Ubuntu ja tietoturva

[Snufkin]

Moi!

Osaisiko joku hieman selventää minulle Ubuntun (16.04) tietoturvan tasoa. Käytän konetta työasemana (nettisurffaus, toimisto-ohjelmat, gimp, jne.) enkä ole kovin hyvin perillä tietotekniikasta sinänsä.

Olen ymmärtänyt, ettei mitään erillistä virustorjuntaa tarvita, koska tiedostojärjestelmä tehokaasti torppaa haittaohjelmien etenemisen. Onko silti olemassa joku riski saastuttaa kone esim. haitallisilla nettisivuilla tai sähköposteilla? Tai laajemmin, mitkä ovat ne todelliset uhat tavalliselle käyttäjälle nettimailmassa? Palomuuri on käytössä Ubuntun valmisasetuksilla. Ohjelmat olen asentanut pääosin Ubuntu software centerin kautta. Vain yksi kirjanpito-ohjelma (Tilitin) on asennettu ohjelman jakajan sivuilta.

Ts. onko jotain mitä pitää erityisesti välttää, jotta ei saastuta konettaan tai saa sitä kaapatuksi. Onko esim.  avoin wlan-verkko riski tällaiselle vai vain tietojen menettämiselle?

Entä vaikuttaako salasana verkkoturvallisuuteen? Voiko siis verkon kautta helposti yrittää päästä koneen käyttäjäksi ja voiko sen jotenkin asetuksilla estää?

Varkauden varalta olen kryptannut kotikansion Ubuntua asentaessani.

[Eesaurus]

Noin yleisesti ottaen ei tarvita mitään antivirusohjelmia, koska käytännössä Ubuntulle ei ole viruksia. Ja nekin antivirusohjelmat, joita Ubuntulle on saatavilla, etsivät windows -viruksia. Jos windows -viruksen onnistuisit jollain ilveellä Ubuntuusi saamaan, niin se on vain kasa bittejä makaamassa kiintolevyllä. Ubuntu on täysin immuuni windows -viruksille.

Verkossa aikuisviihteellä pörrätessä voi lähinnä saada selaimensa lukituksi tai tulla pöpön ladanneeksi esim. jonkin hämärän exe:n muodossa, mutta siinäpä se melkein on. Selainlukitus ei tosin liity millään tavalla Ubuntuun, tai käyttöjärjestelmiin ylipäätään, toiminee kaikilla alustoilla samaan tyyliin.

Salasanoilla on toki merkitystä, varsinkin jos konetta voi päästä käyttämään joku muukin, mutta sekin nyt on sama kaikissa käyttiksissä.

[Lepotila zZ]

Myös reitittimen käyttäjätunnus ja salasana kannattaa vaihtaa. Jos käytössä on valmistajan oletukset (esim. admin/admin tai admin/password) selaimessa toimiva javascript haitake voi muuttaa reitittimen asetuksia ja mahdollistaa sen hallitseminen ulkoverkosta käsin. Sen jälkeen DNS:n avulla käyttäjä voidaan ohjata valesivustoille tai laittaa reititin palvelemaan osana bottiarmeijaa.

Artikkelissa ei mainita Linuxia, mutta tuo haitake näytti toimivan jotakuinkin kaikilla muilla alustoilla, joten tuskinpa Linux on immuuni tuon kaltaisille hyökkäyksille: https://www.proofpoint.com/us/threat-insight/post/home-routers-under-attack-malvertising-windows-android-devices

[Snufkin]

Ok, eli aika hyvin olen sitten turvassa. Minulla ei ole reititintä, vaan Microsoft Lumia kännykkä toimii wlan-asemana. Tiedä sitten miten turvallinen se on?

Mutta miten helppo perus-Ubuntu on kaapata verkon kautta, jos joku sitä haluaa? Ja näkyykö tuollainen kaappaus minulle jotenkin? Tällä koneellä siis vain yksi käyttäjätili, jota itse käytän.

[arieep]

Ubuntussa ei ole palomuuri päällä oletuksena,  kytke palomuuri käyttöön kun ei ole reititintä välissä.

Koodia: [Valitse]

sudo ufw enable

[Eesaurus]

Mutta miten helppo perus-Ubuntu on kaapata verkon kautta, jos joku sitä haluaa? Ja näkyykö tuollainen kaappaus minulle jotenkin? Tällä koneellä siis vain yksi käyttäjätili, jota itse käytän.

Mitäänhän en ko. asiasta tiedä, joten ilman muuta kommentoin siis. Joo, sinä aikana, kun olen Ubuntu -käyttäjä ollut (vuodesta 2008 muistaakseni), en ole esim. tämän foorumin kautta kertaakaan kuullut moisesta. Tai en ainakaan muista. Muisti ei tosin ole enää ihan sitä, mitä se joskus oli... Eli vankalla takapuolituntumalla sanoisin, että anna palaa vaan.

[epiphone]

Ubuntussa ei ole palomuuri päällä oletuksena,  kytke palomuuri käyttöön kun ei ole reititintä välissä.

Koodia: [Valitse]

sudo ufw enable

Minulla on Ubuntu 16.04 ja kokeilin laittaa palomuurin päälle tuon ohjeesi avulla, ilmoitti, että palomuuri on jo päällä ja asetettu jo käynnistyksen aikana. 

[Tomin]

Olen ymmärtänyt, ettei mitään erillistä virustorjuntaa tarvita, koska tiedostojärjestelmä tehokaasti torppaa haittaohjelmien etenemisen. Onko silti olemassa joku riski saastuttaa kone esim. haitallisilla nettisivuilla tai sähköposteilla? Tai laajemmin, mitkä ovat ne todelliset uhat tavalliselle käyttäjälle nettimailmassa?

Tiedostojärjestelmä itsessään tuskin juuri suojaa haittaohjelmilta. Enemmänkin siitä on apua, että useimmat virukset ovat tehty Windows-käyttöjärjestelmälle eivätkä siis myöskään toimi Linuxissa.

Ts. onko jotain mitä pitää erityisesti välttää, jotta ei saastuta konettaan tai saa sitä kaapatuksi. Onko esim.  avoin wlan-verkko riski tällaiselle vai vain tietojen menettämiselle?

Suosittelen välttämään hämärämpiä nettisivustoja ja välttämään roskapostiviestien lukemista tai varsinkaan niiden linkkien tai liitteiden avaamista. Avoin wlan tuskin on sen enempää riski kuin muukaan julkinen verkko, johon kuka tahansa voi yhdistää. Toisaalta tuo toimii toisinpäinkin eli avoin wlan on juurikin sellainen julkinen verkko, johon kuka tahansa voi yhdistää, ja siellä ei ole mahdollisen hyökkääjän ja käyttäjän välillä erillistä palomuuria kuten tavallisesti kotiverkkoa ja internettiä erottaa NAT. NAT:ia eli osoitteenmuunnosta ei ole suunniteltu kuitenkaan suoranaisesti suojaamaan hyökkäyksiltä se vain vaikeuttaa yhteyden ottamista käyttäjän koneelle. Todennäköisimmin haittaohjelman saa päivittämättömän internetselaimen (tai muun käyttämänsä ohjelman) kautta, jolloin sillä ei ole juuri väliä missä verkossa on. Toki selaimessa voi olla nollapäiväaukkoja, jolloin ajan tasalla pitäminenkään ei estä hakkerointia.

Entä vaikuttaako salasana verkkoturvallisuuteen? Voiko siis verkon kautta helposti yrittää päästä koneen käyttäjäksi ja voiko sen jotenkin asetuksilla estää?

Ubuntussa tai yleensä Linux-jakeluissa salasana ei taida juuri vaikuttaa siihen, miten helposti koneelle voi päästä, sillä käynnissä ei ole palveluja, joilla konetta voitaisiin hallita etänä. Toki siinä vaiheessa, kun hyökkääjä on koneella jonkin tietoturva-aukon kautta tavallisen käyttäjän oikeuksin, hyvä salasana voi estää käyttämästä tietokonetta root-oikeuksin.

Pelkällä salasanallahan ei ole juuri väliä, jos tietokoneeseen pääsee fyysisesti käsiksi. Silloin vain kryptaus auttaa.

Varkauden varalta olen kryptannut kotikansion Ubuntua asentaessani.

Tuo on ihan hyvä idea, kunhan muistaa pitää tiedostoista varmuuskopioita ja säilyttää myös ne jotenkin turvallisesti. Oikeintehtynä varmuuskopiointikin on yksi tietoturvaa lisäävä asia, vaikkei se vähennäkään tietojen leviämisen riskiä. Erityisesti Windows-käyttäjiä nykyään vaivaava ilmiö ovat kiristyshaittaohjelmat, jotka kryptaavat käyttäjän tiedostot omalla avaimellaan ja vaativat lunnaita avainta vastaan. Erittäin ikävää, jos tiedostoista ei ole varmuuskopioita.

Huomautan, että minäkään en ole tietoturva-alan asiantuntija, vaan ihan tavallisena Linux-käyttäjänä kommentoin omia mielipiteitäni kirjoitellen. Itse käytän ainakin seuraavia asioita pitääkseni yllä tietoturvaa:

• Ajantasaiset varmuuskopiot
• Ajantasaiset ohjelmistot eli päivitykset asennetaan tarpeeksi usein
• Hyvät salasanat sekä netissä että tietokoneella. Ne ovat muistettavia ja tarpeeksi vaikeasti arvattavia
• Kännykän/tabletin lukituskoodi
• Erityisesti kannettavan tapauksessa levyn salaus juurikin varkauden varalta
• Näytön lukitseminen kun en käytä tietokonettani
• Reitittimien ja muiden laitteiden salasanat vaihdetaan pois oletuksiltaan ja jos mahdollista niissä käytetään vapaita laiteohjelmistoja
• Varovaisuus tuntemattomien sähköpostien ja nettilatauksien kanssa
• En kytke tuntemattomia muistitikkuja tai kiintolevyjä tietokoneisiini
• En käytä Windowsia omilla koneillani (kevennys, mutta totta, pl. mahdollinen virtuaalikone tarpeen vaatiessa)

[Eliask]

Varkauden varalta olen kryptannut kotikansion Ubuntua asentaessani.

Kotikansion kryptauksessa on yksi ongelma, joka minulla tuli vastaan. Salasin kotikansioni asennuksen yhteydessä. Jossain vaiheessa päivitin Kubuntun epäonnistuneesti. Kubuntu ei käynnistynyt aluksi ollenkaan graafiseen tilaan, nyt ei edes tekstitilaan. Nyt en saa tiedostojani talteen, koska  kryptasin kotihakemistoni. En siis pääse kaivelemaan tiedostoja toisella osiolla olevasta Ubuntusta käsin.

Ymmärrän kuitenkin Snufkinin ratkaisun salata kotihakemisto varkauksien varalta, mikä voi olla tarpeen liikuttaessa paljon koneen kanssa.

[poiuyt]

Tuollaisessa tilanteessa ne ajantasaiset varmuuskopiot ratkaisisi ongelman. Ubuntussa on helppokäytöinen varmistusohjelma jolla varmuuskopioita voi vaikka ajastaa viikottain otettavaksi.
Minulla on Ubuntu ollut käytössä 2010 saakka päivittäin ja varmuuskopioista pidän huolen, lisäksi vahvat salasanat eri palveluihin, reititimen salasanat pois oletuksilta. Virustorjuntaa en ole koskaan käyttänyt Ubuntussa. Siinä ne.

[Snufkin]

Ubuntussa ei ole palomuuri päällä oletuksena,  kytke palomuuri käyttöön kun ei ole reititintä välissä.

Koodia: [Valitse]

sudo ufw enable

Minulla on Ubuntu 16.04 ja kokeilin laittaa palomuurin päälle tuon ohjeesi avulla, ilmoitti, että palomuuri on jo päällä ja asetettu jo käynnistyksen aikana. 

Samaa ilmoitti mullakin.

[Snufkin]

Suosittelen välttämään hämärämpiä nettisivustoja ja välttämään roskapostiviestien lukemista tai varsinkaan niiden linkkien tai liitteiden avaamista.

Näin toki, mutta olisi mielenkiintoista tietää, miten tuolta nuo haittaohjelmat pääsevät omalle koneelle? Ymmärtääkseni juuri tiedostojärjestelmän käyttöoikeudet estävät haittaohjelmia asentumasta, koska se vaatii pääkäyttäjän oiekudet (salasanan).

Muuten kiitos hyvästä tiivistyksestä tietoturvasta. Itselläni on kaksi kopioita kovalevystä, joista toinen kryptattuna vanhalla läppärillä eri rakennuksessa, toinen kryptaamaton, mutta lukitussa teräskaapissa. Varkauden lisäksi kannattaa muistaa tulipalo, joka myös tuhoaa helposti kaikki tiedot, jos koti palaa.

[Snufkin]

Varkauden varalta olen kryptannut kotikansion Ubuntua asentaessani.

Kotikansion kryptauksessa on yksi ongelma, joka minulla tuli vastaan. Salasin kotikansioni asennuksen yhteydessä. Jossain vaiheessa päivitin Kubuntun epäonnistuneesti. Kubuntu ei käynnistynyt aluksi ollenkaan graafiseen tilaan, nyt ei edes tekstitilaan. Nyt en saa tiedostojani talteen, koska  kryptasin kotihakemistoni. En siis pääse kaivelemaan tiedostoja toisella osiolla olevasta Ubuntusta käsin.

Ymmärrän kuitenkin Snufkinin ratkaisun salata kotihakemisto varkauksien varalta, mikä voi olla tarpeen liikuttaessa paljon koneen kanssa.

Kuten jo mainittu, varakopiointi on oikea ratkaisu tällaisiin ongelmiin. Joko ulkoinen kovalevy tai vanha tietokone on edullinen tapa tehdä tiedoista varakopio.

[Snufkin]

En käytä Windowsia omilla koneillani (kevennys, mutta totta, pl. mahdollinen virtuaalikone tarpeen vaatiessa)

Mä joudun käyttämään välillä windows 7:kaa ja XP:tä (virtualikonetta tuossa seiskassa) jotta saan kaikki tarvittavat ohjelmat toimimaan.  Sen aikana kuitenkin netti on poissa päältä. En usko, että sita kautta voisi haittaohjelmat juuri tehdä tuhoja, kun ei windows ymmärrä Ubuntun tiedostoja. Ainakaan ei näy resurssienhallinnassa.

[Tomin]

Suosittelen välttämään hämärämpiä nettisivustoja ja välttämään roskapostiviestien lukemista tai varsinkaan niiden linkkien tai liitteiden avaamista.

Näin toki, mutta olisi mielenkiintoista tietää, miten tuolta nuo haittaohjelmat pääsevät omalle koneelle? Ymmärtääkseni juuri tiedostojärjestelmän käyttöoikeudet estävät haittaohjelmia asentumasta, koska se vaatii pääkäyttäjän oiekudet (salasanan).

Käyttämällä tietoturva-aukkoja. Ei tuohon yleensä oikein muita keinoja ole.

[Snufkin]

Suosittelen välttämään hämärämpiä nettisivustoja ja välttämään roskapostiviestien lukemista tai varsinkaan niiden linkkien tai liitteiden avaamista.

Näin toki, mutta olisi mielenkiintoista tietää, miten tuolta nuo haittaohjelmat pääsevät omalle koneelle? Ymmärtääkseni juuri tiedostojärjestelmän käyttöoikeudet estävät haittaohjelmia asentumasta, koska se vaatii pääkäyttäjän oiekudet (salasanan).

Käyttämällä tietoturva-aukkoja. Ei tuohon yleensä oikein muita keinoja ole.

Mutta eikö Linuxissa ole tilanne se, että pelkkä pääsy koneelle ei riitä, vaan jonkin toimivan ohjelman asentamiseen tarvitaan pääkäyttäjän salasana? Voiko jokin haittaohjelma asentua ilman sitäkin jonkun tietoturva-aukon kautta?

[retu]

Perusasetuksilla ohjelman voi ajaa myös kotihakemistosta. Sellainen ohjelma voi tehdä kaikkea mitä sinäkin voit ilman sudottamista.

[Tomin]

Mutta eikö Linuxissa ole tilanne se, että pelkkä pääsy koneelle ei riitä, vaan jonkin toimivan ohjelman asentamiseen tarvitaan pääkäyttäjän salasana? Voiko jokin haittaohjelma asentua ilman sitäkin jonkun tietoturva-aukon kautta?

Järjestelmänlaajuiseen asentamiseen toki. Toisaalta käyttäjänä voi jo kuunnella käyttäjän näppäimistöä jo sillä yksinään saa salasanat kaapattua. Jos koneelle pääsee selaimen tietoturva-aukon kanssa ja voi suorittaa mitä haluaa, niin kotihakemistoon voi ladata vaikka uusia binäärejä, joita sitten laittaa käynnistyväksi, kun kirjaudutaan sisään.

Toki se voi asentua root-käyttäjänäkin koko järjestelmään, jos on root-oikeudet antava aukko. Niitä on nähty ja ne paikataan yleensä äkkiä eli päivitykset kannattaa asentaa.

[-jh-]

Heitänpä tähän jatkoksi tyhmän kysymyksen:  Miten on sen .MP3 "exploitin" kanssa, josta on viime aikoina puhuttu?

Kuinka suuri riski tuo on ja mitä se oikeastaan tekee? Oletan että mikään antivirus-ohjelma Linuxissa ei tuota blokkaa? Uskallanko siis käyttää mitä tahansa .MP3-tiedostoja normaaliin tapaan vai en?

Olen niin kyllästynyt Windowsiin, tekisi mieleni siirtyä täysin Linuxiin. Mutta en tiedä uskallanko luottaa siihen paljon mainostettuun turvallisuuteen vai en, varsinkin em. haavoittuvuuksien osalta. Vai onko tuo aukko kenties jo ajat sitten tukittu ja sen voi unohtaa?

[reboot]

Noin yleisesti ottaen ei tarvita mitään antivirusohjelmia, koska käytännössä Ubuntulle ei ole viruksia. --

Väärin. Tästä voi aloittaa asiaan perehtymisen yleisellä tasolla: https://en.m.wikipedia.org/wiki/Linux_malware