6. huhtikuuta 2017

Laitetaanpa munia eri koreihin

Laitettiinpa munia vähän eri koreihin taas, liittyen nyt tällä kertaa eri nettipalveluihin kirjautumisiin / suojaamisiin kaikenlaisia ilkeyksiä ja myös toki fobbiakin jne. vastaan. Kerron suurinpiirtein miten olen suojautumisen toteuttanut, koska turvallisuuden ei siitä pitäisi kärsiä, koska kaikki on kunnolla tehty ja security by obscurity on paskaa muutenkin...paitsi oikeassa paikassa ja sopivasti annosteltuna (kuten myös disinformaatio btw).

Kannattaa lukea ajatuksella läpi tämä postaus ja soveltaa omalta kohdalta tarvittava määrä oppeja omaan käyttöön. Kannattaa toki myös lukea aikaisempi blogikirjoitukseni "Suojautuminen viranomaisiltakin", ihan vaikka vaan muistin virkistykseksi. Eikä ole pahitteeksi lukea myöskään "Varautumisvinkkejä tulevan varalle" ja "Mitä tehdä jos valtio kytkee netin pois päältä?" -kirjoituksiani. Tietoa on saatavilla netistä asioihin perehtymiseen ja yksityiskohtien hiomiseen, ainakin jos osaa englantia edes kohtuullisesti. Kun suojaukset on kerran laittanut kuntoon, se on sitten siinä ja asian suhteen ei tarvitse pahemmin haaskata enää aikaansa ja vaivaansa, voi olla luottavaisin mielin.

Elikkä, miten suojaan nettisysteemit:
  1. Kaikissa nettijutuissa (sähköposti, Facebook, jne.) oma, pitkä (24-48 merkkiä), satunnainen salasana, jota minä en edes itse mitenkään kykene muistamaan, enkä edes yritä muistaa enkä tietää. Joten edes minut kidnappaamalla ja kiduttamalla eivät aukea nuo salasanat ja nettipalveluni kenellekään ulkopuoliselle mitenkään. :D

  2. Salasanat salasananhallintaohjelmistossa ulkoisella palvelimella vahvasti salattuna, joten niitä ei ikinä edes näpytetä tällä näppäimistöllä mihinkään (paitsi salasananhallintaohjelmiston salasana), eikä säilytetä tässä koneessa koskaan. 

  3. Salasananhallintapalvelimen hakkerointi ei auta hyökkääjää sekään mitään btw, koska ne salasanat eivät koskaan mene sinne eivätkä poistu sieltä salaamattomina, salaus purkautuu vain tietokoneeni muistiin, vain sen verran kuin on silloin tarve kun minä niin määrään.

  4. Salasananhallintaohjelmistopalvelimessa huolella hiottu fyysisesti ja ohjelmallisesti erillään oleva kaksivaiheinen kirjautuminen siltä varalta, että joku kuitenkin jotenkin onnistuisi urkkimaan ko. salasananhallintaohjelmiston salasanan haltuunsa ja pyrkisi sitä kautta ulkoiselta palvelimelta ne varastamaan (esim. tietokoneeni takaportittamalla jotenkin). 

  5. Nettijutuissa(kin) kaksivaiheinen kirjautuminen, joka perustuu fyysisesti erillään olevaan laitteeseen, johon vain minulla on pääsy ja joka taas ei liity yllä mainittuun salasananhallintaohjelmiston kaksivaiheiseen kirjatumiseen mitenkään. Näin ollen, vaikka joku saisi jollain käsittämättömällä tempulla haltuunsa salasananhallintaohjelmistoni sisältämät salasanat selkokielisenä ja jotenkin onnistuisi kiertämään salasananhallintaohjelmistoni kaksivaiheisen kirjautumisen, hän ei SILTI pääsisi nettijuttujeni sisälle mitenkään, koska ei omaa niiden kaksivaiheiseen kirjautumiseen tarvittavia tietoja.

  6. Ansalanka ja hunaja-ansa(t) paikoillaan, joten hyvin pienellä ja huomaamattomalla tempulla (esim. kirjoitankin salasanan X sijaan salasanan Y paikkaan Z tms.) voin lukita tai jopa tuhota vielä kaikki em. semmoiseksi, että niitä ei saa kukaan mitenkään ikinä koskaan auki (mukaanlukien minä)...sitten pitää lähteä varmuuskopioiden hakuun, jotka ovat puolestaan tehty ja salattu ja säilötty ihan muilla systeemeillä.

  7. Varasysteemit tehty tosiaankin pomminvarmaksi, jotta minä pääsen kyllä aina salasanoihini käsiksi kun tarvetta on, eikä pelkoa minun "ulos jäämisestä" ole. Toki varasysteemien käyttöönotto voi viedä hetken aikaa, sille ei voi mitään, se on hinta, joka tästä pitää maksaa.

  8. Ja ehei, ei onnistu "vanhanaikaisten" teko, eli salasanojeni resetoiminen/palauttaminen tms. nettipalvelujen toimesta jollain verukkeella tai ruikutuksella (ja sitten esim. ko palautusviestin kaappaaminen ja hyväksikäyttö jne.). "Palautusvaihtoehdot" on tietoisesti tehty vittumaisen tiukoiksi, esim. puhelinnumeroon jota ei ole enää olemassakaan tai sisältävät kysymyksiä joihin oikeaa vastausta ei ole missään tallessa (ei edes minun nupissani). Toki jos joku palveluntarjoaja niin tyhmä olisi, että vastoin suunnitelmia, sopimuksia ja normeja resetoisi vaikkapa sähköpostini tai facebookkini ja antaisi uudet käyttöoikeudet jollekin toiselle, niin se ei sitten kyllä enää ole minun "vikani", enkä sille voi yhtään mitään tehdä kuitenkaan! Ainiin, katsokaa seuraava kohta, eli voisin kyllä hyvin nopsaan päästä varoittamaan kaikkia ko. asiasta ja ottaa uudet tilit käyttööni ja homma jatkuisi taas...

  9. Ilmoitan blogissani ja kotisivuillani digitaalisesti allekirjoitettuna viestinä kaikki käytössäni olevat nettipalvelut, joten minuksi tekeytyminenkään (valetilit, phishing jne.) ei onnistu, mikäli uhrina ei ole joku täysin idiootti, milloin taas vika ei ole sitten minussa vaan ko. idiootissa, joka ei varmista mikä on minun käyttämäni palvelu ja mikä ei ja milloin hän asioi minun kanssani ja milloin ei.
Eli, summa summarum: 
Vaikka tietokoneeni JA salasananhallintaohjelmistoni JA sen käyttämä palvelin olisivat KAIKKI hyökkääjän hallussa 100%:sti minua vastaan kaikin mahdollisin tavoin ja minun tietämättäni, SILTIKÄÄN hyökkääjä ei pääsisi kirjautumaan sisälle mihinkään nettipalveluihini millään muotoa. Miettikää tuota hetki...alkaako jo mennä paranoidiksi?

Verrataanpa tätä nyt siihen normaalisysteemiin, jossa jampalla on esimerkiksi älypuhelimessa kaikki. Aivan kaikki. Salasanat ohjelmissa sisällä, pankkikirjautumissysteemien vahvistussovellukset, kaikki. Hakkeroit sen älyluurin auki ja sinulla on pääsy kaikkeen, aivan kaikkeen. Tai verrataan hemmoon X, joka on painanut päähänsä kaikki mahdolliset huonot salasanansa ja uudelleenkäyttää niistä osaa jossain muualla, sekä omaa ehkä jonkun yksittäisen härpäkkeen, esim. Yubikeyn tai käyttää tekstiviestivarmistusta palveluihin kirjautumiseen. Arvaat salasanan, pöllit Yubikeyn ja/tai puhelimen tai sieppaat selkokielisenä ilmojen halki lentävän tekstiviestivarmistuksen ja taas on kaikki hakkeroitu levälleen totaalisesti ja peruuttamattomasti.

2 kommenttia:

Anonyymi kirjoitti...

Jos hyökkääjä saa koneeltasi kirjautumisevästeen, niin hänen ei tarvitse tietää salasanaa yhtään mihinkään.

Joissain palveluissa on hyvä tietää salaisiin kysymyksiin vastaus. Esimerkiksi Applen App Storesta ostaessa niitä saatetaan vaatia.

Markus Jansson kirjoitti...

> Jos hyökkääjä saa koneeltasi kirjautumisevästeen, niin hänen ei tarvitse
> tietää salasanaa yhtään mihinkään.

Tarvitsee esim.
- Voidakseen muuttaa salasanani tai palautusosoitettani (koska sitä kysytään uudemman kerran kun tekee jotain "tärkeää").
- Voidakseen kirjautua uudestaan sisälle kun suljen (aina) kaikki sisäänkirjautumiset ulos kun kirjaudun ulos.

Lisäksi kannattaa muistaa, että suurimmassa osassa nettipalveluita on suojauduttu tämmöistä hyökkäystä vastaan siten, että samalla evästeellä ei anneta pääsyä sisälle kahdesta eri IP:stä samaan aikaan, vaan eväste on lukittu IP:hen tai ainakin niin, että samalla kertaa samalla evästeellä ei voi kahdesta eri paikasta kirjautua sisälle.

Toki, jos hyökkääjä kykenee nappaamaan tietokoneeltani kirjautumisevästeen, hän pystyy tekemään kaikkea muutakin, vaikkapa salaa selaimen jne. taustalla tehdä palveluissa jotakin minun puolestani ja huomaamattani. Tämmöistä ei voi mitenkään estää, jos siis hyökkääjä on täysin tietokoneeni hallinnassa enkä itse huomaa sitä mitenkään.