Ajateltavaa tietoturvasta

Edelliseen blogimerkintääni liittyen tahdon antaa lukijoilleni mietittäväksi muutaman tietoturvaan liittyvän asian. Ensin käskymuotoon otsikoituna pari perusasiaa tarkasteluineen, jotka kaikki toivottavasti tietävät (?) ja sen jälkeen pieni listaus ihan jokapäiväisistä asioista, jotka Sinullakin pitäisi olla kunnossa.

Sinun ei pidä itseäsi toistaman

Älä koskaan käytä samaa salasanaa usemmassa palvelussa. Jos muistaminen on haaste, niin voit antaa sen tehtävän sovellukselle, joka lukitsee ne yhden pääsalasanan taakse tai säilyttää ne salakirjoitettuna tähän tarkoitukseen varatulla muistitikulla tai ihan yksinkertaisesti paperilla kassakaapissa.

Macro computer screen shot with binary code and password tex, great concept for computer, technology  and online security.

Salasanassa ei tarvitse olla loputtomasti erikoismerkkejä. Vahvaan salasanaan päästään valitsemalla esimerkiksi satunnaisesti 4-5 sanaa ja korvaamalla 1-2 merkkiä numeroilla ja erikoismerkeillä. Murresanat ja muut, jotka eivät löydy sanakirjasta ovat parhaimpia. Tarkastellaan esimerkkinä kahden fiktiivisen Spotify-palvelun salasanan vahvuutta:

  1. nelj4ih4n$47unnais7a$4naa (lue: ”neljä ihan satunnaista sanaa”)
  2. $pO7I§µ (nuorille tyypillistä nettikirjoittelua, kirj. huom.)

Ensimmäiselle salasanalle on käytettyyn merkkiavaruuteen perustuen vähintään noin 6,49×1045 kombinaatiota. Maailman tehokkain supertietokone pystyy kokeilemaan 16,32×1012 kombinaatiota sekunnissa. Yhteen vuoteen mahtuu 31 536 000 sekuntia. Tietokone työskentelee siis 1,26×1025 vuotta. A++ energiatehokkuudella tämä toimitus vaatisi energiamonopolisopimuksen auringon kanssa 140 000 vuodeksi.

Vertailun vuoksi: maailmankaikkeuden ikä on noin 4,35×1017 sekuntia.

P.S. Toinen salasana murtuu 5 sekunnissa…

Sinun pitää sekä esinettä kantaman että salasana muistaman

Vahvalla sähköisellä tunnistamisella tarkoitetaan henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttämällä perustuen vähintään kahteen seuraavista kolmesta vaihtoehdosta:

  1. salasanaan tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltija tietää;
  2. sirukorttiin tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltijalla on hallussaan; tai
  3. sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen;

Pankkiautomaatilla todennus tapahtuu sekä kortin että PIN-koodin avulla. Perinteisesti internetin eri palvelut käyttävät käyttäjänimeä ja salasanaa. Käyttäjänimi on useimmiten julkinen tai ainakin huonosti suojattu. Jotkut yleiset ja suositut palvelut tarjoavat vahvaa tunnistamista. Tartu tarjoukseen ja käytä vahvaa tunnistamista ainakin tärkeimmissä palveluissa. Verkkopalvelujen vahva tunnistaminen perustuu yleensä sekä salasanaan, jonka syötät ja esineeseen, joka on hallussasi (esim. puhelin tai tietokone). Jos et edellisestä salasanoihin liittyvästä varoituksesta ottanut vaarin, niin laita nyt heti yksi turvataso lisää tärkeimpiin palveluihin.

P.S. Lue http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/ ja mieti miten helppoa Sinun sähköisen minäsi hakkerointi olisi.

Laita perusasiasi kuntoon!

Tässä listamuodossa muutamia vinkkejä.

  • Käytä internetpalveluita varten keskitettyä salasanojen hallintaa. Esimerkiksi F-Secure Key tai KeePass. Näillä voit helposti hallinnoida ja generoida uusia tehokkaita salasanoja. Muista kuitenkin vaihtaa salasanat säännöllisesti!
  • Kommentti: Snowdenin jälkeisessä maailmassa pelkäämme helposti salasanojen luovuttamista keskitettyyn hallintaan. Tästä huolesta voit helposti vapautua tutustumalla siihen, miten salaus toimii. Tärkeintä on, että valitset palvelun, jossa sekä yhteys että tiedot ovat vahvasti salattuja. Yllä mainitut ovat sellaisia. En yleensä mainosta tai suosittele, mutta F-Secure PC:lle ja mobiilille on jäätävän kova. Itse käytän paria muuta ratkaisua, johtuen nörttimäisestä kaikkien asetusten ja toimintojen hallitsemisen tarpeesta (ja sen myötä tulevasta tuskasta), mutta käyttäessäni aiemmin F-Securea en koskaan pettynyt. Vuoden 2011 jälkeen konetta hidastava vaikutus ja muistin käyttö on saatiin ohjelmistossa hyvin hallintaan. Suosi siis tässä suomalaista, jos haluat jotain helppoa, varmaa ja luotettavaa.
  • Varmistukset ovat tärkeitä ja ne on syytä suojata. Tähän voit esimerkiksi käyttää TrueCrypt ohjelmistoa. Tämä tosin ei ikinä poista salasanaan kohdistuvaa ”brute force” -tyyppisen hyökkäyksen uhkaa.
  • Käytä aina salasanojen kanssa niin sanottua ”kahdensuuntaista” autentikaatiota, jossa salasanan lisäksi sinun pitää antaa vielä erillinen vahvistus. Tämä voi olla vastaus tekstiviestiin tai YubiKey-autentikaatio.
  • Perinteiset virustorjuntaohjelmistot (anti-virus) eivät nykyään enää riitä. Haittaohjelmistojen havaitsemiseen ja poistamiseen on kuitenkin hyviä ohjelmistoja kuten, MalwareBytes, SpyBot jne.
  • Selaimiin on myös saatavilla lisäosina (add-on) mainosesto, mikä on hyvä olla varsinkin, jos laite on yhteiskäytössä (lapset klikkaavat helposti mainoksia). Yksi tällainen ohjelmisto on AdBlock.
  • Yhteiskäyttöisessä selaimessa kannattaa aina käyttää ns. turvamoodia, jolloin historiaa ja muita tietoja ei talleneta. Muista kuitenkin sulkea istunnon jälkeen selain kokonaan, sillä istunnon aikana tietyt tiedot tallentuvat levylle tietyissä selaimissa.
  • Muista myös älypuhelimen ja tabletin tieoturva! Kyseisiin laitteisiin löytyy samat ohjelmat tai vastaavat ratkaisut ja ne on syytä hankkia.
  • Muista säännöllinen päivitys ja varmistus. Automatisoi mielellään tämä rutiini, jolloin kone tekee sen niin usein kuin Sinä määräät. Tarkista välillä myös varmistusten eheys.
  • Turvaa sosiaalisen median käyttö. Some on nykypäivää ja antaa lisää mahdollisuuksia ja ulottuvuuksia yhteydenpitoon. Muista kuitenkin suojata yhteystietosi. Somessa ei myöskään kannata kovin arkaluontoista tai provosoivaa mielipidettä esitää.
  • IRL: Pankkiautomaatilla Sinun pitää toisella kädellä suojata PIN-koodin syöttäminen.
  • Sähköposteihin voi tulee niin sanottuja salasanojen ja tunnusten kalasteluhyökkäyksiä (phishing). Älä koskaan avaa näitä.

Tässä näitä yksinkertaisen sotilaan ajatuksia ja vinkkejä muille yksinkertaisille peruskäyttäjille. Korjauksia ja tarkennuksia sekä lisää vinkkejä saa mielellään lisätä kommenttikenttään. Seuraavassa merkinnässä vastaan tarkemmin kysymykseen miksi?

Pidetään maailma turvallisena!

Propagandaa tai mielipiteitä?

Vieraskynä 7.4.2014, anonyymi.

Julkaisen poikkeuksellisesti anonyymin vieraskynän. Syynä tähän on saatuun tietoon liittyvä julkaisurajoitus. Lähteestä haluan kertoa sen verran, että kyseessä on suomalainen kyberturvallisuuden asiantuntija. Tekemäni hyvin pienet korjaukset alkuperäistekstiin on esitetty korostettuina.

Image: Cyber war button
Kuva: www.thesleuthjournal.com
Metadata
Author/Operator [redacted]
Status CONFIDENTIAL (see Release note)
Date 06/04/2014
Category Information security, social network analysis, media/information channels
Release Free for users provided under certain conditions: Authors contact info & COM/DOC metadata is classified/protected
Version Final

Text

Sosiaalisessa mediassa kuohuu. Ukrainan kriisin myötä syntyneet jännitteet ovat syventäneet epäluuloja ja vahvoja mielipiteitä. Tutkiva journalismi ja valveutuneet ihmiset ansiokkaasti paljastivat jopa maassamme toimineen valeuutissivuston. Internetin blogipalstoilla esitellään myös varsin kriittisiä mielipiteitä, varsin kyseenalaisilla lähteillä. Voimakkaita mielipiteitä (lukija tulkitkoon) on myös esitetty myös suosituissa Facebookissa ja Twitterissä.

Ukrainassa tilanne tietoverkkojen osalta on varsin kyseenalainen. Demokraattisilla vaaleilla valittujen kansanedustajien puhelimia on häiritty, sekä operaattorien tiloihin on tunkeuduttu. Nämä ovat vaarallisia ja arvaamattomia toimia.

Ajan ollessa vaikea on tärkeää pitää se seikka mielessä, että ihmiset seuraavat mediaa tarkemmalla silmällä. Sanojensa takana pitää pystyä seisomaan kritiikkiä esitettäessä. Disinformaatio (ja tarvittavan informaation puute) haittaa myös tärkeää ja valveutunutta viranomaisten/ihmisten aikaa, sekä työtä. Hyvä opetus tästä on se, että kaikki esitetty kyseenalaiset asiat/mielipiteet voidaan helpommin/nopeammin pystyä tarkastamaan (hakukoneet, operaattorit jne.) jälkikäteen.

Suomessa laajaa keskustelua eri viranomaisten välillä on käyty Suomeen perustettavasta kyberturvallisuusvirastosta. Snowdenin paljastukset (ja niistä seuraavat toimet) varmasti vaikeuttavat tätä käynnissä olevaa hanketta.

Turkissa yritettiin varsin epäonnisesti tukahduttaa sosiaalisen median välineitä kuten Youtube ja Twitter. Tämä herättää sen varsin mielenkiintoisen kysymyksen: voiko Internetiä edes kontrolloida? Vaikeina talous aikoina on varsin vaikeaa rakentaa sen rinnalle omaa verkkoaan. Senpä takia kannattaa käyttää tervettä järkeä, ja parantaa/kehittää jokaisen omaa henkilökohtaista tietoturvaansa.

Yleisesti Internetissä on ollut hieman laajemmin palvelunestohyökkäyksiä, sekä blogisivustoihin kohdistuneita kohdennettuja hyökkäyksiä (WordPressin aukot). Myös Googlen nimipalvelimiin hyökättiin. Jännittyneen tilanteen vuoksi, yritysten on kyllä syytä muistaa mahdollinen teollisuusvakoilu. Jos kommunikaatio maiden välillä tulehtuu, on tämän mahdollisuuden kasvu varsin luonnollista. Kannattaa nyt silti päivittää se mahdollinen Windows XP, sekä antivirus/muut tietoturvaohjelmistot lähitulevaisuudessa.

End of text

Windows XP SP3 ja Office 2003 tuki päättyy 8. huhtikuuta 2014. Linkki aikaa jäljellä -laskuriin.

Kommentti

Mainittuun valeuutissivustoon liittyen sain ylläolevaan tekstiin tämän kommentin, jonka lähteenä on suomalainen kyberturvallisuuteen perehtynyt toimittaja.

Toimittajan ja Suomessa oikeiksi tunnustettujen työtapojen puolesta sekä Finnbayn, sosiaalisessa mediassa keskusteluun osallistuneiden että joidenkin suomalaismedioiden suhde lähdekritiikkiin on huolestuttava. Mikäli Finnbay olisi viestimen kriteerit Suomessa täyttävä entiteetti, se tarvittaessa täsmentäisi saamiensa tietojen lähteitä. Nyt Finnbay pyrkii valkopesemään julkaisemaansa sisältöä. Teksti sisältää toimittajan näkökulmasta seuraavat puutteet:

  1. Se esittää raskaita väittämiä (Yle on rasisti) perustelematta niitä riittävän kattavasti.
  2. Finnbay ei tarjoa vastuullista henkilöä, keneen ottaa yhteyttä tarvittaessa. Vastaavan toimittajan roolista säädetään Suomen laissa.

Rättsstatens försvarsmakt, del II (underrättelser och spioneri)

FRA, NSA och Snowden

De svenska ”avslöjandena” om FRA (Försvarets radioanstalt), som Ålandstidningen mycket rätt beskriver som anstaltens lagenliga verksamhet, och Edward Snowdens läckor om USAs inhemska och utländska underrättelseinhämtning har inträffat vid en oläglig tidpunkt för Finland. Kommendören för försvarsmakten, general Ari Puheloinen har hoppats att en lag om militär underrättelsetjänst skulle stiftas. Generalens noga valda och tydliga budskap har även mera fritt tagits upp av försvarsministern och inrikesministern med sina staber.

Kopplingen till polisen som är mitt i drog- och missbruksskandaler är lite olycklig. Å andra sidan är det inte alltid klockrent hos oss heller – i juni var vi framme i Iltasanomat, när Huvudstabens informationsavdelning berättade att Signalprovanstalten lätt kan avlyssna medborgarnas telefonsamtal, samtidigt som man informerade allmänheten om att inget egentligen styr anstaltens verksamhet.

Vad reglerar Signalprovanstaltens verksamhet?
— Det kan jag inte säga.

Olycklig intervju 14.6.2013 (övers. min egen)

Skyddspolisen uppgiftsfält är brett och därför är den inte lika ”ren och oskyldig” som försvarmaktens militära underrättelsetjänst. Politiker vill ha Skypo under parlamentarisk övervakning och här görs gärna koppling till all övrig underrättelsetjänst. Lag och övervakning vore bra för den militära underrättelsetjänsten. Det skulle möjliggöra en större öppenhet i stil med svenska försvarsmaktens MUST och FRA. Jag ska nu vara öppen och avslöja att de genomgångar om verksamheten som Signalprovsanstaltens ledning dragit har varit mycket bra, klara, tydliga och bidragit till att öka förtroendet för signalspaningens förmågor. Bäst vore det kanske om anstalten själv öppet, yrkeskunnigt och effektivt kunde informera om sitt uppdrag. Övervakningen kan vara parlamentarisk, politiserad och kommittédriven eller handhas av en skild inspektionsmyndighet. I alla fall skulle man slippa dylika rubriker.

Airbus Military Casa C-295M
HS: Puolustusvoimilla salaperäinen hanke – tiedustelulentokone rakennettavana. Lähde: Ilta-Sanomat 22.9.2012

USAs spionageskandal kom för oss i en mycket oläglig tid. Nu när alla är rabiata om sitt privatliv, så lär inte möjligheterna för myndigheterna att få ett tydligt och tillräckligt mandat för sin verksamhet bli bättre. När politiker inte vill ta i ett ”smutsigt” ämne, så kan det resulterande lagberedningsarbetet bara producera samlingar av förbud och begränsningar.
Detta understryks av flere beslutsfattares uttalanden om hur endast en viss form av trafik skulle övervakas. Hallå, ett sådant filter finns inte! Helsingin Sanomats artikel om den holländska underrättelse- och säkerhetstjänsten ger en bra inblick i detta. Tyvärr måste allt avlyssnas.

Sine lege

Vi kunde kanske tänka oss att underrättelseverksamheten är så hemlig att den vid behov och tillfälle även opererar utom lag, som i de bästa spionböckerna. De extraordinärä befogenheter som givits underrättelsetjänster i USA efter 9-11 och de tristare följderna är utomordentliga varnande exempel. Underrättleseinhämtning kräver ett tydlig mandat förankrat i lag. All myndighetsverksamhet ska ha laglig grund som baserar sig på rättsordning. Av denna laglighetsprincip följer att en myndighet inte kan agera lagvidrigt eller utomrättsligt.

I Finland är problemet att det inte finns någon lag överhuvudtaget. Problemet är störst för myndigheterna själva. Svårt att hållas på spelplanen när ingen ritat gränserna, liksom.

Case

Tillbaka till Signalprovanstalten. Anstaltens verksamhet (förenklat signalspaning mot främmande makt) styrs av den grova lagliga grund som ges i lagen om försvarsmakten 2 § 1 mom 1a och 1b. Från den utgångspunkten krävs (iaf av mig) en hel del tankearbete och flere analogier för att det ska bli klart hurdan signalspaning man kan bedriva och varför man borde göra det.

Lite fiktion: Anstalten inhämtar uppgift av finsk medborgare från finsk mark, som tyder på planering av brott mot privat intresse. Beslutet kan vara att delge informationen till polisen. Då har myndigheten vars uppgift är signalspaning mot främmande makt ipso facto obehörigt (olagligt) börjat spana på sina egna medborgare. Det andra alternativet är att förstöra den inhämtade uppgiften.

I min fiktion ledde förintandet av uppgiften till ett värdetransportrån på 750 000 euro, under vilket en väktare dödades. En tung bit för operatören som isolerade uppgiften, när han nästa dag kommer på jobbet och sätter sig vid apparaturen med en kopp kaffe och dagens löpsedel.

Nu vore det på tiden att få till stånd en lag om militär underrättelsetjänst. Lagen skulle skydda såväl statens intressen, medborgaren, den verkställande myndigheten och medarbetarna i tjänst.

Vi kan förstås vänta på en bred, heltäckande och totalsäker cyberlagstiftning. När grisarna flyger.

Oikeusvaltion puolustusvoimat, osa II (tiedustelu ja urkinta)

FRA, NSA ja Snowden

Ruotsissa tapahtuneet SVT:n ”paljastukset” FRA:sta (Försvarets radioanstalt), jotka Ålandstidningen osuvasti kuvaa laitoksen normaalina työnä, ja Snowdenin Yhdysvaltojen koti- ja ulkomaan tiedustelun paljastukset ovat tulleet Suomelle huonoon aikaan. Puolustusvoimain komentaja, kenraali Ari Puheloinen on esittänyt, että sotilastiedustelusta olisi saatava laki aikaan. Kenraalin tarkkaan valittua viestiä vapaamuotoisemmin ja ehkä jopa hieman rönsyilevästi asiaa ovat puineet puolustusministeri ja sisäministeri esikuntineen muiden hämmentäessä soppaa.

Kytkentä väärinkäytös- ja huumeskandaaleissa rypevään poliisiin on vähän onneton. Toisaalta ei mene hyvin aina meilläkään – nolosti oltiin taas esillä Iltasanomissa kesäkuussa, kun Pääesikunnan viestintäosasto kertoi Viestikoelaitoksen helposti halutessaan pystyvän kuuntelemaan kansalaisten puheluita, samalla tiedottaen, että laitoksen toimintaa ei mikään varsinaisesti ohjaa.

Mikä Viestikoelaitoksen toimintaa säätelee?
— En osaa sanoa.

Onneton haastattelu 14.6.2013

Suojelupoliisin tehtäväkenttä on laaja ja siksi sen asema ei ole yhtä puhdas ja viaton kuin Puolustusvoimien sotilastiedustelun. Supoa halutaan parlamentaariseen valvontaan ja tähän kytketään mielellään myös kaikki muukin tiedustelu. Sotilastiedustelun osalta laki ja valvonta mahdollistaisivat suuremman avoimuuden esimerkiksi Ruotsin MUSTin ja FRA:n tapaan. Sen verran avoin uskallan olla ja paljastaa, että kuulemani Viestikoelaitoksen johdon esittelyt signaalitiedustelusta ovat olleet hyviä, selkeitä ja lisänneet luottamusta ja uskoa tiedustelun kykyyn. Parasta ehkä olisi, jos laitos itse voisi avoimesti, ammattitaitoisesti ja vaikuttavasti viestiä tehtävästään. Valvonta voi olla parlamentaarista, politisoitunutta ja komiteavetoista tai erillisen tarkastusviranomaisen tekemää. Joka tapauksessa avoimuuden myötä ei tulisi enää alla olevan kaltaisia otsikoita.

Airbus Military Casa C-295M
HS: Puolustusvoimilla salaperäinen hanke – tiedustelulentokone rakennettavana. Lähde: Ilta-Sanomat 22.9.2012

Ison maailman tiedustelupaljastukset ovat tulleet meille huonoon aikaan, koska kaikki vaahtoaminen yksityisyydestä ei ainakaan lisää viranomaisen mahdollisuutta saada selkeää ja riittävää mandaattia toimintaansa. Politikkojen välttäessä polttamasta näppejään syntyy tilanne, jossa valmisteltavat lait jäävät kielto- ja rajoituskokoelmiksi tai toimimattomiksi torsoiksi. Tätä osoittavat myös eri päättäjien lausunnot siitä, miten vain tiettyä liikennettä tarkkailtaisiin. Sellaista automaattista filtteriä ei ole rakennettu, joka tämän tekisi! Hesarin artikkeli Hollannin ulkomaantiedustelusta valottaa tätä asiaa aika hyvin. Valitettavasti kaikkea täytyy kuunnella.

Sine lege

Voitasiin tietysti ajatella, että tiedustelutoiminta on niin salaista, että se vakoiluromaanien tavoin, tarvittaessa toimii harmaalla alueella lain ulkopuolellakin. Yhdysvaltain turvallisuusviranomaisille 9-11 jälkeen myönnetyt epätavallisen laajat valtuudet ja niiden ikävät seuraukset toimikoon varoittavana esimerkkinä. Tiedustelu vaatii selkeän lakiin kirjatun mandaatin. Kaikella viranomaisen toiminnalla tulee olla oikeusjärjestykseen nojaava laillinen peruste. Tästä laillisuusperiaatteesta seuraa, että viranomainen ei voi toimia vastoin lakia tai ylittää sen rajoja.

Suomessa ongelmana on se, että lakia, jonka puitteissa pysyä, ei ole. Ongelma on suurin viranomaiselle itselleen. Paha on suutarin lestissä pysyä, kun lestiä ei ole edes tehty.

Case

Tästä taas takaisin Viestikoelaitokseen. Laitoksen toimintaa (yksinkertaistetusti ulkovaltoihin kohdistuva signaalitiedustelu) ohjaava laillinen peruste on aika karkea (Laki puolustusvoimista, 2 § 1 mom 1a ja 1b) ja vaatii hieman aivojumppaa ja analogiaa, jotta tulisi selväksi millaista signaalitiedustelua voidaan tehdä ja miksi sitä tehtäisiin.

Kuvitellaan esimerkiksi, että fiktiivisessä tilanteessa saadaan tahattomasti haltuun Suomen kansalaisen tietoa valtakunnan rajojen sisäpuolelta, joka viittaa yksityisen etuun kohdistuvan rikoksen suunnitteluun. Päätöksenä voi olla luovuttaa tieto toiselle viranomaiselle, jolloin ulkomaan signaalitiedustelua harjoittava taho on ipso facto oikeudettomasti alkanut tarkkailla omia kansalaisiaan. Toisena vaihtoehtona on tuhota tahattomasti saatu tieto.

Minun fiktiossani tiedon tuhoaminen mahdollisti 750 000 euron arvokuljetusryöstön, joka johti yhden vartijan kuolemaan. Kova pala luettavaksi tiedon eristäneelle operaattorille,kun hän seuraavana aamuna istui laitteistonsa ääreen kahvikuppi ja päivän lööppi vierellään.

Nyt olisi korkea aika saada aikaan laki sotilastiedustelusta. Laki suojaisi valtion etuja, kansalaista, toteuttavaa viranomaista ja sen palveluksessa olevaa ihmistä.

Tietysti voimme odottaa laajaa, kattavaa ja täydellisen kokonaisturvallista kyberlainsäädäntöä. Ja lehmät lentävät.