3 tietoturvavinkkiä matkailijalle

Toisinaan tuntuu, etten edes uskaltaisi käyttää mitään verkkoon kytkettyä laitetta, jos en tietäisi sitäkään vähää tietoturvasta mitä tiedän. Hakkereiden ystävä numero yksi kun on ihmisten tietämättömyys. Suurin osa tietokoneen ja älypuhelimen käyttäjistä surffailee verkossa sinisilmäisinä luottaen siihen, ettei mitään pahaa tapahdu. Tuurillahan ne laivatkin seilaa.


Tietoturva ei ole varsinaisesti se kaikista vahvin osaamisalueeni, mutta toisaalta it-ammattilaisena olen asian kanssa päivittäin tekemisissä. Seuraan myös aihealueen uutisia ja olen perillä uusimmista vitsauksista. Ajattelinkin nyt jakaa muutaman vinkin erityisesti matkailijan näkökulmasta. Kerron minkälaisia uhkia on olemassa ja kuinka niiltä voi suojautua. Lisäksi annan kuhunkin kohtaan myös aiheesta enemmän kiinnostuneille lisävinkkejä.

Turvallisuuskomitea on julkaissut Kodin kyberoppaan, josta löytyy vastaavia ohjeita, joskin ne ovat erityisesti kotiolosuhteisiin sovitettuina. Opas on ladattavissa pdf-muodossa ja se kannattaa ehdottomasti lukea.

Jos et tiedä mitä tietoja hakkerit sinusta haluavat, kannattaa lukea vaikka tämä artikkeli. Luottokorttitietojaan tuskin kukaan haluaa luovuttaa ulkopuolisille, mutta myös henkilötiedot kannattaa pitää salassa. Kaapattujen henkilötietojen avulla rosmo voi tehdä paljon kaikenlaista ikävää. Hyvin vähäisillä tiedoilla on jo mahdollista tilata nettikaupoista tavaraa toisen ihmisen laskuun. Tällaisesta aiheutuu uhrille vähintään paljon selvitettäviä sotkuja, pahimmillaan vuosia jatkuva piina. Identiteettivarkaus on onneksi Suomessakin jo rikos, joten poliisin puoleen on mahdollista kääntyä pahimman sattuessa.


1. Ole tarkkana wifi-verkoissa

Langaton lähiverkko, wlan tai tuttavallisesti wifi, on matkailijan ystävä. Usein avoin langaton verkko on ainoa tapa päästä lukemaan sähköpostia, päivittämään Instagramia tai kirjoittamaan blogia reissussa. Älypuhelin ja tabletti eivät ilman paikallista sim-korttia pääse tietoverkkoon ilman kohtuuttomia puhelinlaskuja, ainakaan EU:n ulkopuolella.

Wifi-verkoissa surffatessa kannattaa kuitenkin olla tietoinen niissä vaanivista vaaroista. Avoimen verkon omistaja kun ei välttämättä ole se joksi sitä kuvittelet. Kahvilan nimellä varustettu verkko ei välttämättä ole kahvilan ylläpitämä, vaan verkko saattaakin olla vieressä istuvan henkilön kännykästä jaettu. Verkon nimen kun voi asettaa itse.

Jos satut vahingossa päätymään vihamieliseen wifi-verkkoon, pystyy verkon omistaja kalastelemaan käyttäjätunnuksesi ja salasanasi. Tällaista on esimerkiksi demonstroitu maailmalla tietoturvatapahtumissa, joissa isoille screeneille on listattu avoimen verkon kautta Facebookiin kirjautuneiden käyttäjien käyttäjätunnuksia ja salasanoja. Kannattaa huomata, että tässä tapauksessa nämä tiedot kaapattiin ammattilaisilta.

On oikeastaan kaksi tapaa houkutella käyttäjiä omaan wifi-verkkoon. Hakkeri voi perustaa oman verkon, jolla on sopivan houkutteleva nimi. Kahvilan pöydässä istuva hakkeri nimeää verkkonsa kahvilan nimen mukaan, hotellin aulassa nimi valitaan hotellin mukaan. Jos paikalla on jo oma verkko, voi nimen perään lisätä jonkin houkuttelevan lisämääreen, vaikka high speed.

Toinen vaihtoehto on oikeastaan muunnelma edellisestä. Siinä hakkeri nimeää verkkonsa samalla nimellä kuin käyttäjien tuntema avoin verkko on. Hän sijoittaa tukiasemansa paikkaan, jossa oikean verkon kuuluvuus on heikko. Älylaite, johon on tallennettu kyseisen verkon tiedot, ottaa automaattisesti yhteyden hakkerin verkkoon, koska verkon nimi täsmää ja signaali on voimakas. Käyttäjä ei siis välttämättä tässä tapauksessa edes tiedä olevansa wifi-verkossa. Jos hakkeri vaikka on perustanut tukiasemansa kahvilan ulkopöytään, voi paha-onnisen uhrin taskussa oleva kännykkä päätyä verkkoon kahvilan ohi kävellessä.

Lisämausteen wifi-ongelmiin tuo 16.10.2017 uutisoitu wifi-verkkojen WPA2-suojauksen murtaminen. Tämän johdosta suojattuunkaan wifi-yhteyteen ei enää voi täysin luottaa. Ongelma korjaantunee päivityksillä.

Suojautumistapoja

Tuntemattomat avoimet wifi-verkot kannattaa ehdottomasti unohtaa. Suurella varauksella kannattaa suhtautua myös tutun nimisiin verkkoihin, joissa ei ole mitään suojausta. Joissain hotelleissa verkkoon pitää kirjautua esimerkiksi huoneen numeron ja sukunimen yhdistelmällä. Tällainen verkko on oletettavasti turvallinen, joskin WPA2-suojauksen haavoittuvuus tekee kaikista verkoista hieman turvattomampia.

Suosittelen myös lukemaan vinkin numero 3. Se tarjoaa lisäturvaa myös tässä tapauksessa. Jos käyttämäsi tilit eivät ole pelkän käyttäjätunnus-salasana -parin varassa, on hakkerin vaikeampi kaapata niitä itselleen.

Ammattilaisen vinkit

Itse käytän matkalla mukana työnantajan tarjoamaa älypuhelinta, jossa on työnantajan edellyttämä tietoturvataso. Käytämme älypuhelimissa verkkoliikenteen suojaavaa F-Securen Freedome-sovellusta. Freedome luo laitteen ja F-Securen palvelimen välille suojatun virtuaalisen lähiverkkoyhteyden eli VPN:n. Kaikki liikenne laitteen ja palvelimen välillä kulkee suojattuna. Tästä johtuen wifi-verkon laitteet eivät näe liikenteen sisältöä. Freedomen kanssa liikenne menee siis suojattuna wifi-yhteyden läpi, vaikka käytettävä nettisivu tai mobiilisovellus ei käyttäisikään suojattua yhteyttä. Olen havainnut tämän niin käteväksi, että olen hankkinut kaikkiin kodin ulkopuolelle lähteviin laitteisiin Freedomet. Freedome on toki maksullinen palvelu.

Freedomen kanssa periaatteessa mikä tahansa avoin wifi on turvallinen, mutta silti epäilyttävimpiä tapauksia kannattaa välttää. VPN-yhteyden murtaminen lienee hankalaa, mutta mikään suojaus ei ole täysin vedenpitävä.

2. Varo yhteiskäyttöisiä koneita

Monissa majapaikoissa on tarjolla tietokoneita, joilla voi käydä lukemassa sähköpostinsa ja tulostaa boarding passit lentoja varten. Isommissa hotelliketjuissa koneet on voitu asettaa tyhjentämään kaikki käyttäjän tiedot session päätyttyä. Valitettavasti monissa paikoissa näin ei kuitenkaan ole.

Surullisen usein yhteiskäyttöisen koneen selaimessa on valmiiksi joku kirjautuneena Facebookiin, sivuhistoria on täynnä edellisten käyttäjien surffauksen jälkiä, ja työpöydältä löytyy pdf-muodossa muiden boarding passeja. Kannattaakin ensimmäiseksi vähän vilkaista miltä kone näyttää. Selaimen sivuhistoria on esimerkiksi hyvä vilkaista, se kertoo jo paljon. Jos osaat tarkistaa koneen tietoturvan tason, sekin kannattaa tehdä.

Boarding passien jättäminen näkyville voi muuten olla vaarallista, etenkin jos sinulla on samalla varauksella vielä tulossa olevia lentoja. Boarding passissa kun on näkyvissä varaustunnus ja nimi, joilla varauksen tietoihin pääsee käsiksi lentoyhtiön palvelusta. Näillä tiedoilla joku ikävä ihminen voi hakea varauksesi ja perua tulevat lentosi. Edullisista lipuista ei peruttaessa saa rahoja takaisin, mutta peruminen on aina silti mahdollista tehdä.

Pahimmassa tapauksessa yhteiskäyttöisen koneen virus- ja haittaohjelmien torjunta puuttuvat kokonaan tai ovat ainakin päivittämättä. Tällöin joku on voinut ujuttaa koneelle vaikkapa kaikki näppäimenpainallukset tallentavan ohjelman eli keyloggerin. Tämän jälkeen kirjautuessasi sähköpostiin päätyy käyttäjätunnuksesi ja salasanasi hakkerin haaviin.

Suojautumistapoja

Yhteiskäyttöinen kone voi joskus olla ainoa tapa saada asiat hoidettua. Pomminvarmaa tapaa koneen turvallisuuden varmistamiseen ei kuitenkaan ole. Vähintään kannattaa käyttää selainta tällaisella koneella aina yksityisyystilassa. Tällöin ikkunan sulkemisen jälkeen kaikki jäljet tekemisistäsi poistuvat. Mitään erillisiä puhdistustoimia ei tarvita. Keyloggeria vastaan tämäkään ei toki auta. Jos joudut käyttämään yhteiskäyttöistä konetta pakon edessä esimerkiksi jonkin tulostustehtävän vuoksi ja pelkäät sähköpostisi salasanan tulleen kaapatuksi, voit toki vaihtaa salasanan välittömästi koneen käytön jälkeen. Tämä on tietenkin mahdotonta, jos sinulla ei ole muuta laitetta, jolla voit saada yhteyden sähköpostiin.

Jälleen suosittelen lukemaan vinkin numero 3. Kun tilisi on suojattu paremmin, ei käyttäjätunnuksen ja salasanan vuotaminen ole enää niin paha juttu.

Ammattilaisen vinkit

Jos tarvitset yhteiskäyttöistä konetta tulostusta varten ja sinulla on toinen laite, esimerkiksi älypuhelin tai läppäri, jolla pääset käsiksi tulostettavaan aineistoon, tarvitset vain turvallisen tavan siirtää aineisto yhteiskäyttöiselle koneelle ilman käyttäjätunnusten ja salasanojen näpyttelyä.

USB-tikkua ei kannata käyttää koska sen avulla haittaohjelmat voivat siirtyä omalle laitteellesi. Sen sijaan kannattaa käyttää kertakäyttöistä sähköpostiosoitetta, esimerkiksi 10 Minute Mailia. Kertakäyttöinen sähköpostiosoite luodaan automaattisesti, kun menet palvelun etusivulle. Sinun ei tarvitse rekisteröityä mihinkään, eikä syöttää mitään tietoja. 10 Minute Mail on erityisen näppärä tähän käyttötarkoitukseen, koska sähköpostiosoite on elossa vain 10 minuutin ajan.

Avaa selain yksityisyystilassa ja mene sivustolle, josta saat kertakäyttöisen sähköpostiosoitteen. Lähetä omasta laitteestasi tulostettava aineisto kertakäyttöiseen sähköpostiosoitteeseesi. Avaa sähköposti, tulosta, poista sähköposti ja sulje selain. Pahimmassa tapauksessa nyt tulostamasi aineisto on voinut päätyä jonkun toisen nähtäville, mutta kaikki käyttäjätunnuksesi ja salasanasi ovat turvassa. Koska avasit selaimen yksityisyystilassa, poistuivat kaikki jäljet sähköpostivierailusta koneelta, eikä kukaan enää voi päästä käsiksi kertakäyttöiseen sähköpostiisi. Lisäksi sähköpostitili katoaa muutenkin jäljettömiin 10 minuutin aikarajan tullessa vastaan.

3. Suojaa käyttäjätilisi

Oikeastaan pahinta mitä voi tapahtua on sähköpostitilin käyttäjätunnuksen ja salasanan vuotaminen jollekin pahantahtoiselle taholle. Sähköpostisi kautta kaikki muutkin käyttäjätilisi avautuvat. Useissa palveluissa kun unohtuneen salasanan pystyy nollaamaan sähköpostin kautta. Hakkeri voi käydä eri verkkopalveluja läpi ja kokeilla tilata sähköpostiisi salasanannollauslinkkiä.

Siksi erityisesti sähköpostitili on syytä pitää suojassa. Myös muut käyttäjätilit kannattaa suojata, mutta ne saa yleensä kaapattua tarvittaessa takaisin sähköpostin kautta.

Suojautumistapoja

Yksinkertainen tapa suojata käyttäjätilit on ottaa käyttöön kaksivaiheinen tunnistautuminen. Pankkipalveluissa tämä on ollut käytössä alusta asti. Kyse on siis käyttäjätunnuksen ja salasanan lisäksi vaadittavasta toisesta tunnistautumisvaiheesta. Toteutustapoja on monia. Pankkipalvelujen tapaan sinulla voi olla lista kertakäyttöisiä tunnuksia. Yleisempää on kuitenkin käyttää älypuhelimeen perustuvaa tapaa. Palvelu voi vaikka lähettää tekstiviestinä kirjautumiskoodin. Toinen vaihtoehto on käyttää Google Authenticatoria tai vastaavaa mobiilisovellusta, joka laskee uuden koodin automaattisesti minuutin välein.

Kun käytät kaksivaiheista tunnistautumista, ei kukaan pysty murtautumaan tilillesi, vaikka saisikin käyttäjätunnuksen ja salasanan urkittua.

Kannattaa tutustua sähköpostipalvelusi tarjoamiin vaihtoehtoihin. Jos kaksivaiheista tunnistautumista ei ole tarjolla, kannattaa harkita sähköpostipalvelun vaihtamista. Tästä on toki pientä kiusaa osoitteen vaihtumisen muodossa, mutta vaiva kyllä kannattaa. Ainakin Google ja Microsoft tarjoavat kaksivaiheista tunnistautumista sähköpostipalveluissaan. Facebookiin tunnistautuminen on myös mahdollista kaksivaiheisesti.

Ammattilaisen vinkit

Kaksivaiheisen tunnistautumisen käyttäminen ei poista hyvän salasanan merkitystä. Hyvän salasanan määritelmästä voidaan olla montaa mieltä, mutta nykyään moni palvelu edellyttää salasanassa olevan isoja ja pieniä kirjaimia sekä lisäksi myös numeroita ja erikoismerkkejä. Ikinä ei kannata käyttää samaa salasanaa kahden eri järjestelmän käyttäjätilillä. Jos yhteen järjestelmään tapahtuu tietomurto ja salasanasi paljastuu, pysyvät muut tilisi tällöin silti turvassa.

Monien eri salasanojen muistaminen käy toki tuskaiseksi. Minulla eri salasanoja on toista sataa, enkä todellakaan muista niitä kaikkia. Joihinkin palveluihin kirjaudun hyvin harvoin, jonkin Hertzin autovuokraamon salasanaa en tarvitse päivittäin, joten se unohtuu pian. Minulla kuitenkin on jokaiseen palveluun erillinen salasana. En ole kirjoittanut niitä mihinkään ylös, mutta saan ne silti selville tarvittaessa.

Käytän apuna menetelmää, johon tutustuin taannoin F-Securen blogissa, ja jota jalostin omaan käyttööni sopivaksi. En löytänyt blogiartikkelia enää, mutta idea on selitetty F-Securen salasanaohjeissa. Ideana on valita yksi salasanan perusosa, joka on sopivan pitkä ja vaikea ja jota käytetään osana kaikkia salasanoja. Tämä on helppo muistaa, koska se on aina sama. Tässä perusosassa on jo mukana isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä, joten se yksinään jo täyttää salasanavaatimukset.

Minulla on Excel-taulukko, jossa on kunkin palvelun nimi sekä kaksi satunnaisosaa, jotka yhdessä salasanan perusosan kanssa muodostavat varsinaisen salasanan. Nämä satunnaisosat ovat eri jokaisessa salasanassa. Näitä tietoja ei erityisesti tarvitse suojata, koska niitä ei osaa hyödyntää kukaan muu. Olen itse päättänyt mihin kohtaan nämä satunnaisosat sijoitetaan varsinaisessa salasanassa. Tämän taulukon olen tallentanut Microsoftin Onedrive-pilvipalveluun, josta se on kätevästi saatavissa kännykän avulla.

Jos joku haluaa kokeilla tätä kikkaa, olen tehnyt avuksi Excel-tiedoston, jota voi käyttää valmiina pohjana. Voit ladata sen täältä. Ohje Excel-tiedoston käyttöön puolestaan löytyy täältä. Pohjassa on valmiit kaavat, joilla voit luoda uudet satunnaisosat salasanoja varten. Tämän jälkeen salasanasi ovat varmasti vahvoja, uniikkeja ja silti taulukon avulla helposti muistettavia.

Googlella on erillinen Advanced Protection Program erityistä tietoturvaa kaipaaville. Tämä turvataso on tarkoitettu erityisesti henkilöille, joilla on asemansa vuoksi korkea riski päätyä kohdennetun hyökkäyksen uhriksi. Tällaisiksi Google listaa toimittajat, yritysjohtajat ja poliittiset kampanjajoukot. Kannattaa vilkaista tätäkin, jos katsot kuuluvasi tuohon joukkoon.

Ei kommentteja