13. maaliskuuta 2016

Yksi uusi keino tietokoneen raudan ja softan suojaukseen?

Joanna Rutkowska on nainen, josta luultavasti juuri kukaan lukijoistani ei ole koskaan kuullut mitään. Annettakoot hänelle anteeksi, että hän on feministi, mutta tuosta vakavasta puutteestaan huolimatta tietoturvasta hän kyllä tietää julmetusti, lukaiskaapa vaikka hänen uudesta ja vanhasta blogista jotakin, tai seuratkaa hänen twitteriä, jos ette minua usko. Joanna on mm. saattanut alkuun Qubes OS:n (maailman kenties ainoan julkisen huipputurvallisen käyttöjärjestelmän), sekä kirjoittanut ainakin pari (1,2) todella mielenkiintoista julkaisua erilaisista "firmware"-pohjaisista takaporteista ja ongelmista niihin liittyen. Lisäksi Joanna kirjoitti ja teki yhden ensimmäisistä "Evil Maid" hyökkäystyökaluista Truecryptin koko kiintolevyn salausta vastaan.

Lyhyesti tiivistettynä Joanna on yksi niistä ihmisistä, jotka ovat opettaneet ainakin minulle, että tietokone ja siinä pyörivä käyttöjärjestelmä voidaan perseraiskata niin monella eri tapaa, että on suorastaan ihme, jos joku jossain pystyy pitämään tietokoneensa turvallisena. Pohjimmiltaan ongelma on siinä, että tietokoneen "rauta" ja "softa" voidaan takaportittaa tai muuten vaarantaa lukemattomin eri tavoin ja siten vaarantaa tietokoneen tietoturva totaalisesti. Niille, joille tämä ei ole vielä ihan yhtä selvää, suosittelen lukemaan tämän aikaisemman kirjoitukseni asiasta, tai tämän, tämän, tämän tai tämän.

Olen tähän ongelmaan hieman jo paneutunut aikaisemmissa kirjoituksissani (1,2,3), mutta nyt aion esittää yhden uuden ratkaisumallin, jonka uskon olevan paitsi edullinen, myös tehokas toteuttaa. Lisäksi se tarjoaa hyvät laajennusmahdollisuudet mm. oman radiotaajuisen viestinnän pitämiseen.

Ratkaisu on Raspberry Pi 3!

Raspberryyn saa esimerkiksi Ubuntu Mate, RISC OS tai vaikkapa Chromium käyttöjärjestelmän, mieluusti toki sen näkisi myös Qubes OS:lla varustettuna. Raspberryssä ei ole varsinaisesti mitään suljettua firmwarea, jonne takaportin voisi helposti upottaa, sen softakin pyörii kaikki microSD-kortilla. Koko hökötys on pieni ja tiivis paketti, jossa kaikki on yhdessä ja helposti nähtävillä, joten rautapohjaisen vakoojasysteemin laittaminen siihen on ihan fyysisestikin miltei mahdotonta. Lisäksi koko hökötyksen voi vaikka ottaa helposti mukaansa jos pelkää sen joutuvan pahantekijän haltuun. Systeemi on riittävän tehokas kaikkeen peruskäyttöön ja niin halpa, että jos epäilee oman koneensa vaarantuneen, sen voi yksinkertaisesti heittää roskiin ja ostaa uuden: Raspberry Pi 3 hinta on noin 40€, mutta esimerkiksi Raspberry Pi Zeron hinta on alle 5€!

Tietenkään Raspberry Pi 3 ei ole mikään patenttiratkaisu: Näppäimistö, jolla kirjoitat salasanasi voidaan takaportittaa, näyttö, johon raspisi kytket, voidaan takaportittaa ja nähdä mitä sillä teet. Mutta se on hyvä alku. Se torppaa olennaisimman hyökkäyspolun aika hyvin umpeen. Periaatteessa näppäimistön keyloggereita vastaan voidaan taistella 2-puolisella tunnistautumisella ja tiedostot voidaan salata ja/tai säilöä palvelimille turvaan. MicroSD-kortti on niin pieni, että sen voi helposti kätkeä ja hätätapauksessa tuhotakin helposti, joten sen vaarantuminen on hyvin epätodennäköistä.

Kysymys kuuluukin nyt:
Kuka osaisi ja ehtisi koodata TAILS:in kaltaisen - secure by default - käyttöjärjestelmän Raspberry Pi 3:lle (tai Zerolle), joka mahdollistaisi todellakin turvallisen tietokoneen nyt ja pitkälle tulevaisuuteen?!? Käyttäjiä piisaisi tietoturvaintoilijoista toisinajattelijoihin ja viranomaisiin!

4 kommenttia:

Risto Jääskeläinen kirjoitti...

Noniin, pahikset käyttäis sitten sitä tietosuojaa, mikä olisi toki hyviksille hyväksikin olla käytettävissä.

Entäpä, jos pääsisit hyvään alkuun vattuilulla ja torstain isällä?

https://learn.adafruit.com/onion-pi/install-tor

Et sinä kuitenkaan pääse varmistamaan kiinalaisvalmisteisista komponenteista, ettei niissä ole takaporttia tai ellet itse koodaa käyttistä, et voi luottaa sen takaportittomuuteen, ellet luota muihin ihmisiin.

Markus Jansson kirjoitti...

Ohoh, tuohan näyttää kiintoisalta!

Anonyymi kirjoitti...

"Kysymys kuuluukin nyt:
Kuka osaisi ja ehtisi koodata TAILS:in kaltaisen...."

Et sinä ainakaan :D Piste ja aamen, vedäppä itsesi kiikkuun pelle.

Anonyymi kirjoitti...

Näppäimistö-keyloggerit taklataan virtuaalinäppäimistöllä. Näin teki mm. Snowden Tails:ia käyttäessään. Ei kovin käyttäjäystävällistä, mutta tietoturvallista.