Puhelin turvaan tuholaisilta

Tietokone 2/2008 Tero Lehto

Tero Lehto • Kuva: Timo Simpanen

Puhelin turvaan tuholaisilta

Kännykkävirusten uhkakuvat eivät ole toteutuneet. Tietoturvan vaatimukset kuitenkin kasvavat koko ajan, kun mobiililaitteilla käsitellään yhä arvokkaampaa tietoa.

Tietotekniikkarikollisuus on kasvussa, ja vaikutuksiltaan vakavimmat haittaohjelmat, petokset ja hyökkäykset ovat järjestäytynyttä rikollisuutta. Suomessakin ne ovat aiheuttaneet ihmisille jo kymmenien tuhansien eurojen vahinkoja.

Toistaiseksi ammattirikolliset eivät ole iskeneet mobiililaitteisiin. Haittaohjelmia on vain noin 400, ja niistäkin enintään parikymmentä tavoittelee rahallista hyötyä. Määrän kasvu on lisäksi laantunut, mikä tosin voi olla tyyntä myrskyn edellä. Älypuhelimia on maailmassa rohkeimpien arvioiden mukaan jopa 200 miljoonaa, joten niiden käyttäjät alkavat olla houkutteleva kohde.

Uudet älypuhelinalustat vaativat sovelluksilta allekirjoitukset ja sertifikaatit. Toistaiseksi haittaohjelmien kehittäjät eivät ole maksaneet näistä pyydettäviä muutamia satoja euroja. Tietoturvayhtiöt uskovat maksuhalujen lisääntyvän, jahka haittaohjelmien ”bisnesmalli” selviää.

Siinä missä pc-käyttäjille on halpaa lähettää roskapostia – yksi miljoonasta osumasta riittää – mobiiliverkoissa viestin lähettäminen yleensä maksaa. Tilanne on toinen, kun tavallista sähköpostia aletaan avata kännykällä.

Kaupalliset haittaohjelmat vähissä

Tähän asti mobiilialustoille tehdyt haittaohjelmat ovat keskittyneet osoittamaan, että ohjelmaa voidaan levittää bluetoothilla tai mms-viestinä. Ne ovat vaatineet käyttäjän hyväksynnän viestin vastaanottamiselle ja sovelluksen asennukselle. Tietoturvayhtiö F-Securen mukaan merkkejä muutoksesta on jo näkyvissä.

”Kaupallisten vakoiluohjelmien määrä on ruvennut kasvamaan. Niitä on tullut reilun kahden vuoden aikana markkinoille 15–20 kappaletta”, kertoo tietoturva-asiantuntija Erkki Mustonen F-Securesta ja jatkaa, ”Se ei kuulosta suurelta luvulta. Mutta jos ajattelee, että on bisneksen teko taustalla, varmasti on tahoja jotka hyötyvät tästä.”

Muutamat troijalaiset ovat sisältäneet koodinpätkän, jolla ne ovat lähetelleet tekstiviestejä ulkomaisiin kalliisiin palvelunumeroihin. Näiden haittavaikutus on jäänyt lyhytaikaiseksi, koska operaattorit ovat yhteistyössä viranomaisten kanssa nopeasti estäneet viestien kulkemisen. Monet operaattorit myös suodattavat mms-viestejä haittaohjelmia vastaan.

Mustosen mukaan suurin osa F-Securelle ilmoitetuista haittaohjelmista on webistä haettuja ja vapaaehtoisesti asennettuja. Käyttäjät kiinnostuvat maksuttomista ohjelmista, peleistä tai soittoäänistä. Kännykkä varoittaa epäluotettavasta lähteestä, mutta ilmaisen houkutus saa hyväksymään. Bluetoothin aiheuttamat tartunnat edustavat alle neljännestä tapauksista, muut lähteet ovat marginaalisia.

Kadonnut laite on isoin riski

Yrityskäytössä olevien älypuhelinten tietoturvassa eivät korostu haittaohjelmat, vaan liikesalaisuuksien ja yritysverkon suojaaminen. Älypuhelimessa voi kulkea mukana yritysverkon tunnuksia ja salasanoja, sähköposteja, asiakirjoja sekä henkilötietoja, jotka eivät saa joutua vääriin käsiin.

Isoissa organisaatioissa katsotaan jo, että älypuhelin vastaa pientä tietokonetta. Sitä on voitava hallita etänä, salaiset tiedostot on suojattava ja käyttötavat on voitava rajata.

Asiantuntijat ovat erimielisiä virustorjunnan ja palomuurin tarpeesta mobiililaitteessa. Monet yritykset eivät halua ottaa riskiä ja ostavat ohjelmat jo nyt. Ohjelmat on helpointa asentaa ennen laitteen luovuttamista käyttäjälle.

Nokian tuotteiden tietoturvasta vastaava Janne Uusilehto huomauttaa, että tärkeintä on miettiä etukäteen, mitä palveluita ja sovelluksia tarvitaan, ja valita sopiva laite tämän mukaan. Uusilehto työskentelee Nokian uudessa kehitysyksikössä.

”Jos yrityksen it-järjestelmiin ei ole mitään muita yhteyksiä kuin äänipuhelu, silloin ei ole hirveästi poikkeavuuksia kuluttajalaitteesta”, Uusilehto toteaa, ”Kun on yhteyksiä sähköpostiin ja muualle yritysverkkoon, pitää katsoa, miten tiedot tallennetaan. Joissain laitteissa voidaan salata tiedostot luvatonta lukemista vastaan. Palomuurilla taas voidaan estää hyökkäykset ulkoa.”

Uusilehdon mukaan useimmiten on kätevää tyytyä siihen, että tiedostot ovat vain palvelimella. Silloin riski tietovarkauksille mobiililaitteesta vähenee, ja varmistaminenkin on helpompaa.

It-yksiköille suositellaan kohtalaisen pienen älypuhelinjoukon tukemista. Useita erilaisia vaihtoehtoja kannattaa kuitenkin tarjota, koska muuten työntekijät luultavasti hankkivat haluamansa älypuhelimen itse.

Palomuureista havaittiin, että liian tiukat turva-asetukset estivät esimerkiksi Live Messenger -pikaviestit ja Fring-nettipuhelut. Ongelma oli korjattavissa palomuurin asetuksia säätämällä. Toisin kuin Windows-sovelluksissa, Trend Micron mobiilisovelluksen palomuuri ei kysynyt käyttäjältä lupaa yhteyden avaamiseen.

Jo muutaman ohjelman ja laitteen käyttökokemusten perusteella voi sanoa, että yrityksen it-osaston on ehdottomasti tehtävä kuormitustestit ennen kuin laitteet ja ohjelmat luovutetaan käyttäjälle. Tietoturvaohjelmia ei saa päästämään haittamaan puheluita ja tekstiviestejä, mihin muistin loppuminen kuitenkin lopulta johtaa.

Tietoturvaohjelmia

Näin toimivat mobiilituholaiset

Virukset ovat sovelluksia, jotka kykenevät leviämään itsestään. Nykyiset leviämään tehdyt madot, kuten Cabir ja Commwarrior eri variaatioineen ovat levinneet bluetoothin välityksellä tai mms-viestien liitteinä. Niiden asentuminen vaatii yleensä käyttäjältä useitakin hyväksymisiä. Kännykkään asennuttuaan virukset voivat muokata, tuhota tai kopioida tiedostoja, estää laitteen toimintoja sekä tehdä kaikenlaista muuta kiusaa.

Troijalaiset avaavat kännykkään takaportin, jonka kautta niiden tekijä voi esimerkiksi päästä näkemään, mitä puhelimella tehdään, tai keräämään tiedot laitteesta säännöllisesti. Troijalaisia on levinnyt esimerkiksi ilmaisten tai laittomasti jaeltujen pelien ja ohjelmien mukana, sekä aivan sellaisenaan harmittomiksi ilmaisohjelmiksi naamioituina.

Vakoiluohjelmilla yritetään anastaa käyttäjän tai laitteen tietoja, kuten yhteystietoja, sähköpostiviestejä tai puhelutietoja. Vakoiluohjelma voi myös salakuunnella kännykkäpuheluja ja siirtää ne sitten puhelimesta ohjelman tekijän palvelimelle. Vakoiluohjelma voi myös käyttää kännykän mikrofonia kuunnellakseen laitteen lähiympäristössä käytäviä keskusteluja.

Tähän mennessä mobiilihaittaohjelmat ovat jo hyödyntäneet langattomia bluetooth- ja mms-yhteyksiä. Niitä on myös levinnyt muistikorttien kautta ja webistä lataamalla. Toistaiseksi levittämiseen ei ole yritetty käyttää roskapostia, avoimia wlan-verkkoja tai älypuhelinten muutamia p2p-sovelluksia.

Nykyiset madot tai virukset eivät toimi uusissa S60 3rd Edition -laitteissa lainkaan, koska niiden ytimenä oleva Symbian v9 -käyttöjärjestelmä edellyttää sovellusten olevan allekirjoitettuja (signed). Yksi kaupallinen vakoiluohjelma on tosin julkaistu uudelle S60:lle, mutta sen haittaohjelmaksi luokittelu riippuu käyttötavoista.

Windows Mobilelle on vain muutamia mobiilihaittaohjelmia, jotka ovat näytöstyyppisiä kokeiluja. Microsoft on kuitenkin jo reagoinut niihin tiukentamalla alustansa tietoturvaa. Uusimmassa WM 6.0 -versiossa Pocketpc- ja Smartphone-sovellusten on oltava Symbianin tapaan sertifioituja.

Tietoturvaa S60-kännykkään

Yritysympäristössä keskitetysti hallitun älypuhelimen tyypillisiä sovelluksia ovat mobiilitoimisto kalenteria, yhteystietoja ja sähköpostia varten sekä etä- ja laitehallinnan ohjelma.

Vanhoissa laitteissa muisti ja suorituskyky rajoittavat ohjelmien käyttöä merkittävästi. Edelleen laajasti käytettävissä Nokian E60- ja E70-malleissa esimerkiksi F-Securen tietoturvaohjelma sekä Intellisyncin Mobile Suite ja laitehallinta vievät aivan liikaa muistia. Etenkin F-Securen ohjelma on usein lopetettava, jotta laitteen käyttö ei hidastuisi liikaa. Muistikortin suurentaminen ei auta, koska kyse on nimenomaan laitteen sisäisestä rom-ajomuistista.

Nokian uudemmissa S60-älypuhelimissa muistia on enemmän ja ongelmia vähemmän. Esimerkiksi laitehallinta- ja tietoturvaohjelmat mahtuvat hyvin Nokian E65:n ja uuden kommunikaattorin E90:n ajomuistiin.

Muitakin uudistuksia on tapahtunut. Nokia E90:ssä bluetoothin tietoturvaa on parannettu siten, että jos käyttäjä hylkää yhteydenottopyynnön, hylkäys jää heti voimaan. Aiemmissa versioissa pyyntö saattoi toistua loputtomasti siten, että käyttäjä lopulta saattoi hyväksyä yhteyden.

Kokeilimme myös Trend Micron uutta mobiilisovellusta, joka sisältää F-Securen tapaan palomuurin ja virustorjunnan. Muistiongelmat E70:ssä olivat samanlaiset, eli suorituskyky ei ole vain F-Securen haaste.

Turvaohjeita kaikille älypuhelimen käyttäjille
- Käytä kännykän pin-koodikyselyä, joka estää asiattomia helposti avaamasta esimerkiksi varastettua kännykkää.
- Jos haluat lisätä suojaa, käytä ajastettua suojakoodia, jolloin käynnissä olevankin kännykän voi suojata.
- Älä hyväksy satunnaisia bluetooth-yhteydenottoja, jos et tiedä kuka kännykkääsi tavoittelee ja miksi.
- Asenna vain luotettavaksi tuntemiesi tahojen sovelluksia.
- Varmista tärkeät tiedot säännöllisesti palvelimelle tai työasemallesi. Näin saat ne takaisin, jos laite hajoaa tai katoaa.
- Ilmoita kadonneesta tai varastetusta laitteesta heti operaattorille. Vastaat itse laskusta siihen asti.
- Ota pois käytöstä palvelut, joita et tarvitse. Useimpiin kännykkäliittymiin on tarjolla monipuoliset estot esimerkiksi ulkomaanpuheluille sekä maksullisille asiointi- ja viihdepalveluille.
- Harkitse tarkkaan, mitä asioita ja kuinka lujaa kännykkään kannattaa puhua, etenkin julkisilla paikoilla.

Muistettavaa yritysten it-osastoille
 - Ottakaa kaikki laitteet etähallintaan. Näin saatte rajata, mihin niitä käytetään.
- Varmistakaa, että kadonnut tai laite saadaan pyyhkäistyä tyhjäksi etänä verkon ylitse.
- Sallikaa vain tuettujen sovellusten asentaminen.
- Tiedostojen salaus voi olla tarpeen, jos puhelimissa on luottamuksellisia tiedostoja.
- Jos salausta ei ole käytettävissä, jättäkää esimerkiksi sähköpostit vain palvelimelle, ei kännykkään.
- Hyväksykää vain testatut laitteet esimerkiksi mobiilitoimistosovelluksien käyttöön.
- Harkitkaa palomuuri- ja virustorjuntaohjelmaa, jos laitteella ollaan yhteydessä organisaation sisäverkkoon.
- Salattu vpn-tunneli parantaa etäyhteyksien tietoturvaa.
- Avointen wlan-verkkojen käyttöä ei kannata sallia, jos palomuuri ja virustorjunta sekä salatut etäyhteydet eivät ole käytössä.

Älypuhelimet yleistyvät valtiollakin

Suomessa ei ole tarkkaa tietoa älypuhelinten yleisyydestä valtionhallinnossa, mutta alkuvuodesta 18:ssa organisaatiossa tehdyn kyselyn perusteella laitteita olisi ainakin 1500. Näistä vasta joka neljäs oli kyselyn mukaan keskitetyssä hallinnassa. Kyselytutkimuksesta vastannut tietoturvallisuuspäällikkö Kimmo Rousku arvioi, että valtiolla olisi älypuhelimia peräti 10 000.

Kaikissa organisaatioissa osa työntekijöistä hankkii työsuhdevälineiden rinnalle omia laitteitaan, joihin hän voi asentaa mitä tahansa. Laitteille ei ole virallista tukea, mutta työntekijät saattaavat silti kopioida niihin työtiedostojaan sekä synkronoida niihin kalenterinsa, yhteystietonsa ja sähköpostinsa.

”Keskitetty hallinta älypuhelimille on mielestämme perusedellytys”, linjaa tietoturvapäällikkö Kari Keskitalo valtiovarainministeriöstä. Ministeriö vastaa valtionhallinnon it-ohjauksesta, ja on laatinut ohjeita älypuhelimille. ”Emme voi ajatella, että virkamiehet saisivat asennella laitteisiinsa mitä tahansa sovelluksia. Meillä on tiukka politiikka vakioinnissa, ja näin teilaamme kännykkävirusten leviämismahdollisuudet”, hän jatkaa.

Valtionhallinnossa tuetaan tiettyä listaa älypuhelimia, joille palvelut tarjotaan. Näin voidaan varmistaa, että resurssit ovat kunnossa valituille sovelluksille. Etähallinta taas estää käyttäjä muuttamasta tai poistamasta kokoonpanoa. Jos etähallinnan poistaa väkisin, eivät työpaikan palvelutkaan ole enää käytettävissä.

”Haaste on, etteivät laitteiden resurssit riitä siihen, että otamme käyttöön laitehallinnan, sähköpostin, virustorjunnan ja kryptauksen. Toivomme tosissaan, että laitteiden muistit ja prosessorit kasvaisivat riittävän tehokkaiksi”, toteaa Keskitalo, ”Nythän ne koneet hyytyvät.”

Ongelmaa yritetään ratkoa siten, että toimivat laite- ja ohjelmistoyhdistelmät selvitetään etukäteen. ”Palveluyksikön älypuhelinpalveluun kuuluu se, että tuetaan tiettyjä laitteita ja ohjelmistoja, joiden yhteensopivuus on testattu”, Keskitalo kertoo.

Koulutus ja ohjeet ovat myös tarpeen. Alkuvuodesta VM järjesti älypuhelinten tietoturvaa käsittelevän seminaarin, johon osallistui yli 100 eri valtion laitosten ja yksiköiden it-asiantuntijaa ja -päättäjää. Lisäksi VM:n web-palvelussa on julkaistu Vahti-älypuhelinohjeet, joita voivat hyödyntää muutkin organisaatiot Suomessa.

 

Tagit: -
Lähetä Tulosta Tilaa RSS-syöte
Takaisin ylös

Tietokone 5/2012 julkaisupäivä 16.5.2012

Katse näyttöön

Edessäsi ole oleva näyttö on kovin erilainen kuin ei-kovin-kauan-sitten yleisimmin käytetyt kuvaputkinäytöt. Eikä kehitys pysähdy. Toukokuun Tietokoneessa katsotaan näyttöjen tulevaisuuteen ja myös testataan terävät 27-tuumaiset näytöt. Ensituntumaa otetaan tulevan Windowsin palvelinversiosta. Vinkkejä tarjotaan muun muassa pc-hygienian ylläpitoon.

Tilaa Tietokone-lehti Osta digilehti
Takaisin ylös

Tietokone 2/2008

Tietokone 2/2008

Lehden uusimmat numerot ovat vain tilaajien luettavissa. Vanhemmat numerot ovat vapaasti kaikkien luettavissa.

Voit myös ostaa Tietokoneen digilehden.

Uusimmat uutiset

Näytä kaikki

Uusimmat softaesittelyt

Näytä kaikki

Uusimmat blogimerkinnät

Näytä kaikki

Uusimmat keskustelut

Näytä kaikki
Tietokone

IT-työpaikkailmoitukset

Näytä kaikki
TTL ry
Pieni kirjapuoti
Takaisin ylös