ja riesa: suuri osa verkkoon saataville asetetusta tiedosta saïlyy siella enemma n tai vaḧemma n ikuisesti Yksinkertaisia hakukeinoja: Google ja muut hakukoneet Uutisryhmaẗ: GoogleAdvancedGroup Search ( h) Vanha Internet-tieto: Internet Archive (

8 T Tietotekniikan peruskurssi Luento 9 Kalvo 8 Muutamia tietoturvan teknisempiä alueita Virustorjunta (Anti-virus) Tietoliikenteen turvaaminen (Data communication security) Tunnistaminen (Authentication) Tiedostojensalaus (File encryption) Palomuurit (Firewall) Tunkeutujien havaitseminen (Intrusion detection)

9 T Tietotekniikan peruskurssi Luento 9 Kalvo 9 Pari sanaa matematiikasta Kryptografia: Salakirjoitusten matemaattista teoriaa tutkiva tieteenala Julkinen tieto salataan halutun vahvuisella kryptografisella algoritmilla, jonka kaÿttoö n liittyy salaukseen (ja sen mahdolliseen purkamiseen) tarvittava avain. Tuloksena saadaan kryptattu tieto, joka useimmiten voidaan palauttaa saman (tai erillisen) avaimen avulla takaisin julkiseen muotoon, joskus taas ei.

10 T Tietotekniikan peruskurssi Luento 9 Kalvo 10 Tietoturvatahoja Suomessa Liikenne-ja viestinta ministerio ( Viestinta virasto ( CERT-FI ( Alan yrityksia : F-Secure Oyj SSH Communications Security Oyj Stonesoft Oyj Nokia, Nixu, Secgo,...

11 T Tietotekniikan peruskurssi Luento 9 Kalvo 11 Luennon sisältö Yleiskatsaus mita on tietoturva? Virukset ja muut po poẗ Liikkuvan ja istuvan tiedon tietoturva Tunnistamisen tietoturva Yhteenveto

12 T Tietotekniikan peruskurssi Luento 9 Kalvo 12 Tietokonevirusten historiaa ja filosofiaa Virukset ovat tietokoneohjelmia, joiden tarkoituksena on yleensä pyrkia levia maä n mahdollisimman laajalle ja samalla toteuttaa viruksen kirjoittajan antamia (yleensa seurauksiltaan vahingollisia) lisaöhjeita Esihistoria 1960-luvulla, sen ja lkeen kehitysta vastaamaan kulloisenkin tietokone- ja tietoverkkosukupolven tarjoamia mahdollisuuksia (keskustietokoneet, kotitietokoneet, BBS-ja rjestelmaẗ, PC:t, Internet) Pyrkivaẗ hyo dynta maä n joko järjestelma n normaalia toimintaa, kaÿtta ja n tieta maẗto myytta, ja rjestelma n haavoittuvaisuuksia, tai mita tahansa muuta levia misen mahdollistavaa mekanismia

13 T Tietotekniikan peruskurssi Luento 9 Kalvo 13 Erilaisten virustyyppien jaottelu Perinteinen virus: pieni ohjelmanpaẗka, joka tarttuu muiden ohjelmien yhteyteen ja kaÿnnistyy kyseista ohjelmaa kaÿtettaëssa, laḧtien ta ma n ja lkeen joko vain levia maä n edelleen uusiin isa ntaöhjelmiin tai aiheuttamaan lisa ksi jotain muuta tavallisuudesta poikkeavaa Saḧko postivirus: saḧko postiviestin yhteyteen vastaavalla tavalla kiinnittyva ohjelma, joka hyo dyntaä esimerkiksi riitta va n yleisen saḧko postiohjelman puutteellista turvallisuutta laḧettaä kseen itseaä n eteenpaïn esimerkiksi saḧko postiohjelman osoitekirjan osoitteisiin

14 T Tietotekniikan peruskurssi Luento 9 Kalvo 14 Erilaisten virustyyppien jaottelu (jatkuu..) Mato: ohjelma, joka hyo dyntaä tietoverkkoja ja verkon tietokoneiden tietoturva-aukkoja levitessaä n etsima lla tartunnan saaneelta isa nta koneelta ka sin verkosta yhä uusia vastaavan aukon sisa lta via koneita monistaakseen itsensa niihin ja jatkaakseen levia mista Troijalainen hevonen: ohjelma, joka vaïtta ma nsa normaalin toiminnan sijaan tai lisa ksi tekee myo s jotain kaÿtta ja n kannalta vahingollista kaÿnnistyessaä n (tai pelka staä n tarkkailee ja taltioi ta ma n tekemisia )

15 T Tietotekniikan peruskurssi Luento 9 Kalvo 15 Viruksilta suojautuminen Nelja peruskeinoa: Riitta va n tehokas ja ajan tasalla ylla pidetty virustorjuntaohjelma (TKK:lla kampuslisenssit Symantec Antivirus Corporate Edition ja Symantec Client Security seka F-Secure Anti-Virus ohjelmiin eri kaÿtto ja rjestelmille) Kaÿtto ja rjestelma n ja muiden usein kaÿtettyjen ohjelmien pita minen ajan tasalla tietoturvapaïvityksien suhteen (erityisesti Windows-alustat mutta myo s Linux ja muut Unix-tyyppiset ja rjestelmaẗ) Yleinen varovaisuus seka saḧko postin, muualta saatujen ohjelmatiedostojen etta myo s webin kaÿto ssa, erityisesti mika li tietokonetta kaÿtetaä n ylla pita ja n oikeuksin Vain riitta va n turvalliseksi todettujen ohjelmien kaÿtta minen

16 T Tietotekniikan peruskurssi Luento 9 Kalvo 16 Viruksilta suojautuminen (jatkuu..) Muita hyo dyllisia seikkoja huomioitavaksi: Erityisesti webin kautta ja ilmaisohjelmien kylkiaïsenä leviaä ns. spyware -ohjelmia, joiden tarkoituksena on seurata tietokoneen kaÿtta ja n tekemisia erilaisista syista ovat toiminnaltaan hyvin laḧella viruksia Useiden saḧko postiohjelmien ja web-selaimien oletusasetukset saattavat olla hyvinkin tietoturvattomia (ActiveX-asetukset, cookiet, esikatselutoiminnot) Kannattaa olla ennemmin hiukan varovainen kuin uhkarohkea: kerran tarttumaan paä ssyt virus saattaa edellyttaä koko tietokoneen taÿdellista uudelleenasennusta ja rjestelma n puhdistamiseksi Myo s social engineering virukset ovat vaarallisia jokaiseen salasanoja kyselevaä n saḧko postiin (tai puhelinsoittoon) on syyta suhtautua varoen

17 T Tietotekniikan peruskurssi Luento 9 Kalvo 17 Luennon sisältö Yleiskatsaus mita on tietoturva? Virukset ja muut po poẗ Liikkuvan ja istuvan tiedon tietoturva Tunnistamisen tietoturva Yhteenveto

18 T Tietotekniikan peruskurssi Luento 9 Kalvo 18 Tietoverkossa siirtyvän tiedon suojaaminen Tavoitteena useimmiten siirretta va n tiedon salaaminen ulkopuolisilta Voidaan toteuttaa eri tasoilla kaÿtta ja n ja fyysisen verkon va lilla : Sovelluskerros: Hypertext Transfer Protocol Secure (HTTPS) Secure Shell (SSH) Open Pretty Good Privacy (Open PGP) Alemmat kerrokset: Internet Protocol Security architecture (IPsec) Virtual Private Network (VPN) Optimaalinen toteutustapa riippuu sovelluksesta ja tarpeista Vaatii aina tuekseen luotettavan tunnistusmenetelma n

19 T Tietotekniikan peruskurssi Luento 9 Kalvo 19

20 T Tietotekniikan peruskurssi Luento 9 Kalvo 20 Yleisimpiä teknologioita Säḧko postin suojaus: S/MIME tai PGP (siirto palvelimelta: SSL/TLS) Joko sisaä nrakennettu ohjelmistoihin tai erillisratkaisuita Unix/Windows-etaÿhteyden suojaus: Secure Shell OpenSSH, PuTTY ja TKK:n kampuslisensseina SSH:n ohjelmistot Web-liikenteen suojaus: SSL/TLS Sisaä nrakennettu selaimiin (salauksen vahvuus saattaa vaihdella) IPSec Sisaä nrakennettu useimpiin uusiin kaÿtto ja rjestelmiin osaksi TCP/IP-pinoa Esimerkkejä: Host Identity Protocol (HIP), Internet Key Exchange (IKE)

21 T Tietotekniikan peruskurssi Luento 9 Kalvo 21 Käytännön esimerkki: etäyhteyden putkittaminen Hyvin yleinen tilanne: halutaan kaÿttaä TKK:n kirjaston saḧkoïsia palveluita tai muita hut.fidomainiinrajoitettuja web-palveluita (esimerkiksi tietoturvaohjelmistojen kampuslisenssit) kotikoneelta ka sin Mahdollista putkittamalla web-yhteys SecureShell protokollan yli TKK:n proxy-palvelimeen: Kaÿta nno n vaikutus: ulkomaailman ja TKK:n sisa verkon kannalta kaikki web-yhteydet naÿtta vaẗ tulevan TKK:n verkosta ka sin!

22 T Tietotekniikan peruskurssi Luento 9 Kalvo 22 Säilytettävän tiedon suojaaminen Ongelma erityisesti liikuteltavissa paäẗelaitteissa (matkamikrot, ka mmenmikrot, matkapuhelimet ja vastaavat) Tavoitteena laitteen sisa lta ma n luottamuksellisen tiedon suojaaminen, mika li laite paäẗyy vahingossa tai varastettuna omille teilleen Ratkaisu: saïlytetta va n tiedon osittainen tai taÿsimittainen salaaminen tallennusmedian (kiintolevy tai muistikortti) tasolla Erilaisia kaupallisia vaihtoehtoja (esimerkiksi Utimaco SafeGuard Easy)

23 T Tietotekniikan peruskurssi Luento 9 Kalvo 23 Elämää verkon reunalla: palomuurit Palomuuri on laite tai ohjelmisto, joka valvoo julkisen verkon puolelta saapuvaa (ja/tai sinne laḧtevaä ) liikennetta halutulla tarkkuudella Asiattomat yhteydenottoyritykset suuntaan tai toiseen estetaä n, joko aktiivisesti kieltaÿtyen yhteydestä tai taÿsin na kymaẗto ma na Palomuuri voidaan toteuttaa esimerkiksi erillisenä laitteena, osana muuta verkkoinfrastruktuuria, palveluna operaattorin toimesta, tai paäẗelaitteen ohjelmistona (Windows XP firewall, F-secure/Symantec firewall, Zonealarm) Palomuurin asetuksien saäẗa minen kohdalleen saattaa vaatia jonkin verran teknista tietoa tietokoneen ja eri ohjelmien toiminnasta

24 T Tietotekniikan peruskurssi Luento 9 Kalvo 24 Tunkeutujien havaitseminen (IDS) Ja rjestelmia, jotka pyrkivaẗ tunnistamaan sisa verkkoon paä sseen ulkopuolisen tunkeutujan esimerkiksi epaïlytta va n kaÿttaÿtymisen perusteella ja muita tietoturvan alueita (palomuurit) hyo dyntaën Kaÿta nno ssa hankalaa: ulkopuolinen kuuntelija voi olla verkkoon paä stessaä n hyvinkin passiivinen tarkkaillessaan sisa verkon liikennetta ja tietoja Monimutkaista eika va ltta maẗta kovin helposti sovellettavaa Koko ajan lisaä ntyvaẗ systemaattiset tietomurtoyritykset (myo s salasanojen kalastelu ja vastaavat, ns. phishing) ovat lisa nneet tarvetta ratkaisuille

25 T Tietotekniikan peruskurssi Luento 9 Kalvo 25 Luennon sisältö Yleiskatsaus mita on tietoturva? Virukset ja muut po poẗ Liikkuvan ja istuvan tiedon tietoturva Tunnistamisen tietoturva Yhteenveto

26 T Tietotekniikan peruskurssi Luento 9 Kalvo 26 Tunnistamisen monet ulottuvuudet Tunnistamisen tarkoituksena on yhdistaä ihminen (kaÿtta ja ) ha nen johonkin saḧkoïseen vastineeseensa tietokoneessa tai tietoverkossa Kaÿttoöikeus laitteeseen, palveluun tai suojattuun tietoon Suojattu ja/tai varmennettu tiedonsiirtoyhteys Saḧkoïset allekirjoitukset ja muu varmennetoiminta Suoritettujen toimenpiteiden kiista maẗto myys Kaÿta nno n toteutus, sen monimutkaisuus ja vaadittavat oheisja rjestelyt vaihtelevat laidasta laitaan riippuen kaÿttoẗarkoituksesta

27 T Tietotekniikan peruskurssi Luento 9 Kalvo 27 Teknologioita Salasanat (kerta-ja jatkuvakaÿttoïset) Julkisen avaimen tunnistus Älykortit (magneettiraita ja/tai siru) USB-laitteet (USB Token) Biometriset tunnisteet (sormenja lki, silmä) Puheentunnistus Yhdistelmaẗ eri tavoista

28 T Tietotekniikan peruskurssi Luento 9 Kalvo 28 Julkisen avaimen teknologiat Julkisen avaimen teknologia perustuu kahteen toisistaan matemaattisesti riippuvaan avaimeen (julkiseen ja salaiseen), joiden johtaminen toisistaan on laskennallisesti kaÿta nno ssa mahdotonta Julkisella avaimella salattu tieto voidaan purkaa selva kieliseksi vain salaisella avaimella (ja toisin païn) Julkinen avain voidaan laittaa vapaaseen levitykseen salaisen avaimen (joka pidetaä n vain omassa tiedossa) tietoturvan vaarantumatta Ongelma: miten voidaan olla varmoja, että jokin julkinen avain liittyy juuri tiettyyn henkiloö n? Vastaus: varmenteet

29 T Tietotekniikan peruskurssi Luento 9 Kalvo 29 Julkiset avaimet ja varmenteet Varmenne sisa ltaä jonkin tahon julkisen avaimen, tietoa kyseisesta tahosta, ja ennen kaikkea varmentajan allekirjoituksen Varmentaja on luotettu osapuoli, joka on tarkistanut julkisen avaimen liittymisen muihin varmenteen tietoihin, ja todentanut asian salaamalla varmenteen muut tiedot tiivistetyssa muodossa omalla salaisella avaimellaan saḧkoïseksi allekirjoitukseksi Kuka tahansa voi ta ma n ja lkeen verrata varmenteen tietoja ja varmentajan julkisella avaimella purkamaansa allekirjoitusta ja todeta, etta juuri ta ma luotettu osapuoli on suorittanut varmentamisen

30 T Tietotekniikan peruskurssi Luento 9 Kalvo 30 Julkiset avaimet käytännössä Varmenteeseen liittyvaẗ salaiset avaimet voidaan tallettaa a lykortille (esimerkiksi Suomen Vaësto rekisterikeskuksen HST-kortti), jolloin niiden lukeminen on kaÿta nno ssa lähes mahdotonta Varmentaja voi jakaa nauttimaansa luottamusta hierarkkisesti alaspaïn, varmentamalla seuraavan portaan varmentajia (skaalautuvuus), ja koko varmenneketju voidaan tarvittaessa liittaä mukaan varmenteeseen Ylimma n tason ns. juurivarmenteita loÿtyy esimerkiksi web-selaimista Varmenteita voidaan käyttää lähes kaikkiin tunnistamistarkoituksiin, mutta monimutkainen infrastruktuuri rajoittaa kaÿto n aloittamista

31 T Tietotekniikan peruskurssi Luento 9 Kalvo 31 Luennon sisältö Yleiskatsaus mita on tietoturva? Virukset ja muut po poẗ Liikkuvan ja istuvan tiedon tietoturva Tunnistamisen tietoturva Yhteenveto

32 T Tietotekniikan peruskurssi Luento 9 Kalvo 32 Ensin jotain ihan muuta... Hyvin usein tietoturvaongelmat saavat alkunsa jostain aivan muualta kuin tietokone- tai tietoverkkoympa risto sta : jo aiemmin mainittu ns. social engineering Tietotekniikkaan liittyva tietoturva on suurelta osin asennekysymys: kannattaa omaksua osaksi jokapaïvaïsia rutiineita Mita hyoẗya on lukosta, jos kuka tahansa paä see ka siksi avaimeen? Tietoturvan kannalta systeemin kokonaisvahvuus on sama kuin heikoin lenkki

33 T Tietotekniikan peruskurssi Luento 9 Kalvo 33.. sitten muutamia itsestäänselvyyksiä Pida virustorjunta kaÿto ssa ja ajan tasalla (myo s spyware-torjunta) Pida kaÿtto ja rjestelma ajan tasalla (erityisesti eri Windows-versiot) Kiinnita huomiota tiedonsiirron turvallisuuteen/turvattomuuteen Kiinnita huomiota omien tietojesi kaÿttoöikeuksiin Kaÿta jonkinlaista palomuuria jos vain voit Tiedosta tietojesi luovuttamisen seuraukset (www, saḧko posti, uutisryhmaẗ) Kaÿta riitta va n turvalliseksi todettuja ohjelmia Saïlyta terveen vainoharhainen perusasenne!

34 T Tietotekniikan peruskurssi Luento 9 Kalvo 34 Linkkejä Tietoturvaa peruskaÿtta ja lle ( Tietoturvaa TKK:n Atk-keskuksessa ( Viestinta viraston tietoturvasivut (

35 T Tietotekniikan peruskurssi Luento 9 Kalvo 35 Ohjelmistoja TKK:n kampuslisenssit eri tietoturvaohjelmistoista ( vain hut.fidomainista) ZoneAlarm(ilmainen peruspalomuuri) ( nload.jsp) Mozilla Firefox ja Thunderbird (tietoturvallisemmat vaihtoehdot web-selaimeksi ja saḧko postiohjelmaksi) (

36 T Tietotekniikan peruskurssi Luento 9 Kalvo 36 Kysymyksiä?