Kirjautuminen

Haku

Tehtävät

Keskustelu: Yleinen keskustelu: Suomi24-sivuston tietomurto

Sivun loppuun

Schedler [09.04.2010 20:50:59]

#

Kuten moni jo varmaan tietää, ulkopuolinen taho onnistui murtautumalla suomi24-sivuston järjestelmään saamaan käsiinsä kymmenien tuhansien suomalaisten käyttäjätiedot. Cert-fin mukaan on mahdollista että vain osa järjestelmän käyttäjätiedoista päätyi vääriin käsiin.

Täsmällistä tietoa esimerkiksi salasanojen talletusmuodosta ei ole vielä saatavilla, mutta Cert-fin mukaan että salasanat oli talletettu järjestelmään tiivisteiden muodossa. Epävarmaa on se, ovatko salasanat alttiita sanakirjahyökkäykselle vai onko salasanojen tiivisteisiin ripoteltu soveliaasti suolaa. Mahdollista on, että salasanojen tiivisteet on talletettu sellaisenaan. Tähän viittaa mm. Cert-fin kommentti uutiseen liittyen, joka kehoittaa käyttäjiä mahdollisimman pitkän ja “vaikeanö salasanan käyttöön.

Internetin eri palveluiden tietoturvatasoissa on huomattavia eroja. Suomi24-palvelun tapauksessa salasanojen tallentamiseen on sentään käytetty tiivisteitä, toisin kuin Helsingin Sanomien ylläpitämässä Älypää-palvelussa, jonka tietomurrosta uutisoitiin maaliskuussa 2010.

Internetin eri palveluihin kohdistuvien tietomurtojen määrä on jatkuvassa kasvussa. Tästä huolimatta moni käyttäjä ei tiedä, mitä mahdollisia vaikutuksia tietomurroilla saattaa olla. Yksinkertaisimmissa palveluissa haitta saattaa rajoittua pieneen mielipahaan, toisessa ääripäässä käyttäjän elämä saattaa muuttua hyvinkin dramaattisesti (sähköinen asiointi, tulevaisuuden terveydenhuollon tietojärjestelmät).

Tästä herää kysymys: pääsevätkö tietomurtojen kohteeksi joutuvien järjestelmien ylläpitäjät liian helpolla? Internetin peruskäyttäjän luovuttaessa tietojaan ulkopuolisen järjestelmän haltuun käyttäjällä on tietty oletus kyseisen järjestelmän luotettavuudesta. Mikäli järjestelmän ylläpito ei kykene omalta osaltaan vastaamaan käyttäjän odotuksiin, missä määrin käyttäjä on oikeutettu korvauksiin mahdollisten haittavaikutusten osalta?

Miten käyttäjän kokemia tietomurron haittavaikutuksia voisi parhaalla tavalla arvioida? Mikä on sopiva korvaus tietomurron kohteeksi joutuneelle käyttäjälle?

Blaze [09.04.2010 21:45:49]

#

Schedler kirjoitti:

Internetin eri palveluihin kohdistuvien tietomurtojen määrä on jatkuvassa kasvussa. Tästä huolimatta moni käyttäjä ei tiedä, mitä mahdollisia vaikutuksia tietomurroilla saattaa olla.

s/käyttäjä/ylläpitäjä/ :(

Lebe80 [09.04.2010 22:10:02]

#

Schedler kirjoitti:

Miten käyttäjän kokemia tietomurron haittavaikutuksia voisi parhaalla tavalla arvioida? Mikä on sopiva korvaus tietomurron kohteeksi joutuneelle käyttäjälle?

Voisi myös miettiä, mikä olisi sopiva korvaus ylläpitäjälle käyttäjätietojen tallentamiselle tai vaikkapa tietojen suojaamiselle. Eli niin kauan kun palvelu on käyttäjälle ilmaista, niin voiko siitä valittaa?

Macro [10.04.2010 15:10:42]

#

Asiasta oli nähtävästi uutisissakin. :o

User137 [16.04.2010 18:33:17]

#

Suomi24:n käyttäjänä vois mainita tässä että sivusto pakotti heti jokaisen käyttäjän vaihtamaan salasanansa, se oli ensimmäinen ruutu joka sisäänkirjautuessa tuli vastaan. Lisäksi sivusto kertoi heti tukkineensa hakkereiden käyttämän aukon.

Triton [16.04.2010 21:55:47]

#

Voisin melkein yleistää, että vaikeampaa on tehdä tietoturvallinen palvelu kuin hakkeroida se... Eli voidaanko sillon ylläpitäjää syyllistää?

Edit. Sitä paitsi, jos tälläistä ajatusta aletaan kylvämään, niin pian hakkerien vastuu siirtyy ylläpitäjille ja se ei ole lainkaan oikein. Yhtäläillä murtovaras voi murtautua kotiisi, niin onko syy liian huonon lukon vai varkaan?

Grez [16.04.2010 22:40:17]

#

Triton kirjoitti:

Voisin melkein yleistää, että vaikeampaa on tehdä tietoturvallinen palvelu kuin hakkeroida se...

Eihän se silloin ole tietoturvallinen palvelu jos sen hakkerointi on mahdollista, saati jos se on helppoa.

Ja kun tietoturvallisen palvelun tekeminen nyt ei ihan hirveän vaikeaa ole, niin väite ei selvästikään pidä paikkaansa.

Jos tarkoitit sanoa että tietoturvallisen palvelun tekeminen on vaikeampaa, kuin tietoturvattoman palvelun hakkeroiminen, niin sitten voin olla samaa mieltä.

Käytännössä kaikkiin asuintaloihin on muuten helppo murtautua, mutta ei se silti välttämättä tarkoita että lukko olisi huono. Usein ovesta on helpompi mennä läpi kirveellä kuin tiirikoida tai porata lukko (varsinkin Suomessa). Lisäksi ikkunoista pääsee yleensä vielä helpommin läpi kuin ovesta ja monesti jopa seinästä pääsee helpommin läpi kuin ulko-ovesta.

Tuollainen seinän tai oven läpi meneminen vastaa mielestäni palvelun tietoturvassa sitä, kuin mentäisiin jotain käyttiksen ennalta tuntematonta aukkoa hyödyntäen sisään, kun taas SQL injektiomahdollisuuden jättäminen on vähän kuin jättäisi oven auki.

Vaikka ovi on auki, niin eihän se silti varkaasta syytöntä tee, mutta voit kuvitella ettei pankissakaan silitellä päätä jos pankkivirkailija unohtaa lähtiessään lukita holvin ja ulko-oven, vaikka lukitus kuuluu hänen vastuulleen.

Triton [16.04.2010 22:45:36]

#

Jos kerran tietoturvallisen palvelun tekeminen ei ole hirveän vaikeaa, niin miksi ihmeessä sitten koko aika tapahtuu tietomurtoja? Voidaan toki aina estää SQL-injuktiot yms., muttei se silti tee palvelusta 100% turvallista. Eli ehkäpä näin ollen ei voida puhua missään tilanteessa tietoturvallisesta palvelusta...

Deffi [16.04.2010 22:48:52]

#

Triton kirjoitti:

Yhtäläillä murtovaras voi murtautua kotiisi, niin onko syy liian huonon lukon vai varkaan?

Yleensä kun otetaan näitä vertauskuvia mukaan keskusteluun, niin ollaan menossa metsään. SQL-injektion tapauksessa hyökkääjä kirjoittaa vain sopivan pyynnön osoiteriville ja saa vastaukseksi käyttäjätunnukset ja salasanat. Jos murtovaras pyytää sinulta kauniisti huonekalusi ja annat ne, niin onko syy varkaan vai sinun?

Ei sillä, että vertauskuvani olisi yhtään parempi. Ne ei vaan yleensä toimi kun puhutaan tietotekniikasta. Hauskoja kylläkin.

Triton [16.04.2010 22:58:09]

#

Deffi kirjoitti:

Triton kirjoitti:

Yhtäläillä murtovaras voi murtautua kotiisi, niin onko syy liian huonon lukon vai varkaan?

Yleensä kun otetaan näitä vertauskuvia mukaan keskusteluun, niin ollaan menossa metsään. SQL-injektion tapauksessa hyökkääjä kirjoittaa vain sopivan pyynnön osoiteriville ja saa vastaukseksi käyttäjätunnukset ja salasanat. Jos murtovaras pyytää sinulta kauniisti huonekalusi ja annat ne, niin onko syy varkaan vai sinun?

Kysymys on täysin asian tulkinnasta. En vertaisi SQL-injektiota lahjoittamiseen, sillä ei silloin ole kysymys varkaudesta. Siinä mielessä olen Grezin kassan samaa mieltä, että SQL-injektiota tulisi verrata ennemminkin oven auki unohtamiseen..

Grez [16.04.2010 22:58:17]

#

Triton kirjoitti:

Jos kerran tietoturvallisen palvelun tekeminen ei ole hirveän vaikeaa, niin miksi ihmeessä sitten koko aika tapahtuu tietomurtoja?

No usein palveluille ei aseteta niin korkeita turvavaatimuksia, että siihen panostettaisiin. Ja varsinkin näissä suomen viimeaikaisissa jutuissa väittäisin että kyse on siitä, että toistaitoiset säätäjät on tehneet niitä järjestelmiä.

Triton kirjoitti:

Eli ehkäpä näin ollen ei voida puhua missään tilanteessa tietoturvallisesta palvelusta...

Kyllä täysin tietoturvallisiakin palveluita voidaan tehdä (paitsi jos lasketaan myös fyysinen turvallisuus mukaan) Se on helppoa mutta työlästä eli kallista ja siksi varsinkin kaupalliset toimijat tasapainottavat riskejä ja kustannuksia.

Metabolix [16.04.2010 23:00:24]

#

Triton kirjoitti:

Jos kerran tietoturvallisen palvelun tekeminen ei ole hirveän vaikeaa, niin miksi ihmeessä sitten koko aika tapahtuu tietomurtoja?

Koska tietotekniikka-alalla työskentelee sadoittain ihmisiä, jotka eivät kerta kaikkiaan tiedä näistä asioista mitään vaan koodaavat erittäin huteralta harrastuspohjalta aivan kammottavia purkkaviritelmiä. Pikkufirmoille voi päästä tekemään kotisivuja ja siinä sivussa kaikenlaista muutakin, kun kertoo pari vuotta harrastaneensa nettisivuja ja väittää osaavansa PHP:tä – siitä se ura sitten lähtee, vaikka pohjatiedot usein puuttuvat täysin.

Triton [16.04.2010 23:06:15]

#

Grez kirjoitti:

Kyllä täysin tietoturvallisiakin palveluita voidaan tehdä. Se on helppoa mutta työlästä eli kallista ja siksi varsinkin kaupalliset toimijat tasapainottavat riskejä ja kustannuksia.

Kysymyshän on silloin lähinnä teoreettisestä palvelun mallista, joillaista ei koskaan tehdä. Tällöinhän kyseisen laisesta palvelusta on turha puhua.

Grez [16.04.2010 23:09:01]

#

No, jos mietitään niin kyllä toimijoita löytyy, jotka panostavat siihen tietoturvaan keskivertoa enemmän. Esimerkiksi pankit.

Lähtökohta oli kuitenkin se että kumpi on helpompaa, tietoturvallisen palvelun tekeminen vai palveluun murtautuminen. Jos ymmärtää mitä tekee, on erittäin helppoa tehdä sellaisia palveluita, joihin murtautuminen on erittäin vaikeaa. Ainahan se voi onnistua, kuten sanoin, esimerkiksi jotain käyttiksen reikää hyödyntäen. Mutta ennalta tuntemattomien reikien löytäminen on hyvin vaikeaa ja hyvin ylläpidetyssä palvelussa useimpia niistäkään ei hyökkääjät voi hyödyntää.

Metabolix [16.04.2010 23:26:49]

#

Triton kirjoitti:

Kysymyshän on silloin lähinnä teoreettisestä palvelun mallista, joillaista ei koskaan tehdä.

Täydellisyys on eri asia kuin edes kohtuullinen tietoturva. Valtaosan tietomurroista voi estää muutamalla hyvin yksinkertaisella käytännöllä:
- SQL-syötteen asianmukainen käsittely (mysql_real_escape_string),
- sivulle tulostettavan datan asianmukainen käsittely (htmlspecialchars),
- käyttäjätietojen tarkistus uudestaan joka sivulla (jos aiheellista),
- käyttäjän lähettämien tiedostojen järkevä käsittely.

Mikään näistä ei vaadi edes ylimääräistä työtä, jos järjestelmässä on jotain tolkkua. Kuitenkin nämä usein unohdetaan, ja tällaisia aukkoja on myös äärimmäisen helppo etsiä miltä tahansa sivustolta ihan ohimennen.

Triton [16.04.2010 23:58:11]

#

Ymmärrän tämän täysin, ei sillä, mutta eipäilen silti, ettei esim. McKinnon-tapauksessa Pentagoniin murtauduttu esim. SQL-injektiolla. Sattuu sitä paremmissakin piireissä...

JussiR [17.04.2010 11:26:16]

#

Metabolix kirjoitti:

Tietotekniikka-alalla työskentelee sadoittain ihmisiä, jotka eivät kerta kaikkiaan tiedä näistä asioista mitään vaan koodaavat erittäin huteralta harrastuspohjalta aivan kammottavia purkkaviritelmiä. Pikkufirmoille voi päästä tekemään kotisivuja ja siinä sivussa kaikenlaista muutakin, kun kertoo pari vuotta harrastaneensa nettisivuja ja väittää osaavansa PHP:tä – siitä se ura sitten lähtee, vaikka pohjatiedot usein puuttuvat täysin.

Haha tunnistan itseni. Töitä piisaa, oon kuulemma tosi hyvä (tein wordpressillä parit sivut :D).

Deffi [17.04.2010 14:50:24]

#

Triton kirjoitti:

Kysymys on täysin asian tulkinnasta. En vertaisi SQL-injektiota lahjoittamiseen, sillä ei silloin ole kysymys varkaudesta.

Sepä se ongelma onkin

t. 8 tietomurrosta syytetty ja syytteistä vapautettu

Rikoslaki 38 luku 8§ kirjoitti:

Tietomurto. Joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava tietomurrosta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.

Käräjäoikeus kirjoitti:

Syyksilukemisen sekä hylkäämisen perusteet - muut syytekohdat

Yleistä

--

Syytekohtien 3-7 ja 9-11 (tietomurrot) osalta ******** on sinällään tunnustanut menetelleensä teonkuvauksessa kuvatulla tavalla, eli hän on syöttänyt syytekohdissa mainitut vihamieliset komennot (sql injektiot). Kuten edellä on todettu, ******** mukaan kyse ei kuitenkaan ole ollut siitä, että tämä olisi tapahtunut turvajärjestelyn murtamalla. Syytekohtien tarkoittamat sivut eivät ole olleet mitenkään suojattuja. Vastaajan mukaan tässä on kyse tilanteesta, joka on rinnastettavissa siihen, että "ovea ei ole ollut". Kyse on ollut siitä, että vastaaja on tehnyt komennon pyytäen salasanat ja käyttäjätunnukset.

Tietomurtoa koskevat syytekohdat

--

Käräjäoikeus toteaa kuitenkin, ettei asiassa ole selvitetty sitä, onko tutkittavana olevilla sivuilla ollut sellaista turvajärjestelyä, jota tietomurron tunnusmerkistön täyttyminen edellyttää. ******* on kiistänyt turvajärjestelyn olemassaolon. Syyttäjä tai asianomistajat eivät ole esittäneet mitään näyttöä siitä, että sivuilla olisi ollut syötteiden kuten "Select"-komennon tarkistamista ja filtteröintiä koskevaa turvajärjestelyä. Syyttäjä on kylläkin esittänyt näyttöä siitä, että komentoja, jotka sisältävät sanan "Select" on lähetetty *******n hallussa olevalta tietokoneelta. Myös ******* on tunnustanut tämän. Tämä ei itse asiassa ole ollut riidanalaista. Komentoja on määrättyjen sivujen osalta lähetetty useitakin. Tämä ei kuitenkaan riitä osoittamaan sitä, että sivustoilla olisi ollut olemassa lain tarkoittamaa turvajärjestelyä. Koska turvajärjestelyn olemassolo ja sen murtaminen on jäänyt epäselväksi,on syyte tietomurtoa koskevilta osin keskeisen rikosoikeudellisen periaatteen (favor defensions) mukaan hylättävä.

Jokotai [17.04.2010 15:04:19]

#

Triton kirjoitti:

Deffi kirjoitti:

Triton kirjoitti:

Yhtäläillä murtovaras voi murtautua kotiisi, niin onko syy liian huonon lukon vai varkaan?

Yleensä kun otetaan näitä vertauskuvia mukaan keskusteluun, niin ollaan menossa metsään. SQL-injektion tapauksessa hyökkääjä kirjoittaa vain sopivan pyynnön osoiteriville ja saa vastaukseksi käyttäjätunnukset ja salasanat. Jos murtovaras pyytää sinulta kauniisti huonekalusi ja annat ne, niin onko syy varkaan vai sinun?

Kysymys on täysin asian tulkinnasta. En vertaisi SQL-injektiota lahjoittamiseen, sillä ei silloin ole kysymys varkaudesta. Siinä mielessä olen Grezin kassan samaa mieltä, että SQL-injektiota tulisi verrata ennemminkin oven auki unohtamiseen..

Itse vartaisin SQL-injektioita siihen että jättäisi eeppisen mechan oven vartioimatta auki, eikä mechassa olisi edes kuskin tunnistus järjestelmää. :D Ja eiväthän nuo sivut tosiaankaan nerojen tekosia ole :)

Triton [17.04.2010 18:14:20]

#

Se tässä tuntuukin typerältä, että itsekin olen pelkkä harrastelijakoodari, niin voin väittää kykeneväni poistaa nuo tyypillisimmät tietoturva-aukot (siis juuri nuo sql-injektiot ja xss-aukot), silti koko aika murtaudutaan eri palveluihin ja sivuihin käyttämällä juuri noita aukkoja hyväksi. Luulis nyt, että vähän paremmin sitä koodia tarkkaillaan ammattipiireissä...

Grez [17.04.2010 18:16:39]

#

Triton kirjoitti:

Luulis nyt, että vähän paremmin sitä koodia tarkkaillaan ammattipiireissä...

Se että pääsee jonnekin töihin ei automaattisesti kasvata tumpelon osaamista.

Triton [17.04.2010 18:24:48]

#

Grez kirjoitti:

Triton kirjoitti:

Luulis nyt, että vähän paremmin sitä koodia tarkkaillaan ammattipiireissä...

Se että pääsee jonnekin töihin ei automaattisesti kasvata tumpelon osaamista.

Niin no joo, voi olla ettei se datanomikoulutuskaan tee kaikista koodareista tietoturvamestareita...

Jokotai [17.04.2010 18:46:09]

#

Triton kirjoitti:

Grez kirjoitti:

Triton kirjoitti:

Luulis nyt, että vähän paremmin sitä koodia tarkkaillaan ammattipiireissä...

Se että pääsee jonnekin töihin ei automaattisesti kasvata tumpelon osaamista.

Niin no joo, voi olla ettei se datanomikoulutuskaan tee kaikista koodareista tietoturvamestareita...

{Oikeastaan suuri osa koodareista on vain koodiapinoita jotka naputtelevat samoja rivejä kuin aina ennenkin osaamatta luoda uutta, datanomikoulun esimerkkejä lähinnä riipien.}(aaltosulkujen materiaali on kärjistetty)

Schedler [17.04.2010 20:41:05]

#

Lebe80 kirjoitti:

Voisi myös miettiä, mikä olisi sopiva korvaus ylläpitäjälle käyttäjätietojen tallentamiselle tai vaikkapa tietojen suojaamiselle. Eli niin kauan kun palvelu on käyttäjälle ilmaista, niin voiko siitä valittaa?

Erittäin hyvä ja ajatuksia herättävä kysymys.

Suurimmat vahingot tästä tietomurrosta aiheutuivat käsittääkseni siitä, että käyttäjien sähköpostiosoitteet olivat helposti yhdistettävissä muihin järjestelmiin. Tyypillinen esimerkki tästä on hotmail-käyttäjä, joka käyttää samaa @hotmail-sähköpostiosoitettaan ja salasanaa useissa eri palveluissa.

Suomi24-palvelun tapauksessa on osittain kyseenalaista se, että palveluun rekisteröityminen ylipäänsä vaati voimassaolevan sähköpostiosoitteen. Käsittääkseni palvelu itsessään sisältää viestimismahdollisuuden. Mitä tarkoitusta sähköpostiosoite tässä tapauksessa palvelee?

Vielä kyseenalaisempaa mielestäni on sähköpostiosoitteen vaatiminen esim. Älypää-peliä vastaavissa palveluissa, joissa mitään oikeasti tärkeää tietoa ei vaadita tai tuoteta.

Palvelun ylläpitäjien on luonnollisesti helppo perustella sähköpostiosoitteen tarvetta sillä, että käyttäjälle voidaan tarvittaessa toimittaa uusi salasana. Kyseinen käytäntö on kuitenkin tietoturvamielessä jokseenkin kyseenalainen, johtuen sähköpostiliikenteen yleisestä turvattomuudesta. Parempi ratkaisu olisi unohtaa sähköpostiosoite; mikäli käyttäjä unohtaa salasanansa, voi hän aina luoda uuden käyttäjätilin.

Tässä suhteessa en poistaisi järjestelmien ylläpitäjien vastuuta tietomurroista vedoten kyseisten järjestelmien maksuttomuuteen. Ilmaisten järjestelmien kehittäjällä on aina mahdollisuus kehittää järjestelmä siten, että mahdollisen tietomurron vaikutukset rajoittuvat vain ja ainoastaan kyseiseen järjestelmään. Näinollen mikäli kyseessä on maksuton järjestelmä, ei kyseisellä järjestelmällä pitäisi olla mitään yhteyttä muihin järjestelmiin, esimerkiksi yhteisten tunnistetietojen (sähköposti, syntymäaika, asuinkaupunki, ikä) muodossa.

Grez [17.04.2010 20:44:42]

#

Täytyy myös huomata, että kyllähän käyttäjät suomi24:nkin käytöstä maksavat mainosten katselun muodossa.

Itse asiassa Ohjelmointiputka taitaa edustaa Suomessa todella harvinaista ihan oikeasti maksutonta ja mainosvapaata palvelua.


Sivun alkuun

Vastaus

Aihe on jo aika vanha, joten et voi enää vastata siihen.

Tietoa sivustosta