Onko sinunkin kännykkäsi pin-koodi 1234?

Net 2017,  28.4.2017

Varovainenkin mobiilikäyttäjä voi yllättyä kuinka helppoa hakkerin on luikerrella kännykän sisään. Youtube-videon ohjeen mukaan haittaohjelman koodaus onnistuu muutamassa minuutissa. Sen jälkeen kännykkä ja sen sisältö ovat hakkerin hallussa eikä omistaja huomaa välttämättä mitään. Mobiilikäyttäjän onkin syytä pysyä jatkuvasti valppaana ja muistaa suojata laiteensa asianmukaisesti. Vähintään kannattaa heti vaihtaa kännykän oletus-pin-koodi.

MobiilitietoturvaMobiililaite on yhä useammalla pääsääntöinen verkkoasioinnin käyttölaite. Mobiilin suosio on jo ohittanut perinteisen, domainiin liitetyn tietokoneen. Jopa 70 prosenttia käyttää nykyään pelkästään mobiileja verkkopalveluja, varsinkin, jos ne ovat selainpohjaisia.

Mobiilikäyttö tapahtuu usein julkisten wifi-verkkojen kautta. Niiden käytöltä onkin vaikea välttyä, sillä ilmaisia verkkoja on tarjolla kaikkialla, missä ihmiset liikkuvat: lentokentillä, liikennevälineissä, hotelleissa, kahviloissa ja ostoskeskuksissa. Yli 70 prosenttia ihmisistä käyttää julkisia verkkoja kuukausittain.

”Mobiililaite huhuilee koko ajan olisiko ympäristössä wifi-verkkoja. Jos löytyy verkko, johon käyttäjä on aiemmin liittynyt, laite kytkeytyy siihen. Silloin voi käydä huonosti. Verkossa käyttäjillä on identiteetti eli ip-osoite. Sen perusteella hakkeri voi selvittää sijaintisi, murtautua mobiililaitteeseen ja tutkia voisiko varastaa jotain kivaa tietoa”, toteaa F-Securen tietoturva-asiantuntija Anssi Korpilaakso (yläkuvassa vasemmalla).

Hän kertoo esimerkin avulla kuinka helppoa on ujuttaa haittaohjelma kännykkään.

”Alkajaisiksi hakkeri tekee tai kopioi sovelluksen, jonka sisään hän istuttaa haittaohjelman. Sen jälkeen hän lähettää hakkeroituun laitteeseen käyttäjän kollegan nimissä väärennetyn viestin, jossa kysyy vastaanottajalta haluaako tämä ottaa uuden sovelluksen käyttöönsä. Jos käyttäjä suostuu ja klikkaa linkkiä, hän päätyy aidon näköiselle feikkisivulle, lataa sovelluksen ja sen mukana haittaohjelman”, Korpilaakso kuvailee.

Sen jälkeen hakkeri pystyy ohjaamaan kännykkää, vaikka se olisi suljettuna. Hän näkee käyttäjän kontaktit, kuvat ja kalenterin. Hän pystyy kuuntelemaan puheluja, nauhoittamaan ne ja vaikka kopioimaan kännykän koko sisällön. Kaikki tapahtuu täysin piilossa puhelimen oikealta omistajalta.

Uhkakuvia on paljon. Esimerkiksi pankkitunnuksia urkitaan selville väärennettyjen sivujen avulla ja huijausoperaation jälkeen mukaan astuu ”man in the middle”, joka ryhtyy tyhjentämään pankkitiliä.

”Muutaman minuutin työn jälkeen tunkeutumistyökalulla pystyy tekemään paljon harmia täysin näkymättömissä käyttäjältä. Kuunnella, lähettää, paikallistaa, soittaa, tallentaa. Maailma on valitettavasti tällainen ja meidän pitää oppia elämään sen kanssa”, Anssi Korpilaakso toteaa.

Mobiilitiedot turvaan

Kun mobiililaitteella asioidaan verkossa, sen pitää tapahtua tietoturvallisesti. Jos kännykkä on hyvin suojattu, sertifikaatit kunnossa ja päivitykset tehty, voi olla aika rauhallinen.

”Tänä päivänä kaikki ymmärtävät, että tietokoneet pitää suojata mutta mobiililaitteen suojaus unohtuu. Samassa kännykässä on usein sekä ihmisen henkilökohtainen elämä että työasiat. Monet pitävät omaa kirjeenvaihtoaan, kuviaan, pikaviestejään ja ostostietojaan harmittomina, mutta mobiililaitteen kautta voi päästä käsiksi myös hyvin arkaluontoisiin yritystietoihin, sähköposteihin ja dataan. Miksei näitä kaikista tärkeimpiä tietoja katsota tarpeelliseksi suojata? Itse en ottaisi riskiä”, muistuttaa tietoturva-asiantuntija Erkki Mustonen (yläkuvassa oikealla) F-Securesta.

F-Secure on selvittänyt eri mobiilikäyttöjärjestelmien tietoturvan tasoa. Suosituimmista iOS on Androidia turvallisempi siksi, että Applen ekosysteemi on keskitetty, jolloin päivitysten jakelu ja logistiikka toimivat tehokkaammin. Sen sijaan Android-maailma on pirstaloitunut.

”Android-puhelinten valmistajia on kymmeniä, ja ainoastaan muutama niistä tekee säännöllisiä päivityksiä. Selvityksemme mukaan Norja, Suomi, Ruotsi ja Brasilia ovat maita, joissa viimeisimmät Android-versiot on levitetty eri käyttöympäristöihin. Kun mennään vaikkapa Indonesiaan tai Jemeniin, päivityksiä ei juuri tehdä ja samalla riskitaso on merkittävästi suurempi. Tämä selittää miksi uhkakenttä kohdistuu nimenomaan Android-laitteisiin”, Mustonen selvittää.

Haittaohjelmien tehtailu on iso bisnes

Mobiilitietoturva”Haittaohjelmia tehtaillaan maailmalla valtavia määriä. Kaikkien haittaohjelmien kokonaismäärä lähestynee miljardia tänä vuonna ja Android-puolellakin puhutaan jo miljoonista. Muutamia kymmeniä tuhansia uusia muunnoksia menee joka päivä meidänkin analytiikkamme läpi ja Android-haitakkeiden määrä kasvaa myös ripeää tahtia”, Erkki Mustonen sanoo.

Ihmisten kännyköihin haittaohjelmat kulkeutuvat eri reittejä. Usein ne ladataan virallisen sovelluskaupan ulkopuolelta. Kun sovelluksia sitten jaetaan eteenpäin, niihin on helppo lisätä haittakoodi, jonka avulla käyttöoikeudet kaapataan.

”Esimerkiksi hittipelit lähtevät monesti leviämään epävirallisia reittejä, jolloin niiden sisään saa helposti ujutettua haittakoodia.  Hakkeroitua kännykkää voi käyttää monella tavalla, esimerkiksi siirtää sen kautta tekstiviestejä maksullisiin palveluihin. Käyttäjälle lankeaa palvelunumeromaksu, joka voi nousta tuhansiin euroihin.  Suurin tietämäni lasku yksityiselle käyttäjälle oli 74 tuhatta euroa. Yritysten puhelinlaskuissa isotkin summat uppoavat massan sekaan eikä kukaan välttämättä huomaa mitään”, Mustonen toteaa.

Mitä sitten mobiililaitteen käyttäjä voi tehdä, jotta välttyisi hakkereilta ja haittaohjelmilta?

”Jos kännykkä on asianmukaisesti suojattu, sertifikaatit kunnossa ja päivitykset tehty, ollaan aika turvassa”, rauhoittelee Mustonen.

Hän vinkkaa vähintään vaihtamaan kännykän oletus-pin-koodin.

”Vaikka puhelimen tiedot olisi suojattu käyttäjätunnuksella, sen sim-kortti voidaan irrottaa ja asentaa toiseen laitteeseen. Jos oletus-pin on 1234 tai joku muu helposti arvattava merkkisarja, asiat lähtevät etenemään. Sen jälkeen on helppoa selvittää käyttäjän nimi ja puhelinnumero ja edetä vaikkapa Gmail-sähköpostiin, josta näkyy käyttäjän koko sähköpostihistoria verkkokauppatunnuksineen. Oletusarvoisten pin-koodien väärinkäytöltä ei suojaa mikään tietoturvatekniikka.”

Erkki Mustonen toteaa, että hänen käytössään olevan F-Securen Freedome VPN -ohjelmiston avulla on jo estetty 438 huijaussivustoa ja haittaohjelmasyötettä, joilla Mustosen puhelimeen on yritetty murtautua. Samoin on estetty 170 000 erilaista seurantayritystä, joilla on yritetty urkkia, missä hän on ollut ja mitä tehnyt. 

Kännykän voi suojata tehokkaasti

Fujitsu on yksi Suomen suurimmista mobiilioperaattoreista ja mobiilipalvelujen tarjoajista. Mobiilitietoturvan nouseva rooli on jo tunnistettu.

”Virusten kirjoittajat ovat siirtäneet voimansa mobiililaitteisiin. Lisäksi hyökkäysten muoto on muuttunut. Enää ei tarvitse välttämättä hakkeroida laitetta, kunhan laitteen avulla saa selville jotain, jonka kautta pääsee käyttäjän tietoihin tai paikkoihin, joihin kännykkä toimii avaimena. Käyttäjän tunnistus ja identiteetti ovat nousemassa keskiöön”, toteaa kehityspäällikkö Pentti Soini Fujitsusta.

Kaikkia uhkia ei pysty ratkaisemaan MTP-ohjelmilla (Mobile Threat Protection) vaan sen rinnalle tarvitaan toimiva MDM/EMM-ratkaisu (Enterprise Mobility Management) sekä yrityksen mobiilipolitiikkaa tukeva ohjeistus.”

”Alustat tulevat koko ajan tietoturvallisemmiksi ja reikiä tukitaan aktiivisesti. Mutta virusten haittaohjelmien kirjoittajat ovat aina askeleen edellä. Uhkat ovat aina vaanimassa, sillä mobiilin kautta todella halutaan sisään”, Soini toteaa.

Laitehallinnan avulla mobiililaitteen voi pakottaa kryptatuksi eli salatuksi. Lisäksi laitehallinta tuo käyttöön tietoturvan perusasiat, kuten lukkokoodit. F-Securen Freedome-tyyppisen palvelun jakelun, aktivoinnin ja käyttöönoton voi tehdä automaattisesti kaikkiin yrityksen mobiililaitteisiin.

Fujitsun Managed Mobile on globaali pilvipalvelu, jota tuotetaan Suomesta. Asiakkaille rakennetaan oma yksilöllinen palvelukokonaisuus, koska yksi ja sama ratkaisu ei koskaan käy kaikille. Palveluna ostaminen tekee käyttöönotosta mahdollisimman helppoa. Maksu tapahtuu käyttömäärän mukaan, joten asiakas ei maksa mistään turhasta.

Esimerkiksi EU:n tietosuojaan liittyvät määräyksiä aletaan pian soveltaa ja kaikki organisaatiot joutuvat miettimään mitkä sen vaikutukset ovat mobiilipolitiikassa. GDPR:n (General Data Protection Regulation) soveltamiseen liittyy auditointeja, joissa tietoturvalla terästetty laitehallintaratkaisu on erittäin hyvä lähtökohta. 

  • Juttu perustuu Fujitsun Ovatko yrityksesi mobiililaitteet turvassa? -aamiaisseminaarin esityksiin 23.3.2017.

ot

Lisätietoja
info@fi.fujitsu.com

Julkaistu Net-lehden numerossa 2017,  28.4.2017

Facebook  Twitter  Google  LinkedIn