Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
MITÄ OPETTAJAN PITÄISI TIETÄÄ
KYBERTURVALLISUUDESTA JA OPETTAA?ESITYSMATERIAALI JA KAIKKEA MUUTA KIVAA LADATTAVISSA WWW.EDU360.FI -
JARMO NEVALA, JYVÄSKYLÄN AMMATTIOPISTO
JOUNI AHO, JYVÄSKYLÄN AIKUISOPISTO
1
KEITÄ ME OLEMME?
Jarmo Nevala
Jyväskylän Ammattiopisto
Tieto- ja tietoliikennetekniikan pt.
@jataneva, [email protected]
YAMK, Cyber Security
Jouni Aho
Jyväskylän Aikuisopisto
Tietotekniikan kouluttaja
Hiirenkäytöstä ohjelmoinnin
perusteisiin
2
TEEMASEMINAARI RUNKO
Opettajien kyberturvallisuus kyselyn tulokset
Tapahtumakuulumiset
Black Hat 2016 ja DefCon24 konferenssit, USA
Missä mennään kyberturvallisuuden suhteen
Mitä kyberturvallisuudesta pitäisi opettaa
3
TOISEN ASTEEN KYBER
Hanke: Toisen asteen kyber
Rahoittaja: Keski-Suomen Liitto
Toteutus 2016
Tutkimukset
Keskisuomalaisten yritysten kyberturvallisuus (n=201, vastausaktiivisuus 9%)
Opetuspuolen kyberturvallisuus (n=254, vastausaktiivisuus 27%)
Molemmat tutkimukset ladattavissa www.edu360.fi
5
KUINKA TÄRKEÄNÄ OSA-ALUEENA NÄET TIETOTURVAN
OPETUKSESSA? N=250
Lähde: https://www.jao.fi/fi/Jyvaskylan-koulutuskuntayhtyma/Kehittaminen/Paattyneet-hankkeet/2016-paattyneet-hankkeet/Toisen-asteen-kyber 6
MITÄ SEURAAVIA TIETOTURVAUHKIA OLET HENKILÖKOHTAISESTI
KOHDANNUT TYÖSSÄ TAI VAPAA-AJALLA? N=250
Lähde: https://www.jao.fi/fi/Jyvaskylan-koulutuskuntayhtyma/Kehittaminen/Paattyneet-hankkeet/2016-paattyneet-hankkeet/Toisen-asteen-kyber 7
KONFERENSSIEN TAUSTAA
Black Hat
19. järjestämisvuosi (Amerikka, Eurooppa, Aasia)
Seminaarit (noin 6400hlö 28 eri maasta)
Messut (noin 256 näytteilleasettajaa 8 eri maasta)
DefCon
24 järjestämiskerta
Osallistujamäärä yli 20 000 hlö
9
Kuva: Black Hat events, Flickr, https://www.flickr.com/photos/blackhatevents/28716990126/in/album-72157672262040805/ 10
POIMINTOJA, BLACK HAT
Keynote, Dan Kaminsky
Voimmeko luottaa pilveen?
Koulutuksen vastuu?
Datan kryptaaminen
Nykypäivän ongelma on älypuhelin ja siihen asennettavat ohjelmat.
Tarkistatko käyttöoikeudet? Automaattiset päivitykset käytössä?
Linkkihuijauksia on monenlaisia.
Esimerkiksi uutiskirje, joka on pitänyt sisällään linkin "Unsubscribe newsletter / Peru tämä uutiskirje".
Klikkaamalla sitä, selain ohjautuu haitalliselle sivulle
11
Lähde: So you want to be a hacker? Advice from the kids of DEF CON, https://youtu.be/wgOQYwWMhgI 15
YHTEENVETO DEFCON
Uskomaton yhteisö, joilla samat mielenkiinnon kohteet!
Pelottavinta on se mihin kaikkeen tuo porukka pystyy. Eihän yksilö voi yksistään mitään, mutta entä massa/ryhmä?
"minä osaan tämän ja sinä tuon, pystyttäisiinkö me yhdessä tekemään tämä".
16
POHDITTAVAA NÄIN ALUKSI
Luetko työpaikan tietokoneella henkilökohtaista sähköpostiasi?
Tarkistatko työpaikan sähköpostin omalla laitteella? (BYOD)
Miten teidän työpaikalla on opastettu tietoturvaan?
Mitä kaikkea teidän tunnuksillanne voidaan tehdä (Työ vs. Henkilökohtainen)
Milloin viimeksi vaihdoit salasanasi? Onko puhelimesi PIN-koodi 0000?
Perinteinen google haku
”how hack windows 10” – 2 660 000 hakuosumaa
”creating hacking tools” – 774 000 hakuosumaa
18
NYKYPÄIVÄN ONGELMAT,
MIHIN VOIMME LUOTTAA?
Gmail
Video- ja kuvamanipulaatiot
https://www.facebook.com/ylejoensuu/
videos/10154457282322449/
Valesähköpostin lähettäminen
24
NYKYPÄIVÄN ONGELMAT,
ILMAINEN OHJELMA/PALVELU
Jos tuote on ilmainen,
sinä olet se tuote
Mihin sovellukseen
voit luottaa
Mitä tietoa ne keräävät
Mainosverkot
25
APPLE ID, SALASANAN NOLLAUS
Salasanan palauttaminen
Palautuskysymykset useimmiten kyseenalaisia
Kuinka moni osaisi vastata näihin kysymyksiin?
Voisiko joku kerätä näitä vastauksia
tekemällä ”Tutkimusta”
32
SAFARI SELAIN BUGI
Safari mobiiliselaimen
bugi
Ponnahdusikkuna, joka
vaatii maksamaan sakot
ennen kuin ”lukitus”
avataan
Korjaus: selaimen
välimuistin tyhjennys
33
KIRISTYSHAITTAOHJELMAT
Riski on todella suuri
Datan menetys
Esimerkki: Citadel
Haittaohjelma luotu 2011
Tekijä jäi kiinni 2015-2016
Saastutettiin 11 miljoonaa tietokonetta eri puolilla maailmaa
Vahinkojen arvio yli 500 miljoonaa dollaria
Troijalaista on käytetty muun muassa uhrien pankkitietojen varastamiseen ja tiedostojen lukitsemiseen kiristystarkoituksessa
Lähde: http://www.bbc.com/news/technology-39364968 & https://safeandsavvy.f-secure.com/2017/02/21/why-ransomware-is-so-good-at-ripping-you-off/ 34
MITEN SEURATA / TESTATA ONKO OMA TUNNUS VUOTANUT
https://haveibeenpwned.com
Troy Hunt
35
KELTAINEN HUOMIOLIIVI TAI ORANSSI TAKKI
Kuin näkymättömyysviitta!!!
Kun se on päällä, työntekijät luulevat helposti, että
henkilö voi kulkea missä tahansa ja ystävällisesti
päästävät tämän jopa etenemään
38
VERKKORIKOLLISEN BISNESLOGIIKKA
Hakkeri löytää ohjelmasta
haavoittuvuuden
Hakkeri aloittaa verkon skannaamisen mistä
löytyy kyseisiä laitteita
Hakkeri koostaa listan kohteista,
haavoittuvuudesta ja mitä sillä pystyy
tekemään
Hakkeri myy listan eteenpäin DarkWebin
puolella
Ostaja käyttää työkalua omiin tarkoituksiinsa
39
VERKKOON KYTKETTY LAITE ON LÖYDETTÄVISSÄ
Shodan.iohttps://www.shodan.io/
Riddler.iohttps://riddler.io/
Censys.iohttps://censys.io/
Zoomeye.orghttps://www.zoomeye.org
…
40
MITÄ PITÄISI OPETTAA
Salasanat ja niiden turvallisuus
Riittävän monimutkaiset salasanat (http://www.passwordmeter.com/)
Ei samaa salasanaa joka paikkaan (jonkinlainen muistisääntö)
Turvallinen internetselaimen käyttö
Tallentuvat käyttäjätunnukset ja salasanat
Yksityinen selaus toiminto
42
MITÄ PITÄISI OPETTAA
Sosiaaliseen mediaan liittyvät tietoturvariskit
http://www.verkonvaarat.fi/
Huijakset, omat tilapäivitykset!
Sosiaalinen huijaus
"toimitusjohtajahuijaukset"
Sähköposti, puhelut, keskustelupalstat jne.
43
MITÄ PITÄISI OPETTAA
Identiteettivarkaudelta suojautuminen
Mistä identiteetti voidaan varastaa
Paperinkeräys, huolimaton henkilötietojen säilytys jne.
Lähde: http://www.iltalehti.fi/uutiset/2016061421723382_uu.shtml
KSML, 28.3.2017
Iltalehti, 14.6.2016
44
MITÄ PITÄISI OPETTAA
Medialukutaito
Älä klikkaa jokaista linkkiä
Älä avaa tuntemattomien lähettäjien liitetiedostoja
Vaikka järjestelmän suojaukset olisivat kuinka hyviä,
käyttäjä on aina se heikoin lenkki!
45
PERUSJUTTUJA OPETUKSEEN 1/2
Salasanan turvallisuuden testaaminen
Tehtävässä opetellaan tietoturvallisen eli vahvan salasanan luomista.
Salasanan pituus, käytetyt merkit ja pienet sekä suuret kirjaimet vaikuttavat salasanan vahvuuteen.
Keksi salasanoja ja kokeile, kuinka tietoturvallisia ne ovat.
Älä syötä palveluun niitä salasanoja, joita oikeasti käytät.
Mitkä seikat vaikuttavat sinun mielestäsi salasanan vahvuuteen?
Etsi seuraavilla hakusanoilla palveluja “The Password Meter” ja “How Secure Is My Password”
Kokeile alla olevia salasanoja:
Esimerkki 1: “ruusu”
Esimerkki 2: “Ruusu_2015”
Esimerkki 3: “RuusuKukkiiTurunPuutarhassani2015”46
PERUSJUTTUJA OPETUKSEEN 2/2
Tietoturvauhat
Tehtävänäsi on etsiä tietoa siitä, mitkä ovat viimeisimmät tietoturvauhat.
Mene Viestintäviraston sivulle ja etsi kohta Kyberturvallisuus.
Avaa tekstitiedosto (esim. Word) ja kirjoita ylös kolme viimeisintä tietoturvauhkaa.
Vastaa kysymyksiin:
Minkälaisia käyttäjiä ilmoitus koskee?
Miten turvaat oman tietoturvasi?
Mikä on ilmoituksen keskeisin asia?
47
MATERIAALIA
DNA, Hyvä, paha digitalisaatio, http://uusityo.dna.fi/
Jakso 1. Näkymätön uhka Jakso 2. Verkkorikollisuuden monet kasvot
Jakso 3. Internetin uusi aika Jakso 4. IoT pelastaa maailman
Jakso 5. Työn tulevaisuus (Tulossa 18.4) Jakso 6. Robottien vallankumous (Tulossa 9.5)
Yle – Oppiminen
Media ja digitaidot -osio antaa eväitä nykyajan tietotulvassa navigoimiseen. Tuemme mm.
medialukutaitoa, lähdekriittisyyttä, teknologiaymmärrystä, monilukutaitoa ja vuorovaikutustaitoja.
http://yle.fi/aihe/oppiminen/
http://yle.fi/aihe/artikkeli/2017/03/08/digitreenit-22-osaatko-ostaa-verkosta-turvallisesti-testaa-tietosi
http://yle.fi/aihe/artikkeli/2017/01/26/valheenpaljastaja-mita-valeuutiset-ovat-ja-mita-ne-eivat-ole
48
MATERIAALIA
Helsingin kauppakamari
Yrityksiin kohdistuvat kyberuhat 2016
https://issuu.com/kauppakamari/docs/yrityksiin_kohdistuvat_kyberuhat_20
Valtioneuvoston selvitys- ja tutkimustoiminta
Kyberosaaminen Suomessa – Nykytila ja tiekartta tulevaisuuteen
http://tietokayttoon.fi/julkaisu?pubid=17805
Viestintävirasto
Tietoturvan vuosi 2016
https://www.viestintavirasto.fi/tilastotjatutkimukset/katsauksetjaartikkelit/2017/tietoturvanvuosi2016.html
49