Freedome oleelliset tietoturvahyödyt

daa1daa1 Viestejä: 2

Moi. Freedomen tarjoamat keskeiset tietoturvaominaisuudet ovat käsittääkseni kaiken wifi-liikenteen salaus (en ole varma tarkoittaako puhelinkäytössä myös 3G tai 4G). Aloitan nyt keskustelua siitä, koska muut Freedomen ominaisuudet lienevät vähemmän oleellisia tietoturvan kannalta.

 

Käsittääkseni isoin riski kuluttajan langattomassa viestinnässä ovat avoimet langattomat verkot, koska silloin kuluttajan henkilökohtainen tietoturva on hyvin suurella todennäköisyydellä vaarassa tilanteissa jossa verkkoselain tai jokin muu applikaatio ei eksplisiittisesti kerro salaavansa yhteyttä. Mitä jos kuluttaja vain tiedostaa tämän ja ei käytä avoimia verkkoja? Mitä mieltä muut ovat siitä, onko avointen wifi-verkkojen käyttö pakollista joskus 3G tai 4G-yhteyden sijasta? Mitä jos käyttäjä on tietoinen 3/4G alueiden kuuluvuudesta?

 

Tässä vaiheessa käyttäjä olisi valmis hankkimaan Freedomen tietoturvamielessä kahden asian takia, eli vaivattomuus valita tarjolla olevien verkkojen väliltä ("ihan sama käytänkö avointa wifiä vai mobiiliyhteyttä, Freedome kuitenkin salaa aina yhteyden") ja toisaalta vaivattomuus olla seuraamatta selaimen osoiteriviä tai applikaation tiedoksiantoja tietoliikenteen salauksesta ainakin kun kuluttaja käyttää avointa wifi-verkkoa. Minä mielestäni pystyn välttämään avointen wifi-verkkojen käytön, joten maksaisin Freedomesta noiden kahden asian perusteella 0,20-0,30 eur/kk (tietoturvamielessä). Toki kaikki haluavat vaivattomuutta mutta on oleellista millä hinnalla tuote on valmis helpottamaan asiakkaiden elämää.

 

Toinen oleellinen nostamani kysymys on, onko esimerkiksi 4G verkko suojassa sellaiselta vakoilulta joka on identtistä avointen wifi-verkkojen vakoilun kanssa? Eli käytännössä onko kenellä tahansa mahdollisuus syylistyä vaivattomasti 4G-verkon salaamattoman liikenteen vakoiluun vastaavasti kuin avoimissa ja salaamattomissa wifi-verkoissa? Mikäli vastaus on ei, niin tarkoittaako se että Freedomen hankkimiseen on edelleen ainoastaan kaksi aiemmin mainitsemaani oleellista syytä?

 

Vielä kolmas asia seurannanestosta, jonka Freedome tarjoaa. En tiedä kertooko F-Secure missään selväsanaisesti, miten Freedome oleellisesti estää seurannan, mutta esitän tässä oman tulkintani. Mielestäni ei ole kriittistä tietoturvan kannalta jos sivusto saa tietää milloin ja kuinka pitkän ajan yksittäinen laite on yhteydessä kyseessä olevaan sivustoon. En ole varma pystyykö Freedome estämään tuollaisen seurannan täysin, mutta en pidä sitä oleellisena tietoturvaominaisuutena joka tapauksessa. Lisäksi ei haittaa jos sivusto saa tiedon laitteen teknisistä ominaisuuksista (tästäkään en ole samalla tavalla varma, estääkö Freedome tämmöisen tiedon vuotamisen). Se mikä on superoleellista, on se muu tieto mitä sivusto saa käyttäjästä. En missään nimessä hyväksy että sivusto saa tiedon mitä Google-hakusanaa olen käyttänyt sivustolle mentäessä. On äärimmäisen helppoa tehdä henkilökohtaisia hakuja sen sijaan että Google-hakusana olisi esimerkiksi pelkästään F-Secure. Tässä on kuitenkin se näkökulma että sivusto ei saa välttämättä tietoa missä päin maailmaa minä sijaitsen, mikä ehkä eniten yksilöi käyttäjää. Tarkoitan nyt ihan gps-tason sijaintitietoja. Jos toteutuisi nuo kaksi asiaa, eli gps-tiedot ja käytetty hakusana, niin sivuston ylläpitäjä voisi helposti vakoilla vaikka fyysisen naapurinsa verkkokäyttäytymistä etenkin jos sivusto saisi evästeellä (tai vastaavilla tekniikoilla) tiedon useiden sivustojen käytetystä hakusanasta. Minun tieto on että jos käyttää Google-hakua salattuna, niin sivusto ei saa koskaan tietää käytettyä hakusanaa. Ironista on että ainakin Androidin Google-applikaatio ei kerro onko yhteys Googleen salattu vai ei. Toisaalta sitäkään ei käyttäjille hirveästi kerrota että sivusto saa tai ei saa tietoa käytetystä hakusanasta. Freedome siis voi lisätä tässä asiassa myös vaivattomuutta, mikäli se estää sivustoa saamasta tiedon käytetystä hakusanasta. Oleellista on kuitenkin käyttäjän yksilöiminen, joka tapahtuu nimen tai gps-tietojen perusteella. Monesti jos käyttäjästä tiedetään nimi ja maanosa, niin voidaan puhelinluettelosta selvittää hänen asuinpaikka. Se on aika ironista että moni syöttää Google-hakuun oman nimensä. Sillä ei tietenkään ole niin väliä, mikäli sivusto ei saa tietoa käytetystä hakusanasta. Toisaalta on eri sosiaalisen median profiilit joita käytetään yleensä omalla nimellä. Saako sivusto tiedon käyttäjän oikeasta nimestä jotenkin sosiaalisen median evästeiden kautta? Kaikkein oleellisinta käyttäjän verkkoseurannan tietoturvallisuudessa on kaksi asiaa: mitä hakusanoja hän käyttää ja miten hänet tunnistetaan. Väittäisin että pelkästään vierailtujen sivujen historia ei ole iso tietoturvariski, mikäli evästeverkko ei ole laaja. Tuohon täytyy yhdistää vielä käyttäjän tunnistaminen, jotta se olisi tietoturvariski. Viime kädessä käyttäjästä pitäisi tietää oikea nimi ja gps-tiedot, jotta riskit olisivat todelliset. Tässäkin palataan taas tuohon vaivattomuuten, jonka Freedome mahdollisesti voi tarjota, eli Freedome (ehkä) pitää huolen ettei sivusto saa tietää käyttäjän fyysistä sijaintia, oikeaa nimeä, ja sitä missä sivuilla hän käynyt tai mitä hakusanoja käyttänyt.

 

Vielä varsinainen keskustelua herättävä kysymys, eli onko erillisten tietoturvatuotteiden markkinointi oikea tapa kertoa käyttäjille verkkokäyttäytymisensä tietoturvasta, vai pitäisikö se tapahtua esimerkiksi laitevalmistajan ohjekirjassa tai jokaisessa palvelussa erikseen eksplisiittisillä ilmoituksilla? Minä en ainakaan ole saanut ilmoitusta että sivusto ei saa gps-tietoja, ei nimeäni ja ei käyttämiäni hakusanoja. Tämä pitäisi kertoa jossain vaiheessa käyttäjille, esimerkiksi ilmauksella "sivustot eivät saa tietoa käyttäjän sosiaalisen median tunnuksista tai gps-tiedoista" ilman käyttäjän erillistä lupaa. Tuokaan ei vielä oikeastaan riitä, koska oleellista on myös tietojen kulkeutuminen muille osapuolille. Sivustot kertovat yleensä evästeiden käytöstä, mutta käyttäjä häviää pelin heti kun hän vierailee sivulla.

Viestejä yhteensä

Tämä keskustelu on suljettu.