Neljä riskiä vapaudelle

George Orwellin kirja Vuonna 1984 on tänään
ajankohtaisempi kuin koskaan.
Kuva: Tuntematon ajattelija
Haluan esit­tää muu­ta­man huoles­tut­tavan esi­merkin siitä, miten yksi­tyi­syy­teemme puutu­taan tai halutaan puuttua. Vastaa­van­laisia suunni­telmia on toki muitakin, mutta nämä nousivat itsel­leni – median avus­tuk­sella tai ilman – mieleen ensim­mäisenä. Komment­teihin voi jättää omia huolen­aiheitaan.

Sormenjälkirekisteri

Suomalaisen passin biotunnistee-
seen kuuluu myös asianomaisen
sormenjäljet, jotka tallennetaan
rekisteriin.
Kuva: Noble. Public Domain

Jos haluaisin matkustaa Schengen-maiden ulkopuolelle, pitäisi minun hankkia passi. Mutta nykyään myönnettävä ”biopassi?” ei oikeastaan houkuttele. Sen sijaan, että kitisisin RFID-sirun tietoturvasta, huolettaa itseäni enemmänkin passin myöntämiseen vaadittu sormenjälkien tallentaminen tietokantaan.

Kun sormenjälkirekisteriä otettiin käyttöön vuonna 2009, olivat poliitikot ja muut virkaapitävät kilvan julistamassa kansalle, että tämä kaikki on vain heidän edukseen, eikä tietoja käytetä heitä vastaan. Nyt, vuonna 2011, kuitenkin eduskunnassa mietitään, tulisiko poliisin sittenkin päästä käsiksi rekisteriin vakavien rikosten tutkinnassa.

Lapsipornofiltteri

Vuonna 2007 tuli voimaan Laki lapsipornografian levittämisen estotoimista, ja Internet-operaattorit alkoivat asentaa omia DNS-suodattimiaan vuotta myöhemmin. Asiasta pidettiin mekkalaa, eikä vähiten suomalaisen lapsiporno.info -sivun jouduttua ilman pätevää syytä estolistalle.

Jo tuolloin valveutuneet kansalaiset huolestuivat sensuuriteknologian käytöstä muihinkin tarkoituksiin, vaikka heille vakuuteltiinkin muuta. Aika ajoin maamme päättäjät keksivät, miten kansan oloja voitaisiin entisestään parantaa laajentamalla estolista koskemaan milloin vihapuheita, milloin nettipokeria. Viimeksi asia nousi tapetille sisäasiainministeri Päivi Räsäsen tutustuttua Iltalehden uutiseen Onion-verkossa sijaitsevasta Thorlaudasta, ja keksittyään että lainsäädäntöä täytyy muuttaa1.

Haittaohjelmat ja tietotekninen vakoilu

Saksassa poliisit jo tunkeu-
tuvat troijalaisineen koneel-
le. Koska Suomessa?
Kuva: Openclipart

Kirjoitin keväällä, että Suomessa on kaavailtu poliisille mahdollisuutta murtautua tietokoneelle rikoksenselvittelyä varten. Saksassa tällainen toiminta on jo käynnissä, ja saksalainen Deutsche Welle kertoi verkkosivuillaan, että joissakin Saksan osavaltioissa poliisi on käyttänyt hakkeriryhmän esille nostamaa haittaohjelmaa, ”Bundestrojania” (”Valtiontroijalainen”), jolla voidaan vakoilla käyttäjää laajemminkin kuin mitä laissa on esitetty. Poliisit ovat kuitenkin kiistäneet käyttävänsä troijalaista lain vastaisesti.

Autojen sijainnin seuraaminen tiemaksun määrittelemiseksi

Autonavigaattori on hyvä
apuväline perille löytämiseen,
mutta täytyykö Isoveljenkin
tietää, minne menet?
Kuva: Openclipart

Silloin tällöin uutisiin nousee jonkun Tärkeän Ihmisen/Ryhmittymän ehdotus siitä, että autoveron sijaan/rinnalle pitäisi kehitellä sijaintiin ja ajankohtaan perustuva tie- tai ruuhkamaksu. Viimeksi tällaista julkisesti esitti liikenneministeri Merja Kyllönen.

Pääpiirteittäin idea on se, että satelliittipaikannuksen ja kaikkiin autoihin pakolla asennettavan laitteen avulla määriteltäisiin auton sijainti, ja sitten laskutettaisiin taajamissa ruuhka-aikaan ajelevia ihmisiä. ”Mut hei eiks olis hyvä idea, et valvottais nopeuksia samalla?” ja niin edelleen.

Mitä yritän sanoa

Nostin tässä esille neljä enemmän tai vähemmän ajankohtaista poimintaa siitä, miten aluksi luodaan lainsäädäntö, joka mahdollistaa yksilönvapauden ja -yksityisyyden valvomisen tai rajoittamisen teknisesti niin, että se vaikuttaa joko moraalisesti oikealta/neutraalilta, tai vaikuttaa vain marginaaliseen ryhmään. Tällä tavoin pyritään minimalisoimaan kohu, vaikkakin Suomessa erinäiset ryhmät ovat onneksi kiitettävän valveutuneita.

Sitten kun laki on saatu läpi ja käytäntöön, alkaa luodulle tekniikalle löytyä muitakin käyttötarkoituksia. Lakia rukataan koskemaan vähän sitä sun tätä, ja ultimaattisena tavoitteena rakkaassa isänmaassamme ei tapahdu enää lainkaan rikoksia.

Mutta eikö se ole hyvä että valvotaan? Vai oletko sä joku rikollinen? Kuka meistä ei ole rikkonut lakia ja päässyt kuin koira veräjästä, kun mitään järjestelmällistä valvontamekanismia ei ole? Ihan oikeasti. Minä ainakin olen rikollinen.

Ei myöskään ole minkäänlaista tapaa ennustaa, mikä tulevaisuudessa mahdollisesti muuttuu rikolliseksi, ja minkä selvittelyyn sitten käytetään sekalaisin perusteluin luotuja valvontajärjestelmiä. Tänäkin päivänä on maita, joissa vääristä mielipiteistä päätyy hirteen roikkumaan.

En halua, että minun jokaista askeltani ja näppäimenpainallustani valvotaan yleisen edun – tai minkään muunkaan – nimissä, ja siksi vastustankin jyrkästi kaikkia yksityisyyteen edes teoreettisesti puuttuvia rajoituksia.

1) En ole varma, mitä kaikkea Räsänen on tarkkaan ottaen asiaan lausunut, mutta Piraattipuolueen kannanotosta voinee vetää jotain johtopäätöksiä.

Päivitys H-Townin palvelinmurtoon liittyen

H-Townilta vastattiin heille esittämiini
kysymyksiin.

Kuva: Davide Restivo: A Modern Hacker #1
CC-By-SA 2.0

Kirjoitin viikko sitten perjantaina 8.7. H-Townin palvelimelle murtautumisesta. Tiedustelin samalla H-Townilta lisätietoja asiaan liittyen. H-Townin Sales and marketing director Antti Peltomäki vastasi kysymyksiini.

Tässä päivityksessä käyn lyhyesti läpi nämä uudet tiedot. Edellistä kirjoitustani on myös päivitetty.


Peltomäki kertoo, että heidän näkemyksensä mukaan palvelimelle todennäköisesti ei murtauduttu varsinaisesti käyttäjätietojen hankkimista varten:

Lyhyesti sanottuna vaikuttaa siltä, että tietomurto oli enemmänkin kohdistettu serveriä kohtaan ja sitä käytettiin hyväksi floodaukseen. Ennen kuin meillä on tarkempaa tietoa, niin täytyy kuitenkin lähteä siitä, että myös käyttäjätiedot on saatu haltuun.

Mediassa asiasta kirjoitettiin vaihtelevalla luetun- ja kuullunymmärtämisellä, ja Peltomäki haluaa selventää myös mahdollisesti menetettyjen tietojen luonnetta:

Toisaalla uutisoinneissa taas oli kirjoitettu, että luottokorttitietojen ei epäillä joutuneen rikollisten haltuun. Tähän taas voi vastata suoraa, että tasan varmasti ei joutunut, sillä sellaisia tietoja emme ole koskaan keränneetkään. Ja asiakas- sekä tilaajatiedot taas sijaitsevat täysin toisella serverillä ja ovat siis turvassa.

Vaikka siis mitään ”kriittisiä” tietoja ei tässä menetetty, hoiti H-Town tämän asian mielestäni ihailtavan asiallisesti ja vakavasti.

Tämä ei tietenkään tarkoita, etteikö salasanojen vaihtamista silti kannattaisi tehdä, jos edellisessä kirjoituksessa mainitsemissani palveluissa tunnus on. Saman salasanan käyttö monessa paikassa on myös sellainen ongelma, johon saatan pureutua joku päivä kirjoituksessani.

Suomalaisten salasanoja väärissä käsissä

Tietomurto – todennäköisesti SQL-
injektio – aiheutti suomalaisen H-Townin
verkkosivujen käyttäjien tietojen vuotamisen.
Kuva: Davide Restivo: A Modern Hacker #1
CC-By-SA 2.0

IT-viikko uutisoi tänään, että suomalainen H-Town on joutunut tietomurron kohteeksi. Kohteena olivat yhtiön Pelaaja-, Anime- ja WoW-lehti -verkkosivujen käyttäjien käyttäjätunnukset ja salasanat. Yhtiö on ajanut verkkopalvelunsa alas ja laatinut oman tiedotteen asiasta.

Jos olet edellä mainittujen lehtien verkkosivujen rekisteröitynyt käyttäjä, lue postaukseni lopusta toimintaohjeet tietojesi suojaamiseen.

IT-viikon uutisesta voidaan päätellä, että kyseessä olisi ollut nimenomaan verkkosivujen käyttäjätunnuksiin liittyvä murto, ja näin ollen todennäköinen hyökkäystapa olisi ollut SQL-injektio.

Huom: Tähän kirjoitukseen liittyen olen julkaissut tarkennuksen omana kirjoituksenaan.

Käyttäjätietojen tallennus ja suojaus verkkopalveluissa

Useat verkkopalvelut vaativat esim. foorumia tai rajattua sisältöä varten luomaan käyttäjätunnuksen ja salasanan. Tässä tapauksessa käyttäjätunnuksena lisäksi on vaadittu sähköpostiosoitetta. Kun käyttäjä rekisteröityy palveluun, palvelu tallentaa kirjautumistiedot tietokantaan, josta se niitä tarkistaa käyttäjän kirjautuessa.

Salasana voidaan tallentaa tietokantaan usealla tavalla. Yksinkertaisinta ja vaarallisinta on tallentaa salasana sellaisenaan. Tällöin tietokantaan murtautumalla saadaan suoraan käyttäjätunnus ja salasana.

Salasanat voidaan suolata tieto-
murrosta aiheutuvien vahinkojen
pienentämiseksi.

Kuva: Riku Eskelinen/ Salasanan
suolaus. PD/CC-0

Rikollista käyttöä voidaan vaikeuttaa tallentamalla salasanasta vain sen tarkastussumma, jota ei voida suoraan muuttaa takaisin salasanaksi. Tällöin jos tiedot joutuvat vääriin käsiin, salasanan saanti vaikeutuu, muttei muutu mahdottomaksi: rikollinen voi omalla järjestelmällään kokeilla silmänräpäyksessä tuhansia variaatioita, ja ennen pitkää oikea salasana löytyy.

Yleisesti käytössä oleva tapa on ”suolata” salasana palvelimen tuntemalla sisällöllä: salasanaan sekoitetaan palvelimen tietämällä tavalla palvelimen tietämä vakiosuttu, ja tämän jälkeen koko sisällöstä lasketaan tarkastussumma. Kun tietomurto kohdistuu vain tietokantaan, tätä erillään säilytettävää ”suolaa” ei saada käyttöön, ja tietovarkaan on huomattavasti vaikeampi – joskaan ei täysin mahdoton – saada salasanaa tietoonsa.

Tätä kirjoittaessa ei ole tiedossa, millä tavoin salasana oli suojattu. Tiedustelen asiaa H-Townilta, ja päivitän postaustani vastauksen mukaan.

H-Town kertoi, että salasanat olivat MD5-tarkastussummattuja ja suolattuja. Lisäksi yhtiön kertoman mukaan hyökkäys oli todennäköisemmin kohdistettu palvelinta kuin käyttäjätietoja vastaan. Yhtiö toimi kuitenkin vastuullisesti ottaessaan käyttäjätietojen vuotamisenkin huomioon.

Kuinka tietokannasta sitten saadaan tietoja?

Jos palvelun kirjautumislomakkeen syötteentarkastus on huonosti ohjelmoitu, on mahdollista, että pahantahtoinen käyttäjä voi syöttää esim. salasanakenttään tietokannalle tarkoitettuja komentoja. Sopivasti muotoilemalla on mahdollista näin muotoilla sellainen käyttäjätunnus tai salasana, joka saa palvelimen paljastamaan tietokannan sisällön. Tällaista hyökkäystä kutsutaan SQL-injektioksi, johon viittasin kirjoituksen alussa.

Huonosti käyttäjän syöttämien tietojen tarkistava
sivusto on altis väärinkäytöille SQL-injektioiden
kautta. Kuvakaappaus ei ole todellisesta verkko-
palvelusta.

Kuva: Kuvakaappaus (ei ylittäne teoskynnystä).

Tällaisilta hyökkäyksiltä on mahdollista suojautua tarkistamalla kaikki käyttäjän syötteet, ja poistaa turvallisuutta uhkaava sisältö. Nämä keinot ovat hyvin tunnettuja, ja yleisesti turvallisena pidettyjä.

Tätä kirjoittaessa en voi varmaksi sanoa, onko hyökkäys ollut SQL-injektiotyyppinen, mutta uskoisin näin IT-viikon uutisen ja H-Townin tiedotteen perusteella. Tiedustelen tätäkin asiaa H-Townilta.

H-Townin vastauksesta ei käynyt ilmi hyökkäystapaa, mutta vastauksessa kerrottiin, että ”– ennen kuin tarkempaa tietoa on, on varminta olettaa, että murtautujat ovat päässeet käsiksi kaikkeen mitä serverillä on.”

Miksi näin käy?

Vaikka suojautumismenetelmät ovat helposti käyttöönotettavissa ja hyvin tiedossa, ihminen on kuitenkin viime kädessä vastuussa palvelun tuotannosta. En tiedä, käyttikö H-Town omaa vai jonkun muun tuottamaa ohjelmistoa, mutta ohjelmiston kehittäjä on jostain syystä unohtanut tarkistaa tämän nimenomaisen syötteen.

Vaikka ohjelmoija on todennäköisesti ollut alan ammattilainen, tapahtuu silloin tällöin kuitenkin huolimattomuusvirheitä. Useimmiten tällaiset virheet ovat varsin huomaamattomia (jos ne olisivat selkeitä, ne korjattaisiin jo ennen käyttöönottoa), ja äärimmäisissä tapauksissa ne vaarantavat ihmisten tietosuojaa ja yksityisyyttä.

Olenko vaarassa? Mitä pitäisi tehdä?

Jos olet rekisteröitynyt käyttäjä H-Townin verkkosivuilla, salasanasi on saattanut joutua vääriin käsiin ja tietosi ovat vaarassa. H-Town ohjeistaa seuraavaa:

Jos käytät samaa käyttäjätunnusta ja salasanaa muissa kuin H-Townin verkkopalveluissa, suosittelemme varatoimenpiteenä vaihtamaan salasananne välittömästi. Kaiken varalta olisi suotavaa myös vaihtaa H-Townin sivustoilla käytetyt salasanat palveluiden tullessa takaisin linjoille. 

Jos siis olet toiminut fiksusti, etkä käytä samaa salasanaa muualla, voit olla levollisin mielin – kunhan muistat vaihtaa salasanasi¹ sitten kun H-Town saa palautettua verkkopalvelunsa.

Jos käytät samaa salasanaa muuallakin (erityisesti rekisteröitymiseen käyttämässä sähköpostissasi), on tärkeää vaihtaa kaikkien näiden palvelujen salasanat saman tien. Tehtävä saattaa tuntua työläältä, mutta yksityisyytesi kannalta se on välttämätöntä.

Jos et pysty kirjautumaan johonkin palveluun, ja epäilet, että pahantahtoinen käyttäjä on muuttanut kirjautumistietojasi, ota yhteys palvelun palveluntarjoajaan. Yleensä palveluntarjoajat pitävät kirjaa siitä, mistä palveluun on milloinkin kirjauduttu, ja on mahdollista vielä pelastaa tilisi. Lisäksi jos käyttäjätunnuksiasi käytetään väärin, on kyseessä rikos, ja sinulla saattaa olla mahdollisuus yhteistyössä poliisin kanssa saattaa väärinkäyttäjä edesvastuuseen.

Yhteenvetoa

H-Townin verkkopalveluiden kirjautumistietoja on siis viety. Tässä vaiheessa en tiedä, miten hyökkäys tehtiin ja minkä muotoisena salasanat vietiin. Tiedustelen tätä asiaa H-Townilta ja päivitän postausta, kun lisää tietoa tulee saataville.

H-Townilta kerrottiin, että palvelimelle murtauduttiin, ja että saattaa olla mahdollista, että tietoja on viety, vaikka hyökkäys vaikuttikin kohdistuvan palvelinta, eikä käyttäjätietoja, vastaan.

Disclaimerina kerrottakoon, että tässä postauksessa kertomani tilannearviot ovat omiani, ja perustuvat vahvasti tekemiini oletuksiin yleiseen IT-alan ja verkkopalvelujen tuntemukseeni pohjautuen. Mikäli kirjoituksessani on puutteita tai virheitä, jätä kommenttia. Myös muutenkin kommentointi on luonnollisesti sallittua.

1) Itse olisin palvelujen palauttamisen aikaan yksinkertaisesti pakottanut jokaisen käyttäjän vaihtamaan salasanansa.

Edit 8.7.11 17.02: Älä hämäänny linkin osoitteesta. Google keksii osoitteet puolestani, ja tällä kertaa se on tuollainen. 

Edit 14.7.11 18.08: Tietoja päivitetty H-Townilta saamieni lisätietojen perusteella. Lue lisäksi kirjoittamani päivitys.