22. kesäkuuta 2007

Matkapuhelimet tietoturvauhkana

Vaikka olenkin käsitellyt tätä aihetta jo aikaisemmin, lienee syytä puhua vähän lisää siitä... Nyt on alkanut tulla jo yleiseen tietoisuuteen tapauksia, joissa matkapuhelimia on häiriköiden taholta kaapattu, takaportitettu ja niitä käytetään omistajiaan vastaan salakuunteluun ja häiriköintiin. Hyökkäyksiä voidaan tehdä paitsi Bluetoothia käyttäen, jopa reilusti yli kilometrinkin päästä, mutta myös hyökkäämällä suoraan itse puhelimessa pyörivää ohjelmistoa vastaan tai sitä hyväksi käyttäen esimerkiksi "päivittämällä" puhelimen ohjelmisto suoraan GSM-verkon kautta hyökkääjän takaportittamaan versioon.

Puhelimen kaappausta on melko vaikea itse edes huomata ja kaapattu puhelin voidaan laittaa tekemään aivan mitä tahansa. Puhelin voi esimerkiksi salakuunnella (ja katsella - jos siinä on kamera) ympäristöään vaikka siitä on virrat sammutettu, häirikkö voi huudella puhelimen kaiuttimen kautta uhrilleen, puhelin voi lähettää eteenpäin kaikki tekstiviestit joita siihen saapuu ja lähetetään, sekä tietenkin salakuunnella kaikkia puheluita joita sillä tehdään ja niin edelleen. Kaapattu matkapuhelin voidaan myös tietenkin paikantaa hyvin tarkasti. Pahimmassa tapauksessa pahantekijä voi hyväksikäyttää kaapattua matkapuhelinta johonkin toiseen rikokseen, esimerkiksi tietomurtoon.

Paitsi siis, että itse matkapuhelinten liikennettä voidaan hyvin helposti salakuunnella (ilman suoraa hyökkäystä itse puhelimeen) ja väärentää, koska sen salaus ei ole mitenkään vahvaa, voidaan siis myös itse fyysistä puhelinta väärinkäyttää hyökkääjän toimesta. Aikaisemmin on tietoturvauhkana pidetty lähinnä juuri puheluiden salakuuntelua ja väärentämistä, sekä jossain määrin jotain yksittäisiä Bluetoothiin ja sen sovelluksiin liittyviä tietoturva-aukkoja ja ilkeillä www-sivuilla olevia viruksia käyttäen. Nyt uhat ovat muuttuneet. Eivätkä kuluttajaparat pysy millään perässä.

Jotkin tahot, kuten Puolustusvoimat, on selväsanaisesti kieltänyt matkapuhelinten- ja niiden lisälaitteiden - tuomisen mihinkään tilaan, jossa käsitellään arkaluontoista aineistoa, juuri tietoturvariskien vuoksi. Tietääkseni myös jotkin valveutuneet suomalaiset yritykset ovat ryhtyneet samalle linjalle ja kokonaan kieltäneet matkapuhelinten tuonnin työpaikoille ja kategorisesti kieltäneet vapaa-aikanakaan puhumasta matkapuhelimiin tai niiden läheisyydessä mitään työhön liittyviä asioita.

Mikä sitten avuksi ongelmaan? Ensinnäkin, taas kerran, ongelman tiedostaminen on ensimmäinen askel. Toiseksi, matkapuhelimen akun irroittaminen silloin kun puhelinta ei käytetä tekee tyhjäksi suurimman osan näistä urkintamenetelmistä. Matkapuhelimen voi myös viedä esimerkiksi päällä olevien kaiuttimien lähistölle ja kuunnella, tuleeko kaiuttimiin selviä häiriöääniä vaikka puhelin ei (muka) ole soittanut mihinkään (silloin matkapuhelimessa voi olla haittaohjelma, joka parhaillaan lähettää kaappaamaansa tietoa salaisesti verkkoon).

Ennaltaehkäisy on kuitenkin avainsana: Älä hanki viimeistä huutoa olevaa 3G kännykkää tuhannella ja yhdellä "ominaisuudella" varustettuna vaan pitäydy hyvin pelkistetyssä ja halvassa kännykkämallissa, jossa ei ole mitään erikoisominaisuuksia (kuten Bluetoothia, multimediaviestejä, javaa, jne.). Jos epäilet kännykkäsi joutuneen vallatuksi, tai muuten vaan silloin tällöin, vaihda kännykkäsi "uuteen" käytettyyn kännykkään, samoin kuin liittymäsi (SIM-kortti) ja pidä puhelinnumerosi salaisena. Kehoita myös kaikkia, keiden kanssa olet puhelimitse tekemisissä, tekemään sama. Tällöin puhelimesi hakkeroinut saa nähdä extravaivaa koettaessaan ensinnäkin selvittää mitä puhelinta - ja numeroa käytät ja sitten vielä selvittääkseen miten tähän puhelinmalliin pääsisi hakkeroitumaan sisälle. Hyvällä tuurilla voit (kavereidesi kanssakin) vaihtaa puhelinta ja liittymää niin nopeaan tahtiin, että mikään taho - viranomaiset mukaanlukien - ei pysy kärryillä mitä puhelinta ja numeroa käytät, eikä pysty siten hakkeroimaan tai salakuuntelemaan niitä.

Ei kommentteja: