Case Java: Onko tietoturvasta tullut välttämätön paha?

31.08.2012

Vieraileva blogikirjoittaja
Markku Arvekari, IT-asiantuntija,
CTRL Service Oy | 31.08.2012 |

Viime päivinä olemme taas saaneet lukea miten turvaton tietotekniikan maailma on. Viimeisen viikon aikana valokeilaan on päässyt Oraclen Java ja sen tuore haavoittuvuus, johon ei vielä ole olemassa korjausta.
Onko tämä kyseessä siis taas vain tietoturvalla pelottelusta vai todellisesta uhasta?

Ihmisten kanssa jutellessani törmään usein on myös ajatukseen siitä, että tämä ei kosketa minua mitenkään. Ei minulla ole mitään niin salaista.

Mitä Java-haavoittuvuus mahdollistaa?

Tietoturvasta on tullut ihmisille välttämätön paha ja sen riskejä ei oikein tahdota ymmärtää.
Esimerkiksi juurikin nyt kuumana perunana oleva Java-haavoittuvuus ja mitä se hyökkääjälle oikeasti mahdollistaa?
Se mahdollistaa sen, että hyökkääjä voi suorittaa saastuneella koneella ohjelmia käyttäjän oikeuksilla.
Hyvin usein käyttäjällä on koneeseensa vielä järjestelmänvalvojan oikeudet, jolloin hyökkääjä voi tehdä koneessa
ihan mitä hän haluaa. Hyviä esimerkkejä tästä on laittoman materiaalin levittäminen kuten lapsipornon, laittomien
ohjelmistojen tai sitten hyökkääjä voi pystyttää koneelle valesivuston, joka kalastaa käyttäjien pankkitunnuksia.

Miten hyökkäyksien kohteeksi joutumisen voi estää?

Koneen käyttöönotto vaiheessa olisi koneelle hyvä luoda jokaiselle käyttäjälle oma käyttäjätili jolla
on vain normaalin käyttäjän oikeudet sekä järjestelmänvalvojan tili jota käytetään ohjelmien asentamiseen
ja ylläpidollisiin toimiin kuten päivityksiin. Tällä keinolla saadaan koneesta jo kerralla astetta turvallisempi.
On myös syytä tarkistaa virustorjunta ohjelmiston ajantasaisuus ja että konetta suojaa palomuuri.
Käyttöjärjestelmän tietoturva päivitykset olisi myös syytä pitää ajan tasalla.

Nyt riehuvassa Java-haavoittuvuudessa on ongelmana se, että siihen ei ole vielä olemassa tietoturvapäivitystä.
Tartunnan riskiä voi pienentää surffaamalla vain luotetuilla sivustoilla. Yksi vaihtoehto
Javan kanssa on asentaa se esimerkiksi vain Firefox selaimeen, jolla hoitaa ainoastaan pankkiasiat.
Normaaliin surffailuun käyttää sitten esimerkiksi Internet Exploreria tai Googlen Chrome selainta.

Tarkkuutta toimintaan

Yleisesti tietoturvaan on olemassa hyviä ohjeita, joilla erillisten tartuntojen saamisen riskiä voidaan pienentää,
mutta nykypäivänä sitä tuskin koskaan saadaan riskittömäksi. Hyviä oppaita turvalliseen internet käyttäytymiseen löytyy
niin koti kuin yritys käyttöön. Myös kiinnittämällä huomiota koneen antamiin ikkunoihin, siten että ei aina vain klikkaa
automaattisesti hyväksy/salli t/ok, koska nämä ovat potentiaalisia paikkoja siihen, että sallit haittaohjelman tai viruksen
tehdä koneessasi jotain sellaista mitä et tarkoittanut. Varsinkin silloin, kun outo ikkuna hyppää ruudulle kiireisenä ajankohtana
ja olet juuri viimeistelemässä tärkeää raporttia hetken päästä alkavaan kokoukseen.
Perusasioista huolehtimalla ja tarkkaavaisuudella pystytään tietoturvariskejä pienentämään
huomattavasti.

Mikäli kuitenkin käy niin, että haittaohjelma onnistuu luikertelemaan koneeseen,
niin mitä silloin tulisi tehdä?

Pysy rauhallisena
Kytke kone irti verkosta
Toimita koneesi yrityksen IT-tuelle tai lähimpään huoltopisteeseen.
Asiantuntija voi puhdistaa koneen ja varmistua siitä, että haittaohjelma on oikeasti saatu poistettua.

Miten tietää milloin valppautta tulisi tietoturva suhteen lisätä?

Hyviä lähteitä tähän on mm. Cert.fi ja Digitoday verkkosivustot. Cert.fi on mm.
Java haavoittuvuuteen liittyen kerännyt kysymyksiä ja vastuksia osion.
Lopulta pääsemme siihen, että tietoturvasta ja siitä huolehtimisesta on tullut välttämätön osa jokapäiväistä elämäämme verkossa, koskettaen niin työ- kuin vapaa-aikaa.

Blogi-kirjoituksen valmistumisen jälkeen on Oracle julkaissut Javan haavoittuvuuteen korjauksen joka löytyy Alla olevista linkeistä:
Java 7 update 7, tai
Java 6 update 35.

Cookie	Duration	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Necessary" category.
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Duration	Description
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.

Case Java: Onko tietoturvasta tullut välttämätön paha? - City Dev Labs

Case Java: Onko tietoturvasta tullut välttämätön paha? - City Dev Labs