Operaattorit ja virukset.

Ei tässä kukaan mitään kiintolevyjen skannaamisesta ole puhunut vaan yksinkertaisesti siitä että jos ja kun operaattorin IDS huomaa että verkossa liikkuu tunnetun haittaohjelman aiheuttamaa liikennettä laitetaan pallo pyörimään.

Parhaiten opettaa se kun joutuu maksamaan oppirahoja. Viesti puhelimeen ja nettiyhteys poikki jos 24h sisällä tulee vielä paskaa verkkoon tms. Tietysti tästä voi ja pitää lähettää asiakkaalle lisälasku kun kytkee takaisin päälle ja liittymästä voi maksu juosta sen aikaa mitä on katkolla. Viranomaisilla voisi myös olla valtuudet tehdä tunnusteleva porttiskannaus, että mitään vanhentuneita ohjelmistoja ei pidetä verkossa.

Toisaalta kuluttajien harhaanjohtamiseen jollain höpöhöpö turvahumpuukiohjelmilla voisi sitten kuluttajaviranomaiset puuttua koska tämähän on suurelta osalta syynä ongelmiin kun uskotellaan, että ostamalla joku TIETOTURVA oltaisiin sitten jotenkin "suojattu" ja ei tarvisi välittää mistään kuten esim. ylläpidosta.

M-Kar kirjoitti:

Parhaiten opettaa se kun joutuu maksamaan oppirahoja. Viesti puhelimeen ja nettiyhteys poikki jos 24h sisällä tulee vielä paskaa verkkoon tms. Tietysti tästä voi ja pitää lähettää asiakkaalle lisälasku kun kytkee takaisin päälle ja liittymästä voi maksu juosta sen aikaa mitä on katkolla. Viranomaisilla voisi myös olla valtuudet tehdä tunnusteleva porttiskannaus, että mitään vanhentuneita ohjelmistoja ei pidetä verkossa.

Toisaalta kuluttajien harhaanjohtamiseen jollain höpöhöpö turvahumpuukiohjelmilla voisi sitten kuluttajaviranomaiset puuttua koska tämähän on suurelta osalta syynä ongelmiin kun uskotellaan, että ostamalla joku TIETOTURVA oltaisiin sitten jotenkin "suojattu" ja ei tarvisi välittää mistään kuten esim. ylläpidosta.

Lue lisää

Täysin samaa mieltä M-Kar:n kanssa, pitäisi enemmän keskittyä kuluttajien opastimiseen. Ohjelmat osattava päivittää ja niin edelleen kun se pelkkä virustorjunta ei riitä. Suurin osa ihmisistä kuitenkin ajattelee vieläkin että mitä sitten vaikka joku kaappaa koneen, eihän heillä mitään salattavaa olekkaan.

M-Kar kirjoitti:

Parhaiten opettaa se kun joutuu maksamaan oppirahoja. Viesti puhelimeen ja nettiyhteys poikki jos 24h sisällä tulee vielä paskaa verkkoon tms. Tietysti tästä voi ja pitää lähettää asiakkaalle lisälasku kun kytkee takaisin päälle ja liittymästä voi maksu juosta sen aikaa mitä on katkolla. Viranomaisilla voisi myös olla valtuudet tehdä tunnusteleva porttiskannaus, että mitään vanhentuneita ohjelmistoja ei pidetä verkossa.

Toisaalta kuluttajien harhaanjohtamiseen jollain höpöhöpö turvahumpuukiohjelmilla voisi sitten kuluttajaviranomaiset puuttua koska tämähän on suurelta osalta syynä ongelmiin kun uskotellaan, että ostamalla joku TIETOTURVA oltaisiin sitten jotenkin "suojattu" ja ei tarvisi välittää mistään kuten esim. ylläpidosta.

Lue lisää

On sanomassasi vinha perä - euro on hyvä konsultti ja tehokas opettaja. Pitää kuitenkin muistaa, että haittaohjelmatartunnan saanut ei ole tässä pelissä roisto, vaan uhri. Harvapa niitä pöpöjä tahallaan koneeseensa tartuttaa. Suomessa on muuten ainakin yksi operaattori, joka (tietääkseni) toimii kutakuinkin kuvaamallasi tavalla. Se on toisaalta aika rankka linja ja tasapainoiluahan tämä onkin. Estämällä tietojen vuotaminen koneesta ulospäin voidaan tehdä asiakkaalle isokin palvelus.

Olen eri mieltä virustorjuntaohjelmistojen ja palomuuriohjelmistojen (näitähän varmaan tarkoitit) hyödyttömyydestä. Kyllä niille paikkansa on, sillä niiden avulla voi kuitenkin blokata valtaosan haitallisesta sisällöstä vähällä vaivalla ja melko vähällä rahallakin. Siinä olet oikeassa, etteivät ne täysin immuuneiksi pahuudelle tee.

Internet kun on nykyisin lähes kaikkien kansalaisten käytössä, olisi kohtuutonta vaatia, että kaikki olisivat IT-asiantuntijoita. Kyllä meidän asiantuntijoiden täytyy vähemmän kokeneita auttaa sekä teknisillä ratkaisuilla että neuvomalla. Reilu kymmenen vuotta sitten saattoi vielä leikillään sanoa, että "jos et osaa niin mene pois". Ei enää, nyt "netti" kuuluu jo kaikille.

Erilaisten palvelujen ja palvelinten ylläpito on perinteisesti ollut vain ammattilaisten tai asiaan perehtyneiden harrastajien puuhaa - mutta tämäkin on jonkin verran muuttumassa. On blogeja, foorumeja ja omia web-sivustoja, joillakin peräti omilla palvelimilla. Tämä on selvästi haaste tietoturvamielessä. Ovatko salasanat turvassa?

Ehkä uusi trendi, palveluiden meneminen "pilveen" ja yhteisten palvelualustojen käyttäminen toisaalta vähentää innostusta omien palvelinten pysyttämiseen. Aika näyttää.

--
Ari Husa, CERT-FI

jepmastera kirjoitti:

Täysin samaa mieltä M-Kar:n kanssa, pitäisi enemmän keskittyä kuluttajien opastimiseen. Ohjelmat osattava päivittää ja niin edelleen kun se pelkkä virustorjunta ei riitä. Suurin osa ihmisistä kuitenkin ajattelee vieläkin että mitä sitten vaikka joku kaappaa koneen, eihän heillä mitään salattavaa olekkaan.

Lue lisää

Ohjelmistojen päivittäminen on tosiaan hyvin tärkeää. Onneksi se on yhä useammin ainakin lähestulkoon automaattista. Kukapa kaikkia softia erikseen muistaisikaan päivitellä.

Mutta olettekos miettineet, että mitä kaikkea nykyisin internetiin liitetään - ja miten niiden vehkeiden päivittämisen laita on. Itsellänikin on kotona televisio ja satelliittiviritin netissä, joskin palomuurin takana. Molemmissa on jonkin sortin Linux sisällä. Kohta ollaan varmaansiinä tilanteessa mistä irvailtiin vuosia sitten, eli pesukone ja jääkaappi myös...

nettiviisas kirjoitti:

Ohjelmistojen päivittäminen on tosiaan hyvin tärkeää. Onneksi se on yhä useammin ainakin lähestulkoon automaattista. Kukapa kaikkia softia erikseen muistaisikaan päivitellä.

Mutta olettekos miettineet, että mitä kaikkea nykyisin internetiin liitetään - ja miten niiden vehkeiden päivittämisen laita on. Itsellänikin on kotona televisio ja satelliittiviritin netissä, joskin palomuurin takana. Molemmissa on jonkin sortin Linux sisällä. Kohta ollaan varmaansiinä tilanteessa mistä irvailtiin vuosia sitten, eli pesukone ja jääkaappi myös...

Lue lisää

Näissä taitaa eniten ongelmana olla se että kun tuote on saavuttanut tietyn elinkaaren ei siihen tarjota enää tulevaisuudessa mitään päivityksiä.

Yllättävän harva varsinkin Windows puolella oleva ohjelma päivittää itsensä automaattisesti. Secunia PSI taitaa olla yksi ainoista varteenotettavista vaihtoehdoista jolla saa melkein koko koneen ohjelmat pidettyä ajantasalla. Mac:n App Store auttaa siellä puolella ja paras ratkaisu tähän ongelmaan löytyy Linux-jakeluiden puolesta. Monesti käyttäjät vain ihmettelevät niitä Windows tyylisiä pikkuikkunoita alkapalkissa jotka ilmoittavat että päivityksiä saatavana.

nettiviisas kirjoitti:

Ohjelmistojen päivittäminen on tosiaan hyvin tärkeää. Onneksi se on yhä useammin ainakin lähestulkoon automaattista. Kukapa kaikkia softia erikseen muistaisikaan päivitellä.

Mutta olettekos miettineet, että mitä kaikkea nykyisin internetiin liitetään - ja miten niiden vehkeiden päivittämisen laita on. Itsellänikin on kotona televisio ja satelliittiviritin netissä, joskin palomuurin takana. Molemmissa on jonkin sortin Linux sisällä. Kohta ollaan varmaansiinä tilanteessa mistä irvailtiin vuosia sitten, eli pesukone ja jääkaappi myös...

Lue lisää

Lähinnä taitaa olla Mac OS X ja Windows ympäristöt ne joissa ihmisillä jää päivittämättä ohjelmistoja. Kaikkia ei tarvisi päivittää mutta ne nyt tietysti joilla avataan vieraita tiedostoja tai jotka kuuntelevat jotain portteja.

Tuohon ei tietystikään voi oikein vaikuttaa mutta siihen kylläkin voi, että jos ei ole päivittänyt käyttöjärjestelmäänsä ajan tasalle. Etenkin Mac OS X käyttäjät tuntuvat syyllistyvän tähän, että käytetään ties mitä Mac OS X 10.3:sta tai 10.4:sta verkossa vaikka niihin pitää hankkia uudemmat käyttöjärjestelmät. Odottaisin Windows Vistan kuluttajamalleilla ja Windows XP:llä käyvän vastaavaa holtittomuutta myös lähitulevaisuudessa.

nettiviisas kirjoitti:

On sanomassasi vinha perä - euro on hyvä konsultti ja tehokas opettaja. Pitää kuitenkin muistaa, että haittaohjelmatartunnan saanut ei ole tässä pelissä roisto, vaan uhri. Harvapa niitä pöpöjä tahallaan koneeseensa tartuttaa. Suomessa on muuten ainakin yksi operaattori, joka (tietääkseni) toimii kutakuinkin kuvaamallasi tavalla. Se on toisaalta aika rankka linja ja tasapainoiluahan tämä onkin. Estämällä tietojen vuotaminen koneesta ulospäin voidaan tehdä asiakkaalle isokin palvelus.

Olen eri mieltä virustorjuntaohjelmistojen ja palomuuriohjelmistojen (näitähän varmaan tarkoitit) hyödyttömyydestä. Kyllä niille paikkansa on, sillä niiden avulla voi kuitenkin blokata valtaosan haitallisesta sisällöstä vähällä vaivalla ja melko vähällä rahallakin. Siinä olet oikeassa, etteivät ne täysin immuuneiksi pahuudelle tee.

Internet kun on nykyisin lähes kaikkien kansalaisten käytössä, olisi kohtuutonta vaatia, että kaikki olisivat IT-asiantuntijoita. Kyllä meidän asiantuntijoiden täytyy vähemmän kokeneita auttaa sekä teknisillä ratkaisuilla että neuvomalla. Reilu kymmenen vuotta sitten saattoi vielä leikillään sanoa, että "jos et osaa niin mene pois". Ei enää, nyt "netti" kuuluu jo kaikille.

Erilaisten palvelujen ja palvelinten ylläpito on perinteisesti ollut vain ammattilaisten tai asiaan perehtyneiden harrastajien puuhaa - mutta tämäkin on jonkin verran muuttumassa. On blogeja, foorumeja ja omia web-sivustoja, joillakin peräti omilla palvelimilla. Tämä on selvästi haaste tietoturvamielessä. Ovatko salasanat turvassa?

Ehkä uusi trendi, palveluiden meneminen "pilveen" ja yhteisten palvelualustojen käyttäminen toisaalta vähentää innostusta omien palvelinten pysyttämiseen. Aika näyttää.

--
Ari Husa, CERT-FI

Lue lisää

"Pitää kuitenkin muistaa, että haittaohjelmatartunnan saanut ei ole tässä pelissä roisto, vaan uhri."

Itseasiassa ei ole enää uhri siinä vaiheessa jos on itse laiminlyönyt päivitykset. Jos vaikka syöt ylipäivättyä ruokaa ja saat vatsanväänteitä, oletko uhri vai oliko se oma vika? Ohjelmistoilla kyllä yleensä ilmoitetaan milloin päivitykset katkaistaan joten ne käyvät pian sen jälkeen turvattomiksi. Silloin päivitykset laiminlyövä henkilö omalla holtittomalla ylläpidolla häiriköi tietoliikennettä. Eihän ne horroksessa olevat haittaohjelmat välttämttä edes pidä mitään merkkejä itsestään ennen kuin annetaan käsky dossata vaikka eduskunta.fi nurin.

Tietysti viranomaiset voisi puuttua jyrkemmin tähän tiedotukseen, sillä esimerkiksi Apple ei ilmoita selkeästi milloin lopettaa päivitykset. Tuohon tarvisi joku lainsäädäntö, että kun ostaa softaa (joko sellaisenaan tai rautaan esiasennettuna) niin viimeinen käyttöpäivä pitää olla selvästi ilmoitettuna. Kaikkea on mahdotonta valvoa eikä siinä olisi mieltäkään mutta aina kun raha vaihtaa omistajaa niin pitäisi sitten edellyttääkin joidenkin perusjuttujen olla kunnossa. Eli jos netistä lataa ilmaiseksi jonkun softan niin ei tarvitse näihin puuttua. Ei ne elintarvikemääräykset sitäkään koske jos itse menee keräilemään metsästä marjoja.

Tietysti tässä voi herätä asiaan vihkiytymättömille mieleen se, että missä menee ohjelmistovalmistajan vastuu kun tekevät viallisia ohjelmia. No, fakta on se, että ohjelmoijat tekevät helposti kymmeniä virheitä tuhatta riviä kohden, ohjelmistoissa joita on koneella on satoja miljoonia rivejä koodia. Se koodin tekeminen kun on pitkälti käsityötä joten virheetön koodi on käytännössä mahdotonta ja lähes virheetönkin koodi maksaa niin paljon, että kenelläkään ei olisi varaa maksaa niistä.

Ohjelmistovalmistajille kyllä voi sitten vaatia jotain takuuta korjauksille, että reikiin puututaan ja ne korjataan viiveellä X ja ne korjataan luvatun ajan. Luvattu aika voi myös olla vähintään vuoden, että tällä tavalla ei pääse kusettamaan. Varmistusten huolehtiminen jäisi kyllä aina asiakkaan hoidettavaksi.

"Olen eri mieltä virustorjuntaohjelmistojen ja palomuuriohjelmistojen (näitähän varmaan tarkoitit) hyödyttömyydestä."

Palomuuri on ihan normaalia tietoturvaa kun rajoitetaan liikennettä mutta virustorjuntaohjelmistot ovat lähinnä turvallisuuden tunteen myymistä. Jostain kumman syystä kaikki tapaukset joissa olen nähnyt virusten saastuttaman tietokoneen, on käytössä ollut virustorjunta ohjelmisto. Selvästikään ne eivät siis toimi. Jostain kumman syystä nämä henkilöt joilla ei ole virustorjuntaohjelmistoa ja jotka ylläpitävät normaaliin tapaan ohjelmistoja, ei haittaohjelmsita ole tietoakaan.

Keskusrikospoliisi teki vuonna 2009 tutkimuksen, että tietoturvaohjelmistot tajusi helposti käytännön tasolla vain jotain 20-30% haittakoodista mitä levitettiin, että sellaista hyötyä niistä lähinnä.

"Internet kun on nykyisin lähes kaikkien kansalaisten käytössä, olisi kohtuutonta vaatia, että kaikki olisivat IT-asiantuntijoita."

Mihinkäs ne verorahat joita käytetään opetukseen menevät jos peruskoulussa ei kerrota tietoverkon toimintaperiaatetta perustasolla, tiedon salausta ja oikeuksista ja niiden rajoittamisesta kun ne ovat kaikkia kansalaisia liikuttava asia? Tämä ei ole mitään IT-asiantuntijan juttua enää vaan yleistietoa. IT-asiantuntijan osaamista on sitten softakehitys, tietokantaohjelmistojen konffaukset ja sen sellaista mutta tietoverkon toiminta on samanlainen perustietoa kuin vaikka jalankulkijan liikennesäännöt.

Viranomaisena voit vähän laittaa näitä asioita eteenpäin, että tapahtuisi jotain kehitystä. Nykytilanne on aivan ala-arvoista ja suomessa on noin yleisellä tasolla tietoturva-asiat rempallaan. Lähinnä tuntuu korruptio lisääntyvän kun ties missä tietoturvapäivissä usein ensimmäisenä tuputetaan "ajantasainen tietoturvaohjelmisto" ja kas kummaa yhteistyökumppaneina operaattorit, F-secure ja Microsoft: http://www.tietoturvakoulu.fi/yhteystiedot/palveluntarjoavat.html MIKSI en ole yllättynyt että tietoturvaohjelmia tuputetaan kun samainen poppoo paskoo rahaa kun saadaan kusetettua koko kansalle, että sellainen pitäisi ehdottomasti olla tai muuten terroristit laukaisee ydinohjukset. Että näin meillä suomessa..

M-Kar kirjoitti:

"Pitää kuitenkin muistaa, että haittaohjelmatartunnan saanut ei ole tässä pelissä roisto, vaan uhri."

Itseasiassa ei ole enää uhri siinä vaiheessa jos on itse laiminlyönyt päivitykset. Jos vaikka syöt ylipäivättyä ruokaa ja saat vatsanväänteitä, oletko uhri vai oliko se oma vika? Ohjelmistoilla kyllä yleensä ilmoitetaan milloin päivitykset katkaistaan joten ne käyvät pian sen jälkeen turvattomiksi. Silloin päivitykset laiminlyövä henkilö omalla holtittomalla ylläpidolla häiriköi tietoliikennettä. Eihän ne horroksessa olevat haittaohjelmat välttämttä edes pidä mitään merkkejä itsestään ennen kuin annetaan käsky dossata vaikka eduskunta.fi nurin.

Tietysti viranomaiset voisi puuttua jyrkemmin tähän tiedotukseen, sillä esimerkiksi Apple ei ilmoita selkeästi milloin lopettaa päivitykset. Tuohon tarvisi joku lainsäädäntö, että kun ostaa softaa (joko sellaisenaan tai rautaan esiasennettuna) niin viimeinen käyttöpäivä pitää olla selvästi ilmoitettuna. Kaikkea on mahdotonta valvoa eikä siinä olisi mieltäkään mutta aina kun raha vaihtaa omistajaa niin pitäisi sitten edellyttääkin joidenkin perusjuttujen olla kunnossa. Eli jos netistä lataa ilmaiseksi jonkun softan niin ei tarvitse näihin puuttua. Ei ne elintarvikemääräykset sitäkään koske jos itse menee keräilemään metsästä marjoja.

Tietysti tässä voi herätä asiaan vihkiytymättömille mieleen se, että missä menee ohjelmistovalmistajan vastuu kun tekevät viallisia ohjelmia. No, fakta on se, että ohjelmoijat tekevät helposti kymmeniä virheitä tuhatta riviä kohden, ohjelmistoissa joita on koneella on satoja miljoonia rivejä koodia. Se koodin tekeminen kun on pitkälti käsityötä joten virheetön koodi on käytännössä mahdotonta ja lähes virheetönkin koodi maksaa niin paljon, että kenelläkään ei olisi varaa maksaa niistä.

Ohjelmistovalmistajille kyllä voi sitten vaatia jotain takuuta korjauksille, että reikiin puututaan ja ne korjataan viiveellä X ja ne korjataan luvatun ajan. Luvattu aika voi myös olla vähintään vuoden, että tällä tavalla ei pääse kusettamaan. Varmistusten huolehtiminen jäisi kyllä aina asiakkaan hoidettavaksi.

"Olen eri mieltä virustorjuntaohjelmistojen ja palomuuriohjelmistojen (näitähän varmaan tarkoitit) hyödyttömyydestä."

Palomuuri on ihan normaalia tietoturvaa kun rajoitetaan liikennettä mutta virustorjuntaohjelmistot ovat lähinnä turvallisuuden tunteen myymistä. Jostain kumman syystä kaikki tapaukset joissa olen nähnyt virusten saastuttaman tietokoneen, on käytössä ollut virustorjunta ohjelmisto. Selvästikään ne eivät siis toimi. Jostain kumman syystä nämä henkilöt joilla ei ole virustorjuntaohjelmistoa ja jotka ylläpitävät normaaliin tapaan ohjelmistoja, ei haittaohjelmsita ole tietoakaan.

Keskusrikospoliisi teki vuonna 2009 tutkimuksen, että tietoturvaohjelmistot tajusi helposti käytännön tasolla vain jotain 20-30% haittakoodista mitä levitettiin, että sellaista hyötyä niistä lähinnä.

"Internet kun on nykyisin lähes kaikkien kansalaisten käytössä, olisi kohtuutonta vaatia, että kaikki olisivat IT-asiantuntijoita."

Mihinkäs ne verorahat joita käytetään opetukseen menevät jos peruskoulussa ei kerrota tietoverkon toimintaperiaatetta perustasolla, tiedon salausta ja oikeuksista ja niiden rajoittamisesta kun ne ovat kaikkia kansalaisia liikuttava asia? Tämä ei ole mitään IT-asiantuntijan juttua enää vaan yleistietoa. IT-asiantuntijan osaamista on sitten softakehitys, tietokantaohjelmistojen konffaukset ja sen sellaista mutta tietoverkon toiminta on samanlainen perustietoa kuin vaikka jalankulkijan liikennesäännöt.

Viranomaisena voit vähän laittaa näitä asioita eteenpäin, että tapahtuisi jotain kehitystä. Nykytilanne on aivan ala-arvoista ja suomessa on noin yleisellä tasolla tietoturva-asiat rempallaan. Lähinnä tuntuu korruptio lisääntyvän kun ties missä tietoturvapäivissä usein ensimmäisenä tuputetaan "ajantasainen tietoturvaohjelmisto" ja kas kummaa yhteistyökumppaneina operaattorit, F-secure ja Microsoft: http://www.tietoturvakoulu.fi/yhteystiedot/palveluntarjoavat.html MIKSI en ole yllättynyt että tietoturvaohjelmia tuputetaan kun samainen poppoo paskoo rahaa kun saadaan kusetettua koko kansalle, että sellainen pitäisi ehdottomasti olla tai muuten terroristit laukaisee ydinohjukset. Että näin meillä suomessa..

Lue lisää

Hei,

Paljon osuvaakin juttua, ihan kaikkeen en kommentoi.

Virustorjuntaohjelmien tehokkuudesta on paljon juttua väännetty, ja se pitää paikkansa, etteivät ne ole läheskään sataprosenttinen suoja. Uudet uhat ovat niille ongelma, vanhoista ne selviävät paremmin. On myös ihan varta vasten räätälöityjä haittaohjelmia, jotka pahikset pyrkivätkin pitämään "tutkan alla" mahdollisimman pitkään levittämällä niitä vain rajoitetusti ja tiettyihin kohteisiin. Ja jos kone on kerran saastunut, niin virustorjuntakin voidaan blokata pois pelistä.

Ruokavertailu oli hauska. Harva ostaa jo valmiiksi vanhaa ruokaa tai käyttää sitä sen jälkeen kun viimeinen käyttöpäivä on kaukana takana. Ohjelmistoillakin on elinkaarensa, ja toiset valmistajat kertovat selvemmin tuen loppumisesta kuin toiset - ja joskus käyttäjä on sitten jossain vaiheessa esimerkiksi haavoittuvuuksien kanssa omillaan, jos ei halua vaihtaa tuoreempaan.

Tietoisuus teknologiasta ja tietoturva-asioistakin paranee, mutta kyllä se mielestäni niin on, että tavalliselle ihmiselle ei pitäisi olla tärkeää se mitä "pellin alla" tapahtuu. Toiset osaavat korjata autojakin, minä vien sen korjaamolle jos siihen tulee vika. Tekniikan pitäisi huolehtia siitä, että käyttäjä sen kun surffaa ja mailaa (tai ajaa) kohtuullisen turvallisesti, kunhan ei törttöile tai hurjastele. Siihen on vielä matkaa.

--
Ari Husa, CERT-FI

nettiviisas kirjoitti:

Hei,

Paljon osuvaakin juttua, ihan kaikkeen en kommentoi.

Virustorjuntaohjelmien tehokkuudesta on paljon juttua väännetty, ja se pitää paikkansa, etteivät ne ole läheskään sataprosenttinen suoja. Uudet uhat ovat niille ongelma, vanhoista ne selviävät paremmin. On myös ihan varta vasten räätälöityjä haittaohjelmia, jotka pahikset pyrkivätkin pitämään "tutkan alla" mahdollisimman pitkään levittämällä niitä vain rajoitetusti ja tiettyihin kohteisiin. Ja jos kone on kerran saastunut, niin virustorjuntakin voidaan blokata pois pelistä.

Ruokavertailu oli hauska. Harva ostaa jo valmiiksi vanhaa ruokaa tai käyttää sitä sen jälkeen kun viimeinen käyttöpäivä on kaukana takana. Ohjelmistoillakin on elinkaarensa, ja toiset valmistajat kertovat selvemmin tuen loppumisesta kuin toiset - ja joskus käyttäjä on sitten jossain vaiheessa esimerkiksi haavoittuvuuksien kanssa omillaan, jos ei halua vaihtaa tuoreempaan.

Tietoisuus teknologiasta ja tietoturva-asioistakin paranee, mutta kyllä se mielestäni niin on, että tavalliselle ihmiselle ei pitäisi olla tärkeää se mitä "pellin alla" tapahtuu. Toiset osaavat korjata autojakin, minä vien sen korjaamolle jos siihen tulee vika. Tekniikan pitäisi huolehtia siitä, että käyttäjä sen kun surffaa ja mailaa (tai ajaa) kohtuullisen turvallisesti, kunhan ei törttöile tai hurjastele. Siihen on vielä matkaa.

--
Ari Husa, CERT-FI

Lue lisää

Näinhän se menee että pääosassa kodeista on Windows käytössä ja siihen asennettuna iso joukko ohjelmia joita ei muisteta päivittää, valitettavasti, vaikka se olisi hyvin helppoa. Edellä mainittu Secunia PSI (ks. http://secunia.com/vulnerability_scanning/personal/ ) on hyvä mutta ei sekään ole täydellinen vaan sen rinnalle kannattaa ottaa CNET TechTracker ( http://www.cnet.com/techtracker-free/ ) . Ne täydentävät hyvin toisiaan ja niiden avulla löytyy koneesta kaikki ohjelmat jotka tarvitsevat päivitystä. CNET TechTracker on siitä mukava tai ärsyttävä, ihan miten vaan, että se muistuttaa jokaisella koneen avauskerralla, jos koneellasi on päivittämättömiä ohjelmia.

Tämän kotirintaman varmistamisen lisäksi operaattorien rooli on tietysti tärkeä. Sonera toimii tällä saralla hienosti, blokaten saastuneita koneita verkossa koko ajan ja tiedottamalla siitä asiakkaita ja neuvomalla miten asiakas saa koneensa puhdistettua ja takasin verkkoon. Ellen väärin muista, Elisakin tekisi samaa, mutta pienillä operaattoreilla olisi tässä paljon parannettavaa. Tässä olisikin Viestintävirastolla painostuksen paikka, uutta regulaatiota peliin vaan ja pienetkin operaattorit ruotuun.

--

Olli Haukkovaara

Cruzan kirjoitti:

Näinhän se menee että pääosassa kodeista on Windows käytössä ja siihen asennettuna iso joukko ohjelmia joita ei muisteta päivittää, valitettavasti, vaikka se olisi hyvin helppoa. Edellä mainittu Secunia PSI (ks. http://secunia.com/vulnerability_scanning/personal/ ) on hyvä mutta ei sekään ole täydellinen vaan sen rinnalle kannattaa ottaa CNET TechTracker ( http://www.cnet.com/techtracker-free/ ) . Ne täydentävät hyvin toisiaan ja niiden avulla löytyy koneesta kaikki ohjelmat jotka tarvitsevat päivitystä. CNET TechTracker on siitä mukava tai ärsyttävä, ihan miten vaan, että se muistuttaa jokaisella koneen avauskerralla, jos koneellasi on päivittämättömiä ohjelmia.

Tämän kotirintaman varmistamisen lisäksi operaattorien rooli on tietysti tärkeä. Sonera toimii tällä saralla hienosti, blokaten saastuneita koneita verkossa koko ajan ja tiedottamalla siitä asiakkaita ja neuvomalla miten asiakas saa koneensa puhdistettua ja takasin verkkoon. Ellen väärin muista, Elisakin tekisi samaa, mutta pienillä operaattoreilla olisi tässä paljon parannettavaa. Tässä olisikin Viestintävirastolla painostuksen paikka, uutta regulaatiota peliin vaan ja pienetkin operaattorit ruotuun.

--

Olli Haukkovaara

Lue lisää

Itse toivoisin jotain regulaatiota siihen, että ohjelmissa ilmoitetaan selvästi viimeinen käyttöpäivä ostamisen yhteydessä. Nyt ihmiset ei aina edes tiedosta niiden vanhenevan.

M-Kar kirjoitti:

Itse toivoisin jotain regulaatiota siihen, että ohjelmissa ilmoitetaan selvästi viimeinen käyttöpäivä ostamisen yhteydessä. Nyt ihmiset ei aina edes tiedosta niiden vanhenevan.

Lue lisää

Tuo olisi mukavaa mutta mahdotonta. Ohjelma ei ole kuin ruoka joka pilaantuu jonkin päivämäärän jälkeen. Yleensä ohjemistoyritykset kehittävät ja ylläpitävät ohjelmiaan usean vuoden ajan. Jos ohjelma on hyvä ja sille löytyy riittävästi käyttäjiä, sen elinkaari pitenee, muussa tapauksessa sen elinkaari voi jopa lyhentyä.

Ohjelmien vanhenemistieto pitäisikin näkyä käyttöjärjestelmissä mieluummin jonkin apuohjelman avulla, joka seuraa ohjelman tilaa ja hälyttää käyttäjän kun ohjelmistoyritys ilmoittaa tuen loppumisen ohjelmalle. Secunia PSI periaatteessa tämän tekeekin, mutta "piilottaa" tiedon skannaustuloksiin eikä aktiivisesti tyrkytä tietoa käyttäjälle. Mutta parempi sekin kun ei mitään.

--
Olli Haukkovaara

Cruzan kirjoitti:

Tuo olisi mukavaa mutta mahdotonta. Ohjelma ei ole kuin ruoka joka pilaantuu jonkin päivämäärän jälkeen. Yleensä ohjemistoyritykset kehittävät ja ylläpitävät ohjelmiaan usean vuoden ajan. Jos ohjelma on hyvä ja sille löytyy riittävästi käyttäjiä, sen elinkaari pitenee, muussa tapauksessa sen elinkaari voi jopa lyhentyä.

Ohjelmien vanhenemistieto pitäisikin näkyä käyttöjärjestelmissä mieluummin jonkin apuohjelman avulla, joka seuraa ohjelman tilaa ja hälyttää käyttäjän kun ohjelmistoyritys ilmoittaa tuen loppumisen ohjelmalle. Secunia PSI periaatteessa tämän tekeekin, mutta "piilottaa" tiedon skannaustuloksiin eikä aktiivisesti tyrkytä tietoa käyttäjälle. Mutta parempi sekin kun ei mitään.

--
Olli Haukkovaara

Lue lisää

"Ohjelma ei ole kuin ruoka joka pilaantuu jonkin päivämäärän jälkeen."

Kyllä se vaan on juurikin kuin ruoka, ja se päivämäärä on se milloin ne pakolliset tietoturvapäivitykset loppuu.

"Yleensä ohjemistoyritykset kehittävät ja ylläpitävät ohjelmiaan usean vuoden ajan."

Niin ja tämä aika kuinka pitkään ylläpitävät pitää ilmoittaa.

"Jos ohjelma on hyvä ja sille löytyy riittävästi käyttäjiä, sen elinkaari pitenee, muussa tapauksessa sen elinkaari voi jopa lyhentyä."

Ja tähän epämääräiseen sekasotkuun pitää saada joku kuri. Suomessa (tai mielellään EU tasolla) jos myydään softaa, joko sellaisenaan tai laitteeseen asennettuna, pitää ilmoittaa selvästi kuinka kauan siihen vähintään tulee tietoturvapäivityksiä. Nythän asiakkaita kusetetaankin tällä kun lopettavat ennenaikaisesti tukemisen.

"Ohjelmien vanhenemistieto pitäisikin näkyä käyttöjärjestelmissä mieluummin jonkin apuohjelman avulla, joka seuraa ohjelman tilaa ja hälyttää käyttäjän kun ohjelmistoyritys ilmoittaa tuen loppumisen ohjelmalle."

Tämä taas mahdollistaa sellaisen kusetuksen, että myydään vaikka 3000€:lla ohjelma ja lopetetaan tukeminen 4kk jälkeen. Se tieto pitää ehdottomasti ilmoittaa myyntitapahtuman yhteydessä ja roskaohjelmat myyntikieltoon. Jos joku teollisuuden ala riippuvainen roskaohjelmasta niin kannustimena ohjelmistomyyjille voisi tekijänoikeuslakia muutella vaikka niin, että tälläisten ohjelmien tekijänoikeuksia heikennetään vapaasti kopioitaviksi.

Apuohjelmat käyttöjärjestelmissä ei toimi myöskään siksi, koska ei ole olemassa standardia tälläiselle vanhenemistiedolle joten se vanhenemistieto tarvitsee jonkun kolmannen osapuolen tahon ylläpitoa joten joutuisi olemaan naimisissa jonkun kolmannen osapuolen tahon kanssa. Koko ajatusmaailma on muutenkin 90-lukulaista koska nykypäivänä ohjelmistot on usein samassa paketissa käyttöjärjestelmän kanssa ja ohjelmistojen integrointi yhteen kasvaa kokoajan. Erillisohjelmia tulee vähemmän mutta kaupanhyllyllä myydään laitteita ohjelmistoineen jotka on tuettuna N aikaa (tai mahdollisesti ohjelmistopaketti erikseen) ja se aika kauan on tuettua joko puuttuu tai on kätketty niin, että kuluttaja sitä ei ainakaan helposti löydä.

Noin esimerkkeinä vaikka Applen iPad jota kuluttajille myydään jopa 800€:n hintaan mutta sitä tietoa ei tietenkään kerrota, että 2.5v kuluttua tietoturvapäivitykset lopetetaan ja laite nettikäytössä tiiliskivi. Ja tuonkin 2.5v tiedon pystyy lähinnä päättelemään kolmesta aikaisemmasta iOS julkaisusta ja sitä käyttävistä laitteista. Toinen "jännä" tuote on nämä Windows Vistalla Home Premiumilla myydyt all-in-one tietokoneet joiden päivitykset loppuu reilun vuoden päästä joten asiakas joutuu käytännössä ostamaan Windows 7:n melkein heti. Todennäköisemmin valtaosa näistä on pian verkossa ilman päivityksiä ja siinähän ei mitkään Secuniat auta.

M-Kar kirjoitti:

Parhaiten opettaa se kun joutuu maksamaan oppirahoja. Viesti puhelimeen ja nettiyhteys poikki jos 24h sisällä tulee vielä paskaa verkkoon tms. Tietysti tästä voi ja pitää lähettää asiakkaalle lisälasku kun kytkee takaisin päälle ja liittymästä voi maksu juosta sen aikaa mitä on katkolla. Viranomaisilla voisi myös olla valtuudet tehdä tunnusteleva porttiskannaus, että mitään vanhentuneita ohjelmistoja ei pidetä verkossa.

Toisaalta kuluttajien harhaanjohtamiseen jollain höpöhöpö turvahumpuukiohjelmilla voisi sitten kuluttajaviranomaiset puuttua koska tämähän on suurelta osalta syynä ongelmiin kun uskotellaan, että ostamalla joku TIETOTURVA oltaisiin sitten jotenkin "suojattu" ja ei tarvisi välittää mistään kuten esim. ylläpidosta.

Lue lisää

Onnea vaan tulevalle yritykselles jos tuolla periaatteella aiot hoitaa asiakassuhteitas. Operaattorit on hanakkoja myymään nettiliittymiä joten tuskin niitä kiinnostaa moinen natsismi. Tiedän ainakin pari operaattoria jotka katkaisee nettiyhteyden jos kone syytää viruksia ja sitä ennen ilmoittavat että on syytä puhdistaa kone. Viranomaiset ei tarvitse yhtään enempää isoveli valvoo -valtuuksia kuin niillä jo on. Kyllä ne oikeat rikolliset jää kiinni jo nyt, ei tarvitse tavallista kuluttajaa alkaa jollain maksulla rankaisemaan. Vitsa ei ole paras opettaja, eikä mikään opettaja millään tavalla. Mieluummin lisää tällaisia palstoja yleisimmille foorumeille niin ehkä se kantaa maukkaamman hedelmän kuin se vihan hedelmä.

Elli Kuuva kirjoitti:

Onnea vaan tulevalle yritykselles jos tuolla periaatteella aiot hoitaa asiakassuhteitas. Operaattorit on hanakkoja myymään nettiliittymiä joten tuskin niitä kiinnostaa moinen natsismi. Tiedän ainakin pari operaattoria jotka katkaisee nettiyhteyden jos kone syytää viruksia ja sitä ennen ilmoittavat että on syytä puhdistaa kone. Viranomaiset ei tarvitse yhtään enempää isoveli valvoo -valtuuksia kuin niillä jo on. Kyllä ne oikeat rikolliset jää kiinni jo nyt, ei tarvitse tavallista kuluttajaa alkaa jollain maksulla rankaisemaan. Vitsa ei ole paras opettaja, eikä mikään opettaja millään tavalla. Mieluummin lisää tällaisia palstoja yleisimmille foorumeille niin ehkä se kantaa maukkaamman hedelmän kuin se vihan hedelmä.

Lue lisää

Nykylainsäädännössä ylläpidon laiminlyönti on todellista rikollisuutta. Vastahan tässä joillekin lätkäistiin 800000€ vahingonkorvaukset kun eivät olleet ylläpitäneet hubiansa kun oikeat rikolliset hyödynsi sitä lain rikkomisessa.

Ylläpitämättömällä autolla (katsastamaton) ajaminen yleisillä teillä on myös rikollisuutta vaikka todellinen lainrikkoja on ilmeisesti auton valmistaja kun teki siihen sellaisia bugeja, että mätänee käytössä. Sähköverkkoon ei myöskään saa mitä tahansa paskaa tunkea.

Lakipykälissä on hyvin selkeästi ilmaistu, että tietoliikenteen häirintä on rikos joten millä tavalla perustelet sitä, että "tavallisella kuluttajalla" ei ole mitään vastuuta toilailuista julkisessa verkossa ja ylläpidossa kun laissa kerran lukee ja sama pätee muissakin julkisissa infrastruktuureissa?

Tietysti pakollinen tietokoneen katsastus pari kertaa vuodessa voisi olla ihan hyvä juttu bisneksen kannalta ja jos ei ole varaa maksaa niin olkoot ilman nettiyhteyttä sitten.

M-Kar kirjoitti:

Nykylainsäädännössä ylläpidon laiminlyönti on todellista rikollisuutta. Vastahan tässä joillekin lätkäistiin 800000€ vahingonkorvaukset kun eivät olleet ylläpitäneet hubiansa kun oikeat rikolliset hyödynsi sitä lain rikkomisessa.

Ylläpitämättömällä autolla (katsastamaton) ajaminen yleisillä teillä on myös rikollisuutta vaikka todellinen lainrikkoja on ilmeisesti auton valmistaja kun teki siihen sellaisia bugeja, että mätänee käytössä. Sähköverkkoon ei myöskään saa mitä tahansa paskaa tunkea.

Lakipykälissä on hyvin selkeästi ilmaistu, että tietoliikenteen häirintä on rikos joten millä tavalla perustelet sitä, että "tavallisella kuluttajalla" ei ole mitään vastuuta toilailuista julkisessa verkossa ja ylläpidossa kun laissa kerran lukee ja sama pätee muissakin julkisissa infrastruktuureissa?

Tietysti pakollinen tietokoneen katsastus pari kertaa vuodessa voisi olla ihan hyvä juttu bisneksen kannalta ja jos ei ole varaa maksaa niin olkoot ilman nettiyhteyttä sitten.

Lue lisää

No jos mennään ihan ääritapauksiin että käyttäjä huolimattomuudellaan aikaansaa haittaa verkossa niin kuten jo mainitsin niin jotkut operaattorit pätkäsee nettiyhteyden poikki ja viestimällä että tietokone pitää puhdistaa haittaohjelmista.

Google ainakin on yks syypää miksi haittaohjelmat leviää, näillä olis kyky suodattaa hakutulokset halutessaan, mutta se ei tuo rahaa vaan vie sitä. Vähemmän hauska esimerkki vähän aikaa sitten tuo R-Kioskin googlehausta haittaohjelmasivustolle joutuminen jonka korjaaminen kesti useita päiviä. Onko sun mielestä käyttäjä vastuussa tällaisesta, sehän saa koneensa mahdollisesti saastuneeksi ilman omaa syytään?

Elli Kuuva kirjoitti:

No jos mennään ihan ääritapauksiin että käyttäjä huolimattomuudellaan aikaansaa haittaa verkossa niin kuten jo mainitsin niin jotkut operaattorit pätkäsee nettiyhteyden poikki ja viestimällä että tietokone pitää puhdistaa haittaohjelmista.

Google ainakin on yks syypää miksi haittaohjelmat leviää, näillä olis kyky suodattaa hakutulokset halutessaan, mutta se ei tuo rahaa vaan vie sitä. Vähemmän hauska esimerkki vähän aikaa sitten tuo R-Kioskin googlehausta haittaohjelmasivustolle joutuminen jonka korjaaminen kesti useita päiviä. Onko sun mielestä käyttäjä vastuussa tällaisesta, sehän saa koneensa mahdollisesti saastuneeksi ilman omaa syytään?

Lue lisää

Ainakin pankeilla on menee korvaukset niin, että jokainen huolehtii omasta tietoturvallisuudestaan. Toisin sanoen, pankeilla ei ole mitään korvausvelvoitteita jos tietomurto on tehty asiakaspäässä.