15. syyskuuta 2016

Viranomaiset eivät osaa tehdä turvallisia nettipalveluita, osa2

Kirjoitin blogissani jo neljä vuotta sitten viranomaisten nettipalveluiden tietoturvaongelmista, jotka vuotta myöhemmin olikin jo onnistuneesti korjattu. Toisaalta pari vuotta sitten jouduin uudestaan palaamaan aihepiiriin ja näköjään nyt on taas uusinnan aika.

Katsoin kokeeksi eräitä yleisesti käytössä olevia viranomaisten nettipalveluita Qualys SSL Labsin työkalun avulla ja jälki on kaameaa katsottavaa. Näitä nettipalveluita käyttää päivittäin suuri joukko suomalaisia ja tietoturva on tällä tasolla. Viranomaiset eivät ole vaivautuneet paikkaamaan alkeellisimpiakaan aukkoja ja päivittämään salauksen tasoa, vaikka tunnettuja ja hyväksikäytettäviä haavoittuvuuksia löytyy näistä kasapäin.

Ei tähän jaksa edes enää kommentoida mitään. Ei ehkä tarvitse edes.






4 kommenttia:

Anonyymi kirjoitti...

Auttaiskohan jos asentais zonealarmin?

Anonyymi kirjoitti...


Oikeassa olet. Katsoin Nordean tilanteen. Se sai arvosanan A.
https://www.ssllabs.com/ssltest/analyze.html?d=www.nordea.fi


acc

Maailmankuva.com kirjoitti...

tunnistus.fi ei ole enää käytössä, joten sen poodle-haavoittuvuudella ei ole ilmeisesti paljon väliä: https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2016/04/ttn201604141622.html

Homman hoitaa nykyään palvelin tunnistus.suomi.fi, jolla näyttää ainakin Qualysin testi menevän läpi A-tasoisesti. Muuten asia olisikin etusivun uutisen arvoinen. Muita mainitsemiasi palvelimia en ole (vielä) kurkannut.

Anonyymi kirjoitti...

Hienoa, että kirjoitat asiasta ja asiaa. Mutta en oikeasti ymmärrä miksi. Ei tämä kansa ole ansainnut tätä kaikkea. Hukkukoot paskaansa, jonka ovat itse tuoneet itselleen.