Ads 468x60px

sunnuntai 23. joulukuuta 2012

Milloin tietoturva haittaa liikaa liiketoimintaa – case roskaposti

Törmäsin kuluneella viikolla valitukseen liiketoiminnan puolelta, että meidän roskapostin suodatuksemme haittaa liiketoimintaa. Käytännössä yhden potentiaalisen asiakkaan lähettämä viesti oli tulkittu (taas) virheellisesti roskapostiksi ja tämä aiheutti mielipahaa.

Näin joulun alla asiaa maustaa lisäksi, että joulun lähestyminen lisää yleensä roskapostien ja kalasteluviestin määrää. (Monet roskapostien ja kalasteluviestien lähettäjät pyrkivät hyödyntämään ihmisen joulumieltä ja he räätälöivät huijausviestinsä näyttämään esimerkiksi houkuttelevilta tarjouksilta ja joulutervehdyksiltä.) Ja tästä päästääkin siihen, että monet yhteistyökumppanit eivät enää lähetä perinteisiä joulukortteja, vaan he lähettävät joulutervehdyksensä sähköisinä viesteinä. Hankalaa.

On totta, että jokainen virheellisesti roskapostiksi luokiteltu viesti on liiketoiminnan näkökulmasta liikaa. Toisaalta, tilastojemme mukaan suodatamme keskimäärin noin 155 000 roskapostia kuukaudessa (tallennustilana noin 1,5GB). Ei siis ihme, jos joukkoon eksyy välillä vääriäkin tulkintoja. Jos kuitenkin pureksimme asiaa pidemmälle, niin meillä on noin 700 postilaatikkoa suojattavana. Tämä tarkoittaa noin 7,3 roskapostia jokaiseen laatikkoon per päivä. Onko sitten noin seitsemän viestiä paljon vai vähän? Olisiko liiketoimintamme kannalta parempi, jos hyväksyisimme tämän ja ottaisimme suodatuksen kokonaan pois?

Itse kuulun siihen koulukuntaan, joka suosii mieluummin hieman liian tiukkaa suodatusta. Perustan kantani seuraaviin seikkoihin:

  1. Elämme sähköpostiviidakossa ja useimpien meidän inboxit täyttyvät helposti nopeammin kuin ehdimme niitä perkaamaan. (Monet tuhoavat suoraan kaikki viestit, joissa he eivät ole TO-kentässä). Kaikki ylimääräiset mailit luovat vain turhaa painetta inboxeihimme ja niiden roskapostiksi arvioiminen sekä poistaminen kuluttavat turhaan työaikaamme.
  2. Suodatus onnistuu bokkaamaan (ainakin) suurimman osan kalastelu- ja kaupusteluviesteistä sekä haittaohjelmista. Tämä parantaa tietoturvaamme.
  3. Käyttäjät saavat säännöllisesti raportin, johon on kerätty otsikot roskapostiin joutuneista viesteistä. Näin käyttäjillä on mahdollisuus käydä ”pelastamassa” roskapostista väärin tulkitut vietit.

Ylläpidon kannalta oleellinen kysymys onkin, mikä on oikea kireys aste suodatukselle? Jos suodatus on liian tiukka, niin oikeita maileja päätyy virheellisesti roskapostiin ja jos suodatus on liian löydä, niin tällöin roskapostit heilahtavat sisään. Olisi hienoa, jos voimme antaa suoraan oikean vastauksen sopivista suodatusasetuksista. Valitettavasti kuitenkin jokainen organisaatio joutuu itse määrittämään kuinka tiukaksi seulansa virittää. (Asetusten tiukkuuteen vaikuttaa mm. käytetyn suodatusjärjestelmän asetusten määrä ja mahdollisuudet, organisaation tulevan sähköpostin määrä per laatikko, käyttäjien valveutuneisuus, eri laatikoihin tulee eri määrä potentiaalisia roskaposteja ja toimeksiantoviestejä jne). Oikea taso löytyy vain kokeilemalla, mutta onneksi valistuneilla arvauksilla on mahdollista päästä jo melko hyvään lopputulokseen.

Ja meille muille, jotka emme itse pysty säätämään organisaatiomme roskapostifilttereitä, vaan pelkästään omaa filtteriämme:

  • Arvio tunnetko lähettäjän. Jos et, niin ole erityisen varovainen!
  • Jos viesti kuulostaa liian hyvältä, niin se hyvin todennäköisesti on sitä. Arvioi kriittisesti viestin sisältöä!
  • Jos viestin lukeminen vaatii organisaation tunnusten käyttämistä, niin kyseessä on hyvin todennäköiseesti kalasteluviesti. Älä koskaan anna käyttäjätunnustasi ja salasanaasi muille!
  • Jos olet epävarma, niin ota yhteyttä omaan helpdeskisi!

Leppoisaa joulun odotusta ja onnellista uutta vuotta 2013!
Antti

torstai 20. joulukuuta 2012

Taistellaan lamaa vastaan

KPMG:n tietoturvatiimillä on marras- joulukuussa ollut niin kiirettä töiden kanssa, että blogin kirjoittaminen on jäänyt vähän vähemmälle.

Nyt on mahdollisuus liittyä loistavien asiantuntijoiden seuraan ja hakea paikkaa KPMG:n tietoturvatiimissä. Parhaat hakijat palkitaan mukavilla työkavereilla ja mahtavilla asiakkailla.

Hae paikkaa nyt!
http://www.kpmg.com/fi/fi/tyopaikat/sivut/default.aspx

maanantai 17. joulukuuta 2012

Samsungin lippulaivapuhelimissa vakava tietoturva-aukko

Samsungin älypuhelimista on paljastunut vakava haavoittuvuus, jonka avulla sovellukset pääsevät laitteeseen käsiksi pääkäyttäjän oikeuksilla. Käytännössä tämä tarkoittaa, että tavallinen sovellus pääsee ohittamaan kaikki sovelluksen toiminnalle asetetut rajoitukset.

Haavoittuvuus on Exynos-pohjaisten laitteiden Android-käyttöjärjestelmässä. Haavoittuvuus koskee siis ainoastaan Samsungin laitteita, eikä vastaava reikää pitäisi muiden valmistajien laitteista löytyä. Vika on oikeuksissa, jotka on asetettu Androidin /dev/exynos-mem -laitteelle käyttöjärjestelmässä. Luku- ja kirjoitusoikeudet on myönnetty kaikille käyttäjille, mikä tarkoittaa, että myös tavalliset sovellukset voivat lukea ja kirjoittaa suoraan laitteen muistiin, mukaan lukien käyttöjärjestelmän ytimen muistin. Tätä kautta on mahdollista injektoida omaa koodiaan esimerkiksi kerneliin ja sitä kautta saada laite hallintaansa. Reiän avulla tavalliset sovelluskaupoista ladattavat sovellukset voivat siis korottaa oikeuksiaan tasolle, jonka ei pitäisi olla mahdollista.

Harrastajia tämä kiinnostaa erityisesti, mikäli haluaa asentaa laitteelleen jonkin vaihtoehtoisen järjestelmän. Hakkeria houkuttelee luonnollisesti mahdollisimman moneen laitteeseen tunkeutuminen ja esimerkiksi vakoiluohjelmien asentaminen tai laitteeseen tallennettujen tietojen varastaminen. Pääkäyttäjän oikeuksilla pääsee käsiksi esimerkiksi palveluiden salasanoihin ja kaikkien sovellusten tallentamiin tietoihin.
Hyväksikäyttö vaatii siis haittasovelluksen asentamista laitteeseen. Mahdollisuuksia minkäänlaiseen etähyökkäykseen ei ole. Ennen korjauksen julkaisua kannattaa siis harkita uusien sovelluksien asennusta.

Korjausta ei ole vielä saatavilla, mutta Samsung on jo ilmoittanut reagoivansa haavoittuvuuteen, eli korjaava päivitys julkaistaneen piakkoin. Myös hack-tyylinen korjaus on siihen kykenevillä tarjolla, mutta oikeuksien muuttaminen estää ainakin kameran toiminnan kyseisissä laitteissa.

Haavoittuvien puhelimien lista on vaihdellut hieman lähteestä riippuen. Haavoittuviksi on nimetty ainakin Galaxy S2, Galaxy S3, Note 2, Note 10.1 ja Note Plus. Käytännössä haavoittuvia ovat laitteet, joissa on Samsungin Exynos-sirun tiettyihin versioihin perustuva järjestelmä. Exynos on Samsungin System-on-a-chip ratkaisu, jossa puhelimen tärkeimmät piirit on paketoitu yhdeksi kokonaisuudeksi.

-Antti A

Lähteet:
http://forum.xda-developers.com/showthread.php?p=35469999#post35469999
http://www.theregister.co.uk/2012/12/17/samsung_exynos_flaw/
http://www.mikropc.net/kaikki_uutiset/samsungin+androidlaitteista+paljastui+paha+tietoturvariski+vuotaa+kayttajan+tiedot/a864786

tiistai 11. joulukuuta 2012

Dynaamisempaa tietoturvaa


Polymorfiset haittaohjelmat ovat yleistyneet huomattavasti aikaisempaan verrattuna, kertoo tietoturvayhtiö Sophos viimeisimmässä vuosiraportissaan. Polymorfisella haittaohjelmalla tarkoitetaan itseään jatkuvasti muuttavaa ohjelmakoodia, joka tekee erilaisia mutaatioita välttääkseen ns. haittaohjelmatunnisteita (signatures) käyttävät turvakontrollit, kuten normaali antivirusohjelmisto tai IDS/IPS-järjestelmä. Tilannetta voisi verrata siihen, että tunnettu myymälävaras voi kävellä kauppaan sisälle tekoviiksillä ja -nenällä varustettuna vartijoiden häntä tunnistamatta edes epäilyksen tasolla, vaikka olisi juuri edellisenä päivänä otettu kiinni itse teosta. Tilanne on tietysti sama nollapäivähaavoittuvuuksissa (zero day), joita voidaan usein hyödyntää kaikkien perinteisiin tunnisteisiin pohjautuvien järjestelmien ohi niin paljon kuin ehditään, kunnes valmistaja mahdollisesti toimittaa tuotteeseen tunnistepäivityksen haavoittuvuuden tultua julki – ja julkituloon voi ajallisesti kulua päiviä tai kuukausiakin.

Tämä ei kuitenkaan tarkoita etteikö tunnisteisiin perustuville tietoturvakontrolleille olisi selkeä tarve jatkossakin, mutta niiden käyttäminen ei saa aiheuttaa liiallista turvallisuuden tunnetta, varsinkaan kaikkein kriittisimmissä ympäristöissä (niin kuin kävi esimerkiksi tälle australialaiselle lääkäriasemalle). Tietoturvan kehitystyössä tarvitaan sen sijaan perspektiivin laajentamista jatkuvasti muuttuvia uhkia vastaan. Ei riitä että tuijotetaan yhteen pisteeseen ja etsitään siihen täsmäsuojaus, vaan on entistä tärkeämpää laajentaa näkemystä parempaan kokonais- ja tilannekuvaan omasta ympäristöstä. Ei motivoituneen hyökkääjänkään intressi ole yrittää murtoa siitä pisteestä, missä suojaus on kaikkein vahvin, usein esimerkiksi organisaation Internet-reuna, vaan helpompaa on etsiä muita takaovia ja tapoja hyödyntää tietoturvan heikointa lenkkiä - useimmiten käyttäjää. Sen tähden ei voidakaan etukäteen tarkasti sanoa mitä kohtaa omasta infrastruktuurista pitää suurennuslasilla tuijottaa tietomurron havaitsemiseksi – koska on katsottava koko ympäristöä samaan aikaan ja mieluiten reaaliajassa. Kuulostaako helpolta tehtävältä?

Miten tämä ajantasainen kokonaiskuva sitten muodostetaan? Tällä hetkellä siihen antaa parhaat mahdollisuudet keskitetty lokienhallinta ja edistyneempi SIEM (Security Information and Event Management). Järjestelmien lokitietoihin säilötään valtava määrä hyödyllistä tietoa, jos sitä vain osataan hyödyntää oikein. Myös tietoliikenteen profiili on arvokasta informaatiota kun etsitään ympäristöstä poikkeamia jotka on muilta kontrolleilta jäänyt huomaamatta. Seuraavan sukupolven sovelluspalomuurit, adaptiiviset IDS/IPS järjestelmät, erilaiset pilvipalveluiden maine (reputation) -arvoon perustuvat nopeasti mukautuvat kontrollit, Netflow-analysaattorit, ym. antavat myös mahdollisuuden reagoida esimerkiksi polymorfisten haittaohjelmien tuomaan uusiin haasteisiin paremmin, sekä tarjoavat tavan heuristisen arvion muodostamiseen ympäristön tilasta. Tietoturva on muuttunut entistä dyynamisemmaksi.

Kontrolleja ei voi rakentaa siis mustavalkoisesti, vaan katsoa kokonaisuutta enemmän helikopterista. Ensimmäinen askel on tunnistaa ympäristön liiketoimintakriittiset palvelut, arvioida niiden riskit, uhat, kriittisyydet ja heikot kohdat, sekä soveltaa niihin parhaita suojatumismekanismeja. Tärkein ohje on: tunne ympäristösi, ja sen normaali käyttäytymisprofiili – kuinka moni voi sanoa tämän toteutuvan omassa organisaatiossaan? Vasta sen kautta voidaan tunnistaa mahdollinen epänormaali käyttäytymismalli.

Suuri ongelma riittävän riskianalyysin puuttumisen lisäksi, mm. lokienhallinnan osalta on myös että hypätään suoraa implementointiin ja unohdetaan tekemisestä järki. Lokienhallintaa ja SIEM:iä ei voida ajatella Launch & Forget –tyyppisenä tietoturvaratkaisuna organisaatiolle. Jos ei ole selkeää suunnitelmaa ja kuvaa etukäteen mihin pyritään ja mitä lokienhallinnalla halutaan saavuttaa, niin järjestelmiin panostetut resurssit valuvat usein hukkaan. Mikäli lokienhallinnan käytännöt ja kulttuuri saadaan rakennettua organisaatioon kestävälle pohjalle, niin hyötyinä tästä saadaan todennäköisesti paljon muutakin kuin pelkästään tietoturvan parantuminen. Lokeista on mahdollista löytää paljon informaatiota mitä muut valvontaratkaisut eivät usein löydä, ja ennaltaehkäistä näin virhetilanteita (huom. tämä kiinnostaa erityisesti liiketoimintaa!).

Eikä lokienhallintaprojekti välttämättä tarkoita merkittävää budjettia heti alkumetreillä, vaan lokitietoisen organisaatioympäristön valmistelu kannattaa ehdottomasti aloittaa ennen varsinaisen keskitetyn lokijärjestelmän hankintaa ja varmistaa että myöhemmässä vaiheessa siitä saadaan heti alusta täysi hyöty irti.

lauantai 8. joulukuuta 2012

Muistiinpanojen tekemisen sietämätön keveys

Kuluneella viikolla on uutisoitu Facebookin uudesta ominaisuudesta: sekä iOS- että Android-sovelluksiin on lisätty ominaisuus, joka mahdollistaa käyttäjän kuvien automaattisen synkronoinnin Facebookin kuva-albumiin. Kokeilin itsekin tätä toiminnallisuutta kotilaitteellani ja näppärästihän tuo tuntui toimivan.

Ensimmäinen asia, mikä minulle tuli aiheesta mieleen, oli se, että ”tämähän on aivan nerokas liikeidea”. (Hätäisesti luettuna) käyttöehtojen mukaan käyttäjä antaa Facebookille täyden oikeuden hyödyntää käyttäjän palveluun lataamaa materiaalia. Toisin sanoen, periaatteessa Facebook voisi esimerkiksi myydä minkä tahansa käyttäjän kuvan eteenpäin ansainta tarkoituksessa. Ja koska kuvat latautuvat automaattisesti palveluun (olettaen toki, että ominaisuus on aktivoitu), niin myös kaikki kuvat kuuluvat tästä eteenpäin Facebookille.

Omien kuvieni osalta en usko, että Facebook niillä rikastuisi. Näinpä en ole edellisen kappaleen huomiosta huolissani. Syy, miksi aiheesta kuitenkin *olen* huolissani, on se, että käytän työpuhelimen kameraa aina välillä muistiinpanojen tekemiseen. Esimerkiksi tilanteissa, joissa monimutkaisia asioita mallinnetaan valkotaululle, kamera on lyömätön muistiinpanoväline. Jos työpuhelimessa on Facebook-sovellus ja se on valtuutettu synkronoimaan kuvat, niin myös mahdollisesti luottamuksellista tietoa sisältävät kuvat päätyisivät Facebookkiin. (Onneksi synkronointi ei ole oletuksena päällä ja synkronoidutkin kuvat tulevat oletuksena yksityiseen albumiin. Tämä ei kuitenkaan tarkoita, etteikö tilanne voisi muuttua, ja etteikö käyttäjä voisi vahingossa jakaa luottamuksellista tietoa sisältäviä kuvia eteenpäin.)

Miksi sitten epäilen, että työpuhelimesta voisi löytyä Facebook-sovellus? KPMG Australian tekemän tutkimuksen mukaan (N=2500), kolme suosituinta sovellusta työkäytössä olevissa iPhonea / iPad -laitteissa olivat Facebook (52%), Angry Birds (46%) ja LinkedIn (38%). En usko, että tilanne olisi kovin erilainen tällä Suomessa.

Pikahoito: Joko varmista, että laitteen kuvat eivät synkronoidu automaattisesti laitteen ulkopuolelle tai älä käytä kameraa luottamuksellisen tiedon kuvaamiseen. Muista myös, että mikäli otat toiminnallisuuden käyttöön, niin Facebook-sovellus synkronoi *kaikki* laitteessa olevat kuvat Facebookkiin.

Helppo ratkaisu asiaan olisi tietysti se, että Facebook olisi kielletty sovellus työpuhelimessa. Tämä ratkaisu on kuitenkin vain ”oireen hoitamista varsinaisen vaivan sijasta”. Maailmasta löytyy N+1 kappaletta erilaisia sovelluksia, joilla päätelaitteiden datat voidaan synkronoida erilaisiin pilvipalveluihin. Toki erilaisilla päätelaitteiden hallintajärjestelmillä pystytään niin ikään hillitsemään oireita (ainakin niillä voidaan yleensä kontrolloida mitä sovelluksia laitteeseen saa asentaa), mutta miksi hankkia työntekijöille yli 500€ laitteita, jos niiden toiminnallisuus on 40€ puhelimen tasolla?

Itse näen asian niin, että kieltoja oleellisempaa on kouluttaa käyttäjiä. Käyttäjien tulee ymmärtää, mikä *tietoaineisto* on luottamuksellista ja mikä ei. On muistettava, että esimerkiksi perinteisten sähköpostin (ja sen liitetiedostojen), kalenterimerkintöjen ja kontaktitietojen lisäksi myös päätelaitteissa olevat kuvat, videot, ääninauhoitukset tai käyttäjän paikkatiedot saattavat sisältää luottamuksellista dataa. Jos näen, että päivittäin kirjaudut jossain tietyssä lounaspaikassa Foursquareen, niin ei ole rakettitiedettä päätellä sinun olevan töissä jossain lähellä. (Yleensä toki käyttäjän toimiston sijainti ei ole salaista tietoa, mutta joskus oma sijainti on syytä pitää omana tietonaan.)

Näinpä, tämän tarinan tarkoitus ei ollut pelotella (jälleen) uusilla peikoilla. Tarinan tarkoitus oli herättää ajatuksia ja muistuttaa siitä, että monesti tehokkainta tapa suojautua uusilta uhilta on aktiivinen käyttäjävalistus.

Yksityiskohdista kiinnostuneet voivat säätää iOS-laitteessa kuvien jakamista seuraavasta paikasta:

Settings -> Privacy -> Photos : Facebook:

  • ON - Facebook saa lukea laitteen kuvat
  • OFF - Facebook ei saa lukea laitteen kuvia

Samasta paikasta pystyy myös tarkistamaan, mitkä kaikki muut sovellukset saavat lukea laitteessa olevia kuvia.

Ystävällisin terveisin
Antti