Ads 468x60px

tiistai 31. joulukuuta 2013

NSA:n vakoilulaitteet esittelyssä

Der Spiegel julkaisi vuoden vaihteessa Edward Snowdenin vuotamia dokumentteja NSA:n ANT-osaston työkaluista. ANT on osa NSA:n Tailored Access Operations (TAO) -osastoa, joka tarjoaa NSA:lle työkaluja tietokoneiden, puhelimien ja verkkojen vakoilua varten. ANT tarkoittaa ilmeisesti joko advanced tai access network technologyä. Henkilökohtaisesti olen yllättynyt takaovien määrästä ja työstä, jota niiden suunnittelu ja testaus on vaatinut. Ennen ensimmäisiä Snowdenin paljastuksia, en olisi hevillä uskonut, että näin laaja kirjo edistyneitä vakoilutekniikoita on edes NSA:n aktiivisessa käytössä.

Luettelo on vuodelta 2008 ja sisältää n. 50 sivua lyhyita kuvauksia eri työkaluista. Tarkkoja tietoja niiden toiminnasta tai tavoista, joilla ne asennetaan kohteeseen ei kaikkien osalta ole annettu näissä dokumenteissa. Ilmeistä on, että suuri osa ratkaisuista toimii erillisen mikrosirun avulla, joka asennetaan kohdelaitteeseen. Pelkästään tämä herättää jo kysymyksiä, kuinka takaovet päätyvät laitteisiin. Asennetaanko ne:
  1. Kaikkiin tuotteisiin tehtaalla
  2. Tuotteisiin joiden tiedetään menevän kohteelle
  3. Kohteessa jo oleviin tuotteisiin sisäpiiriläisen toimesta
  4. Haavoittuvuutta hyväksi käyttäen
  5. Muun tietomurron avulla, esimerkiksi varastamalla ylläpitäjän salasanat
  6. Joku muu mikä?
Ilmeisesti ainakin tavat 2,3 ja 5 ovat käytössä. Todella toivon, että listan ensimmäistä tapaa ei käytetä. Joistakin Snowdenin vuotamista dokumenteista selviää, että NSA saattaa esimerkiksi kaapata lähetyksiä laitevalmistajilta, kun ne ovat matkalla loppuasiakkaalle. Paketit viipyvät matkalla vain hieman pidempään, ja saapuvat perille NSA:n sirujen kera.

Pelkästään näitä kuvauksia lukiessa on erittäin vaikea luottaa enää edes laitteisiin mihinkään. Jatkossa korkean turvallisuuden laitteiden osalta on tunnettava käyttöjärjestelmän ja sovelluksien lisäksi myös rautataso ja tarkistettava, että laitteet eivät sisällä mitään ylimääräistä. Tämä on käytännössä erittäin vaikeaa. Laitteiden piirikaaviot tai muut vastaavat ovat luonnollisesti liikesalaisuuksia - lisäksi niitä on myös mahdollista muokata, ja merkitä vakoilusiru normaaliksi osaksi.

Alla on esimerkki ohjelmoitavasta, ARM-pohjaisesta MAESTRO-II-sirusta, jota voidaan käyttää eri laitteissa. Tämä esimerkki on vuodelta 2007, jonka jälkeen vastaavat sirut ovat kehittyneet suurin harppauksin. Kehitystä voidaan verrata esimerkiksi matkapuhelimien suorittimien tehoissa tapahtuneeseen kehitykseen.


Dokumentteja lukiessa on siis muistettava, että teknologinen kehitys on aivan varmasti parantanut myös NSA:n mahdollisuuksia. Esimerkiksi GOPHERSET ja MONKEYCALENDAR ovat työkaluja, jotka asennetaan GSM-puhelimen SIM-kortille, eivät välttämättä enää toimi nykyisissä älypuhelimissa. Aivan varmaa on, että NSA on kehittänyt uusia, edistyneempiä tekniikoita niiden vakoiluun.

Mielenkiintoinen on myös COTTONMOUTH-sarja. Esimerkiksi CM-III on ilmeisesti tietokoneen emolevylle asennettava liitinkomponentti, jossa on verkkoliitäntä ja kaksi USB-liitintä. Lisäksi se pitää sisällään radiokomponentin, jolla voidaan kommunikoida muiden vastaavien komponenttien kanssa tai kauempana olevan etähallintamoduulin kanssa. FIREWALK on puolestaan vastaava komponentti, mutta mahdollistaa VPN-tunnelin luonnin NSA:n operointikeskukseen esimerkiksi radiolinkin läpi. Linkkien luontiin on ilmeisesti tarjolla myös useita eri tekniikoita.

Esimerkiksi CM-moduuleilla on siis mahdollista hypätä ns. air gapin yli. Vaikka huippusalaiset verkot olisivat fyysisesti erossa tavallisista verkoista, näillä fyysisillä laitteilla on mahdollista ohittaa tämäkin suojaus. Tällä on valtava merkitys jatkossa turvallisia verkkoja ja ratkaisuja suunniteltaessa. Jokainen komponentti olisi käytännössä verifioitava käsin, mikäli halutaan olla turvassa esimerkiksi NSA:n vakoilulta.

RAGEMASTER on varmasti yksi vaikeimmin havaittava NSA:n työkalu. Se on erittäin pieni, VGA-monitorikaapelin sisälle piilotettava siru, joka mahdollistaa kaapelin kautta kulkevan kuvan lukemisen etänä erillisen tutkan avulla. Käytännössä tutka lähettää radiosignaalia, jonka kaapeliin piilotettu pieni siru (kuva) heijastaa takaisin tutkan luettavaksi.



Paljastus osoittaa myös, että NSA on suunnitellut ja toteuttanut vastaavia komponentteja jo vuosien ajan. Useat komponentit toimivat jonkun määrätyn arkkitehtuurin mukaisesti ja rakenne on modulaarinen. Komponentteja voidaan päivittää uudemmiksi muista osista riippumatta, kunhan ne toteuttavat samaa arkkitehtuuria.

Vuonna 2013 NSA:n kyvyt ovat todennäköisesti vain kasvaneet. Tämä analyysi on vain pintaraapaisu kaikesta, minkä nykyteknologia mahdollistaa vakoilun saralla.

NSA:n dokumentit kokonaisuudessaan: http://leaksource.wordpress.com/2013/12/30/nsas-ant-division-catalog-of-exploits-for-nearly-every-major-software-hardware-firmware/

maanantai 23. joulukuuta 2013

Tuntematon uhka suomessa - tutkimuksen loppuraportin ja tulosten julkistaminen




15.1.2014 klo 11.30 - 15.15 
KPMG:n koulutustilat, Yrjönkatu 23 b,
(Yrjönkäytävä) 6 krs


Tuntematon uhka suomessa -tutkimuksen loppuraportin ja tulosten julkistaminen

Usein organisaatiot uskovat, että heihin verkon kautta kohdistuva teollisuusvakoilu on vain teoreettinen uhka ja torjuttavissa virustorjunnan ja hyvien salasanojen avulla. Suomessa uskotaan meidän olevan kehittyneiden haittaohjelmien sekä verkkovakoilun osalta erityisasemassa. Näin ei ole, tulokset ovat pysäyttäviä!

KPMG on syksyn aikana järjestänyt tutkimuksen, jossa selvitettiin suomalaisten merkittävien yritysten tietotekniikkaympäristöjen altistusta uusille, kehittyneille haittaohjelmille, joita käytetään esimerkiksi verkkovakoiluun. Tutkimuksessa käytettiin Cybersec Oy:n edustaman FireEyen teknologiaa.

Tutkimuksessa selvitettiin "Tuntemattoman uhan" tilanne Suomessa, eli analysoitiin osallistuja-organisaation verkon tietoliikennettä määrämittainen aika. Tarkoituksena oli selvittää organisaatioiden altistuminen uusille kehittyneille uhille ja nollapäivähaavoittuvuuksille, joista seurauksena voi olla muun muassa tietovuotoja. Tällaista tutkimusta Suomessa ei ole aiemmin tehty. Tutkimus aloitettiin jo keväällä ennen Suomalaiseen julkishallintoon kohdistuneen hyökkäyksen julki tuloa. Tule kuulemaan onko samanlaisia hyökkäyksiä käynnissä muissa merkittävissä organisaatioissa.




Tilaisuudessa julkistetaan tutkimuksen loppuraportti.
Ohjelma

11.30 Ilmoittautuminen ja kahvi

12.00 Keynote, FireEye

12.45 Loppuraportin julkistaminen, Matti Järvinen, KPMG

13.30 Mitä loppuraportista voidaan päätellä, Harri Ruutila, FireEye

14.15  Reagointikykyisten verkkojen rakentaminen, Toni Sulankivi, KPMG

14.45 Kysymyksiä ja keskustelua

15.15 Tilaisuus päättyy

Tervetuloa!
Matti Järvinen, Senior Manager
KPMG Oy Ab

Tilaisuus on TÄYNNÄ, Tulemme pitämään toisen esittelytilaisuuden, jonka ajankohta ilmoitetaan myöhemmin.
 
 

keskiviikko 11. joulukuuta 2013

Pilvipalvelujen turvallisuudesta

KPMG:n pilvipalvelututkimuksen mukaan yli 50% yrityksistä käyttää erilaisia pilvipalveluja mm. HR:n tarpeisiin, IT:n hallintaan, toimisto- ja sähköpostiohjelmiin sekä myynnin ja asiakkaiden hallintaan. Vastanneista 80% aikoo käyttää samoja palveluja myös seuraavien 18 kuukauden sisällä. Tämän lisäksi pilvipalveluiden käyttö tulee tutkimuksen mukaan laajenemaan lähivuosina voimakkaasti toimitusketjujen ja logistiikan, rahoituksen, business intelligencen, tietoturvan sekä toiminnan ohjauksen tarpeisiin.

Luonnollisesti pilvipalveluiden yleistymisellä ja käyttöönoton laajenemisella enemmän bisneskriittisiin toimintoihin ja prosesseihin on huomattavia vaikutuksia organisaatioiden tietoturvaan. Sen seurauksena vaatimukset pilvipalveluiden tietoturvalle ja sen varmentamiselle kasvavat. Tutkimukseen vastanneista liiketoimintajohtajista 30% näkee tietovuodot ja tietosuojan loukkaukset pilvipalveluiden käytön keskeisimpänä riskinä, mikä toisaalta on hidastanut pilvipalveluiden käyttöönottoa. Pilvipalvelutarjoajien näkökulmasta haasteina ovat oman liiketoiminnan nopea kasvu, asiakkaiden ja lainsäädännön kasvavat tietoturvavaatimukset sekä uusien tietoturvauhkien perässä pysyminen.

Sekä pilvipalvelujen käyttäjien että tarjoajien haasteita helpottamaan on kehitetty erittäin käyttökelpoisia ISAE-raportteja, joiden käyttö on kasvanut myös Suomessa viime vuosina voimakkaasti. Lyhyesti ISAE-lausuntojen eroista; ISAE 3402 -varmennuslausunto lausuu taloudellisen raportoinnin kannalta merkittävistä yleisistä IT-kontrolleista (nk. GITC) ja ISAE 3000 -varmennuslausunto taas voidaan tuottaa lähes mistä kontrolliympäristöstä tahansa. Suomessa ISAE 3000 lausuntoja on tuotettu mm. Tietoturvatasoista, KATAKRIsta, fyysisistä kontrolleista konesaleissa (esim. VAHTI 2/2013 tai KATAKRI F-osio), ISO27001, ISO22301 ja WLA-SCS -standardien mukaisuudesta. Listaa voi jatkaa lähes millä tahansa standardilla tai kontrolliviitekehyksellä. Lisää aiheesta aiemmassa blogitekstissäni standardien eroista.

Koska pilvipalvelujen luonne tukee nopeaa käyttöönottoa, on tärkeää että myös niiden turvallisuudesta ja vaatimustenmukaisuudesta varmistuminen on helppoa ja se tukee nopeaa päätöksentekoa. Monilla aloilla (kuten rahoitusalalla) toimittajien riskien arviointi ja auditointi on pakollista tehdä säännöllisesti. Tällaisten auditointien ajoittaminen ja sopivien resurssien saaminen juuri tiettyyn aikaan saattaa olla haasteellista. Kun pilvipalvelun tarjoajalla on jo valmiiksi olemassa ISAE-lausunto vaatimustenmukaisuudesta, ei asiakkaan tarvitse tehdä itse aikaa vievää auditointia, ja toimittajan riskiarviointi on nopeampaa suorittaa.

Pilvipalvelun tarjoajan näkökulmasta ISAE-lausunnon hyödyt näkyvät auditointien määrän vähenemisessä ja ajan sekä resurssien käytön optimoimisessa. Myös palveluntarjoajan intresseissä on asiakkaiden käyttöönoton ja päätöksenteon nopeus ilman monimutkaisia ja haasteellisia auditointeja. Yksi hyvin määritellyn kontrolliympäristön ISAE-auditointi ja raportti vastaa moniin tarpeisiin ja useimpien asiakkaiden auditointivaatimuksiin. Lisäksi ISAE-auditointi ja siitä annettu SOC-lausunto alkaa nykypäivänä olla merkittävä kilpailuetu jo tarjousvaiheessa.

Mikäli kiinnostuit asiasta, ota yhteyttä ja sovi tapaaminen niin saat nimenomaan pilvipalvelujen varmistuslausuntoja koskevan thought leadership-raporttimme, joka ei vielä toistaiseksi ole julkisessa jakelussa. KPMG:n varmentamislausuntoja yleisemmin käsittelevä white paper on ladattavissa täältä.