Ihmisten luottamus ja tietämättömyys tietoturvasta tulee harmittamaan heitä myöhemmin

Tietämys ja keskustelu tietoturvasta on liian simppeliä verrattuna siihen miten työlästä erityisen osaavien asiantuntijoiden on selittää rajattoman pituisessa blogissaan, miten jokin hyökkäys, salaseuranta tai teon vaihe tapahtuu. Vaikka uudistuneessa kouluopetuksessa on kuulemma jo päästy eteenpäin ”hauki on kala”-tyyppisestä asioiden opetuttamisesta, tietoturvan osalta ihmiset mieluummin pitäytyvät helposti ymmärrettävissä ja muistettavissa ohjeistuksissa.

Toisinaan monimutkaisempi selitys pääsee yrittämään vaikuttamista, jos mediayhtiöissä päätetään jonkin tietoturva-aiheen olevan moniviikkoisen ja suht seikkaperäisen selittämisen väärti. Tämäkään ei takaa sitä, että ihmisten tietoturvahygienia siitä kummoisemmin muuttuisi, jos kyse siis olisi yksilöiden henkilökohtaiseen tietoturvaan liittyvästä asiasta ja varsinkin, jos selitys tosiaan on niin vaikeasti tajuttava, ettei sen perusteella, vaikka sitä miten lähestyttäisiin, koe voivansa tehdä muuta kuin ostaa sellainen uudempi laite, jollaista ei ehkä vielä olekaan.

Käytännöt salasanojen valitsemiseksi, maasta löytyneiden USB-tikkujen käyttämiseksi ja epäilyttävien WiFi-verkkojen hyödyntämiseksi ovat intuitiivisesti siten käsiteltäviä, että on helppo tehdä järkeviä ratkaisuja, mutta luuleminen, että pelkkien https-yhteyksien käyttäminen suojaamattomien http-yhteyksien sijaan, varmistaisi tietoturvallisen netin käytön, on tavallaan hupsua, sillä käyttäjän laitteella piilossa oleva vakoileva taustasovellus voi olla selvittänyt suojatussa yhteydessä käytetyn salausavaimen ja välittänyt sen toisaalle, mikä tekee yhden tietoliikennettä suojaavan keinon melko hyödyttämäksi.

Vakoileva taustasovellus voi tehdä kaikenlaista kuten lähettää käyttäjän huomaamatta hänen tiedostojaan ja tietoa käyttäjän tietokoneen käytöstä verkon yli, mahdollisesti muuhun siirrettyyn dataan kätkeytyneenä tai se voi tarjota yhteydenottopisteen luvattomalle tunkeutujalle, jolle vakoilevalla taustasovelluksella olisi tarjottavana täydet tietokoneen käyttöjärjestelmän käyttöoikeudet (oletettavasti jotain käyttöjärjestelmän ohjelmointivirhettä hyödyntävästi hankittuna). Roque-tyyppisiin tukiasemiin yhteyttä ottamiset voivat myös jäädä käyttäjältä huomaamatta, jolloin kaikki tietoliikenne kulkee väärennetyn WiFi- tai 4G-verkon kautta. Toisinaan tietoturvaongelmat korjaantuvat tavallaan itsestään kuten tietokoneprosessoreiden suunnitteluvirheiden tapauksessa käyttöjärjestelmän valmistaja saattaa pakottaa käyttöjärjestelmän tekemään automaattisen korjauspäivityksen, joka tosin saattaa tehdä tietokoneesta 10 prosenttia hitaamman, mutta onpahan sitten turvallisempaa.

Vaikeasti selitettäviä ja täten vaikeammin vakavasti otettavia tietoturvauhkia ovat sivukanavahyökkäykset (eng. side-channel attacks), joista tässä englanninkielistä selitystä suoraan Wikipediasta (https://en.wikipedia.org/wiki/Side-channel_attack):

In computer security, a side-channel attack is any attack based on information gained from the implementation of a computer system, rather than weaknesses in the implemented algorithm itself (e.g. cryptanalysis and software bugs). Timing information, power consumption, electromagnetic leaks or even sound can provide an extra source of information, which can be exploited.

General classes of side channel attack include:

  • Cache attack — attacks based on attacker’s ability to monitor cache accesses made by the victim in a shared physical system as in virtualized environment or a type of cloud service.
  • Timing attack — attacks based on measuring how much time various computations (such as, say, comparing an attacker’s given password with the victim’s unknown one) take to perform.
  • Power-monitoring attack — attacks that make use of varying power consumption by the hardware during computation.
  • Electromagnetic attack — attacks based on leaked electromagnetic radiation, which can directly provide plaintexts and other information. Such measurements can be used to infer cryptographic keys using techniques equivalent to those in power analysis or can be used in non-cryptographic attacks, e.g. TEMPEST (aka van Eck phreaking or radiation monitoring) attacks.
  • Acoustic cryptanalysis — attacks that exploit sound produced during a computation (rather like power analysis).
  • Differential fault analysis — in which secrets are discovered by introducing faults in a computation.
  • Data remanence — in which sensitive data are read after supposedly having been deleted. (i.e. Cold boot attack)
  • Software-initiated fault attacks — Currently a rare class of side-channels, Row hammer is an example in which off-limits memory can be changed by accessing adjacent memory too often (causing state retention loss).
  • Optical – in which secrets and sensitive data can be read by visual recording using a high resolution camera, or other devices that have such capabilities.

Hiljainen yksilön toiminnan seuranta hänen elektronisten laitteidensa käyttöön rajautuen tarjoaa paljon mahdollisuuksia ymmärtää yksilöä, hänen kehittymistään ja suuntautuneisuuttaan, hänen päätöksentekotaitojaan ja mietintöihin käyttämäänsä aikaa, hänen viitseliäisyyttään ja hetkiä jolloin hän päättää alkaa käyttää muita ihmisiä avuksi ym.

+1
uskottavaavaitotta
Lappeenranta

Monet muualla julkaistuista kirjoituksistani käyvät tämän blogin kautta kehittymässä ja löytävät sitten paranneltuna paikan jostain toisaalta. Täällä olevat ovat joko siirtymässä muuanne ajallaan tai ne on jätetty ikään kuin jonkinlaiseksi introksi kirjoituksista, jonkalaisia minulta voi odottaa tai sitten niiden tarkoituksena on antaa vaikutelmaa, mitä hyvää luettavaa toisaalla on tullut julkistettua. Kotisivutkin löytyy (http://hoito.org).

Ilmoita asiaton viesti

Kiitos!

Ilmoitus asiattomasta sisällöstä on vastaanotettu