29. marraskuuta 2009

Tietoturvaongelma Opera-selaimessa

Opera-selain on erinomainen selain netissä surffailuun. Kevyt, nopea ja turvallinenkin, sekä saatavissa myös kännyköihin. Kirjoitinkin uudesta Operasta blogissani tovi sitten. Opera on erinomainen vaihtoehto Internet Explorerille ja Mozilla Firefoxille, eikä vähiten siksi, että saman selaimen saa myös siis älypuhelimeenkin asennettua.

Olen kauhukseni kuitenkin löytänyt uusimmista versioista ilmiselvän tietoturvaongelman: Opera Unite ja sen salaa auki pitämät portit. En ole tietoinen, että asiasta olisi vielä netissä ollut sen enempää keskustelua ja tietoa (dslreports.com:ssa kirjoittamani viestin lisäksi), joten julkaisen nyt asiasta blogissani.

Opera lisää itsensä automaattisesti ja käyttäjältä salaa Windowsin ICF-palomuurin "poikkeukset" luetteloon, saaden täten oikeudet ottaa vastaan yhteyksiä internetistä koneellesi, mikäli asennat ja ajat Operan käyttäen järjestelmänvalvojan oikeuksin varustettua tiliä (kuten se yleensä pitää asentaa). Tämä siis siitä huolimatta, että käyttäjä olisi valinnut palomuurin varoittamaan, jos jokin ohjelma yrittää avata yhteyksiä. Opera lisää itsensä aina automaattisesti kyseiseen luetteloon ja antaa itselleen oikeudet ottaa yhteyksiä vastaan, vaikka olisit kieltänyt ko. yhteydet palomuurista tai vaikka poistanut Operan koko listalta. Tämä on varsin törkeää, jos minulta kysytään! 

Mutta, eipä siinä vielä kaikki. Lisäksi Opera käyttää UPnP:tä avataakseen tarvittavat portit ulkoisesta palomuurista tai reitittimestä. Näin ollen turvallisuus vaarantuu, vaikka sinulla olisi ulkoinen palomuuri tai reititin, joka NAT tai palomuurin suomaan turvaan luotat (mikä on tietysti jo sinällään virhe jos UPnP tuki on siinä pääällä, oletussalasanoja ei ole vaihdettu ja yhteydet reitittimeen/palomuuriin itseensä netistä eivät ole kiellettyjä). Tämä se vasta törkeätä onkin!

Tästä asiasta ei kerrota selkeästi Operan käyttäjille ja näitä ominaisuuksia ei voi kytkeä pois päältä Operan normaalien asetuksien kautta lainkaan. Työkaluvalikon kautta Operan Unite toiminnon kytkeminen pois päältä ei vaikuta näet tähän lainkaan. Tavallinen käyttäjä on luultavasti täysin tietämätön, että Opera avaa portteja ja ottaa vastaan yhteyksiä internetistä hänen koneelleen, jopa palomuurien läpi.

Jotta nämä ominaisuudet saa pois päältä, pitää Operan osoiteriville kirjoittaa opera:config (ja painaa enter), sekä valita "User preferences" valikko ja sieltä poistaa valinta "Enable Unite" kohdasta, sekä painaa alareunasta vielä "Save". Tämän lisäksi kannattaa vielä varmuuden vuoksi valita "Web Server" valikko ja sieltä poistaa valinnat "Service Discovery Enabled" ja "UPnP Service Discovery Enabled" kohdista sekä lopulta painaa alareunasta vielä "Save", jotta asetus tallentuu oikeasti Operaan. Sitten selain tulee uudelleenkäynnistää, jotta Unite katoaa käytöstä ja portit sulkeutuvat.


Suosittelen, että kaikki lukijani tekevät tuon muutoksen oman Opera-selaimensa asetuksiinsa välittömästi. Kannattaa myös ehkä pitää asiasta meteliä ja antaa palautetta Operan kehittäjille, jotta eivät moisia aukkoja jätä kellumaan käyttäjän tietämättömäksi oletuksena.

8 kommenttia:

Anonyymi kirjoitti...

Todellisuudessa tietoturvaongelma on siis Windowsissa, joka antaa sovellusten tehdä tuollaisia asioita. Mac OS X:ssä moinen ei onnistuisi.

Markus Jansson kirjoitti...

Puhutko nyt siitä samasta Mac OS:stä, jossa ei palomuuri kykene vieläkään normaalitiloissaan blokkaamaan UDP-liikennettä? Siitä samasta Mac OS:tä, jossa sovellusten poistaminen ja tiedostojen tutkiminen kiintolevyllä on miltei mahdottomuus? Siitä samasta Mac OS:tä, jossa hiemankin pintaa syvemmällä olevien asetuksien ja tietoturvaominaisuuksien säätäminen on mahdotonta ilman syvällistä ymmärtämistä komentorivipaskasta?

Ahaa. Just. Heh.

Itse asiassa Windows Vistan ja Windows 7 UAC pitäisi kyllä varoittaa, jos ja kun palomuuriin tehdään muutoksia, mutta en ole asiaa päässyt vielä Operan osalta testaamaan, koska itselläni on XP. Niin ikään, jos käyttäjä suorittaa Operaa käyttäjätason tilillä, ei tietenkään moista tapahdu ja hyväkin niin, että admin tasolla voi moisia juttuja tehdä ja tapahtua, jotta järjestelmää voi säätää ja käyttää järkevästi.

Anonyymi kirjoitti...

"Puhutko nyt siitä samasta Mac OS:stä, jossa ei palomuuri kykene vieläkään normaalitiloissaan blokkaamaan UDP-liikennettä?"

No, onko niin kauhean vaikea rastittaa palomuurin asetuksista, että se blokkaa UDP:n? Tuskinpa Windowsikaan oletuksena blokkaa UDP:tä. Jos blokkaisi niin peruskäyttäjä olisi ihan kusessa, kun ohjelmat ei toimi.


"Siitä samasta Mac OS:tä, jossa sovellusten poistaminen ja tiedostojen tutkiminen kiintolevyllä on miltei mahdottomuus?"

Miten niin sovellusten poistaminen mahdottomuus? Raahaat vain ohjelman roskikseen, poistat Kirjasto-kansion Preferences-kansiosta ohjelmat asetustiedoston ja Application Support kansiossa olevat ko. ohjelman tiedostot. Hyvin harvat ohjelmat tallentavat tiedostoja muualle ja yleensä ne, jotka tallentavat, tulevat poisto-ohjelman kera. Toisaalta taas Windowsissakaan ei saa poistettua ohjelmien kaikkia osia.

Mac OS X:ssä on sekin hyvä puoli, että voit asentaa sen niin täyteen ohjelmia kuin sielu sietää, eikä se siitä hidastu juurikaan - toisin kuin Wintoosa.

Mitä tarkoitat tiedostojen tutkimisella? En ymmärrä mitä vaikeata siinä on? Mielestäni se on paljon helpompaa kuin Windowsissa. Vai millaista tutkimista tarkoitat?



"Siitä samasta Mac OS:tä, jossa hiemankin pintaa syvemmällä olevien asetuksien ja tietoturvaominaisuuksien säätäminen on mahdotonta ilman syvällistä ymmärtämistä komentorivipaskasta?"

Mac OS X:ssä ei juurikaan tarvitse säätää kaikenlaisia ominaisuuksia, kun se toimii muutenkin loistavasti.

Tietoturvaominaisuuksista puhuttaessa olet kyllä oikeassa. Windowsissa on monipuolisempi käyttöliittymä palomuurin säätöön.

Mitä yleensä tulee säätömahdollisuuksien vertailuun, niin näkemyksesi on kovin kapeakatseinen. Uskon, että juuri sinun taidoilla varustettu henkilö pitää Windowsista, mutta entäpä, jos kyseessä on amatööri tai hieman paremmin asioista perillä oleva henkilö? Windowsin mahdollisuudet ovat naurettavat rajalliset, kun huomoidaan kuinka pienellä vaivalla oppii komentorivin ja sen tuomat lähes rajattomat säätömahdollisuudet.

Toki Mac OS X:lle on kolmansien osapuolien valmistamia ohjelmia eksoottisempien asetusten tekemiseen, niin ei välttämättä tarvi komentoriviä opetella. Haittapuolena toki on, että ne yleensä maksavat hieman.

Mac OS X:n ipfw on kuitenkin varsin helppokäyttöinen komentoriviltäkin ja niin tehokas palomuuri, että Windowsin palomuuri on lähinnä säälittävä pikkulasten lelu. Yksikään tietoturvasta perillä oleva ei kuitenkaan tyydy ohjelmistopohjaiseen palomuuriin olipa se kuinka hyvä tahansa.



"ja hyväkin niin, että admin tasolla voi moisia juttuja tehdä ja tapahtua, jotta järjestelmää voi säätää ja käyttää järkevästi."

Kysypä keltä tahansa tietoturva-asiantuntijalta, niin haukkuvat Windowsin käyttöoikeuksiin perustuvan mallin naurettavaksi. Järjestelmänvalvojalla ei pidä olla oikeutta muuttaa järjestelmän toiminnan kannalta oleellisia asetuksia ihan noin vain. Sitä varten on "root"-käyttäjä - tai ainakin pakollinen salasanakysely järjestelmänvalvojalle jokaista järjestelmätason muutosta varten.

UAC on surkea, koska jos kerran annat ohjelmalle oikeuden tehdä muutoksia, niin se voi tehdä vaikka kuinka muutosta ja mihin tahansa.

Markus Jansson kirjoitti...

> No, onko niin kauhean vaikea
> rastittaa palomuurin
> asetuksista, että se blokkaa
> UDP:n?

Palomuurin pitäisi tietysti oletuksena blokata kaikki sisäänpäin. Typerää, että käyttäjän pitää erikseen vielä säädellä palomuuria kohdalleen.

PS. Muistaisin kyllä, että OS X:ssä palomuuria ei saa mitenkään blokkaamaan oliko UDP:tä tai IGMP:tä. Saattaa toki olla, että tämä on korjattu uusimmissa mäkeissä, saattaa olla ettei ole.


> Tuskinpa Windowsikaan oletuksena
> blokkaa UDP:tä. Jos blokkaisi
> niin peruskäyttäjä olisi ihan
> kusessa, kun ohjelmat ei toimi.

Tietysti blokkaa. Ja IGMP:n. Eivät ole.


> Miten niin sovellusten
> poistaminen mahdottomuus?
> Raahaat vain ohjelman
> roskikseen,
> poistat Kirjasto-kansion
> Preferences-kansiosta ohjelmat
> asetustiedoston ja Application
> Support kansiossa olevat ko.
> ohjelman tiedostot.

Ääliömäisen monimutkaista. Windowsissa riittää, kun menee "Lisää tai sovellus" ja valitsee mitä haluaa poistaa ja se poistuu.


> Toisaalta taas Windowsissakaan
> ei saa poistettua ohjelmien
> kaikkia osia.

Ohjelmasta riippuen ne voivat jättää käyttäjäasetukset koneelle, jotta myöhemmin ohjelman uudelleenasentaminen tai päivitys on helpompaa, kun käyttäjän ei tarvitse vääntää asetuksia uudelleen. Yleensä ohjelmat kysyvät, poistetaanko myös käyttäjäasetukset.


> Mac OS X:ssä on sekin hyvä
> puoli, että voit asentaa sen
> niin täyteen ohjelmia kuin sielu
> sietää, eikä se siitä hidastu
> juurikaan - toisin kuin Wintoosa.

Hevonpaskaa.
Windows ei hidastu ohjelmien asentamisesta. Ohjelmien käynnistämisestä tietysti hidastuu (kuten Mac), mutta kuka niin hölmö on, että laittaa kaikki asentamansa ohjelmat käynnistymään automaattisesti?


> Mitä tarkoitat tiedostojen
> tutkimisella? En ymmärrä mitä
> vaikeata siinä on? Mielestäni se
> on paljon helpompaa kuin
> Windowsissa. Vai millaista
> tutkimista tarkoitat?

Mac OS:ssä et pääse kaikkiin kansioihin ja kaikkiin tiedostoihin käsiksi lainkaan. Windowsissa pääset.


> Mac OS X:ssä ei juurikaan
> tarvitse säätää kaikenlaisia
> ominaisuuksia, kun se toimii
> muutenkin loistavasti.

*nauraa*
No, lueppas
http://markusjansson.blogspot.com/2007/07/mac-hyv-vaihtoehdo-windowsille.html


> Uskon, että juuri sinun
> taidoilla varustettu henkilö
> pitää Windowsista, mutta entäpä,
> jos kyseessä on amatööri tai
> hieman paremmin asioista perillä
> oleva henkilö?

Riippuu lähinnä siitä, paljonko haluaa leikkiä koneellaan. Jos haluaa leikkiä, niin Linux tai Mac on hyvä, koska molemmissa pitää kirjoitella rivikaupalla vaikeaselkoista komentorivikakkaa saadakseen perusasioitakin tehtyä, jotka Windowsissa luonnistuvat helposti klikkauksilla ja valikoista. Macillä ei voi myöskään oikeastaan pelata juuri mitään, koska sille ei ole pelejä.

Miten muuten päivität Macin raudan?
- Heität kaatopaikalle ja ostat uuden. Heh.


> Kysypä keltä tahansa tietoturva-
> asiantuntijalta, niin haukkuvat
> Windowsin käyttöoikeuksiin
> perustuvan mallin naurettavaksi.

Vai niin, hassua, että silti käyttävät Windowsia.


> Järjestelmänvalvojalla ei pidä
> olla oikeutta muuttaa
> järjestelmän toiminnan kannalta
> oleellisia asetuksia ihan noin
> vain. Sitä varten on "root"-
> käyttäjä - tai ainakin
> pakollinen salasanakysely
> järjestelmänvalvojalle jokaista
> järjestelmätason muutosta varten.

Et siis tiedä mitään Windows Vistan ja Windows 7 UAC-toiminnosta? Et siis tiedä, että Windowsejä ei pidä käyttää admin tilillä normaalisti lainkaan? Ahaa.


> UAC on surkea, koska jos kerran
> annat ohjelmalle oikeuden tehdä
> muutoksia, niin se voi tehdä
> vaikka kuinka muutosta ja mihin
> tahansa.

Ei voi. UAC kertoo nimenomaan, mikä ja minne on tekemässä muutoksia.

Anonyymi kirjoitti...

En nyt jaksa vastata kaikkiin kohtiin, kun tästä tulisi vain juupas eipäs väittely, joten kommentoin pääsääntöisesti vain niitä joihin löytyy Googlella vastaus.



"Muistaisin kyllä, että OS X:ssä palomuuria ei saa mitenkään blokkaamaan oliko UDP:tä tai IGMP:tä. Saattaa toki olla, että tämä on korjattu uusimmissa mäkeissä, saattaa olla ettei ole."

Molempien blokkaus onnistui jo mac os x 10.4:sessa


"Ohjelmasta riippuen ne voivat jättää käyttäjäasetukset koneelle, jotta myöhemmin ohjelman uudelleenasentaminen tai päivitys on helpompaa, kun käyttäjän ei tarvitse vääntää asetuksia uudelleen. Yleensä ohjelmat kysyvät, poistetaanko myös käyttäjäasetukset."

Yksikään Windows-ohjelman asennuksen poisto ei poista kaikkia rekisterimerkintöjä tms. Ne jättävät paljon muutakin kuin käyttäjäasetuksia. Etsi kuule vaan sieltä rekisteristä ohjelman nimellä, niin kyllä löytyy. Paljon myös jää sellaista mitä ei löydy ohjelman nimellä, mutta voit vertailla rekisteridataa ennen ja jälkeen asentamisen/poistamisen.



"Windows ei hidastu ohjelmien asentamisesta."

Googleta käyttäjäkokemuksia. TOttakai hidastuu, koska Windows paisuttaa rekisteriä kuin pullataikinaa. Ihan yleisesti tiedossa, että tietokanta (varsinkib huonosti suunniteltu) hidastuu ajan, kun sinne tungetaan dataa ja välistä poistetaan jotain.


"Mac OS:ssä et pääse kaikkiin kansioihin ja kaikkiin tiedostoihin käsiksi lainkaan. Windowsissa pääset.

Kyllä Macissä pääsee kaikkiin tiedostoihin käsiksi. Toki asetus täytyy muuttaa komentoriviltä tai jollakin lukuisista ilmaisista lisäohjelmista. Windowsissa joidenkin tiedostojen avaaminen on hyvin vaikeaa, kun järjestelmä on käynnissä.



"> Mac OS X:ssä ei juurikaan
> tarvitse säätää kaikenlaisia
> ominaisuuksia, kun se toimii
> muutenkin loistavasti.

*nauraa*
No, lueppas
http://markusjansson.blogspot.com/2007/07/mac-hyv-vaihtoehdo-windowsille.html"


Eipä ollut tuolla mainittuna mitään erityisiä säätötoimenpiteitä. Linkititköhän nyt väärään postaukseen?


"Jos haluaa leikkiä, niin Linux tai Mac on hyvä, koska molemmissa pitää kirjoitella rivikaupalla vaikeaselkoista komentorivikakkaa saadakseen perusasioitakin tehtyä, jotka Windowsissa luonnistuvat helposti klikkauksilla ja valikoista."

Kerropa nyt mikä on sitten sellainen perusasia, jonka eteen tarvitaan komentoriviä? Varsin monet käyttäjät ainakin pärjäävät Macin kanssa paremmin kuin Windowsin, vaikka eivät komentorivistä tiedä mitään.


"
> Kysypä keltä tahansa tietoturva-
> asiantuntijalta, niin haukkuvat
> Windowsin käyttöoikeuksiin
> perustuvan mallin naurettavaksi.

Vai niin, hassua, että silti käyttävät Windowsia."


Voivat käyttää Windowsia, mutta se ei ole mikään todiste siitä, että pitäisivät sitä tietoturvaltaan hyvänä. Lähes kaikki vähänkään kriittisemmät järjestelmät pyörii jonkin Unix-tyyppisen käyttöjärjestelmän päällä.

Nähtävästi et tiedä kauheasti tietoturvasta, kun et ymmärrä miten tärkeää on, ettei järjestelmänvalvojalla saa olla oikeuksia tehdä lähes mitä vaan.

Markus Jansson kirjoitti...

> En nyt jaksa vastata kaikkiin
> kohtiin, kun tästä tulisi vain
> juupas eipäs väittely,

Torjuntareaktio.


> Molempien blokkaus onnistui jo
> mac os x 10.4:sessa

http://markusjansson.blogspot.com/2007/10/mac-os-x-leopardin-palomuuri-vuotaa.html

Varmaan kaikenlaista voi tehdä ja päivittää, mutta Windowsissa ei tarvitse, kun ne on jo valmiiksi blokattuina.


> Yksikään Windows-ohjelman
> asennuksen poisto ei poista
> kaikkia rekisterimerkintöjä tms.

Paskaa.


> Googleta käyttäjäkokemuksia.

Anekdootteja.
Todellisuudessa suurinosa koneen hitaudesta johtuu siitä, että juntit lataavat koneelle tuhatmäärin kaikenlaisia paskaohjelmia käynnistymään taustalle. Tämä ei ole Windowsin vika vaan typerien käyttäjien, jotka asentelevat täysin tarpeettomia ohjelmia ja jättävät ne vieläpä käynnistymään automaattisesti taustalle.

Varmasti Mac OS X:nkin kanssa tuo olisi ongelmana - jos sille olisi edes saatavilla samanlaista määrää käyttäjiä ja ohjelmia ja pelejä kuin mitä Windowsille on. Mutta kun ei ole niin ei ole.


> TOttakai hidastuu, koska Windows
> paisuttaa rekisteriä kuin
> pullataikinaa.

Rekisteri vie tilaa muutamia megoja maksimissaan. Jos tuon lataaminen hidastuttaa tietokonettasi havaittavasti, suosittelen siirtymään korpuista IDE tai mieluiten SATA-väyläisiin kiintolevyihin, joiden lukunopeudet ovat kymmeniä tai jopa satoja megoja sekunnissa.


> Kyllä Macissä pääsee kaikkiin
> tiedostoihin käsiksi. Toki
> asetus täytyy muuttaa
> komentoriviltä

Kiitos, juuri tätä kaipasinkin. Komentorivipaskaa pitää osata kirjoitella tai lisäohjelmia ladata, jos haluaa edes nähdä, mitä ihmettä Macin kiintolevyllä on. Naurettavaa.


> Eipä ollut tuolla mainittuna
> mitään erityisiä
> säätötoimenpiteitä.
> Linkititköhän nyt väärään
> postaukseen?

Et siis osaa lukea, mitä kirjoitin käyttäjätileistä, FileVaultista, käynnistyssalasanasta, näytönsäästäjän salasanasta, virtuaalimuistin suojauksen aktivoimisesta, jne. jne.


> Kerropa nyt mikä on sitten
> sellainen perusasia, jonka eteen
> tarvitaan komentoriviä?

Juuri itsekin kerroit yhden olennaisen. Palomuurin säädöistä puhumattakaan jne.


> Varsin monet käyttäjät ainakin
> pärjäävät Macin kanssa paremmin
> kuin Windowsin, vaikka eivät
> komentorivistä tiedä mitään.

Monet pärjäävät Windowsinkin kanssa, vaikkeivat koske koskaan asetuksiin. Ei se silti tarkoita, että se olisi järkevää ja turvallista. Asetuksia on kuitenkin helpompi säätää kuvakkeista ja valikoista kuin opettelemalla ja kirjoittelemalla rivikaupalla komentorivipaskaa.


> Lähes kaikki vähänkään
> kriittisemmät järjestelmät
> pyörii jonkin Unix-tyyppisen
> käyttöjärjestelmän päällä.

Bullshit.


> Nähtävästi et tiedä kauheasti
> tietoturvasta

Haista Sinä vittu. Minä olen viimeiset 20v elämästäni ollut tietokoneiden kanssa tekemisissä ja tietoturvan parissa aktiivisesti viimeiset 10v. Kuka tahansa voi lukea ihan itse, mitä ja milloin olen kirjoittanut ja kertonut ja tehdä sen perusteella hieman sinua paremmat johtopäätökset asiasta.


>, kun et ymmärrä miten tärkeää
> on, ettei järjestelmänvalvojalla
> saa olla oikeuksia tehdä lähes
> mitä vaan.

Et tajua itse tietokoneista mitään, kun et ymmärrä, että nimenomaan järjestelmänvalvojalla pitää olla oikeudet tehdä koneessa mitä vaan, jotta konetta voidaan ylläpitää ja säätää tarpeen mukaiseksi. Järjestelmä, jossa pääkäyttäjäkään ei pysty tekemään sillä mitä haluaa, on samanlainen, kuin auto, joka kieltäytyy liikkumasta eteenpäin, koska asfaltti loppuu (ja hiekkatie alkaa). Naurettavaa.

ilaiho kirjoitti...

"Asetuksia on kuitenkin helpompi säätää kuvakkeista ja valikoista kuin opettelemalla ja kirjoittelemalla rivikaupalla komentorivipaskaa"

Eivät asiat aina ole noin. Unixeissa ei asetuksia muuteta yleensä kirjoittamalla komentoja vaan muokkaamalla asetustiedostoja. Jos asetustiedoston syntaksi on selkeä (mitä se valitettavan harvoin nykyisissä "vapaissa" järjestelmissä on), sitä on helppo muokata.

Vastaavasti on olemassa toivottoman sekavia graafisia käyttöliittymiä, kuten vaikka Microsoft Officen käyttöliittymä.

Anonyymi kirjoitti...

miksi ei:)