Artikkelit ajalta tammikuu, 2013

30.01.2013

Voiko Javaan enää luottaa?

Oracle yrittää korjata pahoin ryvettyneen Javan mainetta. Oracle on luvannut, että tietoturvaongelmien korjaamisen lisäksi se aikoo myös parantaa viestintää Javan käyttäjien kanssa. Javan tietoturvasta vastaava johtaja Milton Smith sanookin nyt, ettei puhuminen tai ongelman vähättely enää auta. Java on korjattava.

Viimeaikaiset tietoturvaongelmat koskevat nimenomaan internet -selaimissa ajettavia Java -ohjelmia. Kun internetin käyttö yleistyi räjähdysmäisesti 90 -luvun jälkipuoliskolla, Java ratsasti aallon harjalla. Java oli alustariippumaton eikä sovelluksista tarvinnut tehdä erillisiä Windows, Mac OS tai Linux versioita. Ohjelmistovalmistajat ottivat Javan nopeasti omakseen ja se oli vuosikausia hallitseva asemassa internet -sovellusten kehityksessä.

Tänä päivänä nimi Java tuo ensimmäisenä mieleen tietoturvaongelmat. Oraclella onkin iso työ tilanteen korjaamisessa. Kun viranomaiset ja tietoturva-asiantuntijat kilvan neuvovat poistamaan Javan tietokoneista, pelkkä teknisten ongelmien korjaaminen ei enää riitä. Oraclen pitää palauttaa Javan käyttäjien luottamus ohjelmistoon.

17.01.2013

Kuinka hyvä sinun salasana on?

Kalevan mukaan konsulttiyhtiö Deloitte arvelee, että yli 90 prosenttia käytetyistä salasanoista on helppo murtaa. Pitkien erikoismerkkejä sisältävien salasanojen käyttö parantaisi tilannetta, mutta niiden vaikean muistettavuuden vuoksi ihmiset sortuvat käyttämään heikkoja salasanoja. Jopa sanoja ”salasana” ja ”password” käytetään yleisesti.

Microsoft antaa sivuillaan vihjeitä vahvojen salasanojen luomiseksi. Tässä on niistä muutama.

Vahva salasana:

  • on 20 –30 merkkiä pitkä
  • on joukko sanoja, jotka muodostavat lauseen
  • ei sisällä tunnettuja ilmaisuja esimerkiksi kirjallisuudesta tai musiikista

Meidän neuvomme on käyttää lauseita, jotka ovat merkittäviä vain teille.

Esimerkiksi:

  • MustaKorppiKaviPihalla3kertaa! (31 merkkiä, jotka sisältävät isoja kirjaimia, numeroita ja erikoismerkin)
  • Ensimmainen-autoni-oli-Lada-joka-hajosi-51-kertaa. (51 merkkiä, jotka sisältävät isoja kirjaimia, numeroita ja erikoismerkkejä)

Välilyöntejä tai ääkkösiä ei yleensä pysty käyttämään, joten ne kannattaa jättää pois. Pitkän lauseen kirjoittaminen voi viedä muutaman sekunnin pidempän kuin lyhyemmän, mutta ne jäävät mieleen paremmin kuin ”!Xz37at3!” kaltaiset merkkihirviöt, joiden takia ihmiset sortuvat ”salasana1″ tyylisiin heikkoihin salasanoihin.

Microsoftin vinkin vahvojen salasanojen luomisesta löytyvät täältä.

10.01.2013

Javassa jälleen haavoittuvuus

Tietoturvayhtiö AlienVault kertoi tänään, että Javassa on jälleen haavoittuvuus. Tällä kertaa haavoittuvuus löytyy uusimasta Java SE 7 update 10 versiosta. Surffailu haittasivustoilla tai murretuilla sivustoilla on erityisen vaarallista.

Hyökkäyskoodia on AlienVaultin mukaan hämärretty erittäin paljon, jolloin sen tulkitseminen on luonnollisesti vaikeampaa. AlienVaultin laboratorio onnistui kuitenkin hämäämään haittakoodia siten että se avasi Windowsin Laskin -sovelluksen laboratorion koneella.

Tällä hetkellä ei ole tiedossa koska Oracle julkaisee korjauspäivityksen. Varmin tapa suojautua on poistaa Java selaimesta.

Lähteet: IT-Viikko / AlienVault

03.01.2013

IE:n tietoturva-aukko puhuttaa

Microsoft Internet Explorer –ohjelmistoista on löytynyt haavoittuvuus, joka mahdollistaa viruskoodin ajamisen käyttäjän koneella. Microsoft kertoo saaneensa tietää hyvin rajatuista hyökkäyksistä, mutta Viestintäviraston raportista ilmenee, että haavoittuvuutta hyödynnetään aktiivisesti.

Haavoittuvuus koskee Internet Explorerin versioita 6, 7 ja 8. Haavoittuvuus ei koske versioita 9 tai 10 eikä kilpailevia selainohjelmia. Microsoft on julkaissut tilapäisen asiantuntijakäyttöön soveltuvan FixIt -työkalun haavoittuvuuden korjaamiseksi, mutta varsinainen korjauspäivitys on yhä työn alla.

F-Securen mukaan hyväksikäyttö on jo lisätty verkkorikollisten suosimaan Metasploit -työkaluun, joten haavoittuvuuden laajamittainen hyödyntäminen on enemmän kuin todennäköistä. Suosittelemme tarkistamaan käytössä olevan selainversion ja asentamaan tarvittaessa korjauspäivityksen.

Tietoturvasta huolehtiminen on jatkuvaa työtä. Jos epäilette, että asia ei ole hoidossa omalla ”verstaallanne”, niin ottakaa yhteyttä. Selvitetään tilanne yhdessä.

Juttuun liittyvät linkit:
Fix-It -työkalu Microsoftin sivulla
Viestintäviraston (CERT-FI) raportti haavoittuvuudesta

03.01.2013

iPhone iOS 6 – Älä häiritse -toiminnossa bugi

Apple iPhone iOS6 puhelimien Älä häiritse -toiminnossa on ilmennyt vuoden vaihteen jälkeen virhe, toiminto nimittäin pysyy päällä vaikka määritelty pois kytkentä aika olisi ohitettu. Apple on ilmoittanut tukitiedotteessaan ettei virhettä korjata vaan se poistuu itsestään 7.1.2013 jälkeen. Vastaavan kaltaisia päivämääriin  liittyviä ongelmia on ollut ennenkin Apple iPhone puhelimissa ja iPadeissa, maaliskuussa 2011 osa iPhoneista ja iPadeista ei ymmärtänyt siirtymistä kesäaikaan muun muassa Suomessa.

Aiheesta kirjoitti ITViikko.