Ads 468x60px

torstai 29. maaliskuuta 2012

Huomioita Verizonin 2012 Data Breach Investigations raportista

Verizon julkaisi viime viikolla vuosittaisen raporttinsa, jossa he analysoivat edellisen vuoden aikana tapahtuneita tietomurtoja. Tämänkertainen tarkasteludata sisälsi tiedot 855 vuonna 2011 tapahtuneesta tietoturvapoikkeamasta. Tietueina mitattuna tämä otos vastaa 174 miljoonaa hukattua tietuetta. Tämä on toiseksi suurin määrä hukattuja tietueita sitten vuoden 2004.

Yksi raportin selkeistä huomioista on se, että 98% tietomurroista on alkujaan organisaation ulkopuolelta ja ”vain” 4% murroista on organisaatioiden omien työntekijöiden aikaansaannoksia. Samoin vuosi 2011 nosti nettiaktivismin yleiseen tietoisuuteen, 58% tietovuodoista liittyi tavalla tai toisella jokin aktivistiryhmittymä. Nettiaktivismia voidaan pitää organisaatiolle haasteellisena sen takia, koska hyökkääjien motiivit eivät ole enää välttämättä perinteiset ahneus ja raha vaan ennemminkin ideologisia. Tämä taasen aiheuttaa sen, että perinteiset uhka-analyysit eivät välttämättä ole enää relevantteja ja näin ollen organisaatiot eivät välttämättä tiedä mitä vastaan heidän tulisi suojautua. (Case Talvivaara: olisin hyvin yllättänyt, mikäli heidän riskianalyyseissaan olisi mainittu kaksi vuotta sitten nettiaktivismi.) 81%:ssa havaituissa murroista oli käytetty jonkin tasoista hakkeroitumista ja 69%:iin tapahtumista liittyi haittaohjelmia. Sinänsä mielenkiintoista, mutta sosiaalista hyökkäysten määrä oli laskenut 4% 2010 vuodesta ja näin ollen sosiaaliset hyökkäysmetodit liittyivät vain 7% tapauksista.

Ja siten tulosten pelottava osuus: 96% hyökkäyksistä ei ollut vaikeusasteeltaan kummoisia, 85%:ssa tapauksista organisaatiolla kesti viikon tai enemmän havaita hyökkäys ja 92% tapauksista tietomurrot havaitsi ensin joku muu kuin organisaatio itse. Mikäli organisaatiosta varastettiin tietoa, niin se tehtiin todennäköisimmin palvelimilta (94%:ssa tapauksista ) ja 79% urheista oli valikoitui kohteiksi sen takia, että he olivat ”helppoja” maaleja. (Toisin sanoen hyökkääjät eivät ole tehneet intensiivistä taustakartoitusta uhrista ennen hyökkäystä, vaan pääasiallisesti he ovat kokeilleet paletin helppoja ja nopeita hyökkäyksiä ja he ovat hyödyntäneet tunnettuja haavoittuvuuksia.) Ja miksi tämä on mahdollista: vain 3% tapauksista hyökkäyksen estäminen olisi vaatinut vaativia, tai laajoja, toimenpiteitä!

Eli, mitä me voimme oppia raportista? Ensinnäkin, nyt on viimeistään aika hoitaa kuntoon palvelimien säännöllinen päivitysprosessi ja varmistaa, että palvelimien tietoturva-asetukset vastaavat vähintään toimittajan suosituksia. Seuraavaksi tulee huolehtia siitä, että oletussalasanat on vaihdettu kaikista järjestelmistä. Ei siis vain niistä kriittisistä järjestelmistä, vaan kaikista järjestelmistä. Kolmanneksi, palvelimilla, jotka näkyvät yleiseen verkkoon, ei kannata säilyttää turhaa dataa. Mitä ei ole, ei voi vuotaa. Lopuksi suosittelisin, että organisaatiot suunnittelisivat kuinka he pyrkivät havaitsemaan tietomurrot mahdollisimman nopeasti. Yksi mahdollisuus on kerätä ”heikkoja signaaleja” netistä, esim Twitteristä, ja toivoa, että oma harvestorointi tuottaa tulosta. Toinen hyvä tapa on ottaa tavaksi vaihtaa säännöllisesti tietoturvatapahtumatietoutta avainkumppanien kanssa ja varmistaa, että kriittisen tiedon välityksessä ei ole viiveitä. (Haluaisimme tietää mahdollisimman pikaisesti, mikäli teillä kävi jotain. Sama tapahtuma hyvin todennäköisesti voi tapahtuma meilläkin.)

Edellä mainitut toimet eivät yksinään tee organisaatiosta turvallista. Kuitenkin, jos organisaatio hoitaa esimerkiksi mainitut asiat kuntoon ja käyttämää maalaisjärkeä turvallisuuden järjestämisessä, niin organisaatio on tuskin helpoin kohde hyökkäyksille. Toisin sanottuna; näin ollen organisaation ei ole myöskään todennäköisin kohde onnistuneelle tietomurrolle.

Raportti on kokonaisuudessaan ladattavissa Verizonin sivuilta.


Ystävällisin terveisin
Antti

perjantai 23. maaliskuuta 2012

KPMG:n koulutuskeskus palkittu ”MILE 2 European ATC of the year – palkinnolla”


MILE2 on myöntänyt KPMG koulutuskeskukselle Accredited Training Center (ATC) of the year 2011 palkinnon.

Globaalisti näitä palkintoja jaetaan vuosittain 5 kappaletta. Tunnustus myönnettiin hyvästä työstä teknisen tietoturvallisuuden edistämisessä ja kouluttamisessa.

http://www.mile2.com/atc-of-the-year


perjantai 16. maaliskuuta 2012

Onko valokuvasalasana tarpeeksi turvallinen?

Windows 8 tulee sisältämään ominaisuuden, jossa käyttäjä voi kirjautua sisään käyttäen apunaan kuvaa, johon piirretään pisteitä, ympyröitä ja viivoja. Tätä ominaisuutta voidaan kutsua valokuvasalasanaksi. Valokuvasalasana yleisesti on ainakin itseäni mietityttänyt salasanamuoto, ja sen takia käyn läpi muutamia valokuvasalasanalle tyypillisiä ominaisuuksia. Pääasiallisena lähteenä olen käyttänyt Microsoftin blogiartikkelia aiheesta, jossa selvitetään hyvin kuvasalasanan kompleksisuutta suhteessa muihin salasanamuotoihin (linkki jutun lopussa).

Ensimmäinen yleisesti esiintuotu seikka valokuvasalasanoista on niiden helpompi urkkiminen olan yli. Valokuvasalasana soveltuu mielestäni tablettien salasanametodiksi yhtä hyvin, tai huonosti, kuin muutkin metodit, mutta tavallisella työasemalla, jossa näyttö on helposti muiden nähtävissä, olan yli salasanan urkkiminen on helpompaa. Windows 8 joutuu, ainakin videoiden perusteella, näyttämään käyttäjälle hetken aikaa hänen tekemäänsä piirtojälkeä. Ainoa keino tämän torjumiseen lienee vaikeuttaa kursorin ja piirtojälkien näkemistä mahdollisimman paljon. Itse ainakin pysyisin "salasanan piirtäjänä" perässä, jos kursorini olisi vain pieni x ja merkintäni näkyisivät haaleasti katkoviivoitettuna sekunnin ajan. Joka tapauksessa olan yli tapahtuva 'shoulder-surfing' on huomattavasti näppäimistön tuijottamista helpompaa.

Toinen huoleni liittyy salasanojen tallennukseen. Tavallinen kirjoitettava salasana tallennetaan koneelle siten, että sille suoritetaan yksisuuntainen laskutoimitus. Tämän yksisuuntaisen laskutoimituksen vastauksesta ei voi päätellä alkuperäistä salasanaa. Tietokoneen muistiin säilötään vain tämä vastaus, eikä alkuperäistä salasanaa. Valokuvasalasanan tapauksessa tilanne on toinen. Mikäli valokuvaan on tehty merkintöjä, on aina olemassa tietty epävarmuus siitä, ettei käyttäjä osu täsmälleen oikeaan kohtaan. Tästä syystä valokuvasalasanan varmentamisessa käytetään tiettyjä toleransseja, joiden puitteissa salasana menee läpi. Toleranssien käytössä on kuitenkin se vika, että käyttäjän tekemät merkinnät on säilöttävä täsmälleen sellaisina kuin käyttäjä on ne tehnyt, jotta niistä voidaan laskea oikeat toleranssit. Yksisuuntaiset laskutoimitukset eivät enää onnistu, sillä mikäli käyttäjän tekemät merkinnät eivät menisi helposti täsmälleen oikein, olisi valokuvasalasana turhauttavan usein väärin.

Tallennuksen yhteydessä on kuitenkin syytä kysyä, miten paljon hyökkääjä hyötyy siitä, että hän saa tietää käyttäjän täsmälliset merkinnät valokuvasalasanassa. Tekstimuotoista salasanaa on helppo käyttää muissakin palveluissa, mutta yleistyykö valokuvasalasana koskaan vastaavalle tasolle? Mikäli valokuvasalasanasta tulisi yleinen salasanatapa, käyttäisivätkö ihmiset sitten samaa valokuvaa ja samaa merkintäsarjaa joka palvelussa? Ainakin saman valokuvan näkeminen kahdessa eri palvelussa olisi melko varma merkki siitä, että valokuvasalasana on sama näihin kahteen palveluun.

Valokuvasalasanan hakkerointi lienee mielenkiintoista. Mikäli valokuva on riittävän yksinkertainen, esimerkiksi useissa esimerkkivideoissa näkynyt perhepotretti, on siinä melko vähän mielenkiintoisia kohtia. Tämä helpottaa hakkerointia: annetaan vain koordinaatit kaikkiin korviin, silmiin, nenänpäihin, piirretään ympyrät päiden ja vartaloiden ympärille ja laitetaan kone raksuttamaan. Toivon, ettei meidän tarvitse jonain päivänä lukea ohjeita turvallisen valokuvasalasanan muodostamiseksi. Näissä ohjeissa kuvattaisiin kuinka ympyrä ei saisi sisältää päätä tai vartaloa, vaan ennemminkin taustalla olevaa taivasta ja kuinka viivan pitäisi olla paidan oikeasta alareunasta kuvan vasempaan yläreunaan, eikä nenästä nenään.

Näiden aiheiden lisäksi netissä on paljon puhetta tablettien paljastavista sormenjälkivanoista. Tähän en ota juurikaan kantaa, sillä ongelma vaivaa mielestäni kaikenlaisia lukitusmekanismejä kosketusnäyttölaitteilla. Toisesta netissä puhuttavasta aiheesta, valokuvasalasanan kompleksisuudesta, kiinnostuneille tarjoan lähdeaineistonani toiminutta Microsoftin blogitekstiä, josta kyseiseen aiheeseen löytyy vastauksia.

http://blogs.msdn.com/b/b8/archive/2011/12/16/signing-in-with-a-picture-password.aspx

keskiviikko 14. maaliskuuta 2012

Microsoftin etätyöpöytäratkaisussa vakava haavoittuvuus

Microsoft julkaisi eilen ilmoituksen etätyöpöytäratkaisunsa sisältämästä vakavasta haavoittuvuudesta. Haavoittuvuus on kaikkien tuettujen Windows-versioiden sisältämässä remote desktop protocol -palvelussa. Peruskuluttajan onneksi RDP ei ole päällä oletuksena missään Windows-versiossa. Yritysympäristöissä tämä on kuitenkin de facto -standardi Windows-ratkaisujen hallintaan.

Julkaistut korjaukset korjaavat itseasiassa kaksi erillistä haavoittuvuutta. Toinen on RDP:ssä oleva haittakoodin ajomahdollisuus - ilman tunnuksia ja etänä - ja toinen palvelunestohyökkäyksen mahdollistava vika. Microsoft on arvioinut, että molempia haavoittuvuuksia on suhteellisen helppo hyödyntää. Voimme siis odottaa reikiä hyödyntäviä viruksia ja työkaluja tämän kuun aikana.

Mikäli organisaationne käyttää RDP:tä Windows-ympäristön hallinnassa, kannattaa päivitysten jalkautusta kiirehtiä.

Julkisia hyökkäysmenetelmiä odotellessa ;)

-Antti A

maanantai 5. maaliskuuta 2012

KPMG:n tietoturvaraportti 2012 on julkaistu!

KPMG julkaisi tänään yhteenvedon yleisimmin havaitsemistaan tietoturvaongelmista vuonna 2011. Raportin tulokset perustuvat 83 eri auditointiraporttiin ja lähdemateriaali sisältää tuloksia sekä hallinnollisen tietoturvallisuuden että teknisen tietoturvallisuuden tarkastuksista. Tilastomatematiikasta kiinnostuneille todettakoon, että olemme pyrkineet normalisoimaan tarkastustuloksia suhteessa toisiinsa ja suhteessa tarkastuksien tarkastussuunnitelmiin, jotta tuloksia olisi edes jollain tasolla mielestä laittaa yleisyysjärjestetykseen. Päädyimme tähän siksi, että koska räätälöimme tekemämme tarkastukset pääsääntöisesti asiakkaidemme toiveiden/tarpeiden mukaan ja tarkastukset ovat harvoin yhteismitallisia, niin havaintolistan järjestäminen absoluuttisten havaintomäärien mukaan ei tuntunut järkevältä.

Summa summarum, vuoden 2011 yleisimpien havaintojen lista näyttää seuraavalta:


  1. Puutteelliset salasanakäytännöt (Erityisesti liittyen pääkäyttäjien tunnuksiin ja teknisiin tunnuksiin)
  2. Web-haavoittuvuudet (SQL-injektiot ja XSS-haavoittuvuudet)
  3. Käyttövaltuushallinnan ongelmat (Käyttövaltuuksien ylläpitämiseen ei ole määriteltyä prosessia)
  4. Dokumentaation haasteet (Dokumentaatio ei ylläpidetä systemaattisesti ja tämän johdosta se on joko vanhentunutta tai vähintäänkin hankalasti löydettävissä)
  5. Varmuuskopioinnin käytännöt (Varmuuskopioiden toimivuuden testaamista ei suunnitella / toteuteta)
  6. Tietoturvapäivitykset (Sovelluksiin liittyviä tietoturvapäivityksiä laiminlyödään)
  7. Henkilökunnan tietoturvakoulutuksen puute (Koulutus on pääasiallisesti kertaluontoista eikä säännöllisesti toistuvaa)
  8. Lainsäädännön vaatimusten täyttymisen puutteet (Lainsäädännöstä tulevien velvoitteiden tunnistaminen on luvattoman heikkoa)
  9. Riskienhallinnan puutteet (Riskejä ei arvioida systemaattisesti eikä näin ollen osata keskittää voimavaroja oikeiden asioiden suojaamiseen)
  10. Tietoturvavaatimukset järjestelmähankinnan yhteydessä (Uusien hankintojen yhteydessä ei muisteta tai osata vaatia tietoturvallisuuden huomioimista riittävässä määrin).

Kuten yllä oleva lista osoittaa, niin yleisimmät havainnot muodostuvat melko yksinkertaisista asioista. Siksi onkin yllättävää törmätä samoihin havaintoihin täysin eri organisaatiossa kerta toisensa jälkeen. Näin ollen, eiköhän jokainen huolehdita omalta osaltamme, että korjaamme yllämainitut asiat omassa organisaatiossamme!



Raportti kokonaisuudessaan löytyy täältä.

Ystävällisin terveisin
Antti

perjantai 2. maaliskuuta 2012

BYOD eli lelupäivä toimistolla

BYOD, eli Bring Your Own Device (Tuo Oma Laite/Lelu töihin), on nyt kuuma peruna kaikkien tietoturvapäälliköiden ja -asiantuntijoiden lautasella. Perinteisestihän kaikenlaisten omien laitteiden tuominen töihin ja niillä työajalla leikkiminen on ollut kiellettyä, koska työnantajat ovat tarjonneet välineet TYÖN suorittamiseen. Kun työnantajan tarjoaman laitteen XP:n IE 7:ssa ei Facebookin aikajana toimi, gmail varoittelee tietoturvaongelmista, ja kotikoneen tekstinkäsittelyllä illalla kirjoitettu työraportti antaa avatessa 5 varoitusta (hukaten kuitenkin lopulta kaikki asettelut), on houkutus tuoda oma laite työpaikan verkkoon suuri. Se on myös helppoa perustella itselleen, kun "työraporttejahan tosiaan tulee kirjoiteltua ja sähköpostiakin käsiteltyä myös iltaisin".

Mitäs se sitten ketään haittaa? Itsekin olen käyttänyt omaa laitetta osittain työasioiden hoitoon jo toista vuotta. Asia ei kuitenkaan ole niin yksinkertainen, että kehoittaisin kaikkia tuomaan omat lelut töihin saman tien. Olen hakenut luvan laitteen käyttöön organisaatiomme tietoturvapäälliköltä ja vastaan itse laitteen ja sen sisältämien tietojen suojaamisesta sekä laitteen fyysisestä suojaamisesta. Mutta miten pitäisi suhtautua täällä jo aiemmin esiteltyyn Pekka Peruskäyttäjään, joka tietää vain miten kännykän näppäimistö lukitaan? Olisiko kuitenkin järkevämpää kieltää omien laitteiden käyttö kokonaan? Miten kieltoa sitten valvottaisiin?

Myös uusi työntekijäsukupolvi, joka on kasvanut tietokoneiden ja internetin kehityksen mukana, haastaa vanhan ajattelumallin työnantajan tarjoamista "työvälineistä". Nuoret työntekijät ovat kasvaneet erilaisten mobiililaitteiden ympäröiminä ja niiden käyttö ajasta ja paikasta riippumatta on niin luonnollista, että viraston osoittama työhuone ja kiinteä pöytäkone sekä työaika saattavat olla syy jättää työtarjous käyttämättä.

Älypuhelimien yleistyminen on saanut monet vanhemmatkin työntekijät siirtämään firman SIM-kortin omaan puhelimeensa. On todella kätevää kun mobiilitoimiston palveluntarjoajan www-sivuilta on ladattavissa Android ja iOS -versiot työpaikan mobiilimeilistä ja vaadittavien asetusten löytäminen ja siirtäminen omaan laitteeseen ei vaadi hakkerin taitoja. Oma vaaransa piilee siinä, että käyttäjä voi asentaa sovelluskaupasta mitä tahansa omalle laitteelleen. Hyväksytkö sovelluksen käyttöoikeudet? Hmm... Mihin Vihaiset Linnut tarvitsevat oikeutta lukea osoitekirjaani, kalenteriani, sijaintiani ja lähettää tekstiviestejä?

Koska lelupäivät toimistolla ovat jo täällä, on varmaan turhaa edes kuvitella, että paluu vanhaan malliin on edes mahdollista. Lisäksi, koska liiketoiminnan tehokkuus on kuitenkin vielä yleensä paljon tärkeämpää kuin tietoturvallisuus, lienee järkevämpää sallia omien laitteiden käyttö tietyin varauksin sen sijaan, että yritetään epätoivoisesti estää teknisesti omien laitteiden kytkeminen verkkoon ja työskentely omilla laitteilla.

Omien laitteiden käyttö työn tekemiseen kannattaa nähdä mahdollisuutena. Omien laitteiden käyttö on perusteltua, jos käyttäjät oikeasti tiedostavat käytön riskit ja mahdolliset seuraukset. Tuottavuus ja tehokkuus paranevat ja parhaimmat osaajat pysyvät myös tyytyväisinä, kun käytössä on ajantasaiset laitteet ja työvälineet, joilla voi hoitaa asioita silloin kun se itselle parhaiten sopii. Huomio tuleekin kieltojen ja valvonnan sijaan kohdistaa käyttäjien valistamiseen, ohjeiden ja politiikan laatimiseen sekä selkeiden pelisääntöjen määrittelyyn. Kannattaa muistaa, että myös tiedon luokittelulla, käyttöoikeuksien rajoituksilla ja tiedon jakelulla voidaan parantaa tietoturvallisuutta, huolimatta työntekijöiden käyttämistä laitteista.