Tietoturva

Kyberrikolliset voivat olla todella ovelia – he osaavat tyhjentää pankkitilejä, varastaa henkilöllisyyksiä ja vahingoittaa yrityksiä lukuisilla tavoilla. Nämä verkon kautta tulevat hyökkäykset vaikuttavat sairaan kekseliäitä, mutta onneksi kekseliäisyyttä löytyy myös rikosten torjujilta.

VPN -ratkaisut varmistavat yksityisyyden verkossa. VPN (Virtual Private Network, suomeksi virtuaalinen erillisverkko) -suojaustekniikka luotiin alun perin mahdollistamaan etätyöntekijöiden turvallinen pääsy työpaikkojensa verkkoihin. Vaikka VPN:ää käytetään edelleen myös tässä tarkoituksessa, tarkoitetaan termillä nykyään pääosin kaupallisia VPN-palveluja, joiden serverien kautta asiakkaat voivat yhdistää laitteensa internetiin yksityisesti.

Normaalisti yhdistettäessä tietokonetta internetiin yhdistyy se ensin internetpalvelun tarjoajaan, joka yhdistää laitteen käyttäjän haluamille verkkosivuille. Avoin verkkoliikenne kulkee ISP:n kautta, mikä periaatteessa antaa ISP:lle mahdollisuuden tarkkailla verkkokäyttäytymistä.

Yksinkertaistaen kuvattuna VPN-ohjelmisto salaa sekä purkaa datapaketteja ja lähettää ne suojatun yhteyden läpi. VPN-käytävässä kaikki laitteen ja serverin välillä kulkeva data on salattua ja piilossa kolmansilta osapuolilta.

Tällöin on myös vaikeampi kalastella tietoa siitä, millä verkkosivuilla käyttäjä liikkuu. Surffaushistoria jää itselle, koska kaikki verkkoliikenne kulkee VPN-serverin kautta. Palveluissa voidaan ainoastaan nähdä, että käyttäjät ovat yhdistettyinä internetiin VPN:n kautta.

Tämän teknologian käytössä on kyse yksityisyydensuojasta sekä tietosuojasta eli vanhalta nimeltään kirjesalaisuudesta, joka on lakiin perustuva kansalaisoikeus. Netissä kirjeestä puuttuu nyt lähettäjätieto ja leimasta näkyy vain postitoimipaikka.

VPN-ratkaisut eivät enää ole vaivalloisia käyttää. Tarjolla on jopa maksuttomia ratkaisuita, joiden kohdalla kuitenkin herää vahva epäilys. Mikä on palvelun ansaintamalli, jos palvelu ei maksa käyttäjälle mitään? Osa maksuttomien VPN-palvelujen tarjoajista on jäänyt kiinni data-analytiikasta, siis käyttäjätietojen myynnistä kolmansille osapuolille.

Artikkeli julkaistu ensimmäisen kerran 5.6.2017. Päivitetty 30.3.2020.

Uusi WIBattack (WIB = Wireless Internet Browser) -haavoittuvuus perustuu selaintekniikkaan mutta nyt modernilla SIM-kortilla, jossa toimii oma WIB-työkaluohjelmisto. Hyökkäysmallissa haittakoodia sisältävä tekstiviesti puhelimessa operoi suoraan SIM-kortilta käsin, ja lähettää viestejä, välittää hyökkääjälle puhelimen sijaintitietoja sekä ottaa puhelinyhteyksiä. Lisäksi haitake ohjaa ja määrittää selaintoimintoja: SIM:ltä käsin koodi esimerkiksi ohjaa käyttäjän tietylle verkkosivustolle. Maineikas Ginno Security Lab on arvioinut, että WIB-alustan kautta hyökkääjä voi tuottaa puhelimen näytölle tekstiä ja ohjeita. Kuulostaa pahalta.

“Lähes scifiltä kuulostava toiminto”

Simjacker-nimen saanut koodi oli lajissaan ensimmäinen, uudenlainen. Se toimii näkymättömillä tekstiviesteillä SIM-kortteihin upotettujen, dynaamisten SIM-selaintyökalusarjojen avulla. Tämä jo lähes scifiltä kuulostava toiminto on mahdollinen, mutta sitä ei vielä ole tavattu Suomessa. On kuitenkin hyvä tietää, että tämä tietoturva-aukko mahdollisti puhelimen kaappaamisen käyttäjälle. WIBAttack edustaa samaa tekniikkaa kuin Simjacker, ja ikään kuin jatkaa siitä, mihin edeltäjä jäi. Koska haittakoodi on SIM-korttipohjainen, se on myös riippumaton käyttöjärjestelmistä ja selaimista: SIM-korttiin tallennettuja valikkoja voidaan hallita ja päivittää OTA-komentojen avulla millä puhelimilla tai älylaitteilla tahansa.

Over the air (OTA)

Hyökkäys alkaa hyökkääjän matkapuhelimen tekstiviestillä; hyökkääjät lähettävät uhrin puhelinnumeroon haitalliset OTA-tekstiviestit, jotka sisältävät WIB-komennot. Mahdollisuus OTA-komentojen konfigurointiin taas tarkoittaa, että haavoittuvuuden piiriin tulevat myös radiolinkkitekniikat Sigfox, LoRa ja kenties myös NB-IoT.  

SRLabs rauhoittelee pelkoja, SIM-korteista vain 11 prosentilla WIB-työkalupakki olisi vaarallisesti auki. Näistä taas alle puolet on Simjacker- ja WIBattack- tyyppisen haittakoodien potentiaalisia saaliita. Haittakoodit löytävät kohteeseensa puhelimelle mm. somepalvelujen kautta. Sosiaalisen median nuorisoa kosiskelevassa mobiilinettipalvelu TikTokissa on paljastunut vakava vuoto, joka todennäköisesti käytti hyväkseen myös WIB-arsenaalia. 

Nuorten suosimia sovelluksia

Tunkeutujat ovat voineet lähettää nuorille käyttäjille huijaustekstiviestejä, joissa tavatun linkin kautta on saatu käyttöoikeudet. TikTok, Kiinassa myös nimellä Douyin, on lyhyiden videoiden jakamiseen tarkoitettu mobiilisovellus. TikTokin on julkaissut ja sitä kehittää kiinalainen ByteDance. Sovelluksen suosio alkoi kasvaa maailmalla merkittävästi vuonna 2018 – ja pian myös Suomessa.

Näin kyberrikolliset ovat päässeet tutkimaan käyttäjätilien sisältöjä ja poimimaan niille tallennettuja, myös erittäin henkilökohtaisia tietoja ja videoita, tietoturvayhtiön Check Point tiedottaa. TikTok-tilin pääkäyttäjäoikeudet haltuunsa saanut hyökkääjä pystyy poistamaan videoita tai lataamaan luvattomia videoita. 

Hyökkääjä, joka operoi WIB:n kautta pääsee halunsa mukaan käsiksi yksityisiin ja piilotettuihin videoihin. Sosiaalisen median sovellukset eivät silti ole erityisen alttiita haavoittuvuuksille. Ne sisältävät paljon yksityisiä tietoja, ja ovat siksi nyt suosittuja kohteita hyökkääjille. Rikolliset ovat melkoisia neropatteja, ja valmiita satsaamaan siihen, että suosituista sovelluksista löytyy heidän käyttöönsä sopivia turva-aukkoja.

Tietosuojavaltuutettu Reijo Aarnion mukaan jatkossa käyttäjien tulisi seurata, miten TikTokin ja sen kaltaisten sovellusten turvallisuutta arvioidaan julkisessa keskustelussa. Oikein.

KUVALÄHDE: ZDNet.com

Tietoturva-asiantuntijat ovat äimän käkenä. Uusi sukupolvi älytoimintoja suorittavia algoritmeja leviää internetissä. Algoritmi, joka on kehitetty toimimaan älykkäässä ohjausympäristössä, on kirjoitettu variantiksi; palvelemaan haitallisia ja jopa rikollisia päämääriä.

Nettiympäristössä leviää itseään muuntelevia tiedon kalastajia. Helsingin yliopistossa on mennyt lujaa: yli 300 yliopistoihmistä antoi tunnuksensa kyberrikollisille. Kaikille 70 000 käyttäjälle lähti viesti, ettei kenenkään tulisi antaa tunnuksiaan ja salasanojaan ulkopuolisten käyttöön.

Aidon sovelluksen kuosia käyttävä rikollinen feikki-ilmoitus vain on vaikea tapaus: se on esimerkiksi pyytänyt klikkaamaan linkkiä salasanan vaihtamista varten. Yliopistoja riivaa Etelä-Afrikasta käsin operoitu urkintabusiness. Yhdessä variantissa kalastelun avulla kaapattujen, silmämääräisesti tärkeiden, sähköpostitilien palauttamisesta on vaadittu lunnaita.

Käyttäjätunnustunnuksia ei koskaan pidä, ei koskaan, kiireessä syöttää aidolta näyttävään kirjautumisikkunaan. Huijaus toimii, jos aitoa ja väärennettyä nettisivua ei kohtuullisella vaivalla erota toisestaan. Kalastelussa käytetään esimerkiksi Office 365 –kirjautumisikkunaa, jota ei voi ilman erittäin perusteellista tarkastelua erottaa aidosta. Huijaus on aiemmin paljastunut sen käyttämästä URL-rivistä. nyt sekään ei välttämättä toimi, kun URL väärennetään pilvessä. Nyrkkisääntö: jos syntyy epäilys – ikkuna pannaan syrjään odottamaan niin kauaksi aikaa, että tietoa siitä on löytynyt.

Myös Android kamppailee

Myös Android-mobiilikäyttöjärjestelmä kamppailee jatkuvasti paljastuvien uusien haavoittuvuuksien kanssa. Ne ovat riskitasoltaan korkeita, vakavia aukkoja kännykän käyttöjärjestelmän kernelissä ja viimeksi os:n Linux-pohjaisessa moniajojärjestelmässä. Käyttöjärjestelmän ennennäkemätön monimutkaisuus mahdollistaa aukkoja, joita asiantunteva kyberrikollinen valjastaa omiin tarkoituksiinsa. (Haluaisin haastatella tällaista henkilöä – päästä hänen päänsä sisään)

Viimeksi löydetty turva-aukko, kertovat tietoturvayhtiöt, hyödyntää haavoittuvuutta juuri Androidin moniajojärjestelmässä. Tämä taas mahdollistaa pirullisen luotettujen sovellusten matkimisen.

”Emme me vain yksinkertaisesti ole nähneet tällaista käyttäytymistä koskaan ennen”, kommentoi norjalainen tietoturvayhtiö Promon. Yhtiö varoittaa Ars Technican sekä BBC:n artikkeleissa, että käyttäjä luulee aukaisevansa tutun sovelluksen, mutta feikkihaitake ottaa vallan: puhelimessa aukeaa koodi, joka postaa kirjautumistiedot tuntemattomaan osoitteeseen. Promonin mukaan käyttöjärjestelmät sukupolvi kerrallaan muuttuvat yhä monimutkaisemmiksi, niiden kaikista mikrokooditoiminnoista ja vuorovaikutussuhteita ei kukaan pysy perillä.

Selainasiaa:

Virustutka Avastin neljä selainlaajennuksina toimivaa osaa Avast Online Security, Avast SafePrice, AVG Online Security sekä AVG SafePrice ovat liian kiinnostuneita käyttäjän selaushistoriadatasta, ylipäätään käyttäjän tekemisistä. Selainlaajennukset on leimattu vakoiluohjelmiksi. Mozilla Firefox heitti osat ulos. Jo v. 2015 Avast! Free Antivirus -tutka keräsi runsaasti käyttäjien haku- ym. dataa ohjelmiston valmistajalle.

Selkeän strategisen konseptin puuttuminen yrityksen tietohallinnossa johtaa helposti sen JTO-tilaan (JTO= jonkun toisen ongelma). Tämä tapahtuu isoissa yrityksissä, jossa vastuusuhteet ovat hämäriä syystä tai toisesta. Pienissä yrityksissä taas saattaa puuttua tietokanta-arkkitehtuuriosaamista. Usein puuttuu näkemys tietokannan uusista rakennevaatimuksista, kun käytämme tiedostojakoon pilveä.

Ongelma 2. Koulutus ei ole ajan tasalla: esimerkiksi salaukseltaan 128 bittiset radiolinkkitekniikat ovat vielä joku kumma, tuntematon, tekninen maasto. Hakusana LoRa ei anna hittejä maineikkaan opinahjon sisältösivuilla.

Hiljattain tehtiin historiaa

Eri syistä, tai useiden tekijöiden yhteysvaikutuksesta, sattuu vahinkoja, joiden pistäisi olla jo historiaa. Historiaa tehtiin hiljattain. Jättimäisen tietokannan käyttäjätietoihin oli pääsy ilman salasanaa ohjelmistoyhtiö Adobe:lla. Tämä jo vuonna 2013 lanseerattu pilvipalvelu korvasi ohjelmistojen kertaostokset. Tapaus kuitenkin on vain yksi esimerkki falskista ajattelusta ja järjestelmäarkkitehtuurista, jossa kaksoisauditointia/tuplatunnistusta ei käytetä. Mahdollisesti jopa viikon päivät voroille auki ollut tietokanta sisälsi muun muassa sähköpostiosoitteet, tilin luontipäivät, käytetyt Adobe-tuotteet, käyttäjien kotimaan, edellisen kirjautumisajan, mutta myös maksutilanteen.

Adobe Creative Cloud on tilauspohjainen palvelu. Sen kautta käyttäjät pääsevät käsiksi useaan Adoben tuotteeseen, kuten Photoshop, Lightroom tai Illustrator. Kaiken kaikkiaan Adoben murrossa vaarantui noin 150 miljoonan käyttäjän tietoja: Adobe ID -tunnus sekä sähköpostiosoite. 130 miljoonalta tietueriviltä löytyy enemmän: salasanatiiviste, josta voinee muodostaa alkuperäisen, selväkielisen salasanan. Tietoturvaviranomainen Cert-fi on löytänyt satoja suomalaisia sähköpostiosoitteita Adobelta viedystä ryöstösaaliista. Se on netissä. Murto käsittää satoja tuhansia suomalaisia käyttäjiä. Adoben kärsimä mittava tietovarkaus vaarantaa yhä satoja tuhansia suomalaistunnuksia.

Adoben mukaan aktiivisten käyttäjätunnusten osuus käyttäjätiedoista on noin 38 miljoonaa.

Anonnews.org -sivustolle ladattu tiedosto käsittää 220 000 suomalaista .fi -loppuista sähköpostiosoitetta. Saalis käsittää suomalaisia osoitteita esimerkiksi Hotmailista, Gmailista ja Luukku.com:sta. Pelkästään luukku.com-sähköpostiosoitteita pilvivuodosta löytyy tiedostosta noin 35 000 kappaletta, Cert-fi laskee.

Tiettävästi pilven malli ja käyttötarkoitus huomioiden, mukana on ollut myös kriittisiä maksutietoja. Aina kuitenkin mahdollista kalastaa tarkempia maksulisätietoja. Sitä varten löytyy algoritmeja. Tekoäly pystyy huikeisiin yhdistelyihin. Adobe sulki pääsyn tietokantaan pian sen jälkeen, kun se sai ongelmasta vinkin. Viikon kuluttua. Missä hierarkiassa hälytystieto kulkee näin kauan?

Pilvitietokannat ammattilaisten asiaksi

Imurointi kuitenkin loppui aikanaan. Netin alamaailma on innostunut tietokannoista. Suomessa ylilauta on pistänyt jakeluun Itä-Suomen yliopistosta varastettuja käyttäjätietuieta.

Paljon pahemman vahingon Adobe kärsi niin ikään vuonna 2013, jolloin yhtiöltä varastettiin ainakin 38 miljoonan asiakkaan tietoja, mukana myös salattuja luottokorttinumeroita. Merkittävä lehdistötiedotteiden jakelija PR Newswire kärsi tietomurroista viime keväänä. Brian Krebs arvioi, että varkaat saivat vietyä PR Newswiren Emea-alueen, Eurooppa, Lähi-itä ja Afrikka, asiakkaiden käyttäjänimiä ja salattuja salasanoja, joiden avulla lehdistötietoja voi ladata palvelun jakeluun. Pilvitietokannat tulisivat ainakin pk-yrityksissä, miksei suuremmissakin, jättää ammattilaisten asiaksi, ja ostaa palvelu luottavalta lähialueen palvelinyritykseltä.

5G-radiolinkkiverkko, sanottiin siitä mitä tahansa, tuo se kuitenkin lisää kaivattua kaistaa ja bittinopeutta. Vasteajan lyheneminen taas mahdollistaa uudenlaisia älykkäitä interaktiivisia palveluja. Älykäs sähköverkko tai etäautomaatio tarvitsevat pienen viipeen luotettavia yhteyksiä. Vasteajan lyheneminen 5G:ssä tulee tarpeeseen.

Liikennevolyymi voi buustata hyökkäystä nettiin liitettyä kohdetta vastaan. Oleellista huolenaihetta 5G tarjoaa, jos ja kun sitä käytetään teollisuuden, älykaupunkien, liikenteen tai muussa elinkeinoelämän tarpeissa. Se voisi toimia digihaavoittuvuuden sisäänkäyntinä. Tällaista puhutaan. Kyberrikollisuudessa yhdistyvät perinteisen materiaalisen maailman varkaudet, tuhoteot, kiristys ja niin edelleen.

Erikoisverkot pitää kuitenkin jonkin palomuurin tai yhdyskäytävän kautta liittää Internetiin, muistuttaa Tekniikan Maailmassa, Aalto yliopiston tietoliikenne- ja tietoverkot -tiedekunnan professori, Raimo Kantola. Hän pitää ongelmana sitä, että verkkoliitäntää vastaan voi hyökätä vaikkapa kuluttajalaitteita hyödyntämällä.

Voiko, ja jos voi, millä ehdoilla?

Tämä, vaikkakin nyt professorilta, on jokseenkin yleinen näkemys erikoisverkoista, ja niiden tietoturvasta. Ensimmäisen sukupolven IoT oli turvaton, myönnetään, IP auki verkossa, sen kun vain korkkaa. Anturin kotimaana näkyy usein Kiina, ja laitteen hinta muutama euroa.

Sitten tuli LoRa ja sen LoRaWan –ympäristön 128-bittinen yksilöllinen salausvain. Kaiken piti ratketa. LoRa-anturin ohjemyyntihinta saattaa olla jotakuinkin 20-kertainen verrattuna vanhaan IoT-rihkamaan. Mutta kuinka ollakaan laitteen salausavaimen numerosarja (network session key) on painettu lapulle pahvisen anturipaketin kylkeen. Tietoturvan kannalta arveluttavaa.

LoRaWan-verkoissa voidaan jo nyt havaita liikettä, joka viittaa idioottivarmana pidetyn salauksen haavoittuvuuteen. Jostakin radiolinkkiverkkoon päästään tekemään network session key –kyselyjä. Ikään kuin ne toimisivat bottien kautta tietokantaan listattuina. 128-bittisestä kryptauksesta huolimatta LoRa-mittalaiteanturiin on mahdollista ottaa yhteyttä.

Jyväskylän yliopiston IoTsta liiketoimintaa –projektissa LoRaWan-verkkoon oli koodattuna laskuritunnistin, yksinkertainen counter, joka blokkasi toistuvat numerosarjakyselyt. Siihen, että anturin salausavain ei olekaan kovin salainen, hankekoordinaattori hymähtää. Tämän mukaan se on lähinnä kulttuurillinen erikoisuus – kun ostetaan tavaraa Kiinasta.

Kiinasta antureita ostetaan niiden halvan hinnan takia, mutta jos ne vuotavat dataa, mitä hyötyä niistä on – Lisää liikennemääriä maantiellä? Mitä sillä datalla kukaan tekee?

NB-Iot on samaa sukua kuin LoRa, 28-bittinen 5G-valmius, mutta sitä kalliimpi ja professionaalisempi. Sen käynnistyminen kuitenkin on takellellut pahemman kerran. Standardien uusiuduttua yksi toisensa jälkeen Narrowband-anturit vanhenivat pari kertaa varastoihin ennen kuin ne ehtivät markkinoille. Pietarsaarelainen Herrfors yhä käynnistelee NB-IoT -älysähkömittariaprojektiaan, josta se tiedotti jo vuosi pari sitten.

Joillekin, kuten minulle, tietoturvassa kyse on periaatteesta. Teknisesti ylivertainen Huawei-luurini on täynnä mielenkiintoisia asetuksia. Eräässä – suorastaan hellyttävässä – laite kysyy lupaa lähettää kaikki data kiinalaiseen pilveen, turvaan. Turvaan, keneltä?

Nykyisin toimintaelokuvissa on vakiokamaa nörtti, joka murtaa hetkessä minkä tahansa masinan. Ikävä sanoa, mutta tämä ei ole kovin kaukana todellisuudesta. Kodin langattomat modeemit on helppo kaapata, mutta tiesimmekö, että yritykset eivät ole paljon sen suuremmassa turvassa.

Simjacker-haavoittuvuus

Seuraan keskustelua vaarallisesta mobiilihaavoittuvuudesta: Simjacker-niminen haavoittuvuus muhii Applen, Googlen, Huawein, Motorolan ja Samsungin Simalliance Toolbox Browser –ohjelmistoissa. Toimintapaikassaan Simalliance Toolbox Browseria tosin ei enää juurikaan hyödynnetä. Esimerkiksi määrityksiä Toolboxissa ei ole päivitetty sitten vuoden 2009. Tästä huolimatta ominaisuus on käytössä jopa moderneissa virtuaalisissa e-SIM –korteissa – paitsi SIM-korteilla – se pelittää laajasti IoT-laitteissa. Arstechnican mukaan kyse olisi takaporteista, jotka on tarkoitettu alun perin operaattoreiden käyttöön mutta sittemmin vaivihkaa jääneet unhoon, ja aina idearikkaiden kyberrikollisten hyödynnettäviksi. Mitään pahempaa en ole kuullut sitten Microsoftin katastrofaalisen Windows 98 –järjestelmän jälkeen.

Pahimmasta päästä ovat laitteiden perusteknologiassa olevat aukot, jotka päästävät pahantahtoiset koodit sisään laitteisiin niiden käyttöjärjestelmästä tai ohjelmistoista riippumatta. Kun sellainen löytyy kaikkien vuosien jälkeen puhelinten SIM-kortteihin liittyvästä teknologiasta, ei voi kuin kysyä, missä maailmassa me oikein elämme? Ihan reaalisessa kuitenkin. Päätelaitteista voidaan viedä tietoja jopa saastutetulla tekstiviestillä.  Haavoittuvuus mahdollistaa hyökkäykset kohdelaitteesta riippumatta – eikä käyttäjä itse voi tehdä mitään iskuja estääkseen. Korjaustoimet ovat mahdollisia mobiilioperaattoritasolla. Heitä taas näyttää kiinnostavan etupäässä muut asiat kuin käyttäjäturvallisuus, tietosuoja ja -turva.

Myös kotireitittimet ovat aiempaa tiedettyä turvattomampia, kertoo Independent Security Evaluators (ISE) -ryhmä.

ISEn SOHOpelessly Broken 2.0. –otsikoitu raportti on karua luettavaa. SIE = riippumattomat tietoturva-arvioijat, tarjoavat laajan valikoiman palveluita, kuten mukautetut tietoturva-arviot ja ohjelmistokehitys. ISE johtaa myös IoT Villagea. Tämä konklaavi taas isännöi asiantuntijoiden turvallisuustutkijoiden keskusteluja ja hakkerointikilpailuja.

Asiaan: riippumattomat tutkijat kertovat havainneensa lukuisia tekniikkaa hyödyntäviä hyökkäyksiä reititinympäristöissä. Tämän kategorian hyökkäyskohteita tapahtuu päivän aikana noin 300 maata kohti. Osaan numeroista hyökättiin jopa satoja kertoja viikon kestäneen valvontajakson aikana. Tutkijoiden mukaan hyökkäyksen takana on ”yhtiö, joka työskentelee eri valtioiden kanssa kehittääkseen kansalaisten valvontatyökaluja”.

Varoitukset menivät kuuroille korville

Independent Security Evaluators varoitti reitittimien tietoturvaongelmista jo kuusi vuotta sitten, kuuroille korville meni. Testissä olleista 13:sta yleisesti käytetystä eri valmistajien reitittimistä 12 onnistuttiin murtamaan etäyhteyden kautta. Puolet kaapattiin suoraan pääkäyttöoikeuksilla, ja kuudessa tapauksessa laitteet otettiin etäältä haltuun ilman minkäänlaista käyttäjätunnistusta. 13 laitteesta löytyi sellainen 125 erilaista haavoittuvuutta, jotka luultavasti koskettavat miljoonia käyttäjiä. Kyberhyökkääjä voi saada reititinverkossa väylän muiden laitteiden saastuttamiseen, mutta tietty myös tietojen vakoilemiseen, tietoliikenteen uudelleenohjaamiseen. Hyökkääjä voi myös sulkea verkon niin halutessaan, tai kiristää.

Vielä kuulen väistön: ei koskea meitä!

Keitä sitten? Pieni uutinen kertoo IoT- kiristäjän iskeneen dildoon, pysäyttäneen sen värinän, ja ilmoittaneen summan, jonka suorittamisen jälkeen ilonpito jatkuisi.

Viimeisten viiden-kuuden vuoden aikana kyberrikolliset ovat mitätöineet paljon: joukko klassisina pidettyjä turvallisen verkkosivuston tunnusmerkkejä, niitä, joita kuitenkin näkee vielä kulahtaneissa tietoturvaoppaissa, pannaan nyt roskiin. Toiminnan ohjaajina ne ovat vanhentuneet. Alallahan ei voi olla enää, jos koskaan ollutkaan raamattua, jota ei päivitetä jotenkin netissä, vaikkapa tämän blogin tapaan. Nyt vain on kyse enemmästä: yleisten it-oppien ja siinä sivussa toimivan tietoturvan perusta murenee.

Vanhat kirjat eivät tiedä mitään piirilevyjen komponenteissa toimivista mikrokoodeista, joihin isketään uusilla hyökkäysvälineillä. Tämä on rautavalmistajien oma riesa, joka on tuonut tietokonevalmistajat mukaan sotaan kyberkollisuutta vastaan. Heidän nettisivujaan on syytä pitää silmällä – ja olen ottanut repertuaariini nostot vakavista päivityksistä.

Rautavalmistajien on nyt pakko resursoida mikrokoodipaikkojen koodaukseen ja julkaisuun. Haavoittuvat prosessorit ja muut komponentit ovat uusi taloudellinen rasite tahoille, jotka luulivat olevansa kybertaistelunäyttämön katsomossa. Kuka tahansa voi haksahtaa.

Yksi uusista kujeista on osoiterivillä oleva lukkoikoni tai muuten vahvistettu turvallisena pidetty osoiterivi. Ei päde enää. Kun vuosikausia on kehotettu nimenomaan kiinnittämään huomiota varmoihin merkkeihin, hämmennys tyhjän päällä voi olla melkoinen.

Missä maailmassa me oikein elämme?

Maailmassa, jossa melkein kaiken opetetun perusta pettää? Näinpä voidaan sanoa.

Mitä tuumimme esimerkiksi Office.comin alle tehdystä tietojenkalastelusivusta, joka on naamioitu Onedrive-palvelun sisäänkirjautumisnäkymäksi ositetta myöten? Rikollinen esiintyy uskottavana Onedrive-sisäänkirjautumissivuna. Kalastelulomakkeisiin annetuilla tunnuksilla kirjaudutaan sisään automatisoidusti. Pahinta on, että tämä huijaus mahdollistaa myös kaksivaiheisen tunnistuksen ohittamisen. Tiedetään, että man-in-the middle-hyökkäys tunnuksen omistaja saa tekstiviestinä tai tunnistussovellukseensa ilmoituksen sisäänkirjautumisesta, ja vahvistaa kirjautumisen luullessaan sitä omakseen. Saatuaan esimerkiksi Office-tunnukset haltuunsa kyberkorikollisista viekkaimmat osaavat jäädä kyttäämään sähköpostikirjeenvaihtoa ja iskeä oikealla hetkellä.

Erilähteitä tietoa keräten muutoksen kourissa ovat nyt:

• käyttäjätunnistus, salasanahallinta
• tietoturvan ja riskienhallinnan periaatteet
• tietoturvan ja tietosuojan hallinta ja organisointi
• sähköpostin turvaaminen
• verkossa tunnistamisen ja maksamisen konseptit
• fyysiset ja laitteistoihin liittyvät tietoturvanäkökulmat
• IT-projektien riskikartoitukset
• sosiaalisen median hyödyt ja haitat

Siis säännöistä valtaosa ei enää päde. Mielellämme näkisimme tietotekniikan stabiilina (tai edes vähän stabiilimpana) maailmana. Siinä ei testattaisi muutospainekestävyyttä tavallisilla netinkäyttäjillä.

Kun jokainen suorittava ohjelma, selainsivu + muu härpäke tapetaan, sekä kaikki päivityksiä hakevat velhot kytketään lepoon, tietokoneen kuorman pitää silloin pudota lähelle nollaa. Jos näin taas ei käy, todennäköisesti laitteella tapahtuu louhintaa tai bottiverkko rullaa omiaan. Vaarallisia laitteilla lymyäviä rootkit-bottiverkkoja on vaikea tunnistaa.

IoT-bottiverkko viittaa paljon kehittyneempään hyökkäyskampanjaan

Bottiverkon avulla toimiva pornokiristysohjelma läpäisee virussuotimia, kertoo israelilainen tietoturvatoimija Check Point. Sen mukaan ilmainen tiedostojen skannausohjelma VirusTotal tunnistaa pornokiristysohjelmien alustana toimivia bottiverkkoja. Monet skannerit päivittyvät niin hitaasti, että kiristäjä on jo ehtinyt kalastaa saaliinsa ja lopettaa uhkavaatimusten lähettämisen ennen satimeen jäämistä. Pahinta on, että kyberrikollisen kirjoittama algoritmi rahastaa herkkiä ihmisiä. Tehdäkseen vaikutuksen kiristäjä esimerkiksi esittelee salasanoja, ja tai jakaa näytteitä anastamaan aineistosta sinne tänne. Iot-bottiverkoilla on isketty hyvinkin vartioituihin kohteisiin, kuten sairaaloiden tietojärjestelmiin.

Tutkijoiden nyt havaitsema IoT-bottiverkko viittaa kokonaan uuteen ja aikaisempaa paljon kehittyneempään hyökkäyskampanjaan, joka leviää maailmalla kuin kulovalkea.

Espanjalaisen Hispasec Sistemsin kehittämän VirusTotalin toimintaa on buustattu viime vuodet. Google osti vanhan yhteistyöpalvelunsa VirusTotalin syyskuussa 2012. Totalin avulla pystyy nyt hyvin tarkastamaan, sisältävätkö linkit ja tiedostot haittaohjelmia, mutta voi myös näyttää, kuinka eri virustorjuntaohjelmat tunnistavat haittaohjelman näytteen perusteella. https://www.virustotal.com/gui/home/url

Check Point käyttää VirusTotalin toiminnallisuutta haittakoodien jäljityksessä

CP:n arvion mukaan Microsoftin, AVG:n, Kasperskyn, Check Pointin itsensä sekä F-Securen virustorjuntaohjelmat haistavat bottiohjelmat päätelaitteilta. Phorpiex-bottinäytteet olivat haaste suurelle osalle testattuja skannereita. VirusTotalin avulla pystyy tarkastamaan, sisältävätkö linkit ja tiedostot haittaohjelmia. Palvelulla ei varsinaisesti ole omaa virustorjuntaa, vaan skanneri hankkii haittaohjelmatietonsa 44 muusta virustorjuntapalvelusta. Mac OS X käyttäjille suunnattu VirusTotal Uploader käyttää hyväksi yli 50:tä virustorjuntapalvelua.

Tietoturva tulee ottaa huomioon myös kodin älylaitteissa

-Kaikki älykkäät laitteet ovat mahdollisia hyökkäyskohteita, eivätkä järjestelmäkamerat muodosta poikkeusta sääntöön. Kamerat, joissa on USB-liitännän lisäksi myös WiFi-yhteys, ovat muita haavoittuvaisempia, koska niihin pääsee käsiksi myös suoraan langattomasta verkosta eikä pelkästään tietokoneen kautta. Kameraan voidaan tartuttaa esimerkiksi kiristyshaittaohjelma, jolloin sen sisältämät valokuvat päätyvät kiristyksen välineiksi, varottaa tietoturvatutkija Eyal Itkin Check Pointilta.

Testasin vähän, olisin päässyt Huawein älymasiinalla sisään naapurin LG-älytelevisioon. Ovet ovat auki, koska myyjät eivät osaa neuvoa edes tietoturvasäätöjen alkeita.

Check Point erittelee useita tapoja, joilla aineisto voi päätyä rikollisten käsiin. Yhtiö on löytänyt digitaalisten järjestelmäkameroiden käyttämästä kuviensiirtoprotokollasta (Picture Transfer Protocol, PTP) kriittisiä haavoittuvuuksia. Kriittiset haavoittuvuudet voivat johtaa esimerkiksi siihen, että kiristäjä vaatii lunnasrahaa kaappaamiensa kameran valokuvien vapauttamisesta.

CP:n pistokokeessa kiinni jäi Canon EOS 80D, joka tukee sekä USB-liitäntää että WiFi-verkkoja ja hyödyntää yhteyksissä PTP:tä, mutta tieturvayhtiö uskoo, että samanlaisia haavoittuvuuksia löytyy myös muiden valmistajien kameroista. Canon ja Check Point tekivät yhteistyötä korjatakseen ongelmat (Check Pointin tapa hankkia itselleen asiakkaita). Pian Canon julkaisi ohjelmistopäivityksen ohella myös tietoturvaan liittyvän tiedotteen kameroiden käyttäjille.

Tehkäämme näin:

Jotta emme vuoda henkilökohtaista dataa varmistamme, että kamerassa on valmistajan viimeisin ohjelmistoversio, jos ei lataamme uudet päivitykset välittömästi. Kameran WiFiä emme pidä päällä, kun se ei ole käytössä. Kameraa käytämme oman lähiverkon kautta, ilman että yhdistämme laitetta tai tietokonetta mihinkään julkiseen WiFi-verkkoon.

Perehdyn organisaatioon, josta löytyy kohtuullinen määrä erilaista pientä turvavajetta – huitaistun tietoturvasäädön aiheuttaessa yhden yleisen turvaongelman lisää. Turvallisuuden suunnittelussa tarvitaan prioriteettien määrittelyä ennen edes hienojen riskianalyysityökalujen käynnistämistä. Tietoturva on tärkeä osa turvallisuutta, mutta se ei ole osista tärkein. Kokonaisuudessa se on alisteinen laajalle turvallisuusperiaatteelle. Hengen ja terveyden turvaaminen on tietysti aina turvatoiminnan tärkein tehtävä.    

Yksin tietoturvaa ajatellen voidaan mennä metsään, esimerkiksi vetämällä suodattimet niin tiukalle, että myös tärkeät viestit, jotka eivät missään nimessä kuuluu roskapostiin – päinvastoin –  tulevat sokeasti filtteröidyksi. Filtteröinti saattaa kapeasta näkökulmasta näyttää toimivalta ratkaisulta  virustorjunnassa, mutta sosiaalisessa organisaatiossa moinen lyö korvalle hyvin tärkeitä yleisiä turvallisuusperiaatteita.

Ei voida ajatella palveluorganisaatiota, jossa sähköisesti toimitettuja dokumentteja jäisi tulematta perille, härskisti, yleisen turvallisuuden kustannuksella. Tällaista saattaa tapahtua postilaitoksessa, jossa on paljon muutakin mätää, mutta mikään kilpailukykyinen ja iskussa oleva toimija ei  sellaista voi sietää. Sähköposti on työväline, ja nöyrä renki. Asioiden sujuvoittaja. Jos roskapostin suodatuksen asetukset toimivat serverillä, niihin on vaikea päästä käsiksi.

Näin ei kuitenkaan aina ole: jos serveri on ketterä, ja vieläpä paikallinen.

IPv6

Organisaatioille suosittelen asiantuntevaa tietoteknisten palvelujen  kilpailuttamista useista syistä, joista käytännölliset kysymykset, kuten älykäs filtteröinti serverillä, sijoittuvat kärkeen. On syytä kilpailuttaa, koska on  osattava ennakoida tulevaa; mihin tarvitaan 128-bittistä laiteympäristöä  tukevat IPv6-osoiteavaruutta?

IPv6 tarvitaan radiolinkkitekniikkajärjestelmiin, jotka ovat älykkäitä laiteapplikaatioiden ohjaajia – ja miksi ne tulevat? Koska ne tuottavat hyötyä (lue: rahaa). Esimerkkinä NarrowBand ja LoRaWan-verkko.

IPv6-osoitteita käyttävien sisältöjen määrä netissä kasvaa. On jo syytä ajatella, että käytössä olevat laitteet ja palvelut ovat IPv6-yhteensopivia. IPv6-valmiudella varmistamme esteettömän pääsyn netin eri sisältöihin myös tulevaisuudessa. Se on yksi tärkeä seikka kilpailutuksessa nyt ja eritoten lähitulevaisuudessa.

Entä nyt olemassa olevan tekniikan toimivuus?

Se on ykkösprioriteetti.

Roskapostifiltterit pystyy toki päätelaitteellaan konffaamaan itse niin, että uusin roskalähde nousee aina listan ylimmäksi. Roskaa tunnistavien avainsanojen blokkaus käsipelillä on yksi mahdollisuus. Sujuvaksi toimenpiteeksi sitä ei voi kutsua. Kallista aikaa tuhrautuu boksia säätäessä. Ei nykyaikaa.

Ennen tehtiin itse roskapostifiltterit sähköpostiohjelmiin. Sitten joku keksi myydä roskapostisuotimia, jolloin vasta ohjelmistovalmistajat heräsivät ja alkoivat tarjota niitä ohjelmiensa vakio-ominaisuuksina. Roskapostisuodinten säätö, mustat listat ja Bayes-suodatukset, olivat ammattiväen keskuudessa oma sisäpiirin juttunsa; roskaviestien suodatusprosenteilla kilpaitiin ainakin duuni.net:ssä. Hienoudet olivat oma aikansa. Ajankäytön priorisoinnin kannalta ei mielekästä.

Nyt puhaltavat uudet tuulet.