Videopuhelut ja kokoukset verkossa: Kuinka suojautua hakkereilta

Koronaviruspandemia on siirtänyt monenlaisia kanssakäymisiä verkkoon. Yhteydenpitomme nojaa yhä enemmän Internetiin, ja trendi näyttää jatkuvan: lasten etäkoulu, lisääntynyt etätyöskentely ja yhteydenpito sukulaisiin ja ystäviin. 

Videokokoukset ovat olleet tässä keskeisessä roolissa. Huhtikuussa 2020 Zoom ilmoitti, että sillä on 300 miljoonaa päivittäistä kokoustajaa. Tämä on kolmikymmenkertainen määrä verrattuna joulukuun 2019 kymmeneen miljoonaan käyttäjään. Pandemia on viime kuukausina tehnyt Zoomista yhden ladatuimmista sovelluksista. Opiskelijat, opettajat, perheenjäsenet sekä kaikenkokoiset yritykset ja yhteisöt toimivat videokokousten kautta. Niin tekevät myös tunnetut käyttäjät, kuten Yhdysvaltojen keskuspankin entinen puheenjohtaja Alan Greenspan ja Ison-Britannian pääministeri Boris Johnson. Mutta kuinka turvallisia videokeskustelupalvelut oikein ovat ja miten voit suojata itsesi?

Tässä artikkelissa kerromme tärkeimmistä videokokousturvallisuuteen liittyvistä asioista ja siitä, kuinka voit turvata videopuhelusi.

Kuinka turvallisia verkossa käytävät videopuhelut ja -kokoukset ovat?

Yhdysvaltojen viranomaisten mukaan etätyöskentelytrendissä on kysymys kansallisesta turvallisuudesta hakkeroinnin mahdollisuuden vuoksi. NSA eli Yhdysvaltojen kansallinen turvallisuusvirasto julkaisi hiljattain arvion kolmestatoista suosituimmasta videopuhelutyökalusta.

Muun muassa nämä toimivat arvioinnin kriteereinä:

• Käyttääkö palvelu päästä päähän -salausta, joka rajoittaa ulkopuolisten kykyä vakoilla tai salakuunnella keskustelua?
• Käyttääkö se monivaiheista tunnistautumista, joka lukitsee käyttäjätilit turvallisesti?
• Perustuuko teknologia julkisesti tarkasteltavaan avoimeen lähdekoodiin, jota pidetään turvallisempana kuin salaisia yksityisomistuksessa olevia ohjelmistoja?

• Jakaako työkalu tietoja kolmansille osapuolille tai yhteistyökumppaneille?
• Voivatko käyttäjät tarvittaessa poistaa tietoja palvelusta ja sen repositorioista (sekä asiakkaan että palvelimen puolelta)?

Koko raportin voi lukea täältä, mutta yhteenvetona NSA katsoo, että jokaisessa videopuhelupalvelussa on ainakin yksi tietoturvaheikkous. Esimerkki:

• Google G Suite- ja Microsoft Teams -ohjelmilla ei ole päästä päähän -salausta, eivätkä ne käytä avointa lähdekoodia.
• Cisco WebEx-, Zoom-, Slack- ja Skype for Business -ohjelmien tietojenpoistokäytännöt ovat heikompia kuin niiden tulisi olla.
• GoToMeeting-ohjelmassa ei ole mahdollisuutta monivaiheiseen tunnistautumiseen.

NSA antoi parhaat pisteet Facebookin WhatsAppille, Signalille (jonka koodia WhatsApp käyttää) ja Wickr-keskustelusovellukselle. Vaikka NSA:n raportti ei ole tyhjentävä, se on hyödyllinen katsaus videokokousturvallisuuden pääongelmiin ja korostaa, että yksikään tällä hetkellä tarjolla oleva tuote ei täytä kaikkia turvallisuusvaatimuksia.

Yleisiä videopuheluiden turvallisuuteen liittyviä kysymyksiä

Yleisiä videopuheluiden turvallisuuteen liittyviä kysymyksiä ovat esimerkiksi nämä:

Onko käytössä päästä päähän -salausta?

Tämä tarkoittaa tietojen salausta, joka suojaa yhteyden niin, että sen voivat nähdä vain mukana olevat käyttäjät eikä kukaan muu, ei edes sovellus itse. Saat lisätietoja tietojen suojauksesta ja sen toiminnasta artikkelista "Mitä on tietojen salaus?".

Voiko kolmas osapuoli kaapata ja nauhoittaa videopuheluita?

Voivatko ulkopuoliset vakoilla puhelua ja mahdollisesti nauhoittaa sen? Kuka voi liittyä puheluihisi ja kuinka he voivat osallistua? Nyt kun koulujen etätunneilla siirrytään käyttämään Zoomia, yksityisyyden loukkaaminen herättää huolta myös lasten turvallisuudesta. Zoom-kokouksiin voi osallistua lyhyen numeroita sisältävän URL-osoitteen kautta, ja hakkerit voivat helposti luoda ja arvata osoitteen.

Miten tilisi tietoja käytetään?

 Missä määrin yksityisyyssäädöksiä, kuten EU:n yleistä tietosuoja-asetusta tai Kalifornian kuluttajansuojalakia, noudatetaan? Kuinka läpinäkyvästi sovellukset kertovat käyttäjille, miten tietoja kerätään ja millä kolmansilla osapuolilla on pääsy tietoihin?

Minne videosovellukseen liittyvät tiedot tallennetaan tietokoneellasi tai puhelimellasi?

Tämä on erityisen tärkeää, jos käsittelet arkaluonteisia tietoja ja asiakirjoja.

Esimerkki:

• Skypessä vastaanottamasi valokuvat tallennetaan laitteellesi, ellet muuta asetuksia. (Säädä valintaa menemällä asetusten Viestit-kohtaan Android- tai iOS-käyttöjärjestelmissä.)
• Jos lataat Zoomissa videopuhelun aikana luodun keskusteluhistorian, historiaan sisältyy myös kaikki yksityiset kahdenkeskiset keskustelut osallistujien välillä. Se saattaa olla ongelmallista työpuheluissa, joissa olet saattanut käydä yksityisen keskustelun, jota et halua muiden näkevän.

Onko sovelluksessa sisäisiä tarkkailukeinoja?

Esimerkiksi Zoom on saanut kritiikkiä sen huomionseurantaominaisuudesta, jonka avulla puhelun isännöijä näkee, jos käyttäjä siirtyy pois Zoom-ikkunasta yli 30 sekunniksi. Ominaisuuden avulla työnantajat voivat pitää silmällä sitä, seuraavatko työntekijät todella työtapaamista tai katsovatko oppilaat todella luokkaopetusta etänä.

Onko mahdollista ladata tietämättään haittaohjelmia, jotka johtavat hakkerointiin?

Voivatko käyttäjät esimerkiksi ladata tietämättään sovelluksia, jotka saavat käyttöoikeuden kameraan ja mikrofoniin? Sovellus/haittaohjelma saattaa luovuttaa henkilötietoja hakkerille, joka vuotaa ne sitten eteenpäin.

Erityisesti Zoomissa on ilmoitettu olevan useita tietoturva-aukkoja. Esimerkiksi vuonna 2019 paljastui, että Zoom oli asentanut käyttäjien laitteille salaisen verkkopalvelimen , jonka avulla käyttäjä voitiin lisätä puheluun ilman suostumusta. Toisen bugin avulla hakkerit pystyivät ottamaan hallintaansa Zoom-käyttäjän Mac-tietokoneen ja käyttämään verkkokameraa ja mikrofonia. Zoom reagoi tähän puuttumalla ahkerasti turvallisuusnäkökohtiin ja tarjoamalla säännöllisiä päivityksiä yritysblogissaan.

Esimerkkejä verkkovideoiden hakkeroimisesta

Yksi viime aikojen tunnetuimmista videokaappausesimerkeistä on "Zoom-pommitukset". Niissä hakkerit liittyvät keskusteluihin ja huutelevat rasistisia kommentteja tai väkivaltaisia uhkauksia. Vaikka termi "Zoom-pommitukset" on peräisin Zoom-sovelluksesta, samankaltaisia tapauksia on ollut myös muilla videokokousalustoilla, kuten WebExissä ja Skypessä. FBI ilmoitti 30.3.2020, että viraston tutkimien videokaappaustapausten määrä on kasvanut.

Redditin tai Discordin kaltaisilla keskustelualustoilla on järjestetty Zoom-istuntojen häiritsemisyrityksiä. Twitterissä monilla tileillä on mainostettu salasanoja videokokouksiin, joihin pystyi helposti liittymään ilman lupaa. Joissain oppilaitoksissa oppilaat ovat tukeneet videokaappausta etäoppituntien häiritsemiseksi.

Hakkerit jakavat TikTokin ja YouTuben kaltaisilla videonjakoalustoilla videoita häirityistä Zoom-istunnoista, joissa kutsumattomat käyttäjät kaappaavat istunnon huutelemalla räävittömiä, rasistisia tai antisemitistisiä kommentteja, jolloin isännöijä joutuu lopettamaan istunnon. 

Aiemmin pelkästään termin "Zoom.us" sisältäville URL-osoitteille tehdyllä Google-haulla löytyi kokouksia ilman salasanaa, jolloin hakkerien oli helppoa liittyä mukaan kutsumatta.

Vaikka kaapatut kokoukset ovat osallistujille häiritseviä, huolestuttavampi uhka ovat tunkeilijat, jotka lymyävät kokousten taustalla ilmoittamatta olemassaolostaan ja ovat vakava turvallisuusriski yrityksille ja ihmisten yksityisyydelle.

Forbes on hiljattain ilmoittanut hakkerista, joka myi yli 500 000 kappaletta Zoom-pääsytietoja, joihin kuului yksityisten kokousten URL-osoitteita ja Zoom-isännöintiavaimia. On mahdollista, että suuri osa näistä tiedoista oli uudelleenkäytettyjä salasanoja, jotka hakkerit saivat muualta.

Zoom vastasi seuraavasti:

 "Olemme jo värvänneet useita tietoyrityksiä etsimään nämä salasanavuodot ja niiden luontiin käytetyt työkalut sekä palkanneet yrityksen, joka on sulkenut tuhansia verkkosivustoja, jotka yrittävät huijata käyttäjät lataamaan haittaohjelmia tai luovuttamaan kirjautumistietonsa. Jatkamme tutkimuksia, lukitsemme murretuiksi havaitsemiamme tilejä, pyydämme käyttäjiä vaihtamaan salasanansa turvallisempiin ja tutkimme teknisiä lisätoimenpiteitä pyrkimystemme tueksi".

Kuinka suojaat Zoom-puhelusi

Vaikka Skype on laajalti tunnettu ja ollut käytössä jo pidemmän aikaa ja ihmiset ovat tottuneet käyttämään FaceTimea soittaakseen videopuheluja ystävilleen, koronaviruskriisin alettua Zoom on noussut suosituimmaksi videokokoussovellukseksi.

Käyttäjäkunnan nopea laajeneminen on herättänyt kritiikkiä siitä, ettei Zoom ole ottanut käyttäjien huolta videokokousten turvallisuudesta riittävän vakavasti. Zoomin päästä päähän -salauksen puute on aiheuttanut huolta käyttäjissä, jotka luulivat Zoomin sisältävän kyseisen ominaisuuden. Zoom on julkaissut ohjeita kokousten lukitsemiseen blogikirjoituksessaan ja videolla, mutta vastuu suojauksesta on silti käyttäjillä itsellään.

7 vinkkiä Zoom-puheluiden suojaamiseen

1. Lukitse kokoushuone salasanalla ja pakollisella tunnistautumisella. Tällöin vain haluamasi ihmiset pääsevät mukaan puheluun. Poista ei-toivotut tai häiritsevät osallistujat.
2. Lukitse näytönjako. Tällöin vain haluamasi ihmiset voivat jakaa näyttönsä.
3. Ole varovainen, kun klikkaat sinulle lähetettyjä linkkejä ja avaat tiedostoja. Varmista jonkin toisen kanavan kautta, että lähettäjä todella lähetti linkin tai tiedoston sinulle.
4. Ole varovainen taustanäkymäsi kanssa. Siirrä esimerkiksi henkilökohtaiset tavarat tai valokuvat lapsistasi pois ruudusta, jos et halua niiden näkyvän. Zoom tarjoaa myös mahdollisuuden muuttaa taustaa. (Muissa kokoussovelluksissa, kuten esimerkiksi Skypessä, on mahdollista sumentaa taustanäkymä.)
5. Katso, mitä ruudullasi näkyy, ennen kuin käytät ruudunjako-ominaisuutta. Tarkista esimerkiksi, näkyvätkö muut avoimet välilehdet, yksityiset keskusteluikkunat tai tiedostot, joista saattaa näkyä arkaluonteisia pankki- tai henkilötietoja. Varo näyttämästä epähuomiossa osoitteesi sisältävää postia tai lähikuvia henkilöllisyystodistuksestasi, luottokortistasi tai mistään sellaisesta, mitä et halua ulkopuolisten näkevän.
6. Tarkista asetuksesi. Kaikki turvallisuusasetukset eivät ole automaattisesti käytössä. Zoomilla on erilliset asetukset työpöytä- ja mobiiliversiolle, ja työpöytäversion asetukset ovat yksityiskohtaisemmat ja paremmin hallittavissa kuin puhelinversion. Esimerkiksi isännöijillä on enemmän hallintatyökaluja ja käyttäjät voivat hallita estettyjä tilejä vain työpöytäversiossa. 
7. Pidä silmällä uutisia sovelluspäivityksistä. Kun pysyttelet ajan tasalla, saat paremman käsityksen saatavilla olevista yksityisyys- ja turvaominaisuuksista.

Kuinka suojaat videopuhelusi hakkereilta

Videopuheluiden suojaustavat vaihtelevat alustan mukaan, joten on tärkeää tutustua valitsemasi alustan yksityiskohtiin. Siitä huolimatta pääperiaatteet ovat usein samat kaikissa videopuhelusovelluksissa.

Tässä muutamia vinkkejä turvallisiin videopuheluihin:

Varo, mitä paljastat verkossa

Varo, mitä sanot ja teet videopuheluissa. Varo, mitä paljastat, koska ulkopuoliset saattavat saada käsiinsä nauhoitteen puhelusta tai osallistua siihen ilmoittamatta. Älä kerro henkilökohtaisia tietoja itsestäsi, ellei se ole aivan välttämätöntä.

Katso, kenelle jaat kutsulinkin

Älä julkaise sitä sosiaalisessa mediassa, joukkosähköposteissa, verkkoprofiileissa tai missään sellaisessa paikassa, missä muut voivat sen nähdä. Kutsu osallistujat kokousohjelmiston kautta ja pyydä heitä olemaan jakamatta linkkejä.

Aseta hälytykset kokousten eteenpäinvälitykselle

Ota käyttöön hälytykset, jotka kertovat, kun kokouskutsu välitetään eteenpäin muille sähköpostin kautta. Näin voit tarkistaa, että lisätyt osallistujat ovat aitoja. Kyseenalaista välitys, jos näin ei ole. Sovi tarvittaessa uusi tapaaminen uusilla kirjautumistiedoilla.

Valitse vahva salasana

Useimmissa videopuhelusovelluksissa on mahdollisuus suojata puhelu salasanalla. Valitse vahva salasana, joka ei ole helposti arvattavissa. Käytä vahvoja ja eri salasanoja eri sovelluksille ja palveluille.

Valitse päästä päähän -salaus videokokoustyökaluissa

Niin varmistat, ettei kukaan muu pääse käsiksi yhteydenpitoon. Esimerkkejä johtavista päästä päähän -salauksella varustetuista videosovelluksista:

• Google Duo
• Applen FaceTime
• Ciscon WebEx
• GoToMeeting
• WhatsApp
• Signal

Pidä ohjelmistosi ajan tasalla

Päivitä sovelluksia säännöllisesti. Kun tietoturva-aukkoja ja yksityisyydensuojan heikkouksia esiintyy, ne löytyvät usein sovellusten vanhentuneista versioista. Päivitykset sisältävät usein bugikorjauksia ja tietoturvapäivityksiä, jotka korjaavat ongelmia ja heikkouksia. Videokokoussovelluksesi päivittäminen on yksi parhaita keinoja suojautua hakkereilta, sillä yritykset julkaisevat tietoturva-aukkoja korjaavat muutostiedostot päivitysten kautta. Tätä turvatoimea sinun kannattaa käyttää kaikkialla, ei pelkästään videopuhelu- ja -kokoussovelluksissa. Kaikilla yleisimmillä alustoilla sovellusten ja laitteiden pitäminen ajan tasalla on hyvin suoraviivaista. Useimmiten sinun ei tarvitse tehdä mitään muuta kuin vahvistaa päivitykset. Tarkista, että kokouksen osallistujat käyttävät uusinta sovellusversiota.

Lukitse kokous, kun kaikki osallistujat ovat liittyneet mukaan

Jos osallistuja kuitenkin lähtee kokouksesta, muista avata kokous uudelleen, jotta hän pääsee takaisin. Lukitse kokous sitten uudelleen.

Käytä videokokousohjelmistojen odotushuonetoimintoja

Nämä toiminnot päästävät osallistujat erilliseen virtuaalihuoneeseen ennen kokousta, ja isännöijä voi päästää kokoushuoneeseen vain sinne tarkoitetut henkilöt. Kokouksen puheenjohtajan tai isännöijän tulisi valvoa, keitä kokoukseen päästetään. Pyydä jokaista osallistujaa puhumaan ennen puhelun alkua, jotta tuntemattomat osallistujat voidaan tunnistaa.

Tunne säännöt

Oli video-ohjelmisto mikä hyvänsä, siihen kannattaa syventyä perusteellisesti ennen käyttöä. Tutustu siis ohjelmistoon kunnolla. Käy ajan kanssa läpi kaikkia asetukset, tarkista käyttäjäprofiilisi ja muu käytössäsi oleva sisältö sekä katso, tarvitseeko jotakin muuttaa. Jos et ymmärrä jotakin etkä tiedä, mitä tehdä asialle, laita asia muistiin. Tarkista asia myöhemmin ja selvitä, tarvitseeko sille tehdä jotakin.

Ota käyttöön yksityisyyden lisäsuojaominaisuudet

Videopuheluasetukset kannattaa aina käydä itse läpi, jotta näet, onko yksityisyyden lisäsuojaominaisuuksia käytettävissä.

Esimerkki:

• Skypessä voit valita, löytävätkö muut käyttäjät sinut puhelinnumeron vai sähköpostiosoitteen kautta.
• FaceTimessa voit määritellä, löytävätkö muut sinut puhelinnumeron vai sähköpostiosoitteen kautta. Jos et halua vanhojen koulukavereiden tai etäisten sukulaisten ottavan yhteyttä, ominaisuuden poistaminen käytöstä voi auttaa.
• Google Duossa on koputusominaisuus, joka näyttää videokuvasi yhteyshenkilöille, ennen kuin he vastaavat soittamaasi puheluun. Jos et halua käyttää ominaisuutta, poista se käytöstä napauttamalla Duo-sovelluksen pääikkunan oikeassa yläkulmassa olevaa kolmen pisteen kuvaketta, valitse Asetukset ja laita koputusominaisuus pois päältä.

Lataa sovellukset aina virallisesta sovelluskaupasta

Opi tunnistamaan valesovellukset. Tarkista arvioinnit ja käyttäjäarvostelut ja varo vahvistamattomilta verkkosivuilta peräisin olevia sovelluksia.

Keskustele vain oikeasti tuntemiesi ihmisten kanssa

Varmista, että videokokouskumppanisi on luotettava, ennen kuin jaat hänelle henkilökohtaisia tietoja. Hyväksy keskustelupyyntöjä tai puheluita vain kavereilta. Älä vastaa tuntemattomille soittajille.

Ota käyttöön monivaiheinen tunnistautuminen

Sen ansiosta hakkereiden on vaikeampi murtautua laitteille tai verkkotileille. Uhrin salasana ei nimittäin yksin riitä, vaan tarvitaan myös ylimääräinen PIN-koodi.

Kun et ole puhelussa, varmista, että sovellus on kiinni

Yritykset vakoilevat sinua mahdollisuuksien mukaan, joten älä anna niille siihen mahdollisuutta. Peitä verkkokamerasi, kun et käytä sitä, ja varmista, että suljet sovelluksen/ohjelmiston kokonaan käytön jälkeen.

Estä kokousten nauhoittaminen

Estä kaikkia osallistujia puheenjohtajaa tai isännöijää lukuun ottamatta nauhoittamasta kokousta tai aseta hälytys kertomaan, kuka osallistujista on aloittanut nauhoituksen.

Poista kaikki liialliset käyttöluvat sovellukselta

Poista esimerkiksi kaikki sellainen, mikä saattaa sallia tietojen jakamisen kolmansille osapuolille tai väittää parantavansa käyttökokemusta antamalla mainostajille ja kumppaneille oikeuksia tietoihisi. Poista käytöstä kaikki asetukset, joiden avulla tuntemattomat voivat löytää sinut, pyytää sinua kaveriksi, liittyä ryhmääsi tai keskusteluhuoneeseesi tai lähettää sinulle viestejä. Poista käytöstä lupa nauhoittaa sinua. Käytä salasanoja kaikessa.

Älä käytä puheluissa videota, jos sitä ei tarvita

Verkkokameran laittaminen pois päältä estää muita saamasta sinusta lisää tietoja taustalla olevien esineiden perusteella. Pelkän äänipuhelun käyttö säästää myös Internet-yhteyden kaistanleveyttä ja parantaa puhelun äänen- ja kuvanlaatua.

Jos järjestät puhelua, jossa on paljon osallistujia, harkitse web-lähetystä videokokouksen sijaan

Web-lähetys on verkossa pidettävä konferenssi tai esitys. Osallistujat voivat katsoa esitystä ja kysyä esittäjältä kysymyksiä tai keskustella muiden osallistujien kanssa . Web-lähetykset ovat täysin isännöijän ja valittujen esiintyjien hallinnassa, ja niiden avulla suurten kokousten hallinnointi voi olla helpompaa.

Ole varovainen käyttäessäsi julkisia Wi-Fi-verkkoja

Sama ominaisuus tekee Wi-Fi-yhteyspisteistä houkuttelevia niin kuluttajille kuin hakkereillekin: verkkoon liittyminen ei vaadi tunnistautumista. Se tarjoaa hakkereille tilaisuuden päästä vapaasti samassa verkossa oleville suojaamattomille laitteille. Ryhdy varotoimiin, kun käytät niitä.

Älä luovuta puhelintasi henkilöille, joihin et luota

Jos joku pääsee fyysisesti käsiksi puhelimeesi, hän voi helposti asentaa siihen hakkerointisovelluksia ja aiheuttaa ongelmia.

Muista, että hakkerit ja kyberrikolliset käyttävät sopivat tilaisuudet hyödykseen. Videokokousten lisääntyminen tarkoittaa toisin sanoen sitä, että niistä on tullut oivallinen kohde. Videopuheluteknologian kehittyessä tärkeimpien toimijoiden on jatkettava töitä käyttäjien turvallisuuden varmistamiseksi.

Sitä odotellessa yksi tapa pysyä turvassa on Kaspersky Antivirus Protection -ohjelmisto, joka suojaa Windows-tietokoneesi ja Android-laitteesi viruksilta, suojaa ja tallentaa salasanasi ja yksityiset tiedostosi sekä salaa verkossa lähettämäsi ja vastaanottamasi tiedot VPN-yhteydellä.

Aiheeseen liittyviä artikkeleita:

• Mitä vakoiluohjelmat oikein ovat?
• iPhonen tietojen salaus: Kuinka salaat iPhonesi tiedot
• Kaikki tietojenkalasteluhuijauksista ja niiden estämisestä: Tämä sinun tulee tietää
• Mitä on tietosuoja?