Kuvio ja numerointi viittaavat saman kirjoittajan tuotoksiin ja linkittävät ne toisiinsa.
| pvm | Kirjoit- taja | Toimi tai havainto |
| 29.8. 2016 | K u r s s i a l k o i . | |
| 02.09. | Ihmiset luottavat muistitikkuihin vähän turhan paljon. Eilen virkamies käytti asiakkaan muistitikkua valtion tietokoneessa... Tulee mieleen #Stuxnet ja #Iran: http://bit.ly/2bSdVmd | |
| 03.09. | Budapestilaisessa hostellissa, jossa tällä hetkellä majoitun, asukkaat jättävät julkisilla tietokoneilla sosiaalisen median tilejään ja palvelujaan auki käydessään "nopeasti" muualla. Kuka tahansa voisi käydä lukemassa tai muokkaamassa ruudulla näkyvää informaatiota. | |
| Junassa eivät kaikki tule ajatelleeksi, että heidän takanaan istuvat henkilöt saattavat nähdä yksityisiä sähköposteja, jopa luottamuksellisiakin sähköposteja, auki olevan läppärin ruudulta hyvinkin helposti. | ||
| 04.09. | Asetin henkilökohtaiseen puhelimeeni suojakoodin. Tähän mennessä en ole sellaista käyttänyt, koska puhelimen avaaminen ilman koodia on ollut helpompaa. Puhelimessani on kuitenkin tietoja, joita en halua päätyvän toisten käsiin, joten päätin vihdoin päivittää suojaustani. | |
| 05.09. | En tajunnut että yksi kaveri katsoi kun kirjoitin PIN-koodin erääseen sovellukseen. Ei onneksi tärkeä koodi eikä myöskään sovellus, mutta meni vaihtoon kuitenkin vaikka kaveriin luotankin. | |
| 06.09. | tein kryptatun tiedostojärjestelmän (/home-osio) ja asennuksen yhteydessä kirjoitettiin levy täyteen random-dataa vuotojen varalta. | |
| Selatessani kursseja moodlessa huomasin, että SSL-sertifikaatti käyttää SHA1-signaturea. Sama tilanne on muuten tässä portaalissakin. Ongelma ei ole kriittinen, mutta on syytä ottaa huomioon uutta sertifikaattia hankkiessa. | ||
| 07.09. | Dokumentinhallinta järjestelmä, jonka pitäisi siirtää dokumentteja henkilöltä toiselle, voi aiheuttaa pahojakin saatavuusongelmia. Pienen käyttäjävirheen lisäksi kun lähin admin on lapissa kalassa, tiedon saaminen ja siirtäminen tuottaa suuriakin ongelmia tai ainakin hidastaa toimintaa. | |
| Kävin kaapeista löytyviä vanhoja papereita läpi, nämä luonnollisesti sisältävä arkaluontoista tietoa, joten ensimmäinen vaihe on työntää paperit silppuriin. Vaikka minulta löytyy vain suikaleita leikkaa malli, uskon että ketään ei niin paljoa kiinnosta, että jaksaisivat nähdä vaivaa tietojen selvittämisessä. Mikäli kyseessä olisi isokin yritys ja papereissa yrityssalaisuuksia, niin ristiinleikkaavaan silppuriin sijoittaminen olisi varmastikin järkevää. | ||
| 08.09. | Ei erikoista nähtävissä tänä aamuna. Voi luvata huonoakin. | |
| 10.09. | Päivitin äitini kannettavan uusimpaan Windows-versioon, lisäksi suoritin virustarkistuksen, päivitin virusohjelmiston, ja asensin muita tarvittavia päivityksiä ja ohjaimia. | |
| 11.09. | tietokoneeni fyysinen tietoturva on kohtuullisen hyvä. käynnistyssalasana, kryptattu kovalevy, kirjautumissalasana. verkkoturvallisuus onkin sitten oma lukunsa. | |
| Kävin läpi oman reunareittimen access-listoja ja tein useita tiukennuksia sääntöihin. | ||
| 12.09. | läppäristä kannattaisi ottaa akku pois kun sitä ei käytä, sillä siihen saa yhteyden kyllä mikäli virtaa vaan riittää. ihan tavallinen hakkeri ei saa, mutta hieman edistyneemmät asiantuntijat saavat. | |
| Olen konfiguroinut eräälle kerholle käyttäjähakemistoa, jossa käyttäjille voidaan antaa oikeuksia eri sovelluksiin tarpeen mukaan. Less is more. | ||
| 14.09. | Kertakäytöisten avaimien uusi lista kannattaa vaihtaa ennen kuin listaloppuu. Toisaalta on joskus hyvä nähdä asiakas ihan livenäkin. | |
| järjestelmä on ajantasalla: Calculating upgrade... Done 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. | ||
| Päivitin Adobe Flash Playerin päivittämällä selaimeni. Aika usein selain kyllä päivityksistä muistutteleekin ja tällöin se tulee myös tehtyä, mutta tällä kertaa olin aiemmin liikkeellä, kun seuraava uutinen tuli vastaan http://www.digitoday.fi/tietoturva/2016/09/14/parjattu-softa-paikkasi-suurinta-puutettaan-oletko-ajan-tasalla/20169546/66 | ||
| Päivittelin palomuurisääntöjä vastaamaan nykyisiä tarpeita. | ||
| 15.09. | https://www.jyu.fi/it/kyber/sg16 luentoja cyberturvallisuudesta jyväskylän yliopistosta. Puheet nauhoitetaan niin voi katsoa myöheminkin. | |
| TOASin huoltomies kävi vaihtamassa kämppikseni huoneeseen uuden ethernet-portin hajonneen tilalle, korjailin kämppiksen läppärin palomuuria ja asetuksia kuntoon verkonkäyttöä varten. | ||
| Asensin päivityksiä omille koneilleni | ||
| Joskus asian salaisuuden korostaminen voi aiheuttaa vaaran sille. Tulipa bussissa kuultua takana istuvan sanovan "..ei ehkä pitäisi bussissa avautua tästä asiasta, mutta..". Yritäppä siinä sitten unohtaa ja keskittyä johonkin muuhum. | ||
| 16.09. | Sulautettujen laitteiden tietoturvaa ei välttämättä aina testata sillä tavoin kuin pitäisi. Kun projektin lopussa tulee kiire niin testauksesta karsitaan valitettavasti vaikka se olisi tärkeää. | |
| Joku oli jättänyt muistitikkunsa tietokoneluokkaan. En alkanut tutkimaan sen sisältöä, vaan vein sen infoon talteen ja jätin lapun luokkaan. | ||
| Minulle tulee roskapostia hyvin aidonoloisista osoitteista, joissa yrityksen logot ja kaikki lakitekstit ovat kunnossa ja suomenkielikin moitteetonta. Enää en pysty hahmottamaan, mikä viesti on oikeasti siltä taholta, joka väittää olevansa. | ||
| 17.09. | laitoin koneeseen Windows seiskan koska Crossover aikaisemmassa Debianissa ei pyöritä MT5:ttä täysin yhteensopivasti. | |
| Asensin tietoturvapäivityksiä omille koneilleni. | ||
| 18.09. | Tähän mennessä saamissani tietoturvatutkimuksen vastauksissa on ilmennyt epäluottamusta viranomaisten ja yritysten ylläpitämiin henkilötietorekistereihin. Uhka tietojen väärinkäytöstä ja leviämisestä väärille tahoille on suhteellisen korkea. | |
| Päivitin muutamaan verkkolaitteeseeni uudemman firmwaren. | ||
| Tulipa junassa hiukan turvaton olo istuessa työskentelyhytissä. Tuossa on kivasti vasemmalla puolella seinä, joka luo tuonne ns. kuolleenkulman, jonka ansiosta ihmiset voivat nähdä näytölleni käytävältä ilman, että näen itse heitä. Onneksi viereinen paikka vapaa niin tarvitse kaikille ohikulkijoille tekemisiäni jakaa. | ||
| Olen töissä eräällä julkisella taholla ja välillä tulee mieleen, että työntekijöillä ei ole hajuakaan mitä tietoturva tarkoittaa. Näin siitä huolimatta, että jokainen pitää sitä tarpeellisena. Tämä voi tietysti kertoa koulutuksen puutteesta. Pitäisiköhän työnantajan kouluttaa työntekijöitään nykyistä enemmän. | ||
| 19.09. | Nopeasti selailtuani tviitattuja uutisia bongasin uutisen Dropboxin salasanavuodoista. Tajusin että omistan tilin jota en ole pitkään aikaan käyttänyt, ja tämän johdosta päädyin lataamaan Dropboxin uudestaan koneelle ja vaihtamaan salasanani. | |
| Päivitin WLAN controllerini ohjelmiston uusimpaan, joka sisältä tietoturvapäivityksiä ja uusia ominaisuuksia. Ciston päivitysten löytäminen voi joskus olla yllättävän hankalaa käytetyn laitteen omistajalle. | ||
| 21.09. | Päivitin selaimet | |
| Sähköpostin salasanan resettaaminen onkin hiukan haasteellisempi juttu, jos käyttäjällä ole mahdollisuutta asettaa varmuussähköpostia tms. Onneksi tänään jouduin vain resettaamaan vanhempani sähköpostisalasanan, jolloin puhelulla ja etäyhteydellä koneelle oli helppo varmistaa henkilöllisyys erittäin varmasti. | ||
| 22.09. | Tulipa vastaan että nettiauto.comin kirjautuminen tapahtuu selväkielisen http:n ylitse, selkeästi kannattaa kiinnittää paljon huomiota tietoturvallisuuteen, vaikka kyseessä olisikin tunnettu ja suurehkokin toimija. | |
| Huomasin palaverissa, että joku oli jättänyt kokoushuoneen fläppitaululle jotain omia piirrustuksiaan ja selityksiään. Firmojen sisäisestikin on asioita, jotka eivät ole tarkoitettu kaikkien työntekijöiden korviin ja silmiin, joten tietoturvan kannalta kannattaisi aina muistaa ottaa palaverissa tehdyt muistiinpanot mukaan eikä jättää niitä seuraavien luettavaksi. Jos ihmiset ovat näin huolimattomia töissä, kuinka huolimattomia he ovat vapaa-ajalla? Vai pidetäänkö omista tiedoista paremmin huolta kuin työasioista? | ||
| 23.09. | eilen otin sitten vps:n kaverin kanssa ja asennettiin sinne lamp ja bind. niissä sitä suojaamista sitten riittääkin. | |
| Päivitin palomuurien ohjelmistot kahdesta klusterista. Cisco ASA:ssa oli SNMP-haavoittuvuus, joka saattoi mahdollistaa etäkäytön. Päivitys oli helppo koska kahdesta laittesta kootun klusterin voi päivittää katkoitta. | ||
| Hyvä että kulkuoikeuksia on, mutta välillä niiden järkevyys tulee kyseenalaistettua. Kaveri ei päässyt tänään eräästä ovesta, mutta 5metrin päässä oli toinen josta pääsi 20m kävelyllä samaan tilaan.. | ||
| 24.09. | Haastatteluista havaitsin, että monen vastaajan vastaukset olivat ristiriidassa toistensa kanssa. Esim. kerrottiin, että ollaan tarkkoja henkilötietojen levittämisen kanssa, mutta sitten käytetään Facebookia ja Googlea esim. ja annetaan näille sovelluksille kaikki käyttöoikeudet. Eli ei ymmärretä ihan kaikkia tietoturvaulottuvuuksia. | |
| 25.09. | haastateltavat kertoivat aika avoimesti omista järjestelmistään. | |
| Tarkastelin roskapostisuodattimen lokitietoja. Taas valtaosa mennyt suoraan hylkyyn kuten kuuluukin. | ||
| Olin eilen kirjautumassa Aalto-yliopisto oodi palveluun, kun huomasin että palvelu onkin alhaalla huoltokatkoksen takia. Minun piti saada tietoa eräästä kurssista, jolle olin osallistumassa. En kuitenkaan sitä saanut koko päivänä. Mielestäni tällaiset huoltokatkot pitäisi ajoittaa yöaikaan. | ||
| 26.09. | http://events.elisa.fi/uuden-sukupolven-palomuuriteknologia Tuolta pääsee palomuuri webinaariin. Elisan pitämä, mutta ei ole mainos. | |
| 27.09. | Tehdessäni uusia verkkokonfiguraatioita poistin vanhentunutta konfiguraatiota kytkimeltä ja reitittimeltä ennen kuin niistä muodostuu uhkia. | |
| Huomasin, että työpaikalla salasanani vanhenee pian. Välillä tuntuu, että salasanoja vaihdellaan turhan usein. Eikö vastaavan suojan saisi monimutkaisemmalla salalauseella tai muulla muistamista helpottavalla tavalla. | ||
| 29.09. | konffailin eilen dovecotia ja postfixadminia. kyllä täytyy todella olla tietämystä, ettei vahingossa konffaa sinne joitain tietoturva-aukkoja. konffifilut on niin laajoja ja eri paikoissa. | |
| Ihmiset voisivat muistaa peittää pankkikortinsa tunnuslukunsa kun sitä näppäilevät - tiedämpä nytten jonkun tuntemattoman koodin kun satuin käännähtämään väärään suuntaan väärällä hetkellä. | ||
| Erään kaverini Skype-profiililta tuli eilen torstaina chatti viesti kello 03.23 yöllä. Viestin sisältö oli linkki www.baidu.hk -palvelun kautta. En avannut linkkiä, vaan kysyin kaveriltani toista kautta oliko hän itse lähettänyt minulle linkkiä. Hän ei oletettavasti linkkiä itse ollut lähettänyt, joten epäilin jonkun kaapaneen hänen Skype tilinsä. Ilmoitin hänelle, että salasanat kaikkiin palveluihin, jotka liittyvät Skypeen ja joissa on sama salasana tulisi vaihtaa. | ||
| 30.09. | aloittelin ratkomaan viestintäviraston tietoturvahaastetta | |
| Koneen kameran käytön valo on aika kätevä, hiukan tosin ärsyttää tälleen muutaman tunnin tuijottamisen jälkeen kun testailluit kameran käyttöä.. | ||
| 02.10. | tarkastelin sukulaisteni tietokoneita ja asensin tietoturvapäivityksiä viikonloppuna | |
| 03.10. | Päivitin pari harvemmin käyttämääni konetta. | |
| 04.10. | rekisteröidyin onnistuneesti tietoturvahaaste.fi-kilpailuun. | |
| 05.10. | Jos haluaa vaikeuttaa esim. junassa sitä, ettei vierustoveri kurki mitä tietokoneella tekee, kannattaa hankkia näytölle laitettava musta kalvo, "tietoturvasuoja" (usein työnantajakin hankkii työntekijöilleen näitä). Tämä estää sivustakatsojan urkkimisen. | |
| 06.10. | Internetiä kun ei alunperin suunniteltu turvallisuus mielessä niin nyt on kaikenlaista paikkaa ja purkkaa joka kohtaan. Koko OSI-malli ja perusprotokollan tulee suunnitella uudelleen. Vähän kuin analogisista tv-lähetyksistä siirryttiin digitaalisiin, tämä toivottavasti tapahtuisi paremmalla menestyksellä. | |
| ratkaisin onnistuneesti tietoturvahaaste.fi:n kakkoshaasteen. kolmonen julkaistaan tänään ja sitten kun on tarpeeksi nopea niin pääsee semifinaaliin! | ||
| Päivitin sähköpostipalvelimien asetuksia puremaan roskapostiin entistä tehokkaammin. | ||
| 07.10. | hetki tuli tänään mietittyä kuinka paljon tietoa voi vuotaa postilistan ulkopuolelle, kun henkilöiden määrä tuplataan ja tietoa jaetaan myös omn organisaation ulkopuolelle, vaikka samassa yrityksessä. | |
| Onnistuneesti tietoturvahaasteen toinen tehtävä tehty, jokseenkin aikaa tuli tuhlattua turhankin paljon.. | ||
| 09.10. | Asensin Lets Encrypt -sertifikaatteja omiin harrastepalveluihin ja uusin vanhentuvat sertifikaatit. | |
| 10.10. | tietoturvahaasteen kolmoshaaste oli mielenkiintoinen ja aika hauskakin. toivottavasti aika oli tarpeeksi hyvä, jotta pääsen semifinaaliin! | |
| Ylläpidän erästä sivustoa ja se pyörii erään CMS:n päällä. Pyrin tuota aina välillä päivittämään, mutta prosessi on kyllä sen verran kankea, että ei tule kyllä todellakaan jokaista versiota päivitettyä. Ei sinänsä ihme miksi varsinkin korkattuja WordPress-sivustoja on paljon, kun tuntuu, että kaikkien CMS:ien päivittäminen on tehty aivan tarpeettoman hankalaksi. Mikäli päivittäminen onnistuisi muutamalla klikkauksella, olisi tietoturvakin huomattavasti paremmassa tilassa. | ||
| 12.10. | Totesin, että palomuurisääntöjä pitäisi tarkastaa huomattavasti useammin. | |
| 13.10. | Juttelin tänään linja-autonkuljettajan kanssa Tampereella koko matkani ajan. Hän kertoi, että heidän järjestelmissään on vakavia tietoturvapuutteita. Nysselippu ei esimerkiksi toimi luotettavasti ja Nella nettilatauspalvelu ei toimi joka päivä samalla tavalla. Esimerkiksi kortin maksamisen jälkeen on 2 tunnin aika, jonka aikana kortin tiedot tietokantaan tulisi olla ladattuna. Kuski kertoi, että joissakin tapauksissa on ollut jopa 24 tuntia ennen tietokantamuutosta. Lisäksi esimerkiksi GPS-paikannuksessa on jatkuvia ongelmia ja autojen informaatiojärjestelmät toimivat harvoin kunnolla. | |
| 14.10. | Rakensin pienen verkkopelitapahtuman käyttöön WPA2-salatun langattoman verkon | |
| 17.10. | Päivitin muutaman kytkimen IOS:n (Internetwork Operating System) uudempaan versioon | |
| 18.10. | Raportoin Danske Bankiin liittyvän kalastelusivuston pankille ja CERT-FI:lle. | |
| 20.10. | Viestintävirasto vastasi lähettämääni havaintoon pankkitietojen kalastelusivusta. Pankki eikä sivuston omistaja ole vielä vastanneet. | |
| 24.10. | Olisipa suojatun yhteyden tekeminen helpompaa. Meni päälle 2h, että käyttäjät saavat käyttää nettisivua https:llä ja laittaa websockettien encryption kenttään ruksin.. |