Data security

Google paljasti haavoittuvuuksia laitealustoissa

20.1.2021 Reijo Holopainen

Kyberhyökkäykset terveydenhuollon toimijoita vastaan koronapandemian aikana ovat tuomittu erityisen raukkamaisina tekoina. Kansainvälistä koronatutkimusta tekevä softafirma eResearchTechnology joutui viime vuoden puolella kiristysohjelmahyökkäyksen uhriksi. eResearchTechnologyn ohjelmia käytetään kliinisissä kokeissa Pohjois-Amerikassa, Euroopassa ja Aasiassa.

Osin kyberiskuissa on käytetty haavoittuvuuksia, jotka ovat syvällä käyttöliittymän alla, eikä käyttöjärjestelmävalmistaja pääse estämään niitä.

Tämä on pääsyy siihen, miksi Googlen haavoittuvuusskanneri Android Partner Vulnerability Initiative (PVI) tuotiin julkisuuteen. Tutka etsii haavoittuvuuksia piireistä ja erityisesti Androidia käyttävien puhelinvalmistajien laitteista.

Google julkaisi vikalistan

Google tiedotti kolmansien osapuolten tietoturvapuutteista erityisellä vikalistallaan. Bugikalleriaa päivitetään. Uuttakin on: Kun havaitaan vakava haavoittuvuus, siitä vastuussa olevat tahot, piiri- ja älypuhelinvalmistajat, tuodaan julkisuuteen.

Julkisuuden kanssa pelaaminen näyttää Googlen tiedotuksessa ikään kuin triviaalilta seikalta, mutta tosiasiassa medianäkyvyys ehkä onkin koko homman clue. Valmistajat reagoivat Googlen listauksiin esimerkiksi fraasiksi muuttuneelle teesillä: se ei ole bugi, se on ominaisuus.

Eräänlainen tietty linnarauha ja kauhuntasapaino näyttää nyt murtuneen kuin suuri pato, joka päästää ulos valtavan purkautumattoman paineensa.

Tiedetään, että puhelimeen esiasennetut sovellukset ja ajurit tekevät jotain muuta kuin mitä hövelisti kerrotaan: esiasennukset saattavat vuotaa salasanoja ja avata portteja. Myös erilaisia laitetietojen käyttöoikeuksia on vuotanut kolmansille osapuolille.

Erilaisia haavoittuvuuksia laitevalmistajien omissa sovelluksista ja mikrokoodeissa on epäilty löytyvän aina, ja tähän asti se on ollut tabu. Haavoittuvia kohtia ovat esimerkiksi prosessorien ja piirilevyjen omat ohjaimet. Rautataso toimii Googlen ylläpitämän Android-käyttöjärjestelmän kernelin alla.

Datavuodot menevät kuitenkin helposti käyttiksen valmistajan piikkiin, ja Googlelle näyttäisi tulleen mitta täyteen.

Android Partner Vulnerability Initiative löytää Android-käyttöjärjestelmän alla piilossa lymyävät haavoittuvuudet. Google linkittää listaansa teknologiavalmistaja Digitimen sekä piirivalmistajista Mediatekin.

Google nostaa Oppon-, Vivon-, ZTEn-, Transsion-, Meizun- ja Huawei-puhelimet tieturvaltaan kyseenalaisiksi.

Lista ei yllätä, koska se on kiinalaispainotteinen. Mutta ei se PVI myöskään mikään ihmekone ole, joka tekisi uusia löytöjä yötä päivää. Lista päivittyy hitaasti.

Android-ohjelmistosta löytyviä puutteita ei korosteta, mutta saattaa joskus olla vaikea osoittaa, oliko haavoittuvuutena muna (koodi) vai kana (rauta). Tämän analyysin sijaan fokukseen nostetaan laitevalmistajat. Näiden ilmiselvästi toivotaan julkisuuden myötä vastaavaan nopeammin esimerkiksi turva-aukkoihin koodattaviin päivityksiin. Se on tärkeä askel tietoturvan tiellä.

Monilla laitteilla paikkakoodien julkaisu on ollut liian verkkaista ja vastentahtoisen oloista.

Tietoturvan suojaamiseen tarvitaan omatoimisuutta ja kotimaisuutta

4.1.2021 Reijo Holopainen

Tietoturva on vakavasti otettava haaste – siitä saadaan tämän tästä uusia vahvistuksia. Kyberrikollinen ei sananmukaisesti nuku: ilkeät iskut firmoihin ja organisaatioihin tapahtuvat öisin, kun muut nukkuvat.

Usein se murtohomma onkin helppoa kuin heinäteko. Tästä tulee nyt hyvä esimerkki.

USA:n entisellä presidentillä Donald Trumpilla ei ollut Twitter-tilillään toiminnassa kaksivaiheista tunnistautumista, eikä palvelu mennyt lukkoon, vaikka tunkeutuja siihen syötti aluksi neljä kertaa väärän salasanan.

Taitava rikollinen viilsi tilin auki viidennellä kerralla: hän syötti salasanan ”maga2020!”

Kaikki ei ole tekniikkaa, vaan intuitiota (joka on salonkikelpoinen nimi selvänäölle).

Gevers oli yksi krakkereista, joka pääsi viimeksi käsiksi Trumpin tiliin jo vuonna 2016 salasanan arvaamalla.

Melkein kaikkia annettuja tietoja voidaan käyttää kyseistä höveliä henkilöä vastaan. Ja se tapahtuu kun uhri vähiten sitä odottaa.

Jätämme itsestämme tiedostamatta paljon jälkiä internettiin. Niiden perusteella mainostajat ja palveluntarjoajat mainostavat ja tarjoavat juuri sinulle sopivia tuotteita ja palveluita. Paha puoli on se, että taitava kyberrikollinen näkee yleisestä tiedosta, mikä on salasanan runko, ja mitä numeroja siinä mahdollisesti on.

Oma käyttäytymisemme on tärkeää. Kun on hallinnassa mitä dataa vuotaa verkkoon, tulee teknisen suojauksen vuoro.

Siirretään kaikki data ensinnäkin kotimaiselle palvelemille. Jos mennään pidemmälle, puhutaan salauksesta.

Psykoterapiakeskus Vastaamon tyyppiset tietomurrot, jossa viedään dataa kiristystarkoituksessa, voidaan estää kryptaamalla ja varmuuskopioimalla potilasdata.

Tietomurrot voidaan estää ja data salata

F-Securen tietoturvajohtaja Erka Koivunen kuvailee tähän psykoterapiakeskukseen kohdistunutta tietomurtoa sydämettömäksi kiristämiseksi, mutta huomauttaa, että tietomurto olisi voitu estää. Suomalaisen F-Securen tarjoamat työkalut ovat erittäin hyviä, tekniikaltaan standardoituja, joita myös Sollertiksen kautta voi kysyä. Tarjoamme mm. F-Securen radar-suojausta.

Vaikka jopa kymmenien tuhansien suomalaisten arkaluontoisia tietoja joutui vääriin käsiin murtamalla Vastaamon pääkäyttäjätunnus, arkaluontoisten terveystietojen vuotaminen ei ole uusi ilmiö. Tapahtuu paljon myös tietojen avulla kiristämistä, mutta nämäkin teot muuttuvat koko ajan raaemmiksi.

Ei sattuma, vaan valikoitunut kohde

Onneton Vastaamo.fi näyttäisi seuloutuneen haaviin sopivaa tietomurtokohdetta haravoitaessa. Siis isku tapahtui kohteeseen, jossa oli heikko suojausjärjestelmä ja tarjolla herkkäluontoista data.

Jos firmassa todetaan, että datan suojaaminen on liian kallista ja hankalaa, on syytä huolestua.

Datan voi tallettaa verkosta irrotetulle arkistokoneelle, koska esimerkiksi terveystietoja ei voi noin vain hävittää.

Varminta on budjetoida tietoturvaan ja -suojaan, suunnittelusta alkaen. Loppupelissä se tulee halvemmaksi vaihtoehdoksi. Kun vahinko käy, yrityssalaisuudet ja asiakastietorekisterit ovat kauppavaraa Tor-verkon hämärillä markkinoilla huumeiden tapaan.

Uuden polven näppäinnauhurit iskivät älypuhelimiin

11.12.2020 Reijo Holopainen

Näppäinnauhurit ovat pieniä ohjelmia, jotka livahtavat sisään laitteeseen, toimivat taustalla ja tallentavat kaikki tekemämme näppäinpainallukset. Mobiiliympäristössä toimii uusissa kuosissa salakavala vanha riesa.

Entisestä elämästä, pöytäkoneiden maailmassa tutut rootkitit sieppasivat nauhureillaan koneiden lukituskoodit lennosta, ja avasivat takaovet muropurukoille.

Uuden polven näppäinnauhurit esiintyvät valevaatteissa. Niitä myydään esimerkiksi viranomaisten pakkokeinotyökaluina etsintöihin ja ratsioihin. Samoin vakoojaohjelmaa kaupataan lasten vanhempien apulaisiksi teiniensä paimennuksessa. Kuulostaa jenkkiläiseltä, mitä se onkin, mutta kauppasivustolla kieliversioita löytyy myös suomeksi.

Tätä näppäinnauhoittajien uutta aaltoa pidetään moraalisena ja eettisenä ongelmana.

Tapasimme Keylogger-ohjelmakoodin iPhonessa. Hide UI sieppaa koodin talteen, nauhoittaa sen, kun puhelimen omistaja näpyttelee laitteensa näytön auki. Hide UI on tavattu toimimasta synkassa GrayKey-nimisen laitteen kanssa. Koodi on peräisin Grayshift-yritykseltä. Erikoista tapauksessa on NBC Newsin dokumentaation mukaan, että tämä digitaalinen murtoväline on Yhdysvalloissa poliisiviranomaisten etsintöjä koskevissa pakkokeinovalikoimassa. Pakkokeinolaki USA:ssa ei ole muutenkaan maailman kehittyneimmästä päästä, ja etsintäluvat joskus, mitä sattuu, ”epäamerikkalaisten” ihmisten seurailua. NBC News julkisti FBI:n nimettöminä pysytelleiden virkailijoiden kriittisiä lausuntoja.

Tätä aina joskus kysytään, mistä ne aloittelevat krakkerit saavat käyttöönsä haluamiaan työkaluja? Ehkä asiaa on syytä miettiä.

Siinä on pieni mutka, jolla yritetään pysyä laillisuuden puolella – vaihtelevalla menetyksellä.

Esimerkiksi Spyrix Personal Monitor ohjelman mainostetaan sopivan ”täydellisesti vanhempien tai työnantajien tarpeisiin”. Myyntisivulla kirjataan työkalun tärkeimmät ominaisuudet: se mahdollistaa ”etävalvonnan turvalliselta web-tililtä”.

Keylogger (näppäilyn tallentaja) ohjaa myös kohteen ”elävään katseluun kamerasilmän avulla”. Tämä siis striimaa läppärin tai tv:n kamerasilmän kuvaa, jos edessä ei ole estettä.

Sitten kaiken kukkuraksi tarjotaan Spyrix Viewer -työkalua kaukokatseluun Android- ja iOS-laitteissa.

Mobiililaitteet kohteena

Entäpä edellisen hirmun ilmainen karvalakkiversio Spyrix Keylogger: sen kerrotaan olevan ilmainen ja helppokäyttöinen haluttujen käyttäjien toimintojen tallentamiseen.

Ilmainen keylogger, eli näppäilyn tallentaja, tallentaa kaikenlaisen näppäilyn näppäimistöllä, ottaa näytöstä kuvankaappauksia ja hallitsee leikepöydän sisältöä. Wau!

Ohjelman jakamista perustellaan näin: haluat varmistaa lapsiesi turvallisuuden Internetissä, ja estää lasten vierailut ei-toivotuilla sivustoilla.

Kaapattujen mobiililaitteiden datan imurointi ja katselu tapahtuu erityisellä mobiilisovelluksella, Spyrix Viewerilla, joka lukee niin Androidit kuin iOSit. Lisäksi Spyrix Viewerin kerrotaan pysyvän 100 % piilossa virustorjuntaohjelmistoilta. Valitettavasti kybervakooja näyttäisi ohittavan ainakin helpot esteet. Ei hyvä.

Korona haastaa edelleen etäyhteyksien suojaamisen

27.11.2020 Reijo Holopainen

Organisaatioilla pitää löytyä selvä käsitys siitä, mikä osa ja miksi verkkoliikenteestä kulkee salatun VPN-yhteyden kautta, ja mikä data on avoimessa verkossa.

Suojatun sisäverkon tiedostojenjakopalvelut tulivat viime keväänä yhtäkkiä suojattujen intranet-saarekkeiden ulkopuolelle. Pahimmillaan data virtasi suojaamattomana julkisessa internetissä. Monenmoiset laitteet, samoin kuin niiden käyttäjät, altistuvat väärinkäytöksille, tietää Traficomin kyberturvallisuuskeskus.

Myös suojauksia on yritetty työkseen murtaa: jälkiä VPN-hyökkäyksistä löydetäänkin lokitiedostoista yhä enemmän. Raskailla murotyökaluilla kopaistaan paikasta jos toisestakin, onko sinne jäänyt heikko salasana tai solmu, joka viilletään auki.

Korrelaatio etäyhteyskuormituksen ja koronapandemian aiheuttaman hyökkäysbuumin välillä ei kuitenkaan ole aivan selkeä. Ainakin yksi tekijä on.

VPN-verkkoihin kohdistuvat hyökkäykset ovat lisääntyneet rajusti tänä vuonna. Mutta osin se näyttäisi ainakin olevan suhteessa VPN:n lisärakentamiseen.

Kuormitus kertoo suojaputkien koklauksesta

Lisäksi VPN-yhteyksien lisääntynyt käyttö saattaa olla monen tekijän seurausta, ja periaatteessahan tietoturvan auditointi näkyy myös kuormana.

Ajatus näiden turva-asioiden tarkastelusta myöhemmin leppoisampina aikoina on huono: kyberrikollisia kiinnostaa ottaa ilo irti hetkestä.

Kyllä, he tekevät melkoista tiliä korona-aikaa hyväksikäyttäen, jos joku sitä vielä epäilee.

Juuri VPN-tunneloinnin hätäratkaisut valitettavasti näkyvät myös kyberturvallisuuskeskuksessa, kun se selvittää murtotapahtumia. Seurannasta ilmenee, että tämän vuoden maaliskuussa suojaamattomien laitteiden määrä Suomen verkoissa kasvoi neljänneksellä vuoden alusta.

Onko varamiesjärjestelmä kunnossa?

Kiinnostaisi tietää, onko organisaatiossa tehty tätä selvitystä: ovatko jotkut liiketoiminnan prosessit tai järjestelmät ainoastaan yhden henkilön varassa? Jos näin on laita, niin nyt viimeistään olisi syytä ruveta miettimään, onko kaikki käyttö ja data dokumentoitu pahanpäivän varalle, ja mikä on tilanne potentiaalisten varahenkilöiden koulutustason kanssa?

Yksi osaaja pitää olla aina varalla.

Jyrkässä kasvussa tänä vuonna ovat myös tietojen kalasteluyritykset.

Kyberturvallisuuskeskuksen tietoon on tullut niin organisaatioihin kuin yksityishenkilöihin kohdistuneita kiristys- ja kalasteluyrityksiä.

Kansalaisten henkilö- ja tilitietoja haalitaan yhä aktiivisesti erilaisten varkauksien mahdollistamiseksi. Tili tyhjäksi, tai jos saadaan luottokorttinumero, se pannaan vinkumaan.

Yhdessä tapauksessa rikollinen yritti luoda erikoisen transaktiotason, jossa luottokortin haltija ei huomaisi kuukausittain rikollisesti luottokorttitilillä tehtävien ostosten kokonaissummaa.

Data centre safely in Finland

9.7.2015 Mika Hoffren

Sollertis’ data centres are located in Finland, which is a safe option for our clients. The servers and client data are well protected in old bank vaults. A security company monitors the server premises 24 hours a day, and the premises can only be accessed by those who need to for their work.

Stable conditions as an advantage

Finland can offer both professional staff and a reliable electric supply as well as fast trunk networks. A stable political environment enables long-term planning and development work. Geography and climatic conditions also support locating data centres in Finland: the ground is stable and there is no threat of earthquakes or hurricanes.

Finland has even been described as the utopia of data centres in newspapers:
”All things considered, Finland’s geopolitical location and social structure, data security widely supported by legislation, predictable regulatory requirements and cooperative authorities speak for Finland as an excellent location for a data centre.” (Tietoviikko 11 February 2012)

Reliability and continuity are important for us and our clients, which is why we have chosen Finland as the location for our data centres.