Vanhentuneen käyttöjärjestelmän tietoturvasta (Win 7)

[Rollerix]

Windows 7:n tuki päättyi 14.1.2020, eli kaksi vuotta sitten. Win7-koneen käyttö on siis selvästi aika riskaabelia, lukuun ottamatta (ehkä) niitä tilanteita, joissa yritys on ostanut Extended Security Updates -palvelun (ESU), joka on saatavilla kolmen vuoden ajan em. päivän jälkeen.

Jos nyt jätetään huomiotta tuo ESU ja puhutaan vain tavanomaisesta koneesta, jossa on Windows 7, kuinka suuri on jonkun haittaohjelman saamisen riski seuraavissa tilanteissa?

A) Koneessa on internet-yhteys ja käytetään vain suhteellisen harvoja, tunnettuja sivustoja, esim. virusskannerin päivityssivusto, luotettavan palveluntarjoajan webmail, tai jonkun tunnetun yrityksen tai lehden sivusto tyyliin finnair.fi, steampowered.com, hs.fi.
Jonkinmoinen riski varmaan on olemassa, mutta jos koneessa on ajantasainen virustorjunta, onko se käytännössä merkityksellinen ja mikä olisi todennäköisin vaaran paikka?

B) Kone on yhteydessä kotiverkkoon, jossa on muitakin tietokoneita/laitteita, mutta sen yhteys Internetiin on estetty. Verkon muissa tietokoneissa on virustorjunta asennettuna. Internet-palveluntarjoajan reitittimessä on palomuuri päällä.
Tämä lienee aika turvallinen tilanne, ellei sitten joku muu kotiverkon laite saastu sellaisella leviävällä haittaohjelmalla, joka hyödyntää nimenomaan Win 7:n haavoittuvuuksia. Mutta miten tuo Internetin käytön esto käytännössä tehdään oikeaoppisesti?

C) Kone on täysin irti kotiverkosta(kin) eikä sillä käytetä mitään ulkoisia tietolähteitä (usb-tikkuja tms.) lukuun ottamatta vanhojen pelien levyjä, jos sellaisia peli vaatii.
Tämän vaihtoehdon C pitäisi olla täysin turvallinen, vai mitä?

Ja vielä bonuskysymyksenä se että onko nykyään vielä sellaisia haittaohjelmia, jotka aktiivisesti etsivät haavoittuvia koneita? Siis voiko sellaisen saada riesakseen, jos koneessa on nettiyhteys, vaikkei itse käyttäisi nettiä lainkaan?

 

[Hyrava]

Kotikäytössä jossa internet-yhteydessä on yleensä jonkinlainen NAT itse nettipurkissa riski on kohtalaisen pieni, mutta jos koneella on esimerkiksi julkinen IP-osoite niin riski on jo huomattavasti suurempi. Tuo riippuu siis hyvin paljon muustakin kuin itse käyttöjärjestelmästä, uudessakin käyttöjärjestelmässä joka on julkisella IP-osoitteella netissä on kohtalainen riski saada kaikenlaista jännää koneelle ja vastaavasti vanhakin käyttis on kohtalaisen hyvin suojassa jos nettiyhteyden asetukset (esim palomuuri) sekä koneessa itsessään olevat virustorjunnat, palomuurit sun muut ovat kunnossa.

Suurimmaksi riskiksi veikkaisin itse käyttäjän toimet eli menee klikkaamaan jotain epämääräistä linkkiä, latailee jotain epämääräisiä piraattisoftia tai vastaavia. Tietty vastahan oli joku ihan oikea ja aito pelikin jossa oli reikä, sellaiselle ei mahda vaikka olisi uusin käyttöjärjestelmä ajantasaisilla päivityksillä ja virustutkilla.

Tuo C-vaihtoehto eli täysin irti verkosta on "täysin" turvallinen, toki jotkut ovat jollakin laservalolla vilkuttelemalla sun muilla ihmekonsteilla saaneet koneeseen jotain syötettyä mutta tavalliselle kotikäyttäjälle sellaisen kohteeksi osuminen ei ole realistinen skenaario. Ei siis ensimmäisenä kannata ruveta tunkemaan konetta mihinkään jätesäkkiin valolta piiloon (ellei sitten säilytä koneella valtionsalaisuuksia)

Ja kyllä, edelleen on haittaohjelmia jotka etsivät reikiä mistä päästä hyökkäämään. Kaikenlaisia porttiskannauksia sun muita yrityksiä näkyy firman servereiden lokeissakin päivittäin mutta sitä vartenhan esimerkiksi palomuurit ovat olemassa, blokataan kaikki liikenne ja päästetään läpi vain ja ainoastaan se liikenne mitä nimenomaisesti on haluttukin. Tässäkään tietty ei yksi kerros riitä vaan mielellään useampi päällekkäinen kerros, esimerkiksi ssh-portti saattaa olla tarkoituksella palomuurista auki ulkomaailmaan mutta perässä on vielä ehkä (geo)ip-rajaus, vain publickeyllä pääsy (eli salasanan käyttö estetty), 2FA/MFA jne.

Eli vastaus ei ole ihan yksiselitteinen vaan riippuu hyvin monesta eri asiasta.

 

[pq]

W7 + C on huomattavasti turvallisempi kuin esim. tuore tuen piirissä oleva käyttöjärjestelmä mikä on päivitetty ja liitetty internettiin. Käytännössä suurin riski on siinä kun joku (sinä epähuomiossa/kaveri/pikkuveli/kummin serkun kaima) vahingossa tökkää USB-tikun kiinni koneeseen vaikka ei pitäisi. Hyvin pieni vaara silti.

W7 + B on ainakin teoriassa turvallinen, käytännössä vaatii jonkun toisen kotiverkossa olevan koneen saastumista ensin, tai sitten sitä saastuneen USB-tikun käyttöä. Helpoin tapa lienee tiputtaa koneesta DHCP pois päältä ja määritellä IP-osoite käsin, tosin tässä tapauksessa muihin verkon koneisiin pitää konffata ns. "multi home" (molempiin verkkoihin samaan aikaan) tai yhteyden muodostaminen W7 koneeseen sisäverkossa ei onnistu. Teoriassa jos määrittelet verkon asetuksia laajemmalti käsin, voi W7 kone olla samassa aliverkossakin kunhan sille ei anneta reititystietoja ulkoverkkoon, mutta tämän kanssa mokaa koneen helpommin internettiin saakka.

W7 + A on hiukan kinkkisempi: oletuksena on oltava vähintään koneen ja internetin välissä oleva reititin joka ottaa kopin ulkoa tulevasta liikenteestä (reitittimessä nat) ja vielä tietoturvapäivityksiä saava selain muuten tietoturvalta putoaa välittömästi kaikki pohja. Ajantasainen virusturva saattaa lisätä turvallisuutta, mutta itse en laskisi sen varaan, vaan pitäisin lähinnä "plan b:nä" jos kakka lentää tuulettimeen. Käytännössä tuollaseen koneeseen tultaisiin sisälle esim. luotettavan sivuston sisällä olevasta kolmannen osapuolen hostaamasta mainoksesta - mikä on muuten isolla marginaalilla nykyään suurin haittaohjelmien ynnämuiden levityskeino.

Tuohon viimeiseen bonukseen edellinen lause jo osittain vastasikin, mutta mainitaan nyt vielä että noita koneelle itsekseen tuleviakin riesoja on olemassa, mutta ovat vähemmistö muihin verrattuna.


edit: A on vähän fifti siksti, on siinä riskinsä mutta ei mitenkään valtavat kuitenkaan
edit2: A + adblock luultavasti parantaisi tietoturvaa huomattavasti, A + noscript voisi varmaan jo luokitella semiturvalliseksi

 

[Pakana]

Sanoisin että A vaihtoehdossa webmail on oikeastaan suurin riski.

 

[jessenic]

W7 + B on ainakin teoriassa turvallinen, käytännössä vaatii jonkun toisen kotiverkossa olevan koneen saastumista ensin, tai sitten sitä saastuneen USB-tikun käyttöä. Helpoin tapa lienee tiputtaa koneesta DHCP pois päältä ja määritellä IP-osoite käsin, tosin tässä tapauksessa muihin verkon koneisiin pitää konffata ns. "multi home" (molempiin verkkoihin samaan aikaan) tai yhteyden muodostaminen W7 koneeseen sisäverkossa ei onnistu. Teoriassa jos määrittelet verkon asetuksia laajemmalti käsin, voi W7 kone olla samassa aliverkossakin kunhan sille ei anneta reititystietoja ulkoverkkoon, mutta tämän kanssa mokaa koneen helpommin internettiin saakka.

Ei tarvitse konffailla mitään sen kummempia, kunhan laittaa W7 koneelle kiinteän IP-osoitteen samasta aliverkosta, mutta jättää gateway-osoitteen pois. Tällöin kone on aivan normaalisti kotiverkossa kiinni ja yhteydet pelaa kotiverkon sisällä, mutta ilman gateway-osoitetta kone ei osaa olla nettiin päin yhteydessä.

 

[Pah0lain3]

kuinka suuri on jonkun haittaohjelman saamisen riski seuraavissa tilanteissa?

Sanoisin että suurin riski on usein tietokoneen käyttäjä tai käyttäjät skenaariosta riippumatta. Eikö jossain ollut uutisen mukaan postitettu usb tikkuja ihmisille siinä toivossa että he tökkäävät ne kotona tai töissä koneisiinsa kiinni. Ei siinäkään sitten auttaisi mikään vaikka koneesta olisi irroitettu nettipiuha. Mutta tuommoisen tapahtuman osuminen omalle kohdalle taitaa olla äärimmäisen harvinainen, mutta mahdollista kuitenkin. Ihmisen uteliaisuus usein helposti voittaa järjen.

Muuten tuossa jo kerrottiin ainakin omasta mielestä vastaukset todella hyvvin, halusin vain tulla korostamaan tätä kohtaa että se käyttäjä itse tai joku muu lähipiiristä on yleensä aika suuri uhka ja näiden käyttäytyminen verkossa sillä tietokoneella. Mutta ainahan se riski vähän kasvaa jos nyt on pakko käyttää sitä win 7 jonka tuki on jo tosiaan lopetettu. Myöskään ei kannata aivan sokkona olla klikkailemassa googlen linkkejä tai katsella aikuisten viihdettä erikoisilla sivuilla jne.

Jos seiskalla on pakko mennä, niin kannattaa ehkä asentaa firefox selain. Siihen lisäosiksi Ublock Origin+Noscript. Tuohon pakettiin lisäät vielä sen kuuluisan maalaisjärjen eli et availe niitä spämmiposteja, etkä lataile jotain kräkättyjä ohjelmia ym. epämääräisiä asioita niinkuin ylläkin jo suositeltiin. Roskaa tulee koneelle niin miljoonin eri keinoin että vähän hankala niitä on välttää (taas, riippuu käyttäjästä aika paljon). Miksi käyttää edes sitä tuen ulkopuolella olevaa seiskaa ? No eikö se V. Putin jossain kuvassa ollut vähän aikaa sitten missä näkyi vielä XP taustalla

Palomuurin lisäksi voi ostaa vielä jonkun halvan vanhan läppärin tai raspin ja asenna Pi-Hole. Se on huippu ja helppo projekti, jolla erilaisia blocklistoja käyttämällä blokataan kaikenlaista kakkaa, mainoksia yms. Mutta hyvä kysymys oli, näitä aiheita on aina kiva lukea ja seurata.

 

[Hyrava]

Ja tietty riippuen käyttötarkoituksesta, koko koneesta voi vaikka ottaa imagen kun kaikki tarvittava on asennettu ja jos joku menee pieleen niin paluttaa vain tuon varmuuskopion. Helpompaa ja nopeampaa kuin koko höskän alusta asti asentaminen. Tai sitten jos esim pelkkiä pankkiasioita hoitaisi ja kävisi satunnaisilla muilla sivuilla niin voisi polttaa boottaavan cd-levyn ja käyttää konetta siltä, koneen uudelleenkäynnistys nollaa kaiken eikä mitään jää talteen. Koneesta voisi siis jättää koko massamuistin pois niin ei voi vahingossakaan tallentua mitään talteen.

Tai sitten voisi hifistellä ja tehdä niinkuin minulla on yksi kone, se boottaa verkon yli ja lataa käyttöjärjestelmän verkosta lennossa, kaikki asetukset on valmiina ja kyseinen laite näyttää vain yhtä nettisivua ja vaikka tulee sähkökatko niin kun kone herää niin se on samassa tilassa kuin ennen katkoa.

 

[snow28]

Onko jotain syytä käyttää vielä Win7 @Rollerix ? Päivitys Win10 ilmainen.

 

[Hyrava]

Onko jotain syytä käyttää vielä Win7 @Rollerix ? Päivitys Win10 ilmainen.

Hyvä pointti tuokin. Tulee oikeastaan vain 3 asiaa mieleen mitkä tuon estäisi:
1: joku tarvittava softa ei toimi uudemmalla windowsilla
2: rauta ei riitä paivitykseen
3: piraatti-windows joka kuolee päivitykseen syystä tai toisesta

Toki tuo päivitys ei vaikuta tietoturvaan juurikaan jos muut asiat eivät ole kunnossa, windowsissa kun noita reikiä tuntuu riittävän versiosta riippumatta

 

[Rollerix]

Onko jotain syytä käyttää vielä Win7 @Rollerix ? Päivitys Win10 ilmainen.

Kasasin edullisista osista koneen, jolla voi pelata sellaisia vanhoja pelejä, jotka ei suostu kympissä pyörimään. Eli käyttö on pääasiassa paikallista pelaamista (ei online-tarpeita) ja muu netin rajallinen käyttö on sitten optionaalista kun on uudempikin kone sitä varten.

Kiitos kaikille pohdinnoista! Tässä tosiaan netti hoidettu kaapelimodeemilla, joka on NAT-tilassa. Eli näyttäisi aika turvalliselta. Olen itsekin ajatellut että oma tai jonkun perheenjäsenen möhläys olisi isoin riski. Siksi houkuttaa vaihtoehto B tai C.

Täytyy vähän tutkia noita modeemin asetuksia, josko saisi sieltäkin sen netin katkaistua. Tätä konetta ei muiden kotiverkon koneiden tarvitse löytää ja oikeastaan ainoa verkon käyttötarve tällä koneella on ehkä yhteys NASsiin.

 

[Pah0lain3]

Tarviiko ne pelit onlineä ? Jos ei, sitten verkkojohto irti vaan ja rajua pelaamista. Kaikki muut asiat vaan hoidat sillä uudemmalla koneella yllämainitut asiat mielessä niin hyvä tulee. Ei tartte sen enempää sitte ihmetellä

NAS:sin kautta on luultavasti myös mahdollista saada saastutettua se kone? Siihen pelikoneeseen voi laittaa salasanan sille windowssille niin ei muutkaan ihan helpolla pääse säätämään tai sotkemaan tiedostoja. Tuolla uudemmalla koneella sitten voi tehdä virtuaalikoneita eri asioille jos niitä haluaa eritellä.

Jos vanhempi pelikone taas tarvii pakosti sitä verkkoa, sittenpä se on melkein se ja sama pitää se verkkojohto kiinni vain niin pääseepä samalla sitten tekemään muutakin pelin lomassa jos on tarvetta. Perustelen tätä sillä että jos on kuitenkin sen verran vanhoja pelejä niin ne on luultavasti melkoista reikää täynnä tänä päivänä eli se pelkkä win7 ei ole enää välttämättä edes se suurin ongelma. Viimeaikoina on yhdestä ja toisesta pelistä löytyny aika pahoja reikiä. Eikä tuossa taida enää auttaa mikään kun sieltä joku tulee jos on tullaksensa. Eli verkkopiuha pois vain on se helpoin, nopein ja yksinkertaisin ratkaisu.

Edit, Luinpas huonosti kun heti ensimmäiseksi kerroit että ne pelit ei tarvitse sitä onlineä.

 

[Pakana]

Tästä topikin aiheesta, eli vanhentuneen käyttiksen tietoturvasta tuli mieleen.. Olisikohan windows 2000 käytännössä turvallisempi käyttöjärjestelmä nykyään kuin esim tuo windows 7?

Siis eism jokin windows 3.11 turvallisuushan on nykyään jo jokseenkin huippuluokkaa, eihän niihin enää ole vuosiin kukaan yrittänyt hyökkäillä. Tosin jonkinlainen ongelma voi tietysti olla kun koittaa etsiä softaa..

 

[joku]

Täällä 8.1 käytössä. W10 päivitys ei mene tässä läppärissä läpi jostain syystä. No tietoturvaa on.

 

[ikez]

Minulla on kaveri, joka käyttää Windows XP:tä vielä varoitteluistani huolimatta...