Alkuviikosta uutisoitiin uudesta WPA2-haavoittuvuudesta. Haavoittuvuus aiheuttaa sen, että tietosi eivät ole turvassa, jos käytät julkisia langattomia verkkoja tien päällä.
Pyysin Team ROT:n eettistä hakkeria ja Solitan cloud and security specialistia Iiro Uusitaloa antamaan EOT:n lukijoille selkeät ohjeet siitä, miten reissussa hoidetaan töitä turvallisesti. Annetaanpa Iiron puhua:
Jokainen tietotyöläinen reissaa joskus. Tien päällä joutuu käyttämään tietoverkkoa joko kännykällä tai läppärillä. Mutta miten voi tehdä työtä turvallisesti siten, etteivät luottamukselliset tiedot joudu vääriin käsiin? Tässä viisi vinkkiä, miten suojautua ja mitä kannattaa välttää julkisissa liikennevälineissä.
1. Käytä aina VPN-yhteyttä, varsinkin suojaamattomissa langattomissa verkoissa.
VPN-yhteyden avulla käyttäjän liikenne salataan niin, että käyttäjän laitteen ja VPN-palvelimen välille muodostetaan suojattu tunneli. Tällöin kukaan ei voi kuunnella tunnelin sisällä menevää liikennettä, vaan tunneli huolehtii, että liikenne on salattua aina VPN-palvelimelle saakka.
Jos työnantajallasi tai sinulla ei ole VPN:ää, suosittelen hankkimaan esimerkiksi F-Securen Freedomen.
2. Älä tallenna avoimia langattomia verkkoja laitteesi muistiin.
Varmista, ettet tallenna esimerkiksi VR-junaverkkoa laitteesi asetuksiin. Jos tallennat verkon laitteesi muistiin, se yrittää ottaa automaattisesti yhteyttä verkkoon, vaikka olisit yökerhossa. Tällöin hakkeri pääsee kierrättämään liikenteen oman verkkonsa kautta, jos hän nimeää verkkonsa pokkana VR-junaverkoksi.
Jos joudut käyttämään avoimia langattomia verkkoja, käytä aina VPN:ää.
3. Älä jätä läppäriä vartioimatta, kun poistut paikaltasi.
Junassa monet jättävät laitteensa pöydälle, kun he menevät vessaan tai ravintolavaunuun. Tämä on pelottavan yleistä. Hakkeri tarvitsee vain muutamia sekunteja läppärin vieressä. Koneen voi kaapata hakkerin haltuun esimerkiksi USB-tikulta näyttävällä näppäimistöllä. Näppäimistö hakee verkosta sovelluksen, joka soittaa hakkerin palvelimelle, jonka jälkeen hakkeri voi vapaasti tehdä koneellasi mitä vain.
Pelkkä työaseman lukitseminen ei myöskään riitä, koska myös lukittuja laitteita vastaan on mahdollista hyökätä. Tällöin puhutaan PoisonTap-menetelmästä, jossa lukitun koneen liikenne voidaan kaapata ja saada tällä tavalla tietoja käyttäjästä ja yrityksestä.
Ota siis läppäri mukaan lähtiessäsi tai laita se lukittuun kaappiin siksi aikaa, kun et vahdi sitä.
Bonusvinkki: Liikkuvan tietotyöläisen pitää kryptata läppärinsä kiintolevyt. Kryptaus tarkoittaa läppärin tietojen salaamista niin, että jos laite varastetaan, siitä on mahdotonta saada tietoja ulos.
4. Käytä näytön tietoturvasuojusta.
Nykyisistä kannettavien näytöistä myös junassa istuva vieruskaveri näkee samat tekstit kuin sinäkin. Viereistä kaveria saattaa esimerkiksi kiinnostaa, kenelle työskentelet ja millaisella hinnalla.
Osta siis näytön suojaava kalvo, joita myydään tietokoneliikkeissä. Pyri myös istumaan sellaisella paikalla, jossa voit varmistua, ettei kukaan katsele näyttöä selkäsi takaa. Suoraan takanasi oleva tyyppi pystyy nimittäin edelleen lukemaan tietoturvasuojuksellista näyttöä.
5. Älä puhu työasioista puhelimessa julkisilla paikoilla.
Vaikka tämä kohta onkin itsestään selvä, sitä on silti pakko korostaa. Erittäin usein kuulee esimerkiksi aamujunassa, kun työntekijät puhuvat työasioitaan puhelimessa. Puhujat keskittyvät puhelinkeskusteluunsa, joten he eivät useinkaan tule ajatelleeksi, mitä muut ympärillä olevat kuulevat. Tietotyöläisten puhelinkeskustelut ajautuvat usein hyvinkin syvälle projektien ongelmiin, jolloin vieressä olijat voivat kuulla esimerkiksi sisäisten järjestelmien yksityiskohtia tai asiakkaisiin liittyviä luottamuksellisia tietoja.
Pyri siis siirtymään puhelinkoppiin tai muuhun suljettuun tilaan, jos sinun täytyy puhua työasioista julkisella paikalla.
Kun istut junassa tai bussissa, on hyvä muistaa, että olet aina muiden ihmisten ympäröimänä. Joukossa voi olla myös hakkeri, joka varastaa tietosi, vaikka ei niitä alun perin tavoitellut – koska tiedot olivat kuin tarjottimella.
Iiro on paras! Pidän tyylistä ”tälläistä tää on, mutta me selvitään” +++++
Ja mieti miten kiltti Iiro on, kun kirjoittaa tilauksesta tällaisen ohjeen mun kaltaisille maallikoille. <3
Fiksuja neuvoja. VPN:stä pitänee mainita, että mediatietojen mukaan Androidin sovelluskaupassa olevista ilmaisita VPN-tuotteista iso on osa kovin epäilyttäviä eli ehdottomasti vältettäviä (kun vain kuluttaja osaisi arvata mitkä…). Käyttöjärjestelmästä riippumatta on elintärkeää suosia luotettavia firmoja ja hakea aina tietoja siitä tietoturvasovelluksesta, jota aikoo edes kokeilla.
Ilmainen VPN kuulostaa lähtökohtaisesti hyvin epäilyttävältä, koska VPN-liikenteen pyörittämisestä syntyy kustannuksia yhteyden tarjoajalle. Mukavimmassa skenaariossa kulut katetaan mainoksilla, mutta ”ilmainen VPN” voi olla myös takaovi käyttäjän koneen nuuskimiseen ja haltuunottoon.
Nyrkkisääntönä: Älä käytä VPN-palvelua jonka tarjoajasta et tiedä oikeasti mitään.