Ajankohtaista tietoturvattomuudesta

Taitaa olla maksettu mainos.

Näyttää tuo Sophos olevan vain yksi tietoturvaohjelmisto muiden rinnalla.

Android että iOS molemmat turvallisia kun ovat uusimmat päivitykset asennettu. Itse pidän näitä tietoturvaohjelmia aika turhina koska käyttöjärjestelmät ovat toteutettu turvallisiksi. Kaikki ohjelmat ajetaan hiekkalaatikossa ja näille annetaan oikeudet mitkä hyväksyy käyttäjä. Mikäli sovellus päivittyy uusilla mahdollisilla ominaisuuksilla ja pyytää lisäoikeuksia kannattaa aina miettiä miksi niitä tarvitsee ennen kuin antaa. Useimmiten parempi muutenkin olla asentamatta ihme sovelluksia laitteille mitä löytää ja olla antamatta omia tietoja jokaiselle palvelulle. 

Olen samaa mieltä molempien kanssa. Mutta eihän tuo lisätaso turvallisuutta ketään haittaa. Esim. jos ostaa PClle virustorjunnan niin voi saada samalla lisenssin Androidille niin miksei sitä käyttäisi.

Tuppaavat nuo turvaohjelmat olemaan sen verran resurssisyöppöjä , että vähänkään vanhempaan kapulaan en suosittele.

Ei ole olemassa mitään ilmaisia lisenssejä , vaan kyllä ne on leivottu hintoihin.

Kohta a) mulla aina viimeisitä rautaa. aina ja kaikkialla.

Kohta b) voi sinua pessimistiä.

Kohta c) huumorilla … 🤣

Kohta a) ostan uuden vasta , kun vanha ei enää toimi.

Kohta b) olen realisti , en pessimisti.

Kohta c) tämä ei ole huumoria , vaan elämänasenne.

Oikeastaan nämä tietoturvaohjelmat voi myös aiheuttaa haavoittuvuuden. Jotta nämä toimisi puhelimella pitäisi antaa niille todella paljon oikeuksia toimiakseen joten turvallisempaa olla vaan asentamatta mitään ylimääräistä. Se ohjelma ei estä sinua asentamasta ylimääräistä sandboxiin eikä loppujen lopuksi estä oikeasti haittaohjelmaa roottautumasta tarpeen tullen haavoittuvuutta hyväksi käyttäen. Mikäli asennat ja roottautuu niin silloin peli on menetetty ja se tietoturvaohjelma on hyödytön.

No niin.

Teet niin tai näin, niin aina väärinpäin.

Teoriassa kyllä.

Käytännössä en ole ikinä törmännyt.

Isohkossa (monikansallisessa) firmassa toiminut ja seurannut tilannetta.

Juu ei näy koska käyttöjärjestelmät päivitetään jolloin ainoastaan antamien oikeuksien avulla pystyy sitten tekemään mitä on sallinut tekemään. Eri asia tietokoneissa kun ei ajeta hiekkalaatikossa - kerran kun annat oikeuden esim niin ohjelmilla on todella paljon oikeuksia. 

Tästä syystä mobiilit ovat useimmiten paljon turvallisempia. 

Toistetaanpa vielä jo edellä toteamani tosiasia , että nuo turvaohjelmat ovat paisuneet kuin pullataikina ja edellyttävät puhelimelta kunnon suorituskykyä. Käytännössä se edellyttää varsin uutta puhelinta ja vanhemmat alkavat aika pahasti tahmaamaan.

Minä olen sitä mieltä , että puhelin on vain puhelin enkä asentele siihen mitään ylimääräistä. Päinvastoin olen poistanut osan siinä alunperin olleista turhuuksista tai vähintään poistanut käytöstä , jos poisto ei ole mahdollista.

Ei kannata pahoittaa mieltään.

Kaikki keskustelun aiheet ovat hyödyllisiä ainakin jossakin määrin. Tässäkin on asioita asetettu oikeisiin mittasuhteisiin.

Kyllä sovellukset että käyttöjärjestelmät paisuvat uusilla ominaisuuksilla. Ominaisuudet ovat kivoja ja tuo mahdollisesti myös uusia hyökkäysvektoreita. Mitä enemmän sitä enemmän haavoittuvuuksiakin.

Puhelimen käyttö moneen asiaan on turvallista juurikin hiekkalaatikko ominaisuuden takia ja se että sovellukset tulevat sovelluskaupasta. Se toki ei takaa kaikkea mutta se mitä oikeuksia annat sovelluksen käyttää kertoo paljon. Tarviiko sovellus päästä mikrofooniin tai kameraan jos kyseessä on laskin? Pankkiasiointi esim puhelimen sovelluksella on minusta turvallisempaa kuin tietokoneen selaimella syynä että tietokoneella ei ajeta hiekkalaatikossa sovelluksia. Toki se että miten pankki sovelluksen muuten toteuttanut ja sen tietoturvaominaisuudet voisivat olla toki parempia. 

Ja kyllä turhat sovellukset voi poistaa käytöstä ja yleensäkin jos ei tarvitse voi poistaa kokonaan. 

Jos varsinainen pankkisovellus on puhelimessa ja myös tunnuslukusovellus , niin se tarjoaa murtotilanteessa suoran pääsyn pankkitilille kaksivaiheisesta tunnistautumisesta huolimatta.

Minä suosittelen käyttämään ensisijaisesti tietokonetta pankkiasiointiin ja tunnistautumista puhelimella tai jollakin muulla tunnuslukulaitteella (paperiset tunnuslukulistat alkavat jo olla historiaa). Kahden laitteen käyttö vähentää murtautumisriskiä. Pankkiin ei kannata tietokoneella kirjautua hakukoneen tarjoamilla linkeillä , vaan se oikea sivusto pitää tallentaa kirjanmerkiksi ja käyttää sitä. Toisekseen tietokoneessa pitää olla turvaohjelmisto , jossa on kattava pankkiyhteyksien suojaus. Ne estävät riittävästi erilaiset man in the middle -tyyppiset murtautumiset.

Minulle on yksi puhelimen valintaperuste myös se , että kuinka paljon siinä on valmistajan esiasentamia sovelluksia ja kuinka helposti niitä voi poistaa.

Tunnistautuminen voisi olla toteutettu turvallisemmin meillä - erityisesti ei pitäisi olla kaikki pankkitunnusten takana mutta sille nyt ei muutoksia tulossa. Voit myös kirjautua pankkiin puhelimen selaimella tai tabletin - sanoisin tämänkin turvallisempi olevan kuin tietokoneen selaimella koska sentään selainkin on heikkalaatikossa toisiin sovelluksiin nähden.

Tai käyttää tunnistautumiseen erillistä tunnuslukulaitetta joka varmaan se paras olisikin - maksamiseen sitä kuitenkin tarvitaan joka tapauksessa? Itsestään en pidä vaarallisena että tilillä pystyy tarkistamaan suorituksia suoraan puhelimella mutta se että maksaminen on hyvä varmentaa hyvin. Tekstiviesti toki ei hyvä tapa taas jälleen ole kun se menee samaan laitteeseen usein tunnuslukusovelluksen kanssa...

Puhelimen/tabletin selain on ihan yhtä haavoittuvainen man in the middle- hyökkäyksille kuin tietokoneenkin ilman turvaohjelmiston pankkisuojausta. Ei se “santaloora” siinä tapauksessa auta , kun yhteys on valepankkiin.

Kaiken karvaiset key loggerit yms , jotka tallentuvat asiakkaan laitteelle on siten luku erikseen.

Niin tuo pankkisuojaus yrittää tehdä heikkalaatikon ympärille katkaisemalla monen muun yhteydet. Kyllä selainten heikkous on tiedossa mutta en kyllä usko tähänkään suojaukseen täysin. Jos on erillinen tunnistussovellus niin voihan se eri laitteella olla tai fyysinen laite jolloin sen secret ei valu.

Noh mennään aika kauas teoreettisista enemmänkin ilman käyttäjän toimenpidettä asentaa sovellus tai selain plugin joka varastaa tiedot. Se että mobiililla sinä näet mitä oikeuksia sovellus pyytää on iso plussa vs tietokoneella mikä pyytää kerran admin oikeuden ja voi tehdä mitä vaan tyyliin. Toki se tietoturvaohjelmisto pystyy tekemään tietokoneella paljon enemmän samasta syystä kun pystyy ylläpitäjän oikeuksilla oikeasti tekemään. 

Niinpä.

Lienemme kuitenkin siitä yhtä mieltä , että 100% turvallista pankkisovellusta ei ole olemassakaan ja käyttäjä on aina se kuitenkin se ketjun heikoin lenkki , vai kuinka? 😉

Käyttäjä on vahvin että heikon samaanaikaan - iso päätösvalta hänellä on. 

• Puhelimessa tietoturvaohjelmistot eivät suojaa käyttäjää kovinkaan tehokkaasti juuri heikkalaatikon takia kun ei pysty seuraamaan muiden sovellusten toimintaa. Tietokoneella tämä onnistuu. Samalla myös haittaohjelma ei pysty suoraan toiseen sovellukseen pääsemään käsiksi. 
• Päivitykset ovat puhelimessa tärkeintä ja tämä tulisi tapahtua kuukausittain vähintään. Android valmistajista ainakin Samsung ja Google Pixel ovat hyvin päivittyviä. Google lupasi nyt uudelle Pixel 8 ja 8 Pro jopa 7 vuotta päivitystukea. Samsung on luvannut 5v ainakin päivityksiä joka myös hyvä. Apple julkaisee vähintään kuukausittain melkeinpä ja jopa useamminkin tietoturvapäivityksiä.

100% turvallista ei ole mutta parannettavaa on. Huijauksia silti useimmat on jolla saadaan huijattua käyttäjän siirtämään rahaa. Siinä ei hirveästi auta jos itse hyväksyttää maksun vaikka tosin voisihan maksuja hidastuttaa erityisesti kun suuntautuu isoja summia ulkomaille. 

Itse käytän pankkiasiointiin ainoastaan ajantasalla olevaa Linux-konetta, Windowsilla ei tosiaan uskaltaisi mennä pankkiin. Eikä myöskään luurilla tai tabletilla, olkoon vaikka miten hiekkalaatikoita luurissa. Tunnuslukulistat tosiaan poistuu ja tunnuslukulaite tai muu todennuskeino tulee sen tilalle. Tai niin no, OP:ssa ja S-pankissa tunnuslukulistat säilyy mutta niiden avuksi on tullut tekstiviestivarmennus, joka onneksi toimii kaikilla kapuloilla eli ei tarvita älypuhelinta siihen.

Eipä sillä ole merkitystä millä laitteella ja millä käyttöjärjestelmällä pankkipalveluita käyttää , jos asiakas ei tajua olevansa valepankin sivuilla.

Tuo on totta ja siksi pankkiin ei koskaan pidä mennä hakukoneen linkin kautta! Eikä liioin tekstiviestin linkin kautta. Vaan sinne kannattaa mennä kirjoittamalla pankin sivu suoraan selaimen osoitekenttään ja sitten laittamalla se vaikka kirjanmerkkeihin.

Tästä olemme samaa mieltä.

https://yhteiso.elisa.fi/tietoturva-69/ajankohtaista-tietoturvattomuudesta-525636?postid=713358#post713358

Pankkiasiat hoitanut alusta saakka (kun tulivat nettiin) Win koneella. (Win aina ajantasalla ja wiimesin wersio, einyt betaa/dev mutta muuten.)  Ei ikinä minkäänlaista ongelmaa. Kännyllä en hoida koska epämukavaa koon takia. Mulla vielä paperiset tunnusluvut. Pitäs siirtyä pois, kuten vaippu. Ikinä ei tosiaan kandee mennä linnkkien kautta. Helppoohan tuo on itse kirjoittaa. Mulla koneella myös palomuuri + virustorjunta, vaikka toitotetaan etteis tarttis. Ihan omax ilox ja varmuudex. Muutenkin työpuolesta näitä hommia väännän niin tykkään himassakin.

… ja voinhan noita hiekkalaatikoita rakennella wintoosaankin. Paljon helpompaa ja mukavapaa pelailla siellä.

Riippuu Windowsin versiosta , että tarvitseeko.

Windows 10/11 pro sisältää Sandboxin jo alunalkaen , mutta se ei ole oletuksena aktivoitu. Ei muuta kuin aktivoimaan.

https://www.xda-developers.com/set-up-windows-sandbox-windows-11/

Pelkän pankkiasioinnin vuoksi ei tarvitse varsinaista hiekkalaatikkoa olla päällä , koska turvaohjelmien pankkisuojaus tekee vastaavan suojatun ympäristön automaattisesti.

Minä aloitin sähköisen pankin käytön Telnetillä ja soittosarjamodeemilla 90-luvulla paljon ennen kuin selaimella käytettäviä pankkipalveluja oli olemassakaan.