Tietoturva

"Seuraavan 12 kuukauden aikana tulee murtotyökalu, joka muuttaa kaiken"

Julkaistu:

Miten laittaisin tiedostoni turvallisesti pilveen? Entä uskaltaako puhelimen tietoturvaan luottaa?


Vaikka tietoturva on ollut kuluvan vuoden aikana uutisissa enemmän kuin koskaan, se tuntuu koskettavan hämmästyttävän harvoja ihmisiä.

Yksi asiaa ihmettelevistä on japanilaisen tietoturvayhtiö Trend Micron tutkimusjohtaja Rik Ferguson. Rokkitähden näköinen mies kummastelee ihmisten välinpitämättömyyttä helsinkiläiskahvilassa.

Etenkin puhelimien tulevaisuuden suhteen Ferguson on hyvin synkkä, sillä hän odottaa romahduksen tapahtuvan milloin tahansa.

Syy ei ole sovelluskauppojen troijalaisissa, joita toki myös on, vaan siinä, että pahikset eivät tarvitse pian sovelluskauppoja lainkaan haittaohjelmien levittämiseksi.
Mainos (Teksti jatkuu alla)
Mainos päättyy

– Toki edelleen on suhteellisen helppoa julkaista haittaohjelmia sovelluskaupoissa. Mutta seuraavan 12 kuukauden aikana tulee murtotyökalu (exploit kit), joka muuttaa kaiken, Ferguson sanoo.

Fergusonin mukaan on vain ajan kysymys, jolloin verkkorikolliset löytävät mobiilikäyttöjärjestelmässä olevan haavoittuvuuden, ja iskevät siihen tähän asti mahdottomana pidetyn verkkosivuilta tehtävän driveby-latauksen kautta. Tämän jälkeen haitakkeita ei tarvitse ujuttaa mobiililaitteisiin enää sovelluskauppojen kautta troijalaisina.

Fergusonin mukaan tästä kehityssuunnasta on jo näyttöä. Joidenkin puhelimien murtaminen eli jailbreakaaminen on jo mahdollista verkkosivujen kautta.

Lisäksi Blackhole-haittaohjelmiston tekijä ehti lisätä ohjelmistoonsa mobiililaitteiden tunnistustoiminnon hieman ennen kiinni jäämistään. Seuraava kehitysvaihe olisi todennäköisesti ollut ohjelmiston räätälöinti puhelimien urkkimiseksi.

Voiko pilvi olla tavikselle turvallinen?

Ihmisten tietoturvaan liittyvän välinpitämättömyyden ytimessä on pilvi. Se on kaikkialla, niin ihmisten puhelimissa kuin tietokoneiden työpöydällä. Kuvien ja asiakirjojen verkkolevylle tallentamisen yksinkertaisuutta ei voi kiistää. Silti palveluiden yksityisyys on mitä on. Useimmat tietänevät iCloud-alastonkuvavuodon, mutta harvemmille ovat tuttuja muun muassa Google Driven ja Microsoftin Onedriven automaattinen kuva- ja muu sisältöskannaus. Microsoft antaakin itselleen melko suuret valtuudet, sillä palvelusopimus sanoo "käyttävänsä automatisoituja tekniikoita tunnistamaan lapsipornoa tai hyväksikäyttöä, joka voisi vahingoittaa järjestelmäämme, asiakkaitamme tai muita ihmisiä".

– Tämän lisäksi tulee vielä toki tekijänoikeussuojatun materiaalin etsiminen, Ferguson toteaa.

Ainoa lähimainkaan turvallinen tapa laittaa omaa sisältöä pilveen on salata se ensin omalla koneella ja siirtää se vasta sitten pilveen, Ferguson toteaa. Hän olettaa asian hoitavia automatisoituja palveluita ilmaantuvan lähivuosina paljon, mutta niissä on silti aina luotettava kolmanteen osapuoleen – eli siihen osapuoleen, jonka hallussa salausavain on.

– Avaimenhallinta on tasapainottelua. Jos se on vain sinulla, kukaan ulkopuolinen ei voi käyttää sitä. Kun olin töissä PGP:llä (jonka kryptausavaimet ovat aina asiakkaalla itsellään), salasanansa unohtaneet soittelivat meille päivittäin. Mutta emme tietenkään voineet auttaa heitä, kun yleisavainta tai takaovea ei ole, Ferguson toteaa.

Tämän lisäksi tulisi käyttää kaksivaiheista tunnistautumista. Tämä saisi perustua mielellään johonkin muuhun laitteeseen kuin puhelimeen. Moni Android-laite nimittäin esimerkiksi näyttää uuden tekstiviestin sisällön oletusarvoisesti lukitusnäkymässäkin tai sitten tekstiviestitse saapuva vahvistuskoodi voidaan urkkia puhelimessa olevalla vakoiluohjelmalla.

Onko taistelu internetistä hävitty?

Ferguson muistuttaa, että pilven turvallisuus ei auta, jos koko systeemi vuotaa. Käytössä on edelleen runsaasti murrettuja verkkotekniikoita, kuten niin sanotun Poodle-haavoittuvuuden sisältävä ssl3.0. – Ja kun vanhat tekniikat poistuvat käytöstä, hallituksien intresseissä on korvata nämä uusia takaportteja sisältävillä tekniikoilla, Ferguson jatkaa. Onko taistelu internetin vapaudesta hävitty? Ihan niin pessimistinen Ferguson ei ole.

– Missään Snowden-materiaaleissa ei ole noussut esille yhdenkään tietoturvayhtiön nimeä RSA:ta lukuun ottamatta, Ferguson muistuttaa.

Vaikka tietoturvayhtiössä työskentelevän Fergusonin kommentti ei tulekaan täysin puolueettomalta taholta, se on järkeenkäypä. Vaikka puolessatoista vuodessa on käynyt ilmi NSA:n olleen yhteyksissä internet-yhtiöihin ja internetin protokollien peruspilarien rakentajiin, näyttöä linkeistä tietoturvayrityksiin ei ole.

– Me japanilaisena yhtiönä olemme sikäli hyvässä asemassa, että meidän ei tarvitse toimia amerikkalaisen lainsäädännön mukaan. Sama koskee Suomea ja teidän tietoturvayhtiöitänne, kuten F-Securea, Ferguson huomauttaa.

Vaikka Snowdenin paljastukset järisyttivät maailmaa, useimmille ne ovat muodostuneet tavalliseen elämään liittyväksi taustakohinaksi.

– "Minulla ei ole mitään salattavaa" toimii argumenttina tasan niin kauan kuin kuviasi ja tietojasi ei ole laitettu linkkeinä Pastebiniin, Ferguson täräyttää.

Hoitaako usb-aukon korjaus vai aika?

Yhtenä suurimmista tämän hetken tietoturvauhista Ferguson pitää bad USB:ta, eli ohjelmoitavan sirun sisältäviä, hyökkäysaseiksi ohjelmoituja usb-laitteita. Muistitikku saattaa toimia kuten pitääkin, mutta muutaman tunnin jälkeen se käynnistääkin näppäimistönauhurin. Tai määrittelee itsensä usb-näppäimistölle ja alkaa syöttää käskyjä koneelle, johon se on kytketty. – Tämä on hankala ongelma, ja siihen ei auta oikein mikään muu kuin koko standardin uudelleenmäärittely. Kaikkien usb-laitteiden tulisi käyttää digitaalisesti allekirjoitettua ohjelmistoa.

Ferguson huomauttaa, että kriittisistä järjestelmistä voi poistaa ohjelmallisesti usb-portit käytöstä. Mutta jollei standardia uudelleenmääritellä, tähän auttaa vain aika. Ennen pitkää usb poistuu käytöstä kuten levykkeet ja cd-romitkin.

Kommentit

    Näytä lisää