Tietoturva-arjen kysymyksiä ja vastauksia kirjan perusteella
Ohje: Valitse nimikoimaton tehtävä alla olevasta luettelosta. Nimikoi se eli kirjoita nimesi sen alkuun numeron jälkeen ja nimen jälkeen (2012-k).. Tämän voit tehdä jo ennen kuin edes saat kirjaa haltuusi. Laadi 100-150 sanan mittainen vastaus määräaikaasi mennessä tehtävän alle. Merkitse tehtävän numero Moodlessa olevaan taulukkoon, jossa kirja- ja pj-vuorot jaetaan. Jos käytät myös jotain muuta kuin omaa ja kirjan tietämystä, merkitse lähdeviite.
Andy Oram, John Viega (toim.): Beautiful Security, 2009
Esipuheessa Oram väittää, että tietoturvallisuus on yksi kiinnostavimmista työurista. Yhtenä perusteena hän esittää, että se harjoittaa mielikuvitusta enemmän kuin mikään muu tekniikan ala. Muita perusteita pitäisi hänen mukaansa huomata nimenomaan lukemalla tätä kirjaa. Kirjan varsinaisesta sisällöstä on ilmaisnäytteenä vain osa lukua 1, mutta jo sen avulla voi vastata ensimmäiseen kysymykseen.
1. Iiro Peltokangas (2013-s). Millä tavoin taaksepäin yhteensopivuus tarjoaa esimerkin opitusta avuttomuudesta ja millä tavoin se puolestaan on esimerkki psykologisesta näkökulmasta, jonka kautta luvun 1 kirjoittaja kuvailee tietoturva-alaa kauniiksi?
Taaksepäin yhteensopivuudesta ja opitusta avuttomuudesta kirjassa on hieno esimerkki, jonka mahdollistaa maailmalla tunnettu Microsoft. Opitulla avuttomuudella tarkoitetaan kirjassa ohjelmistotuotannon yhteydessä tapaa käsitellä vanhaa ohjelmistoa käytännössä tuhoontuomittuna, kun rinnalle ollaan kehittämässä uutta parempaa järjestelmää. Uuden järjestelmän ollessa parempi ja turvallisempi koetaan, että vanhaa järjestelmää ei enää tarvitse kehittää. Tämä saattaa olla erittäin kohtalokas virhe, mikäli vanhaa (käyttö)järjestelmää joudutaan kuitenkin tukemaan vielä uuden rinnalla, jotta voidaan taata taaksepäin yhteensopivuus vanhemmille ohjelmistoille. Microsoftin tapauksessa tämä tarkoitti käyttöjärjestelmän salasanan hash-funktiolle vanhaa ja uutta versiota, joita päätettiin tukea rinnakkain uudemmassa käyttöjärjestelmän versioissa.
Vanhassa salasanojen hash-funktiossa oli huomattu puutteita ja tietoturva-aukkoja, ja sen vuoksi kehitettiin turvallisempi. Ongelmaksi muodostui vanhojen järjestelmien tukeminen ja tämä ratkaistiin niin, että salasanan hash-tiivisteet lähetettin verkon yli molemmissa muodoissa, vanhassa ja uudessa. Näin varmistettiin, että järjestelmän pystyi tukemaan molempia versioita. Samalla kävi niin, että vanhan algoritmin haavoittuvuuksia tunteva henkilö pystyi niiden avulla päättelemään käyttäjän salasanasta suuren osan ja loppuosa murtamisesta tuli helpoiksi raa'an voiman tekniikalla. Opittu avuttomuus viittaa siis tässä siihen, että koska uusi ja hienompi tekniikka keksittiin rinnalle, ei vanhan ongelmia tarvinnut muka enää käsitellä vaikka vanhaa tekniikkaa edelleen käytettiin.
Kirjoittajan mielestä tietoturva-alan kauneus piilee siinä, että vaikka hyökääjät pyrkivät pääsemään ohjelmankirjoittajien päähän ja hyödyntämään heidän yleisiä heikkouksiaan päästäksen hyökkäämään järjestelmää vastaan, voi myös puolustavalla puolella oleva henkilö, tietoturva-alan ammattilainen, käyttää samoja tekniikoita hyökkääjiä vastaan ja näin he pystyvät ennaltaehkäisemään tietoturva-aukkoja ohjelmistoissa. He siis pyrkivät ajattelemaan kuin hyökkääjä ja näin he voivat pienentää järjestelmän haavoittuvaisuutta hyökkääjiä vastaan.
2. Miikka Myllymäki (2012-k). Mitä erityistä social engineering -hyökkäysten kannalta on langattomassa tietoliikenteessä luvun 2 mukaan?
Langattomuus mahdollistaa hyvin erilaisia hyökkäystapoja, kun kuka tahansa voi käyttää omaa tukiasemaa langattoman verkon luomiseksi, ohjata liikenteen tukiaseman kautta omalle päätelaitteelle ja sieltä edelleen Internetiin. Tällöin puhutaan siis erityisesti man-in-the-middle -hyökkäyksistä.
Hyökkääjä voi luoda hyvin aidonnäköisen sivun, johon käyttäjä syöttää luottokorttitietonsa, kun hän haluaa käyttää langatonta yhteyttä. Näin hyökkääjä pääsee suoraan käsiksi luottokorttitietoihin. Useimmissa tapauksissa hyökkääjälle kuitenkin riittää pelkkä liikenteen salakuuntelu, jossa voivat selvitä käyttäjätunnukset, salasanat ja verkko-ostosten tiedot. Ongelmana tässä on se, että käyttäjät usein luulevat hyödyntävänsä jonkun verkkoa ilmaiseksi ilman, että taustalla olisi mitään taka-ajatuksia.
Toinen ongelma liittyy siihen, että langattoman palveluntarjoajaan ei kiinnitetä tarpeeksi huomiota ja toisinaan on erittäin vaikea huomata, onko tarjoaja oikeasti se, joka väittää olevansa. Käyttäjät myös helposti sivuuttavat turvallisuusvaroitukset, joita selaamisen yhteydessä ilmenee. Jotkut käyttäjät eivät yksinkertaisesti ymmärrä, mitä nämä varoitukset ja sertifikaatit tarkoittavat. Toiset käyttäjät taas ymmärtävät, mutta voivat selittää tilannetta itselleen esimerkiksi ylläpitäjän unohduksella tai sillä, että kahvilassa tai hotellissa ei ole ollut riittävää osaamista asetusten tekemiseen. Jopa ammattilaiset voivat tulla siis helposti huijatuiksi langattomassa ympäristössä.
3. Minna Tuulos (2011-s). Mitä lääkkeitä ehdotetaan luvussa 4 tietorikollisuuden hillitsemiseksi?
Kirjoittajan mukaan rikollisuus internetissä on kasvanut valtavasti. Rikolliset käyttävät haittaohjelmia, bottiverkkoja ja roskapostia saavuttaakseen tavoitteitaan. Lait, joilla haittoja kontrolloidaan, on huonosti määritelty. Sen seurauksena rikollisuus internetissä rehottaa. Viime vuosina kyberhyökkäykset ovat kehittyneet laajan mittakaavan organisoituneeksi rikollisuudeksi.
Kirjassa ehdotetaan neljää keinoa rikollisuuden hillitsemiseksi. Yksi keino on devalvoida tietoa ja sitä kautta vähentää tiedon varastamista. Tietoa voidaan devalvoida rajoitettamalla sitä, mitä tiedolla voi tehdä. Toinen keino liittyy autentikointiin ja auktorisointiin. Niiden ei pitäisi edellyttää varsinaisen arkaluontoisen tiedon hallussapitoa. Kolmanneksi tietoturvallisuusyhteisöjen tulisi lakata nojaamasta vain määräystenmukaisuuteen ja alkaa tutkia, miten voimme parantaa tiedon suojauskykyä palkitsemalla hyvää käytöstä. Neljänneksi tarvitsemme mittarin, joka mittaa yrityksen kypsyyttä sen tiedonhallintaoperaatioissa. Hyvä tietoturvallisuusmaine voisi johtaa asiakasuskollisuuteen ja lisääntyneeseen luottamukseen liikekumppaneilta.
Mikään yksittäinen organisaatio tai yritys ei voi taistella organisoitunutta rikollisuutta vastaan tehokkaasti yksinään. Sama logiikka pätee virtuaalimaailmassa. Yksittäinen maa tai yritys ei voi sitä tehdä. Se vaatii monen eri tahon, organisaation, käyttäjien, tutkijoiden, turvallisuustoimijoiden, lakitoimistojen, kaupallisten tahojen ja hallituksen yhteistyötä.
5. Mette Rahunen (2013-k). Millaista turvaa www-mainostajat tarvitsevat?
Mainostajatkin saattavat joutua huijatuksi. Esimerkiksi mainosvälittäjät voivat huijata heitä monella tapaa. Esimerkiksi CPM-maksutavalla (maksu per tuhat mainosta) mainostajalta saatetaan veloittaa turhaan esimerkiksi pelkkiä bannereita sisältävältä sivustolta tai 1x1 pikselin kokoisesta mainoksesta sivulla. Jos mainostaja käyttää CPC-tapaa (maksu per klikkaus) pitää olla varovainen väärinkäytöksiä kohtaan. CPC-tapaa voidaan väärinkäyttää tekemällä esimerkiksi botteja klikkaamaan mainoksia mainosvälittäjän sivustolla, jos mainosvälittäjä saa osan CPC-maksuista. CPC-tilaa tarjoavat myyjät vakuuttavat, että heillä on parempia tapoja identifioida yksi klikkaus, mutta voi olla vaikeaa luottaa CPC-lähestymistapaan. Joskus voi olla www-markkinoijan edun mukaista palkata kolmas osapuoli huolehtimaan klikkausten oikeellisuudesta ja huolehtimaan toiminnan laillisuudesta.
Kaikkein vastustuskykyisin petoksia kohtaan on CPA-tapa eli maksu per aktio, jossa mainostaja maksaa vain toteutuneiden kauppojen mukaan. CPA-tapa pienentää markkinoijan riskiä, sillä ei tarvitse maksaa pelkästään siitä, että ihmiset näkevät mainoksen. CPA-tapa ei ole kuitenkaan lähelläkään immuuni petoksille. Jos markkinoija joutuu esimerkiksi maksamaan komission heti ostoksen tekemisen jälkeen olisi hyökkääjän helppo tehdä monia ostoja vaikka epärehellisellä luottokortilla. Luottokortissa oleva vika tai palautus tulisi vasta selville, kun markkinoija on jo maksanut komission.
Kirjoittajan mukaan www-mainostajat eivät näe turvaamista prioriteettina. Tähän on myös poikkeuksia: yritykset, jotka eivät kestä petoksiin menetettyjä rahamenetyksiä. Markkinoijat usein ajattelevat petoksiin kuluvat kulut pakollisena menona liiketoimintaan liittyen. Usein myös petoksen huomattuaan www-mainostajat ovat niin pettyneitä ja häpeissään, että eivät halua suunnata huomiota petokseen. Pitää myös muistaa, että mainostilaa myyvät sivustot voivat pyytää enemmän rahaa, jos he eivät jää kiinni petoksista sivuillaan. Tästä syystä saattaa olla moni taho, joka haluaa omaksi edukseen piilottaa petoksen.
6. Mikko Kuivaniemi (2012-k). Minkälaisen käsityksen PGP:n tilasta ja tulevaisuudesta saa luvusta 7, jonka toinen kirjoittaja on PGP alkuperäinen kehittäjä.
Tekstin perusteella PGP:stä saa sellaisen käsityksen, että sitä käytetään erittäin paljon. Tekstissä annetaan myös ymmärtää, että suurimmat ongelmat on saatu karsittua, mutta myönnetään, että jonkin verran parannettavaa on edelleen.
Kirjoittajan mukaan PGP:n suurin ongelma on Web of Trustin sosiaaliset implikaatiot. Ongelmaksi nähdään se, että varmenteista syntyy sosiaalinen verkosto, joka tekee varmenteista hauskoja ja henkilökohtaisia, ja liittää niihin emotionaalisia arvoja. Yhtenä ongelmana nähdään myös se, että mikäli käyttäjä luo uuden varmenteen, joutuu hän hankkimaan kaikki allekirjoitukset uudelleen.
Myös varmenteiden mitätöiminen voidaan edelleen nähdä ongelmallisena. Tietoa mitätöinnistä ei pysty jakamaan erillään varmenteista, eikä ole mitään mekanismia, joka mahdollistaisi mitätöinti-informaation levittämisen kaikille varmenteen haltijoille. Lisäksi tekstissä todetaan, että Web of Trust ei skaalaudu hyvin suuriin verkostoihin, kuten koko Internetiin.
Tekstissä mainitaan myös tulevaisuuden kehityskohteita. Yksi tällainen on ns. supervalidity. Nykyisellään Web of Trust ei anna lisäarvoa tällaisille varmenteille (varmenteet joiden pisteytys on tavallista korkeampi), vaikka intuitio sanoo, että asian pitäisi olla toisin.
7. Mikael Viitaniemi (2011-s). Millaista kuria ehdotetaan luvussa 11 järjestelmien kehitykseen?
Kirjoittaja kertoo erään yrityksen pyrkimyksistä parantaa turvallisuuskäytäntöjä järjestelmien kehityksessä. Keskeisimmät tekijät prosessissa olivat turvallisuuteen liittyvien vaihetuotteiden integrointi yrityksen käyttämään kehitysmenetelmään ja henkilöstön koulutus. Prosessin päätteeksi yritys päätyi vaatimaan samanveroista vakuutusta omaan käyttöön hankkimiensa järjestelmien kehittäjiltä.
Kirjoittaja kertoo luoneensa perusteet vaihetuotteille CLASP-metodologian pohjalta. Esimerkkeinä mainitaan applikaation luottamuksen rajat datan suhteen määrittävä dokumentti ja arkkitehtuurin hyväksyttäminen turvallisuuden näkökulmasta ennen kuin kehitys saa alkaa. Näiden lisäksi käyttöön otettiin automaattinen työkalu koodin analysointiin haavoittuvuusriskiluokituksen kautta. Koodilta vaadittaisiin tietty laatu riskiluokituksessa, ennen kuin se voidaan lähettää laadunvalvontatiimille. Yhdessä nämä osat luovat vahvan työkalun, jolla voidaan arvioida ja mitata turvallisuutta läpi kehityssyklin.
On luontevaa vaatia vähintään samantasoista paneutumista turvallisuuteen myös alihankkijoilta. Tämän toteuttamiseksi kirjoittaja esittää alihankkijoilta vaadittavan saman prosessin seuraamista koodin integroinnissa, kuin firman sisällä käytetään. Alihankkijoiden lisäksi kehityksen turvallisuuteen vaikuttavat käytettävät työkalut, joten kirjoittajan viimeinen vaihe on esittää ulkopuolisilta järjestelmien toteuttajilta vaadittavaksi myös samaa näyttöä riittävästä turvallisuuden huomioinnista. Yleisesti vaatimalla muilta toteuttajilta samaa laatua, voitaisiin vaikuttaa asenteisiin koko teollisuudessa.
8. Timo Heikkilä (2011-s). Mitä pelottavaa tietoturvalakimiehissä on? (Luku 12)
Kirjoittaja tahtoo organisaation tietoturvapolitiikan muuttuvan jälkiviisaudesta pragmaattisemmaksi jokapäiväiseksi toiminnaksi. Tällainen muutos vaatii muutoksia organisaatiokulttuurissa, tietoturvariskien tasapainottamisessa, kommunikaatiossa sekä keskittymistä oikeisiin asioihin yhtäältä laki- ja toisaalta vastuukysymyksissä.
Se, mitä pelottavaa tietoturvalakimiehessä on, voidaan ymmärtää yhtäältä siten, että lain kirjaimin ajettu tietoturvallisuusvaade pakottaa organisaatiot parantamaan tietoturvatasoaan. Toisaalta asia voidaan ymmärtää niin, että lakimies yhdistettynä tietoturva-asiantuntijan kanssa tiimiksi voi muodostaa yrityksen tietoturvakulttuuria dynaamisesti eteenpäin vievän sekä lainopillisten ongelmatilanteiden varalta proaktiivisesti työskentelevän yksikön, joka pystyy vastaamaan nopeasti ja tehokkaasti organisaatiossa tapahtuviin tietoturvahaasteisiin. Lakimiesten ja ulkoisten konsulttien avulla tietoturvallisuuden lakiriskejä voidaan minimoida saattamalla monia haasteellisesti hoidettavia vastuukysymyksiä luottamuksellisen asiakastiedon alaisuuteen.
Joka tapauksessa kirjoittaja näkee lakimiehen ja tietoturva-asiantuntijan tarvitsevan toistensa asiantuntijuutta pystyäkseen vastaamaan nykyajan kompleksisiin tietoturvahaasteisiin.
9. Tommi Hirvonen (2013-s). Mitä suosituksia ja millä perusteilla tarjotaan PC-koneiden turvaksi luvussa 16?
Artikkelissa kuvataan monia tietokoneen suojauskeinoja, mutta kaikkia niistä ei suositella. Osaa niistä kritisoidaan ja osa jopa julistetaan turhiksi. Yksi suositeltu keino on perinteisen mustan listan vastakohta – valkoinen lista. Tavallisesti antivirusohjelma vertaa tiedostoja mustaan listaan, joka sisältää tunnetut haitalliset tiedostot. Valkoinen lista päinvastoin sisältää kaikki hyväksi tunnetut tiedostot. Kaikki uusi ja erilainen julistetaan huonoksi. Kirjoittajien mukaan tällainen sovellus olisi myös helposti toteutettavissa.
Kirjoittajat suosittelevat myös tekoälyn lisäämisen haittaohjelmien tunnistamiseen. Tekoäly pystyisi tutkimaan ohjelmien käyttäytymistä ja oppimaan niistä. Tekoäly estää ohjelmat, joiden toiminta on epäilyttävää, ja tutkii sellaisten ohjelmien käyttäytymistä, joita se ei tunne.
Lisäksi kirjoittajat suosittelevat virtuaaliympäristöä, joka toimii oikean käyttöjärjestelmän kanssa rinnakkain. Kun virtuaaliympäristö ja käyttöjärjestelmä vaihtavat tietoa, tekoäly tarkistaa liikenteen. Jos tekoäly havaitsee haitallista toimintaa virtuaaliympäristössä, on se helppo ja nopea käynnistää uudelleen. Käyttäjän ei tarvitse tehdä päätöksiä ohjelmiensa turvallisuuden suhteen. Tekoälyn ja ohjelmien käytöksen tutkimisen avulla myös virusskannaukset ovat kevyempiä, eivätkä haittaa käyttäjän työskentelyä.
10. Edda Nömmela (2013-s). Luku 5. Millaisia heikkouksia verkkokaupankäynnissä on nykyään?
Verkkokaupankäynnin suurin uhka on maksudatan suojeleminen. Erityistä turvaa tarvitsevat luottokorttien numerot, korttien vanhenemispäivät, kortin omistajien nimet, PIN- ja CV2-koodit.
Ostaessasi jotain verkkokaupasta, maksudatasi kulkee lukemattomien (myyjän/jälleenmyyjän) järjestelmien, verkkojen, varmentavien sovellusten yms. läpi. Maksudata siis kulkee tai joskus myös tallentuu useisiin kohteisiin, mikä lisää sen riskiä tulla varastetuksi. Nykyiset käytössä olevat maksukäytännöt ja -protokollat pohjautuvat siihen, että maksudatasta tulee ”jaettu salaisuus”, jota sitten yritetään suojata hakkereilta. Kun maksudatan on kuitenkin virrattava useiden järjestelmien, verkkojen ja sovellusten läpi, on salaisuus jaettu aika moneen paikkaan. Eli todennäköisyys kasvaa, että se joskus jostakin systeemistä varastetaan. Usein myös ostajat haluavat helppouden vuoksi, että heidän maksudatansa (luottokorttinumero) säilytetään jossakin järjestelmässä usein tapahtuvia ostoja varten tai palautuksissa tapahtuvaa rahan takaisinmaksua varten.
Ostajille tarjotaan erilaisia (näennäisesti) tietoturvaa parantavia ratkaisuja maksamiseen, kuten CV2-koodi, 3-D Secure ja SET (secure electronic transaction). Suosiotaan ovat lisänneet myös virtuaaliluottokortit, kuten PayPal.
CV2-koodi on vain yksi jaettu salaisuus lisää, eikä se siten varsinaisesti vähennä riskiä maksudatan varastamiseen. 3-D Secure on XML-pohjainen protokolla, jolla lisätään tunnistautumisvaihe maksamiseen. 3-D tulee kolmesta osapuolesta; Acquirer (myyjä tai pankki jonne raha maksetaan), Issuer (pankki joka myönsi maksukortin) ja Account holder (varmistetaan, että on 3-D on tuettu). Vaikka 3-D tarjoaa hyvän tunnistautumisen, se on käytössä osoittautunut kankeaksi. Sen riesana ovat jatkuvat phishing-yritykset. Joskus myös käyttäjät epäilevät oikean 3-D:n olevan phishingiä. 3-D myös siirtää kortin väärinkäytön vastuun myyjältä ostajalle. 3-D on kuitenkin melko laajasti käytössä eri verkkokaupoissa ja palveluissa.
SET on Visan ja MasterCardin kehittämä protokolla, jolla on tarkoitus suojata luottokorttitiedot. SET tunnistaa kaikki maksun osapuolet, eikä myyjäosapuolen ikinä tarvitse päästä käsiksi ostajan luottokorttitietoihin. SET ei kuitenkaa ole yleistynyt, sillä siinä on valtavasti overheadia ja sen hallinta olisi liian monimutkainen.
Virtuaaliluottokorttien maksut käsitellään ihan samalla tavalla kuin ”oikeiden” luottokorttien, mutta ne ovat yleensä voimassa vain tiettyyn verkkokauppaan ja tietyn aikaa. Varkauden tapahtuessa vahingot ovat siis paljon pienempiä.