keskiviikko 13. marraskuuta 2013

Suomen Erkki Lumipesä teki palveluksen UM:lle

Edward Snowden (suom. Lumipesä) on järkyttänyt maailmaa koko kesän ja syksyn jatkuneilla urkintapaljastuksillaan.

Vaikka tietoverkot ovat tehneet vakoilun houkuttelevan helpoksi, tämä veitsi leikkaa molempiin suuntiin. Korppikotkan kolme päivää -elokuvassa CIA:n likaisen pelin paljastanut tiedusteluvirkailija lähettää juttunsa New York Timesin toimitukseen. Loppukohtauksessa CIA-johtaja pelottelee Robert Redfordia: "Kuinka pitkälle aiot päästä, jos juttua ei julkaistakaan?"

Wikileaksilla tai Edward Snowdenilla ei ollut tätä ongelmaa. Koko maailma oli heidän sanomalehtensä. Mikään sensuuri tai edes NSA ei pystynyt estämään paljastuksia.

UM:n vakoilutapaus merkitsee uuden ajan alkamista myös Suomessa. Yksi suurista kysymyksistä on, kuka vuoti tiedon urkinnasta medialle. Vakoilun piti olla vain erittäin pienen piirin tiedossa -- niin pienen, ettei edes ulkoasiainvaliokuntaa informoitu asiasta.

Miten siis media sai tiedon asiasta ja sopivasti juuri nyt, kun kaikki oleelliset selvitykset urkkijan paljastamiseksi oli ehditty tehdä? Oliko sisäpiirissä joku paikallinen Erkki Lumipesä, joka katsoi velvollisuudekseen tuoda asian julkisuuteen?

Vuotaja teki epäilemättä palveluksen ministeriölle. Vuosia jatkunut vakoilu, joka paljastui vasta ulkopuolisen vihjeen vuoksi, oli tapauksena niin nolo, että siitä tiedottaminen olisi ollut hankalaa. Lumipesän ansiosta ministeri Tuomioja pääsi helpolla. Torstai-illan tiedotustilaisuudessa hänen tarvitsi vain esittää salamyhkäistä eikä vastata oikein mihinkään, koska "tutkimukset ovat kesken".

Heti seuraavana päivänä Hesari tiesi kertoa vakoilun laajuudesta, yksityiskohdista ja Ruotsin osuudesta sen paljastamisessa. Salaiset tiedot tulivat julkisiksi ilman, että ministeriön täytyi virallisesti kertoa mitään.

Ehkä vuotaja olikin ministeriö itse? Ehkä Lumipesä on ministeriön palveluksessa ja toteuttaa uudenlaista vakoiluajan viestintästrategiaa: media saa jatkossakin tehdä likaisen työn ministeriön puolesta.

maanantai 11. marraskuuta 2013

Havaintoja iltauutisista

Mediat valittavat säästöpaineita. Nyt olisi hyvä hetki säästää ja olla lähettämättä omaa toimittajaa Filippiinien tuhoalueelle. Miksi jokaisen lehden/tv-kanavan pitäisi lähettää oma miehensä/naisensa paikan päälle pelastushenkilökunnan jalkoihin kertomaan samat sanat hävityksen kauhistuksesta? Pari kansainvälistä tv-kanavaa riittäisi, eivät ne ihmisten tragediat siitä muutu. Jokaisen kohtalo on omanlaisensa, mutta kuitenkin niin samanlainen.

Maikkarin uutisia katsoessa tuli mieleen, että 55 tuuman televisiolla ehkä vähän pienempikin fontti riittäisi. Nyt tiedän, mitä tarkoittavat "kissankokoiset kirjaimet" -- vaikka elikolla olisi häntäkin pystyssä.

"Kissankokoiset kirjaimet" Kymppiuutisten alussa.
Teksti-ikkunan korkeus on yli 25 senttiä. No, näkyypä ainakin sohvalle, vaikka silmälasit olisivat hukassa.

Illan uutisissa oli muutenkin dramaattisia aiheita:

HAGLUND, HUOLTOVARMUUS, PUOLUSTUS, VAKOILU
Hmm... puolustusministeri, huoltovarmuus, puolustus ja vakoilu samassa uutislähetyksessä. Otsikoista päätellen elämme mielenkiintoisia aikoja.

keskiviikko 6. marraskuuta 2013

Olisiko Lex Nokia pelastanut UM:n vakoilulta?

Kuka vielä muistaa neljä vuotta sitten käydyn kiistan Lex Nokiasta? Hesarin juttu siitä, miten Nokia ajoi kulisseissa Suomeen nettiliikenteen valvontaoikeuksia lisäävää lakia aiheutti kansanliikkeen valvontaoikeuksia vastaan.

Mitään todisteita Nokian painostuksesta ei koskaan löytynyt. Laista tuli niin raskas ja vaikeaselkoinen, ettei mikään yritys ole uskaltanut ottaa sitä käyttöön.

Lain keskeinen ajatus oli siinä, että yhteisötilaaja (yritys tai organisaatio) voisi automatisoida verkkoliikenteensä seurannan ja saada ilmoituksia poikkeavuuksista. Näin kerätty todistusaineisto olisi sitten luovutettu poliisille varsinaisen esitutkinnan pohjaksi.

Ironista kyllä, ulkoministeriön vakoilu on alkanut juuri samoihin aikoihin kuin laista riideltiin.

Suomen tiukka sähköisen viestinnän tietosuojalaki tekee vakoilun havaitsemisen vaikeaksi, sillä yhteisötilaaja ei saa laillisesti seurata verkkonsa liikennettä proaktiivisesti. Vain akuutit virhetilanteet saa selvittää, ja silloinkin se on tehtävä viestinnän luottamuksellisuutta loukkaamatta.

Jos olisin töissä NSA:n TAO-yksikössä, lähettäisin ministeriöön (tai Nokialle) kohdistetun haittaohjelman, joka keräisi kiinnostavaa dataa ja lähettäisi sen vaikka kerran päivässä sähköpostilla osoitteeseen spy@nsa.gov. Tällaista urkintaa ei Suomessa voisi havaita lakeja rikkomatta.

Onko Suomi ollut liian hyväuskoinen ja sinisilmäinen? Onko meistä tullut "moraalin suurvalta", kuten Marko Hamilo sattuvasti luonnehti Facebookissaan?

Jatkossa Ruotsin FRA-lain ja Lex Nokian pilkkaamiseen ei enää ole syytä. Suomen on pelattava samoilla säännöillä kuin muutkin valtiot.

tiistai 5. marraskuuta 2013

Verotilin insinööriturva turhaa käyttäjän kiusaamista

Verottaja avasi muutama vuosi sitten palvelun, jossa yritykset voivat hallita veroluonteisia maksujaan. Rekisteröidyin käyttäjäksi ja valitsin 8-merkkisen salasanan, aivan kuten pyydettiin.

Tänä vuonna tuli ilmoitus, että tietoturvan parantamiseksi salasanojen vaatimuksia kiristetään. Niissä pitää jatkossa olla isoja ja pieniä kirjaimia sekä numeroita. Kun en tehnyt muutosta ajoissa, en tänään enää päässyt hallinnoimaan yritykseni maksuja. Jouduin käyttämään aikaani päästäkseni salasanojen hallintaan ja luomaan uuden, vaatimukset täyttävän salasanan.

Episodi on hyvä esimerkki siitä, miten insinöörien käsitys tietoturvasta on kaukana arjen todellisuudesta. Ja IT-osastot ovat täynnä insinöörejä (kuten minäkin). Ei ihme, että meillä riittää turvaongelmia. Tietoturvassa teoria ja käytäntö ovat usein kaksi eri asiaa.

Se, onko kahdeksan merkin salasanassa pelkkiä pieniä kirjaimia vai myös isoja ja numeroita, ei faktisesti vaikuta turvallisuuteen mitenkään. Voi käydä jopa niin, että kiristetyt vaatimukset pakottavat kirjoittamaan salasanan paperille tai helpottavat sen unohtamista, jolloin kokonaisvaikutus tietoturvaan on negatiivinen.

Salasanaohje on jo itsessään hieman koominen:

Salasanaohje viraston malliin.

"Vältä salasanojen kirjoittamista ylös. Jos kuitenkin teet niin..." Heh.

Jos salasanan minimipituus on kahdeksan merkkiä, sen arvaamisen kannalta on täysin yhdentekevää onko isoja kirjaimia ja numeroita vai ei. Vähintään kahdeksan merkin salasanan arvaaminen on täysin mahdotonta. Kahdeksalla pienaakkosella on 377 801 998 336 vaihtoehtoa (siis ilman numeroita, erikoismerkkejä ja isoja kirjaimia). Mahdollisia lottorivejä on vain 15 380 937 kappaletta. On siis noin 24 532 kertaa todennäköisempää voittaa lotossa kuin arvata pelkistä pienistä kirjaimista koostuva kahdeksanmerkkinen salasana (ok, salasana ei ole satunnainen, vaan yleensä jokin oikea sana, mutta silti veikkaisin mieluummin lottoa kuin salasanaa).

Ainoa tilanne, missä numeroiden ja isojen kirjainten vaatimisella on merkitystä liittyy brute-force-hyökkäykseen. En kokeillut asiaa mutta oletan, että tili menee lukkoon jo alle kymmenen väärän arvauksen jälkeen. Jos yrityksiä vielä jatketaan, ennen pitkää poliisi kolkuttaa ovelle. Brute-force ei toimi online-palveluissa.

Brute-force voi tulla kyseeseen vain, mikäli hyökkääjä murtautuu itse palveluun ja varastaa sen suojatun käyttäjätietokannan. Tietokone pystyy kokeilemaan miljoonia vaihtoehtoja sekunnissa ja silloin kahdeksan merkin mittaiset helpot salasanat voidaan murtaa.

Mutta jos niin käy, vika ei ole käyttäjässä eikä huonossa salasanassa, vaan ylläpidossa. Miksi käyttäjien pitää ottaa vastuuta, joka kuuluu järjestelmän rakentajille?

Ja kaiken huipuksi salasanan murtamisella ei verotilin kannalta ole edes merkitystä, koska todentamisen jälkeen sinne pääsy vaatii vielä kertakäyttösalasanan.

Salasanavaatimusten kiristäminen on ainakin tässä tapauksessa pelkkää insinööritiedettä -- käyttäjien kiusaamista, joka ei paranna turvallisuutta.

perjantai 1. marraskuuta 2013

UM-urkinta herättää kysymyksiä

Ulkoministeriön paljastunut urkintatapaus herättää paljon kysymyksiä. Vastauksia on vähemmän. Ymmärrettävästi kaikkea ei haluta kertoa, mutta joistakin vastauksista paistaa joko tahallinen tai tahaton väärinymmärtäminen.

Hesarin mukaan ulkoministeriön verkko oli vuosia ulkopuolisen tahon hallussa. Tämä on äärimmäisen noloa maalle, joka on halunnut tehdä tietoturvasta uuden vientituotteen ja profiloitumiskeinon. Tähän asti pisin tiedossa ollut APT-hyökkäys on kestänyt 28 kuukautta. Jos tieto pitää paikkansa, Suomi on tehnyt uuden maailmanennätyksen.

IT-osaston vähättely siitä, miten suojaukset ovat kyllä kunnossa, mutta tällaista voi silti sattua, ja että se olisi paljastunut ilman ulkopuolisen (NSA?) antamaa vinkkiä ennen pitkää, ei kuulosta lainkaan vakuuttavalta. Vuosia jatkunut vakoilu UM:n verkossa EU-asioiden urkkimiseksi on megaluokan moka. Eikö UM tarkkaile verkkonsa liikennettä? Missä oli suomalainen tietoturvaosaaminen kun maahan hyökättiin?

UM:n mukaan samanlainen vakoiluhyökkäys on tehty muissakin maissa. Ilmeisesti kukaan niistä ei ole kuitenkaan kertonut asiasta. Odotamme kiinnostuneena uutisia muista maista, josko ne kertoisivat enemmän kuin omat viranomaiset. Supon salainen esitutkinta kestää tiedottajan mukaan vielä pitkään (ja on kestänyt jo puoli vuotta).

Katainen ei halunnut nimetä urkkijoita, koska heidän tunnistamisensa on epävarmaa. Silti hän kertoi Suomen ryhtyneen "vastatoimiin". Mitähän ne mahtavat olla, jos hyökkääjää ei tunneta? Väärän tiedon syöttämistä, kenties? Diplomaatin kutsumista puhutteluun? Jotain muuta?

Ulkoministeri Tuomiojan mukaan hyökkääjät eivät saaneet käsiinsä arkaluonteista aineistoa, koska "sitä ei edes ollut murretussa verkossa". Selitys kuulostaa epäuskottavalta. Montako verkkoa UM:ssä oikein on? Kuinka ne on eristetty toisistaan? Onnistuneessa APT-hyökkäyksessä pystytään siirtymään sisäverkossa tietokoneelta toiselle. Mitään turvallista verkkoa ei ole. Vain kirjoituskoneella paperille tulostettu aineisto on turvallista. Ehkä Tuomioja viittasi juuri siihen. Jos paperi tehdään tietokoneella ja tulostetaan, vakoilu voi napata tekstin.

Olisi kiinnostavaa tietää, miten Suomen ylintä johtoa ja kansanedustajia on evästetty tietoturvaan liittyvistä asioista. Ilmeisesti ei kovin hyvin. Mikähän urkinta paljastuu seuraavaksi?

Lisäys 17.9.2015: Ministeriön edustajan mukaan UM:ssä oli tuolloin kuusi verkkoa. Hyökkääjät olivat päässeet vain yhteen, joka ei sisältänyt arkaluonteisia tietoja.
Website Security Test