Tietoturva

Nyt tiedämme, että Googlen sovellukset tallentavat aikaleimoilla varustettuja sijaintitietoja, vaikka toiminto on kytketty pois päältä.

Uutistoimisto AP:n hankkiman aineiston mukaan Googlen palvelut seuraavat luvatta käyttäjiensä sijaintia ja tallentavat paikkatietoja Android-laitteilla paikannuksen pois-kytkennästä piittaamatta.

Näin tosin toimivat myös iPhone-laitteet, vaikka GPS olisi kytketty poispäältä, raportoi luotettava Associated Press.

Ei vaikuta reilulta peliltä.

Associated Press nostaa vertailuun tekstiä Googlen omilta tukisivuilta. Myös suomen kielellä tuessa kerrotaan: ”Päätät itse, mitä sijaintihistoriaasi tallennetaan, ja voit poistaa historiasi milloin tahansa.”

AP:n haastattelemat asiantuntijat lyttäävät vakuuttelut lähinnä turhiksi korulauseiksi.

Tosiasiassa paikannustietojen sulkeminen voi estää tietojen päätymisen Google Maps -karttapalvelun grafiikalle, mutta ei todellisuudessa jätä liikkuvaa älyluuria ilman paikkatieto-targettien tallennusta.

Tämä tapaus on taas yksi esimerkki siitä, kuinka falskeja data-analytiikan pelisäännöt ovat. Koko data-analytiikan ja kohdennetun mainonnan avaama suuri mahdollisuus valuu hukkaan, kun järjestelmätasolla tehdään tämän luokan filunkia.

Google-tilillä Omat tapahtumat -sivuston kautta pääsee Toimintojen hallinta -kohtaan, josta ainakin periaatteessa voi siellä poistaa käytöstä sijaintihistorian. Google tulee väliin kertoen, että paikannuksen keskeyttäminen ”voi estää tai rajoittaa käyttökokemuksen yksilöintiä Googlen palveluissa”.

Jos halajaa sijaintietojen keräämisen loppuvan kokonaan, käyttäjän tulee ruksia Verkko- ja sovellustoiminta kokonaan pois päältä. Sijaintitietojen estämiseksi täytyy siis ohjelmoida pois käytöstä kaksi erillistä asetusta, mitä Google pitää ”ihan helppona”.

En sanoisi.

Pikemmin tämä muistuttaa Facebookin säädösviidakkoa, jonka kunnolliseen hallintaan yltää tuskin kukaan.

Niin arvokasta on seurantadata, että sen datan haalinnan torppaaminen vaatii vahvaa tietoteknistä orientaatiota ja seikkaperäisiä ohjeistuksia. Jos tarvis, näitä toki voidaan julkaista, ja tarjota tietosuoja-konsulttipalvelua.

Googlen uskottavuus käyttäjäsopimuskumppanina vähenee pala kerrallaan. Lisänä tulevat uudet tiedot Android-käyttöjärjestelmän haavoittuvuuksista.

Android-laitteiden sisäinen työmuisti pyritään suojaamaan haittaohjelmilta mahdollisimman pitävästi. Engadget-lehden toimitus on kuitenkin havainnut, että lähdekoodilla on taipumus luottaa merkillisen paljon ulkoisiin sd-muistikortteihin. Riskit realisoituvat, jos sertifioidut sovellukset käyttävät ulkoista muistia päivityslautauksiin. Silloin luotettuja ohjelmia voidaan käyttää muuleina vähemmän hyväntahtoisille haittakoodeille.

Muulin avulla hyökkääjälle avautuu pääsy laitteen Androidin kerneliin. Seuraukset ovat haitallisia tai aivan pirullisia. Tuo haavoittuvuus on vakava, se on selvää.

Tutkijoiden mukaan ulkoisen muistin muulikäyttöön on kaapattu yllättäviä tahoja, esimerkiksi Googlen käännössovellukset, tietyt Yandex-alustat, puheentunnistuksella kirjoittava ohjelmisto sekä eräs tekstiä puheeksi muokkaava sovellus.

Käyttäjä lataa viattomalta tuntuvan apusovelluksen, mutta kun nämä isäntäohjelmat tarkistavat, onko päivityksiä tarjolla, tulee itsensä kätkevä haittakoodi mukana. Sisällä rootkit käynnistää omia sovelluksia, muuttaa asetuksia, mutta voi kaataa laitteen ja siihen liittyen hakea omia välineitään laitteen käyttäjätasolle.

Tämä turva-aukko kertoo siitä, ettei käyttäjää ole suojattu riittävästi sd-korttipaikan kautta tapatuvalta tunkeutumiselta ja konfiguroinnilta.

Peli piratismin puolesta ja sen vapautta vastaan kovenee.

Netin harmaalla alueella käydään merkillistä voimien mittelöä, joka heijastuu nyt Chrome-käyttäjien arkeen. Kymmenien miljoonien Mega.nz-palveluun kirjautuneiden tilitiedot vuosivat teille tietämättömille.

Tiedostojen lataus- ja jakopalvelu Mega.nz varoittaa nyt käyttäjiään sen palveluun välillisesti tehdystä tietomurrosta.

Äskettäin piraattipalvelu Mega.nz:n Chrome-selaimeen koodatun erityisen ”laajennuksen” myötä palvelun käyttäjät altistuivat uudentyyppiselle verkkohyökkäykselle. Operaatiossa lisäosa oli korvattu yhtäkkiä rikollisella laajennuksella, ”päivitysversiolla”, joka tyhjensi serverin käyttäjätietokannat. Hyödynsaaja jäljitettiin ukrainalaiselle palvelimelle.

Taustaa: Mega-tiedostonjakopalvelu on perustettu Hongkongissa toimineen megaluokassa tekijänoikeuksia polkeneen Megauploadin seuraajaksi. Megauploadin ajojahti alkoi USA:sta. Megauploadin ”työnjatkaja” Mega on saatavilla myös suomen kielellä. Suomalais-saksalainen, Mega/Megauploadin perustaja Kim Dotcom käyttää varsinaisen kotimaansa Uuden-Seelannin verkkotunnusta .nz taktisista syistä.

Mega suorittaa 128-bittistä, toistaiseksi murtamatonta AES-salausjärjestelmää. Tiedot ovat siis poikkeuksellisen hyvin salattuja. Edes sivuston ylläpitäjät eivät tiedä, mitä käyttäjät lataavat Megan paletista.

Kyberhyökkääjät käyttivät uutta menetelmää saatuaan haltuunsa Megan palvelimen ohjauskoodeja.

Megan Chrome-selaimeen tarkoitettu laajennus vaihdettiin lennosta vaaralliseen versioon, raportoi The Hacker News.

Tämä Chrome-laajennuksen versio 3.39.4 on tosi asiassa laajennuksen asemesta aggressiivinen bullet, murtokone. Selainasetuksista riippuen se yrittää asentua turvallisen version päälle, ja siis varastaa käyttäjätunnuksia Microsoftin, Githubin, Googlen Amazonin kaltaisiin palveluihin. Palvelimilta feikkilajennus vei, tai yritti viedä, kryptovaluuttoja.

Megan pääkäyttäjä huomasi tapahtuneen vasta neljä tuntia kyberhyökkäyksen alettua. Dotcom päivitti laajennuksen turvalliseksi laajennusversiolla 3.39.5. Vaarallisen feikkiversion taas saivat ne piraattipalvelun käyttäjät, joilla selaimessa sattui olemaan automaattiset päivitykset päällä. Huomio, ei koskaan näin! Aina kaikki päivityspaketit sisään kyselyn ja oman hyväksynnän kautta, kiitos.

Google noteerasi väärän Mega-laajennuksen Chrome Web Storessa vasta viitisen tuntia murron jälkeen, ja poisti sen jakelusta. Kuinka moinen viritys oli edes tarjolla virallisen statuksen omaavassa sovelluskaupassa?

Internetin ja sen teknologioiden vapautta Dotcomin aatemaailmassa on vaalittu pitkään populistisen kirkasotsaisuuden hengessä. Sen sijaan jenkkiviranomaisten arvioissa elokuvastudiot ja levy-yhtiöt ovat menettäneet Dotcomin ja kolmen muun Megaupload-johtajan takia 550 miljoonaa dollaria rahaa.

Uudessa-Seelannissa tekijänoikeusrikoksia ei lasketa varsinaisiksi rikoksiksi, ja sieltä käsin tiedostojako on voinut jatkua. Mutta nyt Dotcom lupaa haastaa Uuden-Seelannin valtion oikeuteen ja vaatii valtiolta yhteensä 5,5 miljardin euron korvaussummaa. Syy siihen on, että valtio ehti luovuttaa Megauploadin datan Yhdysvaltoihin. Ylempi oikeus perui datan luovutuksen myöhemmin, mutta eihän sitä saatu Jenkeistä takaisin saarivaltioon.

Epilogi: uutta, salaukseltaan 128-bittistä dataa ei voi murtaa. Nyt sitten hyökättiin välillisesti piraattipalvelun käyttäjiä vastaan. Tapahtumilla on näemmä huomioarvoa. BBC, Reuters, Wired ja monet muut lehdet sekä uutistoimistot seuraavat tiiviisti huimissa summissa liikkuvia vaateita ja vastavaateita. Sota syvenee ja peli kovenee.

 

Useiden epävirallisilta alustoilta ladattujen selainliitännäisten ja -sovellusten takana vaikuttaisi olevan tarkkoja tietoja tuotteidensa käyttäjistä kalasteleva haittakoodi. Miljoonien puhelinten saastumisesta vastaa alkuperäiseltä nimeltään Yhdysvalloissa rekisteröity yhtiö Big Star Labs, mutta nyt sen hämärätouhujen tultua julki datavoro toimii tekaistujen nimien suojissa.

Teknologiauutisiin ja -paljastuksiin erikoistunut verkkosivusto Ars Technica hyökkää rajusti Big Star Labsin kimppuun. Skuuppisivuston mukaan Firefox- ja Chrome-selaimille tarkoitettuja erinäisiä liitännäisiä mallia Big Star Labs olisi ladattu jo yli 11,5 miljoonaa kertaa.

Mitä Big Star Labs tekee haltuunsa saamalla datalla? Raakaa, luvatonta data-analytiikkabisnestä, jossa aiemmin on käytetty muun muassa Facebook-alustaa.

Dataa vuotaa ulos seuraavista sovelluksista ja liitännäisistä: Speed BOOSTER, Block Site, AdblockPrime, Battery Saver, AppLock | Privacy Protector, Clean Droid, Poper Blocker ja CrxMouse sekä Mobile health club apps.

Älkää ladatko. Ilmaisjakeluhan on vanha konsti ujuttaa markkinoille pahantahtoisia ohjelmia.

Yksi kerrallaan nämä koodit ovat hävinneet virallisista sovelluskaupoista, ainakin Googlen Play Storesta ja Chrome Web Storesta. Taas Adblock Prime ei koskaan edes ollut ladattavissa Applen omassa sovelluskaupassa, mutta silti ilmaisella Adblockerilla on menekkiä apuohjelmana.

On huomattava, että saastuneet sovellukset toimivat, ja siis ovat näennäisesti käyttökelpoisia. Mielestään ”hyvää halvalla” saanut käyttäjä jättää haittakoodit koneelleen tekemään myyräntyötään. Tosi asiassa sovellukset eivät nuku hetkeäkään vaan suorittavat varsinaista tehtäväänsä eli keräävät analysoitavaa dataa.

Androidissa haittasovellukset pyytävät oikeuksia puhelimen esteettömyysasetuksiin, mikä on yleinen haittaohjelmien käyttämä keino päästä hallitsemaan laitetta. Luvat saatuaan haittaominaisuudet pitävät kirjaa jokaisesta käyttäjän avaamasta sivustosta, identifioivat ja luokittelevat; selaimen spesifi saastutus tapahtuu yksilöllistä tunnistekoodia apuna käyttäen. Se luodaan vakoiluohjelmiston asentamisen yhteydessä. Selaushistorian avulla selvitetään nopeasti henkilön identiteetti.

Väitetään, että vajaa kaksi vuotta sitten perustettu Big Star Labs olisi haalinut omistukseensa sopiviksi katsomiaan sovelluksia ja tämän jälkeen valjastanut ne omiin hämäriin tarkoituksiinsa. Muun muassa AdGuard-ohjelmistoyhtiö on blogissaan maalannut Big Star Labsin toiminnan synkin värein.

Tämän lisäksi yhtiö teki Chrome- ja Firefox-nettiselaimiin omia koodeja, muun muassa Block Site sekä Poper Blocker -lisäosat, todellisena tehtävänään varastaa selaindataa.

Nyt yhtiö simuloi firmanimeään eri sovelluskauppa-alustoilla, ja todennäköisesti myös haittaohjelmia jaetaan simuloiduilla nimillä.

Sekä firman nimi että käyttöehdot tarjoillaan kuvatiedostoina, joista on hankala tehdä sanahakuja ehtojen tutkimista varten. Ammattimaista hämärätoimintaa, sanoisin, ja kokonaisuutena arvioiden törkeää, niin törkeää, että jopa bulevardilehdet kiinnostuvat siitä.

Nyt sattui tietomurto omalle kohdalle, ja pääsin osalliseksi tapahtumista. Ahdistavaa. Pankki oli vielä tehnyt vanhan tuttuun domainiinsa automaattisen uudelleen ohjautumisen uutteen url-osoitteeseen.

Hiki virtasi.

Juuri tällaista sivustojen uudelleen ohjautumisista, huijaussivustoista sekä tietojen kalasteluista pankit varoittelevat asiakkaitaan.

Paniikki iski, kun tuttu sivu lähti hakemaan uutta urlia. Onko tilini kaapattu?

Onko koko pankkisivusto hetkellisesti kaapattu?

Ei sentään. Selviää pian, että siellä olikin vain niin sanotusti pukki kaalimaan vartijana. Järjestön temppu pankilta, koska tuollainen ohjailu vain heikentää entisestään luottamusta verkkopankkeihin.

Oli tosi kyseessä.

Näet olin juuri saanut seuraavan tiedon Tickermasterilta tietomurrosta:

”Otamme sinuun yhteyttä, koska olet ostanut tai yrittänyt ostaa lippuja syyskuun 2017 ja kesäkuun 23. 2018 välisenä aikana. Vaikka meillä ei ole näyttöä tietojesi väärinkäytöstä, ilmoitamme sinulle tästä asiasta varotoimenpiteenä. Suosittelemme, että tarkkailet tilitapahtumiasi väärinkäytön tai identiteettivarkauden varalta”.

Ticketmasterin kansainvälisillä verkkosivuilla käytössä ollut Inbenta-järjestelmä on vuotanut asiakastietokannan.

”Tietoturvatiimimme ja tekniset asiantuntijamme työskentelevät kellon ympäri selvittääkseen, kuinka tietomurto on vaikuttanut asiakastietoihin.”

”Teemme yhteistyötä asiaankuuluvien viranomaisten ja luottokorttiyhtiöiden sekä pankkien kanssa.”

Juhannuksena Ticketmaster UK havaitsi tapahtuneen kybermurron Inbenta Technologiesin ylläpitämässä asiakastukijärjestelmässä. Inbenta Technologies on Ticketmasterin käyttämä kolmannen osapuolen sovellustoimittaja, jolta asiakastietokanta vietiin.

Kaikki Inbenta-tuotteet kaikilta Ticketmasterin verkkosivuilta on suljettu ja asiakasatilit resetoitu välittömästi tietomurron havaitsemisen jälkeen. Mutta vahinko ehti tapahtua, henkilö- ja maksutiedot nähtävästi päätyivät tuntemattoman kolmannen osapuolen haltuun.

Ticketmaster kertoo perustaneensa tietomurtoaiheeseen liittyvän verkkosivun, tietoturva.ticketmaster.fi vastatakseen Inbentan tietomurtoa koskeviin kysymyksiin, mutta tosi asiassa toimet kuulostavat jälkijättöisiltä.

Vahinko oli jo tapahtunut, ja perinteiseen krakkerityyliin juhannus- tai jouluyönä, kun miehitys serverien valvomoissa on minimaalinen.

Vahan koulun pönkät, monenako juhannuksena tai jouluna olette lähteneet kesken kaiken torjumaan palvelunestohyökkäyksiä?

Https on pettänyt, ja siitä on seuraamuksia.

Varautukaa vuodenvaihteeseen: laitetekniikka vanhenee käsiin, koska esimerkiksi Windows XP ja Androidin versiot ennen versio neljää samoin kuin  iOS:n versio neljää vanhemmat alustat, eivät tue TLS-suojausprotokollan (Transport Layer Security) versiota 1.1 tai sitä uudempaa versiota. Vahvaa tunnistautumista käytetään esimerkiksi verottajan palveluissa ja verkkopankeissa.

Google on ensimmäinen, joka merkitsee Chrome-selaimessaan turvattomiksi kaikki ne domainit, joissa ei toimi SSL/https-suojaus.

SSL-sertifioidut sivustot käyttävät aina https-alkuista osoitetta. Tämän endrauksen ajoitus oli varsin oikea, koska tiedetään, että uusimmassa kyberhyökkäysaallossa tähän asti murtamattomana pidetyn https-protokollan toimintaa on sabotoitu reitittimissä.

VPNFilter-nimisen reititinten tuhoojan uudet, pirulliset versiot voivat murtaa https-protokollan reititintasolla. Chromeen tulee ilmoitus vakavasta tietoturvauhasta, kun https tipahtaa pois päältä. SSL-sertifioudun https-protokollan käyttö on vuosikymmeniä kertonut siitä, että verkko-ostosten tai verkkopankkiyhteyksien tietoliikenne on salattu vahvasti. Suojaamattomasta verkkosivusta varoitetaan paitsi ikonilla nyt myös tekstillä, joka ilmestyy verkko-osoitteen osoiterivin viereen. Google Security Blog -blogi suorastaan pullisteli ylpeydestä kertoessaan uusista turvaratkaisuista. Suojatut sivustot merkitään puolestaan vihreällä ikonilla ja ”secure” -tekstillä.

Chrome on jo menossa selainversiossa numero 68. Siinä teemana on datan siirron turvallisuuden varmistaminen. Chromeen on satsattu valtavasti. Ilmaiseksi jaettavan selaimen ansaintalogiikka tietysti käyttäjäpäässä saattaa hieman mietityttää, mutta viimeaikoina Googlea koskien ei ole näkynyt paljastuksia, että se olisi myynyt käyttäjädataansa käyttäjäsopimusten vastaisesti, esimerkiksi suurvaltojen salaisille palveluille tai muihin hämäräkohteisiin.

Viime vuonna sivustojen https-suojausten määrä kasvoi rajusti, ja sama suuntaus jatkuu edelleen. Googlen mukaan yli 67 prosenttia Chrome-liikenteestä sekä Android- että Windows-pohjalla on jo suojattu. Vielä parempaa on se, että 78 prosenttia Chrome-liikenteestä sekä Chrome-käyttöjärjestelmissä että Mac-tietokoneissa tiedetään SSL-sertifioidusti suojatuksi. Web-sivustoista 100 parhaaksi valkatun sivuston kärkiryhmässä peräti 81 oletusarvoisesti käyttää https-protokollaa.

Parsimista silti riittää. Kyberrikollisten mielenkiinto näyttäisi nyt siirtyvän css-koodin kääntäjän suuntaan. Ars Technica -sivusto väitti äskettäin, että suosituissa Chrome- ja Firefox-selaimissa olisi noin vuoden ajan toiminut haavoittuvuus, joka tietyn css-turva-aukon kautta olisi vuotanut ainakin Facebookin käyttäjien graafisia aineistoja, kuvia ja tilejä salasanoineen ynnä muita yksityistietoja. Tämä kybermurto tosin edellytti, että tuleva kalastelun uhri oli saastuttanut selaimensa vieraillessaan määrätyllä hyökkäyskoodia sisältäneillä verkkosivulla (lue: aikuisviihdesivuilla). Tuttu kaava.

Selaimeen ujutettu haittakoodi hyödynsi css-koodauksen vasta käyttöönotettuja uusia ominaisuuksia. Chrome-selaimen suurissa ohjelmistopäivityksissä, jotka merkitään selainversioina, pyritään ennakoimaan juuri css:n kehitettyjen uusien haittaominaisuuksien vaarat. Css-haavoittuvuuden väitetään toimineen Firefoxissa vielä pitkään sen jälkeen kun Chrome oli sen jo paikannut.

Luonnollisesti Google ei kehuskele tällaisilla reaali-virtuaalimaailman takapihalta löytyvillä rojuilla. Tuo css-aukko oli muuten kahden eri tietoturvaryhmän havaitsema.

Edelleen varoitetaan html5- ja css-standardiin liitetyistä uusista graafisista härpäkkeistä. Ne ovatkin usein tarpeettomia hienouksia, ja selaimen valikoista pitäisi moiset hienoudet halutessaan pystyä torppaamaan, koska varmuus tietoturvasta menee kaiken edelle. Lähetänpä tästä aiheesta viestiä Googlellekin päin, koska hövelisti siellä pyytävät palautetta.

 

Https (hypertext transport protocol secure) on tietyllä tavalla ollut netin dataturvan kivijalka, johon ennen muuta pankkiyhteysputken suoja on perustunut. Nyt on rysäytetty kaivinkoneella kivijalan nurkkaan ja se ei ehkä palaa enää entiselleen.

Vaarallisen VPNFilter-kybermurtotyökalun raportoidaan eliminoineen saastuttamissaan järjestelmissä https-suojauksen, jolloin url-osoitteesta tipahtaa s-kirjain pois, ja tuloksena on tavallinen http-verkkosivu. Tämä on yleisesti käytössä oleva korkeimman suojaustason 2048-bittinen salausavain, jonka VPNFilter ohitti pudottamalla sen kokonaan pois päältä.

Tätä on tietenkin voitu pelätä – samoin kuin koko maailman perustan romahtamista. Verkkoviestintäprotokollan SSL/TLS-suojausvarmenne, jonka tehtävä https-putkessa on suojata tietojen eheyttä ja luottamuksellisuutta käyttäjän tietokoneen ja sivustosi välillä, on pankkiyhteydessä välttämätön. Käyttäjät odottavat verkkosivustolta turvallista ja yksityistä salausputkea. Https:n käytöllä on automaattisesti suojattu vuosikymmeniä, webin alusta asti, käyttäjien ja kohdeverkkosivuston välistä yhteyttä.

Sitten.

Luotettava lähde Ars Technica analysoi entistä kehittyneemmän ja ärhäkämmän VPNFilter-koodin toimintaa selaintasolla. Kun esimerkiksi pankin verkkosivuilta ladataan sisältöä, tuo vihamielinen koodi murtaa pois https-suojauksen, joka normaalisti estää tunkeilun. Hyökkäyksessä https-yhteydet muuttuvat naps vain lennosta tavallisiksi, ilman suojaa toimiviksi http-yhteyksiksi. Varmuudeksi tämä murtokoodi herjaa, ettei reititin enää ymmärrä salattuja yhteyksiä. Mustaa huumoria, siltä kuulostaa.

Se ei ole vitsi, että VPNFilter voi tuhota kaikki saastuttamansa laitteet. Se voi jopa tuhoata ne automaattisesti ohjelmoiduilla tuhokäskyllä. Mitään aivan näin vaarallista ei ehkä ole aiemmin nähty. Nimensä mukaisesti alkujaan VPN-putkia rikkonut VPNFilter on saastuttanut 500 000 reititintä ympäri maailman. Haittaohjelmaperheen uhriksi joutunutta reititin-isku-listaa voi seurata Viestintäviraston sivuilta.

Https:n spesifillä Transport Layer Security ‑protokollalla (TLS) on kolme perussuojaustasoa:

1. Suojauksessa välitetyn datan salaaminen sen suojaamiseksi luvattomilta käyttäjiltä. Tämä tarkoittaa, että käyttäjän selatessa verkkosivustoa kukaan ei ole voinut kuunnella keskusteluja, seurata toimintoja useilla sivuilla tai varastaa tietoja.
2. Tiedon eheys. Tietoja ei ole voinut huomaamatta muokata tai vahingoittaa siirron aikana tahallisesti tai tahattomasti.
3. Todennus ja tunnistus ovat toimivia. Tekniikka on todistanut, että käyttäjä viestii tarkoitetun verkkosivuston kanssa.

Tämä protokolla on estänyt välistävetohyökkäyksiä ja lisännyt käyttäjän luottamusta, mikä hyödyttää miljoonia yrityksiä.

On kuitenkin huomautettava, että tunnistuksen osalta pankit tekivät itselleen karhunpalveluksen lanseeraamalla lähimaksuominaisuuden pankkikortteihin. Vaikka yhteysputken salausavain https on vahva, tunnistuksen puuttuessa esimerkiksi lähimaksussa, yhteysputken funktio kärsii pahoin.

Tilanne on hieman sama kuin siilinjärveläisessä pienessä Nettikilpi-tietoturvayhtiössä 1990-luvulla löydetty ”ominaisuus” Internet Explorerissa. Vuoto tapahtui selaimella ennen datan pääsyä https-putkeen. Microsoft ei ensin tiennyt, miten suhtautua selainarkkitehtuurissa syvällä piilleeseen haavoittuvuuteen, mutta korjasi sen vähän äänin.

Google on Microsoftiin verrattuna ketterä poika ja on näemmä terästänyt tietoturvaansa. Jos Gmail-tiliin kirjaudutaan useammalta selaimelta samaan aikaan, vaatii Google tapahtumalle vahvistuksen ennen kuin se avaa uutta yhtyettä tiliin, mikä on hieno ominaisuus. Samalla Google tekee tietoturvatarkistuksen ja raportoi löytämistään haavoittuvuuksista. Älypuhelimen lukitusnäyttö, josta puuttuu salasana, ei sen mukaan olisi linjassa tietoturvavaatimusten kanssa. Ei olekaan, korjataan.

Esineiden Internet on kärsinyt imagollisesti siitä, että sen tietoturvaominaisuudet ovat lievästi sanottuna kuratasoa. Kriittisissä sovelluskohteissa taas on jouduttu käyttämään jos jonkinnäköistä purkkaviritystä, muun muassa VPN-tunnelointia. Tämä on tehty datasuojan vähimmäistason turvaamiseksi.

Nyt vasta uusi esinenetin sukupolvi, sen korkeabittiset formaatit, kuten NB IoT, LiTe1 ja LoRa, tekevät esineistä turvallisia ja varmatoimisia kaikilta ominaisuuksiltaan. Turvanäkökulmasta on ensiarvoisen tärkeää, että palovaroitin todella toimii, vaikka se olisi jossain maanuumenissa betonin ja luontoesteiden ympäröimänä. Näitä uuden polven dataturvalliseksi optimoituja laitetta ei käytännössä voi kaapata, eikä yksittäisestä laitteesta alkaen pääse käsiksi koko verkkoon.

NarrowBand IoT:n teknisen tietoturvan perusta on 128-bittinen AES-salauksen kaksisolmuinen salausavain. Ylipäätään AES-solmun voi kaapata vain, jos laitteeseen pääsee fyysisesti käsiksi. Sovelluksen integroidun solmun kautta ei pääse kuitenkaan korkkaamaan verkon muita laitteita, sillä salausavaimet ovat laitekohtaisia.

Samoin LoRan vahvuuksia on arkkitehtuurin pitkälle viety tietoturva. Jokaisella solmulla on kaksi AES-128-tasoista salausavainta, ensimmäinen verkkotasolla ja toinen sovellustasolla.

Operaattori Telia kertoo ottaneensa käyttöön esineiden internetin NB IoT -verkkoteknologian Suomessa koko verkossaan. ”Koko verkkoomme tehdyn päivityksen myötä esineiden internet lunastaa sille asetetut lupaukset”, se julistaa. Lisäksi verkko-operaattori Telia kehaisee, että ”lukuisat asiakkaamme ovat innostuneita palveluista”.

Mistä palveluista, tarkkaan ottaen?

Myös DNA ja Elisa ovat päivittäneet ja optimoineet mobiili-internetverkkoonsa NB IoT – valmiuteen, mutta hieman hillitymmällä tiedotuksella. Kaikki näyttäisi olevan hyvin, paitsi ettei huippuhienoihin tekniikkastandardeihin optimoituja komponentteja oikeasti ole vielä saatavilla.

Valmistajista ainakin Kamstrup ja Huawei kyllä pilotoivat teknologioitaan, ja näissä hankkeissa liikkuu joitakin kymmeniä tuhansia NB IoT -komponentteja, mutta muuten rakennusautomaation maahantuojat eivät ole kuulleetkaan suurilla lupauksilla ryyditetyistä ihmekomponenteista.

Telian lupaukset ”viittä vaille valmiista uudesta teknologiasta” alkoivat jo viime syksynä. Uusien, suojaukseltaan 128-bittisten tekniikoiden oli määrää ”muuttaa kokonaisia toimialoja”. Luvassa oli aivan uudentyyppisiä käyttötapauksia ”erityisesti älykkääseen kaupunki-infrastruktuuriin sekä liitettyihin teollisuuslaitteisiin ja prosesseihin”, kuten Telian liiketoimintapäällikkö Juha Lyijynen maalaili.

Asiaa kysyttäessä Lyijynen on huomattavan varautunut, ja hän päinvastoin esittää vastakysymyksiä. Lopuksi hän arvioi NB IoT -tekniikaa, ettei siitä saisi ”hyvää kohujuttua”.

Ahah, mistäs tuommoinen tuli mieleen?

Totta puhuen komponenttivalmistajat eivät ole ilahtuneita teleoperaattorien räyhäkkäästä liikkeellelähdöstä ja ulostuloista, koska valmistaja joutuu myymään ei-oota innostuneille kyselijöille. Oikeasti vanha häiriöherkkä ja haavoittuva IoT-tekniikka tulisi korvata uudella tekniikkasukupolvella, mutta tähän asti suuret operaattorit ovat onnistuneet vasta aiheuttamaan hämmennystä.

Tulee mieleen hypetys WAP-formaatin ajalta vuosituhannen vaihteessa.

Vaikka kuluttajiin, yrityksiin ja valtionhallintoon kohdistuvien tietoturvahyökkäysten määrä kasvaa kohisten ja on samalla entistä kohdennetumpaa ja miksei tehokkaampaakin, löytyy toisaalla heikennyksiä esimerkiksi rahaliikenteen järjestelmäkontrolliin.

Yhtälö ei kuulosta kauhean loogiselta, ja tuskin se sitä onkaan.

EU:n maksupalveludirektiivi (PSD2) otettiin täysmääräisenä käyttöön kaikessa hiljaisuudessa vuoden 2018 alussa. Spesifi maksupalveludirektiivi on silti suurin yksittäinen muutos pankkialalla vuosikymmeniin, sillä se pakottaa pankit avaamaan oman infrastruktuurinsa kolmansille osapuolille. PSD2 velvoittaa rahalaitoksia antamaan ulkopuolisille palveluntarjoajille pääsyn pankin asiakkaiden tileihin ja maksutapahtumiin.

Palveluntarjoajille tämä säädösmuutos merkitsee sitä, että erilaiset monialafirmat voivat hoitaa maksuja asiakkaiden puolesta online- ja mobiilikanavissa.

Oulussa ilmestyvä lehti silittää myötäkarvaan paikallista yritystä, joka kehittää ”tulevaisuuden sovelluksia verkkomaksamista varten” ja kunnon hypen hengessä firma laulaa suohon olemassa olevat pankkiyhteyden tunnistus- ja varmennustekniikat. Lipuilla olevat avaintunnusluvut tiemmä ovat jotain hävettävää menneisyyden meininkiä.

Tosi asiassa pankkiyhteysputken salausprotokollaa ei ole murrettu, vaikka yhteysistunnon pituutta on lyhennetty prosessoritehojen uhatessa laskennallisella vaaralla, jossa yhteyden salausavain ehdittäisiin murtaa asioinnin aikana. Avainlukulistojen numerosarjoja on toki utsittu rikollisesti pankkien asiakkailta ja se on ollut tieturvariski.

Silti avainlukulistan korvaaminen mobiililaitteen satunnaislukugeneraattorilla tai muulla moduulilla (maksamisen helpottamiseksi) on jotain, joka soittaa sisäisiä hälytyskelloja: älä korjaa, jos ei ole vikaa.

Jään sovinnolla katsomoon seuraamaan, minkä sortimentin lastentauteja uuden mobiilimaksamistekniikan kanssa on luvassa?

Se, että olen jo vuosikymmeniä toiminut ajanhermolla mobiiliympäristössä, antaa perspektiiviä.
Oululaisfirman toimeksiantaja MasterCard on ”avannut ovia isoihin pankkeihin etenkin Pohjois-Euroopassa”, kerrotaan lehden uutisessa.

Silloin kun noin sanotaan, olisi hyvä muistaa myös yksi vanha oven avaus. Noin 20 vuotta sitten MasterCardin kehittämä bittirahamaksutekniikka Mondex lanseerattiin markkinoille ja Norjassahan postilaitos jo tarttui tähän syöttiin. Sittemmin Norjan kauppa oli referenssi Mondexin markkinoinnissa muissa pohjoismassa, myös Suomessa.

Lopulta tulokset olivat laihoja, sillä Suomessa finanssivalvonta ei antanut tuolle Mondex-bittirahasovellukselle käyttöönottolupia. Perusteena oli, ettei markkinavalvoja vakuuttunut siitä, etteikö MasterCardin Mondex-menetelmällä voisi myös tekaista rahaa. Mondexia ei ole enää olemassa – se kuihtui pois vähin äänin.

Nyt PSD2:n aikana bittirahatulokkaiden torppaaminen tulee olemaan vaikeaa, sillä pankeilla on nyt päinvastoin velvoite tarjota ohjelmointirajapintoja bittimaksusovelluksia kehittäville yrityksille. Maksupalveludirektiivi tarjoaa uusille maksupalvelutoimijoille pääsyä pankkitileihin ja sitä kautta myös laajempiin asiakassuhteisiin.

Vaikka ”asiakkaan vahva tunnistaminen” on kirjattuna PSD2-direktiivissä, yhteysputkesta siinä ei paljon puhuta. Kolmannet osapuolet voivat tarjota maksutoimeksiannon käynnistyspalvelua, tilitietopalvelua tai ”laskea liikkeelle korttipohjaisia maksuvälineitä”, lupaa PSD2.

Tunnistaminen ja salausputki vain ovat kaksi eri asiaa. Pankkikortteihin pikapikaa tuodussa pikamaksuominaisuudessa tunnistus puuttuu miltei kokonaan, vaikka yhteysputki onkin vahva. Selvää, että pankkikorttien pikamaksuominaisuus on räikeässä ristiriidassa PSD2-direktiivin tiukan tunnistusvaateen kanssa.

Tekeekö kukaan asialle mitään?

Näyttää siltä, että uuden polven digitaaliset palveluntarjoajat syövät pankkien markkinaosuutta tarjoamalla uusia kätevämpiä maksuratkaisuja ja lisäarvoa tuottavia palveluja asiakkaille ja kauppiaille.

Uusien toimijoiden aalto ottanee päälle 1 miljardia euroa pohjoismaiden kahdeksan suurimman pankin yhteenlasketusta liikevaihdosta. Accenture Strategy tarjoaa tätä kovaa lukua. Sen listaamat pankit ovat OP, Nordea, Danske, DNB, Handelsbanken, SpareBank-1, SEB ja Swedbank.

Kirjoitan nyt pitkästi koska on paljon asiaa.

Ensin: 500 000 järeän reitittimen kokoinen bottiverkko ja sen vakoiluohjelma koostuivat kolmesta komponentista: nettiliikennettä salakuuntelevasta osasta, sitten teollisia järjestelmiä ja sähköverkkoja vastaan suunnatusta moduulista sekä spesifistä tappokytkimestä.

Tämä tappokomento taas oli taiten koodattu rampauttamaan kaikki kaapatut laitteet ylikirjoittamalla niiden laiteohjelmistot. FBI USA:ssa syyttää kyberaseen organisoinnista Venäjää, mutta tieturvayhtiö Symatecin mukaan tällaisesta ei olisi todisteita.

Vaarallinen ase, jolla voi hyökätä yhteiskunnan infrastruktuuria vastaan – ehkä sen takana on joku suurvalta. Viestintäviraston kielellä kyseessä on ”kehittynyt VPNFilter-haittaohjelma”. Siinä ikään kuin aristellaan puhua asiasta sen oikealla nimellä: kyberaseesta.

Pelon lietsonta ei tietenkään auta yhtään. Vaikka totta on, että kyberturvallisuus on heikommissa kantimissa mitä tiedetään. Tietoliikennevika, joka pimensi Helsingin kaupungin hallinnon, muun muassa sen terveydenhuoltojärjestelmät, aiheutui inhimillisestä virheestä, kun runkoverkkohierarkian alimmalla tasolla irrotettiin kyynärvarren paksuisista kaapeleista se väärä. Merkitsemisepäselvyydet niissä tiemmä olivat valmiina. Sitä sattuu.

Mutta se, että varareititin ei vian iskiessä käynnistynytkään oli taas jotain odottamatonta. Oli kenties tapahtunut suunnitelmallinen laitteen rampauttaminen.

Olemme toki nähneet ennenkin kahden samanaikaisen inhimillisen virheen mahdollistamia onnettomia tapahtumaketjuja: hävittäjäkoneita on tippunut taivaalta. Ne on tutkittu riippumattomien viranomaisten toimesta ja tapauksista on opittu. Näin tulisi toimia myös kyberonnettomuuksissa ja velvoittaa verkkoympäristön ylläpitäjää lailla varmistamaan säännöllisesti yhteiskunnan elintärkeiden toimintojen varajärjestelmien toimintakunto. Se on ainoa tie kestävään kriisivalmiuteen ja lohkoketjujen käyttö lisää turvamahdollisuuksia.

Tämä säädös ehtisi vielä poliittisen väännön kohteena olevaan tiedustelulakipakettiin.
Lait eivät yksin auta. Tarvitaan uusi orientaatio, jossa debuggaus on osa tietohallintaorganisaatiota.
Hakkerit ovat löytäneet useita haavoittuvaisuuksia muun muassa väestörekisterikeskuksen ylläpitämistä Suomi.fi -verkkopalvelujen Suomi.fi -valtuuksista. Väestörekisterikeskuksen mukaan se on analysoinut ja korjannut välittömästi nuo havaitut haavoittuvuudet.

Väestörekisterikeskus aloitti kevätalvella ohjelman, jossa se kutsui hakkereita etsimään haavoittuvuuksia nettipalveluistaan. Palkkioita on maksettu neljästätoista löydetystä haavoittuvaisuudesta. Suurimman yksittäisen symbolisen rahapalkinnon suuruus on parintuhannen euroa. Sen sai hakkeri Jarmo Puttonen. Mies on osallistunut hakkerointiohjelmiin niin Suomessa kuin ulkomaillakin.

Puttosen hoksaamalla haavoittuvuudella rikollinen olisi voinut manipuloida käyttäjää niin, että tämä kuvittelee tunnistautuvansa viralliseen valtion tarjoamaan palveluun. Sen sijaan käyttäjä päätyy rikollisen hallitsemalle huijaussivustolle jakamaan tietojaan.

Sitten: henkilörekistereitä on tullut pilvin pimein tietosuojasta säätävän lain piiriin. Tuhannet ja taas tuhannet yritykset eivät tiedä, että he toimivat Suomessa EU:n yleisen tietosuoja-asetuksen, gepardilain (gdpr), alaisuudessa. Heidän tulisi lukea se, eritoten gdpr:n asetuksen 4 artiklan alku:
Tässä asetuksessa tarkoitetaan 1 ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Sähköpostiosoite ja puhelinnumero ovat sellaisia henkilötietoja, joista on tehtävä luettelo ja erinäisiä ilmoituksia. Samoin nettiyhteyden IP-numero. Se on nyt verkkotunniste-henkilötieto.

Väite, että uusi, voimaan tullut laki olisi periaatteessa samanlainen kuin aikaisempi laki, ei pidä paikkaansa.
Esimerkiksi tilitoimistot ovat jo nyt herkillä. Sama koskee hammaslääkäriasemia ja ties ketä rekisterinpitäjiä kuten vaikkapa isännöitsijöitä, autokorjaamoita ja katsastusasemia.

Asiasta on ilmoitettava rekisteröidylle henkilölle, koska laissa todistustaakka on käännetty: Rekisterinpitäjän on kyettävä itse osoittamaan noudattaneensa lain kaikkia määräyksiä kaikissa tilanteissa.

Entä se kumma käsite, digisisämarkkinat? Selvisi lain voimaantulopäivänä, että osa eurooppalaisista heivattiin ulos jenkkipalveluista.

Googlen Blogger taas nakitti vastuun minulle:
Se sanoo, että Euroopan unionin lait edellyttävät, että Euroopan unionin alueella asuvat käyttäjät saavat tietoa blogissa käytetyistä evästeistä ja blogissa kerätyistä tiedoista. Lain mukaan käyttäjän on yleensä annettava suostumus evästeiden käyttöön ja tietojen keräämiseen.

”Tästä syystä olemme lisänneet blogiisi ilmoituksen, jossa kerrotaan, miten Google käyttää tiettyjä Blogger ja Google-evästeitä.” Ilmoitus koskee myös Google Analyticsin ja AdSensen evästeiden käyttöä, Google jatkaa sekä muita Googlen keräämiä tietoja: ”Olet itse vastuussa siitä, että ilmoitus soveltuu blogillesi ja että käyttäjät voivat nähdä sen.” Okei. En tosin heti ymmärrä, mikä ilmoitus?