Mennyttä ja tulevaa, osa 2017

Blogini päivitystahti on näemmä nykyään vakiintunut tähän postaus per vuosi -tahtiin, sillä vaikka tänä vuonna hyviä kirjoittelun aiheita olisi ollut viime vuotta enemmän, en kaikilta kiireiltäni ole ehtinyt kirjoittaa näistä pitkiä pätkiä. Jos kaipaat tiuhempaa tahtia, kannattaa meikäläistä seurata Twitterin puolella. Tässä postauksessa kuitenkin tutulla kaavalla vuoden 2017 kohokohdat.

Jatka lukemista >>

Uusia tietomurtoja suomalaisille sivustoille – oletko listalla?

Setan ja Over­drive.fi:n käyt­tä­jä­tie­to­kan­nat pyö­ri­vät ne­tis­sä. Voit tar­kis­taa pal­ve­lu­ni avul­la, ovat­ko tie­to­si jul­kais­tuil­la lis­toil­la.

Kuva: Davide Restivo: A Modern Hacker #1
CC-By-SA 2.0

Setan keskustelupalstan ja Overdrive.fi-sivuston käyttäjätietokannat on murrettu, ja ne on julkaistu Internetissä. Yhteensä puhutaan reilusta 45 000 käyttäjätunnuksesta. Molemmissa tapauksissa listat sisältävät käyttäjätunnuksen, salasanan tiivisteen ja sähköpostiosoitteen. Ainakin Overdrive.fi:n osalta vaikuttaa siltä, että salasanoja ei ollut suolattu, sillä eräällä listalla reilusti yli puolet palvelun tunnusten salasanoista oli saatu laskettua auki.

Viimeksi suomalaispalvelujen vuodettuja tunnuksia julkaistiin Internetissä viime vuoden lopulla, jolloin perustin palvelun, jossa voi tarkistaa, löytyykö omia tietoja julkaistuilta listoilta. Nyt palvelu toimii myös Seta- ja Overdrive-vuotojen osalta.

Itse palvelu ei kerää mitään käyttäjätietoja, eikä sellaisia järjestelmässä ole, vaan palvelu muuntaa sille annetut arvot SHA512-tiivisteiksi ja vertaa tiivisteitä vuodettujen listojen pohjalta tehtyihin tiivisteisiin. Tarkemmin käytetty tekniikka kuvataan itse palvelussa.

Jos olet rekisteröitynyt Setan tai Overdrive.fi:n palveluihin, on tietosi ehkä vaarantuneet. Ja vaikket olisi kyseisiä verkkopalveluita käyttänyt, suosittelen kuitenkin lämpimästi syöttämään käyttäjätunnuksen, salasanan ja sähköpostiosoitteen palvelun läpi siltä varalta, että tunnuksesi oli jollain aiemmin julkaistulla listalla.

Sertifikaatti palveluun on itseallekirjoitettu, ja sen MD5-tunniste on 47:cf:52:5f:ac:1f:79:30:0d:81:32:74:95:2d:af:2a .

Siirry palveluun »

Neljä riskiä vapaudelle

George Orwellin kirja Vuonna 1984 on tänään
ajankohtaisempi kuin koskaan.
Kuva: Tuntematon ajattelija
Haluan esit­tää muu­ta­man huoles­tut­tavan esi­merkin siitä, miten yksi­tyi­syy­teemme puutu­taan tai halutaan puuttua. Vastaa­van­laisia suunni­telmia on toki muitakin, mutta nämä nousivat itsel­leni – median avus­tuk­sella tai ilman – mieleen ensim­mäisenä. Komment­teihin voi jättää omia huolen­aiheitaan.

Sormenjälkirekisteri

Suomalaisen passin biotunnistee-
seen kuuluu myös asianomaisen
sormenjäljet, jotka tallennetaan
rekisteriin.
Kuva: Noble. Public Domain

Jos haluaisin matkustaa Schengen-maiden ulkopuolelle, pitäisi minun hankkia passi. Mutta nykyään myönnettävä ”biopassi?” ei oikeastaan houkuttele. Sen sijaan, että kitisisin RFID-sirun tietoturvasta, huolettaa itseäni enemmänkin passin myöntämiseen vaadittu sormenjälkien tallentaminen tietokantaan.

Kun sormenjälkirekisteriä otettiin käyttöön vuonna 2009, olivat poliitikot ja muut virkaapitävät kilvan julistamassa kansalle, että tämä kaikki on vain heidän edukseen, eikä tietoja käytetä heitä vastaan. Nyt, vuonna 2011, kuitenkin eduskunnassa mietitään, tulisiko poliisin sittenkin päästä käsiksi rekisteriin vakavien rikosten tutkinnassa.

Lapsipornofiltteri

Vuonna 2007 tuli voimaan Laki lapsipornografian levittämisen estotoimista, ja Internet-operaattorit alkoivat asentaa omia DNS-suodattimiaan vuotta myöhemmin. Asiasta pidettiin mekkalaa, eikä vähiten suomalaisen lapsiporno.info -sivun jouduttua ilman pätevää syytä estolistalle.

Jo tuolloin valveutuneet kansalaiset huolestuivat sensuuriteknologian käytöstä muihinkin tarkoituksiin, vaikka heille vakuuteltiinkin muuta. Aika ajoin maamme päättäjät keksivät, miten kansan oloja voitaisiin entisestään parantaa laajentamalla estolista koskemaan milloin vihapuheita, milloin nettipokeria. Viimeksi asia nousi tapetille sisäasiainministeri Päivi Räsäsen tutustuttua Iltalehden uutiseen Onion-verkossa sijaitsevasta Thorlaudasta, ja keksittyään että lainsäädäntöä täytyy muuttaa1.

Haittaohjelmat ja tietotekninen vakoilu

Saksassa poliisit jo tunkeu-
tuvat troijalaisineen koneel-
le. Koska Suomessa?
Kuva: Openclipart

Kirjoitin keväällä, että Suomessa on kaavailtu poliisille mahdollisuutta murtautua tietokoneelle rikoksenselvittelyä varten. Saksassa tällainen toiminta on jo käynnissä, ja saksalainen Deutsche Welle kertoi verkkosivuillaan, että joissakin Saksan osavaltioissa poliisi on käyttänyt hakkeriryhmän esille nostamaa haittaohjelmaa, ”Bundestrojania” (”Valtiontroijalainen”), jolla voidaan vakoilla käyttäjää laajemminkin kuin mitä laissa on esitetty. Poliisit ovat kuitenkin kiistäneet käyttävänsä troijalaista lain vastaisesti.

Autojen sijainnin seuraaminen tiemaksun määrittelemiseksi

Autonavigaattori on hyvä
apuväline perille löytämiseen,
mutta täytyykö Isoveljenkin
tietää, minne menet?
Kuva: Openclipart

Silloin tällöin uutisiin nousee jonkun Tärkeän Ihmisen/Ryhmittymän ehdotus siitä, että autoveron sijaan/rinnalle pitäisi kehitellä sijaintiin ja ajankohtaan perustuva tie- tai ruuhkamaksu. Viimeksi tällaista julkisesti esitti liikenneministeri Merja Kyllönen.

Pääpiirteittäin idea on se, että satelliittipaikannuksen ja kaikkiin autoihin pakolla asennettavan laitteen avulla määriteltäisiin auton sijainti, ja sitten laskutettaisiin taajamissa ruuhka-aikaan ajelevia ihmisiä. ”Mut hei eiks olis hyvä idea, et valvottais nopeuksia samalla?” ja niin edelleen.

Mitä yritän sanoa

Nostin tässä esille neljä enemmän tai vähemmän ajankohtaista poimintaa siitä, miten aluksi luodaan lainsäädäntö, joka mahdollistaa yksilönvapauden ja -yksityisyyden valvomisen tai rajoittamisen teknisesti niin, että se vaikuttaa joko moraalisesti oikealta/neutraalilta, tai vaikuttaa vain marginaaliseen ryhmään. Tällä tavoin pyritään minimalisoimaan kohu, vaikkakin Suomessa erinäiset ryhmät ovat onneksi kiitettävän valveutuneita.

Sitten kun laki on saatu läpi ja käytäntöön, alkaa luodulle tekniikalle löytyä muitakin käyttötarkoituksia. Lakia rukataan koskemaan vähän sitä sun tätä, ja ultimaattisena tavoitteena rakkaassa isänmaassamme ei tapahdu enää lainkaan rikoksia.

Mutta eikö se ole hyvä että valvotaan? Vai oletko sä joku rikollinen? Kuka meistä ei ole rikkonut lakia ja päässyt kuin koira veräjästä, kun mitään järjestelmällistä valvontamekanismia ei ole? Ihan oikeasti. Minä ainakin olen rikollinen.

Ei myöskään ole minkäänlaista tapaa ennustaa, mikä tulevaisuudessa mahdollisesti muuttuu rikolliseksi, ja minkä selvittelyyn sitten käytetään sekalaisin perusteluin luotuja valvontajärjestelmiä. Tänäkin päivänä on maita, joissa vääristä mielipiteistä päätyy hirteen roikkumaan.

En halua, että minun jokaista askeltani ja näppäimenpainallustani valvotaan yleisen edun – tai minkään muunkaan – nimissä, ja siksi vastustankin jyrkästi kaikkia yksityisyyteen edes teoreettisesti puuttuvia rajoituksia.

1) En ole varma, mitä kaikkea Räsänen on tarkkaan ottaen asiaan lausunut, mutta Piraattipuolueen kannanotosta voinee vetää jotain johtopäätöksiä.

Sananen XSS:stä

Viime päivinä on Sampo pankin verkkosivu-uudistuksen takia tai ansiosta näkynyt paljon löydettyjä XSS- eli Cross-site scripting-haavoittuvuuksia verkkosivuilla. Tämä siksi, että hakkerit ovat kiinnostuneet ottamaan aiheen asiakseen ja kokeilemaan.

Mainittakoon tähän väliin se, että termillä hakkeri tarkoitan tietotekniikasta kiinnostunutta henkilöä, jota kiinnostaa tietää miten tietojärjestelmiä käytetään niinkuin niitä ei ole suunniteltu. Ja kokeilemallahan se parhaiten selviää. Hakkerilla ei ole tarkoituksena tuottaa vahinkoa kohteelleen, vaan ainoastaan tutustua asiaan siksi koska se on mahdollista. Hakkereilla on usein moraali, ja he noudattavat tiettyjä sanattomia käytössääntöjä, joihin palaan myöhemmin.

Mediat ja maallikot valitettavan usein kuitenkin mieltävät hakkerit krakkereiksi, jotka taas ovat ihan oma porukkansa. Nämä haluavat aiheuttaa vahinkoa, varastaa tietoja ja myydä niitä esim. kilpailijayrityksille. Krakkerit ovat IT-maailman murhaajia ja varkaita, ja itse en ainakaan moista menoa tue.

Mutta XSS:ään palatakseni kerron senkin, että haavoittuvuuksien keräämiseen on olemassa jo oma verkkosivustonsa, josta löytyy lista olemassaolevista ja korjatuista haavoittuvuuksista sekä muutenkin tietoa XSS:stä. Listalta löytyy myös oma kontribuutioni, SFS:n sivuilta löytynyt haavoittuvuus (näyttäisi olevan nyt korjattu).

Mutta aukkolistan alussa on tärkeä ohje, jota muutenkin haavoittuvuuksia löydettäessä tulisi pitää arvossaan: asiasta tulee ilmoittaa aina asianomaiselle. Itse ilmoitin SFS:lle eilisiltana ja nyt, alle vuorokautta myöhemmin, aukko on jo korjattu.

Tämä oli ihan oikea vastaus, mutta tiedän eräänkin verkkosivuston ylläpitäjän, jonka kanssa juttelin samalla vilkaisten heidän sivustonsa PHP-lähdekoodia. Sivusto luottaa käyttäjän syötteeseen sataprosenttisesti, ja toimintaperiaate sivujen näyttämiseen on include($_GET[’sivu’]); . Jos et tajunnut, ei se mitään.

Kerroin tietenkin tälle ylläpitäjälle asiasta. Hän ei ilmeisesti aikaisemmin ollut kuullut XSS:stä, joten selitin asian pähkinänkuoressa jotakuinkin näin: ”Tämä haavoittuvuus mahdollistaa sen, että pahantahtoisella kolmannella osapuolella on mahdollisuus käyttää sivustoa väärin, saada luottamuksellisia tietoja jne”. Tähän tämä admin totesi että ”Hakkerithan pääsee minne tahansa tekemään mitä tahansa kuitenkin”.

Tyrmistyin tämän kuullessani ja totesin edes alkeellisen suojaamisen olevan hyväksi maineen ja tietoturvan kannalta, johon sain kuulla tiukkaan sävyyn: ”sinua ei ole pyydetty neuvomaan tässä asiassa eikä se sinulle kuulu, enkä usko että ketään tämä asia kiinnostaakaan.”. No, onneksi minun tietojani ei ole tuossa järjestelmässä – eikä tule olemaankaan.

Mietinpähän vaan että kuinka monta nettisivuja pitävää PK-yritystä Suomenkin rajojen sisältä mahtaa löytyä joilla asenne tietoturvaan on lähinnä tuollainen EV(V)VK. Siltikin kannustan jokaista kynnelle kykenevää etsimään haavoittuvuuksia verkkosivuista ja muistamaan tärkeysjärjestyksen:

  1. Löydä aukko
  2. Ilmoita aukosta asianomaiselle
  3. Ilmoita aukosta Cert.fi:lle
  4. Naureskele aukolle ja ota kuvakaappauksia tyhmistä sivuista upotettuna tähän uhrisivustoon
  5. ?????
  6. PROFIT!

Mutta siinä kaikki tältä kertaa. Ja niin, jos KServeriltä löytyy noita aukkoja niin sopii ilmoitella vaikkapa sähköpostitse.