Hopeinen Omena

Otsikkoasia on laittanut miettimään. Miten murto/varkaus on mahdettu tehdä? Vai onko Vastaamossa oltu ihan tunareita?

Entä kuinka helppoa olisi varastaa tiedot pöytämacistä tai pilvipalvelimelta? Onko perus virusohjelmista estämään vastaavaa vai onko kotikoneen hakkerointi ulkoapäin helppo nakki? Ilmeisest kaikki tärkeät ja yksityiset tiedostot on syytä kryptata, tallentaa muistitikulle ja laittaa kassakaappiin?

Paha mennä sanomaan varmuudella, mutta jos Iltasanomia on uskominen niin jotakuinkin täysin amatöörimäisen virityksen avulla tuonne on menty, lähes yhtä helposti siis kuin lapselta tikkarin vieminen:

Kiristäjä oli yhteydessä Ilta-Sanomiin viime viikolla tarkoituksenaan saada julkisuutta teoilleen. IS ei antanut verkkorikolliselle ääntä. Yksi hänen väitteistään kuitenkin oli, että murto tapahtui automatisoidusti ohjelmistorobotilla, joka kokeili verkkoon kytkettyihin järjestelmiin tunkeutumista oletussalasanoin.

Ilta-Sanomien tietojen mukaan ensimmäisen murron tapahtuessa Vastaamon palvelin oli MySQL-palvelin, josta oli sallittu etäyhteydet. Tämän lisäksi sen tietokanta on ollut salaamaton.

Normaalisti MySQL-palvelimet eivät salli etäyhteyksiä. Asetukset oli kuitenkin säädetty etäyhteydet mahdollistaviksi. Syytä tähän ei tiedetä, mutta mahdollisesti terapeuttien tietokantaan pääsemisen helpottamiseksi.

Mitä tulee toiseen kysymykseen, virustorjuntaohjelmisto ei oletuksena tarkkaile kaikkea epäilyttävää verkkoliikennettä koneella, vaan se keskittyy nimensä mukaisesti vain tietynkaltaisten ohjelmien / koodien suorituksen havainnointiin. Tosin nykyään nuo "virussovellukset" ovat entistä enemmän kokonaisvaltaisia tietoturvasovelluksia joissa tulee palomuuria, heuristiikkaa jne yms. mukana. Siltikään noista ei olisi tässä yhteydessä ollut kovin paljoa apua, koska lähtökohtaisesti portit oli jo avattu kohteen päässä seppoisen selälleen.

Lähtökohtiasesti tuollainen tiedosto- ja/tai sovelluspalvelin on takoitettu käytettäväksi verkkoyhteyden kautta. Verkko voi olla eristetty ulkoverkoista, pääsyoikeus useamman varmistuksen eikä vain yhden pysyvän salasanan takana (vrt. pankin asiakasjärjestelmät), pääsy vain VPN:n kautta yksilöidyllä koneella jne.

Tai sitten verkko ja palvelin on avoimen internetin piirissä ehkä palomuurilla suojattuna mutta jotkut portit käytössä.

Jos ulkopuolinen tunkeutuja pääsee palvelimeen asti, pääsy tietoihin on jo huomattavan todennäköistä. Huolimattomuudesta johtuen voi olla käytössä järjestelmän hallinnan tunnnuksia oletussalasanoin. Toinen huolimattomuus on jättää järjestelmän alusta tai sovellukset päivittämättä ja tunkeutuja pääsee hyödyntämään tunnettuja mutta jo korjattuja haavoittuvuuksia.

Suojausta pitäisi rakentaa kerros kerrokselta ja sisäistenkin tietovarkaiden varalta - joilla siis on luvallinen pääsy johonkin osaan tiedoista - vaikka turvautua salakirjoitukseen. Käyttöjien oikeudet arkaluonteisia tietoja sisältävissä ympäristöissä pitäisi rajata vain niihin, tietoihin joita käyttäjä työssään tarvitsee. Tällasissa järjestelmissä myös käytön seurantaloki on osa suojausta.

Edellä siis joitain perusasioita. Huolimattomuudelle ja varomattomuudelle on tilaa vaikka minkä verran.

Kotikoneeseenkin voi asentaa tai jättää palveluita päälle ulkopuolisille käyttäjille: etäkäyttö/-pääsy, tiedostojako, tulostinjako, vierastili jne. Normaalisti tällaisiä ulkopuolelta käytettäviä palveluita ei saisi olla päällä muutoin kuin oman lähiverkon käyttäjille. Silloinkin tulisi toimi tunnuksilla, joilla ei ole ylläpito-oikeuksia ja käyttää pitkiä salasanoja.

Kotikäytössä ulkoisen verkon ja sisäisen verkon väliin on syytä laittaa palomuurilla varustettu reititin. Palomuurin asetukset ehkä oletusarvoisesti estävät koko lähiverkon olemassaolonkin näkymisen ulkoverkkoon. Reitittimen/palomuurin ylläpitotunnuksen salasana on syytä vaihtaa, ehkä koko ylläpitotunnus toiseksi kuin 'tehdasetuksissa'.

macOS:n ohjelmallinen palomuuri kannattaa tietenkin pitää päällä sojaamaan syystä tai toisesta omaan lähiverkkoon päässeiden uteliaisuudelta. Se suojaa siis vain sitä konetta, jossa se pyörii. Yleisesti ottaen Macinkin käyttö olisi suositeltavaa tehdä tunnuksilla, joilla ei ole ylläpitäjän oikeuksia. Läppärin tai ulkoisen levyn/USB-tikun tietojen suojaaminen fyysisen varkauden varalta on helpointa tehdä levyn salakirjoituksen (FileVault) ja varmuuskopioiden avulla.

Virustorjunta tms. on sitten eri juttu, se analysoi tavalla tai toisella koneeseen tulleita uusia tiedostoja ja osin varoittelee epäluotettavista verkkopalveluista. Se suojaa siis tunkeutumisen tapahduttua joiltain tunnetuilta ohjelmallisilta uhkilta. Virustorjuntaa parempi keino haittaohjelmia vastaan on kuitenkin käyttö ilman ylläpito-oikeuksia. Silloin minkä hyvänsä - torjuntaohjelmalle tuntemattomankin - haittaohjelman mahdollisuudet ovat kovin rajalliset.

Varmuuskopioint tietysti pitää aina muistaa.

Itse olen sitä mieltä, että sellaista sähköistä systeemiä ei olekaan, jota ei pystyisi murtamaan. Kannattaa siis miettiä, mitä tietoja itsestään on valmis antamaan sähköisiin järjestelmiin.

Mikään terverydenhuollon potilasjärjestelmän ei tule ikuisesti olemaan suojattu murtautujilta, joten ennemmin tai myöhemmin ne tiedot tulevat leviämään.

jeppe kirjoitti:Kannattaa siis miettiä, mitä tietoja itsestään on valmis antamaan sähköisiin järjestelmiin.

Todella monessa asioinnissa täytyy antaa henkilötiedot. Ilman niitä ei tapahdu asiointia. Siihen ei voi vaikuttaa. Millään muulla asialla, jota itsestäni kerron, ei ole mitään väliä vaikka ne vuotaisivat kaikille.

Jos se Tapio on jättänyt F-Securen vuosimaksun maksamatta.

Hyviä pointteja. Varmuuskopiointiinkin liittynee riskinsä: kuinka turvallinen esim. Carbon Copy tai Time Machine on, jos jokin pääsee väliin tekemään ”oman kopion”?

Onko Applen oma salasanat Avainnippu luotettava, liikkuuko tiedot siinä iCloudin kautta laitteiden välillä ja eikös siinäkin ole riskinsä?

Eli johtopäätös: Onko suositella jotakin yritystä joka tekee tietoturvakonsultointia?

"..tietoturvakonsultointia..."

Ensiksi tulee mieleen tässäkin yhteydessä esillä ollut Nixu.

Tekee konsultointia kenelle? Yksityishenkilölle? Yhden miehen autotallifirmalle? Kansainväliselle multimiljardien arvoiselle yritykselle?

Ensinmainitsemillesi lähinnä.

Tämä ei nyt ole mikään vastaus vaan yleistä pohdintaa.

Onhan tuo Nixu 400 hengen firma jo nykyään eli yleiskustannukset ovat jo jonkinlaiset.

Konsultoinnin omakustannus lienee siis luokassa 3 x palkka eli n. 150 € tunti. Siihen sitten jonkin verran kannattavuutta, brändilisää jne. niin laskutushinnat eivät enää alkane ykkösellä/tunti.

Uskoisin kuitenkin silti jäätävän reilusti alle lakitoimistojen tai viestintätoimistojen hinnan alle.

Tarjouspyynnönhän voi aina tehdä. Jos firmalla on tajouskantaa tungokseen asti niin isommat toimeksiannot ovat varmaan niitä kiinnostavimpia.

Yksityishenkilölle tehtävä tietoturvakonsultointi on sitä perinteistä "rahat pois tyhmiltä" touhua, samat asiat voisi suurinpiirtein kertoa joku kansalaisopiston atk-ajokortin vetäjäkin kun ei tuossa yksityishenkilöiden puuhissa ole kuin muutama hassu liikkuva osa.

Lyhyesti tiivistettynä: Kaikki verkossa olevat laitteet voivat vuotaa tietojasi kolmansille osapuolille, joko tietämättäsi tai luvan epähuomiossa annettuasi. iCloud ei sekään ole täydellinen, mutta kokonaisuutena kuitenkin valtavasti parempi kuin 20 vuotta sitten käytetty näytön reunoille post-it lappujen liimailu tai yhden ja saman "kissa123" salasanan käyttö joka ikisen tunnuksen kanssa.

Eli missään laitteessa jonka saa verkkoon, ei kannata säilyttää liikesalaisuuksia, arkaluontoisia tietoja tms.?

Yksityishenkilö tai se autotalliyrittäjä voisi ilahtua jos joku ihan konkreettisesti osoittaisi miten ”vuotokohtia” voi tukkia - jos voi.

Jollain lailla kuitenkin Terveystalo, Mehiläinen yms. ovat selviytyneet paremmin kuin Vastaamo. Olisi kyllä kiinnostava tietää mikä ero noiden välillä on ollut tietoturvassa.

Onko pilvipalveluihin päästy murtautumaan, esim. Box.com mainostaa tunnettujen yritystenkin käyttävän sitä (eri asia sitten mihin)?

Jollain lailla kuitenkin Terveystalo, Mehiläinen yms. ovat selviytyneet paremmin kuin Vastaamo. Olisi kyllä kiinnostava tietää mikä ero noiden välillä on ollut tietoturvassa.

Isoilla toimijoilla on ollut resursseja hoidattaa hommat alan ammattilaisilla itse tekemisen sijasta.

Alan koulutuksestakaan ei ole haittaa. Tietotekniikkakonsulteilla yleensä sitä koulutustakin on eikä vain kokemusta. Tässä valitettavassa tapauksessa on tehty liian paljon itse eikä pohjakoulutustakaan ole tainnut olla.

Lseppo1 kirjoitti:Eli missään laitteessa jonka saa verkkoon, ei kannata säilyttää liikesalaisuuksia, arkaluontoisia tietoja tms.?

Riippuu aivan täysin siitä kuinka vahingollista dataa se on joutuessaan ulkopuolisten käsiin. Esimerkiksi amerikkalaisten presidenttien käyttämiä kuuluisia "ydinaseen laukaisukoodeja" en itse säilyttäisi iPhonen muistiossa joka synkatty iCloudilla pilveen. Se Rapen remonttipajan kanssa tehty sopimus kolmen parkkialueen betonointiurakasta taasen on sellainen joka nyt ei ihan aiheuta vastaavaa tuhoa jos sen joku hakkeri saa 0.000000000000000001% todennäköisyydellä haltuunsa random tietovuodon / murron seurauksena.

Firmat tekee näistä ihan omat riskianalyysinsä, onko käytettävyyden ja sen myötä tuottavuuden hyöty suurempi kuin mahdollinen haitta vahinkotilanteissa. Sellaista firmaa tuskin löytyykään joka pitäisi kaiken ei-julkisen datan jossain verkottomassa keskuskoneessa jonne ei saisi kytkeä edes usb-tikkua.

homenamsi kirjoitti:

Jollain lailla kuitenkin Terveystalo, Mehiläinen yms. ovat selviytyneet paremmin kuin Vastaamo. Olisi kyllä kiinnostava tietää mikä ero noiden välillä on ollut tietoturvassa.

Isoilla toimijoilla on ollut resursseja hoidattaa hommat alan ammattilaisilla itse tekemisen sijasta.

Näin se on, mutta ymmärtääkseni, lehtitietojen mukaan, tässä ylenkatsottiin aika pahasti tietoturvallisuuden merkittävyys. Riskienhallinta petti täysin ja nyt taitaa yritys olla ”arvoton”. Riskienhallinnan pitää olla ylimmän johdon tehtävä.

Jos liikevaihto oli 13 miljoonaa niin sanotaan että puolen promillen investoinnilla (7000€) tietoturvallisuuden kehittämiseen niin tilanne ei olisi tämä?

Ja nyt ihan vaan spekuloin, en tiedä faktoja.

Jos näitä nettihuhuja on uskominen, niin tietomurto johtui kolmesta eri virheestä, joista jokaisen edes etäisesti tietoturvasta perillä oleva henkilö osaisi välittömästi tulkita isoksi riskitekijäksi:

1) Tietokanta säilytettiin salaamattomana palvelimella
2) Palvelin ja tietokantasovellus oli täysin auki ulkoverkkoon, jolloin kuka tahansa milloin tahansa pystyi kokeilemaan koneelle sisäänkirjautumista, ilman mitään aikarajotteita
3) Tietokantasovelluksen pääkäyttäjätunnus oli "root" ja sen salasana myös "root" joka kertoo sen ettei oletussalasanaa ollut kukaan vaivautunut edes vaihtamaan tuon sovelluksen käyttöönottoasennuksen jälkeen.
4) lisäbonuksena vielä lähtökohtaisesti kaikki etänä tapahtuvat pääkäyttäjätason kirjautumiset pitäisi olla estetty, juuri kohdan 3) kaltaisten amatöörimokien paikkaamiseksi. Kirjautuminen ilmeisesti kuitenkin onnistui suoraan tuolla root/root tunnuksella...

Ei maanalainen paikka... No voiko tuosta päätellä että pienyrittäjän toimistokoneen tiedostojen imurointi vaatii vaivaa ja sen voisi jopa estää? Palomuurilla, salasanoilla, 2FA kirjautumisilla, pahistorjuntaohjelmalla?

Palomuuri joka estää yhteydenotot eri portteihin ja kaikkien sovellusten oletussalasanojen vaihto + niiden verkkokirjautumisen poiskytkentä on jo tarpeeksi hyvä turva suurimmalta osalta automatisoituja hyökkäyksiä (jollainen tämä Vastaamon tapauskin ilmeisesti oli)

Jos koneelle joku ulkopuolinen oikeasti haluaa päästä, hän pääsee kyllä, ennemmin tai myöhemmin, jos kone on verkossa kiinni. Yleensä nuo tietomurrot on kyllä paljon helpompi toteuttaa kysymällä käyttäjiltä tunnukset suoraan huijausviestien / sosiaalisen kanssakäymisen kautta kuin näillä "vanhan liiton" yritä/arvaa/erehdy -metodeilla.

”niiden verkkokirjautumisen poiskytkentä”

Tarkoitatko sovellusten? Esim. automaattiset päivitykset?

Tuo Vastaamon tapaushan voi johtaa siihen että kohdennetusti lähdetään yrittämään muidenkin yrittäjien asiakastiedostoihin joista löytyy hetut, nimet yms.

Tämä tietovuoto on poikinut kansalaisaloitteen "Henkilötunnuksen käsittely tunnistamistarkoituksessa on kiellettävä" ( https://www.kansalaisaloite.fi/fi/aloite/7548 ).

Itse käytän aina vaihtoehtoa 'manuaaliset päivitykset', ts aktivoin päivityksen aina itse. Ilmoitus saa tulla automaattisesti, mieluummin sekin vain sovelluksen käynnistyksen kautta eikä minkään taustalle unohdetun 'Auto Updaten' kautta.

Jos normaalikäyttö tapahtuu tunnuksilla, joilla ei ole ylläpito-oikeuksia, jäävät automaattiset toiminnotkin puolitiehen tai vaativat erikseen autentikoinnin.

Kotikäytössä ei pitäisi olla lainkaan sellaisia toimintoja päällä, jotka näkyisivät oman lähiverkon ja palomuurin taakse avoimeen verkkoon.

Jokainen voi testata oman verkkonsa näkymisen internetiin täällä https://www.grc.com/

Lseppo1 kirjoitti:Tarkoitatko sovellusten? Esim. automaattiset päivitykset?

Ei vaan esimerkiksi reitittimen / modeemin asetuksista kytketään pois admin-tunnuksilla verkkokirjautumismahdollisuus ulkoverkosta, mikäli se siellä jostain syystä on oletuksena päällä. Sama pätee esim. tiedostojakoja lähiverkossa, niitäkään ei kannata missään nimessä pitää päällä pääkäyttäjätunnuksia käyttäen, vaan aina taviskäyttäjän tunnareilla. Harvalla kotikäyttäjällä sitten pyöriikään mitään muuta kotikutoista web-palvelinta tai muuta tiedostonjako / tietokantapalvelinta johon pitäisi saada ulkomaailmasta yhteys, mutta periaate on sama.

Tuo Vastaamon tapaushan voi johtaa siihen että kohdennetusti lähdetään yrittämään muidenkin yrittäjien asiakastiedostoihin joista löytyy hetut, nimet yms.

Vastaavia bottiverkkoja pyörii juuri tälläkin hetkellä miljoonittain ympäri maailmaa jotka kolkuttelevat kaikkea mahdollista mummosta marjamehuun ja yrittävät päästä kirjautumaan sisään joillakin tietyillä vakiotunnuksilla, yleensä nuo kolkuttelut tyssäävät jo siihen kotimodeemin / reitittimen palomuuriin koska oletuksena kaikki sisäänpäin suuntautuva liikenne pitäisi olla blokattuna. Saat olla aika korkean profiilin kohde että joku rikollisliiga ottaisi juuri sinut yksilöidysti kohteekseen ja alkaisi tutkimaan miten koneellesi pääsee, se vie aivan liian paljon aikaa ja manuaalista työtä / resursseja jotta tuohon ryhtyisi kukaan ilman täyttä varmuutta siitä että koneeltasi löytyy jotain rahanarvoista.

Ns. tilallisen palomuurin toimintaperiaatehan on, että kaikki ulkoapäin "yllättäen ja pyytämättä" tulleet yhteydenotot blokataan ja vain oman selaimen tai muun sovelluksen tekemät pyynnöt päästetään läpi julkisesta verkosta päin.

Bottien tekemiä porttikolkutteluja voi seurata oman palomuurin lokista, niitä on paljon .