Ads 468x60px

perjantai 23. joulukuuta 2011

Kun tietokoneet ohjaavat kaikkea

Tietokoneet ovat nykyään erottamaton osa lähes kaikkia laitteita, olivatpa ne sitten kodinkoneita, leluja, kulkuneuvoja tai vaikkapa sairaalan hoitolaitteita. Näitä laitteita ei ehkä niin helposti mielletä IT-järjestelmiksi, mutta niitä ne kuitenkin ovat. Näiden järjestelmien koodin kehittämiseen pätee samat säännöt ja periaatteet, kuin muunkin koodin ja koodissa on virheitä.

Perinteisissä IT-projekteissa ei aina ole onnistuttu erityisen hyvin toiminnallisessa eikä varsinkaan tietoturvamielessä. Testaamamme sovellukset eivät yleensä ole erityisen hyvin koodattuja tai testattuja. Kun tällainen ohjelmisto otetaan käyttöön huonosti testattuna, niin pahimmillaan tapahtuu tietovuoto, tietomurto tai jotain vastaavaa ei toivottavaa ja sinällään haitallista. Kun johonkin laitteeseen sulautettu tietojärjestelmä otetaan käyttöön huonosti testattuna, niin lentokone joutuu syöksyyn – 110 loukkaantui tai potilas kuolee saatuaan satoja kertoa liian suuren säteilyannoksen syöpähoitolaitteessa.

Ensimmäisessä esimerkissä matkustajakone joutui kahdesti syöksyyn ohjelmistovirheen takia. Tutkijat ovat moittineet erästä koodiriviä, joka tulkitsee ilmannopeuden antureiden tietoja lentokoneen tietokoneissa. Ohjelmakoodi ei toimintahäiriöiden yhteydessä pystynyt selvittämään epäkunnossa olevan anturin lähettämiä virheellisiä tietoja. Airbus on sittemmin päivittänyt koneidensa järjestelmät ja riskialtis ohjelmistokoodi on tiettävästi korjattu. Se onkin rauhoittava tieto seuraavaa lentoa ajatellen.

http://www.mikropc.net/kaikki_uutiset/matkustajakone+joutui+kahdesti+syoksyyn+ohjelmistovirheen+takia++110+loukkaantui/a743206

Toisessa esimerkissä sädehoitoa saaneet potilaat saivat koodivirheen vuoksi vuosien 1985 ja 1987 välisenä aikana yli 100-kertaisia säteilyannoksia. Ainakin 3 näistä potilaista kuoli. Koodia ei oltu riippumattomasti testattu ennen käyttöönottoa, koodin suunnittelussa ja vaatimusmäärittelyssä oli vakavia puutteita, käyttäjiltä tulevia virheraportteja ei uskottu eikä käsitelty ja lisäksi käytössä ollutta laite ja koodikokonaisuutta ei oltu koskaan testattu käytössä olleessa kokoonpanossa.

http://en.wikipedia.org/wiki/Therac-25

Itse muistan ihmetelleeni kehittäjien logiikkaa 90-luvun alkupuolella, kun Helsingissä ajatettiin DTM-sarjan osakilpailu. Kilpailussa Keke Rosberg ajoi ulos, koska auto ei antanut hänen jarruttaa toisen puolen renkaiden ollessa liian liukkaalla alustalla, hieman ajolinjan ulkopuolella. Itse ainakin vastaavassa tilanteessa seinän lähestyessä haluaisin kuitenkin sen mahdollisuuden, että jos nyt kuitenkin voisin yrittää sitä jarruttamista silläkin riskillä, että on liukasta. Täydellä vauhdilla seinään ajaminen ei oikein vaikuttaisi paremmalle vaihtoehdolle.

Lista kaikkien aikojen koodausvirheistä löytyy täältä: http://royal.pingdom.com/2009/03/19/10-historical-software-bugs-with-extreme-consequences/

Hyvää joulua kaikille ja varokaa käyttämissänne laitteissa olevaa koodia. Sitä ei ehkä ole testattu!

tiistai 13. joulukuuta 2011

Johdon tietoturvaopas (VAHTI 2/2011)

VAHTI-ryhmä on julkaissut johdon tietoturvaoppaan (VAHTI 2/2011) 7.12.2011. Tämä ohje on nimensä mukaisesti kohdistettu organisaatioiden johto- ja esimiesasemassa oleville; mitä heidän tulisi tietää tietoturvatyöstä ja organisaatioihin kohdistuvista tietoturvavelvoitteista sekä miten tietoturvatyön tukeminen tulisi sisällyttää jokapäiväiseen johtamiseen. Lähtökohta ohjeelle on ollut se, että valtion organisaatioiden tulee saavuttaa tietoturvatasojen perustason 30.9.2013 mennessä. Tämän takia ohjeen sisällössä on keskitytty ohjeistamaan tietoturvallisuuden johtamista lähinnä tietoturvatasojen perustason vaatimuksia vastaan mutta ohje soveltuu hyvin myös yksityissektorilla tehtävän tietoturvallisuustyön pohjaksi.

Ohjeen pohjimmainen sanoma on se, että tietoturvatyöllä on hyvin rajalliset mahdollisuuden onnistua, ellei sillä ole johdon näkyvää tukea. Lisäksi ohjeessa painotetaan, että riskejä tulee pyrkiä hallitsemaan kokonaisvaltaisesti. Ei siis riitä, että organisaatio hoitaa oman pesänsä kuntoon, vaan organisaation on osattava katsoa myös oman tynnyrinsä ulkopuolelle. Mitkä ovat vaikutukset meidän keskeisille sidosryhmille, jos meille käy jotain TAI mitkä ovat vaikutukset, mikäli tietoriskit realisoituvat jollain keskeisistä sidosryhmistämme?

Oheinen referaatti johdon muistilistasta(Ohjeen Liite 1) muodostaa perustan johdon tietoturvatyölle:
  1. Lainmukaisuuden varmistaminen: Olemmeko tunnistaneet meitä koskevat lakisääteiset velvoitteet?
  2. Riskienhallinnan- ja hallintajärjestelmän toteuttaminen: Arvioimmeko tietoriskejä säännöllisesti ja systemaattisesti?
  3. Tietoturvapolitiikkaan sitoutuminen: Kuvaako organisaation tietoturvapolitiikka tahtotilaamme?
  4. Tietoturvajohtaminen: Käsitelläänkö tietoturva-asioita säännöllisesti organisaation johtoryhmässä? Entä raportoidaanko poikkeustilanteita johtoryhmälle? (Mitkä ovat ne metriikat, jotka ovat relevantteja meidän organisaatiossa?)
  5. Tietoturvavastuuhenkilön nimeäminen: Kenen vastuulla on tietoturvatyön koordinointi ja raportointi johdolle? Onko henkilöllä riittävät resurssit työn tekemiseen?
  6. Tietoturvallisuuden organisointi: Onhan tietoturvallisuus osa ydinprosessejamme eikä vain päälle liimattu laastari?
  7. Tietoturvallisuuden toteutumisen varmistaminen: Huomioidaanhan tietoturvallisuus keskeisissä projekteissa, hankinnoissa ja kehittämisessä jo työn alkumetreillä?
  8. Tietoturvallisuuden TTS-suunnitteluedellytysten luonti: Onhan tietoturvatyöhön varattu riittävät taloudelliset resurssit?
  9. Poikkeama- ja eritystilanteiden hallinta: Olemme suunnitelleet miten toimimme poikkeustilanteessa (esim tietomurron sattuessa)?
  10. Tietoturvaraportointivelvollisuuksista huolehtiminen: Olemmeko suunnitelleet miten ja kenelle meidän tulee/kannattaa raportoida tietoturvallisuutemme tilasta?
Listan pointit ovat hyvä muistaa itse jokaisen ja meidän onkin syytä pysähtyä miettimään, ovatko yllämainitut asiat kunnossa omassa organisaatiossamme.


Terveisin
Antti

perjantai 2. joulukuuta 2011

Ohjelma tallentaa miljoonien puhelinten käyttäjien toimet

Tutkija Trevor Eckhart löysi Android puhelimestaan käyttöjärjestelmään piilotetun rootkit-tarkkailuohjelman. Trevorin tutkiessa asiaa tarkemmin hän huomasi, että ohjelmalla on paitsi oikeudet päästä käsiksi puhelimen tärkeisiin toimintoihin (mm. tarkkailla näppäintenpainalluksia tai nauhoittaa ääntä), ohjelma myös lähetti tietoa käyttäjän toimista eteenpäin Carrier IQ nimiselle yritykselle.

Luonnollisesti ohjelma, joka nauhoittaa käyttäjän kaikki toimet ja lähettää ne eteenpäin, on suuri loukkaus käyttäjien yksityisyydelle. Carrier IQ:n mukaan tämä ohjelma toimisi yli 140 miljoonassa puhelimessa. Carrier IQ löytyy Android puhelinten lisäksi myös Symbian, Blackberry sekä iPhone käyttöjärjestelmistä.

Carrier IQ puolustautuu lehdistötiedotteessaan vetoamalla siihen, että ohjelma auttaa ainoastaan parantamaan operaattoreiden palvelunlaatua. Carrier IQ:n mukaan ohjelman tarkoituksena ei ole tarjota mahdollisuutta käyttäjien toimien vakoiluun tai tuottaa informaatiota kolmansille osapuolille.

Carrieer IQ:n lehdistötiedotteesta voisi päätellä, että he eivät keräisi yksittäisiä näppäimenpainalluksia. Trevorin kuitenkin onnistui todistaa, että juuri näin tapahtuu.

Mikäli käyttäjä mieltää tällaisen laaduntarkkailun vakoiluksi, voi hän Android-puhelimen tapauksessa suojautua käyttämällä harrastelijavoimin tehtyä versiota Androidista. Tällaisestä käyttöjärjestelmän versiosta on mahdollista karsia Carrier IQ:n kaltaiset ohjelmat. Muut käyttöjärjestelmät (Symbian, iOS, BlackBerry) eivät anna käyttäjilleen vastaavanlaisia mahdollisuuksia ohjelmien poistoon, esimerkiksi hakkeroidulla iOS-järjestelmällä ohjelmien lataaminen Applen sovelluskaupasta voi olla vaikeaa.

Uutisen inspiroimana tutkin oman Android-puhelimeni sisältöä, mutta en löytänyt Carrier IQ ohjelmaa. Se saattaa rootkit-luonteensa takia olla hyvin piilotettuna. Sen sijaan itselläni näkyi ohjelma fcctest, jonka huomasin saavan oikeuden henkilökohtaisiin tietoihini, puheluihini, sijaintiini sekä 'maksullisiin palveluihin'. Pienellä googlaamisella vaikutti siltä, että kyseessä on amerikkalaisen viestintäviraston testiohjelma. Pysähdyin hetkeksi miettimään mihin itse vetäisin rajan oman yksityisyyteni loukkaamisesta.



Lähteet:
http://www.wired.com/threatlevel/2011/11/secret-software-logging-video/
http://www.tomsguide.com/us/Google-Android-Spyware-iOS-Carrier-IQ,news-13366.html
http://androidsecuritytest.com/features/logs-and-services/loggers/carrieriq/
http://www.carrieriq.com/Media_Alert_User_Experience_Matters_11_16_11.pdf