Häijyt haavoittuvuudet ja kotikonstit suojautumiseen

Windows-kympin haavoittuvuus osoitti kouriintuntuvasti, kuinka tärkeää on, että käyttöjärjestelmän päivitykset asentuvat kaikille laitteille, missä Windows pyörii. Huom. tämä koskee kaikkia laitteita tabletista järeälle pöytäkoneelle. Kun menemme Windows 10 ohjauspaneelin pääikkunasta Windows Update –valikkoon, sivulla kuuluu näkyä teksti; ”Päivitykset asennetaan automaattisesti”. Tarkistakaamme asia nyt vielä kerran. Sillä jo puolet suomalaisista on joutunut nettihuijauksen uhriksi – osa näistä hyökkäyksistä käyttää apuna järjestelmien haavoittuvuuksia.

NSA kuskin paikalla

Maailmaa järkytti Win 10:n haavoittuvuus, jonka kautta voi tehdä esimerkiksi omia tilauksia mutta myös väärentää tilauksiin digitaalisia allekirjoituksia. Haavoittuvuus mahdollistaa muun muassa väärennettyjen verkkosivustojen ja Windows-päivitysten naamioimisen aidoiksi. Jos päivitykset asennetaan automaattisesti, Windows huolehtii päivityksestä, ja asian periaatteessa pitäisi olla kunnossa. Periaatteessa.

Tätä haavoittuvuutta on kuitenkin mahdollista hyödyntää niin vakoilussa kuin rikollisuudessakin, joten turvallisuusvirasto NSA ilmoitti havainnoistaan Microsoftille. Poikkeuksellisesti data-aukon julkistuksen lopulta teki Yhdysvaltain kansallinen turvallisuusvirasto NSA, koska sen mukaan Microsoft vitkutteli asian kanssa liikkeellelähdössä. Haavoittuvuuden löytäneen NSA:n arvion mukaan taas haavoittuvuudella voi olla niin merkittäviä seurauksia, niin pahoja, että ongelma tuli korjata heti. NSA:n mukaan kybermaailman ammattirikolliset pystyvät ajamaan sieppaamilleen koneille omia vaarallisia työkaluohjelmiaan.

DNA kuskin paikalla

Alan blogit ovat pohtineet NSA:n julkistusta. Turvallisuusvirasto näet ei ole itsekään erityisen hyvämaineinen, vaan aiemmin piti löytämiään aukkoja omassa käytössään ja epäillään, että se valjasti takaportit omaan vakoiluunsa. On mahdollista, että myös joku muu taho on löytänyt haavoittuvuuden ja alkanut sitä hyödyntää.

Tätä lukiessa Microsoft on korjannut Windows 10:stä tietoturva-aukon, joka on yksi pahimmista kautta aikojen. Koodilla CVE-2020-0601 tunnettu haavoittuvuus auki jäädessään mahdollistaa vakoiluohjelmien huomaamattoman ujuttamisen tietokoneelle. Monesti kysymme, mitä haavoittuvuudelle voi tehdä? ja mitä ylläpito voi tehdä paljastuneille aukoille, jos valmistaja itse ei tarjoa tuota päivityskorjausta? NSA hoiti asia, käyttämällä omaa auktoriteettiaan. Se näytti toimineen.

Haavoittuvuuksille voi tehdä esimerkiksi sen, että niiden käyttämä portti suljetaan, konffaamalla laitteen bios (tai sitä vastaava alustajärjestelmä). Operaattori DNA toimi jokin aika sitten näin, kun sen tietoon tuli vakava haavoittuvuus kaapelimodeemeissa Plus F-3686AC v1:n ja v2:n.

Entäpä sitten, kuulen kysymyksen, mitä haittaa tuollaisesta haavoittuvuudesta nyt olisi? Hyvä kysymys, tuon kaapelimodeemihaavoittuvuuden kautta päästään ajamaan työkalut modeemiin, ja siitä eteenpäin esimeriksi ip-tv-laitteeseen, jossa entistä useammin on oma kamera vuorovaikutteisia kuvayhteyssessioita varten. Tämä toiminto voidaan haitakkeella aktivoida myös salaa etäkäyttöön: joten tässä tulee muistutus: Maalarinteippipalanen tai laastari kamerasilmän eteen, kun kameralla ei ole käyttöä, että olohuoneen (tai makuuhuoneen) tapahtumat pysyvät yksityisinä. Edellä mainittujen lisäksii kaapelimodeemi Technicolor TC7200 on näkynyt haavoittuvien laitteiden listalla.

Reijo Holopainen

VIIMEISIN ARTIKKELI

Harjoittelu Sollertiksella ja opintojen viimeistely 

17.05.2024 |

Nimeni on Henna Leinonen ja olen ollut harjoittelijana Sollertiksella 10 viikon ajan. Opiskelen Savonia-ammattikorkeakoulussa muotoilua … LUE LISÄÄ…

WordPress-sivun sisällön hakukoneoptimointi

16.04.2024 |

Hakukoneoptimointi (SEO) on olennainen osa WordPress-sivun menestystä. Se auttaa parantamaan sivusi näkyvyyttä hakukoneissa ja houkuttelemaan … LUE LISÄÄ…

Uudet kotisivut yritykselle – vinkit kotisivujen hankintaan

09.04.2024 |

Yrityksesi tarvitsee uudet kotisivut, mutta et tiedä mistä aloittaa. Kuulostaako tutulta? Kokosimme sinulle kotisivujen hankintaan … LUE LISÄÄ…

4 kysymystä ja vastausta palveluidemme tietoturvasta

05.04.2024 |

Tietoturva on aihe, josta meillä Sollertiksella puhutaan jatkuvasti. Se on koko yrityksemme elinehto. Tietoturvaa pidetään … LUE LISÄÄ…

PiKa Puhtaus – oppeja digimarkkinoinnista ja helpotusta arkeen 

25.03.2024 |

PiKa Puhtaus Oy on vuonna 2011 perustettu siivouspalveluja tarjoava yritys. PiKa Puhtaus tarjoaa koti-, toimitila- … LUE LISÄÄ…

Miten voin hyödyntää Microsoft Copilottia – työkaverina tekoäly

21.03.2024 |

Microsoft Copilot on tekoälyavustaja, joka voi auttaa säästämään aikaa ja tehostamaan työtä. Se on digitaalinen … LUE LISÄÄ…

Kadonneen datan arvet – Varmuuskopioinnilla vältyt katastrofilta

15.03.2024 |

Varmuuskopiotko tarpeelllisia? Turhaa ajan haaskausta, lisää kustannuksia, ohjelmien asennusta, vaivannäköä, ei meille kuitenkaan mitään satu … LUE LISÄÄ…

PK-yrityksen tuet ja rahoitus vuonna 2024

02.02.2024 |

Kaupallinen yhteistyö Sortter Oy Vuonna 2024 yrityksille on tarjolla useita eri rahoituskanavia ja tukimuotoja. Yritystuella … LUE LISÄÄ…