Haavoittuvuus

Printtaa tämä artikkeli Printtaa tämä artikkeli
Neptun 27 toukokuun, 2013

Onko koneessani tietoturva-aukko tai haavoittuvuus?

 

Artikkeli päivitetty 30.3.2018

 

 

Julkisuudessa kerrotaan tämän tästä, että siitä ja siitä ohjelmasta on löydetty vakava tietoturva-aukko tai havoittuvuus.  Mutta mitä ne oikein ovat?  Ovatko ne vain tietotekniikan ammattilaisten murheita, vai pitääkö tietokoneen käyttäjän tehdä jotakin niiden välttämiseksi?

 

Kysymys on ajankohtainen, sillä tietoturva-aukkoja näkyy tulevan yhä uusia.  Onhan niitä aukkoja ollut ennenkin. Nyt vain haavoittuvuuksien etsintä on paljon tarkempaa ja tietotekniikan laajentuessa on niihin enemmän mahdollisuuksia.  Ja niiden hyväksikäyttö on myös osaavaa.  Jos ei päästä koneisiin tunkeutumaan yhdellä tavalla, niin etsitään sitten toinen…

Mutta katsotaan mistä on kysymys.  Tietoturva-aukko on johdettu englannin kielen sanasta Vulnerability.  Takka suomennos olisi haavoittuvuus.  Saattaa kuitenkin olla selkeämpää, että suomen kielessä pidetään nuo kaksi termiä hiukan erillään toisistaan vaikka ne oikeastaan samaa tarkoittavatkin.  Tosin esim. Viestitävirasto on ryhtynyt puhumaan nimenomaan haavoittuvuuksista.

Vulnerbility eli haavoittuvuus on todella laaja käsite.  Tietotekniikassa haavoittuvuuksia voi olla melkein missä tahansa, niin laitteissa kuin softissakin.  Tietoturva-aukko ohjaa ajatuksen siihen, mikä on tietokoneen käyttäjän kannalta tärkeätä:  Se on selkeästi tekemisissä tietokoneen ohjelmien kanssa.

Jos joku haluaa perehtyä tarkemmin valtavaan teoriaviidakkoon, joka liittyy käsitteeseen Vulnerability, niin tietoa on englanniksi Wikipediassa -> täällä.  Pitää olla kyllä tosi vahva teoreettinen tutkijaluonne, ettei saa päänsärkyä tuollaisesta käsitteiden ja tietojen vyörytyksestä.  Meille riittää jo tieto, että tietoturva-aukko on tietokoneen ohjelmien haavoittuvuus, josta rikolliset voivat päästä vaikka ottamaan koko tietokoneen hallintaansa.  Aukkoa hyväksi käyttäen voi ulkopuolinen taho kerätä koneesta tietoja, siitä voidaan tuhota tietoja ja kone voidaan valjastaa vaikka jonkin bottiverkon käyttöön roskapostia lähettämään.

 

Kilpajuoksu aukkoihin

Tällaisia aukkoja etsitään sekä käyttöjärjestelmistä että mistä tahansa tietokoneiden käyttämistä ohjelmista.  Kilpajuoksu on menossa, kumpi ehtii ensin aukkojen etsijät vai niiden korjaajat.  Ja kuten mediat kertovat, usein on ensin aukko ja vasta sitten saadaan siihen korjaus.

Tämä saattaa saada tietokoneen käyttäjän arvelemaan, että aukkojen löytymisellä ja niiden korjaamisella ei ole mitään tekemistä tavallisten käyttäjien kanssa.  Näin juuri haavoittuvuuksien etsijät toivovat ihmisten ajattelevan.  Silloin ei oteta vakavasti tietotekniikan asiantuntijoiden varoituksia eikä korjauksia, päivityksiä, joilla aukot suljetaan. 

Älä jätä ovia auki tietokoneeseesi.  Näin tapahtuu, jos sen ohjelmia ei päivitetä sitä mukaan kun päivityksiä tulee.  Näillä päivityksillä – joilla paikataan ohjelmien puutteita ja tehdään niihin parannuksia –  korjataan myös tietoturva-aukkoja.  Jos et päivitä konetta, niin ovet pysyvät jatkuvasti auki.  Sitä riskiä ei kannata ottaa.

Käyttöjärjestelmien päivitykset toimivat parhaalla tavalla kun ne tapahtuvat automaattisesti.  Lisäksi kannattaa seurata nettimaailmaa, jos jokin vakava aukko on vielä paikkaamatta.  Tämä ei enää kuitenkaan riitä koneen turvalliseen ylläpitoon.  Nyt on huolehdittava myös muiden ohjelmien mahdollisimman nopeasta päivityksestä. Osa softista päivittää itse itsensä tai ilmoittaa että uusi on ladattavissa.  Mutta osa on muistettava itse päivittää.  Tai käytettävä siihen kehitettyjä apukeinoja.  Kaikkia yleisiä ohjelmia voidaan päivittää myös automatisoidusti.  Se tapahtuu käyttämällä päivitystyökaluja.  Niistä kerrotaan -> täällä

Tietoturva-aukkoja voidaan käyttää rikollisesti hyväksi monella tavalla.  Erityisen suuri paine näkyy tällä hetkellä olevan ujuttaa niiden avulla koneeseen haittaohjelmia.  Ne ovat monenlaisia vaarallisia saalistajia.  Sellaisia, joita ei ole kehitetty kiusaa tekemään vaan hankkimaan rahaa sinulta tai avullasi.

 

Asiaan liittyvää

Viestintävirasto julkaisee jatkuvasti tietoja erilaisita ohjelmissa jne. havaituista haavoittuvuuksista.  Uudet tiedot päivitetään aina ajan tasalle.  Turvallisuuteen vaikuttavien uusien havoittuvuuksien listaus on netissä Viestintäviraston sivuilla ->täällä.

 

Mitä ovat haittaohjelmat (malware)? Epäiletkö että koneessa on haittaohjelma?  Lue tämä: Mitä ovat haittaohjelmat – miten ne torjutaan 

Epäiletkö että tietokoneesi on yhteydessä jonnekin mistä et tiedä?  Selvitä asia: Mihin tietokoneeni on yhteydessä

Onko tietokoneeni hakkeroitu tai kaapattu?

Mistä voin ladata turvallisesti ohjelmia?

 

 

 

Tagit: , , ,