Ads 468x60px

perjantai 22. elokuuta 2014

Hyvän tietoturvakulttuurin luominen ja ylläpito

Alkuvuodesta julkaistun KPMG:n tutkimuksen ”Tuntematon uhka” [1] tulokset tulivat yllätyksenä suurimmalle osalle meistä. Tutkimuksessa selvisi, että jopa noin puoleen tutkimukseen osallistuneista yrityksistä oli murtauduttu yrityksen tietämättä. Suomalaisissa yrityksissä panostetaan eittämättä tietoturvaan, mutta tutkimuksen tulosten valossa parannettavaa olisi vielä rutkasti.

Perinteinen tapa huolehtia organisaation tietoturvasta on istuttaa palomuuripurkki verkon laidalle, pitää antivirusohjelmisto ajan tasalla ja jatkaa ns. ”oikeita töitä”. Tässä piileekin ongelma, jonka monet organisaatiot jättävät vähälle huomiolle: tekniset toimet eivät yksinkertaisesti riitä. Teknisten keinojen lisäksi tarvitaan myös hallinnolliseen tietoturvaan panostamista.

Tietoturvakulttuurista puhutaan harvoin, vaikka sen rooli tietoturvallisen organisaation kehittämisessä on erittäin tärkeä. Tietoturvakulttuuri saattaa kuulostaa abstraktilta, mutta periaatteessa sillä tarkoitetaan tapaa, jolla organisaatiossa suhtaudutaan tietoturvaan. On tärkeää muistaa, että kaikilla organisaatioilla on tietoturvakulttuuri - harmittavan usein se vain ei ole riittävän hyvällä tasolla. Tietoturvakulttuuri ei ole prosessi, jonka voi vain luoda, piilottaa organisaation intranetiin ja unohtaa. Käytännössä tietoturvakulttuuri perustuu sekä tietoturvapolitiikkaan, että käyttäjien ohjeistukseen ja koulutukseen.

Ensimmäinen askel hyvän tietoturvakulttuurin luomisessa on organisaation tarpeiden selvitys. Jokainen organisaatio on yksilöllinen, ja siten myös niiden tarpeet vaihtelevat suuresti. Johdon tuki muutoksille, ja varsinkin heidän esittämä esimerkki, on erittäin tärkeää. Koska tietoturvaa on vaikea mitata, organisaation johto ei aina näe tietoturvallisuuden hyötyjä. Mitattavaa löytyy yleensä vasta, kun on jo liian myöhäistä: tietomurron aiheuttama taloudellinen menetys, joko suoraan rahallisesti tai välillisesti esim. maineen menetyksenä. Ellei johdon tukea tietoturvakulttuurin kehityksessä ole, ei muutoksesta luultavasti tule mitään.

Tarpeiden ja tavoitteiden pohjalta luodaan tietoturvapolitiikka, -menettelyt ja -asetukset. Näiden perusteella luodaan tekniset ohjeet sekä peruskäyttäjille suunnatut käytännönläheiset ohjeet, jotka neuvovat organisaation työntekijöitä tietoturvalliseen käyttäytymiseen.

Tietoturvakoulutuksessa käyttäjät tulisi saada ymmärtämään tietoturvallisen käyttäytymisen hyödyt, sillä heille aiheutuu harvoin tuntuvaa haittaa tietoturvaloukkauksista, varsinkaan työpaikalla. Tietoturvakoulutuksen tulee tapahtua säännöllisesti, vähintään vuosittain, sekä hyvin käytännönläheisesti: workshopit ja avoin keskustelu tukee sekä ymmärtämistä että oppimista paremmin kuin hikinen PowerPoint-maraton.  Tietoisuutta tulee myös ylläpitää säännöllisillä tiedotuskampanjoilla ja tietoiskuilla. Tärkeää on tehdä tietoturvasta osa arkipäivää, ei vuosittain kärsittävä koulutusrupeama.

On myös muistettava, että tietoturvakulttuuria on ylläpidettävä: organisaation ja toimintaympäristön muuttuessa myös riskit muuttuvat. Koulutukset ja ohjeistukset on pidettävä ajan tasalla, ja tietoturvatietoisuutta olisi hyvä mitata. ISO27001-standardista löytyvät PDCA-malli soveltuu mainiosti ylläpidon tueksi.

Yhdistämällä hyvä tietoturvakulttuuri ja kunnon tekniset tietoturvaratkaisut voidaan turvata organisaation kasvu ja kehitys paljon aiempaa paremmin.

Linkit:
[1]: http://www.hackingthroughcomplexity.fi/2014/01/tuntematon-uhka-suomessa-tulokset.html


keskiviikko 20. elokuuta 2014

KPMG laajentaa tietoturvapalveluidensa tarjontaa Kehä III:n ulkopuolelle

Tietoturvapalveluiden kysynnän kasvun seurauksena KPMG laajentaa tietoturvapalvelutarjontaansa myös maakunnissa. Ensimmäisessä vaiheessa Tampereelle ja Jyväskylään ollaan rekrytoimassa murto- ja haavoittuvuustestauksia osaavia asiantuntijoita. Seuraavaksi vuorossa ovat Turku, Oulu ja Kuopio.

Tavoitteenamme on tarjota tietoturvallisuuden "lähipalvelua" olemassaolevalle asiakaskunnallemme Kehä III:n ulkopuolella kustannustehokkaasti ja ilman ylimääräisiä matkakustannuksia. Samalla myös palvelutarjontamme on päivitetty vastaamaan paremmin PK-yritysten tarpeita. Hae paikkaa tästä.

tiistai 12. elokuuta 2014

Raha ratkaisee

Sanotaan, että suurin syy IT-ongelmatilanteisiin löytyy yleensä näytön ja tuolin välistä. Kesäkuussa julkaistun tutkimuksen mukaan kyseinen ongelma on tietoturvan näkökulmasta ehkä odotettua suurempi. Tutkijaryhmä Carnegie Mellon yliopistolta tarkasteli ”It’s All About The Benjamins: An empirical study on incentivizing users to ignore security advice”[1]-työssään tavallisten internetin käyttäjien tietoturvakäyttäytymistä, ja varsinkin sitä, millaista arvoa he antavat tietoturvalle.

Ryhmän tarkoituksena oli selvittää, millä hinnalla olisi mahdollista saada käyttäjä asentamaan ja ajamaan tuntemattoman ohjelman tietokoneellansa.  Käyttäjille kerrottiin, että kyseessä oli yhteisölaskentaprojekti (Distributed Computing Project) ja, että heidän tulisi asentaa ohjelma tietokoneilleen, antaa sen työskennellä tunnin, jonka jälkeen he saisivat rahapalkintoon oikeuttavan koodin. Ensimmäisellä viikolla ohjelman asentamisesta ja ajamisesta maksettiin 0,01 dollaria. Tämän jälkeen maksua nostettiin viikoittain neljän viikon ajan kunnes palkintosumma oli 1 dollari.

Tulokset olivat hämmästyttäviä: viiden viikon aikana ohjelma ladattiin 1714 kertaa, ja ajettiin 965 kertaa. Jo 0,01 dollarin palkintosumma houkutteli 22% tehtävän lukeneista asentamaan ja ajamaan ohjelman. Palkintosumman noustessa nousivat myös osallistujamäärät. Varsinkin palkinnon korottaminen $0,5 -> $1 vaikutti rajusti kiinnostukseen.

Käyttäjistä suurin osa oli Intiasta (40%), Pohjois-Amerikasta (30%) ja Euroopasta. Tutkijoille selvisi myös, että se osa käyttäjistä, joilla oli tietokoneissaan viimeisimmät käyttöjärjestelmäpäivitykset asensivat helpommin ohjelman palkintosumman kasvaessa. Nähtävästi käyttäjät ottavat suurempia riskejä, kun he olettavat koneensa olevan asianmukaisesti suojattu.

Kiinnostavaa tutkimustuloksesta tekee myös se, kuinka pienellä summalla on mahdollista ”ostaa käyttäjän luottamus”. Tieto siitä, että pientä maksua vastaan voi helposti luoda laajan bottiverkoston kiinnostaa varmasti myös haittaohjelmien tekijöitä. Tällaista mahdollista bottiverkkoa kutsutaankin jo nimellä ”Fair Trade Botnet”.

Tutkimustulosten valossa tietoturva-ammattilaisten tulisi etsiä uusia ja tehokkaampia tapoja tukea käyttäjiä, jotta he ymmärtäisivät paremmin tietoturvallisen käyttäytymisen arvon. Organisaatioissa tulisi panostaa hyvän tietoturvakulttuurin luomiseen ja ylläpitoon, sillä tietoisuuden lisääminen on tärkeimpiä keinoja tahattomien tietoturvaloukkausten ehkäisyssä.

Lisää luettavaa:
[1] https://www.andrew.cmu.edu/user/nicolasc/publications/CEVG-FC11.pdf

perjantai 8. elokuuta 2014

Black Hat USA - viimeinen päivä

Black Hat -konferenssi on nyt takana ja kyllä pitää todeta, että aika paljon jää näkemättä kun yhtä aikaa on käynnissä monta mielenkiintoista puhetta. Tässä kuitenkin tiivistelmä niistä puheista, joita kävin itse kuuntelemassa.

Toinen päivä alkoi osaltani Ross Andersonin puheella Chip and PIN -pankkikorttien turvallisuuden analyysillä. Anderson toi vahvasti esille sen, miten vaikea on tehdä globaalia järjestelyä ja miten vastuun siirtyminen pois pankeilta kuluttajille ja kaupoille vähentää pankkien motivaatiota tehdä järjestelmästä turvallisempi. Lisäksi hän esitteli useita eri tapoja murtaa järjestelmä esimerkiksi jo aiemmin julkaistulla menetelmällä.

Daniel Brodie ja Michael Shaulov esittivät tapoja, joilla voidaan hyökätä mobiililaitteissa käytettyjä VDI-ratkaisuja vastaan. Hyökkäykset kohdistuivat pääasiassa tapoihin, joissa laitteelle täytyy ujuttaa hyökkääjän koodia, jota siinä ajetaan. Sen jälkeen pääsyä VDI:n kautta käytettäviin järjestelmiin saadaan esimerkiksi keyloggerilla, ajamalla laitteella debuggeria ja sitä kautta hakemalla käyttäjätunnuksia, kopioimalla tietoja leikepöydän kautta tai tallentamalla ruutukaappaus. Huolimatta esitetyistä haavoittuvuuksista, Brodie ja Shaulov kuitenkin korostivat sitä, että VDI-ratkaisut ovat hyödyllisiä turvamekanismeja ja mahdollistavia teknologioita, mutta tietoturvan varmistaminen vaatii erilaisia mekanismeja kuten hyökkäyspinta-alan vähentäminen ja monitorointi.

Brian Gorenc ja Jasiel Spelman kävivät läpi erilaisia tapoja ajaa sovelluksia rajoitetussa hiekkalaatikkoympäristössä ja yleisiä tapoja kiertää hiekkalaatikkoteknologioita, mutta pääpaino oli epätyypillisissä tavoissa kiertää rajoituksia. Näissä haavoittuvuuksissa hyödynnettiin ongelmia MS Explorerin tallennusikkunassa, Cromen leikepöydän käsittelyssä sekä Internet Explorerin ja Cromen linkkien käsittelyssä. Esityksessä ratkaisuksi esitettiin mm. hiekkalaatikkoympäristössä mahdollistettujen rajapintojen vähentämistä sekä yleistä hyvien käytäntöjen käyttämistä sovelluskehityksessä.

Ruben Santamarta kävi läpi ongelmia, joita on satelliittikommunikaatiolaitteissa, joita käytetään muun muassa lentokoneissa sekä laivoissa. Tyypillisiä havaittuja ongelmia ovat kaikille melko tutut kovakoodatut salasanat, valmistajan tekemät takaovet, turvattomat protokollat sekä dokumentoimattomat protokollat. Näiden ongelmien kanssa saadaan ilmeisesti elää vielä pitkään, sillä esiintyjän saama palaute tuotteiden valmistajilta on ollut hyvin yhtenäinen viesti siitä, että ongelmat eivät ole olennaisia ja niitä ei korjata.

Päivän päätti Ivan Novikovin esitys injektiohaavoittuvuuksista memcached-järjestelmissä. Injektioissa ideana on, että käyttäjän syöte esim. verkkosivulta syötetään suoraan tietokantakyselyyn tai ainakaan sitä ei sanitoida riittävällä tavalla. Halutun tiedon lisäksi käyttäjän syötteessä voi olla pahantahtoista tietoa, jonka ideana on jollakin tavalla keskeyttää normaali tietokantakysely ja ajaa hyökkääjän haluama uusi tietokantakysely. Tärkeänä muistutuksena esityksestä on se, että ulkopuolelta saatavaan syötteeseen ei ikinä voi luottaa, vaan sen oikeellisuus tulee tarkastaa.

Tässä kaikki tämän vuoden Black Hatista. Konferenssin puheiden teemat painottuivat selvästi mobiililaitteiden ja sulautettujen järjestelmien turvallisuuteen, joten jatkossa saamme varmasti viettää runsaasti aikaa niiden turvallisuuden parantamiseksi.

torstai 7. elokuuta 2014

Black Hat USA - ensimmäinen päivä

Black Hat USA:n koulutus ja ensimmäinen päivä on nyt takana ja aika paljon eri asioita on tullut käsiteltyä. Kahden päivän CCSK+ (Certificate of Cloud Security Knowledge) -koulutus antoi hyvän kuvan eri pilvipalvelujen tietoturvasta luentomuodossa ja jatkui hands-on -harjoituksina, joita tehtiin erityisesti Amazonin pilvipalveluista. Koulutuksesta nousi esiin erityisesti kolme isoa asiaa

  • Ajatustavan täytyy muuttua siinä, miten pilvipalveluja käytetään ja rakennetaan sekä ylläpidetään. Yhtenä muutoksena ajatusmaailmassa on ympäristöjen nopea rakentaminen, esimerkiksi versionvaihdossa voidaan rakentaa tuotantoympäristön rinnalle uusi tuotantoympäristö ja testata sitä tuotannossa osalla tuotantoliikenteestä. Ympäristöjen nopea ja automaattinen rakentaminen voi ääritilanteessa mahdollistaa myös tilanteet, joissa tuotantoympäristöön ei tarvita ylläpitotunnuksia, sillä ongelmatilanteissa voidaan vain rakentaa uusi ympäristö.
  • Palveluntarjoajan kanssa ei voi neuvotella erityisehtoja, vaan on hyväksyttävä palveluntarjoajan normaalimuotoinen sopimus
  • Hyvin tehdyissä pilvipalveluissa on tarjolla hienojakoisia keinoja määritellä käyttöoikeuksia ja ne mahdollistavat sopivien käyttöoikeuksien antamisen eri tarkoituksiin. Joustava käyttöoikeuksien määrittely mahdollistaa ikävä kyllä myös niiden asettamisen ja jakamisen väärin, jolloin ulkopuolinen voi saada pääsyn kaikkiin resursseihin.


Dan Greer esitti keynote-puheessa useita parannusehdotuksia, joilla voidaan jatkossa parantaa tietoturvatilannetta. Näitä ehdotuksia olivat muun muassa

  • Pakollinen raportointi riittävän vakavissa tietoturvaloukkauksissa. Greer vertasi tilannetta potilastietojen luottamuksellisuuteen, jossa tiedot ovat normaalisti luottamuksellisia, mutta vakavien tarttuvien tautien kohdalla tehdään luottamuksellisuuden osalta poikkeus.
  • Tuotevastuun ulottaminen ohjelmistoihin. Tällöin ohjelmistojen tekijöillä olisi riittävä motivaatio tehdä ohjelmistoista turvallisia.
  • Ilman tukea olevien tuotteiden lähdekoodin avaaminen. Esimerkkinä Greer antoi Windows XP-käyttöjärjestelmän tietoturvapäivitysten loppumisen. Mikäli Windows XP:n lähdekoodi avattaisiin, voisivat  Microsoftin ulkopuoliset toimijat tehdä käyttöjärjestelmälle tietoturvapäivityksiä.


Antoine Delignat-Lavaud esitteli SSL:stä löydettyjä heikkouksia, jotka liittyivät virtuaalihostingiin, jossa saman IP-osoitteen takaa palvellaan useita eri sivustoja sekä tilanteeseen, jossa selailu aloitetaan ilman salausta ja myöhemmin aloitetaan salattu SSL-yhteys. Ratkaisuina esitettyihin ongelmiin on päivitys nykyisiin protokolliin, SSL-yhteyden pakottaminen HSTS-politiikalla sekä virtuaalihostingin konfigurointi oikein.

Omasta mielestäni päivän mielenkiintoisin puhe oli Rob Raganin ja Oscar Salazarin esitys siitä, miten ilmaisista pilvipalveluista voidaan rakentaa isoja kokonaisuuksia automaation avulla (tosin tällöin rikotaan palveluiden käyttöehtoja). Ideana on rekisteröidä automaattisesti useita tilejä pilvipalveluihin ja käyttää näitä tilejä omaan tarkoitukseen. Näitä tilejä voidaan käyttää esimerkiksi tietojen tallennukseen sekä erilaisten virtuaalivaluuttojen luomiseen. Tällaisen automaation mahdollistaa se seikka, että pilvipalvelut eivät tehokkaasti estä tilien automaattista luontia, vaan varmistavat käyttäjän identiteetin vain sähköpostin avulla.

Stephen Breen ja Christophe Camenjo kävivät läpi älypuhelinten hallintaan ja tietoturvan varmistamiseen käytettävien MDM-ohjelmistojen turvallisuutta. He ovat löytäneet tuotteista useita haavoittuvuuksia ja ilmoittaneet niistä tuotteiden valmistajille. Käytännössä monissa tuotteissa on perustason puutteita, kuten salausavaimien välittäminen salaamattomana ja eri toimintojen mahdollistaminen ilman auktorisointia. Monet ohjelmistot esimerkiksi välittävät autentikointitietoja, mutta eivät kuitenkaan käytä niitä laisinkaan. Esiintyjien neuvona on, että ennen tuotteen käyttöönottoa kannattaa miettiä, tarvitaanko MDM-ohjelmistoja laisinkaan, kunnon tietoturvatestaus ennen käyttöönottoa ja säännölliset päivitykset ohjelmistoon.

Brad Antoniewicz kävi läpi 802.1x, eli porttikohtaisen autentikoinnin heikkoja kohtia. Johtavien 802.1x –tuotteiden valmistajien tuotteista ei ole aiemmin löytynyt tietoturvaheikkouksia (tai ainakaan niille ei ole annettu CVE-numeroa). Antoniewicz ihmetteli, miksi tilanne on tämä, sillä hän teki fuzz-testausta tuotteille ja havaitsi, että niissä on runsaasti haavoittuvuuksia.

Black Hatin tunnetuinta antia ovat yllä mainitut, isot luentomuotoiset esitykset. Niiden lisäksi yhtä tärkeää antia ovat pienemmät esitykset, yritysten tuote-esittelyt, murtokilpailut, hauskanpito ja kaikki muut vapaamuotoisemmat tilaisuudet.

perjantai 1. elokuuta 2014

Lähde mukaan KPMG:n ja kumppaneiden Tietoturvaristeilylle 21.-22.8.2014

Toivotamme teidät jälleen lämpimästi tervetulleeksi KPMG:n perinteiselle tietoturvaristeilylle. Tänä vuonna seilaamme upealla Tallink Siljan M/S Baltic Queenillä. 

Tarjolla on tuttuun tapaan kattaus ajankohtaisia tietoturva-asioita ja mielenkiintoisia keskusteluja, verkostoitumista KPMG:n asiantuntijoiden ja kumppanien (Intel/McAfee, RSA, CyberArk) kanssa, mukavaa yhdessäoloa unohtamatta!

Kokoonnumme klo 16.30 lippujen jakoon Länsiterminaalin 2. kerrokseen. Laivaan siirtyminen klo 17:00 alkaen.

Hinta osallistujille: 250 € + alv / henkilö. Osallistujamaksu sisältää laivamatkat, hytit ja ohjelmaan sisältyvät ruokailut, ruokajuomat sekä seminaariohjelman.

Katso tarkempi ohjelma tästä!

Viimeinen ilmoittautuminen maanantaina 11.8.2014.

tiistai 29. heinäkuuta 2014

Instagram istunnon kaappaaminen on helppoa

Taas kerran turvattomien protokollien käyttö on noussut esiin ja huomaamme kuinka vähän loppukäyttäjä voi luottaa jopa tunnettujen palveluiden tietoturvaan. Viime päivinä Internetissä on käyty vilkasta keskustelua Instagramin API-kutsujen tietoturvasta. Instagramin mobiilisovellus (Android ja iPhone) tekee API-kutsut käyttäen salaamatonta HTTP-protokollaa. Jos käyttäjä selaa Instagramia suojaamatonta/heikosti suojattua (WEP) langatonta verkkoa käyttäen, on istunnon kaappaaminen hyvinkin helppoa. Alla on esimerkki miten istunnon kaappaus toteutetaan, kun henkilö selaa Instagramia suojaamatonta langatonta verkkoa käyttäen.

Ensimmäiseksi asetetaan langaton verkkokortti monitoroivaan tilaan
iwconfig wlan0 mode monitor 

Tämän jälkeen kuunnellaan Instagramin API-kutsuja esimerkiksi tcpdumpilla ja tallennetaan dump tiedostoon (esimerkki komento tallentaa kaiken liikenteen, joka on kohdistettu HTTP porttiin 80)
tcpdump -i wlan0  -n -vv -w instagramdump.pcap dst port 80

Nyt voi tcpdumpin antaa kerätä liikennettä ja pysäyttää se, kun paketteja on kertätty tarpeeksi. Jo yksi HTTP kysely Instagramin API:in riittää paljastamaan käyttäjän istuntotunnisteen. Seuraavaksi kerättyä dataa voidaan analysoida Wiresharkilla. Avataan kerätty instagramdump.pcap Wiresharkilla ja filteröidään protokollaksi HTTP. Kaikissa kyselyissä jotka lähtevät Instagramin API:in välitetään eväste sessionid. Kun hyökkääjän on onnistunut kaapata liikennettä jossa on välitetty edellä mainittu istuntotunniste, voi hän käyttää kaappaamaansa tunnistetta esimerkiksi asentamalla Firefoxiin Firebug lisäosan sekä muuttamalla käyttäjän user agentin.

User agentin voi muuttaa Firefoxista esimerkiksi lisäosalla tai kirjoittamalla osoiteriville about:config ja luomalla uuden String asetuksen, jonka nimeksi tulee:

general.useragent.override

Ja arvoksi:

Instagram 6.0.5 (iPhone6,2; iPhone OS 7_1_1; en_GB; en-GB) AppleWebKit/420+

Firebugista asetetaan uusi eväste, jonka nimi on sessionid ja sen arvoksi kaapattu istuntotunniste. Tämän jälkeen voi hyökkääjä tehdä selaimelta Instagramin API-kutsuja kaapatun käyttäjän istunnolla. Näillä API-kutsuilla voi hyökkääjä käytännössä tunnistautua uhrina Instagramiin ja näin hallita uhrin Instagram-tiliä.

No, mikä tässä sitten on niin ihmeellistä tai huolestuttavaa?  Yksinkertainen vastaus on salaamattoman HTTP-protokollan käyttö yhdessä maailman suosituimmista sosiaalisen median sivustoista. Erityisen epämielyttävä tilanne on loppukäyttäjien kannalta, koska he eivät usein voi suoraan vaikuttaa mobiilisovellusten tietoturva-asetuksiin tai todentaa helpolla millaisia tiedonsiirtoprotokollia käytetään.

Facebookille (omistaa Instagramin) on raportoitu aiheesta heinäkuun 24. päivä mutta ainakin viimeisin Instagramin version niin iPhonelle kuin Androidille on edelleen haavoittuva tämänkaltaisia hyökkäyksiä vastaan. Siihen asti kunnes Instagram alkaa käyttää salattua yhteyttä API-kutsujen yhteydessä on erittäin suositeltavaa välttää Instagramin mobiilisovelluksen käyttöä erityisesti salaamattomissa/heikosti salatuissa langattomissa verkoissa. Jos Instagramin mobiilisovellusta käyttää hyvin suojatuissa langattomissa tai 3G/4G verkoista ei näin yksinkertainen hyökkäys ole enää mahdollinen. Liikenne kuitenkin suuntautuu Internettiin, jossa käyttäjällä ei ole mitään hallintaa siitä miten hänen lähettämänsä paketit reitittyvät. Tästä syystä jossain muussa pisteessä sijaitseva hyökkääjä voi edelleen kaapata Instagram-käyttäjän istunnon.