Nettiä paikataan maalarinteipillä
Tietoturvatutkija Dan Kaminsky teki melkoisen uroteon internetin turvallisuuden takaamiseksi. Huomattuaan netin ytimessä piilevän vakavan vian hän sai suuret ohjelmisto- ja tietoliikennelaitteistojen toimittajat tekemään ja jakelemaan korjaukset tuotteisiinsa. Kun Kaminsky sitten paljasti, mistä viassa oikein oli kysymys, venäläinen fyysikko Polyakov kuitenkin hakkeroi ratkaisunkin rikki. Internetin korjaus maalarinteipillä ja rautalangalla ei yksinkertaisesti enää onnistu.
Kun kirjoitat nettiselaimesi osoitekenttään vaikka uusisuomi.fi ja painat nappia, verkon liikennettä ohjaavat DNS-palvelimet (Domain Name System) reitittävät sinut oikealle sivulle. Kotisivujen ja sähköpostiosoitteiden nimeäminen perustuu tähän DNS-järjestelmään. Perustavaa laatua oleva vika DNS:ssä antaa rikollisille mahdollisuuden ohjata minkä tahansa osoitteen omille sivuilleen. Vaikka oman tietokoneesi tietoturva on täysin kunnossa, kun kirjoitat esimerkiksi pankin osoitteen selaimeen, rikollinen voi siepata sen matkan varrelta ja tarjoilla tilalle omia sivujaan, joilla ehkä kysytään pankkitunnuksia.
Tämä ongelma, roskaposti ja moni muu murhe netissä johtuu siitä, että teknologia kehitettiin 1970-luvun alussa välittämään tietoa luotettujen koneiden välillä. Siitä vain tuli niin hyvä järjestelmä, että maapallon tiedonvälitys ja liiketoiminta tuskin enää toimisivat ilman tätä avointa verkkoa.
Suljettu GSM-verkko on puolestaan esimerkki suunnitelmasta, jonka perusperiaatteet myös tietosuojamielessä toimivat vieläkin. Verkkoviasta johtuvia huijauksia on julkisuuteen tullut vähän, jos yhtään, sillä verkkoyhteyksiä tarjoavat operaattorit tunnistavat käyttäjänsä. Tunnistaminen ja sitä tukevat teknologiat ovat kuitenkin johtaneet turvallisempaan tiedonvälitykseen. Puhelinverkossahan on se hyvä puoli, että soittaessaan jollekin voi luottaa puhelimen soivan juuri oikeassa osoitteessa.
Teknisesti avoin internet ja toisaalta suljettu GSM-järjestelmä ovat käyttäjille kuitenkin jo yhtä ja samaa digitaalista verkkoa. Puhelimella voi surffata netissä ja laajakaista-pc:llä soittaa kännykkään. On kohtuutonta olettaa, että käyttäjä enää huomenna välttämättä huomaa, missä verkossa milloinkin viestii.
Niin hieno asia kuin vapaa ja villi internet on tähän asti ollutkin, sen lieveilmiöt pakottavat web-palvelujen tarjoajat jatkuvasti tiukentamaan tietosuojaa. Esimerkiksi Huuto.net-huutokaupassa ja PayPal-maksunvälitysjärjestelmässä käyttäjä saa luotettavuuspisteitä, jos on tunnistautunut luotetun tahon avulla.
Maksavat asiakkaat määräävät netissäkin suunnan. Viime kädessä massamarkkinat ostavat enemmän vakaata ja turvallista tuotetta kuin villiä ja vaarallista.
Internetin seuraava versio, muun muassa lisää tietoturvaa lupaava IPv6, on jo valmis, mutta sen käyttöönotto tulee kestämään vuosia. Maalarinteippiä siis tarvitaan vielä pitkään.
Roskapostin ja virusten torjuntaan on helppokäyttöisiä pc-työkaluja, mutta miten tavallinen nettisurffaaja voi varautua verkon selkärangan, nimijärjestelmän, vikoja hyödyntäviin rikoksiin? Samalla tavalla kuin moneen muuhunkin asiaan, jossa pyydetään antamaan pois jotakin arvokasta, kuten salasanoja. Varmista, kuka kysyjä on. Netissä se tapahtuu klikkaamalla selainikkunan oikean alakulman lukkoa ja varmistamalla, että tunnusten kysyjä on kuka hän väittää olevansa.
Piditkö tästä kirjoituksesta? Näytä se!
"Kun kirjoitat nettiselaimesi osoitekenttään vaikka uusisuomi.fi ja painat nappia, verkon liikennettä ohjaavat DNS-palvelimet (Domain Name System) reitittävät sinut oikealle sivulle. Kotisivujen ja sähköpostiosoitteiden nimeäminen perustuu tähän DNS-järjestelmään. Perustavaa laatua oleva vika DNS:ssä antaa rikollisille mahdollisuuden ohjata minkä tahansa osoitteen omille sivuilleen."
Yhteiskunta perustuu viestin alkuperän hävittämiseen ja viestin arvovaltaistamiseen. Ei Anne Brunilakaan ole Anne Brunila, vaan UPM-Kymmenen, m-Realin ja Stora-Enson tahdonilmaus, jota pönkitetään tutkimustiedolla kuin myös akateemisilla titteleillä.
Moni hallituskin reitittää väärin käyttäen viestintätoimistoa, joka osaa hoaxin hallitusta paremmin jne.
"Vaikka oman tietokoneesi tietoturva on täysin kunnossa, kun kirjoitat esimerkiksi pankin osoitteen selaimeen, rikollinen voi siepata sen matkan varrelta ja tarjoilla tilalle omia sivujaan, joilla ehkä kysytään pankkitunnuksia."
Voihan kuka tahansa höyryttää kirjeen auki ja loukata viestintäsalaisuuden, entisen kirjesalaisuuden. Naapuri voi kuulla seinäntakaa jotain yksityistä jne.
"Tämä ongelma, roskaposti ja moni muu murhe netissä johtuu siitä, että teknologia kehitettiin 1970-luvun alussa välittämään tietoa luotettujen koneiden välillä."
Suuri osa viestinnästä, esimerkiksi tuoteselosteista ja mainonnasta kulkee tuntemattomien kesken. Niin myös kirjaston kirjojen tarjoamasta viestiliikenteestä.
"Siitä vain tuli niin hyvä järjestelmä, että maapallon tiedonvälitys ja liiketoiminta tuskin enää toimisivat ilman tätä avointa verkkoa."
Tämä osoittaa transaktiokustannusten kautta, ettei autentikointi ole välttämätöntä, reittaus riittää.
"Varmista, kuka kysyjä on. Netissä se tapahtuu klikkaamalla selainikkunan oikean alakulman lukkoa ja varmistamalla, että tunnusten kysyjä on kuka hän väittää olevansa."
En minä näe mitään "lukkoa" ikkunan oikeassa alakulmassa.
Näet sitten kun olet vaikkapa pankin SSL-suojatuilla sivuilla (URL alkaa https:..jne..)
Esimerkiksi Operan versiossa 9.27 näkyy suojatulla sivustolla oltaessa osoiterivin oikealla puolella lukon kuva ja varmenteen haltijan nimi suoraan.
Viemällä hiiren osoittimen ilmoituksen kohdalle saa näkyviin salausprotokollan tyypin ja tason. Ilmoitusta klikkaamalla saa näkyviin tarkemmat tiedot käytetyistä varmenteista ja voi tarkistaa, onko sivusto ilmoitettu huijaussivustoksi (vastaa suunnilleen IE7:n tietokalastelun torjuntasuodatinta).
Se vain on käytännön hyötyä ajatellen pieni ongelma, etteivät salausprotokollat ja varmenteiden tiedot kerro aiheeseen perehtymättömälle mitään. On vaikea uskoa, että kotitietokoneen vastikään pankkiasiointia varten hankkinut käsittäisi noista tiedoista muuta kuin lukon kuvan summittaisen merkityksen sen kerran kuultuaan.
http://64.233.183.104/search?q=cache:ZY_r7cjWgncJ:www.it.lut.fi/kurssit/...
Tässä on seminaarityö lappeenrannan teknisestä yliopistosta vuodelta 2003.
"Se ei ole vika, vaan ominaisuus" Hannu Vuola ex sampolainen"
Hakkaraisen kolumni yleistää hyvin aihetta, joka on itsessään teknisesti vaikea. Ja on myös yhteiskunnallisesti vaikea ymmärtää, esim. Tapio Nevan yllä esittämä kirjeanalogia ei toimi, koska kirjettä ei voi avata ellei sitä saa käsiinsä. Nyt esitetyssä ongelmassa Kaminsky löysi uuden aukon DNS-palvelusta, joka mahdollisti jo osittain torjutuksi uskotun cache poisoning hyökkäyksen, joka puolestaan mahdollistaa liikenteen ohjaamisen haluttuun osoitteeseen (vrt. kirjeen saaminen käsiinsä). Ja sitten tuo WWW-sivujen SSL-suojaus tarjoaa teoriassa murtamattoman salakirjoituksen, jolloin sen kirjeen joutuminen hyökkääjään käsiin ei enää merkitse mitään (tosin SSL:ääkin vastaan on hyökkäyksiä).
Valitettavasti tähän ongelmaan ei ole hyviä ratkaisuja. GSM:n käyttö ei ole turvallista, koska kun Internetiä käytetään puhelinverkon tai sen datapalveluiden ylitse, käytetään edelleeenkin Internetiä ja esim. tuo Kaminskyn löytämä DNS-aukko on hyödynnettävissä.
IPv6:kaan ei oikeasti ratkaise mitään. Ainoa IPv6:n merkittävä etu verrattuna nykyiseen IPv4:ään on suurempi osoiteavaruus. IPv6:een määritellyt suojausominaisuudet ovat jo saatavilla IPsec-nimellä IPv4:n ja kärsivät siitä perustavasta ongelmasta, että on helppoa luoda murtamaton salattu yhteys, mutta on hyvin vaikeata tietää minne tämä yhteys on. Avainten ja identiteetin hallinta on toistaiseksi ratkaisematon ongelma. Ongelma on sekä hallinnollinen, että tekninen. Meillä on suuri määrä julkaisuja, jotka alkavat "aluksi oletamme globaalin PKI:n...", eli oletetaan jonkun luovan hallinnollisen mekanismin, joka mahdollistaa salaisten avainten liittämisen henkilöihin ja organisaatioihin ja sitten ratkaistaan joukko ongelmia. Mutta kun tuo hallinnollinen kuvio on itse se ongelma, hienojen kryptohimmelien rakentaminen sen jälkeen on helppoa. Ja samaan aikaan, jos kaikki liikenne ja kyselyt aletaan oikeasti salata ja suojata kryptolla, törmäämme suorituskykyongelmiin. Kotikoneet kestävät, mutta palvelimet vaativat olennaisesti lisää suorituskykyä ja etenkin erät olennaiset palvelimet vaativat huomattavasti lisää suorituskykyä.
DNS:hän olisi voitu turvata jo aikaisemmin DNSsec-tekniikalla, jossa jokainen kysely ja vastaus allekirjoitetaan (ei salata) salaustekniikalla. Mutta se ei ole yleistynyt, koska maailman DNS-juuri ei kestäisi nykyisellään tätä merkittävää kuormalisäystä. Minulla ei ole tarkkoja laskelmia, mutta oletan että tuo olisi kuitenkin kohtuullisen halpaa, kymmeniä tai satoja miljoonia DNS-runkoon, sitten vähän lisää reunapalvelimille ja työasemille riittää ohjelmistopäivitys. Pitäisi vain löytää maksaja.
Lyhyellä aikavälillä kuitenkin ainoa realistiselta tuntuva ratkaisu on käyttäjien kouluttaminen. Kun käytät pankkia, opettele tietämään missä päin selainta suojatun yhteyden indikaattori ja myös tietämään mitä sen takana lukee. Ja niin edelleen, turva edellyttää jatkuvaa valppautta.
kiravuo
". Ja on myös yhteiskunnallisesti vaikea ymmärtää, esim. Tapio Nevan yllä esittämä kirjeanalogia ei toimi, koska kirjettä ei voi avata ellei sitä saa käsiinsä."
Kirjeen nappaaminen ei ole sen vaikeampaa kuin muun viestiliikenteen nappaaminen - valtiolle.
Toisin kuin yleisen keskustelun perusteella voisi päätellä, nämä nimipalveluun liittyvät tietoturvaongelmat ovat olleet asiantuntijoiden tiedossa jo vuosia. Niinpä ongelmaan on myös olemassa tekninen ratkaisu, DNNSEC -standardi, joka on otettu käyttöön jo esimerkiksi Ruotsissa .se -tasolla. Ongelmana DNSSEC-standardissa on kuitenkin se, että aukottomasti toimiakseen se vaatisi kaikkien - aivan kaikkien - mukaantuloa. Kun jo pelkästään nimipalvelimia on maailmassa toistakymmentä miljoonaa, ongelman ratkaiseminen ei käytännössä ole helppoa olemassaolevasta teknologiasta huolimatta.
Mitä taas tuohon fyysikko Polyakovin hakkerointiin tulee, hänen julkaisemassaan hyökkäyksessä käytettiin gigabitin verkkolinkkiä, jonka kautta tehty kahden palvelimen suorittama hyökkäys kesti yhtäjaksoisesti 10 tuntia. Ongelmaa lainkaan vähättelemättä on syytä huomioida, että Polyakovin käyttämä gigabitin verkkolinkki kielii laboratorio-olosuhteista: todellisuudessa valtaosa Internetin nimipalvelimista sijaitsee alle 10 megabittisen verkkolinkin takana.
Jos edelleen oletetaan, että onnistunut hyökkäys vaatii tietyn datamäärän generoimista ja että hyökkäykseen käytetään gigabitin verkkolinkin sijasta 10 megabitin verkkolinkkiä, hyökkäyksen toteuttaminen julkisessa verkossa vaatisi vähintään noin satakertaisen ajan onnistuakseen. Siis 1000 tuntia eli reilut 40 vuorokautta. Tässä ajassa jo hieman hitaammankin järjestelmävastaavan luulisi huomaavan, ettei kaikki ole kunnossa, sillä tuutin täydeltä tehty 40 päivän hyökkäys alkaa kummasti hidastamaan muutakin verkkoliikennettä.
Alan toimijana olen toki erittäin iloinen siitä, että nimipalvelu ja siihen liittyvät ongelmat ovat nousseet julkiseen keskusteluun. On kuitenkin tärkeää pitää keskustelu asialinjalla, sillä tarpeeton dramatiikka ei tässä asiassa palvele kenenkään etua.
Heinäkuussa julkaistut nimipalvelinpäivitykset ovat edelleen paras tapa suojautua nimipalveluun liittyviä turvaongelmia vastaan. Ne eivät toki tarjoa aukotonta suojaa, mutta useimmissa tapauksissa ne tarjoavat riittävän suojan. Kannattaa muistaa, etteivät taksitkaan ole panssaroituja, vaikka kaupungeissa silloin tällöin ampumävälikohtauksia saattaa ollakin. Mutta airbagit niissä on melkein kaikissa.
Kirjoita uusi kommentti
Kirjaudu tai rekisteröidy kirjoittaaksesi kommentteja
Kommentoi 8 kommenttia