tietoturva – Sivu 6

Lenten Reborn – miksi ei?

Posted on19.01.200906.06.2015Leave a comment

Olin tänään tutustumassa erääseen peruskoulu-lukion atk-luokkaan, jossa monen muun koulun tapaan on käytössä taiwanilaisen Lentenin Reborn-PCI-kortit, eli tietokone palautuu alkuperäiseen tilaansa uudelleenkäynnistyksen yhteydessä. Tuollaisen ratkaisun avulla esim. kioskikoneista ei tarvitse huolehtia, sillä niihin mahdollisesti tarttuneet haitakkeet poistuvat uudelleenkäynnistyksen yhteydessä.

Vaikkakin järjestelmän päivittäminen pysyvästi on mahdollista, valitettavan usein näin ei tehdä, eikä tässäkään tapauksessa. Tietokone oli asetettu olemaan valittamatta päivityksistä, ja niinpä koneesta löytyikin Windows XP SP 2 ja Firefoxista vanha 2-sarjan versio. En ryhtynyt tilanteen sopimattomuuden takia tarkemmin järjestelmää analysoimaan, mutta en lähtisi noin konfiguroidulla koneella tekemään mitään nettiselausta ihmeellisempää. Eli en kirjautuisi mihinkään, en kirjoittaisi esim. blogiani ja vielä vähemmän liittäisin järjestelmään omaa massamuistiani (=muistitikkua/ulkoista kiintolevyä…).

Kun vielä järjestelmässä kaikki käyttävät samoja tunnuksia, on tietoturva ja yksityisyys käytännössä olemattomia. Edes niin yksinkertaista toimenpidettä kuin Firefoxin yksityisyystietojen automaattista poistoa ei ollut kytketty päälle, ja näinpä vielä selaimen sulkemisen jälkeenkin seuraavalla käyttäjällä on melko vapaa pääsy edellisen käyttäjän tietoihin (keksit, välimuistit, sivuhistoria…).

Ottanen yhteyttä kyseisen kunnan IT-osastoon ensi tilassa ja tiedustelen hieman noista tietoturva-aukoista. Vähintä mitä he voivat tehdä on ilmoittaa järjestelmän käyttäjille (käytännössä siis oppilaat ja opettajat) ymmärrettävällä suomen kielellä että käytännössä kaikki syötetyt salasanat voidaan kaapata, ja näin on saattanut jo tapahtua.

Jos minun mielipidettäni korjaustoimenpiteiksi kysyttäisiin, suosittelisin maksimaalista siirtymistä Linux-verkkoon. Linux-verkossa jokaisella käyttäjällä voi olla oma käyttäjätunnus ja NFS-verkkojaossa oma kotikansio ja yhteiskansio. Muutenkin oikeuksien hallinta olisi helppoa ja worst case scenariossa käyttäjä voisi vaarantaa vain oman turvallisuutensa. Luonnollisestikin tällöinkin täytyy palvelimien ja työasemien päivityksistä huolehtia, mutta nuo voi asettaa päivittymään automaattisesti.

Jos (ja kun, näin uskon) oppilaitokset ovat myyneet sielunsa Microsoftille, hieman lievempi toimenpide olisi tehdä jokaiselle käyttäjälle oma tunnus ja verkkojakoihin oma kotikansio, kuten tiedän monien pienempienkin yhteisöjen (kuten työpaikkani, Oriveden seurakunnan) tehneen.

Mutta joo, kunhan ehdin joskus kotiinikin niin voisi laittaa sähköpostia tuosta asiasta, kirjoitan tänne sitten lisää kun heiltä kommenttia saan.

Kotiinsoittaminen on välillä ihan hyvä asia

Posted on19.12.200806.06.2015Leave a comment

Mietiskelin eräänä kauniina (tainno, ei tässä maassa taida sellaisia ollakaan, ainakaan tähän vuodenaikaan) päivänä, mitä tapahtuisi jos Asus Eee -kannettavani joutuisi hukkaan – tai even worse – varastettaisiin. Sen takaisin saaminen saattaisi olla jokseenkin hankalaa.

Näinpä päätin että koneeni saa luvan soittaa kotiin? kerran viidessä minuutissa. Tässä tapauksessa se ottaa yhteyden KServer-Secondary-kotipalvelimeeni ja välittää sille koneen ajan ja senhetkisen ulkoverkon IP-osoitteen jäljittämistä varten. Tämä kaikki tapahtuu CRON-työnä automaattisesti koko ajan, joka käynnistyskerralla. Luonnollisesti jos verkkoa ei ole saatavilla, ei kuvia myöskään siirretä.

Kuin pisteenä I:n päällä, koneeni web-kameraa käytetään tässä hyödyksi. (Pienen kikkailun jälkeen) sain sen ottamaan kuvan, johon nuo tiedot liitetään ja se sitten siirretään palvelimelle. Eee:n kamera pystyy jopa 640×480 -resoluutioiseen kuvaan, joten siitä saa jo varsin hyvin – suotuisissa valaistusolosuhteissa – selvää, kuka konettä käyttää.

Tuo kaikki on pakattu ohjelmistoon nimeltä KServer AntiTheft, ja sen voi ladata sen projektisivulta. Tein siihen palvelinkäyttöliittymänkin omaan käyttööni, ja tässäpä uusin kuva Eee:ltäni:

Uskoakseni noilla tiedoilla voisi jo toivoa koneen löytävän tiensä takaisin minulle, jos joku tyhmempi sen varastaa. Täydellistä turvaahan tämä ei tuo, mutta huomattava lisä kuitenkin. Kun vielä suojaa BIOS:in salasanalla ja estää käynnistymisen muualta kuin kiintolevyltä, ei koneeseen helposti asenneta muuta käyttöjärjestelmääkään päälle.

Vielä kun saisi tuunattua tuon web-kameran merkkivalon pois huomiota herättämästä, alkaisi paketti olla täydellinen.

Jälleen uusi uhka viestintäsalaisuudelle

Posted on16.06.200806.06.2015Leave a comment

Joskus aikoinaan ajattelin eläväni valtiossa, jossa viestintä missä tahansa muodossa ei oletusarvoisesti kuulu kenellekään muulle kuin lähettäjälle ja vastaanottajalle. Tämä niin kirjeissä, puheluissa kuin sähköisessä viestinnässä. Monet kuvaavat sen olevan osa demokraattista valtiota.

Suomessahan asiat ovatkin hyvin, mutta IT-viikon uutisen mukaan Ruotsissa valmistellaan kovalla tohinalla lakia, joka antaa jatkossa mahdollisuuden tarkkailla kaikkea maan rajat ylittävää tietoliikennettä.

Mitenkä tämä sitten koskettaa suomalaisia? Siten, että leijonanosa tietoliikenteestämme länsimaihin kulkee Ruotsin kautta. Ja varmemmaksi vakuudeksi esitän ohessa Traceroute-ajon (itse asiassa komento oli tracepath) monen suomalaisen käyttämään Wikipediaan:

rikueskelinen@kserver-1337topU:~$ tracepath fi.wikipedia.org
1: kserver-1337topU.local (192.168.1.36) 0.224ms pmtu 1500
1: 192.168.1.1 (192.168.1.1) 6.774ms asymm 2
1: 192.168.1.1 (192.168.1.1) 2.405ms asymm 2
2: a91-155-136-1.elisa-laajakaista.fi (91.155.136.1) 38.410ms
3: 139.97.10.146 (139.97.10.146) 58.654ms
4: ae1.heltli-gw1.fi.elisa.net (139.97.6.238) 40.625ms asymm 5
5: ae1-10.bbr2.hel1.fi.eunetip.net (213.192.191.49) 40.522ms
6: as0-0.bbr1.sto1.se.eunetip.net (213.192.191.210) 50.060ms asymm 5
7: so1-0-0-0.bbr1.ams1.nl.eunetip.net (213.192.191.226) 78.773ms asymm 5
8: ams-ix.ge7-1.csw1-knams.wikimedia.org (195.69.145.176) 79.179ms asymm 5
9: rr.knams.wikimedia.org (91.198.174.2) 88.708ms reached
Resume: pmtu 1500 hops 9 back 251

Ja kas kas, kukas se siellä: ”as0-0.bbr1.sto1.se.eunetip.net (213.192.191.210)”. Ruotsissa siis käytiin matkalla Wikipediaan. En nyt ota kantaa siihen, kuinka Wikipedian palvelinten kotimaassa, USA:ssa, tietoliikennettä valvotaan, vaikkakin siitäkin voisi joskus oman artikkelinsa kirjoittaa.

Edelleenkin suosittelen kaikessa liikenteessä käyttämään salattua yhteyttä. Myös niissä vähemmän arkaluontoisissa, jotta saadaan riittävästi ”taustamelua”. Valitettavan usein vain Internetin käyttö on kovin vaikeaa salatusti.

Minua vakoillaan

Posted on11.06.200806.06.2015Leave a comment

IT-viikko uutisoi tänään siitä, kuinka Suomen valtiota ja aseteollisuuden yrityksiä on vakoiltu troijalaista apuna käyttäen. Kaikkien suureksi yllätykseksi (…not) Suojelupoliisi ei antanut tietoja siitä, minne tarkalleen ottaen on hyökätty.

Veikkaisin kuitenkin että sosiaalisen hyökkäyksen, jollainen tässä siis todennäköisesti on kyseessä, pystyisi toteuttamaan yhtä lailla niin vihollisvaltio, terroristijärjestö kuin mikä tahansa muu pahantahtoinen organisaatio. Ja miksei yksittäinen Script Kiddiekin. Vaara on kuitenkin yhtäläinen riippumatta hyökkääjän alkuperästä.

Vaara? Niin, veikkaan että nämä jotka menevät kliksuttelemaan minkä tahansa klikkaa-minua.exe:n auki eivät muutenkaan ole tietoturvallisen tietojenkäsittelyn mestareita. Ja kas kummaa, jotkut ihmiset käsittelevät ihan työksensä toisten ihmisten henkilöllisyystietoja ja muita henkilökohtaisia tietoja.

Tästä taas voidaan rakentaa sellainen skenaario, että mikäli jostain syystä joku haluaisi ryhtyä identiteettivarkaaksi, olisi hänellä ”portit auki taivaita myöten” tehdä se. Ja tällainen taas on aika pelottavaa. Eikä pidä unohtaa sitä, että kirjaimellisesti valtionsalaisuuksiakin varmasti moni käsittelee tietokoneella työkseen.

Ei siinä, olen hyvin tietoinen siitä, että ECHELON tarkkailee tietoliikennettä monin tavoin, mutta en usko että se kuitenkaan salauksille vielä mitään voi, joten salaamalla liikenteen oltaisiin siltä turvassa. Mutta jossain vaiheessa salaus on purettava ihmistä varten, ja tähän väliin haittaohjelma haluaa ujuttautua tietoja urkkimaan.

Ja nyt minä kerron mitä asialle pitäisi tehdä: tietoturvaa pitäisi kasvattaa roimasti. Yksi askel voisi olla siirtyminen *nix-pohjaisiin järjestelmiin, joissa mm. omien ohjelmistojen esto on suoraan järjestelmässä, mutta eiköhän tuo onnistu myös redmondilaiselta jollain ohjelmistolla. En näe mitään tarvetta sille, että työkoneella olisi tarvetta ajaa mitään muita ohjelmia kuin niitä ennalta määrättyjä. Toisin sanoen nykyisten virustorjuntaohjelmistonen nk. blacklist-suodatuksesta täytyisi siirtyä pikaisesti whitelist-suodatukseen.

Toinen asia, mihin ei voi koskaan panostaa liikaa, on tietoturvan kasvattaminen ruudun ja penkin välissä. Käyttäjille täytyisi iskostaa kaaliin mahdollisimman kansantajuisesti että niitä linkkejä sähköpostissa ei klikkailla, vaikka sähköposti näyttäisi tulevan esimieheltä tai vaikka presidentiltä. Myös muunlaisiin hyökkäystekniikoihin (esim. phising) olisi ihmiset koulutettava suhtautumaan asianmukaisesti.

Summa summarum, nykyisellään näen että kenellä tahansa on pienellä vaivalla ja kiinnijäämisriskillä mahdollisuus hankkia mitä tahansa tietoja Suomesta, sen kansalaisista, yrityksistä ja asevoimista. Tämä on se pikku ongelma.

Sananen XSS:stä

Posted on02.04.200806.06.2015Leave a comment

Viime päivinä on Sampo pankin verkkosivu-uudistuksen takia tai ansiosta näkynyt paljon löydettyjä XSS- eli Cross-site scripting-haavoittuvuuksia verkkosivuilla. Tämä siksi, että hakkerit ovat kiinnostuneet ottamaan aiheen asiakseen ja kokeilemaan.

Mainittakoon tähän väliin se, että termillä hakkeri tarkoitan tietotekniikasta kiinnostunutta henkilöä, jota kiinnostaa tietää miten tietojärjestelmiä käytetään niinkuin niitä ei ole suunniteltu. Ja kokeilemallahan se parhaiten selviää. Hakkerilla ei ole tarkoituksena tuottaa vahinkoa kohteelleen, vaan ainoastaan tutustua asiaan siksi koska se on mahdollista. Hakkereilla on usein moraali, ja he noudattavat tiettyjä sanattomia käytössääntöjä, joihin palaan myöhemmin.

Mediat ja maallikot valitettavan usein kuitenkin mieltävät hakkerit krakkereiksi, jotka taas ovat ihan oma porukkansa. Nämä haluavat aiheuttaa vahinkoa, varastaa tietoja ja myydä niitä esim. kilpailijayrityksille. Krakkerit ovat IT-maailman murhaajia ja varkaita, ja itse en ainakaan moista menoa tue.

Mutta XSS:ään palatakseni kerron senkin, että haavoittuvuuksien keräämiseen on olemassa jo oma verkkosivustonsa, josta löytyy lista olemassaolevista ja korjatuista haavoittuvuuksista sekä muutenkin tietoa XSS:stä. Listalta löytyy myös oma kontribuutioni, SFS:n sivuilta löytynyt haavoittuvuus (näyttäisi olevan nyt korjattu).

Mutta aukkolistan alussa on tärkeä ohje, jota muutenkin haavoittuvuuksia löydettäessä tulisi pitää arvossaan: asiasta tulee ilmoittaa aina asianomaiselle. Itse ilmoitin SFS:lle eilisiltana ja nyt, alle vuorokautta myöhemmin, aukko on jo korjattu.

Tämä oli ihan oikea vastaus, mutta tiedän eräänkin verkkosivuston ylläpitäjän, jonka kanssa juttelin samalla vilkaisten heidän sivustonsa PHP-lähdekoodia. Sivusto luottaa käyttäjän syötteeseen sataprosenttisesti, ja toimintaperiaate sivujen näyttämiseen on include($_GET[’sivu’]); . Jos et tajunnut, ei se mitään.

Kerroin tietenkin tälle ylläpitäjälle asiasta. Hän ei ilmeisesti aikaisemmin ollut kuullut XSS:stä, joten selitin asian pähkinänkuoressa jotakuinkin näin: ”Tämä haavoittuvuus mahdollistaa sen, että pahantahtoisella kolmannella osapuolella on mahdollisuus käyttää sivustoa väärin, saada luottamuksellisia tietoja jne”. Tähän tämä admin totesi että ”Hakkerithan pääsee minne tahansa tekemään mitä tahansa kuitenkin”.

Tyrmistyin tämän kuullessani ja totesin edes alkeellisen suojaamisen olevan hyväksi maineen ja tietoturvan kannalta, johon sain kuulla tiukkaan sävyyn: ”sinua ei ole pyydetty neuvomaan tässä asiassa eikä se sinulle kuulu, enkä usko että ketään tämä asia kiinnostaakaan.”. No, onneksi minun tietojani ei ole tuossa järjestelmässä – eikä tule olemaankaan.

Mietinpähän vaan että kuinka monta nettisivuja pitävää PK-yritystä Suomenkin rajojen sisältä mahtaa löytyä joilla asenne tietoturvaan on lähinnä tuollainen EV(V)VK. Siltikin kannustan jokaista kynnelle kykenevää etsimään haavoittuvuuksia verkkosivuista ja muistamaan tärkeysjärjestyksen:

Löydä aukko
Ilmoita aukosta asianomaiselle
Ilmoita aukosta Cert.fi:lle
Naureskele aukolle ja ota kuvakaappauksia tyhmistä sivuista upotettuna tähän uhrisivustoon
?????
PROFIT!

Mutta siinä kaikki tältä kertaa. Ja niin, jos KServeriltä löytyy noita aukkoja niin sopii ilmoitella vaikkapa sähköpostitse.