Month: July 2020

BTB projekti: Viestinnän suojaus

by

Johdanto

Viimeisten vuosien aikana on käynyt entistä selvemmäksi että viestinnän tietosuojan varmistamista ei voi jättää suurten nettijättien vastuulle. Käyttäjä ja käyttäjän tiedot ovat kauppatavaraa, joilla maksetaan näennäisesti ilmaisten palvelujen kulut. Vaikka palvelua käyttöönottaessa olisi valmis antamaan viestintänsä skannattavaksi tälle yhdelle taholle, onko tilanne enää sama muutaman vuoden aktiivisen käytön ja tuntemattomien alihankkijoiden ilmestyttyä mukaan?

Tämänkertainen projektimme on hieman erilainen. Esittelen siinä palveluita ja tekniikoita, joilla pyritään varmistamaan viestinnän tietoturvan ja tietosuojan toteutuminen pitkäjänteisellä tavalla. Rakennusprojektina on siis kokonaisvaltainen viestinnän suojaus.

  • Tavoite: Turvata yksityisviestien tietosuoja ja turvallisuus kolmansilta osapuolilta
  • Vaikeus: Keskivaikea
  • Aika: Pitkä, vuosia
  • Hinta: 0-50 € / vuosi
Photo by Matthew Henry on Unsplash

Liikenteen suojaaminen

Aloitamme ensin nettiyhteyden suojaamisesta. Liikenteestä voidaan erotella muutama pääkomponentti:

  • DNS-kyselyt, joilla selvitetään mihin IP-osoitteeseen esim. mersu.fi liikenne tulisi ohjata
  • Varsinainen liikenne, esim nettisivujen selailu, sähköpostien lataus tai pikaviestit.

 

Liikenteen suojaaminen – DNS

DNS-kyselyissä kodin reititin ja mobiililaite tarjoavat yleensä oman palveluntarjoajan DNS-palvelimia. Suomessa ei ole *vielä* tullut esille tilannetta, jossa palveluntarjoaja myisi selailutietoasi mainostajille, mutta USA:ssa tämä on jo arkipäivää. Yhdessä sosiaalisen median profiiliesi kanssa selailuhistoriasi mahdollistaa hyvin kohdennetun mainonnan ja myös henkilöllisyytesi selvittämisen näennäisestä anonymiteetista huolimatta.

Voit vaihtaa dns-palvelimien osoitteet pois ISP:n palvelimista haluamallesi taholle tai hajauttaa niitä useampaan palveluun. Suosittelen vaihtamaan palvelimet suoraan reitittimeltä, jolloin ne tulevat kaikkien verkon laitteiden käyttöön. Mikäli olet jo ottanut Pi-Holen käyttöön, tarjoaa se sinulle verkkotason mainosten poistoa ja yhdessä PiVPN-softan kanssa, toimii myös mobiililaitteillesi.

Aikaisempi BTB-projekti Pi-Holen käytöstä:

BTB Projekti: Pi-hole

Voit myös valita haluamasi ylimääräisen suodatuksen (haittaohjelmat / aikuissisältö), esimerkkinä Cloudflare:

Malware-blocking

  • 1.1.1.2
  • 1.0.0.2

Malware and adult content-blocking

  • 1.1.1.3
  • 1.0.0.3

Lista tietosuojaa kunnioittavista dns-tarjoajista:

https://www.privacytools.io/providers/dns/

Yleisohjeet DNS-asetusten muuttamiseen reitittimeltä:

https://www.howtogeek.com/167533/the-ultimate-guide-to-changing-your-dns-server/

Kovakoodatut dns-palvelimet

Moni laite (Chromecast / Älytv:t) käyttävät kovakoodattuja dns-palvelimia, usein Googlen 8.8.8.8 tai 8.8.4.4 osoitteita, ohjaten dns-kyselyt suoraan Googlelle. Halutessasi voit asettaa palomuurillesi säännön, jossa portin 53 liikenne blokataan muilta kuin reitittimeltä ja Pi-Holelta  ja portin liikenne ohjataan esim Pi-Holelle.

Tässä esimerkkinä pfSensen ohjaus:

https://docs.netgate.com/pfsense/en/latest/dns/redirecting-all-dns-requests-to-pfsense.html

 

DoH ja DoT

Vielä uutena mahdollisuutena ja uhkana on dns-over-https (DoH), jossa dns-kyselyt ohjataan normaalin liikenteen seassa salattuna sitä tukeville palvelimille. Oman liikenteen suojaamiseen tämä on tietyissä oloissa oivallinen keino, mutta oman kotiverkon suojaamiseen haittaohjelmilta luonnollisesti vaikeuttava tekijä.

Mikäli reititin sitä tukee, on DNS-over-TLS porttia (DoT) 853 käyttäen myös hyvä tapa suojata dns-kyselyiden yksityisyys.

 

Liikenteen suojaaminen – VPN

Vaikka nykyään lähes kaikki selaimen http-liikenne on salattua TLS-salauksella (https), on hyvä käytäntö suojata liikenne kokonaisvaltaisesti VPN-tunnelin kautta. Tämä takaa erityisesti mobiililiikenteen tietosuojan. Toki myös kotireitittimen liikenteen voi ohjata vaikkapa ProtonVPN:n Suomen palvelimien kautta, mikäli ei luota palveluntarjoajaansa tai haluaa piilottaa liikenteensä alkuperän.

VPN-palvelun voi pystyttää sopivaan kodin reitittimeen yleisimmin OpenVPN:lla: https://www.vpnuniversity.com/tutorial/how-to-setup-openvpn-asus-routers-asuswrt

tai Raspberry PI:lle Wireguardia käyttäen:

https://www.derekseaman.com/2020/05/how-to-wireguard-vpn-on-the-raspberry-pi-4.html

Lisäksi omalle mobiililaitteelle tarvitaan vastaavat tiedot VPN:n käyttöön:

https://www.androidauthority.com/set-up-vpn-android-settings-687564/

VPN-yhteyden voi muodostaa myös vain halutuille softille (split tunneling).

Huom: Kannattaa välttää epämääräisiä VPN-palveluntarjoajia ja applikaatioita, jotka lupaavat olla lokittamatta ja suojata tietosuojasi ilmaiseksi. Luotettava VPN-palvelu on aina maksullinen.

 

Puheluiden suojaaminen

GSM-puheluiden tietoturva on pitkään ollut kyseenalainen ja valtiollisten toimijoiden tai valtioiden seuranta on arkipäivää. Koska artikkelimme uhkakuva on mainostajilta suojautuminen, puheluiden tietosuoja ei ole *vielä* keskiössä.

Esim Signalin kautta tehdyt puhelut ovat salattuja ja laadultaan yleensä hyviä. Rajoitteena on luonnollisesti Signalin hidas yleistyminen, mutta sen käyttäjiä alkaa jo löytyä, varsinkin tietoturvapuolelta.

https://support.signal.org/hc/en-us/articles/360007060492-Voice-or-Video-Calling

Yhteystietojen suojaaminen

Mobiililaitteiden kontaktien kerääminen on ollut suosittu tekniikka, jolla on kohdennettu mainontaa ja rakennettu profiileja seurantaa varten. Kannattaa harkita mitkä sovellukset todella tarvitsevat tietoa ja myös miettiä miten kontaktit synkronoi eri laitteiden välillä.

Esim oma NextCloud-palvelin ja DAVx5 synkronointi pitää tiedot omassa hallussasi, mutta saatavilla eri laitteiden välillä.

https://www.davx5.com/tested-with/nextcloud

 

Pikaviestien suojaaminen

Pikaviestinnässä korostuu verkoston käyttämien sovellusten merkitys. Jos tarjolla ei ole kuin savumerkkejä, ei suojaamisessa ole paljoa vaihtoehtoja.

Signal tarjoaa hyvän salauksen ja suojaa myös liitteet mobiililaitteissa muilta sovelluksilta.

KIK ja Telegram ovat myös käytettyjä vaihtoehtoja. Whatsapin omistaa Facebook…

https://www.techradar.com/best/best-encrypted-messaging-app-android

https://www.privacytools.io/software/real-time-communication/

 

Sähköposti

Sähköpostissa monella on tilanne, jossa aikoinaan on otettu käyttöön Yahoo, Hotmail, Outlook.com tai Gmail ja ajan myötä koko henkilökohtainen elämä on rakentunut tämän osoitteen varaan. Tämän riippuvuuden purkaminen viekin hieman aikaa.

 

Osoitteen uudelleenohjaus

Suurin ongelma on digitaalisen identiteetin rakentuminen yhden palveluntarjoajan emailin varaan. Vaikka useimmista palveluista voi ohjata emailit uuteen osoitteeseen, kiertäisivät ne kuitenkin turhaan alkuperäisen tarjoajan kautta. Ratkaisuna on käyttää osoitetta, joka ohjaa emailit aina kulloinkin käytössä olevalle palveluntarjoajalle.

  • iki.fi tarjoaa elinikäisen osoitteen ohjauksen: https://ikiwiki.iki.fi/yhdistys:palvelut
  • oman domainin rekisteröimällä ja sen osoitetta käyttämällä saa täyden hallinnan sähköpostiinsa
  • mainostajille voi tarjota käyttöön kustomoidun emailin, esim AnonAddyn PGP-salatun palvelun kautta: anonaddy.com

Nyt seuraavien vuosien aikana vanha gmail-osoite tulee korvata jokaisessa mahdollisessa paikassa uudella osoitteella ja asettaa gmailista uudelleenohjaus uuteen osoitteeseen. Vanhasta osoitteesta tulevat mailit kannattaa merkitä tunnisteella ja aina käydä päivittämässä uusi osoite kun huomaa vanhaa emailia käytettävän. Muutaman vuoden kuluttua varsin pienellä työllä on käyttö siirtynyt uudelle palveluntarjoajalle.

Mutta mikä palvelutarjoaja kannattaa valita tilalle?

 

Uusi sähköposti

Valintakriteerina on yksityisyyden suojaaminen sekä vahva tietoturva. Seuraavassa erilaisia vaihtoehtoja:

  • Oman palvelun pyörittäminen, esim Synology NAS +oma domain. Vaatii eniten vaivaa ja tietoturvan ylläpitäminen sekä yhteyden varmistaminen on omassa vastuussa.
  • Ulkoistettu taho, esim kapsi.fi + NextCloud. Hieman vähemmän vaivaa, infra-puoli on hoidettu puolestasi.
  • Kaupallinen taho, esim Protonmail tai Tutanota. Vähiten vaivaa ja hyvä tietosuojan ja tietoturvan taso PGP-salauksella.

 

PGP-salattu viestintä 

Protonmail tarjoaa muutaman suuren edun. Se rakentuu PGP-salauksen ympärille, jossa viestien sisältö salataan myös palveluntarjoajalta. Lisäksi viestit eivät lähde palvelusta muiden protonmail-käyttäjien välillä. Myös oman domainin käyttö on mahdollista, viestintä ilman salausta muiden palveluiden käyttäjien suuntaan tai “secure-mail” toiminnon käyttö.

Käyttäen Protonmailin bridge-ohjelmaa (maksullinen versio) voi vanhat viestit tuoda vanhalta palveluntarjoajalta ja käyttää Protonmailia vaikkapa Outlookin kanssa.

PGP-salauksen voi ulottaa myös Outlookiin, käyttäen esim työpaikalla Encryptomatic-lisäosaa. Tällöin vaikkapa kodin ja työpaikan väliset sähköpostit kulkevat sisällön osalta salattuina.

https://www.encryptomatic.com/openpgp/

Huonoina puolina moni käytettävyyteen liittyvä seikka ei vastaa gmailin käyttäjäkokemusta, esim kalenterin osalta. Ilmaisversiota kokeilemalla pääsee kuitenkin pitkälle arvioinnissa.

Avainten jako

Yksi keskeinen seikka PGP-salauksen marginaaliseen käyttöön on ollut julkisen avaimen jakaminen ja sen vaikeus. Aikaisemmat yritykset käyttäjien avainten löytämiseen keskitettyjen avainpalvelinten kautta eivät ole olleet kovin helppoja. Nyt uutena tapana on WKD: https://wiki.gnupg.org/WKD

Ideana on joko itse tarjota dns-tietueiden kautta sähköpostin julkiset avaimet käyttöön tai käyttää sopivaa palveluntarjoajaa. Esim tämän blogin ylläpitäjän julkiset avaimet löytyvät joko WKD-palvelun kautta tai protonmailista suoraan.

https://keys.openpgp.org/

Tällöin käyttäjän ei tarvitse huolehtia avainten etsimisestä ja hakemista, vaan softa tarkastaa automaattisesti löytyykö avainta ja salaa viestin automaattisesti. Tämä helpottaa PGP-salauksen yleistymistä ja automatisointia.

 

Kohdatut ongelmat

  • Signalissa käyttäjiä on varsin vähän, mutta kutsumalla aktiivisesti kontaktejaan mukaan, on moni vaihtanut oletus SMS-sovelluksensa Signaliin.
  • Protonmail ja lisäpalvelut ovat vielä kehitysvaiheessa. Esim kalenteri on vielä beta-testauksessa ja sillä ei voi lähettää kutsuja. Varsinainen posti on toiminut hyvin useita vuosia. Jotkut palvelut eivät hyväksy protonmail.com domainia, jolloin iki.fi tai oma domain tarvitaan.
  • Joissakin paikoissa vastauksen tuleminen iki.fi osoitteen sijaan pm.me osoitteesta aiheuttaa tietoturvahuolia. Tämän takia olen asentanut Thunderbirdiin iki.fi smtp:n käyttöön ja siihen myös s/mime sertifikaatin Traficomilta (Kansalaisvarmenne).
  • Maistraatille muuttokieltoa tehdessä Protonmailin oletuksena lähettämä julkinen avain tulkittiin liitetiedostoksi, joka ei avautunut kunnolla. Tämä ohitti koko allekirjoitusprosessin ja virkailija hyväksyi muuttokiellon pelkällä emaililla…

Onnistumisia

  • Gmailista siirtyminen Protonmailiin onnistui helposti, viestit tuli samalla siivottua tauhkasta ja nyt sähköpostit ovat luotettavammassa palvelussa.
  • Signalin desktop toimii hyvin pitkissä keskusteluissa.
  • PGP-salaus on nyt rutiinia ja päällä monessa palvelussa (Facebook, WordPress, Anonaddy jne)
  • Olen oppinut paljon dns-kyselyistä, salauksesta ja yksityisyydensuojasta konkreettisesti tekemällä ja kokeilemalla.

 

Loppusanat

“Miksi salata ja suojata omaa viestintäänsä? Eihän minulla ole mitään salattavaa!”

Tässä tapauksessa voit myös hyväksyä riskin, että tuntemattomat tahot analysoivat, lukevat ja mahdollisesti julkaisevat viestintääsi vuosien takaa, sinun voimatta vaikuttaa asiaan millään tapaa. Et välttämättä ole kenenkään kiinnostuksen kohde, mutta tietosi voivat vuotaa osana palvelumurtoja, ilkivaltaa tai mainostajien piittamatonta toiminta osapuolille joista et ole koskaan kuullutkaan.

“Ei kiinnosta, liian vaikeaa!”

Tietosuojan parantaminen vaatii aktiivista vaihtamista palveluihin, joissa et ole kauppatavaraa. Mitä useampi tekee tämän valinnan, sitä helpompi on myös muiden siirtyä tietosuojaa kunnioittaviin palveluihin. Mitä suurempi joukko käytettävyyttä ja helppoutta vaativia käyttäjiä palvelulla on, sitä nopeammin ne tulevat myös yleistymään.

Kokeile ja ota askel eteenpäin!