Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a Mikko Rauhala Vaalimasinointi.org
M i t k ä t i e d o t, m i l t ä s u o j a s s a? Verkossa kulkee paljon yksityistä tietoa, josta moni taho voi olla kiinnostunut Kirjeenvaihto, pankkiyhteys, luottokortti... Asianmukaiset suojakeinot riippuvat tiedon ja vastapuolen luonteesta Tiedon yksityisyyden aste vaihtelee identifikaatiokeksistä kotipornovideoon Odotettavissa oleva vastapuoli vaihtelee satunnaisesta krakkerista järjestäytyneeseen rikollisuuteen ja valtioon
K ä y t ä n n ö n o n g e l m a t a p a u k s i a Pankki- ja verkkokauppaliikenteen turva Luottokorttitietoja hankitaan myös kauppapalvelimille murtautumalla Kotikoneen valtaus ja spyware Pienempi ongelma Linuxilla - toistaiseksi Sähköpostin yksityisyys vastaanottajalle asti, ei vain postipalvelimelle Selaimet yms. voivat lähettää käyttäjätietoja palvelimille
T e k n i i k k a j o k a t a r p e e s e e n... Verkkoliikenteen salaus IPsec, VPN, SSL/TLS, SSH Sähköpostien salaus GnuPG, S/MIME Liikenteen lähteen, kohteen ja osin myös olemassaolon piilottaminen Tor, GNUnet, FreeNet WWW-selainten tietovuodot Privoxy, keksien hallinta, pluginien poisto
... m e l k e i n Tietoturvan heikoin lenkki on usein valistumaton käyttäjä Pääsääntö: Älä koskaan luovuta tunnuksiasi sähköpostitse niitä kyseleville Älä myöskään klikkaa sähköpostista löytyvää linkkiä esim. pankin sivuille; todellisuudessa voit päätyä antamaan tunnuksesi huijarille Huolehdi järjestelmästä riippumatta sen turvapäivityksistä Ei tunnusta ja salasanaa samaan taskuun
I P - o s o i t e t u n n i s t e e n a Jokaisella Internetiin kytketyllä koneella on IP-osoite, joka yksilöi koneen. Osoite voi kotiliittymissä vaihtua yhteydenottokerrasta toiseen; usein kuitenkin pysyy melko vakiona Palvelimet, joihin otetaan suoria yhteyksiä, näkevät myös osoitteen Internet-palveluntarjoaja voi yhdistää ajankohdan ja IP-osoitteen tilaajatietoihin (sallittua oikeuden määräyksellä)
K e k s i t : p e r u s s e l a a j a n t i e t o v u o t o IP-seurannan jälkeen keksit (cookies) ovat WWW-selauksen ykköstietovuoto Palvelin voi antaa selaimelle keksin, jonka tämä palauttaa aina ottaessaan yhteyttä Voidaan seurata käyttäjän toimia pitkällä aikavälillä vaikka IP-osoite vaihtuisikin Myös mukavuuskysymys Sisäänkirjautumista vaativilla sivustoilla usein keksillä voi pysyä automaattisesti sisällä tietyn ajan
P a i n o n h a l l i n t a a k e k s i n h i m o o n Selaimissa tapaa nykyään olla jokin tapa estää keksejä saapumasta, rajoittaa sitä ja tarvittaessa poistaa niitä muistista Esim. keskimäärin on hyvä sallia palvelimen asettaa vain itselleen lähetettäviä keksejä Keksilistaa voi myös käydä läpi silloin tällöin turhat poistaen Useimmat voivat poistaa huoletta halutessaan kaikkikin keksit; putsauksen jälkeen lähinnä voi joutua kirjautumaan uudelleen sisään joillekin sivuille
S e l a u k s e n m u u y k s i t y i s t ä m i n e n Privoxy-välipalvelin Asennetaan omalle koneelle ja asetetaan selaimen välipalvelimeksi Osaa suodattaa selaimen mahdollisesti lähettämää ylimääräistä informaatiota, myös keksejä Ei mahdollisimman helppo säädettävä Pluginit teoriassa vaaraksi Flash-pluginilla ohitettu tiettyjä suojia (Tor, johon seuraavaksi)
... e n t ä p ä j o s N e o v a t p e r ä s s ä s i? Tor tarjoaa vahvaa anonymisointia Toimii niin WWW-selaukseen kuin muunkinlaisiin yhteyksiin Piilottaa yhteyden alku- ja loppupisteet pompottelemalla dataa salattuna Torverkossa ennen lopullista määränpäätä Prosessi toki huomattavasti hidastaa yhteyksiä, mikä on hinta vahvasta anonyymiudesta Tor-verkkoon voi myös asentaa piilotettuja palvelimia, joiden omaa osoitetta on hankala saada selville
... j a m y ö s p a l v e l i m i e s i p e r ä s s ä? Freenet: hajautettu, anonyymi datasäilö Sama perusidea kuin Tor:ssa, liikennettä kierrätetään, mutta myös data voi itsekseen levitä useammalle palvelimelle ladattavaksi Käyttö WWW-selaimella GNUnet: yleisempi vastaava GNUnet pyrkii hieman yleisempään hajautettuun anonyymiverkkoon; palveluna toistaiseksi siinäkin lähinnä tiedostonsiirto Käyttö erillisellä asiakasohjelmalla
J u l k i s e t a v a i m e t 2 m i n u u t i s s a Moni tekniikoista perustuu ns. julkisen avaimen salaukseen (esim. RSA, ElGamal) Voidaan luoda avainpari, julkinen ja salainen, joista julkisen voi antaa yleiseen jakeluun Julkisesta avaimesta ei käytännössä voida johtaa salaista avainta (toivottavasti ;) Julkisella avaimella voidaan salata viestejä siten, että vain salainen avain purkaa sen Salaisella avaimella voidaan allekirjoittaa viestejä, ja julkisella varmistaa allekirjoitus
Y h t e y d e n s a l a u s Salatut yhteydet ovat nykyään arkipäivää Verkkopankit, -kaupat sun muut käyttävät yleensä SSL/TLS-tekniikoita asiakastietojen ja -tunnusten turvaamiseen Pääteyhteyksiin suomalaisperäinen SSH Opportunistinen IPsec ehkä tulevaisuudessa; suojaisi kaikki yhteydet aina kun mahdollista Tarjoaa turvaa verkon nuuskijoilta Ei suojaa oman koneen tai palvelimen murtaneita vastaan
Y h t e y d e n v a s t a p ä ä n v a r m i s t u s Periaatteessa esim. salattuja WWWyhteyksiä käytettäessä voi tarkistaa, onko luotettu taho varmistanut vastapään olevan se, joka se väittää olevansa Käytännössä vaikea varmistua asiasta luotettavasti; useimmiten luotetaan siihen, että huijaaminen tässä on riittävän hankalaa, eikä se nyt ihan triviaalia olekaan SSH:ssa myös oma järjestelmänsä, joka varmistaa, että vastapää pysyy samana
V P N - p r i v a a t t i v e r k k o VPN-tekniikoilla (IPsec, OpenVPN, PPTP) voidaan yhdistää (lähi)verkkoja julkisen Internetin yli turvallisesti Esim. kotiverkko tai -kone yrityksen tai oppilaitoksen verkkoon Suojaa liikenteen vain näiden tahojen välillä Esim. ruotsalainen relakks.com tarjoaa Internet-palvelua VPN:llä kuluttajille Idea suojata käyttäjän identiteettiä; vain Relakks-osoite näkyy ulospäin, ei koti-ip
L u k e e k o S u p o s ä h k ö p o s t i a s i? Esim. sähköpostin yksityisyyden varmistamiseen ei riitä yhteyksien salaus Varmistaa vain, ettei verkkokuuntelija pääse väliin; postipalvelimen ylläpito tai sellaiseksi onnistuneesti tekeytyvä murtautuja pääsee Yksityisen kirjeenvaihdon voi suojata salaamalla se siten, että vain lopullinen vastaanottaja voi sen avata OpenPGP (GnuPG/PGP); yksityisten suosiossa S/MIME; keskitetympi ratkaisu
O p e n P G P : n p e r u s t e e t Hanki osaava sähköpostiohjelma Thunderbirdin Enigmail-lisäke, Evolution, Kmail, mutt, jne... Allekirjoituta avaintasi muilla käyttäjillä Allekirjoittaessa tarkistetaan henkilöllisyys Web of Trust; mitä useammalla itse varmasti oikeiksi tietämistäsi avaimista lähtevillä allekirjoitusketjuilla pääsee henkilön X avaimeen, sitä varmemmin se todella on halutun henkilön, eikä huijarin.
Y h t e e n v e t o Internet on paha paikka, älä luota mihinkään ilman erityistä syytä...paitsi jos lisävarmuuden hankkiminen olisi liian vaivalloista asian tärkeyteen nähden Oman koneesi tietoturva on tärkeä myös muiden käyttäjien kannalta; murretuista koneista hyökkäillään eteenpäin Tarkista salauksen käyttö (https) ainakin verkkokauppa- ja pankkiyhteyksillä Poistele epäilyttäviä keksejä silloin tällöin