Eikö olisi kiinnostavaa katsella kuinka palveluihin koitetaan murtautua ja mitä haavoittuvuuksia milloinkin koitetaan käyttää hyväksi? Honeypottien, eli hunajapurkkien avulla tämä on mahdollista turvallisesti. Niiden sisältämät palvelut näyttävät oikeilta, mutta eivät päästä hyökkäjää eteenpäin ja antavat samalla puolustautujalle lisätietoa mistä osoitteista ja millä tekniikoilla palveluihin koitetaan päästä käsiksi.
Tavoite: Havainnoillistaa palveluihin kohdistuvat hyökkäykset ja antaa tietoa puolustautujalle
Vaikeus: Helppo
Aika: 30 min
Hinta: 0- 1 € / vrk (riippuen käytetäänkö pilviratkaisua vai omia laitteita)
T-Pot
T-Pot on itseasiassa kokoelma hunajapurkkeja, jotka simuloivat erilaisia yleisiä palveluita ja portteja. Kokoelma asentuu automaattisesti sisältäen kaikki datan ja lokien keräykseen ja visualisointiin tarvittavat palvelut. Lisäksi se lähettää telemetria-tietoa automaattisesti eteenpäin, tarjoten siten yleishyödyllistä tilannekuvaa tietoturvasta: https://sicherheitstacho.eu/ Lisäksi saadun tiedon voi ohjata omiin lokeihin tai palveluihin näin halutessaan. Projektina sen käyttöönotto on helppo ja palkitseva.
T-Potin voi asentaa joko pilveen tai omalle laitteelle. On huomattava että hunajapurkille pitää sallia kaikki liikenne kaikkiin portteihin, jotta sitä vastaan saataisiin maksimaalinen hyökkäyskiinnostus. Tällöin oman verkon DMZ on tarpeen.
Julkipilvestä tulee kustannuksia, mutta esim Googlen pilvi-palvelut tarjoavat tällä hetkellä 300 € kokeilurahaa. Siksi se oli luonteva valinta päästä heti käsiksi tietoon turvallisesti.
Asennus kestää noin puolisen tuntia ja Cyber-99 tarjoaa tähän hyvät ohjeet:
3. Laita health check hälyttämään koneen toiminnasta ja harkitse uptimerobot.com hälytystä myös
Tulokset
Sisäänkirjautumisen jälkeen Kibanan kautta saat pääsyn valmiiksi luotuihin visualisointeihin.
Jo viidentoista minuutin aikana näkee miten paljon hyökkäyksiä tehdään tätä julkista osoitetta vastaan.
Voit nähdä läpi erilaisten hunajapurkkien millaisia salasanoja palveluihin koitetaan. Luonnollisesti kannattaa varmistaa ettei näitä missään nimessä käytetä,
Vastaavasti myöskin tietyt käyttäjätunnukset kannattaa poistaa tai laittaa automaattisesti blokkaamaan kirjautujan IP-osoite.
Suricatan tunnisteiden kautta näkee mitkä tekniikat ovat tällä hetkellä hyökkääjien suosiossa.
Myös shell komennot tallennetaan automaattisesti.
Kaikkiaan voi todeta että saadut tiedot tukevat hyvin puolustautujan tiedonsaantia.
Kohdatut ongelmat
Kirjautuminen ei varsinaisesti toimi kuin asennuskuvauksessa, vaikka virtuaalikoneelle tekee oman tilin. Tästä huolimatta tietoihin kuitenkin pääsee käsiksi Kibanan kautta. Lisäksi ilmeisesti hyökkäysvoluumista johtuen saattaa kone kipata nurin, jos jokin innostuu kokeilemaan reippaammin bruteforcea. Tällöin virtuaalikoneen voi resetoida Google cloudin kautta ja muutaman minuutin päästä kaikki toimii taas normaalisti.
Loppusanat
Jo muutaman päivän pikakokeilulla T-Pot osoittaa tarjoavansa hyödyllistä tietoa. Muutamia kehitysajatuksia:
Rajoittaa pääsy hyökkääjälle vain tietyn kanavan kautta
Automaattisesti siirtää IP, salasana ja käyttäjänimitieto ajastetusti toiselle palvelimelle
Viimeisten vuosien aikana on käynyt entistä selvemmäksi että viestinnän tietosuojan varmistamista ei voi jättää suurten nettijättien vastuulle. Käyttäjä ja käyttäjän tiedot ovat kauppatavaraa, joilla maksetaan näennäisesti ilmaisten palvelujen kulut. Vaikka palvelua käyttöönottaessa olisi valmis antamaan viestintänsä skannattavaksi tälle yhdelle taholle, onko tilanne enää sama muutaman vuoden aktiivisen käytön ja tuntemattomien alihankkijoiden ilmestyttyä mukaan?
Tämänkertainen projektimme on hieman erilainen. Esittelen siinä palveluita ja tekniikoita, joilla pyritään varmistamaan viestinnän tietoturvan ja tietosuojan toteutuminen pitkäjänteisellä tavalla. Rakennusprojektina on siis kokonaisvaltainen viestinnän suojaus.
Tavoite: Turvata yksityisviestien tietosuoja ja turvallisuus kolmansilta osapuolilta
Aloitamme ensin nettiyhteyden suojaamisesta. Liikenteestä voidaan erotella muutama pääkomponentti:
DNS-kyselyt, joilla selvitetään mihin IP-osoitteeseen esim. mersu.fi liikenne tulisi ohjata
Varsinainen liikenne, esim nettisivujen selailu, sähköpostien lataus tai pikaviestit.
Liikenteen suojaaminen – DNS
DNS-kyselyissä kodin reititin ja mobiililaite tarjoavat yleensä oman palveluntarjoajan DNS-palvelimia. Suomessa ei ole *vielä* tullut esille tilannetta, jossa palveluntarjoaja myisi selailutietoasi mainostajille, mutta USA:ssa tämä on jo arkipäivää. Yhdessä sosiaalisen median profiiliesi kanssa selailuhistoriasi mahdollistaa hyvin kohdennetun mainonnan ja myös henkilöllisyytesi selvittämisen näennäisestä anonymiteetista huolimatta.
Voit vaihtaa dns-palvelimien osoitteet pois ISP:n palvelimista haluamallesi taholle tai hajauttaa niitä useampaan palveluun. Suosittelen vaihtamaan palvelimet suoraan reitittimeltä, jolloin ne tulevat kaikkien verkon laitteiden käyttöön. Mikäli olet jo ottanut Pi-Holen käyttöön, tarjoaa se sinulle verkkotason mainosten poistoa ja yhdessä PiVPN-softan kanssa, toimii myös mobiililaitteillesi.
Moni laite (Chromecast / Älytv:t) käyttävät kovakoodattuja dns-palvelimia, usein Googlen 8.8.8.8 tai 8.8.4.4 osoitteita, ohjaten dns-kyselyt suoraan Googlelle. Halutessasi voit asettaa palomuurillesi säännön, jossa portin 53 liikenne blokataan muilta kuin reitittimeltä ja Pi-Holelta ja portin liikenne ohjataan esim Pi-Holelle.
Vielä uutena mahdollisuutena ja uhkana on dns-over-https (DoH), jossa dns-kyselyt ohjataan normaalin liikenteen seassa salattuna sitä tukeville palvelimille. Oman liikenteen suojaamiseen tämä on tietyissä oloissa oivallinen keino, mutta oman kotiverkon suojaamiseen haittaohjelmilta luonnollisesti vaikeuttava tekijä.
Mikäli reititin sitä tukee, on DNS-over-TLS porttia (DoT) 853 käyttäen myös hyvä tapa suojata dns-kyselyiden yksityisyys.
Liikenteen suojaaminen – VPN
Vaikka nykyään lähes kaikki selaimen http-liikenne on salattua TLS-salauksella (https), on hyvä käytäntö suojata liikenne kokonaisvaltaisesti VPN-tunnelin kautta. Tämä takaa erityisesti mobiililiikenteen tietosuojan. Toki myös kotireitittimen liikenteen voi ohjata vaikkapa ProtonVPN:n Suomen palvelimien kautta, mikäli ei luota palveluntarjoajaansa tai haluaa piilottaa liikenteensä alkuperän.
VPN-yhteyden voi muodostaa myös vain halutuille softille (split tunneling).
Huom: Kannattaa välttää epämääräisiä VPN-palveluntarjoajia ja applikaatioita, jotka lupaavat olla lokittamatta ja suojata tietosuojasi ilmaiseksi. Luotettava VPN-palvelu on aina maksullinen.
Puheluiden suojaaminen
GSM-puheluiden tietoturva on pitkään ollut kyseenalainen ja valtiollisten toimijoiden tai valtioiden seuranta on arkipäivää. Koska artikkelimme uhkakuva on mainostajilta suojautuminen, puheluiden tietosuoja ei ole *vielä* keskiössä.
Esim Signalin kautta tehdyt puhelut ovat salattuja ja laadultaan yleensä hyviä. Rajoitteena on luonnollisesti Signalin hidas yleistyminen, mutta sen käyttäjiä alkaa jo löytyä, varsinkin tietoturvapuolelta.
Mobiililaitteiden kontaktien kerääminen on ollut suosittu tekniikka, jolla on kohdennettu mainontaa ja rakennettu profiileja seurantaa varten. Kannattaa harkita mitkä sovellukset todella tarvitsevat tietoa ja myös miettiä miten kontaktit synkronoi eri laitteiden välillä.
Esim oma NextCloud-palvelin ja DAVx5 synkronointi pitää tiedot omassa hallussasi, mutta saatavilla eri laitteiden välillä.
Sähköpostissa monella on tilanne, jossa aikoinaan on otettu käyttöön Yahoo, Hotmail, Outlook.com tai Gmail ja ajan myötä koko henkilökohtainen elämä on rakentunut tämän osoitteen varaan. Tämän riippuvuuden purkaminen viekin hieman aikaa.
Osoitteen uudelleenohjaus
Suurin ongelma on digitaalisen identiteetin rakentuminen yhden palveluntarjoajan emailin varaan. Vaikka useimmista palveluista voi ohjata emailit uuteen osoitteeseen, kiertäisivät ne kuitenkin turhaan alkuperäisen tarjoajan kautta. Ratkaisuna on käyttää osoitetta, joka ohjaa emailit aina kulloinkin käytössä olevalle palveluntarjoajalle.
oman domainin rekisteröimällä ja sen osoitetta käyttämällä saa täyden hallinnan sähköpostiinsa
mainostajille voi tarjota käyttöön kustomoidun emailin, esim AnonAddyn PGP-salatun palvelun kautta: anonaddy.com
Nyt seuraavien vuosien aikana vanha gmail-osoite tulee korvata jokaisessa mahdollisessa paikassa uudella osoitteella ja asettaa gmailista uudelleenohjaus uuteen osoitteeseen. Vanhasta osoitteesta tulevat mailit kannattaa merkitä tunnisteella ja aina käydä päivittämässä uusi osoite kun huomaa vanhaa emailia käytettävän. Muutaman vuoden kuluttua varsin pienellä työllä on käyttö siirtynyt uudelle palveluntarjoajalle.
Mutta mikä palvelutarjoaja kannattaa valita tilalle?
Uusi sähköposti
Valintakriteerina on yksityisyyden suojaaminen sekä vahva tietoturva. Seuraavassa erilaisia vaihtoehtoja:
Oman palvelun pyörittäminen, esim Synology NAS +oma domain. Vaatii eniten vaivaa ja tietoturvan ylläpitäminen sekä yhteyden varmistaminen on omassa vastuussa.
Ulkoistettu taho, esim kapsi.fi + NextCloud. Hieman vähemmän vaivaa, infra-puoli on hoidettu puolestasi.
Kaupallinen taho, esim Protonmail tai Tutanota. Vähiten vaivaa ja hyvä tietosuojan ja tietoturvan taso PGP-salauksella.
PGP-salattu viestintä
Protonmail tarjoaa muutaman suuren edun. Se rakentuu PGP-salauksen ympärille, jossa viestien sisältö salataan myös palveluntarjoajalta. Lisäksi viestit eivät lähde palvelusta muiden protonmail-käyttäjien välillä. Myös oman domainin käyttö on mahdollista, viestintä ilman salausta muiden palveluiden käyttäjien suuntaan tai “secure-mail” toiminnon käyttö.
Käyttäen Protonmailin bridge-ohjelmaa (maksullinen versio) voi vanhat viestit tuoda vanhalta palveluntarjoajalta ja käyttää Protonmailia vaikkapa Outlookin kanssa.
PGP-salauksen voi ulottaa myös Outlookiin, käyttäen esim työpaikalla Encryptomatic-lisäosaa. Tällöin vaikkapa kodin ja työpaikan väliset sähköpostit kulkevat sisällön osalta salattuina.
Huonoina puolina moni käytettävyyteen liittyvä seikka ei vastaa gmailin käyttäjäkokemusta, esim kalenterin osalta. Ilmaisversiota kokeilemalla pääsee kuitenkin pitkälle arvioinnissa.
Avainten jako
Yksi keskeinen seikka PGP-salauksen marginaaliseen käyttöön on ollut julkisen avaimen jakaminen ja sen vaikeus. Aikaisemmat yritykset käyttäjien avainten löytämiseen keskitettyjen avainpalvelinten kautta eivät ole olleet kovin helppoja. Nyt uutena tapana on WKD: https://wiki.gnupg.org/WKD
Ideana on joko itse tarjota dns-tietueiden kautta sähköpostin julkiset avaimet käyttöön tai käyttää sopivaa palveluntarjoajaa. Esim tämän blogin ylläpitäjän julkiset avaimet löytyvät joko WKD-palvelun kautta tai protonmailista suoraan.
Tällöin käyttäjän ei tarvitse huolehtia avainten etsimisestä ja hakemista, vaan softa tarkastaa automaattisesti löytyykö avainta ja salaa viestin automaattisesti. Tämä helpottaa PGP-salauksen yleistymistä ja automatisointia.
Kohdatut ongelmat
Signalissa käyttäjiä on varsin vähän, mutta kutsumalla aktiivisesti kontaktejaan mukaan, on moni vaihtanut oletus SMS-sovelluksensa Signaliin.
Protonmail ja lisäpalvelut ovat vielä kehitysvaiheessa. Esim kalenteri on vielä beta-testauksessa ja sillä ei voi lähettää kutsuja. Varsinainen posti on toiminut hyvin useita vuosia. Jotkut palvelut eivät hyväksy protonmail.com domainia, jolloin iki.fi tai oma domain tarvitaan.
Joissakin paikoissa vastauksen tuleminen iki.fi osoitteen sijaan pm.me osoitteesta aiheuttaa tietoturvahuolia. Tämän takia olen asentanut Thunderbirdiin iki.fi smtp:n käyttöön ja siihen myös s/mime sertifikaatin Traficomilta (Kansalaisvarmenne).
Maistraatille muuttokieltoa tehdessä Protonmailin oletuksena lähettämä julkinen avain tulkittiin liitetiedostoksi, joka ei avautunut kunnolla. Tämä ohitti koko allekirjoitusprosessin ja virkailija hyväksyi muuttokiellon pelkällä emaililla…
Onnistumisia
Gmailista siirtyminen Protonmailiin onnistui helposti, viestit tuli samalla siivottua tauhkasta ja nyt sähköpostit ovat luotettavammassa palvelussa.
Signalin desktop toimii hyvin pitkissä keskusteluissa.
PGP-salaus on nyt rutiinia ja päällä monessa palvelussa (Facebook, WordPress, Anonaddy jne)
Olen oppinut paljon dns-kyselyistä, salauksesta ja yksityisyydensuojasta konkreettisesti tekemällä ja kokeilemalla.
Loppusanat
“Miksi salata ja suojata omaa viestintäänsä? Eihän minulla ole mitään salattavaa!”
Tässä tapauksessa voit myös hyväksyä riskin, että tuntemattomat tahot analysoivat, lukevat ja mahdollisesti julkaisevat viestintääsi vuosien takaa, sinun voimatta vaikuttaa asiaan millään tapaa. Et välttämättä ole kenenkään kiinnostuksen kohde, mutta tietosi voivat vuotaa osana palvelumurtoja, ilkivaltaa tai mainostajien piittamatonta toiminta osapuolille joista et ole koskaan kuullutkaan.
“Ei kiinnosta, liian vaikeaa!”
Tietosuojan parantaminen vaatii aktiivista vaihtamista palveluihin, joissa et ole kauppatavaraa. Mitä useampi tekee tämän valinnan, sitä helpompi on myös muiden siirtyä tietosuojaa kunnioittaviin palveluihin. Mitä suurempi joukko käytettävyyttä ja helppoutta vaativia käyttäjiä palvelulla on, sitä nopeammin ne tulevat myös yleistymään.
Nyt saavutettuani uralla kaiken, mikä on mahdollista, koen velvollisuudekseni jakaa muutamia murusia hyväksi todetuista opeista uransa alkuvaiheella oleville. Tutustu siis näihin kultajyväsiin!
1. Aseta itsellesi tavoitteita ja tee töitä niiden eteen. Sinua ei tulla hakemaan Veikkaukseen kakkukahveille ilman kovaa työtä ja uurastusta. Tutustu lottoamisen teoriaan, todennäköisyyslaskentaan ja aseta itsellesi voittotavoitteita. Joka päivä tuplaamalla voittosi olet pian miljonääri.
2. Opi menestyneiltä ihmisiltä. Kun luet menestyjien elämänkertoja, huomaat kuinka he ovat jättäneet koulun kesken, valmistuneet parhain arvosanoin, kehittäneet yritystään ja joutuneet vankilaan veronkierrosta. Tutustumalla menestyjien elämään, voit korreloida heidän elämänsä keskeiset tekijät suoraan omaan uraasi. Heidän jokainen päätöksensä on vienyt heidät siihen menestyksen kultaiselle projektiolle, jossa he ovat nyt.
3. Herää aikaisin. Ethän haaskaa vuorokauden 25:stä tunnista liikaa nukkumiseen? Herää viimeistään klo 4:09, jotta ehdit zumbata, joogata, lukea Sun Tzuta, meditoida, lukea pörssivinkit, laittaa ruokaa, viedä lapset hoitoon, golfata, pitää yhteyttä verkostoosi, postata LinkedIniin, Twitteröitä, Instagrammeerata sekä MySpacettaa. Tutkimukset ovat osoittaneet että kohtuullisessa univelassa tehdyt päätökset ovat kulminoineet monen uran keskeisiä merkkitapahtumia.
4. Luota intuitioosi. Jos joku asia tuntuu liian hyvälle, se todennäköisesti on aivan loistava sijoituskohde. Älä anna ternimaitokapselien, virtuaalivaluuttojen, kannabisöljyjen tai alpakankarvamattojen mennä ohitsesi. Luota luotettavaan kaveriin, joka kerran kymmenessä vuodessa haluaa käydä kanssasi kahveilla. Muista että verkostosi ja alaverkostosi ovat parhaita kavereitasi!
5. Lepää riittävästi. Mene nukkumaan jo klo 18, äläkä haaskaa aivojesi kallisarvoista kapasiteettia valvomiseen ja tyhjänpäiväiseen seurusteluun muiden ihmisten kanssa. Pidä päivässäsi vähintään kolmet tunnin nokoset ja muista myös ruokalepo. Kiinan menestyneimmät johtajat ovat jo nukkumassa kun kello lyö kuusi.
6. Yksityiskohdat merkitsevät eniten. Tutustu mestarimaalareiden uraan ja katso miten paljon huomiota he kiinnittivät yksityiskohtiin. Teeseremonian kautta voit itsekin tavoitella täydellisyyttä jokaisessa teossasi. Aamun bussimatka, toimiston oven avaaminen tai sähköpostin muotoilu voivat olla sinulle oivallisia kohteita uppoutua täydellisyyteen ja ympäröidä itsesi iloa iskevillä toimilla. Älä anna aikataulujen olla esteenä matkallasi kohden täydellisyyttä.
7. Älä ankeuta. Elämässään menestyneet ihmiset säteilevät ympärilleen loppumatonta positiivisuutta ja iloisuutta. Herkeämätön hehkutus ja pulppuileva elämänasenne erottuu suomalaisesta ankeudesta ja siivittää voittoon niin autiolla saarella kuin keskellä YT-neuvotteluita. Ankeuttaminen on myös sama asia kuin kritiikki, älä siis koskaan kritisoi vaan tue herkeämättä huonojakin päätöksiä. Pääasia että kaikilla on positiivinen pöhinä. Muista aina myös puujalkavitsien kannustava vaikutus traagisissa elämäntilanteissa ja LinkedIn-päivityksissäsi!
8. Muista iso kuva. Napoleone Buonanotte ei kesken taistelun joutanut miettimään vasemman laidan grenadöörin jalkarättien ongelmia, eikä sinunkaan pitäisi. Keskity isoon kuvaan ja johda joukkojasi edestä. Laadi ylimalkainen suunnitelma ja pysy siinä, tapahtui mitä tahansa. Menestyjät ovat suunnitelleet uransa vuosikymmeniä eteenpäin ja niin sinunkin pitäisi. Maailma perustuu helposti ennustettaviin periaatteisiin, sillä Aurinko nousee aina idästä!
9. Tutustu anekdootteihin. Tuskin mikään voisi olla tiivistyneempää oppia menestyjille kuin kokoelma satunnaisia tapahtumia vuosikymmenien saatossa, joista voidaan vetää teorioita ja oppeja kirjakaupalla. Tutustu näihin helmiin, ja mieti kuinka voit niiden avulla saavuttaa saman kuin Viljami Notkonen 1880 verstaassaan Ala-Pöytyällä. Muista johtamisessasi viljellä anekdootteja toisensa perään, unohda systemaattisuus ja käytä anekdoottien ristiriitoja viemään sanomaasi eteenpäin. Älä kuitenkaan ankeuta ja takerru faktoihin, vaan ole kuin susilauma joka metsästää leijonien kanssa!
10. Harrasta lähdekritiikkiä. Abraham Lincolnin mukaan 80 % internetin faktoista on väärin. Älä siis jaa humpuukia eteenpäin, tarkasta faktat ja tue työtä jota tehdään faktojen tarkastamisen eteen. Ethän halua että lentokoneesi on suunniteltu nettifaktojen mukaan?
Jaa tätä postausta eteenpäin ja peukuta sitä. Niin menestyjätkin tekevät!
Pi-hole on DNS-pohjainen suodatus-ohjelma, joka on varsin helppo asentaa ja käyttää. Se tarjoaa mahdollisuuden seurata kotiverkon sivustokyselyitä ja suodattaa mainoksia selaimista. Ohjelman paras puoli on selkeä käyttöliittymä, jonka kautta on helppo seurata mihin jääkaappi haluaa ottaa yhteyksiä tai kuinka paljon mainoksia verkkoliikenteestä on. Samalla tulee opittua paljon DNS-kyselyistä ja Linuxin käytöstä.
Näppärin ja myös jatkoa ajatellen hyödyllisin laitteisto on Raspberry Pi eli tuttujen kesken Raspi. Se on pieni, mutta tehokas ja monipuolinen alusta, jolle voi rakentaa erilaisia projekteja ja vaihtaa asennusta muistikorttia vaihtamalla.
Tarvitset:
Raspberry Pi:n (mikä tahansa versio käy)
Micro-SD muistikortin, tyhjän tai NOOBS esiasennetun (8,16,32 Gb tai isompi)
Tehokkaan micro-USB virtalähteen ja liittimen
HDMI-kaapelin / micro-HDMI adapterin
Näytön
Näppäimistön ja hiiren
(Asennusvaiheessa muistikortinlukijan ja tietokoneen)
Seuraa ohjeita. Anna laitteelle sama pysyvä IP-osoite jonka olet jo antanut reitittimellesi.
Testaa että saat Pi-Holeen yhteyden selaimen kautta.
Vaihe 2: Ota suodatus käyttöön
Sinulla on nyt muutama vaihtoehto:
Pi-Hole vastaa kaikista DNS-kyselyistä.
Tällöin aseta reitittimesi DNS-asetuksiin Pi-Hole:n IP-osoite. Aseta Pi-Hole käyttämään esim CloudFlaren 1.1.1.2 / 1.0.0.2 DNS-palvelimia (haittaohjelmien suodatus). Pi-Hole vastaa kaikista kyselyistä, muista asettaa myös conditional forwarding osoittamaan reitittimeesi, jotta näet mitkä laitteet tekevät kyselyitä. Helppo tapa aloittaa käyttö.
Aseta reitittimen DHCP-palveluiden kautta Pi-Hole DNS-palvelimeksi vain laitteille
Kun reititin antaa laitteillesi IP-osoitteita, se samalla mainostaa niille Pi-Holea DNS-palvelimeksi. Aseta reitittimellä esim CloudFlaren 1.1.1.2 / 1.0.0.2 DNS-palvelimet sen omiksi palvelimiksi, estä reitittimien omien DNS-palveluiden mainostaminen laitteille ja aseta Pi-Hole käyttämään reititintä omana DNS-palvelimenaan. Tämä mahdollistaa myös esim pfSensen DNSBL-palvelun käyttöönoton myöhemmin tai DNS over TLS.kyselyt. Lisäksi voit lisätä toisen Pi-Hole laitteen rinnalle, jolloin et ole vain yhden palvelimen varassa.
Moni aloittaa ensimmäisellä vaihtoehdolla ja siirtyy myöhemmin toiseen.
Kun saat Pi-Holen käyttöön, alat pian näkemään millaisia kyselyitä laitteet tekevät. Mikäli valitsit asennusvaiheessa oletus-suodatuslistat, sinulla on jo käytössä mainossuodatus.
Pi-Hole 5 toi mukanaan laitekohtaisen suodatustason. Tee ryhmä, jolle määrität suodatuslistat, määritä laitteet ja lisää ne ryhmiin. Näin esim puoliso voi nauttia mainoksista ja lapsilta mainokset on poistettu
Tarkasta per laite millaista sen vakioliikenne on. Opit nopeasti miten eri laitteet ottavat yhteyksiä erilaisiin pilvipalveluihin
Opettele sallimaan tai blokkaamaan kyselyt
Graafinen yleisilme on Pi-Holen vahvuus. Näet nopeasti yleistilanteen.
Voit myös tarkastella haluamiasi ajanjaksoja. Kannattaa tietenkin huolehtia ettei muistikortti täyty arkistoiduista lokitiedoista.
Querylistin kautta näet lähes reaaliajassa mitä dns-kyselyitä eri laitteet tekevät. Samalla voit sallia kyselyitä jos sivut eivät toimi. Flutterhole toimii Android-laitteilla ja antaa sinulle pääsyn samaan tietoon API:n ylitse.
Kohdatut ongelmatilanteet
Omatoimisen rakentelun väistämätön suola ja hupi on se, kun jotain hajoaa tai pääsee selvittämään monimutkaista ongelmaa (kun aikaa siihen ei olisi)
MITÄ TEHDÄ KUN EI VAAN SAA KYBERTURVASTA TARPEEKSEEN?
No yksi tapa ratkaista asia on koota samanhenkisiä ihmisiä yhteen ja tehdä yhdessä jotain mukavaa ja kiinnostavaa asiaan liittyen. Me Marcus Söderblom ja Jani Räty pistimme pystyyn Blue Team Builders kollektiivin (BTB), jossa keskitytään mm. erilaisten mielenkiintoisten tietoturvaprojektien rakenteluun.Tarkoituksena on koota samanmielisiä ihmisiä yhteen, joita myös kiinnostaa rakentaa IT-järjestelmiä ja jakaa ajatuksiaan omista rakenteluprojekteistaan muille. Freeware ja Open Source (FOSS) sekä tietoturva ovat BTB:n toiminnassa vahvasti läsnä. Tulemme järjestämään tapaamisia silloin tällöin, joiden tavoitteena esitellä yksi monista vaihtoehtoisista tavoista, miten jokin FOSS-ratkaisu voidaan kotiympäristöön toteuttaa. Liian vakavia stagella pönöttäviä asiantuntijoita emme aio olla, vaan kyseessä on ensisijaisesti harrastustoimintaa ja tapoja toteuttaa jokin rakenteluprojekti voi olla useita. Lisäksi kirjoittelemme satunnaisesti asiaan liittyviä artikkeleita BTB:n LinkedIn-sivuille.
Jos koet, että olet samanhenkinen “nikkaroija” ja olet jo ehkä rakentanutkin jonkin mielenkiintoisen FOSS-järjestelmän ja haluaisit tulla kertomaan muille kuinka sen teit, niin ota yhteyttä (info@blueteambuilders.fi).
Blue Team Builders on sopiva foorumi juuri sinulle! Toki mukaan saa tulla ihan vain kuuntelemaan ja jakamaan ajatuksia.
Kunhan koronapandemia tästä hiipuu, niin ensimmäinen tapaaminen tullaan järjestämään mahdollisimman pian. Tapaamisissa pyritään esittelemään 1-3 mielenkiintoista FOSS-projektia, toisinaan myös virvokkeiden kera, jos mahdollinen sponsorointi sen vaan sallii.
Nähdään kyberturvallisen IT-nikkaroinnin merkeissä! Jaetaan tietoa ja opitaan yhdessä lisää. 🙂
Tietojärjestelmien validaatio on vaatimuksena esim lääketuotannossa, lääkinnällisten laitteiden softien suhteen tai vaikkapa lääketuotannon laatujärjestelmien suhteen.
Validaation pointtina on turvata prosessin lopputulos, yhdistäen ihmiset, teknologian ja prosessin. Eli kyseessä on lääke- ja potilasturvallisuuden varmistaminen.
Miten?
Validaatiossa suoritetaan ennaltamäärätyn suunnitelman mukaisesti dokumentoitu testaus ennaltamääritettyjen vaatimusten täyttymiksi.
Tämä tarkoittaa ajatuksellisena esimerkkinä seuraavaa:
Firman on tarkoitus kuljettaa ruokaa asiakkaille. Kuinka validointi sujuisi?
Photo by James Day on Unsplash
URS (User Requirements Specifications):
Määritetään että yhteen kuljetukseen pitää mahtua 200 ruoka-annosta.
Lämpötilan pitää pysyä kuljetuksen aikana 10-15 asteen välillä.
Suomen lainsäädännön vaatimusten pitää täyttyä liikenteen ja hygienian suhteen
FS (Functional Specifications):
Autona toimii Fiat 600S pakettiauto
Tarvitaan yksi kuljettaja-lastaaja, jolla hygieniapassi ja B-luokan ajokortti
Jäähdytyksen hoitaa Lumikko 300X malli
Riskit:
Ruuhkat -> PQ testaus
Onnettomuudet ja tekniikan pettäminen -> IQ, OQ ja PQ testaus
Kylmäketjun katkeaminen ->IQ, OQ ja PQ testaus
VP (Validation plan)
Kelpuutetaan autoneuvo (IQ)
Validoidaan jäähdytys kuljetuksessa (OQ)
Validoidaan kuljettaja-lastaajan toiminta 200 annoksella ruuhkassa (PQ)
IQ (Installation Qualification)
Auto ajetaan katsastukseen ja tarkastetaan että tieliikennelainsäädännön velvoitteet täyttyvät
Kylmälaite testataan ja hyväksytään käyttöön
Tarkastetaan että kuljettaja-lastaajalla on B-luokan ajokortti ja voimassaoleva hygieniapassi
OQ (Operational Qualification)
Käynnistetään auto parkkipaikalla ja seurataan että esijäähdytetty kuorma pysyy 8h ajan 10-15 asteen välillä
Tarkastetaan että kuljettaja osaa ajaa autoa parkkipaikalla
Tarkastetaan että kuljettaja osaa lastata ja purkaa ruoat ohjeen mukaisesti
Tarkastetaan että jäähdytyksen vika-ilmoitukset toimivat ja että kuljettaja osaa reagoida niihin
PQ (Performance Qualification)
Kuljettaja toimittaa klo 16-18 Helsingin keskustassa 200 ruoka-annosta eri puolille
Seurataan satunnaisen 20 annoksen lämpötilaa koko kuljetuksen ja toimituksen ajan
VR (Validation report)
Tarkastetaan että kaikki vaatimukset on testattu (RTM, Requirements Tracing Matrix)
Todetaan täyttyivätkö vaatimukset ennaltamääritettyjen kriteerien suhteen
Hyväksytään tuotantokäyttö
Velvoitetaan muutoshallinta (auton vaihto, kuljettajan vaihtuminen, erilaiset ruokatyypit)
Validointi vaatii yhteispeliä IT:n, liiketoiminnan edustajien ja QA-yksikön välillä. Lisäksi validointi vaatii erikoisosaamista mahdollisimman sujuvan suunnitelman ja testaamisen aikaansaamiseksi. Vaikka järjestelmätoimittajilla voi olla iso rooli validaatiossa, ei validaatio ole toimittajien vastuulla.
Haluatko kuulla lisää tai tarvitsetko apua validoinnissa? Ota rohkeasti yhteyttä: info@caliban.fi
