Pilvitallennuspalvelun tietoturvaa voi parantaa yksilöllisellä salasanalla, kahden tekijän varmennuksella ja maalaisjärjellä. Tämän artikkelin 5 vinkin avulla voi tehdä pilvitallennuspalvelusta turvallisemman.

Pilvitallennuspalvelut ovat hyvä lisä tietokoneenkäyttäjän työkalupakkiin. Niiden avulla voi vaivattomasti käsitellä tiedostoja eri laitteiden välillä.

Pilvitallennukseen liittyy kuitenkin myös riskejä, jotka eivät ole täysin käyttäjän hallittavissa. Esimerkiksi palveluntarjoajan palvelimen tietomurtoon tai vieraan valtion tiedusteluviranomaisen tietopyyntöön ei pilvitallennuspalvelujen käyttäjä voi vaikuttaa. Näitä uhkia vastaan voi parhaiten suojautua, kun harkitsee tarkkaan, mitä tietoja pilvipalveluun tallentaa.

Käyttäjään kohdistuva todennäköisin uhka lienee kuitenkin oman käyttäjätunnuksen ja salasanan päätyminen vääriin käsiin. Tällöin palveluun tallennettujen tietojen yksityisyys saatetaan menettää. Käyttäjätunnuksen ja salasanan avulla tapahtuvan tietomurron riskiä voi pienentää yksilöllisten salasanojen, kahden tekijän varmennuksen ja oman harkinnan avulla. Näistä on kerrottu tarkemmin seuraavissa viidessä vinkissä:

1) Harkitse, mitä tallennat pilveen

Pilvitallennuspalvelu on hyvä paikka sellaisille tiedostoille, joiden vuotamisesta ei ole merkittävää haittaa käyttäjälle.

Aiheesta lisää Harkitse, mitä tallennat "pilveen" Tietoturva nyt! (3.11.) -artikkelissa.

2) Tarkista verkko-osoite, ennen kuin luovutat pilvitallennuspalvelun salasanan

Tyypillisimmässä tapauksessa oma käyttäjätunnus menetetään siten, että se erehdyksessä annetaan tietojenkalastelusivulle. Verkkorikolliset saattavat esimerkiksi lähettää käyttäjälle sähköpostin, joka näyttää tulevan tallennuspalvelun ylläpidolta ja jossa kehotetaan kirjautumaan sisään palveluun ja päivittämään omat tiedot. Sisäänkirjautumislinkki kuitenkin vie verkkorikollisten luomalle sivulle, joka saattaa visuaalisesti muistuttaa oikeaa sisäänkirjautumissivua, mutta sen verkko-osoite on eri.

Lue lisää Näin meitä huijataan [pdf, 988 KB] -artikkelista.
 

3) Käytä eri salasanaa eri palveluihin

Käytä jokaisessa palvelussa vahvaa, yksilöllistä salasanaa. Näin yhdestä palvelusta vuotanut salasana ei avaa kaikkia käyttäjän palveluita rikollisille. Jos yksilöllisten salasanojen ylläpito useisiin eri palveluihin tuntuu hankalalta, apuna voidaan käyttää esimerkiksi perinteistä paperille kirjoitettua muistilistaa tai erillistä tarkoitukseen luotua salasananhallintaohjelmistoa.

4) Käytä kahden tekijän varmennusta

Kahden tekijän varmennus tarkoittaa salasanan lisäksi syötettävää kertakäyttöistä koodia. Koodi voidaan vastaanottaa esimerkiksi matkapuhelimeen tekstiviestillä tai älypuhelimeen erillisellä sovelluksella.

Kahden tekijän varmennus tekee tietojenkalastelun, salasanan arvaamisen tai muun käyttäjätunnuksen avulla tilille tunkeutumisen vaikeammaksi.

Verkkopalvelun voi asettaa muistamaan sisäänkirjautumiseen käytetyn laitteen, jolloin kahden tekijän varmennus hidastaa palvelun käyttöä vain ensimmäisellä kerralla. Kahden tekijän varmennusta käytettäessä kannattaa kuitenkin huomioida, että jos puhelinnumero vaihtuu esimerkiksi työpaikkaa tai liittymää vaihdettaessa, täytyy uusi numero muistaa vaihtaa myös kahden tekijän varmennusta käyttäviin palveluihin.

Esimerkiksi Dropbox-palvelusta kahden tekijän varmennuksen voi kytkeä päälle käyttäjätilin Settings-sivun Security-välilehdeltä kohdasta "two-step verification" ja seuraamalla annettuja ohjeita (Kuva 1).

Kuva 1. Kaksivaiheinen tunnistautuminen kannattaa kytkeä pilvipalveluun päälle. Yleensä se löytyy Security-välilehden alta nimellä "two-step verification".

5) Tarkkaile, kuka käyttää pilvitallennuspalveluasi

Monissa palveluissa on mahdollista tarkkailla, miltä päätelaitteilta käyttäjätilille on kirjauduttu. Näin voi havaita palvelun luvattoman käytön. Useimmissa palveluissa kirjautumisia seuraava toiminnallisuus löytyy käyttäjätilinhallinnan "Security"-välilehden alta.

Esimerkiksi Dropboxin Security-välilehdeltä voi tarkastaa, mitkä selaimet, laitteet ja applikaatiot on linkitetty Dropbox-tiliin (Kuva 2).

Kuva 2. Dropbox-palvelun Security-välilehdeltä voi nähdä, mitkä laitteet on kytketty käyttäjätiliin.

Haittaohjelmia yritetään levittää piraattiohjelmistojen ja kolmannen osapuolen sovelluskaupan kautta.

Viime päivinä on uutisoitu kahdesta Mac OS X -käyttöjärjestelmässä toimivasta haittaohjelmasta, jotka tunnetaan nimillä Wirelurker ja iWorm. Kyseiset haittaohjelmat ovat klassisia troijalaisia sanan varsinaisessa merkityksessä, sillä käyttäjän tulee itse asentaa ne. Haittaohjelmat on naamioitu näyttämään joko yleisessä käytössä olevilta hyötyohjelmilta, kuten Adobe Photoshop, Adobe Illustrator, Parallels Desktop, Microsoft Office, tai erilaisilta peleiltä. Troijalaisia ohjelmia on jaettu BitTorrent-vertaisverkossa ja kiinalaisessa kolmannen osapuolen sovelluskaupassa. Applen virallisessa AppStoressa ei ole havaittu näitä haittaohjelmia.

Ohjelmistoja tulee asentaa vain luoteuista lähteistä. Erityisesti laittomasti kopioiduissa ohjelmistoissa on havaittu haittaohjelmia.

Wirelurker kykenee saastuttamaan myös iOS-käyttöjärjestelmää käyttäviä laitteita, jotka kytketään saastuneeseen työasemaan. Saastuneesta laitteesta tai työasemasta Wirelurker kopioi osoitekirjan, iMessage-viestit sekä laitetietoja ja lähettää ne komentopalvelimelleen. iWorm puolestaan on nimestään huolimatta takaportti ilman itsenäistä leviämiskykyä.

Applen omat tietoturvaohjelmistot Gatekeeper ja XProtect tunnistavat vain haitalliset ohjelmat, jotka on erityisesti merkitty tarkistettavaksi. Tarkistusmerkintä on haitallisen ohjelmiston lataavan sovelluksen vastuulla, eivätkä esimerkiksi kaikki BitTorrent-asiakasohjelmat tee tarkistusmerkintää.

•  
• http://researchcenter.paloaltonetworks.com/2014/11/wirelurker-new-era-os-x-ios-malware/
• https://www.virusbtn.com/virusbulletin/archive/2014/10/vb201410-iWorm
•  

Päivityshistoria

• 06.11.2014 klo 10:35
  Julkaistu

Suomalainen Klikki Oy on tiedotteensa mukaan löytänyt merkittävän haavoittuvuuden WordPress-sisällönhallintajärjestelmästä. Tiedotteen mukaan haavoittuvuus mahdollistaa ulkopuolisen ohjelmakoodin syöttämisen WordPress-palvelimiin.

Klikki Oy:n mukaan WordPress on julkaisemassa lähipäivinä korjaavan ohjelmistopäivityksen, jonka yhteydessä myös haavoittuvuuden tekniset yksityiskohdat tullaan julkaisemaan. Haavoittuvuuden löytäjän mukaan haavoittuvuus mahdollistaa hyökkääjän ohjelmakoodin suorittamisen palvelimella käyttöjärjestelmän tasolla. Kyseessä on ennakkotietojen mukaan merkittävä haavoittuvuus.

Kyberturvallisuuskeskus on saanut Klikki Oy:ltä ennakkotiedon haavoittuvuuteen liittyen. Seuraamme tilannetta ja julkaisemme lisätietoja, kun tarkempia tietoja haavoittuvuudesta ja sen korjaamisesta on saatavilla.

Kyberturvallisuuskeskuksen toimenpiteet haavoittuvuuden vaikutusten selvityksessä

Viestintäviraston Kyberturvallisuuskeskus noudattaa ohjelmistohaavoittuvuuksien koordinoinnissa ja selvittelyssä vastuullisia periaatteita.

Ennakkotiedon saatuaan Kyberturvallisuuskeskus on selvittänyt tapaukseen liittyvän ohjelmiston versiojakaumaa sekä käyttöastetta suomalaisissa tietoverkoissa kolmannen osapuolen työkalun avulla. Tämän selvittelyn yhteydessä on ilmaistu kolmannelle osapuolelle, että tietoa tarvitaan ohjelmistohaavoittuvuuden vaikutusten arvioimisessa. Tietoja selvityksen kohteena olevasta haavoittuvuudesta, sen löytäjästä tai haavoittuvista ohjelmistoversioista ei ole luovutettu kolmannelle osapuolelle.

WordPress-sisällönhallintajärjestelmien ylläpitäjiä kehoitetaan seuraamaan lähipäivien aikana julkaistavia ohjelmistopäivityksiä sekä päivittämään järjestelmänsä heti, kun päivitys on saatavilla.

Lisätietoja:

• http://klikki.fi/adv/wordpress_ennakko-fi.html