|
Tässä osassa:
Kiva tarjous jostain? Seis!
Älä koskaan avaa tuntemattomasta lähteestä tullutta liitetiedostoa. Älä ainakaan napsauttamalla (klikkaamalla), koska siitä voi seurata mitä vain. Kenties se on pelkkä ns. roskaposti, mutta se voi olla paljon pahempaakin. Usein mukaan on piilotettu tuho-ohjelma, ja viestin näennäinen sisältö on vain silmänlumetta.
Jos olet liittynyt jollekin ns. jakelulistalle (postituslistalle) Internetissä, on kaikkea siltä tulevaa syytä pitää tuntemattomasta lähteestä tulevana. Vaikka viesti tulee tutun listan kautta, varsinainen lähettäjä voi yleensä olla kuka vain.
Jos epäilet, että liitetiedosto, jonka lähettäjää et tunne, saattaisi sisältää jotain hyödyllistä, avaa se varovaisesti, vain sellaisilla ohjelmilla, jotka ainoastaan yrittävät näyttää sisältöä. Esimerkiksi MS Word ei ole tässä suhteessa turvallinen, jos makrojen suoritus on siinä sallittu. Liitetiedoston tyypin tunnistamisesta yms. kertoo dokumentti "Sain tiedoston, jonka nimi loppuu .xyz; mitähän se sisältää?". <http://www.cs.tut.fi/~jkorpela/softa/ext.html>
Mikä on käytäntö siellä, missä toimit?
Sähköpostin liitetiedostoihin suhtaudutaan eri tahoilla eri tavoin. Liitetiedostot voivat olla (ja yleensä ovat) muuta kuin pelkkää "raakaa" tekstiä, esimerkiksi kuvia, tekstinkäsittelyohjelmalla muotoiltuja tekstejä tai PowerPoint-esityksiä.
Monessa yrityksessä ne ovat olennainen ja hyvin tarpeelliseksi koettu viestinnän muoto. Toisaalla taas niihin saatetaan suhtautua hyvinkin kielteisesti muun muassa tietoturvariskien takia. Jossakin taas on omaksuttu välittävä kanta: liitetiedostoja voidaan lähettää, mutta ei esimerkiksi MS Word -muodossa vaan RTF-muodossa, jossa ei käytännössä ole ollut tietoturvaongelmia enempää kuin pelkässä tekstissä. Selvitä itsellesi, miten niihin suhtaudutaan omassa toimintaympäristössäsi.
On paras olettaa, että liitetiedostoja ei haluta
Olipa oman organisaation sisäinen liitetiedostopolitiikka mikä hyvänsä, organisaation ulkopuolelle ei ole syytä lähettää liitetiedostoja, ellei ole varmistettu, että vastaanottaja voi ja haluaa käsitellä niitä. Yleensä pitää olla jokin erityinen syy, jonka takia lähettäisi liiteaineistoa. Esimerkiksi tekstinkäsittelyohjelmalla tehdyn lyhyen asiakirjan voi hyvin tallentaa pelkkänä tekstinä tiedostoon (toiminnolla Save as plain text tms.) ja sieltä sitten leikata ja liimata tai muuten sisällyttää itse sähköpostiviestiin. Tällöin viesti on varmasti luettavissa siitä riippumatta, millaisia laitteita ja ohjelmia vastaanottaja käyttää.
On useita muitakin syitä, joiden takia kannattaa suosia pelkkää tekstiä sähköpostissa: siitä voi lainata tarvittavan osan vastausviestiin; se vie vähemmän tilaa ja siirtyy nopeammin, mikä on tärkeää, jos viesti kääntyy matkapuhelimeen; eikä se herätä turhia epäilyjä siitä, että viestissä voi olla viruksia.
Luonnollisestikin jos vastaanottaja on pyytänyt aineiston jossakin määrätyssä muodossa, pyyntöä on syytä noudattaa mahdollisuuksien mukaan. Tällöin on tärkeää, että omassa koneessa on käytössä kunnollinen viruksentorjunta.
Mitä liitteen mukana lähteekään?
Liitetiedostoja lähetettäessä on syytä ottaa huomioon, että esimerkiksi Word saattaa tallentaa tiedostoon sisäisesti muutakin, kuin miltä näyttää, myös tallennettaessa RTF-muotoon. On aika ikävää, jos esimerkiksi tarjouksen sisältävästä dokumentista vastaanottaja pystyy saamaan selville, miten tarjousta on luonnosvaiheessa muuteltu! Seuraava on ote Wordin käyttöohjeesta (suojaus-hakusanan kautta löytyvästä kohdasta, jossa on käsitelty myös muita tietoturvaongelmia ja -ratkaisuja):
Poistetut tiedot näkyvät yhä asiakirjassa
Jos olet tallentanut asiakirjan Salli pikatallennus -vaihtoehdolla ja sen jälkeen avannut sen tekstitiedostona, asiakirjassa voi olla aiemmin poistettuja tietoja. Tämä johtuu siitä, että pikatallennus lisää asiakirjaan tehdyt muutokset asiakirjan loppuun sen sijaan, että se tekisi itse asiakirjaan muutokset mukaan lukien poistamiset.
Poista poistetut tiedot pysyvästi sulkemalla tekstitiedosto ja avaamalla asiakirja tavallisena Word-asiakirjana. Valitse Tiedosto Tallenna nimellä Tallenna. Voit myös poistaa pikatallennuksen käytöstä valitsemalla Työkalut Asetukset ja poistamalla Tallenna-välilehden Salli pikatallennus -valintaruudun valinnan.
Internet on tehokkaimpia tapoja levittää valheita ja huijausta. Tekniikan lisäksi tähän vaikuttaa se, että ihmiset ovat hyvin halukkaita "levittämään tietoa", kun se on heille vaivatonta ja kun kyse on näennäisesti tärkeästä ja hyvästä asiasta, esimerkiksi ihmisten suojelemisesta tietokoneviruksilta.
Kiinnostavaa, liikuttavaa - mutta onko se myös totta?
Ihmiset voidaan aika helposti saada uskomaan erittäin vakuuttavannäköiseen mutta täysin perättömään "uutiseen" ja levittämään sitä. Sama koskee vetoomuksia toimia jonkin hyvän asian puolesta, etenkin, jos siinä on mukana ihmisten sääliin vetoaminen.
Ota huomioon, että esim. sähköpostin lähettäjätietojen väärentäminen on teknisesti melko helppoa. Erityisesti lähettäjäkenttään (From-kenttään) voi lähettäjä useimmissa ohjelmissa kirjoittaa ihan mitä haluaa. Artikkeli, joka näyttää tulevan kansainvälisesti tunnetulta tiedemieheltä tai valtiolliselta organisaatiolta, on voinut tulla ihan mistä hyvänsä.
Ei siis pidä ruveta levittämään "tietoa" vain siksi, että se kuulostaa tärkeältä tai muuten vaikuttavalta. On olemassa valtava määrä sellaisia "tietoja", joita levitetään Internetissä laajamittaisesti, jopa samaa juttua vuodesta toiseen, vaikka niissä ei ole mitään perää tai alkuperäinen asia on vääristynyt täysin. Katso esim. mittavaa kokoelmaa Urban Legends Archive. <http://www.urbanlegends.com/>
Sano "ei" ketjukirjeille
Ketjukirjeitä ei pidä lähettää, ei varsinkaan, jos niissä uhkaillaan kauheuksilla, joita tapahtuu, jos "katkaisee ketjun". Suuri osa ketjukirjeistä on silkkaa huijausyritystä: jos tarpeeksi monet ihmiset uskovat, että rahaa tulee tyhjästä, niin joku, nimittäin ketjun alullepanija, saa rahaa. Sellaiset ketjukirjeet ovat lainvastaisiakin. Jos kyse on pelkästä viestien lähettämisestä eteenpäin, vahinko syntyy toisaalta turhasta verkkoliikenteestä, toisaalta viestien mahdollisesta sisällöstä, esimerkiksi perättömistä tiedoista.
Huijausta ja viestinnän häirintää
Enimmäkseen väärän informaation levittäminen vain tuhlaa aikaa ja muita voimavaroja. Mutta kun kyse on monien ihmisten ajasta, sillä on merkitystä. Lisäksi mukana voi olla kehotuksia toimia tavalla, joka tosiasiassa merkitsee tietoturvariskiä tai muuta vaaraa, esimerkiksi rahojen huijaamista.
Kuluttajaviraston sivuilla on tietoa myös Internet-kaupasta, mm. lomake, jolla voi arvioida kaupan luotettavuutta. <http://www.kuluttajavirasto.fi>
Kaikki väärä informaatio on haitaksi sen takia, että mitä suurempi informaation virta on, sitä huonommin oikea ja tärkeä tieto menee perille. Erityisen haitallista on sellainen väärä tieto, joka muistuttaa oikeaa tai näyttää erityisen tärkeältä.
Tuntemattomalta lähettäjältä tulevat sähköpostiviestit ovat erittäin usein ns. roskapostia (spämmiä, spam) eli aineistoa (useimmiten mainontaa), joka on lähetetty massajakeluna esimerkiksi miljoonalle Internetin käyttäjälle. Hyvin usein asiaan liittyy lisäksi jonkinasteista huijausta.
Roskapostiviestissä on usein mukana linkki, jota seuraamalla käyttäjä tulee kertoneeksi roskapostin lähettäjälle, että osoite toimii. Tästä taas seuraa lisää roskapostia. Pelkkä viestissä olevan kuvan latautuminen voi aiheuttaa saman.
Roskapostin mukana on usein liitetiedosto, joka sisältää viruksen. Tällöin onkin kyse yleensä houkuttelevaksi tarjoukseksi naamioidusta viruksesta.
Roskapostiksi tunnistamisessa voi auttaa Ryhmän sfnet.viestinta.roskapostit epävirallinen VUKK (FAQ). <http://www.iki.fi/kaip/spam/vukk.html>
Älä ainakaan vastaa
Älä reagoi roskapostiin, paitsi mahdollisesti tekemällä siitä valituksia asianomaisia kanavia myöten. Älä vastaa viestin lähettäjälle äläkä osoitteeseen, jonka väitetään olevan sitä varten, että pääset pois jakelulistalta. Todennäköisesti sellainen reagointi saisi aikaan vain sen, että pääset uusille jakelulistoille ja osoitettasi voidaan myydä "taatusti toimivien osoitteiden" joukossa.
Roskaposti aiheuttaa suuren määränsä takia ongelmia järjestelmien toimivuudelle. Tavallisen käyttäjän kannalta se on pikemminkin inhottava kiusa kuin varsinainen tietoturvauhka; toki voi menettää rahojaan jonkin verran, jos uskoo roskapostien sisältöön.
"Roskapostisuojaus": ratkaisu vai lisää ongelmia?
Roskapostin lähettäjät käyttävät laajoja osoitelistoja, joita on koottu muun muassa verkkosivuilta ja verkon keskusteluryhmistä. Tämän takia ehdotetaan usein, että roskapostia vastaan pitäisi suojautua sillä, että sähköpostiosoitteet jätetään pois tai niihin lisätään jokin merkkijono, joka lähettäjän pitää pois.
Kuitenkin sähköpostiosoitteiden sotkeminen aiheuttaa useita ongelmia. Jos osoitteen mmx@foo.example sotkee muotoon mmx@fooPOISTA.example, niin ehkä suomalainen päättelee, mitä tarkoitetaan. Mutta entäs sitten, kun viesti tulikin lähetettyä japanilaiselle liikekumppanille? Lisäksi vastaamisen tahallinen vaikeuttaminen voidaan kokea hyvin epäkohteliaaksi.
Yleensä on helppo oppia tunnistamaan selvä roskaposti (MAKE MONEY FAST!!!) roskapostiksi jo otsikon perusteella, itse viestiä edes lukematta. Jos roskapostin määrä käy niin suureksi, että sen hävittäminen aiheuttaa liikaa työtä, tutustu jäljempänä kerrottaviin keinoihin suodattaa roskaposteja pois automaattisesti.
Ei ole terveellistä epäillä kaikkia ihmisiä kaiken aikaa. Mutta jos joku ehdottaa tai tekee jotain, joka olisi tietoturvan kannalta vaarallista, on syytä ruveta epäluuloiseksi. Olipa hän miten miellyttävä tai arvovaltainen tahansa.
Pehmeä tekniikka toimii usein hyvin
Tietoturvaan liittyy niin paljon teknisiä ja vaikeita asioita, että kovin helposti unohtuu, että useinkaan tietomurtoon ei tarvita mitään "kovaa" tekniikkaa, vaan "pehmeä" tekniikka, pahaa-aavistamattomien ihmisten luottamuksen hyväksikäyttö, riittää mainiosti ja usein sopii paremmin murtautujan tarkoituksiin.
Suomalaisten sanotaan olevan jöröjä ja kömpelöitä, ja luultavasti me olemmekin suhteellisen tottumattomia sulavaan käytökseen. Sellaista kohdatessamme saatamme ihastua siihen tai ylipäänsä vain kiinnittää huomiomme siihen niin, että huomaamattamme annamme tietoja tai muuta apua ihmiselle, jonka todellisena tavoitteena on jonkinlainen tietomurto.
Kukahan oikeasti on luurin päässä?
Usein tietoja urkitaan puhelimessa. Silloin tietomurtoa yrittävä ei paljasta ulkonäköään, jolloin hän jää tosiasiassa tuntemattomaksi mutta voi esittäytyä vaikkapa konsernin tietoturvapäälliköksi tai suurasiakkaan edustajaksi. Sähköpostin käyttöä yritetään myös samoista syistä, mutta se ei ole samalla tavalla vaikuttavaa kuin esimerkiksi asioiden kysyminen puhelimessa, jolloin on sosiaalisista syistä vaikeampi jättää vastaamatta tai ottaa miettimisaikaa. Henkilökohtainen käynti vaikuttaa tehokkaimmin. Ja vaikka siihen sisältyy suuri kiinnijäämisen riski, niin taitava tietomurron yrittäjä on jo suunnitellut valmiiksi, mitä tehdä, kun se uhkaa.
Ovelia menettelytapoja
Seuraavassa on joitakin esimerkinomaisia havaintoja menettelytavoista:
- Tunkeutuja voi tekeytyä peruskäyttäjäksi, jolla on hankaluuksia ja joka pyytää apua muilta. Ehkä hän kääntyy suoraan järjestelmän ylläpitäjien puoleen, koska heillä tietysti on eniten hänelle hyödyllistä tietoa. Mutta koska he saattavat olla varuillaan, tunkeutuja voi kääntyä myös muiden peruskäyttäjien puoleen; heidänkin tietonsa (kuten omat salasanat) ovat tunkeutujille hyödyllisempiä kuin he itse useinkaan ymmärtävät. Hän kenties kertoo, että on hukannut salasanansa tai ei muuten pääse sisään järjestelmään ja tarvitsee pääsyä järjestelmään kiireellisesti, esittäen jonkin vetoavan syyn siihen.
- Tunkeutuja saattaa kertoa nimekseen tai asemakseen jotain, joka kertoo kättelyssä, että hän on Tärkeä Henkilö. Peruskäyttäjä tai ylläpitäjä ei ehkä uskalla sanoa "ei", kun pääjohtajan tarvitsee heti päästä lukemaan ratkaisevan tärkeä viesti.
- Tunkeutuja ehkä tarvitsee tietoja, jotka järjestelmän laillisista käyttäjistä tuntuvat tietoturvan kannalta merkityksettömiltä. Monenlaiset käytön järjestelyihin, järjestelmän pieniin yksityiskohtiin yms. liittyvät seikat voivat olla tarpeen tunkeutujalle; koska hän ei ole koskaan käyttänyt järjestelmää ja aikoo esim. tunkeutua verkon kautta, hän joutuu onkimaan tietoja. Niinpä hän esiintyy eksyksissä olevana käyttäjänä; useimmat ihmiset ovat silloin valmiita auttamaan "tyttöä pulassa".
- Toisaalta tunkeutuja voi tarjota apua käyttäjälle saavuttaakseen hänen luottamuksensa. Käyttäjä, joka on turhautunut kohtaamiinsa ongelmiin ja helpdeskin avuttomuuteen, on enemmän kuin onnellinen, kun joku tulee tarjoamaan apua, ja kenties riemusta kirkuen kertoo salasanansa. Etenkin kun toinen vielä esiintyy teknisenä asiantuntijana. Ja sellaisillehan toki on ihan sopivaa paljastaa salaisuuksiakin, eikö totta?
- Tunkeutuja voi esiintyä myös ulkopuolisena asiantuntijana, esimerkiksi tietokoneen korjaajana, verkkoyhteyksien tarkastajana tai ohjelman asentajana. Peruskäyttäjän ei pitäisi päästää sellaista tekemään mitään, paitsi jos on itse tilannut työn tai saanut oman organisaation sisältä asiasta tiedon.
- Tunkeutuja ehkä kehottaa käyttäjää antamaan komentoja, käynnistämään ohjelmia yms., perusteluna se, että näin käyttäjä antaa apuaan tai selviää omasta pulmatilanteestaan. Kun kehotus esitetään teknisenä kuvauksena, tyyliin "kirjoita
rmdir -r ~", käyttäjä ei ehkä lainkaan ymmärrä, mitä on tekemässä, eikä osaa epäillä mitään. (Tyypillisessä Unix-järjestelmässä kyseinen komento hävittää käyttäjän kaikki hakemistot tiedostoineen. Tyypillinen Unix-käyttäjä ei tiedä tätä.)
Oikeat ylläpitäjät eivät tarvitse eivätkä kysy salasanaasi, sillä heillä on tekniset keinot tehdä tarvittavat asiat muutenkin.
Internetissä on vapaasti saatavilla valtava määrä tekstejä, kuvia, tietokoneohjelmia, videoesityksiä ja paljon muuta. Niitä saa myös levykkeillä ja muilla tietovälineillä tutuilta ja tuntemattomilta, usein kylkiäisinä tai ilmaiseksi. Osa sellaisesta aineistosta on jopa laillisesti saatavilla, mutta hyvin iso osa on laittomia ns. piraattikopioita.
Laillinen ohjelma on turvallisempi
Tekijänoikeuskysymykset eivät kuulu tämä oppaan aihepiiriin, mutta yksi huomautus on syytä tehdä: piraattikopioiden käyttö on epäsuora turvariski, koska niiden käyttäjä ei uskalla pyytää apua ongelmiinsa, peläten jäävänsä kiinni laittomuudesta. Lisäksi piraattikopioissa on usein viruksia.
Ns. shareware-ohjelmia käytetään usein maksamatta niitä pienehköjä maksuja, joita pyydetään. Tämä ei välttämättä ole laitonta vaan on ehkä mahdollista esim. tulkitsemalla "kokeilukäytön" käsitettä sopivan väljästi. Mutta tietoturvankin kannalta on hyvä huomata, että maksu usein antaa paremmat mahdollisuudet saada ohjelmaan päivityksiä, ohjelman täydellinen versio (jossa voi olla turvallisuuttakin parantavia lisäpiirteitä), tuotetukea ym. Eri asia sitten on, että shareware-ohjelmien joukko on varsin kirjava, ja mukana on paljon tekeleitä, joissa ei ole tietoturvaa ajateltukaan.
Tekniikoita: Web, FTP
Aineistoja haetaan Internetistä nykyisin enimmäkseen Webin (WWW) kautta, mutta vanhempi "imuroinnin" tapa FTP on myös käytössä. Tietoturvan kannalta molemmat ovat suunnilleen yhtä ongelmallisia teknisesti, mutta Webin käytön helppous tekee siitä käytännössä vaarallisemman.
Lisäksi kun Web-selaimella seuraa linkkiä imuroitavaan tiedostoon, niin tyypillinen selain oletusarvoisesti yrittää imuroinnin jälkeen automaattisesti tehdä tiedostolle jotain. Jos se on esimerkiksi Word-dokumentti, selain saattaa tunnistaa tämän ja automaattisesti käynnistää Word-ohjelman näyttämään dokumentin. Tähän taas sisältyy useita riskejä.
Ota talteen tieto alkuperästä
Suhtaudu imuroimiisi tiedostoihin varovaisesti, kuten sähköpostitse tulleisiin liitteisiinkin. Vaikka luulet tietäväsi, mistä imuroit, se voi olla harhaa. Joka tapauksessa huolehdi siitä, että jonnekin tulee talteen tieto siitä, mistä osoitteesta olet imuroinut. Usein sellainen tieto on mukana "paketissa", mutta tarkista asia.
Nimi on voitu valita harhaanjohtavaksi, samoin tyyppi
Älä luota sokeasti tiedoston nimeen äläkä tyyppimerkintään, älä myöskään Web-sivulla oleviin tietoihin tiedostosta. On aika tavallinen mutta tehokas kikka nimetä haittaohjelma niin, että se nimensä perusteella näyttää tekstitiedostolta, kuvalta tms. taikka joltakin yleisesti tunnetulta hyöty- tai hupiohjelmalta.
Windows "piilottaa" sellaiset tiedostonnimien päätteet, jotka kuuluvat Windowsin tunnistamien päätteiden listaan. Tätä käytettiin ensi kerran hyväksi laajalle levinneessä LoveLetter-viruksessa, jossa sähköpostin liitetiedostona tuli tiedosto nimeltä LOVE-LETTER-FOR-YOU.TXT.vbs, jonka Windows näyttää muodossa LOVE-LETTER-FOR-YOU.TXT, jolloin se näyttää tekstitiedostolta vaikka on tosiasiassa Visual Basic -ohjelmakoodia. Kyseinen Windowsin piirre voidaan kyllä kytkeä pois toiminnasta, ja monissa järjestelmissä niin on valmiiksi tehtykin, ja se voi hiukan auttaa. Esimerkiksi suomenkielisessä Windows 98:ssa menettely on seuraava: kaksoisnapsauta "Oma tietokone" -kuvaketta, sitten levyaseman (C:) kuvaketta, valitse avautuvan ikkunan Näytä-valikosta kohta "Kansion asetukset...", sitten Näkymä-vaihtoehto ja napsauta kohdan "Piilota tunnistettujen tiedostotyyppien tunnisteet" edessä olevaa ruutua, jos siinä ruksi, ottaaksesi kyseisen asetuksen pois.
Ohjelmalla on valta koneessa
Ohjelman käynnistäminen tietokoneessa antaa koneen ohjelman hallintaan enemmän tai vähemmän kokonaan. Ilmaisu "enemmän tai vähemmän" viittaa siihen, että tietokonejärjestelmissä on suojauksia, joiden tarkoitus on estää ohjelmaa sotkemasta asioita kovin pahasti. Mutta suojaukset ovat aina puutteellisia, ja koko tietokoneen perusideaan kuuluu, että se toimii siihen kulloinkin latautuneen ohjelman mukaisesti, sen kontrollissa.
Tästä seuraa aika pelottavia näkymiä, etenkin kun otetaan huomioon, että ohjelmat ovat tulleet aiempaa paljon suuremmiksi ja monimutkaisemmiksi. Tähän sisältyy paljon mahdollisuuksia mutta myös vaaroja. Mitä isompi kokonaisuus, sitä helpommin käy niin, että jonnekin jää ohjelmointivirhe, etenkin, kun virheitä usein syntyy osien vuorovaikutuksesta, jota ei osattu ennakoida, kun kukin ohjelmoija teki omaa osuuttaan.
Ohjelmissa on aina virheitä
Lähes kaikissa ohjelmissa, joilla voi tehdä jotain hyödyllistä tai hauskaa, on virheitä, "bugeja". Jos ohjelma on hyvin tehty ja ylläpidetty, virheet eivät ole kovin vakavia eivätkä ilmene useimmissa käyttötavoissa, koska ohjelmaa on eri tavoin testattu paljon. Ohjelman alkuperän tunteminen auttaa tällaisten asioiden arvioimisessa, etenkin, kun tieto alkuperästä sisältää yleensä tiedon ohjelman "tuoreudesta". Jos ohjelman dokumentaatio kertoo, että ohjelmaa on viimeksi päivitetty vuonna 1996, niin tämä harvoin johtuu siitä, ettei päivittämisen tarvetta olisi ollut.
Uusin versio voi olla liiankin uusi
Toisaalta hyvin uudet ohjelmaversiot eivät nekään ole yleensä kovin luotettavia. Tavallisesti kestää muutamia kuukausia, ennen kuin uudesta versiosta on saatu korjatuksi julkaisemisen jälkeen käytössä havaitut virheet ja on saatu levitykseen korjattuja versioita.
Lisäksi on syytä erityisesti varoittaa beetaversioista (beta version), jotka voivat kulkea myös nimellä evaluation version: ne ovat kokeiluja, jotka annetaan innokkaiden vapaaehtoisten testattaviksi, yleensä ilman minkäänlaista toimivuustakuuta edes etäisesti muistuttavaa lupausta. Yleensä beetaversioita kannattaa kokeilla vain niiden, jotka haluavat enemmänkin antaa panoksensa ohjelman kehitystyöhön kuin käyttää ohjelmaa johonkin käytännölliseen. Ison ohjelmistotalon beetaversio tosin saattaa jo olla kohtalaisen toimiva ja sisäisen testauksen läpikäynyt.
Tahallistakin tuhoa
Lisäksi ohjelmiin voidaan tahallisesti piilottaa piirteitä, jotka aiheuttavat tuhoa tai ainakin harmeja. Sitä, miksi niin tehdään, pohditaan jäljempänä. Tosiasia joka tapauksessa on, että sellaista tehdään.
Tässä ei tarkemmin paneuduta siihen, mitä eri haitta- tai haittaohjelmien tyyppejä kuten "viruksia", "matoja", "troijalaisia" jne. on olemassa. Aihetta kuvataan esimerkiksi TKK:n virusoppaan <http://www.hut.fi/atk/oppaat/virukset/> kohdassa Terminologiaa. Olennaista on, että niitä on monenlaisia eivätkä ne usein ole mitenkään helposti tunnistettavissa haitallisiksi saati lajiltaan luokiteltavissa. Esimerkiksi viruksentorjuntaohjelmat tehoavat vain osaan (joskin merkittävään osaan) haittaohjelmista. On tärkeää käyttää hyvän viruksentorjuntaohjelman tuoreinta versiota säännöllisesti, mutta ei siis pidä tuudittautua ajattelemaan, että se riittäisi suojaamaan kaikelta pahalta.
Pienikin ohjelma voi olla salatie verkkoon
Kun suoritat (ajat) tietokoneessasi jotain ohjelmaa, se muun ohessa ehkä käyttää verkkoa tietämättäsi. Kun tietokone on yhteydessä verkkoon, mikä tahansa ohjelma voi käyttää verkkoa ja voi kertoa tai olla kertomatta siitä sinulle. Ohjelma voidaan tehdä vaikkapa sellaiseksi, että kun käynnistät sen, pääset pelaamaan hauskaa räiskintäpeliä, kokoamaan ruokareseptejä tai katselemaan luontokuvia - mutta todellisuudessa ohjelma sen lisäksi esimerkiksi lähettää kaikki tiedostosi, sopivassa tahdissa huomaamattomasti yksi kerrallaan, Internetin kautta jollekulle.
Tai jotain pahempaa. Kiinnostavaan ohjelmaan on ehkä piilotettu ns. takaportti (backdoor) eli pieni ohjelmakoodin pätkä, jonka kautta murtautuja pääsee käyttämään konetta verkon kautta ja voi siten myös käyttää sitä tunkeutuakseen muihin koneisiin.
Nämä ovat todellisia uhkia, mutta on myös todellisia keinoja suojautua niitä vastaan. Asian tärkeys lisääntyy sitä mukaan, kuin kiinteät Internet-yhteydet yleistyvät.
Kehen luotat?
Useimmat tietokoneen käyttäjät eivät tunne ohjelmointia, joten he eivät yksinkertaisen ohjelman koodistakaan osaisi päätellä, mitä se todella tekee, eikä koodia useinkaan ole edes saatavilla ns. lähdekoodina. Joudumme siis käytännössä luottamaan muiden antamiin tietoihin siitä, mitä ohjelmat tekevät. Sitä tärkeämpää on katsoa, kehen luottaa missäkin.
Suhteellisuudentaju on syytä säilyttää. Kotikoneeseen voi asentaa ohjelmia melko huolettomasti esimerkiksi luotettavien tietokonelehtien kylkiäisinä tulleilta rompuilta taikka tunnetusta Tucows-jakelusta. <http://www.tucows.fi/> Töissä on syytä olla varovaisempi.
Saako koneeseesi edes asentaa ohjelmia?
Monet organisaatiot ovat kokonaan kieltäneet ohjelmien imuroinnin ja ajamisen Internetistä. Se haluttaisiin ehkä estääkin, mutta täydellinen estäminen voi olla käytännössä mahdotonta. Jotkin organisaatiot sallivat vain ATK-asiantuntijoiden (ylläpitäjien) asentaa ohjelmia; syynä voi olla paitsi turvallisuus myös se, että sellainen ratkaisu helpottaa ylläpitotyötä. Jos sellaisia ohjeita on annettu, noudata niitä tarkasti.
Web-selaimet saattavat ladata tiedostoja enemmän tai vähemmän "ohimennen". Et ehkä ole liikkeellä ladataksesi tiedostoja, mutta jotain silti latautuu. Selain ehkä omalla tavallaan kysyy sinulta lupaa, mutta et välttämättä huomaa, mitä on tapahtumassa.
Mitä annat selaimen kytkeä itseensä?
Tyypillistä on, että kun ensi kertaa menet sivulle, jolla on jotain erityistä tekniikkaa käyttävä kehitelmä, esimerkiksi animaatio, selain hakee ja asentaa itseensä lisäosan, "valmisosan" (plug-in) sen toteuttamiseksi. Kun siis Web-sivulla oleva teksti tai selaimesi ehdottaa jonkin "valmisosan" lataamista ja asentamista voidaksesi katsoa tai käyttää sivun sisällön jotakin osaa, on hyvä kysyä: Mikä on tämä "valmisosa"? Mitä takeita sen turvallisuudesta on? Mitä erikoisemmasta tekniikasta on kyse, sitä varovaisemmin on suhtauduttava. Voi olla hyvä kysyä asiantuntijalta neuvoa, mieluiten turva-asioiden tuntijalta.
Esimerkkeinä todennäköisesti harmittomista ja usein hyödyllisistäkin lisäosista voidaan mainita Macromedia Flash, joka toteuttaa erilaisia Web-sivun eloisuutta lisääviä asioita, ja RealPlayer, joka esittää määrätynlaisia ääni- ja videoesityksiä. Jos käyt erikielisillä Web-sivuilla ja käytät Windows-konetta, selaimesi saattaa hyvinkin joskus ilmoittaa, että järjestelmääsi on asennettava "Yleiseurooppalainen näyttötuki". Tämä on aivan asiallista. Jos käytät modeemia, toimenpide voi kestää jonkin aikaa, koska asennustoiminto joutuu todennäköisesti lataamaan tuen Internetistä.
Välimuisti (cache) voi juoruta
Toisen tietoturvaongelman muodostavat selainten välimuistit (caches): kun käyt eri Web-sivuilla, selain tallentaa sivuja (ja niiden osoitteita) väliaikaisesti tietokoneen keskusmuistiin tai levylle tai molempiin. Ja väliaikaisuus voi olla aika pitkääkin, esimerkiksi parikymmentä päivää. Tämä usein olennaisesti nopeuttaa käyttöä silloin, kun käyttäjä siirtyilee sivulta toiselle ja esim. kulkee paljon jonkin hakemistosivun kautta tai palaa joillekin tärkeille sivuille usein. Mutta siinä on myös riskinsä.
Se merkitsee, että seuraava käyttäjä voi yleensä vielä päivienkin kuluttua katsoa selaimen sivuhistoriasta, millä sivuilla on käyty. Tämä on olennaista, jos sivu on esimerkiksi pankin järjestelmän tulostama tiliote. Tosin hyvin tehty pankkisovellus tekee kaikkensa estääkseen sellaisen sivun sisällön automaattisen tallentumisen välimuistiin.
Etenkin yhteiskäyttöisten (esim. mikroluokkien ja kirjastojen) tietokoneiden käytössä kannattaa tyhjentää välimuistit, jos sivuhistoriassa on suhteellisen arkaluonteista tietoa. Huomaa, että tämä voi vaatia välimuistin tyhjentämistä sekä keskusmuistista (memory cache) että kovalevyltä (disk cache); se ei ole kovin vaikeaa, mutta se pitää opetella kullekin selaimelle erikseen.
Selain ajamassa ohjelmia
Web-selaimet voivat myös automaattisesti suorittaa sivuilla olevia ohjelmia eli skriptejä, esimerkiksi JavaScript-koodia tai Java-sovelmia. Itse asiassa tämä korostettu teksti näkyy tai kuuluu juuri siksi, että selaimesi suoritti pienen JavaScript-ohjelman! (Tämä tapahtui 17. joulukuuta 2008.) Ja JavaScriptillä voidaan tehdä monenlaisia asioita. Tällainen ohjelmien suorittaminen voidaan estää selaimen asetuksilla, mutta tavallisimmissa selaimissa asetus on alkutilanteessa se, että suoritus on sallittua. Selvitä itsellesi oman organisaatiosi turvapolitiikka tässä suhteessa. Osa kyseisistä ohjelmista on hyödyllisiä tai ainakin hauskoja Webin käytössä, mutta suurin osa on melko turhanpäiväistä tai häiritsevääkin, esimerkiksi uusien ikkunoiden holtiton availu kuvaruudulle. Lisäksi niihin liittyy tietoturvariskejä. Virusten leviäminen perustuu osittain juuri siihen, että skriptit saattavat tehdä asioita, joita niiden ei pitäisi voida tehdä.
Eräs vaihtoehto varsinkin ns. vakavassa käytössä on, että mm. JavaScript-, ActiveX- ja Java-koodin suorittaminen on normaalisti estettynä mutta se voidaan hetkellisesti ottaa käyttöön sivuilla, joilla se on perusteltua ja joita voidaan pitää luotettavina. Tämän tekeminen eräissä tavallisissa selaimissa on selostettu CERT/CC:n ohjeessa Frequently Asked Questions About Malicious Web Scripts Redirected by Web Sites. <http://www.cert.org/tech_tips/malicious_code_FAQ.html>
Lomake: yleensä suojaamaton yhteys
Web-sivut sisältävät usein lomakkeita (forms). Kuten sähköpostikin, lomaketiedon lähetys (Web-selaimelta Web-palvelimelle) on lähtökohtaisesti turvatonta, salaamatonta. Tämä koskee myös salasanoja: et itse näe, mitä kirjoitat salasanakenttään, mutta salasana lähtee useinkin muun tiedon mukana salaamattomana verkkoon.
Suojaamaton yhteys on melko vaaraton silloin, kun lomake on esimerkiksi hakulomake, jolla etsitään Web-sivuja tai tietoa jostakin tietokannasta. Mutta jos lomakkeella annetaan henkilötietoja tai tehdään tilauksia, tietojen vuotaminen on todellinen riski. Sen palvelun tarjoaja, jota lomakkeen kautta käytetään, on ehkä luotettava. Mutta lähettämäsi tiedot ovat ulkopuolisten siepattavissa, kun ne kulkevat selaimen ja palvelimen välillä.
Turvattomuuden vähentämiseksi on kehitetty useita mekanismeja, joista merkittävin on nykyisin Secure Sockets Layer (SSL). Sitä käytettäessä tieto kulkee salakirjoitettuna, Useimmat nykyaikaiset selaimet tukevat sitä, mutta se on käytössä vain silloin, kun se on itse sivuilla kytketty toimintaan; merkkinä tästä on, että sivun osoitteen alussa ei ole http: vaan https:. (Kirjain s johtuu sanasta secure 'turvallinen'.)  Ainakin käytettäessä Internetiä maksuliikenteeseen on syytä tarkistaa, että sellainen tai muu tarpeeksi luotettava suojaus on käytössä! Tyypillinen selain näyttää selainikkunan alapalkissa jonkinlaisen pienen lukon kuvan merkiksi SSL-salauksesta. Kun kursori viedään kuvan päälle, selain yleensä näyttää tiedon siitä, miten vahva salaus on käytössä; luotettavan salauksen miniminä pidetään nykyisin 128-bittistä.
Jos kuitenkin sivu käyttää ns. kehyksiä (frames), niin lukko näkyy hiukan vaihtelevasti silloin, kun osa sivuista tulee suojattuina ja osa ei. Lisäksi lukko sinänsä ei takaa, että lomaketiedot kulkisivat suojatun yhteyden yli.
Tervetuloa ...:n sivuille! (Tai sitten jonnekin muualle)
On hyvin helppoa tehdä Web-sivusta kopio, joka näyttää aivan alkuperäiseltä mutta jota voi sitten muutella sisällöltään miten haluaa. Oikean osoitteen näkyminen voidaan myös estää eräillä helpoilla tekniikoilla.
Vaativammilla tekniikoilla voidaan lisäksi usein onnistua osittain sekoittamaan Internetin ns. nimipalvelu (DNS). Tällöin käyttäjä, joka on tottunut vierailemaan vaikkapa jonkin suuryrityksen (oikeilla) sivuilla jonain päivänä niille mennessään törmääkin esimerkiksi pornosivuihin. Vaikeammin havaittavaa olisi, jos sivu näyttää aivan oikealta mutta sisältöä on väärennetty jossakin tarkoituksessa.
Aitous joskus varmistettavissa sertifikaatista
Joissakin tapauksissa voidaan varmistaa sivun aitous edellä mainitun SSL:n ansiosta: suojatussa yhteydessä voit katsoa sivun ns. "sertifikaattia". Kussakin Web-selaimessa on oma tapansa tehdä tämä, mutta usein toimii alapalkissa olevan lukon kuvan kaksoisnapsauttaminen. Sertifikaatti ilmoittaa omistajansa ja sen, mikä taho on antanut sen. Voiko siihen tahoon sitten luottaa? Jos sertifiointipolkua taaksepäin seuraamalla päädytään esimerkiksi sellaiseen yritykseen kuin Verisign tai Thawte, niin asiat ovat todennäköisesti kunnossa.
Tavalliset sivut eivät yleensä sisällä mitään sertifikaatteja. Yleisemmin varsinkin jos aikoo käydä kauppaa tai harjoittaa muuta taloudellisesti tai muutoin merkittävää jonkun kanssa, kannattaa katsoa, kenen kanssa on tekemisissä. Täyttä varmuutta on vaikea saada, mutta ainakin kannattaa katsoa, onko sivuilla mitään yhteystietoja.
Jos toisesta ei ole helposti saatavilla muuta kuin esimerkiksi sähköpostiosoite, Web-sivun osoite tai postilokero-osoite, on syytä ruveta varsin epäluuloiseksi. Viranomaiset ovat usein varoittaneet, että Internetin välityksellä tapahtuvissa kaupoissa tulisi käyttää vain sellaisia luotettavia maksupaikkoja, joissa palvelun tarjoaja ilmoittaa avoimesti täydelliset yhtiö- ja osoitetietonsa sekä kontaktihenkilönsä.
Sähköposti- ja muihin viesteihin voidaan eräillä tekniikoilla liittää niin sanottu kehittynyt sähköinen allekirjoitus. Tämä tarkoittaa tietoa, joka ei ole suoraan ihmisen luettavissa vaan on sopivilla ohjelmilla avattavissa niin, että käyttäjä voi saada varmistuksen siitä, että lähettäjä on se, joka sanoo olevansa. Menettely on vielä melko vähän käytössä, mutta sen käyttöä pyritään edistämään mm. turvallisen kaupankäynnin ja asioinnin edellytysten parantamiseksi. Suomessa on laki sähköisistä allekirjoituksista, joka mm. antaa kehittyneelle sähköiselle allekirjoitukselle virallisen aseman.
Arkikielessä käytetään usein ilmaisuja "sähköinen allekirjoitus" ja "digitaalinen allekirjoitus" erilaisissa merkityksissä. Lakitekstin muotoilut pyrkivät olemaan riippumattomia kulloinkin käytettävistä tekniikoista, ja siksi niiden suhde teknisiin termeihin voi vaihdella.
|
In English 
