Tietoturva Uutisia

Tietoturva Uutisia

Tälle sivulle kokoan mediassa ja työssäni vastaan tulevia tietoturvatapahtumia. Lisään sivulle vain olennaiseksi katsomiani tapauksia, jotka mielestäni antavat oikeaa ja hype vapaata kuvaa olennaisista tietoturvallisuusriskeistä ja maailmanmenosta ylipäänsä. Mielipiteet täällä ovat omiani eivätkä edusta ketään intressitahoa. 

Hybridivaikuttamista (Ekonomi- lehti 02/2017)

Ekonimi- lehden uutisessa viitataan Aalto-Yliopiston Johanna Moisanderin, Heidi Hirston ja Kathryn Fahyn tekemään tutkimukseen Emotions in institutional work: a discursive perspective. Tutkimuksessa on tarkasteltu suomen EMU jäsenyyttä pohjustavia tekstejä 90- luvun lopulta: "EMU päätös esitettiin talouspoliittisena järkikysymyksenä, mutta retorinen analyysi paljasti jäsenyyttä koskevista raporteista ja kansalaisille suunnatusta tiedotuksesta myös hienosyisiä strategioita, joilla ohjailtiin muutokseen liittyviä tunteita. Ensinnäkin tekstit sulkivat pois tai 'pimenisvät' mittavaan sosiokulttuuriseen muutokseen liittyviä pelkoja ja huolia kehystämällä EMU- päätöksen kapeasti talouspoliittiseksi asiantuntijakysymykseksi. Lisäksi tekstit suuntasivat kielteisiä tunteita uudelleen irroittamalla ne EMU- kysymyksestä ja liittämälle ne esimerkiksi väistämättömään globalisaatiokehitykseen. Näin poliittiset toimijat vaikeuttivat EMU- jäsenyyden tunnepohjaista moraalista arviointia. Toisaalta teksteissä myös herätettiin tunteita: rahaliiton ulkopuolelle jääminen esitettiin häpeällisenä sitoumuksen rikkomisena ja Euroopan ytimeen pääseminen ylpeyden aiheena. Tutkimuksen mukaan tunteiden ohjailu oli institutionaalista vallankäyttöä, joka rajoitti kansalaisten tulkinta- ja toimintamahdollisuuksia. Kyse ei ollut ainoastaan tunteisiin vetoamisesta perinteisessä retorisessa mielessä, vaan emootioilla oli keskeinen merkitys EMU- kysymyksen jäsentämisessä ja päätöksen poliittisessa oikeuttamisessa." #trollitehdas

Kiinan uusi kyberturvallisuuslaki (Talouselämä/Monty Widenius 40/2017)

Montyn mukaan Kiinan uusi kyberturvallisuuslaki velvoittaa ulkomaiset toimijat antamaan ohjelmistojensa lähdekoodit valtion tarkastettavaksi. Tämä on paras uutinen avoimelle lähdekoodille pitkään aikaan ja saattaa jopa nostaa avoimen koodin kehityksen uuteen kukoistukseen juuri Kiinan markkinoilla. Tämä on paras uutinen myös tietoturvallisuudelle pitkään aikaan, piilotetut ominaisuudet ja takaportit tulevat taatusti näkyville.

Esineiden Internet on rikki (HS 29.10.2017)

Ennustin IOT:n ongelmia jo vuodelle 2016, mutta nyt laitteiden korkkaaminen ja liittäminen osaksi Botti verkkoja näyttää kasvaneen oikein kunnon mittoihin. IOT laitteiden surkea tietoturvallisuus vain alleviivaa niitä tuottavan teollisuuden välinpitämättömyyttä. Softat ovat vanhentuneita ja bugisia, päivityksiä ei edes viitsitä jaella. Kyberturvallisuuskeskuksen asiantuntija Kauto Huopio vierittää vastuuta laitteiden päivittämisestä kuluttajan harteille, haluaisinpa nähdä miten helposti pihtiputaan mummo päivittää vaikka kaapelimodeeminsa? Vastuu pitäisi olla laitteiden valmistajilla, mutta heitä asia ei kiinnosta, laite on jo myyty, rahat saatu ja paukut pannaan jo uuden bugisen katiskan saamiseen markkinoille. H&M on se jo moneen kertaan osoittanut, laatu ei ole hyvää businestä.  

Huijarit tuomiolla (HS 22.10.2017)

HS uutisoi otsikolla 'Hakkerien edessä yhteiskunta on voimaton' tällä viikolla alkanutta oikeudenkäyntiä OP pankkia röyhkeästi kiristäneitä miehiä vastaan. En ole aikaisemminkaan arvostanut kovin kummoisesti toimittajien halua perehtyä asioihin, mutta tällä kertaa oli pakko kommentoida. Näin vanhan liiton miehenä jo sana 'hakkeri' tarkoittaa minulle henkilöä, jolla on tietojärjestelmiin liittyvää teknistä osaamista. Se ei ole sama asia, kuin osata ostaa Tor- verkosta varastettuja luottokorttinumeroita ja tilailla näillä verkkokaupoista itselleen tavaraa. Hakkerin osaaminen kulminoituu useimmiten järjestelmien tietoturvallisuuden ympärille. Sekään ei ole sama asia, kuin osata ostaa Tor verkosta palvelunestohyökkäys, joita sieltä todellakin maksua vastaan voi kuka tahansa tilata. Pihtiputaan kuuluisa mummokin osaisi tehdä vastaavat temput! Ei tässä ole mistään hakkerismista kyse, vaan puhtaasti pesunkestävistä huijareista, jotka ovat vain keksineet että verkossa on helpompaa huseerata. Ainoa tietoturva-aukko, mitä nämä herrat ovat löytäneet on, että varastettu luottokortti todellakin toimii siihen saakka, kunnes se kuoletetaan. Tiilenpäitä ei näillä rikoksilla pääse lukemaan ja vahingonkorvauksille nämä jo valmiiksi luottotiedottomat herrat nauravat kippurassa kunnes petokset jatkuvat taas hetken päästä. 

Wifi suojaus on murrettu (HS 17.10.2017)

Belgialaisen KU Leuvenin yliopiston tutkijat löysivät kriittisen haavoittuvuuden wpa2 salauksesta, joka käytännössä mahdollistaa kaikkien wifi verkkojen salakuuntelun. Yllättikö uutinen? No eipä juuri. Trendi tietoturvallisuudessa on jo todella pitkään ollut haavoittuvuuksien salailu ja peittely. Haavoittuvuudet ovat arvokasta kauppatavaraa ja yhtenä rintamana eri maiden viranomaiset ovat vastustaneet mm. kännyköiden salauksien vahventamista. Uutinen myös alleviivaa sen, että ainoastaan avoin ja riippumaton yliopistojen tutkimus tuo todellisia haavoittuvuuksia esiin ja vie loppukäyttäjän tietoturvaa eteenpäin. 

Älypuhelimen voi kaapata ultraäänellä (HS 11.9.2017)

Uutisen mukaan lähes jokaisessa älypuhelimessa on ohjelma, joka tottelee ihmiselle huomaamatonta ääniohjausta. Uutisen mukaan Zhejiangin yliopiston tutkijat onnistuivat käskyttämään puhelimia jopa lähes 200m metrin päästä. Ei voi kuin hämmästellä sitä innokkuutta millä näitä takaportteja kehitellään, luulisi jo markkinoilla olevan tilausta oikeasti tietoturvalliselle täysin avoimen koodin älypuhelimelle, joka on auditoitu riippumattomien yliopistojen toimesta? Toisaalta puhelinten simmit mahdollistaa niiden etäohjauksen ja itse verkko pysyy edelleen haavoittuvana, joten ehkä yksityisyyden suoja on jo oikeasti mennyttä.

Massaurkintaa heti (kaikki mediat)

Turun traagisten tapahtumien jälkeen ryhtyi jokainen valtakunnan media vaatimaan yhteen ääneen suomeen uutta tiedustelulakia nopeutetussa järjestyksessä. Nationalismin huumassa unohtui kaikki jo aiemmin esitetty kritiikki lakiesitystä kohtaan:

  • Missään maailman maassa ei ole massaurkinnalla pystytty estämään iskuja. Paras esimerkki tästä on vaikka Bostonin marathon isku, missä tekijä uhosi asiasta ennen iskua täysin avoimilla keskustelupalstoilla. Turunkin tapauksessa Supo oli saanut tekijään liittyvän vihjeen jo hyvissä ajoin, mutta kaikkia vihjeitä ei kuulemma ehditä tarkastamaan. Selittäisikö joku miten massavakoilun valtavat datamäärät parantavat tilannetta?
  • Kaikkialla missä urkinta on ollut mahdollista, on urkintaa kohdistettu myös poliittisiin vastustajiin, jotka eivät liity mitenkään mihinkään rikollisuuteen
  • Poliisilla ja viranomaisilla on jo tällä hetkellä riittävät resurssit soluttautua ja tutkia mitä tahansa. On toki aivan selvää, että yksikään viranomainen ei itse vastuta omien valtaoikeuksiensa laajentamista. Viranomainen saa jo nyt välittömästi kaikki haluavansa seuranta oikeudet, ainoa pointti asiassa on, että viranomainen joutuu tekemään oikeuteen edes muodollisen hakemuksen asiaan liittyen. Uusi laki muuttaa vain sen, että mitään tai kukaan ei enää pysty jälkikäteen selvittämään mitä, ketä, miten ja miksi on seurattu.
  • Tietosuoja on suomelle kilpailuvaltti
  • Jokainen jolla on jotain salattavaa, osaa ja voi helposti suojata jälkensä niin että massaurkinta on tehotonta
  • Massaurkinnan todellinen kohde on useimmiten ollut kansainvälinen kauppa ja sopimukset
  • Viranomaiset eivät ole kyenneet valvomaan edes omia sisäverkkojaan vakoiluohjelmilta, miten massaurkinta parantaisi valtion turvallisuutta?
  • Massaurkinnan todellinen tarkoitusperä on luovuttaa data ja pääsy NSA:n kaltaisille toimijoille, joilla on kapasiteettia ja halu valvoa kaikkea maailman dataliikennettä. Suomen viranomainen saa vaihtokaupassa kivoja virkoja avokätisellä palkkauksella brysseliin.  

Väännetäänpä nyt vielä rautalangasta mistä massaurkinnassa on kyse. Valtavat softa-automaatit ryhtyvät profiloimaan aivan jokaista netissä liikkujaa. Jokainen puhelu, jokainen www-sivu missä käyt, jokainen txt viesti jne. yhdistetään tietokantaan. Aivan jokaisesta piirretään automaattinen profiili, missä softa päättelee riskiluokkasi mistä tahansa, vaikka kuulumisesta johonkin eläinsuojeluyhdistykseen. Tämän jälkeen jokainen sähköposti, jokainen facebook päivitys, jokainen puhelu, kaikki missä data liikkuu, tallentuu ja on jokaisen urkintaan kuuluvan viranomaisen luettavissa. Peoples Rebublic of Finland ei ole enää ideologisesti kovinkaan kaukana.     

Kyberhyökkäys vai Kybertyperyys (HS 28.6.2017)

Eipä mennyt kauaa kun Wannacry sai jatkoa päivittämättömien ja vanhentuneiden Windows järjestelmien loputtomien reikien vuotamisessa. Otetaanpa nyt heti artikkelin alkuun yksi kiistämätön fakta: 1) Windows järjestelmiin on löytynyt säännöllisesti vakavia haavoittuvuuksia niin kauan kuin niitä on ollut olemassa 2) 99,9% haittaohjelmista on suunnattu Windows järjestelmiä vastaan = Windowsin käyttämäminen on kiistaton riski

Tällä kertaa Petaya niminen haitake alkoi levitä maailmalla. Uutisointi jo itsessään oli jälleen outoa, maalailtiin uhkakuvaa lähes yhteiskuntarauhaa uhkaavasta tilanteesta ja loppujen lopuksi todettiin että hyökkäyksen uhreja oli Suomessa peräti enemmän kuin yksi. No jopa olikin vakava uhka? HS jatkoi aiheesta uutisointia todella näyttävästi To 29.6.2017. Minkäänlaista analyysia tai tietoturvallisuuden pohdintaa ei uutisoinnissa esiintynyt, uhkakuvilla ratsastaminen on muotia ja samalla ajetaan taustalla kansalaisten perusoikeuksia rajoittavien urkintalakien yleistä hyväksyntää. Nyt oltiin jo saatu kaivettua yksi uhri esiintymään omalla nimellään, eli MSD Finland niminen lääkeyritys. Missään ei kuitenkaan ole minkäänlaista analyysiä tai pohdintaa tämän kaltaisen tietoturvaongelmien syistä tai taustoista. Jos joku yritys jäisi kiinni jarruttomilla autoilla ajelusta, osoittaisi syyttävä sormi heti ko. yritykseen ja sen turvallisuutta halveksuviin käytäntöihin. Tietoturvallisuudesta ei kuitenkaan löydy minkäänlaista itsekritiikkiä, asiat saa olla rauhassa niin retuperällä kuin vain haluaa ja aina voi vedota jossain kaukana lymyävään pahantahtoiseen tahoon, joka kiusaa pientä ja viatonta. Kysynkin nyt tässä avoimesti: 1) Miksi järjestelmiä ei ole päivitetty? 2) Miksi päivittämättömiä järjestelmiä on kytkeytyneenä internettiin? 3) Miksi käytetään vanhentunutta ja tunnetusti haavoittuvaa teknologiaa?

Kyse on yksinkertaisesti kybertyperyydestä, missä välinpitämättömyys kukoistaa ja ongelmiin ei puututa ennenkuin on pakko, jos silloinkaan.

Ransomware iski maailman laajuisesti Win95:sen (15.5.2017 kaikki mediat)

Tässä laajasti levinneessä tapauksessa iski siis haittaohjelma Windows 95 koneisiin (!) ja taustalla NSA:n jemmailema haavoittuvuus, joka vuosi julkisuuteen NSA tietovuotojen kautta. Piti ihan pyyhkäistä okulaareja ja lukea uutinen kahteen kertaan, siis että kivikautisesta Windows 95:sta oli löytynyt ennen julkistamaton reikä?! Siis kuka idiootti käyttää Win95:sta? Kuka idiootti kuvittelee että Win95 ei olisi reikäisempi kuin muikkuverkko? Uutisen taustalta löytyy raadollinen todellisuus, missä esim. Britanniassa vaarannetaan potilasturvallisuutta käyttämällä näitä vanhentuneita ja muutenkin susia järjestelmiä, kun tilalle löytyisi lisenssivapaita avoimen koodin ratkaisuja. Jämähtämistä kivikauteen perustellaan terveydenhuoltoon kohdistuneilla säästöillä, mutta todellinen syy on tahdon puute. Vanhentuneessa laitekannassa voitaisiin ajaa myös moderneja ja tietoturvallisia linux ratkaisuja, mutta muutos vaatisi poliittisen päätöksen, missä koko terveyssektorin ratkaisut tehtäisiin uudelleen uudelta avoimelta pohjalta. Avoimella koodilla ei ole niin paljoa voitelurahaa, kuin globaaleilla softajäteillä ja siten kukaan ei tällaista muutosta lähde ajamaan. 

Tämä tapaus sai jatkoa kun Turun Yliopistollinen sairaala kertoi tämän samaisen haittaohjelman saastuttaneen mm. mammografiaan ja sädehoitoon liittyviä tietokoneita. Siis anteeksi mitä?! Wannacry ei edelleenkään leviä pisaratartuntana tai ilmateitse, miten TYKS:in tietohallintojohtaja Yrjö Koivusalo, joka Iltalehdessä kuvailee tilannetta vakavaksi, perustelee näiden mainittujen saastuneiden laitteiden käyttöä? Siis millä järjellisellä logiikalla päivittämättömät kivikautiset laitteet on kytketty internettiin?! Ei voi kuin hämmästellä tietoturvallisuuden ja ihan maalaisjärjen tasoa.

Ciscon reitittimet vuotaa (linkki uutiseen)

Uusimmat Wikileaks vuodot ovat paljastaneet miten CIA on jo pitkään päässyt etänä hallinnoimaan 318 Ciscon reititin mallia. Itse en usko sattumiin kun kyse on tämän kokoluokan pelaajista, bugit on tahallisia ja tarkoituksellisia ja niitä korjataan vasta sitä mukaa kun ne jostain päätyvät julkisuuteen. 

Helsingin opetusvirasto irtisanoo turvallisuuspäällikön (IL 21.3.2017)

Niin se julkishallinnon sisäsiittoinen karuselli pyörii, eleteään kuin pellossa ilman mitään kontrollia, kukaan kiinnitä epäselvyyksiin mitään huomiota ja päälle vielä ylennetään oikein turvallisuuspäälliköksi. Tässä tapauksessa ainoa toimenpiteisiin johtanut seikka oli se, että välistävetäminen oli noussut jo miljoona luokkaan. Kuinkakohan paljon on näitä virastoja missä vedetään liiveihin vain kymppitonneja ja kivaa kulutuselkotroniikka kuten kameroita ja taulutelevisioita, kuten tässäkin keississä, eikä käry käy koskaan? Kaikki petokset ja korruptio noudattavat aina samaa kaavaa: 1) mahdollisuus 2) valvonnan puute 3) teot onnistuu pitkään 4) ahneus kasvaa ja lopulta teot ylittää kiinnijäämiskynnyksen.

Apotti virkamiehet korruptoitumassa Amerikan mantereella (HS 9.3.2017)

Tässä mennään aavistuksen tietoturvaotsikon ohitse, mutta pakkohan tätä uutista on kommentoida. Sosiaali- ja terveysalan virkamiesjohto kävi veronmaksajien piikkiin korruptoitumassa järjestelmätoimittaja Epicin ja konsulttiyhtiö Accenturen vieraina. Apotti- hankkeesta tulee 100% varmasti täydellinen katastrofi missä rahaa palaa Talvivaaran burning rate- nopeudella. Hankkeen poliittinen lobbaus on jo itsessään täysin selvä merkki epäonnistumisesta, mutta tässä hankkeessa on jo täysin unohtunut suuren luokan järjestelmähankkeen keskeiset riskit:

  • Tällainen järjestelmä ei ole koskaan valmis, vaatimukset ja tarpeet muuttuvat jatkuvasti. Ainoa tapa hallita kustannuksia on kantaa päävastuu kehitystyöstä itse ja se ei onnistu muuten kuin avoimilla ratkaisuilla
  • Apotti hankkeessa ollaan niin lujaa kiinni jenkkikonsulttien liekanarussa, että heikompaa jo pyörryttäisi, eikä irtipääsyn mahdollisuutta ole
  • Pyörää ei pitäisi keksiä moneen kertaan, kaikki verorahoilla tehdyn kehitystyön tulokset pitäisi olla helposti hyödynnettävissä ja se ei onnistu ilman avointa koodia
  • Tällaisen hankkeen lokalisaatio, eli paikalliseen toimintakulttuuriin ja lainsäädäntöön liittyvät vaatimukset muodostavat valtaosan määrittelyistä. Ainoa järkevät tapa kehittää tällaista on pienissä paloissa paikallisesti, sillä mikä toimii jenkkilässä ei tee suomen paikallisissa oloissa tasan mitään
  • Nykypäivänä kaikkialla paitsi virkamiesjohdossa ymmärretään ohjelmistokehityksen tehokkuuden tärkein tekijä, eli asioiden tekeminen järkevän kokoisina paloina täysin toimivaksi saakka, avoimilla rajapinnoilla, teknologiatoimittaja- ja järjestelmä riippumattomasti. Hienoja nimityksiä  on lean, agile, ketterä jne. jne. kehitys, mutta yhtä kaikki tästä samasta asiasta on kyse, järjestelmien ja niiden osien pitää pystyä helposti keskustelemaan keskenään ja mikä tahansa komponentti pitää olla vaihdettavissa. Apotti- hankkeessa ostetaan miljardi mammutti, jota ei kosaan saada toimimaan kunnolla ja jonka pelkillä käyttökustannuksilla olisi voitu rakentaa avoin ja toimiva ratkaisu

AVI kielsi viestivihkon käyttämisen vanhustenhoidossa tietoturvaan vedoten (HS 24.2.2017)

HS 24.2.2017 yleisön osaston kirjoituksessa kerrotaan miten AVI (aluehallintovirasto) teki tarkastuskäynnin kemijärven vanhuspalveluun ja kielsi hoitamisen tiedonkululle tärkeän viestivihkon käyttämisen. Voi pyha sylvi! AVI:n mielestä on aivan hirmuinen tietoriski jos vanhuksen arjen kulumisesta kirjataan huomioita vihkoon muiden hoitamiseen osallistuvien tahojen nähtäville. Kirsikkana kakun päälle AVIn mielstä pitää käyttää vihkon sijasta viestilappuja. Tässä on jälleen pöyristyttävä esimerkki siitä kun julkishallintoon palkataan täysin umpimielisiä virkamiehiä joilla ei ole mitään kokonaistilannetajua. Julkisuudessa kyberturvallisuudesta meuhkaaminen on johtanut tilanteeseen missä poliittiset tavoitteet on vesittää kansalaisen tietoturva ja samaan aikaan vähäinenkin maalaisjärjenkäyttö on hävinnyt käytännön tasolta.  

Tukihakemusten käsittelyn siirtyminen Kelalle ryssittiin odotetusti (kaikki mediat)

Toimeentulotukihakemusten käsittelyn siirtyminen Kelalle meni täysin odotetusti pommiin ja ihmiset jäivät ilman rahoja. Se että tietojärjestelmähanke ryssittiin ei yllätä ketään JulkiIT:n seikkailuja seurannutta, mutta tietoturvan nouseminen esiin yhtenä syynä pöyristyttää. Asiaan liittyneessä Ylen uutisessa mainittiin, ettei jo käsiteltyjä hakemuksia voitu tietoturva syistä siirtää Kelalle, vaan kaikki aineisto joudutaan käsittelemään uudelleen. Siis anteeksi mitä?! Tässä nähdään lopputulos siitä kun julkishallinnon tietoturvaan ei palkata kokemusta ja osaamista, vaan näitä mukavia tyyppejä ilman mitään kokonaistilannetajua. En voi käsittää miten on mahdollista että ihmisiä jää ilman ruokaa, saa maksuhäiriömerkintöjä, jää vuokria maksamatta, jne. sen vuoksi että dataa ei voida siirtää tietoturvaan vedoten. Tässä on hyvä esimerkki siitä kun häntä alkaa heiluttaa koiraa maassa missä samaan aikaan ollaan vesittämässä viestinnän tietosuoja ja avaamassa kansalaisten dataliikenne NSA:n nuuskittavaksi.   

Etsitään seurustelijoita ja mukavia tyyppejä

Eräs julkishallinnon kyberturvallisuuden asiantuntijaorganisaatio määritteli tietoturvatarkastuksia tekevien asiantuntijoiden rekrytoinnissa tärkeimmäksi kriteeriksi hyvät yhteistyö- ja vuorovaikutustaidot, osaamisesta ja kokemuksesta ei puhuttu mitään. Itse en ole vielä ollut sellaisessa tietoturvakeississä mukana missä asiakas ei haluaisikaan käyttöönsä parasta osaajaa, vaan mukavimman seurustelijan. Tämä vain vahvistaa sen, että edelleen parasta tietoturvaosaamista ja taitoa löytyy yksityiseltä sektorilta. 

Hotelli maksoi lunnaat hakkereille (HS 1.2.2017)

Uutisen mukaan hakkerit saivat itävaltalaisen hotellin maksamaan 1500€ lunnaat iskemällä hotellin sähköiseen lukitusjärjestelmään. Tässä oikein oiva esimerkki uudesta ja uljaasta IoT:stä, eli Internet of Things. Jään mielenkiinnolla odottamaan uusia ja entistä innovatiivisempia kohteita. Harvassa tuntuu olevan ne, jotka sijoittavan etukäteen tietoturvatasonsa testaamiseen.

Urakkatarjoukset jäivät roskapostisuodattimeen (Keskisuomalainen 14.12.2016)

Uutisen mukaan Viitasaaren kaupungin päivähoitokeskuksen urakkatajouksia jäi käsittelemättä, koska ne päätyivät roskapostisuodattimeen. Uutinen on hyvin mielenkiintoinen osoitus siitä miten huonosti suunniteltu ja ylimitoitettu 'tietoturva' voi tulla kalliiksi. Yksi tarjoaja haastaa kaupungin markkinaoikeuteen ja toisaalta kaupunki kärsii taloudellisia vahinkoja valittuaan virheellisesti kalliimman tarjouksen.

Tietoturva-aukko iPhonessa paikattu (HS 27.8.2016)

Uutisen mukaan Apple oli julkaissut päivityksen tietoturva-aukkoon, jolla pystyi ottamaan uuden iPhone 6:sen etäyhteydellä hyökkääjän hallintaan. Se että aukkoja oli ja niitä paikattiin ei sinänsä edes ollut uutinen, todellinen uutinen oli, että hyökkäys oli paljastunut kun se kohdistui tunnettuun ihmisoikeusaktivistiin ja toisinajattelijaan. Toronton yliopiston tutkimuslaitoksen selvityksen mukaan hyökkäysohjelman takana oli israelilainen NSO Group, joka valmistaa valvontaohjelmia eri maiden hallituksille. Tässä tiivistyy oikeastaan koko tietoturvabusineksen todellisuus tällähetkellä, isolla rahalla tietoturvateollisuus kehittää toinen toistaan innovatiivisempia tietoturvauhkia. 

Hakkeri tarvitsee vain puhelinnumeron vakoillakseen (IL 20.4.2016)

Uutisessa viitattiin Saksalaisen CBS kanavan 60 minutes- ohjelmaan, jossa tietoturva-asiantuntija Karsten Nohlin todisti että puhelimen vakoilemiseen riittää tieto vain kohteen puhelinnumerosta. Nohlin mukaan kyseessä on haavoittuvuus operaattoreiden SS7 järjestelmässä jota käytetään puheluiden, tekstiviestien ja laskutustietojen välittämiseen eri verkkojen välillä. Todella mielenkiintoiseksi asian tekee se, että Nohl raportoi tästä haavoittuvuudesta julkisesti jo vuonna 2014, eikä sitä ole vieläkään paikattu! Nohl arvelee että bugi on liian arvokas tiedusteluelimille paikattavaksi. 

Tämä uutinen samalla osoittaa miten haavoittuvuuksia rakennellaan kahta reittiä, toisaalta pyritään varmistamaan ettei puhelinten käyttöjärjestelmiin saada riittävän vahvaa salausta ja viritellään salaisia takaportteja ja toisaalta koko datan välitysjärjestelmä pidetään tarkoituksella haavoittuvana. Mobiilin dataliikenteen vakoilu on mullistanut urkinnan koska:

  • Puhelin on aina henkilökohtainen, eli vakoilun kohde voidaan yksilöidä. Samaa tietokonetta voi helpommin käyttää useampi henkilö.
  • Puhelin kulkee aina mukana, eli kohteen liikkuminen voidaan selvittää. Tietokoneet eivät kulje mukana läheskään samassa mittakaavassa
  • Puhelinta käytetään henkilökohtaiseen viestintään, eli viestinnän kohde voidaan samalla tavalla yksilöidä
  • PC:t on jäämässä sivurooliin kun mobiililaitteet ottavat kokoajan suuremman roolin kaikessa viestinnässä ja tiedon käsittelyssä. Tulevaisuuden työpöytä ei ole enää PC, vaan jokin mobiililaite

Kanadan poliisilla ollut Blackperryn salausavain jo vuodesta 2010 (Digitoday 15.4)

Niinpä niin, ennen vuotta 2010 mitään avainta ei edes tarvittu. Jaa, hämmästyikö taas joku? Näitä puhelimia, kuten muitakin merkkejä, myydään laajasti maissa joissa viranomaistahot edellyttävät jo markkinoille pääsyssä omia pikku lisäyksiään järjestelmiin. Applen taannoinen vastaanhangoittelu oli vain hurskastelua ja kyse oli siitä että he olivat jo antaneet viranomaisille pääsyn puhelimiin, nyt vain juuri tällä kyseisellä viranomaisella tai osastolla ei sitä ollut ja hekin sen halusivat. Tuomioistuin antoi valtuudet, kuten näissä keisseissä aina ja pienellä ulkopuolisen firman avustuksella homma oli selvä. Onko tietoliikenteen massavakoilu sitten ongelma? Sitä voi jokainen pohtia kun vertaa juhlapuheita (terrorismin torjunta, lapsiporno ja rikollisuus) todellisiin paljastuineisiin tapauksiin (valtioiden päämiesten salakuuntelu, merkittävien kauppaneuvottelujen vakoilut). Kansalaisoikeudet tuntuvat meistä täällä pohjolanperukoilla niin itsestään selviltä että jokaiselle tekisi hyvää tutustua siihen osaan maailmaa missä ne on jo menetetty, tietosuoja ei enää koskaan palaa sen jälkeen kun se on kerran menetetty. 

Palvelunestohyökkäyksiä (IL 23.3.2016)

Jälleen oli verkossa vilkasta, DDOS hyökkäysten kohteena oli viikon aikana eduskunta, kela ja puolustusvoimat. Ilta-Lehden uutisointi oli asiallista, mutta valitettavasti samaa ei voi sanoa kaikista medioista kun kohua yritetään nostattaa kaikesta mahdollisesta. Tässä nyt toimittajille kertauksena muutama fakta palvelunestohyökkäyksistä:

  • Hyökkäys tarkoittaa valtavaa määrää normaaleja sivunlatauskutsuja
  • Hyökkäykseen tarvittavat koneet on osa ns. botti- verkkoa, jota kautta koneet saadaan ohjattua mukaan hyökkäykseen
  • Hyökkäyksen dataliikenne tulee kohteeseen satunnaisista osoitteista ympäri maailmaa
  • Hyökkäyksien kesto on normaalisti vain muutamia tunteja, koska operaattorit alkavat nopeasti rajoittamaan normaalista poikkeavaa suurta dataliikennettä
  • Hyökkäyksien torjunta on helppoa sulkemalla tilapäisesti kohteeseen tuleva ulkoimainen dataliikenne

Helsinki tahtoo puuttua järjenvastaiseen lakiin (HS 21.3.2016)

Uutisen mukaan Helsingin kaupunki haluaa loiventaa lakia joka rajoittaa päiväkotien ja perheiden välistä sähköistä viestintää. Nykylaki kieltää välittämästä lapsen kuvia tai muita yksilöllisiä tietoja millään sähköisellä järjestelmällä. Kyllä todella pistää ihmettelemään mistä näitä tietoturvakukkasia oikein kasvaa? Tietoturvan siivellä rakennellaan jatkuvasti järjettömän kalliita ja tarpeettomia järjestelmiä tai ei saada jotain järkevää ja tarpeellista tehtyä lainkaan. Julkishallinnon ICT palveluntuottajat taputtavat käsiä yhteen ja korkkaavat shamppanjat kustannusten ja kompleksisuuden hipoessa pilviä. Samaan aikaan ihan oikeassa maailmassa pikkutyttöjä voidaan kiduttaa hengiltä ilman että kenelläkään on vastuuta mistään.

Viestintävirasto varoittaa android Stagefright haavoittuvuudesta (17.3.2016)

Tiedonannossa Viestintävirasto varoittaa Androidille viimevuonna julkaistuun Metaphor haavoittuvuuteen liittyvistä toimivista hyökkäyksistä (Proof of Concept). Hyökkäykseen riittää että hyökkäyskoodia sisältävä mediatiedosto saadaan tavalla tai toiselle laitteeseen suoritukseen. Erityisen vaaralliseksi haavoittuvuuden tekee se, että se koskee versioita 2.2 - 5.1 ja pystyy jopa ohittamaan ASLR (Address Space Layout Randomization) suojauksen joka on lisätty Adnroid 4.1 versioon ja siitä eteenpäin. Ilmoituksen mukaan myös eri laitevalmistajia pikku tietoturvaongelmat ei juuri huoleta ja päivitysten levittäminen on hidasta. 

Ai että kun kuulostaa niin Windowsilta. Winkkariin lisättiin vuosien varrella jos jonkinlaista muistiosoitteiden piilottamista ja puskuriylivuoto suojausta ja niin vain jokainen lisätty turvaominaisuus jäi (jää) jatkuvasti kilpajuoksussa kakkoseksi. Puhelin on syrjäyttänyt PC:n ja muuttunut henkilökohtaiseksi multimediapäätteeksi. Samalla erilaisien mediaformaattien kehitys on niin nopeaa ja määrä niin suuri, että tämän kaltaiset haavoittuvuudet on tulleet jäädäkseen. Kun samaan aikaan viranomaisdet kyhäävät takaportteja vähän joka virastolle ja tahallaan vaativat reikäistä salausta, niin lopputulos on, ettei mitään android, Winkkari tai Applen laitetta voi pitää turvallisena. Toivon todella että edes Jollan ympärille saataisiin rakennettua jotain parempaa.

Hotels.com:in suomalaisten käyttäjien tileiltä on varastettu rahaa (Yle 15.1.2016)

Jostain reiästä on jälleen luottokorttitiedot lipsahtaneet pitkäkyntisille, kannattaisiko panostaa hiukan asiantuntevaan haavoittuvuustestaukseen? Näille kaikille tapauksille on yhteinen nimittäjä se, että ongelmat on jatkuneet huomaamatta jo pitkään ja vasta kun riittävän moni asiakas on alkanut laittamaan poliisia asialle, jotain aletaan tutkia. Ai mistäkö sen voi tietää, no vaikka siitä, ettei vielä edes tiedetä mistä, miten ja kenen systeemistä tiedot on vuotaneet. Tietoturva on melkein hupaisaa touhua nykyään, on hienoa palomuuria ja jos jonkinlaista korttimaksu sertifiointia ja mikään ei ole todellisuudessa muuttunut, rosvo murtaa systeemejä ihan niinkuin ennen vanhaan. Olisiko mitenkään mahdollista ettei hienolla tietoturvakeisarilla olisi vaatteita ja iso osa tietoturvapanostuksista menisi jonnekkin millä ei todellisuudessa ole ns. paskan väliä? 

Saksa vakoili suomen tietoliikennettä 2000- luvulla (YLE 16.1.2016)

Jo vain, kyllä taas on torjuttu terrorismia, kansainvälistä rikollisuutta, lapsipornoa ja ties mitä. Vai olisiko sittenkin niin että näitä hienoja massavakoilusysteemejä, mitä suomikin itselleen kuolaa, käytettäisiinkin lähinnä valtioiden väliseen vakoiluun ja keskinäiseen kilpailuun taloudellisesta menestymisestä?

Rahaa jaossa ilman tulosvastuuta (MOT 30.11.2015)

MOT ajankohtaisohjelma kuvasi jälleen ansiokkaasti miksi valtion ICT hankkeet maksavat järjestään miljoonia, viivästyvät aikatauluista, tavoitteita ei saavuteta ja kustannukset ylitetään reilusti. Tällä kertaa tietoturvahankkeissa häärivien upseerien hyväveli kerho oli löytänyt avoimen piikin ulkoministeriön leväperäisyydestä ja hyväuskoisuudesta. Vai mitä tuumaisitte 1500€ päivä laskutuksesta ilman mitään velvoitetta mihinkään ja vieläpä niin että voi samaan aikaan olla muualla hommissa? Tätä sirkusta jatkettiin vuosia, kunnes koko show päätyi poliisin esitutkintaan. Se ettei homma edennyt syyttäjälle saakka ei hämmästytä yhtään, vai onko joku joskus kuullut virkamiehen saaneen rapsuja verorahojen heittelystä taivaan tuuliin? Surkuhupaisaksi asian tekee se, että juuri samaan aikaan kun nämä tietoturvakukkakonsultit laskuttivat poskettomasti, oli ulkoministeriössä ihan oikeitakin tietoturvaongelmia. Poliitikot, Supo ja Upseerit keksivät sitten saman tien kun kakka oli housussa, että tavallisia kansalaisiahan tässä pitää päästä valvomaan että ensikerralla huomataan ihan itse vakoilutapaukset. Voisiko joku valaista millä tavalla kansalaisien dataliikenteen valvonta auttaa valtion hallinnon omien palomuurien ja niistä läpikulkevan liikenteen valvonnassa? Vastaus: ei sitten tasan mitenkään. Näiden valtion liikennepisteiden dataliikenteen ja tietoturvan valvonnasta muuten maksetaan jatkuvasti ja on maksettu kokoajan eri tahoille, voisiko siis joku vielä valaista, että millä tavalla koko kansaa koskeva massavalvonta saataisiin paremmaksi ja tiukemmaksi kun sitä valvontaa ei ole saatu edes omiin verkkolaitteisiin ja dataliikenteeseen?

Haittaohjelma iskee Linux palvelimiin (Digitoday 11.11.2015)

Uutisen mukaan jälleen uusi haitake väijyy tietyn CMS ohjelmiston (Magento) omaavia linux palvelimia. Mitenkäs tässä nyt näin kävi, eikös se linux olekkaan turvallisin vaihtoehto? Tämä uutinen kertoo karua kieltä nykyisestä palveluntuottajien ansaintalogiikasta: myydään asiakkaille mahdollisimman kustannustehokkaasti paketteja, joissa on jokin applikaatio kokoonpano virtuaalisen linuxin päällä. Mitään ei testata, päivitetä tai valvota, riittää kunhan paketti toimii muutamassa sekunnissa kun asiakas on sen hankkinut ja jos on ongelmia, koko p***a vain asennetaan uudelleen automaattisella cloud hallinnalla. Verkossa kelluu tällä hetkellä kymmeniä- ellei satojatuhansia eri tavoin reikäisiä linuxeja, tai no oikeammin pitäisi sanoa, eri tavoin reikäisillä applikaatioilla asennettuja linuxeja, koska ongelmat on juuri applikaatiokerroksissa, ei käyttöjärjestelmässä. Nämä matolaatikot saavat kellua aivan rauhassa kunnes asiakas lopettaa niistä maksamisen ja ne deletoidaan bittitaivaaseen. Tämän uutisen tapauksessa koko asia nousi tietoisuuteen vain ja ainoastaan sen takia, että rosvot keksivät kryptata web pavelimen sisällön ja myivät pientä korvausta vastaan avainta jolla datan saisi palautettua, tyypillinen ransomware keissi siis.  

Reiän löytäjälle 15 000€ (HS 15.9.2015)

Uutisen mukaan Lähi-Tapiola maksaa jopa 15 000€ palkkion sille joka löytää sen verkkopalveluista tietoturvapuutteen. Jos todellakin on näin, on tässä todella virkistä poikkeus, normaali käytäntö ongelmien esiintuomisesta kun on laittaa KRP ja juristit perään. Olen itsekkin ollut monta kertaa tilanteessa missä sen sijaan että oltaisiin tyytyväisiä löydetyistä haavoittuvuuksista, ollaankin oltu äärettömän pettyneitä, käsitys omasta erinomaisuudesta onkin saanut kolauksen ja ongelmien löytyminen otetaan mekein henkilökohtaisena loukkauksena. Mielenkiintoista tämä tietotuva-ala.

Tietoturvakukkanen Hacking Team sotkeutui omaan verkkoonsa (HS 8.7.2015)

Mediassa on laajasti viimepäivinä uutisoitu Italialaisen Hacking Teamin joutumisesta itse tietomurron kohteeksi. Olen jo vuosia saarnannut siitä miten käytännössä kaikki haittaohjelmien kehittely ja bottiverkot ovat tosiasiassa eri maiden viranomaisten käsialaa. Tässä innokkaassa joukossa ei kuitenkaan raha tai osaaminen riitä omaan tuotekehittelyyn muilla kuin muutamilla suurimmilla ja loput ovat innokkaasti rahanippukourassa rahoittamassa salaisia haittaohjelma- ja vakoilumarkkinoita, jonne entiset 90-luvun ja 2000-luvun alun jahdatut rikolliset ovat siirtyneet tienaamaan isoja rahoja. Tämä Italialaisyritys on tehnyt businestä mm. Saudi-Arabian, Egyptin, Etiopian ja Nigerian kanssa. Siinä ei paljoa silmä värähdä pankkitilin saldoa katsellessa moniko on kadonnut, tapettu, suljettu jonnekkin ilman oikeudenkäyntiä jne. Suomen tunnetusti kaksinaismoralistisessa eduskunnassa keksittiin muutama vuosi sitten kriminalisoida haittaohjelmien kehittely ja hallussapito ja olipa hetken aikaa jopa meillä asiantuntijoilla epäselvää voiko edes haavoittuvuustestausta enää tehdä laillisesti. Samaan aikaan kyhättiin jos jonkinlaista verkkovakoilu- ja viranomaispykälää joka mahdollistaa haittaohjelmien hallussapidon ja levittämisen täysin laillisesti. Enää niitä ei vain lain mukaan voi mennä ostamaan kotimaisilta toimijoilta, vaan piti lähteä hattu kourassa kansainvälisille (rikollisille) markkinoille. Ai miten  niin rikollisille, ihan laillisestihan niitä ostetaan? No kysykääpä vaikka ihmisoikeusjärjestöiltä mitä näillä leluilla saadaan aikaan. Hesarin uutisen mukaan Nice niminen yritys kauppasi näitä Italialaisia helmiä suomen KRP:lle, onhan tunnettua miten viranomaiset käyttävät mielellään kaikkea mahdollista mitä markkinoilta vain saa eikä siinä hintalappu paljoa paina. Taisi vain Hacking Teamille käydä niin että jollain oikealla hakkerilla meni kaksinaismoralismin kuppi nurin ja omat koirat puraisivat, tai sitten vain jokin kilpailija halusi raivata jonkun tieltään. Tämä on vähän sama kuin viranomaiset kävisivät salaista huumekauppaa, missä parasta satoa haalittaisiin maailman salamyhkäisien basaarien kätköistä toinen toistaan epämääräisimmiltä kauppiailta vähät välittämättä että samaan aikaan rahoitetaan kansainvälistä rikollisuutta.

TEKESin tukianomuspalvelussa vakava tietoturva-aukko (Iltalehti 10.3.2015)

Uutisen mukaan tukianomusta jättämässä olleet helsinkiläisen ATK firman neropatit olivat huvikseen testailleet TEKESin www palvelua ja kappas vain, sql injektiohan sieltä putkahti vastaan. Kaverit saivat dumpattua itselleen koko tietokannan, ts. kaikkien hakemusta jättäneiden tiedot. Uutisen tekee erityisen mielenkiintoiseksi se, että firma ei uskaltanut jättää omaa hakemusta, vaan ilmoitti aukosta TEKESille ja sai poliisin peräänsä. Totuus lähes kaikissa tämän tyyppisissä aukoissa on, että omistaja ei suurimmalla todennäköisyydellä olisi itse huomannut mitään ja aukko on ollut olemassa jo pitkään. Kuka sankari siellä TEKESissä vastaa tietoturvasta, oletko koskaan kuullut palvelusta nimeltä haavoittuvuustestaus? Olen itse testannut urani aikana pitkälle toista sataa vastaavaa www palvelua ja se investointi todella kannattaa tehdä. Sitten oikeat asiat on tehty, voi loppuajan väsäillä hienoja tietoturvadokumentteja tai politiikoita.

NSA murtautui yhdessä Britannian vakoilun kassa SIM kortteja valmistavaan Gemaltoon ja varasti 1,5 miljardin kännykän salausavaimet (kaikki mediat 20.2.2015)

Hämmästyikö joku? Väitän että suurin osa maailman haittaohjelmista ja vakoilusta on lähtöisin tästä tietoturvakukkasesta. Eniten hämmästyttää, ettei näytä olevan sellaista röyhkeyttä tai rikosta, mitä nämä sankarit eivät voisi tehdä joutumatta minkäänlaiseen vastuuseen tekosistaan. Sen sijaan ne jotka uskaltavat paljastaa näiden rikollisten tekoja saavat peräänsä maailmanlaajuisen ajojahdin. Kyllä on länsimainen oikeustaju ja tietoturvallisuus ihmeellistä.

Tuskin kerkesi tämä uutinen eetteriin kun jo Alexander Stubb riensi vaatimaan suomellekin oikeutta vapaasti urkkia kaikkea mahdollista dataliikennettä suoraan runkoverkosta. Alex vain jätti kertomatta, että dataliikenteen urkinnalla ei ole mitään tekemistä terrorismin tai minkään muunkaan torjunnan kanssa, vaan kysymys on suomen viranomaisten ja NSA:n läheisistä suhteista ja NSA:n tavoitteesta pystyä seuraamaan koko maailman dataliikennettä missä ja milloin tahansa, tällä kertaa vain suomalaisten viranomaisten suosiollisella avustuksella. Ai miten niin? No, mistä luulitte tarvittavat kapasiteetit ja välineet urkintaan hankittavan.

Sai tämäkin uutinen jatkoa, kun saksalaiset lehdet (Süddeutsche Zeitung, Der Spiegel) ovat julkistaneet salaisia raportteja saksan tiedustelun ja NSA:n välisestä yhteistyöstä kun on pitänyt vakoilla mm. EU:ta ja Ranskaa. Käsi ylös kuka uskoo ettei suomen innolla verkkovakoiluun ole mitään kytköksiä NSA:han?

Lenovo asensi kannettaviinsa salaisen vakoiluohjelman (Iltasanomat 19.2.2015)

Selatkaapa tämän uutispalstan ensimmäiseen uutiseen, joka sai minut aloittamaan tämän palstan jo vuosia sitten. Maailmassa ei ole mikään muuttunut ja käytännössä kaikki valmistajat yrittävät kilvan ujuttaa omia urkinta- ja vakoilu softiaan loppukäyttäjien tuotteisiin. Tämän Lenovon troijalaisen tekee erityisen vaaralliseksi se, että kyseessä on puhdasverinen Man-In-The-Middle- hyökkäys, ts. ohjelma kykenee pääsemään SSL salatun liikenteen väliin ja siis siten näkee mm. kaiken pankkiliikenteen. Semmoinen Superfish tällä kertaa, eikä tule jäämään viimeiseksi lupaan sen.

ps. tämäkin riesa koskee vain ja ainoastaan WIndows käyttäjiä. Vielä kun keksivät miten yhdistetään eri Bonus korttien tiedot rakkaan Winkkarisi urkkimiin tietoihin, niin sehän osaisi jo kertoa sinulle verenpaineesi, odotettavissa olevat sairaudet, odotettavissa olevan elinajan pituuden ja osaisi ehdottaa juuri sinulle sopivaa lisenssimallia.  

NSA:n urkinta koodi asuu kovalevyillä (Digitoday 17.2.2015)

Uutinen naulaa jälleen uuden naulan tietoturvan arkkuun. NSA on kaikessa hiljaisuudessa tehnyt sopimuksia suurimpien kovalevy- ja tallennuslaitevalmistajien kanssa ja päässyt ujuttamaan urkintakoodia mukaan suoraan tehtaalla. Käytännössä kaikissa markkinoilla saatavissa olevissa kovalevyissä on vakoiluohjelmat jo valmiiksi mukana. Reuters yritti kysyä asiaa suoraan valmistajilta, mutta nämä kieltäytyivät kommentoimasta asiaa, asian kuitenkin vahvisti NSA:n entiset työntekijät. Lyön lounaan vetoa että vastaava urkintakoodi asuu jo valmiiksi myös kaikissa mobiililaitteissa.

Keskustelu 'isoveljen' oikeudesta kaikenkattavaan massavalvontaan käy medioissa kuumana ja milloin mikäkin viranomaistaho käy vuorollaan perustelemassa miksi oikeus valvontaan pitää ehdottomasti saada myös Suomeen. Kannattajien mukaan kaikki se hyvä ja kaunis mitä sillä saavutetaan perustelee kaikki keinot. Itse ihmettelen eikö kukaan todellakaan ole lukenut Orwellin 1984 kirjaa, sellainen yhteiskuntako todella olisi tavoittelemisen arvoinen? Kyberturvallisuusinto on jo peitonnut alleen kansalaisen arkipäivän turvallisuuden, vaikka luulisi edes surullisen Erikan tapauksen jälkeen jonkun olevan kiinnostunut oikeasta ja todellisestakin turvallisuudesta tai oikeammin sen puutteesta, vaan eipä ole kannanottoja näkynyt? 

2014 pähkinänkuoressa: peli on menetetty

Vuonna 2014 taidettiin peli tietoturvallisuuden puolesta hävitä lopullisesti. Suurien tietoturvatoimijoiden mukaan vuonna 2014 100% yrityksistä oli liikennettä  ns. bottiverkkoihin, ts. jokaiseen vähänkään suurempaan organisaatioon oli saatu haittaohjelmavakoilu sisään (mm. Cisco annual security Report).  Snowdenin ansiokkaiden paljastusten ansiosta alkoi valottua tosiasia miten NSA on kaikkein edistyneimpien bottiverkkojen ja haittaohjelmien takana ja miten vakoilu on kohdistunut mm. telealan yrityksiin sekä energia- ja lentoyhtiöihin. Mahtaa olla näissä paikoissa kovinkin paljon terroristeja töissä? Vakoilua on tehty jo yli kymmenen vuoden ajan ja yli 14 maassa ja tämä siis vain yksi kiinnijäänyt esimerkkihaittaohjelma.Vuonna 2014 nähtiin  myös suomalaisten viranomaisten hillitön hinku päästä massavakoilemaan kaikkea mahdollista dataliikennettä. Tämän törkeän  viestintäsalaisuuden loukkaamisen perustelemiseksi perustettiin oikein työryhmä ja alkoipa asiaan liittyviä puolustelevia kirjoituksia ilmaantua  myös valtakunnan päälehtiin. Arvelen tämänkin taustalla olevan NSA, jonka kanssa innokkaat suomalaiset viranomaiset haluavat niin kiihkeästi tehdä yhteistyötä, että siinä sivussa voidaan luovuttaa kaikkien suomalaistenkin dataliikenne yhteistyön nimissä mukaan jo kaikenkattavaan vakoiluun. Voi Orwell, miten oikeassa olitkaan.

Ulkoministeriötä vakoiltu jo vuosia (MTV3 31.10.2013)

Tässä saatiinkin sitten suurin tietomurtouutinen tälle vuodelle, ulkoministeriön tietoja on vakoiltu jo arvioiden mukaan vuodesta 2009 saakka ilman että kukaan on huomannut mitään. Koko vakoilu ei edes olisi paljastunut ilman ystävällismielistä vihjettä ulkomailta. Niin...tälläkään kertaa mediassa ei lausuttu ääneen sitä yhtä ja ainoaa yhteistä nimittäjää näiden kaikkien suurien vakoilu- urkinta tapausten takana:  MS Windows järjestelmät ja ratkaisut. Jo alkuun epäiltiin Red October nimistä haittaohjelmaa, joka yllätsy yllätys, iskee ja leviää MS Excel ja Word dokumenttien mukana. Windows uskollisten usko ei kuitenkaan tule tälläkään kertaa horjumaan, eikä tietoturvallisia vaihtoehtoja ryhdytä edes kartoittamaan. Päinvastoin, koko valtionhallintoa suomessa pakotetaan keskitetyn IT hallinnon kautta entistä tiukemmin Windows ratkaisujen taakse ja ne vähätkin Linux tai edes LibreOffice vaihtoehdot lakaistaan ulos julkishallinnosta. Tämä tapaus ei tule olemaan viimeinen, lupaan sen.

Käyttäjätunnuksia ja salasanoja varastettu (CERT-FI 13.9.2013)

Johan tässä olikin hetki hiljaista sitten edellisen massiivisen kotimaisiin www palveluihin kohdistuneen tietovuodon pari vuotta sitten ja mitä oli opittu sitten edellisen kerran? Jep, ei kerrassaan mitään, jälleen SQL palvelut vuosivat ja hyökkääjä pääsi latelemaan komentojaan suoraan kantaan, todennäköisesti vielä ko. kannan pääkäyttäjän oikeuksilla. Tämä www palveluiden kyhääjien täydellinen välinpitämättömyys asiakkaidensa tietoturvasta on aivan käsittämätöntä, kukaan ei voi väittää ettei olisi ollut tietoinen näistä forum softia uhkaavista riskeistä, kukaan ei voi väittää etteikö olisi kuullut uutisista miten ihan vastaaviin palveluihin on murtauduttu jatkuvasti näitä toistakymmentävuotta vanhoja tekniikoita hyödyntäen, kukaan ei voi väittää etteikö olisi tietoinen  säännöllisen haavoittuvuustestauksen tarpeellisuudesta ja tasan mitään ei ole tehty. Ennustan että välinpitämättömyys vain jatkuu ja ensivuonna tai sitä seuraavana nähdään jälleen kymmenien tuhansien tietojan lipsahtaminen
teille tietämättömille.

Itse tutkin toimeksiannosta silloin edellisellä kerralla näiden tietovuotojen jälkiä eräässä palvelussa, ja kyseinen palvelu vuoti suoraan kantaan SQL injektiolla pääkäyttäjänä. No ei tässä vielä mitään, sattuuhan näitä, mutta tässä keississä ko. kannan pystyttänyt palveluntuottaja ajoi samassa palvelimessa ja kantainstanssissa varmaan kymmentä muutakin aivan eri palveluiden kantoja ja kaikissa sama tilanne, eli koko hässäkässä tasan yksi ja ainoa sql tunnari. Siis suomeksi, yhdellä ainoalla sql vuodolla pääsi noin kymmenen eri palvelun tietoihin käsiksi pääkäyttäjänä ja tällaisia tietoturvakukkasia näyttää suomi olevan pullollaan.

Oman todella kummallisen lisänsä tapahtumaan antoi CERT, joka kieltäytyi julkistamasta vuotaneita palveluita, milläköhän käänteislogiikalla tämäkin on ajateltu? Ainoa oikea toimintatapa on heti kertoa kaikki mitä epäillään ja antataa ihmisille mahdollisuus vaihtaa käyttäjätunnuksensa ja salasanansa, jos sattuvat samoja tietoja myös jossain muualla käyttämään ja antaa näiden tietoturvasta mitään piittaamattomien tahojen ottaa ikävä julkisuus reilusti vastaan, josko ehkä vaikka toimisivat ensikerralla paremmin, mitä tosin vahvasti epäilen.

Ulkoministeriön palvelut amerikkalaisilla palvelimilla (Iltasanomat Digi 28.8.2013)

Uutisen mukaan Suomen Ulkoministeriö käyttää nettipalveluissaan amerikkalaista Akamai palvelua, jossa palvelut todellisuudessa saadaan ko. palveluntarjoajan hajautetuilta palvelimilta. No eipä tässäkään ensisilmäyksellä mitään ihmeellistä, niinhän moni muukin käyttää ja niin edelleen, mutta mutta...Yksi keskeinen peruste Akamai palvelun käyttöön on kuitenkin tietoturva, siis varautuminen palvelunestohyökkäyksiin ja samalla tämäkin palvelu osoittaa miten tietoturva on muuttunut täydellisen skitsofreeniseksi. Tiedon luottamuksellisuus, tässä kuka surffaa, mitä ja mistä, ollaan valmiita myymään toisen tietoturvaominaisuuden, tässä käytettävyys, siivellä. Ulkoministeriön tietohallintojohtaja Ari Uusikartano perustelee asiaa sillä ettei vaihtoehtoisia palveluja ollut saatavilla ja sillä että palvelun tarjoajaa sitoo EU:n ja Ruotsin lainsäädäntö, vetoaa vielä hankintalainsäädäntöön niin että nämä on ollut ihan pakko ostaa jenkkilästä ja lopuksi Ari vielä lisää että jakaahan ne ihmiset omia tietojaan facebookissakin, niin että mitäs tässä. Jään odottamaan että muutkin hallinnonalat keksivät käyttää näitä hienoja palveluita ja joku päivä vaikka terveystiedot lepäävät nätisti siellä jossain.

Tietoturvallisuuden pyhä kolminaisuus on saanut nykyaikana aivan uudet merkitykset:

  • Käytettävyys (Availability) = Kaikki tieto on NSA:n käytettävissä
  • Luottamuksellisuus (Confidentiality) = Kaikki urkintasyytökset kiistetään
  • Eheys (Integrity) = Kaikki tieto säilyy muuttumattomana urkkijoiden tietokannoissa ikuisesti

Saksan tietoturvaviranomaiset varoittavat Windows 8 käytöstä

Saksalainen Die Zeit- lehti sai käsiinsä salaisen muistion, jossa Saksan tietoturvaviranomaiset varoittavat hallintoa Windows 8 tietoturvariskeistä. Tietoturvaviranomaisten mukaan Windows 8 trusted computing- ominaisuus mahdollistaa koneen etätarkkailun. Kun asiasta nousi haloo, niin julkisuuteen alettiin kiireesti selittämään, etteihän me nyt ihan tätä tarkoitettu, vaan että vain jossain tietyssä tilanteessa käyttäjä voi menettää oman koneensa hallinnan, joo joo...

Itse olen varoittanut Windows järjestelmien tietoturvaongelmista jo vuosia, ei todellakaan voi olla sattumaa että reilusti yli 90% kaikista koskaan esiintyneistä epidemioista on liittynyt juuri Windows järjestelmiin. Tämän on aina selitetty ja selitetään edelleen johtuvan vain siitä että haittaohjelmien tekijät eivät viitsi tehdä haittaohjelmia muihin järjestelmiin, kukaan ei ole kyllä selittänyt sitä miksei maailman suurimpiin ja rikkaimpiin kuuluva IT yhtiö ole sitten itse paikannut omaa järjestelmäänsä? Enkä todellakaan tarkoita tässä jälkikäteen patchaamista! Turha väittää ettei siihen olisi kyetty, turha väittää ettei siihen olisi ollut rahaa tai resursseja, jäljelle ei jää muuta selitystä kuin se että tietoturvapuutteet on haluttukin säilyvän. No entäpä tämä uusi hieno ja turvallinen Trusted Computing sitten? Myöhemmin Saksasta tihkui lisää asiaan liittyviä uutisia ja paljastui että kehittely on pysynyt visusti amerikkalaisissa käsissä vaikka rakkaat liittolaisetkin olisivat niin kovasti halunneet mukaan. Mielenkiintoiseksi asian tekee se, että suoraan piirilevylle lisätyt ominaisuudet mahdollistavat koneen käytön etänä vaikka se olisikin sammutettu, jos mukana on oma virtalähde, niin ei ole edes väliä onko töpseli seinässä. Toinen mielenkiintoinen lisä sopassa on tutkia että missäs kaikkialla näitä piirilevyjä valmistetaan ja kappas huomataan että idässähän ne, eli taitaa trusted computing piireillä käydä oikein kuhina.

Kyllä turvallisuus on sitten ihmeellistä, sitä mitä ennen vanhaan kutsuttiin tietovuodoksi kutsutaan nykyään tietoturvaominaisuudeksi ja luottamuksellinen tieto vastaa aseman ilmoitustaulua. Lisää paljastuksia on luvassa, lupaan sen.

Facebook vuotaa (19.8.2013)

Palestiinalainen tietoturva-asiantuntija Khalil Shreateh löysi palvelusta aukon jonka avulla pystyi kirjoittamaan kenen tahansa seinälle. No ei tässä mitään, kaikista systeemeistähän aukkoja löytyy, mutta tämän yhtiön toiminta edustaa niin tyypillistä tapaa millä kaupalliset toimijat aukkoihinsa reagoivat että oli pakko ihan itsekkin nostaa asia esille. Khalil yritti raportoida kahdesti löytämästään haavoittuvuudesta yhtiölle sen itsensä sitä varten luomaa kanavaa pitkin:

  • Kaikki ongelmat kiistettiin
  • Selitettiin että kyseessä olikin itseasiassa ominaisuus
  • Mihinkään ei reagoitu mitenkään ennenkuin löytäjä postasi demon haavoittuvuudesta Mark Zuckerbergin omalle seinälle
  • Rangaistiin lopulta ongelman esiintuonutta tahoa (jätettiin löytöpalkkio maksamatta ja hyllytettiin facebook tili)

Miten itse olisin toiminut: välittömästi kenkää tietoturvallisuudesta vastaavalle päällikölle, henkilöstö on selvästi epäpätevää, palkannut aukon löytäneen kaverin etsimään lisää aukkoja, hän on selvästi erittäin pätevä ja pahoitellut julkisuudessa sitä että yhtiö reagoi näin tökerösti tilanteeseen ja luvannut parantaa toimintatapoja. Joskus meinaa melkein itku tulla kun kuuntelee ylväitä perusteluja siitä miten vain kaupallinen toimija voi taata ratkaisujen tietoturvallisuuden riittävän laadukkaasti, kumma kyllä avoimella puolella avoimuus on ihan toista luokkaa myös ongelmien suhteen.

Omat kokemukseni vahvistavat myös samaa mitä Khalil edellä koki, markkinoilla on suuri joukko toimijoita jotka tilaavat esim. auditointeja vain saadakseen puhtaita raportteja. Heitä ei kiinnosta tietää onko systeemeissä aukkoja ja koko tietoturvan tarkoitus on imagon kiilloitus. Itselleni on tullut tunne että asiakas on ollut suorastaan pettynyt hankkeen lopputulokseen kun olen päässyt murtautumaan sisään ja pystynyt osoittamaan selviä aukkoja tietoturvassa, odotusarvo kun on ilmeisesti ollut suitsutusta ja kiitosta siitä miten hienosti ja hyvin asiat on hoidettu. Siellä missä on löytynyt kaikkein räkäisimmät aukot, ei samaan paikkaan ole tarvinnut toistakertaa mennä testaamaan, pettymys on ollut käsinkosketeltavissa.

Poliisi hankkii troijalaisen (HS 4.8.2013)

No niin, Suomen viranomaiset ovat nyt sitten julkistaneet suunnitelmansa osallistua kansainvälisiin hämäräbusineksiin ja kansainvälisen ammattirikollisuuden rahoittamiseen. Ai miten niin, eikös näitä hankita ihan vastuullisilta kumppaneilta? Aina kun puhutaan zero day exploiteista, paikkaamattomista haavoittuvuuksista, bot verkoista, troijalaisista jne. ei vastuullisia toimijoita ole olemassa. Virusten ja exploittien kyhäily sai kaupallisia muotoja jo reilut kymmenisen vuotta sitten 2000- luvun alussa ja aiemmin jahdatut rikolliset muuttuivat hetkessä näiksi uusiksi ja uljaiksi yhteistyökumppaneiksi joilla on edelleen toinen jalka rikollisella puolella. Aiemmin rikollinen puoli hoiti tuotekehittelyn ja nämä kaupalliset toimijat vain tuotteistivat ratkaisut, mutta nykyisin tietoturvattomuuden kehittäminen on juuri vahvan viranomaispanostuksen syystä tai ansiosta alkanut mennä uusien riesojen synnyttämisessä jopa hämärämaailman edelle. Mikään ei kuitenkaan ole muuttunut, vaan kehittäjätahosta riippumatta nämä kaikki "innovaatiot" päätyvät kokonaan tai osittain mellastamaan pitkin ja poikin internettiä, osin vahingossa, osin hakkerien reverse engineering kykyjen ja suurelta osin tuotekehittelyn vuoksi aivan tarkoituksella.

Nostan kuitenkin hattua F-Securen Mikko Hyppöselle, kun hän ilmoitti etteivät he aio olla mukana tekemässä yhteistyötä viranomaisten kanssa, suoraselkäistä toimintaa, toivottavasti linja pitää.

Mekin halutaan (Talouselämä 20.6.2013)

Niin se heräsi Suomenkin viranomainen ilmoittamaan julkisesti miten Suomi on jäänyt kansainvälisesti jälkeen kyberuhkien torjunassa ja haluaisi innokkaasti mukaan urkkimaan kaikkea mahdollista dataliikennettä. Siis jopa olikin naseva peruste, eli kun kukaan muukaan ei kunnioita vähäisessäkään määrin yksityisyyden suojaa, sähköisen viestinnän tietosuojaa tai valtioiden välistä suvereniteettiä, niin meidänkin pitää alkaa kiireenvilkkaa pyyhkimään takapuolta sähköisen viestinnän tietosuojalla.

Oman päättömän lisänsä tähän leikkiin antoi samaan aikaan EU, jossa väännetään uutta tietosuoja-asetusta joka vaatii rekisterin pitäjää osoittamaan että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn. Tällä työryhmällä täytyy todella olla huumorintajua.

Peräänkuulutin näiden innokkaiden terrorismin-, rikollisuuden ja kyberuhkien torjujien perimmäisiä tavoitteita vapaalle urkintaoikeudelle ja heti samantien asia hieman valottui kun paljastui että ruotsissa Säpo urkki vasemmistopuolueita aina kahdeksankymmentäluvulta kaksituhattaluvulle (Iltasanomat 25.6). Mahtoi vasemmistoon kuuluminen olla todellinen uhka ruotsin kansalliselle turvallisuudelle että oikein vakoilla piti ja vielä vuosikymmeniä? Toiminta jatkui niin pitkään että taatusti on vakoiltujen puhelut, sähköpostit, www surffaus jne. jne. ollut aivan keskeisiä urkintakohteita.

Monikohan on edes huomannut tai vielä vähemmän pysähtynyt pohtimaan kaavailtua uutta pakkokeinolakia 1.1.2014? Laissa avataan suomenkin viranomaisille mahdollisuus käyttää troijalaisia, keyloggereita ja mitätahansa markkinoilta saatavia haittaohjelmia tiedonhankinnassa. Mahtaako F-Secure laajentaa nyt toimenkuvaansa ja ryhtyä kauppaamaan viruksia vai saako vaikka ranskalainen Vupen busineksia pohjolaan? NSN onkin jo vuosia toimittanut mobiiliurkintajärjestelmiä maailman eri valtioille ja johtajille, joilla on syystä tai toisesta erityistä mielenkiintoa omien kansalaisiensa tekemisiin. Entäpäs meidän ihan oma Cert-FI, tietoturva-ala alkaa vaatia yhä enemmän kunnon skitsofreniaa.

No mutta, viranomaisten liikkeellelaittamat haittaohjelmathan ovat oikein vastuullisia ja saastuttavat vain pahojen poikien ja tyttöjen koneita eikö vain? No ei todellakaan, kannattaisiko tutustua vaikka Stuxnet madon historiaan: ensimmäiset versiot liikkeellä jo 2005, kenen lie koodaamina ja Iraniin 2010 iskenyt versio pääsi koko kansan tietoisuuteen vasta kun se alkoi levitä ympäri maailmaa ja uutta versiota senkun pukkaa yhä edelleen minkälie turvallisuuden nimissä liikkeelle. Montakohan kymmentä prosenttia maailman suurista Bot verkoista on todellisuudessa viranomaiskäytössä? Onko kukaan koskaan miettinyt millä tahoilla on käytössään maailman suurimmat taloudelliset ja henkilöstöresurssit haittaohjelmien kehittelyyn tai kuka palkkaa tällähetkellä eniten maailmassa tietomurtautujia riveihinsä? Kyllä turvallisuus on hienoa.

Esitettiinpä tässä keväällä myös ajatus miten suomen tulisi olla johtava kyberturvallisuusmaa viranomaisten ja yritysten ennennäkemättömän saumattomalla yhteistyöllä, eli siis lisää: urkintaa, troijalaisia, rootkitteja, dokumentoimattomia takaportteja, piilotettua koodia, piilotettuja ominaisuuksia (Iltasanomat 24.1.2013, Valtion uusi kyberturvallisuusstrategia). NSA:lla tuo yhteistyö onkin ollut niin saumatonta, että muilla mailla oikein kateeksi käy, ehkäpä joku vielä selittää tällaiselle vanhan polven hakkerille mistä se turvallisuus oikein tulee? Niitä joiden mielestä viranomaisen tiedonsaanti on aina perusteltua, järkevää ja oikeutettua kehoitan tutustumaan vaikka Mika Myllylän tapauksen tietojen urkintasyytteisiin.

Markku Vettenniemi avasi pandoran lipasta ansiokkaasi yleisönosasto kirjoituksellaan (HS 26.6.2013) "valtiot ja niiden liittoumat hankkivat teollisuudenaloilleen kilpailuetua myös ulkomaisen tietoliikenteen tiedustelulla" ja "Tietoliikenteen tiedustelu ei siis ole pelkkää otsikkojen esiin nostamaa terroritekojen torjuntaa, vaan myös - ja nimenomaan - valtiollisesti resursoitua, julkisuudelta piilossa tapahtuvaa kilpailua politiikan ja talouden aloilla". Olen Markun kanssa aivan sataprosenttisesti samaa mieltä, nyt oliskin mielenkiintoista kuulla näiden innokkaimpien kyberuhkien torjujien perusteluja missä ja mitä ne pelottavat kyberuhkat ovat ja millä perusteella omien kansalaisien urkinta torjuu niitä? Ihmettelen myös suomen kaltaisien pienien maiden hyssyttelyä räikeän taloudellisen ja poliittisen vakoilun edessä, kyllä se on pohjolan business joka näissä kekkereissä saa turpaansa maailman markkinoilla!

Mediassa on esiintynyt runsaasti Edward Snowdenin ja Bradley Manningin tapausten yhteydessä kiiheitä kannanottoja siitä miten he ovat rikollisia, uhka vapaalle yhteiskunnalle ja joutavat viimeiselle tuomiolle. Kumma kyllä historia ei tunne yhtään tapausta, missä minkään järjestelmän totaalinen valvonta kansalaisten tekemisiin tai ajatuksiin olisi johtanut mihinkään hyvään, hirveitä esimerkkejä päinvastaisesta sen sijaan löytyy runsaasti. Näin tietoturva-ammattilaisena pidän hyvin terveenä sitä että Snowden on vihdoin viimein nostanut kissan pöydälle ja konkreettisesti kertonut miten turvaton paikka se internet oikein on. Medialle kelpaa nykyään "Weapons of mass destruction" aikana mikä tahansa mainostoimistojen kiillottama sont...totuus, itse pidän enemmän vanhanaikaisesta oikeasta totuudesta ja siitä että poliitikkojen tekemiset näkevät ennemmin tai myöhemmin päivänvalon tavalla tai toisella, jos ei muusta syystä niin edes historian tutkijoiden iloksi.

 Tietoturvattomuutta kaupan (HS 16.6.2013)

Uutisten mukaan mm. ranskalainen Vupen Security kauppaa asiakkailleen tietoa haavoittuvuuksista ja hyökkäysohjelmistoja. Asiakkaana "yllättäen" luotettavia ja vastuullisia viranomaisia ja muita tiedusteluorganisaatioita. Nämä samat viranomaiset ja tosi vastuulliset organisaatiot on olleet kautta historian itse hämärähommissa, mutta niin vain Watergate ja muut skandaalit painuu unholaan ja tilalle tulee nämä uudet ja uljaat "vastuulliset tahot", käypä se viranomainen meillä Suomessakin säännöllisesti oikeudessa opiskelemassa mitäs se laki sanookaan ja miten niitä omia hommia tulisikaan hoitaa.

Tietoturvapiireissä on aina haluttu maalailla kuvaa jostain mafian kaltaisesta pahiksesta tai yksittäisistä höyrähtäneistä nörttineroista tietoturvahyökkäysten takana. Tähän sarjakuvamaailmaan istuu huonosti todelliset tekjät: globaalit suuryhtiöt, tekijänoikeuksien valvojat, tiedusteluorgnaisaatiot ja muut viranomaiset, vaikka meillä Suomessakin työntekijän pahin tietoturva-uhka viimevuosina on ollut lähinnä firman oma tietoturvaosasto.

Tietovuodot aiheuttavat taatusti merkittäviä taloudellisia ja muita vahinkoja, peli on kuitenkin käytännössä jo menetetty jos käytössä on näitä globaalien jättien ratkaisuja. Väitän että tietoon kuin tietoon pääsee aina käsiksi kun on joko riittävästi natsoja kaulassa, poliittista vaikutusvaltaa tai massia. Itse en suostuisi koskemaankaan muihin kuin avoimen lähdekoodin ratkaisuihin kun edes jonkintasoisia tietoturvavaatimuksia halutaan, mutta eihän asioita toki tehdä tarkoituksenmukaisesti, vaan niin kuin hyvältä näyttää.

 NSA vakoilee suoraan suuryhtiöiden palvelimilla (kaikki mediat 7.6.2013)

Uutisten mukaan NSA:lla on suora pääsy Googlen, Facebookin, Applen, Microsoftin jne. jne. palvelimille vakoilemaan käyttäjiä. Tästäkin uutisesta voi hyvällä syyllä kysyä että hämmästyikö ihan aikuisten oikeasti joku? Väitän edelleen että kyseisellä tiedusteluelimellä on pääsy jokaikiseen Win ja Apple käyttöjärjestelmään joka koskaan ikinä keskustelee päivitys- tms. palvelinten kanssa. Kun vielä muistaa miten helposti tavallisetkin tavikset on saaneet nettikamerat ja muut härpäkkeet vielä lähettämään livekuvaa uhriensa kotoa, niin voi todellakin todeta elämän oleva yhtä avointa naamakirjaa. PC:t ovat tosin pikkuhiljaa häipymässä historiaan ja mobiililaitteet nostavat tämänkin seurannan jälleen kokonaan uudelle tasolle, lisää paljastuksia on siis tulossa lupaan sen.

Tämän uutisoinnin jälkimainingeissa hämmästyttää lähinnä se miten välinpitämättömästi siihen suhtaudutaan ja miten helposti terrorismin torjunta- argumentti menee läpi? Tämä, niinkuin kaikki muutkin vastaavat järjestelmät on tarkoitettu nimen omaan tavallisten ihmisten urkintaan ja näiden tehokkuus on ollut varsin kyseenalainen vaikka Bostonin marathon iskussa tai vaikka Norjan Breivik tapauksessa vaikka molemmista oli netti pullollaan vihjeitä niin että ilman tällaista miljardibudjettiakin olisi voinut jotain päätellä. Nykyään jokainen teinikin osaa piilottaa halutessaan dataliikenteensä vaikka Tor verkkoon, käyttää vahvaa salausta tai muuten vain sopia koodikielestä, joka ei mitenkään erotu miljoonista muista viesteistä. No mihin ja miksi näitä sitten oikeasti tarvitaan ja käytetään? Sitä kysymystä ei näytä olevan mikään taho halukas esittämään ja kaikki esimerkkitapaukset häipyvät kansallisen turvallisuuden salaisiin kansioihin, kunnes jokin ääri-ideologia pääsee valtaan ja kokonaisien kansanryhmien vaino alkaa.

Niin vain sai tämäkin uutinen jatkoa kun paljastui että EU virkakoneisto on ollut yksi NSA:n keskeisiä vakoilukohteita (IS 1.7.2013). Siinä on jenkkien kelvannut neuvotella kauppa- yms. sopimuksia, kun vastapuolen kannat on olleet jo etukäteen tiedossa. Tässä skandaalissa ei oikeastaan ihmetytä mikään muu kuin suomalaisten poliitikkojen ja virkamiesten käsittämättömät lausunnot koko skandaalin tiimoilta, sitä ollaan joko täysin pihalla tai niin sinisilmäisiä että oikein hirvittää. Mitähän mahtoi tuumia nekin Saksalaiset päättäjät, jotka antoivat NSA:n rakentaa vakoilukeskuksia keskelle eurooppaa? Suomikin luovuttaa ovat signaalitiedustelutietonsa kiltisti NSA:lle, enkä yhtään hämmästyisi vaikka Uncle Samilla olisi täälläkin ihan omat kytkentänsä suoraan runkoverkkoihin, kyllä turvallisuus on sitten ihanaa.

MS IE selaimessa vakava tietoturva-aukko (kaikki mediat 18.9.2012)

No jopa oli uutinen, oikein pääuutislähetyksissäkin, että oikein MS IE selaimessa vakava tietoturva-aukko, niin...monesko sellainen?! Kuka urpo enää käyttää IE selainta? M. Hyppönen kommentoi Iltalehden asiaan liittyvässä uutisessa että IE on juuri yritysten paljon käyttämä selainratkaisu, no se että tietoturva on yrityksissä täysin retuperällä ei luulisi ketään enää hämmästyttävän.

Nuoret miehet huijasivat satoja nettihuutokaupoissa (HS 25.8.2012)

Tämän uutisen teki mielenkiintoiseksi se että kyseessä oli ensimmäinen johdannainen viimesyksyn suuriin tietovuotoihin, ts. tekijät olivat päässeet Huuto.net:in käyttäjätileihin käsiksi viimesyksynä vuotaneita tietoja kokeilemalla. Uutisen mukaan kokonaissaalis oli 150 000 €, eli ihan systemaattisesta petoksesta on ollut kyse ja haltuun oli saatu peräti 150 käyttäjätiliä, eli ihan merkittävä määrä niitäkin. Tässäkohden sitten loppui näiden pääkaupunkiseudulta kotoisin olevien nuorten gangstan alkujen älykkyys, vesseleille kun ei näköjään tullut mieleenkään että heti kun rikollisuus astuu biteistä fyysiseen maailmaan alkaa jäljet sylttytehtaalle löytyä ja poliisi todellakin löytää perille, ainakin näin kotimaassa.

Tietovuotoja ja sadetakkimiehiä (13.7.2012 kaikki valtamediat)

Jopa on taas uutisvirtaa riittänyt, ensin Linkedin palvelusta lähti kävelemään 6,5 miljoonaa salasanatiivistettä, joista osa oli jo purettu. Olivat sentään edes vaivautuneet käyttämään tiivisteitä. Sitten seurasi Yahoo perässä ja ilmoitti 400 000 käyttäjän tietojen vuotaneen. Mediassa liikkuvien tietojen mukaan nämä urpot eivä olleet vaivautuneet edes salaamaan tietoja tai salaus on ollut jotain todella helppoa, mitäpäs sitä tietoturvasta välittämään.

Sitten tämä tietoturvauutisten mielenkiintoisin uutuus, eli kymenlaaksolainen mies vakoili yli sataa kohdetta, usiemmiten nuoria naisia, vakoiluohjelman avulla. Ohjelman avulla mies oli hallinnut kohteensa konetta täysin ja vieläpä katsellut uhriensa tekemisiä web kameran avulla. Eipä ole enää naamakirja ainoa paikka jossa pääsee jakamaan yksityiselmäänsä maailmalle, riittää kun napsauttaa oman rakkaan Windowsinsa päälle. Ai miten niin vain Win? No koittakaapa etsiä vastaava Mac tai Linux haittaohjelma. Sama muuten onnistuu älypuhelimellakin ja softia on netistä saatavilla, eli kannattaa vähän miettiä mitä luuriinsa latailee.

Uusi superhaittaohjelma Flame (29.5.2012 kaikki valtamediat)

Uutisten mukaan lähi-idän alueella jyllää jälleen uusi kaikkien aikojen monimutkaisin vakoiluun erikoistunut tietokonevirus. Uutisoinnista on tarkoituksella jätetty pois tärkeä informaatio siitä, onko kyseessä vain Windows järjestelmiin iskevä vihulainen? On se vaan hienoa, että kolmannen maailman turhautuneet nörttipojat on saaneet rinnalleen oikein valtiontason kaverit viruksia kirjoittelemaan, ei tarvitse enään vakoojan vaivautua edes paikanpäälle kun julkishallintojen Windows uskollisuus helpottaa hommia.

16 000 suomalaisen tiedot vuosivat nettiin (la 5.11.2011 kaikki valtamediat)

Uutisten mukaan netistä löytyi la 5.11 lista, joka sisälti 16 000 suomalaisen henkilötiedot: nimi, sähköpostiosoite, sotu, puhelinnumero ja kotiosoite. Myöhemmissä uutisoinneissa listan arveltiin syntyneen koosteena useammasta lähteestä ja vielä myöhemmin listan lähteiksi arveltiin mm. työtehoseuraa sekä eri aikuiskoulutukseen liittyviä organisaatioita. Iltalehdelle työtehoseuran toimitusjohtaja Tarmo Luoma kommentoi, että asiakkaiden tietoturvasta huolehditaan ja että tällaiset tietomurrot ovat aina mahdollisia kun käytetään aikaa ja rahaa. Itse voisin Tarmolle kommentoida, että tällaisiin tietomurtoihin ei todellakaan tarvita aikaa eikä rahaa, keskimääräinen reikä kun on niin helppo, että lähes kuka tahansa yläasteikainen nörtti osaisi sellaista hyödyntää ja keskimääräinen tietoturva taas on vain kasa paperia ja hienoja powerpointteja. Niin ja vielä Cert-fi yksikön vetäjän Erka Koivusen Ylen aamu-tv:n haastattelussa 7.11 sanoin "murron kohteeksi joutunut organisaatio on yleensä viimeinen joka edes tietää joutuneensa murron kohteeksi", asia on täsmälleen näin.

Niin sai tämäkin uutinen jatkoa, oikean tietovuotojulkistusten sarjan. Samaan aikaan eri medioissa parjattiin ihmisiä huonoista salasanoista ja muista laiminlyönneistä, ei kuulemma tietoturvapolitiikka toteudu. Ei tunnu tietoturvasaarnaajille aukevan että Sql injektioon ei paljoa salasanoja tarvita.

8.12.2011 Taas uusien ja uusien tietovuotojen suma on jatkanut paisumistaan. Mediassa on alettu vaatimaan päitä vadille ja kyselty miksei poliisi ole saanut rikollisia kiinni. Itse osoittaisin kyllä hiukan enemmän huomiota näiden tietovuotojen kohteeksi joutuneiden palveluiden suuntaan, niin törkeän räikeitä tietoturvan laiminlyöntejä ja täydellistä piittaamattomuutta tietojen suojaamisesta että hirvittää. Vai mitä tuumaatte tästäkin netcar.fi:stä: Mysql portti avoinena nettiä vasten ja ilman salasanaa tai tämä helistin.fi: viimeksi päivitetty 2007 ja ylläpitäjät tiesivät palvelun foorumisoftan olevan haavoittuva ja vain odottelivat että jotain tapahtuu. Huh, kyllä tietoturva(ttomuus) on ihmeellistä, vieläkö joku ihmettelee miksi näitä tietoja on vuotanut?!

12.1.2012 Laajasti eri medioissa uutisoitiin poliisin kiinnisaamasta alle 15 vuotiaasta pojasta, jota epäiltiin 24 tietomurrosta sql injektio tekniikalla. Median mukaan nyt kiinnisaatu henkilö ei liity edellisiin massatietovuotoihin, mutta alleviivaa hyvin sen mitä tuossa ylempänä kommentoin Tarmolle.

Viruksia ja urkintaa (HS 13.10. 2011)

Uutisten mukaan saksan viranomaiset ovat ryhtyneet levittämään viruksia kansalaisten koneisiin päästäkseen urkkimaan niiden tietoja. Baijerin osavaltion viranomaiset myönsivät toiminnan jatkuneen jo vuodesta 2009, mutta toiminta on ollut laajaa myös muilla viranomaisilla. Eipä ole saksalaisvirkamiestä paljoa haitannut sellainen pikkujuttu, kuin tämänkaltaisen toiminnan olevan vastoin perustuslakia. Samaan aikaan tämän uutisen kanssa alkoi suomalainen tietoturvaviranomainen CERT-FI päällikkö Erka Koivunen haaveilemaan suomeenkin omaa hakkeri- ja virusosastoa, aika erikoisia haaveita tietoturvaviranomaiselta huomioiden että suomessa haittaohjelmien rakentelu ja levittäminen kun on laitonta. Ei taida olla kummoinenkaan askel siihen suuntaan, kun viranomaisten "tietoturva" toiminta alkaa aiheuttaa enemmän tietoturvattomuutta ja yleensä tässä vaiheessa kaivetaan esiin terrorismi-, kansainvälinen rikollisuus, lapsiporno- tms. ylevä peruste laittomuuksiin.

Kommentteja 2011 Data Breach Investigations raporttiin (Verizon RISK team)

Raportin mukaan ulkopuoliset hyökkääjät vastaavat edelleen valtaosasta tietomurtoja (92%). Hyökkääjä hyödyntää puolessa tapauksista haittaohjelmia (49%), joilla asetetaan kohteeseen takaportteja tai haittaohjelma varastaa itse tiedot. Suurin osa hyökkäyksistä oli helppoja suorittaa, eivätkä ne vaatineet suurta teknistä osaamista (Moderate + Low = 86%; tämän voin vahvistaa myös oman työni perusteella!). Suuri joukko organisaatioita valikoitui siten myös kohteeksi vain sen takia, että heidän systeemeissään oli käytännössä sisäänkäveltävä aukko (83%), joita hyökkääjät systemaattisesti etsivät, tosin myös kohdennettujen hyökkäysten osuus oli merkittävä (17%). Lähes puolessa tapauksista ulkopuolinen kolmas osapuoli havaitsi tapahtuneen murron (3rd party, viranomaisen ilmoitus tai asiakkaan havainto = 82%). Organisaatiot eivät siis itse huomanneet mitään, itseasiassa vain häviävän pieni joukko organisaatioita kykeni millään tavalla havainnoimaan itselleen sattuneita murtoja (tämä vastaa myös hyvin omia kokemuksiani). Organisaatiot eivät osanneet tulkita edes virustorjunnan antamia varoituksia tai havaintoja, joilla haittaohjelmien leviämistä olisi voitu ehkäistä jo alkuvaiheessa. Hyökkääjällä kesti yleensä vain päiviä saada kohde haltuun, kun kohteilla saattoi olla aukot huomaamatta viikkoja, kuukausia, jopa vuosia (voin hyvin jälleen vahvistaa asian). Windows oli odotetusti 85% osuudella ylivoimaisesti murretuin kohdejärjestelmä, mutta raportissa huomautetaan, että tietoturva-aukot ovat olleet sovellus, ei niinkään käyttöjärjestelmätasolla. Itse voisin kommentoida edellistä yksinkertaisesti niin, että ilman kaikkien haluamaa Windows työasemaa koko haittaohjelmarumba olisi täysin marginaalista, linux tai Mac ymäristöissä ei edelleenkään ole esiitynyt massiivisia epidemioita. Hyökkäysten kohteena oli tasavahvasti niin serverit (57%) kuin loppukäyttäjien laitteetkin (56%), raportin tekijät kuitenkin odottavat tulevaisuudessa mobiililaitteiden nousevan yhdeksi merkittäväksi kohteeksi. Verkkojen salakuuntelu oli lähes marginaalista, eli SSL suojaus näyttää purevan hyvin. Oletustunnukset - salasanat tai muuten hyvin helposti arvattavat kredentiaalit muodostivat 67% murroista pitäen samalla ikivanhan salasananarvaus- (bruteforce) hyökkäyksen edelleen voimissaan (52% murroista). Tästä ei voi todellakaan vetää muuta johtopäätöstä, kuin että tietoturvasaarnat taitaa kaikua kuuroille korville! Takaporttien hyödyntäminen muodosti suurimman murtoryhmän (73% tapauksista), mikä linkittyy hyvin läheisesti haittaohjelmien hyödyntämiseen, vastaavasti myös hyökkääjät pyrkivät aktiivisesti asentamaan itse kohteisiinsa takaporttihaittaohjelmia. Fyysisten laitteiden kimppuunkäyminen, esim. pankki- bensa- jne. automaattien skimmauslaitteet, oli hyvin vahvasti edustettuna ja edusti samalla selkeästi paikallisesti organisoituneen rikollisuuden hallitsemaa osa-aluetta. Muuten murtojen jäljet viittasivat vahvasti itäeurooppaan (65%) ja pohjoisamerikkaan (19%). Murtojen kohteeksi joutuneissa organisaatioissa oli havaittavissa selkeä siirtymä kohti helpompia kohteita, ts. pankkien ja rahoituslaitosten, vaikkakin edelleen vahvasti edustettuina (22%), osuus on putoamassa ja tilalle ovat tulleet kaikenlaiset ravintolat, kaupat, kioskit ja muut palvelut (yhteensä 65%).

Lulz Security mellastaa, lukuisia tietomurtoja (Kesäkuu 2011)

Uutisten mukaan Lulz Security ryhmä on tunkeutunut CIA:n, Nintendon, Sonyn palveluihin, toisessa uutisessa Citibank verkkopankista vietiin asiakkaiden tietoja jne. jne. Uutisvirta senkuin jatkuu ja kaille näille löytyy yksi yhteinen piirre, hyökkäys on onnistunut "yllättävien tietoturvapuutteiden" vuoksi. Olen ainavain vakuuttuneempi siitä miten yksinkertaistakin tietoturvaa laiminlyödään räikeästi ja systeemejä ei tietoturvatestata. Kannattaa muistaa, että perinteinen auditointi on pelkkää dokumenttien syynäämistä ja sanahelinää, ellei järjestelmiä ole testattu kunnolla, ei tietoturvasta ole huolehdittu riittävästi.

Ministeriössä löytyi yli 150:ltä tietokoneelta vakoiluohjelma Ranskassa (IT-viikko 7.3.2011)

Uutisen mukaan Ranskan valtiovarainministeriössä paljastui poikkeuksellisen laaja vakoilutapaus, hyökkääjä oli päässyt sisään sähköpostin liitetiedostona lähetetyllä haittaohjelmalla. Hohhoijaa...moneskohan tällainen organisaatio, tuhannes, kymmenestuhannes...? En tietoturva-asiantuntijana koskaan lakkaa hämmästelemästä sitä millä innokkuudella organisaatiot, joiden pitäisi olla tietoturvavalveutuneita, perustelevat erään tietyn poikkeuksellisen haavoittuvan toimistojärjestelmän käyttöä ja luottavat virustojuntoihin tms. teknologioihin kuin hullu puuroon. En ole koskaan kuullut yhdestäkään laajamittaisesta vakoilutapauksesta, jossa kohteena olisi ollut Mac- tai Linux työpöytäratkaisut mutta pakkohan se on uskoa että tietoturva on pelkkää sanahelinää.

Verkkokauppojen ohjelmistovirheillä huijattiin lähes 300 000 € (HS 1.3.2011)

Uutisen mukaan kahdelta suomalaiselta verkkokauppayhtiöltä on huijattu yli 270 000 € harhauttamalla verkkokauppasovellusta luulemaan, että verkkopankkimaksu on maksettu asianmukaisesti kauppiaalle. Uutisen mukaan epäillyt yrittivät myös saada 26 000 € siirtoa kolmannelta yhtiöltä, mutta tämä ei onnistunut. Tämä tapaus on edustaa mielestäni kaikkein selkeintä tietorikollisuuden osa-aluetta, siellä missä raha tai suoraan rahaan rinnastettava ominaisuus, tässä hankitut maksamattomat tavarat, kohtaavat huolimattomuuden ja laadunvarmistuksen puutteet, syntyy aina kupruja. Tilaisuus tekee varkaan, eikä verkkomaailma ole todellakaan poikkeus. Ehkä kauppiaat muistavat ensikerralla että asiantunteva haavoittuvuustestaus ei todellakaan ole rahan haaskausta, eikä palomuureista tai virustorjunnoista ole tällaisissa tapauksissa paljoa apua.

Tietoturvaguru Kevin Mitnick (Tivi nro 21, 10.12.2010)

Anteeksi mikä, tietoturvaguru?! Uutisen mukaan yleisö otti Kevinin vastaan kuin tähden ja riensipä Mikko H:kin jälleen kuvaan yhdessä tämän sankarin kanssa. Olen toisinaan ennenkin ihmetellyt näitä tietoturva-alan moraalikäsityksiä, mahtaisiko entinen pankkirosvo saada juhlitun sankarin vastaanoton pankkien turvallisuuspäivillä tai raiskaaja naisten turvallisuuspäivillä? Itse en edes pidä Keviniä hakkerina, vaan perinteisenä pesunkestävänä huijarina, joka esiintyi milloin minäkin kohteitaan huijatessaan. Kevin ja muutaman muukin maailmalla vaikuttava "tietoturva-asiantuntija" on hyviä esimerkkejä siitä miten rikos kannattaa aina ja miten lämpimästi tietoturvaihmiset syleilevät juhlittuja sankareitaan.

Viruksesta tuli täsmäase (Talouselämä 29.10.2010 ja Stuxnet)

Uutisessa kerrotaan teollisuuden suljettuja järjestelmiä vastaan suunnatusta Stuxnet viruksesta ja kehuupa F-Securen Mikko Hyppönen tapausta jopa vuosikymmenen tärkeimmäksi haittaohjelmaksi. Mikon ennustajan lahjoista olen jo aiemmin saanut kokemusta, mutta nostaapa tämäkin "supervirus" jälleen kulmakarvojani ylöspäin, siis: muistitikkujen välityksellä vanhentuneisiin Windows (!!!!!) järjestelmiin leviävä virus joka osaa hyödyntää aiemmin tuntemattomia aukkoja. Otetaanpa pieni gallup: käsi ylös joka yllättyi siitä että vanhetuneesta (lue myös päivittämättömästä) Windows järjestelmästä on a) löytynyt ennestään tuntemattomia aukkoja b) virukset voivat levitä muistitikkujen kautta c) viruksen kohteena olivat tehtaat, joissa siis käytetään näitä päivittämättömiä ja usein vanhentuneita Windows koneita? Mikko toteaa vielä että  viruksen koodaaminen on vaatinut huippuosaamista, no jaa, ihan varmasti homma on suhteellisen vaikea teinille, jonka kokemus laiteohjauksesta perustuu lähinnä X-Box pelikonsolin veivaamiseen, mutta itsekkin teollisuuden sulautettuja ohjausjärjestelmiä 90-luvulla koodanneena en pitäisi tätä nyt mitenkään kummoisena koodaussuorituksena. Virus siis sääti Winkkarissa olevan ohjausjärjestelmän parametreja haluamallaan tavalla, ei siis todellakaan mitään koodauksen rakettitiedettä! Kokonaan toinen kysymys on, miten paljon knowhowta on tarvittu sen tietämiseen mitä parametreja pitää säätää ja mihin suuntaan, siihen on todellakin tarvittu ydinlaitoksia- ja taajuusmuuttajia tuntevia insinöörejä. Artikkelissa Fortumin yritysturvallisuusjohtaja Juha Härkönen toteaa vielä miten teollisuusautomaatiojärjestelmät käyttävät samantyyppistä teknistä alustaa mitä toimistopuolella, mikä helpottaa haittaohjemien leviämistä. Otetaanpa jälleen pieni gallup: käsi ylös joiden mielestä tuo "saman tyyppinen järjestelmäalusta" on a) Windows b) joku muu? Kannattaisikohan jossain miettiä hiukan näitä arkkitehtuurivalintoja?

Yhdysvaltojenapulaispuolustusministeri on paljastanut miten tehtiin pahintietoturvahyökkäys USA:n armeijaa vastaan (tietokone.fi 27.8.2010)

Uutisen mukaan hyökkäys tehtiin siis kannettavaan liitetyllä USB muistilla, jolla oli haittaohjelma. Apulaisministerin mukaan tapaus oli vedenjakaja, jonka jälkeen tietoturvauhka ymmärrettiin uudella tavalla ja tietoturvaan on sen jälkeen panostettu tuntuvasti. Itse tulkitsen tämän niinpäin, että tietoturva on armeijan pojille ollut tätä ennen scifi elokuvien juttuja, eikä todellisuutta ole hahmotettu (tässäkään asiassa...). Kyseessä on ilmiselvästi ollut Windows merkkinen kone, XP tai jopa vanhempi, jonka päivitykset ovat todennäköisesti olleet tekemättä, päivitysten jakelu ei luonnollisesti ole noissa olosuhteissa helppoa. Päivitykset eivät ole tässä kuitenkaan se olennainen asia, koska haittaohjelma on todennäköisesti hyödyntänyt ns. Zero day exploittia. Vastaavasta syystä virustorjunnasta ei ollut juurikaan apua ja toisaalta sekin on vastavasti ollut todennäköisimmin päivittämättä, jos sellaista on edes käytetty. Jotta haittaohjelma on päässyt leviämään, on verkossa täytynyt olla myös Windows pohjainen palvelinympäristö, todennäköisesti päivittämätön sekin samoista syistä, haittaohjelmat kun eivät pysty leviämään tehokkaasti muissa kuin homogeenisissa järjestelmäympäristöissä (sama käyttöjärjestelmä, samat versiot, samat patch tasot, samat asetukset, samat asennetut ohjelmat jne.). Mitä tästä siis jää jäljelle? Virusepidemia päivittämättömässä verkossa, jonka tietoturvallisuus on perustunut oletukselle fyysisen turvalisuuden pitävyydestä, ts. vihulainen ei edes pääse kosketuksiin ko. verkon kanssa, eikä kuitenkaan ole muistettu edes poistaa kannettavien USB liityntöjä?! Ei kuulosta minusta kovinkaan mystiseltä hakkeritapaukselta. Vastaava tilanne on hyvin tyypillinen esim. teollisuusympäristöissä, missä tuotannon tietokoneet ovat suljetussa omassa verkossaan, useimmiten päivittämättömänä. Eräälläkin tällaisella tuotantokierroksella tökkäsin testinä USB tikun koneeseen kiinni, mutta hyvin meni, Win systeemi ei tunnistanut USB:tä.

Apple hakee patenttia mobiililaitteidensa vakoilusoftaan (fin.afterdawn.com 25.8.2010)

Uutisen mukaan kansalaisten digioikeuksia puolustava EFF (Electronic Frontier Foundation) oli tuonut julkisuuteen Applen suunnitelmat päästä etäohjaamaan haluamiaan laitteita, mm. salakuuntelemaan, ottamaan kuvia jne. Lisäksi olisi mahdollista sulkea etänä ei toivottuja laitteita. Tämä uutinen ei todellakaan yllätä tai edes hämmästytä, mobiililaitteiden maailma on täydellisen valvontakontrollin alla. Kun muistaa millä innolla laitteisiin on tuotu Facebook, Twitter, sähköposti jne. kytkökset, saadaan jo kuvaa millaisesta vakoilupotentiaalista on kyse. Nykyään alkaa erittäin luottamuksellisissa neuvotteluissa olla jo vakio käytäntö, ettei neuvottelutilaan saa tuoda mitään mobiililaitteita, mikä onkin hyvin viisasta.

Pahat pojat vaanii verkossa (HS 9.8.2010)

Verkko on turvaton paikka, näinhän tietoturvaseminaareissa ja koulutuksissa on toitotettu jo vuosikymmenen ajan. Vähemmälle huomiolle tietoturva-asiantuntijoiden slaideissa on jäänyt se seikka, että Internetin nuuskijat ovat todennäköisimmin valtion leivissä ja nostavat kuukausipalkkaa. HS 9.8.2010 mukaan Arabian niemimaan viranomaisten halu päästä nuuskimaan puhelinten dataliikennettä on johtamassa rajoituksiin BlackBerry- älypuhelimen käytössä, koska niiden data kulkee kanadalaisten palvelimien kautta, mikä haittaa kovasti liikenteen salakuuntelua. Uutisen mukaan paikallinen teleoperattori Etisalat yritti jo aiemmin saada asiakkaitaan lataamaan BlackBerryynsä "päivityksen", joka paljastui (yllättyikö joku?) vakoiluohjelmaksi. Uutisessa mainitaan, että BlackBerryn valmistaja on jo tehnyt diilin viranomaisten kanssa useilla eri mantereilla, eikä luonnollisesti halua juuri puhua julkisesti tehdyistä sopimuksista. Vakoilukin on businesta ja mm. suomalainen Nokia on innokkaasti mukana teleliikenteen valvontamarkkinoilla. Siitä vain kehittelemään mobiilisovelluksia suoraan liiketoiminnallisiin järjestelmiin...

Eipä mennyt kuin muutama päivä kun tämäkin uutinen sai jatkoa. Intia asetti RIM:lle takarajaksi elokuun loppuun päästä valvomaan kaikkia BackBerryn palveluja terrorismin torjunnan siivellä. Mahtaisi Orwellia harmittaa jos eläisi, ettei tullut itse keksineeksi omaan romaaniinsa tuota kaiken mahdollistavaa mahtiselitystä. Kuinkakohan monta ihmishenkeä säästyisi, jos samalla innokkuudella torjuttaisiin vaikka lukutaidottomuutta, nälänhätää, kulkutauteja, aliravitsemusta...

Digitoday uutisoi 30.8.2010 Nokian tehneen Intian viranomaisten kanssa sopimuksen pääsystä lukemaan asiakkaiden Nokia Messaging- sähköpostiliikennettä. Viestiliikenteen luottamuksellisuus ei busineksien edessä paljoa paina.

Hieno virka YK:ssa, EU:ssa, kansainvälisissä tehtävissä, mikä onnen potku... (HS 9.6.2010)

Nigerialaiskirjeet osa II: liian luottavainen maksaa aina. Kovan linjan huijarit ovat huomanneet, ettei tavallinen "one million dollars in Nigerian Bank" oikein pure ja ovat päätyneet tekemään hiukan taustatyötä potentiaalisten uhrien ja sopivien tarinoiden kehittämiseen. Tarjolla on hienoa virkaa ulkomailla asiaankuuluvine taustatietoineen, kunhan vain hakija maksaa tehtävään nähden vaatimattoman pikku muodollisuuden ensin alta pois jotta rekryprosessi pääsee eteenpäin. Kunnon kusetukseen riittää kun huijarilla on sopivasti taustatietoa, jolla saa huijattavan luottamuksen: huijari kuuluu sisäpiiriin, on tutun tuttu, uskottava tarina/yksityiskohtia, jne. Sitten tarvitaan ripaus uhrin ahneutta yhdistettynä sopivaan sinisilmäisyyteen ja huijattavan skouppiin juuri sopivan tuntuiseen kultapossuun, joka on melkein käden ulottuvilla. Kunnon kusetuksessa on siis oltava mukana realismia, vaikka tuntuu tämäkin vaatimus olevan välillä kovin liioiteltu, vai mitä tuumaavat WinCapitaan rahojaan sijoittaneet? Loppu meneekin sitten tuttua kaavaa, huijattavaa vedätetään riittävästi, jotta kultapossu täyttää mielen ja sammuttaa järjen valon, raha vaihtaa omistajaa, huijari häviää kuin tuhnu saharaan ja huijattu ihmettelee miten tässä nyt näin kävi kun minä olen niin järkevä ihminen. Tätä kysymystä mahtanee pohtia eräskin entinen suomalainen kenraali.

Kotirouvat hakkeroivat 100 000€ puheaikaa (IL 7.5.2010)

Kaksi Leppävirtalaista kotirouvaa on syytteessä ilmaisen puheajan lataamisesta prepaidliittymään teleoperaattori Elisalta. Uutisen mukaan huijaus onnistui Elisan nettisivuilla olleen tietoturva-aukon (!) vuoksi. Toinen naisista oli huomannut puheaikaa maksaessaan, että maksusivua uudelleen käyttämällä sai ladattua puheaikaa rajattomasti. Naiset latasivat puheaikaa myös tuttavilleen. En oikein tiedä pitäisikö itkeä vai nauraa, onkohan Elisalla kukaan kuullut tietoturvatestauksesta? Angstiset teinit, eli ns. skriptipennut on saaneet vakavan haastajan kotirouvista taistelussa Internetin herruudesta, jään odottamaan maajussien vastaiskua.

Virus vai virustorjunta? (HS 23.4.2010)

Näyttäisi iloinen Windows käyttäjä päätyvän kummassakin tapauksessa samaan lopputulokseen, kone menee jumiin ja sitä ei saa enää edes käynnistettyä. Uutisen takana on tietysti viimeaikojen menestyksekkäin virusepidemia eli McAfeen viruspäivitys, joka iski kyntensä svchost.exe nimiseen XP:n systeemitiedostoon. HS:n mukaan ongelmia oli mm. TeliaSoneralla, Systembolagetissa, New Yorkilaisessa sairaalassa ja HS:llä itsellään. Ei voi kuin ihmetellä sitä rahan, ajan ja vaivan määrää mitä Winkkarin kaikenlaisien (tietoturva)ongelmien kanssa painimiseen menee, eikä kynnys etsiä vaihtoehtoja tunnu ylittyvän koskaan?

Olin 6.5.2010 Sophoksen sponsoroimassa tietoturvatilaisuudessa, jossa luennoitsija kiivaasti varoitteli etteivät Mac ja Linux käyttäjät ole turvassa, kunhan haittaohjelmien tehtailijat kohdistavat huomionsa heihin. Hohhoijjaa, taitaa olla jo kymmenen vuotta siitä kun kuulin tämänkin väitteen ensimmäistä kertaa, taidan ehtiä eläkkeelle niitä linux haittaohjelmaepidemioita odotellessa.

Älypää pelisivustolta varastettu 120 000 käyttäjän tietoja (Yle 23.3.2010)

Hohhoijaa...yllättyikö joku?! Niin alkeellisia tietoturvamokia tehdään jatkuvasti, että toisinaan tuntuu koko tietoturvasta paasaaminen menevän totaalisesti yli Web kehittäjien käsityskyvyn. En edes ehtinyt päivittää tätä listaa edellisen itähelsinkiläisen kahvilan luottokorttitietojen varastamisen yhteydessä, kun jo tämä uusi reikä pääsi otsikoihin. Ohessa pieni poiminta keskusteluista murobbs.plaza.fi palstalta, jonka allekirjoitan sataprosenttisesti: "ps. ylläpitäjät nyt olisi aika tarkistaa xss/sql turvallisuus näiden tapauksien johdosta. Ja ne passut suolataan saatana, käsittämätöntä että plain textinä menee tietokantaan."

Suomi24 liittyi hetkeä myöhemmin tähän onnellisten korkattujen- ja käyttäjätunnukset menettäneiden saittien joukkoon, salasanat eivät sentään olleet tällä kertaa selväkielisinä. Samoihin aikoihin alkoi netissä liikkua korkattuja Facebook tunnareita, joiden yhdeksi alkuperäksi epäillään näitä em. tietomurtoja. Eikö tosiaan kannattaisi satsata pieni summa säännönmukaiseen haavoittuvuustestaukseen?!

107,5 miljoonaa euroa kavaltanut IT johtaja sai seitsemän vuoden tuomion (KS 19.6.2009)

Sanomalehti Keskisuomalainen uutisoi tanskalaiselta IT-Factory firmalta jättisumman kavaltaneen Stein Baggerin tuomiosta. Bagger oli tullut firmaan henkilökohtaisesti esittelemään itseään ja huippuluokan CV:tään, niin että mies palkattiin samantien talousjohtajaksi. Eipä tullut kenellekään edes mieleen tarkistaa sulavapuheisen nuoren komeetan esittämiä taustatietoja, jotka olivat täyttä sontaa niin tutkintopapereita, kuin työkokemustakin myöten. Bagger otti jossain välissä pienet hatkat, piilotti rahat ja ilmoittautui poliisille, rahojen kätköpaikkaa hän ei koskaan sanonut. Aika mukavat eläkepäivät herraa odottaa arviolta noin viiden vuoden lepäilyn jälkeen, se tekee siis noin 21,5 miljoonaa euroa kipurahoja per istuttu vuosi. TIVI Tietoviikkoa 18.6.2009 lukiessa tuntuu jälleen tietoturvaihmisiltä kadonneen olennaisuuden taju, kun näyttävästi otsikoidaan "Työntekijä on yhä suurempi turvariski" ja tekstissä viitataan kaikenlaisiin salaustuotteisiin, pääsynvalvontoihin, henkilöstön nettisurffailuun jne. En väitä, etteikö perusasioiden tulisi olla kunnossa, mutta väitän vahvasti että tietoriskien ainainen toitottaminen viittaamalla ruohonjuuritason työntekijöihin kadottaa olennaisuuden tajun siitä missä ne suuret kuprut syntyy.

Pahat pojat vaanii verkossa (HS 13.6.2009)

Tietoturva-asiantuntijat eivät ole taaskaan olleet väärässä, pahat pojat vaanii verkossa. Tällä kertaa asialla on ollut Norjan puolustusvoimien turvallisuuspalvelu Fost, jonka mielestä Norjan hallitus ja kuningas Harald muodostavat uhkan Norjan turvallisuudelle ja heidän nettiliikennettään tulee vakoilla. Turvallisuuspalvelua ei ole paljoa hidastanut moisten operaatioiden laillisuuden miettiminen, mutta niinhän sitä maailmalla tehdään kaikenlaista kansallisen turvallisuuden nimissä, ties vaikka löytyisi terrorismi kytkentöjä tai jotain.

Nokian älypuhelimet lähettävät käyttäjän sähköpostisalasanat ja käyttäjätunnukset Nokialle (IT viikko 17.4.2009)

Aloitin tämän sivun muutama vuosi sitten Sony BMG:n rootkitin aikaan ja ennustin ettei tietoturva-aukot maailmasta vähene valmistajien kaikessa hiljaisuudessa ratkaisuihinsa lisäämien valonarkojen ominaisuuksien takia ja osataanhan sitä näköjään Suomessakin. Tässä tapauksessa takana voi olla vaikka "viranomaisyhteistyö" eri maissa Yahoon tyyliin tms. Mitähän muuta luurista löytyy, mitä ei manuaalissa kerrota?

Yli sataan organisaatioon murtauduttu (Yle pääuutislähetys 29.3.2009)

Yle uutisoi näyttävästi tietomurtosarjasta, jonka kohteeksi oli joutunut lukuisia eri organisaatioita ympäri maailmaa mm. Tiibetiläisten Dalai Laman organisaatio tms. ja jäljet johtivat Kiinaan. Netistä löytyy julkisia raportteja ko. tapauksesta esim. Cambridge Technical Report 746, UCAM-CL-TR-746 tai Tracking Ghost Net, Investigatiing a Cyber espionage network, Information warfare monitor March 29, 2009. Tiivistäen voisi todeta että ei ainakaan tietoturvakonsulteilta ole työsarka lopussa:

  • Räikeitä tietoturvalaiminlyöntejä kohdeorganisaatioissa (heikkoja salasanoja postilaatikoissa, luottamuksellisien dokumenttien makailu suojaamattomana paikallisen koneen levyllä, puutteelliset päivitykset, puutteita virustorjunnassa jne. jne.)
  • Useat kohdeorganisaatiot eivät edes huomanneet joutuneensa hyökkäyksen kohteeksi, vaikka hyökkääjät mellastivat täysin avoimesti ilman minkäänlaista jälkien peittelyä
  • Luotettiin täysin sähköpostiin (=availtiin mitä tahansa liitetiedostoja) kun meili näytti tulevan luotetulta taholta
  • Haittaohjelmien leviämisen kanssa meni heti kädet suuhun, eikä ongelmia saatu rajattua

Listaa olisi voinut jatkaa vaikka kuinka, kaiken takana tietysti Winkkarit ja Outlook joiden murtaminen ja täydellinen haltuunotto sujui käden käänteessä. Hohhoijaa...niin helppoa hyökkääjillä on ollut, että aivan varmasti näihin organisaatioihin on murtauduttu jo aiemminkin, he eivät vain silloin ole vielä huomanneet sitä. Kannattaisikohan käyttää vaikka salausta, vaikeammin murrettavissa olevia ympäristöjä Winkkarin sijaan ja sijoittaa vaikka muutama ropo kunnon tietoturva-asiantuntijaan.

Pokeritähti Patrik Antoniukselta huijattiin 500 000 € (iltasanomat.fi 18.2.2009)

Tunkeutuja pelasi netissä maailmanluokan pelaajia vastaan ja pyysi heitä MS Messengeriin keskustelemaan kanssaan, mesen kautta hän sai ujutettua troijalaisen vastustajiensa koneelle ja näki heidän korttinsa, eikä Patrik ollut suinkaan ainoa huijattu. Jäätyään kiinni huijauksesta, tunkeutuja katosi jäljettömiin rahat mukanaan. Huh, tämä tapaus ansaitsee mielestäni kiistamattoman ykköspaikan nettirikollisuuden kategoriassa:

  1. Kohdistettu hyökkäys
  2. Mukana annos social engineeringia
  3. Hyödynnetään ovelasti tietoturva-aukkoja
  4. Huijaus onnistuu ja tekijä pääsee vielä rahojen kanssa pakoon.

Tapaus tuo vahvasti mieleen hakkerien elävän legendan Kevin Mitnickin, Patrik ja muut kumppanit maksoivat todella kovan hinnan Windows uskollisuudestaan.

Top 6 verkkohuijaukset (kauppalehti.fi 10.2.2009)

Tässäpä nämä:

  1. Olet voittanut palkinnon    
  2. Lottohuijaus
  3. Nigerialaiskirjeet     
  4. Tee maksusta töitä    
  5. Sijoitushuijaus     
  6. Identiteettivarkaus (Facebook, Linked In tiedot)

Krooh pyyh...tässäkö tosiaan nettihuijareiden paras A-ryhmä? Jo pelkästään Spam suodattimeni pudottaa viisi ensimmäistä ja kuudennellakin on kohtalaisen vaikea saada mitään rahanarvoista hyötyä irti. En oikein pidä Wincapitaakaan mitenkään lahjakkaana tapauksena, kymmenien tai satojen prosenttien voittoja kun ei ole olemassa, jos olisi muutkin tekisivät samaa businesta. Jään siis vielä odottamaan oikein kunnon nettikusetusta.

Logica joutui häätämäänverkkomatoa (Tivi 16.1.2009)

Yhtiön Windows toimistoverkkoon pesiytyi mato jota jouduttiin häätämään ja samalla nuhtelemaan F-Securen torjuntaohjelmistoa. On tämä vaan mielenkiintoista tämä tietoturva-ala, autuaaksi tekevä pyhä lehmä on aina ollut virustorjunta, mantraa ovat hokeneet niin kirjat, konsultit kuin mediakin, mutta kuinkas kävikään ja kukaan ei taatusti edes ihmettele miksi käytössä on sellainen järjestelmä joka ei pysy kuosissa edes kolmannen osapuolen rahalla maksetuilla tuotteilla? Ai niin, linuxini ei edelleenkään edes tarvitse virustorjuntaa, siinä tietoturvallisuus ja TCO kustannus lyövät kivasti kättä yläviitosella.

Microsoft julkaisee 17.12.2008 hätäpäivityksen Internet Explorer selaimen tietoturva-aukkoon

Kyseessä on kolmas hätäpäivitys kahden vuoden sisään, kyllä taas mieltä lämmittää alla hyrräävä linux, toisaalta miljoonat kärpäset eivät voi olla väärässä, paskan on pakko olla hyvää.

Saksan hallitus hyväksyi poliisille oikeudet kotitietokoneiden etäurkintaan (HS 4.12.2008)

Saksan hallitus on antanut poliisille oikeudet mm. yksityishenkilöiden tietokoneiden etäurkintaan terrorismin torjuntaa varten (yllätys). Mielenkiintoiseksi asia menee kun pohditaan miten tämä etäurkinta käytännössä toteutetaan? Onko Windowsissa jo valmiina kätevä "etäurkinta toiminnallisuus" vai ryhtyykö Saksan poliisi palkkaamaan hakkereita kehittämään haittaohjelmia ja uusia takaportteja vai ryhdytäänkö rahoittamaan pimeiden markkinoiden haavoittuvuuksien kauppaa ostamalla takaporttikoodit ja tiedot suoraan hakkeriryhmiltä? Lisäksi suurin osa kotikäyttäjien ISP:eistä tarjoaa osoitteet DHCP:llä, eli millä poliisi varmistuu kenen koneeseen he meinaavat milloinkin murtautua? Vastaanpa itse osittain: jep, Winkkarissa on etäurkintaan tarvittavat toiminnallisuudet olemassa ja suomalaisetkin viranomaiset ovat jo käyneet opissa uusista mahdollisuuksista, ai hämmästyikö joku?!

Amerikkalaisen roskapostittajan sulkeminen verkosta vähensi merkittävästi roskapostia suomessa

Itse huomasin tämän todella konkreettisesti, roskaposti väheni noin neljäsosaan normaalista! Tässä laajasti uutisoidussa tapauksessa saatiin siis vihdoin McColo niminen palveluntarjoaja suljettua verkosta. Amerikkalaiseen "business etiikkaan" kuuluu periaate, että rahaa saa tehdä keinolla millä tahansa ja ei siis ihme ettei tätä ja lukuisia muita vastaavia tahoja ole saatu aiemmin pois verkosta vaikka roskapostittajat ovat taatusti tiedossa. Tietoturvapiireissä on vuosia puhuttu epämääräisistä itäeurooppalaisista rikollistahoista yms. ja onpa Hannu H. Kari ennustanut internetin romahdustakin vuodelle 2006, taustalla on pitkälti kuitenkin iloiset amerikkalaiset busineksen pyörittäjät nerokkaine liikeideoineen. Symantec julkisti 25.11.2008 laajasti uutisoidussa tutkmuksessaan tietoja identiteetti- ja luottokorttitietokaupasta ja niin ikään totesi businesta johdettavan Pohjois-Amerikasta käsin.

Linus Torvalds arvostelee tietoturvasirkusta (Digitoday 16.7.2008)

Linus suomii kovin sanoin tietoturvapiirejä tietoturvabugien hehkuttamisesta ja nostamisesta elämää suuremmiksi asioiksi. Linus on mielestäni kommenteissaan täysin oikeassa, tietoturva-alalle pätee mitä suuremmassa määrin slogan "Image is everything". Tietoturva-ala pyrkii julkisuutta hyödyntämällä alleviimaamaan omaa tärkeyttään ja varmistamaan businekset. Itse olen huomannut Hypen vaikutuksen myös niin päin että normaalia tietoturvatyötä, kuten systeemien huolellista ylläpitoa, aliarvostetaan ja kuvitellaan tietoturvan olevan vain rahalla ostettava tuote.

Ahvenanmaalainen mies sai ehdotonta vankeutta peliyhtiö Paf:in huijauksesta (Metro 5.6.2008)

Tämä on mielestäni kaikkein parhaiten uuden ajan tietoyhteiskunnan tietoturvariskejä kuvaava tapaus. Espoolainen mies huomasi virheen peliyhtiön järjestelmässä, kun tililtä toiselle siirrettyä rahaa ei veloitettukaan siirretyltä tililtä. Miehen onnistui myös saada selville missä kulkee peliyhtiön omalle tilille siirrettävien voittovarojen hälyytysraja ja siirsi rahoja itselleen juuri tämän rajan alle menevissä 9000 € erissä. Parissa päivässä rahaa pelitille siirtyi miljoona ja pienessä hetkessä omallekin tilille puoli miljoonaa. "Ahneella on paskainen loppu" sanoo vanha kansanviisaus ja niinhän tässäkin häkki heilahti. Tapaus kuitenkin kertoo siitä, miten rahaa tai rahaan rinnastettavia oikeuksia käsittelevien järjestelmien määrä kasvaa ja niitä löytyy jo muitakin kuin perinteinen nettipankki.

Kelan verkkopalvelu avasi asiakkaalle sivullisen tiedot (HS 20.5.2008)

Erittäin mielenkiintoinen tapaus ja osoittaa jälleen kerran, että sähköisiin palveluihin on syytä toteuttaa tietoturvatestausta. Valtava käyttäjämäärä (tässä 1,5 milj. kertaa 2007), vuosien käyttökokemus (avattu 2004) tai se ettei mitään oltu tähän saakka havaittu takaa loppupeleissä mitään.

Kelan tapaukseen tuli mediassa myöhemmin lisätietoa, jonka mukaan toisen pankin normaalit käyttäjätunnukset olisivatkin olleet samaan aikaan myös toisen pankin aivan toisen asiakkaan Kela tiedot avaavia tunnuksia. Käyttäjä siis oli käyttänyt normaalisti listalla seuraavana olevia tunnuksia, mutta klikannutkin vahingossa väärän pankin logoa, jolloin väärä sessio avautui. Ottaen huomioon asiantuntijoiden ilmoittamat todennäköisyydet tällaiseen sattumaan, on tapaus aika uskomaton.

F-Securen Linux security 7.00 ohjelma vaarantaa käyttäjän koneen (IT Viikko 16.5.2008)

Tämä on jo toinen kerta kun F-Secure pääsee tälle listalle. Olen jotenkin aina ollut siinä uskossa että virushemmot tietävät koodauksesta melkein kaiken, onhan osa viruksista mitä loistavinta koodausosaamista. Eipä taida osaaminen kuitenkaan riittää laadunvarmistukseen ja testaukseen saakka. Jälleen totean, että jos F-Securellakin pääsee tämän tasoisia mokia läpi, mitä "laatua" on perusbulkkituottajien koodi? Ai niin, kaupallista koodiahan ei saa arvostella, sika säkissä kun on monen mielestä laadun tae avoimeen verrattuna.

Netin sijoitusrinki Wincapita katosi rahoineen jäljettömiin

Tämä on mielestäni aivan loistava esimerkki ihmisten kusettamisen siirtymisestä nettiin. Nigerialaiskirjeet ovat kivikautta, nyt toimintaa jatketaan ja uskottavuutta luodaan riittävän pitkään, jotta potti ehtii kasvaa tarpeeksi, "image is everything" on joku viisas joskus lausahtanut. Tässä oli kyseessa vanha tuttu pyramidihuijaus yllättäen panamalaiseen veroparatiisiin rekisteröidyn yhtiön voimin. Uusia yrittäjiä uusin konstein tulee varmasti, ilmaisiin lounaisiin uskovia kun riittää aina

Sampopankin järjestelmäuudistus pääsiäisenä 2008

Tälle surkealle sähläykselle kuuluu ehdottomasti vuoden tietoturvakukkanen palkinto:

  • Emoyhtiön alustassa alkeellisia tietoturva-aukkoja, joiden on julkisuudessa sanottu olleen siellä jo vuosia      
  • Pankin verkkosivut nurin
  • Vääriä ja tai puuttuvia tilisiirto- ja saldotietoja
  • Vääriä veloituksia tileiltä
  • Vääriä velkasitoumuksia
  • Vääriä selitetekstejä tilitapahtumissa
  • Pankkikortit lakkasivat toimimasta
  • Tilejä katosi asiakkaiden näkyviltä
  • Tilille tulleiden maksujen suorittajien tietoja katosi


Oman surkuhupaisan lisänsä "uudistukseen" toi vaatimus asiakkaille, että näiden on hommattava uudet PC:t ja asennettava Java kikkulat, jotta koko hässäkkä edes toimisi. Yllättäen lukuisat ei Win käyttäjät firefox tms. selaimineen törmäsivät ongelmiin. Kaiken kruunasi pankin tiedotuslinja, jossa ensin haukuttiin asiakkaat, kun nämä tukkivat uudet hienot järjestelmät yrittämällä käyttää niitä ja kiistettiin muut
ongelmat. Huh, onneksi en ole asiakas.

Tätä kirjoittaessa Sampopankin ongelmat ovat jatkuneet jo melkein kolme viikkoa. Härdelliä lisäsi vielä ke 9.4 sattunut tietoliikennelaitevika, jonka seurauksena pankkikortit lakkasivat toimimasta. Koko operaatiolla tavoitellaan 80 miljoonan säästöä IT kustannuksissa. Halvalla ei saa hyvää on joku joskus todennut, saapa nähdä miten tämä tarina päättyy.

Elokuun lopussa Sampopankilla on edelleen teknisiä ongelmia ja julkisuudessa olleiden tietojen mukaan pankki menetti n. 30 000 asiakasta. Toivottavasti joku sisäpiiriläinen uskaltaa joskus kirjoittaa kirjan tästä IT projektikukkasesta.

Ruotsissa yritettiin pankkiryöstöä tietokoneen kauko-ohjaimella (HS 31.1.2008)

Ryöstöä yritettiin pankkivirkailijan työpöydän alle kiinnitetyllä kauko-ohjaimella, virkailija kiinnitti asiaan huomiota, kun hiiri liikkui ruudulla itsekseen ja nykäisi virrat koneesta. Tässä oli jo mielestäni jonkin verran nettiryöstön yritystä, rosvot eivät vain osanneet koodata ja yrittivät tällaista näppis - hiiri - kuvaruutu - kaappausta

Meklari aiheutti 4,82 miljardin tappiot ranskalaispankille (012008)

Sanotaan että erehtyminen on inhimillistä ja todelliseen emämunaukseen tarvitaan tietokone, sopivasti oikeuksia ja pikkunäppäryyttä. Taitaa tämä tapaus periä vankkumattoman munausten kärkipaikan, vaikka
toisaalta näitä meklarien pikku töppäyksiä tuntuu sattuvan, joten eihän sitä koskaan tiedä. Vai vieläkö joku muistaa Nick Leesonin ja Bearings pankin? On se vaan tietoturva ihmeellistä ja tämäkin pankki on taatusti auditoitu moneen kertaan

Teliasonera hukkasi 300 000 tuhannen asiakkaan sähköpostit (012008)

Löytyy korkean käytettävyyden palvelinfarmia, spammisuodatusta, kulunvalvontaa, henkilöiden taustaselvityksiä, verkonvalvontaa, palomuuria ja vaikka mitä tietoturvahilavitkutinta. Ja koko homma romahtaa, kun sattuu niinkin ihmeellinen tilanne, että työntekijä sattuu vaihtamaan hommia. Taitaa olla vähän niin kuin ruotsalainen jauheliha, näyttää paketissa hyvältä.

PDF tiedostoissa vakava haavoittuvuus (092007)

Vaikka sitä on kuinka kyyninen hyvänsä, niin näköjään sitä aina joutuu tarkistamaan omia oletuksiaan. Uskoin itsekkin tähän saakka, että Adobe olisi älynnyt pitää PDF:n puhtaana ShellExecute() tyyppisistä toiminnallisuuksista, joilla joidaan kutsua ulkoisia ohjelmia, mutta ei sitten näköjään. Toisaalta voihan tässä vierittää teknisen syyn Mikkisoftan niskaan, koska sen funktio suorittaa iloisesti PDF:ltä saamiaan URI(mailto:test%../../../../../../../../windows/system32/... tyyppisiä komentoja mielestään validina URL:ina. Tämäkin bugi on niin triviaali, että se on taatusti ollut kovien poikien tiedossa jo pitkään, ammattilainen olisi löytänyt tämän pystymetsästä lähtiessäänkin parissa päivässä. Muutama vuosi sitten Blackhat paneelissa hakkerit arvelivat yhteen ääneen, että jokainen julkiseksi tullut reikä on ollut vähintään vuoden pienten piirien tiedossa ja julkisuus koittaa vasta sitten, kun pieni piiri on kasvanut jo liian isoksi ja ao. tiedosta on tullut bulkkia

Pahat pojat verkossa

IT-viikko uutisoi 27.9.2007 miten ruotsalainen torrent tracker Pirate Bay on tehnyt rikosilmoituksen verkkohyökkäyksistä sitä vastaan. Ilmoituksen mukaan hyökkäysten takana ovat olleet mm. Twentieth Century Fox, Emi music, Universal Music Group, Universal Pictures jne. jne. Kaikissa viimevuosien tietoturvaseminaareissa asiantuntijat ovat yhteen ääneen kertoneet, miten hakkerointi on muuttunut yhä ammattimaisemmaksi. Jep näinhän se on ja palkkaahan siitä pitää saada, työnantajan nimi on vain ehkä jotain muuta, mitä edellisissä seminaareissa on maalailtu. Eräissä tulevaisuuden kriisienhallintaa käsittelevissä artikkeleissa on arveltu konfliktien muuttuvan yhä enemmän oikeuksien omistajien ja suuryhtiöiden sodaksi niiden puolustaessa globaaleja taloudellisia etujaan, taitaa sota verkossa olla jo alkanut

Suuri on kaunista tietototurvamarkkinoilla 2007

Tietoturvaa halutaan edelleen ostaa valmiina laitteena, jonka voi asentaa ja unohtaa, nice and easy, plug'n'play. Tietoturvamarkkinat on suuriin päin, isot asiakkaat ovat valmiita maksamaan helposti suolaisia hintalappuja plus vuosiluontoiset tukimaksut tms. päälle saadakseen markkinoiden suurinta ja kauneinta. Asiakkaat haluavat maksaa saadakseen:

  • Mielikuvat siitä, että kaikki voitava on nyt tehty parhaiden käytäntöjen mukaan ja voidaan nukkua yö rauhassa
  • Vastuun siirto, eli mahdollisissa tietoturvatapahtumissa voidaan vierittää syy ao. ratkaisuille ja niiden toimittajille ja vedota edelliseen täplään
  • Mielikuva siitä, miten paljon voisi sattua ellei olisi tätä xyz ratkaisua (näin perustellaan TCO)
  • Kallis on pakko olla hyvä, eli mielikuva siitä, että ratkaisu tekee kaiken sen, mitä myyntitykki on luvannut

Näillä markkinoilla keisari saa olla rauhassa ilman vaatteitakin, mielikuvat kun ovat todellisuutta tärkeämpiä. Harvassa paikassa edes kiinnostaa missä tietoturvatasolla oikeasti mennään ja tällaisien investointien jälkeen kiinnostaa vielä vähemmän, tietoturva kun on nyt kerralla hoidettu

Ernst & Youngille raskaat syytteet veronkierrosta (HS 31.5.2007)

Aikaisemmin syytettyjen penkillä istui KPMG, joka selvisi pälkähästä maksamalla satojen miljoonien sakot amerikkalaisille syyttäjäviranomaisille, nyt samasta luovan kirjanpidon konsultoinnista on joutunut käpälälautaan Ernst & Young. Aika vekkuleita nämä suuret kirjanpidon ja riskienhallinnan ammattilaiset ja oli selityksetkin aivan omaa luokkaansa "me tehtiin kun kaikki muutkin teki", jep jep. Ai mitenkä tämä liittyy tietoturvaan? Samaiset yhteisöt tienaavat tolkuttomia summia myymällä SOX (Sarbanes Oxley Act) kontrollien ja valvontajärjestelmien konsultointia, joilla vilpit pitäisi saada kiinni, toinen paikka kiinnijääntiin on tietysti tilintarkastus, jota yllätys yllätys tekevät jälleen samat tahot. Piiri pieni pyörii

Suomalaiselle rakennusfirmalle yli sadan tonnin rapsut ohjelmistopiratismista (Taloussanomat 24.5.2007)

Tietoriskien hallintaa tai tässä tapauksessa pikemminkin hallitsemattomuutta tämäkin. Hyvä homma, mitä tarkemmin lisenssirikkeitä valvotaan, sitä enemmän alkaa yrityksiä kiinnostamaan lisenssivapaat vaihtoehdot, kuten Open Source. Monessakohan paikassa on edes laskettu, mitä pelkkä hallintakoneisto siitä, että osataan maksaa oikein maksaa?

KPMG:n selvityksen mukaan väärinkäytöksiin syyllistyy lähinnä ylin johto (HS 22.5.2007)

Uutisen mukaan ylin johto on takana yli 60% yrityksissä ilmenevistä rötöksistä ja yleisin rötös on varojen väärinkäyttö tai kavallus. Niinpä niin, tietoturvapiireissä työntekijää on pidetty jo vuosia suurimpana uhkana työnantajalleen, on vaadittu oikeutta sähköpostien lukemiseen, Internet surfailun seurantaan, valvontakameroihin ja kehitetty jos jonkinlaista teknistä seurantasysteemiä. Olin itsekkin hetki sitten seminaarissa, jossa amerikkalainen forensics asiantuntija kertoi, miten esimerkiksi Firefox selaimen käyttö IE:n sijaan voi olla todiste yhtiön policyn vastaisesta toiminnasta. Onkohan puurot ja vellit menneet jossain kohtaa vähän sekaisin?

Hajautettuja palvelunestohyökkäyksiä suomalaisille palvelimille (2007)

Media innostui tästä tapauksesta oikein tosissaan. Rustasivatpa toimittajat uutisia, joissa hyökkäyksen kohteeksi joutui sellaisiakin palvelimia, joissa oli normaaleja huoltokatkoja. Kyseessä on tahallinen toiminnan häirintä ja sinänsä rikollinen teko, joka pitää ilman muuta tutkia ja saada loppumaan. Toisaalta voi myös pohtia pitääkö julkinen WWW sivusto olla jatkuvasti 24/7 saavutettavissa? Eräs administraattori pohti asiaa tähän tapaan "Netissä joskus vähän myrskytuuli puhaltaa, mutta kun odotellaan tovi, niin taas aurinko paistaa". Näissä hyökkäyksissä ei päästy sisälle minnekään, ei saatu rikki mitään, eikä kohdepalvelimille ole annettu muutenkaan mitään 24/7 palvelutakuita, joten voi pohtia miten suuresta uhkasta yhteiskunnalle loppujen lopuksi oli kyse

Hovin tuomiot Soneran teleurkintajutussa

Aika monessa organisaatiossa on venytelty omia laintulkintoja tietoturvallisuuden nimissä. Onneksi tämä tapaus muistuttaa jälleen mieliin, että laki on ainakin suurinpiirtein sama kaikille, vaikka kuinka tekisi mieli tai olisi korkea asema

Ruotsalaiset urkkijoina

Vanha slogan Internetistä turvattomana paikkana sai taas uutta pontta, kun Ruotsin nerokas porvarihallitus päätti suuressa viisaudessaan laatia lain, joka sallisi sotilastiedustelulle luvan salakuunnella kaikkea rajat ylittävää viestiliikennettä. Esitys sai yllättäen vastustusta mm. Suomesta, jonka käytännössä kaikki ulkomaanliikenne kulkee Ruotsin kautta. Onpa iso osa kotimaisista sähköpostipalvelimistakin lahden takana. Esitystä sittemmin kommentoitiin, että eihän me nyt Suomalaisia seurattaisi, vaan terrorismia ja kansainvälistä rikollisuutta (no jopa oli taas yllättävät perustelut!). Asiaan tuo oman kivan jännittävän lisänsä se, että valtuudet olisivat huomattavasti laajemmat kuin poliisilla, jonka toimenkuvaan sentään rikollisuuden torjunta kuuluu ja poliisilta edellytetään yleensä oikeuden päätöstä tai vastaavaa perustetta valvontatoimiin. Toinen Ruotsalaisten perustelu on kanssa ollut aika erikoinen "onhan me näitä kuunneltu ennenkin", lausumia on tosin jälkeenpäin vedetty hieman takaisin. Onneksi laki jäi lepäämään, mutta eipä taida yksityisyydensuojasta olla enään paljoa jäljellä

Poliittiset piirit hakkeroimassa

Missä vain puutteelliset suojaukset, näppäräsormiset nörtit ja kiinnostava informaatio kohtaavat, alkaa näköjään tapahtua. Ensin ehtivät ruotsalaiset kunnostautua hakkeroinnin saloissa, vaan eipä mennyt vkauaakaan, kun meikäläiseenkin poliittiseen peliin ilmestyi uusia tiedonhankintatapoja (HS 16.9.2006). Vanha rikosturvallisuuden ohje sanoo, että tilaisuus (= huono suojaus), pieni kiinnijäämisen riski (=vähintäänkin oletus puutteellisesta teknisestä valvonnasta) ja motivaatio (=informaatio on riittävän houkuttelevaa) kumuloituu helposti ajatuksista teoiksi. Pohdinnan paikka on puolestaan se, mitkä edellisistä muuttujista on sellaisia joihin kunkin organisaation tietoturvahallinnassa kannattaisi kiinnittää huomiota, jälkipyykki kun on keskimäärin paljon ikävämpää, kuin ennaltaehkäisy

Nokia urkki 418 henkilön sähköpostia (Digitoday)

Tietoturvaihmiset ovat jo vuosia saarnanneet siitä, miten Internet on turvaton paikka, totuus on kuitenkin taas tarua ihmeellisempää. Suurimman tietoturvauhkan ovat muodostaneet organisaatiot itse epämääräisillä "tietoturvaselvityksillään". Jostain ihmeellisestä syystä tietoturvasektorilla työskentelee paljon sellaisia henkilöitä, jotka surutta ajattelevat olevansa lain ja hyvien tapojen yläpuolella, koska selvityksiä tehdään yhtiön tai organisaation edun nimissä. Eräskin entinen kollega kunnostautui jo 90-luvun lopulla sähköpostien salakuuntelussa tietoturva-auditointien siivellä ja työskentelee alalla edelleen. Tällaisesta persoonallisuustyypistä löytyy muuten lukuisia kuuluisia raportoituja psykologisia testitilanteita, joissa hemmot olisivat surutta antaneet mm. tappavia sähköiskuja uhreilleen vain ja ainoastaan auktoriteetin niin vaatiessa. Niin, insinöörit ne aikanaan kaasukammiotkin suunnitteli...

Nokian tapaus sai jatkoa (HS 9.6.2008), kun mediassa kerrottiin Nokian jatkaneen urkintaansa vielä keväällä 2005. Nokian kokoisesta firmasta ei ilmeisesti löytynyt yhtään lukutaitoista juristia. Eipä ollut lakikirjan lukutaito tässä tapauksessa hallussa KRP:lläkään, kun poliisit eivät ikäänkuin epähuomiossa huomanneet nostaa sähköisen viestinnän tietosuojalain rikkomisesta tutkintaa. Miten sattuikin unohtumaan...

Sähköisissä äänestyslaitteissa saattaa olla piilotettua koodia

Tämän kaltaiset uutiset ovat alkaneet levitä eri medioissa viitaten lähinnä amerikkalaisiin äänestyslaitteisiin. Suoraan sanottuna en epäile asiaa hetkeäkään, kaupalliset ohjelmat ovat jo pitkään sisältäneet piilotettuja ominaisuuksia, joten miksei sitten äänestyssoftatkin. Tässä kohtaa luulisi päättäjien Suomessa heräävän keskusteluun siitä, voiko sähköinen äänestys edes sisältää mitään muuta, kuin avointa koodia? Luottamuksellisuus ja avoimuus edellyttävät, ettei koko toimintoketjussa saa olla mitään sellaista kaupallista komponenttia tai suljettua vaihetta, jota äänestäjä ei saisi tutkia tai jonka luottamuksellisuutta ja toimintaa ei saisi arvioida kenen tahansa kiinnostuneen toimesta.

No eipä tämäkään tarina olisi riittävän uskomaton ilman suomalaista vastinetta. Poliitikot ovat potkineet sähköiseen äänestämiseen vauhtia jo jonkin aikaa ja ollaanhan siinä jäljessä jo EU:n köyhimpiä valtioitakin. Tietoenator tuli asiassa julkisuuteen Tammikuussa 2008 uudellaäänestyssoftallaan, jonka se julisti yrityssalaisuudeksi ja suljetuksi koodiksi. Tämän täydellisen demokratian halveksumisen ja farssin täydensi joukko poliitikkoja, jotka riensivät kiireesti puolustamaan asiaa. Lyönpä vielä vetoa, että äänestyslaitteissa
pyörii vielä MS Windows pohjalla ja jään odottamaan ensimmäistä "Blue Screen" äänestystulosta

Lupauksia tulevasta antaa TietoEnatorin eduskunnalle toimittama uusi hieno salijärjestelmä, joka kaatuili, näytti äänestystuloksia väärin, hidasteli jne. Ongelmat huomattiin vasta, kun systeemiä oltiin lopputestaamassa (kesäkuu 2007) paikanpäällä ja projektia oli sentään väännetty jo vuodesta 2005 saakka. Olisipa hauska tietää paljonko jokainen annettu ääni tulee maksamaan vaikkapa viiden tai kymmenen vuoden aikajänteellä?

Useisiin suomalaisiin keskustelufoorumeihin murtauduttu

No jopa oli hämmästyttävää. Kaikissa tapauksissa ajettiin vanhaa phpBB versiota, johon oli julkistettu useita hyökkäyksiä ja haavoittuvuuksia ja uudempi paikattu versio oli ollut saatavilla jo kuukausia. Joskus sitä oikein ihmettelee millä innokkuudella saadaan palveluja pystyyn ja sen jälkeen ei enään korvaa lotkauteta sellaisilla pikkuasioilla, kuten päivittäminen tai ratkaisuun julkistettujen haavoittuvuuksien- ja paikkausten seuraaminen. Kaikessa surkuhupaisuudessaan tapaukset ovat kuitenkin ilmentymä asenteesta, jossa tietoturvalla ei ole väliä. Murretut foorumit ovat niiden omistajien taholta todennäköisesti arvioitu niin vähäpätöiseen jamerkityksettömään luokkaan, ettei koko asialla ole ollut mitään väliä. Tietoturvallisuus kun on pienimmilläänkin vähintään työaikaa vieväinvestointi ja kuluerä ja jos jotain vakavampaa sattuu, annetaan poliisin hoitaa homma.  No niin taas mennään, edellinen uutinen oli vuodelta 2006 ja jälleen (10/2007) uutisoitiin, miten suomalaisilta foorumeilta lähti kävelemään muutama kymmenentuhattakäyttäjätunnus/salasana-hash paria ja KRP tutkii taas. Tähän  kohtaan sopii hyvin laulu- ja soitinyhtye Zen Cafen erään laulun sanat "laiska ja tyhmä ja saamaton..."

Suomalaisista verkkokaupoista anastettu luottokorttitietoja (HS 3.2.2006)

Sadan ihmisen luottokorttitiedot neljästä eri verkkokaupasta anastanut Suomalainen hakkeri on menossa käräjille kotkassa. Aika lyhyt kananlento oli tämäkin tietorikosyritys, poliisipääsi samantien jäljille ja tekijä
saatiin käpälälautaan  yrittäessään noutaa väärillä tiedoilla tilaamiaan tavaroita. Tapaus osoittaa mielestäni erittäin selkeästi, että Poliisin tutkintakeinot tämänkaltaisen rikollisuuden torjunnassa ovat toimivia ja tehokkaita, eikä sitä varten tarvitse ryhtyä kaventamaan kansalaisten digioikeuksia tai ryhtyä keräämään massatietoa dataliikenteestä. Toiseksi tapaus osoittaa melkoisia puutteita, tietämättömyyttä ja välinpitämättömyyttä tietoturvallisuuden alkeita kohtaan (päivitykset, kovennukset ja koneiden valvonta) niin kohteena olleissa verkkokaupoissa, kuin murrossa apuna käytetyissä sivullisissa kauttakulkupalvelimissa. Toistaiseksi julkisuuteen asti nousseet kotimaiset tapaukset ovat olleet petosyrityksiä, huijausta tai palvelunestohyökkäyksillä kiristämistä. Ulkomailta raportoidut tapaukset, esim. tuhansien koneiden Bottiverkolla elannon tienaaminen, ovat mielestäni lähempänä varsinaista tietorikollisuutta, jossa fyysinen- ja digitaalinen maailma eivät enään kohtaa.

F-Securen virustorjunnasta löytyi vakava haavoittuvuus (Digitoday)

F-Securen virustorjunnasta löytynyt puskuriylivuotohaavoittuvuus mahdollistaa virustorjunnan läpäisyn ja hyökkääjän koodin suorittamisen kohdekoneessa. F-Secure on puhtaasti tällaisten asioiden parissa painiva tietoturvayhtiö, siellä tunnetaan varmasti miten ohjelmistojen haavoittuvuuksia hyödynnetään, siellä osataan varmasti koodata, kaikki mahdolliset tietoturvallisen koodin tekemisen ohjeet ja säännöt on varmasti käytössä, ohjelmistojen laadunvarmistus ja testaus on varmasti huippuluokkaa. Kaikesta huolimatta vakaviakin haavoittuvuuksia löytyy, tästä voi kukin mielessään päätellä paljonko haavoittuvuuksia on piilossa siellä, missä tietoturvallisuuteen ja testaukseen ei ole satsattu puoleksikaan näin paljoa. Muistuttaisin vielä, että pääsääntö kaupallisilla ratkaisuilla on, että ongelmia korjaillaan sitä mukaa, kun joku niitä julkaisee, eli kuluttajat hoitavat testaamisen. Suljetun kaupallisen koodin alueella ongelmat voivat myös pysyä piilossa pidempään, koska ratkaisujen ja toiminnallisuuden tutkiminen on Open Source koodia vaikeampaa

Apple iTunes musiikkikauppa kerää tietoja kotikoneelta (Digitoday)

 Ennen vanhaan metsästettiin kissojen ja koirien kanssa Spywarea ja muita haittaohjelmia, joiden kautta oman koneen tiedot vuotivat jonnekin Internetin syövereihin. Nykyisin riittää, kun käyttää jotain kaupallista palvelua ja/tai kaupallista käyttöjärjestelmää. Mutta tämäpä ei enään olekkaan inha tietoturvaongelma, vaan kaupallista kehitystä ja kohdennettua markkinointia, niin ne asiat ja ajat muuttuvat. Tälle ei niin kunniakkaalle listalle on päässyt myös Zone Labs Zone Alarm palomuuri. Valmiiksi takaporteilla varustettujen kaupallisten ratkaisujen iloiseen joukkoon saattaa olla ehdolla myös uusi Windows Vista, Britanniassa asiasta on uutisoinut näyttävästi mm. BBC. Itse toteaisin, että huomioiden mm. USA:n Patriot Act:n, on täysin varmaa, että maailman yleisin käyttöjärjestelmä sisältää asioita, joista ei puhuta. Asia saa mielenkiintoisemman näkökulman, kun huomioi, että Suomessa puolustusvoimat ja valtionhallinto yritysten tapaan lepää pitkälti Microsoftin tuotteiden varassa

NSA:n suorittama tietoliikenteen tiedustelu paljon aiemmin luultua laajempaa (NY Times)

NSA on hankkinut tietoja suoraan operaattoreilta mm. Internet liikenteestä. Lisämausteen vakoilulle antaa NSA:n tavoitteet turvata myös USA:n taloudelliset edut maailmalla. Niinpä niin, kaikkihan me myönnämme, että Internet on turvaton paikka, mutta ehdottomasti ylivoimaisimman uhkan viestiliikenteen luottamuksellisuudelle muodostavat edellisen kaltaiset tiedusteluoperaatiot ja operaattoreiden ominpäin tekemät "tutkimukset" (vrt. Sonera). Tosiasia on, että kellään muulla ei edes olisi riittäviä natsoja päästä tietoliikenteen solmupisteisiin käsiksi ja käsitellä niin suuria tietomassoja. EU:n uusi dataliikenteen tallennusvelvoite tosin avaa laajamittaisen "valvontamahdollisuuden" myös uusille kotoisimmillekin tahoille. Tutkin jo vuonna 1999, mikä olisi reitittimien mielestä (traceroute) lyhin ja nopein mahdollinen reitti välillä Amsterdam - Helsinki ja arvatkaapa, mikä se oli? Lyhin reitti oli tietysti Amsterdam - New York - Virginia - New York - Tukholma - Helsinki, että silleen.

Nordean verkkopankkitunnuksia kalastelleet saivat tyhjennettyä useita tilejä

Tämä on erittäin mielenkiintoinen tapaus. Huijaus oli kaikkiaan tökerö ja hyvin alkeellinen, mutta silti tuottoisa. Kun tarpeeksi laajassa mittakaavassa toteutetaan tietojen kalastelua (tässä muutamia satoja tuhansia sähköposteja), joukkoon mahtuu aina niitä, jotka eivät ymmärrä käyttämiensä teknisten ratkaisujen ja palvelujen (tässä sähköposti ja Internet-pankki) olennaisia ominaisuuksia, eivät välitä niistä tai eivät hallitse
niitä. Asia saa mielenkiintoisen ulottuvuuden, kun pohditaan millä vauhdilla virtuaaliset palvelut-, työskentely- ja asioiden hoito yleistyy. Toinen ja mielestäni vielä tärkeämpi huomio on, että suoraan ihmisiltä kysyminen, eli ns. Social Engineering, on ollut ja on edelleen kaikkein tehokkain tapa tehdä kohdistettu tietomurto. Se on sitten aivan sama törmääkö huijariin kasvotusten, puhelimessa, sähköpostissa, mesessä,
tekstiviestinä, missä tahansa, tekniikka on vain väline ja mahdollistaja. Ainakin meillä suomalaisilla tuntuu olevan syväänjuurtunutta hyväuskoisuutta ja teknologialuottamusta, veikkaampa että parhaat ja taidokkaimmat huijaukset on vielä näkemättä. Alan legendaarisin uranuurtaja on tietysti Kevin Mitnic, joka onnistui vakuuttavasti esiintymällä saamaan haltuunsa melkein mitätahansa, joukossa mm. iso suomalainen puhelinjätti.

Japanilainen Mizuho pankkiiriliike menetti 282 000 000 € meklarin virheen takia (HS 13.12.2005)

Uutisen mukaan kaupankäyntijärjestelmä meni tukkoon ostoryntäyksen takia, eikä meklarin peruutuskäskyt enään menneet läpi. Tuhannesosallakin tuosta tappiosta olisi voinut teettää järjestelmälle takuuvarmasti sellaisen määrän kovanluokan tietoturva- ja suorituskykytestejä, että DOS (denial of service) tilanne olisi varmasti saatu esiin. Järjestelmien tietoturva- ja suorituskykytestaaminen vain tuntuu olevan usein täyttä hepreaa myös monilla kotimaisilla hankkeilla, onpa joskus joku verkkopankkikin lakannut vastaamasta yhden läppärin voimasta auditoinneissani.

Luottoyhtiön tietoturvapäällikkö sai Helsingin käräjäoikeudessa puolitoista vuotta petoksesta

Tämä lienee viimeaikojen tietoturvapiireissä kaikkein keskustelluin tapaus. Mediassa tapauksesta nostettiin hyvin korostuneesti esille naapurin WLAN yhteyden käyttö kirjauduttaessa taloushallintojärjestelmään. Mielestäni koko petosyritys oli niin tökerö, että ko. henkilöllä ei todellakaan tainnut olla juurikaan tietoturvaosaamista, pehmosia puhumalla ja vakuuttavasti esiintymällä pääsee edelleen pitkälle. Toiseksi WLANin osoittaminen sormella on vähän kuin syyttäisi autoteollisuutta pankkiryöstöistä. Kolmanneksi tapaus osoittaa, että kuka tahansa voi olla organisaatiolle tietoriski

Varkaat veivät 45 tonnia ratakiskoja Viitasaarella (HS)

Tämä hauska uutinen kertoo selvästi, että mitä tahansa voidaan viedä, jos sillä on jollekulle rahallista arvoa vaivoista ja vaikeudesta riippumatta. Yllättävän monelle organisaatiolle tuntuu olevan vaikeaa tunnistaa niitä tietoja, joihin voisi kohdistua väärinkäytöksiä tai riskianalyysiä olisi ylipäänsä tehty. Rikollinen toimii loogisesti, eikä viitsi vaivautua, ellei vaivoille saada palkaa. Todellisuudessa suurin osa tietoon kohdistuvista
väärinkäytöksistä kohdistuu kirjanpitoon ja taloushallintoon. Kyseessä on usein verottajan tms. tahon huijaaminen, missä taloudellinen hyöty vain on suurin. Tekijänä on firman oma mies täysin laillisilla tunnuksilla ja pääsyoikeuksilla ja usein vielä juristien ja tilintarkastajien suosiollisella avustuksella. Tietoturvaihmiset ovat tässä suhteessa aika usein hakoteillä pohtiessaan palomuuriin tulevia skannauksia ja muuta teknisesti mielenkiintoista, mutta epäolennaista

Ensimmäinen Windows Vista virus löydetty (Digitoday)

Tietoturva mainitaan aina tietohallintopäättäjien top 5 prioriteettilistoilla. Aika vähän sillä taitaa kuitenkaan olla painoarvoa, kun tarkastelee monessako organisaatiossa ollaan siirrytty haittaohjelmavapaampiin ratkaisuihin. Suosittelen tutustumista turvakovennettuun linuxiin (SElinux, Apparmor) kaikille, jotka pohtivat, mikä voisi olla ratkaisuna jo ennalta ehkäistä haittaohjelmien toiminta päivityksistä ja virustorjunnoista riippumatta. Eräänä hauskana kuriositeettina voisi vielä mainita F-Securen Mikko Hyppösen taannoin eräässä tietoturvaseminaarissa antama julistus, jossa hän arveli Microsoftin XP:n SP2 tietoturvapäivityksen mahdollisesti jäävän historiaan päivityksenä, joka lopettaa Microsoftia vaivaavat tietoturvaongelmat (seminaari oli siis ko. päivityksen julkistamisaikoihin). Niinpä niin, julistuksista huolimatta mikään ei ole muuttunut Windows maailmassa, oikein mieltä lämmittää näin WMF-haavoittuvuusaikana, kun työpöydällä on Linux.

Commwarrior virus leviää kännyköissä (HS 14.12.2005)

Kohteliaita nämä kännykkävirukset, kun kysyvät ensin lupaa
asentua, edellyttäen tietysti, että ensin on kuljeksittu siellä täällä Bluetooth päällä. Eräskin tietoturva-asiantuntija totesi, että sellaisilta älypäiltä pitäisi ottaa lelut pois, jotka eivät osaa niitä käyttää. Nämä taitaa olla samalla järjenjuoksulla varustettuja kavereita, kuin eräässä organisaatiossa, jossa IT henkilö kytki virustorjunnan pois, kun se pentele ei antanut millään asentaa uutta kivaa ajuria, ja tämäkin tarina on tosi

Sony BMG rootkit

Tämä surullisen kuuluisa tapaus osoittaa, miten kaupallisten oikeuksien haltijat eivät juuri kaihda keinoja puolustaessaan taloudellista asemaansa. Tapauksesta tekee erityisen mielenkiintoisen kyseisen rootkit tekniikan itsensä avaamat uudet vakavat tietoturvahaavoittuvuudet. Kokonaisuutena voikin todeta, että kaupallisen softan alueelta ei tule tietoturvaongelmat puuttumaan, vaikka tietoturvaosaaminen ja koodin laatutaso kehittyisikin. Kaupalliset toimijat toimivat surutta toistensa ja kuluttajien seläntakana ja lisäilevät myös jatkossa uusia "dokumentoimattomia ominaisuuksia" ratkaisuihinsa. Erityisen mielenkiintoisen lisän tapaukseen teki suurien virustorjuntayritysten (Symantec, McAfee, CA) täydellinen "tietämättömyys", että jotain voisi olla pielessä, ainoa nopeasti asiaan reagoinut taho oli F-Secure. Mikähän mahtaa olla seuraava hiljaisesti hyväksytty tietoturvareikä?