Ads 468x60px

sunnuntai 23. joulukuuta 2012

Milloin tietoturva haittaa liikaa liiketoimintaa – case roskaposti

Törmäsin kuluneella viikolla valitukseen liiketoiminnan puolelta, että meidän roskapostin suodatuksemme haittaa liiketoimintaa. Käytännössä yhden potentiaalisen asiakkaan lähettämä viesti oli tulkittu (taas) virheellisesti roskapostiksi ja tämä aiheutti mielipahaa.

Näin joulun alla asiaa maustaa lisäksi, että joulun lähestyminen lisää yleensä roskapostien ja kalasteluviestin määrää. (Monet roskapostien ja kalasteluviestien lähettäjät pyrkivät hyödyntämään ihmisen joulumieltä ja he räätälöivät huijausviestinsä näyttämään esimerkiksi houkuttelevilta tarjouksilta ja joulutervehdyksiltä.) Ja tästä päästääkin siihen, että monet yhteistyökumppanit eivät enää lähetä perinteisiä joulukortteja, vaan he lähettävät joulutervehdyksensä sähköisinä viesteinä. Hankalaa.

On totta, että jokainen virheellisesti roskapostiksi luokiteltu viesti on liiketoiminnan näkökulmasta liikaa. Toisaalta, tilastojemme mukaan suodatamme keskimäärin noin 155 000 roskapostia kuukaudessa (tallennustilana noin 1,5GB). Ei siis ihme, jos joukkoon eksyy välillä vääriäkin tulkintoja. Jos kuitenkin pureksimme asiaa pidemmälle, niin meillä on noin 700 postilaatikkoa suojattavana. Tämä tarkoittaa noin 7,3 roskapostia jokaiseen laatikkoon per päivä. Onko sitten noin seitsemän viestiä paljon vai vähän? Olisiko liiketoimintamme kannalta parempi, jos hyväksyisimme tämän ja ottaisimme suodatuksen kokonaan pois?

Itse kuulun siihen koulukuntaan, joka suosii mieluummin hieman liian tiukkaa suodatusta. Perustan kantani seuraaviin seikkoihin:

  1. Elämme sähköpostiviidakossa ja useimpien meidän inboxit täyttyvät helposti nopeammin kuin ehdimme niitä perkaamaan. (Monet tuhoavat suoraan kaikki viestit, joissa he eivät ole TO-kentässä). Kaikki ylimääräiset mailit luovat vain turhaa painetta inboxeihimme ja niiden roskapostiksi arvioiminen sekä poistaminen kuluttavat turhaan työaikaamme.
  2. Suodatus onnistuu bokkaamaan (ainakin) suurimman osan kalastelu- ja kaupusteluviesteistä sekä haittaohjelmista. Tämä parantaa tietoturvaamme.
  3. Käyttäjät saavat säännöllisesti raportin, johon on kerätty otsikot roskapostiin joutuneista viesteistä. Näin käyttäjillä on mahdollisuus käydä ”pelastamassa” roskapostista väärin tulkitut vietit.

Ylläpidon kannalta oleellinen kysymys onkin, mikä on oikea kireys aste suodatukselle? Jos suodatus on liian tiukka, niin oikeita maileja päätyy virheellisesti roskapostiin ja jos suodatus on liian löydä, niin tällöin roskapostit heilahtavat sisään. Olisi hienoa, jos voimme antaa suoraan oikean vastauksen sopivista suodatusasetuksista. Valitettavasti kuitenkin jokainen organisaatio joutuu itse määrittämään kuinka tiukaksi seulansa virittää. (Asetusten tiukkuuteen vaikuttaa mm. käytetyn suodatusjärjestelmän asetusten määrä ja mahdollisuudet, organisaation tulevan sähköpostin määrä per laatikko, käyttäjien valveutuneisuus, eri laatikoihin tulee eri määrä potentiaalisia roskaposteja ja toimeksiantoviestejä jne). Oikea taso löytyy vain kokeilemalla, mutta onneksi valistuneilla arvauksilla on mahdollista päästä jo melko hyvään lopputulokseen.

Ja meille muille, jotka emme itse pysty säätämään organisaatiomme roskapostifilttereitä, vaan pelkästään omaa filtteriämme:

  • Arvio tunnetko lähettäjän. Jos et, niin ole erityisen varovainen!
  • Jos viesti kuulostaa liian hyvältä, niin se hyvin todennäköisesti on sitä. Arvioi kriittisesti viestin sisältöä!
  • Jos viestin lukeminen vaatii organisaation tunnusten käyttämistä, niin kyseessä on hyvin todennäköiseesti kalasteluviesti. Älä koskaan anna käyttäjätunnustasi ja salasanaasi muille!
  • Jos olet epävarma, niin ota yhteyttä omaan helpdeskisi!

Leppoisaa joulun odotusta ja onnellista uutta vuotta 2013!
Antti

torstai 20. joulukuuta 2012

Taistellaan lamaa vastaan

KPMG:n tietoturvatiimillä on marras- joulukuussa ollut niin kiirettä töiden kanssa, että blogin kirjoittaminen on jäänyt vähän vähemmälle.

Nyt on mahdollisuus liittyä loistavien asiantuntijoiden seuraan ja hakea paikkaa KPMG:n tietoturvatiimissä. Parhaat hakijat palkitaan mukavilla työkavereilla ja mahtavilla asiakkailla.

Hae paikkaa nyt!
http://www.kpmg.com/fi/fi/tyopaikat/sivut/default.aspx

maanantai 17. joulukuuta 2012

Samsungin lippulaivapuhelimissa vakava tietoturva-aukko

Samsungin älypuhelimista on paljastunut vakava haavoittuvuus, jonka avulla sovellukset pääsevät laitteeseen käsiksi pääkäyttäjän oikeuksilla. Käytännössä tämä tarkoittaa, että tavallinen sovellus pääsee ohittamaan kaikki sovelluksen toiminnalle asetetut rajoitukset.

Haavoittuvuus on Exynos-pohjaisten laitteiden Android-käyttöjärjestelmässä. Haavoittuvuus koskee siis ainoastaan Samsungin laitteita, eikä vastaava reikää pitäisi muiden valmistajien laitteista löytyä. Vika on oikeuksissa, jotka on asetettu Androidin /dev/exynos-mem -laitteelle käyttöjärjestelmässä. Luku- ja kirjoitusoikeudet on myönnetty kaikille käyttäjille, mikä tarkoittaa, että myös tavalliset sovellukset voivat lukea ja kirjoittaa suoraan laitteen muistiin, mukaan lukien käyttöjärjestelmän ytimen muistin. Tätä kautta on mahdollista injektoida omaa koodiaan esimerkiksi kerneliin ja sitä kautta saada laite hallintaansa. Reiän avulla tavalliset sovelluskaupoista ladattavat sovellukset voivat siis korottaa oikeuksiaan tasolle, jonka ei pitäisi olla mahdollista.

Harrastajia tämä kiinnostaa erityisesti, mikäli haluaa asentaa laitteelleen jonkin vaihtoehtoisen järjestelmän. Hakkeria houkuttelee luonnollisesti mahdollisimman moneen laitteeseen tunkeutuminen ja esimerkiksi vakoiluohjelmien asentaminen tai laitteeseen tallennettujen tietojen varastaminen. Pääkäyttäjän oikeuksilla pääsee käsiksi esimerkiksi palveluiden salasanoihin ja kaikkien sovellusten tallentamiin tietoihin.
Hyväksikäyttö vaatii siis haittasovelluksen asentamista laitteeseen. Mahdollisuuksia minkäänlaiseen etähyökkäykseen ei ole. Ennen korjauksen julkaisua kannattaa siis harkita uusien sovelluksien asennusta.

Korjausta ei ole vielä saatavilla, mutta Samsung on jo ilmoittanut reagoivansa haavoittuvuuteen, eli korjaava päivitys julkaistaneen piakkoin. Myös hack-tyylinen korjaus on siihen kykenevillä tarjolla, mutta oikeuksien muuttaminen estää ainakin kameran toiminnan kyseisissä laitteissa.

Haavoittuvien puhelimien lista on vaihdellut hieman lähteestä riippuen. Haavoittuviksi on nimetty ainakin Galaxy S2, Galaxy S3, Note 2, Note 10.1 ja Note Plus. Käytännössä haavoittuvia ovat laitteet, joissa on Samsungin Exynos-sirun tiettyihin versioihin perustuva järjestelmä. Exynos on Samsungin System-on-a-chip ratkaisu, jossa puhelimen tärkeimmät piirit on paketoitu yhdeksi kokonaisuudeksi.

-Antti A

Lähteet:
http://forum.xda-developers.com/showthread.php?p=35469999#post35469999
http://www.theregister.co.uk/2012/12/17/samsung_exynos_flaw/
http://www.mikropc.net/kaikki_uutiset/samsungin+androidlaitteista+paljastui+paha+tietoturvariski+vuotaa+kayttajan+tiedot/a864786

tiistai 11. joulukuuta 2012

Dynaamisempaa tietoturvaa


Polymorfiset haittaohjelmat ovat yleistyneet huomattavasti aikaisempaan verrattuna, kertoo tietoturvayhtiö Sophos viimeisimmässä vuosiraportissaan. Polymorfisella haittaohjelmalla tarkoitetaan itseään jatkuvasti muuttavaa ohjelmakoodia, joka tekee erilaisia mutaatioita välttääkseen ns. haittaohjelmatunnisteita (signatures) käyttävät turvakontrollit, kuten normaali antivirusohjelmisto tai IDS/IPS-järjestelmä. Tilannetta voisi verrata siihen, että tunnettu myymälävaras voi kävellä kauppaan sisälle tekoviiksillä ja -nenällä varustettuna vartijoiden häntä tunnistamatta edes epäilyksen tasolla, vaikka olisi juuri edellisenä päivänä otettu kiinni itse teosta. Tilanne on tietysti sama nollapäivähaavoittuvuuksissa (zero day), joita voidaan usein hyödyntää kaikkien perinteisiin tunnisteisiin pohjautuvien järjestelmien ohi niin paljon kuin ehditään, kunnes valmistaja mahdollisesti toimittaa tuotteeseen tunnistepäivityksen haavoittuvuuden tultua julki – ja julkituloon voi ajallisesti kulua päiviä tai kuukausiakin.

Tämä ei kuitenkaan tarkoita etteikö tunnisteisiin perustuville tietoturvakontrolleille olisi selkeä tarve jatkossakin, mutta niiden käyttäminen ei saa aiheuttaa liiallista turvallisuuden tunnetta, varsinkaan kaikkein kriittisimmissä ympäristöissä (niin kuin kävi esimerkiksi tälle australialaiselle lääkäriasemalle). Tietoturvan kehitystyössä tarvitaan sen sijaan perspektiivin laajentamista jatkuvasti muuttuvia uhkia vastaan. Ei riitä että tuijotetaan yhteen pisteeseen ja etsitään siihen täsmäsuojaus, vaan on entistä tärkeämpää laajentaa näkemystä parempaan kokonais- ja tilannekuvaan omasta ympäristöstä. Ei motivoituneen hyökkääjänkään intressi ole yrittää murtoa siitä pisteestä, missä suojaus on kaikkein vahvin, usein esimerkiksi organisaation Internet-reuna, vaan helpompaa on etsiä muita takaovia ja tapoja hyödyntää tietoturvan heikointa lenkkiä - useimmiten käyttäjää. Sen tähden ei voidakaan etukäteen tarkasti sanoa mitä kohtaa omasta infrastruktuurista pitää suurennuslasilla tuijottaa tietomurron havaitsemiseksi – koska on katsottava koko ympäristöä samaan aikaan ja mieluiten reaaliajassa. Kuulostaako helpolta tehtävältä?

Miten tämä ajantasainen kokonaiskuva sitten muodostetaan? Tällä hetkellä siihen antaa parhaat mahdollisuudet keskitetty lokienhallinta ja edistyneempi SIEM (Security Information and Event Management). Järjestelmien lokitietoihin säilötään valtava määrä hyödyllistä tietoa, jos sitä vain osataan hyödyntää oikein. Myös tietoliikenteen profiili on arvokasta informaatiota kun etsitään ympäristöstä poikkeamia jotka on muilta kontrolleilta jäänyt huomaamatta. Seuraavan sukupolven sovelluspalomuurit, adaptiiviset IDS/IPS järjestelmät, erilaiset pilvipalveluiden maine (reputation) -arvoon perustuvat nopeasti mukautuvat kontrollit, Netflow-analysaattorit, ym. antavat myös mahdollisuuden reagoida esimerkiksi polymorfisten haittaohjelmien tuomaan uusiin haasteisiin paremmin, sekä tarjoavat tavan heuristisen arvion muodostamiseen ympäristön tilasta. Tietoturva on muuttunut entistä dyynamisemmaksi.

Kontrolleja ei voi rakentaa siis mustavalkoisesti, vaan katsoa kokonaisuutta enemmän helikopterista. Ensimmäinen askel on tunnistaa ympäristön liiketoimintakriittiset palvelut, arvioida niiden riskit, uhat, kriittisyydet ja heikot kohdat, sekä soveltaa niihin parhaita suojatumismekanismeja. Tärkein ohje on: tunne ympäristösi, ja sen normaali käyttäytymisprofiili – kuinka moni voi sanoa tämän toteutuvan omassa organisaatiossaan? Vasta sen kautta voidaan tunnistaa mahdollinen epänormaali käyttäytymismalli.

Suuri ongelma riittävän riskianalyysin puuttumisen lisäksi, mm. lokienhallinnan osalta on myös että hypätään suoraa implementointiin ja unohdetaan tekemisestä järki. Lokienhallintaa ja SIEM:iä ei voida ajatella Launch & Forget –tyyppisenä tietoturvaratkaisuna organisaatiolle. Jos ei ole selkeää suunnitelmaa ja kuvaa etukäteen mihin pyritään ja mitä lokienhallinnalla halutaan saavuttaa, niin järjestelmiin panostetut resurssit valuvat usein hukkaan. Mikäli lokienhallinnan käytännöt ja kulttuuri saadaan rakennettua organisaatioon kestävälle pohjalle, niin hyötyinä tästä saadaan todennäköisesti paljon muutakin kuin pelkästään tietoturvan parantuminen. Lokeista on mahdollista löytää paljon informaatiota mitä muut valvontaratkaisut eivät usein löydä, ja ennaltaehkäistä näin virhetilanteita (huom. tämä kiinnostaa erityisesti liiketoimintaa!).

Eikä lokienhallintaprojekti välttämättä tarkoita merkittävää budjettia heti alkumetreillä, vaan lokitietoisen organisaatioympäristön valmistelu kannattaa ehdottomasti aloittaa ennen varsinaisen keskitetyn lokijärjestelmän hankintaa ja varmistaa että myöhemmässä vaiheessa siitä saadaan heti alusta täysi hyöty irti.

lauantai 8. joulukuuta 2012

Muistiinpanojen tekemisen sietämätön keveys

Kuluneella viikolla on uutisoitu Facebookin uudesta ominaisuudesta: sekä iOS- että Android-sovelluksiin on lisätty ominaisuus, joka mahdollistaa käyttäjän kuvien automaattisen synkronoinnin Facebookin kuva-albumiin. Kokeilin itsekin tätä toiminnallisuutta kotilaitteellani ja näppärästihän tuo tuntui toimivan.

Ensimmäinen asia, mikä minulle tuli aiheesta mieleen, oli se, että ”tämähän on aivan nerokas liikeidea”. (Hätäisesti luettuna) käyttöehtojen mukaan käyttäjä antaa Facebookille täyden oikeuden hyödyntää käyttäjän palveluun lataamaa materiaalia. Toisin sanoen, periaatteessa Facebook voisi esimerkiksi myydä minkä tahansa käyttäjän kuvan eteenpäin ansainta tarkoituksessa. Ja koska kuvat latautuvat automaattisesti palveluun (olettaen toki, että ominaisuus on aktivoitu), niin myös kaikki kuvat kuuluvat tästä eteenpäin Facebookille.

Omien kuvieni osalta en usko, että Facebook niillä rikastuisi. Näinpä en ole edellisen kappaleen huomiosta huolissani. Syy, miksi aiheesta kuitenkin *olen* huolissani, on se, että käytän työpuhelimen kameraa aina välillä muistiinpanojen tekemiseen. Esimerkiksi tilanteissa, joissa monimutkaisia asioita mallinnetaan valkotaululle, kamera on lyömätön muistiinpanoväline. Jos työpuhelimessa on Facebook-sovellus ja se on valtuutettu synkronoimaan kuvat, niin myös mahdollisesti luottamuksellista tietoa sisältävät kuvat päätyisivät Facebookkiin. (Onneksi synkronointi ei ole oletuksena päällä ja synkronoidutkin kuvat tulevat oletuksena yksityiseen albumiin. Tämä ei kuitenkaan tarkoita, etteikö tilanne voisi muuttua, ja etteikö käyttäjä voisi vahingossa jakaa luottamuksellista tietoa sisältäviä kuvia eteenpäin.)

Miksi sitten epäilen, että työpuhelimesta voisi löytyä Facebook-sovellus? KPMG Australian tekemän tutkimuksen mukaan (N=2500), kolme suosituinta sovellusta työkäytössä olevissa iPhonea / iPad -laitteissa olivat Facebook (52%), Angry Birds (46%) ja LinkedIn (38%). En usko, että tilanne olisi kovin erilainen tällä Suomessa.

Pikahoito: Joko varmista, että laitteen kuvat eivät synkronoidu automaattisesti laitteen ulkopuolelle tai älä käytä kameraa luottamuksellisen tiedon kuvaamiseen. Muista myös, että mikäli otat toiminnallisuuden käyttöön, niin Facebook-sovellus synkronoi *kaikki* laitteessa olevat kuvat Facebookkiin.

Helppo ratkaisu asiaan olisi tietysti se, että Facebook olisi kielletty sovellus työpuhelimessa. Tämä ratkaisu on kuitenkin vain ”oireen hoitamista varsinaisen vaivan sijasta”. Maailmasta löytyy N+1 kappaletta erilaisia sovelluksia, joilla päätelaitteiden datat voidaan synkronoida erilaisiin pilvipalveluihin. Toki erilaisilla päätelaitteiden hallintajärjestelmillä pystytään niin ikään hillitsemään oireita (ainakin niillä voidaan yleensä kontrolloida mitä sovelluksia laitteeseen saa asentaa), mutta miksi hankkia työntekijöille yli 500€ laitteita, jos niiden toiminnallisuus on 40€ puhelimen tasolla?

Itse näen asian niin, että kieltoja oleellisempaa on kouluttaa käyttäjiä. Käyttäjien tulee ymmärtää, mikä *tietoaineisto* on luottamuksellista ja mikä ei. On muistettava, että esimerkiksi perinteisten sähköpostin (ja sen liitetiedostojen), kalenterimerkintöjen ja kontaktitietojen lisäksi myös päätelaitteissa olevat kuvat, videot, ääninauhoitukset tai käyttäjän paikkatiedot saattavat sisältää luottamuksellista dataa. Jos näen, että päivittäin kirjaudut jossain tietyssä lounaspaikassa Foursquareen, niin ei ole rakettitiedettä päätellä sinun olevan töissä jossain lähellä. (Yleensä toki käyttäjän toimiston sijainti ei ole salaista tietoa, mutta joskus oma sijainti on syytä pitää omana tietonaan.)

Näinpä, tämän tarinan tarkoitus ei ollut pelotella (jälleen) uusilla peikoilla. Tarinan tarkoitus oli herättää ajatuksia ja muistuttaa siitä, että monesti tehokkainta tapa suojautua uusilta uhilta on aktiivinen käyttäjävalistus.

Yksityiskohdista kiinnostuneet voivat säätää iOS-laitteessa kuvien jakamista seuraavasta paikasta:

Settings -> Privacy -> Photos : Facebook:

  • ON - Facebook saa lukea laitteen kuvat
  • OFF - Facebook ei saa lukea laitteen kuvia

Samasta paikasta pystyy myös tarkistamaan, mitkä kaikki muut sovellukset saavat lukea laitteessa olevia kuvia.

Ystävällisin terveisin
Antti

tiistai 27. marraskuuta 2012

Pikku juttuja –kuinka turvata oma Google mail (ja miksei muutkin vastaavat palvelut)


Törmäsin kuluneella viikolla mielenkiintoiseen blogi-postaukseen aiheesta kuinka parantaa oman Google-tunnuksen turvallisuutta [1]. Luettuani tekstin ajattelin ensin, että ”höh, olipa simppeleitä juttuja, ei mitään tajuntaa säväyttävää”. Samalla kuitenkin harmikseni tajusin, että en edes muista, milloin olisin viimeksi tarkastanut tekstissä mainitut neuvot.
Näinpä, ohessa muutamia helppoja kikkoja kuinka parantaa oman Google-tunnuksen turvallisuutta:
  1. Ota käyttöön kaksi-vaiheinen tunnistautuminen (Tilin asetukset -> Tietoturva ->Kaksivaiheinen vahvistus). (Ei-teknsille ihimisille: Turvallisuuden parantuminen perustuu siihen, että kun kirjaudun jollain laitteella ensimmäisen kerran tunnukselleni, niin saan tekstiviestinä varmistuskoodin, joka minun tulee syöttää kirjautumisen yhteydessä. Näin pelkästään kaappaamalla käyttäjätunnuksen ja salasanani hyökkääjä ei pysty kirjautumaan tililleni + Lisäksi, jos saan tekstiviestinä vahvistuskoodin, mutta en ole yrittänyt kirjautua tunnukselleni, niin tiedän jonkin olevan vialla.)
  2. Tarkasta sähköpostiin määritellyt uudelleen ohjaukset (Settings -> Forwarding and POP/IMAP) ja varmista, että sähköpostejasi ei välitetä edelleen (tai jos välitetään, niin varmista, että itse hallinnoit kohdetunnuksia).
  3. Tarkasta sähköpostiin määritellyt suodattimet (Settings -> Filters). Suodattimien avulla hyökkääjä pystyy esimerkiksi tuhoamaan viestejä tietyn kriteerin perusteella tai vastaavasti valitsemaan mitkä viestit uudelleen ohjataan (ks. edellinen kohta).
  4. Tarkasta, että salasanan palautusmenettelyt ovat varmasti kannaltasi järkevät (settings -> Accounts and Import -> Google account settings -> Change password recovery options -> Email). Varmista, että puhelinnumerosi on varmasti oikein (jos olet sellaisen määrittänyt) ja varmista, että salasanan palautukseen käytetty sähköpostiosoite(et) on todella sinun. (Blogissa suositeltiin myös, että turvakysymyksen vastaus kannattaa tarkistaa, tai asettaa uudelleen, koska senkin kautta on mahdollista saada nollattua salasana.)
  5. Viimeisimmät kirjautumiset: Gmailin oikeassa alakulmassa on pieni linkki (details), jonka takaa löytyy kymmenen viimeisimmän kirjautumisen tiedot (kirjautumisen tyyppi, IP-osoite, aikaleima). Tämän toiminnallisuuden avulla pystyy hieman seuraamaan missä kaikkialla ja miten gmailiin on kirjauduttu sisään.
Edellä mainittujen lisäksi blogi-tekstissä suositeltiin tarkastamaan myös muiden Googlen palvelujen asetukset (Kalenteri, Google Drive jne). Näistä tulee varmistaa, että jaot ovat oikein tai että jakoja ei myöskään todellisuudessa ole, mikäli et ole halunnut niitä. (Esimerkiksi kalenterissa: settings -> Calendars  ja varmista, että kalenterisi jaot ovat oikein.)
Näin SSO aikana kannattaa myös muistaa, että jos olet antanut jollekin sivustolla tai sovellukselle luvan käsitellä tiliäsi, niin myös näiden sovellusten tai palvelujen tietoturvasta tulisi huolehtia. Voimassa olevat valtuutukset voi tarkastaa seuraavasti: Tilin asetukset -> Tietoturva -> Valtuutuksen antaminen sovelluksille ja sivustoille.
Vastaavia periaatteita pystyy soveltamaan myös muiden web-palvelujen turvaamisessa.  Lisäksi mikään edellä mainituista ei ollut mitään rakettitiedettä. (Kuten ei myöskään se, että  ei käytä samaa salasanaa kaikissa palveluissa. J

Terveisin
Antti

[1] http://blog.kaspersky.com/4-ways-to-secure-your-gmail-account/

tiistai 30. lokakuuta 2012

Tarkastavatko pilvipalvelut, mobiilit ja sulautetut järjestelmät varmenteita vai eivät?

TLS/SSL lienee maailman käytetyin salausjärjestelmä ja protokolla. Salaus onkin helppoa, sen sijaan ei ole niinkään helppoa varmistaa, että yhteys menee sinne, minne sen luullaan menevän, ilman ylimääräistä salakuuntelijaa välissä.  Jos kyseessä on ns. tavallinen tapaus, homman riskit ymmärretään jotenkin: selain, interaktiivinen käyttäjä, tunnetut varmentajat. Jos ruudulle tulee huomautus, että varmenteessa on jotakin pielessä, esim. "varmentaja on tuntematon", asiantunteva (!?) käyttäjä voi ottaa kantaa, uskaltaako hän hyväksyä sen.

The Most Dangerous Code in the World:
Validating SSL Certificates in Non-Browser Software
http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf

Tässä tutkimuksessa tilanne on kuitenkin toinen. Tutkittiin erilaisia SSL-kirjastoja, esim. Amazonin EC2-Java-kirjastoja ja Amazonin ja Paypalin kauppapaikoille tarjomia maksu-SDK-kirjastoja ja lukuisia muita Web-kauppa- ja mobiilisoftia.

Suurin osa haasteesta palautuu siihen, miten yleisimmät TLS-toteutukset (JSSE, OpenSSL, GnuTLS) implementoivat varmenteen tarkastamisen. Lopputulos on, että usein APIt aivan liian helposti mahdollistavat sen, että väärää varmennetta ei torjuta. Mikäli interaktiivista käyttäjää ei edes ole (esim. sulautetuissa järjestelmissä, eräajoissa, taustaoperaatioissa, palvelin-palvelin-yhteyksissä) ohjelmoijalla on ikävä valinta: joko epävarmakin varmenne (esim. self-signed, tai mikä tahansa tuntemattoman varmentajan varmenne) hyväksytään, tai yhteyttä ei voida muodostaa.

Usein järkevää valintaa ei ilmeisesti ole edes mietitty, vaan varmenteet hyväksytään ihan silkasta typeryydestä, tai siksi, että sekavaa APIa ei osattu käyttää oikein.

Myös KPMG:n omissa koodi- ja järjestelmäauditoinneissa on nähty, että jopa tietoturvakriittiset mobiili-clientit joko vahingossa tai tahallaan mieluummin avaavat yhteyden heikolla varmenteella kuin antavat virheilmoituksen lokiin ja lopettavat toimintansa.

Lopputulos on, että monen "turvatun" pilvipalvelun sekä kriittisen pankki- ja maksujärjestelmän TLS-yhteyksien salakuuntelu ja modifikaatio lennossa on mahdollista. Tämä toki vaatii, että ensin hyökkääjä pääsee liikenteen varrelle. Eli esim. samaan lähiverkkoon (ja VLANiin, jossa voi ARP-huijata), jossa joko a) client tai b) palvelin on. Tai "hyökkääjä" (esim. valtiollinen vakooja) on operaattorin verkossa.

Jatkossa ottakaame opiksi, kun tehdään/hankitaan/käytetään näitä softia:

1. Testaa: hyväksyykö järjestelmä itse tehtaillun varmenteen!
2. Alä disabloi varmennetarkastusta tuotantoversiossa,  mielellään älä testiversiossakaan!
3. Alä luota (kirjastojen tai systeemien) varmennetarkastusten oletusasetuksiin, varmista, että tarkastus on päällä!

keskiviikko 24. lokakuuta 2012

Tietosuojavastaavan tehtävät ja rooli organisaatiossa

Suurimmalla osalla suomalaisista isoista organisaatioista on jo jonkin aikaa ollut tietoturvavastaava. Tietosuojavastaavan on yksityissektorin toimijoista nimittänyt tähän mennessä kuitenkin vain suurimmat ja ”kauneimmat”.  Tähän lienee syinä ainakin pakottavan lainsäädännön puuttuminen, epätietoisuus tietosuojavastaavan järkevästä tehtäväkentästä sekä se, että usein tietosuoja-asiat tuntuvat edelleen majailevan organisaatioiden to do-listojen häntäpäässä.
Suomessa terveydenhuollon sektorilla tietosuojavastaavan nimittäminen on ollut pakollista jo vuodesta 2007, ja EU:n tulevan tietosuoja-asetuksen myötä ollaan ottamassa käyttöön yleistä rekisterinpitäjiä koskevaa velvollisuutta nimittää tietosuojavastaava. Asetuksen luonnostekstissä velvollisuus ei silti koske pieniä yksityisen sektorin rekisterinpitäjiä, tällä hetkellä raja-arvo on asetettu 250 työntekijän organisaatioihin, poislukien ns. erityistapaukset.
Tietosuojavastaavan tehtävä on avustaa organisaatiotaan lakisääteisten velvoitteiden hoitamisessa ja hyvän tietohallintotavan kehittämisessä. Tietosuojavastaavan tulisi olla erityisasiantuntija, joka toimii henkilöstön tukena päivittäisen henkilötietojen käsittelyn kysymyksissä, toimii yhteyshenkilönä viranomaisiin päin, sekä toimii neuvonantajana johdolle ja raportoi tietosuojan tilasta ja kehityskohteista. Tietosuojavastaava osallistuu mm. henkilötietojen käsittelyn prosessien ja valvonnan suunnitteluun, politiikan ja ohjeistuksen laadintaan, koulutuksen järjestämiseen sekä kontrolliympäristön määrittelyyn.
Tietosuojavastaavan tulisi olla organisaatiossaan mahdollisimman riippumaton tekijä, joka raportoi suoraan johdolle. Tietosuojavastaavaa nimitettäessä on otettava huomioon henkilön ammattipätevyys ja erityisesti tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityisasiantuntemus sekä valmiudet suorittaa tietosuoja-asetuksessa määritetyt velvoitteet.
Käytännön haasteena suomalaisille rekisterinpitäjille tulee olemaan yllä mainitut pätevyysehdot täyttävien ja organisaation prosessit tuntevien henkilöiden löytäminen. Jotta tietosuojavastaava pystyisi hoitamaan tehtäviään menestyksekkäästi, on hänen tehtävät, vastuut ja asema määriteltävä selkeästi ja tarjottava riittävät resurssit toiminnalle. Muutoin vaarana on, että tietosuojavastaavan nimittäminen tapahtuu vain paperilla ja organisaation toiminta jatkuu entisellään. Tämä ei luonnollisesti ole lainsäätäjän tarkoitus, ja organisaatio voi hyötyä suuresti pätevän tietosuojavastaavan panoksesta, niin taloudellisten kuin niiden kuuluisien maineriskienkin välttämisessä.

maanantai 15. lokakuuta 2012

Tietotekniikan kuluttajistuminen

BYOD – Bring Your Own Device. Vai oliko se Bought Your Own Device? Ei kun, joku taisi viitata siihen termillä Bring You Own Bomb. Noh, niin tai näin, rakkaalla lapsella on useita nimiä. Näin myös tässä tapauksessa.

Tietoturva ry tiedusteli jäsenistöltään muutama viikko sitten, miten jäsenet näkevät tietoturvallisuuden kehittyvän seuraavan viiden vuoden aikana. Yksi kysymyksistä käsitteli omien laitteiden käyttöä töissä. Väitteenä oli, että organisaatioiden modernit työvälineet tulevat syrjäyttämään omien laitteiden käytön tarpeen työpaikoilla. Jäsenistön vastausten perusteella n. 40% vastaajista uskoi siihen, että viiden vuoden kuluttua organisaatioiden modernit työvälineet korvaavat tarpeen käyttää omia laitteita töissä. Mielenkiintoista.

KPMG on tutkinut niin ikään kuluttajistumista kesäkuussa 2012. Tällöin kyselyyn vastasi 668 C-tason teknologiavaikuttajaa maailmanlaajuisesti. Kyselyn tulosten perusteella vastaajat näkivät kuluttajistumisella olevan merkittäviä vaikutuksia jatkossa. 88%:a kyselyyn vastaajista ilmoitti, että heidän työntekijänsä käyttävät omia laitteita töissä. 60%:a vastaajista myös ilmoitti, että he aikovat muokata yrityksensä IT-järjestelmiä siihen suuntaan, että ne tukevat paremmin omien laitteiden käyttöä jatkossa. Sovellusnäkökulmasta taasen 85% totesi, että yrityksen sähköpostia käytettiin omilla laitteilla. Muiden yrityssovellusten osalta käyttö oli tasaisempaa, CRM-järjestelmiä käytti omilla laitteilla 45% käyttäjistä, työajan ja kulujen seuranta sovelluksia 44% ja ERP-järjestelmiä 38% vastaajista.

Kun palaamme Tietoturva ry:n väitteeseen, niin uskonko itse väitteeseen? Hmnn, en. Uskon kyllä siihen, että organisaatioiden tarjoamat työvälineet tulevat ”modernisoitumaan” ja ne todennäköisesti tulevat tarjoamaan paremman mahdollisuuden yhdistää, tai ennemminkin erottaa, työprofiilin ja henkilökohtaisen profiilin samassa laitteessa. En kuitenkaan usko siihen, että enää tulemme tilanteeseen, jossa työnantaja voi määritellä täysin työtekijöidensä työvälineet. Näin ollen olen samoilla linjoilla KPMG:n kansainvälisen kyselyn tulosten kanssa.

Ja miten tämä sitten vaikuttaa mihinkään? Lähinnä siten, että nyt on viimeisiä aikoja varmistaa omiin laitteisiin liittyvien ohjeiden ajantasaisuus; mitä sovelluksia laitteeseen saa asentaa, miten laitteeseen tallennetun tiedon suojaamisesta voidaan varmistua, ketkä kaikki saavat laitetta käyttää jne. Perusjuttuja, mutta silti niin monessa paikassa määrittämättä. Eli, eiköhän kukin osaltamme varmisteta, että homma on omassa organisaatiossamme kunnossa!

Ystävällisin terveisin
Antti

torstai 4. lokakuuta 2012

Hakkeriryhmä Anonymous hyökkäsi Ruotsiin, Team Ghostshell yliopistoihin

Aikaisemmin tällä viikolla aatteellinen hakkeriryhmä Anonymous esitti uhkauksen, että se hyökkää ruotsin keskuspankin verkkopalveluita vastaan keskiviikko illalla/yöllä 3.10.2012.




Syitä hyökkäykseen mainittiin olevan Ruotsin halu saada Wikileaksin Julian Assange vastaamaan seksirikossyytteisiin Ruotsin oikeudessa sekä Ruotsin viranomaisten aktiiviset toimet PRQ tiedostonjakopalvelimien sulkemiseksi.

Yöllä noin kello 4:10 www.riksbank.se sivut toimivat ihan hyvin, mutta kello 4:38 ne toimivat ensin hitaasti ja sitten eivät ollenkaan. Sivut eivät toimineet vielä kello 5:00, jolloin tämä blogiteksti julkaistiin. Ruotsalaisen uutislehden ”The Local” mukaan Riksbankenin edustaja Frederik Andersson oli jo keskiviikkoiltana kello 22:30 Ruotsin aikaa kertonut pankin olevan hyökkäyksen kohteena. Myös muut ruotsalaiset sivustot, erityisesti viranomaisten palvelut ovat olleet hyökkäyksen kohteena.


Samaan aikaan myös Ruotsalaisten Upsalan ja Lundin yliopistojen tietojärjestelmiin on murtauduttu. Tämän hyökkäyksen kohteena on ollut maailmalta noin 100 huippuyliopistoa, mukaan lukien Cambridge, Harvard, Princeton ja Stanford . Näiden murtojen takana ei ilmeisesti ole ollut Anonymous, vaan ryhmä nimeltä Team Ghostshell.

Yliopistojen järjestelmistä on viety ainakin käyttäjien henkilö- ja käyttäjätietoja (ainakin 120 000 käyttäjän), jotka on julkaistu internetissä  Pastebin – palvelussa.

sunnuntai 30. syyskuuta 2012

Syyskuun parhaat tietoturvalinkit - Osa 2



Pentest työkalut
Metasploit 0-day for IE7, 8 and 9
Cobalt strike is updated with CovertVPN. Has anyone tried this tool yet?
IPv6 toolkit – from Fernando Gont, UK CPNI
Powershell scripts for pen testers
Also another – with a cool Inject-shellcode script
Reverse IPv6 tool
Some nice windows tricks
Nice tool to analyse network traffic – except I don’t think it is released yet
Cracking putty private keys with JTR
For those with a Teensy – Kautilya has been updated with more OS X payloads
Hiding your shells
Open hardware security testing platform
Kon-boot for Mac – login to OSX without knowing the password
Updated Nikto tool released
QubesOS – secure operating system. Each application runs in its own lightweight VM
Binwalk – extract embedded files from .bin files
Aircrack Gui
With video
An exe, pdf, Jar and HTML file, all in one. Not sure if this would be useful o anyone – but just in case
Especially dangerous when combined with this...
Artillery – Advanced active response tool for detecting attackers
Useful list of cheatsheets
Finally – new BURP released – which includes the documentation within itself

lauantai 29. syyskuuta 2012

Syyskuun parhaat tietoturvalinkit

  
Yleiset
Submarine cable map and landing points
Passively tapping CAT5
Using facebook as a proxy
America’s draft cybersecurity executive order leaked
Masters thesis on offensive cyber capabilities
Whos who of Middle east targeted malware
Exploit magazine
Wolfram alpha releases a tool to analyse facebook data
Microsoft security update guide – for IT security professionals to better understand the update release information, processes etc
NSA hardening guides (Linux, Windows, iOS, OSX)

Incident responce
NIST Computer Security Incident Handling Guide
 Modify SetRegTime
Hacked – now what? SANS paper

Murtautumistekniikat ja muut tekniikat
Privilege escalation through suspended virtual machines
Is your SMB bruteforcer lying to you? Valid credentials might not always be reported as such.
Defcon CFT write ups
CryptOMG – CFT for exploiting crypto flaws
Read the first walkthrough for a good idea of the sort of stuff in there – padding oracle attack
Bypassing Windows ASLR
Delivering custom payloads with Metasploit using DLL injection
Web security labs to be released soon
Windows 8 forensics
Reversing MAC OS X