Web-sovellusten haavoittuvuustestaus, eli penetration testing, on kriittinen osa nykyaikaista kyberturvallisuutta. Se ei ole pelkkä tekninen prosessi, vaan monivaiheinen, syvällinen tarkastelu, jossa yhdistyy tietokoneohjelmointi, verkkoteknologiat ja käyttäjäkäyttäytyminen. Tämän prosessin ytimessä on ymmärtää, kuinka ohjelmistot ja järjestelmät toimivat, ja etsiä niistä mahdollisia heikkouksia, joita haitalliset toimijat voisivat hyödyntää. Testaaminen ei ole pelkästään haavoittuvuuksien löytämistä, vaan myös puolustusmekanismien kehittämistä, jotka estävät mahdolliset hyökkäykset.

Suurin osa web-sovelluksista on monimutkaisempia kuin koskaan aikaisemmin. Ne eivät ole enää vain staattisia verkkosivuja, vaan niiden taustalla on laajoja, dynaamisia järjestelmiä, jotka ovat alttiina monille erilaisten hyökkäysten muodoille. Tämän vuoksi web-sovellusten turvallisuustestaus on erityisen tärkeää. Hyökkäykset voivat olla sekä yksinkertaisia että monivaiheisia, ja ne voivat kohdistua mihin tahansa osa-alueeseen sovelluksen toiminnassa, kuten tiedon tallennukseen, liikenteen salaamiseen tai käyttöoikeuksien hallintaan.

Web-sovellusten haavoittuvuustestaus on osa eettistä hakkerointia, jossa testaaja pyrkii jäljittelemään mahdollisia hyökkääjiä tunnistaakseen järjestelmän heikkoudet ennen kuin haitalliset toimijat voivat niitä hyödyntää. Testauksen aikana on tärkeää noudattaa tiettyjä eettisiä ja laillisia periaatteita. Et voi testata järjestelmiä ilman lupaa, sillä tällainen toiminta voi johtaa laillisiin seuraamuksiin. Eettinen hakkerointi on siis vastuullista toimintaa, jossa on tärkeää huomioida sekä lain että organisaatioiden turvallisuusvaatimukset.

Web-sovellusten testaaminen alkaa yleensä arkkitehtuurin ja hyökkäyspintojen ymmärtämisellä. Testaaja perehtyy sovelluksen toimintaan ja sen käyttämien teknologioiden perusteisiin. On tärkeää tunnistaa, missä haavoittuvuudet voivat ilmetä, ja kuinka ne voidaan hyödyntää. Usein tähän sisältyy tiedusteluvaihe, jossa käytetään erilaisia työkaluja ja tekniikoita, kuten haavoittuvuuksien skannausta ja sormenjälkien etsimistä, joilla pyritään saamaan tietoa sovelluksen rakenteesta ja toiminnasta.

OWASP Top 10 on keskeinen työkalu, joka auttaa määrittelemään web-sovellusten yleisimmät ja vaarallisimmat haavoittuvuudet. Tämä lista ei ole staattinen, vaan se päivittyy jatkuvasti ottaen huomioon uusia uhkia ja hyökkäysmuotoja. Esimerkiksi 'Broken Access Control' ja 'Injection' ovat olleet jo pitkään listalla, mutta uusia riskejä, kuten 'Server-Side Request Forgery' (SSRF), on tullut mukaan. Tärkeää on ymmärtää, että OWASP Top 10 ei ole vain luettelo heikkouksista, vaan se on elävä dokumentti, joka auttaa ymmärtämään, kuinka haavoittuvuudet kehittyvät ja miten niitä voidaan parhaiten torjua.

Testauksessa on monia vaiheita ja tekniikoita, jotka tulee ottaa huomioon. Esimerkiksi haavoittuvuuksien hyödyntäminen voi tarkoittaa tietojen varastamista, palvelun estämistä tai jopa järjestelmän täydellistä kaappaamista. Haavoittuvuuksien arvioiminen ja niitä vastaan taisteleminen vaatii laajaa tietämystä eri teknologioista, kuten SQL-injektioista, XSS-haavoittuvuuksista ja autentikoinnin heikkouksista. Kunkin haavoittuvuuden testauksessa on tärkeää käyttää oikeita työkaluja ja tekniikoita, jotka mahdollistavat hyökkäyksen simuloinnin hallitusti ja eettisesti.

Testauksessa tulee aina ottaa huomioon myös kuinka korjata löydettyjä haavoittuvuuksia. Sen lisäksi, että testaus paljastaa heikkouksia, sen päämääränä on myös opettaa, kuinka nämä haavoittuvuudet voidaan korjata tai estää niiden ilmeneminen tulevaisuudessa. Tämä on välttämätöntä, koska heikkouksien löytyminen ilman niiden korjaamista ei tuo organisaatiolle mitään hyötyä.

Erityisesti on tärkeää pitää mielessä, että web-sovellusten haavoittuvuustestaus ei ole kertaluontoinen tehtävä. Järjestelmien, sovellusten ja ympäristöjen kehittyessä ja muuttuen, myös niiden haavoittuvuudet voivat muuttua. Tästä syystä testauksen tulisi olla jatkuva prosessi, joka on osa organisaation turvallisuusstrategiaa. Tämän vuoksi testauksessa ei ole kyse vain haavoittuvuuksien löytäminen ja korjaaminen, vaan myös jatkuvasta valppaudesta ja reagointikyvystä uusien uhkien torjumiseksi.

On myös tärkeää ymmärtää, että penetraatiotestaus ei ole pelkästään teknistä osaamista, vaan se vaatii myös kykyä analysoida ja ymmärtää liiketoimintariskit. Tämä on erityisen tärkeää, kun testataan järjestelmiä, jotka käsittelevät arkaluontoista tietoa tai jotka ovat keskeisiä organisaation toiminnan kannalta. Penetraatiotestaajan tulee osata arvioida, kuinka löydetyt haavoittuvuudet voivat vaikuttaa liiketoiminnan turvallisuuteen ja maineeseen.

Endtext

Kuinka optimoida ja konfiguroida verkon penetraatiotestausvälineet tehokkaasti?

Verkkoturvallisuuden testaaminen on monivaiheinen prosessi, joka vaatii paitsi oikeiden työkalujen valinnan myös niiden huolellisen konfiguroinnin ja optimoinnin. Verkko- ja sovellustestaustyökalut, kuten Burp Suite, ZAP, Nmap, Nikto ja Metasploit, tarjoavat laajan valikoiman mahdollisuuksia hyökkäysten simulointiin ja haavoittuvuuksien löytämiseen. Kuitenkin niiden täysi potentiaali voidaan saavuttaa vain silloin, kun ne on asetettu oikein ja optimoitu tarkkaan tarpeen mukaan. Tässä tarkastellaan, kuinka nämä työkalut konfiguroidaan ja optimoidaan käytettäväksi tehokkaasti verkon penetraatiotestauksessa.

Aloitetaan Burp Suitesta, joka on yksi suosituimmista välineistä web-sovellusten testaamisessa. Burp Suite -työkalun perusasetukset, kuten välimuistin ja proxy-asetusten konfigurointi, ovat tärkeässä roolissa testauksen onnistumisessa. Ensimmäiseksi tulee asentaa Burp Suite -välimuistin varmenteet selaimeen, jotta HTTPS-liikenne voidaan käsitellä ilman varoituksia. Tämän jälkeen on tärkeää määrittää välimuistiasetukset niin, että vain tarvittavat verkkosivustot skannataan. Tämä tehdään määrittämällä verkkosivuston URL-osoite Burpin kohteeksi, jolloin työkalun indeksointiin ja skannaukseen rajoitetaan vain relevantti sisältö.

ZAP (OWASP Zed Attack Proxy) on toinen tärkeä työkalu, joka tarjoaa samanlaisen konfiguroinnin mahdollisuuden. ZAPin asennus ja konfigurointi vaativat vastaavia asetuksia kuin Burp Suite, mutta ZAP tarjoaa myös laajempia vaihtoehtoja, kuten erilaisten hyökkäysten kustomointia ja syvällisempää haavoittuvuusanalyysiä. ZAPin optimoiminen tarkoittaa esimerkiksi aktiivisen skannauksen rajauksen määrittämistä niin, että se keskittyy vain tiettyihin haavoittuvuuksiin, kuten SQL-injektioihin tai XSS-hyökkäyksiin, mikä parantaa testauksen tehokkuutta ja nopeutta.

Nmap on verkon skannausväline, joka tarjoaa tarkempia tuloksia, kun sitä konfiguroidaan oikein. Nmapin käyttö verkkosivustojen tai palvelinten porttiskannaamiseen voi olla erittäin hyödyllistä, mutta työkalun valitsemat asetukset voivat vaikuttaa tuloksiin merkittävästi. Yksi tärkeimmistä optimoitavista seikoista on porttiskannauksen rajoittaminen vain olennaisiin verkkoprotokolliin, kuten HTTP- ja HTTPS-portteihin. Tämä auttaa välttämään tarpeettomien palvelinten skannaamista ja parantaa tarkkuutta.

Nikto on yksinkertaisempi työkalu, mutta sekin vaatii optimointia, erityisesti silloin, kun halutaan tarkentaa hakua ja vähentää väärien positiivisten ilmoitusten määrää. Nikto skannaa haavoittuvuuksia, kuten virheellisiä määrityksiä ja vanhentuneita ohjelmistoversioita, mutta väärien positiivisten vähentämiseksi on tärkeää käyttää tarkempia säätöjä, kuten rajata skannaus vain tietyille verkkosivustoille ja käyttää evasion-menetelmiä.

Metasploit on monipuolinen penetraatiotestauskehys, joka menee syvemmälle kuin pelkkä verkkosovellusten testaus ja tarjoaa laajan valikoiman hyökkäysmalleja eri järjestelmille. Metasploitin konfigurointi vaatii ensin ympäristön asettamista, mukaan lukien tietokannan alustus ja projektin organisointi työtiloiksi. Työkalun optimaalinen käyttö edellyttää myös säännöllistä moduulien päivitystä ja erikoistuneiden lisäosien, kuten CMS-skannerin, hyödyntämistä.

Näiden työkalujen tehokas käyttö ei perustu vain niiden konfigurointiin vaan myös siihen, kuinka niitä käytetään yhdessä. Vaikka automaattiset työkalut, kuten Burp Suite, ZAP ja Nikto, voivat skannata laajasti, ne voivat myös jättää huomiotta syvällisemmät virheet, kuten liiketoimintalogiikkavirheet, tai tuottaa virheellisiä positiivisia tuloksia, jotka vievät aikaa. Tämän vuoksi on tärkeää yhdistää automaattinen ja manuaalinen analyysi. Esimerkiksi Burp Suite tai ZAP voivat löytää tyypillisiä haavoittuvuuksia, mutta niiden tulokset on aina hyvä vahvistaa käsin, jotta varmistetaan, ettei virheitä jää huomaamatta.

Nämä työkalut ovat vain lähtökohta tehokkaaseen penetraatiotestaukseen. Ajan myötä ja käytännön harjoittelun kautta opitaan tunnistamaan, milloin on järkevää käyttää automatisoituja työkaluja ja milloin on syytä uppoutua syvemmälle manuaaliseen tarkasteluun. Testaaminen ei ole vain teknistä taituruutta, vaan myös kykyä tulkita ja analysoida tuloksia oikealla tavalla.

Miten suojata web-sovelluksia tehokkailla strategioilla?

Web-sovellusten suojaaminen vaatii huolellista suunnittelua ja tehokkaita käytäntöjä, jotka varmistavat turvallisuuden kaikissa vaiheissa, aina kirjaamisesta ja lokituksesta uhka-analyysiin asti. Tärkein osa suojausprosessia on kattavan auditointijalanjäljen luominen, jonka avulla voidaan seurata kaikki turvallisuuteen liittyvät tapahtumat ja reagoida niihin nopeasti.

Ensimmäinen askel on kaikkien turvallisuuteen liittyvien tapahtumien tallentaminen. Tämä sisältää muun muassa onnistuneet ja epäonnistuneet kirjautumisyritykset, käyttöoikeuksien muutokset, tiedostojen lataukset, API-kutsut ja virheet. Lokitiedostoihin tulisi sisällyttää yksityiskohtaiset tiedot, kuten aikaleima, käyttäjätunnus, IP-osoite, pyyntömenetelmä ja kuormitus. Tällainen lokitiedon kerääminen mahdollistaa tapahtumien tarkastelun jälkikäteen ja auttaa tunnistamaan poikkeamat normaalista toiminnasta. Node.js:llä tämä voidaan toteuttaa Winston-lokituskirjaston avulla seuraavasti:

javascript
const winston = require('winston');
const logger = winston.createLogger({
  transports: [
    new winston.transports.File({ filename: 'app.log', format: winston.format.json() })
  ]
});
app.post('/login', (req, res) => {


  logger.info('Login attempt', { user: req.body.username, ip: req.ip, time: new Date() });


});

Strukturoitu lokitus, kuten JSON-muoto, helpottaa tietojen myöhempää käsittelyä ja analysointia. Tätä voisi harjoitella esimerkiksi Flask-sovelluksessa, jossa kirjaat sisäänkirjautumisyritykset ja tarkistat lokin sisällön komennolla cat app.log.

Lokeja kannattaa keskittää yhden paikan alle, jotta niiden analysointi olisi helpompaa ja tehokkaampaa. Keskitetyt lokit mahdollistavat tapahtumien yhdistämisen eri lähteistä, kuten palvelimilta, tietokannoista ja pilvipalveluista. Tällöin voidaan hyödyntää esimerkiksi SIEM-järjestelmää kuten Splunkia tai ELK Stackia (Elasticsearch, Logstash, Kibana) lokien keräämiseen ja käsittelyyn.

Esimerkiksi Logstashin määritykset voivat näyttää tältä:

plaintext
input { 


  file { 
    path => "/var/log/apache2/access.log" 
  } 
} 
output { 
  elasticsearch { 
    hosts => ["localhost:9200"] 
  } 
}

Logien siirtäminen TLS-salauksella ja pääsyn rajoittaminen autentikoinnilla ovat tärkeitä toimenpiteitä, jotta lokitiedot pysyvät turvassa. Näiden lisäksi on suositeltavaa määrittää hälytyksiä poikkeavien tapahtumien varalta, kuten monta epäonnistunutta kirjautumisyritystä lyhyen ajan sisällä tai epätavallisen korkeat API-pyyntömäärät. Splunkin avulla voidaan luoda seuraavanlainen haku:

plaintext
source="app.log" event="login_failed" | stats count by src_ip | where count > 5

Viestit voivat tällöin lähettää hälytyksiä sähköpostitse tai Slackin kautta.

Suuren määrän pyyntöjen estämiseksi voidaan käyttää rate limiting -tekniikkaa. Esimerkiksi Express.js:ssä voidaan rajoittaa API-pyyntöjen määrää seuraavasti:

javascript
const rateLimit = require('express-rate-limit');
app.use('/api', rateLimit({ windowMs: 60000, max: 100 }));


logger.warn('Rate limit exceeded', { ip: req.ip });

Tässä tapauksessa voimme estää palvelun väärinkäytön, kuten brute-force-hyökkäykset, ja saada hälytyksiä epäilyttävistä toiminnoista. Harjoituksena voi olla Juice Shopin konfigurointi rate limiting -toiminnon ja Splunk-hälytyksien avulla, ja testata niiden toimintaa Burp Suite -työkalulla.

Lokien eheys on suojattava, jotta ne eivät pääse väärennetyiksi. Tämä voidaan varmistaa tallentamalla lokit vain kirjoitettavaksi määritettyihin sijainteihin ja asettamalla tiukat käyttöoikeudet, kuten komennolla chmod 640 /var/log/app.log. Lokien eheys voidaan myös suojata käyttämällä lisättyä kirjoitustekniikkaa tai kryptografista allekirjoitusta. Esimerkiksi:

python
import hmac, hashlib
log = "Login attempt"
signature = hmac.new(b'secret', log.encode(), hashlib.sha256).hexdigest()


with open('app.log', 'a') as f:


  f.write(f"{log}|{signature}\n")

Tämä prosessi mahdollistaa lokien aitouden tarkastamisen myöhemmässä analyysissä. Pilvipalveluissa, kuten AWS:ssä, voidaan käyttää CloudWatchia ja KMS-salausta.

Lokeja tulee säilyttää vähintään kuusi kuukautta, mikä on vaadittu GDPR:ssa, mutta kriittisten sovellusten osalta säilytysaika voi olla pidempi. Lokeja voi säilyttää tehokkaasti käyttämällä suurikapasiteettista tallennustilaa tai pilvipalveluja, kuten S3, ja määrittää elinkaaripolitiikat, kuten:

bash
aws s3 cp app.log s3://log-bucket --storage-class GLACIER

Lokien kiertämisen avulla estetään lokitiedostojen korvautuminen vanhoilla tiedoilla. Esimerkiksi Apache-logien kierrätys voidaan määrittää seuraavasti:

bash
sudo logrotate -s /var/log/logrotate.status /etc/logrotate.d/apache2

Tärkeää on myös automoida lokianalyysi käyttämällä SIEM-työkaluja tai skriptejä, kuten Splunk tai ELK Stack, jolloin voidaan havaita poikkeavuuksia, kuten SQL-injektio-yrityksiä tai XSS-hyökkäyksiä.

Koko prosessi vaatii jatkuvaa valvontaa, testaamista ja päivitystä, jotta sovelluksen turvallisuus säilyy ajan tasalla ja vastaa uusia uhkia.

Web-sovellusten rakenne ja turvallisuus: Miten arvioida haavoittuvuuksia ja suojautua riskeiltä

Web-sovellukset koostuvat useista eri osista, jotka yhdessä mahdollistavat käyttäjien vuorovaikutuksen palvelun kanssa. Nämä osat ovat keskeisiä myös penetraatiotestaajalle, joka tutkii sovelluksen turvallisuutta. Sovelluksen arkkitehtuuri voidaan jakaa etu- ja taustapuoleen, joka sisältää erilaisia kerroksia ja komponentteja. Ymmärtämällä, miten nämä kerrokset toimivat ja miten ne voivat olla alttiita hyökkäyksille, voi tunnistaa haavoittuvuuksia ja estää niitä.

Etuosa, eli frontend, on se osa sovellusta, jonka käyttäjä näkee ja johon hän vuorovaikuttaa. Se vastaa ulkoasusta ja käyttäjäkokemuksesta. JavaScript on keskeinen tekijä etupään toiminnallisuudessa, sillä se tuo sivustolle interaktiivisuuden. Esimerkiksi JavaScriptin avulla voidaan luoda valikoita, tarkistaa lomakkeiden syötteitä tai päivittää sisältöä ilman, että koko sivu ladataan uudelleen. React, Angular ja Vue.js ovat esimerkkejä moderneista kehyskirjastoista, jotka helpottavat etupään kehittämistä mutta voivat myös tuoda mukanaan turvallisuusriskejä, jos niitä ei ole konfiguroitu oikein. Esimerkiksi huonosti suojattu syöte voi johtaa XSS-hyökkäykseen, jossa hyökkääjä voi suorittaa haitallista koodia käyttäjän selaimessa.

Taustapuolella, eli backendissä, käsitellään sovelluksen liiketoimintalogiikkaa ja sen vuorovaikutusta tietokantojen ja muiden palveluiden kanssa. Tietokannat, kuten MySQL, PostgreSQL ja MongoDB, tallentavat sovelluksen tiedot, kuten käyttäjäprofiilit, tuotteet tai tapahtumat. Taustakoodi voi olla kirjoitettu monilla eri kielillä, kuten Python (Django tai Flask), PHP (Laravel tai CodeIgniter) tai Java (Spring). Tämä koodi käsittelee tehtäviä, kuten käyttäjien tunnistamista, maksujen käsittelyä ja dynaamisen sisällön luomista. Hyvä esimerkki on tilanne, jossa käyttäjä kirjautuu sisään verkkosivulle: etupään lomake lähettää käyttäjän tunnistetiedot taustalle, joka tarkistaa ne tietokannasta ja palauttaa oikean istuntotunnisteen, jos tiedot ovat oikein.

Tietokannat ovat usein hyökkäysten kohteina, koska ne sisältävät arkaluontoista tietoa. SQL-injektiot ovat yksi yleisimmistä haavoittuvuuksista, joissa hyökkääjä voi manipuloida SQL-kyselyä ja päästä käsiksi tai tuhoamaan tietoja. Tietokannan suojaaminen vaatii erityistä huomiota käyttöoikeuksiin ja syötteen puhdistamiseen, sillä huonosti suojatut tietokannat voivat johtaa vakaviin tietovuotoihin.

API-rajapinnat (Application Programming Interface) ovat myös keskeinen osa moderneja web-sovelluksia. Ne mahdollistavat eri järjestelmien välisen tiedonsiirron, kuten mobiilisovelluksen tietojen hakemisen palvelimelta tai kolmannen osapuolen palveluiden integroinnin sovellukseen. Usein API:t käyttävät REST- tai GraphQL-arkkitehtuureja, ja tiedonsiirto tapahtuu yleisimmin JSON- tai XML-muodossa. API:t voivat kuitenkin olla haavoittuvia, jos niitä ei ole suojattu kunnolla. Esimerkiksi väärin toteutettu tunnistautuminen tai rajalliset pääsyoikeudet voivat tehdä API:sta alttiin väärinkäytöksille.

Sovelluksen infrastruktuuri, kuten palvelimet ja pilvipalvelut, on toinen tärkeä osa, joka vaikuttaa turvallisuuteen. Monet sovellukset pyörivät nykyään pilvessä, esimerkiksi Amazon Web Services (AWS), Microsoft Azure tai Google Cloud Platform (GCP) -alustoilla. Vaikka pilvipalvelut tarjoavat skaalautuvuutta ja joustavuutta, ne tuovat myös uusia haasteita, kuten väärin konfiguroidut säilytyskorit tai liian laajat käyttöoikeudet. Sovellukset voivat myös käyttää sisällönjakeluverkkoja (CDN) kuten Cloudflare parantaakseen sisällön toimitusnopeutta. Nämä komponentit voivat kuitenkin olla haavoittuvia, jos niitä ei ole suojattu kunnolla.

Välikerros, eli middleware, on tärkeä osa sovelluksen infrastruktuuria, mutta se jää usein vähemmälle huomiolle. Middleware yhdistää sovelluksen komponentteja ja voi sisältää esimerkiksi viestijonoja (RabbitMQ), välimuistijärjestelmiä (Redis) tai tunnistautumispalveluja (OAuth). Välikerros voi olla turvallisuusriski, jos sen konfigurointi on puutteellinen. Esimerkiksi Redis-välimuistin huonosti suojattu asennus voi altistaa sovelluksen arkaluontoisten tietojen vuotamiselle.

Sovelluksen turvallisuuden kannalta jokainen komponentti voi olla mahdollinen hyökkäyksen kohde. Etupään haavoittuvuudet voivat mahdollistaa XSS-hyökkäyksiä tai asiakaspuolen logiikan kiertämistä. Taustapuolella voi olla injektiohyökkäyksiä tai epäsecure deserialization -haavoittuvuuksia. API:t voivat altistua väärin toteutetuista pääsyoikeuksista ja tietokannat voivat vuotaa tietoa, jos pääsyoikeudet ovat liian laajat. Infrastruktuuri, palvelimet, pilvipalvelut ja CDN:t voivat olla väärin konfiguroituja ja altistua hyökkäyksille.

Esimerkiksi verkkopankkijärjestelmässä etupään käyttöliittymä voi mahdollistaa käyttäjien kirjautumisen ja tapahtumien tarkastelun. Taustajärjestelmä tarkistaa käyttäjän tiedot, kysyy tietokannasta tilitiedot ja palauttaa ne API:n kautta. Infrastruktuuri voi olla sijoitettu AWS:ään ja käyttää kuormantasaajaa ja S3-koria tapahtumien lokitiedostoille. Penetraatiotestaaja saattaa löytää XSS-haavoittuvuuden etupään hakukentästä, SQL-injektiohaavan taustakyselystä, suojaamattoman API-päätteen, joka paljastaa käyttäjätietoja, tai julkisen S3-korin, joka vuotaa lokitiedostoja. Vaikka kukin haavoittuvuus liittyy eri komponenttiin, yhdessä ne voivat johtaa vakaviin tietomurtoihin tai identiteettivarkauksiin.

Sovellusten rakenteen ymmärtäminen on perusta penetraatiotestaajalle. Se ei riitä, että tietää mitä sovelluksessa on, vaan on ymmärrettävä myös, miten osat toimivat yhdessä. Tämä on avain heikkojen kohtien tunnistamiseen ja hyökkäyksen estämiseen. Kun opit sovelluksen rakenteen ja komponenttien vuorovaikutuksen, voit lähestyä mitä tahansa sovellusta itsevarmasti ja tietoisena siitä, mistä etsiä haavoittuvuuksia ja mitä testata.

Kuinka ratkaista ristiriitaiset prioriteetit ja tehdä oikeita päätöksiä kiireessä
Kuinka mallintaa ja analysoida terveysriskien suhteita ja vaikutuksia
Miten Platon ja Aristoteles kuvastavat eri tapoja ymmärtää maailmaa Raffaelin ”Ateenan koulussa”?
Onko korkea kolesteroli todella terveysongelma?