29. elokuuta 2015

Kansannousun aika on tullut


Jotenkin nämä Marseljeesin sanat sopivat aika hyvin tähän päivään. Ei tarvitse kuin korvata sana "sotilaat" sanalla "muslimit" tuosta ensimmäisestä säkeistöstä ja tietenkin "ranskalaiset" korvata "suomalaisilla" myöhemmästä, niin osuu aivan täysin nappiin. Ja tähän päivään.

Eli lyhyesti tiivistettynä:

Raakalaisten armeijat tulevat maahan, katkovat kaulat lapsiltamme ja vaimoiltamme. Johtajamme, jotka ovat maanpettureita ja orjuuttajiamme, saavat maistaa kylmää terästä ja pellot saavat lainehtia heidän verestään. Ulkomaiset tahot yrittävät röyhkeästi säätää lakeja meidän maassamme (EU), koska hullut despoottimme niin haluavat. Vaviskaa tyrannit ja maanpetturit, teidän katalat juonenne ovat saamassa ansaitsemansa "palkinnon", kaikki kansalaiset ovat sotilaita teitä vastaan.

Ja itse alkuperäisenä:

Allons enfants de la Patrie,
Le jour de gloire est arrivé!
Contre nous de la tyrannie,
L'étendard sanglant est levé, (bis)
Entendez-vous dans les campagnes
Mugir ces féroces soldats?
Ils viennent jusque dans nos bras
Égorger nos fils, nos compagnes!

Aux armes, citoyens,
Formez vos bataillons,
Marchons, marchons!
Qu'un sang impur
Abreuve nos sillons! (bis)

Que veut cette horde d'esclaves,
De traîtres, de rois conjurés?
Pour qui ces ignobles entraves,
Ces fers dès longtemps préparés? (bis)
Français, pour nous, ah! quel outrage!
Quels transports il doit exciter!
C'est nous qu'on ose méditer
De rendre à l'antique esclavage!

Aux armes, citoyens...

Quoi! des cohortes étrangères
Feraient la loi dans nos foyers!
Quoi! Ces phalanges mercenaires
Terrasseraient nos fiers guerriers! (bis)
Grand Dieu! Par des mains enchaînées
Nos fronts sous le joug se ploieraient
De vils despotes deviendraient
Les maîtres de nos destinées!

Aux armes, citoyens...

Tremblez, tyrans et vous perfides
L'opprobre de tous les partis,
Tremblez! vos projets parricides
Vont enfin recevoir leurs prix! (bis)
Tout est soldat pour vous combattre,
S'ils tombent, nos jeunes héros,
La terre en produit de nouveaux,
Contre vous tout prêts à se battre!



PS. Minun valtiossani Suojeluskunnat olisi jo aikapäiviä sitten kaapannut vallan ja saattanut kansantribunaalin tuomittavaksi nykyisen hallinnon virkamiehineen törkeästä maanpetoksesta, törkeästä valtiopetoksesta, Suomen itsemäärämisoikeuden vaarantamisesta, joukkotuhonnan valmistelusta, puolueettomuusmääräysten rikkomisesta ja maanpetoksellisesta yhteydenpidosta ERITTÄIN ankariin rangaistuksiin.

13. elokuuta 2015

Facebookin turvallinen käyttö ja asetukset

Suurinosa Facebookin käyttäjistä ei tiedä, eikä välitä tietää yhtään mitään sen tietoturvasta ja/tai tietosuojasta. Sitten he ihmettelevät, kun heidän tilinsä kaapataan, spämmipostia vilisee ruudulla ja omat tiedot leviävät pitkin nettiä miten sattuu. Plus tietenkin, että kaikenlaiset mainostajat imevät heistä uskomattomat määrät tietoa herraties mihin tarkoituksiin.

Vaikka totuus Facebookista voidaan kiteyttää tähän kuvaan...
...on syytä muistaa, että Facebookissa on paljon hyvääkin ja oikein käytettynä ja valikoidusti tietoa sinne laittamalla (tai paremminkin: Olemalla laittamatta), voi sen pitää kuitenkin siedettävänä urkinnan ja tietoturvan suhteen.

Tarkoitukseni on nyt pureutua tähän maanvaivaan, jotta ihmiset saisivat väännettyä sen säädöt sellaisiksi, että käyttö olisi mahdollisimman turvallista ja yksityisyyttä suojaavaa. Nämä ohjeet sopivat mukautettuna myös muksujen Facebookin vääntämiseksi kohdalleen, turvallisemmaksi. Olen mustannut henkilökohtaisia tunnistetietojani jne. seuraavista kuvista. Käyn läpi kohta kohdalta, mitä kannattaa tsekata läpi ja miten. Jos kaipaatte tarkempia selityksiä, niin katsokaa Facebookin ohjeista ko. sivun ko. kohdalta.

Huomatkaa, että esimerkiksi älypuhelimesi Facebook-sovelluksessa voi olla lisää asetuksia ja säätämisiä. Nämä ohjeeni pätevät vain tietokoneella "oikeaan" Facebookkin ja siellä tehtäviin säätöihin, vaikka vaikuttavat toki siten myös älypuhelinsovelluksena olevaan Facebook-ohjelman toimintaan jollain muotoa. Tee nämä muutokset siis nimenomaan tietokoneella "oikeassa" Facebookissa ja vasta sen jälkeen tsekkaa, että myös älypuhelinsovelluksesi asetukset vastaavat suurinpiirtein näitä asetuksia.

Älä koskaan klikkaile mitään epämääräisiä linkkejä, videoita, shokkijuttuja tms. mitä Facebookissa on. Vaikka asetuksesi on säädetty kohdalleen, jotain ikävää voi silti tapahtua. Tuskin, jos asetuksesi on todellakin säädetty tässä mainituin tavoin kohdalleen, mutta riski on aina olemassa. Idiotismista eivät mitkään säädöt eivätkä asetukset valitettavasti suojaa. Älä ole idiootti. Mieti, mitä teet ja kenelle julkaiset ja mitä klikkaat ja miksi. Facebook tietää todennäköisesti enemmän elämästäsi kuin paras ystäväsi, kohtele sitä sen mukaisesti.

Muutama vinkki:
1) Kannattaa avata video suureksi (tuplaklikkaa sitä), koko ikkunaan ja pausettaa sitä välillä.
2) 
Jos haluat ko. videon kuvat, eli nuo mitkä videossa vaihtuvat (esimerkiksi tallentaa koneellesi ja katsoa rauhassa kohta kohdalta läpi), voit katsoa niitä tai ladata ne täältä.
3) Jos haluat katsoa ko. videon suoraan Youtubessa, niin 
suora linkki itse videoon löytyy täältä.

6. elokuuta 2015

Miten toteuttaa hakkerin kestävä tunnistautuminen, esimerkiksi verkkopankkiin?

Nettipankkien tietoturva "kehittyy" koko ajan, esimerkiksi nyt vaikkapa Nordea. Nordea on oman kertomansa mukaan ottamassa laajamittaiseen käyttöön älypuhelimeen asennettavan tunnuslukusovelluksen, joka korvaa nykyisin käytössä olevat paperiset tunnuslukutaulukot ja kertakäyttöiset salasanat. Tämä on lopullinen kuolinisku ko. verkkopankin tietoturvalle, kun "kaikki munat laitetaan samaan koriin", eli laitteeseen, jolla kansalaiset verkkopankkia käyttävätkin. Jatkossa ko. älypuhelimen tietoturvan nujertamalla saa hallintaansa myös ko. tunnuslukusovelluksen, joten hakkerilla on de facto vapaat kädet asiakkaan verkkopankin sisältöön. Vanhaan paperiseen tunnuslukutaulukkoon ei yksikään hakkeri pääse käsiksi, ei ainakaan ilman, että fyysisesti varastaa se piirongin laatikosta (tai saa hölmön asiakkaan luovuttamaan sen sisällön huijauksella jonkun nettisivun kautta tms.).

Älypuhelinten tietoturvassa on vakavia puutteita, esimerkiksi tällä hetkellä käytännössä kaikissa Android-puhelimissa on aukko, joka mahdollistaa minkä tahansa Androidin kaappaamisen täyteen hallintaan pelkästään mms-viestin lähettämällä. Kaappaaminen ei näy puhelimen omistajalle mitenkään, ei edes tulleena mms-viestinä tms. Ongelmana Androidin osalta on vielä se, että miltei kaikki käyttäjät jäävät mahdollisten tietoturvapäivitysten ulkopuolelle, koska Android ei ole niin keskitetysti hallittu järjestelmä kuin esimerkiksi Windows-puhelimet tai iPhonet ovat, joten päivityksiä ei ole luvassa.

Nordea on onneksi tuomassa niiden asiakkaiden käyttöön, joilla ei älypuhelinta eikä ko. sovellusta ole, jonkinlaisen viritelmän tietokoneeseen kytkettäväksi, joka voi tai ei voi parantaa tietoturvaa jollakin muotoa. Epäilen itse vahvasti, mutta nähtäväksi jää, millainen systeemistä tulee ja miten se toimii. Tämän pitäisi tapahtua ilmeisesti ensi vuonna. Palaan asiaan, kun ko. härveli saapuu.

Verkkopankki ja moni muukin juttu voitaisiin saada huipputurvalliseksi luvatonta käyttöä vastaan ja melko edullisesti, mikäli homma ns. osattaisiin ja ns. viitsittäisiin tehdä oikein. Annan esimerkin, jota olen itse pohtinut mielessäni, jolla homman saisi ns. hakkerinkestäväksi tehtyä:
  • Käyttäjä syöttäisi pankin tms. nettisivulla oman henkilökohtaisen tunnusluvun/salasanansa, joka olisi hänen käyttäjätunnuksensa.
  • Käyttäjä liittäisi USB-väylään kiinni tikun, joka toimisi kuten erittäin turvallinen Yubikey Edge, joka tukee U2F:ää. Käyttäjä painaisi ko. härvelin nappia, jolloin se "sylkisi ulos" yhden tunnistautumistietopaketin.
  • Käyttäjä olisi kirjattu sisälle verkkopankkiin tms. ja voisi tehdä mitä tekee. Lopuksi hänen tulisi varmistaa tehdyt maksut tekstiviestillä.
  • Käyttäjän puhelimeen tulisi tekstiviesti, jossa olisi esimerkiksi Googlen puhelintunnistautumisen kaltainen, kertakäyttöinen 6-numeroinen turvakoodi, jonka käyttäjä syöttäisi nettipalveluunsa - tai vaihtoehtoisesti vastaisi siihen tekstiviestillä yksinkertaisesti K tai E jos hyväksyy tai hylkää tehdyt toimeksiannot.
Homma olisikin ns. pihvi. Käyttäjätunnus estää järjestelmän palvelunestohyökkäyksiä ja estää ko. "tikun" väärinkäyttöä sen löytäjän toimesta jos tikku joutuu vääriin käsiin (tikun varastaja ei oletuksena voi tietää sen omistajan käyttäjätunnusta, koska ko. käyttäjätunnus on vain sen omistajan pääkopassa muistissa). Tikku toimii vain siinä olevaa nappia fyysisesti painamalla, joten tietokoneen saastuttaminen haittaohjelmalla ei auta mitään, tikkua ei voi "kaapata". Tikun lähettämä tunnistetietopaketti on kertakäyttöinen, juoksevalla numeroinnilla varustettu ja salattu, eikä sitä voi avata, eikä väärinkäyttää mitenkään jälkikäteenkään jos sen onnistuu "kaappaamaan matkalla". Tikku lisäksi lähettää sen vain ja ainoastaan ko. sivulle ja salattuna vain ja ainoastaan ko. sivun kanssa etukäteen vaihdetuilla salausavaimilla, joten hakkeri ei saa edes selville, mitä tietoa siellä liikkuu, ei sitten millään. Lopuksi vielä matkapuhelimeen tuleva tekstiviesti toimisi "toisena, erillisenä varmistuskanavana" tehdyille asioille. Riski, että hakkeri saisi kaapattua kaikki eri osatekijät kerralla käyttöönsä on mitättömän pieni, käytännössä ko. temppu on mahdotonta toteuttaa oikeastaan pahimmissakaan hyökkäysskenaarioissa, joissa koko tietokonekin olisi hakkerin täydessä hallinnassa. Kyllä, vaikka käyttäjä olisi idiootti ja tekisi asioita väärinkin tai häntä yritettäisiin huijata.

Toki, tuollainen Yubikeyn kaltainen tikku maksaa muutaman kympin ja niitä pitäisi varmaankin lähettää kaksi kappaletta siltä varalta, että käyttäjä kuitenkin rikkoo tai hukkaa toisen. Toki, tekstiviestien lähettäminen maksaa teoriassa ehkä sentin kappale tms. massamaisesti käytettyinä. Mutta, kun nämä investoinnit olisi tehty, systeemi voisi toimia maailmanloppuun asti ilman mitään uusia "tunnuskortteja" tai pelkoa tietoturvan pettämisestä. Se olisi siinä sitten. Lopullinen ratkaisu tunnistautumisongelmiin. Hakkeriturvallinen.

Mutta, niin kauan kun ainakaan virallisesti mitään suuria tietomurtoja verkkopankkeihin jne. ei ole Suomessa tehty, ko. systemiä ei tulla ottamaan käyttöön. "Siihen ei ole tarvetta". "Vähempi riittää". "Aivan täysi paskakin riittää" ilmeisesti. Valitettavasti. Kun tietomurtoja sitten tulee sattumaan nykysysteemissä ja tulevissa paskasysteemeissä, ainakaan minä en haluaisi olla ensimmäisten joukoissa, joiden rahat katoavat tililtä jne.

3. elokuuta 2015

Suurimpien suomalaisten verkkopankkien salaussysteemeissä vakavia tietoturvaongelmia


Lyhyesti sanottuna, vain S-Pankin verkkopankki oli miltei täydellisesti suojattu erilaisia salausjärjestelmien haavoittuvuuksia ja salauksen kiertämisiä, alentamisia ja muita temppuja vastaan. Nordean verkkopankissa oli joitain haavoittuvuuksia, jotka vaarantavat sen käytön. Osuuspankin verkkopankissa oli vielä vähän enemmän haavoittuvuuksia, jotka vaarantavat sen käytön. Pohjimmaisena tuli Danske Bankin verkkopankki, jonka salauspuolen tietoturvan toteutus oli lähinnä vitsi. Osa näistä verkkopankeista ei suostu tämän vuoksi esimerkiksi toimimaan minun opastamallani Chromen virityksellä, joka säätää Chromen turvallisemmaksi kuin mitä se oletuksena on, kun Chrome kieltäytyy käyttämästä epäturvallisia salauksia.

Jokainen voi klikata auki nuo linkit ja varmistaa itse näitä juttuja testaavan nettisivun kautta, miten asian laita on. Klikkaamalla ko sivulla oleviä lisätietojuttuja kuka tahansa saa lisää yksityiskohtaista tietoa siitä, mistä ongelmista ja haavoittuvuuksista minkäkin osan kohdalta on kysymys. Ongelmat ovat todellisia, vakavia ja ne olisivat helposti korjattavissa.

En lähde yksityiskohtaisemmin selvittämään noita ongelmia, niistä voisi kirjoittaa vaikka paksun kirjan, aikaisemmin sivusin aihepiiriä mm. tässä kirjoituksessani, sekä myös jossain määrin täällä ja täällä. Olennaista on ymmärtää, että salausjärjestelmissä, joita netissä käytetään (SSL/TLS, myös toki SSH ja erilaiset VPN-systeemit) on useita haavoittuvuuksia, joita on uusimmissa versioissa paikkailtu ja joista osaan ei ole suoranaista paikkausta olemassa, vaan ne vaatisivat erilaisia säätöjä palvelimilta. Tiivistelmän erilaisista näistä hyökkäyksistä ja riskeistä voitte lukea englanniksi esimerkiksi täältä. Lyhyesti sanottuna, ainoat tällä hetkellä turvalliset systeemit blokkaavat palvelimen virityksillä tiettyjä juttuja pois, käyttävät TLS 1.2 protokollaa, omaavat "perfect forward secrecyn", käyttävät elliptisten kurvien kryptoa PKI-avainpariinsa (tai ainakin sessioavaimen välitykseen), sekä session salauksessa AES-256-CBC, AES-128-GCM, Camelia tai CHACHA20 salaimia, sekä tiivistefunktiona / MAC:inä joko Poly1305:tä, AEAD:ta, SHA-2 tai SHA-3. Ja, mikä KAIKKEIN OLENNAISINTA YMMÄRTÄÄ: Käyttävät vain ja ainoastaan noita, eivätkä suostu käyttämään mitään muuta kuin noita missään tilanteessa. Mikäli palvelin (tai selainkin) suostuu käyttämään jotain muuta salausta, on aikalailla yhdentekevää, mitä palvelin "voisi tarjota", kun sitä ei de facto välttämättä kuitenkaan käytetä, vaan sen sijaan tulee käytetyksi jokin epäturvallinen yhdistelmä.

Otin aikaisemmin yhteyttä Nordeaan heidän verkkopankkinsa tietoturvaongelmista ja sieltä soitettiinkin minulle tänään, vakuuttaen, että esittämäni haavoittuvuudet eivät koske Solon puolta, vaan pelkästään pankin sivuja. Sikäli toki surkuhupaisaa, että näin olisi, mutta totuus on valitettavasti toinen. Jälleen kerran pankit sumuttavat kuluttajia ja suoraan sanottuna valehtelevat verkkopankkiensa tietoturvan tasosta. Ikinä yksikään pankki ei ole suostunut Suomessa myöntämään, että heidän verkkopankkinsa toteutuksessa olisi joskus ollut jotain tietoturvaongelmia. Tämä on hämmästyttävää.

Hämmästyttävämpää on kuitenkin se, että moisia, perustavaa laatua olevia ongelmia ei viitsitä korjata. Kuka tahansa palvelimen ylläpitäjä osaa (tai pitäisi osata) korjata moiset ongelmat kuntoon pienillä säätötoimenpiteillä ja päivityksillä, jotka eivät millään muotoa muuta mitään itse kuluttajan näkökulmasta, eivätkä koske ko. verkkosivujen sisältöön millään muotoa. Miksi näin ei tehdä? Onko kyse välinpitämättömyydestä, vaiko osaamattomuudesta tietoturvapuolella?

Voisin ymmärtää, että esimerkiksi "Nordean varayhteytenä" käytetty yhteys jätetään jostain syystä tukemaan "vanhoja protokollia ja salauksia", jotta varmasti se Pihtiputaan mummokin pääsee sitä käyttämään jossain bugitilanteessa. Mutta se, että pääasiallisena yhteynä käytetyt verkkopankkiosoitteet pidetään haavoittuneiden salausmenetelmien ja protokollien takana, on täysin perusteetonta ja vaarallista. On käsittämätöntä, että esimerkiksi Finanssivalvonta tai Viestintävirasto ei ole asiaan puuttunut millään muotoa. Ehkä nekään eivät tiedä eivätkä välitä näistä asioista yhtään mitään? No, pistin molemmille menemään sähköpostin, vaikka tuskin tulee mitään vastausta eikä muutosta näihin asioihin.