Ads 468x60px

tiistai 30. lokakuuta 2012

Tarkastavatko pilvipalvelut, mobiilit ja sulautetut järjestelmät varmenteita vai eivät?

TLS/SSL lienee maailman käytetyin salausjärjestelmä ja protokolla. Salaus onkin helppoa, sen sijaan ei ole niinkään helppoa varmistaa, että yhteys menee sinne, minne sen luullaan menevän, ilman ylimääräistä salakuuntelijaa välissä.  Jos kyseessä on ns. tavallinen tapaus, homman riskit ymmärretään jotenkin: selain, interaktiivinen käyttäjä, tunnetut varmentajat. Jos ruudulle tulee huomautus, että varmenteessa on jotakin pielessä, esim. "varmentaja on tuntematon", asiantunteva (!?) käyttäjä voi ottaa kantaa, uskaltaako hän hyväksyä sen.

The Most Dangerous Code in the World:
Validating SSL Certificates in Non-Browser Software
http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf

Tässä tutkimuksessa tilanne on kuitenkin toinen. Tutkittiin erilaisia SSL-kirjastoja, esim. Amazonin EC2-Java-kirjastoja ja Amazonin ja Paypalin kauppapaikoille tarjomia maksu-SDK-kirjastoja ja lukuisia muita Web-kauppa- ja mobiilisoftia.

Suurin osa haasteesta palautuu siihen, miten yleisimmät TLS-toteutukset (JSSE, OpenSSL, GnuTLS) implementoivat varmenteen tarkastamisen. Lopputulos on, että usein APIt aivan liian helposti mahdollistavat sen, että väärää varmennetta ei torjuta. Mikäli interaktiivista käyttäjää ei edes ole (esim. sulautetuissa järjestelmissä, eräajoissa, taustaoperaatioissa, palvelin-palvelin-yhteyksissä) ohjelmoijalla on ikävä valinta: joko epävarmakin varmenne (esim. self-signed, tai mikä tahansa tuntemattoman varmentajan varmenne) hyväksytään, tai yhteyttä ei voida muodostaa.

Usein järkevää valintaa ei ilmeisesti ole edes mietitty, vaan varmenteet hyväksytään ihan silkasta typeryydestä, tai siksi, että sekavaa APIa ei osattu käyttää oikein.

Myös KPMG:n omissa koodi- ja järjestelmäauditoinneissa on nähty, että jopa tietoturvakriittiset mobiili-clientit joko vahingossa tai tahallaan mieluummin avaavat yhteyden heikolla varmenteella kuin antavat virheilmoituksen lokiin ja lopettavat toimintansa.

Lopputulos on, että monen "turvatun" pilvipalvelun sekä kriittisen pankki- ja maksujärjestelmän TLS-yhteyksien salakuuntelu ja modifikaatio lennossa on mahdollista. Tämä toki vaatii, että ensin hyökkääjä pääsee liikenteen varrelle. Eli esim. samaan lähiverkkoon (ja VLANiin, jossa voi ARP-huijata), jossa joko a) client tai b) palvelin on. Tai "hyökkääjä" (esim. valtiollinen vakooja) on operaattorin verkossa.

Jatkossa ottakaame opiksi, kun tehdään/hankitaan/käytetään näitä softia:

1. Testaa: hyväksyykö järjestelmä itse tehtaillun varmenteen!
2. Alä disabloi varmennetarkastusta tuotantoversiossa,  mielellään älä testiversiossakaan!
3. Alä luota (kirjastojen tai systeemien) varmennetarkastusten oletusasetuksiin, varmista, että tarkastus on päällä!

keskiviikko 24. lokakuuta 2012

Tietosuojavastaavan tehtävät ja rooli organisaatiossa

Suurimmalla osalla suomalaisista isoista organisaatioista on jo jonkin aikaa ollut tietoturvavastaava. Tietosuojavastaavan on yksityissektorin toimijoista nimittänyt tähän mennessä kuitenkin vain suurimmat ja ”kauneimmat”.  Tähän lienee syinä ainakin pakottavan lainsäädännön puuttuminen, epätietoisuus tietosuojavastaavan järkevästä tehtäväkentästä sekä se, että usein tietosuoja-asiat tuntuvat edelleen majailevan organisaatioiden to do-listojen häntäpäässä.
Suomessa terveydenhuollon sektorilla tietosuojavastaavan nimittäminen on ollut pakollista jo vuodesta 2007, ja EU:n tulevan tietosuoja-asetuksen myötä ollaan ottamassa käyttöön yleistä rekisterinpitäjiä koskevaa velvollisuutta nimittää tietosuojavastaava. Asetuksen luonnostekstissä velvollisuus ei silti koske pieniä yksityisen sektorin rekisterinpitäjiä, tällä hetkellä raja-arvo on asetettu 250 työntekijän organisaatioihin, poislukien ns. erityistapaukset.
Tietosuojavastaavan tehtävä on avustaa organisaatiotaan lakisääteisten velvoitteiden hoitamisessa ja hyvän tietohallintotavan kehittämisessä. Tietosuojavastaavan tulisi olla erityisasiantuntija, joka toimii henkilöstön tukena päivittäisen henkilötietojen käsittelyn kysymyksissä, toimii yhteyshenkilönä viranomaisiin päin, sekä toimii neuvonantajana johdolle ja raportoi tietosuojan tilasta ja kehityskohteista. Tietosuojavastaava osallistuu mm. henkilötietojen käsittelyn prosessien ja valvonnan suunnitteluun, politiikan ja ohjeistuksen laadintaan, koulutuksen järjestämiseen sekä kontrolliympäristön määrittelyyn.
Tietosuojavastaavan tulisi olla organisaatiossaan mahdollisimman riippumaton tekijä, joka raportoi suoraan johdolle. Tietosuojavastaavaa nimitettäessä on otettava huomioon henkilön ammattipätevyys ja erityisesti tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityisasiantuntemus sekä valmiudet suorittaa tietosuoja-asetuksessa määritetyt velvoitteet.
Käytännön haasteena suomalaisille rekisterinpitäjille tulee olemaan yllä mainitut pätevyysehdot täyttävien ja organisaation prosessit tuntevien henkilöiden löytäminen. Jotta tietosuojavastaava pystyisi hoitamaan tehtäviään menestyksekkäästi, on hänen tehtävät, vastuut ja asema määriteltävä selkeästi ja tarjottava riittävät resurssit toiminnalle. Muutoin vaarana on, että tietosuojavastaavan nimittäminen tapahtuu vain paperilla ja organisaation toiminta jatkuu entisellään. Tämä ei luonnollisesti ole lainsäätäjän tarkoitus, ja organisaatio voi hyötyä suuresti pätevän tietosuojavastaavan panoksesta, niin taloudellisten kuin niiden kuuluisien maineriskienkin välttämisessä.

maanantai 15. lokakuuta 2012

Tietotekniikan kuluttajistuminen

BYOD – Bring Your Own Device. Vai oliko se Bought Your Own Device? Ei kun, joku taisi viitata siihen termillä Bring You Own Bomb. Noh, niin tai näin, rakkaalla lapsella on useita nimiä. Näin myös tässä tapauksessa.

Tietoturva ry tiedusteli jäsenistöltään muutama viikko sitten, miten jäsenet näkevät tietoturvallisuuden kehittyvän seuraavan viiden vuoden aikana. Yksi kysymyksistä käsitteli omien laitteiden käyttöä töissä. Väitteenä oli, että organisaatioiden modernit työvälineet tulevat syrjäyttämään omien laitteiden käytön tarpeen työpaikoilla. Jäsenistön vastausten perusteella n. 40% vastaajista uskoi siihen, että viiden vuoden kuluttua organisaatioiden modernit työvälineet korvaavat tarpeen käyttää omia laitteita töissä. Mielenkiintoista.

KPMG on tutkinut niin ikään kuluttajistumista kesäkuussa 2012. Tällöin kyselyyn vastasi 668 C-tason teknologiavaikuttajaa maailmanlaajuisesti. Kyselyn tulosten perusteella vastaajat näkivät kuluttajistumisella olevan merkittäviä vaikutuksia jatkossa. 88%:a kyselyyn vastaajista ilmoitti, että heidän työntekijänsä käyttävät omia laitteita töissä. 60%:a vastaajista myös ilmoitti, että he aikovat muokata yrityksensä IT-järjestelmiä siihen suuntaan, että ne tukevat paremmin omien laitteiden käyttöä jatkossa. Sovellusnäkökulmasta taasen 85% totesi, että yrityksen sähköpostia käytettiin omilla laitteilla. Muiden yrityssovellusten osalta käyttö oli tasaisempaa, CRM-järjestelmiä käytti omilla laitteilla 45% käyttäjistä, työajan ja kulujen seuranta sovelluksia 44% ja ERP-järjestelmiä 38% vastaajista.

Kun palaamme Tietoturva ry:n väitteeseen, niin uskonko itse väitteeseen? Hmnn, en. Uskon kyllä siihen, että organisaatioiden tarjoamat työvälineet tulevat ”modernisoitumaan” ja ne todennäköisesti tulevat tarjoamaan paremman mahdollisuuden yhdistää, tai ennemminkin erottaa, työprofiilin ja henkilökohtaisen profiilin samassa laitteessa. En kuitenkaan usko siihen, että enää tulemme tilanteeseen, jossa työnantaja voi määritellä täysin työtekijöidensä työvälineet. Näin ollen olen samoilla linjoilla KPMG:n kansainvälisen kyselyn tulosten kanssa.

Ja miten tämä sitten vaikuttaa mihinkään? Lähinnä siten, että nyt on viimeisiä aikoja varmistaa omiin laitteisiin liittyvien ohjeiden ajantasaisuus; mitä sovelluksia laitteeseen saa asentaa, miten laitteeseen tallennetun tiedon suojaamisesta voidaan varmistua, ketkä kaikki saavat laitetta käyttää jne. Perusjuttuja, mutta silti niin monessa paikassa määrittämättä. Eli, eiköhän kukin osaltamme varmisteta, että homma on omassa organisaatiossamme kunnossa!

Ystävällisin terveisin
Antti

torstai 4. lokakuuta 2012

Hakkeriryhmä Anonymous hyökkäsi Ruotsiin, Team Ghostshell yliopistoihin

Aikaisemmin tällä viikolla aatteellinen hakkeriryhmä Anonymous esitti uhkauksen, että se hyökkää ruotsin keskuspankin verkkopalveluita vastaan keskiviikko illalla/yöllä 3.10.2012.




Syitä hyökkäykseen mainittiin olevan Ruotsin halu saada Wikileaksin Julian Assange vastaamaan seksirikossyytteisiin Ruotsin oikeudessa sekä Ruotsin viranomaisten aktiiviset toimet PRQ tiedostonjakopalvelimien sulkemiseksi.

Yöllä noin kello 4:10 www.riksbank.se sivut toimivat ihan hyvin, mutta kello 4:38 ne toimivat ensin hitaasti ja sitten eivät ollenkaan. Sivut eivät toimineet vielä kello 5:00, jolloin tämä blogiteksti julkaistiin. Ruotsalaisen uutislehden ”The Local” mukaan Riksbankenin edustaja Frederik Andersson oli jo keskiviikkoiltana kello 22:30 Ruotsin aikaa kertonut pankin olevan hyökkäyksen kohteena. Myös muut ruotsalaiset sivustot, erityisesti viranomaisten palvelut ovat olleet hyökkäyksen kohteena.


Samaan aikaan myös Ruotsalaisten Upsalan ja Lundin yliopistojen tietojärjestelmiin on murtauduttu. Tämän hyökkäyksen kohteena on ollut maailmalta noin 100 huippuyliopistoa, mukaan lukien Cambridge, Harvard, Princeton ja Stanford . Näiden murtojen takana ei ilmeisesti ole ollut Anonymous, vaan ryhmä nimeltä Team Ghostshell.

Yliopistojen järjestelmistä on viety ainakin käyttäjien henkilö- ja käyttäjätietoja (ainakin 120 000 käyttäjän), jotka on julkaistu internetissä  Pastebin – palvelussa.