Tietoturva

Älytelevision reitityksessä on paljastutunut haavoittuvuus kohteessa Universal Plug’n’Play eli tuttavallisemmin UPnP. Härpäke olisi syytä kytkeä kokonaan pois käytöstä. Joissakin televisioissa taas löytyy Chromecast built-in -teknologia älytöllön sisäänrakennettuna haavoittuvuutena.

Tämä  built-in suoratoistaa sarjoja, elokuvia, musiikkia, urheilua mutta myös pelejä mobiililaitteelta isolle näytölle monitoroituna. Toiminta voi mahdollistaa asetusten manipulointia, mikä onkin pahempi juttu.

Asetuspaneelin avaaminen tulee tehdä kaikessa rauhassa. Porttiavaruudesta löytyy säätö, jolla torpataan porttiohjauksia porteista 8008, 8009 ja 8443. Kiinni ne.

Reitittimen asetusvalikkoon sisäänkirjautuminen ja asetusten tarkistaminen ynnä muuttaminen manuaalisesti on melko helppo konffaus, vaikka manuaalit vaihtelevat hieman laitekohtaisesti.

Manuaalin lukeminen on siksikin tärkeää, että löytyy kyberhyökkääjien koulukunta, joka on keskittynyt hyödyntämään väärinkytkettyjä johdotuksia ja reitityksiä.

Taannoinen CastHack-hyökkäys UPnP:n kautta ei etsinyt ohjelmistohaavoittuvuuksia, vaan käytti hyväksi väärin ja väljästi säädettyjä reitittimiä. Pian 65 300 laitetta toistikin YouTube-mainosvideon, jonka henkisesti epävakaa tunkeutuja konfiguroi pyörimään tv-laitteissa.

Henkilö paljasti myöhemmin sairaskertomuksensa.

Rikollisuus kiehtoo monia tekniikan ihmelapsia, kun tylsä reaalimaailman elämä lyö vastaan. Huimin tapaus lienee EZCast-tv-tikku, joka tavallaan muunsi karvalakkimallin televisiosta älylaitteen. Se peilaa älypuhelimen ja tietokoneen kuvaa tv-ruudulle. Spesifin väylän avulla ulkopuolisen oli mahdollista saada tikun spesifikaation kautta hallintaan käyttäjän koko langattoman lähiverkon data sekä kaikki verkkoon kytketyt laitteet.

Tämä aukko mahdollistaa myös salakuuntelun ja salakatselun. Ei ole liioiteltua pitää kamerasilmien päällä laastareita. Ennen muinoin kiinnostavien tapahtumien salakuvaaminen saattoi tapahtua seinään piilotetulla mikrofonilla sekä hotellihuoneen peilin taakse piilotetulla kameralla – nyt älytelevisiossa löytyy toimintavalmiina kamera ja mikki, joilla tehdään samaa.

Listaa hyökkäystyökaluista, joilla voidaan automatisoida haavoittuvuuksien käyttö, voisi tietysti alkaa tässä kirjoittaa. Ne hyödyntävät aallonomaisesti, kulloinkin pinnalla olevaa haavoittuvuutta. Tämän tietäen uusia sovelluksia ei ehkä tulisi rynnätä käyttämään ensimmäisten joukossa ennen kuin niihin piilotetut mahdolliset haittakoodit ja muut piilotetut ohjausprotokollat ovat paljastuneet.

Televisiovalmistajista suurimmat, Samsung ja LG kärjessä, esittelivät äskettäin suorastaan mielikuvituksellisilta kuulostavia uusia äly-tv-mallejaan Las Vegasin CES-messuilla.

Taas rysähti. 140 miljoonaa uutta käyttäjätunnusta niiden vuotaneiden lisäksi, mitä nyt Collection #1:n (noin 2,7 miljardia riviä käyttäjätunnuksia ja salasanoja) on jo kartoittanut.

Käyttäjätunnuksia, siis 140 lisää 640 miljoonan aiemmin karanneen päälle, vaeltaa omilla teillään bittiavaruudessa. Järkyttävä määrä, jos saan sanoa.

Tämä kuuluu netin riskeihin, jotka kylläkin Sitran tekemän tuoreen tutkimuksen mukaan ovat jo aika hyvin suomalaisilla tiedossa.

Toistuvat uutiset tietovuodoista ovat nakertaneet ihmisten luottamusta palveluntarjoajia kohtaan. Sitran tilaamasta Kantar TNS:n viime marras–joulukuussa toteuttamasta kyselystä ilmenee, että suomalaisista 45 prosenttia ei olisi niinkään valmis luovuttamaan henkilötietojaan palveluntarjoajalle, ei millään ehdolla.

En minäkään, useimmiten, mutta yhä useammin sille ei enää tahdo löytyä vaihtoehtoa.

Taas saman tilaston mukaan 43 prosenttia suomalaisista sanoo, että luottamuksen puute palveluntarjoajia kohtaan estää heitä käyttämästä digitaalisia palveluita. Ei ihme.

Erityisen skeptisiä ollaan 25–34-vuotiaiden, johtavassa asemassa olevien ja ylempien toimihenkilöiden joukossa.

Sietää olla, pk-yritysten keskuudessa tuntuu elävän vielä menneen maailman aikaisia tietoturvakäsityksiä ja -käytäntöjä.

Aina on hyvä tarkistaa, onko oma osoite vielä turvassa, vai osa bittiavaruudessa kiertävää datamassaa.

Jos kaikki on hyvin, tulisi ehkä toimia. Käyttäjätietokantojen tyhjentäminen kybermurtojen yhteydessä on vielä luvattoman helppoa. Parempi riskien hallinta on itsestään selvästi pääsyy siihen, että käyttöön otetaan kaksivaiheinen tunnistautuminen 2FA.

Vahva todentaminen edellyttää käyttäjän tunnistamista kahden tekijän perusteella (two factor authentication). Tiedostojako ja pilviyhteyksien käyttö varsinkin altistaa jatkuville haavoittuvuuksille.

2FA tarkoittaa nettitilien käyttökulttuurin uudistamista turvallisuussyistä. Menetelmä perustuu asiakkaan käyttäjätietokannasta luettuun käyttäjätunnukseen, salasanaan ja sen lisäksi kertakäyttösalasanaan, joka saadaan joko tekstiviestillä (SMS-token), erillisestä todennuslaitteesta (HW-token) tai mobiilisovelluksesta (mobile-token).

Vaikuttaa siltä, että ilmaispalveluista Google olisi paras 2FA-harjoitteluun. Harjoitus: määritä kaksivaiheinen vahvistus.

Siirry Google-tilillesi.

Valitse vasemmasta navigaatiopaneelista Tietoturva.

Valitse Googleen kirjautuminen -paneelista Kaksivaiheinen vahvistus.

Valitse: Aloita.

Seuraa ohjeita näytöllä.

Toisen vahvistusvaiheen valinta.

Kun määrität kaksivaiheisen vahvistuksen, useimmissa palveluissa eteen tulee valintavalikko.

Jos et halua käyttää tekstiviesti- tai puheluvaihtoehtoa, valitse jokin toinen vaihtoehto. Tekstari tosin toimii vielä varsin hyvin ja turvallisesti tässä omimmassa toimintatarkoituksessaan: välittäessään radiolinkin kautta turvallisesti vahvistuskoodin käyttäjälle.

Huomatkaamme, se ei ole netissä.

Pyramidihujaukset ja jos jonkinmoiset vedätykset ovat bittirahan arkipäivää. Uutinen kai olisi, jos jotain haittoja ei ilmene. Mutta nyt rysähti syvällä louhoksen teknologisessa ytimessä.

Bitcoin-digirahan luojan Satoshi Nakamoton pahaenteinen teoreettinen pohdiskelu rollbackin vaarasta lohkoketjusalauksen spesifikaatiossa kävi toteen. Ei ihan hänen omissa, mutta lähellä.

Isku ethereum classicin lohkoketjuun, ja sen murtaminen, paljasti kuitenkin varsin odottamattoman haavoittuvuuden.

Ensireaktio muistuttaa samaa kuin jos 100 prosentin varmasta vankilasta olisi paettu jollain tuntemattomalla, mahdottomana pidetyllä konstilla.

Tuntemattomien tekijöiden toteuttamassa rollback-hyökkäyksessä ethereum classicin lohkoketju murrettiin kahtia, jolloin alkuperäinen lohkoketju korvattiin uudella ja valuuttaa vedettiin välistä.

Exchange on väliaikaisesti estänyt ethereum classicin tallentamisen ja nostamisen, mikä tarkoittaa, että tämän bittirahan käytön ja vaihdon. Myös kryptovaluuttakauppa Coinbase keskeytti ethereum classicin myynnin.

Torppaus määrätiin voimassaolevaksi siihen asti, että lohkoketjusalaus toimii ja asiantuntijoiden toimesta bittirahan käyttö todetaan jälleen turvalliseksi.

Ars Technican mukaan kyberrikolliset käyttivät 88 500 ethereum classicia kahteen kertaan saaliin liikkuessa ainakin 410 000 eurossa.

Lohkoketjuun väliin iskemisen jälkeen hyökkääjät kykenivät kumoamaan lohkossa tapahtuvia transaktioita. Näin valuuttaa palautui edelliselle omistajalle omaan taskuun.

Vaikka vahingot jäivät suhteellisen vähäisiksi, tapauksen vaikutusta lohkoketjusalauksen uskottavuudelle tuskin voi pitää kolauksena, se on täysi romutus lohkoketjuratkaisun lupauksille erehtymätöntä varmuutta hipovasta dataturvasta.

Näin muodoin imagotappio on vahinkona valtavan paljon suurempi kuin nyt ryövärien taskuihin kadonnut saalis.

Joku on jo kysynyt, millä resursseilla tässä ajellaan?

Menetelmässä rollback-hyökkäys sieppaa 51 prosenttia lohkoketjun luomisessa käytetystä laskentatehosta.

Tätä on vaikea kuvitella poikasten kolttosiksi. Ehkä kyseessä on joku suuri toimija, joka testaa teknologiaansa, paljastaakseen huumekauppaa ja rahanpesua, kenties.

Muutama vuosi sitten ihmetytti Microsoftin kasvava kiinnostus ethereum classiciin.

Tätä kirjoittaessa ethereum classic (ETC) arvo liikkuu jossain $4.293 kohdalla, marketcapin ollessa $462.66 M, ja bittirahan hinta on hyvässä nousussa, mikä viittaa siihen, että ongelmat ovat ratkeamassa.

Joka viides meistä, eli miljoona suomalaista, on joutunut tietojenkalastelun, sen paljon puhutun phishingin uhriksi. Kansa osaa varoa huijauskirjeitä, mutta silti kaipaisi lisää tietoa tietoturva-asioista, ilmenee YouGov-data-analytiikkafirman tekemästä kyselytutkimuksesta. Otos käsitti tuhat suomalaista.

Ero aikaisempaan tietoon on selvä, vaikka kalastelu lisääntyy ja se käy yhä röyhkeämmäksi, valistustyö puree. Voimme käyttää muutosta kuvaavassa aikajanassa YouGovin keräämää aineistoa.

YouGovin menetelmä perustuu laajaan panelistijoukkoon, josta on mahdollista tehdä suhteellisen edustavia otantoja erilaisiin tarkoituksiin. On kai syytä todeta, että kyseessä on markkinatutkimuksia ja mielipidegallupeja tekevä yritys. Pääkonttoriaan Iso-Britanniassa pitävä firma toimii sujuvasti niin Euroopassa, Pohjois-Amerikassa kuin Lähi-idässä tai Aasiassa. Missään muualla samanlaista kuin suomalainen tietoturvatietoisuus ei tavata. Yritys siis tekee kyselytutkimuksia ja gallupejaan asiakastoimenantoina. Suomessa mittauksen maksaja on Nordea-pankki.

YouGov BrandIndex taas mittaa päivittäin brändien ympärillä tapahtuvaa pöhinää, kuten muotitermi kuuluu. IT-firmat loistavat poissa olollaan kärkikymmenikössä, mutta yksi operaattoreista DNA kuitenkin kasvaa brändinä.

Yhtään tietoturvafirmaa fanituslistoilla ei näy. Rahalaitoksista S-Pankki on sympaattisin. Liekö kannatuksen takana se, että S-Pankki on hoitanut kohtalaisen hyvin tiedotuksen kalasteluvaaroista. Sen nimissä on tehty paljon puhelimitse tyyppihuijausyrityksiä, joissa asiakas saa ensin sähköpostin tai tekstiviestin, jossa siltä pyydetään pankkitunnusten lisäksi myös puhelinnumeroa.

S-pankista kerrotaan, että huijausyrityksistä on tullut pankeille valitettavan yleisiä. Lisätietoja kalastellaan puhelimitse esiintyen esimerkiksi pankin tai jonkin viranomaisen edustajana. Tämä onnistuu enää vanhuksilla, joihin tarkkavainuiset kalastelijat panostavatkin.

Ohessa on yksi taidokkaimmista tavatuista huijauksista, eli huijarien tekemä feikkisivu S-pankin nimissä. Näennäisesti asiallisen näköisen sivuston oikealla puolen näkyy tietojenkeruukaavake tarkkojen tietotojen kalastelemiseksi. Näin tärkeilevästi esiintyvien huijareiden tehtäväksi jäi puhelimessa urkkia avainlukulistojen lukusarjoja.

Poliisin mukaan parhaat näistä kalasteljoista olisivat helposti selvittäneet tiensä teatterikouluun.

Summia emme tiedä, kuinka paljon kalastelu maksaa pankeille, mutta paljon se on. Valistusta on syytä jatkaa.

Tavan mukaan kyberrikolliset kulkevat yhden askeleen hyviä hakkereita edellä. Mikä onkaan heidän rikollisen mielensä seuraava luovuuden ja kekseliäisyyden rieumuvoitto?

Nyt tosin on ollut vähän aikaa hiljaista phishing-rintamalla. Kuopion käräjäoikeudessa tuomiolla oli vasta noin 35 tekijän ryhmä apureita ja päätetekijöitä. Neljä päätekijää saivat petostehtailustaan alioikeudessa neljän vuoden ehdottomat linnatuomiot, jotka tosin eivät vielä ole lainvoimaisia.  Maa polttaa Suomessa.

Tämän saman jengin väitetään nyt kalastelevan Ruotsissa.

Kyberturvallisuuskeskus on julkaissut ”huonetaulun”, johon on numeroitu viisi pahinta uhkaa paitsi yksityishenkilöille myös erikseen organisaatioille. Tietoturvan vuosikiatsaus 2018 korostaa, että vuoden vaihtuminen ei muuta mitään kaikki pätee myös vuonna 2019.  Viisi pääuhkaa ovat suhteellisen loogisessa järjestyksessä, mutta ratkaisuista taas voidaan olla montaa mieltä. 

Totta on, että pirulliset kyberrikolliset ja niiden jatkuvat nettihuijaukset, laitteiden turva-aukot, virallisten verkkokauppojen vuotavat valesovellukset ovat kaikki ongelmia. Mutta valitettavasti muutaman sanan patenttiratkaisuilta kuulostavat yleisluontoiset vinkit tuskin pitkälle tepsivät tähän pahaan. Katsotaanpa riittävätkö ohjeistukset toimivaan tietotoruvaan.

Uhka 1, sovellutusten käyttöön mennään asetusten muokkaus edellä. Oikein, liinat kiinni, sillä kaiken mikä on irti, kasakka vie. Yleensä mitään ei menetä, jos klikkaa rattaan kuvaa, tutustuu palveluun ja siinä samalla kääntää kaikki luvat kiinni (eritoten jos ei ymmärrä, mitä siinä kysytään).  Pahinta, että se tietty sovelluskaupasta ladattu taskulamppu, Sparkle, ei ollut sovellusasteuksen kautta hallittavissa, ja toimitti omiaan rikollisten piikkiin.

Uhka 2, ne tilausansat ja aggressiiviset mainokset. Paras tapa on ohittaa kaikki, varisinkin houkuttavan näköiset virustutkat ja palomuurit, koska melkein aina ne ovat itse haittaohjelmia. Pian sisään tultuaan ne pyytävät rahasuorituksia puhdistaakseen löydöksensä koneelta. Mitään mitä emme ole itse päättäneet tilata, tulee kylmästi skipata yli.

Uhka 3, huonosti suojatut laitteet. Siinäpa vasta uhka, joka koskee meitä kaikkia, koska elämässä on muutakin kuin dataturva. Aina ei ehdi tai jaksa skarpata. Kyberturvallisuuskeskuksen puolivillaiset ohjeet eivät paljon auta asiaan. Turvalliset salasanat eivät ole olleet aikoihin muistettavissa, sillä vahvat salasanat tehdään salasanamanagerilla.  Two- tai multi-factor authentication on periaatteessa tärkeä ohje, mutta pelkkä sen mainitseminen ei riitä.

Multi-factor authentication eli MFA on monesta tekijästä yhdistelty tunnistusmenetelmä, jossa sen kaikkien tunnistusosatekijöiden tulee matchata tunnistushetkellä; jos taas kaikki ei matchaa, tunnistus hylätään.

MFA:n käyttöön otto saattaa hyvinkin vaatia ammattilaisapua, ja siksi apu on arvossaan erityisesti yritysympäristössä.

Tämän tien tunnistusspesifikaatioihin voi alkaa tutustumalla vaikka Googlen 2FA-sovellusmaailmaan. Näet tietomurroissa tietokannoista vuotaa miljoonia käyttäjätunnuksia salasanoineen, ja tunnistuksen vahventamien on monessa tapauksessa ainut toimiva ratkaisu turvaongelmaan. IoT on oma maailmansa, jossa pilvipalveluun varastoituun dataan isketään monessa vaiheessa. Niin kutsuttu man in the middle -hyökkäys varasta dataa signaalilinjasta. Siihen ei ole kuin kovia lääkkeitä. Riittävän vahva VPN-tunneli, tai 128 bittinen salausavain, joka kryptaa kaiken informaation, esimerkiksi LoraWan jaa tai NB Iot.

Uhka 4, valesovelluksia näet siellä, missä niiden ei todellakaan pitäisi olla. Huonetaulun mukaan ”aidoissa verkkokaupoissa”. Paha juttu. Muuan lamppu Sparkle tuolla edellä jo mainittiin. TechCrunchin mukaan muun muassa Hotels.com, Air Canada, Hollister ja Expedia salaa nauhoittavat Iphone-sovellustaan käyttävien näytöltä painalluksia sekä pyyhkäisyjä. Tämän voi estää vain valmistaja Apple. Sovellukset poistettiin App Storesta.

Itse suosittelisin odottamaan hetken aikaa ennen latausta. Seuraamme tieturvasivustoja, vaikka kaupassa näkyy tarjolle houkuttavia ihmetyksiä 0 € hintaan.

Ei ole ilmaista lounasta.

Uhka 5, verkkopalveluista vuotaa arvokasta tietoa. Näin tekee. Tähän uhkaan vastaa taas kaikki edellä kerrottu, eritoten 2FA, joka suojaa tiliä datan massamuroissa.

Nykyajan tietoturvaperusta on vaikeasti jäsennettävä kokonaisuus, jolle asioita jaotteleva huonetaulu ei välttämättä tee oikeutusta. Uhkat siinä kuitenkin on lueteltu.

Tieto on tohkeissaan. Arvasin, että jotain on teikeillä, kun se tuossa lasiseinän takana lounaskabinetissa kokousti.

Pomo napsautti projektorin kiinni, kun tajusi, että valkokangas näkyy vähän muuallekin kuin omalle väelle. Yhtiön uudessa mallissa näemmä ”asiakkaat saavat nopeammin käyttöönsä oikeanlaista osaamista”. Hyvä. Tämä tarkoittaa muun muassa 128-bittisiä, korkeita salaustekniikoita, radiolinkkien kautta toimivia LoraWan ja NB IoT -formaatteja, joiden käyttöönoton kanssa vitkuttelu onkin käsittämätön suomalainen ilmiö. Verkot ovat, käyttäjiä ei.

Pian tulee kuluneeksi kolme vuotta yhdestä kyberajan pirullisimmasta rikoksesta: krakkerit onnistuivat saastuttamaan mobiilisovelluskehittäjien käyttämiä tärkeimpiä työkaluja. Tulosksena sovelluskehitystyökalulla tehdyn softan sisään pakattu haittaohjelma levisi kaikkiaan 39:een App Storessa kaupan olleeseen sovellukseen. Tapaus aiheutti valtavaa hämmennystä ennen kuin tuon haavoittuvuuden toimintalogiikka selvisi. Kuitenkin se oli vain kuin esisoittoa tulevasta. Tämän sorttinen hyökkäysten naamiointi, piilotus ja erilaiset peiteoperaatiot ovat sittemmin arkipäiväistyneet. Tässä kyberilmastossa kai pärjää vain kaikkea epäilevä netin käyttäjä. Mieluummin kyyninen kuin herkkäuskoinen.

Ars Technica -sivuston mukaan ryövärisovellukset käynnistivät haittakoodin kättelyssä tarjoamalla esimerkiksi äkkisistään hyödylliseltä kalskahtavaa kaloriseurantaa. Käyttäjän tuli vain asettaa sormensa iPhonen sormenjälkilukijalle. Sormiprintillä hyökkäyksessä varmistettiin läpäisy kaksivaiheisessa tunnistuksessa.

Kaikkien metkujen toteutustapa ei selvinnyt. Eikä toiminta App Storessa rikollisilta enää onnistu, sillä Applen mobiilikäyttöjärjestelmä iOS on paikattu pitäväksi, vaikkeivat virustutkat siinä toimikaan.

Paukkunsa rikolliset näyttäisivät siirtäneen iOS:n kanssa kilpailevan Googlen Androidin suuntaan.

Android-alustalla mainosklikkauksia tehtaileviksi boteiksi muuttuvat sovellukset lienevät vähiten haitallisesta päästä. Osin ne ovat peräisin ohjelmataloista, joita saattaa olla vaikea mieltää rikollisten hallitsemiksi. Saastuneet työvälineet olisi aika looginen selitys havainnolle. Firefox- ja Chrome-selaimille tarkoitettuja liitännäisiä sekä Android- ja iOS-sovelluksia on ladattu yli 15 miljoonaa kertaa.

Sovellusohjelmistojen kirjoittajia itseään harhautetaan. Heille tarjotaan houkuttavia työkaluja, velhoja, jotka tekevätkin sitten ihan omia taikojaan sisällä sovelluksissa. Osa taas pelaa suoraan likaista peliä. Lukuisten mobiilisovellusten ja selainliitännäisten takana vaikuttaisi olevan tarkkoja tietoja tuotteidensa käyttäjien nettiselailusta härskisti keräävä yhtiö, nimeltään Big Star Labs.

Big Star Labsin tehtailemia sovelluksia Ars Technican mukaan ovat muun muassa Block Site, AdblockPrime, Speed Booster, Battery Saver, AppLock sekä Privacy Protector, Clean Droid, Poper Blocker ja CrxMouse.

Osa ohjelmien haittaominaisuuksista hyödyntää tunnettuja nollapäivähaavoittuvuuksia.

Pahinta on, että julkiset instituutiot eivät omaa nykytilanteen edellyttämää tietoturvan valmiustasoa. Huijaamisesta tulee näin aivan liian helppoa. Se kenties houkuttaa uusia onnenonkijoita kentälle. VR:n lippupalvelun haavoittuva Flash Player on suorastaan vastuuton muinaisjäänne, koska sen pakkolataaminen lipunoston yhteydessä heikentää päätelaitteiden tietoturvaa. VR ei vastaa asiaa koskeviin kysymyksiini.

Tätä kirjoittaessa postin nimissä lähetetään huijaustekstiviestejä ja -sähköposteja, joita ei erota aidoista. Moni suomalainen on saanut yhteydenoton, jossa väitetään tulossa olevan lähetyksen joutuneen sivuun postimaksun puuttumisen vuoksi. Tekstarin linkin klikkaaminen johtaa sivulle, jossa kysytään yhteys- ja maksukorttitietoja ”postitusmaksun maksamiseksi”.

Viestit ovat aidon näköisiä ja huoliteltuja. Ainut tapa on luottaa siihen, ettei virallisia maksuja yleensä noin peritä. Vielä pahempaa tietenkin on, jos mobiililaitteessa huijarisivusto varmennetaan käyttöjärjestelmä tasolla. Tämäkin on jo nähty, vaikka kyseessä se on silti rikollinen viritys, joka kalastelee tilitietoja, tunnuksia ja kaksoisvarmennuslukusarjoja.

Huijausten erottaminen todellisista kauppaliikkeiden, virastojen ja pankkien vieteistä käy yhä vaikeammaksi. Koulutusta tarvittaisiin, ja kokonainen uusi kansalaistaito.  

Kuinka tärkeää onkaan, että Androidiin ei ladata mitään hauskoja tai äkkisistään jopa hyödylliseltä kuulostavia sovelluksia. Nyt kerron, mitä mobiililaitteeseen ladattu ”akunsäästäjä” hiljakkoin teki.

Puhelimen omistajan PayPal-tilin kanssa tositoimiin ryhtynyt ”akunsäästäjä” pääsi saldoon käsiksi ohittaen jopa tilin kaksivaiheisen tunnistuksen 2FA (two-factor authentication). Akunsäästösovellus ei säästellyt ainakaan tilitä löytyviä dollareita. Älykäs murtokoodi tyhjensi suojauksista piittaamatta heti kättelyssä uhrin PayPal-maksupalvelun tililtä tuhat dollaria. Koodi tosiasiassa toimii syvällä mobiilikäyttöjärjestelmässä.

Omalla näppäryydellään tunkeutuja pääsee käyttämään Androidin esteettömyystoimintoja, ja ottaa käyttöjärjestelmän sisäisen statistiikan käyttöön. Tämä on selvä bugi. Käyttäjälle välittyy oudohko pyyntö, joka helposti hyväksytään. Statistiikan haltuunoton avulla tosiasiassa murretaan 2FA.

Botin kehote avaa PayPal-sovelluksen. Kun käyttäjä taas kirjautuu PayPaliin sisään, botti tallentaa haltuunsa ottaman statistiikan kautta salasanan ja tämän jälkeen on vuorossa kaksivaiheisen tunnistuksen koodi, jonka käyttäjä saa tekstarina. Tili tyhjennetään tuhannen dollarin kertaerissä. Lähteiden kuten muun muassa 9to5Google mukaan koko operaatio tapahtuu alle viidessä sekunnissa.

Sama peli jatkuu heti, kun PayPal avataan uudestaan niin kauan, kun tilillä on mitä ottaa. Mahdollisesti vielä senkin jälkeen jos tiliin linkitetty luotollinen maksukortti, varoittavat koodia tutkineet lähteet.

Sovelluskaupoissa jopa Googlen virallisessa Play-kaupassa on tarjolla vaarallisia ohjelmia, joista on puhuttu jo aiemmin. Tosin mitään tällaista ei taas kerran osattu edes kuvitella. Haavoittuvuus kaksivaiheisessa tunnistuksessa on paha bugi. Se kertoo vastapelurin valmiuksista mitätöidä kaikki turvaratkaisut ja kulkea ikään kuin askeleen edellä.

Toisaalta tietoturva-asiantuntijat, vieläpä suomalaiset ovat nostaneet esille 2FA:n useita puutteita. Mutta asiantuntijoiden ääni on kaikunut puolikuuroille korville.

Onko meillä softa- ja laitevalmistajilla varaa noin falskiin tietoturvaan? Botti tulee härpäkkeen (oli se sitten taskulamppu tai akunsäästäjä) mukana ja ottaa käyttöjärjestelmän ydinosasia haltuunsa tehden pian mitä mielikuvituksellisimpia kyberrikoksia. Vieläkään kaikilla kännykkävalmistajilla ei ole edes oma tietoturvaosastoa. Pitkälle automatisoitujen kulkupelien valmistajista taas vain muutama suuri on varustautunut kunnolla tietoturva-asioissa.

Olisi aika satsata.

Nyt on nähty sekin, että normaalina mobiilihärpäkkeenä markkinoille tuotu hyötysovellus, esimerkiksi peli, lamppu tai kielenkääntäjä, kaikessa hiljaisuudessa saastuttaa itse itsensä. Se aloittaa uuden elämän orjana, joka hyödyntää esimerkiksi jotain data-analytiikkajärjestelmää tai tykittää mainoksia hakupyynnöillä.

Keinoja varastaa dataa keksitään koko ajan lisää. Data kertoo meistä kulutustottumuksistamme ja aatteistamme, ja analysoitavana datamassana olemme kauppatavaraa. Koska tietoisuus datan kahminnasta ja kilkkausfilungista lisääntyy, toimijat vetävät jo sordiinoa päälle.

Vajaat 25 sovellusta siivottiin Googlen Play-kaupasta. Päällisin puolin nämä koodit vaikuttuvat täysin rehellisiltä sovelluksilta, mutta se, että Play-kaupassa vuoden päivät jaossa olleista sovelluksista tehtiin zombeja etäohjauksella, on aivan uutta.

Sophos, yksi markkinoiden johtavista yhteen sovitettujen virustorjuntaratkaisujen toimittajista, mainitsee Techlapsen dokumentoinnissa, että kolme vanhinta poistetuista sovelluksista oli alkujaan hyvämaineisia ja hyödyllisiä. Mutta ei ole ilmaista lounasta. Kyseiset sovellukset päivitettiin haitallisiksi viime kesänä. Yksi näistä haitallisiksi muuntuneista sovelluksista oli led-taskulamppu Sparkle, jota ehdittiin ladata ainakin miljoona kertaa. Sparkle FlashLight näkyi suosituslistoilla, ja se keikkuu edelleen jaossa monilla sivustoilla, esimerkiksi palvelussa Appsapk.com.

Zombit eivät esittäneet mainoksia käyttäjälle, ne tosin väärensivät verkkosivuilla tapahtuvia mainosklikkauksia, mutta piilotettujen ominaisuuksiensa vuoksi sovellukset alkoivat kuormittaa kohtuuttomasti datayhteyttä. Paholaiset söivät rukkaskädellä puhelimen akkutehoa. Kuormitus lyhentää akkukestoa pysyvästi. Rootkitien ja troijalaisten tavoin nämä entiset hyötyohjelmat pystyivät myös lataamaan puhelimeen lisää tiedostoja omin lupineen.

Mainostajille valeklikkauksilla rahastus tuli kalliiksi, kun hyöty jäi saamatta. Uhka ei liene ohi, vaikka Google on ottanut sovellukset pois Playsta. Omiaan puuhailevia sovelluksia toimii yhä mobiililaitteissa, ja sitä taas ei tiedä kukaan, kuinka moni jaossa olevista aktivoituu kyberrikollisten orjaksi.

Yli kaksi miljoonaa kertaa ladattujen sovellusten ryhmä toistaiseksi näyttää tältä:

Sparkle FlashLight

Snake Attack

Math Solver

ShapeSorter

Tak A Trip

Magnifeye

Join Up

Zombie Killer

Space Rocket

Neon Pong

Just Flashlight

Table Soccer

Cliff Diver

Box Stack

Jelly Slice

AK Blackjack

Color Tiles

Animal Match

Roulette Mania

HexaFall

HexaBlocks

PairZap

Välttäkää kyseisiä sovelluksia.

Jo on aikoihin eletty. The Guardian kertoo älykkäästä kybermurtotyökalusta, joka simuloi keinotekoisia neuroverkkosormenjälkimalleja biometristen tunnistusjärjestelmien avaamiseen. Huh. Ainut onni tässä on, että tuo työkalu ei oikeasti ole rikollisten käsissä.

Kun New Yorkin yliopiston tutkijat hiljakkoin esittelivät mallinnusta tietoturvakonferenssissa Los Angelesissa, läsnäolijat saattoivat vain todistaa, että sormenjäljen voi väärentää. Sormenjälkeä on viime vuosisadan alusta pidetty väärentämättömänä tunnisteena, ja IT-maailmassa sitä on siksi suosittu myös kaksoistunnisteena, jolla sisäänkirjautumista varmennetaan.   

Lukulaitteissa New Yorkin yliopiston tekemät sormenjälkiväärennökset pystyivät jäljittelemään yli viidesosaa sormenjäljistä. Vastaava virhemarginaali taas saisi olla korkeintaan yksi tuhannesta. Suurin osa sormenjälkilukijoista tunnistaa sormesta vain sitä koskettavan osan, siis vain osan sormenpäästä. Kybermurtoon taas riittää, että löytyy yhtä tallennettua sormenjäljen osaa vastaava kopio.

Sormenjälkilukijoiden puutteita luonnehditaan järkyttäviksi. Osa ihmisten sormenjäljissä esiintyvistä muodoista ovat yleisempiä kuin toiset – neuroverkkobotti pystyy simuloimaan miljoona kuviointia sekunnissa.

Geneeristen sormenjälkien kirjasto generoi sopivat mallit yleisimpiin eri skannereihin.

Tutkijat arvioivat, että tiedeyhteisön on parempi itse koeponnistaa sormenjälkiskannereiden tunnistuksen haavoittuvuus kuin jättää se rikollisille.

Tutkijat ovat puolustaneet etiikaltaan kyseenalaista hanketta sillä, että kyberrikollisille tehdyssä takavarikossa olisi löydetty aihepiiriä sivuavaa materiaalia. Pyrkimys murtaa biotunniste siis eli jo jossain nettirikollisten piireissä? Miksei.

Oikeasti tämä lisää tietoturvaa, kun tiedetään valmiiksi, mitkä biotunnisteista eivät ole riittävän vahvoja. Näet murtomenetelmä itsessään perustuu niin kutsuttuun sanakirjahyökkäykseen, tuttuun salasanojen generointiin suurella teholla. Eikä miljoona kertaa sekunnissa ole enää huomattavan paljon koklausta.

Organisoitujen (lue: valtiollisten) tietomurtajien on joissakin lähteissä arvioitu pääsevän jopa tuhannen miljardin arvauksen sekuntivauhtiin.

Viesti tiedeyhteisöltä on selvä: enää kaksoistunnistuskaan ei takaa käyttäjän luotettavaa identifiointia kaikkein kriittisimmissä kohteissa.  

Kolmoistunnistus onkin jo käytössä. On vain ajankysymys, kun silmän iiristä simuloidaan neuroniverkoilla ja avataan tämäkin erittäin luotettava tunniste. Biotunnisteiden tienpäässä saattaa olla jopa sukusolujen käyttö tunnistautumisessa.

Paras olisi keksiä piankin uusia ja samalla kertaa helppoja ratkaisuja tunnistukseen. Siinä riittää työsarkaa, mutta siis kekseliäisyys, se on myös laillisen puolen toimijoiden etuoikeus. New Yorkin yliopiston tutkijat näyttävät mallia.

Hybridisodankäynti on valtiollista tai ei-valtiollista toimintaa, jossa käytetään useita sodankäynnin muotoja, kuten tavanomaista asevoimaa, epätavanomaista taktiikkaa ja rikollista toimintaa. Sotataidollisteoreettisesti kyse on indirectin eli epäsuoran ja suoran (direct) hyökkäyksen sotataidollisen lähtökohdan sulauttamisesta toisiinsa.

Mieleni tekee sanoa kansanarmeijasta, että puolenvuoden kestoinen, puolivillainen sotataitojen opetus tehtävään sopimattomalle henkilölle ei anna minkäänlaisia hybriditaisteluvalmiuksia. Mitä siis tapahtui?

Keskusrikospoliisi on saanut selvitettyä vuonna 2018 loppukesästä ja alkusyksystä julkishallintoon, muun muassa Suomi.fi-palveluun, kohdistuneiden ankarien kyberiskujen taustan. Hybridiklassikossa eli palvelunestohyökkäyksessä kohteena olevaa järjestelmää kuormitetaan vastauspyynnöillä niin voimakkaasti, että se tukehtuu vastauspyyntöihin. Serveri lakkaa vastaamasta, kaatuu ja nousee ohjelmoidusti uudelleen toimintaan.

Suomi koki syksyllä 2018 historiansa pahimman palveluneston, jonka rikoksen ei oletettu edes ratkeavan, mutta toisin kävi. Bottihyökkäykset tehdään kaapatuista koneista muodostettujen zombiverkkojen suojista ja ammattilaisen kiinnijääminen on harvinaista. Usein kyberhäirinnän paljastuminen tapahtuukin, jos on tapahtuakseen, vain muun kotietsinnän yhteydessä. Poliisi korjaa viherpeukalon sadon.

Laajan palvelunesto-operaation oletettu tekijä oli yksinäinen susi, 1990-luvun alussa syntynyt suomalaismies. Muun muassa useista törkeistä tietojärjestelmähäiriköinneistä nostettu rikosjuttu on nyt kuitenkin rauennut, sillä poliisin mukaan epäilty syyllinen on päättänyt päivänsä.

Viranomaispalvelut aallon lailla kaatanut hyökkäys oli poikkeuksellinen, jopa siinä määrin, että teoista ehdittiin epäillä suurvaltoja (hybridisodankäynnistä puhuminen tarkoittaa sitä). Mielikuvituksemme laukkaa helposti kuin b-luokan toimintajännäreiden siivittämänä. Tekijä oli kuitenkin vain yksi onneton ihminen, joka osoitti mieltään masinoimalla massiivisen häirintäoperaation suomalaiseen maisemaan. Mihinkä sitten todelliset kybersotakoneet pystyisivät?

Ne pystyisivät pahempaan, paljon pahempaan kuin yksinäinen susi. Kantaverkkoyhtiö Fingrid on jo pitkään varautunut pahimpaan. Jyväskylässä kyberlaboratorio Jyvsectecissä on järjestetty useamman vuorokauden mittaisia, todellisia hyökkäystilanteita rekonstruoivia harjoituksia. Ne ovat jo perinne, koska kansallinen kyberturvallisuus varmistetaan aidoilla harjoituksilla. Harjoituksissa on jopa luotu tilanne, jossa myyrä vuotaa dataa verkkoyhtiön sisältä. Tähän harjoitukseen osallistui myös ulkopuolisia tahoja kuten muun muassa poliisi. Dokumentoinnin mukaan äärimmäisen tilanteen simuloinnista oli runsaasti hyötyä koko kybervalmiustyöryhmälle, jonka kantaverkkoyhtiö on perustanut.

Esiin tulleiden seikkojen valossa syksyinen laajalti hämmentänyt palvelunesto käy sekin valmisharjoituksesta, jossa puolestaan poliisi osoitti kykynsä jäljittää epäilty kyberiskun tekijä. Tapahtui jäljitys sitten tavalla tai toisella.

Käyttöoikeuspyynnöt ovat vitsaus, joka nousee uutisiin tämän tästä, kun bonuskortti, taksisovellus tai mikähän härpäke milloinkin kysyy lupaa käyttöoikeuksilleen. Tätä toimintoa on voinut hallinnoida ja torpata manuaalisesti Androidin 6 -käyttäjäversion sisältävistä puhelimista alkaen.

Tunkeutumisessa sovellus esittää käyttäjälle pyynnön käytön aikana esimerkiksi kameraan pääsystä. Luvan voi myöntää tai siis useimmin evätä. Torppaus johtaa varmuudella vähintäänkin sovelluksen vajaaseen toimintaan, mutta tietoturvan kannalta se on usein ainut oikea ratkaisu.  Jo siksi että itse pääsee päättämään käyttöoikeuksista, puhelimen vaihto uudempaan olisi oiva suositus.