22. elokuuta 2019

Ei haittaa, vaikka et tiedä, mitä ja kenelle olet tunnistautumassa?


Muistanette kirjoitukseni Nordean tunnuslukusovelluksen (ja muiden vastaavien) tietoturvaongelmasta keväältä? Asia ei oikein edennyt julkisuuden, eikä Nordean kautta, joten päätin ottaa yhteyttä suoraan CertFi tietoturvaongelmailmoituksen kautta. Eipä etene sielläkään asia, sain nimittäin tämmöisen vastauksen:
Kiitos yhteydenotosta. Testien perusteella Nordean sovellus tosiaan näyttää kirjautumisen kohteen, mutta ei erillistä yksilöllistä kirjautumistunnistetta per kirjautumisyritys. Tämä ei sinänsä kuitenkaan mahdollista tunkeutumista suoraan verkkopankkiin (tai esiintymään käyttäjän nimissä tunnistautumisen kautta) ilman käyttäjän aktiivisia toimia ja/tai epätarkkuutta kirjautumisten hallinnassa. Vastaavalla tavalla toteutettuja monivaiheisen kirjautumisen todennuksia liikkuu paljon, joten sinänsä toimintamalli ei ole poikkeuksellinen tai turvaton itsessään. Tämän johdosta emme näe tässä tarvetta haavoittuvuuskoordinoinnin käynnistämiseen osaltamme.

Mielenkiintoinen näkemys, että tuo ei olisi ongelma. Nimittäin, kun mobiilivarmennetta aikoinaan suunniteltiin, tuo nimenomainen asia katsottiin tietoturvaongelmaksi ja se korjattiin siten, että mobiilivarmenteen käyttöön lisättiin yksilöivä tunnus, jolla käyttäjä voi varmistaa, että on hyväksymässä juurikin sen asian, mitä haluaa hyväksyä, eikä jotain ihan muuta.

Kuitenkin, kun sama tietoturvaongelma vaivaa Nordean (ja muiden pankkien) kirjautumissovelluksia täsmälleen samassa "vahvassa sähköisessä tunnistautumisessa", niin nyt se ei sitten olekaan mikään tietoturvaongelma, eikä sitä tarvitse korjata.

Aha.

No miksi se sitten oli sitä mobiilivarmenteen osalta ja se katsottiin tarpeelliseksi korjata, ennen kuin mobiilivarmenne lanseerattiin laajaan käyttöön?

Niih.

Tällä tasolla mennään taas kerran Suomessa. Tietoturvasta ei välitetä vittuakaan, eikä ketään kiinnosta vittuakaan. Sitten ihmetellään taas, kun jotain sattuu, että mitenkäs näin pääsikään tapahtumaan.



PS. Monet ns. phishing hyökkäykset verkkopankkeja vastaan (ts. käyttäjien kusetukset esim. valepoliisisoitot jne.) tyssäisivät juurikin tähän varmistukseen, koska kusetettu käyttäjä voisi tajuta, että hänen hyväksyttäväkseen tulee hänen sovellukseensa jonkun muun tekemä kirjautuminen! Sovelluksessa voisi vielä lukea isoilla punaisilla kirjaimilla "Jos et ole ITSE suorittanut tätä kirjautumista omasta aloitteestasi, hylkää kirjautuminen!", jotta tyhmempikin ymmärtäisi, että kusetushyökkäys on menossa. Mutta nähtävästi tämä ei kiinnosta ketään. Ei siinä sitten mitään.

12. elokuuta 2019

Kuntalaisaloite tappotuomion saamiseksi paskomahanhille Raumalla

Alkoi sen verran ottaa päähän näiden paskomahanhien toiminta, että tein asiaan liittyen kuntalaisaloitteen. Raumalla asuva tai muuta intressiä Raumalla omaava voi allekirjoittaa sen, jonka jälkeen se lähetetään (2v kuluessa) kuntaan käsiteltäväksi. Mikäli näiden haittamaahanmuuttajien paskomahanhien puistojen ja rantojen tuhoaminen ja häiriköinti ärsyttää, kehoitan allekirjoittamaan. Muutenhan hyväksyt sen, että sinä ja lapsesi kävelette, makaatte ja uitte hanhenpaskassa tulevatkin vuodet.

Alla vielä koko aloitteen sisältö:

Kanadanhanhet ja valkoposkihanhet ovat vallanneet Rauman uimarannat, puistot, leikkipaikat ja urheilukentät. Hanhien ulosteet pilaavat rannat ja muut alueet käyttökelvottomiksi ja hanhien läsnäolo aiheuttaa vaaratilanteita etenkin lapsille (etenkin kun hanhilla on poikasia). Hanhia, joita on jokainen ranta ja puisto täynnä, ei voi pitää mitenkään uhanalaisina tai suojelua vaativina sen enempää, kuin rottia tai ampiaispesiäkään. 

Hanhet tulisi häätää ja/tai lopettaa kokonaan kaikilta Rauman uimarannoilta, puistoista, leikkipaikoilta ja urheilukentiltä. Hanhien häätöä/tappoa varten kaupungin tulisi hakea asiaan kuuluvat poikkeusluvat asianmukaisilta tahoilta ja toteuttaa häätö/kaato joka vuosi, jotta hanhet pysyisivät kokonaan poissa. 

Kaupungin on asetettava kaupunkilaisten viihtyvyys ja julkisten tilojen käytettävyys etusijalle - siitä kaupunkilaiset verovaroja maksavat, että nämä kaupungin alueet ovat HEIDÄN, eivätkä hanhien käytössä! Hanhille riittää tilaa muualla saaristossa ja sisämaassakin, kaupunkilaisille ei sen sijaan ole enempiä uimarantoja, puistoja, urheilukenttiä jne. käytettävissään!