Web Security Blog – SSL/TLS Certificates and more

23.4.202123.4.2021

Helena, uusi tekninen asiantuntijamme

Saimme Wesentran tiimiin uuden jäsenen, kun Helena Puttonen aloitti meillä teknisenä asiantuntijana huhtikuun alussa. Helena on osa asiakaspalvelutiimiämme ja tulette tutustumaan häneen niin toimitusten kuin teknisen tuen merkeissä. On hienoa saada uutta näkemystä tiimiin ja lisäkäsiä päivittäiseen tekemiseen. Lue alta Helenan kokemuksia ensimmäisiltä viikoilta ja tarkemmin hänestä itsestään. Tervetuloa Helena!

Jatka lukemista

23.3.202122.3.2021

Digitaalinen tulevaisuus, uhka vai mahdollisuus?

Yhteiskunta digitalisoituu vauhdilla ja muutos on alkanut jo vuosikymmeniä sitten. Tätä artikkelia kirjoittaessa vallitsee pahin pandemia sitten legioonalaistaudin. Pandemia, joka on vaatinut miljoonia ihmishenkiä maailmanlaajuisesti. Jos tästä karmeasta tilanteesta koitetaan löytää edes jotain positiivista, on se digitaalisen kanssakäymisen nopea kehittyminen.

Jatka lukemista

8.3.20218.3.2021

Kalasteluviestien mieletön maailma

Kalasteluviestit, eli Phishing, on pitkään jatkunut globaali ongelma, jolta me suomalaisetkaan emme ole välttyneet. Rikollisille ihmisten huijaaminen on tuottoisaa ”liiketoimintaa”, jota on helppoa ja edullista toteuttaa. Välineitä kaupataan pimeässä verkossa ja kopioidaan rikollisten kesken. Viimeisimpiä ilmiöitä ovat mm. huijaussivustojen nostaminen hakukoneissa esille.

Jatka lukemista

3.2.20213.2.2021

Tietoturvauhat World Economic Forumin mukaan vuonna 2021

COVID-19 on kasvattanut nopeasti sähköistä kaupankäyntiä, etäopetusta, digitaalista terveydenhuoltoa ja etätyöskentelyä. Vastaajat Global Risks Perception Survey (GRPS) -tutkimuksessa äänestivät digitaalisen epätasa-arvon kriittiseksi uhaksi maailmassa seuraavan kahden vuoden aikana ja seitsemänneksi pitkäntähtäimen uhaksi (The Global Risks Report 2021).

Jatka lukemista

6.11.20209.11.2020

Digiturvallista työntekoa

Osallistuimme Digi- ja väestötietoviraston järjestämään Digiturvaviikkoon (26.-30.10.2020), jonka tavoitteena oli lisätä ymmärrystä digiturvan merkityksestä. Usein yrityksissä on kiire ja aiheeseen ei pystytä paneutumaan riittävästi. Digiturvallisuus on kuitenkin yrityksessä kaikkien vastuulla ja siitä pitäisi olla jokaisella työntekijällä ainakin perusasiat kunnossa.

Kävin itse läpi Digiturvallinen työelämä ja Toimi turvallisesti digimaailmassa -koulutukset. Kokonaisuudet oli rakennettu mukavasti niin, että koulutuksen pystyi suorittamaan haluamallaan tavalla. Kiireisille löytyi lyhyet videoklipit ja tietoboxit, kun taas aiheeseen paremmin syventyjälle teoriatekstiä. Kun yrityksessä on digiturvallisuuteen panostettu, luo se luottamusta omaa organisaatiota kohtaan. Tällöin se on myös signaali asiakkaille, että meidän kanssamme toimiessa tietonne on asiallisesti ja turvallisesti hoidettu.

Jatka lukemista

13.10.202013.10.2020

Raccoon Attack haavoittuvuus mahdollistaa TLS-salauksen purkamisen

Alkusyksystä joukko tutkijoita löysi TLS 1.2 ja sitä vanhemmista TLS- ja SSL-protokollista haavoittuvuuden, joka mahdollistaa TLS-salauksen purkamisen tietyissä olosuhteissa. Haavoittuvuutta on kuitenkin erittäin hankala hyödyntää.

Jatka lukemista

29.9.20209.11.2020

Oman organisaatiosi sähköinen allekirjoitus

Sähköisten allekirjoitusten tarve on kasvanut rajusti tänä eristäytymisen ja etätyön aikana. Organisaatioiden ja henkilöiden pitää pystyä osoittamaan sähköinen identiteettinsä luotettavasti ja turvallisesti.

Suurin osa organisaatioista tuottaa sähköisesti allekirjoitetut dokumentit käyttämällä jotain allekirjoituspalvelua. Menetelmä lienee useimmille tuttu: dokumentti talletetaan palveluun esim. PDF-muodossa ja asianosaiset kirjautuvat järjestelmään (yleensä vahvasti pankkitunnuksilla) ja antavat allekirjoitussuostumuksen. Tämän jälkeen dokumentin saa haluttaessa ulos järjestelmästä siten, että PDF-tiedostossa näkyy allekirjoittajien nimet sekä järjestelmän tuottama sähköinen allekirjoitus (ns. eSeal), joka myös lukitsee tiedoston. Jos tiedoston sisältöä muuttaa, allekirjoitus murtuu.

Jatka lukemista

15.9.202015.9.2020

Vieraskynä: Miksi joku päätyy kaupalliseen sertifikaattiin ja toinen Let’s Encryptiin? – Hackrfi Oy

”Yrityksen ja it:n näkökulmasta vaarana on kuitenkin se, että kun vasara on kerran otettu käteen, liiketoiminta ja infra näyttää pelkiltä nauloilta.”

Let’s Encryptin DV-varmenteet herättävät edelleen keskustelua. Lokakuussa vastasimme asiakkaalle kysymykseen ”Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?” ja saimme luvan julkaista keskustelun. Tällä kertaa asiaa tarkastelee tekniseltä kannalta yksi tietoturvan huippuammattilaisista. Thomas Malmberg esittäytyy alla Hackrfi Oy:n puitteissa, mutta itse olen tavannut hänet ensi kerran muistaakseni 2012, jolloin hän toimi Aktian IT Security Managerina. Yhteytemme säilyi ja minulla on ilo vaihtaa hänen kanssaan näkemyksiä tietoturvan ja erityisesti finanssimaailman tietoturvan tilanteesta vuosittaisen lounastapaamisemme puitteissa. Thomasin asema Mintsecurityn ja Hackrfin toimitusjohtajana antaa hänelle erityisen näköalapaikan. Tässä Thomas, olkaa hyvä!

Thomas Malmberg, Hackrfi Oy, Mintsecurity Oy

<** Thomasin oma teksti alkaa tämän jälkeen **>

Jatka lukemista

1.9.20201.9.2020

Kop, kop – kuka siellä? Ovisilmä verkkoliikenteeseen on tarpeen.

Uusi normaali on siirtänyt yhä useamman ihmisen kotikonttoriin. Työtiloja on ilmestynyt kesäisille takapihan terasseille, keittiöhin, kellareihin, vaatekomeroihin ja makuuhuoneisiin. Tyypillisesti tämän kaltaiset tilat ovat olleet hämäräperäisten verkkoon tunkeutujien työtiloja.

Jatka lukemista

25.8.202025.8.2020

Entrustin Qualified-tason varmenteet saatavilla ECS Portaalista

Me Wesentralla olemme jo tovin puhuneet QWAC-varmenteista (Qualified Web Authentication Certificate). Entrust Datacard on saanut Qualified Trust Service Provider (QTSP) -aseman EU- ja EEA -maissa ja QWAC-varmenteet ovat nyt osa varmennevalikoimaa ja hankittavissa Wesentran kautta tai omasta ECS Portaalista.

Jatka lukemista