Tietoturva

Aikaisemmin vain erikseen asennettavana lisäosana tarjolla ollut uusi ominaisuus Chrome ja Firefox -selaimissa, hälyttää reaaliaikaisesti kirjautumistietojen vaarantumisesta. Nämä kaksi selainta ovat melko tasaväkisiä kärkisijoittujia uusissa testeissä. Tai sanotaanko, että Firefox ei ainakaan häviä.

The Next Webin mukaan selaimet reagoivat, kun ne havaitsevat jonkun käyttäjätunnuksista vuotaneen esimerkiksi tietovuodon yhteydessä. Hyödyllinen toiminto ei aivan itsestään käynnisty: selainpäivityksen jälkeen näistä asetuksista, Tietoja Firefoxista, samoin kuin Tietoja Google Chromesta –valikoista, toiminto täytyy aktivoida.

Päivityskierroksia, uusia ominaisuuksia ja suorituskykyparannuksia

Taas Chrome ja Firefox ovat käyneet läpi loputtoman määrän päivityskierroksia, joissa selaimiin on lisätty uusia ominaisuuksia ja suorituskykyparannuksia. Suoritustasoa löytyy, kertoo Bundesamt für Sicherheit in der Informationstechik (BSI). Sen äskettäin testaamat selaimet Mozilla Firefox 68 (ESR), Google Chrome 76 ja Microsoft Edge 44 sekä Internet Explorerin viimeiseksi jäänyt versio 11, vastaavat huutoonsa. Paitsi, että BSI:n punainen kortti nousi odotetusti IE 11 –selaimelle. Esimerkiksi suojastandardit, kuten ”same origin policy”, jonka on tarkoitus estää ulkopuolisia verkkosivuja laittamasta koodiaan toisille sivustoille, sekä ”!content security policy”, jonka taas on määrä estää haitallisen sisällön ajaminen luotetulla verkkosivulla, ovat hebreaa IE-selaimelle. Tämä selainrampa toimii vielä miljoonissa erilaisissa päätelaitteissa. Päivitys johti IE:ssa (samoin kuin koko Windowsissa) syntaksiongelmiin.

Chrome, Edge tai Internet Explolerin versiot eivät myöskään tarjoa mahdollisuutta estää telemetriatietojen keräämistä. Firefox taas tukee valinnanvapautta tässäkin suhteessa, haluaako jakaa telemetriatietojaan?

Vuonna 2019 Firefox on saanut isoimman päivityksensä 13 vuoteen. Parannus on kokonaisvaltainen. Techradarin testissä Mozilla Firefox -selain noteerataan listaykköseksi, maininnoilla:

• Erittäin nopea
• Järjestelmäresursseiltaan kevyt
• Vahvat yksityisyyssuojatyökalut
• (Selaimesta on vaikea löytää moitittavaa, summaa Techradar)

Päälle voidaan liittää BSI:n kiitoksia telemetriatietojen hallinnasta. Telemetriahan muuten tarkoittaa laitetietojen lähettämistä etänä. Huomautan, että myös suhteellisen harvat raudat kysyvät lupaa telemetriatietojen lähettämiseen valmistajille. Mutta esimerkiksi Huawei P smart 2019 –puhelimessa tämän eston voi halutessaan määritellä asetuksissa. Myös pääsalasanatoiminnon puute on valitettavan yleistä, mutta sekään ei ole Huawein puute.

Chrome parantaa

Maailman suosituin selain Chrome on nopea suorituskyvyltään ja laajennettavissa lähes mihin tahansa mittaan, mutta vaatii paljon resursseja, huomauttaa Techradar. Siksi rankkeeraus 2. sijalle. Google on kuitenkin rakentanut Chromesta laajennuskykyisen ja tehokkaan selaimen, joka ansaitsee hopean kaikissa listauksissa. Chrome toimii eri alustoilla vakaasti. Selain vaatii vähän näyttötilaa. Käytettävyydeltään miellyttävä selain tarjoaa välineet asettaa rajoituksia lapsille sopimattomaan sisältöön. Chromeen on mahdollista hankkia ja asentaa vähällä vaivalla melkoinen määrä erilaisia liitännäisiä, joilla selaimesta voi aidosti rakentaa kullekin käyttäjälle sopivimman ja yksilöllisimmän.

Techradar korostaa, että Firefoxin tavoin Chrome tukee nykyään WebAuthn-tunnistautumisteknologiaa. Tämä tarkoittaa mallia, jossa perinteinen salasana korvataan joko kokonaan tai sitä käytetään osana kaksiosaista kirjautumisauditointia. Chrome on myös perinteisesti tarjonnut työkaluja ja ominaisuuksia sovelluskehittäjille, nyt virtuaali-headseteille, sekä mahdollisuuksia hyödyntää paremmin tiettyjä laitteiden omia sensoreita kuten taustavalaistusta.

W3Schoolin selaintrendianalyysin mukaan Chromen käyttäjämäärä vain kasvaa. Tosin myös Microsoft Edgen asennusmäärät ovatkin kasvussa. Win 10 –järjestelmässähän Edge tulee tykötarpeena. Hieno kapistus.

Mobiiliuhkat pahenevat, ja ovat jo tietoturvatoiminnan keskiössä. Mitäpä siis tehdä, kun vanha ystävällinen, uskollisesti palvellut sovellus yrittää ottaa ohjat? Tulee aina olla vähän varuillaan, samoin tulen kanssa: hyvä renki, mutta huono isäntä.

Google Playsta lakaistaan säännöllisesti leveällä harjalla

Google Playsta tuskin voi enää ladata taskulamppusoftaa ilman, että se alkaa koodi touhuilla omiaan. Tällaisen villityksen lähde voi olla esimerkiksi röyhkeä data-analytiikkafirma mutta myös mainosbannereitten klikkauksia laskuttava monimutkainen hyötyketju. Alhaisen uhkatason haitake tekee puhelimesta mainosbannereita sarjatulella tykittävän zombin. Resurssi on varattu juuri tuohon toimintaan, ja muu käyttö tahmoo, lataustarve tuplaantuu. Kuulostaako tutulta?

Lait ja direktiivit kuten EU:n General Data Protection Regulation (yleinen tietosuoja-asetus) eivät ole paljon hillinneet villinlännen menoa – mutta toisaalta emme tiedä, mikä olisi tilanne ilman lakien edes muodollisesti tunkeilua suitsevaa vaikutusta. Sekin on nähty, että rahalliset sanktiot eivät aina riitä pelotteeksi. Ne maksellaan, ja jatketaan niin kuin ei mitään.

CamScanner-sovellus

CamScanner-sovellus, joka toimii puhelinkameran ja tiedostohallinnoinnin välineenä, muuttui tässä päivänä eräänä yhtäkkiä haitalliseksi – ja vain yhdellä ainoalla uudella ohjelmistopäivityksellä. Nähtävästi CamScanner kasvoi häijyksi, sen jälkeen, kun sen osakkaaksi ja ”kehittäjäksi” tuli muuan häikäilemättömänä mainostajana tunnettu taho.

Saman on huomannut tietoturvayhtiö Kaspersky Lab ZAO, joka valisti asiassa aina uutisnälkäistä Ars Technica -julkaisua. Lisää: https://arstechnica.com/information-technology/2019/08/google-play-app-with-100-million-downloads-executed-secret-payloads/

Päivitys teki vaatimattomat päälle 100 miljoonaa kertaa ladatusta sovelluksesta rookitin, Troijan hevosen. Tuttu skanneri alkoi salaa ladata haitallista koodia verkosta. Tulos: aggressiivisia mainoksia, klikkaus sarjatulella, mistä maksaa mainostaja. Tavattiin myös erilaisia spesifeitä haittakoodeja, jotka kykenivät laskuttamaan liittymän omistajaa. Uusi komponentti, “trojan dropper” pystyy lataamaan haittaohjelman muista lähteistä. Tässä tapauksessa se lataa salausavaimella suojattuja koodeja palvelimelta, avaa ne ja suorittaa ne uhrina toimivalla laitteella.

Moskovalainen Kaspersky Lab

Moskovalainen Kaspersky Labilla löytyy 3 300 työntekijää. Firma tekee hyvää työtä, vaikka siihen itseensä on joskus liitetty epäilyjä – mutta nyt ainakin yhtiö on suuntautunut hakkerietiikan mukaisesti paljastamaan kyberrikollisia entistä häikäilemättömämmäksi käyneellä kentällä, jossa tabletit ja puhelimet ovat vapaata riistaa. Kaspersky Lab suosittelee, että kaikille datansiirtolaitteille tehdään täydellinen tarkistus kerran viikossa. Näin varmistetaan, että henkilökohtainen data on turvassa.

Otamme käyttöön säännölliset tarkistukset: Kaspersky Internet Securityn ilmainen tutka tarkistaa laitteet läpikotaisin. Tämä tarkistus suoritetaan kerran viikossa. Käyttötilanteet huomioiva tutka ei häiritse laitteen käyttöä. Teknisten rajoitusten vuoksi sovellus ei voi tarkistaa arkistoja, joiden koko on 4 Gt tai sitä enemmän. Reaaliaikainen suojaus sisältää virustorjunnan. Komponentti havaitsee ja neutraloi uhkat, mainosohjelmat ja sovellukset, joita tunkeutujat voivat käyttää laitteen vahingoittamiseen tai henkilökohtaisten tietojen hyödyntämiseen. Myös reaaliaikainen tarkistus-scan on mahdollinen tutkasovelluksen ilmaisversiossa, eri niemellä Tarkistustoiminto.

Ilmaiset ratkaisut riittävät perustarpeisiin yksityiskäytössä.

https://www.kaspersky.fi/downloads/thank-you/try-free-cloud-antivirus

https://www.kaspersky.fi/free-antivirus

Kaspersky Security Cloud – Free

Maksuton virustarkistusohjelma Kaspersky Security Cloud – Free suojaa PC- ja mobiililaitteet, mutta myös iPhonen, viruksilta, tartunnan saaneilta tiedostoilta, vaarallisilta sovelluksilta ja epäilyttäviltä sivustoilta.Valikosta Euroopan unioni voi ladata EU:ssa käytettäväksi tarkoitetun ohjelmiston.Tämä varmistaa, että softa on yleisen tietosuoja-asetuksen gdpr-vaatimusten mukainen…

Yritys taas tarvitsee järeämpää suojaa, suunnittelun kanssa – Katso täältä: https://www.sollertis.fi/virustorjunta/

Grafiikat ovat hyödyllisiä, havainnollisia: siis käyrä yrityksiin kohdistuneiden kyberrikosten määrän kasvusta on karua katsottavaa. Jossakin vaiheessa näytti, että tilanne yleisessä tietoturvassa olisi jo osin hallinnassa, mutta sitten maailmanmitassa taas repsahti. Tämä maksaa, ja Suomi kun ei ole lintukoto, vaan kulkee keskiarvojen yläpuolella tietoturvarikosten kustannuksissa.

Tietoturvan kohentaminen yrityksissä ei ole suuri investointi

Jos yrityksessä sen omien sivustojen ja verkkopalvelujen perusasiat laitetaan kuntoon, ei puhuta vielä isostakaan tai kalliista urakasta. Tietoturvaohjelmistojen asennus joko/tai vanhan turvalliseksi päivitys koneissa ja älypuhelimissa tulee tärkeysjärjestyksessä ykkösenä. Datan varmuuskopiointi taas saadaan rutiininomaiseksi tavaksi kevyellä koulutuksella. Kyseessä on varsin pikku investointi siihen nähden, mitä maksaa, jos asiat jätetään rempalleen – ja isku tulee hetkellä, kun sitä vähiten odottaa. Se vain menee niin – nykyaikana – että joku kutsumaton tulee takaovesta, jos se jää repsottamaan auki.

Olen myös kysynyt, onko teillä tapana jättää auton ovet auki yöksi tai avain moottoripyöränne virtalukkoon?
Ai, ei ole?
Entä onko yrityksessänne tietojärjestelmää suojattu kyberhyökkäyksiltä?
Ai ei ole.

Tämäpä outoa, koska järjestelmän takaporttien tieturvan testaus ja koputtelu on jopa todennäköisempää, kuin että auton ovia käydään yöllä kokeilemassa, josko tuo olisi vietävissä.

Tietomurroista aiheutuneet kustannukset ovat nousussa

Amerikkalaisen Ponemon Instituten tuoreen v. 2019 seurantarapotin mukaan tietomurroista aiheutuneet kustannukset ovat nousseet globaalisti 12 prosenttia viimeisen 5 vuoden aikana. Kun taas pohjoismaista tehdyn tutkimuksen mukaan tietomurroista aiheutuneet kustannukset ovat nousseet 20 prosenttia viimeisen vuoden aikana. Olemme kärkiryhmää. Toisin laskien kyberrikollisuudesta aiheutuvat tappiot ovat keskimäärin 2 miljoonaa euroa vuodessa per organisaatio.

Varautumisen taso pohjoismaissa ei ole laadultaan hyvä ja vakaa

Kyberrikollisuuteen erikoistunut työelämäprofessori Jarno Limnéll Aalto-yliopistosta toteaa, että hyvinkin välinpitämätön asenneilmasto elää ja voi hyvin, valitettavasti. Viesti ei ole mennyt perille yrityksissä. Limnéll on itse kohdannut yliokaista suhtautumista kyberuhkiin – Sellainen asenne tulee kyllä ennemmin tai myöhemmin kalliiksi, Limnéll jatkaa. IBM Finland lataa lisää löylyä: kestää keskimäärin 200 päivää tajuta tapahtunut kyberrikos ja koota tieto, mitä hyökkäyksessä on tapahtunut. Seuraavaksi ”toipuminen” rikoksen uhriksi joutumisesta kestää vielä 70 vuorokautta päälle. Karuja arvioita. Tuonkin ajan, kun voisi käyttää turvalliseen bisnekseen – ja tietoturvan voi aina jättää ammattilaisten huoleksi.

Niin paljon kuin asioista on puhuttu, ja hyvää tietoturvakulttuuria juurrutettu yritysten ja organisaatioiden rutiineiksi, ei se (vielä) ole kantanut hääviä hedelmää. Uhkat eivät rajoitu koneisiin: yritys tarvitsee usein kokonaisen turvallisuussuunnitelman, jonka laatijalta lakipäivityksen myötä vaaditaan turvallisuusvalvojan erikoisammattitutkintoa. Monissa tapauksissa riskit täytyy arvioida kokonaisvaltaisesti. Tekninen tietoturva on hyvä alku, sitten tulee mm. se, että turvastandardit täyttyvät kulunvalvonnassa. Rakennuksen ulkopuolisissa datayhteysliittymissä ynnä muusta tulee tehdä vastaava turvaselvitys.

Tietoturvan kannalta on merkityksellistä, ovatko yrityksen tiedot omalla virtuaalipalvelimella Suomessa, vai liikkuuko data jaetulla alustalla jossain ulkomaalaisessa datataivaassa. Terminä suomalainen verkkotallennus on hyvä ja kuvaava: sanana se on informatiivisempi kuin (cloud) pilvipalvelu. Eihän pilvipalvelua ole todellakaan pakko valita Dropboxin ja Google Driven kaltaisista ylikansallisista kaupallisista alustoista, eikä ole välttämättä viisastakaan. Kyse on käyttäjille melkein ilmaisista ja mediaseksikkäistä palveluista.

Vastuullisuus maksaa hieman, mutta pilvipalvelut ovat osa liiketoiminnan perustaa

Siihenpä ne plussat loppuvatkin, sillä datapilvet vuotavat dataa enemmän kuin mitä jätit kertovat ulospäin. Toisaalta mitään tietoturvaa tai -suojaa ei edes käyttäjäsopimus lupaa. Palveluntarjoajan pitkä liturgia, joka käytännössä on pakko hyväksyä, kääntää kaiken mahdollisen vastuun pois operaattorin päältä käyttäjän omalle kontolle. Tällaista ei tee mikään vastuullinen palvelu. Vastuullisuus maksaa hieman, kyllä. Mutta verkkotallennus, toiselta nimeltään pilvipalvelu, jäsentyy moderniin digitaaliseen liiketoimintaan – organisaatiot tarvitsevat pilvistrategian. Käytännössä se on osa liiketoiminnan perustaa ja siksi tärkeä elementti yrityksen arjen pyörityksessä.

Miten kannattaisi toimia?

Meillä on kolme päävaihtoehtoa toimia toisin kuin mitä ylikansalliset datajätit odottavat. Ne odottavat, että lataamme heidän huomaansa, pilveen, myös kaiken henkilökohtaisen aineistomme: valokuva-albumit ja sukuselvitykset. Itse en tee niin, koska pelkään vainoharhaisesti, että tietoni päätyvät jotenkin härskien data-analytiikkafirmojen haltuun.

Ensimmäinen, suositeltavin tapa tulee tässä: Varmin, optimoiduin ja suositeltavin konsepti verkkotallennuksessa on turvautua paikalliseen internet-palveluntarjoajaan. Katso ylävalikkoa.

Löytyy tietenkin myös muita vaihtoehtoja, jos intoa ja harrastusta riittää. Pienen verkkotallennuspalvelimen voi rakentaa myös itse. Yksi mahdollisuus säilöä dataa on kotipalvelin. Silloin ei ole pelkoa epärehellisistä mies välissä -hyökkäyksistä (man-in-the-middle attack) ja sen voi modata 128-bittiseksi IPv6-protokollan palvelimeksi.

Paljon puhutaan Nextcloudista, jonka saa asennettua Ubuntu Snap –palvelusta, Depain 9 ja Ubuntu 16.04 Linux-järjestelmiin. Myös manuaalisesti käsin leivottu Nextcloud-konffaus on mahdollinen (vain kokeneille tietotekniikan harrastajille). Se antaa mahdollisuuden säätää sovelluksen asetuksia tarkemmin.

Pilvipalvelu omaan hallintaan

Kun pilvipalvelu on omassa hallinnassa, voi säätää sen toiminnan sellaiseksi kuin itse haluaa. Hyvin suojatulla palvelimella tiedot pysyvät varmassa tallessa, eikä kukaan ulkopuolinen pääse niihin käsiksi. Kotiverkossa toimivan privaattipilven etuna on myös tiedostojen vauhdikas synkronointi. Nextcloud on uusi versio tunnetusta tee-se-itse-pilvestä OwnCloudista. Nextcloud synkronoi sujuvasti tekstitiedostot, kuvat ja videot kodin eri laitteiden välillä. Tästä on vuoden päivät, kun Mikrobitti-lehti johdatti lukioitaan Nextcloudin aloihin. Lehti kävi rivi riviltä läpi konffauksen, kuinka rakentaa kotikäyttöön yksityisen ja salatun OwnCloud-pilvipalvelun. Briiffissä näkyy sellainen 80 komentoriviä ohjeineen selityksineen. Se on aikamoinen urakka. Sopii, jos aikoo erikoistua pienverkkopalvelimen ylläpitäjäksi.

Kiinalainen kursailee hieman kertoessaan radiolinkkialustoilla toimivasta uudesta mobiilikäyttöjärjestelmästään. Se tekee tietotekniikan historiaa. Tämä on käynyt jo ilmi. Kauppasodat ovat hauskoja ja hyödyllisiä, sanoi Yhdysvaltain presidentti Donald Trump. Näinköhän? Riippuu kenen kannalta.

Kauppasodan seuraus – HarmonyOS

Me eurooppalaiset näyttäisimme hyötyvän siitä, että Valkoisen talon lietsoman kauppasodan seurauksena epävakaalle pohjalle ajettu Huawei satsasi kaikki resurssinsa oman käyttöjärjestelmänsä viimeistelyyn. Alkujaan eri työnimillä tunnetun Huawein OS-mikrolähdekoodin kirjoitus käynnistyi vuonna 2017.

Huawei lupaa julkaista HarmonyOS:ää avoimena koodina – siihenpä yhtäläisyydet Linuxin kanssa taitavat loppuakin. Huawein käyttiksessä toimii kernelin lähdekoodina mikrokoodi, joka valmistajan ilmoituksen mukaan on määrältään vain joku tuhannesosa Linuxin lähdekoodista. HarmonyOS ei ole kopio länsimaisista käyttöjärjestelmistä, se edustaa uutta mikrokoodisukupolvea mutta se ei ole edes ensimmäinen genren edustaja. Näin muodoin pahimmat haavoittuvuudet löytynevät piireistä ja prosessoreista, ei itse mikrokoodista. Valmistaja on velvollinen päivittämään rautansa.

Käyttöjärjestelmän arkkitehtuuri

Huawein mobiililaitteeseen mitoitettu mikrokerneli ei varmasti jää hyökkääjiltä testaamatta. Harmonyn erikoinen arkkitehtuuri pohjautuu mikrokernel-ytimen päälle. Se ei myöskään ole vanhaan tapaan yksi koodimöykky. Pääosa elintoiminnoista sijaitsee käyttöjärjestelmän ytimessä, mutta muuten se järjestyy erillisiksi komponenteiksi kernelin päälle. Näin HarmonyOS toimii kaikilla (sana alleviivattuna) laitealustoilla. Tämä tarkoittaa 128-bittisiä komponentteja, radiolinkkitekniikkaa, jossa datajonon mittainen salausavain toimii sisäänrakennettuna. Tietoturvasta huolehtii järjestelmän sisäinen salakirjoitusmenetelmä. Tarvitaan vahva käyttäjätunnistus ja radiolinkissä toimiva datayhteys, niin yhteysputki pomminvarma kuin kohtuudella voidaan odottaa. Klassiset man-in-the-middle-hyökkäykset käyvät mahdottomiksi. Kärjistäen voidaan sanoa, että Androidit, Windowsit ja Linuxit toistaiseksi eivät taistele enää samalla areenalla kiinalaisen OS:n kanssa.

Huaweilta odotetaan paljon

HarmonyOS:n mikrokerneli tarkoittaa, että se käyttää vähän resursseja, mutta tarjoaa rajut toimintanopeudet ja jo kohta siis minimiviiveet. Lopulta käyttöjärjestelmä tukee 128-bittistä ympäristöä ja buustaa esineiden internetiä nyt kun se on lähtenyt vetämään: ensimmäistä kertaa 128-bittisen ympäristön IoT-sovellukset ovat kustannustehokkaita, ja investointi IoT-roinaan kuolettuu säällisessä ajassa. Tähän asti ohjausautomaation algoritmit ovat toimineet anturien rajapinnan takana: eivät mobiililaitteessa itsessään. Lora, Sigfox mutta ennen muuta NB-IoT-standardi ovat rampa ankka ilman luurissa itsessään toimivia älysovelluksia. Huaweilta odotetaan paljon, liian paljon?

Kiinalainen tuo teknologian, joka ratkaisee x määrän vanhan sukupolven tekniikka- ja tietoturvaongelmia (vaikka aina voi tietysti syntyä uusia).

Kyberrikokset, joiden uhreiksi päätyvät tavan kansalaiset, ovat pahenemaan päin. Julkisuudessa on ollut mm. digihuijaustapaus, jossa kaapatulta tililtä on siirretty rahaa espanjalaiseen pankkiin: erikoista sinänsä, että siirretään EU-alueen pankkien sisällä saalisrahaa – ja laiton transaktio onnistuu noin vain.

Kertooko tämä jotakin unionin tilasta? Lisäksi edellä mainitussa tapauksessa kyberrikollinen on puhunut hyvää suomea. Hän on esitellyt useita itsensä kannalta vakuuttavia seikkoja, ja saanut lopulta epäilijän luovuttamaan lukuja tunnuslukulistastaan. Riittääkö tämä näytöksi siitä, että pankkiyhteystunnistusta ei tule tehdä ”helpoksi”, eli heikentää entisestään? Kuulen helppo-sanan korvissani vihjeenä: helppo murtaa. Transaktion vahvistaminen joko sähköisellä tunnuslukulaitteella tai mieluummin avainlukulistalla on se perusta, jota ei voi ohittaa muuten kuin kontaktilla tilin todelliseen haltijaan. Näin huijaus satsaa siihen, että virtuaalisen pankkiryöstön transaktio saadaan ajattelua läpi: ja tilin todelliselta haltijalta tunnistuksen toinen vaihe, avainluku, saadaan rikolliselle tavalla tai toisella. Ei ihme, että siinä onkin menty röyhkeydessään pöyristyttäviin suorituksiin.

Kukaan ei ole suojassa kalasteluhyökkäyksiltä

Monivaiheisen, vähintään kaksivaiheisen todennuksen puuttuminen tulisi luokitella haavoittuvuudeksi palvelussa. Pikamaksu on erittäin haavoittuva, selvää, mutta sen maksurajaa mentiin silti nostamaan. Päätöksiä tekevät ekonomistit, joiden tietotekninen orientaatio, eritoten tietoturvan osalta on heikko. Sama muuten koskee sairaaloita: poskettoman kalliita potilastietojärjestelmiä suunnittelevat lääkärit ilman tietotekniikan, tieturvan ja tietosuojan menetelmäpaletit hallitsevien ammattilaisten mukanaoloa. Sutta on syntynyt, ja syntyy, veronmaksajien laskuun. Kyberrikokset arkipäiväistyvät hyvää vauhtia. On korkea aika tajuta, että kalasteluhyökkäyksiltä ei kukaan ole suojassa.

Kysymyskaavakkeen postannut Etlan tutkija ottaa rauhallisesti minun kyselyni siitä, kuinka voin varmistua, että linkki ajaa nettikyselykaavakkeen ja on sisällöltään sitä, mitä sen väitetäänkin olevankin? Sillä epäilykseni heräsi, kun sivu ei toiminut: olinhan mennyt sen avaamaan aika kevyin perustein.  Olisin siis voinut olla digihujauksen uhri.

Vaadin varmennusta:

”Lähetän tämän viestini sähköpostiosoitteesta, joka löytyy myös Etlan sivuilta.”

Ei riitä. Tuo feikki-e-malin konfigurointi on lapsenleikkiä.

Kontakti jatkaa vakuuttavaan sävyyn:

”Voin myös lähettää varmistukseksi tekstiviestin puhelinnumerosta, joka myöskin löytyy Etlan sivuilta.”

Tämä onkin jo jotain, mutta nyt myös puhelinnumeron aidolta näyttäminenkin on mahdollista. Netissä löytyy palveluntarjoajia, jotka mahdollistavat päätelaitteelta puhelua soittaessa ulos näkyvän numeron simuloinnin ihan vapaavalintaiseksi: puhelu reitittyy perille näyttäen tulevan aidosta numerosta, vaikka oikeasti se tulee ties mistä ihan muualta. SMS-viestillä pelittää sama kaava. Lopulta oli tehtävä päätös, että luotan siihen, että henkilö on asialla, jolla väittää olevansakin. Hänen työnsä näytti tähdelliseltä.   

Black Hat Briefings 2019 esitteli jälleen, nyt Las Vegasissa, sisäpiirintietoa tietoturvariskeistä ja uusista kyberrikollisten metkuista. Tapahtumassa turvallisuusasiantuntijat ympäri maailmaa jakoivat viimeisimmät havaintonsa. Pöydällä olivat avoimen lähdekoodin työkalut, nollapäivän hyväksikäytöt ja paljon muuta. Yllätys ei ole se, että netin alamaailma vilisee yhä mielikuvituksellisempia tietoturvauhkia. Toiminta on entistä ammattimaisempaa. Botteihin on kehitetty älytoimintoja, joita muutama vuosi sitten ei osattu edes kuvitella.

Samaan aikaan tilinteko kyberrikoksilla arkipäiväistyy

Yksi vaarallisimmista liikkeelle lasketuista haittakoodeista on nyt Echobot, joka perustuu pahamaineisen Mirai-bottiverkon koodiin. Echopot on varustuksekseen saanut rumakasti tehoa ja älyä. Mirai teki tuhojaan v. 2016 noin miljoonissa modeemissa ja hyökkäyskoodi aiheutti lukuisia tartuntoja myös Suomessa. Saksassa vain yhden viikonlopun aikana se iski 900 000 kohteeseen.

Superhaittakoodi Echopotin menetelmäpaletti tunnistaa ainakin 18:aa (tai jopa 60) eri hyökkäystapaa: se haistaa IoT-ympäristön vanhat turva-aukot ja haavoittuvuudet. Älykäs koodi vaihtaa työkalua, jos yksi ei toimi – hieman samoin kuin vanhassa maailmassa murtomiehellä rautakanki vaihtuu kirveeseen tilanteen niin vaatiessa.

Echopotin haittakoodin ajaminen etänä onnistuu ainakin seuraavien laitevalmistajien erilasissa reitittimissä, modeemeissa ja muissa tuotteissa: Citrix, D-Link, Netgear, Asus, Alcatel, Belkin, VMware ja ZeroShell. Voimme odottaa, että nimekkäät firmat päivittävät ensi tilassa laitteidensa suojauksen.

SWAPGSAttack-aukko

Vanhan sukupoven IoT –laitteet ovat myös Microsoftin arvion mukaan haavoittuvia ja reaalinen tietoturvariski. Yksi pahimmista on nyt Windows-tietokoneista paljastunut SWAPGSAttack-aukko, jonka kautta hyökkääjä pääsee käsiksi kaikkiin koneen tietoihin. Black Hat –tapahtumassa säväytti Bitdefender, joka sai kahvit väärään kurkkuun Microsoftin pääkonttorissa. Bitdefender, tuo taustaltaan romanialainen kyberturvallisuusyritys, väittää että sen löytämä aukko koskee kaikkia vuoden 2012 jälkeen valmistettuja Windows-tietokoneita, joissa on Intelin tai AMD:n prosessori. AMD tosin on kiistänyt haavoittuvuuden omissa suorittimissaan.

MS:n julkaisema tiedote korostaa, että yrityksien tulee valvoa tarkkaan avoimeen internetiin kytkettyjä laitteita ja antureita. SWAPGSAttack-aukkoa hyökkäyksissään suosii eritoten APT28-nimellä tunnettu hyökkääjä. On arveltu, että kyberrikollisten APT28 tai toiselta niemeltään Strontium-iskuryhmä nauttii Venäjän valtiojohdon suojelua, eikä se hyökkää kotimaisiin kohteisiin tai Kremlin määrittelemiin Venäjän läheisiin liittolaisiin. Ryhmä on sekaantunut vaaleihin ainakin Yhdysvalloissa ja luultavasti myös Saksassa.

Viime vuosina yleistyneet kiristäjät notPetya, WannaCry ja Mirai ovat vähentyneet tätä vuotta mentäessä. Iskussa kiristyshaittaohjelmat salaavat tietokoneen kovalevyn, ja vaativat lunnaita salauksen purkamisesta. Saamme kiittää mm. edistyksellistä päätelaitesuojausta, joka toimii kiristysohjelmia vastaan. Taas operaattoritasolla kiristyksessä käytetyn yhteyden katkaiseminen tuhosi kiristyksen ansaintalogiikan. Kyberrikollisten uusi hitti onkin louhia virtuaalivaluuttoja kaapatun tietokoneen resursseilla.

Virtuaalivaluuttaa louhivat haittaohjelmat leviävät nyt myös Suomessa

Kryptolouhijoiden esiintyvyys yrityksissä on jo kymmenkertainen kiristyshaittaohjelmiin verrattuna, kertoo Check Pointin Security Report 2019, ja jatkaa: kuitenkin vain yksi viidestä tietoturva-ammattilaisesta havaitsee tämä haittakoodin tartunnan.

Kryptolouhija näet voidaan integroida myös verkkosivun ohjelmakoodiin, tai esimerkiksi YouTuben linkkiin, jolloin valuutan louhinta käynnistyy miltei huomaamatta saastuneilla verkkosivuilla vierailleen käyttäjän selaimessa.  Varsinaista haittaohjelmatartuntaa uhrin tietokoneelle ei siis välttämättä edes tarvita – (toisaalta louhijaa voidaan tarjota selainlisäosana muutenkin). Tosin, jopa pdf-asiakirjaformaatissa voi toimia JavaScript-tiedostoja, jotka omine lupineen ajavat kaivoksia rakentavia haittakoodeja. Alkujaan Adoben luomaa pdf-formaattia pidetään turvallisena, mutta sen turvallinen käyttö vaatii asetusten tarkkaa tuntemista.

WannaMine-haittaohjelma

Maailmalla tutut Kovter ja Emotet –haittaohjelmat ovat samaa sukua; ne ovat täällä, muistuttaa Kyberturvallisuuskeskus. Kovter on verkkomainoksia klikkaileva haittaohjelma, jonka avulla verkkosivu voi keinotekoisesti lisätä omia mainostulojaan. Emotet puolestaan on monikäyttöinen haittakoodi, jonka avulla voi esimerkiksi varastaa tunnuksia tai ladata kohteeseen kaivosohjelman. Näkyvin tapaus oli alkuvuodesta Lahden kaupungin tietojärjestelmiin vaikuttanut, virtuaalivaluuttaa louhiva, ja itsestään leviävä WannaMine-haittaohjelma.

WannaMine4.0 kaivoskoodi on levinnyt 20. maaliskuuta 2019 alkaen. Sangfor-tietoturvaryhmä on jäljittänyt WannaMine-variantin Kiinaan. Leviämisnopeus on ollut huima. Sairaalaverkot se saastutti vain muutamassa päivässä, samoin kuin aiemmin WannaMine1.0, WannaMine2.0 ja WannaMine3.0.

Jostain syystä Lahdessa on eri aikoina tavattu tämän saman haittaohjelman variantteja. Suomessa helmikuun 2018 alussa Lahden kaupungin tietojärjestelmissä alkoi esiintyä häiriöitä. Häiriöt osoittautuivat WannaMinen aiheuttamaksi kuormitukseksi useissa kaupungin palvelinkoneissa. Tilannetta kuvattiin kilpajuoksuksi krakkereiden ja tietoturvatyötä tekevien välillä. Kesäkuussa 2019 Mine-koodi havaittiin yhdellä koneella, josta se ehti levitä noin tuhanteen terveydenhuollon työasemaan. Lahden kaupungin ja Päijät-Hämeen hyvinvointiyhtymän verkkojen välit katkaistiin heti, kun tilanne havaittiin. Yhteyksien katkaisu taas aiheutti merkittäviä häiriöitä Lahden terveysasemien ja hammashoitoloiden toiminnassa, ja se vaikuttaa myös sosiaalipalveluiden asiakastyöhön.

Mitä kaivosohjema tekee?

Hyökkäyksen seurauksena verkko kuormittuu – kyseessähän on kaivosohjelma, joka ottaa teknisen resurssin omaan käyttöönsä. WannaMine-varianttien pääasiallinen tarkoitus on louhia eli luoda virtuaalivaluutta Moneroa. Valuutan luomiseen vaadittava algoritmi ajaa laskutoimituksia, jotka ovat raskaita.  Orjuuttavaan louhintaan kuluu paljon aikaa ja syöttötehoa (sähköä, jonka maksaa uhri). Syntyy moneroa, joka perustuu muiden kryptovaluuttojen tapaan lohkoketjuteknologiaan. Bitcoinista Monero kuitenkin erottuu siinä, että tiedot lähettäjästä, siirrettävästä summasta ja valuutan saajasta salataan lohkoketjuun. Tästä syystä Monero sopii rikollisten tarpeisiin, esimerkiksi kiristykseen. Moneron perustaja on tuntematon. Se on vuonna 2014 luotu, avoimeen lähdekoodiin perustuva kryptovaluutta. Koodi nojautuu edeltävään CryptoNote nimiseen protokollaan, jota on parannettu mm. lohkoketjuihin perustuvilla kryptauksilla.

On hyvä muistaa, että Mozilla Firefox ei Google Chromen tavoin turvapäivitä itse itseään automaattisesti, kun selain ajetaan alas tai se kaatuu. Päinvastoin, Firefox altistuu haavoittuvuudelle (esim. CVE-2019-11707) kaatuessaan.

Project Zero

Firefox ratsastaa vanhalla avoimen lähdekoodin viitekehysmaineellaan, mutta tosiasiassa sen kanssa ilmenee ongelmia tämän tästä. Valitettavasti Tulikettu ei ole tätä päivää, kuten MS Edge tai Chrome, suurella rahalla tuotetut internetin selaajat. Firefox ylistää sitä, kuinka se on ketterä ja sieppaa muistiakin 30% vähemmän kuin Chrome. Mutta mitä se ei sivuillaan kerro on, että Google-kehittäjät hyvää hyvyyttään pitävät sitä pinnalla.

Googlen Project Zerossa työskentelevä Samuel Groß on päättänyt salata paljastamansa Firefox-haavoittuvuuden CVE-2019-11707 yksityiskohdat – ehkä koodi näyttää yleispätevältä, ja se voi olla uhka muillekin selaimille. Firefoxin versio 67.0.3 oli kesäkuussa vielä turvallinen. Yritysympäristössä vastaavasti ESR (extended support release), version turvataso voidaan tarkistaa versionumerosta. Tätä kirjoittaessa se oli 60.7.1.

Polku Firefoxin versionumeron löytämiseksi on seuraava: klikkaa valikkopainiketta Menu -> klikkaa Ohje-valikkoa ->valitse Tietoja Firefoxista. Kun Tietoja Mozilla Firefoxista -ikkuna avautuu, versionumero löytyy Firefox-tekstin alapuolelta. Numerosarja ei saisi juuri hapantua.

Apple käyttää CVE-ID-tunnuksia viittaamaan lisäinfoon WebKit-haavoittuvuuksista, ja kiittää sekin Samuel Großia, CVE-2019-8611-haavoittuvuuden jäljittämisestä. Ennen Project Zeroa, Samuel Groß on toiminut itsenäisenä turvallisuustutkijana. Hän on tutkinut selainten tietoturvaa jo useamman vuoden ajan, ja julkaissut aiheesta useita artikkeleita. Ydinasia kertoo Phrack paper JavaScript-moottorin hyväksikäyttötekniikoista. Kohteita ovat esimerkiksi JavaScriptCore, JavaScript-moottori sekä WebKit-moduuli Safar-selaimen sisällä. Viimeksi mainittu haavoittuvuus avasi Safarin kautta kernelin koodin suorittamisen MacOS-järjestelmässä. Aika paha. Ymmärrettävästi tällainen osaaminen tulee palkita, tämä entinen teekkari on nyt ylityöllistetty jakaessaan tietotaitoaan muille asiantuntijoille.

Mitä on eettinen hakkerointi?

Black hat –hakkerit eivät tee työtään kiitoksen, maineen tai runsaskätisten palkkioiden toivossa; he tekevät (usein) sen mikä on oikein. White Hat ja Black Hat on mennyt iloisesti sekaisin samoin kuin aiemmat käsitteet krakkeri ja hakkeri. Ei nimellä väliä. Eettinen hakkerointi tosin on aika hyvä termi. Sen tulkitaan merkitsevän laajempaa kehystä, kuin vain pelkästään tunkeutumistestaus. Myös sana ”sneakers” viittaa hyviksiin.

Selainkehittäjät yleensä tekevät pitkää päivää ennen Black Hat –tapahtumia. Sillä tapahtumassa, kun hakkerit vetävät suurelle näytölle ohjelmistoista löytyviä tietoturva-aukkoja: selainten tietoturva perustuu pitkälti tähän pelkoon. Siksi kai mustahattuja näkyy nyt töissä erikoisprojekteissa suurissa ohjelmistotaloissa. Tapahtuman alla Google ja Mozilla ovat perinteisesti tuoneet pikapäivityksiä, jotka paikkaavat selaimiin liittyviä vakavia tietoturva-aukkoja. Kesäkuumilla korjaussarjat tulevat kuin vuorovesi, ne kannattaa hyväksyä.

” Tietoturva-ajattelun kannalta tämä tilanne, jossa puhutaan asioista niiden oikeilla nimillä, ei varsinaisesti ole paha. Se nostaa pintaan sellaista, mikä vakiintuneissa oloissa jäisi syvyyksiin.”

Huaweita koskevat vientirajoitukset USA:ssa voivat aiheuttaa riskejä Yhdysvaltojen kansalliselle turvallisuudelle, paljastaa talouslehti Financial Times. Lehden lähteiden mukaan Googlen johto vaatii Yhdysvaltojen viranomaisilta vapautusta Googlelle langetusta kiellosta toimittaa teknologiaa Huaweille. Hyvää hyvyyttään? Ei aivan. Huolenaiheina mainitaan se, että Huawei kehittää Android-käyttöjärjestelmän avoimesta koodista oman versionsa, joka taas ei olisi yhtä turvallinen kuin Googlen oma Android. Tämä jollakin tavoin, pohtii Financial Times, taas vaarantaisi USA:n kansallista turvallisuutta.

Miten tämä vaikuttaa Yhdysvaltojen kansalliseen turvallisuuteen?

Tietoturva-asiantuntijat osaavat valottaa asiaa: Googlen Androidiin poraamat takaportit ovat melkein julkinen salaisuus, ja niiden mahdollistama datan käyttö on osa kansallista turvallisuusstrategiaa yhtiön kotimaassa. Sen sijaan, jos Android pilkkoutuu eri versioiksi – poraa Kiina käyttöjärjestelmään omat takaporttinsa, eivätkä eri versioiden kernelit enää ole keskenään täysin yhteensopivia. Kaikki avoimeen koodiin tehtävät omat spesifikaatiot täytyy julkistaa, mutta hullukaan ei mene kertomaan tekemistään turva-aukoista.

Googlen johtajille luulisi olevan suht’ kiusallista huomautella kansalliseen turvallisuuteen liittyvistä käyttöjärjestelmien ulottuvuuksia. Ehkä se tapahtuukin hätätilassa; Valkoisen Talon kerrotaan olevan kaoottisessa tilassa. Ovi käy tiuhaan. Varsinkin tiedotus- ja turvallisuuspuolen henkilöstöä tulee ja menee kuin hollintuvassa. Entiset White Housen työntekijät ovat kuvanneet helvetillistä menoa Valkoisen talon seinien sisällä – eräskin ”sattumalta paikalla olleena” väittää estäneensä sodanjulistuksen Pohjois-Korealle, ja näin muodoin kolmannen maailmansodan puhkeamisen. Jos näissä tarinoissa on puoletkin totta, elämme veitsenterällä koko maailmassa.

Todennäköisesti presidentti on siinä sivussa sotkenut pahemman kerran asioita sanellessaan Googlelle kiinalaista Huaweita koskevia päätöksiä. Nämä ovat hyvin impulsiivisia twiittauksia, mutta muuttuvat arvovaltakysymyksiksi, ja helposti siitä edelleen laiksi ja asetuksiksi. Osittain Huaweita painetaan sen teknisen ylivertaisuuden takia, totta. Ylivertainen saa olla, mutta sen ylivertaisuuden tulee pysyä Yhdysvaltain vaikutuspiirissä olevissa maissa pääkonttoriaan pitävien yhtiöiden hallussa.

Millainen on tietoturva-ajattelun kanta?

Tietoturva-ajattelun kannalta tämä tilanne, jossa puhutaan asioista niiden oikeille nimillä, ei varsinaisesti ole paha. Se nostaa pintaan sellaista, mikä vakiintuneissa oloissa jäisi syvyyksiin. Nyt kansainvälisen tilanteen ja kauppasotien kärjistyessä, kaikkien sodassa kaikkia vastaan, ehkä tehdään myös teknologian uusjako. Yhdysvalloissa on ollut softa- ja palvelinosaaminen. Nyt sekin valtti on vaarassa pirstaloitua palasiksi maailmalle, kuin se kuuluisa Sampo suomalaisessa kansallistarustossa. Yksinvaltias kukistuu, koska sen varjo on kuin suuri seetri, joka alkaa varjostaa koko maailmaa, Gilgamesh-eeposta mukaillen.

Entäpä Šiva, joka esittää tuhoavaa ja uutta luovaa kosmista tanssiaan kaiken keskipisteessä – maailman palaessa. Šiva pitelee usein kapeaa rumpua, joka edustaa rytmin ja tanssin lisäksi maailman luomista ja voi olla taiteellisuuden vertauskuva. Energiaa ei voi padota.

Microsoft on korjannut nopeasti viisi haavoittuvuutta, jotka yhtiötä antaumuksella kiusaava krakkeri on jo julkaissut koko maailman tietoon. Tämä kyber-Šiva, SandboxEscaper-nimeltään, kaivaa Windowsista esiin haavoittuvuuksia ja julkaisee niitä valmiiden hyökkäysohjelmaesimerkkikoodien kera, huvikseen. Miten hän tietää kaiken? Microsoft Windowsissa on tällä erää 21 kriittistä haavoittuvuutta. Jotkut lähteet puhuvat kaikkiaan 88 haavoittuvuudesta.