15. toukokuuta 2017

WhatsApp turvallisuusvinkkejä

WhatsApp on hyvä sovellus puheluiden ja tekstiviestien korvikkeeksi, sekä myös tiedostojen kätevään lähettelyyn kavereille. Työpöytäsovelluksen käyttö on lisäksi älypuhelimella näpyttelyä huomattavasti tehokkaampaa ja helpompaa. Myös erilaisten pienten piirien ryhmien pitäminen sen avulla on helppoa, eikä ole pelkoa esimerkiksi Facebookin kaltaisesta sensuurista tai edes siitä, että ajatusrikospoliisi pääsee helposti viestejäsi kuuntelemaan. WhatsApp, kuten muutkaan ohjelmat, eivät valitettavasti omaa järkeviä tai edes turvallisia oletusasetuksia, joten kannattaa panostaa hieman ko. ohjelman virittelyyn käyttökuntoon:


Samat ohjeet tiivistettynä versiona:
  1. Ota asetuksista kaksivaiheinen tarkistaminen käyttöön, jotta kukaan ei voi rekisteröidä puhelinnumeroasi tai pelkästään tekstiviestikoodia kaappaamalla kaapata numeroasi ja esiintyä sinuna. Tekstiviestien kautta lähetettävien koodien kaappaus on varsin helppoa nykyään.
  2. Ota WhatsApp asetuksista käyttöön turvallisuusilmoitukset, jotta saat varoituksen salausavainten muuttumisesta. Tällöin saat varoituksen ja pystyt siten suojautumaan useita potentiaalisia hyökkäyksiä ja salausavainten vaihtumisia vastaan.
  3. Kun aloitat viestittelyn jonkun kanssa WhatsAppissa, vahvistakaa toistenne profiilitiedoissa olevat salausavaimet - eli että ne täsmäävät. Tällöin kukaan ei pääse lukemaan WhatAppin kautta käymäänne viestintää ainakaan verkon ylitse (teknisen selityksen tähän voitte kaivaa netistä tähän, en ala sitä aukomaan, se toimii ja on turvallinen, oikeasti).
  4. Selvitä, ota pois päältä ja pyyhi puhelimeen tallentuvat WhatsAppin puhelu- viesti- yms. lokitiedot sisältävien kansioiden sisältö luotettavalla ohjelmalla päivittäin. WhatsApp nimittäin tallentaa oletuksena automaattisesti tiedot ja sisällöt ko. viesteistä puhelimen muistikorteille ja aina sitä ei voi edes ottaa pois...puhelimessa ne tallentuvat yleensä D:\WhatsApp alle.
  5. Puhelimen kokonaisvaltainen suojaaminen on muutenkin toki tärkeää, mm. puhelimen ja muistikortin salaaminen ja vahva salasana puhelimeen kirjautumiseen, ohjelmien ja puhelimen ajantasaiset päivitykset, jne. Näihin ei kuitenkaan pidä yksinään luottaa, vaikka ne toki tuovatkin paljon lisäsuojaa puhelimeen, niin esimerkiksi viranomaisia ne yleisimmin eivät pidättele.
WhatsAppin työpöytäsovelluksessa kannattaa pyyhkiä esim. Eraser-ohjelmalla seuraavat hakemistot ja tiedostot kohdan 4. saavuttamiseksi:
C:\Users\%USERNAME%\AppData\Roaming\WhatsApp\Cache\
C:\Users\%USERNAME%\AppData\Roaming\WhatsApp\GPUCache\
C:\Users\%USERNAME%\AppData\Roaming\WhatsApp\IndexedDB\
C:\Users\%USERNAME%\AppData\Roaming\WhatsApp\main-process.log*

Nämä mainitsemani varotoimet on syytä ottaa käyttöön, jotta esimerkiksi tältä ja tältä hyökkäykseltä voi suojautua. Vaikka hyökkäykset eivät ehkä tavallista ihmistä "kosketa", ei ole mitään syytä olla pelaamatta varman päälle. Viranomaisille ei puolestaan pidä antaa yhtään ylimääräistä keinoa ihmisten yksityisyyden loukkaamiseen jättämällä edes heille portit auki viestintääsi. Suojaa viestintäsi, koska kukaan muu ei sitä tee sinun puolestasi.

HUOM!
Itse suosin turvalliseen viestintään lähinnä Ricochet ohjelmaa (VeraCryptillä höystettynä) ja olenkin tehnyt sen turvallisesta käytöstä aiemmin blogissani ohjeet. Ricochet tarjoaa WhatsAppiin verrattuna täysin ylivertaista tietoturvaa ja tietosuojaa, mutta vain jos ko. ohjeita noudatetaan tarkalleen. Kaikille, jotka todella arvostavat yksityisyytensä suojaa ja haluavat pitää viranomaiset pihalla viestinnästään, suosittelen lämpimästä Ricochetin käyttöönottoa. Minun Ricochet-osoitteenihan on ricochet:vbn7rfgysvjpfsck

4 kommenttia:

Anonyymi kirjoitti...

Signal on kans hyvä. Sitähän Snowdenkin suosittelee. Ongelmana näissä tietoturvallisissa sovelluksissa vaan on se, että niillä ei tavoita ihmisiä, kun niitä ei käytetä.

Anonyymi kirjoitti...

Hyviä vinkkejä. Etkös sinä ole joskus sanonut, että et käytä älypuhelinta? Muistanko väärin vai onko mielesi muuttunut?

Markus Jansson kirjoitti...

Tarvitsin uuden kameran ja jonkun uuden puhelimen, joten todella edullisesti saatu kohtuuhyvä älypuhelin ajaa mukavasti molemmat asiat, lisäksi siihen saa tietoturvan kannalta hyviä juttuja (vähän munia eri koriin jne.). Käyttöni on sen osalta kuitenkin hyvin rajallista kaikin tavoin.

Foliopipo kiristää kirjoitti...

Signaliin en koskisi pitkällä tikullakaan. Ohjelma on periaatteessa open sourcea, mutta sen kehittäjä kiertää sääntöjä siten, että ei salli muunneltujen versioiden käyttää Signalin virallisia palvelimia, vaan saa kauheat itkupotkuraivarit ja uhkaa oikeudella jos joku tekee niin.

Eli siis "Moxie Marlinspike" väittää kehittävänsä ohjelmaa joka on tarkoitettu massavakoilun torjumiseen, mutta käytännössä lukitsee ihmiset massavakoiluun tarkoitettuihin alustoihin. Heppu on joko jonkinlainen Steve Jobsin kaltainen kontrollifriikki tai koko homma on petkutusta.