lauantai 20. lokakuuta 2007

Kurkistus phishing-huijauksen tuloksiin

Tyypillinen phishing-tapaus: PayPal pyytää muka asiakkaitaan tarkistamaan tietonsa. Ensin kysytään käyttäjätunnus ja salasana, sen jälkeen kaikki muut henkilökohtaiset tiedot aina pankkitilin numeroa, amerikkalaista henkilötunnusta ja kotiosoitetta myöten.

Tällä kerralla huijarit olivat huolimattomia. Vallattu www-palvelin oli konfiguroitu niin, että se päästi selaamaan hakemistorakennetta ja tiedostoja. Samalla avautui näkymä siihen maailmaan, jonka yleensä vain huijarit itse näkevät.

Lomakkeella kalastellut tiedot oli tallennettu siististi kahteen tekstitiedostoon. Toisessa olivat ensimmäisen lomakkeen kysymät kirjautumissalasanat, toisessa jälkimmäisen lomakkeen muut henkilötiedot. Jälkimmäinen tiedosto oli huomattavan lyhyt. Ilmeisesti moni oli antanut käyttäjätunnuksen ja salasanan, mutta tullut toisiin aatoksiin nähdessään, mitä kaikkea muuta pitäisi vielä kertoa.

Ei ole huijareillakaan nykyään helppoa! Varoitukset tietojen kalastelusta alkavat tehota, eikä ainakaan klassinen perushuijaus enää mene läpi entiseen tapaan. Vaikka listassa oli 15 397 käyttäjätunnus- ja salasanaparia, joukossa oli valtavasti tämän tyyppisiä rivejä:

IP: 24.5.196.46
USER: gofuckyourself@anus.com
PASSWORD: gofuckyourself

Ei näin, pojat! Kirosanat korkeintaan hymyilyttävät huijareita ja ne on helppo poistaa tietokannasta. On paljon tehokkaampaa syöttää lomakkeisiin näennäisesti täysin oikeita ja uskottavia tietoja. Niiden virheellisyys selviää vasta, kun tunnuksia yritetään käyttää.

Samasta ip-osoitteesta tulevat, eri tunnuksilla kokeiltavat kirjautumisyritykset laukaisevat hälytyksen palvelutarjoajassa, mikä voi auttaa saamaan tekijöitä kiinni. Ja vaikka niin ei kävisikään, kiusaa se on pienikin kiusa.

torstai 18. lokakuuta 2007

Digimusiikki käy kaupaksi Anttilassa

Kesko jakoi tänään pörssin kautta lehdistötiedotteen otsikolla "Digitaalisen musiikin myynti voimakkaassa kasvussa NetAnttilassa". Kyseessä on ensimmäinen kerta, kun suomalainen pörssiyhtiö hehkuttaa digitaalisen musiikkimyynnin kasvunäkymiä. Ilmeisesti musiikin nettikauppa on vihdoin pääsemässä vauhtiin meillä Suomessakin.

Tiedotteen mukaan NetAnttilan digitaalisen musiikin myynti kasvoi alkuvuonna lähes 50 % ja kasvu on painottunut kokonaisiin musiikkialbumeihin. Musiikkiala on varmasti tyytyväinen siitä, että kasvu kohdistuu kokonaisiin albumeihin eikä yksittäisiin menestysraitoihin.

Omaa tyytyväisyyttäni vähentää se, että NetAnttilan musiikkikauppa rajoittaa asiakkaan käsiä kilpailijoita enemmän. Musiikkia voi kuunnella ja polttaa vain NetAnttilan omalla soittimella. Yksittäisen hittibiisin ostamiseen tekniikka kelpaa, mutta enpä haluaisi investoida isompia summia musiikkikirjaston kokoamiseen, kun kirjasto on yhden ohjelman ja palvelun varassa.

Yksi selitys kasvaneelle myynnille löytyy sähköpostimarkkinoinnista. NetAnttila on keväästä lähtien lähettänyt säännöllisesti mainoskirjeitä asiakkaille, jotka ovat kerran ladanneet palvelusta jotain. Näköjään bittienkin markkinointi kannattaa.

Yritin eilen ostaa Amazonin verkkokaupasta Bocellin cd-levyä suojaamattomina mp3-tiedostoina, sillä drm-vapaat tiedostot ovat kuluttajan kannalta paras vaihtoehto. Mutta eihän se onnistunut - Amazon vetosi maantieteellisiin rajoituksiin ja kieltäytyi palvelemasta meitä suomalaisia.

Niin kauan kuin globaalia taloutta rajoitetaan keinotekoisesti, lainkuuliaisen kuluttajan on pakko tyytyä itseään kahlitseviin ja rajoittaviin palveluihin.

maanantai 15. lokakuuta 2007

Salasanat karkuteillä

Viikonloppuna tapahtunut suomalaisten verkkopalvelujen salasanavuoto on herättänyt runsaasti huomiota. Tällä kertaa tv-uutisetkin olivat hyvin ajan hermolla; esimerkiksi Nelosen tv-uutiset teki useita juttuja tapahtuneesta.

Salasanoja, hash-koodeja ja sähköpostiosoitteita sisältävä lista oli pitkä ja maallikolle vaikeaselkoinen. Ovat pankkitunnukseni nyt vaarassa? Onko Hotmailiin ja Luukku.comiin murtauduttu, kun niiden sähköpostiosoitteita oli listalla? Ei sentään.

Tapahtumien yksityiskohdat ovat vielä hämärän peitossa, mutta ilmeisesti keskustelufoorumien ylläpitäjät eivät ole päivittäneet järjestelmiään riittävän aktiivisesti. Päivittämättöminä MySQL, phpBB ja muut laajasti käytetyt vapaat ohjelmat ovat otollinen kohde tietomurtajille.

Mitä opimme tapahtuneesta? Ainakin sen, että salasanoihin perustuva todennus on epäluotettavaa ja riskialtista - mutta se tuskin on uutinen kenellekään. Tärkein opetus on siinä, että jokaiseen tärkeään palveluun on syytä keksiä uusi salasana.

Käyttäjiä on aina kielletty käyttämästä samaa salasanaa useissa eri palveluissa ja niin ikään kielletty kirjoittamasta salasanoja paperille. Molempia vaatimuksia on mahdoton täyttää samanaikaisesti. Tapahtunut osoittaa, että paperille kirjoittaminen on kahdesta pahasta selvästi pienempi. Tuhansien käyttäjien muistilappuja on mahdotonta varastaa samanaikaisesti.

Paljastuneista salasanoista tehdyt analyysit osoittavat, ettei oppi hyvistä salasanoista ole muutoinkaan tavoittanut kaikkia. Joukossa on luvattoman paljon lyhyitä, helposti arvattavia sanoja, tai salasanaksi on otettu oma käyttäjätunnus.

Salasanamurrot on tehty lähinnä nuorten käyttämiin palveluihin. Niissä salasanaa ei ehkä pidetä kovin kriittisenä - eikä se olekaan. Vaara syntyy vasta sitten, jos paljastunutta salasanaa on käytetty myös tärkeämmissä palveluissa.

Nimimerkki Obi-Lan kirjoitti eräällä keskustelualueella: "Sääli ettei Petteri Järvise tunnuksia löytyny tuolta." Ei löytynyt ainakaan tällä kertaa, mutta kuka tietää seuraavasta?

Käyttäjä ei voi uuteen palveluun rekisteröityessään tietää, miten hyvin ylläpito on huolehtinut tietoturvasta. Siksi ainoa keino parantaa omaa turvallisuutta on yrittää keksiä riittävän hyviä salasanoja.
Website Security Test