Tietoturva-arjen kysymyksiä ja vastauksia kirjan perusteella
Ohje: Valitse nimikoimaton tehtävä alla olevasta luettelosta. Nimikoi se eli kirjoita nimesi sen alkuun numeron jälkeen ja nimen jälkeen (2012-k).. Tämän voit tehdä jo ennen kuin edes saat kirjaa haltuusi. Laadi 100-150 sanan mittainen vastaus määräaikaasi mennessä tehtävän alle. Merkitse tehtävän numero Moodlessa olevaan taulukkoon, jossa kirja- ja pj-vuorot jaetaan. Jos käytät myös jotain muuta kuin omaa ja kirjan tietämystä, merkitse lähdeviite.
John Viega: The Myths of Security, 2009
Tästä kirjasta ei ole kunnon ilmaisnäytettä, jossa päästäisiin itse asiaan, mutta luvusta 1 ja jälkisanoista saa kyllä hyvän lukutehtävän ja kysymyksen. Muita kysymyksiä olisi helppo keksiä itsekin, kunhan kirjan saa käteen, sillä sen luvut ovat lyhyitä ja keskittyvät kukin yhteen kyseenalaistettuun asiaan. Tähän on poimittu yksi kokoelma osin sen perusteella mitä kirjan arvosteluissa on todettu.
1. Marko Hakkarainen (2011-k). Mikä tietoturvateollisuudessa on Viegan mukaan yleisesti vialla ja millä tavoin hänen oma työnantajansa sittenkin on jonkinmoinen poikkeus?
Vertailuna muihin yrityksiin Viega nostaa esiin muun muassa tapoja, joiden mukaan McAfeella toimitaan esimerkiksi löydettäessä aukkoja jonkin ohjelmiston koodista. Heillä on periaatteena tiedottaa asiasta ohjelmiston tekijää, eikä yleisöä, mutta he tarjoavat myös avoimesti tietoa, keihin aukko/aukot vaikuttavat, kun asia on tullut julki. McAfeella on myös hyvä yritys "parantaa Maailmaa" julkaisemalla SiteAdvisor ja Stinger haittaohjelmansiivoustyökalu ilmaisena käyttäjille.
Viegan mielestä McAfeella on tehty erittäin hyvää työtä ja otettu käyttäjäkokemuksia huomioon ja kehitetty palveluita asiakkaidenkin mielipiteiden ja kokemusten suunnasta. Kehityksessä yritys on kulkenut vuosien ajan "keskellä tietä" laadullisesti ja hänen mielestään yrityksessä myös johtaminen, visio ja teknologian hallinta on erinomaista. Lisäksi McAfeella ei hänen mielestä ole keskitytty pelkästään teknisen puolen ratkaisuihin, jotka ovat jo olleet olemassa/käytössä sellaisinaan viidentoista vuoden ajan monissa paikoin.
2. Bo Wang (2011-k). Mitä tarkoittaa sanonta ”neljä minuuttia tartuntaan” ja miksei sitä kannata säikähtää?
Neljä minuuttia tartuntaan viittaa SANS:n (yritys joka myy tietoturvakoulusta, sertifikaatteja yms) vuonna 2008 tekemään raporttiin, jonka mukaan suojaamattomaan, päivittämättömään Windows XP:hen tarttuu keskimäärin neljässä minuutissa jokin virus tai vastaava mikäli se kytketään sellaisenaan verkkoon. Todellisuudessa näin helppoa se ei kuitenkaan ole, sillä esimerkiksi XP:n Service Pack 2:n mukana tulee jo palomuuri, joka suojaa ulkopuolisilta hyökkäyksiltä. Puhumattakaan siitä että myös ISP:t toimivat suodattimina ennen kuin infektiot pääsevät kotikoneeseen.
Palomuurit niin reitittimissä tai softana koneessa antavat suojaa, ja myös NAT (Network Address Translation) toimii haasteena ulkopuolisille hyökkäyksille. Useimmiten tartutaan tarvitaan jokin käyttäjän tekemä virhe, joko tarkoituksella tai vahingossa.
3. Henrik Braun (2011-s). Miksi virustorjunta on hidasta?
Käyttäjän on mahdollista ajaa virustorjuntaskannausta kahdella eri tavalla: on-access scanning ja on-demand scanning. On-demand skannaa tiedostoja, kun niitä ei käytetä. Tätä on esimerkiksi koko systeeminen läpitarkastus eli Full System Scan. On-access skannausta tapahtuu, kun käynnistät käyttöjärjestelmän ja kun käytät tiedostoja. Tämä käyttää koneesi resursseja ja luonnollisesti hidastaa tietokonettasi.
Virustorjuntaohjelmat toimivat niin, että AV-yritys allekirjoittaa päivittäin uusia haitallisiksi luokitsemiaan ohjelmia ja lähettää päivityksen myötä allekirjoitukset virustorjuntaohjelman tietokantaan. Allekirjoitettuja ohjelmia etsitään koneelta erilaisia menetelmiä käyttäen.
Nykyaikainen keino on kryptografinen allekirjoittaminen, missä tutkittavasta ohjelmasta lasketaan kryptoallekirjoitus, jota verrataan kryptoallekirjoitusten tietokantaan. Tietokannasta etsimisen nopeuteen vaikuttaa tietokoneen kiintolevyn lukunopeus. Tietokoneen hitaus johtuu siitä, että tietokoneesi kiintolevyllä on vain tietty kapasiteetti käsitellä ajettavia ohjelmia tietokantaskannauksen aikana. Kryptografisten avaimien etsimiseen on kirjoitettu algoritmeja, joista osa ei ole edes tehokkaita.
Haittaohjelmat ovat lisääntyneet nykypäivänä niin, että niitä syntyy päivittäin noin 10 000 kappaleen verran. AV-yritykset pystyvät analysoimaan ja kirjoittamaan haittaohjelmaklustereille allekirjoituksia noin 30 %:n verran kokonaismäärästä. Tämäkin vaatii työvoimaa ja massiivisia resursseja. Virustorjuntaohjelmasi avaintietokanta kasvaa suuremmaksi päivittäin, ja tämä vaikuttaa suoraan käyttöjärjestelmäsi hidastumiseen.
Ongelmaksi muodostuvat myös perinteiset allekirjoitukset, jotka on toteutettu koodin vertailu -menetelmällä. Koodikanta vie huomattavasti enemmän tilaa ja vanhojen allekirjoitusten poistaminen kannasta tai korvaaminen uusilla kryptoavaimilla on työlästä, ja niistä ei välttämättä haluttaisi luopua niiden toimivuuden vuoksi.
Virustorjuntayritykset ovat kehittyneet alkuaikojen jälkeen ja niiden työllistämät alansa nerokkaammat ihmiset etsivät uusia, parempia ja tehokkaampia keinoja harmonisen AV-ytimen rakentamiseen. Käyttäjä voi toki uskoa sokeasti AV-vertailun käytettävyystuloksiin, mutta hänen on kysyttävä itseltään onko nopeustehokkain vaihtoehto välttämättä paras.
4. Jeremias Virtanen (2011-s). Miksi virustorjunnan vaikutus on puutteellista?
Malwarea tulee jatkuvasti joka tuutista, eikä antivirus-organisaatiot pysy aina perässä. Tarpeeksi koulutettua väkeä on yksinkertaisesti liian vähän, ja uusien malware-trendien hahmottamiseen ja estämiseen menee huomattavasti aikaa. Tämä johtaa siihen, että suojaukset haittaohjelmille tulevat ulos myöhään, jos silloinkaan. Toinen keskeinen ongelma on se, että pahat hakkerit voivat myös käyttää AV-softia. He muokkaavat haittakoodiaan kunnes softa ei enää reagoi siihen, ja lähettävät sen sitten ilmoille tekemään tuhojaan.
Suurin osa nykyisistä AV-teknologioista ovat jo hyvin vanhoja, mutta kattavat silti lähes 100% markkinaosuuden. Organisaatioilla ei kuitenkaan ole intoa lähteä tuhlaaman huomattavia resursseja uusien teknologioiden kehittämiseen, koska vanhastakin kurasta maksetaan. On helpompaa ostaa uusi parempi teknologia pikkufirmalta, jos siihen tarjoutuu mahdollisuus.
5. Kirjoittavatko virustorjuntayhtiöt omia viruksiaan ?
Viega toteaa, että eivät tietenkään, vastoin myyttistä luuloa, joka liittyy myynninedistämiseen. Selitykseksi hän antaa eettisyyden ja sen, että epäeettiset ohjelmointitaidot saavat paremman tuoton muilla tavoilla. (Tämä opettajan kirjoittama vastaus ei ole lyhyydessään mallina muille, mutta sisällysluettelosta poimittu kysymys ei ollut kovin hyvä kurssin tarpeisiin. Lopussa on kaksi uutta kysymystä.)
6. Matti Tiainen (2011-k). Mikä kyseenalaistus liittyy avoimeen lähdekoodiin?
Yleisesti sanotaan, että avoimuus on hyväksi, koska kuka tahansa voi tutkia ohjelman lähdekoodia ja löytää mahdollisen tietoturvauhan tai muun bugin, tehden näin avoimen lähdekoodin ohjelmista turvallisempia. Tämä teoria tunnetaan nimellä "monta silmäparia". Viegan mielestä tämä on täyttä potaskaa.
Viega kutsuu avoimen koodin turvallisuutta savusilliksi (http://fi.wikipedia.org/wiki/Red_herring), joka harhauttaa pois varsinaisesta asian ytimestä: ei sillä onko ohjelma avoin vai suljettu ole niinkään väliä, vaan sillä paljonko sen turvallisuuteen on käytetty rahaa ja aikaa.
Ja tämä on usein avoimen koodin ohjelmissa ongelma: suosituimmat avoimet ohjelmistot on auditoitu varsin läpikotaisesti, mutta valtaosa ei kerää tarpeeksi mielenkiintoa (eikä rahaa) ja ne jäävät täten turvattomiksi. Suosituimmat ohjelmistot kun keräävät osaavimmat ohjelmoijat, jolloin muille jää vähemmän aivopääomaa. Näin ollen, kun verrataan ison valmistajan suljettua perustuotetta avoimen lähdekoodin vastaavaan, mitä luultavimmin suljettu on parempi turvallisuuden suhteen.
Lisäksi Viega todistelee usean eri esimerkin avulla, että useimmiten suljetun lähdekoodin ohjelmistoissa turvallisuus on luultavimmin paremmassa jamassa kuin avoimessa. Niistä valtaosassa palataan rahaan; rahalla saa paremman, osaavamman ja runsaslukuisamman kehittäjätiimin, joka huolehtii myös turvallisuudesta paremmin.
Siksi kiistely avoimen ja suljetun lähdekoodin paremmuudesta on hieman turhaa. Sen sijaan enemmän tulisi keskittyä siihen paljonko kehitykseen on käytetty aikaa ja rahaa.
7. Jukka Kollanus (2013-k). Mitä Viega tarkoittaa mainitessaan esipuheessa, että luku 17 riittää sellaisille, jotka ovat kiinnostuneita vain oman tietojenkäsittelynsä turvaamisesta? (Millainen olisi luvun 17 ohjeiston riittävyys tämän TTA-kurssin tavoitteisiin?)
Luku 17 antaa kansantajuisesti tiivistetyt tietoturvaohjeet, 10 käskyä annettavaksi peruskäyttäjälle. Ohjeet sopivat hyvin myös tietoturva-arjen ohjeistukseksi. Ohjeissa neuvotaan tiivistetysti
- tekemään ohjelmapäivitykset heti; asentamaan ohjelmia vain turvallisista lähteistä, eikä ainakaan tiedostonjakopalveluista.
- välttämään outoja liitetiedostoja, epämääräisten mainosten klikkailua, antamasta henkilötietoja tuntemattomille.
- pitämään tietoturvaohjelmisto päällä ja ajan tasalla, ja pitämään kone NAT:n takana ja WLAN salattuna.
8. Hanna-Leena Kemppainen (2012-s). Millainen koulutus tarvittaisiin jotta luvun 18 antamat varoitukset voisi ottaa huomioon? (Voisiko tässä TTA-kurssissa tehdä jotain asian hyväksi?)
Tietoturvaa myyvä ohjelmistotalo on hieman samanlaisessa asemassa kuin vakuutusmyyjä. Tietokoneiden ja järjestelmien käyttäjät haluavat tuntea olevansa turvassa, vaikkeivät välttämättä tiedä kovin tarkasti, mitä ja ennenkaikkea miten jotain pahaa voisi tapahtua. Mielikuvilla on iso merkitys tietoturvaan liittyvässä kaupankäynnissä eikä osaajalla ole välttämättä tietotaitoa eikä joskus edes halua ottaa asioista selville kovin syvällisellä teknisellä tasolla. Tässä on sitten markkinasaumaa kaikentasoisille enemmän tai vähemmän vakuuttaville tuotteille ja yrityksille.
Kirjan luvussa Viega ei varsinaisesti anna vastauksia kysymykseen, millaista koulutusta tarvittaisiin Hän kuitenkin painottaa sitä, että tarvitaan yritteliäisyyttä, sitkeyttä ja uteliaisuutta esittää myös teknisiä kysymyksiä, ja pitää ymmärtää tietoturvaan liittyvistä riskeistä aina silloin kun tutkitaan onko myytävästä tuotteesta oikeasti hyötyä. Tee kotiläksysi. Teknistä osaamista tarvitaan, mutta jos sitä ei ole omasta takaa, niin silloin pitäisi kysyä apua niiltä, jotka sen hallitsevat. Tärkeintä on varmistua, mitä todella saa, kun jonkun tuotteen ostaa. Käärmeöljystä voi olla hieman tai ei ollenkaan hyötyä, tai se voi tuottaa jopa haittaa. Tietoturvallisuudessa haitta voi olla myös tuudittautuminen väärään turvallisuudentunteeseen.
Yleisesti sanottuna, jos se kuulostaa liian hyvältä ollakseen totta - älä osta; se on useinkin juuri sitä ja rahat menevät enemmän tai vähemmän turhakkeen hankintaan. Tiedä mitä ostat, ennenkuin ostat.
9. Mika Junikka (2011-k). Voiko identiteettivarkauksille mitään?
Viegan mukaan monet yritykset ovat ottaneet käyttöön läppäreissä olevien tietojen kryptauksen, jolloin kukaan ei pääse henkilökohtaisiin tietoihin käsiksi vaikka läppäri varastettaisiin. Ongelma on Viegan mukaan suurempi tavallisten kuluttajien osalta, sillä identiteetti voidaan varastaa vaikkapa roskista penkomalla tai maksamalla Visalla ravintolassa. Tarjoilijan on helppo kirjoittaa kortin tiedot ylös salaa. Olisikin huomattavasti turvallisempaa, mikäli tarjoilija toisi mukanaan kannettavan laitteen ja asiakas näkisi maksutapahtuman omin silmin. Lisäksi henkilötunnus tuo omat riskinsä, sillä se voi joutua vääriin käsiin suhteellisen helposti.
Viegan mukaan itse huolellisesti toimimallakaan ei vältytä riskeiltä riittävän hyvin, joten hän ehdottaakin ratkaisuksi tapauskohtaisesti muuttuvaa henkilötunnusta. Jokaisella olisi henkilötunnuksessa vakio alkuosa, kuten nykyäänkin, mutta loppuosa olisi jokaista tapahtumaa varten erilainen luoden väliaikaisen henkilötunnuksen. Lisäksi asiakas saisi päättää, mitä kyseisen henkilötunnuksen puitteissa saisi tehdä. Kun jokin henkilötunnusta vaativa toimenpide tulee suoritetuksi, väliaikainen henkilötunnus poistuu käytöstä ja näin ollen sitä ei voida enää käyttää. Tällainen järjestelmä olisi Viegan mukaan mahdollinen, mutta se vaatisi paljon rahaa ja aikaa.
10. Olli Mantyla (2011-k). Ovatko välimieshyökkäykset vain myytti?
Viegan mukaan eivät. Hän antaa esimerkin PayPalista, joka ei hänen mukaansa siihen aikaan suorittanut varmistusta, että maksutiedot olivat oikeelliset. Vastaavia tilanteita voi syntyä, jos väliintulo on mahdollista eikä sovellus varmenna tietojen oikeellisuutta. Myös liikenteen urkkiminen hyökkäysten avulla ovat mahdollisia.
Hyökkäyksen voi toteuttaa lähiverkkoon käyttäen ARP Poisoning -nimistä hyökkäystapaa, joka toimii ethernetissä (koska ARP) eli käytännössä lähiverkoissa. Loppupeleissä hyökkääjän ei kuitenkaan tarvitse olla itse lähiverkon jäsen, jos hän saa esimerkiksi tietoturva-aukon kautta haltuunsa koneen, joka kuuluu kyseiseen verkkoon.
Lisäksi nykyään langattomuus yleistyy, ja Viega antaa helpon esimerkin, missä hyökkääjä voisi käyttää hyväkseen nettikahviloiden suojaamattomia WLAN-verkkoja (miksei suojattujakin, jos käytössä oleva salasana on tiedossa). Hyökkääjä voisi luoda samanlaisen verkon, jonka asiakkaan kone valitsee saadessaan siitä oikeaa verkkoa vahvemman signaalin.
11. Rami Kivirinta (2012-k). Mikseivät salasanajärjestelmät ole puutteistaan huolimatta kuolemassa?
Kirjassaan Viega luettelee joukon salasanoihin liittyviä puutteita alkaen yksinkertaisten salasanojen arvaamisen helppoudesta päätyen liiallisten arvausten estämisen ongelmiin. Vaikka salasanajärjestelmiin liittyy paljon ongelmia, Viega ei näe salasanajärjestelmien kuolevan pois. Hän esittelee kolme pääasiallista syytä tälle:
Ensiksikään, tällä hetkellä ei ole olemassa kunnollista vaihtoehtoa salasanatunnistautumiselle. Sormenjälkiskannerit ja tunnistautumislätkät (engl. proximity badge) ovat joko liian kalliita tai niiden toimivuus jättää toivomisen varaa.
Salasanajärjestelmien hylkäämistä viisaampaa on yhdistellä tunnistautumismenetelmiä. Englannin kielinen termi tälle on multifactor authentication. Tunnistautuminen tapahtuu esimerkiksi yhdistämällä tiedot siitä, mitä käyttäjä tietää (salasana, PIN-koodi), mitä käyttäjällä on (USB-mokkula, henkilökortti) ja/tai mitä käyttäjä on (sormenjälki tms.). Yksinkertainen Viegan mainitsema esimerkki on PIN-koodi ja pankkikortti.
Kolmanneksi, itse salasanajärjestelmää voidaan parantaa. Ensimmäinen Viegan mainitsema parannus perustuu ”zero-knowledge password” -protokollan käyttöön, jolla voidaan suojautua nopeaa salasanojen arvailua vastaan. Protokollan ansiosta salasanasta ei saada tietoa satunnaisarvailua paremmin.Toinen parannusehdotus on kertakäyttöisen salasanan käyttäminen. Viega kertoo järjestelmien olevan kohtalaisen yksinkertaisia tehdä. Hänen itse tekemässään OPUS-järjestelmässä lähetetään käyttäjätunnus- ja järjestelmäkohtainen kertakäyttösalasana tekstiviestinä käyttäjätunnusta vastaavaan puhelimeen. Kaupallinen esimerkki kertakäyttösalasanajärjestelmistä on RSA SecurID -avaimenperä, jossa näkyy minuutin välein vaihtuva PIN-koodi.
Lopuksi Viega toteaa, että vaikka tietokoneteollisuus voisi toimia paremminkin salasanajärjestelmien turvallisuuden suhteen, salasanat eivät silti ole katoamassa. Siksi kannattaakin olettaa olevansa vaarassa ja pitää huolta salasanoistaan.
12. Riku Itäpuro (2011-s). Miksi Viegan roskaposti on kuollut, huolimatta huikeasta päivittäisestä määrästään?
Viega onnistuu vähentämään roskapostinsa määrän alle yhteen päivässä käsittelemällä roskapostia vain itsensä näkökulmasta ja pystyy näin määrittelemään rajat hyvinkin rajoittavasti. Tämä ei onnistu yleisessä tapauksessa massoille.
Viegan menetelmät sisältävät black- ja whitelistingin sekä automaattisen vastausviestin lähetyksen niille lähettäjille, joiden kanssa Viega ei ole aiemmin käynyt kirjeenvaihtoa. Vastausviesti sisältää ohjeen, millä lähettäjä saa yhteyden. Siinä tapauksessa, että roskapostittaja noudattaisi ohjeita ja tulevaisuudessa tästä tulisi ongelma, voidaan menetelmää muuttaa niin, että roskapostittajan täytyisi käyttää pieni summa rahaa esim. lähettää maksullinen SMS-viesti puhelimeen, joka white-listaa lähettäjän. Hän myös käyttää vapaamielisesti kertakäyttöisiä tai helposti luotuja sähköpostilaatikoita, jotka voidaan unohtaa, kun niihin alkaa kertyä roskapostia.
Näillä menetelmillä roskapostista pystytään eliminoimaan 99%. Koska postin määrä toisaalta voi olla tuhansia päivässä, tuo päästää vielä läpi, mutta tällöin tulee käyttöön sisältöön perustuva analysointi. Viega myöntää kuitenkin, että muut käyttäjät voivat hyötyä yhteisöllisistä roskapostin merkkauspalveluista, jossa käyttäjäpalaute nostaa tarkkuutta, tai jonkun suuren toimittajan valmiista pilvessä toimivista analysointikerroksista luokittelussa.
Mielestäni Viegan kuvaamat keinot ovat hänellä osin äärimmäisiä ja vaativat kommunikointiin osallistuvilta tarkan protokollan sisäistämistä. Tämä voi olla vaikeaa tavalliselle käyttäjälle, ellei ole valmis erakoitumaan ja tyytymään siihen, että iso osa postista jää tulematta perille, koska kaikki eivät osaa tai halua noudattaa Viegan kuvaamia menetelmiä.