4. marraskuuta 2019

Mobiilivarmenteen tietoturvaan tulossa vakavia heikennyksiä


Mobiilivarmenne on näppärä ja varsin turvallinen tapa tunnistaa henkilö vahvasti ja sähköisesti. Asiakas tunnistetaan pankkitunnusten avulla ja varmenne aktivoidaan asiakkaan nimissä olevaan puhelinliittymään operaattorin nettisivujen kautta. Identiteettivarkaalle tämmöisen turvallisuusrenkaan ohittaminen on täysin ylivoimainen tehtävä, koska hänen pitäisi saada sekä uhrin pankkitunnukset, että myös operaattorin sivuille tunnukset ja vieläpä puhelimen sim-kortti varastettua uhriltaan. Lisäksi mobiilivarmenteen käyttö puhelimessa on pakollisen pin-koodin takana, joten vaikka hyökkääjä saisi uhrin avonaisen puhelimen tai sim-kortin haltuunsa, hän ei voi käyttää mobiilivarmennetta ilman sen pin-koodia. Pin-koodi kysytään aina jokaisella tunnistuskerralla erikseen.

Toisin oli ennen, kun mobiilivarmenteen sai puhelimeensa operaattorin tiskiltä ties minkämoista "henkilötodistusta" vilauttamalla. Esimerkiksi etenkin "500v kotoutumista takana" -ryhmän jäsenet ovat tiettävästi onnistuneesti aktivoineet itselleen toisten ihmisten mobiilivarmenteita operaattorien tiskille marssimalla ja tämän jälkeen ottaneet esim. lainoja ja tilanneet tavaraa uhrin nimiin rajattomasti. Ehkä tiskin luona aktivointia on myös edesauttanut pelko siitä, että jos tiskin takana oleva myyjä ei aktivoi mobiilivarmennetta tai epäilee, ettei aktivoija ole se, kuka väittää olevansa, voi myyjä saada morapuukosta osumaa... Uhrin on ollut vaikea todistaa olevansa identiteettivarkauden uhri, koska ostokset on tehty "vahvaa tunnistamista käyttäen", eivätkä viranomaiset ja oikeusistuimet ole tajunneet, että "vahva tunnistaminen" on vain yhtä vahva kuin sen heikoin lenkki on. Tilanne siis onneksi parantui, kun mobiilivarmenteen saamisen ehtoja kiristettiin.

Nyt kuitenkin mobiilivarmenne on ottamassa ratkaisevaa askelta TAAKSEPÄIN tietoturvassa! Jatkossa mobiilivarmenteen voi itse aktivoida henkilökortilla tai passilla ja puhelimessa olevaa mobiilivarmennetta käyttää kasvokuvalla tai sormenjäljellä!

Miksi mobiilivarmenteen aktivointi henkilökortilla tai passilla on sitten huono ajatus?
- Mikäli kriminaali varastaa esim. käsilaukun, sieltä saa yleensä sitten sekä puhelimen, että myös sen aktivointiin tarvittavan henkilökortinkin!
- Koska aktivointiin ei enää vaadita toista vahvaa tunnistautumista (verkkopankki ja vielä operaattorin sivuilla), ei tietenkään kriminaalinkaan tarvitse niitä uhrinsa puolesta tehdä ja aktivointi on lapsellisen helppoa.

Miksi mobiilivarmenteen käyttö ilman pin-koodia, eli kasvokuvalla tai sormenjäljellä on huono ajatus?
- Kasvokuvat ja sormenjäljet ovat biometrisiä tunnisteita, jotka on lapsellisen helppo kaapata mistä tahansa...pin-koodia ei kukaan voi kaapata pääkoppasi sisältä mitenkään.
- Puhelinten kasvontunnistukset ovat tunnetusti epäturvallisia ja mahdollistavat luurien avaamisen esim. kasvoista tulostetulla kuvalla...tai "vaikeissa" tapauksissa jonkinlaisen simuloidun kuvan avulla.
- Puhelinten sormenjälkienlukijat ovat tunnetusti epäturvallisia ja sormenjälkilukijoita on voitu huiputtaa esimerkiksi lastenkin toimesta nallekarkeilla...tai "vaikeissa" tapauksissa pitää 3D-tulostaa henkilön sormenjäljen omaava vahasormi tms.
- Varastetun puhelimen/mobiilivarmenteen käyttö on siis kriminaalille varsin helppoa, itse asiassa esimerkiksi puolisot ja lapset voivat käyttää vaikkapa nukkuvan puolisonsa naamaa tai sormenjälkeäkin mobiilivarmenteen avaamiseen.

Ei hyvää päivää. Ihmisten tunnistamista kiristetään kaiken aikaa ja kaikenlaisesta ostamisesta ilman tunnistautumista tehdään yhä vaikeampaa. Samalla kuitenkin identiteettivarkaudesta tehdään radikaalisti helpompaa. Yhdistelmä vahvaa tunnistautumista ja siinä kusettamisen helpottamista ajaa myös uhrit entistä ahtaammalle, koska on kerran käytetty "vahvaa tunnistusta", ei mikään taho tahdo uskoa, että kyseistä systeemiä onkin kusetettu ja uhri on uhri, eikä tekojen (esim. lainat jne.) ostaja. Aiemmin, kun vahvaa tunnistautumista ei käytetty, oli uhri vahvemmilla kiistäessään hänen nimissään tehtyjä asioita.

Ei kommentteja:

Lähetä kommentti