Tietoturvasta puhuttaessa keskitytään usein verkon kautta saapuviin uhkiin, kuten salasanojen vuotamiseen ja kiristysohjelmiin. Fyysinen turvallisuus on kuitenkin vähintään yhtä tärkeää. Pahimmillaan lukitsemattoman tai salaamattoman laitteen joutuminen vääriin käsiin voi johtaa identiteettivarkauteen tai muuhun käyttäjätilien väärinkäyttöön, arkaluontoisen tiedon leviämiseen tai jopa kiristykseen.

Erityisesti älypuhelin on haavoittuva laite kahdestakin syystä. Ensinnäkin se on lähes aina henkilökohtainen väline, ja siksi puhelimeen säilötään monesti arkaluontoistakin tietoa asiaa sen kummemmin miettimättä. Vielä oleellisempaa on se, että puhelin kulkee aina mukana, ja on siksi alttiimpi katoamiselle ja varkauksille kuin tabletti, läppäri saati pöytäkone.

Kaikkien laitteiden suojaamiseen pätevät samat perusperiaatteet. Ensimmäinen puolustuslinja varasta tai tunkeutujaa vastaan on vapaan pääsyn estäminen joko salasanalla, muulla pääsykoodilla tai biometrisellä tunnistuksella kuten sormenjäljellä.

Turvallisin yksittäinen tapa tunnistaa käyttäjä on aina pitkä, vaikeasti arvattava salasana. Tietokoneella sellaisen käyttö ei useimmiten ole ongelma, mutta kymmeniä tai jopa satoja kertoja päivässä avattavalla puhelimella salasana on liian työläs. Niinpä puhelimessa käytetään tyypillisesti neli- tai korkeintaan kuusinumeroista pääsykoodia tai sormenjälkitunnistusta.

Sormenjälkitunnistimen suurin ongelma on se, että määrätietoinen murtautuja voi suhteellisen helposti saada haltuunsa seuraamansa kohteen sormenjäljet ja valmistaa niiden avulla tekosormia, jolla laitteen avaaminen saattaa onnistua.

Tämä vaatii kuitenkin huomattavaa osaamista ja ennakkovalmistautumista. Myös lyhyt pääsykoodi on usein mahdollista urkkia esimerkiksi seuraamalla kohdetta videokameran kanssa.

Applen Etsi iPhone (kuvassa), Googlen Android-laitehallinta ja Microsoftin Etsi laitteeni toimivat kaikki samalla tavalla. Kunhan laite on yhdistetty internetiin, sen sijaintia voi seurata.

Koska äärimmäisen harvalla varkaalla on motiivia edellä kuvatun kaltaiseen ennakkovalmistautumiseen, on pääsykoodi tai sormenjälki useimmille tavallisille ihmisille riittävän turvallinen lukitustapa.

Valtionsalaisuuksia säilyttävän on muutenkin mietittävä turvallisuuttaan hieman toisin kuin tavallisen pulliaisen.

Tiedot on salattava

Pelkkä salasanasuojaus ei monissa tapauksissa pitkälle riitä. Se korkeintaan hidastaa hieman tietoihin käsiksi pääsyä, jos murtautujalla on laite hallussaan.

Tavallista pc:n kiinto- tai ssd-levyä voi lukea vaivatta käyttöjärjestelmän ohi joko asentamalla massamuisti toiseen koneeseen tai käynnistämällä tietokone toiseen käyttöjärjestelmään. Puhelinten ja tablettien massamuistien lukeminen tällä tavoin on hankalampaa, mutta onnistuu oikealla osaamisella ja välineillä.

Tietovarkauksien estämiseksi laitteen koko massamuisti tai sen sisältämät arkaluontoiset tiedot on salattava riittävän vahvalla teknologialla.

Lue tästä Mikrobitin erillinen opas massamuistin salauksesta eri alustoilla.

Tietovarkaus salaamattoman puhelimen tai tabletin massamuistipiireiltä ei ole vain teoreettinen riski. Irrotetun muistin lukemiseen tarvittavan, monen eri valmistajan piirien kanssa yhteensopivan lukijan voi kuka tahansa tilata alle sadalla eurolla.

Kaikkein paras tilanne on iOS-laitteissa: kaikki iOS 8:aa tai tuoreempaa käyttöjärjestelmää käyttävät iOS-laitteet ovat automaattisesti salattuja, eikä salausta edes voi laittaa pois päältä. Määrätietoisinkaan varas ei siis pääse käsiksi iPhonen tai iPadin tietoihin ilman pääsykoodia tai iCloud-salasanaa.

Tietokoneista poiketen iOS ei salaa koko massamuistia samalla tavalla, vaan jokainen tiedosto salataan erikseen. Tästä seuraa esimerkiksi se, että kameraa ja Siri-assistentin jotakin toimintoja voi käyttää, vaikka pääsykoodia ei ole syötetty, mutta henkilökohtaiset tiedostot ovat koko ajan turvassa myös kehittyneiltä murtoyrityksiltä. Applen laitteet eivät myöskään hidastu salauksen käytöstä, koska ne on alun perin suunniteltu salausta silmällä pitäen.

Androidissa tilanne on toinen. Ehdoton valtaosa maailman Android-laitteista ei ole oletusarvoisesti salattuja, eivätkä käyttäjät usein edes tiedä salausmahdollisuudesta saati ymmärrä, mihin sitä tarvitaan. Lisäksi salauksen käyttöönotto hidastaa etenkin vanhempia ja tehottomampia laitteita suuresti.

Androidissa on parhaillaan menossa siirtymä koko massamuistin salauksesta (full disk encryption eli fde) kohti iOS:n tyylistä tiedostokohtaista salausta (file-based encryption, fbe). Jälkimmäinen tarjoaa paremman kompromissin turvallisuuden ja käytettävyyden välillä ja tekee sovellukset tietoisemmaksi siitä, miten salattua tietoa käytetään. Ilmeisin etu uudesta salaustavasta on se, että Android-laite pääsee tiettyihin tiedostoihin käsiksi jo ennen pääsykoodin ensimmäistä syöttöä, ja voi näin muun muassa hälyttää ja vastaanottaa puheluja käynnistyttyään uudelleen. Koko massamuistin salausta käytettäessä puhelin pysyy täysin mykkänä pääsykoodin syöttöön saakka.

Eri alustoilla eri prosessit

Suorituskykyisessä tietokoneessa salauksen käyttö harvoin hidastaa toimintaa merkittävästi, joten tässä suhteessa pc:n massamuistin salaaminen on ongelmattomampaa kuin heikkotehoisissa mobiililaitteissa.

MacOS:ssä ja Linuxissa salaus myös kuuluu käyttöjärjestelmän ominaisuuksiin. Windows-maailmassa tilanne on toinen, sillä Microsoft on rajannut Windowsin kotikäyttäjäversiot miltei täysin salaustuen ulkopuolelle.

Windowsissa on onneksi melko helppoa käyttää erillistä sovellusta tiettyjen tietojen tai jopa kokonaisten levyosioiden tehokkaaseen salaukseen. Tässä tarkoituksessa aiemmin suositun TrueCrypt -sovelluksen kehitys lopetettiin jokunen vuosi sitten, mutta TrueCryptin perillinen VeraCrypt on sekä turvallinen että tehokas tapa saada arkaluontoiset tiedot piiloon.

Suurin osa puhelin- ja läppärivarkaista ei ole kiinnostuneita laitteiden sisältämistä tiedoista vaan yksinomaan rahoista, joita niiden myynnistä saa. Niinpä useimmat varkaat kytkevät varastamansa laitteet välittömästi pois verkosta ja pyrkivät tyhjentämään ne omistajan tiedoista edelleen myyntiä varten.

Pääsykoodilla suojattu iPhone tai tuoreen käyttöjärjestelmän sisältävä Android-puhelin on varkaalle käytännössä hyödytön, sillä laitetta ei saa käytännössä millään ilveellä tyhjennettyä ilman Google- tai iCloud-salasanaa. Hämärämiehet myyvätkin nykyisin puhelimia usein osina.

Koska laitetta ei saa nollattua, myös jäljitystoiminnot eli Applen Etsi iPhone ja Googlen Android-laitehallinta pysyvät aktiivisina. Niinpä kadonneen tai varastetun laitteen sijaintia pääsee seuraamaan ja sen voi lukita tai asettaa toistamaan äänimerkkiä, kunhan laite on yhdistettynä internetiin.

Tietokoneiden osalta tilanne on huonompi. Sekä Windows-koneen että Macin kiintolevyn voi pyyhkäistä hetkessä puhtaaksi, ja tyhjennetylle levylle voi asentaa uuden käyttöjärjestelmän. Mikään ei jää kielimään siitä, että laite on alun perin varastettu. Melko usein varas ei kuitenkaan osaa tai ymmärrä asentaa käyttöjärjestelmää uudelleen ja saattaa jopa yhdistää koneen nettiin vanhaan käyttöjärjestelmään käynnistettynä. Tällöin laite on löydettävissä Applen Etsi iPhonella – joka nimestään huolimatta löytää myös iPadit ja Macit – tai Windows 10:n Etsi laitteeni -toiminnolla.

Etsi iPhone -toiminto on Macilla oletusarvoisesti käytössä, jos sillä on kirjauduttu iCloud-tilille. Asian voi tarkistaa Järjestelmäasetusten kohdasta iCloud.

Windows-tietokoneella Etsi laitteeni on oletusarvoisesti poissa päältä, ja sen käyttämiseksi on kirjauduttava Microsoft-tilille. Palvelun voi kytkeä päälle Asetukset-valikon kohdasta Päivittäminen ja suojaus > Etsi laitteeni.

Juttu julkaistu Mikrobitin heinäkuun numerossa. Bitti on saatavilla sekä paperilehtenä että digiversiona.