Avainsana: tietoturva

Tämäkin viesti voidaan lukea Ruotsissa

”Ruotsin valtion radiotiedustelu FRA alkoi viime yönä seurata ja avata kaikkea valtakunnanrajan ylittävää puhelu- ja sähköpostiliikennettä. Suomen suojelupoliisin arvion mukaan valtaosa suomalaisten ulkomaille suuntautuvasta puhelin- ja internet-liikenteestä kulkee Ruotsin kautta, joten ruotsalaisviranomaiset pääsevät halutessaan kuuntelemaan sitä. Ruotsalaiset voivat myös vaihtaa tietoja ulkomaisten tiedustelupalvelujen kanssa, joten suomalaisten viestintätietoja voi päätyä ulkomaisten tiedustelupalveluiden haltuun. ”

”Suomen viestintäviraston verkkojen ja turvallisuusalueen johtaja Timo Lehtimäki arvioi, että entistä suurempi osa suomalaisesta tietoliikenteestä on viime yön jälkeen ulkomaisen tiedustelun kohteena, sillä suuret runkoverkot menevät Ruotsin kautta.”

”Viestintäviraston arvion mukaan suomalaiset salaavat viestejään vielä suhteellisen harvoin.”

Helsingin Sanomat

Eli kannattaa lisätä selaimen osoitepalkissa HTTP:n perään S niin kuin salaus sellaisissa palveluissa, joissa se on mahdollista. Sähköposteissa viestit voi salata tietoliikenteen lisäksi myös viestin osalta käyttämällä esimerkiksi Thunderbirdissä Enigmail-lisäosaa. Tällöinkin tosin vuodetaan tunnistetiedot.

Tietenkään kaikki viestintä ei ole tärkeysasteeltaan salauksen arvoista, ja ovathan Britannian ja Yhdysvaltain liittolaismaat kaapanneet Ukusa-sopimuksella eli niin sanotulla Echelon-järjestelmällä Suomesta tulevaa tietoliikennettä jo vuosia.

Secustick-muistitikku luo väärän turvallisuuden tunteen

Tietoturva on tärkeä asia ja tärkeitä tietoja voi joutua vääriin käsiin, kun pieni muistitikku häviää. Markkinoilla onkin muistitikkuja, jotka lupaavat tietoturvaa ja suojaa muistilla oleville tärkeille tiedoille. Valitettavasti kaikki ei aina ole sitä mitä tuotetiedotteessa lukee ja markkinamiesten puheissa kuulee.

Tweakers.net -sivusto on testannut Secustick -muistitikkua, jota markkinoidaan tietoturvallisena. Sipal Internationalin Secustickin turvaominaisuus ei perustu tiedon salaukseen, vaan itsetuho-mekanismiin, jos väärä salasana annetaan riittävän monta kertaa. Yrityksen tiedotteen mukaan muistitikku on Ranskan turvallisuuspalvelun hyväksymä ja lisäksi käytössä puolustus- ja pankkimaailmassa.

Muistitikun tietoturva joutuikin heti koville, kun Tweakers.net avasi tikun kuoret, juotti pienen johtimen piirille ja sai näin rajattoman mahdollisuuden syöttää vääriä salasanoja. Seuraavaksi oli vuorossa muistitikun käyttöön tarvittavan ohjelmiston tutkiminen. Ajamalla debuggeria ja muuttamalla muistipaikan arvoja, saatiin muistitikun sisältö luettavaksi ilman oikean salasanan syöttämistä. Tikun niin sanotun tietoturvan murtamiseen ei tarvinnut käyttää edes salasanan murtamista.

Salasanan tarkastaminen ja muistitikun sisällön avaaminen suoritettiin kahdessa eri prosessissa ja kokonaan tietokoneen puolella, joka on vakava suunnitteluvirhe. Turvallisimmat muistitikut suorittavat sekä salauksen että avaamisen muistitikun piirillä. Jutun mukaan muistitikulta ei myöskään löytynyt mitään ylimääräistä laitetta (itsetuho -mekanismia), joka olisi syöttänyt muistille enemmän jännitettä kuin piiri kestäisi ja näin tuhonnut muistin käyttökelvottomaksi.

Kaikilla tietotekniikan käyttäjillä ei välttämättä ole tietoa ja taitoa murtaa edes näinkään yksinkertaista suojausmenetelmää, mutta tälläisen suojauksen kiertämiseen ei paljoa taitoa tarvita. 130 euron hintainen 1GB Secustick on tietoturvaominaisuuksiensa suhteen turhaan tuhlattua rahaa. Yrityksen mukaan markkinoille on tulossa paranneltu versio muistitikusta ja tarjolla on myös tietoturvallisempia vaihtoehtoja.

Käyttäjän näkökulmasta normaali muistitikku ja ohjelmallisesti esimerkiksi TrueCryptillä toteutettu salaus on parempi ja luotettavampi vaihtoehto.

SnoopStick valvoo mitä koneellasi tehdään

SnoopStick on normaalin USB-muistitikun näköinen palikka, joka tietokoneeseen liitettynä ja piilossa olevan ohjelman avulla valvoo, mitä tietokoneellasi on tehty, kun olet ollut poissa. Valvontaa voi myös tietenkin soveltaa lasten ja työntekijöiden tietokoneisiin. Ei sinällään mitenkään erikoinen vekotin verrattuna normaaleihin vakoiluohjelmiin, mutta toteutukseltaan yksinkertainen ratkaisu USB-tikkuun sovellettuna.

SnoopStick -ohjelmisto tallettaa kaiken mitä valvottavalla koneella tehdään ja tapahtumia voi tarkastella jälkeenpäin. Kytkemällä palikan mihin tahansa Internet-yhteydellä varustettuun tietokoneeseen, voi valvottavan koneen tapahtumia seurata ja ohjelmia hallita reaaliajassa. SnoopStick -palikoissa on uniikki tunniste, jolla tunnistetaan valvottavat koneet ja yhdistetään ne palikkaan, jolta ohjelma asennettiin. Valvovan ohjelmiston voi poistaa ajamalla asennusohjelman samalta palikalta, jolta se asennettiin. Yhdellä 60 dollarin hintaisella SnoopStickillä pystyy valvomaan kolmea konetta ja lisäkoneet maksavat 25 dollaria kappale.

Aikamoinen valvontatyökalu, joka ei periaatteessa eroa mitenkään perinteisistä haittaohjelmista. SnoopStickin asentama valvontaohjelma ei näy käyttäjälle ja käyttäjä on tietämätön valvonnasta. Palikan sivuilla ei kerrottu näkyykö ohjelma Explorerin prosessi-listassa vai toimiiko ohjelma rootkit -tyylisesti piilottamalla toimintansa kokonaan, joskin normaaleille käyttäjille jo ohjelman piilottaminen tehtäväpalkista on riittävä piilotuskeino.

Tietoturvallisesta näkökulmasta mieleen tulee tilanne, jos ja kun SnoopStick tunnisteet murretaan ja valvottavat koneet ovat avoimesti auki Internetiin. Eettisestä näkökulmasta katsoen palikan käyttäminen käyttäjän tietämättä on vähintäänkin kyseenalaista. Toisaalta, monessakohan julkisessa tietokoneessa, esimerkiksi kirjastoissa, on asennettuna jonkinlainen haittaohjelma, joka valvoo käyttäjän tekemisiä ja muun muassa salasanoja.

(via Gizmodo)

Kuinka käyttää Hot Spot WLANia turvallisesti

Scott Granneman on kirjoittanut kolumnin Security Focukseen langattoman verkkoyhteyden turvallisesta käyttämisestä kahvilan ilmaisen Hot Spotin kautta. ”Coffee shop WiFi for dummies” -kolumni valoittaa perusasioita www-sivujen selaamisesta, sähköpostin lukemisesta ja chattaamisesta käyttäen ”turvatonta” yhteyttä.

Avoimia WLAN-verkkoja käytettäessä ei yleensä ole mahdollista käyttää WEP- tai WPA-salausta, vaan tietoturvan hoitaminen jää käyttäjän vastuulle. WEP:n käyttäminen avoimessa verkossa on muutenkin kohtalaisen hyödytöntä, kun salausavaimen tietää kaikki verkossa olijat. WPA:n käyttäminen taas vaatii avaintenhallintaan, joka tuo lisää työtä verkon tarjoajalle (esim. kahvilan ei-tekninen henkilökunta).

Kolumni on kirjoitettu ymmärrettävästi ja turvallisuuteen vaikuttavat asiat on selitetty selkeästi. Jutun antamat vinkit eivät ole mullistavia, vaan liittyvät ihan normaaleihin käytäntöihin Internetiä käytettäessä. Salasanojen ja tunnusten lähettäminen www-sivuilla, esim. kirjautuminen palveluun, on syytä tehdä käyttämällä https-protokollaa ja sähköpostien luku on hyvä suorittaa suojattua IMAPia käyttämällä tai webmailia käytettäessä https:n ylitse. Pikaviestimiä käytettäessä kirjoittaja mainostaa GAIMia ja Skypeä, joilla viestinnän voi salata.

Juttu on hyvin kirjoitettu ja selventää asiaa myös niille, jotka eivät tekniikasta niin ymmärrä. Itse myös olin siinä uskossa, että webmaileissa myös itse sähköpostien luku on suojattu SSL:llä, mutta jutun mukaan esim. Gmailissa sähköpostien luku tapahtuu normaalin http-yhteyden ylitse. Käyttäjän kannalta turvallisin vaihtoehto on käyttää VPN-yhteyttä, jolloin kaikki liikenne salataan, mutta VPN:n käyttäminen ei aina tai kaikille ole mahdollista.

Käytännössä langaton yhteys Internetiin on vain pieni osa kokonaisuudesta ja samat turvallisuusnäkökohdat tulisi ottaa huomioon käytettäessä langallistakin verkkoa. Tietenkin WLAN mahdollistaa yhteyden helpomman salakuuntelun, mutta myös perinteistä langallista verkkoa voidaan salakuunnella.

Kiintolevyn tyhjentäminen ylikirjoittamalla

Tietokoneharrastelijoille on tapana kertyä tietokoneromua nurkkiin, vanhempaa kalustoa jää käyttämättömäksi ja siitä on päästävä eroon. Vaikka yksityisellä henkilöllä ei välttämättä ole kiintolevyt täynnä salaista ja arkaluontoista dataa, on ne silti hyvä tyhjentää ja ylikirjoittaa ennen koneiden myyntiä. Yrityksissähän datan ylikirjoitus, tai levyjen tuhoaminen, on vieläkin tärkeämpää, ettei ostaja saa kaivettua levyiltä esim. yrityssalaisuuksia tai asiakastietoja.

Kotikäyttäjällä datan ylikirjoitus kiintolevyltä on helpoin suorittaa Linux Live-CD:n avulla, eli bootata kone CD:ltä ja ajaa ohjelma, joka ylikirjoittaa kiintolevyn. Darik’s Boot and Nuke suorittaa saman automaattisesti boottaamalla koneen levykkeeltä.

Engadget.com:n jutussa kiintolevyn tyhjennys suoritettiin Live-CD:n avulla Gentoossa, mutta itse tyydyin käyttämään hyllystä löytynyttä Knoppixia. Kone päälle, CD asemaan, hetki odottelua ja levy sileäksi käyttämällä Shrediä, joka on osa GNU fileutils-pakettia. Toimenpide meni yksinkertaisuudessaan komentamalla: shred -vz -n 3 /dev/hda

Paranoidimmat ihmiset voivat ylikirjoittaa datan useamminkin kuin 3 kertaa, mutta Engadgetin artikkelin perusteella kolme kertaa on riittävä, ainakin kotikäyttöön. Datan hävittämisestä magneettisilta medioilta kiinnostuneet voivat lukea Peter Gutmannin 1996 asiasta julkaistun paperin.