Ads 468x60px

maanantai 20. helmikuuta 2012

Poimintoja "RSA 2012 CYBERCRIME TRENDS REPORT" -julkaisusta

RSA on julkaissut raportin vuoden 2011 cyberrikollisuuden trendeistä. Alla on omia poimintojani kyseisestä raportista. Linkki koko raporttiin löytyy tästä:
http://viewer.media.bitpipe.com/1039183786_34/1295279253_317/CYBRC_WP_0111-RSA.pdf

Ensimmäinen raportin trendeistä käsittelee troijalaisia, cyberrikollisten päätyökaluja. Mainittavaa on, että maailmanlaajuisesti Zeus-niminen troijalainen on yksin ollut vastuussa yli miljardin dollarin menetyksistä viimeisen viiden vuoden aikana. RSA varoittelee myös mobiilialustoille leviävistä troijalaisista, jotka pystyvät muun muassa kaappaamaan kosketusnäyttöpuhelimen 'näppäimenpainalluksia', mikä on huomattavasti fyysisen näppäimistön näppäintenpainallusten kaappaamista hankalampaa. Troijalaiset alkavat myös olla paremmin maakohtaisia. Esimerkkinä RSA mainitsee troijalaisen, joka on suunnattu vain venäläisien pankkipalveluiden käyttäjiä kohtaan.

Troijalaisten esittelyn yhteydessä RSA esittelee mielenkiintoisen Man-in-the-browser (MITB) -termin. Kyse on hyökkäyksestä , jossa selaimen on määrä suorittaa tiettyjä toimintoja käyttäjän käyttäessä nettipankkiaan. Nämä toimintoskriptit voivat aktivoitua esimerkiksi kun käyttäjä on suorittamassa tilisiirtoa ja muokata tilisiirron kohdetiliä lennossa. Troijalainen voi yrittää myös suorittaa omia pankkisiirtojaan, mikäli pankkisivuston tietoturva ei vaadi käyttäjältä lisävarmennuksia onnistuneen sisäänkirjautumisen jälkeen.

Kolmas RSAn esittelemä trendi on varsin mielenkiintoinen Fraud-as-a-service (FaaS). Tämä termi tarkoittaa jatkuvasti ylläpidettyä työkalupakkia, joka tähtää yksinkertaiseen ja helppoon käyttökokemukseen, madaltaen kynnystä ryhtyä cyberrikolliseksi.

RSA:n raportissa esitellään myös rikollisten tapoja kiertää vahvoja tunnistuksia, esimerkiksi hyökkäyksen, jossa rikollinen on saanut uhrin koneen, sekä puhelimen haltuunsa (tietokoneelta löytyviä tietojahan voidaan käyttää apuna käyttäjän puhelimen tietojen selvittämisessä). Molemmat näistä laitteista voivat olla fyysisesti uhrin tiloissa. Tässä hyökkäyksessä pystytään kiertämään pankin vahva tunnistautuminen. Tunnistautumisessa pankki lähettää tekstiviestikoodiin, joka tulee kirjoittaa maksusuorituksen yhteyteen. Hyökkääjän kaappaama puhelin, voi edelleenlähettää tämän tekstiviestin hyökkääjän prepaid liittymään, jolloin hyökkääjä saa tietoonsa myös toisen vahvan tunnistautumisen elementin.

perjantai 17. helmikuuta 2012

(Mis)TrustWave: globaali varmenneinfrastruktuuri vuotaa yhä pahemmin

Mitä jos mikä tahansa SSL-suojattu Web-sivu, esim. yhteytesi pankkiin, voikin olla täyttä huijausta, koska joku jossain voi tehtailla varmenteita mielensä mukaan? Toki huijatun varmenteen lisäksi tällainen SSL-huijaus vaatii myös hyökkääjän tai haittaohjelman pääsyn siihen SSL-liikenteeseen, jota halutaan salakuunnella ja muokata lennossa.

On käynyt ilmi, että PKI-varmentaja TrustWave antoi omat yksityiset avaimensa asiakasfirman käyttöön, jotta tämä sai vapaasti väärentää varmenteita vakoillakseen omia työntekijöitään, kun nämä menevät Google Mailiin tai mihin tahansa. Tai vakoillakseen ketä haluavat, missä haluavat.

Nimeltä mainitsematon firma sai käyttöönsä TrustWaven hardware security module (HSM) -laitteen, joka sisälsi TrustWaven CA-allekirjoitusavaimen (tai yhden niistä), johon Windowsin varmennejärjestelmä ja käytännössä kaikki selaimet luottavat. Tämä asiakasfirma pystyi tekemään väärennettyjä SSL-varmenteita mille tahansa Web-serverille. TrustWave toki yritti hallinnollisilla proseduureilla varmistaa, että asiakasfirma käytti HSM-modulia ainoastaan sovitusti "firman omien työntekijöiden tietovuotojen valvontaan". Eli suomeksi sanottuna vakoiluun. Näyttäisikin siltä, että kyseistä modulia ei ole väärinkäytetty, ja että väärennettyjä varmenteita ei ole liikenteessä, tai missään tallessakaan.

Mutta varmoja emme voi olla. Kaikkein huolestuttavinta on, että TrustWaven mukaan kyseessä on yleinen käytäntö: näin muutkin CA:t kuulema tekevät!

Tämä vertautuu Comodon ja Diginotarin sähläykseen aiemmin viime vuonna. Jälkimmäiset olivat kuitenkin murtojen uhreja, eivätkä tehneet tätä tahallaan, vaan antoivat vahingossa tunkeilijan käyttöön CA-avaimiaan. Ja Comodon tapauksessa vahinko oli varsin rajallinen. Ja Diginotar on poistettu ja päivitetty kaikkialla, mm. Windowsissa niin, että kenenkään ei enää pitäisi luottaa heidän avaimillaan tehtyihin väärennöksiin.

Trustwave (Windowsin varmennekannassa nimi on "SecureTrust CA", vain lempinimi-kenttä on TrustWave) on nyt laittanut kyseisen HSM-laitteen käyttämän avainparin sulkulistalle. Mutta tämä ei paljon auta, koska selaimet yleensä eivät tarkista sulkulistoja. Muuten Windowsisi ja Firefoxisi ja Chromesi luottaa TrustWaven varmenteisiin kuten ennenkin. Mozilla/Firefox-projektissa kyllä vaaditaan jo luottamuksen perumista. Luottamuksen voi yrittää itse perua käsin, mutta riippuen Windows-asennuksesta Microsoft saattaa päivittää "kadonneen" varmentajan tiedot automaattisesti takaisin luotettujen listaan...

Olisko jo aika tehdä jotain koko järjestelmälle? Ehdotan ratkaisuksi Moxie Marlinspiken projektia: http://convergence.io/


Lähteet:

http://www.theregister.co.uk/2012/02/14/trustwave_analysis/

http://www.theregister.co.uk/2012/02/09/tustwave_disavows_mitm_digital_cert/

http://www.economist.com/blogs/babbage/2012/02/internet-security-0

https://groups.google.com/forum/?fromgroups#!topic/mozilla.dev.security.policy/ehwhvERfjLk


torstai 9. helmikuuta 2012

Yksityisyys verkossa, tekninen näkökulma?

Törmäsin viime viikolla netissä (jälleen yhteen) artikkeliin [1], jossa kerrottiin kuinka surffata netissä anonyyminä. Artikkeli oli lähetetty viime vuoden lopulla Pastebin-nimiseen palveluun, joka mahdollistaa tekstin jakamisen webissä kuten leikepöytä mahdollistaa tekstin jakamisen esimerkiksi Windowssissa.

Artikkelin ajatuksen voi tiivistää seuraavaan yksityisyyden suojan näkökulmasta:


  1. Käytä Tor-verkkoa / Tor-selainta

  2. Asenna virtuaalikone, jonka sisältä käytät web-selainta (esim Vmware player, VirtualBox jne)

  3. Jätä kaikki turhat lisäosat asentamatta ja pyri välttämään javascriptejä ja Flashiä, jos mahdollista.

  4. Palauta virtuaalikone aina ”nolla”-tilaan käytön jälkeen.

Itse artikkelissa käsiteltiin huomattavasti seikkaperäisemmin kuinka voit järjestää surffauksesi niin, että lainvalvojan on hyvin hankala todistaa sinun käyttäneen jotain palvelua tai ladanneen jotain tiettyä materiaalia. Jos kuitenkin lähdemme siitä, että käyttäjä ei halua rikkoa lakia tietoisesti, tai että hän ei asu maassa, jossa viranomaiset ovat korruptoituneita (tai muuten halua vaikuttaa aktiivisesti kansalaistensa tiedonjanoon), niin en näe tarvetta aivan tällaiselle ”black hat” –tyyliselle suojautumiselle. Tilanne olisi kuitenkin toinen, mikäli esimerkiksi asuimme kauempana idässä tai ehkäpä Afrikan pohjoisrannikolla.

Jos unohdamme oman koneen suojauksen, niin ongelma anonymiteetin säilyttämisestä verkossa voidaan karkeasti jakaa kahteen tapaukseen: A) ongelmaan, kuinka suojata verkkoliikenne niin, että sitä kuuntelevat tahot eivät tunnista käyttäjän identiteettiä ja B) ongelmaan, kuinka suojata oma identiteetti siten, että kohdepalvelu ei tunnista käyttäjää.

Ratkaisuna ensimmäisen ongelmaan voidaan käyttää Tor-verkkoa [2]. Tor-verkon idea on lyhykäisyydessään se, että koneelta lähtevä liikenne ei kulje suorinta reittiä kohteeseensa vaan se kiertää muutaman Tor-välityspalvelimen kautta ja vasta tämän jälkeen suuntaa kohti alkuperäistä kohdettaan. Liikenne välittävien solmujen välillä on salattua eivätkä välittävät koneet tiedä kuin edellisen ja seuraavan solmun osoitteet. Kun välityspalvelimet ovat riittävän kaukana toisistaan, niin liikenteen jäljittäminen muodostuu erittäin hankalaksi (ja pääsääntöisesti täysin mahdottomaksi). Tor-verkon suhteen on hyvä huomata, että vaikka liikenne eri välityssolmujen välillä onkin salattua, niin Tor ei salaa liikennettä päästä päähän. Näin ollen Tor-verkosta poistunutta liikennettä voidaan kuunnella kuin mitä tahansa muutakin liikennettä verkossa, mutta liikenteen alkupäätä ei pystytä liikenteestä näkemään.

Jälkimmäinen ongelma anonymiteetin suhteen onkin haasteellisempi. Vaikka selaimessamme ei olisi asennettuna yhtään lisäosaa, emme hyväksyisi evästeitä, olisimme kytkeneet JavaScriptin ja Flashin pois päältä ja liikenteemme kulkisi Tor-verkon läpi, niin silti kohdepalvelin pystyy hyvin suurella todennäköisyydellä ”tunnistamaan” meidät. (Luonnollisesti oletan tässä yhteydessä, että käyttäjä ei kirjaudu millään identiteetillä palveluun, koska tällöin yksilöytyminen on väistämätöntä.) Tässä yhteydessä määrittelen tunnistamisen myös niin, että kohde palvelu pystyy halutessaan tunnistamaan olemmeko vieraillet palvelussa aikaisemmin. (Palvelu ei siis välttämättä tiedä kuka olemme.)Tämä tunnistaminen perustuu siihen, että jokaisella koneella ja web-selaimella on oma ”sormenjälkensä”. Sormenjälki muodostuu selaimessa olevista kirjastoista, järjestelmään asennetuista fonteista jne. Helppo tapa testata omaa ainutlaatuisuutensa on kokeilla Panopticlick-palvelua [3]. Palvelu kertoo kuinka monta täysin identtistä vierailijaa palvelussa on aikaisemmin käynyt.

Kuinka siis suojata identiteettiään kohdepalvelulta? Tähän on kaksi mahdollisuutta: 1) ole erilainen joka kerta tai 2) ole samanlainen kuin riittävän moni muu. Molemmissa tapauksissa yksittäisen käyttäjän identifioiminen hankaloituu huomattavasti. Käytännössä yksi helppo mahdollisuus oman identiteetin häivyttämiseen on käyttää Tor-paketin mukana tulevaa selainta. Selaimen sormenjäljen koko on pyritty minimoimaan ja esimerkiksi oma Tor-selaimeni ei ollut uniikki (toisin kuin normaalissa käytössäni oleva selain).

Vaikka JavaScriptit ja Flashit muodostavatkin uhkan anonymiteetille, niin näiden aiheuttamaa uhkaa voidaan pienentää käyttämällä selainta virtuaalikoneen sisältä. Jokaisen selaussession jälkeen virtuaalikone palautetaan alkutilaan (Return to snapshot). Näin voidaan varmistaa, että kaikki selauksen aikana koneelle tallentuneet evästeet, historiatiedot, mahdolliset haittaohjelmat saman tien. (Samalla häviävät myös siis virtuaalikoneen sisään ladatut tiedostot.)

Mutta mikä on riittävä taso oman identiteetin suojaamisessa? Tähän ei ole yhtä ainoaa oikeaa vastausta, vaan me jokainen joudumme itse pohtimaan mihin haluamme vetää rajan. Toiset eivät käytä bonus-kortteja, koska eivät halua oman ostokäyttäytymisensä tilastoimista. Toiset taas käyttävät Tor-verkkoa, koska eivät halua oman internet-operaattorinsa tilastoivan käyttäytymistään tai haluavat päästä sivustolle, jonka oma operaattori on estänyt. Toiset hankkivat koko patenttitietokannan itselleen, jotta patenttien selailu ei paljastaisi tuotekehityssuunnitelmia. Meillä jokaisella on omat perustelumme.

Terveisin
Antti


Aiheeseen liittyviä linkkejä:
[1] http://pastebin.com/sp6YAvGb
[2] Tor-projekti: https://www.torproject.org/
[3] Panopticlick (https://panopticlick.eff.org/)
[4] Reporters without borders: (http://en.rsf.org/spip.php?page=article&id_article=33844)

keskiviikko 1. helmikuuta 2012

Pekka Peruskäyttäjän erilainen arki

Vuosi 2011 jäi historiaan osittain suurten tietomurtojen vuotena. Kuten monet muutkin uutiset, myös tämän blogin kirjoitukset ovat pääsääntöisesti koskeneet organisaatiotason tietoturvaa ja sen kehittämistä monelta eri kantilta. Eikä syyttä - ovathan tapahtuneet tuoneet esille monia yllättävänkin yksinkertaisia puutteita ja välinpitämättömyyksiä, jotka saavat tietoturva-ammattilaisten purukaluston vääntymään fysiologisten rajojen alueelle.

Yksi hyvä puoli suurissa tietomurroissa on ollut se, että kotimaiset valtavirtamediat ovat alkaneet uutisoida niistä laajemmin. Uhka ei ole enää vain jossain tuolla - nyt se voi koskettaa meitä jokaista. Silti Pekka Peruskäyttäjä tuntee olevansa melko turvassa - onhan hän vain yksityishenkilö. Varsinkin, kun hän vuosien ohjeistusten jälkeen ymmärtää olla avaamatta sähköpostia, jossa "naapurin Michelle" kertoo lähettäneensä juuri Pekalle itsestään vietteleviä kuvia.

Tämän "aasinsillan" johdattelemana pääsemmekin hieman uuteen peruskäyttäjää koskevaan aiheeseen, josta toivoisin saavani jatkokeskustelua viestin alle. Millaisia ovat peruskäyttäjiä koskevat uhat, joita emme vielä ole tarpeeksi hyvin tunnistaneet? Itse olen huomannut, että yksi tärkeä seikka tietoturvakoulutuksia pitäessä on yrittää lisätä luovaa ajattelua kohdeyleisölle. Mikäli keskitymme kertomaan vain tärkeimpiä konkreettisia esimerkkejä siitä, mitkä asiat käyttäjiä uhkaavat, he saattavat keskittyä liikaa vain näihin "opittuihin" asioihin. Olisiko oikea tapa ennemminkin opettaa kyseenalaistamaan ja tuomaan ennakoivaa skeptistä asennetta yllättäviinkin asioihin? Muun muassa sosiaaliset mediat (esim. Facebook) ovat paikkoja, joissa näkee hälyttävän usein käyttäjiltä toisille kiertäviä haittaohjelmalinkkejä. Usein käyttäjät hairahtavat hieman muunneltuihin versioihin vanhoista kikoista, joita he ovat jo omakohtaisen kokemuksen kautta oppineet välttämään. Tämä mielestäni kertoo siitä, että joko peruskäyttäjiä ei huoleta mahdolliset riskit tai he eivät pysty leventämään tietoturvaan liittyvää katsomustaan "valmiiden annettujen lauseiden ympärille."

IT-alalla työskentelevät törmäävät usein ystäväpiirissään tilanteisiin, joissa he joutuvat auttamaan ystäviään tai tuttavapiirissä olevia henkilöitä tietotekniikkaan liittyvissä asioissa. Tällaiset tilanteet tuntuvat monesta tuskallisilta, mutta tietoturvamielessä tutun Pekka Peruskäyttäjän käyttäytymistä seuraamalla voi löytää hyvinkin mielenkiintoisia tietoturvaan liittyviä asioita. Esimerkiksi tämän kirjoituksen pohjana toimi seuraavaksi kuvaamani arkipäivän huomio.

Usein peruskäyttäjä on valmis (erityisesti ongelmatilanteessa) luovuttamaan tietokoneensa tuntemattomalle ihmiselle. Yksityinen laite annetaan helposti toisen ihmisen huostaan pidemmäksikin aikaa. Käyttäjät saattavat viedä esimerkiksi kannettavan tietokoneensa kodinkoneketjuihin erilaisia toimenpiteitä varten - virustorjuntaa, vikatilanteita, kovalevyn vaihtoa ym. Muun muassa eräs tuttavani oli juuri vienyt kannettavansa erääseen valtavirtaketjuun valokuvien talteenottoa varten. Voiko kukaan taata mitä henkilö X, jolle kone lopulta päätyy, tekee koneen sisältämillä tiedoilla ja mitä vakoiluohjelmia hän voisi teoriassa koneeseen asentaa? Entä voivatko koneiden sisältämät valokuvat päätyä muuallekin kuin vain asiakkaan varmuuskopioille?

Viimeistään tämä kysymys heräsi itselläni selatessani erään maakunnan sanomalehteä, jossa lähellä seuranhakupalstoja oli pieni kolmen rivin ilmoitus yksityisestä ATK-tuesta. En muista ilmoitusta sanatarkkaan, mutta se oli tyyliltään jotain seuraavan kaltaista: "ATK-huolia? Tuo koneesi Jussille! Puh ..." Uskaltaisitko Sinä antaa tietokoneesi sisällön kyseisen Jussin käsiin?

Vaikka tämän kirjoituksen aihe oli melkolailla kevyempi kuin blogin tekstit yleensä, haluan kuitenkin vielä kyseisen kevennyksen loppukevennyksenä linkittää erään hauskan tositarinan menneeltä vuodelta. Eräs Mac-asiantuntija oli asentanut huollon yhteydessä naisasiakkaiden koneille urkintaohjelman, jolla sai otettua salaa kuvia koneiden web-kameroilla. Ohjelman toimi niin, että se kehotti viemään Mac-koneen lähelle kuumaa höyryä. Tarkoituksena oli houkutella asiakkaansa näin suihkuun ja saada näistä alastonkuvia.

...ja uskokaa tai älkää, se toimi...

Ohessa MicroPC:n uutinen aiheesta: http://www.mikropc.net/kaikki_uutiset/mackorjaaja+houkutteli+naiset+suihkuun+ja+kuvasi+salaa+asentamansa+ohjelman+avulla/a640000