Tietoturva

Sanahirviöltä näyttävä JYVSECTEC tarkoittaa Suomen ensimmäistä EU:n tietosuoja-asetuksen GDPR:n suojausvaatimusten mukaista testaus- ja kyberturvaharjoituslaboratoriota. Ei nimi asiaa pahenna.

Harjoitus konkretisoi GDPR -vaatimuksiin liittyviä tietosuojasääntelyn teemoja. Yritysten taas on olennaista edeltä selvittää oma osuutensa niin, ettei omasta pesästä löydy seuraamuksiin johtavia laiminlyöntejä.

 

Testilaitos toimii Jyväskylässä ammattikorkeakoulun yhteydessä Kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskuksessa.  Jyvsectec tarjoaa harjoitusympäristön, jossa koeponnistamassa ovat käyneet monet kansallisen turvallisuutemme kannalta keskeiset toimijat, muun muassa verkkoyhtiö Fingrid sekä puolustusministeriö. Hyvällä menestyksellä; Suomi ei suinkaan ole mikään kyberajan takapajula.

 

Kyberrikostoimintaharjoituksen skenaariona on esimeriksi tietovuoto, jossa on osallisena yrityksen työntekijä. Fingrid tutki juuri tätä skenaariomallia Scada (Supervisory Control And Data Acquisition) valvomo-ohjelmistonsa kanssa. Testipenkkinä toimivassa iskussa vuodetaan yrityksen henkilöstön ja sidosryhmien sensitiivisiä privaattitietoja sekä kriittistä organisaatiotietoa, kuten tuote- ja liikesalaisuuksia.

Harjoituksessa määritellään erityinen vastuuryhmä, joka saa tiedon kyberiskusta ja alkaa heti selvittää tapahtunutta. Tilanteessa etenemiseen löytyy protokolla. Eteneminen tapahtuu turvakäytännössä määriteltyjen prosessien sekä sovitun työnjaon mukaisesti, mutta omaa järkeä käyttäen.

Toiminnan protokolla sinänsä ei ole suuri salaisuus, kuten ei yleensä monikaan asia tietotekniikan maailmassa. Tilanteen kokonaishallinta on suurempi haaste. Harjoitustilanteessa Jyväskylässä on joskus menty pitkälle. Tilanne päällä on tehty rikosilmoitus tietovuodosta, jonka seurauksena harjoitukseen mukaan liittyy poliisin kyberrikollisuuden tekniset tutkijat.

 

Kuten usein on todettu, EU:n tietosuoja-asetus GDPR langettaa päävastuun kyberrikoksissa tietokannan ylläpitäjille, käytännössä yrityksille itselleen. On todettava, että kaikki muutokset eivät ole pelkkää ylistyslaulua. GDPR:n seurauksena lainvalvojien ja syyttäjien mahdollisuudet tutkia kyberrikoksia puolestaan ovat vaikeutuneet, kun domain-osoitteita hallinnoiva Whois ei enää ole entiseen tapaan auki.

Domain-tietokannan yhteensopivuudesta EU:n tietosuojan kanssa keskustellaan.

 

Kuitenkin GDPR:n sälyttämä päävastuu kyberrikoksien aiheuttamista vahingoista on ylläpitopäässä, ja tämä on saanut verkkotoimijat heräämään. Kevennetyn version suunnitelmallisesta tietomurron käsittelyprosessista pystyy jalkauttamaan yrityksiin ja organisaatioihin. Sellaista tässä ollaan parhaillaan kehittämissä – idea noudattelee 12 kohtaista ohjelmaa, joka tähtää akuutteihin tilanteisiin, esimerkiksi kun palvelu estetään mutta myös kyberiskujen, kuten Man-in-the-middle (MitM) -pilvivuotojen ennaltaehkäisyyn.

 

Tietomurtoihin liittyvien riskien arviointiin liittyen tulee:

• Tunnistaa kaikki arvokas materiaalinen immateriaalinen omaisuus, mukaan lukien ne, joita ei ole edes tiedetty kiinnostuksen kohteiksi.
• Tunnistaa yrityksen tietoturvan nykytila.
• Tunnista ne uhkat, jotka voivat vaikuttaa tulevaisuuteen datan kulkeutuessa toisiin olosuhteisiin.

Tärkein yleisohjeista on: päivitä ohjelmistosi, vaikka siinäkin tulee joskus käyttää harkintaa, nyt esimerkiksi Windows-päivityksien kanssa. Tärkeintä on pitää yllä nettiselaimen päivitys – se on hyvä automatisoida. Toinen kiveen hakattu ohje on: automatisoi varmuuskopiointi. Kaikkein ensimmäisenä tulee ajattelun orientaatio: omien aivojen käyttö.

Taas on nähty uudenlainen hyökkäys, jonka varsinaista lähdettä ei tunneta. Mutta pahoissa aikeissa siinä on kirjoitettu tuhoa aiheuttavaa koodia.

Kävi niin, että Android- ja iOS-alustoilla toimiessaan WhatsApp avasi videopuhelinsovelluksen, jota kautta haittakoodi latasi työkalut johonkin vielä pahempaan eli päätelaitteen keskusmuistia korruptoivaan hyökkäykseen.

Googlen Project Zero -tiimi kertoo ZDNet-palvelussa, että laitemuistia korruptoivan toiminnon aiheuttaja on haitallinen RTP-paketti. Ilmeisesti operaatio on vaatinut kahden turva-aukon kautta operointia. Haavoittuvuus koskee pikaviestipalvelu WhatsAppin mobiilisovelluksen käyttäjiä.

WhatsApp on korjannut lähdekoodista nämä kriittiset haavoittuvuudet, joten kun korjauspaketti ohjelmistovalmistajalta tulee, päivityslupa sille tulee hyväksyä.

Valmistajan sertifikaattiin voi luottaa.

Vaan toisin oli asianlaita Microsoft Windows 10:n October 2018 Update -päivityksen kanssa – jos joku tämän ehti hyväksyä heti kättelyssä. Tilanne olisi hyvä korjattava.

Päivityksen myötä käyttöjärjestelmätiedostoja on kadonnut bittiavaruuteen. em. syystä October 2018 -päivityksen asentaneilla käyttäjillä on ollut vaikeuksia muun muassa Edge-selaimen toiminnallisuudessa. Viallinen paketti korvattiinkin pian toisella päivityksellä.

Tämä saattaa tuntua varsin hämmentävältä.

Se on tuo vanha microsoftmainen läpinäkyvyyden puute, mikä lisää hämmennystä, jos mahdollista.

Microsoft ei ole koskaan selitellyt virheitään, ja tosiasiassa ani harvoin on niitä edes myöntänyt.

Monet varmasti muistavat Microsoftin vahvan miehen Bill Gatesin esitelmöimässä sanojensa mukaan ”maailman parasta käyttöjärjestelmää”, joka jymähti jumiin tuossa ensiesittelyssä. Se oli Windows 98. Gates ei myöntänyt mitään, mutta toki näytti vähän aikaa hämmentyneeltä ennen kuin  kasasi itsensä, ja jatkoi  käsikirjoitettua liturgiaansa.

Katastrofaalinen Windows-käyttöjärjestelmä ”susi kasi” ei ollut oikein missään suhteessa valmis samaan aikaan kovenevan internet-maailman menoon.

Entä sitten oman mokat, niitä meillä varmasti löytyy kaikilla.

Internetin tietoturva-asiantuntijan tiemmä tunnistaa siitä, että sillä on läppärin kamerasilmän päällä laastari. Ihan huvittaa moiset maneerit. Tai olisiko parempi sanoa: huvittivat.

Näet tässä eräänä päivänä, tablettiruudullani vilahti ilmoitus, että minut on nyt käyttäjätunnuksillani kirjattu sisään Skypeen. Tämä luotettu Microsoft Store -sovellus käytti sisäänkirjautumisessa pääkäyttäjätunnuksiani.

Skype-sovellusta vain en muista käyttäneeni, tai edes tuota koskaan avanneeni.

Hyvä, vähän äänin hain työkaveriltani maalarinteippiä, ja laitoin siitä palan kamerasilmän päälle. Ei  ollut laastaria käsillä.

Läppärit ovat taas tapetilla haavoittuvuuksineen. Kyberrikollisten kekseliäisyys tuntuu ylittävän kaikki odotukset.

Sen sijaan Microsoft näkee uhkia ihan muualla kuin omassa pesässään. Vaikka Microsoft on joutunut EU-tuomioistuimeen kilpailevien selainten syrjimisestä Windowsissa, viimeksi vuonna 2013 vaatimaton 561 miljoonan euron sakko, yrittää jätti nyt Windows 10:n October 2018 -päivityksessään vanhaa konstia, nyt tietoturvasyihin vedoten. Vielä ihmeellisempi on MSn väite, että Edge-selaimen kanssa Win-käyttöjärjestelmä toimisi ”nopeammin”.

Hyökkäys Chromea ja Firefoxia, niitä nimeltä mainitsematta, on tuomittu laajalti Windows Insider -testaajien keskuudessa.

Microsoftin Windows Latest -sivu kertoo Windows October 2018:n Insider -testiversiossa, että erillinen pop up tarjoaa mahdollisuuden sulkea asenteellisten varoitusten antaminen Windowsissa. Eikä lopullista päätöstä syrjivän ohjeen käyttöönotosta ei ole vielä tehty. Se voi maksaa taas satoja miljoonia euroa.

On myös mahdollista että yhtiö joutuu todistamaan väitteensä, että sen Edge on turvallisempi kuin Chrome tai Firefox. Vanhasta Windows Explorerista ei puhuta mitään – selain on vuotanu kuin seula harmaasta graafisen netin alusta asti eli 23 vuotta.

Läppärin vanha kylmäjäähdytyskomento on noussut taas esiin vakavana haavoittuvuutena.

Ennen tälle cold boot -komentosarjalle alt-ctrl-del oli paljon käyttöä, kun eritoten Windows-versiot 95 ja 98 menivät tämän tästä juntturaan, ja hiiri lakkasi toimimasta. Nyt tuo komento on kyberrikollisten käytössä heidän hyökätessään syvälle järjestelmäarkkitehtuurin ohi laitteen Basic Input-Output System -alustaan.

Edelleenkään mitkään käynnistystä tai järjestelmälatausta säätelevät laiteohjelmiston asetukset eivät suojaa tätä fyysistä toimintoa vastaan. Tämä haavoittuvuus on etupäässä laitevalmistajien kontolla, muttei Microsoftkaan voi siitä pestä käsiään.

Hyödyllinen komento on kaapattu tietyllä niksillä rikolliseen käyttöön. Kylmäbootti ja asiantuntijoiden mukaan jo historiaan huomaan unohdettu komentohaavoittuvuus (tjaa, ei tuosta kauan ole, kun käytin sitä viimeksi) on tehnyt paluun fyysisen yritysvakoilun välineenä.  Läppärien korjaamatonta tietoturvahaavoittuvuutta käytetään, kun halutaan äkkiä muistista tärkeää tietoa, kuten salasanoja ja dokumentteja. Menetelmä sopii hyvin varastettujen laitteiden tietojen murtamiseen.

Ongelmat ovat tiedetyt. Suomi ei yksin ole fyysisen, siis tämän reaalimaailmamme tietoturvan takapajula. Myös keskisessä Euroopassa laajalti luotetaan siihen, ettei meille tapahdu sellaista, että yrityksiimme oikeasti tunkeudutaan sisään käsin kosketeltavassa todellisuudessa.

Valitettavasta se teko tapahtuu silloin, kun vahinkoa vähiten odotetaan. Suomalaisen sanonnan mukaan ”vahinko ei tule kello kaulassa”. Merkkejä yhä lisääntyvästä, häikäisemättömästä yritysvakoilusta löytyy. Sitä paitsi kaikkea voi tilata itäisestä naapurimaastamme. Jos murto ei onnistu kyberreittejä käyttäen, saattaa esiin astua uhka ”vierailusta” paikanpäälle.

Apua löytyy, toimenpiteitä osoittava haavoittuvuuksien kartoitus ei ole suuri uhraus siihen nähden, että näin voidaan varmistaa perusturvallisuus yritysympäristössä.

Tietoturvan syvempi olemus on yhteydessä kansalliseen turvallisuuteen, siihen että esimerkiksi sähkönsyötön varajärjestelmät toimivat silloin kun niiden pitää toimia, korostaa valtionvarainministeriön työryhmä.

Huhtikuussa Helsingin pörssissä kaupankäynti keskeytyi Ruotsin palvelukeskuksen palohälytyksen takia.

Varajärjestelmä alkoi toimia vasta useiden tuntien viiveen jälkeen. Suomessa monet palvelut ovat aiempaa riippuvaisempia ulkomailla sijaitsevista tietojärjestelmistä ja tietovarannoista. Järjestelmiämme ”testataan”, tietty ilman tilausta.

Länsimaisten uutislähteiden mukaan Venäjän federaation asevoimien sotilastiedustelun keskuselin, GRU, vapaasti suomentaen ”tiedustelupäähallinto”, kartoittaa kybermaaleja kaikkialla Euroopassa.

GRU kätkee itseensä ainakin nämä kyberhyökkäysryhmät: Fancy Bear, APT 28, BlackEnergy Actors, Sofacy, Pawnstorm, Sednit, CyberCaliphate, Cyber Berkut ja Voodoo Bear. Useat ovat tarunhohtoisia ja vaarallisia, kuten Pimeän Energian Näyttelijät. Tiimit nauttivat runsaskätistä rahoitusta presidentin suojeluksessa. Kremlin terminologiassa krakkeriryhmistä käytetään myös ylevää nimeä patrioottiset hakkerit.

Äskettäin Hollannissa maan tiedustelupalvelu esti GRU-taustaisen Venäjän kyberhyökkäyksen, joka haki kohteekseen Kemiallisten aseiden kieltojärjestön organisaation johtopaikkaa. Hollannin puolustusministeriön mukaan venäläinen rikollisryhmä oli Haagissa pysäköinyt pakun hotellin parkkipaikalle. Suoraan tien toisella puolella sijaitsi Kemiallisten aseiden kieltojärjestö (OPCW), joka toimii yhteistyössä YK:n kanssa. Haagissa toimivalle OPCW:lle myönnettiin vuoden 2013 Nobelin rauhanpalkinto.

Laajeneva Kemiallisten aseiden käyttökielto ei sovi kaikkien maiden pirtaan, niinpä järjestö on osannut varustautua teknisesti rikollista urkintaa vastaan. Poliisi iski epäilyttävään pakuun, ja se oli täynnä elektronista vakoilukojeistoa. GRU kirjasi vakavan takaiskun, kun sen huipputiedusteluun kehitetyt erikoislaitteistot päätyivät Hollannin viranomaisille. WiFi-murtovälineiden lisäksi autosta oli muun mukana vastapäiseen ikkunaan suunnattu herkkä minitutka, jolla napattu ikkunanvärinän signaali on mahdollista muuntaa puheeksi.

Teknisen tietoturvatason nosto – äärimmillään laitteiden irtikytkentä verkosta – johtaa erikoisiin fyysisen maailman operaatioihin, jos tieto, jota halutaan, vain on riittävän kuranttia. Esimerkissämme vielä näkyy klassinen hyvän ja pahan taistelu, kuinka ”hyvä” yrittää nostaa maailman kansoja tuomitsemaan pahan ja epäinhimillisen. Internetin historiassa tämä on ollut alusta asti läsnä jo ennen vuotta 1995 ja graafista internetiä. Mahdollisuuksia löytyy suojautua ”täynnä elektronista laitteistoja” olevilta autoilta. Ei epäilytäkään. Se tosin edellyttää jatkuvaa valveilla oloa, ja tuon tekniikan tuntemista.

Toimivin tapa varmistaa haistelijoiden pysyminen Wi-Fin ulkopuolelle on, että vaihtaa verkon managerilla tehdyn pitkän salasanan reitittimen juuriasetuksista. Näin kaikki verkkoon kytketyt laitteet tosin täytyy yhdistää uudelleen. Pitäisi kestää ihan keskiraskaat murtoyritykset.

Olen ollut hyvä hakkeri, ja olen sitä vieläkin. Olen valmis käyttämään kaiken tietotaitoni ja järkeni lahjat sen puolesta, että hyvä ja vapaus voittavat. ”Ihmiskunnan historia on yleisesti ottaen mennyt parempaan suuntaa, vaikka välillä onkin menty taaksepäin ja vajottu takaisin kaaokseen. Maailma ei ole kuitenkaan koskaan ollut vauraampi ja parempi kuin nyt.” Näin sanoi Yhdysvaltain entinen presidentti Barack Obama Helsingissä Nordic Business Forumissa syyskuussa. Maailmassa toimii kaksi kilpailevaa ideologiaa, Obama jatkoi. ”Toinen on avoimuuteen perustuva ajatusten markkinapaikka, jossa kaikki saavat äänensä kuuluvaksi, ja sitten löytyy toinen tapa. Tässä ajattelussa jonkun ihmisen sana painaa enemmän pelkästään hänen asemansa vuoksi.”

Omasta mielestään asemansa vuoksi etuoikeutettu usein käyttää myös epäeettisiä ja laittomia menetelmiä, kyber- ja hypersodankäyntiä valtansa pönkittämiseen. Avoimuuteen perustuvalla ”ajatusten markkinapaikalla” yksinvaltias olisikin heti kumollaan.

Maailmalla tunnetut salasanamanagerit Keeper, 1Password ja Kaspersky sekä Password Manager pelkkinä ilmaisversioina päihittivät kaikki muut keskeiset salasanojen hallintaan tarkoitetut maksulliset sovellukset. Näin julistaa Kuluttajalehti, joka testasi tusinan yleisempiä salasananhallintasovelluksia.

 

Testissä selvitettiin muun muassa sitä, kuinka manageri toimi tunnusten automaattisessa täyttämisessä, tai havaitsi tilanteita, kun käyttäjä oli reaaliaikaisesti luomassa uutta käyttäjätiliä uuteen palveluun. Paras avoimen lähdekoodin salasanamanageri näyttäisi olevan KeePass. Useimmat avoimen lähdekoodin salasan hallintakoneet ovat hyviä, tai joskus jopa parempia kuin niiden kaupalliset versiot. ”Meillä on tästä kuusi esimerkkiä”, kirjoittaa Best Reviewer. Dashline saa hyviä arvioita kautta linjan. Arvioissa myös LastPass on varsin luotettu työväline. Se selvisi voittajana ”etevä ja edullinen” -mainesanoin myös Mikrobitti-lehden suppeamassa testissä viime talvena.

 

Palvelun käytettävyys on yksi kriteeri. Kun säännön mukaan monipuoliset, kärpän lailla muuttuvat tilanteet haistelevat koneet, ovat myös käytettävyydeltään hyviä. Olemme puhuneet paljon salasanojen suojaamisesta, mutta emme niinkään salasanojen suojaamattomuudesta palvelinammattilaisympäristössä.

Nykyaikainen tietokanta-arkkitehtuuri ei erityisen hyvin suojaa salasanoja, vaan laitoksen tai yrityksen kaikki data, myös salasanat, ovat yleensä yhden pääkäyttäjätunnuksen takana. Usein myös hierarkiatasoltaan alemman statuksen omaavat tiekonnan käyttäjät saavat näkyviin tietokannasta kaiken haluamansa. Esimerkiksi eräässä yliopistossa tavallisilla käyttäjäoikeuksilla pääsee yllättävän pitkälle tutkimaan omiaan, mutta myös muiden asioita, muun muassa opintotuloksia.

 

Voidaan todeta, että tietokanta-arkkitehtuuria ei ole kehitetty riittävästi tietoturvan näkökulmasta. Perusarkkitehtuuri tietokannoissa on ajalta ennen internetiä. Murtamalla yhden ainoan tärkeän palvelinsalasanan haltuunsa voi saada miljoonien tilien tiedot.

 

Yksi ratkaisu edellä kuvattuun ongelmaan voi olla kaksivaiheisen tunnistuksen malli. Siinä pelkkään käyttäjätunnukseen ja salasanaan perustuvan tunnistuksen lisäksi tarvitaan käyttäjän identifiointi. Kaksivaiheinen tunnistus eli 2FA hakee salasanan antamisen jälkeen varmistuksen sille, että käyttäjä on se, kuka tämä väittää olevansa. Erillinen tunnistustapa voi perustua esimeriksi silmän iirikseen. Jos ja kun tunnistus vahventuu oletus on, että kyberrikollisten silmissä tietokantamurtojen arvo alkaa vähetä.

 

Kehitys valitettavasti kulkee vielä eri suuntaan. Tapaamme pankkikortin pikamaksuominaisuuden kaltaisia ratkaisuja, joissa on luovuttu jo alkeellisimmastakin tunnistuksessa. Tunnistuksen turvalliseksi kehittämisen tiellä tosin on aina ollut esteitä. Tämä kehityskäyrä ei ole lineaarinen ja suoraviivainen. Se on Z-käyrä: välillä mennään ylös ja sitten tullaan alas.

Eteenpäin mennään kantapään kautta.

Nyt rytisee uudella tavalla, ja datainfrastruktuuriamme testataan todenteolla. Voimme myös itse nähdä, kuinka haavoittuvia olemme.

Suomen historian suurin kyberhyökkäys alkoi tavallisena syyskuisena tiistaipäivänä.

Väestörekisterikeskuksen mukaan Suomi.fi-tunnistusta käyttäviin sähköisiin asiointipalveluihin, kuten esimerkiksi poliisin, tullin, Kelan, Verohallinnon ja Trafin palveluihin iskettiin enimmäistä kertaa voimalla, joka lopulta kaatoi koko infran.

Kyberhyökkäys vaikutti ammattimaisesti suunnitellulta.

Väestörekisterikeskuksen mukaan Suomi.fi-tunnistuksen häiriö johtui nimenomaan tunnistuspalveluun kohdennetusta palvelunestohyökkäyksestä. Hyökkäyksen ensimerkit 25. syyskuuta nähtiin hieman ennen kelloa 12, ja täyteen voimaansa palvelinpyyntötykitys yltyi kello yhteen mennessä.

Jotakuinkin samoihin aikoihin vaikenivat monien Elisan yritysasiakkaiden siis Kelan, Finnairin, Ylen ja monen muun puhelinvaihteet.

Tämä saman päivän häiriö alkoi jo klo 11.08, mutta puhelinoperaattori Elisan mukaan kännykkäliikennehäiriö ei olisi ollut yhteydessä muuhun netin infrastruktuuria lamauttaneeseen palvelinestohyökkäykseen. Elisa antaa ymmärtää, että sen verkkohäiriöiden syy olisi hyvinkin operaattorin itsensä tiedossa. Mutta totuus on, että poliisilla oli jumissa samaan aikaan sekä nettialustat että puhelinpalvelut – melkoinen sattuma.

Lopulta Suomi.fi-tunnistus oli poissa käytössä runsaat kolme ja puoli tuntia.

Kiitos ripeästä toiminnasta kuuluu Valtion tieto- ja viestintätekniikkakeskus Valtorille sekä ohjelmistoyhtiö Tiedolle.

Tietoturva-alalla ei useinkaan ole muita mahdollisuuksia kuin luottaa siihen, mitä firmat kertovat.  Poliisi kertoi itse tilanteestaan Twitterissä.

 

Sitten on se toinen areena, tieturva-alan sisäpiirin tiedonvaihto omassa keskuudessaan.

Siellä kerrotaan, että tämä isku palvelimiin olisi ollut kokeilu, miten hybridisodankäynnin kyberaseet toimivat infran lamauttamisessa. Toimivat ne, mutta myös torjunta pelasi.

Hyökkäys oli monialainen, se on käynyt selväksi. Muutenhan ei ole olemassa minkäänlaisia kansainvälisiä standardeja, eikä edes kummoisia kriteereitä kyberhyökkäysten todentamisesta.

Mikään maaginen sattuma-ajoitus tuskin pimentää samanaikaisesti poliisin kaikkia julkisia viestikanavia.

On esitetty, että asialla olisivat niin sanottu patrioottiset hakkerit, kuittina edellisenä viikonloppuna Turun saaristossa tehtyyn näyttävään iskuun venäläisiä velkaisia yhtiöitä vastaan.

Ajattelin ratsiaa televisiossa seuratessani, olen nimittäin entinen nuorisopoliitikko, että kuittihan se tuosta tuommoisesta ilman muuta tulee ennemmin  tai myöhemmin.

Se taisi nyt tulla enemmin, ja sähköisessä muodossa.

Palvelunestoja on paljon tukittu jäljittämällä niiden reittejä suurenmaailman suurilla peilipalvelimilla. Viitteitä siitä, mistä suunnasta servereille zombikoneiden palvelupyyntövyöry tosiasiallisesti tulee, mistä luuhaa hyökkäyksen johto. Vihjetietoa siitä voidaan saada, tai sitten sekin vähäinen tiedonmuru on peiteoperaatiosta.

Tätä kirjoittaessa tiedustelulakeja säädetään perustuslaissa säädetyn menettelytavan mukaisesti kiireellisiksi. Se on hyvä.

Nyt tiedämme, että Googlen sovellukset tallentavat aikaleimoilla varustettuja sijaintitietoja, vaikka toiminto on kytketty pois päältä.

Uutistoimisto AP:n hankkiman aineiston mukaan Googlen palvelut seuraavat luvatta käyttäjiensä sijaintia ja tallentavat paikkatietoja Android-laitteilla paikannuksen pois-kytkennästä piittaamatta.

Näin tosin toimivat myös iPhone-laitteet, vaikka GPS olisi kytketty poispäältä, raportoi luotettava Associated Press.

Ei vaikuta reilulta peliltä.

Associated Press nostaa vertailuun tekstiä Googlen omilta tukisivuilta. Myös suomen kielellä tuessa kerrotaan: ”Päätät itse, mitä sijaintihistoriaasi tallennetaan, ja voit poistaa historiasi milloin tahansa.”

AP:n haastattelemat asiantuntijat lyttäävät vakuuttelut lähinnä turhiksi korulauseiksi.

Tosiasiassa paikannustietojen sulkeminen voi estää tietojen päätymisen Google Maps -karttapalvelun grafiikalle, mutta ei todellisuudessa jätä liikkuvaa älyluuria ilman paikkatieto-targettien tallennusta.

Tämä tapaus on taas yksi esimerkki siitä, kuinka falskeja data-analytiikan pelisäännöt ovat. Koko data-analytiikan ja kohdennetun mainonnan avaama suuri mahdollisuus valuu hukkaan, kun järjestelmätasolla tehdään tämän luokan filunkia.

Google-tilillä Omat tapahtumat -sivuston kautta pääsee Toimintojen hallinta -kohtaan, josta ainakin periaatteessa voi siellä poistaa käytöstä sijaintihistorian. Google tulee väliin kertoen, että paikannuksen keskeyttäminen ”voi estää tai rajoittaa käyttökokemuksen yksilöintiä Googlen palveluissa”.

Jos halajaa sijaintietojen keräämisen loppuvan kokonaan, käyttäjän tulee ruksia Verkko- ja sovellustoiminta kokonaan pois päältä. Sijaintitietojen estämiseksi täytyy siis ohjelmoida pois käytöstä kaksi erillistä asetusta, mitä Google pitää ”ihan helppona”.

En sanoisi.

Pikemmin tämä muistuttaa Facebookin säädösviidakkoa, jonka kunnolliseen hallintaan yltää tuskin kukaan.

Niin arvokasta on seurantadata, että sen datan haalinnan torppaaminen vaatii vahvaa tietoteknistä orientaatiota ja seikkaperäisiä ohjeistuksia. Jos tarvis, näitä toki voidaan julkaista, ja tarjota tietosuoja-konsulttipalvelua.

Googlen uskottavuus käyttäjäsopimuskumppanina vähenee pala kerrallaan. Lisänä tulevat uudet tiedot Android-käyttöjärjestelmän haavoittuvuuksista.

Android-laitteiden sisäinen työmuisti pyritään suojaamaan haittaohjelmilta mahdollisimman pitävästi. Engadget-lehden toimitus on kuitenkin havainnut, että lähdekoodilla on taipumus luottaa merkillisen paljon ulkoisiin sd-muistikortteihin. Riskit realisoituvat, jos sertifioidut sovellukset käyttävät ulkoista muistia päivityslautauksiin. Silloin luotettuja ohjelmia voidaan käyttää muuleina vähemmän hyväntahtoisille haittakoodeille.

Muulin avulla hyökkääjälle avautuu pääsy laitteen Androidin kerneliin. Seuraukset ovat haitallisia tai aivan pirullisia. Tuo haavoittuvuus on vakava, se on selvää.

Tutkijoiden mukaan ulkoisen muistin muulikäyttöön on kaapattu yllättäviä tahoja, esimerkiksi Googlen käännössovellukset, tietyt Yandex-alustat, puheentunnistuksella kirjoittava ohjelmisto sekä eräs tekstiä puheeksi muokkaava sovellus.

Käyttäjä lataa viattomalta tuntuvan apusovelluksen, mutta kun nämä isäntäohjelmat tarkistavat, onko päivityksiä tarjolla, tulee itsensä kätkevä haittakoodi mukana. Sisällä rootkit käynnistää omia sovelluksia, muuttaa asetuksia, mutta voi kaataa laitteen ja siihen liittyen hakea omia välineitään laitteen käyttäjätasolle.

Tämä turva-aukko kertoo siitä, ettei käyttäjää ole suojattu riittävästi sd-korttipaikan kautta tapatuvalta tunkeutumiselta ja konfiguroinnilta.

Peli piratismin puolesta ja sen vapautta vastaan kovenee.

Netin harmaalla alueella käydään merkillistä voimien mittelöä, joka heijastuu nyt Chrome-käyttäjien arkeen. Kymmenien miljoonien Mega.nz-palveluun kirjautuneiden tilitiedot vuosivat teille tietämättömille.

Tiedostojen lataus- ja jakopalvelu Mega.nz varoittaa nyt käyttäjiään sen palveluun välillisesti tehdystä tietomurrosta.

Äskettäin piraattipalvelu Mega.nz:n Chrome-selaimeen koodatun erityisen ”laajennuksen” myötä palvelun käyttäjät altistuivat uudentyyppiselle verkkohyökkäykselle. Operaatiossa lisäosa oli korvattu yhtäkkiä rikollisella laajennuksella, ”päivitysversiolla”, joka tyhjensi serverin käyttäjätietokannat. Hyödynsaaja jäljitettiin ukrainalaiselle palvelimelle.

Taustaa: Mega-tiedostonjakopalvelu on perustettu Hongkongissa toimineen megaluokassa tekijänoikeuksia polkeneen Megauploadin seuraajaksi. Megauploadin ajojahti alkoi USA:sta. Megauploadin ”työnjatkaja” Mega on saatavilla myös suomen kielellä. Suomalais-saksalainen, Mega/Megauploadin perustaja Kim Dotcom käyttää varsinaisen kotimaansa Uuden-Seelannin verkkotunnusta .nz taktisista syistä.

Mega suorittaa 128-bittistä, toistaiseksi murtamatonta AES-salausjärjestelmää. Tiedot ovat siis poikkeuksellisen hyvin salattuja. Edes sivuston ylläpitäjät eivät tiedä, mitä käyttäjät lataavat Megan paletista.

Kyberhyökkääjät käyttivät uutta menetelmää saatuaan haltuunsa Megan palvelimen ohjauskoodeja.

Megan Chrome-selaimeen tarkoitettu laajennus vaihdettiin lennosta vaaralliseen versioon, raportoi The Hacker News.

Tämä Chrome-laajennuksen versio 3.39.4 on tosi asiassa laajennuksen asemesta aggressiivinen bullet, murtokone. Selainasetuksista riippuen se yrittää asentua turvallisen version päälle, ja siis varastaa käyttäjätunnuksia Microsoftin, Githubin, Googlen Amazonin kaltaisiin palveluihin. Palvelimilta feikkilajennus vei, tai yritti viedä, kryptovaluuttoja.

Megan pääkäyttäjä huomasi tapahtuneen vasta neljä tuntia kyberhyökkäyksen alettua. Dotcom päivitti laajennuksen turvalliseksi laajennusversiolla 3.39.5. Vaarallisen feikkiversion taas saivat ne piraattipalvelun käyttäjät, joilla selaimessa sattui olemaan automaattiset päivitykset päällä. Huomio, ei koskaan näin! Aina kaikki päivityspaketit sisään kyselyn ja oman hyväksynnän kautta, kiitos.

Google noteerasi väärän Mega-laajennuksen Chrome Web Storessa vasta viitisen tuntia murron jälkeen, ja poisti sen jakelusta. Kuinka moinen viritys oli edes tarjolla virallisen statuksen omaavassa sovelluskaupassa?

Internetin ja sen teknologioiden vapautta Dotcomin aatemaailmassa on vaalittu pitkään populistisen kirkasotsaisuuden hengessä. Sen sijaan jenkkiviranomaisten arvioissa elokuvastudiot ja levy-yhtiöt ovat menettäneet Dotcomin ja kolmen muun Megaupload-johtajan takia 550 miljoonaa dollaria rahaa.

Uudessa-Seelannissa tekijänoikeusrikoksia ei lasketa varsinaisiksi rikoksiksi, ja sieltä käsin tiedostojako on voinut jatkua. Mutta nyt Dotcom lupaa haastaa Uuden-Seelannin valtion oikeuteen ja vaatii valtiolta yhteensä 5,5 miljardin euron korvaussummaa. Syy siihen on, että valtio ehti luovuttaa Megauploadin datan Yhdysvaltoihin. Ylempi oikeus perui datan luovutuksen myöhemmin, mutta eihän sitä saatu Jenkeistä takaisin saarivaltioon.

Epilogi: uutta, salaukseltaan 128-bittistä dataa ei voi murtaa. Nyt sitten hyökättiin välillisesti piraattipalvelun käyttäjiä vastaan. Tapahtumilla on näemmä huomioarvoa. BBC, Reuters, Wired ja monet muut lehdet sekä uutistoimistot seuraavat tiiviisti huimissa summissa liikkuvia vaateita ja vastavaateita. Sota syvenee ja peli kovenee.

 

Useiden epävirallisilta alustoilta ladattujen selainliitännäisten ja -sovellusten takana vaikuttaisi olevan tarkkoja tietoja tuotteidensa käyttäjistä kalasteleva haittakoodi. Miljoonien puhelinten saastumisesta vastaa alkuperäiseltä nimeltään Yhdysvalloissa rekisteröity yhtiö Big Star Labs, mutta nyt sen hämärätouhujen tultua julki datavoro toimii tekaistujen nimien suojissa.

Teknologiauutisiin ja -paljastuksiin erikoistunut verkkosivusto Ars Technica hyökkää rajusti Big Star Labsin kimppuun. Skuuppisivuston mukaan Firefox- ja Chrome-selaimille tarkoitettuja erinäisiä liitännäisiä mallia Big Star Labs olisi ladattu jo yli 11,5 miljoonaa kertaa.

Mitä Big Star Labs tekee haltuunsa saamalla datalla? Raakaa, luvatonta data-analytiikkabisnestä, jossa aiemmin on käytetty muun muassa Facebook-alustaa.

Dataa vuotaa ulos seuraavista sovelluksista ja liitännäisistä: Speed BOOSTER, Block Site, AdblockPrime, Battery Saver, AppLock | Privacy Protector, Clean Droid, Poper Blocker ja CrxMouse sekä Mobile health club apps.

Älkää ladatko. Ilmaisjakeluhan on vanha konsti ujuttaa markkinoille pahantahtoisia ohjelmia.

Yksi kerrallaan nämä koodit ovat hävinneet virallisista sovelluskaupoista, ainakin Googlen Play Storesta ja Chrome Web Storesta. Taas Adblock Prime ei koskaan edes ollut ladattavissa Applen omassa sovelluskaupassa, mutta silti ilmaisella Adblockerilla on menekkiä apuohjelmana.

On huomattava, että saastuneet sovellukset toimivat, ja siis ovat näennäisesti käyttökelpoisia. Mielestään ”hyvää halvalla” saanut käyttäjä jättää haittakoodit koneelleen tekemään myyräntyötään. Tosi asiassa sovellukset eivät nuku hetkeäkään vaan suorittavat varsinaista tehtäväänsä eli keräävät analysoitavaa dataa.

Androidissa haittasovellukset pyytävät oikeuksia puhelimen esteettömyysasetuksiin, mikä on yleinen haittaohjelmien käyttämä keino päästä hallitsemaan laitetta. Luvat saatuaan haittaominaisuudet pitävät kirjaa jokaisesta käyttäjän avaamasta sivustosta, identifioivat ja luokittelevat; selaimen spesifi saastutus tapahtuu yksilöllistä tunnistekoodia apuna käyttäen. Se luodaan vakoiluohjelmiston asentamisen yhteydessä. Selaushistorian avulla selvitetään nopeasti henkilön identiteetti.

Väitetään, että vajaa kaksi vuotta sitten perustettu Big Star Labs olisi haalinut omistukseensa sopiviksi katsomiaan sovelluksia ja tämän jälkeen valjastanut ne omiin hämäriin tarkoituksiinsa. Muun muassa AdGuard-ohjelmistoyhtiö on blogissaan maalannut Big Star Labsin toiminnan synkin värein.

Tämän lisäksi yhtiö teki Chrome- ja Firefox-nettiselaimiin omia koodeja, muun muassa Block Site sekä Poper Blocker -lisäosat, todellisena tehtävänään varastaa selaindataa.

Nyt yhtiö simuloi firmanimeään eri sovelluskauppa-alustoilla, ja todennäköisesti myös haittaohjelmia jaetaan simuloiduilla nimillä.

Sekä firman nimi että käyttöehdot tarjoillaan kuvatiedostoina, joista on hankala tehdä sanahakuja ehtojen tutkimista varten. Ammattimaista hämärätoimintaa, sanoisin, ja kokonaisuutena arvioiden törkeää, niin törkeää, että jopa bulevardilehdet kiinnostuvat siitä.