torstai 29. kesäkuuta 2017

Petya näyttää olevan oikea kyberhyökkäys

Media viljelee mielellään kyberhyökkäys-sanaa, koska sen avulla otsikoista saa dramaattisempia. Tuore Petya (Petja) kiristysohjelma vaikuttaa kuitenkin olevan aito kyberhyökkäys, jonka toimintaa ja vaikutuksia kannattaa seurata tarkasti.

Monet seikat viittaavat siihen, ettei kiristyksen takana tällä kertaa ole pelkkiä rikollisia, vaan ohjelmalla haetaan jotain muuta:
  • Petya laitettiin levitykseen murtautumalla Ukrainassa yritysten käyttämän verosovelluksen valmistajan verkkoon. Näin ohjelma saatiin levitettyä nopeasti yrityksiin. Murto tehtiin niin taitavasti, että päivitykset levittivät sen uhreille ennen kuin yhtiö itse huomasi tapahtunutta.
  • Yrityskäyttäjien näkökulmasta vaadittu 300 euron lunnassumma on mitättömän pieni. Aiemmat kiristäjät ovat vaatineet 1-3 bitcoinia, mikä vastaisi nykykurssilla 2000-6000 euroa. Miksi rikollinen kiristäjä tyytyisi näin pieneen summaan?
  • Maksaminen on tehty vaikeaksi, koska käytössä on vain yksi bitcoin-osoite ja yhteystietona annetaan ilmainen sähköpostiosoite (joka on jo suljettu). Oikeat rosvot tekevät maksamisesta mahdollisimman helppoa. 
  • Vaikka uhri maksaisi, siitä ei ole apua, sillä alkuperäisestä Petya-kiristäjästä poiketen uusi versio tuhoaa kiintolevyn alun pysyvästi. 
Petya leviää tekniikoilla, joita käytetään vain yritysverkoissa. Sen tavoitteena näyttää siis olevan puhtaasti yritysten liiketoiminnan vahingoittaminen. Lunnasvaatimus on pelkkää kosmetiikkaa, jolla häivytetään hyökkääjien todellisia tarkoitusperiä.

Kaiken lisäksi samana aamuna, jolloin Petya alkoi levitä, Ukrainan sotilastiedustelun eversti surmattiin autopommilla.

Ukrainalainen softavalmistaja ja kansallisesti käytetty ohjelmisto, ukrainalaiset yritykset, ukrainalainen eversti... en usko kaiken olevan sattumaa. Petya on oikea kyberhyökkäys, jonka tavoitteena on vahingoittaa yhtä maata. Tästä voi päätellä sen, millaiset voimat ovat hyökkäyksen takana.

Meille muille Petya on erinomainen oppitunti kyberturvallisuuden merkityksestä. Entä jos hyökkäys olisi tehty suomalaisten yritysten käyttämän softan kautta? Miten paljon Suomen talous ja kansalaisten arki olisivat kärsineet? Panostammeko tarpeeksi digitaaliseen maanpuolustukseen, vai ovatko uhkakuvamme edelleen talvisodan vankeja?

Yksi tärkeä oppi liittyy päivityksiin. Petya osoittaa, että ne voivat olla myös vaaraksi. Asiakkaat luottavat, että päivityksen koneeseen tuoma koodi on turvallista ja sallivat sen ajamisen (toisin kuin sähköpostin tuomien tiedostoliitteiden!), mutta jos softan tekijän omiin järjestelmiin on murtauduttu, päivitykset itsessään ovat haittaohjelma. Tunnollinenkaan päivittäminen ei siten takaa tietoturvaa.

Lisäys klo 23: F-Securen tutkija varoittaa tekemästä hätäisiä johtopäätöksiä kyberhyökkäysteoriasta. Tällainen harkinta ja varovaisuus on esimerkillistä ja alan yhtiöille aivan liian harvinaista. Mutta olipa tässä kyse todellisesta hyökkäyksestä tai ei, tapaus on erittäin opettavainen, sillä juuri näin hyökkäys kannattaisi tehdä (ja kääntäen juuri tällaisiin yritysten/yhteiskunnan pitäisi pystyä varautumaan). 

maanantai 26. kesäkuuta 2017

Kansallinen tietoturva paremmaksi pre-paidin tunnistuksella

Suomalainen tietoturva on maailman huippua, mutta parantamisen varaa on aina. Yksi selvä aukko on se helppous, jolla pre-paid-liittymiä voidaan käyttää esimerkiksi identiteettivarkauksissa: uhrin nimissä tilataan tavaraa ja yhteystiedoksi annetaan pre-paid-liittymän numero. Myös pankki hyväksyy turvailmoitusta varten pre-paid-numeron, mikä vesittää koko tekstiviestin hyödyn, sillä yhteys tilin todelliseen omistajaan katkeaa.

Miksei Viestintävirasto voisi pitää rekisteriä, jossa olisi listat operaattorien pre-paid-numeroavaruuksista? Pankeille, vakuutusyhtiöille, verkkokaupoille ym. tarjottaisiin rajapinta, jonka kautta ne voisivat kysyä, onko asiakkaan ilmoittama numero pre-paid.

Kysyjä saisi itse päätellä tiedon merkityksen. Erityisen epäilyttävää olisi, jos tavallinen numero vaihdettaisiin pre-paidiksi ja pian sen jälkeen tulisi iso tilaus. Myöskään 2FA:ta (two-factor authentication) ei pitäisi koskaan lähettää pre-paid-numeroon.

Kokonaan pre-paideja ei voi kieltää, koska niille on myös hyväksyttäviä käyttötarkoituksia. Järjestelmää voisi kehittää niin, että pelkän kyllä/ei -tiedon lisäksi palautuisi tieto siitä, milloin numero on avattu. Mitä pidempään pre-paid on ollut käytössä, sitä turvallisempi se luultavasti on.

Ei ole vaikea toteuttaa, sillä Numpac tarjoaa samantyyppistä palvelua operaattorin selvittämiseen.

Idea on vapaasti kaikkien hyödynnettävissä. Suomi 100 -hengessä eteenpäin!

Lisäys: Tekstiviestin tavoitteena on siis lisätä ylimääräinen varmistus isompien summien siirtoon. Siitä on hyötyä, jos rosvo esimerkiksi pääsee MTM-hyökkäyksellä uhrin ja pankin oikean palvelun väliin, kuten on käynytkin. Fiksumpi rosvo olisi sisään päästyään vaihtanut ensi töikseen puhelinnumeron prepaidiksi tai poistanut koko varmistuksen käytöstä, jolloin uhri ei olisi saanut hälytystä. Ainoa suojakeino on rajoittaa jollain tavalla puhelinnumeron vaihtamista tai esim. vaatia, että uusi numero otetaan käyttöön vasta 24 tunnin kuluttua. Myös ilmoitusviesti vanhaan numeroon numeronvaihdon yhteydessä auttaisi. Tältä osin ongelma on saman tyyppinen kuin postin osoitemuutoksissa, joiden aitoutta on vaikea varmistaa.

Teknisesti ongelma ei ole puhelinnumerossa vaan pankkitunnusten joutumisessa vääriin käsiin, joko varkauden tai esim. MTM-hyökkäyksen vuoksi. Uhri veisaa tekniikasta viis, hänen kannaltaan jokainen uusi suojakeino voi olla ratkaisevan tärkeä. 

keskiviikko 7. kesäkuuta 2017

Haluatko julkisuutta asiallesi? Tilaa siitä raportti

Eilen julkaistiin raportti, jonka mukaan "suuri osa pk-yrityksistä on täysin pudonnut digitaalisesta kehityksestä", sillä 35 % niistä ei ole mitään toimintaa verkossa. Tällaiset yritykset voidaan luokitella joko "digipudonneiksi" tai "digieksyneiksi".

Tulos on varmaan ihan totta ja pk-yrityksiä pitääkin hoputtaa kehittymään (vaikka samaa nettilaulua on veisattu jo 20 vuotta), mutta kun katsoo raportin tekijöitä, olisiko tulos voinut olla mikään muukaan? Tekijöinä olivat nimittäin Google ja Vainu.io Software. Jälkimmäinen on tuore nettistartup, joka on erikoistunut digitaaliseen myynti- ja markkinointipalveluun. Mukana oli myös Suomen Yrittäjät, joka uutisoi aiheesta. Uutisessa kehutaan Googlen Adwords -palvelua myynnin vauhdittajana.

Niin ikään eilen julkaistiin professori Heikki Hiilamon selvitys keinoista tuloerojen kaventamiseksi. Tutkimuksen tilaaja oli Kalevi Sorsa -säätiö, jonka tiloissa se myös julkaistiin (tv-uutisten kuvasta päätellen). Ketään tuskin yllätti, että raportti päätyi suosittamaan hyvätuloisten verotuksen kiristämistä.

Tänään julkaistu kirjastoseuran tilaama raportti päätyi tulokseen, jonka mukaan kirjastot maksavat itsensä takaisin moninkertaisesti. Kirjastojen suurena ystävänä tervehdin lopputulosta ilolla, mutta olisiko tämäkään selvitys voinut päätyä muuhun lopputulokseen?

Selvitys oli tilattu komealta kuulostavalta Oxford Research -yritykseltä, jolla ei ole mitään tekemistä Britannian Oxfordin tai kuuluisan yliopiston kanssa. Edellisen kerran törmäsin tähän lobbaus- ja viestintätoimistoon pari vuotta sitten, kun Googlen tilaama tutkimus kertoi Googlen olevan erittäin tyytyväinen Suomeen ja datakeskusten tuovan Suomeen tuhansia työpaikkoja. Silloin tiedote oli mennyt sellaisenaan läpi Ylen paikallisissa uutisissa.

Pari vuotta sitten Oxford Researchilla oli kolme suomalaista työntekijää. Nyt määrä on kasvanut neljään ja konttori muuttanut paremmalle paikalle Helsingin keskustaan. Sivuillaan ENSR-verkosto kertoo erikoistuneensa "soveltavaan sosiaaliseen ja taloudelliseen tutkimukseen". Tietoa meistä -kohdassa yritys kertoo erikoisalansa olevan "alueiden ja elinkeinoelämän kehittäminen sekä hyvinvointialojen toiminnan edistäminen". Toisaalla se mainitsee "yhdistävänsä liikkeenjohdon konsultin vaikuttavuuden ja viestintäfirman dynaamisuuden". Kuulostaa kovasti lobbaukselta, tämäkin.

Kun melkein mikä tahansa asia saadaan nostettua uutiskynnyksen yli tekemällä siitä "tutkimus", "selvitys" tai "raportti", toivoisi vielä jäljellä olevilta toimittajilta lähdekriittisyyttä -- ettei kaikki jää lukijan oman medialukutaidon ja omatoimisten taustaselvitysten varaan.

Lisäys 13.7.2017: Google on rahoittanut vuosia tutkimusta vaikuttaakseen lainsäätäjien mielipiteisiin (Kauppalehti)

maanantai 5. kesäkuuta 2017

F-Secure varoitti vihdoin: Mansions of Madness

Virustorjunnan tarpeellisuudesta älypuhelimessa voi olla monta mieltä. Kiista F-Securen edustajan kanssa sai minut ostamaan ohjelman kokeiluun, eikä se ole viiteen kuukauteen antanut elonmerkkejä itsestään.

Tänään tietoturvakurssilla sain vinkin eräältä osallistujalta: Google Play-kaupasta ladattu Mansions of Madness -lautapelin lisäohjelma saa kuulemma virustarkistuksen älähtämään. Sitähän piti tietenkin kokeilla heti.

Mansion of Madness Googlen Play-kaupassa.
Ja toden totta: kun 152 megatavun paketti oli ladattu, F-Secure antoi ensi kertaa elonmerkin itsestään (edellisen oman tarkistuksen olen ajanut näköjään maaliskuussa):

F-Securen varoitus.
Ohjelmassa on siis jokin adware-lisäke, joka esittää mainoksia ja ehkä kerää henkilötietoja.

Virustentorjunta: 1 ongelma havaittu.
SAFE luokittelee ohjelman "mahdollisesti ei-toivotuksi", ei varsinaiseksi haittaohjelmaksi:

Mahdollisesti ei-toivottu.
Tein kuten ohjelma ehdotti ja poistin latauksen ennen varsinaista käyttöä. Toistan vanhan ohjeeni: ladattaessa pelejä ja hupiohjelmia Play-kaupasta kannattaa olla korostetun varovainen, koska niiden joukossa on hämääviä ja suorastaan huijaavia apuohjelmia. Jos jättää pelit rauhaan, haittaohjelman riski on erittäin pieni. Ilmeisesti tämäkin näyttää vain mainoksia, joten varsinaisesta haittaohjelmasta ei ole kyse.

Oletko törmännyt muihin Android-sovelluksiin, joista virustorjunta antaisi oikean hälytyksen (ei siis pelkkiä valevaroituksia web-sivuilta)?