|
|
Tietoturvauutisia
meiltä ja muualta
Tälle
sivulle kokoan mediassa ja työssäni
vastaan tulevia tietoturvatapahtumia. Lisään sivulle
vain olennaiseksi katsomiani tapauksia, jotka mielestäni
antavat oikeaa ja hype vapaata kuvaa olennaisista
tietoturvallisuusriskeistä. Huumorimielellä ja
vapaasti kommentoiden. Tämä sivu ei muuten
näy oikein MS IE:llä, käytä
Firefoxia!
16 000 suomalaisen tiedot vuosivat nettiin (la 5.11.2011 kaikki valtamediat)
Uutisten
mukaan netistä löytyi la 5.11 lista, joka sisälti 16 000 suomalaisen
henkilötiedot: nimi, sähköpostiosoite, sotu, puhelinnumero ja
kotiosoite. Myöhemmissä uutisoinneissa listan arveltiin syntyneen
koosteena useammasta lähteestä ja vielä myöhemmin listan lähteiksi
arveltiin mm. työtehoseuraa sekä eri aikuiskoulutukseen liittyviä
organisaatioita. Iltalehdelle työtehoseuran toimitusjohtaja Tarmo Luoma
kommentoi, että asiakkaiden tietoturvasta huolehditaan ja että
tällaiset tietomurrot ovat aina mahdollisia kun käytetään aikaa ja
rahaa. Itse voisin Tarmolle kommentoida, että tällaisiin tietomurtoihin
ei todellakaan tarvita aikaa eikä rahaa, keskimääräinen reikä kun on
niin helppo, että lähes kuka tahansa yläasteikainen nörtti osaisi
sellaista hyödyntää ja keskimääräinen tietoturva taas on vain kasa
paperia ja hienoja powerpointteja. Niin ja vielä Cert-fi yksikön
vetäjän Erka Koivusen Ylen aamu-tv:n haastattelussa 7.11 sanoin "murron
kohteeksi joutunut organisaatio on yleensä viimeinen joka edes tietää
joutuneensa murron kohteeksi", asia on täsmälleen näin.
Niin sai
tämäkin uutinen jatkoa, oikean tietovuotojulkistusten sarjan. Samaan
aikaan eri medioissa parjattiin ihmisiä huonoista salasanoista ja
muista laiminlyönneistä, ei kuulemma tietoturvapolitiikka toteudu. Ei
tunnu tietoturvasaarnaajille aukevan että Sql injektioon ei paljoa
salasanoja tarvita.
8.12.2011
Taas uusien ja uusien tietovuotojen suma on jatkanut paisumistaan.
Mediassa on alettu vaatimaan päitä vadille ja kyselty miksei poliisi
ole saanut rikollisia kiinni. Itse osoittaisin kyllä hiukan enemmän
huomiota näiden tietovuotojen kohteeksi joutuneiden palveluiden
suuntaan, niin törkeän räikeitä tietoturvan laiminlyöntejä ja
täydellistä piittaamattomuutta tietojen suojaamisesta että hirvittää.
Vai mitä tuumaatte tästäkin netcar.fi:stä: Mysql portti avoinena nettiä
vasten ja ilman salasanaa tai tämä helistin.fi: viimeksi päivitetty
2007 ja ylläpitäjät tiesivät palvelun foorumisoftan olevan haavoittuva
ja vain odottelivat että jotain tapahtuu. Huh, kyllä
tietoturva(ttomuus) on ihmeellistä, vieläkö joku ihmettelee miksi näitä
tietoja on vuotanut?!
12.1.2012
Laajasti eri medioissa uutisoitiin poliisin kiinnisaamasta alle 15
vuotiaasta pojasta, jota epäiltiin 24 tietomurrosta sql injektio
tekniikalla. Median mukaan nyt kiinnisaatu henkilö ei liity edellisiin
massatietovuotoihin, mutta alleviivaa hyvin sen mitä tuossa ylempänä
kommentoin Tarmolle.
Viruksia ja urkintaa (HS 13.10. 2011)
Uutisten
mukaan saksan viranomaiset ovat ryhtyneet levittämään viruksia
kansalaisten koneisiin päästäkseen urkkimaan niiden tietoja. Baijerin
osavaltion viranomaiset myönsivät toiminnan jatkuneen jo vuodesta
2009, mutta toiminta on ollut laajaa myös muilla viranomaisilla. Eipä
ole saksalaisvirkamiestä paljoa haitannut sellainen pikkujuttu, kuin
tämänkaltaisen toiminnan olevan vastoin perustuslakia. Samaan aikaan
tämän uutisen kanssa alkoi suomalainen tietoturvaviranomainen CERT-FI
päällikkö Erka Koivunen haaveilemaan suomeenkin omaa hakkeri- ja
virusosastoa, aika erikoisia haaveita tietoturvaviranomaiselta
huomioiden että suomessa haittaohjelmien rakentelu ja levittäminen kun
on laitonta. Ei taida olla kummoinenkaan askel siihen suuntaan,
kun viranomaisten "tietoturva" toiminta alkaa aiheuttaa enemmän
tietoturvattomuutta ja yleensä tässä vaiheessa kaivetaan esiin
terrorismi-, kansainvälinen rikollisuus, lapsiporno- tms. ylevä peruste
laittomuuksiin.
Kommentteja 2011 Data Breach
Investigations raporttiin (Verizon RISK team)
Raportin
mukaan
ulkopuoliset hyökkääjät vastaavat edelleen valtaosasta tietomurtoja
(92%). Hyökkääjä hyödyntää puolessa tapauksista haittaohjelmia (49%),
joilla asetetaan kohteeseen takaportteja tai haittaohjelma varastaa
itse tiedot. Suurin osa hyökkäyksistä oli helppoja suorittaa, eivätkä
ne vaatineet suurta teknistä osaamista (Moderate + Low = 86%; tämän
voin vahvistaa myös oman työni perusteella!). Suuri joukko
organisaatioita valikoitui siten myös kohteeksi vain sen takia, että
heidän systeemeissään oli käytännössä sisäänkäveltävä aukko (83%),
joita hyökkääjät systemaattisesti etsivät, tosin myös kohdennettujen
hyökkäysten osuus oli merkittävä (17%). Lähes puolessa tapauksista
ulkopuolinen kolmas osapuoli havaitsi tapahtuneen murron (3rd party,
viranomaisen ilmoitus tai asiakkaan havainto = 82%). Organisaatiot
eivät siis itse huomanneet mitään, itseasiassa vain häviävän pieni
joukko organisaatioita kykeni millään tavalla havainnoimaan itselleen
sattuneita murtoja (tämä vastaa myös hyvin omia kokemuksiani).
Organisaatiot eivät osanneet tulkita edes virustorjunnan antamia
varoituksia tai havaintoja, joilla haittaohjelmien leviämistä olisi
voitu ehkäistä jo alkuvaiheessa. Hyökkääjällä kesti yleensä vain päiviä
saada kohde haltuun, kun kohteilla saattoi olla aukot huomaamatta
viikkoja, kuukausia, jopa vuosia (voin hyvin jälleen vahvistaa asian).
Windows oli odotetusti 85% osuudella ylivoimaisesti murretuin
kohdejärjestelmä, mutta raportissa huomautetaan, että tietoturva-aukot
ovat olleet sovellus, ei niinkään käyttöjärjestelmätasolla. Itse voisin
kommentoida edellistä yksinkertaisesti niin, että ilman kaikkien
haluamaa Windows työasemaa koko haittaohjelmarumba olisi täysin
marginaalista, linux tai Mac ymäristöissä ei edelleenkään ole esiitynyt
massiivisia epidemioita. Hyökkäysten kohteena oli tasavahvasti niin
serverit (57%) kuin loppukäyttäjien laitteetkin (56%), raportin tekijät
kuitenkin odottavat tulevaisuudessa mobiililaitteiden nousevan yhdeksi
merkittäväksi kohteeksi. Verkkojen salakuuntelu oli lähes
marginaalista, eli SSL suojaus näyttää purevan hyvin. Oletustunnukset -
salasanat tai muuten hyvin helposti arvattavat kredentiaalit
muodostivat 67% murroista pitäen samalla ikivanhan salasananarvaus-
(bruteforce) hyökkäyksen edelleen voimissaan (52% murroista). Tästä ei
voi todellakaan vetää muuta johtopäätöstä, kuin että tietoturvasaarnat
taitaa kaikua kuuroille korville! Takaporttien hyödyntäminen muodosti
suurimman murtoryhmän (73% tapauksista), mikä linkittyy hyvin
läheisesti haittaohjelmien hyödyntämiseen, vastaavasti myös hyökkääjät
pyrkivät aktiivisesti asentamaan itse kohteisiinsa
takaporttihaittaohjelmia. Fyysisten laitteiden kimppuunkäyminen, esim.
pankki- bensa- jne. automaattien skimmauslaitteet, oli hyvin vahvasti
edustettuna ja edusti samalla selkeästi paikallisesti organisoituneen
rikollisuuden hallitsemaa osa-aluetta. Muuten murtojen jäljet
viittasivat vahvasti itäeurooppaan (65%) ja pohjoisamerikkaan (19%).
Murtojen kohteeksi joutuneissa organisaatioissa oli havaittavissa
selkeä siirtymä kohti helpompia kohteita, ts. pankkien ja
rahoituslaitosten, vaikkakin edelleen vahvasti edustettuina (22%),
osuus on putoamassa ja tilalle ovat tulleet kaikenlaiset ravintolat,
kaupat, kioskit ja muut palvelut (yhteensä 65%).
Lulz Security mellastaa, lukuisia
tietomurtoja (Kesäkuu 2011)
Uutisten
mukaan
Lulz Security ryhmä on tunkeutunut CIA:n, Nintendon, Sonyn palveluihin,
toisessa uutisessa Citibank verkkopankista vietiin asiakkaiden tietoja
jne. jne. Uutisvirta senkuin jatkuu ja kaille näille löytyy yksi
yhteinen piirre, hyökkäys on onnistunut "yllättävien
tietoturvapuutteiden" vuoksi. Olen ainavain vakuuttuneempi siitä miten
yksinkertaistakin tietoturvaa laiminlyödään räikeästi ja systeemejä ei
tietoturvatestata. Kannattaa muistaa, että perinteinen auditointi on
pelkkää dokumenttien syynäämistä ja sanahelinää, ellei järjestelmiä ole
testattu kunnolla, ei tietoturvasta ole huolehdittu riittävästi.
Ministeriössä löytyi yli 150:ltä
tietokoneelta vakoiluohjelma Ranskassa (IT-viikko 7.3.2011)
Uutisen
mukaan
Ranskan valtiovarainministeriössä paljastui poikkeuksellisen laaja
vakoilutapaus, hyökkääjä oli päässyt sisään sähköpostin liitetiedostona
lähetetyllä haittaohjelmalla. Hohhoijaa...moneskohan tällainen
organisaatio, tuhannes, kymmenestuhannes...? En
tietoturva-asiantuntijana koskaan lakkaa hämmästelemästä sitä millä
innokkuudella organisaatiot, joiden pitäisi olla
tietoturvavalveutuneita, perustelevat erään tietyn poikkeuksellisen
haavoittuvan toimistojärjestelmän käyttöä ja luottavat virustojuntoihin
tms. teknologioihin kuin hullu puuroon. En ole koskaan kuullut
yhdestäkään laajamittaisesta vakoilutapauksesta, jossa kohteena olisi
ollut Mac- tai Linux työpöytäratkaisut mutta pakkohan se on uskoa että
tietoturva on pelkkää sanahelinää.
Verkkokauppojen ohjelmistovirheillä
huijattiin lähes 300 000 € (HS 1.3.2011)
Uutisen
mukaan
kahdelta suomalaiselta verkkokauppayhtiöltä on huijattu yli 270 000 €
harhauttamalla verkkokauppasovellusta luulemaan, että verkkopankkimaksu
on maksettu asianmukaisesti kauppiaalle. Uutisen mukaan epäillyt
yrittivät myös saada 26 000 € siirtoa kolmannelta yhtiöltä, mutta tämä
ei onnistunut. Tämä tapaus on edustaa mielestäni kaikkein selkeintä
tietorikollisuuden osa-aluetta, siellä missä raha tai suoraan rahaan
rinnastettava ominaisuus, tässä hankitut maksamattomat tavarat,
kohtaavat huolimattomuuden ja laadunvarmistuksen puutteet, syntyy aina
kupruja. Tilaisuus tekee varkaan, eikä verkkomaailma ole todellakaan
poikkeus. Ehkä kauppiaat muistavat ensikerralla että asiantunteva
haavoittuvuustestaus ei todellakaan ole rahan haaskausta, eikä
palomuureista tai virustorjunnoista ole tällaisissa tapauksissa paljoa
apua.
Tietoturvaguru Kevin Mitnick (Tivi nro
21, 10.12.2010)
Anteeksi
mikä, tietoturvaguru?! Uutisen mukaan yleisö otti Kevinin vastaan kuin
tähden ja riensipä Mikko H:kin jälleen kuvaan yhdessä tämän sankarin
kanssa. Olen toisinaan ennenkin ihmetellyt näitä tietoturva-alan
moraalikäsityksiä, mahtaisiko entinen pankkirosvo saada juhlitun
sankarin vastaanoton pankkien turvallisuuspäivillä tai raiskaaja
naisten turvallisuuspäivillä? Itse en edes pidä Keviniä hakkerina, vaan
perinteisenä pesunkestävänä huijarina, joka esiintyi milloin minäkin
kohteitaan huijatessaan. Kevin ja muutaman muukin maailmalla
vaikuttava "tietoturva-asiantuntija" on hyviä esimerkkejä siitä miten
rikos kannattaa aina ja miten lämpimästi tietoturvaihmiset syleilevät
juhlittuja sankareitaan.
Viruksesta tuli täsmäase (Talouselämä
29.10.2010 ja Stuxnet)
Uutisessa
kerrotaan teollisuuden suljettuja järjestelmiä vastaan suunnatusta
Stuxnet viruksesta ja kehuupa F-Securen Mikko Hyppönen tapausta jopa
vuosikymmenen tärkeimmäksi haittaohjelmaksi. Mikon ennustajan lahjoista
olen jo aiemmin saanut kokemusta,
mutta
nostaapa tämäkin "supervirus" jälleen kulmakarvojani ylöspäin, siis:
muistitikkujen välityksellä vanhentuneisiin Windows (!!!!!)
järjestelmiin leviävä virus joka osaa hyödyntää aiemmin tuntemattomia
aukkoja. Otetaanpa pieni gallup: käsi ylös joka yllättyi siitä että
vanhetuneesta (lue myös päivittämättömästä) Windows järjestelmästä on
a) löytynyt ennestään tuntemattomia aukkoja b) virukset voivat levitä
muistitikkujen kautta c) viruksen kohteena olivat tehtaat, joissa siis
käytetään näitä päivittämättömiä ja usein vanhentuneita Windows
koneita? Mikko toteaa vielä että viruksen koodaaminen on vaatinut
huippuosaamista, no jaa, ihan varmasti homma on suhteellisen vaikea
teinille, jonka kokemus laiteohjauksesta perustuu lähinnä X-Box
pelikonsolin veivaamiseen, mutta itsekkin teollisuuden sulautettuja
ohjausjärjestelmiä 90-luvulla koodanneena en pitäisi tätä nyt mitenkään
kummoisena koodaussuorituksena. Virus siis sääti Winkkarissa olevan
ohjausjärjestelmän parametreja haluamallaan tavalla, ei siis
todellakaan mitään koodauksen rakettitiedettä! Kokonaan toinen kysymys
on, miten paljon knowhowta on tarvittu sen tietämiseen mitä parametreja
pitää säätää ja mihin suuntaan, siihen on todellakin tarvittu
ydinlaitoksia- ja taajuusmuuttajia tuntevia insinöörejä.
Artikkelissa Fortumin
yritysturvallisuusjohtaja Juha Härkönen toteaa vielä miten
teollisuusautomaatiojärjestelmät käyttävät samantyyppistä teknistä
alustaa mitä toimistopuolella, mikä helpottaa haittaohjemien
leviämistä. Otetaanpa jälleen pieni gallup: käsi ylös joiden mielestä
tuo "saman tyyppinen järjestelmäalusta" on a) Windows b) joku muu?
Kannattaisikohan jossain miettiä hiukan näitä arkkitehtuurivalintoja?!
Yhdysvaltojen
apulaispuolustusministeri on paljastanut miten tehtiin pahin
tietoturvahyökkäys USA:n armeijaa vastaan (tietokone.fi 27.8.2010)
Uutisen
mukaan hyökkäys tehtiin siis kannettavaan liitetyllä USB muistilla,
jolla oli haittaohjelma. Apulaisministerin mukaan tapaus oli
vedenjakaja, jonka jälkeen tietoturvauhka ymmärrettiin uudella
tavalla ja tietoturvaan on sen jälkeen panostettu tuntuvasti. Itse
tulkitsen tämän niinpäin, että tietoturva on armeijan pojille ollut
tätä ennen scifi elokuvien juttuja, eikä todellisuutta ole hahmotettu
(tässäkään asiassa...). Kyseessä on ilmiselvästi ollut Windows
merkkinen kone, XP tai jopa vanhempi, jonka päivitykset ovat
todennäköisesti olleet tekemättä, päivitysten jakelu ei luonnollisesti
ole noissa olosuhteissa helppoa. Päivitykset eivät ole tässä kuitenkaan
se olennainen asia, koska haittaohjelma on todennäköisesti hyödyntänyt
ns. Zero day exploittia. Vastaavasta syystä virustorjunnasta ei ollut
juurikaan apua ja toisaalta sekin on vastavasti ollut todennäköisimmin
päivittämättä, jos sellaista on edes käytetty. Jotta haittaohjelma on
päässyt leviämään, on verkossa täytynyt olla myös Windows pohjainen
palvelinympäristö, todennäköisesti päivittämätön sekin samoista syistä,
haittaohjelmat kun eivät pysty leviämään tehokkaasti muissa kuin
homogeenisissa järjestelmäympäristöissä (sama käyttöjärjestelmä, samat
versiot, samat patch tasot, samat asetukset, samat asennetut ohjelmat
jne.). Mitä tästä siis jää jäljelle? Virusepidemia
päivittämättömässä
verkossa, jonka tietoturvallisuus on perustunut oletukselle fyysisen
turvalisuuden pitävyydestä, ts. vihulainen ei edes pääse kosketuksiin
ko. verkon kanssa, eikä kuitenkaan ole muistettu edes poistaa
kannettavien USB liityntöjä?! Ei kuulosta minusta kovinkaan mystiseltä
hakkeritapaukselta. Vastaava tilanne on hyvin tyypillinen esim.
teollisuusympäristöissä, missä tuotannon tietokoneet ovat suljetussa
omassa verkossaan, useimmiten päivittämättömänä. Eräälläkin
tällaisella tuotantokierroksella tökkäsin testinä USB tikun koneeseen
kiinni, mutta hyvin meni, Win systeemi ei tunnistanut USB:tä.
Apple hakee patenttia
mobiililaitteidensa vakoilusoftaan (fin.afterdawn.com 25.8.2010)
Uutisen
mukaan kansalaisten digioikeuksia puolustava EFF (Electronic
Frontier Foundation) oli tuonut julkisuuteen Applen suunnitelmat päästä
etäohjaamaan haluamiaan laitteita, mm. salakuuntelemaan, ottamaan kuvia
jne. Lisäksi olisi mahdollista sulkea etänä ei toivottuja laitteita.
Tämä uutinen ei todellakaan yllätä tai edes hämmästytä,
mobiililaitteiden maailma on täydellisen valvontakontrollin alla. Kun
muistaa millä innolla laitteisiin on tuotu Facebook, Twitter,
sähköposti jne. kytkökset, saadaan jo kuvaa millaisesta
vakoilupotentiaalista on kyse. Nykyään alkaa erittäin
luottamuksellisissa neuvotteluissa olla jo vakio käytäntö, ettei
neuvottelutilaan saa tuoda mitään mobiililaitteita, mikä onkin hyvin
viisasta.
Pahat pojat vaanii verkossa (HS
9.8.2010)
Verkko on
turvaton paikka, näinhän tietoturvaseminaareissa ja koulutuksissa on
toitotettu jo vuosikymmenen ajan. Vähemmälle huomiolle
tietoturva-asiantuntijoiden slaideissa on jäänyt se seikka, että
Internetin nuuskijat ovat todennäköisimmin valtion leivissä ja nostavat
kuukausipalkkaa. HS 9.8.2010 mukaan Arabian niemimaan viranomaisten
halu päästä nuuskimaan puhelinten dataliikennettä on johtamassa
rajoituksiin BlackBerry- älypuhelimen käytössä, koska niiden data
kulkee kanadalaisten palvelimien kautta, mikä haittaa kovasti
liikenteen salakuuntelua. Uutisen mukaan paikallinen teleoperattori
Etisalat yritti jo aiemmin saada asiakkaitaan lataamaan BlackBerryynsä
"päivityksen", joka paljastui (yllättyikö joku?) vakoiluohjelmaksi.
Uutisessa mainitaan, että BlackBerryn valmistaja on jo tehnyt diilin
viranomaisten kanssa useilla eri mantereilla, eikä luonnollisesti halua
juuri puhua julkisesti tehdyistä sopimuksista. Vakoilukin on businesta
ja mm. suomalainen Nokia on innokkaasti mukana teleliikenteen
valvontamarkkinoilla. Siitä vain kehittelemään mobiilisovelluksia
suoraan liiketoiminnallisiin järjestelmiin...
Eipä mennyt
kuin muutama päivä kun tämäkin uutinen sai jatkoa. Intia asetti RIM:lle
takarajaksi elokuun loppuun päästä valvomaan kaikkia BackBerryn
palveluja terrorismin torjunnan siivellä. Mahtaisi Orwellia harmittaa
jos eläisi, ettei tullut itse keksineeksi omaan romaaniinsa tuota
kaiken mahdollistavaa mahtiselitystä. Kuinkakohan monta ihmishenkeä
säästyisi, jos samalla innokkuudella torjuttaisiin vaikka
lukutaidottomuutta, nälänhätää,
kulkutauteja, aliravitsemusta...
Digitoday
uutisoi 30.8.2010 Nokian tehneen Intian viranomaisten kanssa sopimuksen
pääsystä lukemaan asiakkaiden Nokia Messaging- sähköpostiliikennettä.
Viestiliikenteen luottamuksellisuus ei busineksien edessä paljoa paina.
Hieno virka YK:ssa, EU:ssa,
kansainvälisissä tehtävissä, mikä onnen potku... (HS 9.6.2010)
Nigerialaiskirjeet
osa II: liian luottavainen maksaa aina. Kovan linjan huijarit ovat
huomanneet, ettei tavallinen "one million dollars in Nigerian Bank"
oikein pure ja ovat päätyneet tekemään hiukan taustatyötä
potentiaalisten uhrien ja sopivien tarinoiden kehittämiseen. Tarjolla
on hienoa virkaa ulkomailla asiaankuuluvine taustatietoineen, kunhan
vain hakija maksaa tehtävään nähden vaatimattoman pikku muodollisuuden
ensin alta pois jotta rekryprosessi pääsee eteenpäin. Kunnon
kusetukseen riittää kun huijarilla on sopivasti taustatietoa, jolla
saa huijattavan luottamuksen: huijari kuuluu sisäpiiriin, on tutun
tuttu, uskottava tarina/yksityiskohtia, jne. Sitten tarvitaan
ripaus uhrin ahneutta yhdistettynä sopivaan sinisilmäisyyteen ja
huijattavan skouppiin
juuri sopivan tuntuiseen kultapossuun, joka on melkein käden
ulottuvilla.
Kunnon kusetuksessa on siis oltava mukana realismia, vaikka
tuntuu tämäkin vaatimus olevan välillä kovin liioiteltu, vai mitä
tuumaavat WinCapitaan rahojaan sijoittaneet? Loppu meneekin sitten
tuttua kaavaa, huijattavaa vedätetään riittävästi, jotta kultapossu
täyttää mielen ja sammuttaa järjen valon, raha vaihtaa omistajaa,
huijari häviää kuin tuhnu saharaan ja huijattu ihmettelee miten tässä
nyt näin kävi kun minä olen niin järkevä ihminen. Tätä kysymystä
mahtanee pohtia eräskin entinen kenraali.
Kotirouvat hakkeroivat 100 000€
puheaikaa (IL 7.5.2010)
Kaksi
Leppävirtalaista kotirouvaa on syytteessä ilmaisen puheajan
lataamisesta prepaidliittymään teleoperaattori Elisalta. Uutisen mukaan
huijaus onnistui Elisan nettisivuilla olleen tietoturva-aukon (!)
vuoksi. Toinen naisista oli huomannut puheaikaa maksaessaan, että
maksusivua uudelleen käyttämällä sai ladattua puheaikaa rajattomasti.
Naiset latasivat puheaikaa myös tuttavilleen. En oikein tiedä pitäisikö
itkeä vai nauraa, onkohan Elisalla kukaan kuullut
tietoturvatestauksesta? Angstiset teinit, eli ns. kriptipennut on
saaneet vakavan haastajan kotirouvista taistelussa Internetin
herruudesta, jään odottamaan maajussien vastaiskua.
Virus vai virustorjunta? (HS 23.4.2010)
Näyttäisi
iloinen
Windows käyttäjä päätyvän kummassakin tapauksessa samaan
lopputulokseen, kone menee jumiin ja sitä ei saa enää edes
käynnistettyä. Uutisen takana on tietysti viimeaikojen menestyksekkäin
virusepidemia eli McAfeen viruspäivitys, joka iski kyntensä
svchost.exe nimiseen XP:n systeemitiedostoon. HS:n mukaan ongelmia oli
mm. TeliaSoneralla, Systembolagetissa, New Yorkilaisessa sairaalassa ja
HS:llä itsellään. Ei voi kuin ihmetellä sitä rahan, ajan ja vaivan
määrää mitä Winkkarin kaikenlaisien (tietoturva)ongelmien kanssa
painimiseen menee, eikä kynnys etsiä vaihtoehtoja tunnu ylittyvän
koskaan?
Olin
6.5.2010 Sophoksen sponsoroimassa tietoturvatilaisuudessa, jossa
luennoitsija kiivaasti varoitteli etteivät Mac ja Linux käyttäjät ole
turvassa, kunhan haittaohjelmien tehtailijat kohdistavat huomionsa
heihin. Hohhoijjaa, taitaa olla jo kymmenen vuotta siitä kun kuulin
tämänkin väitteen ensimmäistä kertaa, taidan ehtiä eläkkeelle niitä
linux haittaohjelmaepidemioita odotellessa.
Älypää pelisivustolta varastettu 120
000 käyttäjän tietoja (Yle 23.3.2010)
Hohhoijaa...yllättyikö
joku?! Niin alkeellisia tietoturvamokia tehdään jatkuvasti, että
toisinaan tuntuu koko tietoturvasta paasaaminen menevän totaalisesti
yli Web kehittäjien käsityskyvyn. En edes ehtinyt päivittää tätä listaa
edellisen itähelsinkiläisen kahvilan luottokorttitietojen varastamisen
yhteydessä, kun jo tämä uusi reikä pääsi otsikoihin. Ohessa pieni
poiminta keskusteluista murobbs.plaza.fi palstalta, jonka allekirjoitan
sataprosenttisesti:
"ps.
ylläpitäjät
nyt olisi aika tarkistaa xss/sql turvallisuus näiden tapauksien
johdosta. Ja ne passut suolataan saatana, käsittämätöntä että plain
textinä menee tietokantaan."
Suomi24
liittyi hetkeä myöhemmin tähän onnellisten korkattujen- ja
käyttäjätunnukset menettäneiden saittien joukkoon, salasanat eivät
sentään olleet tällä kertaa selväkielisinä. Samoihin aikoihin alkoi
netissä liikkua korkattuja Facebook tunnareita, joiden yhdeksi
alkuperäksi epäillään näitä em. tietomurtoja. Eikö tosiaan kannattaisi
satsata pieni summa säännönmukaiseen haavoittuvuustestaukseen?!
107,5 miljoonaa euroa kavaltanut IT
johtaja sai seitsemän vuoden tuomion (KS 19.6.2009)
Sanomalehti
Keskisuomalainen uutisoi tanskalaiselta IT-Factory firmalta
jättisumman kavaltaneen Stein Baggerin tuomiosta. Bagger oli
tullut firmaan henkilökohtaisesti esittelemään
itseään ja huippuluokan CV:tään, niin että
mies palkattiin samantien talousjohtajaksi. Eipä tullut
kenellekään edes mieleen tarkistaa sulavapuheisen nuoren
komeetan esittämiä taustatietoja, jotka olivat
täyttä sontaa niin tutkintopapereita, kuin
työkokemustakin myöten. Bagger otti jossain välissä
pienet hatkat, piilotti rahat ja ilmoittautui poliisille, rahojen
kätköpaikkaa hän ei koskaan sanonut. Aika mukavat
eläkepäivät herraa odottaa arviolta noin viiden vuoden
lepäilyn jälkeen, se tekee siis noin 21,5 miljoonaa
euroa kipurahoja per istuttu vuosi. TIVI Tietoviikkoa 18.6.2009
lukiessa tuntuu jälleen tietoturvaihmisiltä kadonneen
olennaisuuden taju, kun näyttävästi otsikoidaan
"Työntekijä on yhä suurempi turvariski" ja
tekstissä viitataan kaikenlaisiin salaustuotteisiin,
pääsynvalvontoihin, henkilöstön nettisurffailuun
jne. En väitä, etteikö perusasioiden tulisi olla
kunnossa, mutta väitän vahvasti että tietoriskien
ainainen toitottaminen viittaamalla ruohonjuuritason
työntekijöihin kadottaa olennaisuuden tajun siitä
missä ne suuret kuprut syntyy.
Pahat
pojat vaanii verkossa (HS 13.6.2009)
Tietoturva-asiantuntijat
eivät ole taaskaan olleet
väärässä, pahat
pojat vaanii verkossa. Tällä kertaa asialla on ollut
Norjan
puolustusvoimien turvallisuuspalvelu Fost, jonka mielestä
Norjan hallitus ja kuningas Harald muodostavat uhkan Norjan
turvallisuudelle ja heidän
nettiliikennettään tulee
vakoilla. Turvallisuuspalvelua ei ole paljoa hidastanut moisten
operaatioiden laillisuuden miettiminen, mutta niinhän
sitä
maailmalla tehdään kaikenlaista kansallisen
turvallisuuden
nimissä, ties vaikka löytyisi terrorismi
kytkentöjä
tai jotain.
Nokian
älypuhelimet lähettävät
käyttäjän
sähköpostisalasanat ja
käyttäjätunnukset
Nokialle (IT viikko 17.4.2009)
Aloitin
tämän sivun muutama vuosi sitten Sony BMG:n rootkitin
aikaan
ja ennustin ettei tietoturva-aukot maailmasta vähene
valmistajien
kaikessa hiljaisuudessa ratkaisuihinsa lisäämien
valonarkojen
ominaisuuksien takia ja osataanhan sitä
näköjään Suomessakin.
Tässä tapauksessa
takana voi olla vaikka "viranomaisyhteistyö" eri maissa Yahoon
tyyliin tms. Mitähän muuta luurista löytyy,
mitä ei
manuaalissa kerrota?
Yli
sataan organisaatioon murtauduttu (Yle
pääuutislähetys 29.3.2009)
Yle
uutisoi
näyttävästi tietomurtosarjasta, jonka
kohteeksi oli
joutunut lukuisia eri organisaatioita ympäri maailmaa mm.
Tiibetiläisten Dalai Laman organisaatio tms. ja
jäljet
johtivat Kiinaan. Netistä löytyy julkisia raportteja
ko.
tapauksesta esim. Cambridge Technical Report 746,
UCAM-CL-TR-746
tai Tracking Ghost Net, Investigatiing a Cyber espionage network,
Information warfare monitor March 29, 2009. Tiivistäen voisi
todeta että ei ainakaan tietoturvakonsulteilta ole
työsarka
lopussa:
*
Räikeitä tietoturvalaiminlyöntejä
kohdeorganisaatioissa (heikkoja salasanoja postilaatikoissa,
luottamuksellisien dokumenttien makailu suojaamattomana paikallisen
koneen levyllä, puutteelliset päivitykset, puutteita
virustorjunnassa jne. jne.)
*
Useat
kohdeorganisaatiot eivät edes huomanneet joutuneensa
hyökkäyksen kohteeksi, vaikka
hyökkääjät
mellastivat täysin avoimesti ilman
minkäänlaista
jälkien peittelyä
*
Luotettiin täysin sähköpostiin (=availtiin
mitä
tahansa liitetiedostoja) kun meili näytti tulevan luotetulta
taholta
*
haittaohjelmien leviämisen kanssa meni heti kädet
suuhun, eikä ongelmia saatu rajattua
Listaa
olisi voinut jatkaa vaikka kuinka, kaiken takana tietysti Winkkarit ja
Outlook joiden murtaminen ja täydellinen haltuunotto sujui
käden käänteessä. Hohhoijaa...niin
helppoa
hyökkääjillä on ollut,
että aivan varmasti
näihin organisaatioihin on murtauduttu jo aiemminkin, he
eivät vain silloin ole vielä huomanneet
sitä.
Kannattaisikohan käyttää vaikka salausta,
vaikeammin
murrettavissa olevia ympäristöjä Winkkarin
sijaan ja
sijoittaa vaikka muutama ropo kunnon
tietoturva-asiantuntijaan.
Pokeritähti
Patrik Antoniukselta huijattiin 500 000 € (iltasanomat.fi
18.2.2009)
Tunkeutuja
pelasi netissä maailmanluokan pelaajia vastaan ja pyysi
heitä
MS Messengeriin keskustelemaan kanssaan, mesen kautta hän sai
ujutettua troijalaisen vastustajiensa koneelle ja näki
heidän
korttinsa, eikä Patrik ollut suinkaan ainoa huijattu.
Jäätyään kiinni huijauksesta,
tunkeutuja katosi
jäljettömiin rahat mukanaan. Huh,
tämä tapaus
ansaitsee mielestäni kiistamattoman ykköspaikan
nettirikollisuuden kategoriassa: 1) kohdistettu
hyökkäys 2)
mukana annos social engineeringia 3)
Hyödynnetään
ovelasti tietoturva-aukkoja 4) huijaus onnistuu ja tekijä
pääsee vielä rahojen kanssa pakoon. Tapaus
tuo vahvasti
mieleen hakkerien elävän legendan Kevin Mitnickin,
Patrik ja
muut kumppanit maksoivat todella kovan hinnan Windows
uskollisuudestaan.
Top 6
verkkohuijaukset (kauppalehti.fi 10.2.2009)
Tässäpä
nämä:
1. Olet
voittanut palkinnon
2.
Lottohuijaus
3.
Nigerialaiskirjeet
4.
Tee maksusta töitä
5.
Sijoitushuijaus
6.
Identiteettivarkaus (Facebook, Linked In tiedot)
Krooh
pyyh...tässäkö tosiaan nettihuijareiden
paras
A-ryhmä? Jo pelkästään Spam
suodattimeni pudottaa
viisi ensimmäistä ja kuudennellakin on kohtalaisen
vaikea
saada mitään rahanarvoista hyötyä
irti. En oikein
pidä Wincapitaakaan mitenkään lahjakkaana
tapauksena,
kymmenien tai satojen prosenttien voittoja kun ei ole olemassa, jos
olisi muutkin tekisivät samaa businesta. Jään siis
vielä odottamaan oikein kunnon nettikusetusta.
Logica
joutui häätämään
verkkomatoa (Tivi 16.1.2009)
Yhtiön
Windows toimistoverkkoon pesiytyi mato jota jouduttiin
häätämään ja samalla
nuhtelemaan F-Securen
torjuntaohjelmistoa. On tämä vaan mielenkiintoista
tämä tietoturva-ala, autuaaksi tekevä
pyhä
lehmä on aina ollut virustorjunta, mantraa ovat hokeneet niin
kirjat, konsultit kuin mediakin, mutta kuinkas
kävikään
ja kukaan ei taatusti edes ihmettele miksi
käytössä on
sellainen järjestelmä joka ei pysy kuosissa edes
kolmannen
osapuolen rahalla maksetuilla tuotteilla? Ai niin, linuxini ei
edelleenkään edes tarvitse virustorjuntaa,
siinä
tietoturvallisuus ja TCO kustannus lyövät kivasti
kättä yläviitosella.
Microsoft
julkaisee 17.12.2008 hätäpäivityksen
Internet Explorer selaimen tietoturva-aukkoon
Kyseessä
on kolmas hätäpäivitys kahden vuoden
sisään,
kyllä taas mieltä
lämmittää alla
hyrräävä linux, toisaalta miljoonat
kärpäset
eivät voi olla väärässä,
scheisse on pakko
olla hyvää.
Saksan
hallitus hyväksyi poliisille oikeudet kotitietokoneiden
etäurkintaan (HS 4.12.2008)
Saksan
hallitus on antanut poliisille oikeudet mm.
yksityishenkilöiden
tietokoneiden etäurkintaan terrorismin torjuntaa varten
(yllätys). Mielenkiintoiseksi asia menee kun pohditaan miten
tämä etäurkinta
käytännössä
toteutetaan? Onko Windowsissa jo valmiina kätevä
"etäurkinta toiminnallisuus" vai ryhtyykö Saksan
poliisi
palkkaamaan hakkereita kehittämään
haittaohjelmia ja
uusia takaportteja vai ryhdytäänkö
rahoittamaan pimeiden
markkinoiden haavoittuvuuksien kauppaa ostamalla takaporttikoodit ja
tiedot suoraan hakkeriryhmiltä? Lisäksi suurin osa
kotikäyttäjien ISP:eistä tarjoaa osoitteet
DHCP:llä, eli millä poliisi varmistuu kenen koneeseen
he
meinaavat milloinkin murtautua? Vastaanpa itse osittain: jep,
Winkkarissa on etäurkintaan tarvittavat toiminnallisuudet
olemassa ja suomalaisetkin viranomaiset ovat jo käyneet opissa
uusista mahdollisuuksista, ai hämmästyikö
joku?!
Amerikkalaisen
roskapostittajan sulkeminen verkosta vähensi
merkittävästi roskapostia suomessa
Itse
huomasin tämän todella konkreettisesti, roskaposti
väheni noin neljäsosaan normaalista!
Tässä laajasti
uutisoidussa tapauksessa saatiin siis vihdoin McColo niminen
palveluntarjoaja suljettua verkosta. Amerikkalaiseen "business
etiikkaan" kuuluu periaate, että rahaa saa tehdä
keinolla
millä tahansa ja ei siis ihme ettei tätä ja
lukuisia
muita vastaavia tahoja ole saatu aiemmin pois verkosta vaikka
roskapostittajat ovat taatusti tiedossa. Tietoturvapiireissä
on
vuosia puhuttu
epämääräisistä
itäeurooppalaisista rikollistahoista yms. ja onpa Hannu H.
Kari
ennustanut internetin romahdustakin vuodelle 2006, taustalla on
pitkälti kuitenkin iloiset amerikkalaiset busineksen
pyörittäjät nerokkaine liikeideoineen.
Symantec julkisti
25.11.2008 laajasti uutisoidussa tutkmuksessaan tietoja identiteetti-
ja luottokorttitietokaupasta ja niin ikään
totesi businesta johdettavan Pohjois-Amerikasta
käsin.
Linus
Torvalds arvostelee tietoturvasirkusta (Digitoday 16.7.2008)
Linus
suomii kovin sanoin tietoturvapiirejä tietoturvabugien
hehkuttamisesta ja nostamisesta elämää
suuremmiksi
asioiksi. Linus on mielestäni kommenteissaan täysin
oikeassa,
tietoturva-alalle pätee mitä suuremmassa
määrin
slogan "Image is everything". Tietoturva-ala pyrkii julkisuutta
hyödyntämällä alleviimaamaan omaa
tärkeyttään ja varmistamaan businekset. Itse
olen
huomannut Hypen vaikutuksen myös niin päin
että
normaalia tietoturvatyötä, kuten systeemien
huolellista
ylläpitoa, aliarvostetaan ja kuvitellaan tietoturvan olevan
vain
rahalla ostettava tuote.
Ahvenanmaalainen
mies sai ehdotonta vankeutta peliyhtiö Paf:in huijauksesta
(Metro 5.6.2008)
Tämä
on mielestäni kaikkein parhaiten uuden ajan tietoyhteiskunnan
tietoturvariskejä kuvaava tapaus. Espoolainen mies huomasi
virheen
peliyhtiön järjestelmässä, kun
tililtä
toiselle siirrettyä rahaa ei veloitettukaan
siirretyltä
tililtä. Miehen onnistui myös saada selville
missä
kulkee peliyhtiön omalle tilille siirrettävien
voittovarojen
hälyytysraja ja siirsi rahoja itselleen juuri
tämän
rajan alle menevissä 9000 € erissä. Parissa
päivässä rahaa pelitille siirtyi miljoona ja
pienessä hetkessä omallekin tilille puoli miljoonaa.
"Ahneella on paskainen loppu" sanoo vanha kansanviisaus ja
niinhän
tässäkin häkki heilahti. Tapaus kuitenkin
kertoo
siitä, miten rahaa tai rahaan rinnastettavia oikeuksia
käsittelevien järjestelmien
määrä kasvaa ja
niitä löytyy jo muitakin kuin perinteinen
nettipankki.
Kelan
verkkopalvelu avasi asiakkaalle sivullisen tiedot (HS
20.5.2008)
Erittäin
mielenkiintoinen tapaus ja osoittaa jälleen kerran,
että
sähköisiin palveluihin on syytä toteuttaa
tietoturvatestausta. Valtava
käyttäjämäärä
(tässä 1,5 milj.
kertaa 2007), vuosien käyttökokemus (avattu 2004) tai
se
ettei mitään oltu tähän saakka
havaittu takaa
loppupeleissä mitään.
Tähän
Kelan tapaukseen tuli mediassa myöhemmin lisätietoa,
jonka mukaan toisen pankin normaalit
käyttäjätunnukset olisivatkin olleet samaan
aikaan myös toisen pankin aivan toisen asiakkaan Kela tiedot
avaavia tunnuksia. Käyttäjä siis oli
käyttänyt normaalisti listalla seuraavana olevia
tunnuksia, mutta klikannutkin vahingossa
väärän pankin logoa, jolloin
väärä sessio avautui. Ottaen huomioon
asiantuntijoiden ilmoittamat todennäköisyydet
tällaiseen sattumaan, on tapaus aika uskomaton.
F-Securen
Linux security 7.00 ohjelma vaarantaa
käyttäjän koneen (IT Viikko 16.5.2008)
Tämä
on jo toinen kerta kun F-Secure pääsee tälle
listalle. Olen jotenkin aina ollut siinä uskossa että
virushemmot tietävät koodauksesta melkein kaiken,
onhan osa viruksista mitä loistavinta koodausosaamista.
Eipä taida osaaminen kuitenkaan riittää
laadunvarmistukseen ja testaukseen saakka. Jälleen totean,
että jos F-Securellakin pääsee
tämän tasoisia mokia läpi, mitä
"laatua" on perusbulkkituottajien koodi? Ai niin, kaupallista
koodiahan ei saa arvostella, sika säkissä
kun on monen mielestä laadun tae avoimeen verrattuna.
Netin
sijoitusrinki Wincapita katosi rahoineen jäljettömiin
Tämä
on mielestäni aivan loistava esimerkki ihmisten kusettamisen
siirtymisestä nettiin. Nigerialaiskirjeet ovat kivikautta, nyt
toimintaa jatketaan ja uskottavuutta luodaan
riittävän
pitkään, jotta potti ehtii kasvaa tarpeeksi, "image
is
everything" on joku viisas joskus lausahtanut. Tässä
oli
kyseessa vanha tuttu pyramidihuijaus yllättäen
panamalaiseen
veroparatiisiin rekisteröidyn yhtiön voimin. Uusia
yrittäjiä uusin konstein tulee varmasti, ilmaisiin
lounaisiin
uskovia kun riittää aina
Sampopankin
järjestelmäuudistus
pääsiäisenä 2008
Tälle
surkealle sähläykselle kuuluu ehdottomasti vuoden
tietoturvakukkanen palkinto:
- Emoyhtiön
alustassa alkeellisia tietoturva-aukkoja, joiden on julkisuudessa
sanottu olleen siellä jo vuosia
- Pankin
verkkosivut nurin
- Vääriä
ja tai puuttuvia tilisiirto- ja saldotietoja
- Vääriä
veloituksia tileiltä
- Vääriä
velkasitoumuksia
- Vääriä
selitetekstejä tilitapahtumissa
- Pankkikortit
lakkasivat toimimasta
- Tilejä
katosi asiakkaiden näkyviltä
- Tilille
tulleiden maksujen suorittajien tietoja katosi
Oman
surkuhupaisan
lisänsä "uudistukseen" toi vaatimus asiakkaille,
että
näiden on hommattava uudet PC:t ja asennettava Java kikkulat,
jotta koko hässäkkä edes toimisi.
Yllättäen
lukuisat ei Win käyttäjät firefox tms.
selaimineen
törmäsivät ongelmiin. Kaiken kruunasi pankin
tiedotuslinja, jossa ensin haukuttiin asiakkaat, kun
nämä
tukkivat uudet hienot järjestelmät
yrittämällä
käyttää niitä ja kiistettiin muut
ongelmat. Huh,
onneksi en ole asiakas.
Tätä
kirjoittaessa Sampopankin ongelmat ovat jatkuneet jo melkein kolme
viikkoa. Härdelliä lisäsi vielä ke
9.4 sattunut
tietoliikennelaitevika, jonka seurauksena pankkikortit lakkasivat
toimimasta. Koko operaatiolla tavoitellaan 80 miljoonan
säästöä IT kustannuksissa. Halvalla
ei saa
hyvää on joku joskus todennut, saapa
nähdä miten
tämä tarina päättyy.
Elokuun
lopussa
Sampopankilla on edelleen teknisiä ongelmia ja julkisuudessa
olleiden tietojen mukaan pankki menetti n. 30 000 asiakasta.
Toivottavasti joku sisäpiiriläinen uskaltaa joskus
kirjoittaa
kirjan tästä IT projektikukkasesta.
Ruotsissa
yritettiin pankkiryöstöä tietokoneen
kauko-ohjaimella (HS 31.1.2008)
Ryöstöä
yritettiin pankkivirkailijan
työpöydän alle kiinnitetyllä
kauko-ohjaimella, virkailija kiinnitti asiaan huomiota, kun hiiri
liikkui ruudulla itsekseen ja nykäisi virrat koneesta.
Tässä oli jo mielestäni jonkin verran
nettiryöstön yritystä, rosvot eivät
vain osanneet koodata ja yrittivät tällaista
näppis - hiiri - kuvaruutu - kaappausta
Meklari
aiheutti 4,82 miljardin tappiot ranskalaispankille (012008)
Sanotaan
että erehtyminen on inhimillistä ja
todelliseen emämunaukseen tarvitaan tietokone, sopivasti
oikeuksia ja pikkunäppäryyttä. Taitaa
tämä
tapaus periä vankkumattoman munausten kärkipaikan,
vaikka
toisaalta näitä meklarien pikku
töppäyksiä
tuntuu sattuvan, joten eihän
sitä
koskaan tiedä. Vai vieläkö joku muistaa Nick
Leesonin ja Bearings pankin? On se vaan
tietoturva ihmeellistä ja tämäkin pankki on
taatusti auditoitu moneen kertaan
Teliasonera
hukkasi 300 000 tuhannen asiakkaan sähköpostit
(012008)
Löytyy
korkean
käytettävyyden palvelinfarmia, spammisuodatusta,
kulunvalvontaa, henkilöiden taustaselvityksiä,
verkonvalvontaa, palomuuria ja vaikka mitä
tietoturvahilavitkutinta. Ja koko homma romahtaa, kun sattuu niinkin
ihmeellinen tilanne, että työntekijä sattuu
vaihtamaan hommia. Taitaa olla vähän niin kuin
ruotsalainen jauheliha, näyttää paketissa
hyvältä.
PDF
tiedostoissa vakava haavoittuvuus (092007)
Vaikka
sitä on kuinka kyyninen hyvänsä, niin
näköjään sitä aina joutuu
tarkistamaan omia oletuksiaan. Uskoin itsekkin tähän
saakka, että Adobe olisi älynnyt
pitää PDF:n
puhtaana ShellExecute() tyyppisistä toiminnallisuuksista,
joilla joidaan kutsua ulkoisia ohjelmia, mutta ei sitten
näköjään. Toisaalta voihan
tässä vierittää teknisen syyn
Mikkisoftan niskaan, koska sen funktio suorittaa iloisesti
PDF:ltä saamiaan
URI(mailto:test%../../../../../../../../windows/system32/...
tyyppisiä komentoja mielestään validina
URL:ina. Tämäkin bugi on niin triviaali,
että se on taatusti ollut kovien poikien tiedossa jo
pitkään, ammattilainen olisi
löytänyt tämän
pystymetsästä
lähtiessäänkin parissa
päivässä. Muutama vuosi sitten Blackhat
paneelissa hakkerit arvelivat yhteen ääneen,
että jokainen julkiseksi tullut reikä on ollut
vähintään vuoden pienten piirien tiedossa ja
julkisuus koittaa vasta sitten, kun pieni piiri on kasvanut jo liian
isoksi ja ao. tiedosta on tullut bulkkia
Pahat
pojat verkossa
IT-viikko
uutisoi 27.9.2007 miten ruotsalainen torrent tracker Pirate
Bay on tehnyt rikosilmoituksen
verkkohyökkäyksistä sitä vastaan.
Ilmoituksen mukaan hyökkäysten takana ovat olleet mm.
Twentieth Century Fox, Emi music, Universal Music Group, Universal
Pictures jne. jne. Kaikissa viimevuosien tietoturvaseminaareissa
asiantuntijat ovat yhteen ääneen kertoneet, miten
hakkerointi on muuttunut yhä ammattimaisemmaksi. Jep
näinhän se on ja palkkaahan siitä
pitää saada, työnantajan nimi on vain
ehkä jotain muuta, mitä edellisissä
seminaareissa on maalailtu. Eräissä tulevaisuuden
kriisienhallintaa käsittelevissä artikkeleissa on
arveltu konfliktien muuttuvan yhä enemmän oikeuksien
omistajien ja suuryhtiöiden sodaksi niiden puolustaessa
globaaleja taloudellisia etujaan, taitaa sota verkossa olla jo alkanut
Nettisodankäynnin
alkamista kommentoi mm. Jyrki Kasvi Blogissaan 6.1.2008
Suuri on
kaunista tietototurvamarkkinoilla 2007
Tietoturvaa
halutaan edelleen ostaa valmiina laitteena, jonka voi
asentaa ja unohtaa, nice and easy, plug'n'play. Tietoturvamarkkinat on
suuriin päin, isot asiakkaat ovat valmiita maksamaan helposti
suolaisia hintalappuja plus vuosiluontoiset tukimaksut tms.
päälle saadakseen markkinoiden suurinta ja kauneinta.
Asiakkaat haluavat maksaa saadakseen:
- Mielikuvat
siitä, että kaikki voitava on nyt tehty parhaiden
käytäntöjen mukaan ja voidaan nukkua
yö rauhassa
- Vastuun
siirto, eli mahdollisissa tietoturvatapahtumissa voidaan
vierittää syy ao. ratkaisuille ja niiden
toimittajille ja vedota edelliseen
täplään
- Mielikuva
siitä, miten paljon voisi sattua ellei olisi
tätä xyz ratkaisua (näin perustellaan
TCO)
- Kallis
on
pakko olla hyvä, eli mielikuva siitä, että
ratkaisu tekee kaiken sen, mitä myyntitykki on
luvannut
Näillä
markkinoilla keisari saa olla rauhassa ilman vaatteitakin, mielikuvat
kun ovat todellisuutta tärkeämpiä. Harvassa
paikassa edes kiinnostaa missä tietoturvatasolla oikeasti
mennään ja tällaisien investointien
jälkeen kiinnostaa vielä vähemmän,
tietoturva kun on nyt kerralla hoidettu
Ernst
& Youngille raskaat syytteet veronkierrosta (HS 31.5.2007)
Aikaisemmin
syytettyjen penkillä istui KPMG, joka selvisi
pälkähästä maksamalla satojen
miljoonien sakot amerikkalaisille
syyttäjäviranomaisille, nyt samasta luovan
kirjanpidon konsultoinnista on joutunut
käpälälautaan Ernst & Young. Aika
vekkuleita nämä suuret kirjanpidon ja
riskienhallinnan ammattilaiset ja oli selityksetkin aivan omaa
luokkaansa "me tehtiin kun kaikki muutkin teki", jep jep. Ai
mitenkä tämä liittyy tietoturvaan? Samaiset
yhteisöt tienaavat tolkuttomia summia
myymällä SOX (Sarbanes Oxley Act) kontrollien ja
valvontajärjestelmien konsultointia, joilla vilpit
pitäisi saada kiinni, toinen paikka
kiinnijääntiin on tietysti tilintarkastus, jota
yllätys yllätys tekevät jälleen
samat tahot. Piiri pieni pyörii
Suomalaiselle
rakennusfirmalle yli sadan tonnin rapsut ohjelmistopiratismista
(Taloussanomat 24.5.2007)
Tietoriskien
hallintaa tai tässä tapauksessa
pikemminkin hallitsemattomuutta tämäkin.
Hyvä homma, mitä tarkemmin lisenssirikkeitä
valvotaan, sitä enemmän alkaa yrityksiä
kiinnostamaan lisenssivapaat vaihtoehdot, kuten Open Source.
Monessakohan paikassa on edes laskettu, mitä pelkkä
hallintakoneisto siitä, että osataan maksaa oikein
maksaa?
KPMG:n
selvityksen mukaan väärinkäytöksiin
syyllistyy lähinnä ylin johto (HS 22.5.2007)
Uutisen
mukaan ylin johto on takana yli 60% yrityksissä
ilmenevistä rötöksistä ja yleisin
rötös on varojen
väärinkäyttö tai kavallus.
Niinpä niin, tietoturvapiireissä
työntekijää on pidetty jo vuosia suurimpana
uhkana työnantajalleen, on vaadittu oikeutta
sähköpostien lukemiseen, Internet surfailun
seurantaan, valvontakameroihin ja kehitetty jos jonkinlaista
teknistä seurantasysteemiä. Olin itsekkin hetki
sitten seminaarissa, jossa amerikkalainen forensics asiantuntija
kertoi, miten esimerkiksi Firefox selaimen käyttö
IE:n sijaan voi olla todiste yhtiön policyn vastaisesta
toiminnasta. Onkohan puurot ja vellit menneet jossain kohtaa
vähän sekaisin?
Hajautettuja
palvelunestohyökkäyksiä suomalaisille
palvelimille (2007)
Media
innostui tästä tapauksesta oikein tosissaan.
Rustasivatpa toimittajat uutisia, joissa hyökkäyksen
kohteeksi joutui sellaisiakin palvelimia, joissa oli normaaleja
huoltokatkoja. Kyseessä on tahallinen toiminnan
häirintä ja sinänsä rikollinen
teko, joka pitää ilman muuta tutkia ja saada
loppumaan. Toisaalta voi myös pohtia
pitääkö julkinen WWW sivusto olla jatkuvasti
24/7 saavutettavissa? Eräs administraattori pohti asiaa
tähän tapaan "Netissä joskus
vähän myrskytuuli puhaltaa, mutta kun odotellaan
tovi, niin taas aurinko paistaa". Näissä
hyökkäyksissä ei päästy
sisälle minnekään, ei saatu rikki
mitään, eikä kohdepalvelimille ole annettu
muutenkaan mitään 24/7 palvelutakuita, joten voi
pohtia miten suuresta uhkasta yhteiskunnalle loppujen lopuksi oli kyse
Hovin
tuomiot Soneran teleurkintajutussa
Aika
monessa organisaatiossa on venytelty omia laintulkintoja
tietoturvallisuuden nimissä. Onneksi tämä
tapaus muistuttaa jälleen mieliin, että laki on
ainakin suurinpiirtein sama kaikille, vaikka kuinka tekisi mieli tai
olisi korkea asema
Ruotsalaiset
urkkijoina
Vanha
slogan Internetistä turvattomana paikkana sai taas uutta
pontta, kun Ruotsin nerokas porvarihallitus päätti
suuressa viisaudessaan laatia lain, joka sallisi sotilastiedustelulle
luvan salakuunnella kaikkea rajat ylittävää
viestiliikennettä. Esitys sai yllättäen
vastustusta mm. Suomesta, jonka
käytännössä kaikki ulkomaanliikenne
kulkee Ruotsin kautta. Onpa iso osa kotimaisista
sähköpostipalvelimistakin lahden takana.
Esitystä sittemmin kommentoitiin, että eihän
me nyt Suomalaisia seurattaisi, vaan terrorismia ja
kansainvälistä rikollisuutta (no jopa oli taas
yllättävät perustelut!). Asiaan tuo oman
kivan jännittävän lisänsä
se, että valtuudet olisivat huomattavasti laajemmat kuin
poliisilla, jonka toimenkuvaan sentään rikollisuuden
torjunta kuuluu ja poliisilta edellytetään
yleensä oikeuden päätöstä
tai vastaavaa perustetta valvontatoimiin. Toinen Ruotsalaisten
perustelu on kanssa ollut aika erikoinen "onhan me
näitä kuunneltu ennenkin", lausumia on tosin
jälkeenpäin vedetty hieman takaisin. Onneksi laki
jäi lepäämään, mutta
eipä taida yksityisyydensuojasta olla enään
paljoa jäljellä
Poliittiset
piirit hakkeroimassa
Missä
vain puutteelliset suojaukset,
näppäräsormiset nörtit ja
kiinnostava informaatio kohtaavat, alkaa
näköjään tapahtua. Ensin
ehtivät ruotsalaiset kunnostautua hakkeroinnin saloissa, vaan
eipä mennyt kauaakaan, kun meikäläiseenkin
poliittiseen peliin ilmestyi uusia tiedonhankintatapoja (HS 16.9.2006).
Vanha rikosturvallisuuden ohje sanoo, että tilaisuus (= huono
suojaus), pieni kiinnijäämisen riski
(=vähintäänkin oletus puutteellisesta
teknisestä valvonnasta) ja motivaatio (=informaatio on
riittävän houkuttelevaa) kumuloituu helposti
ajatuksista teoiksi. Pohdinnan paikka on puolestaan se, mitkä
edellisistä muuttujista on sellaisia joihin kunkin
organisaation tietoturvahallinnassa kannattaisi
kiinnittää huomiota, jälkipyykki kun on
keskimäärin paljon
ikävämpää, kuin
ennaltaehkäisy
Nokia
urkki 418 henkilön sähköpostia (Digitoday)
Tietoturvaihmiset
ovat jo vuosia saarnanneet siitä, miten
Internet on turvaton paikka, totuus on kuitenkin taas tarua
ihmeellisempää. Suurimman tietoturvauhkan ovat
muodostaneet organisaatiot itse
epämääräisillä
"tietoturvaselvityksillään". Jostain
ihmeellisestä syystä tietoturvasektorilla
työskentelee paljon sellaisia henkilöitä,
jotka surutta ajattelevat olevansa lain ja hyvien tapojen
yläpuolella, koska selvityksiä
tehdään yhtiön tai organisaation edun
nimissä. Eräskin entinen kollega kunnostautui jo
90-luvun lopulla sähköpostien salakuuntelussa
tietoturva-auditointien siivellä ja työskentelee
alalla edelleen. Tällaisesta persoonallisuustyypistä löytyy muuten
lukuisia kuuluisia raportoituja psykologisia testitilanteita, joissa
hemmot olisivat surutta antaneet mm. tappavia sähköiskuja uhreilleen
vain ja ainoastaan auktoriteetin niin vaatiessa. Niin, insinöörit ne
aikanaan kaasukammiotkin suunnitteli...
Nokian
tapaus sai jatkoa (HS 9.6.2008), kun mediassa kerrottiin Nokian
jatkaneen urkintaansa vielä
keväällä
2005. Nokian kokoisesta firmasta ei ilmeisesti
löytynyt
yhtään lukutaitoista juristia. Eipä ollut
lakikirjan
lukutaito tässä tapauksessa hallussa
KRP:lläkään, kun poliisit eivät
ikäänkuin
epähuomiossa huomanneet nostaa sähköisen
viestinnän
tietosuojalain rikkomisesta tutkintaa. Miten sattuikin unohtumaan...
Sähköisissä
äänestyslaitteissa saattaa olla piilotettua koodia
Tämän
kaltaiset uutiset ovat alkaneet levitä
eri medioissa viitaten lähinnä amerikkalaisiin
äänestyslaitteisiin. Suoraan sanottuna en
epäile asiaa hetkeäkään,
kaupalliset ohjelmat ovat jo pitkään
sisältäneet piilotettuja ominaisuuksia, joten miksei
sitten äänestyssoftatkin. Tässä
kohtaa luulisi päättäjien Suomessa
heräävän keskusteluun siitä, voiko
sähköinen äänestys edes
sisältää mitään muuta,
kuin avointa koodia? Luottamuksellisuus ja avoimuus
edellyttävät, ettei koko toimintoketjussa saa olla
mitään sellaista kaupallista komponenttia tai
suljettua vaihetta, jota äänestäjä
ei saisi tutkia tai jonka luottamuksellisuutta ja toimintaa ei saisi
arvioida kenen tahansa kiinnostuneen toimesta.
No
eipä tämäkään tarina olisi
riittävän uskomaton ilman suomalaista vastinetta.
Poliitikot ovat potkineet sähköiseen
äänestämiseen vauhtia jo jonkin aikaa ja
ollaanhan siinä jäljessä jo EU:n
köyhimpiä valtioitakin. Tietoenator tuli asiassa
julkisuuteen Tammikuussa 2008 uudella
äänestyssoftallaan, jonka se julisti
yrityssalaisuudeksi ja suljetuksi koodiksi. Tämän
täydellisen demokratian halveksumisen ja farssin
täydensi joukko poliitikkoja, jotka riensivät
kiireesti puolustamaan asiaa. Lyönpä vielä
vetoa, että äänestyslaitteissa
pyörii vielä MS Windows pohjalla ja
jään odottamaan ensimmäistä "Blue
Screen" äänestystulosta
Lupauksia
tulevasta antaa TietoEnatorin
eduskunnalle toimittama uusi hieno salijärjestelmä,
joka kaatuili, näytti äänestystuloksia
väärin, hidasteli jne. Ongelmat huomattiin vasta, kun
systeemiä oltiin lopputestaamassa (kesäkuu 2007)
paikanpäällä ja projektia oli
sentään väännetty jo vuodesta 2005
saakka. Olisipa hauska tietää paljonko jokainen annettu ääni tulee
maksamaan vaikkapa viiden tai kymmenen vuoden aikajänteellä?
Useisiin
suomalaisiin keskustelufoorumeihin murtauduttu
Hohhoijjaa,
no jopa oli
hämmästyttävää. Kaikissa
tapauksissa ajettiin vanhaa phpBB versiota, johon oli julkistettu
useita hyökkäyksiä ja haavoittuvuuksia ja
uudempi paikattu versio oli ollut saatavilla jo kuukausia. Joskus
sitä oikein ihmettelee millä innokkuudella saadaan
palveluja pystyyn ja sen jälkeen ei enään
korvaa lotkauteta sellaisilla pikkuasioilla, kuten
päivittäminen tai ratkaisuun julkistettujen
haavoittuvuuksien- ja paikkausten seuraaminen. Kaikessa
surkuhupaisuudessaan tapaukset ovat kuitenkin ilmentymä
asenteesta, jossa tietoturvalla ei ole väliä.
Murretut foorumit ovat niiden omistajien taholta
todennäköisesti arvioitu niin
vähäpätöiseen ja
merkityksettömään luokkaan, ettei koko
asialla ole ollut mitään väliä.
Tietoturvallisuus kun on pienimmilläänkin
vähintään työaikaa vievä
investointi ja kuluerä ja jos jotain vakavampaa sattuu,
annetaan poliisin hoitaa homma.
No niin taas mennään, edellinen uutinen oli vuodelta
2006 ja jälleen (10/2007) uutisoitiin, miten suomalaisilta
foorumeilta lähti kävelemään
muutama kymmenentuhatta
käyttäjätunnus/salasana-hash paria ja KRP
tutkii taas. Tähän kohtaan sopii hyvin laulu- ja
soitinyhtye Zen Cafen erään laulun sanat "laiska ja
tyhmä ja saamaton..."
Suomalaisista
verkkokaupoista anastettu luottokorttitietoja (HS 3.2.2006)
Sadan
ihmisen luottokorttitiedot neljästä eri
verkkokaupasta anastanut Suomalainen hakkeri on menossa
käräjille kotkassa. Aika lyhyt kananlento oli
tämäkin tietorikosyritys, poliisi
pääsi samantien jäljille ja tekijä
saatiin käpälälautaan
yrittäessään noutaa
väärillä tiedoilla tilaamiaan tavaroita.
Tapaus osoittaa mielestäni erittäin
selkeästi, että Poliisin tutkintakeinot
tämänkaltaisen rikollisuuden torjunnassa ovat
toimivia ja tehokkaita, eikä sitä varten tarvitse
ryhtyä kaventamaan kansalaisten digioikeuksia tai
ryhtyä keräämään
massatietoa dataliikenteestä. Toiseksi tapaus osoittaa
melkoisia puutteita,
tietämättömyyttä ja
välinpitämättömyyttä
tietoturvallisuuden alkeita kohtaan (päivitykset, kovennukset
ja koneiden valvonta) niin kohteena olleissa verkkokaupoissa, kuin
murrossa apuna käytetyissä sivullisissa
kauttakulkupalvelimissa. Toistaiseksi julkisuuteen asti nousseet
kotimaiset tapaukset ovat olleet petosyrityksiä, huijausta tai
palvelunestohyökkäyksillä
kiristämistä. Ulkomailta raportoidut tapaukset, esim.
tuhansien koneiden Bottiverkolla elannon tienaaminen, ovat
mielestäni lähempänä varsinaista
tietorikollisuutta, jossa fyysinen- ja digitaalinen maailma
eivät enään kohtaa.
F-Securen
virustorjunnasta löytyi vakava haavoittuvuus
(Digitoday)
F-Securen
virustorjunnasta löytynyt
puskuriylivuotohaavoittuvuus mahdollistaa virustorjunnan
läpäisyn ja
hyökkääjän koodin suorittamisen
kohdekoneessa. F-Secure on puhtaasti tällaisten asioiden
parissa painiva tietoturvayhtiö, siellä tunnetaan
varmasti miten ohjelmistojen haavoittuvuuksia
hyödynnetään, siellä osataan
varmasti koodata, kaikki mahdolliset tietoturvallisen koodin tekemisen
ohjeet ja säännöt on varmasti
käytössä, ohjelmistojen laadunvarmistus ja
testaus on varmasti huippuluokkaa. Kaikesta huolimatta vakaviakin
haavoittuvuuksia löytyy, tästä voi kukin
mielessään päätellä
paljonko haavoittuvuuksia on piilossa siellä, missä
tietoturvallisuuteen ja testaukseen ei ole satsattu puoleksikaan
näin paljoa. Muistuttaisin vielä, että
pääsääntö kaupallisilla
ratkaisuilla on, että ongelmia korjaillaan sitä
mukaa, kun joku niitä julkaisee, eli kuluttajat hoitavat
testaamisen. Suljetun kaupallisen koodin alueella ongelmat voivat
myös pysyä piilossa pidempään,
koska ratkaisujen ja toiminnallisuuden tutkiminen on Open Source koodia
vaikeampaa
Apple
iTunes musiikkikauppa kerää tietoja kotikoneelta
(Digitoday)
Ennen
vanhaan metsästettiin kissojen ja koirien kanssa
Spywarea ja muita haittaohjelmia, joiden kautta oman koneen tiedot
vuotivat jonnekin Internetin syövereihin. Nykyisin
riittää, kun käyttää
jotain kaupallista palvelua ja/tai kaupallista
käyttöjärjestelmää. Mutta
tämäpä ei enään olekkaan
inha tietoturvaongelma, vaan kaupallista kehitystä ja
kohdennettua
markkinointia, niin ne asiat ja ajat muuttuvat. Tälle ei niin
kunniakkaalle listalle on päässyt myös Zone
Labs Zone Alarm palomuuri.
Valmiiksi takaporteilla varustettujen kaupallisten ratkaisujen iloiseen
joukkoon saattaa olla ehdolla myös uusi Windows Vista,
Britanniassa asiasta on uutisoinut
näyttävästi mm. BBC. Itse
toteaisin,
että huomioiden mm. USA:n Patriot Act:n, on täysin
varmaa, että maailman yleisin
käyttöjärjestelmä
sisältää asioita, joista ei puhuta. Asia saa
mielenkiintoisemman näkökulman, kun huomioi,
että Suomessa puolustusvoimat ja valtionhallinto yritysten
tapaan lepää pitkälti Microsoftin tuotteiden
varassa
NSA:n
suorittama tietoliikenteen tiedustelu paljon aiemmin luultua laajempaa
(NY Times)
NSA
on hankkinut tietoja suoraan operaattoreilta mm. Internet
liikenteestä. Lisämausteen vakoilulle antaa NSA:n
tavoitteet turvata myös USA:n taloudelliset edut maailmalla.
Niinpä niin, kaikkihan me myönnämme,
että Internet on turvaton paikka, mutta ehdottomasti
ylivoimaisimman uhkan viestiliikenteen luottamuksellisuudelle
muodostavat edellisen kaltaiset tiedusteluoperaatiot ja operaattoreiden
ominpäin tekemät "tutkimukset" (vrt. Sonera).
Tosiasia on, että kellään muulla ei edes
olisi riittäviä natsoja
päästä tietoliikenteen solmupisteisiin
käsiksi ja käsitellä niin suuria
tietomassoja. EU:n uusi dataliikenteen tallennusvelvoite tosin avaa
laajamittaisen "valvontamahdollisuuden" myös uusille
kotoisimmillekin tahoille. Tutkin jo vuonna 1999, mikä olisi
reitittimien mielestä (traceroute) lyhin ja nopein mahdollinen
reitti välillä Amsterdam - Helsinki ja arvatkaapa,
mikä se oli? Lyhin reitti oli tietysti Amsterdam - New York -
Virginia - New York - Tukholma - Helsinki, että silleen.
Nordean
verkkopankkitunnuksia kalastelleet saivat tyhjennettyä useita
tilejä
Tämä
on erittäin mielenkiintoinen tapaus.
Huijaus oli kaikkiaan tökerö ja hyvin alkeellinen,
mutta silti tuottoisa. Kun tarpeeksi laajassa mittakaavassa toteutetaan
tietojen kalastelua (tässä muutamia satoja tuhansia
sähköposteja), joukkoon mahtuu aina niitä,
jotka eivät ymmärrä
käyttämiensä teknisten ratkaisujen ja
palvelujen (tässä sähköposti ja
Internet-pankki) olennaisia ominaisuuksia, eivät
välitä niistä tai eivät hallitse
niitä. Asia saa mielenkiintoisen ulottuvuuden, kun pohditaan
millä vauhdilla virtuaaliset palvelut-, työskentely-
ja asioiden hoito yleistyy. Toinen ja mielestäni
vielä tärkeämpi huomio on, että
suoraan ihmisiltä kysyminen, eli ns. Social Engineering, on
ollut ja on edelleen kaikkein tehokkain tapa tehdä kohdistettu
tietomurto. Se on sitten aivan sama
törmääkö huijariin kasvotusten,
puhelimessa, sähköpostissa, mesessä,
tekstiviestinä, missä tahansa, tekniikka on vain
väline ja mahdollistaja. Ainakin meillä suomalaisilla
tuntuu olevan syväänjuurtunutta
hyväuskoisuutta ja teknologialuottamusta, veikkaampa
että parhaat ja taidokkaimmat huijaukset on vielä
näkemättä. Alan legendaarisin uranuurtaja on
tietysti Kevin Mitnic, joka onnistui vakuuttavasti
esiintymällä saamaan haltuunsa melkein
mitätahansa, joukossa mm. iso suomalainen
puhelinjätti.
Japanilainen
Mizuho pankkiiriliike menetti 282 000 000 € meklarin virheen
takia (HS 13.12.2005)
Uutisen
mukaan kaupankäyntijärjestelmä meni
tukkoon ostoryntäyksen takia, eikä meklarin
peruutuskäskyt enään menneet läpi.
Tuhannesosallakin tuosta tappiosta olisi voinut
teettää järjestelmälle
takuuvarmasti sellaisen määrän kovanluokan
tietoturva- ja suorituskykytestejä, että DOS (denial
of service) tilanne olisi varmasti saatu esiin. Järjestelmien
tietoturva- ja suorituskykytestaaminen vain tuntuu olevan usein
täyttä hepreaa myös monilla kotimaisilla
hankkeilla, onpa joskus joku verkkopankkikin lakannut vastaamasta yhden
läppärin voimasta auditoinneissani.
Luottoyhtiön
tietoturvapäällikkö sai Helsingin
käräjäoikeudessa puolitoista vuotta
petoksesta
Tämä
lienee viimeaikojen tietoturvapiireissä
kaikkein keskustelluin tapaus. Mediassa tapauksesta nostettiin hyvin
korostuneesti esille naapurin WLAN yhteyden käyttö
kirjauduttaessa taloushallintojärjestelmään.
Mielestäni koko petosyritys oli niin tökerö,
että ko. henkilöllä ei todellakaan tainnut
olla juurikaan tietoturvaosaamista, pehmosia puhumalla ja vakuuttavasti
esiintymällä pääsee edelleen
pitkälle. Toiseksi WLANin osoittaminen sormella on
vähän kuin syyttäisi autoteollisuutta
pankkiryöstöistä. Kolmanneksi tapaus
osoittaa, että kuka tahansa voi olla organisaatiolle
tietoriski
Varkaat
veivät 45 tonnia ratakiskoja Viitasaarella (HS)
Tämä
hauska uutinen kertoo selvästi,
että mitä tahansa voidaan viedä, jos
sillä on jollekulle rahallista arvoa vaivoista ja vaikeudesta
riippumatta. Yllättävän monelle
organisaatiolle tuntuu olevan vaikeaa tunnistaa niitä tietoja,
joihin voisi kohdistua
väärinkäytöksiä tai
riskianalyysiä olisi ylipäänsä
tehty. Rikollinen toimii loogisesti, eikä viitsi vaivautua,
ellei vaivoille saada palkaa. Todellisuudessa suurin osa tietoon
kohdistuvista
väärinkäytöksistä
kohdistuu kirjanpitoon ja taloushallintoon. Kyseessä on usein
verottajan tms. tahon huijaaminen, missä taloudellinen
hyöty vain on suurin. Tekijänä on firman oma
mies täysin laillisilla tunnuksilla ja
pääsyoikeuksilla ja usein vielä juristien ja
tilintarkastajien suosiollisella avustuksella. Tietoturvaihmiset ovat
tässä suhteessa aika usein hakoteillä
pohtiessaan palomuuriin tulevia skannauksia ja muuta teknisesti
mielenkiintoista, mutta epäolennaista
Ensimmäinen Windows
Vista virus löydetty (Digitoday)
Tietoturva
mainitaan aina tietohallintopäättäjien top 5
prioriteettilistoilla. Aika vähän sillä
taitaa kuitenkaan olla painoarvoa, kun tarkastelee monessako
organisaatiossa ollaan siirrytty haittaohjelmavapaampiin ratkaisuihin.
Suosittelen tutustumista turvakovennettuun linuxiin (SElinux, Apparmor)
kaikille, jotka pohtivat,
mikä voisi olla ratkaisuna jo ennalta
ehkäistä haittaohjelmien toiminta
päivityksistä ja virustorjunnoista riippumatta.
Eräänä hauskana kuriositeettina voisi
vielä mainita F-Securen Mikko Hyppösen
taannoin
eräässä tietoturvaseminaarissa antama
julistus, jossa hän arveli Microsoftin XP:n SP2
tietoturvapäivityksen mahdollisesti
jäävän historiaan
päivityksenä, joka lopettaa Microsoftia vaivaavat
tietoturvaongelmat (seminaari oli siis ko. päivityksen
julkistamisaikoihin). Niinpä niin, julistuksista huolimatta
mikään ei ole muuttunut Windows maailmassa, oikein
mieltä lämmittää näin
WMF-haavoittuvuusaikana, kun
työpöydällä on Linux.
Commwarrior
virus leviää kännyköissä
(HS 14.12.2005)
Kohteliaita
nämä
kännykkävirukset, kun kysyvät ensin lupaa
asentua, edellyttäen tietysti, että ensin on
kuljeksittu siellä täällä Bluetooth
päällä. Eräskin
tietoturva-asiantuntija totesi, että sellaisilta
älypäiltä pitäisi ottaa lelut pois,
jotka eivät osaa niitä
käyttää. Nämä taitaa olla
samalla järjenjuoksulla varustettuja kavereita, kuin
eräässä organisaatiossa, jossa IT
henkilö kytki virustorjunnan pois, kun se pentele ei antanut
millään asentaa uutta kivaa ajuria, ja
tämäkin tarina on tosi
Sony BMG
rootkit
Tämä
surullisen kuuluisa tapaus osoittaa, miten kaupallisten oikeuksien
haltijat eivät juuri kaihda keinoja puolustaessaan
taloudellista asemaansa. Tapauksesta tekee erityisen mielenkiintoisen
kyseisen rootkit tekniikan itsensä avaamat uudet vakavat
tietoturvahaavoittuvuudet. Kokonaisuutena voikin todeta, että
kaupallisen softan alueelta ei tule tietoturvaongelmat puuttumaan,
vaikka tietoturvaosaaminen ja koodin laatutaso kehittyisikin.
Kaupalliset toimijat toimivat surutta toistensa ja kuluttajien
seläntakana ja lisäilevät myös
jatkossa uusia "dokumentoimattomia ominaisuuksia" ratkaisuihinsa.
Erityisen mielenkiintoisen lisän tapaukseen teki suurien
virustorjuntayritysten (Symantec, McAfee, CA) täydellinen
"tietämättömyys", että jotain voisi
olla pielessä, ainoa nopeasti asiaan reagoinut taho oli
F-Secure. Mikähän mahtaa olla seuraava hiljaisesti
hyväksytty tietoturvareikä?
Takaisin
etusivulle
|