“Toinen neuvo on, että tietoturva on pidettävä ajan tasalla. Tuoreimmassa Nordea-huijauksessa tämä konsti petti. Ainakin yhdellä huijatuista asiakkaista oli teleoperaattorilta palveluna ostettu F-Securen Windows-tietoturvaohjelma, joka ei kuitenkaan torjunut pankkitroijalaista ajoissa.”

Mistäs lähtien joku humpuukiohjelma olisi yleisratkaisu tietoturvaan? Tietoturva aukkojen paikkauksella se homma hoituu, eli YLLÄPIDETÄÄN niitä koneita. Tietoturvaohjelmistot ei ole ikinä olleet missään käyttöjärjestelmässä välttämättömiä.

“Kenen vastuulla siis on, jos tietoturva pettää?”

Jos rikollista ei saada kiinni niin asiakkaan tappio. Ellei sitten vakuutusyhtiöitä alkaisi kiinnostamaan homma, että saisi sieltä rahoja. Tässä nyt on huomioitava se, että ASIAKAS on laiminlyönyt tietoturvallisuuden. Troijalaiset ei asennu ellei ITSE asenna, virukset ei tartu jos reiät on paikattuna. Ja vastuulliset ohjelmistovalmistajat paikkaa reiät ohjelmista kun niitä löydetään. Nollapäiväreiät, eli aukot joihin hyökkäillään vaikka korjausta ei ole olemassakaan ovat suhteellisen harvinaisia jos Microsoft jätetään pois kun sitä ei kiinnosta paikata tunnettuja reikiä. Adobella ollut samaa taipumusta myöskin mutta on ryhdistäytynyt. Apple taas on vain todella hidas. Microsoftilla taas ohjelmien vanhemmat versiot joiden pitäisi olla tuettuna edelleen ovat aika EVVK.

Jos tietokone on saastunut viruksesta, asiakas on päivittänyt ohjelmistojaan sen mukaan kuin mitä softaa on valmistajana luvattut päivittää niin sitten voi ohjelmiston valmistajaa syyttää joissakin rajoissa. Nollapäivä hyökkäksiäkin voi aina sattua koska ohjelmistoja on noin yleisesti mahdotonta tehdä virheettömiksi, että näiden tapauksessa shit happens. Olisi eri asia jos voidaan osoittaan ohjelmistovalmistajan tietäneen aukosta ikuisuuden mutta korjaus laiminlyöty.

Mutta sittenkin, jos voikin syyttää niin hankala on isompia vahingonkorvauksia pyytää kuin mitä asiakas on joutunut maksamaan. Useimmat WWW-selaimethan on esimerkiksi ilmaisia. Huomattavia summia saakin aikaan yrityksissä jossa verkko on saastunut jonkun työaseman aukon kautta ja on sitten maksettu koko verkkoon asennetuista lisensseistä reilumpi summa.

Pankille vastuun siirtämistä on typerintä koska eihän tämän järjestelmiä ole korkattu, ja pankki itse tarjoaa maksuautomaatteja, että vastaa sitten jos joku niitä onnistuu korkkaamaan. Lisäksi pankit imagosyistä korvaavat jopa muiden, yleensä asiakkaan, töppöilyjä.

“Siitä ei kai kuitenkaan voida lähteä, että tavallisten ihmisten pitäisi vaihtaa käyttöjärjestelmää tai web-selainta asioidakseen turvallisesti pankissa.”

Jos käyttöjärjestelmän tai web-selaimen päivitykset on loppuneet niin kyllä. Ja sitten on poikkeustapaus IE jonka vanhat versiot on reikäisiä eikä uusinkaan ihan kunnolla ole paikattu, ja Windows XP:ssä kun sitä ei ole hiekkalaatikoitu ja toisinaan on pakko ajaa Windows XP:tä pääkäyttäjänä niin tästä huolehtiminen ON tavallisen tallaajan vastuulla jos kerran itse koneestaan huolehtii.

Oleellisesti suurin vika tavallisilla tallaajilla on, että kuvittelevat jonkun F-securen ostamisen olevan joku ylläpitoratkaisu, että sitten ei tarvisi päivittää mitään. Kyllähän sitä pitää ainakin kerran kuussa tarkistaa käyttöjärjestelmä, ja jokaisen lisäohjelman joka käyttää verkkoyhteyttä tai avaa vieraita tiedostoja tilanne, että on patchit ajettu. Näitä jotka ajelee Windows Me:llä, Mac OS X Tigerilla, Ubuntu 7.10:llä, Firefox 3.0:lla Windowsissa on päivitykset loppuneet jo ja näissä tapauksissa vika on AINA siinä kuka konetta ylläpitää, ja usein tavalliset tallaajat ylläpitää (tai ennemminkin on ylläpitämättä) laitteitaan.

Minua kiinnostaa erityisesti se miten tämä huijaus on onnistunut, onko jossakin screenshotteja tai jopa videota tästä nordean jutusta?

ensinnäkin se että nordean kirjautumistunnuksilla ei voi pankissa tehdä muuta kuin seurata tilitietoja, kaikki muutokset vaativat kolmannen koodin.

kun nordean verkkopankkiin kirjautuu, se näyttää ensimmäiseksi tilit, saldoineen ja käyttövaroineen, vasemassa sidebarissa on sitten laskujen maksu.

eli tässä välissä varmaankin huijarit ovat tulleet väliin? vai missä kohtiin tarkalleen?

jos koko kirjautumissivusto on ollut väärennös niin eikö asiakkaat ole ihmetelleet omia tilejään mitä kirjatumisen jälkeen on.

ja vielä toisekseen maksun yhteydessä valitaan tili josta maksu suoritetaan, siinä näkyy myös saldo ja tilinumero ja sille mahdollisesti annettu nimi.

eli miten hienosti tämä huijaus on onnistunut teknisesti? vai onko asiakkaat vain olleet niin sokeita tai jopa suorastaan tyhmiä että eivät ole enempää sivua seuranneet?

Janne Granström: “eli tässä välissä varmaankin huijarit ovat tulleet väliin? vai missä kohtiin tarkalleen?
jos koko kirjautumissivusto on ollut väärennös niin eikö asiakkaat ole ihmetelleet omia tilejään mitä kirjatumisen jälkeen on.”

Krakkerit ovat suorittaneet tyypillisen MIM hyökkäyksen missä ovat kopioineet Nordean verkkopankin sivuston sellaisenaan (eikös tässä ollut englanninkielinen versio kyseessä, mikä on se “ratkaiseva” huomiota herättävä asia) mutta kaikki tiedot mitä käyttäjä syöttää WWW-selaimeen välittyy krakkereille ja he syöttävät sen itse verkkopankkiin ja saavat sieltä tiedot. Joten krakkerit saavat tietää automaattisesti heti saldot, tilinumerot, tilien nimet ym tiedot mitä nyt asiakkaan WWW-selainkin saisi. Lopulta ei ole mikään suuri temppu kun juuri ongelmana on päästä väliin.

Ja krakkerit ovat syöttäneet omia laskuja juuri ennen laskujen hyväksymistä. Eli kuvittele tilanne että krakkerilla on automatisoitu järjestelmä sinun ja pankin välissä. Kun syötät laskuja niin krakkerien järjestelmä näyttää vain sinun tekemisesi ja pitää sen mahdollisimman kauan oikein. Ja jotenkin kirjautumisen ja vahvistamisen välissä krakkerien järjestelmä on lisäillyt vääriä laskuja joita sinä et tule edes näkemään.

Eli tyyliin jokaisella kerralta kun painoit “Vahvista maksamattomat laskut” etkä “Syötä uusi lasku” niin suoritettaisiin nopeasti valelaskun lisääminen mikä nyt tapahtuu ehkä ihan alle sekunnissa etkä huomaa mitään ihmeellistä verkkopankin palvelujen hidastelussa. Ja pankki itse näkee valelaskutkin joista se generoi sitten vahvistuskoodin kyselyn sinulle jonka sitten syötät ja se välitetään suoraan verkkopankille.

Krakkerien järjestelmä ei voisi syöttää valelaskua ns. vahvistuskoodin antamisen jälkeen koska se koodi on generoitu jo lisättyihin laskuihin. Eli joka kerta kun lisäät laskun niin se aiheuttaa ns. uuden kierroksen varmistuksissa että yksi ja sama vahvistuskoodi ei toimi. Ja kun vahvistuskoodia kysytään ja sen jälkeen lisättäisiin uusi lasku niin kysyttäisiin taas uutta vahvistuskoodia.

“vai onko asiakkaat vain olleet niin sokeita tai jopa suorastaan tyhmiä että eivät ole enempää sivua seuranneet?”

Muistaakseni Nordean verkkopankki-palvelu oli englanninkielinen. Minkä olisi pitänyt herättää heti epäilyksiä. Mutta kun monella kielitaito menee vielä siten että he eivät heti huomaakkaan eroa käytetyn kielen välillä. Esim itselläni ei ole tuottanut paljoa ongelmia käyttää kiinaksi, intiaksi, espaniaksi ja viroksi olevia tietokoneita oli se sitten ollut Windows XP tai Mac OS X ja pitänyt käyttää ohjauspaneeleita ja muita valikkoja kun muistan ulkoa toimintojen kohdat ja kuvakkeet. Ongelmia tulisi heti jos keskittyisin enemmän että mitä haen, valikot ym järjestettäisiin aakkosjärjestykseen tai oletuskuvakkeet vaihdettaisiin toisiin.

Mutta muuten Nordean verkkopankki oli aivan aidon näköinen. Eli kaikki mainokset ym saatiin sieltä kyllä esille. Ja tähänhän on ehdotettu sitä ratkaisua että käyttäjä tallentaisi verkkopankkiin oman kuvan joka näytettäisiin vain kun asiakas itse asioi oman pankin verkkopankissa. Mutta käsittääkseni se ei toimi kuin vain niissä tilanteissa joissa käyttäjä olisi lähettämässä tietoja phishing-sivustolle mikä taas ei ole mahdollista mm. Nordean osalta vaihtuvien tunnuksien vuoksi. Eli MIM hyökkäyksessä se tallennettu yksilöllinen kuva pankin palvelimille tulisi myös krakkereille näkyviin ja he välittävät sen suoraan käyttäjälle joten käyttäjä luulisi taas kerran olevansa oikeassa palvelussa.

Suomenkieli on myös sen verran vaikea että ulkomaalaiset krakkerit eivät osaa kääntää ja kirjoittaa oikein sanoja. Mutta riittää että krakkereista yksi on Suomalainen tai joku avustaja jolle maksetaan että näkee vähän vaivaa ja homma onkin selvä.

Joten juurikin tämä ehdotettu tekstiviestitoiminto voisi olla oikea ratkaisu. Samaan tyyliin kuin mm. SSH-avaimet tai SSL-sertifikaatin tarkistaminen että se tehdään toisella tavalla kuin tietoliikenteen kautta.

Eli kun halutaan varmistaa että yhteys sertifikaatti tai avaimen sormenjälki on oikea niin soitetaan puhelimella kyseiselle henkilölle joka pystyy asian varmistamaan. Tai kyseinen henkilö lähettää vahvistuksen postin kautta, vaikka kirjattuna kirjeenä jne. Nimittäin siihen ensimmäiseen avaimeen luottaminen on hyvin hankalaa. Toinen vaihtoehto olisi laittaa se avaimen sormenjälki tai sertifikaatti toiselle palvelimelle josta se pitäisi itse käyttäjän varmistaa oikeaksi.

Eli kun verkkopankissa maksujen vahvistaminen tapahtuisikin matkapuhelimella, niin krakkerien ei pitäisi vain päästä käyttäjän tietokoneelle vaan joko pankin palvelimille tai peräti puhelinoperaattoreiden verkkoon/järjestelmään kaappaamaan tekstiviesti, muuttamaan se käyttäjälle ja muuttamaan taas takaisin pankkiin siten että käyttäjä ja pankki luulevat viestin tulevan oikeasti numerosta.

Ja kun käyttäjät verkkopankkitunnukset saadessaan lisäisivät kännykkään numeron josta pankin vahvistukset tulevat niin koko maksaminen on monta astetta vaikeampaa krakkerien murtaa.
Uskaltaisin väittää nykyisillä tiedoilla että kertakäyttöiset tunnusluvut + matkapuhelinvahvistus on vaikeampi murtaa kuin olisi esiintyä tilapäisesti pankissa asiakaspalvelijana päivän ajan (varmaan onnistuisi taidokkaalta huijarilta).

En kyllä itse vaihtaisi OS X:ään (HUOM! ei mikään käyttissota, vaan MINÄ en vaihtaisi) tietoturhasoftan raskauden takia. Mutta toisaalta, enpä sellaisia ajelekaan. Vierestä seuraten huomannut, että ne todellakin vain sotkevat asioita. Varsinkin kun niitä asennetaan 27 siihen koneeseen. Ja sitten tuskaillaan hitautta, sitä ettei mikään toimi, saa säätää koko ajan jotain jne. Ja parhaassa tapauksessa haukutaan käyttis.

Olen seurannut myös ihan taviskäyttäjiä, joilla on perusturvasoftat. Hassusti yhteenkään koneeseen ei ole edes yrittänyt tulla mitään muuta kuin sähköpostissa viruksia/huijausviestejä. Joten hyvin on tietoturhafirmojen pelottelut menneet läpi kun koko ajan väki asioista puhuu.

Eli koneille ei kyllä noin vaan ilmesty troijalaisia, ellei käyttäjä niitä sinne vastaanota. Sen sijaan pankkien tietoturvasta ja muusta voi kyllä puhua ja juuri tällaisesta toisen kanavan käytöstä maksujen varmennuksessa. Nordeahan on vaikein hyökättävä sinänsä, että maksut varmistetaan lopussa. Jos vertaa vaikka Osuuspankkiin, jossa kolmas tunnusluku annetaan heti alussa ja sen jälkeen vaan isketään laskuja sisään ja ne maksetaan heti niin asia on paljon helpompi. Sen kun kaappaa session ja antaa mennä.

Eli käyttäjällekin vastuuta saa antaa, mutta ei yhtään haittaisi vaikka lisävarmennusta pankkitoimintaan tulisi. Varsinkin jos siirretään isompia summia. Eihän sitä nyt sen satasen sähkölaskun takia tarvitse tuplavarmentaa, mutta jos kyseessä on tonninkin siirto, en yhtään itse valittaisi vaikka joutuisin hankkimaan lisävarmenteen vaikkapa tekstiviestillä. Ja tokihan tuon ominaisuuden voisi pankissa henkkoht pyytää poistamaan ja sen jälkeen vastaisi itse rahoistaan.

Yksinkertainen vinkki pankeille liki 100% tietoturvaa varten:

live-linux distro CD:lle, joka boottaa koneen, ja käynnistää nettiselaimen suoraan verkkopankin kirjautumissivuille. Mikään troijalainen ei pysty kirjoittamaan read-only mediaa.

Soveltuu varsinkin vanhemmille käyttäjille, jotka muutenkin käyttävät tietokonetta lähinnä verkkopankissa laskujen maksamiseen (nuorempi polvi tuskin menee näihin huijauksiin). CD voidaan lähettää avainlukulistan yhteydessä.

Lisäksi verkkopankin käyttö helpottuu kun ei tarvitse muistaa osoitetta, senkun lykkää CD:n koneeseen ja painaa virtakytkintä.

Entä jos MIM tapahtuukin wlan-tukiasemassa tai ADSL-reitittimessä?

Tietoturvasoftien raskaus kitinä on älytöntä. Kuka niitä nyt käskee käyttämään?

Maailmassa on hyvin paljon vanhempia ihmisiä, jotka nippanappa osaavat edes käyttää sitä tietokonetta. Omatoimisesta ylläpidosta on aivan turha puhua mitään. Automaattiset päivitykset, virustorjunta ja ylläpito-oikeuksien poisto auttaa suurimpaan osaan pöpöistä, mutta ei silti poista ajoittaisen ylläpidon tarvetta. Esim. kaikki softat eivät vieläkään päivity automaattisesti, ainakaan ilman ylläpitäjän oikeuksia. Eikä ne automaattiset päivitykset, virustorjunta ja ylläpito-oikeuksien poistokaan tapahdu itsestään.

Joillekin ihmisille pelkkä sähköpostin käyttö sekä nettisurffaus voi olla opastuksen ja harjoittelun takana. Eivät kaikki ole käyttäneet tietokoneita lapsesta lähtien, osan lapsuudessa leikittiin käpylehmillä. Heidän syyllistämisensä on siinä mielessä väärin, että nykymaailmassa on vaikea tulla toimeen ilman tietokonetta ja nettiyhteyttä. Toki laskut voi (vielä) maksaa pankin tiskillä ja rahaakin nostaa sieltä, mutta jokainen käynti ja maksu maksaa erikseen. Lisäksi konttoreita on yhä harvemmassa. Nordea lopettaa (lopetti?) kuulemma pankkikirjat ja pankkikorttikin on siis nykyään pakollinen (lisää opeteltavaa). Sähköposti on erittäin käytännöllinen yhteydenpitoväline myös vanhemmille ihmisille, kunhan oppivat ensin sen käytön.

Googlen ChromeOS vaikuttaa mielestäni erittäin lupaavalta käyttikseltä nimenomaan tietoteknisesti tumpeloista tumpeloimmankin nettipankin käyttöä ajatellen. Ainakin tietoturvan osalta (käytön helppoudesta paha mennä sanomaan mitään).

Olen ollut opastamassa tietokoneen käytössä ja se vaatii aidosti pitkää pinnaa, halua paneutua siihen sekä pitkäjänteisyyttä. Eli (meidän) tietoteknisten ihmisten olisi hyvä välillä yrittää asettua ei-niin-tietoteknisten ihmisten asemaan. Eikä vain haukkua käyttäjiä tyhmiksi (yhtä hyvin tyhmäksi voi haukkua sellaista, joka ei osaa hakata naulaa suoraan tai käyttää kirvestä). Voivat he sitäkin olla, mutta mitä vaihtoehtoja heillä on nykymaailmassa? Miten selviät nyt (tai tulevaisuudessa) ilman nettipankkia, pankkiautomaatteja, kännyköitä, yms.?

Itse pidän käyttöjärjestelmistä ja laitteista, joiden käytettävyyteen ja käyttäjäystävällisyyteen on paneuduttu oikeasti ja tosissaan. Niiden käyttö on helpompaa opettaa ja yleensä miellyttävämpää myös itselle. “Keep it simple” -laitteita voisi olla enemmänkin tarjolla ja siinä voisi olla oikeaa business ideaa maailman vanhetessa.

S-W: “live-linux distro CD:lle, joka boottaa koneen, ja käynnistää nettiselaimen suoraan verkkopankin kirjautumissivuille. Mikään troijalainen ei pysty kirjoittamaan read-only mediaa.”

Eikös muuten Asuksen ja MSIn emolevyjen mukana tule samantyylinen Linux-pohjainen, tosin karsittu, read-only käyttöjärjestelmä (Asus Express Gate ja MSI Winki)? Ainakin MSI mainostaa omansa olevan “virusvapaa”. http://www.engadget.com/photos/msi-winki-hands-on-its-an-instant-on-os-but-for-desktops/#1406018

Osassa näiden kahden emolevyistä on siis joko valmiiksi tuollainen asennettuna emolevyllä olevalla SSD:llä ja osaan pitää ilmeisesti erikseen asentaa kovalevylle.

Kuinkakohan varmoja ja “virusvapaita” nämä emolevy-ratkaisut todella ovat? Itselläni on tuollainen, mutta ei ole tullut käytettyä. Pitäisiköhän alkaa jatkossa pankkiasiat hoitaa tuon käyttöjärjestelmän selaimella, kun kerta rikolliset alkavat olemaan yhä ovelampia ja ovelampia, niin ja Windowsissa on reikiä vaikka muille jakaa?

@mm:

“Maailmassa on hyvin paljon vanhempia ihmisiä, jotka nippanappa osaavat edes käyttää sitä tietokonetta. Omatoimisesta ylläpidosta on aivan turha puhua mitään.”

Sitten pitää käyttää sellaisia ohjelmistoja missä ylläpito on helppoa. Oleellisesti valitaan sellainen käyttöjärjestelmä jossa on mahdollisimman paljon tarvittavia ohjelmistoja joita pitää päivittää valmiina, ettei tarvitse itse huolehtia muusta kuin siitä, että ei ajele ylipäivätyllä käyttöjärjestelmällä eikä aja mitään tuntematonta.

Tai sitten vaan käyttää maksuautomaatteja eikä hanki omaa tietokonetta. On ihan oikein, että operaattorit katkoisi piuhat heti jos menee jotain haittaohjelmaliikennettä asiakkaan koneesta ja uudelleen kytkentä ja koneen asennuskulut asiakkaan piikkiin.

Hölmöintä tuossa pankkien “tietoturvassa” on kirjautumisen yhteydessä vaadittava kiertävä vahvistustunnus. Tuo kun tarkoittaa, että edes tietoja ei voi katsoa ilman koodin antamista. Se alentaa kynnystä syöttää vahvistuskoodi aina sitä kysyttäessä, joka taas helpottaa kalastelijoiden touhuja. Tuntuu, että pankkien tietoturvasta päättää loppujen lopuksi henkilöt, joilla ei ole oikeasti koulutusta tietoturvasta.

Symbiatch: “Eli koneille ei kyllä noin vaan ilmesty troijalaisia, ellei käyttäjä niitä sinne vastaanota.”

Toi tämähän on niin mukava harhaluulo kun on kyseessä Windows. Kuinka monta kertaa viime 5 vuoden aikana Microsoft Windowsiin levisi maailmanlaajuisesti madot että niistä uutisoitiin televisiossakin ja radiossa koska tavallinen käyttäjä ei paljon mitään ollut osannut tehdä että se ei iskisi kun ei palomuureja, tietoturva-ohjelmistoja ym käyttänyt? Ja jos/kun tietoturva-aukko on käytettävissä sillä että saadaan käyttäjä klikkaamaan yhtä linkkiä Internet-sivuilla että kone saastuu niin siinä on epidemia käsissä. Murretut pikaviestitilit lähettää kavereille linkkejä, sosiaaliset mediat lähettää viestejä, roskaposti lähettää viestejä, jopa turvalliseksi havaitut Internet-sivut (kuten Tietokone.fi) voi käyttää mainoksia joissa on haittaohjelmaa varten linkit.

Koko Internet on potenttiaalinen vaaravyöhyke Windows käyttäjille ja vaikka Windows Vista paransi tietoturvaa merkittävästi, niin Windows 7:n myötä UAC:n tietoturva on heikentynyt lisää ja päästää jopa suoraan haittaohjelmat läpi ilman että käyttäjän täytyy hyväksyä yhtään mitään. Tämä vain ja ainoastaan siksi että ohjelmistokehittäjät eivät vieläkään tajua että käyttäjä on aina tavallisilla oikeuksilla ja että käyttöjärjestelmän täytyy tehdä tehtävänsä oikein, etenkin prosessin- ja muistinhallinnan osalta että muut ohjelmistot eivät pääse toisiinsa käsiksi.

Ja troijalainen on juuri troijalainen, sitä ei tavallinen käyttäjä tiedä ottavansa vastaan. Niitä voi tulla/tulee musiikki-levyjen DRM:n vuoksi, tehdas alustettujen musiikkisoittimien mukana, muistitikkujen mukana eri koneilta….

Eivät tavalliset ihmiset asentele niitä haittaohjelmia tietentahtoen. Sitä tekee harrastelijat ja ammattilaiset että asentavat virtuaalikoneisiin ohjelmistojärjestelmät ja tutkivat miten haittaohjelmat toimivat.

S-W: “live-linux distro CD:lle, joka boottaa koneen, ja käynnistää nettiselaimen suoraan verkkopankin kirjautumissivuille. Mikään troijalainen ei pysty kirjoittamaan read-only mediaa.”

Ei haittaohjelman tarvitse päästä kirjoittamaan vain-luku tilassa olevaan tallennusmediaan.
Käyttöjärjestelmä on muutamia satoja kilotavuja/megatavuja kooltaan oleva ohjelmisto. Se ladataan keskusmuistiin kun käynnistyslataajan toimesta. Sen jälkeen se tarkistaa laitteiston ja asettaa prosessorin ym käyttöä varten. Sen jälkeen se käynnistää ensimmäisen käyttöjärjestelmän ulkopuolisen prosessin. Unix- ja Unix-kaltaisten järjestelmien kohdalla INIT (tai vastaavaa) joka toimii äitiprosessina kaikille muille prosesseile, käyttöjärjestelmän ajaessa tätä äitiprosessia.

Kaikki käynnistettävät prosessit luetaan keskusmuistiin ja ne lataavat muita ohjelmistoja keskusmuistiin käytönaikana. Mitään ei ajeta suoraan sieltä CD/DVD-levyltä vaan keskusmuistissa.

Ja jopa LiveCD-järjestelmä on yhtä haavoittuvainen haittaohjelmille kuin kiintolevylle asennettu ohjelmistojärjestelmä kun koko järjestelmä toimii samalla tavalla. Haittaohjelmat voivat asentaa itsensä, ne pystyvät käyttämään olemassa olevia tietoturva-aukkoja aivan normaaliin tapaan.

Kaksi asiaa tekee LiveCD:n erikoisemmaksi.

1) Kun virrat katkaistaan, katoaa kaikki muille medioille tallentamaton tieto.
Tämä tarkoittaa että jos käyttäjä on tallentanut tiedoston muistitikulle sinä aikana niin haittaohjelma voi olla siihen tarttunut.

2) LiveCD on vanhentunut heti kun ensimmäiset ohjelmistopäivitykset on julkaistu. Ja silloin lasketaan jo aikaa että koska julkaistaan tietoturvapäivityksiä Linux-käyttöjärjestelmään, WWW-selaimeen, glibc:hen tai mihin tahansa muuhun ohjelmistoon jota voidaan käyttää sillä hetkellä kun järjestelmä ajetaan LiveCD-tilassa.

Todennäköisyys tuohon on paljon pienempi kun suositellaan että uusi LiveCD poltetaan n. kerran viikossa/kuukaudessa joka sisältää tuoreimmat tietoturvapäivitykset ja sitä käytetään sitten vain pankkien sivustoille. Menee aika monimutkaiseksi jos haluaa parempaa tietoturvaa.

Ja sitten se tärkein ongelma. Ei edes LiveCD olisi pelastanut tässä tapauksessa (oikeastaan olisi voinut olla vielä vaarallisempaa 2) vuoksi) koska hyökkäys tapahtui Man In the Middle -tekniikalla.

Ainoa keino pysyä kaikenaikaa turvassa on päivittää kaikki ohjelmistot aina uusimpiin vakaisiin versioihin eikä jäädä vuosiksi vanhoihin versioihin. Hyödyntää tietoturvajärjestelmiä joita on kehitetty ja silloinkaan ei ole syytä että ei tarvitsisi kuin asennella tietoturvapäivitykset.

On olemassa tekniikoita joilla voidaan suojata koko ohjelmistojärjestelmä. Ne toimivat käyttöjärjestelmässä itsessään. Tälläisiä on mm. SELinux joka on Linux-käyttöjärjestelmän versio parannetulla tietoturvalla. Ja AppArmor joka lisää oman toiminnallisuutensa Linux-käyttöjärjestelmään moduulina.

Nämä estävät ajon aikana tapahtuvat hyökkäykset tietoturva-aukkoihin joita ei edes tiedetä. Mitään koodia, tiedostoa ym ei suoriteta/kirjoiteta jos ei niin ole profiloitu. Tämä tekee tavallisen käyttäjän toimista hankalaa jos on tiukaksi säädetty toiminta koska esim tekstinkäsittelyohjelma ei voi avata/kirjoittaa mitään muuta tiedostoa kuin ennalta määrättyihin paikkoihin tai ennalta määrättyjä tiedostoja. Mikään scripti ym mikä haluaa tehdä ennalta määräämättömiä tekoja ei onnistu. Joten moiset profiilit tehdään väljemmiksi että saadaan kirjoittaa mihin tahansa käyttäjän näkyvään hakemistoon kotihakemistossa mutta ei tyyliin piilohakemistoihin muutoin kuin asetuksien osalta.

Sitten on PolicyKit (uudempi versio toisella nimellä) joka turvaa root-oikeuksilla ajettavien sovellusten toiminnan siten että vaikka annettaisiin typerästi käyttäjälle sudo oikeudet kaikkiin komentoihin (ns. root korvike = todella vaarallista) niin PolicyKit ei anna sudon ajaa käsketteässäkään koko ohjelmaa root oikeuksilla.
(Sudohan on tarkoitettu tukemaan root oikeuksia ja laajentamaan tavallisten käyttäjien järjestelmäoikeuksia hyvin rajallisissa tapauksissa.).

PolicityKit estää että kun käyttäjä kirjoittaa “sudo komento” tai vastaavan toimenpiteen “su -c komento”. Niin prosessi ajetaan tavallisen käyttäjän oikeuksilla, eikä kokonaan root oikeuksilla kun aikaisemmin ja policykit huolehtii että vain silloin kun prosessin täytyy saada suorittaa tietyt toiminnot root oikeuksilla niin se voi ne suorittaa. Eli esim “sudo gedit /etc/fstab” komento ajaa GEdit ohjelman käyttäjän oikeuksilla mutta siinä vaiheessa kun käyttäjä klikkaa esim “Tallenna” niin PolicyKit antaa GEditin prosessille juuri kyseiseen toimintoon root oikeudet kirjoittaa kyseiseen tiedostoon ja lakkauttaa ne oikeudet samantien. Joten PolicyKit toimii ns. root ja su -c (sudo) “välissä”.

Mutta tämäkään ei estä mitenkään MIM hyökkäystä.

Joten jos sertifikaatut ja muut varmenteet eivät ole oikeat niin MIM hyökkäys on suorituksessa. Ja käyttäjät jotka oppii klikkailemaan kaikki varmenteet lukematta niitä ja ymmärtämättä niitä että mitä oikeasti on tekeillä, ovat potenttiaalisia uhreja.

Matti Karnaattu: “Sitten pitää käyttää sellaisia ohjelmistoja missä ylläpito on helppoa. Oleellisesti valitaan sellainen käyttöjärjestelmä jossa on mahdollisimman paljon tarvittavia ohjelmistoja joita pitää päivittää valmiina, ettei tarvitse itse huolehtia muusta kuin siitä, että ei ajele ylipäivätyllä käyttöjärjestelmällä eikä aja mitään tuntematonta.”

Juuri netin peruskäyttöön, sähköpostiin ja nettipankin käyttöön ChromeOS vaikuttaa lukemani perusteella riittävän tiukasti säädetyltä ja silti helpolta loppukäyttäjälle (sitten joskus, kun julkaistaan). Ehkä tälläisiä tietoturvaltaan “varmistettuja” laitteita tarjotaan joskus pankkien toimesta “edulliseen” hintaan nimenomaan nettipankkien (ja muun rahaliikenteen) käyttöä varten.

“Juuri netin peruskäyttöön, sähköpostiin ja nettipankin käyttöön ChromeOS vaikuttaa lukemani perusteella riittävän tiukasti säädetyltä ja silti helpolta loppukäyttäjälle (sitten joskus, kun julkaistaan).”

Samalla tavalla tuohon käy Windows XP:tä uudemmat Windowsit (kunhan uusin IE otettu päivityksistä), joskaan näissä ei ole Flash, PDF tai Javatukea, että sitten ottaa vaikka Susen, Mac OS X:n tai Ubuntun. Kaikkia saa kaupasta valmiina, päivitykset tulee keskitetysti tai saa vaikka säädettyä automaattiseksi. Windows XP:ssä on noita turvallisuusvaivoja ja Windowseista yleisesti puuttuu tukea monille asioille mitä ihmiset käyttää tai perusohjelmia. Siitä ne ongelmat tulee kun ei ole ohjelmia ja sitten lähdetään webistä lataamaan jotain missä lukee FREE DOWNLOAD!

Ei siinä mitään, tälläinen tilanne kun tulee, että ei saa hommia tehtyä käyttiksellä ja menee liian hankalaksi selvittää lisäohjelmia niin sitten on käyttis valittu väärin.

Voisikohan omaan koneeseen ladattavia virtuaalikoneita käyttää tässä hyväksi? Esim. haavoittuvuustutkijat käyttävät virtuaalikoneita tutkiessaan hyökkäyskoodeja. Ajatuksena on suojata oman koneen käyttistä ja pitää saastuttavat ohjelmat virtuaalikoneen sisällä. Nyt vain käännettäisiin ajatus ylösalaisin, virtuaalikone onkin turvallinen ympäristö ja oma käyttis on se saastunut alue. Virtuaalikoneessa olisi minimikäyttis ja selain, jolla saa yhteyden pankkipalveluun. Nykyään virtuaalikoneet voivat “omistaa” verkkointerfacen, joten oman koneen käyttis ei pääse sotkemaan väliin siinäkään.

Virtuaalikoneita saa ilmaiseksi, joten voisikohan joku pankki luoda kevyen virtuaali-imagen ja laittaa sen ilmaiseksi jakoon? Tekisi ainakin hakkerin elämän vähän vaikeammaksi

Jos pääkäyttis on saastunut niin sittenhän sitä löytyy suoraan oikeudet käpälöidä myös virtuaalikäyttistä. Toisinpäin se ei käytännössä onnistu.

Klaus Majewski: “Tekisi ainakin hakkerin elämän vähän vaikeammaksi ”

Miksi hakkereiden elämä pitää tehdä vaikeammaksi? Hehän juuri toimivat konsultteina pankeissa ja muissa yrityksissä tietoturvaa kiristämässä.

Krakkereiden työ täytyy saada vaikeaksi ja siihen tarvitsemme hakkereita emmekä vain tavallisia tietoturva-asiantuntijoita.

Ja erilaisia käyttöjärjestelmän virtualisointeja on olemassa joissa osassa onnistuu tuo sinun kuvailemasi “väärinpäin” käännetty idea. Tosin käyttöjärjestelmän toiminnallisuus muuttuu melkoisen monimutkaiseksi.

Heh, tästähän näkee vain sen, että pankkien lienee syytä maksaa myös jatkossakin huijattujen tappiot: tavallisen kuluttajan ei voida olettaa pysyvän ajantasalla hyökkäystavoista, eikä virustorjunnastakaan ole hyötyä vaikka pankit ja CERTistä lähtien ovat näin antaneet ymmärtää (vaikka ääni tuossa kellossa tuntuisi olevan muuttumassa).

Lisäksihän “tunnettu pankkivaikuttaja” vahvistaa, että asiaa on tutkittu, mutta koska tappiot ovat pieniä, ei turvatasoa kannata parantaa. Hyökkääjät kun ovat olleet sen verran urpoja, että tähän mennessä hyökkäykset ovat olleet varsinaisia räpellyksiä. Sitten kun hyökkääjät saavat kielenhuoltonsa toimimaan (sehän tuntuu olevan ylivoimaisen vaikeaa ja tämä kielimuuri suojaa Suomen maata verkkopankkihuijauksilta loputtomiin) ja sonta osuu tuulettimeen oikein urakalla asioita varmaan tarkastellaan siinä kohti uudestaan.

Varastettu raha on helppo maksaa takaisin, mutta mitä tehdä vaikkapa terveystiedoille kun ne varastetaan (jos olen käsittänyt oikein, lähitulevaisuudessa ollaan kansalaisten terveystietoja laittamassa nettiin)? Pankkitunnusten varaan tietoturvaa ei voi tässä tapauksessa jättää.

Jos pankit vaan jatkaa vietyjen rahojen korvaamista, niin sillä on yksi erittäin paha seuraamus – nimittäin käyttäjät ei tee itse mitään suojautuakseen sellaisilta vaaratilanteilta. Niin kauan, kun pankkiasiontikin on sellaista “hyvinvointivaltio-tyylin” hommaa, että kaikki vaan korvataan, ei tulekaan motivaatiota suojautua vastaavilta vaaroilta.

Tosin voi todeta, että pahempikin juttu voi olla myös tulossa tähän maahan – kertoisiko joku, miten suojautua tälläisiltä viritelmiltä, jos niitä alkaisi esiintyä laajemmin ja hyvällä tasolla toteutettuna?

http://www.krebsonsecurity.com/2010/01/would-you-have-spotted-the-fraud/

http://www.krebsonsecurity.com/2010/02/atm-skimmers-part-ii/

Tuo nimimerkin väite ei pidä paikkaansa, eivät kuluttajat jätä suojausta tekemättä sen takia että pankki korvaa mahdollisesti menetetyt rahat. Tottakai tavallisen kuluttajan on tehtävä se mikä kohtuudella voidaan häneltä vaatia. Kysymys kuuluukin, että jos virustorjunnan ajantasalla pitäminen ei auta niin mitä kuluttajalta voi vaatia? Kyllä korvausvastuu on pankilla, sillä siltä voidaan olettaa kykyä suojata palveluaan kehittyneitä hyökkäyksiä vastaan – kuluttajalta tätä ei näemmä voida enää olettaa.

Noita atm-skimmereitähän suomessa on jo nähty useaan otteeseen: niissä on vaan se huono puoli, että niistä jää suurella todennäköisyydellä kiinni, ilmeisesti sen takia että asennus vaatii fyysistä läsnäoloa.
http://www.digitoday.fi/tietoturva/2009/02/06/pankkiautomaatteja-ansoittaneet-vangittiin/20093411/66?rss=sec
http://www.itviikko.fi/tietoturva/2009/01/21/korttikopioijat-iskivat-kylmaasemilla-espoossa/20091777/7

Pankit voisivat harkita antaa/myydä asiakkaalle laitteen jolla hoidettaisiin vain pankkiasioita. Hintaa vehkeelle tulisi ehkä 100-150€, jos ei tavoitella voittoja.

Eli 8″ näyttö, halpa ARM prosessori, 32-64MB muistia, Linux, Wlan ja rj-45 (tai sitten kännykkäverkossa toimiva), ei akkua. Eli miniläppäriä vähän pienempi ja selkeästi heikkotehoisempi laite.

Laite osaisi vain ottaa yhteyttä pankin verkkopalveluun, kertoa olevansa kunnossa, ladata päivitykset ja hoitaa pankkiasiat.

Nimimerkki: “Jos pankit vaan jatkaa vietyjen rahojen korvaamista, niin sillä on yksi erittäin paha seuraamus – nimittäin käyttäjät ei tee itse mitään suojautuakseen sellaisilta vaaratilanteilta. Niin kauan, kun pankkiasiontikin on sellaista “hyvinvointivaltio-tyylin” hommaa, että kaikki vaan korvataan, ei tulekaan motivaatiota suojautua vastaavilta vaaroilta.”

Olisitko valmis muuttamaan käytännön myös siten että sijoittajat ottaisivat oikeasti riskin ja jos ei kauppa kannata niin se ei kannata ja rahat menetettiin?

Ei valtiokaan saisi tulla maksamaan konkurssiin menneiden yrityksien sijoittajien rahoja tai konkurssiin menneiden pankkien rahoja muille. Sehän on aivan naurettavaa että sijoittajat jotka pelaavat rahalla uhkapeliä ja jotka toistavat “Siinä on riskinsä” mantraa jatkuvasti niin heti kun riski toteutuu ja sijoittajat menettävät rahansa niin odotetaan että yhteiskunta maksaa sitten siinä takaisin.

Tämä on pankille ihan PR hommaa kun ei tavalliset ihmiset aina tiedä että mistä syystä jokin rahojen menetys tapahtui. Kyllä pankki tarkkaan vetää johtopäätökset sitten jos 50 000 menettäisi rahansa tälläisessä omasta syystään.

Ja pankin tehtäviin kuuluu verkkopalveluissaan taata turvallinen tunnistautuminen ja toiminta asiakkaan ja itsensä välillä. Tämä on ollut juuri merkittävä ongelma verkkopankkien osalta että miten se saadaan toimimaan kuin kyseessä olisi konttorissa asiointi kasvotusten kahden kesken. Jos siinä pääsee joku väliin niin se tulee Pankin viaksi hyvin helposti joten on parempi korvata ja kehitellä tietoturvaa. Kaikkia ei kuitenkaan voi laittaa pankin viaksi ja tälläisiäkin tapauksia varten pankin verkkopankki-palvelussa on sopimusehdoissa vaikka mitä kaikkea pientä kivaa ja sivustoilla taas että mitä versiota WWW-selaimesta suositellaan jne. Turvataan selustaa suuria ongelmia varten.

Ja turha pankkeja on puolustella aina, niillähän se raha on ja rikkaita ovat. Tulokset ovat aivan eri luokkaa kuin mitä vastaavankokoisilla liikkeillä. Ne eivät ole mitään hyväntekijöitä vain antamalla vapaasti käyttöön turvalliset paikat varastoita muiden varoja.

Pankit voisi selvästi informoida, että jos tietoturva pettää asiakkaan puolella, tappiot menee teidän piikkiin, ja jos tietoturva pettää meidän puolella niin me korvataan.

Jos pankkikortin hukkaa eikä sulje sitä niin pitäisikö pankin sittenkin korvata menetykset?

“Pankit voisivat harkita antaa/myydä asiakkaalle laitteen jolla hoidettaisiin vain pankkiasioita. Hintaa vehkeelle tulisi ehkä 100-150€, jos ei tavoitella voittoja.”

Kyllä asikas voi ihan hyvin hankkia kotiinsa turvallisen ympäristön, ei sitä mikään estä. Ei siihen mitään pankkien myytäviä omia päätteitä tarvitse kun niitä myydään jo ja sen turvallisuuden varmistamisestakin voi maksaa. Tai jos ei osaa niin maksuautomaatille vaan.

Kai tässä ongelma nyt on se, että on näitä hölmöläisiä jotka on tyyliin “yhyy emmä voi käyttää muuta kuin Windows XP:tä kun en muuta osaa” ja sitten sen pitäisi olla samanaikaisesti helposti ylläpidettävissä, että olisi turvallinen käyttää.

Ei tälläisiä oikeasti tarvitse mitään paapoa. Jos on noin tyhmä niin kipikipi maksuautomaatille asioimaan tai konttoriin.

Kyllä tietoturva kuitenkin pettää todennäköisemmin aina kuluttajan päässä, joten noin yksiselitteinen asia ei ole: pankilla on paremmat edellytykset palvelunsa suojaamiseen.

Pankkikortin katoamisen kuluttaja huomaa ja ymmärtää sen seuraukset. Verkkopankkitrojalaisen tapauksessa kuluttaja luulee tekevänsä ihan tavallista transaktiota, mutta välissä joku muu. Käsittääkseni rahat jotka on varastettu rikoksilla joissa on käytetty edellämainittuja ATM-skimmereitä on korvattu kuluttajille. Samalla logiikalla on myös jatkossa palautettava rahat niille jotka ovat ne verkkopankkihuijauksella menettäneet.