Uutisia
ja kommenttejani
-
Sivujen tilastot ovat olleet varsin sekaisin. Jotain ihme häikkää
palveluntarjoajalla ilmeisesti. Nyt pitäisi alkaa pikkuhiljaa
toimimaan oikein...tai pitäisikö sanoa - tästä
lähtien pitäisi toimia oikein, nyt näyttävät
vielä mitä sattuu. :)
-
Sain tarpeeksi "Tetraa ei voi kuunnella" vuodatuksista
ja kirjoitinkin
siksi asiasta Blogiini. Voit myös lukea tarkemman dokumentin
Tetra / Virve kuuntelusta (="näin voit kuunnella Tetraa")
suoraan tästä.
-
Avasin sitten oman
blogin! Tarkoituksenani on jatkossa kirjoitella enenevässä
määrin sinne kaikenlaisia ajankohtaisi juttuja tietoturvaan
ja politiikkaan ja muuhun liittyen, jotta tälle sivustolla
saa lisätilaa "tärkeille" jutuille, lähinnä
"isommille uutisille". Katsotaan miten lähtee homma
etenemään... :)
-
Elektroniset äänestykset hakkeroitu jälleen totaalisesti.
USA:n presidentinvaaleissa on ollut pahoja väärinkäytös"epäilyjä",
ja nyttemmin useat tietoturva-alan ammattilaiset ja opiskelijatkin
ovat rautalangasta vääntämällä näyttäneet,
miten epäluotettavia ja hakkeroitavissa elektroniset äänestykset
ovat. Lyhyesti sanottu, elektronisiin äänetyslaitteisiin
siirtyminen on demokratian täydellinen loppu. Miltei kuka
tahansa, valtaeliitistä ja niistä joilla on rahaa puhumattakaan,
voi helpohkosti hakkeroida "sähköisen äänestyksen"
ja muuttaa vaalitulosta miten haluaa. Ja mikä parasta: Siten,
että siitä on mahdotonta jäädä kiinni ja
jättää mitään jälkiä mihinkään,
jotta kukaan voisi ikinä todistaa väärinkäytöstä
tapahtuneenkaan! Kukaan ei voi siis havaita petosta ja tulos julistetaan
oikeaksi. Enää ei vaaleissa siis voita se, joka saa kansan
suosion puolelleen, vaan se, joka parhaiten peukaloi äänestyskoneita
ja muuttaa vaalituloksen mieleisekseen. Jostain syystä viranomaiset,
kansalaisjärjestöt eivätkä poliitikot ole pitäneet
asiasta minkäänmoista kunnon meteliä. Demokratiasta
hakkerien valtaan käy pian ehkä Suomenkin tie, jos ja
kun täällä otetaan elektroninen äänestys
käyttöön! Paperiäänestyksessä laajamittaiset
väärinkäytökset ovat äärimmäisen
vaikeita ja resursseja vaativia toteuttaa ja niistä on hyvät
kiinnijäämisen mahdollisuudet. Mutta kun äänestys
muutetaan tietokoneilla tehtäväksi, yksikin hakkeri- tai
pieni hakkeriryhmä voi helposti ja ilman juuri mitään
kiinnijäämisen mahdollisuutta huijata miten haluavat!
Kaameaa! Hieman esimerkkejä äänestyslaitteistojen
peukaloinneista Princetownin
yliopiston nörttien näyttämänä ja tässä
vieläpä video jossa konkreettisesti näytetään
koko tapahtuma. Tässä
Digitoday artikkeli, jossa kerrotaan Harri Hurstin löytämistä
merkittävistä tietoturvaongelmista äänestyslaitteissa..
Tässä vieläpä
hauska kuva siitä, joka kertoo miksi Las Vegasin kasinoihin
kannattaa luottaa enemmän kuin äänestystietokoneisiin!
:) Täältä
löytyy kertomus mm. Hollannissa käytössä
olevan elektronisen järjestelmän hakkeroinnista...siis
rautalankamalli siihen, miten melkein kuka tahansa jolla on hetkeksikin
pääsy koneen luokse, voi väärentää
sillä tehdyt äänestykset täydellisesti ja salakuunnella
muiden tekemiä äänestyksiä. Pitäkää
nyt ihmiset hyvät meteliä tästä asiasta! Muuten
demokratia on mennyttä! Ainiin, tässä
linkissä kerrotaan, miten koulutettu simpanssi pystyi väärentämään
vaalituloksia ja peittämään kaikki jäljet vaalitulosten
väärentämisestä. Luitte oikein, simpanssikin
pystyy väärentämään vaalituloksen ja peittämään
jälkensä, tässä
on video itse teosta! Ja viranomaiset vakuuttavat, että
tämä vaalisysteemi on turvallinen!!! Tässä muuten
erittäin hyvä HBO:n dokumentti itse
asiasta (englanninkielinen valitettavasti).
-
Torpark on
saapunut! Torpark mahdollistaa täysin anonyymin, salatun
nettisurffailun helposti kaikille halukkaille. Torpark sisältää
Firefox selaimen, joka on viritetty automaattisesti käyttämään
Tor-verkkoa, joka salaa yhteyden käyttäjän koneelta
Tor-verkkoon sekä peittää käyttäjän
koneen IP-osoitteen. Näin ollen kukaan käyttäjän
linjoja nuuskiva (kuten palveluntarjoaja tai viranomaiset) ei saa
mitään tietoa siitä missä ja mitä käyttäjä
internetissä tekee, eikä nettisivujen ylläpito tiedä
mistä siellä vieraileva henkilö tulee! Aivan loistava
ohjelma siis kertakaikkiaan jokaiselle joka haluaa varjella yksityisyyttään
nuuskimiselta. Yhteysnopeus ei aina päätä huimaa,
koska Tor-verkko on vapaaehtoisin voimin pyörivä systeemi,
mutta yksityisyyden suoja on niin hyvä että hitaus on
varsin hyväksyttävä sivuilmiö. Koko ohjelma
mahtuu vaikkapa pienelle USB-muistitikulle jota voi kuljettaa vaikka
aina mukanaan ja ajaa ohjelma suoraan siltä käsin, asentamatta
sitä itse tietokoneelle. :) Muistutetaan kuitenkin, että
anonymiteetti on tälläkin ohjelmalla taattu vain jos tietokone
jossa sitä käytät on turvallinen...turvattomalla
tietokoneella voi olla asennettuna näppäinpainalluksia
ja nettisurffailuasi tarkkailevia vakoiluohjelmia! Paranoidelle
suosittelen käyttämään Knoppix-Linuxia (käyttöjärjestelmä
joka bootataan rompultaan) yhdessä tämän kanssa turvallisuuden
maksimoimiseksi. Se antaa suojaa kaikelta paitsi "rautapohjaisilta"
keyloggereilta.
-
Kannettavia tietokoneita käytetään
jo autojen varastamiseenkin! Kyllä, luit oikein. Useissa
autoissa on langattomasti toimivat ajonestolaitteet/lukot. Eli,
käyttäjä painaa avaimessaan olevaan nappia metrien
päässä autostaan ja auto nätisti avaa ovensa
ja kytkee ajonestolaitteenkin pois päältä. Homma
perustuu tietysti siihen, että lähetin lähettää
radiotaajuuksilla jonkin viestin autolle, joka käskee sen toimia
niin. Joissain malleissa käytetään "vaihtuvaa"
viestiä, eli vanha kikka napata tuo viesti ja syöttää
uudelleen autolle, ei enää toimi. Nyt konnat ovat päässeet
tästäkin jyvälle ja murtavat ilmeisesti ko. "vaihtuvan"
viestin salauksen. Signaali talteen, kannettava murtamaan krypto
ja lopputulos syötetään takaisin autolle ja voila!
Auto on maagisesti täysin käyttövalmis konnalle.
No, miksi tämä pelleily onnistuu? Yksinkertaisesti siksi
että autonvalmistajat ovat niin pihalla kryptosta ja tietoturvasta,
että eivät tajua käyttää vahvaa salausta
noiden "viestien" suojaamiseksi. Vaikka sitä on olemassa
ja helpostikin käytettävissä. Hohhoijaa...pitäisköhän
tarjota omia palveluksiani autonvalmistajille? ;)
-
Tanskassa kuohuu. Jyllands Posten julkaisi profeetta Muhammedista
loukkaavia kuvia ja tästäpä eräät kiihkouskovaiset
hihhulit sitten suuttuivat. Voit lukea asiasta lisää tästä.
No, en halua olla yhtään pahempi joten julkaisenkin
nyt omilla sivuillani vastaavanlaista materiaalia, mutta tällä
kertaa sekä muslimeista että kristityistä. Katsotaampa
mitä seuraa, uhkaavatko kristityt vaiko muslimit minut tappaa.
Samalla tulen muuten ottaneeksi ehkä "jumalanpilkka"
syytteen niskaani. Katsotaan siis, mikä on sanan- ja uskonnonvapauden
taso Suomessa tänään. :)
PS. Saamastani palautteesta päätellen suomalaiset fundamentalistikristityt
ovat pahempia sananvapauden vastustajia kuin (ääri)muslimit,
itse en saanut yhtään negatiivista palautetta kyseisestä
sivusta yhdeltäkään muslimilta, mutta sen sijaan
suuri joukko kristittyjä vaati minua sulkemaan kyseisen sivun
tai ainakin poistamaan Jeesusta ja kristinuskoa loukkaavat kuvat
sieltä. Että silleen...
-
Tietoturvapaketit ovat käytännössä tehottomia.
Kuningaskuluttaja
testasi F-Secure Internet Security, Panda Platinium ja Symantec
Norton Internet Security tietoturvapaketteja, joita yleisesti myydään
esimerkiksi laajakaistaliittymän ostajille tietokoneen tietoturvaa
parantamaan. Lopputulos oli, kuten arvata saattaa, karmiva. Yksikään
paketeista ei pystynyt estämään koneelle tunkeutumista,
kun käyttäjä surffasi haitallista koodia sisältävälle
nettisivustolle. Tietoturvapaketit eivät myöskään
estäneet hakkeria lähettämästä tietokoneelta
ulos siellä olleita tietoja (tässä tapauksessa toimittajan
lomakuvia), eivätkä tunnistaneet ja poistaneet virusta/takaporttiohjelmaa
joka koneeseen asentui. Tietoturvapaketit oli asennettu koneille
valmistajien ohjeiden mukaisesti ja asentaja/käyttäjä
oli ns. normaali netinkäyttäjä. Mitä voimme
oppia tästä?
1) Älä luota em. tietoturvapakettien antamaan suojaan
ja haaskaa rahaasi niihin. Ilmaisia virustentorjuntaohjelmia ja
palomuureja saa internetistä.
2) Älä surffaa internetissä Internet Explorer selaimella
(paitsi hakemassa päivityksiä windowsupdatesta), vaan
käytä esim. Firefoxia.
3) Älä surffaa netissä "järjestelmänvalvojan"
oikeudet omaavalla tilillä, vaan luo normaalia tietokoneen
käyttöä varten oma "rajoitetut käyttäjät"
oikeudet omaava tili.
4) Älä avaa tiedostoja, nettisivuja ja sähköposteja,
joiden turvallisuudesta et voi olla ehdottoman varma.
5) Kaikesta em. huolimatta, muista aina pitää vähintäänkin
käyttöjärjestelmä, virustentorjunta ja internet
selain ajan tasalla päivitysten suhteen, sekä tarkista
& tiukenna niiden turva-asetuksia!
-
1.1.2006 lähtien kopiointisuojauksen murtaminen ja ylipäätäänkin
monenlainen kopiointi on Suomessa laitonta. Periaatteessa et saa
kopioida edes kappaleita cd-levyltä kannettavaan mp3-soittimeesi
rikkomatta lakia. Myöskin "murtamis/kiertämiskeinon"
julkaiseminen on ilmeisesti nyt rikollista. Esimerkiksi seuraavan
koodipätkän (DVD:n salauksen murtaminen) laittaminen nettiin
on siis rikollista ja minä olen nyt syyllistynyt rikokseen...hui.
Ihan pelottaa. En yleensä sekoita politiikkaa ja tietoturvaa
toisiinsa (poliittiset sivunihan ovat luettavissa toki, linkki on
tuolla vasemmassa palkissa), mutta tässä kohdin teen poikkeuksen:
Lex Karpela on perseestä ja sen tekijä Tanja Karpela on
niin ikään perseestä. Tanja Karpela ja kaikki ne
kansanedustajat jotka kyseisen lain hyväksyivät, ovat
niin ikään tietämättömiä, välinpitämättömiä
ja tyhmiä yksilöitä, jotka selvästi haluavat
loukata yksilönvapautta ja rajoittaa vapaata tiedonvälitystä.
Tanja Karpela on tosin muillakin projekteillaan (kuten "sensuroidaan
kirjastojen tietokoneet suodatusohjelmilla") osoittanut omaavansa
poikkeuksellisen heikot tiedot internetistä, ja osoittanut
sellaista piittaamattomuutta sananvapautta ja yksilönvapautta
kohtaan, että toivotan hänelle erittäin lyhyttä
uraa politiikassa. Toivottavasti hänen kaltaisiaan **********
ei tässä maassa ikinä pääsisi päättämään
yhtään mistään muihin ihmisiin liittyvästä
asiasta yhtään mitään. Samaa toivotan toki niillekin
kaikille kansanedustajille, jotka hyväksyivät teletietojen
tallennusvastuun tuntuvan lisäämisen ja sitä kautta
edistivät entisestään isovelivalvoo-systeemiä
ja yksilönvapauden ja yksityisyyden tuntuvaa loukkausta.
-
Sattumankauppaako? Tapausten "Kavkazcenter" ja "eduskunnan
tietoturva" (ks. alla) jälkeen on ihmeellisiä "sattumia"
sattunut minun ja niiden ihmisten kohdalle joiden kanssa olen ollut
tekemisissä etenkin näiden kahden asian tiimoilta. Esimerkiksi
eräs pohjois-suomalainen nettiosoite (sattumalta aivan ko.
alueella sijaitsee mm. KRP:n ja Supon pohjois-Suomen osasto) on
säännöllisesti imuroinut sivustojeni sisällön
itselleen toistuvasti ja kun kerroin tästä puhelimitse
eräälle "tutulleni" niin kas kummaa, tovi sen
jälkeen ko. osoite alkoi imuroida hänenkin kotisivujaan
säännöllisesti. Kaveri muuten asustelee itse pohjois-Suomessa...
Tämä on toki sattumaa, eihän kukaan toki voi kuunnella
minun (yhden puhelimistani) matkapuhelinliikennettä, eihän?
Sattumaa on tämä sivujeni jatkuva latauskin varmasti,
eihän kukaan halua tietää säännöllisesti
mitä kaikkea ilkeää paljastan kotisivuillani, eihän?
Eikä varsinkaan sama taho ja samasta paikasta, joka sattumalta
olisi alkanut samaan aikaan kiinnostua kaverini sivustosta? Kyseessähän
on tietysti puhdas yhteensattuma vai mitä? "Siviili"kännykkäni
on myös pätkinyt omituisesti soittaessani parille "tuttavalleni"
joiden kanssa olemme näistäkin asioista puhuneet, miltei
jokainen puhelu katkee kesken, toisinaan useampiakin kertoja. Tämä
on toki sattumaa, vaikka puheluni eivät kenenkään
muiden kanssa katkeile vastaavalla tavalla, eikä puheluni samasta
puhelimesta eri SIM-korteilla, eivätkä puheluni anonyymeistä
kännyköistäni ja liittymistäni vastaaviin liittymiin
ikinä. Eihän kukaan toki koeta näperrellä liittymäni
ja puhelinyhteyteni kanssa, eihän? Eihän tälläinen
näpertelijä nyt niin amatöörimäinen voisi
olla, että ei osaisi kuunnella kännykkääni sen
IMEI-tunnuksen perusteella vaan ainoastaan liittymäni perusteella?
On toki myös täysin sattumaa, että kännykkäni
(kuuluvuus/signaali)kentät, jotka normaalisti olivat aina hyvin
heikot soittaessani omasta asunnostani, kummasti pomppasivat aina
täysiin kun juttelin näistä asioista "tuttuni"
kanssa. Eihän kukaan tietenkään esimerkiksi koettanut
"vihamielisen tukiaseman" tekniikkaa minua vastaan? Kännykkäni
on myös ilmoitellut "aseta sim-kortti puhelimeen"
-virhettä ja on tietenkin sattumaa, että samanlaisia "virheitä"
on ilmennyt erään venäläissyntyisen tuttavani
kännykässä samoihin aikoihin, kun hänenkin kanssa
olemme jutelleen näistä asioista. Sattumaahan toki tämä
on, vaikka kumpikaan meistä ei ole ko. "vaivasta"
ennen eikä jälkeenkään kärsinyt? Niin ikään
on tietenkin sattumaa, että parin tuttuni (joiden kanssa em.
asioista olemme puhuneet) kännykkään on tullut "erehdyksessä"
puheluita/tekstiviestejä ent. Neuvostoliiton alueelta samoihin
aikoihin molempiin, numeroista jotka eivät ole enää
hetken kuluttua "olleet käytössä". Eihän
näilläkään asioilla tietenkään voi
olla mitään tekemistä toistensa ja minun juttujeni
kanssa? Onneksi kaikki tämä on tietenkin vain sattumaa,
eikä minun näin ollen tarvitse nauraa eräiden tahojen
amatöörimäiselle räpellykselle. ;) Vinkiksi
muuten "onnettarelle/sattuman keijulle": Tärkeistä
asioista en todellakaan puhu (em.) kännykässäni enkä
(ainakaan salaamattomassa) sähköpostissani joten...niin...
-
Kansanedustajien avustajien ja kansanedustajien käyttöön
annettujen kannettavien tietokoneiden tietoturvassa on vakavia puutteita,
mikä pistää miettimään, onko koko eduskunnan
tietoturva aivan yhtä olematonta. Esitin puutelistan jo kuukausia
sitten eduskunnan tietoturvavastaavalle saamatta minkäänlaista
vastausta, puutteiden korjaamisesta nyt puhumattakaan. Useat toimittajat
eivät uskaltaneet asiasta juttua tehdä eikä ilmeisesti
useille heistäkään suostuttu kommentoimaan eduskunnasta
yhtään mitään. Muutamia räikeitä tietoturvaongelmia
joita koneissa on: Palomuuraus puuttuu kokonaan (yksikin remote-exploit
aukko mahdollistaa koneiden valtaamisen), koneet ovat oletusasetuksina
(lue: hyvin epäturvalliset), Bluetooth on aktivoitu (lue: tarpeeton
mahdollinen tietoturva-aukko), WLAN tuki on vain 802.11b standardille
(lue: murtuu hetkessä, pitäisi käyttää
g-standardia), koneissa ei ole salauksen mahdollistavaa ohjelmistoa
(lue: arkaluontoinen materiaali on selkokielisesti luettavissa koneilta
jos ne esim. varastetaan), koneissa ei ole tiedostojen pyyhintään
soveltuvaa ohjelmistoa (lue: arkaluontoiset tiedostot voidaan palauttaa
ja lukea kiintolevyltä), VPN-yhteys ei mahdollisesti ole suojattu
man-in-the-middle-attack hyökkäystä vastaan, automaattiset
päivitykset ei mahdollisesti ole lainkaan päällä
(lue: katastrofi), jne. jne. Lisäksi eduskunnassa käytetään
TeliaSoneran kännykkäverkkoa, joka on COMP-128-1 ja A5/1
algoritmien puutteiden vuoksi täysin epäturvallinen (lue:
edustajien ja avustajien puheluita voi kuunnella helposti). Tehkää
nyt hyvät ihmiset jotakin asialle! Uutta tietoa! Eduskunnan
it-vastaavat uhkaavat minua oikeustoimilla julkistettuani heidän
tietoturva-aukkonsa, lue sähköpostiviesti esimerkiksi
täältä.
Sinällään huvittavia vastakommentteja heille/hänelle
muilta Full-Disclosure listan kirjoittajilta esimerkiksi tässä
ja tässä.
Kannattaa myös lukea minun
vastineeni tämä "tietoturvagurun" kommenttiin.
Ainiin, kyseinen "tietoturvaguru" muuten itse omaa vanhan
sähköpostiohjelman, eli ei ole itse viitsinyt edes omaan
ohjelmaansa asentaa tarvittavia päivityksiä ja paikkoja,
kuten hänelle julkisesti todetaan tässä,
mutta silti hän on sitä mieltä että puhun ns.
paskaa todetessani että eduskunnan tietokoneet eivät ole
päivitettynä... Hehehehee... Eduskunnan tietoturva taitaa
olla paljon, paljon pahemmassa kunnossa kuin uskalsin aavistaakkaan
kun edes tietoturvasta vastaavien ohjelmat eivät ole päivitettyjä
ja ajantasalla...
-
Sattuipa tässä itselleni hassu juttu taannoin. Kavkazcenterin
sivut vedettiin alas netistä Suomessa ja raivostuin asiasta
aika tavalla. Ilmoitin sunnuntai-iltana julkisesti netissä,
että alan itse kopioimaan ja pitämään ko. sivustoa
omilla sivuillani sananvapauden vuoksi, koska minä en Suojelupoliisin
ruikutuksia tai Venäjän nootteja pelkää. No,
maanantai-aamuna en päässyt enää kotikoneeltani
nettisivuilleni jotta olisin voinut ylläpitää niitä.
En päässyt myöskään sähköpostiini.
Kas kummaa, työpaikaltani pääsinkin sitten...hmmm...taas
menin kotiin ja katselin tilannetta, resetoin modeemini ja rukkailin
käyttöjärjestelmääni ja verkkoasetuksiani.
Ei, en päässyt edelleenkään kumpaankaan paikkaan.
Ilmoitin palvelutarjoajalleni. Tätä jatkui muutamia päiviä,
jonka jälkeen mystisesti pääsinkin omalta koneeltani
sähköposteihin ja kotisivuilleni. Palveluntarjoajanikaan
ei osannut selittää miksi en sivuille päässyt
kotikoneeltani, vaikka he tutkivatkin asiaa. Kaikkialta muualta
pääsin kyllä kotisivuilleni ja sähköpostiini,
mutta en siis kotikoneeltani. Kutsukaa minua vainoharhaiseksi jos
haluatte, mutta en usko että tämä "informaatioblokki"
joka minuun osui oli sattumaa, vaan itse epäilen FAPSI:n
tai GRU:n
olleen asialla ja pitäneen huolen, että Kavkazcenteriä
ei hetimiten ainakaan avata uudestaan. Toki takana voi olla jokin
suomalainenkin taho kuten Viestintävirasto
tai Suojelupoliisi,
en todellakaan tiedä. Mutta sattumaa en usko asian olleen.
-
TETRA saattaa olla takaportitettu NSA:ta varten, varoittaa
EU. TETRAa käytetään esimerkiksi Suomessa viranomaisverkko
"VIRVEssä"
turvallisuuden ja joustavuuden parantamiseksi. Poliisi, rajavartiolaitos
ja pelastustoimi ovat Virven yleisimmät käyttäjät,
mutta myös esimerkiksi Falck Security käyttää
Virveä rahankuljetuskalustossaan. TETRA-järjestelmän
turvallisuus ei muutenkaan ole mitenkään häppöinen.
Paitsi siis, että järjestelmässä on luultavasti
NSA:lle takaportit, sen salaus ei ole vahvaa. TETRA:ssa käytettävä
salaus ei ole sellaista, jota olisi avoimesti tutkittu ja analysoitu
ja tehokkaaksi havaittu, vaan kyseessä on samanlainen "roskasalaus"
samalta taholta (ETSI) joka aikanaan suunnitteli täysin epäturvalliset
COMP-128-1 ja A5-sarjan algoritmit. TETRA:ssa käytetyt salaukset
eivät lisäksi anna, vaikka olisivatkin algoritmeiltään
jostain syystä turvallisia, kuin 2^64 verran suojaa hyökkääjää
vastaan. Avainkoko TEA1-4 salaimilla on 80bittiä. TETRA:ssa
on mahdollista käyttää näiden selvästi
epäturvallisten TEA-1/4 algoritmien lisäksi päästä-päähän-salauksessa
jotain muutakin algoritmiä, mutta yleensä sellaista ei
ole otettu käyttöön. Kaiken tämän lisäksi
TETRA järjestelmää on erittäin helppo häiritä
ja siten jumittaa koko viranomaisviestintä isostakin osasta
maata jos vain halutaan. Miksi tälläiseen sontaan tuhlataan
verovaroja Suomessa(kin)? Kirjoitin asiasta myös blogiini
sekä tämän
seikkaperäisen dokumentin liittyen Tetra / Virve kuunteluun.
-
VoIP on haavoittuvainen käyttäjän tunnistamiselle.
VoIP on tulossa yhä suositummaksi tavaksi soittaa halpoja puheluita
internetin ylitse. Securityfocuksen
artikkeli paljastaa kuitenkin, että asiassa on monia sudenkuoppia
ja tietoturvaongelmia. Taas nähdään mitä seuraa
kun uutta tekniikkaa ja "ominaisuuksia" otetaan käyttöön
miettimättä pätkääkään tietoturvaa.
-
AES. Onko se todella niin turvallinen? No, ainakaan NSA ei suunnitellut
sitä mutta he kyllä valitsivat sen käytännössä.
Tämä voi kuulostaa vainoharhaiselta, mutta...luuletko
tosiaan että NSA valitsisi algoritmin käytettäväksi
miltei kaikessa mitä voit vain kuvitella, jos he eivät
voisi murtaa sitä? Valitsisivatko he algoritmin joka, tullessaan
käyttöön, tehokkaasti estäisi NSA:ta ja Echelonia
toiminnan salaamalla viestiliikenteen? Ei vaikuta kovin järkevältä
toiminnalta. Muistuttaisin että DES suunniteltiin pienellä
avainkoolla (tehokas avainkoko 56bittiä) juuri sen vuoksi että
se voitaisiin tarvittaessa murtaa. Jos NSA on paras koodien murtaja
mitä on olemassa, he ovat voineet löytää algoritmistäX
heikkouksia ja luottaa siihen, että kukaan muu ei ole niitä
löytänyt eikä tule hetimiten löytämäänkään.
Paranoidiako? Vaiko vain realismia? Rijndaelia ei valittu AES:ksi
sen vuoksi että se olisi ollut kaikkein turvallisin kuten he
totesivatkin, vaan siksi että se on kevyt ja helposti sovellettavissa
erilaisiin ohjelmiin ja sovelluksiin. Monet kryptologit allekirjoittavat
väitteen, jonka mukaan Twofish tai Serpent olisi ollut huomattavasti
turvallisempi vaihtoehto kuin Rijndael. Sen pohjalta mitä minä
olen lukenut, olen samaa mieltä. En luota NSA:han. Minulla
ei ole mitään syytä luottaa siihen. Eikä kenelläkään
muullakaan. UUTTA TIETOA! Uusi kryptoanalyysin menetelmä
vaarantaa ja jopa murtaa AES:n! 128bit AES ei olekaan kuin
100bit vahvuinen? Onko tilanne vieläkin pahempi? Lue lisää
tästä
(valitettavasti linkki on englanninkielinen).
-
MD5, SHA ja SHA-1 tiivistefuntiot ovat ilmeisesti murtuneet. SHA-256/512
saattaa myös olla vaarantunut, joten suositeltavaa on siirtyä
käyttämään esim. Whirpool
tiivistefunktiota. Koska ko. tiivistefunktioita käytetään
yleisesti erilaisissa salausjärjestelmissä, tämä
saattaa olla hyvin vaarallista. Asiaa selvitellään yhä,
mutta ei hyvältä näytä. Joitain linkkejä
asiaan liittyen täällä
ja täällä
esimerkiksi. UUTTA TIETOA! SHA-1 on murtunut lopullisesti!
Lue
lisää täältä.UUTTA TIETOA! Digitaaliset
allekirjoitukset murtuvat helposti kannettavalla tietokoneellakin!
Lue
lisää tästä.
-
Internet Explorerissa on tälläkin hetkellä USEITA
vaarallisia tietoturva-aukkoja, jotka on dokumentoitu ja raportoitu...mutta
joita EI ole paikattu Microsoftin toimesta! Useat näistä
haavoittuvuuksista ovat sellaisia, että tietokoneesi voi vaarantua
vaikka sinulla olisi miten turvalliset asetukset Internet Explorerissasi
sekä kaikki päivitykset haettuna windowsupdatesta. Tästä
voit lukea ja kauhistua Microsoftin piittaamattomuutta käyttäjiensä
turvallisuudesta.
-
SSH. Miksi ihmiset kuvittelevat että se tarjoaa hyvää
suojaa oletuksena? Tyypillinen kommentti siihen liityen on jotakin
sellaista kuin:"Hei, meillä on SSH joten tämä
yhteys on turvattu!". Tähän mennessä en ole
nähnyt montaakaan sivustoa tai paikkaa jossa SSH olisi edes
jotenkin suojattu välistävetohyökkäykseltä
(man-in-the-middle attack). Tämä on varsin vakava asia
jos minulta kysytään. Ihmiset jotka ottavat käyttöön
SSH:n eivät tunnu ymmärtävän, että vaikka
he tarjoavat 2048bit RSA avainta jollekulle joka ottaa heidän
palvelimeen yhteyden...miten he voivat olla varmoja että vastaanottaja
saa HEIDÄN avaimensa eikä jonkun muun (hakkerin) avaimen?
Asiakas joka ottaa yhteyden palvelimeen saa jonkin avaimen, ei hän
voi tietää onko avain "oikea avain" "oikealta
palvelimelta" vaiko "väärä avain hakkerilta".
Se on vain avain. Kuka tahansa voi nimetä avaimen vaikka www.markusjansson.net
joten se ei tarkoita mitään. SSL:ssä avaimet allekirjoitetaan
sertifikaatti auktoriteeteillä (CA) joiden allerkirjoituksen
voi jokainen varmistaa koska selainten ja käyttöjärjestelmien
asennuksen mukana tulee näiden CA:n julkiset avaimet. CA:ta
ei voi helposti käyttää SSH:n kanssa mutta yksi asia
on mitä voisi tehdä: Laittaa SSH palvelimen julkisten
avainten sormenjäljet jonnekin julkiselle paikalle josta kuka
tahansa (mukaanlukien avainten sinne laittanut taho) voi tarkastaa
ne ja verrata niihin sormenjälkiin jota palvelimen antamissa
avaimissa on ja siten olla varma avainten aitoudesta. Tai sitten
antaa sormenjäljen lapulla asiakkaalleen jotta nämä
voisivat siitä tarkistaa saaneensa oikean avaimen. Miten tämä
voi olla näin vaikeata ymmärtää? Kuka olisi
niin typerä että edes koettaisi murtaa 512bit RSA avainta
kun ainoa mitä tarvitsee tehdä on suorittaa välistävetohyökkäys
tiettyä palvelinta kohtaan?!? En tosiaan ymmärrä.
Tätä eivät monet tietoturva-ammattilaisetkaan tunnu
tajuavan koska äärimmäisen harvoin missään
näkee SSH avainten sormenjälkiä tai itse avaimia
ladattavaksi. Toki, monet sanovat että SSH tallettaa julkisen
avaimen tietokantaansa ja varoittaa jos se on muuttunut viimeisestä
yhteydenotosta...mutta miten voit koskaan, alunperinkään,
saada oikean avaimen koneellesi johon verrata seuraavia avaimia,
tai miten voit tietää että palvelin ei ole vain luonut
uutta avainta? Et mitenkään, ellet voi saada julkista
avainta tai sen sormenjälkeä turvallisella tapaa itsellesi
jotta voit asian varmistaa. Ei voi olla niin vaikeata toimittaa
tuota 128 tai 160bittiä tietoa jollekulle asiakkaalle! Pieni
paperinpala yksi puhelinsoitto riittää vallan mainiosti.
Taas on niin vaikeata että...
-
Läpimurtoja kryptoanalyysissä. Surkuhupaisaa, että
vaikka "Bernsteins
paper" on julkaistu, monet ihmiset eivät tajua mitä
on tapahtunut. Periaattessa kaikki DSS/Elgamal/RSA avaimet jotka
ovat 1024bittiä tai vähemmän ovat täysin epäturvallisia
ja ainoastaan 4000bit antaa edes keskinkertaista suojaa. Tarvitaan
vähintään 12000bit epäsymmetrinen avain "todelliseen
turvallisuuteen" nykyään. RSA kommentoi ja väitti
että Bernsteinin tutkimus ei ollut mikään läpimurto
mutta epäilen. Ehkä se ei ollut läpimurto käytännössä
mutta se selvästi osoittaa että salaukseen tarvitaan entistäkin
suurempia turvamarginaaleja, eritoten epäsymmetriseen salaukseen.
No, tästä en ole sinällään ollut huolissani,
tarkoitan että SSL ja vastaavat ovat varmasti helposti NSA:n,
CIA:n, GRU:n ja vastaavien murrettavissa. Se mistä minä
olen huolissani on, että kuinka kauan tiedustelupalvelut ja
koodinmurtajat ovat tienneet tästäkin läpimurrosta?
10 vuotta? 20? Jälleen kerran, muistutan että kaikki salaus
mitä siviilipuoli on onnistunut tuottamaan, on aina murrettu
nopeassa tahdissa "ammattilaisten" toimesta. Viganere,
ADFGVX, Enigma jne...kaikki ne murrettiin kauan ennen kuin niiden
käyttäjillä oli mitään aavistustakaan niiden
turvattomuudesta. Muistuttaisin myös että NSA oli tietoinen
differentaalisesta kryptoanalyysista jo 1970-luvulla kun se ohjaili
DES algoritmin suunnittelua, kun siviilipuoli "löysi"
differentaalisen kryptoanalyysin vasta 1990-luvulla! Kun tämän
tasoisia läpimurtoja kryptoanalyysissa voi tapahtua, mitkä
algoritmit ja avainkoot ovat OIKEASTI turvallisia tänään?
16000bittinen RSA? 64000bit RSA? ECC salaus? Vai pitäisikö
vain pysyä kerta-avain salauksessa? ;)
Tel:
