Tietoturpa

Microsoft researchin tekemän tutkimuksen mukaan [FlHe07] ihmiset valitsevat usein mukavuussyistä helppoja salasanoja sekä käyttävät samoja salasanoja uudestaan  eri verkkopalveluissa. Tämä huolestuttava asia on havaittu myös Liikenne- ja Viestintäministeriössä ja ministeri Lindénin (kok) johtama kansallinen tietoturvatyöryhmä, jossa asiantuntijoina on käytetty mm Kimmo Bergeriusta (Microsofy),  onkin eilen jättänyt mietintönsä eduskunnan tietotekniikkaryhmälle.

Mietinnössä viitataa viimeaikoina käytyyn keskusteluun huonosta salasanakulttuurista sekä käyttäjien että verkkopalveluiden ylläpidossa, joka  on kärjistynyt lähes kansalliseksi epidemiaksi. Mietinnössä käytetään esimerkkinä mm  Älypää.com:sta vuotanutta useiden tuhansien salasanojen ja käyttäjätunnusten listaa.

Mietinnössä todetaan myös, että unohtuneet salasanat ja käyttäjätunnukset johtavat usein kiusaukseen käyttää helposti muistettavia - ja näin ollen helposti arvattavia - salasana- ja käyttäjätunnusyhdistelmiä. Samalla mietintö myös toteaa, että vaikeat salasanat ja käyttäjätunnukset lisäävät riskiä tunnusten unohtamisesta ja kuormittavat usein tarpeettomasti yritysten ja organisaatioiden pc- ja verkkolähitukea. Erityisesti unohtuneita salasanoja ja käyttäjätunnuksia etsitään pitkien lomien ja pyhien jälkeen.

Lindénin työryhmä ehdottaakin tähän ratkaisuna automaattista salasanan vaihtamista pitkien pyhien jälkeen ja Microsftin yhteiskuntavastuujohtajan Max Mikkelssonin mukaan tämä on niin hyvä idea, että Micrsoft tuo tämän ominaisuuden kaikkiin suomalaisiin Windows 7 versiohin seuraavan kansallisen "patch tuesdayn" yhteydessä 06.04.2010. Max Mikkelsson on luvannut virallisesti julkaista tiedotteen aiheesta 01.04.2010 Microsofin yhteiskuntavastuun sivuilla. Uusi päivitys generoi jokaiselle yritys- tai organisaatiokäyttäjälle uuden salasanan automaattisesti 06.04.2010 aamulla. Uusi salasana perustuu  organisaation sisäiseen salasanastandardiin ja helpottaa pc- ja verkkolähituen kuormaa, kun uusi salasana on suoraan palautettavissa standardiprosessin mukaisesti. Alustavien tietojen mukaan ministeri Lindén on erittäin tyytyväinen Microsofin oma-aloitteisuuteen asiassa.

Saamiemme tietojen mukaan Microsftin tempaus ei ole jäänyt täysin vaille kritiikkiä, kansanedustaja ja eduskunnan tietotekniikkaryhmän vetäjä Jyrki Kasvi (vihr) onkin ilmaissut huolensa niiden suomalaisten organisaatioiden asemasta, jotka käyttävät vaihtoehtoisia kaupallisia käyttöjärjestelmiä, vanhoja Windows-versioita tai jopa avoimeen lähdekoodiin perustuvia linux-järjestelmiä. Kasvin mukaan huonot ja helpot salasanat eivät ole ainoastaan Windows-7:n ongelmia, vaan universaaleja ongelmia.

[FlHe07]  A large scale study web password habits, D. Florêncio and C. Herley, Microsoft Research, Proc. WWW 2007, Banff, BC

Tuota, josko sittenkin valitsisin sen turvattomamman itse generoidun salasanan....

Hypoteettinen tapa tehdä tietomurto.

Oletetaanpa, että minulla on kotipalvelin, joka on kahden palomuurin takana, mutta johon on sallittu ssh-yhteys maailmalta standardiin porttiin. Erään kauniina sunnuntaiaamuna luen palvelimen logia ja huomaan, että siellä lukee

error retrieving information about user essayah : 1 time(s)
error retrieving information about user rysa : 1 tim
error retrieving information about user annikka : 1
error retrieving information about user valtter : 1
error retrieving information about user airo : 1 tim

Ja tätä jatkuu noin 2000 riviä. Koska joukossa on etunimiä, lempinimiä ja suomalaisia substantiivien muunnoksia muodossa, joita sanakirjoista ei löydy, voimme rohkeasti arvata, että lista on koottu todellisista löydetyistä käyttäjätunnuksista yhdeltä tai useammalta palvelimelta. Koska kutakin tunnusta on kokeiltu vain kerran ja oletan, että ssh:n tavasta ilmoittaa, että pääsy ei ole sallittu, ei voida päätellä oliko vika käyttäjätunnuksessa vai salasanassa, niin voin rohkeasti arvata että kyse on myös todellisista salasanoista.

Oletetaanpa, että käyttäjätunnuksen perusteella voisin suorittaa päättelyä siitä mistä salasanat ovat peräisin tai mihin niitä kannattaisi kokeilla. Jos arvaisin, että kyse olisi suomalaisten puolueiden toimistojen palvelimista tai salasanat olisivat peräisin jostakin kunnallisesta palvelimesta tai valtiollisesta palvelimesta, voisin kohdistaa hyökkäykseni huomattavasti paremmin kuin taiwanilaiset "kollegani". Todennäköisesti salasanoja ei ole vaihdettu, koska vaihtaminen johtaisi siihen, etteivät lailliset käyttäjät pääsisi sisään ja todennäköisesti tietoturva-asiantuntijat saisivat murtautujat kiinni ja kehottaisivat vaihtamaan salasanat myös kaikkialle muualle missä tunnuksia on käytetty. Toisaalta ihan yhtä todennäköisesti lista on koottu jo tukituista murroista ja salasanat on vaihdettu, ja kyse on enää tilastollisesta lotosta, missä taiwanilaiset kollegani kokeilevat olisiko jossakin verkon kulmalla vielä kone, josta salasana olisi jäänyt vaihtamatta.

Miten sitten pääsisin käsiksi näihin salasanoihin? Siirrän ensin ssh:n toimimaan epästandardissa portissa, pistän ssh-porttiin ohjelman, jonka olen muokannut ssh:n lähdekoodista ja poimin salasanat ja käyttäjätunnukset talteen. Saan oman käyttäjätunnus+salasana-listan, jolla voin jatkaa olettamiini kohteisiin. Toisin kuin taiwanilaisille kollegoilleni, minulle riittäisi erittäin hyvin pääsy yksittäisten käyttäjien, varsinkin jos ne ovat suomalaisia poliitikkoja, sähköpostiin tai tiedostoihin. Eikä minua häiritsisi pätkääkään se, ettei kone olisi hallinnassani vaan osa jonkun kräkkerin bottiverkkoa. Ehkä lisäisin palvelimille oman takaporttini tai muokkaisin bottiverkkoa siten, että sen keräämät uudet tunnukset ja salasanat päätyisivät kopiona minulle. Ei minulla olisi ongelmaa jakaa muiden työn hedelmiä, työn varsinaisesti tehneiden kanssa.

En kuitenkaan tee tätä vaan sen sijaan korjaan omaa konfiguraatiotani siten, että vastaava hyökkäys muuttuu hankalammaksi. Tähän on saatavissa monta eri keinoa verkosta ja suorastaan nolottaa, että kotipalvelimelle en tätä muistanut tehdä. Tässä on kuusi ideaa:

Obfuskaatio
Muuta ssh:n antamaa palautetta, eli muokkaa käyttämäsi ssh:n sorsaa siten, että telnet ssh-porttiin ei palauta:

telnet localhost 22
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
SSH-2.0-OpenSSH_4.3
ja siirrä ssh toiseen porttiin kuin 22. Tämä ei estä vastaavaa hyökkäystä, mutta hankaloittaa sitä.

Edistynyt tietoliikennekikkailu
Pidä ssh-portti kiinni palomuurissa ja avaa se vain kolkuttavalle. Tämä ei tavallisessa kotiverkossa toimi, sillä kaupan palomuuritölkit eivät tätä tue ja se myös vähentää paikkoja, joista itse pääset omaan verkkoosi. Tietysti omassa verkossani tämä olisi mahdollista. Ensimmäinen palomuuri laskee kaiken lävitse ssh-porttiin, mutta ssh-palvelimen palomuuri vaatii kolkuttelua. Hankalaa mutta mahdollista.

Ei salasanoja
Älä salli lainkaan käyttäjätunnus + salasana tunnistaumista palvelimelle, vaan vaadi avain. Ihan joka tapauksessa on fiksua estää pääkäyttäjätunnuksen pääsy kokonaan.

Hyökkäyksen tunnistaminen
Verkosta on saatavissa useita ohjelmistoja, jotka automaattisesti lukevat järjestelmän logeja ja tunnistavat "brute force" hyökkäykset ja luovat lennossa palomuurisääntöjä, joilla hyökkäävä kone suljetaan pihalle. Googlella löytyy monta lupaavaa hakutermeillä "preventing brute force attacks ssh". Näistä erityisen kivoilta vaikuttavat: "Fail2Ban", "DenyHost" (joka tilastoista kiinnostuneelle puolinörtille on melkein kuin suklaata) ja "sshguard". Linuxin palomuurilla tämä on myös mahdollista tehdä käyttäen esimerkiksi "recent"-moduulia: Sebastienin blogi.

Herättäminen
Salli pääsy ssh-porttiin, mutta älä pidä ssh-palvelua käynnissä, vaan käytä jotakin ulkoista signaalia ssh-palvelun käynnistämiseen määräajaksi. Esimerkiksi telnet porttiin 23 herättää ssh:n porttiin 22 (oletuksella, että porttiskannaus etenee alhaalta ylös, eikä näin ollen herätä ssh:ta...). Hienoin viritys minkä tällä teemalla olen lukenut on tekstiviestien käyttäminen. Koneessa on gsm-modeemi, jota vahtii esimerkiksi Kannel-gateway. Tekstiviestillä käynnistetään haluttu palvelu (tietysti vain tietystä numerosta tulevat viestit ovat sallittuja), jota sitten käytetään normaalisti verkon ylitse.

Rajoitettu ssh
Mieti mitkä ovat tarpeet käyttää ssh:ta ja rajoita mahdollinen vahinko pieneksi. Linux/Unix-ympäristössä on mahdollista rakentaa chroot-jaileja, rajoittaa tunnuksen oikeuksia SELinuxilla tai vastaavilla tuotteilla ja vaikka ohjata ssh virtuaalikoneeseen, josta pitää päästä eteenpäin uudella ssh-yhteydellä ja toisella käyttäjätunnuksella ja salasanalla/avaimella, jotta pääsee tekemään isompaa vahinkoa.

Aikaisemmin on riittänyt uusia sopimuksia täyttämällä dokumentti, laskemalla siitä md5-tiiviste ja lähettämällä se gpg-allekirjoitetulla sähköpostilla Oraclelle. Maaliskuusta 2005 alkaen se ei riitä.

Sen sijaan riittäisi jos skannaisin sopimuksen kaikkine sivuineen allekirjoituksella varustettuna!

Mietitäänpä kuinka helppoa kummassakin käytännössä väärentäminen on. Mietitään ensin skannausta. Skannauksessa oleellinen väärennettävä asia on allekirjoitus, jossa on periaatteessa kaksi lähestymistapaa: tekaisen jonkun sotkun sopimukseen tai etsin jostakin sopivan dokumentin jossa on todellinen allekirjoitukseni. Tekaisussa väärennökseen menee muutama sekunti, mutta vaarana on että Oraclella on jossakin oikea allekirjoitukseni, jota vastaan vertailu tapahtuu. Toisessa vaihtoehdossa skannaan allekirjoitukseni imageksi, liitän dokumenttiin ja tulostan (tämän tulen tekemään joka tapauksessa, sillä tarvitsen sitä taas ensi vuonna, oikeastaan voin antaa tiedoston samantien usealle kollegalle, jotta he voivat hoitaa sopimuksen vahvistamisen minun puolestani) sopimuksen. Skannaan sopparin pdf:ksi ja kukaan ei enää tiedä mistä palasista nk. alkuperäinen sopimus koostui. Nyt voin faksata dokumentin (jolloin ei edes tarvita skannausta) tai pistää sen suojaamattoman sähköpostin liitteeksi. Olisipa vaikeaa väärentää ja onpa todella tietoturvallista ja näppärää.

Sähköisessä muodossa väärentäminen edellyttäisi, että rikkoisin md5-tarkisteen dokumentista (mahdollista mutta melkoisen työlästä ja aikaa vievää, joku isohko klusteri varmaan ratkaisisi ongelman järjellisessä ajassa. Lisäksi se on vaikeaa, minä en osaisi.) tai varastaisin sähköisen allekirjoitukseni avaimen tai loisin avaimen, joka ei ole omani, mutta väittäisin sen olevan omani. Allekirjoituksen avainlauseen varastaminen on lähes yhtä helppoa kuin pankkikortin avainluvun ja pankkikortin varastaminen. Kilpailevan allekirjoituksen luominen sen sijaan on triviaalia. Vaikeampaa olisi sitten luoda kilpailevalle avaimelle luottamusketju.

Ainoa mitä Oracle tällä tempauksella minun näkökulmastani saavuttaa on työn vierittäminen itseltään minulle. Joudun tulostamaan kasan paperiroskaa, allekirjoittaamaan sen, faksaamaan/skannaamaan ja lähettämään tuloksen Oraclelle, missä he voivat pahimmassa tapauksessa puolestaan tulostaa ja mapittaa dokumentin. Sen sijaan, että minulta menisi työhön minuutti, kulutan siihen todennäköisesti likemmäs kolme varttia, jos skannaan allekirjoitukseni ja vartin mikäli tulostan ja faksaan dokumentin.

Oracle! Paperittoman toimiston puolesta!

Hih, hih, ehdinkö ensimmäisenä? Human Area Network mahdollistaa tietokeviruksille aivan uuden tavan levitä. Tuleeko teknoajan latteudeksi: "Muistitko tarkistaa laitteittesi virukset käteltyäsi häntä?", vanhan latteuden: "Muistitko laskea sormuksesi sen jälkeen kun olit kätellyt häntä?" sijaan?

Entäs jos aivastan, onko aivastuksen pisaroiden pinnalla sähkökenttä ja kuinka iso paketti dataa siinä siirtyi?

Kuka uskaltautuu marokkolaiseen basaariin tai Tokion metroon kun tämä teknologia tulee käyttöön?

Minä olen niin paranoidi, että pitkään olen odottanut joitakin cabirin kaltaisia, mutta huomattavasti agressiivisimempia sovelluksia sekä bluetoothille että wlanille. Lempimielikuviani on kävellä puhelimen, läppärin ja pda:n kanssa johonkin villin kauko-idän liikkeeseen, jossa ensimmäisen askeleen jälkeen puhelin piippaa. Puhelimessa on viesti, joka kertoo että pda:hani on nyt asennettu liikkeen hinnasto ja läppärini kirjanmerkkeihin päivityy liikkeen sivusto heti kun vain panen läppärin päälle. Ja pda-laitteen hinnastosta voin katsoa niiden tavaroiden varastosaldot, värivaihteoehdot, hinnat ja saatavuudet, joiden kohdalla liikkeessä olen. Siinä sivussa liike on skannannut puhelimeni osoitekirjan ja lähettänyt spämiä kaikille osallisille, katsonut löytyisikö pda:sta mitään mukavia käyttäjätunnuksia ja salasanoja, sekä ottanut puhelimen ja pda:n sisällöstä varmuuskopion omaan käyttöönsä. Ja jos satun kulkemaan kilpailijan liikkeeseen, niin pda:stani ja puhelimestani tulee taistelukenttä kahden eri softan välille.

En tule ostamaan erään amerikkalaisen ison ohjelmistotalon käyttöjärjestelmällä varustettua puhelinta tai pda:ta juuri tästä syystä. Näköjään symbiankaan ei tuo automaattisesti onnea, vaan edelleen käyttäjän pitää tietää mitä tekee.

Vaimoni yllytyksestä otin ja luin pitkästä aikaa sensaatiohakuista, terävää, kielevää, lipevää ja suosittua blogia mitvit:iä. Syy moiseen harharetkeen ei suinkaan ole tuttelipoliisin huoli merkittävän vaikuttaja-auktoriteetin mahdollisista näkemyksistä taapero- ja mukeloimetyksestä vaan kysymys siitä miten joku voi lukea jonkun toisen sähköpostia ja onko näin oikeasti tapahtunut vai ei.

Oma arvaukseni on, että näin ei ole tapahtunut, vaan kyse on suoritetun tutkimuksen törppöydestä ja tulosten huonosta anylysoinnista. Mietitäänpä, mitä lainauksen perusteella oikeastaan tiedämme kokeesta:



Mitähän tarkoittaa tekaistu sanoma tsetseeneille? Tarkoittaako se sitä, että herra Storsjö on lähettänyt viestin johonkin satunnaiseen venäläiseen osoitteeseen suomeksi tai englanniksi, ja viestissä on ollut sivuosoite? Hassua postia saanut venäläinen on surfannut osoitteeseen ja todennut, että ei ymmärrä sivuista mitään muuta kuin että se on suomea. Hän ottaa yhteyttä suomalaiseen kaveriinsa ja pyytää katsomaan mitä sivuilla oikein on ja miksi hän moista postia on saanut, joten sivusto on saanut hittejä Suomesta ja Venäjältä, vieläpä melkoisen pian sähköpostin lähettämisen jälkeen.

Ja mistä Storsjö tietää, että hänen postinsa luettiin? Mitäs jos vastaanottajan posti luettiin vastaanottajan koneelta?

Ajatellaanpa toiseen suuntaan, miten koe olisi pitänyt järjestää, että se olisi edes jollakin tasolla suuntaa antava lainauksen antamilla reunoilla:

1. Vastaanottajaa olisi pitänyt etukäteen varoittaa, että tulette saamaan tekaistun viestin, jonka tarkoitus on tarkistaa kommunikaatiokanavan luotettavuus. Eli Storsjön olisi pitänyt olla yhteydessä tsetseeniinsä luotetulla kommunkaatiokanavalla ennen viestin lähettämistä. Näin estetään vastaanottavasta päästä tapahtuvat tahattomat vahinkolaukaukset ja osoitteen tahaton jakaminen. Onko Storsjön kommunikaatiokanava ollut luotettava? Tai Storsjön olisi pitänyt lähettää posti osoitteeseen, joka taatusti on pielessä ja päätyy ainoastaan Soneran palvelimen logeihin ja Soneran postmasterille? Tämä ei oikeastaan ole niin helppoa kuin luulisi. Jos valitset tekaistun koneosoitteen, lähtevän postin palvelin saattaa hylätä viestisi heti. Jos taas valitset satunnaisen palvelimen, niin posti saattaa päätyä tämän palvelimen postmasterille, jonka virkansa puolesta pitää lukea vahinkolaukset selvittääkseen mahdolliset virheet...
2. Vastaanottajan olisi pitänyt etukäteen varmistua siitä, että viesti ei päädy vääriin käsiin hänen koneeltaan, jotta vuoto heidän päässään voitaisiin poissulkea ja vuoto voitaisiin kohdentaa Storsjön päähän.
3. Storsjön olisi pitänyt varmistua siitä, että kukaan sivullinen ei pääse katsomaan koejärjestelyjä ja ettei kohteena oleva osoite vahingossa ennen koetta päädy vääriin käsiin. Kuka muu käyttää konetta, jolla sivut olivat? Oliko se jonkun operaattorin kone?
4. Kokeessa käytetty osoite on sellainen, jotta siihen surfaaminen vahingossa tai automaattisella hyökkäysskriptalla on erittäin epätodennäköistä. Jos kyse oli web-palvelimen juuressa sijaitsevasta juuri-dokumentista tai dokumentista johon on linkki toisesta juuri-dokumentista, niin suurella todennäköisyydellä kävijät ovat olleet brasilialaisia hyökkäysohjelmia, joita on ajettu suomalaiselta tai venäläiseltä murretulta koneelta. Jos tekisin automaattisia hyökkäysohjelmia, skannaisi ohjelmani mahdollisesti saman aliverkon koneet, jossa murtamani kone on tai niiden verkkojen koneet, jotka ovat mahdollisimman kaukana... >D
5. Sivuston sisältämä www-palvelinta ei ole ennakolta tiedetty Storsjön käyttämäksi, luonnollisesti Storsjön puuhat kiinnostavat uteliaita kräkkereitä, jotka etsivät glooriaa löytämällä jotakin mitä muut eivät vielä tiedä. Tai Storsjö on käyttänyt palvelinta, joka muutoin on ollut kiinostava.
6. Palvelin on ollut oikein konfiguroitu ja turvallinen, eikä se ole helposti vuotanut sivuosoitetta.

En usko, että Storsjö on tehnyt koejärjestelyään oikein, koska se ei edes ylipäätänsä ole mahdollista, eikä kukaan ammattilainen moista edes yrittäisi. Kannattaa muistaa, että www-sivujen tekemiseen ei tarvita minkäänlaista osaamista tietoturvasta tai tietoliikenteestä. Kuka tahansa voi tehdä www-sivuja ja lähettää sähköpostia.

No, ajatellaanpa sitten miten sivuosoite olisi voitu kuunnella Storsjön viestistä.
• Storsjön käyttämä kone on murrettu. Kaikki mitä hän koneellaan tekee näkyy esim. vnc-yhteyden ylitse jonnekin maailmalla tai päätyy muutoin jonnekin logiin. Jos olisin hyökkääjä minua kiinostaisi mihin kohteeni surfaa (kohde voi olla pankki tai joku waresaitti, josta löytyy uusi Finreactori!) ja mitä käyttäjätunnuksia/salasanoja hän kirjoittelee.
• Storsjö on lähettänyt postinsa verkossa, joka ei ole luotettava. Ainoa luotettava verkko on verkko, jossa ei ole yhtään konetta. Viesti on kuunneltu missä välissä hyvänsä, kenen tahansa toimesta. Halutessani voisin lukea lähes kenen tahansa sähköpostin työkiinteistössäni. Kaikki yrityksen verkosta ulospäin suuntautuva liikenne kulkee palomuurilla suojatun reiän kautta. Riittää kuunnella liikennettä pisteestä, joka on joko välittömästi palomuurin jälkeen tai ennen sitä, jolloin pääsee käsiksi kaikkeen mikä maailmalle lähtee tai maailmalta palaa. Luonnollisesti liikenteen pitää olla salaamatonta, niin kuin se oletusarvoisesti internetissä on. Hyvin harva salaa liikennettä edes lähtevän postin palvelimelle tai saapuvan postin palvelimelta.
• Storsjön posti makaa salaamattomassa tiedostojärjestelmässä surkeasti ylläpidetyssä palvelimessa. Operaattorit ja operaattorien tietämättä puolet wannabe kräkkereistä skannaa saapuneen postin mielenkiintoisten sivuosoitteiden (ware, kova porno...) toivossa.
• Storsjön sähköpostitilin salasana on murrettu tai kuunneltu.
• Vastaanottajan kone on murrettu tai vastaanottajan sähköpostitilin salasana on väärissä käsissä.

Minun on paljon helpompi uskoa, että posti luetaan, jos ylipäätänsä luetaan, ilman Soneran tahallista apua kuin Soneran avulla.

Jos oikeasti haluaa sähköpostitse kommunikoida turvallisemmin, niin
1. kannattaa pitää huoli siitä, että kone, jolta lähettää postia on turvallinen. Aloita vaikka siitä, että virusturvasi, palomuurisi ja haittaohjelmien torjuntatilanteesi on kunnossa, etkä käyttä julkisia koneita.
2. kannattaa pitää huoli siitä, että kaikki mitä lähetät on salattu vastaanottajan julkisella avaimella riittävän vahvalla algoritmilla ja allekirjoitettu omalla salaisella avaimellasi. Luonnolisesti olet vaihtanut avaimia luotettavalla tavalla vastaanottajan kanssa ja pidät huolen siitä, ettei ainakaan oma avaimesi ole väärissä käsissä.
3. sivistä vastaanottajia tietoturvan tarpeellisuudesta, jotta viestisi ei heidän koneeltaan valu salaamattomana maailmalle.

Mitä tämä sitten maksaisi? Ei mitään. Pari linkkiä:
Thunderbird, Enigmail ja windows-asennusohjeita.

Päivän ja edellisen päivän tietoturpauutinen on Microsoftin koodissa oleva bugi, joka mahdollistaa puskurin ylivuodon jpeg-muotoisia kuvia käsiteltäessä. Aukko on kriittinen, esimerkiksi minä osaisin hyödyntää sitä Secunian ohjeilla.

Edelleen ovat käyttötilastot todella masentavaa luettavaa:

Selaimet	Grabber	Osumia	Prosentti
MS Internet Explorer	Ei	9736	69.2 %
FireFox	Ei	1321	9.4 %
Tuntematon	?	898	6.3 %
Opera	Ei	754	5.3 %
Mozilla	Ei	648	4.6 %
Netscape	Ei	275	1.9 %
Safari	Ei	252	1.7 %
Konqueror	Ei	116	0.8 %
Galeon	Ei	20	0.1 %
Firebird (Old FireFox)	Ei	18	0.1 %
Muut	?	13	0 %

ja jos eivät tästä nyt parane, niin on ihme.

they will...

Sain tänään ensimmäisen luottokorttihuijauksen, joka ei päätynyt automaagisesti sen noin parinsadan roskapostin joukkoon, jonka Spamassassin hoitaa, tai sen noin kuudenkymmenen viestin joukkoon, jonka Thunderbird hoitelee, vaan se kolahti laatikkoon. Uteliaisuudesta sitten ihmettelin asiaa vähän pidemmälle.


Väärä login, väärä pääsivu ja oikea login-sivu

Kyseinen skämi perustuu siihen, että viralliselta näyttävä maili amerikkalaisesta pankista (joka muuten näytti lähtenee japanilaisen yrityksen omistamalta nimipalvelimelta!) kehoittaa kirjautumaan verkkopankkiin ja korjaamaan henkilötietonsa oikeiksi. Linkki johtaa internland:in nimiavaruudessa makaavaan palvelimeen, joka työntää hienostisäädetyn kirjautumisruudun naamallesi. Siitä sitten pääsetkin eteenpäin ihan millä tunnuksella hyvänsä, esimerkiksi: "Jaska Jokunen" ja "lähettää terveisiä". Idea on, että jokin taho kerää näitä käyttäjätunnus- ja salasanapareja talteen ja kokeilee niillä sitten oikeaan verkkopankkiin pääsyä. Näppärää, mutta laitonta.

Eikä edes uusi juttu, mutta blogasimpa paremman puutteessa.

Ensin oli referrer-spämmerit, joita varten serendipityssä on sisäänrakennettu mekanismi, joka perustuu kiellettyihin osoitteisiin.

Sitten tulivat exit-spämmerit, serendipity ei oletusarvoisesti katsonut mitä exit-linkin taakse oli tungettu, joten oli mahdollista pelkällä url-kutsulla tuottaa exit-listaan urleja, joihin mukama oli siirrytty. Tämä on fiksattu uusimmissa cvs-versioissa ja myös minun installaattiossani.

Nyt uusin mainostuksen laji on kommentointi. Lainameklari oli käynyt kommentoimassa blogiani ja jättänyt mainoslinkkinsä. Tavallaan ihan näppärää. Tavallaan olen otettu, joku uskoo että tämä blogi on niin luettu, että siinä kannattaa mainostaa. Tämähän avaa ihan uusia mahdollisuuksia, uskokoon ken tahtoo seuraavaan.

Hello advertisers, if you wish to have your link appear here please do not hesitate to contact me personally instead of trying to do it by yourself. All unsoliticed links, banners and thingies will be wiped. I am a reasonable man and with reasonable amount of money I will let you advertise on my site, if the products or services you are trying to advertise are
1) Legal in Finland
2) Morally and ethically compatible with me
3) I can be assured that your services and products actually are what they claim to be and your business is legimate

Jälleen MikroPC-net yllättää jurnalistisella tasollaan kertomalla, että New Scientist on haastatellut kasaa tietoturva-asiantuntijoita, jotka ovat huolissaan vastaiskuteknologioista. Yrityksen nimi on oikein ja huolestuminen on oikein. Marraskuun julkistuksesta en osaa sanoa, mutta jos lukee sen uutisen, jota MikroPC-net on mahdollisesti käyttänyt lähteenä niin pistää epäilyttämään, että marraskuu tarkoittaa maaliskuuta. Symbiotin sivuilla on muitakin mielenkiintoisia ajatuksia torjuntatoimista.

Olen itse pohtinut takaisinlyöntiä, mutta toistaiseksi en ole uskaltanut. Suomessa lainsäädäntö tekee jo valmistelevista ja selvittelevistä toimenpiteistä varoen suoritettavia. Lisäksi oikeasti pitäisi tietää mitä tekee kun lyö takaisin, sillä vaikka netissä ei mielestäni ole viattomia uhreja, on siellä sivullisia, syyntakeettomia ja syyttömiä, joita ei pitäisi kurmoottaa. Kaiken lisäksi pitää olla varma, että saa lyötyä niin kovaa ettei toinen ota sitä haasteena. Et siis saa jäädä kiinni lyöjälle, etkä viranomaisille ja vielä pitäisi saada jotakin aikaiseksi. Toistaiseksi olen todennut omat taitoni ja uskallukseni riittämättömiksi sekä aikani liian kalliiksi hankkia riittävää osaamista tältäkin osa-alueelta.

Tunnen käsittämätöntä tarvetta sanoa jotakin positiivista Microsoftista ja olen vesiselvä ja kuumeeton.

Näin vahingossa osan keskiviikon 45-minuuttia ohjelmasta tänään nauhalta ja se sai kertakaikkisesti karvat pystyyn. On totta, että tällä hetkellä tarjolla olevista moderneista selaimista ehkä kiistattomasti huonoin ja turvattomin on Internet Explorer 6, joka ei toteuta niitä www-sivuille määritettyjä standardeja (esim CSS2), joita Microsoft on itse ollut mukana vääntämässä ja on reikäinen kuin tahkojuusto (Valitse Microsoft ja Internet Explorer). Siitä huolimatta toimittajat olisivat voineet kysyä toista mielipidettä ennen kuin estottomasti mainostivat Fleasomen asiantuntemusta ja mässäilivät ajatuksella, että kun selaat IE:llä webissä pankkitilisi tyhjennetään, autosi varastetaan ja kahvisi juodaan sinun tietämättäsi.

Pimeän tietokoneohjelman ostaminen on sama kuin ostaisit pimeän viinapullon. Pönttö menee takuulla sekaisin ja vitsi piileekin lähinnä vain siinä selviääkö se siitä enää koskaan ja paljonko se maksaa menetettynä terveytenä ja rahana.

Internetissä surffailu sinne sun tänne reikäisellä selaimella on sama kuin luottaisi yhdynnässä siihen että itse vetää ajoissa ulos, tai mikä pahempaa luottaa siihen, että toinen vetää ajoissa ulos. Ja tässäkin on aste-eroja, voit kokeilla temppua virolaisessa bordellissa (Virossa on euroopan suurin HIV-tiheys) tai vakituisen partnerisi kanssa. Suurella todennäköisyydellä hetken huumasta tulee myöhemmin microsoftin kuuma.

On ihan sama mikä käyttöjärjestelmä sinulla on, on ihan sama mitä www-selainta käytät, olet ihan varmasti kusessa, jos asennat koneellesi tietoisesti tai tiedostamattasi haittaohjelman. Ja silloin on lähes ikean sama mihin surffaat, olipa se pankki vai ei. Useiden pankkien suhteen olet ehkä jopa paremmassa turvassa, sillä vaihtuvat salasanat edellyttävät, että haittaohjelma tekee temppunsa sillä samalla hetkellä kun olet yhdynnässä valitsemasi nettipankin kanssa, muissa tilanne ei välttämättä ole näin hyvä. Ja jos näin sitten käy, että tilisi tyhjennetään, niin ei se ole pankkien vika tai edes Microsoftin vika - analogisesti voitaisiin ajatella, että jos jätät kotiavaimesi varustettuna kotiosoitteellasi kadulle ja kämppäsi tyhjennettään avaimillasi tietämättäsi, niin voisit syyttää siitä kämpän rakentajaa ja lukon valmistajaa.

Tällä kertaa Microsoftin Kim Bergius on ihan oikeassa, selaimessa ei ole bugia tai tietoturva-aukkoa, vaan bugi on 45-minuuttia ohjelman asiantuntemuksessa. Se ei silti poista sitä tosiasiaa, että IE on kuvottavan huono ja turvaton selain, eikä sitä pitäisi käyttää mihinkään. Henkilökohtaisesti olen samaa mieltä kyseisen putkan muistakin tuotteista, enkä käytä kyseisen firman tuotteita itse kuin varmistaakseni, että tarjoamani palvelukokonaisuudet tai ohjelmistot ovat käytettävissä myös kyseisen putkan tarjoamilta alustoilta.

En silti usko olevani turvassa, enkä niin fiksu etteikö minua voitaisi tässä suhteessa kusettaa. Koputan puuta ja pitäydyn niissä ohjelmissa, joihin voin edes jollakin tasolla luottaa.

Maailmassa on turvallisia ja luotettavia tietoturvaohjelmistoja, jotka parantavat Windows:in käytettävyyttä ja saavat ihmiset tuntemaan olonsa turvallisiksi. Norton ei ole sellainen.

Mitäs jos torjuttaisiin Nortonilla vähän spämiä? Siittä vaan, mutta todennäköisemmin teit juuri koneestasi yhden späm-portaalin lisää.

Surffaaminen on turvatonta puuhaa, onneksi on Norton Internet Security, eipähän tule pöpöjä ja voi pitää kaikki kilkkeet päällä. Ja kaikki rehellisetkin sivut toimivat kuin tauti.

 Jälleen olen onnellinen, etten ole konsernin tietoturvavastaava tai osallistu ehdottoman tietoturvallisten laitteiden/ohjelmistojen valmistamiseen. Mitä tästä nyt sitten sanoisi? Kuulustelkaa kaikkia, jotka kulkevat taskulampun ja läppärin kanssa?

 Äitienpäivä valkeni kauniina ja kuulaana, lämpöä oli sellaiset mukavat 13 astetta ja... [wiki_link to ]mosin blogi [wiki_link to ]PöRRön blogi

"Tietoturvaa"

Viikon mukavimpia uutsia oli uutinen Microsoftin core-teknologiaan liittyvästä turva-aukosta. Hauskinta tässä tämänkertaisessa passport-turva-aukossa on se, että uusimpien Microsoft käyttöjärjestelmien mukana passport on puolipakollinen ja tietyillä lisenssiointimalleilla käytännössä pakollinen, näin ollen se vaikutti 200 miljoonaan käyttäjään. Mikäli Microsoft päätyy tämänkertaisesta turva-aukostaan oikeuteen, voi korvaussumma nousta 200 000 000 * 11000 US-dollariin. Osaatko tavata sanan bankruptcy? Järkyttävintä aukossa kuitenkin oli se kuinka helppoa sen hyödyntäminen oli, tarvitsit vain selaimen, jopa Microsoft Explorer riitti. Ilo on oma pingviini ja  maailmanherruus.