Ubuntu Suomen keskustelualueet

Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: Ganymedes - 14.03.11 - klo:20.41

Otsikko: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 14.03.11 - klo:20.41
Tietoturvauhat koskevat kaikkia ohjelmistoja käyttöjärjestelmästä tai ohjelmistojärjestelmästä riippumatta. Tietoturvauhat eivät kuitenkaan ole samanlaisia kaikissa tapauksissa eivätkä niiden vaikutukset ole samanlaisia erilaisissa ohjelmistojärjestelmissä tai käyttöjärjestelmissä. Eri ohjelmistojärjestelmiin ohjelmistoja hankitaan tyypillisesti myös erilaisista lähteistä, toisaalta tässä vaikuttavat myös henkilökohtaiset tarpeet ja mieltymyksetkin. Tämä on kirjoitettu Ubuntua varten.


Seuraavassa jäsentelyä eri perspektiiveistä.


Riskeistä ohjelmiston lähteen mukaan:



a) Ubuntun omat ohjelmat Canonicalilta (pakettivarastosta)

Tietoturvauhat ovat minimissään johtuen siitä, että näissä ohjelmissa on Ubuntun kehittäjän oma maine pelissä ja ohjelmat ovat avoimia ja yleisiä. Sikäli näihin salattujen takaporttien tekeminen on vaikeahkoa ja tahattomat virheet pyritään pitämään minimissään.


b) Ubuntu-ohjelmalähteiden muut ohjelmat (pakettivarastosta)

Tietoturvauhat ovat pieniä, koska ohjelmat tulevat tunnetusta lähteestä ja ovat yleensä avoimia ja yleisiä tai melko yleisiä.


c) Ulkopuolisista, tunnetuista paikoista erikseen ladattavat ohjelmat (ei pakettivarastosta)

Tietoturvauhat ovat yleensä pieniä, koska lähteen tunnettavuus omalta osaltaan takaa mainetta. Kestävää ohjelmistomyynti ei myöskään voi tehdä jos maine on huono. Jotkut ilmaisohjelmistot, kuten Abode Reader, ovat kuitenkin varsin huonossa maineessa. Tämä ei ole mielipide, vaan vetoan tässä esim. Suomen Viestintäviraston lausuntoon olla käyttämättä kyseistä ohjelmistoa sen huonon turvallisuuden vuoksi, tämä vain yhtenä esimerkkinä uutisoinnista. Esimerkin opetus oli vain se, että tunnetujenkin ohjelmien kanssa pitää olla tarkkana.


d) Ulkopuolisista, tuntemattomista paikoista erikseen ladattavat ohjelmat (ei pakettivarastosta)

Näiden tietoturvataso voi periaatteessa olla mitä hyvänsä. Lähteen yleinen taso kannattaa tarkistaa.


e) Asennus jonkun Ubuntu-ohjelmiston sisältä

Tällä tarkoitetaan esimerkiksi Firefoxin sisältä asennettavia lisäosia.

Ohjelmiston asennus poikkeaa normaalista asennuksesta sikäli, että asennuksen tekeminen ei edellytä järjestelmänhallintaoikeuksia. Toisaalta asennus ei myöskään ole voimassa järjestelmänlaajuisesti vaan ainoastaan sille käyttäjälle joka asennuksen teki tai ainakin tämä on yleensä idea (tätä on kommentoitu jäljempänä enemmän).

Nämä ohjelmien lisäosat ovat useimmiten kolmannen osapuolen lähteestä ladattuja lisukkeita, koska esim. Firefox varoittaa näiden latauksesta maininnalla "asenna ainoastaan lähteistä jotka tunnet". Näinollen nämä eivät ole Firefoxin omia (tai paremminkin sen tekijän, Mozillan omia). Tämä kolmas osapuoli voi olla lataajan kannalta katsottuna tunnettu tai tuntematon lähde.

Käytännössä tämä tarkoittaa sitä, että näiden kanssa pitää olla tarkkana, mutta tuskin on luotettavan ohjelmistotoimittajan (esimerkkinä Firefox) etujen mukaista pitää listoilla epäluotettavia lisäosia - vaikka vastuusta teoriassa vetäydytäänkin. Hetkellisesti epäluotettavia lisäosia voi olla jakelussa.



Riskeistä ohjelmiston tyypin mukaan:



a) Avoimet ohjelmistot

Takaporttien tekeminen tällaisiin ohjelmiin on vaikeaa, koska lähdekoodi on avointa kaikille. Tästä myös jää avoimen lähdekoodin vuoksi kiinni ennemmin tai myöhemmin. Toisaalta, tilapäistä tietoturvauhkaa ei koodin avoimmuus poista ollenkaan. Koodin avoimmuus voi olla myös näennäistä - eli avoimmuus voi olla huijausta jo sekin.


b) Suljetut ohjelmistot

Tahattomia tietoturvauhkia näissäkään ei ole, jos ohjelmiston tekijä on kiinnostunut maineestaan. Aivan yksinkertaisista tietoturvariskeistä, varsinkin jos ohjelmistot ovat hyvin yleisiä, jää kiinni vaikka koodi on suljettuakin. Näissä voi kuitenkin olla erittäin vaikeasti havaittavia takaportteja, joista kuitenkin voi jäädä kiinnikin ... ehkä joskus myöhemmin.



Riskeistä ohjelmiston käyttötarkoituksen mukaan:


Tässä auttaa oma harkinta.

a) Jos ohjelmistolla on tarkoitus editoida koneella sijaitsevia, paikallisia tekstitiedostoja, ei tietoturvauhka ole kovin todennäköinen.

b) Jos ohjelmistolla on tarkoitus liikkua Internetissä tai ohjelmaa käytetään tyypillisesti Internetistä peräisin olevien tiedostojen kanssa, on tietoturvauhka todellisempi.

c) Jos ohjelmistolla hallitaan rahaliikennettä, on syytä olla ohjelmiston turvallisuuden kanssa jo huomattavasti tarkempi. Kannattaa huomata se, että kaikki WEB-selailuun liittyvät ohjelmat, mukaanlukien selainten, kuten Firefoxin, lisäosat kuuluvat tähän ryhmään.



Riskeistä ohjelmiston asennustavan mukaan:


a) Asennus Ubuntun normaalilla graafisella käyttöliittymällä

Turvallisuus riippuu siitä mitä pakettivarastoja on valittu. Oletuksena ainoastaan turvalliset ovat mukana, mutta tänne on mahdollista lisätä omia, esim. WEBistä saatuja varastoja, joiden turvallisuus on jotakin muuta.

Paikassa Ohjelmalähteet (Software Sources) voi myös tehdä valintoja kuten "pre-released updates" ja "unsupported updates". Näiden turvataso ei välttämättä ole samalla tasolla varsinaisten päivitysten kanssa.


b) Asennus komentoriviltä, pakettivarastosta

Tällä tarkoitetaan asennusta, esim. komennolla "sudo apt-get install paketin_nimi".

Tällainen asennus toimii samojen ohjelmalähteiden varassa kuin graafisen käyttöliittymän asennuskin.

Komentoriviasennuksiin voi usein liittyä ajettavia komentoja ja scriptejä. Jos nämä tulevat epäluotettavasta lähteestä, niin pitää ymmärtää että tällaiset voivat tehdä periaatteessa mitä hyvänsä, esimerkiksi tyhjentävät koko kovalevyn tai pahempaa.


c) Asennus komentoriviltä paikallisesta paketista

Asennuksen turvallisuus riippuu täysin siitä mistä paketti on peräisin.


d) Ohjelmistoihin asennettavat lisäosat.

Lisäosien asennus ei voi aiheuttaa varsinaisia järjestelmänlaajuisia muutoksia, koska asennukselle ei anneta järjestelmänvalvojan oikeuksia.

Lisäosa voi kuitenkin tehdä kaikkea sitä mitä ohjelman alkuperäinen tekijä on tehnyt lisäosalle mahdolliseksi. Näitä mahdollisuuksia ei oikeastaan käyttäjä voi tietää, joten kannattaa lähteä siitä, että lisäosalla voi tehdä kaikkea sitä mitä ohjelmalla itselläänkin. Ei myöskään ole itsestään selvää, etteikö lisäosa vaikuttaisia muidenkin käyttäjien tekemisiin, tavalla tai toisella, vaikka se ei tarkoitus yleensä olisikaan.


Riskeistä ohjelmistojen käytön mukaan:


Ubuntu-järjestelmän ohjelmat eivät lähtökohtaisesti asennu ja konfiguroidu siten, että niiden käyttö olisi mahdollista ulkopuoliselle tunkeutujalle. Jos kuitenkin itse asennat tällaisia ohjelmia, niin turvariskit kasvavat oleellisesti. Tässä tarkoitetaan nyt ohjelmia kuten Web-serverit ja erinäiset yhteysohjelmat (esim. ssh, vnc).

Tällaisilla ohjelmilla on aivan omat turvariskinsä ja niiden konfigurointi pitää tehdä oikein, jotta riskit ovat minimissään. Huolimaton konfigurointi voi kostautua hyvin nopeasti, koska tällaisten ohjelmien hyödyntäminen lienee melko korkealla prioriteetillä crackereiden käyttämissä menetelmissä.

Aivan yleisenä piirteenä kannattanee huomata se, että kyse ei ole siitä, että "miksi kukaan tulisi juuri minun koneelleni?". Kyse on siitä, että turva-aukkoja tai huonoja salasanoja metsästetään ympäri nettiä ja tunkeudutaan niille koneille, joille helpoiten pääsee - mahdollisesti valjastaen näin jopa miljoonia koneita johonkin nettihyökkäykseen tai vaikkapa SPAMin levittämiseen.



Yhteenveto:

Edellä mainitut seikat muodostavat matriisin ja tietoturvauhkaa kannattaa arvioida näiden kaikkien asioiden summavaikutuksen kautta.

Tietoturvauhkia kannattaa arvioida myös todellisten vaihtoehtojen kautta. Esimerkiksi nettimaksujen turvallisuudesta uutisoidaan näyttävästi, mutta kannattaa miettiä kumpi on oikeasti turvallisempaa, kenellekin:

a) Nettimaksu luottokortilla Tallinnalaiseen kauppaan ja tavaran toimitus postissa,

b) Käteisen rahan mukaanottaminen Tallinnan matkalle, maksun suorittaminen kassalla Tallinnassa ja tavaran omatoiminen kuljettaminen Suomeen.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 23.05.11 - klo:00.05
Lisätty ohjelmistojen lisäosat matriisiin - tarkoittaa eniten esim. Firefoxin lisukkeita.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Leisko - 25.05.11 - klo:03.16
mitä väliä tieto turvalla kun linuxille ei oo viiruksia?
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 25.05.11 - klo:03.57
mitä väliä tieto turvalla kun linuxille ei oo viiruksia?

Aika paljonkin on väliä. Viruksien lisäksi tietoturvariskinä on mm. seuraavat asiat jotka kaikki vaikuttavat hieman erilaisilla tavoilla: madot, vakoiluohjelmat (monentyyppisiä), troijan hevoset, piiloutuvat haittaohjelmat, avoimet haittaohjelmat, web-sivujen kaappaukset, kalasteluohjelmat, monenlaista muutakin on riippuen miten niitä halutaan luokitella.

Edellinen esitys käsittelee oikeastaan lähinnä ohjelmistojen asennusta ja siihen liittyviä tietoturvakysymyksiä. Järjestelmässä on muitakin riskejä kuin pelkkä asennustapahtuma. Nämä asiat ovat tärkeitä Ubuntussakin, mutta ne olisivat oma esityksensä.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 03.06.11 - klo:20.27
Seuraavassa pieni havainnollistus sille miksi tietoturva-asiat koskevat kaikkia ohjelmistojärjestelmiä vaikka ohjelmistojärjestelmät eivät olekaan samanlaisia tässä suhteessa.

Tämä vastaus ei ole mikään vakavasti otettava luotaus tietoturvan syövereihin, vaan pelkästään havainnollistus edellisen kysyjä herättämään asiaan. Kyseessä ovat aina riskit - kuten yleensäkin riskianalyysi ei ole aivan yksinkertaista matematiikkaa vaan siihen millä todennäköisyydellä mikäkin toteutuu, vaikuttaa hyvin moni asia. Valitsin madon tähän havainnollistukseen, koska takavuosina madon saaminen toteutui XP järjestelmässä lähes 100 %:n todennäköisyydellä, jos tietoturva oli lyöty laimin (=jätetty turvapäivitykset tekemättä) ja koneen tökkäsi väärään paikkaan kiinni. Ongelma oli todellisuudessa vielä pahempi, koska XP:n asennuksessa turvapäivityksiä ei ole mukana ja kuitenkin kone piti liittää verkkoon asennuksen ajaksi (ei-ammattilaiselle mielestäni mahdoton tilanne).

- - -

Virukset ovat ohjelmanpätkiä, jotka tarttuvat isäntäohjelmaan kiinni. Kun isäntäohjelmaa ajetaan, virus aktivoituu ja leviää muihinkin ohjelmiin joita ajetaan. Virukset ovat vaikeasti havaittavia koska ovat niin pieniä eivätkä toimi itsenäisesti. Virukset tarttuvat hyvin herkästi. Virukset voivat aiheuttaa monenlaisia ongelmia, harmittomista hyvin vakaviin altistuksiin. Tässä mielessä nämä pienet ohjelmat muistuttavat sitä kiusaa mitä viruseliöistä on biologisissa järjestelmissä - aluksi virukset ovat vain pienehkö kiusa, joten niitä opitaan sietämään. On totta että Linux-järjestelmille ei tunneta luonnossa eläviä viruksia.

Tietoturvauhkia on muitakin. Tällaisia ovat mm. erilaiset haittaohjelmat jotka voivat siirtyä koneelle. Nämä ohjelmat eivät ole erityisen pieniä ja ne voidaan havaita periaatteessa helposti koska ne ovat itsenäisiä ohjelmia. Ne voivat tulla koneelle jonkun muun ohjelman asennuksen mukana - siksi on hyvin tärkeää tietää mistä ohjelmia asentaa. Asennuspaikat ovat Linux-järjestelmille yleisesti ottaen hyvin turvallisia, koska niille kaiken tyypillisen saa luotettavista lähteistä, itse Linux-järjestelmän ohjaamana. Tällöin tietoturvariskit ovat minimissään. Asentuessaan nämä haittaohjelmat voivat aiheuttaa mitä hyvänsä haittaa koneella ja tehdä kaikkea mitä itse ohjelmakin voi. Koska tietokoneet ovat yleiskäyttöisiä, joissa ohjelmat yleensä pyrkivät mahdollistamaan monenlaisten asioiden teon, voi myös tällainen haittaohjelma toimiessaan tehdä hyvin monipuolisesti haittaa.

Tällaisesta haittaohjelmasta voi myös kehittyä mato, tai se voi olla tehty madoksi, joka luikertelee muihin koneisiin. Tällöin tartunnan saamiseksi ei tarvitse tehdä mitään, vaan se siirtyy automaattisesti tietoverkkoa pitkin. Tällainen mato ei voi niin vain pesiytyä toiseen Linux-järjestelmään, koska ohjelmien latautuminen itsestään on lähtökohtaisesti estetty. Mutta jos järjestelmän ohjelmissa on turva-aukkoja, ne ovat yleisesti tunnettuja ja mato on ohjelmoitu käyttämään näitä, voi mato luikerrella sisään tällaisen turva-aukon kautta. Tästä johtuen on hyvin tärkeää, myös Linux-järjestelmässä, että ohjelmien turvapäivityksiä asennetaan usein.

Madon leviäminen tietoverkossa voi olla estetty, esim. palveluntarjoajan palomuureissa, mutta esim. sisäverkossa kotona tällaista suojaa ei yleensä ole eikä sellaista ole monesti yritystenkään sisäverkossa. Tällaisia mato-ongelmia on ollut jonkun verran ja nämä madot ovat joskus läpäisseet kaikki tunnetut palomuuritkin. Edellisen kaltaisia, yleisiä mato-ongelmia ei ole viime aikoina raportoitu, mutta turvapäivitysten lataaminen suojaa monilta muiltakin mahdollisilta tietoturvaongelmilta.

Madon voi saada myös ulkoisilta medioilta, erityisesti USB-laitteilta. Tämän tyyppisiä epidomioita on tapahtunut viime vuosinakin ja ne ovat olleet hyvin vakavia ja kalliita niille organisaatioilla, jotka tällaista ovat kohdanneet - onpa raportoitu, että erittäin isoissa organisaatioissa on jouduttu kokonaan kieltämään ulkoisten usb-medioiden käyttäminen (Windowsissa). Näillä madoilla on mahdollisesti ollut taka-ajatuksena vakoilu. Tällaisten ohjelmien tekeminen oli verrattain helppoa Windowsille - mikäli korjaukset tepsivät niin ei välttämättä ole enää. Vastaavan voisi ehkä tehdä Linuxillekin, hieman erilaisella tavalla, erityisesti jos turvapäivitykset on jätetty asentamatta, joten tietoverkko ei ole ainoa varottava asia.

---

Tämä oli tehty vain havainnollistamaan viruksia ja tietynlaisia haittaohjelmia. Riskejä on muunkinlaisia kuten edellä huomautettiin. Tästä havainnollistuksesta toivottavasti kävi myös esille se, että riskit eivät rajoitu pelkkään asennustapahtumaan, mutta kuitenkin ohjelmiston lähteiden varmistamien on hyvin tärkeää riskien eliminoimiseksi.

Linuxille ei ole viruksia, lähtökohtaisesti ohjelmat eivät asennu itsestään, ylimääräiset portit ulospäin (tietoliikenteessä) eivät ole toiminnassa ja lähtökohtaisesti ohjelmistolähteet ovat turvallisia. Nämä ovat etuja Linux-järjestelmässä, mutta omilla toimillaan nämä hyvät periaatteet voi kuitenkin osittain romuttaa - esim. jättämällä turvapäivitykset tekemättä ja asentamalla ohjelmistoja kyseenalaisista lähteistä -  ja riskitekijöitä on vielä muitakin.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: SuperJaakkima - 12.08.11 - klo:19.07
On kiva että etäkirjautuminen on mahdollista linuxiin esimerkiksi ssh-yhteyden avulla. Kuinka todellinen riski noiden ohjelmistoriskien rinnalla on epäasiallisen tunkeutumisen riski käyttäen tätä väylää?

Ajattelen usein etäkirjautumisen yhteydessä kuinka helppoa se voi olla. Asiaa ei helpottanut kun vilkaisin lokista kirjautumisyritysten määrän, tuskinpa mitään kirjautumisyrityksiä tehtäis jos se ei sillontällöin onnistuisi. Näiden blokkaaminen ei onnistu jokakäyttäjän taidoilla ja vaatiikin vähintään pienin skriptin. Vielä pelottavammaksi asian tekee se että nämä kirjautumiset ei näy käyttäjälle mitenkään(Lokissa on muutama merkintä tietysti).

Edit: Huomasin nyt että meni vähän aiheen ohi, mutta en nyt poista koska liittyy aiheeseen tietoturva kuitenkin.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: reboot - 07.09.11 - klo:13.05
mitä väliä tieto turvalla kun linuxille ei oo viiruksia?

Ei lähdetä millekään Apple-jeesustelulinjalle, kiitos  ;D

Haittaohjelmia voidaan tehdä alustalle kuin alustalle, troijalaiset esimerkkinä. Se voi tulla koneelle joko käyttäjän omien hölmöilyjen kautta (se yleisin syy) tai sitten softassa/käyttiksessä olevan tietoturva-aukon kautta.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: reboot - 07.09.11 - klo:13.13
On kiva että etäkirjautuminen on mahdollista linuxiin esimerkiksi ssh-yhteyden avulla. Kuinka todellinen riski noiden ohjelmistoriskien rinnalla on epäasiallisen tunkeutumisen riski käyttäen tätä väylää?

Ohjelmistojen tietoturvariskeihin mielestäni tämäkin liittyy, sillä jos ohjelmisto on konfiguroitu poskelleen niin sekin on tietoturvariski jo itsessään vaikka ohjelmisto itsessään olisikin ajantasalla.

Lisäksi ssh:n osalta auttaa asiaa, kun vaihtaa oletusportin joksikin muuksi kuin 22. Lisäksi riittävän pitkä ja monipuolinen salasana vähentää tätä kautta tulevia uhkia. Eri palveluista (esim. sshd) on kirjoitettu lukuisia oppaita, joissa kerrotaan miten ns. hardenointi kyseiselle palvelulle tehdään. Tämä on perusjuttuja, kun asennetaan *nix-palvelinta.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 07.09.11 - klo:13.37
mitä väliä tieto turvalla kun linuxille ei oo viiruksia?
...
Haittaohjelmia voidaan tehdä alustalle kuin alustalle, troijalaiset esimerkkinä. Se voi tulla koneelle joko käyttäjän omien hölmöilyjen kautta (se yleisin syy) tai sitten softassa/käyttiksessä olevan tietoturva-aukon kautta.

Tuota juuri yritin havainnollistaa edellisellä, karkealla esimerkillä. Todennäköisyys erilaisten ongelmien välillä, nehän ovat erilaisia eri ohjelmistojärjestelmissä, on hyvin vaikeata matematiikkaa ja siihen en halua hyvin paljoa ottaa kantaa. Mainittakoon kuitenkin, että yhdessä vaiheessa madon saaminen XP-koneeseen oli 100% varmaa alle puolessa tunnissa parissakin eri verkossa joissa asioin - siis ilman XP:n turvapäivitystä - aikana jolloin nykyisen kaltaista Windows Updatea ei vielä edes ollut.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 07.09.11 - klo:13.40
On kiva että etäkirjautuminen on mahdollista linuxiin esimerkiksi ssh-yhteyden avulla. Kuinka todellinen riski noiden ohjelmistoriskien rinnalla on epäasiallisen tunkeutumisen riski käyttäen tätä väylää?

Ohjelmistojen tietoturvariskeihin mielestäni tämäkin liittyy, sillä jos ohjelmisto on konfiguroitu poskelleen niin sekin on tietoturvariski jo itsessään vaikka ohjelmisto itsessään olisikin ajantasalla.

Lisäksi ssh:n osalta auttaa asiaa, kun vaihtaa oletusportin joksikin muuksi kuin 22. Lisäksi riittävän pitkä ja monipuolinen salasana vähentää tätä kautta tulevia uhkia. Eri palveluista (esim. sshd) on kirjoitettu lukuisia oppaita, joissa kerrotaan miten ns. hardenointi kyseiselle palvelulle tehdään. Tämä on perusjuttuja, kun asennetaan *nix-palvelinta.

Tuo tosiaan kuuluisi ylläolevaan listaan yhtenä asiana. Lisään jossakin vaiheessa. Itse vastaus kysymykseen on jo tuossa yllä.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: motalb - 11.09.11 - klo:20.32
Mainittakoon kuitenkin, että yhdessä vaiheessa madon saaminen XP-koneeseen oli 100% varmaa alle puolessa tunnissa parissakin eri verkossa joissa asioin - siis ilman XP:n turvapäivitystä - aikana jolloin nykyisen kaltaista Windows Updatea ei vielä edes ollut.
Offtopic
Muistan hyvin tuon ajan. Olin juuri hommannut uuden läppärin (XP), ja aina kun yritti ladata päivityksiä netistä niin mato ehti ensin. Melko monta kertaa palautin XP:n aikaisempaan palautuspisteeseen, ennen kuin sain asennettua päivityksen joka torppasi madon.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: jimbo - 14.09.11 - klo:00.25
entäpä kuinka todennäköistä on että net sivujen kautta (kaikenlaisia sivuja ;-) tulee haittaohjelmia ubuntuun ja ne pystyy aiheuttamaan tuhojaan ? näitä on eri kategorioissa kuten edellä oli esim. viirukset, madot jne. ja onko joku ryhmä riskialttiimpi kuin toiset ? vai kuitata sillä, ettei ubuntussa ole ja voi olla tyytyväinen... ?

Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 15.09.11 - klo:14.46
entäpä kuinka todennäköistä on että net sivujen kautta (kaikenlaisia sivuja ;-) tulee haittaohjelmia ubuntuun ja ne pystyy aiheuttamaan tuhojaan ? näitä on eri kategorioissa kuten edellä oli esim. viirukset, madot jne. ja onko joku ryhmä riskialttiimpi kuin toiset ? vai kuitata sillä, ettei ubuntussa ole ja voi olla tyytyväinen... ?

Tässä on oikeastaan kyse vain tartuntatavasta ja asia supistuu siihen mitä yllä oli keskusteltu - eli mitä ohjelmia käytät ja asennat?

Netistähän voi tulla ohjelmia, joita voit asentaa tai olla asentamatta TAI tulla dataa jonka käyttäminen hyödyntää jonkun ohjelman turva-aukkoa TAI yrittää tulla aktiivista yhteydenottoa joka yrittää käyttää jonkun ohjelman turva-aukkoa hyödyksi.

Joten monenlaista haittakoodia voi tulla jos ohjelmissasi on turva-aukkoja tai jopa itse hyväksyt ne ajettavaksi. Virusten todennäköisyys on toistaiseksi 0% koska tietääkseni yhtään virusta ei ole tavattu vapaana, mutta matoja voi tulla. Kuten alussa esitettiin, varsinaisiin todennäköisyyksiin ei voi ottaa kantaa - etenkään kun kyseessä on moniulotteinen matriisi erilaisista riskitekijöitä.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Turbineair - 22.09.11 - klo:00.19
Asiasta tietämättömän pohdintaa:

Eikö tuo "linuxin palomuuri" voisi "mukaälyllä" tulkita "Synapticin asennuslähteiden" mukaan annetaanko jollekin ohjelmalle lupa datan lähettämiseen "ilman käyttäjän lupaa" vai ei?
Ilmeisesti palomuurin olisi syytä näiltä osin olla oletuksena "stealth modessa" ja ilman "lähetysoikeuksia". Tämä koskee siis lähinnä "tuntemattomia pelureita", eli ohjelmia yms.

Elän itsekin asian suhteen siinä "hyvässä uskossa", että oletuspalomuuri on funtsinut asiat puolestani parhaan mahdollisen käytännön mukaan, eikä "tietojen kalastelua" ole jätetty näin helposti auki.

Ainakin näin äkkiseltään ajatellen, ennaltaehkäisykin on mahdollista? Pari loogista operaatiota ja se on siinä. Parempi huominen ikäänkuin sylissä...
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Echramath - 22.09.11 - klo:04.07
Eikö tuo "linuxin palomuuri" voisi "mukaälyllä" tulkita "Synapticin asennuslähteiden" mukaan annetaanko jollekin ohjelmalle lupa datan lähettämiseen "ilman käyttäjän lupaa" vai ei?
Ilmeisesti palomuurin olisi syytä näiltä osin olla oletuksena "stealth modessa" ja ilman "lähetysoikeuksia". Tämä koskee siis lähinnä "tuntemattomia pelureita", eli ohjelmia yms.

Eikö tuossa jää oikeasti vihamieliselle koodille kuitenkin aika monta tapaa komentaa käyttöjärjestelmän omia ohjelmia, palveluita ja rajapintoja ottamaan verkkoyhteyksiä mihin halutaan, jonkun telnetin komentamisesta lähtien?
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 22.09.11 - klo:15.45
...
Eikö tuossa jää oikeasti vihamieliselle koodille kuitenkin aika monta tapaa komentaa käyttöjärjestelmän omia ohjelmia, palveluita ja rajapintoja ottamaan verkkoyhteyksiä mihin halutaan, jonkun telnetin komentamisesta lähtien?

Niinpä. Silloin kun koneelle on päästetty jokin "tuntematon ohjelma" mellastamaan, ei millään vakio-ohjelmalla sitä voi ajatella saavansa kuriin. Tällöin pitäisi käyttää jotakin muuta ohjelmaa, joka on fiksumpi kuin tämä "tuntematon ohjelma" - tosin jos se on "täysin tuntematon", "uusi" ja "fiksu", niin ei sitä lähtökohtaisesti saa tällöin kuriin ollenkaan. Kyse on kilpavarustelusta ja siitä kumpi osapuoli on voitolla.

Onneksi Ubuntu-maailmassa, jos nuo edelliset ohjelmistojen tietoturvariskit tiedostaa ja toimii niiden mukaan, riski sille että koneelle tulisi tällaisia "tuntemattomia ja vahingollisia ohjelmia", on kuitenkin suhteellisesti ottaen ja keskimäärin hyvin pieni. Mutta jos riskejä ei tiedosta ja toimii miten sattuu, riski on konkreettinen ja todennäköisyyskin on varsin epämääräinen.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: reboot - 07.10.11 - klo:12.56
Onneksi Ubuntu-maailmassa, jos nuo edelliset ohjelmistojen tietoturvariskit tiedostaa ja toimii niiden mukaan, riski sille että koneelle tulisi tällaisia "tuntemattomia ja vahingollisia ohjelmia", on kuitenkin suhteellisesti ottaen ja keskimäärin hyvin pieni. Mutta jos riskejä ei tiedosta ja toimii miten sattuu, riski on konkreettinen ja todennäköisyyskin on varsin epämääräinen.

Tarkistaako mikään taho ylipäätään esim. Ubuntun repositoreissa olevien sovellusten toimintaa ja lähdekoodia mitenkään hallitusti troijalaisten ym. varalta? Eli vaikkapa kuvienkäsittelysovellusta, joka aikoinaan on tuota Ubuntun repositoryyn, onkin tekijän/jonkun muun osalta muutettu ja siihen on lisätty troijalainen, joka samalla varastaa näppäinpainallukset tms. ja lähettää ne ulkopuoliselle palvelimelle. Kuinka tällainen on estetty Ubuntun tai muiden jakelujen kohdalla?
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: qwertyy - 07.10.11 - klo:17.31
Tarkistaako mikään taho ylipäätään esim. Ubuntun repositoreissa olevien sovellusten toimintaa ja lähdekoodia mitenkään hallitusti troijalaisten ym. varalta? Eli vaikkapa kuvienkäsittelysovellusta, joka aikoinaan on tuota Ubuntun repositoryyn, onkin tekijän/jonkun muun osalta muutettu ja siihen on lisätty troijalainen, joka samalla varastaa näppäinpainallukset tms. ja lähettää ne ulkopuoliselle palvelimelle. Kuinka tällainen on estetty Ubuntun tai muiden jakelujen kohdalla?
Käsittääkseni nuo ovat pitkälti varmenteilla varmistettuja asioita (mm. hash lukemat). Varmasti yksi potentiaalinen uhka on se, että ohjelmistosta löydetään haavoittuvuus mikä ei tietysti vielä ole vakavaa, mutta jos haavoittuvuus on tunnetussa ohjelmassa ja yleisessä versiossa ja että sitä ei korjata ja päivitetä jakeluun on minusta uhka. Tuon takia en itse käytä käytännössä lainkaan uusia jakeluita joissa on omia "repoja". Muutamia jakeluitahan on löydettykin joihin on tahallisesti upotettu jotain haittakoodia, enkä oikein luota siihenkään että vaikka kuinka vihkiytynyt jakelun tekijä olisi, että hänellä kuitenkaan on yksinkertaisesti edes aikaa kahlata päivittäin tietoa läpi uusista haavoittuvuuksista. Tarkoitan tällä siis lähinnä näitä yhden miehen kustomoituja distroja. Mm. cert.fi:n sivuilta kun laittaa hakusanaksi linux ja haavoittuvuus, niin löytyy todella yleisiä ohjelmia joista näitä on löydetty esim. pidgin, xpdf yms yms. ja mikä lienee tosiaan tilanne sitten harvinaisemmilla ohjelmilla, joita ei varmasti tutkailla niin paljon.

Periaatteessa opensource on idioottivarma tapa tehdä ohjelmista tietoturvallisia, mutta tuntuu että lähdekoodin lueskelijoita ja ennenkaikkea niistä oikeasti ne uhat hoksaavia käyttäjiä ei taida kuitenkaan olla älyttömän paljon ja siksi minusta suljetun koodin softissa on tietoturvan kannalta kyllä omat hyvät puolensa.

Mitä tulee Ubuntun tietoturvaan niin käsittääkseni se on hyvin pitkälle samalla tasolla kuin Debian. Ilmeisesti kutakuinkin samat ohjelmat ja versiot löytyy kummankin varastoista? Viisaammat korjatkoon.

Pahin uhka on varmaankin seuraavan uutisen mukaiset hyökkäykset, jotka on kohdistettu suoraan ylläpitäjiin. Jos hyökkäys on oikein onnistunut ja sitä ei nopeasti huomata, niin melkoinen soppa varmasti alkaa selvittämään niitä ei virallisia muutoksia ohjelmistoihin. Pena peruskoodaaja tuskin huomaisi esim. ytimeen tehtyjä haitallisia muutoksia. Koskee kiertäen myös alussa mainittuja varmenteita. Eipä niistäkään ole paljoa hyötyä jos ylläpitäjän oikeuksilla niitä joku pääsee peukaloimaan.
http://www.itviikko.fi/tietoturva/2011/09/12/linux-kehittajien-salasanat-vietiin-laajassa-tietomurrossa/201112872/7

No ok. Tietysti erittäin epätodennäköisiä uhkia ja vaikeita toteuttaa tarkemman valvonnan takia, mutta toisaalta jossain niitä tulevia Mitnickejä lymyilee joita kiinnostaa tähdätä suoraan "ytimeen" täydellä rähinällä. Eikös mm. SecurID:n pitänyt myös olla 100% varma? Ainakin siihen asti kun joku vei heiltä siemenet ja hävittäjien tietoja kait meinasi hävitä Lockheediltä. Kaikki on kyllä turvassa mutta varuilta vaihdetaan 40miljoonaa sirua? :)

Se siitä. Pahin suora käyttäjäuhka on kuitenkin se tietokoneen käyttöasenne. Kuinka monesti olenkaan putsannut tietokoneita viruksista, koska käyttäjällä on ollut välillä ollut oikein maksettu ohjelmisto. Se on sitten käsityksen mukaan tarkoittanut sitä, että kone ei voi saastua mitenkään ja netissä on voinut tehdä ihan mitä vain ja ennenkaikkea nehän löytää tietysti kaikki virukset ohjelmista joita yrittää asentaa? Joskus aiemminkin olen täällä maininnut asiasta, mutta mainitsen nyt vielä kerran. Eräs kone käyttäytyi todella erikoisen oloisesti heti asennuksen jälkeen ja tämä käyttäjä osasikin epäillä asiaa, koska mm. kuukkelin osumissa oli välillä varsin oudon oloisia osumia. Kävin itse katsoon paikanpäällä ja kysyin tarkalleen mitä asennuksen jälkeen on tehty. Kaikki oli ihan ok, ei mitään typeryyksiä vaan koneen olisi pitänyt olla ihan varmasti tietoturvallinen ja asialliset asennetut tietoturvaohjelmatkaan ei nähneet mitään erikoista. Skannailin koneen kuitenkin muutamalla livecd torjuntaohjelmalla ja joku troijalainen oli koneella, joka kuukkelin mukaan ilmeisesti ohjasi kaikki verkkoliikenteen erikoisempia reittejä pitkin (jos en väärin muista niin muokkasi suoraan dns osoitteistoa). Tätä vihulaista ei olisi järkeni mukaan pitänyt päästä koneelle missään vaiheessa ja tuli puheeksi asennusmedia. Ei mahda olla yllätys että alkuperäinen media oli hukkunut ja uusi oli noudettu netistä ja poltettu.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 08.10.11 - klo:10.50
...
Tätä vihulaista ei olisi järkeni mukaan pitänyt päästä koneelle missään vaiheessa ja tuli puheeksi asennusmedia. Ei mahda olla yllätys että alkuperäinen media oli hukkunut ja uusi oli noudettu netistä ja poltettu.

Selvyyden vuoksi pitänee todeta, että tarkoittanet nyt Piraatti-Windowsia ongelman lähteenä?

Monissa Windows-ohjelmissa on enemmän tai vähemmän tuollaista "aina" ollut sisäänrakennettuna, esim. suosituissakin P2P-ohjelmissa.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: qwertyy - 08.10.11 - klo:10.54
^ Kyllä. Jostain epämääräisestä paikasta tuo kyseinen asennusimage oli kiskaistu. Joskus olen itse huvittuneena katsonut mm. piraattilahdesta löytyviä "kustomoituja" Windowseja, joita on valmiiksi höystetty lukuisilla ohjelmilla. En kyllä itse uskaltaisi mennä tuollaiselta asenteleen :)

*edit*
Kyseisellä hepulla oli kyllä ihan täysin laillinen lisenssi olemassa koneeseen, ei sen puoleen mitään, mutta asennusmedia oli kadonnut ja sen hakenut sitten netistä uudelleenasennusta varten. Eli mitään kräkkejä tms. ei tosiaan edes oltu koneelle asennettu.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 29.12.11 - klo:11.33
Päivitin edellä esitetyn mukaisesti alkuperäistä kirjoitusta. Lisäsin siihen yhden matriisin ulottuvuuden: Riskit ohjelmiston käytön mukaan - tarkoittaen tällä itseasennettuja ohjelmia, jotka mahdollistavat normaalista poikkeavaa liikennöintiä tietoverkossa (web server, ssh, jms).

Tätä lisäystä yllä toivottiin - jo aikaa sitten  ;D .
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: jimbo - 06.04.12 - klo:16.12
menee ehkä hiukan sivuun mutta lienee niin, ettei mistään voi tietää, jos joku on käynyt tai juuri käymässä(!)  koneella ? eli siis tullut sisään ja tekee mitä haluaa. nykyaikaisessa koneessa ei välttämättä vaikuta esim. nopeuteen, ei tietty jää mitään lokeihin tms. näkyviin, kun on tarpeeksi näppärä. toinen asia on sitten kuinka näin mennään sisään, mutta se ei ole topic
 
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 06.04.12 - klo:19.57
menee ehkä hiukan sivuun mutta lienee niin, ettei mistään voi tietää, jos joku on käynyt tai juuri käymässä(!)  koneella ? eli siis tullut sisään ja tekee mitä haluaa. nykyaikaisessa koneessa ei välttämättä vaikuta esim. nopeuteen, ei tietty jää mitään lokeihin tms. näkyviin, kun on tarpeeksi näppärä. toinen asia on sitten kuinka näin mennään sisään, mutta se ei ole topic

Joo, menee sikäli sivuun, että tässä on tarkoitus lähinnä keskustella riskeistä, joiden vuoksi sisääntunkeutuminen on mahdollista ja toisaalta oikeista menettelytavoista, jotta tuollainen estyy.

Näkisin, että riskejä on tyypillisimmillään:

- päivittämättömät tai lähtökohtaisesti väärennetyt ohjelmat tuntemattomista lähteistä. Nämä voivat mahdollistaa sisääntunkeutumisen
- käytetyt ohjelmistot etäyhteyksiin. Näitä ei ole oletuksena käytössä, mutta jos ottaa käyttöön nämä pitää osata konfiguroida oikein
- käyttäjän omat virheet, esim. omien salasanojen antaminen eteenpäin. Ilmeisesti kaikki näyttävästi uutisoidut pankkihuijaukset ovat käytännössä näitä.


Kysymykseen siitä, että mistä näkee tunkeutujan:

- riippuen tunkeutujan ohjelmasta lokeja jää
- käsittääkseni Linux-järjestelmässä voi tapahtumia monitoroida varsin hyvin, joten senhetkinen tunkeutuja on havaittavissa koneelta. Eri asia on sitten kuka sitä osaa monitoroida. Voisi ajatella, että tällaisen havaitsemiseen tavallinen käyttäjä tarvitsee jonkun ohjelman, jonka käyttäminen ei ole ongelmatonta sekään (koska tunkeutuja yrittää varmaankin muuttaa tämän ohjelman toimintaa tai vain sammuttaa sen)
- tunkeutuja tuskin on kukaan henkilö. Lisbeth-salander-luokan crakkerit ovat varmaan joillakin muilla koneilla kuin tavallisten kotikäyttäjien koneilla
- tunkeutuja on todennäköisesti jokin botti, automaattinen ohjelma, joka hyödyntää juuri edellä mainittuja asioita, kuten: päivittämättömät ohjelmat, huonot salasanat, avoimeksi jätetyt verkkoyhteydet omassa asennuksessa jne

Tunkeutujalla ei välttämättä ole oikeuksia tehdä mitä hyvänsä, jollei sitten itse ole antanut salasanaansa jollekin muulle, esim. WEB-sivulla.

Nämä asiat kun summataan, niin riski on hyvin pieni tyypillisessä Linux-järjestelmässä jos käyttäjä on  itse toiminut harkitusti.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 10.07.12 - klo:05.38
Suosittelen muuten Security Now pätkiä nörteille. Ei todellakaan tieteellisin tietolähde, mutta ihan hauskaa viihdettä kuunneltavaksi vaikka taustalla ja sitten voi tehdä jatkotutkimusta jos löytyy jotain mielenkiintoista:

Avoin koodi, turvallista? Heh, mm. crypt_blowfish oli 13 vuotta rikki, niin että vain joka neljäs merkki salasanassa käsiteltiin. Oops, silti vian löytäminen kesti noin kauan. Tuosta on juttua jaksossa 311. Olen muuten kunnellut kaikki paitsi 13 viimeisintä, jotka ovat tällä hetkellä kuuntelu jonossa.
GRC / Security Now - https://www.grc.com/securitynow.htm

Kannattaa myös tilata cert-fi tietoturva päivitykset sähköpostiinsa, koska täältä niitä ei tule kuitenkaan katseltua tarpeeksi usein:
https://www.cert.fi/tietoturvanyt.html
https://www.cert.fi/haavoittuvuudet/2012.html


Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 31.07.12 - klo:18.12
Lisätään tähän sarjaan, että törmäsin juuri tänään uuteen virukseen, joka tuli koneeseen (Windows) hienosti sisään selaimen kautta kysymättä yhtään mitään, roottasi koneen, sulki f-securen ja sellaista kivaa. Menipähän image palautettavaksi. Puuh. Olisi nyt ollut edes vanha Ubuntu-kone joka olisi saanut siipeensä, niin olisi saanut mahtavan tekosyyn uudelleen asentamiseen.

Turvallisia ohjelmistoja ei taida olla olemassa. Jos joku niin kuvittelee, niin todennäköisesti on ummistanut silmänsä aika pahasti nykymenolle.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Postimies - 20.08.12 - klo:23.07
Voisi lisätä myös turhien palveluiden karsiminen. Jos ei käytetä sambaa, etäyhteyksiä, ssh, bluetooth, verkkotulostinta niin tuollaiset palvelut pois päältä. Myös java sisältää omat riskinsä. Jos ei tarvetta sekin pois käytöstä. (Mihin tarvitaan?)

Palomuuria en pidä mitenkään pakollisena jos koneessa ei ole palveluita päällä. Jos selaa nettiä portin 80 kautta ei siinä ole mitään merkitystä onko palomuuri päällä tai ei. Jos selaimessa on tietokurva-aukko tai jossain sen lisäosassa ei siinä muuri auta. Itse vieroksun noita lisäosia. Flash toki on ja sitten plugin joka estää sitä toimimasta. Hieman ristiriitaista.

Linux maailmassa tiukat käyttöoikeudet estävät paljon haitakkeiden toimintaa. Vainoharhainen voi tietty tehdä aina chroot vankilan tai vastaavia virityksiä. Kotikansiosta kun pistää pois suoritusoikeuden hankaloittaa jo paljon. Selaimen väliaikaistiedostot eivät enää niin helposti luettavissa kuin Windows koneilla aikoinaan. Monella kuitenkin tapana tallentaa niitä tunnuksia selaimen muistiin ja jopa verkkoon.

 X ohjelmia varsinkaan selainta ei saa käyttää root-oikeuksilla. Suurimmat Windows-ongelmat johtuvat siitä, että normikäyttäjällä on oletuksena oikeus asentaa ohjelmia tai muuten muokata systeemiä.  Ja jo kaupasta ostetusta CD-levystä (ääni) saattoi saada vakoiluohjelman koneelle joka myös esti tekemästä levystä kopioita. Linux systeemissä ohjelmat eivät asennu näin helposti. Jos asentuis niin haittaohjelmia olisi enemmän. Win98, XP ym. tehtyjen tiedossa olevien haittaohjelmien lkm on hirvittävä. Jos Mersu tai vaikka Abloy tekisi vastaavan tuotteen.. niin sitä ei kukaan ostaisi. Windows 98 salasanan ohitus. Painetaan näppäintä 'Esc'. Onneksi kehitystä on tapahtanut parempaan suuntaan. Itsellä yhtä vanha auto ja siinäkin niin raju ajonestojärjestelmä että en usko kenenkään saavan sitä käyntiin. Avaimen kopiointi mahdollista, mutta hyvin hankalaa.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 26.08.12 - klo:09.22
Astetta paranoidimmat voivat myös miettiä sitä vaihtoehtoa, että ohjelmistopäivitykset ovat tietoturvariski. Miksi? Pienempien ohjelmakirjastojen kautta on paljon helpompaa soluttautua koneeseen kuin suurempien. Myös pienemmissä projekteissa varmasti turvallisuus ja valvonta on heikommalla tasolla.

Windows 8 raportoi automaattisesti käytetyistä sovelluksista Microsoftille. Tämä tarkoittaa sitä, että kun koneeseen halutaan hyökätä, ei tarvitse enää ujuttaa softia Microsoftin kautta. Vaan voidaan ihan viattomasti ujuttaa ne backdoorit koneele jonkun muun sovelluksen kautta jossa sinulla on automaattiset päivitykset päällä.

Kuten tiedämme, monen softan päivitys-systeemit on varsin epämääräiset, eikä niitä valvota riittävän hyvin. Pahimmassa tapauksessa softat lataavat vain jostain urlista .exe:n ja suorittavat sen, ilman mitään allekirjoitusten tarkistamista tms.

Tämä on tietysti yleinen uhka ja vaatii melkoisen kierroksen foliota kuupan ympärille, mutta teknisesti varsin mahdollista ja toteuttamiskelpoista. Mikä vielä parasta, kun tuo päivitysten jakelu tehdään joltain random serveriltä, voidaan myös erilaisilla verkkokaappauksilla tai muilla konstein saada osajoukolle konetta ladattua eri koodi kuin muualle. Näin ollen perustelu että koodihan on aina jonkun tarkistamaa on täysin virheellinen. Koska juuri sitä koodia joka koneellesi ladattiin, ei ehkä saanut kuin sata muuta ihmisitä esimerkiksi samassa kohde-organisaatiossa. Kuten tiedämme, hyökkäykset pyritään nykyjään kohdentamaan hyvin huolellisesti, jotta ne eivät paljastuisi.

Semmoset horinat tällä kertaa. Nyt menen kiertämään pari kierrosta lisää folioturbaaniini.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 26.08.12 - klo:11.00
Tuo on ihan totta että alkuperäisessä esityksessä ei erikseen mainita päivityksiä ja ne toki elävät omaa elämäänsä ... siis eivät tule aivan samalla tavalla kuin alkuperäinen asennus. Lisäilen tuosta oman kohtansa jossakin vaiheessa.

Mielestäni siinä on varsin suuri periaatteellinen ero, että tulevatko päivitykset useasta, käytännössä tuntemattomasta, lähteestä vai yhdestä keskitetystä lähteestä (kuten Ubuntulle tulevat tavalliselle käyttäjälle, jolla ei ole mitään erikoista koneella). Sellainenkin päivityksen oma riskinsä tulee mieleen, että jos ohjelma ei ole keskitetystä lähteestä, niin se ei välttämättä päivity ollenkaan, jos sitä ei itse tee manuaalisesti tai että kun jokaisella ohjelmalla on omanlaisensa päivitystapahtuma, käyttäjä voi helposti mokata niiden kanssa ... onhan tuossa monenlaista periaatteellista riskiä.

Käytännössä ei kuitenkaan tule mieleen, että (Windows-maailmassa) olisi pystytty ujuttamaan päivityksiin haittakoodia - yleensä ovat olleet uusia ohjelmia, mahdollisesti kuitenkin päivityksiksi naamioituja ... no, liittyy silloin epämääräisen päivitystapahtuman seurannaisriskeihin - kalastelu ja huijaus on kovasti POP nykyään. Suurin riski lienee kuitenkin se, että ei päivitetä ollenkaan ja se ei ole pelkkä Windows-maailman synti.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 26.08.12 - klo:11.35
Käytännössä ei kuitenkaan tule mieleen, että (Windows-maailmassa) olisi pystytty ujuttamaan päivityksiin haittakoodia.

Stuxnet?

Monien ohjelmistojen päivitykset jaetaan FTP:llä/HTTP:llä ilman mitään allekirjoituksia tai salauksia. Näin ollen lähteen kaappaaminen, tai mikä tahansa verkkomanipulaatio matkalla jolla saadaan syötettyä väärää tietoa clientille, johtaa onnistuneeseen manipuloidun päivityksen toimittamiseen kohteeseen. Ainakin Windowssin VLC on tällainen, ja muistaakseni myös uTorrentin päivitykset. Ladataan vain uusi versio ja pam, isketään se ajoon. Missä oli asianmukaiset varmistusket siitä, että ladattu paketti on yhtään sitä mitä sen pitäisi olla?

Stuxnetissä asia meni käsittääkseni niin, että muokatut päivitykset jaeltiin eri palvelimilta, mutta ne saatiin allekirjoitettua niin että verkkomanipulaatiolla saatiin muutkin koneet lataamaan niitä.

1) Saastumattomat koneet latasivat päivitykset, verkkomanipulaation avulla väärästä lähteestä
2) Ne tarkistivat asiallisesti väärennettyjen ohjelmistojen allekirjoitukset
3) Mitään vikaa ei havaittu ja nuo asennettiin

Tuollaisella tekniikalla olisi mahdollista tehdä varsin massiivisia järjestelmien kaappauksia ja luoda hetkessä suuria botnettejä tai sitten piileskellä taustalla ja varastaa tietoja avainkohteista.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 26.08.12 - klo:12.09
...
Stuxnet?
...

Yep, siinähän se esimerkki tuli. Muutenkin ... kuten Oppenheimer aikoinaan totesi: "Mahdollinen on väistämätöntä." Ohjelmistojen riskeissä ja ongelmissa yleensä kaikki mahdollinen toteutuu, ennemmin tai myöhemmin.

Tuleeko muuten mieleen kuluttajapuolelta jotakin jossa päivitysten kautta olisi saatu ujutettua jotakin sisälle? Kaikenlaistahan on ollut, esim. tehtaalta tulleissa USB-tikuissa on ollut viruksia ja päivitykset sotkevat koneen, mutta ne ovat hieman eri asioita kuitenkin.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 26.08.12 - klo:15.33
Tuleeko muuten mieleen kuluttajapuolelta jotakin jossa päivitysten kautta olisi saatu ujutettua jotakin sisälle?

Kun nyt menit kysymään asiaa, niin vastataan taas. Vaikka Google olisi varmasti tiennyt useampiakin oikeita vastauksia. Tämä oli vaan yksi joka tuli suoraan ulkomuistista: http://www.theinquirer.net/inquirer/news/2109087/utorrent-download-replaced-malware

Uskon että tässä on vähän sama juttu kuin muissakin asioissa, eli skaala jutusta kyse. Jos palvelimesi on Amazonin pilvessä, on se ihan kamalaa jos tulee downtimeä, maailma kaatuu. Mutta jos sitä hostaa kotona kellarinkomerossa, niin sen uptime on taatusti 100% (kunnes ei enää ole) mutta silti se ei ole mikään uutinen.  µTorrent vaan on sen verran yleinen softa, että nuo pääsivät/joutuivat uutisiin sen takia.

Eli noita sattuu varmaankin viikoittain, ellei päivittäin. Mutta kukaan ei niistä uutisoi. Tiedän ainakin erään instanssin jossa tuo oli todella lähellä, hakkereilla oli päivityspalvelimelle jo admin tunnukset, mutta eivät ilmeisesti tajunneet mihin palvelinta käytetään, eivätkä näin ollen ymmärtäneet että valtava määrä koneita hakee siltä jatkuvasti päivityksiä jotka ne asentavat automaattisesti käyttöön. Jos hakkerit olisivat tajunneet tämän, olisivat saaneet kaapattua valtavan määrän lisää koneita todella helposti.

Tässä kuvatut jäävuoren huippu ja skaala-harhat lienee varsin yleisiä kaikissa asioissa joihin arjessa törmäämme.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 28.08.12 - klo:20.31
Java taas loistaa olemassaolollaan: Cert-Fi Java 7 (https://www.cert.fi/tietoturvanyt/2012/08/ttn201208281337.html)
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: avanti - 28.08.12 - klo:23.56
Java taas loistaa olemassaolollaan: Cert-Fi Java 7 (https://www.cert.fi/tietoturvanyt/2012/08/ttn201208281337.html)

Jahas. Java 7:n versio Linuxissa tarkoitti Ubuntu 10.04:n versiota. Suotta poistin. Voin siis hyvin asentaa seiska takaisin tähän 12.04:ään.

ML
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 29.08.12 - klo:17.10
Jahas. Java 7:n versio Linuxissa tarkoitti Ubuntu 10.04:n versiota. Suotta poistin. Voin siis hyvin asentaa seiska takaisin tähän 12.04:ään.

Nyt meni kyllä aika metsään sun statement, mutta sellaista sattuu jos ei lue tekstiä ja perehdy asiaan huolellisesti. Kieltämättä tuo uutinen ei ollut ihan selkeimmällä mahdollisella tavalla kirjoitettu.

Anyway, kuten aikaisemmissa viesteissä olen tässä todennut. Turvallisia ohjelmia ei ole, eikä ole tiedossa että tulisi olemaankaan. Joten hyökkäyspinnan minimointi on aina hyvä menetelmä.

Aina naurahdan kun joku menee sanomaan, että versio XYZ tai Selain ABC on turvallinen. Mistähän nuo tilastotieteen mestarit noita väitöksiä vetävät? Se on ihan yhtä fiksua kuin väittää, että päävoiton saaminen lotossa on mahdotonta.  Kuitenkin jos katsotaan vähänkin historiaa, niin nähdään että päävoittoja on jatkuvasti mennyt jollekin.

Vielä koskaan versiota ### turvalliseksi väittänyt ei ole toimittanut riittävää dokumentaatiota osoittaakseen väitteensä todenpitäväksi. Toisaalta, koska näitä väitteitä on esitetty jo pitkään, on taas aika osoittanut noiden väittäjien olevan väärässä, koska em. versioista on jälleen löytynyt jotain korjattavaa.

On siis todella hölmö veto mennä väittämään, että joku ohjelmisto on turvallinen. Todennäköisyys siihen, että sen väittäjä on väärässä, lähestyy rajatta ääretöntä.

Ihan sama väite pätee myös useimpiin algoritmeihin, menetelmä XXX on turvallinen. Kuitenkin kun katsotaan historiaa huolellisesti, on taas jälleen äärimmäisen suuri todennäköisyys siihen, että asian väittäjä on väärässä.

Minä en ainakaan enää koskaan sano että ohjelmisto on turvallinen tai joku salausmenetelmä tms, on turvallinen. Koska se on melko varma tapa failata.

Hesarikin on jo herännyt tähän Java aiheeseen (http://www.hs.fi/kotimaa/Java-ohjelman+korjaavaa+p%C3%A4ivityst%C3%A4+odotetaan+kuumeisesti/a1305596122968).

P.S. Kerro ihmeessä mistä sait koneeseesi "turvallisen Javan", kun sitä ei ainakaan muiden tietojen mukaan ole olemassa? Teitkö itse patchin? Mistä tiedät että siinä ei ole muita reikiä?
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Tomin - 29.08.12 - klo:17.37
Java taas loistaa olemassaolollaan: Cert-Fi Java 7 (https://www.cert.fi/tietoturvanyt/2012/08/ttn201208281337.html)

Jahas. Java 7:n versio Linuxissa tarkoitti Ubuntu 10.04:n versiota. Suotta poistin. Voin siis hyvin asentaa seiska takaisin tähän 12.04:ään.

Tuossa oli mainittu vain testatut versiot, eli Cert-Fin kaverit eivät ole vielä siirtyneet uusimpaan, jossa lienee sama versio Javasta. Tosin jos käytät OpenJDK:ta ja sen kaverina IcedTea:a niin ilmeisesti sillä yhdistelmällä et nettiselaimen kautta saa tunkeutujia. Silti suosittelen ottamaan sen väliaikaisesti pois käytöstä ihan varmuuden vuoksi, jos Javalle ei ole muuta käyttöä. Eiköhän sieltä korjaus kohtapuolin tipu.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Postimies - 29.08.12 - klo:19.05
Jos ei tarvitse javaa niin sen voi poistaa. Tai vaihtoehtoisesti käyttää kahta selainta. Toisessa on java niitä sivuja varten joissa se on pakollinen. Toisessa selaimessa taas on java poistettu käytöstä ja sitä käytetään normaalisti. Pankin sivulta tuskin saa viruksia, mutta joltain toiselta voi jos vaikka näppäilee nimen vähän väärin..

Ohjelman todistaminen toimivaksi tai turvalliseksi on haasteellinen tehtävä. Muutaman rivin aliohjelma helpohko tapaus. Kun koodia on miljoonia rivejä testaus käytännössä mahdotonta. Jonkun aliohjelman todistuksessa on yleensä syöttessä joku rajoitus. Tyyliin toimii kokonaisluvuilla välillä 1 - 10 000. Tai päivämäärän pitää olla muotoa pp.kk.vvvv tietyllä välillä. Eli toimii kunhan syöte on oikea. Mutta väärää syötettä ei ole testattu..

On paljon fiksumpaa, että suoritettava koodi on palvelimessa, joka luo näkyvän sivun dynaamisesti. Eikä käytäjän koneella ajettaisi suoritettavaa koodia - javaa tai mitään muutakaan.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 29.08.12 - klo:19.33
On paljon fiksumpaa, että suoritettava koodi on palvelimessa, joka luo näkyvän sivun dynaamisesti. Eikä käytäjän koneella ajettaisi suoritettavaa koodia - javaa tai mitään muutakaan.

Tämän suhteen ollaan jatkuvasti menossa yhä kiihtyvällä vauhdilla juuri toiseen suuntaan. Kaikki suorittaminen siirretään käyttäjän koneelle ja palvelin (siis pilvi) toimii vain tietokantana ja jakelualustana.

Client server arkkitehtuuri siis säilyy, mutta clientti siirtyy sovellukseksi selaimeen, joka tuo taas ihan omat riemukkaat tietoturva-ongelmansa.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Echramath - 30.08.12 - klo:17.47
Onkos Linux-systeemeissä mikä tilanne sen systeemin kanssa, jota Windows kutsuu Secure Desktopiksi, eli se kun Vista tai seiska vetää näytön tummaksi kun oikeuksia korotetaan? Sen nimittäin käsittääkseni pitäisi huolehtia siitä, että näppäimistöä ei voi lukea kuin järjestelmä itse. Sen sijaan ainakin uusimmassa Xubuntussa näemmä ihan sama millä optioilla esim. gksudoa ajaa, omalla käyttäjätunnuksella oleva screenkey pystyy näkemään salasanan.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 30.08.12 - klo:19.23
Ohjelman todistaminen toimivaksi tai turvalliseksi on haasteellinen tehtävä. Muutaman rivin aliohjelma helpohko tapaus.

Onko? Entäs kun haavoittuvuus on raudassa, käyttöjärjestelmässä, kääntäjässä tai jossain sovelluksen käyttämistä kirjastoista? Tai hyökkäys tehdään tavalla jota ei ole tajuttu ajatella ollenkaan kun koodia on tarkistettu. mm. hash dictionary collision hyökkäykset, jolla saadaan denial-of-service tilanne aikaiseksi, vaikka koodissa ei mitään vikaa olekkaan. Kuka tarkisti hash algoritmin ja varmistui siitä, että se on oikeasti sellainen ettei sitä voida väärinkäyttää. Vaikka syöte olisi todella yksinkertainen ja käsittely myös, niin silti tuohon jää haavoittuvuus. Muistaakseni mm. Pythonin dictionaryn hash collisionia on käytetty DoS hyökkäyksiin. Aivan kuten Apachen range DoS aukko oli ollut sovelluksessa "ikuisesti", eikä sitä ollut kukaan sieltä hiffannut.

Kas kas, ohjelma onkin haavoittuva, vaikka kirjoittamassasi koodissa ei ole yhtään mitään "vikaa".

Kannattaa myös käydä tämä läpi: https://www.grc.com/sn/sn-211.htm <- tuossa käsitellään nimenomaisesti järjestelmiä jotka on alusta asti, myös rauta mukaanlukien suunniteltu turvalliseksi... Ja silti haavoittuvaisia.

Turvallisen tekeminen, on  vaikeaa. ;) Koska valitettavasti kaikkein yksinkertaisimmaltakin näyttävät asiat voivat silti olla tehty väärin ja vielä tavalla jota kukaan ei tajua, vaikka koodi auditoitaisiin hyvinkin huolellisesti.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Postimies - 30.08.12 - klo:22.44
Ohjelman todistaminen toimivaksi tai turvalliseksi on haasteellinen tehtävä. Muutaman rivin aliohjelma helpohko tapaus.

Onko? Entäs kun haavoittuvuus on raudassa, käyttöjärjestelmässä, kääntäjässä tai jossain sovelluksen käyttämistä kirjastoista? Tai hyökkäys tehdään tavalla jota ei ole tajuttu ajatella ollenkaan kun koodia on tarkistettu. mm. hash dictionary collision hyökkäykset, jolla saadaan denial-of-service tilanne aikaiseksi, vaikka koodissa ei mitään vikaa olekkaan. Kuka tarkisti hash algoritmin ja varmistui siitä, että se on oikeasti sellainen ettei sitä voida väärinkäyttää. Vaikka syöte olisi todella yksinkertainen ja käsittely myös, niin silti tuohon jää haavoittuvuus. Muistaakseni mm. Pythonin dictionaryn hash collisionia on käytetty DoS hyökkäyksiin. Aivan kuten Apachen range DoS aukko oli ollut sovelluksessa "ikuisesti", eikä sitä ollut kukaan sieltä hiffannut.

Kas kas, ohjelma onkin haavoittuva, vaikka kirjoittamassasi koodissa ei ole yhtään mitään "vikaa".

Kannattaa myös käydä tämä läpi: https://www.grc.com/sn/sn-211.htm <- tuossa käsitellään nimenomaisesti järjestelmiä jotka on alusta asti, myös rauta mukaanlukien suunniteltu turvalliseksi... Ja silti haavoittuvaisia.

Turvallisen tekeminen, on  vaikeaa. ;) Koska valitettavasti kaikkein yksinkertaisimmaltakin näyttävät asiat voivat silti olla tehty väärin ja vielä tavalla jota kukaan ei tajua, vaikka koodi auditoitaisiin hyvinkin huolellisesti.


Vaikeaa eikö totta? Aliohjelma, jossa on vaikka pari asetuslausetta on minusta helpohko. Mutta jo sisäinen rekursio tai muutama aliohjelmakutsu voi tehdä todistamisen hyvin hankalaksi. Matemaattisia menetelmiä käytetään vähän (hidasta) ja yleensä tyydytään testaamaan toimiiko oikein. Ja testauksessa käytetään usein helppoja syötteitä, joihin on vastaus olemassa.

Käytetty kieli vaikuttaa myös paljon. Paljon käytetyllä C:llä voi kirjoittaa niin hankalaa koodia,
että sen ymmärtäminen on hankalaa. Esim.  lause i = i >> 3; on ihan laillinen eikä edes vaikea. Mutta silti kovin ongelmallinen.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: avanti - 30.08.12 - klo:23.57
Jahas. Java 7:n versio Linuxissa tarkoitti Ubuntu 10.04:n versiota. Suotta poistin. Voin siis hyvin asentaa seiska takaisin tähän 12.04:ään.
---8<---
P.S. Kerro ihmeessä mistä sait koneeseesi "turvallisen Javan", kun sitä ei ainakaan muiden tietojen mukaan ole olemassa? Teitkö itse patchin? Mistä tiedät että siinä ei ole muita reikiä?

En ole niin väittänytkään, että olisin saanut turvallisen Javan. Enkä tiedä onko turvallista ohjelmaa olemassakaan. Oikeastaan voisi sanoa, että olen ottanut harkitun riskin. Olen saanut käsityksen, että Java 6 olisi vielä reikäisempi, joten seiska-versio olis pienempi riski. Toisaalta en pidä surffaamisesta, enkä ota vastaan roskapostiakaan.

ML
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: avanti - 31.08.12 - klo:00.01
Java taas loistaa olemassaolollaan: Cert-Fi Java 7 (https://www.cert.fi/tietoturvanyt/2012/08/ttn201208281337.html)

Jahas. Java 7:n versio Linuxissa tarkoitti Ubuntu 10.04:n versiota. Suotta poistin. Voin siis hyvin asentaa seiska takaisin tähän 12.04:ään.

Tuossa oli mainittu vain testatut versiot, eli Cert-Fin kaverit eivät ole vielä siirtyneet uusimpaan, jossa lienee sama versio Javasta. Tosin jos käytät OpenJDK:ta ja sen kaverina IcedTea:a niin ilmeisesti sillä yhdistelmällä et nettiselaimen kautta saa tunkeutujia. Silti suosittelen ottamaan sen väliaikaisesti pois käytöstä ihan varmuuden vuoksi, jos Javalle ei ole muuta käyttöä. Eiköhän sieltä korjaus kohtapuolin tipu.

Koetin kyllä poistaa 7-version, jolloin 6-versio asentui, ja kun poistin 6-version niin 7-versio asentui automaattisesti. En oikein jaksa tällaisten teoreettisten asioiden (kannaltani) kanssa.

ML
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 01.09.12 - klo:12.16
avanti:n vastauksessa on aivan selkeä pointtinsa.

Edellä on hyvin revitelty auki kaikenlaisia mahdollisuuksia sille miten järjestelmään pääsee tunkeutumaan ja mitä teoreettisia tietoturvariskejä on olemassa. Nämä pohdinnat ovat lähinnä tietotekniikan ammattilaisille ja sikäli sopivat tähänkin ketjuun.

Yksilöä koskevissa turvallisuustarkasteluissa ei kuitenkaan lähdetä mistään absoluuttisesta tilanteesta vaan lähdetään riskienhallinnasta jossa todennäköisyyksillä on selkeä roolinsa. Esimerkiksi jos pelätään lentomatkailua, niin arkikielessäkin esitetään tämä irrationaalisena pelkotilana, koska todennäköisyys turmaan on niin pieni ja lentomatkailu on muihin vaihtoehtoihin nähden niin turvallista.

Silloin kun puhutaan tuotteen turvallisuudesta arkikielessä, niin yleensä puhutaan suhteellisesta turvallisuudesta johonkin muuhun nähden. Esimerkiksi aina on puhuttu "turvallisista autoista", jo vuosikymmeniä, vaikka niiden absoluuttinen turvallisuus on parantunut huimasti. Jokainen kuitenkin ymmärtää, että auto ei ole turvallinen kaikissa tilanteissa.

Jos et ole opetellut ajamaan ja ajat maantienopeudella kalliota päin, niin aina käy huonosti (=vastaa esim. törkeän huonoa taitoa käyttää tietokonetta).

Jos joudut pysähtymään moottoritielle ja 60 tonnin rekka tulee takaa päälle, niin aina käy erittäin huonosti riippumatta auton turvavarusteista (=vastaa erittäin huonoa tuuria WEBissä asioidessa).

Vaikka autossa on kaikki modernit turvavarusteet, mutta määräaikaishuollossa eivät ole tarkistaneet jarruputkien kiinnitystä ja siitä johtuen putket katkeavat ajossa, saattaa liikenteessä käydä erittäin huonosti (= vastaa sitä, että järjestelmän turvapäivityksistä ei ole ollenkaan huolehdittu).

Vaikka autossa on ABS-jarrut, mutta jos jään päällä on lunta, niin jarrutusmatka voi olla erittäin pitkä juuri ABS:n takia ja huonosti käy jos ajat vaikkapa kuorma-auton lavan alle (= vastaa sitä, että eivät tietokoneenkaan turvaohjelmat, kuten virustutkat, ole täydellisiä, kannattaisi ymmärtää turvajärjestelmien rajoitukset).


Näin siis voi käydä autolla joka on nykymittapuun ja arkikielen mukaan erittäin turvallinen.

Vastaavasti Linux-järjestelmässä kannattaa: osata käyttää jotta itse ei tee mitään järjestöntä (kalastelu, web-huijaukset), pitää huolta järjestelmästä (turvapäivitykset), parantaa omaa "tuuriaan" (kannattaa hetki harkita mitä WEBissä yleensäkään tekee ja millä koneella tekee), ymmärtää turvajärjestelmien rajoitukset ja olla riittävän varovainen jos itse asentaa ohjelmia, jotka toimivat aktiivisesti ulkomaailmaan päin (serveri-softat, etäyhteydet jms).
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 01.09.12 - klo:17.00
Nyt Java on turvallinen, eikus... ;)

http://www.theregister.co.uk/2012/08/31/critical_flaw_found_in_patched_java/

Tää on just tätä.

Juu, hyviä nuo auto esimerkit. Jossain toisessa paikassa oli todettu, että on ihan turhaa palkata pari henkivartijaa ja kuvitella olevansa turvassa, jos koko saattue tuhotaan ilmaiskulla. Näitähän on sattunut.

Turvaluokituksia on monenlaisia. Vaikka turvallisuus olisi kunnossa, pitää silti panostaa jatkuvaan tason ylläpitoon ja tiedusteluun jotta uhkiin osataan varautua.  Olisi kiva tietää millaisia juttuja mm. Facebookin, Googlen ja Paypalin tietoturva-osastoilla tulee päivittäin ilmi. Puhumattakaan sitten jostain pankeista, pörsseistä ja sotilas-järjestelmistä. Voipi tulla aika mielenkiintoisia havaintoja. Kuten kaikki varsin hyvin tiedämme, se on varmasti promillen murto-osa joka pääsee uutisiin asti. Melkoisen varmaa, että uusia ongelmia ilmenee joka päivä ja jotain tosi mehevää viikoittain.

Jotkut tietoturva-asiantuntija jotka ovat oikeasti näistä ajantasalla, ovat sanoneet että turvallista järjestelmää ei ole, eikä tule. Monikerroksiset turvajärjestelmät sitten (toivottavasti) paljastavat, että joku toinen järjestelmä vuotaa ja sitä kautta saadaan taas yksi reikä tukittua. Mutta siis näiden ongelmien tukkiminen on aivan jatkuva prosessi.

Mitä ilmeisimmin pankit ja pörssit jne. tahot eivät uutisoi ongelmiaan, koska niitä aivan varmasti on, mutta ei vaan näy mediassa.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: 2-mieli-FI-poliisi - 01.09.12 - klo:21.27
Mitäköhän tämä uutinen käytännössä tarkoittaa?

Ubuntu 12.10 Adds Encrypted Installation.
http://news.softpedia.com/news/Ubuntu-12-10-Adds-Encrypted-Installation-289430.shtml

Kaippa tuokin on entistä turvallisempi, mutta paha on mennä sanomaan kun en ole flunssan vuoksi saanut viikkoon edes maitopurkkia auki googlettamatta ensin kuvaohjetta.

Pieni askel ihmiskunnalle, mutta Atlantin ylilento pingviinille.  ::)
Pieni asken pingviinille, mutta Mars lento ihmiskunnalle.   ;D
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 01.09.12 - klo:21.39
Mitäköhän tämä uutinen käytännössä tarkoittaa?

"Keep in mind though, that any files outside the Ubuntu installation will not be encrypted."

Selviää hemmetin huonosti tuosta tekstistä mistä on kyse. Oletan kuitenkin, että tuo tarkoittaa bootti / käyttöjärjestelmä partition "full disk encryptionia". Mutta tämä ei perustu tietoon, vaan puhtaaseen oletukseen siitä mikä olisi järkevää.

Hyötynä mm se, että koneen järjestelmää voi muokata, koska kyrptaus tuo samalla validoinnin datalle.  On olemassa iso riski, että jos koneessa on mm. true crypt volumeja, niin koneeseen salaamattomalle osiolle tehdään muutoksia mm, key-logger / crypto-key-capture softa tms. Jonka jälkeen salattujen osioiden purkaminen on lasten leikkiä. Näin voidaan siis jättää kone odottamaan sitä, että käyttäjä paljastaa salausavaimen. Salaamalla järjestelmätiedostot ja bootti, voidaan tehdä tuo hyvin olennaisesti vaikeammaksi. Vaikka monia muita triviaaleja konsteja jää jäljelle, kuten mm. pöytäkoneen tapauksessa yksinkertainen usb-loggeri.

Koskas olet viimeksi tarkistanut onko koneen takana sellaista? Sitten kun olet mennyt avaamaan salatut partitiot hakevat vaan sinut ja koneen talteen, eikä tarvii enää kysellä ikäviä kysymyksiä salausavaimista kun ne on niillä jo olemassa.

Hmm? Onko TrueCyptiin olemassa mitään TOTP autentikointia? Voiko edes toimia? Pitänee miettiä ja Googlata lisää jossain vaiheessa. Toki erillinen avain voi olla, mutta onko mahdollista olla vaihtuvaa 2FA autentikointia.

Tässä muuten juuri tänään lueskelin: http://www.solidpass.com/authentication-methods/sign-what-you-see.html <- Noilla on vihdoinkin ratkaisu jossa data allekirjoitetaan ja samalla käyttäjä myös varmistuu datasta ennen sen allekirjoittamista. Useimmat 2FA ratkaisut kun eivät auta yhtään mitään MitM tilanteissa.

Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Jallu59 - 01.09.12 - klo:22.42
Ainakin kotikäyttäjiltä pitäisi estää kryptattujen osioiden käyttö. Kun systeemi nyrjähtää, niin mitään ei saada pelastettua ei edes niitä ainutlaauisia kuvia kymmeneltä vuodelta, kun ammoisia aikoja sitten systeemiä luotaessa annettu salausavain ei enää muistukaan mieleen.

T:Jallu59
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 02.09.12 - klo:12.07
Ainakin kotikäyttäjiltä pitäisi estää kryptattujen osioiden käyttö. Kun systeemi nyrjähtää, niin mitään ei saada pelastettua ei edes niitä ainutlaauisia kuvia kymmeneltä vuodelta, kun ammoisia aikoja sitten systeemiä luotaessa annettu salausavain ei enää muistukaan mieleen.

Nyt menee vähän asiat sekaisin. Jos järjestelmä on kryptattu, tarvitaan salausavain joka bootissa. Eli konetta ei saa edes bootattua ilman salausavainta.

Mutta se onko mm. master-blokki/header varmistettuna jossa on tuon käyttäjän antaman salausavaimen perusteella salattuna levyllä oikeasti käytetty salausavain, niin on sitten toinen juttu. Tuo kyllä suositellaan aina varmistamaan. En muista miten bitlocker tämän tekee, mutta mm. truecryptin tapauksessa juuri tuo master-blokki on aivan ehdottoman tärkeä, koska jos se tuhoutuu, levyltä ei saa mitään ulos. Toisaalta ihan yhtä tärkeä on myös tuon master-blokin salaukseen käytetty avain, eli se salasana ja mahdollisen key-fileen hashi.

EFS toimii eri tavalla, siinä on käytetty tiedostokohtaista salausavainta, joka taas on salattu käyttäjätunnuksen perusteella. Näin ollen mm. heikolla salasanalla salatut tiedostot ovat kuitenkin erittäin vahvasti salattuja, mikäli tuota koneella olevaa (PKI) EFS master salaustietoa ei ole olemassa. Mutta jos löydät  USB-tikun jossa on EFS fileitä, on niiden purkaminen käytännössä täysin mahdotonta, koska jokaisella tiedostolla on vielä oma salausavaimensa.

Siksi nuo EFS avaimet ja mm. true cryptin masterblokki, sekä niihin liittyvät avaimet, kannattaa aina tallentaa huolellisesti talteen. Muuten korruptoitumis / levy-rikko tilanteessa ei ole käytännössä yhtään mitään tehtävissä.

Toisaalta, ihan kuten EFS recovery keyssä on oma salausavain, niin kannattaa järjestelmästä tietysti ottaa säännöllisesti varmuuskopiot. Tietenkin salattuna, mutta jälleen tallessa olevalla, vahvalla ja eri avaimella. Näin ollen vaikka pääjärjestelmä tuhoutuisi, voidaan tiedot palauttaa backupista. Toisaalta taas jos backup joutuu väärin käsiin, niin sekään ei huoleta, kun tiedot on riittävän vahvasti salattuna.

Pakko myöntää, että olen muutaman USB-tikun joskus hukannut, joilla on ollut hyvinkin luottamukselista tietoa. Mutta kertaakaan ei ole päässyt hiki tulemaan pintaan, kun olen tiennyt että se on ihan sama mitä tietoja tikulla on, kun niiden purkaminen on kaikille muille kuin tiedustelupalveluille täysin mahdotonta. Joten no sweat. Tilanne olisi ollut täysin toinen, jos tiedot olisivat olleet salaamattomia. Siinähän sitä sitten kärvistellään, kertoakko ja hävetä silmät päästään ja kärsiä mahdolliset seuraukset. Vai toivoa vaan, että löytäjä ei tajunnut mitä sai käsiinsä ja ei koskaan väärinkäytä saatuja tietoja. Tuostakin olisi kiva tehdä ihan kliininen testi joskus, pudotella vaikka parikymmentä USB-tikkua ympäri stadia, johon on laitettu mm. login tunnuksia palvelimille, verkkopalveluihin, luottokortti (oikeat numerot, mutta ennakkoon sulkulistalla oleva), ssh avaimia tms ja katsoa yrittääkö kukaan käyttää noita tietoja väärin.

Melkein voisin vannoa, että mm. ssh avaimia ei tajua kukaan yrittää käyttää väärin jos otos on vain 20 tikkua.

Mutta tämähän meneekin enemmän normaalin tietoturvan ja tietoturvariskien puolelle kuin ohjelmistojen aukkoihin.

Kukaan ei ole vielä täällä kertonut miten turvalliset ohjelmat tunnistetaan. mm. kryptografia on ollut yksi osa-alueista joissa snake oilia on ollut paljon liikenteessä. Joko alogritmit on viallisia, niiden soveltaminen on puutteellista tai vielä pahempaa, ohjelma on ihan puhdasta snake oilia, jossa vaaditaan "salasana", mutta data ei ole edes oikeasti kryptattua tuon salasanan perusteella. Ohjelma vaan ei suostu avaamaan / näyttämään tietoja jos salasana on väärin. Köh, tuollaisiakin ohjelmia sattumalta tiedän. ;) Salasana on tiedostossa plaintextinä ja sitten vaan tiedostoa avattaessa verrataan käyttäjän antamaa salasanaa tuohon tiedostossa olevaan salasanaan. No joo, kyllä tuokin 99% käyttäjistä saa kuvittelemaan että tiedot on tallessa. Kuinka moni rupeaa analysoimaan tiedoston sisältöä, aika harva peruskäyttäjä.

mm. tämä sovellus sanoo salaavansa tiedot luotettavasti, mutta missään ei ole mitään selvitystä siitä miten tämä luotettavasti salaaminen tapahtuu?

http://www.appsense.com/labs/data-locker

Xorataan koko tiedosto salasanalla perinteisellä ECB menetelmällä? Ouch!

Parhaita huijauksia mielestäni oli mm. pakkaussovellus, joka itseasiassa tallensi vain referenssit lähdetiedostoihin. Oli tosi tehokas, pakkasi hyvin ja nopeasti... Mutta sitten kun poistit lähdedatan, niin oops. Eipä pystynyt enää purkamaan mitään takaisin. Heh heh...

Mut nyt pitää blogata (http://www.sami-lehtinen.net/blog/), tuli turhan paljon raapusteltua tänne.
Otsikko: Linux troijalainen
Kirjoitti: JussiK - 04.09.12 - klo:10.18
http://dl.fullcirclemagazine.org/issue64_en.pdf  (http://dl.fullcirclemagazine.org/issue64_en.pdf)


Korjattu linkiksi -- ajaaskel
Otsikko: 2FA, MFA, knockd, ssh, https, TOTP jne perussettiä.
Kirjoitti: Sami Lehtinen - 17.09.12 - klo:18.16
Tossa vähän viikonloppuna tunkkasin (http://www.sami-lehtinen.net/blog/mail-server-roundcube-mysql-knockd-totp-etc-drp-cp-database-optimizations-raima-rdm) mun serverin kanssa.

Monenlaista autentikointikikkaretta tuli käytettyä, nyt on todellakin multi-factor authentication. ;)

Nyt on tietokantojen suorituskyky testit menossa, mutta niistä lisää myöhemmin ja omana juttunaan. Datat on siirtymässä juuri tuotannosta testikantoihin, joilla ajan testit.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 26.09.12 - klo:18.50
Tässä sitä taas ollaan, se "turvallinen java" jonka asensitte, ei olekkaan niin turvallinen.

1: https://www.cert.fi/haavoittuvuudet/2012/haavoittuvuus-2012-156.html
2: http://arstechnica.com/security/2012/09/yet-another-java-flaw-allows-complete-bypass-of-security-sandbox/

Kuten huomaatte, tämäkin "ominaisuus" on ollut hyvin pitkään siellä, joten kyse ei ole "uudesta" ongelmasta, vaan vanhasta ongelmasta joka nyt vasta on tullut julkisuuteen.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 07.11.12 - klo:18.55
Tässä on juuri tätä ehdottoman parasta a-luokan win kategoriaa. ;)

Tietoturva-ohjelmisto tekee järjestelmästäsi haavoittuvan hyökkäyksille.  (http://www.tietokone.fi/uutiset/tietoturvaohjelmistoista_loydettiin_haavoittuvuuksia)
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Ganymedes - 08.11.12 - klo:10.44
Tässä on juuri tätä ehdottoman parasta a-luokan win kategoriaa. ;)

Tietoturva-ohjelmisto tekee järjestelmästäsi haavoittuvan hyökkäyksille.  (http://www.tietokone.fi/uutiset/tietoturvaohjelmistoista_loydettiin_haavoittuvuuksia)

Windowsin tietoturvaohjelmien syntilista on tosiaan varsin pitkä.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 10.11.12 - klo:15.30
Tietoturva on vaikeaa, kuten on jo todettu. Tällä viikolla törmäsin PHP malwareen. Kaikkea ne krakkerit tekevätkin. Mitä ilmeisimmin ensimmäinen malware layeri niillä oli vaan jonkinlainen automatisoitu kartoituskerros, jolla ne varmistavat onko massoittain tehdyt murrot onnistuneet. Sattuneista syistä järjestelmä ei kuitenkaan suorittanut tuosta skriptiä. Purkin skriptin kömpelön obfuskaatio suojauksen (zlib&base64 iteratiivisesti) ja sen jälkeen katselin koodia. Koodissa oli curl kutsuja parille Saksassa olevalle serverille. Koska skriptit eivät poimineet mitään dataa paikallisesti, vaan kuuntelivat verkosta tulevaa dataa ja välittivät kutsuja eteenpäin ajoin noi skriptit muutamalla eri parametrillä testimielessä. Tulos oli se, että kohde-serveri vastasi kuitenkin jokaiseen pyyntöön 404. Joten ehkä se teki datalla jotain, ehkä ei. Skripti kirjoitti myös paikallisia logi-fileitä, joten mahdollisesti tuolla toisessa päässä oli vain hyvin samanlainen skripti ja krakkerit näin ketjuttavat koneita. Todennäköisesti tuotakin murrettua palvelua olisi sitten vain käytetty eteenpäin murtautumiseen ainakin johonkin pisteeseen asti. Logien huolellisen läpikäynnin perusteella oli selvää, että olivat vain pudottaneet tuon skriptin palvelimelle ja yrittäneet ajaa sitä, joka oli sattuneista syistä epäonnistunut.

Mielenkiintoisinta tässä on se, että skripti oli uploadattu käyttäen FTP:tä ja sellaista käyttäjätunnusta jolla oli 12 merkkiä pitkä satunnainen salasana. Tämä on hyvin mielenkiintoista. Tarkoittaa sitä, että tuo FTP salasana oli saatu jonkun muun tietomurron / tietoliikenteen tarkkailun kautta tai sitten FTP serverissä on joku exploitti jonka kautta pääsivät sisään.

Logit on tarkassa seurannassa ja ihmetellään mitä tästä seuraa. Sekä luonnollisesti FTP on toistaiseksi tukittu palomuurissa.

Mikäli tästä tapauksesta tulee jotain lisäinfoa, niin todennäköisesti bloggailen siitä.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: mrl586 - 10.03.13 - klo:03.27
Sudo-komennossa haavoittuvuus: http://www.ubuntu.com/usn/USN-1754-1/ (koskee myös muita Debian-sukuisia jakeluita)
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Postimies - 10.03.13 - klo:04.25
Sudo-komennossa haavoittuvuus: http://www.ubuntu.com/usn/USN-1754-1/ (koskee myös muita Debian-sukuisia jakeluita)

Itse en juuri käytä sudo-komentoa ja olenkin ihmetellyt kun se kysyy salasanaa vain kerran. su - on kätevämpi monesti (Linux standardi) ja Ubuntu on jostain syystä poikennut siitä.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: anttimr - 10.03.13 - klo:08.38
Sudo-komennossa haavoittuvuus: http://www.ubuntu.com/usn/USN-1754-1/
joka on tuetuissa Ubuntu-versioissa korjattu 28.2. julkaistuissa päivityksissä.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Illu - 10.03.13 - klo:09.55
"A local attacker could use this issue to run Sudo commands without a password prompt."

Tarkoittaako tuo vain "kotiverkkoa", eikä siis seinien ulkopuolelta hyökkäävää?
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: anttimr - 10.03.13 - klo:10.15
Se tarkoittaa koneelle sisään kirjautunutta käyttäjää (mukaan lukien itsesi, jos joku harhauttaa sinut suorittamaan haitallista koodia). Sillä, onko käyttäjä kirjautunut olemalla fyysisesti paikalla, lähiverkosta tai Internetistä käsin, ei sinänsä ole merkitystä.  
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Postimies - 10.03.13 - klo:14.07
Se tarkoittaa koneelle sisään kirjautunutta käyttäjää (mukaan lukien itsesi, jos joku harhauttaa sinut suorittamaan haitallista koodia). Sillä, onko käyttäjä kirjautunut olemalla fyysisesti paikalla, lähiverkosta tai Internetistä käsin, ei sinänsä ole merkitystä.  

Monissa jakeluissa on esim. ssh oletuksena päällä. Jos pääsee sillä sisälle ja vielä sudo tai su onnistuu niin ....
Ohjelmien käynnistämisen voi estää käyttäjän kotihakemistossa, mutta muistaakseni se ei koske scriptejä. Joten rajoitus on helposti kierrettävissä.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 10.03.13 - klo:17.16
Alkaa menemään nää uhkat sen tasoisiksi, että ns. tavallisella tallaajalla ei ole edes teoreettisia mahdollisuuksia saada turvallista järjestelmää.

https://threatpost.com/en_us/blogs/how-facebook-prepared-be-hacked-030813

http://thehackernews.com/2013/03/chrome-firefox-java-ie10-exploited-at.html

Ei siis taida olla yhtään turvallista selainta, käyttöjärjestelmää tai pluginia. Kaikki on suorastaan Sveitsiläisiä juustoja.

Turvallisen ja monimutkaisen softan tekeminen näyttää olevan käytännössä mahdotonta. Näin ollen selaimet, officet, pdf readerit, kuvien ja videoiden decoderit, käyttöjärjestelmä jne, ovat lähes "varmasti" rikki.

Mielenkiintoista muuten todeta, ettei mm. NaCl (https://en.wikipedia.org/wiki/Google_Native_Client) tekniikasta ole mielestäni uutisoitu exploitteja. Luin dokumentaation miten ovat sitä suojanneet ja ainakin minua jäi huolettamaan kovasti se, että koodi pääsee vuotamaan ulos sandboxistaan.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Postimies - 10.03.13 - klo:21.00
Alkaa menemään nää uhkat sen tasoisiksi, että ns. tavallisella tallaajalla ei ole edes teoreettisia mahdollisuuksia saada turvallista järjestelmää.

Eikö sitä ole aika turvassa jos kaikki palvelut on pois päältä ja selain ilman epämääräisiä plugeja.
Tosin moni media-soitin tykkää myös verkosta. Vaikka sitä luulee, että verkoon ei ole yhtään palvelua päällä, joku media-soitin voi moista silti pitää päällä.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 12.03.13 - klo:18.24
Eikö sitä ole aika turvassa jos kaikki palvelut on pois päältä ja selain ilman epämääräisiä plugeja.

'Aika', kun nykyisissä selaimissa ja käyttiksissä on molemmissa niin paljon reikiä, että tuntuvat pääsevän tuollaiseenkin järjestelmään melkovarmasti jos vaan tietävät missä vierailet selaimesi kanssa, eli murtautuvat sinne ensin.

Tavallisilla käyttäjillä ja organisaatioilla ei ole edes teoreetitsia mahdollisuuksia olla turvassa. ;(

Tämän lisäksi pitäisi tietenkin valvoa tarkasti kaikkea verkkoliikennettä niin sisään kuin ulospäinkin, jotta mahdolliset 2C yhteydet havaitaan. Sekin on ihan herrassaan että havaitaanko niitä vai ei.

Näyttää yhä enemmän siltä, mikä on aina ennenkin pitänyt kutinsa. Turvalliset järjestelmät pitää eriyttää monikerroksisilla ratkaisuilla julkisista järjestelmistä ja jokaisessa vaiheessa pitää olla moninkertaiset ja testatut tietoturvajärjestelmät käytössä. Henkilötön ja käyttäjien pitäisi olla tilanteen tasalla, kuten myös kaikki softien ja palvelujen toimittajat pitäisi auditoida säännöllisesti jne. Huhhuh, aika raskaaksi menee.

Luin tässä justiin huvikseni PCI SSC:n dokkarit ja HIPAA:t siihen päälle. Totuus on siinä, että tietoturvaa varten tarvitaan kokonainen osasto ja sinne pitkän kokemuksen omaavat kaverit, että hommasta tulee edes jotain. Tämän lisäksi tarvitaan mittavat auditoinnit ja dokumentoidut prosessit kaikkiin toimenpiteisiin joista ei saa poiketa ennakkoon selvästi määriteltyjen sanktioiden uhalla. Sitten pitäisi olla vielä testatut ja todistettavasti toimivat prosessit kaikkien asioiden vaihtamiseen, kaikki tieto pitää aina salata turvalliseksi todetuilla ja todistetuilla menetelmillä kun sitä siirretään verkon yli. Verkkoautentikoinneissa pitää käyttää aina vaihtuvia tunnuksia, eikä silloinkaan koskaan saisi käyttää konetta jonka suhteen on pieniäkin tietoturvaepäilyksiä.

Mulla on juuri näistä syistä erikseen koneet joilla hoidetaan päivittäistä nettiasiointia ja sitten erilliset koneet joilla hoidetaan luottamuksellista viestintää, nämä koneet eivät ole internettiin kytkettynä. Mutta kuten tiedämme, tuokaan ei estä päteviä kavereita. Sanotaan että siirrän vaikka ASCII armored viestin tästä koneesta RS-kaapelilla tuohon turvalliseen koneeseen. Se on aika turvallista vielä, mutta kun alan purkamaan samonaa GPG:llä, mikään ei takaa, etteikö GPG:ssä olisi bugia / backdooria jonka kautta homma alkaa menemään pahasti pieleen.

Kolmantena kannattaa pitää vielä sellaista ympäristöä, joka on täysin erillinen asioille joita ei halua linkattavaksi itseensä. Yhteydet mm. omna pre-paid nettiliittymän kautta ja koneen käynnistäminen aina puhtaalta imagelta joka bootin yhteydessä, koneessa ei kannata pitää mitään kirjoituskelpoista tallennusmediaa. Näin kone käynnistyy joka kerta täysin puhtaana ympäristönä, eikä siinä ole mitään personoivaa dataa saatavilla vaikka se pwnattaisiin.

Monissa ympäristöissä on vielä se ongelma, että tietoturva on se viimeisin ajatus mitä kukaan vaivautuu ajattelemaan, vaan kaikki asiat tehdään ensin ja sitten jos tulee tietoturvaongelmia niitä paikkaillaan myöhemmin. Tietoturvan kannalta tämä on luonnollisesti varsin katastrofaalinen lähestyminen.

Monet varoittelee mm. pilvipalveluiden tietoturvasta, mutta ns. normaaliin tasoon nähden Amazonin ja Googlen tietoturva on varmasti monta kertaa paremmalla tolalla, kuin random X web-hostaajan Suomessa.

Se että koneeseen ei pääse verkosta, ei riitä. Koska mikä tahansa sovellus / ohjelma joka muodostaa verkkoonpäin voi olla se kikka jolla koneelle päästään. Samoin automaattiset päivitykset on suunnaton riski, varsinkin silloin kun niiden prosesseja ei ole erittäin huolellisesti hiottu tietoturvaosaston toimesta.

Uskon että mm. F-Securella ja Microsoftilla on noi hommat hallussa. Mutta sellaisia softatoimittajia joilla homma ei ole samalla tasolla on maailmassa aikas monta.

Muistakaapa nyt mm. se SSH key generation fail, se oli todella vakava ja silti meni läpi kaikista suojausprosesseista.

Edit, linkki lisätty:
https://www.pcisecuritystandards.org/security_standards/documents.php

Näitä tietoturva aspekteja on myös sivuttu paljon monissa keskusteluissa, joissa on pohdittu miten vaikeaa on mm. Pystyttää Tor-hidden service, jos oletetaan että palvelu ei miellytä kaikkia ja sitä vastaan yrittää oikeasti pätevät kaverit hyökätä tosi tarkoituksella. Tuokin vaatii monikerroksisen lähestymisen asiaan, samoin jos kohde järjestelmä murretaan, niin kaikki mahdolliset tavat päästä ulos siitä järjestelmästä pitää olla tukittu vielä muilla tavoilla. Jotta koneen pwnaaminen sallii vain palvelun kaappaamisen, ei palvelimien sijainnin selvittämistä. Toisaalta, tuossa tapauksessa olisi varsin luonnollista ajaa noita palvelimia paikassa X joka itsessään on luotu Toria käyttäen, kaikki ylläpito tehdään Torin (tai vastaavan anonymisoivan proxy networkin, kuten botnetin) kautta ja tämän lisäksi kaikki maksutavat / muut asiaan liittyvät tekijät on erittäin huolellisesti anonymisoitu. Tästä voisi muuten luoda oman keskustelun jos jotakuta kiinnostaa jutustella.

Watering hole ja RAT hyökkäykset on nykyjään kovin yleisiä ja noilla saadaan helposti suuriakin määriä koneita haltuun. Onneksi monessa tapauksessa ilmeisesti hyökkääjät saavat niin paljon koneita haltuun, etteivät ne ehdi edes tarkastamaan mitä lottovoittoja koneilla saattaisi olla. Monesti ovat missanneet ne mahikset joita olisi ollut kyseisen koneen ownaamisen kautta mahdollista hyödyntää, mutta ei ole silti kiinnostanut. Tilanne olisi luonnollisesti täysin toisenlainen, mikäli kyse olisi tarkasti kohdennetusta hyökkäyksestä jolloin hyökkääjällä on erilainen agenda.

Kannattaa myös miettiä erilaisia turvallisuuden kannalta ajateltuja Linux distribuutioita. (Security Hardened / Enhanced Linux). Totuus on kuitenkin siinä, että jos käytät Lynxiä kummallisempaa selainta, niin mitä todennäköisimmin se on aivan varmasti turvaton.

Lue mm.
https://en.wikipedia.org/wiki/Security-Enhanced_Linux
https://en.wikipedia.org/wiki/Multilevel_security

Katso myös LPS, Surprise! ja se klassikko Tails.

Kunkahan moni Tailsin lataaja edes tarkistaa lataamansa imagen signaturen? Ei sinänsä, että se mitään oikeasti takaisi.

Koodia: [Valitse]
gpg tails-i386-0.17.iso.pgp
Detached signature.
Please enter name of data file: tails-i386-0.17.iso
gpg: Signature made 2013-02-23T17:34:53 EET using RSA key ID BE2CD9C1
gpg: Good signature from "Tails developers (signing key)
<tails@boum.org>"
gpg:                 aka "T(A)ILS developers (signing key)
<amnesia@boum.org>"

Jokaisen ohjelmiston osata jossa on automaattiset päivitykset, pitää käydä läpi
A) miten automaattisten päivitysten oikeellisuudesta voidaan varmistua mm. allekirjoituksen avulla ja sitten tietysti
B) Mitkä kaikki tarkistukset sille tehdään, ennen kuin sovellus  suostutaan allekirjoittamaan.
C) Riski voi olla esim se, että allekirjoittajalla on pääsy koodiin ja hän pystyy allekirjoittamaan koodin. Tämä tarkoittaa sitä, että tietoturva on yhden ihmisen varassa, joka on tietenkin tavalla tai toisella korruptoitavissa, kuten historia on näyttänyt.

Jos nuo tekijät eivät ole yksityiskohtaisesti dokumentoitu ja tai dokumentaatiota ei noudateta, ollaan heti leväperäisillä vesillä liikenteessä.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Tomin - 12.03.13 - klo:22.39
Samin viestistä tulikin mieleeni: http://xkcd.com/1181/
Kannattaa vilkaista myös "kuvateksti" (img-tagin title-attribuutti eli se teksti, joka ilmestyy, kun hiiren vie kuvan päälle).
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 17.03.13 - klo:13.13
Samin viestistä tulikin mieleeni: http://xkcd.com/1181/

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Oli kyllä hillitön. Juuri noin monet toimivat.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEARECAAYFAlFFoqgACgkQrgJ3hCdO9iZ5NQCfcMGHXthiuXBbFLVoeRy6clhb
K+IAmQFEtOXq7LeI6Oz1lwRaGP3Iglfs
=jyJB
-----END PGP SIGNATURE-----

Sitten seuraavaan asiaan. Huomaako moni että monet sovellukset ovat tietoturvariskejä vaikka toimivat täysin asiallisesti. mm. Skype keississä jossa tunnukset murrettiin salasanapalautksen kautta (eli todella triviaalia) saatiin käyttäjien chat logit ladattua koneilta.

Nykyisessä verkottuvassa ja pilvistyvässä maailmassa tietojen hallinta on yhä vaikeampaa. Aikaisemmin oli helppoa valita, että haluan juuri tämän tiedon tallennettavaksi vain ja ainoastaan tähän paikkaan. Mutta nykyisillä ohjelmistoilla tuo on mahdotonta. Tietoja vuotaa swappiin, erilaisiin temp tiedostoihin, tietokantoihin joista recordit deletoidaan mutta data jää silti kantaan makaamaan, joko free listattuna tai sitten ihan tarkoituksella kuten MVCC kantojen tapauksessa käy. Samanlaisia träppejä on mm. softat jotka tallentaa kuvista jotain thumbnaileja tms. Tietysti fulldisk encryption auttaa, mutta tiettyyn rajaan, kuten tuossa alla tulen toteamaan. Kone on ihan samaa riistaa kuin muutkin, silloin kun salaus on avattuna.

Softat vuotavat sellaisia yksilöviä tietoja nettiin, joita en ole koskaan pyytänyt lähetettäväksi. Mainionta esimerkkinä mm. selainten fingerprinttaus palvelut. Olen aina ollut omilla koneillani niissä uniikki käyttäjä, koskaan ei ole tullut vielä collisionia. Tarkoittaa sitä, että pelkstään selaimen tiedoista olen täysin yksilöitävissä. Ei tarvitse logata sisään, postata mitään tms.

Tässä vähän jatkolukemista tästä, nimenomaisesti internetin osalta.
http://edition.cnn.com/2013/03/16/opinion/schneier-internet-surveillance/index.html?eref=edition

Ongelmat eivät tosin rajoitu vain ja ainoastaan internettiin. Kuten tuossa sanoin, erillisestä turvallisesta työasemasta, jos sen boottaisi mm. usb-tikulta jolle voi kirjoittaa. Niin ihan salettiin haxxorit saisivat tiedot  siirrettyä tuon usb-tikun kautta ulos ja sisään, kuten todistetusti ovat jo monissa tapauksissa tehneetkin. Näin ollen erillinen turva-asema jolle siirretään tietoa usb-tikulla, eikä sitä ole kytketty nettiin, ei ole sekään turvallinen, niin kurjaa kuin tämä maailman meno onkin.

Yllättävän monet softat loggaa, vuotaa ja tallentaa sellaisia tietoja, joita en yksiselitteisesti pyytänyt tallennettavaksi. Kaikkein selvimpiä on vuodot joissa mm. näkyy että koneella on viimeksi käsitelty tällaisia tiedostoresursseja.  Entäs sitten kun open office sanoo että /media/truecrypt/nk-secret-missile-program/project-plan-b18.ods on viimeinen asiakirja jota koneella on käsitelty. Ei pistäisi hymyilyttämään yhtään jos olisi tosi kyseessä. Pääsee Guantamoon rubber hose kräkättäväksi. Siinä on sitten hyvä sanoa, että ihan oikeasti, mä olen unohtanut sen truecrypt volumin salasanan. Tuo on myös joissain maissa iso ongelma, että olettavat että salatut tiedostot on mahdollista purkaa. Varmasti jokainen on joskus unohtanut jonkun salasanan, vaikka tietysti kriittisten resurssien kohdalla tuon ei pitäisi olla mahdollista. ;)

-- Päivän off-topic horinat tähän samaan, ettei tarvii postailla enempiä --

Mutta tällaset horinat tähän väliin, nyt mä jatkan nodejs, GoLang ja PostgreSQL testailua. PostgreSQL manuaali on tullut luettua ja ymmärrettyä jo kokonaan. Eipä ihme että noi NoSQL kannat on "suositumpia", tollaisen kannan tekemiseen kuin PosgtreSQL kaikkine ominaisuuksineen voi vierähtää pieni hetki. ;) Pistin virtuaalipalvelimen pystyyn testiympäristöillä. Kuhan noista selviän niin sitten on seuraavaksi tiedossa Apache Cassandran kanssa leikkimistä.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Postimies - 17.03.13 - klo:20.15

Ongelmat eivät tosin rajoitu vain ja ainoastaan internettiin. Kuten tuossa sanoin, erillisestä turvallisesta työasemasta, jos sen boottaisi mm. usb-tikulta jolle voi kirjoittaa. Niin ihan salettiin haxxorit saisivat tiedot  siirrettyä tuon usb-tikun kautta ulos ja sisään, kuten todistetusti ovat jo monissa tapauksissa tehneetkin. Näin ollen erillinen turva-asema jolle siirretään tietoa usb-tikulla, eikä sitä ole kytketty nettiin, ei ole sekään turvallinen, niin kurjaa kuin tämä maailman meno onkin.


Tuota en ihan tajunnut... Toki jos työasemaan saa tietoa USB-tikulta, niin saa sitä tietysti sieltä uloskin. Kyllä minä pitäisin työasemaa joka ei ole verkossa kiinni melko turvallisena. Toki työasema, jonka voi käynnistää ulkoiselta medialta ei ole koskaan turvallinen.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 18.03.13 - klo:19.33
Niin ihan salettiin haxxorit saisivat tiedot  siirrettyä tuon usb-tikun kautta ulos ja sisään, kuten todistetusti ovat jo monissa tapauksissa tehneetkin.

Toki jos työasemaan saa tietoa USB-tikulta, niin saa sitä tietysti sieltä uloskin. Kyllä minä pitäisin työasemaa joka ei ole verkossa kiinni melko turvallisena. Toki työasema, jonka voi käynnistää ulkoiselta medialta ei ole koskaan turvallinen.

Työaseman käynnistäminen ulkoiselta medialta ei liity mitenkään tähän tietoturva ongelmaan. Ylipäätänsä peli on menetetty jos joku pääsee koneen luokse jonka ei ole siihen tarkoitus päästä käsiksi. Se luo sellaisen määrän erilaisia vaihtoehtoja kiertää kaikki mahdolliset salaukset ja turvatoimenpiteet, että peli on menetetty siinä vaiheessa. Eikä koneeseen edes tarvitse koskea, tilaan voidaan vaikka asentaa piilokamerat, tempest anturit, näppäimistön signaalin sieppaajat. Menetelemien lista on loputon, toiset käytännöllisempiä kuin toiset.

Eihän teistä kukaan kirjaudu koneele mm tilassa jossa on ikkunosita mahdollisuus nähdä tunnukset?

Takaisin asiaan. Eli pointtini oli siinä, että USB-tikun mukana voi tulla myös ei toivottua dataa. Jos en ihan väärin muista, niin juuri löytyi Windowssista merkittävä bugi, jolla koneen kuin koneen voi kaapata suoraan jos vain pääsee sen usb-porttiin käsiksi. Tämä siis nimenomaisesti tukee tuota aikaisempaa mallia, jossa ensin huolehditaan fyysisestä turvallisuudesta.

Pointti on siinä että jos siirrän koneelta A koneelle B tietoa USB-tikulla ja koneella B on paljon muuta salaista tietoa on täysin mahdollista tehdä koneella A temput tuolle tikulle ja kun vien sen koneeseen B saavat kopioitua halutut tiedot tuosta koneesta tikulle, jotka sitten kone A lähettää ystävällisesti eteenpäin kun tikku tulee takaisin siihen. Tämä ei ole mitään uutta. USB-tikun kanssa on liian vaikeaa valvoa tehokkaasti mitä tietoa ja kuinka paljon sitä siirtyy.

Kun taas siirrän tiedot tekstinä ja RS-piuhaa pitkin, niin näen jokaisen sanoman ascii armoroituna. Mukaan ei voi mitenkään ujuttaa useita kilotavuja, megatavuista puhumattakaan dataa salaa. Lisäksi hyökkäyspinta pienenee GPG:n ascii armorin käsittelyyn ja salaukeen, sen sijaan että hyökkäyspintana olisi koko usb-väylä ja kaikki inhottavat flash ansat.

RS-piuhassa on vielä katkaisija ja rx/tx ledit, joten yhteys on poikki silloin kun sitä ei tarvita ja tämän lisäksi näen myös ledeistä mikäli ylimääräistä / odottamatonta liikennettä on.

Viestintä on myös rajattu puhtaasti tekstiin, eli kaikki editointi tapahtuu matalan tason tekstieditorilla. Luonnollisesti jonkun docx, odf tai pdf dokumentin avaaminen olisi aika nuija veto. Kaikki noista ovat sen verran korkean tason fileitä, että voivat sisältää ihan mitä tahansa, kuten se USB-tikkukin. Visuaalinen tarkistaminen on käytännössä mahdotonta.

Selvensikö? Tiivistettynä, hyökkäyspinta-ala ja mahdollisuudet pitää pyrkiä minimoimaan kaikilla mahdollisissa tasoilla.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Postimies - 18.03.13 - klo:19.45
Selvensi. Ja onhan monilla kaupasta ostetteilla tikuilla jo valmiiksi jotain hyötyohjelmia jotka voivat asentua automaattisesti kun tikku lykätään koneeseen. Muistaakseni myös viruksia on löydetty kaupan paketissa olevasta tikusta.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 18.03.13 - klo:19.53
Tässä vielä linkki tuohon Windows holeen, aika radikaali sellainen.
http://www.techspot.com/news/51929-critical-windows-usb-exploit-allows-flash-drives-to-grant-root-access-patch-issued.html

Tietysti nyt olisi kiva tehdä tikku ja kiertää kokeilemassa kaikki koneet läpi mihin pääsee käsiksi ja katsoa montaako ei ole patchatty. ;)

Lainaus
The critical vulnerability allowed potential hackers with physical access to a Windows PC to run arbitrary code with system user privileges -- even while Windows was locked and users logged off.
During device detection, the Windows kernel would parse this information and execute malicious code found on such a USB drive, irrespective of autorun or AutoPlay settings. The code would run with elevated system privileges.

Eli tikku koneeseen ja kone on sun. Ei tarvita mitään salasanoja, tms. Ei siis ole varmasti ongelman häivääkään päteville jätkille kaapata koneita usb-tikun avulla, kun Windowssin tietoturva on tuota tasoa.

Tai sitten kaivaa pöytälaatikosta vanhat usb-tikut, asentaa niille sopivaksi katsomansa RAT/botnet ja käy kylvämässä niitä ympäriinsä yritysalueelle. - Tuloksia odotellessa.

Edit vielä niistä välillisistä tietovuodoista ja valvonnasta:
http://www.tekniikkatalous.fi/ict/facebook+myonsi+seuranneensa+eikayttajien+toimintaa+muilla+verkkosivuilla/a887613
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Pontus12 - 10.06.13 - klo:15.44
Kysyisin Teamvieweristä, onko se turvallinen Ubuntussa? Ja toinen kysymys, pitäisikö käyttää jotain internet security-ohjelmaa, ja jos pitää, niin mikä olisi hyvä? Windows puolella minulla on fsecure, vaikka käytän windowsia aika harvoin.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 10.06.13 - klo:18.05
Kysyisin Teamvieweristä, onko se turvallinen Ubuntussa? Ja toinen kysymys, pitäisikö käyttää jotain internet security-ohjelmaa, ja jos pitää, niin mikä olisi hyvä? Windows puolella minulla on fsecure, vaikka käytän windowsia aika harvoin.

Hyvä kysymys, ensinnä pitäisi tietenkin määritellä mitä turvallinen tarkoittaa, sekä minkälaista turvatasoa olet hakemassa. Jos puhutaan perusjampasta, niin eiköhän se täytä turvallisen määritelmän. Mielestäni erilaiset tietoturvatuotteet on turhia jos ei tarkoituksella riskiprofiiliaan nostata. Yleensä mitä enemmän koneissa on tietoturvatuotteita, sitä hölmömmän kuvan sen antaa ylläpidosta ja käyttäjistä. Varsinkin jos koneesta löytyy kaikki mahdolliset malware ja virus scannerit ja muutama eliitin suosiman tosi viileä siivoilusofta, niin se antaa uskomattoman naurettavan tunteen. Todennäköisesti kaikki softat on asennettu sen takia, että kone on ollut niin täynnä pöpöjä ja ongelmia pöljien käyttäjien takia. Käytätjät  tietenkin lataa Kazaasta kaiken löytämänsä roskan ja suorittaa exe:t kaikista varoituksista huolimatta.  -> Tietoturvatuotteiten ja varsinkin useiden "viileiden"  sellaisten käyttäminen antaa vain naurettavan ja todella huolestuttavan säälittävän kuvan.

F-Secure on ihan ok. Joskin niissä koneissa joissa ei tarvita erityistä tietoturvaa käytän MS Essentialssia, se tunnistaa kaikkein laajimmalle levinneet ja suurimpia ongelmia aiheuttavat haitakkeet kuitenkin. Kannattaa silti kiinnittää erityistä huomiota siitä, mitä ja mistä lataa. Vaikka toisaalta, tietoturvatuotteet ei oikeasti auta mitään, jos hyökkääjät on päteviä ja valinneet sinut kohteekseen.

Kuten palomuureissa whitelistin käyttäminen on paljon parempi vaihtoehto kuin blacklist. Kannattaa laatia erillinen listaus siitä, mitä koneeseen voi asentaa, eikä niin päin että on jotain mikä on estetty, koska harmaa alue on vaan niin järjettömän suuri. Eli estä palomuurissa liikenne kaikkialle (myös ulospäin) paitsi ennalta listattuihin IP-osoitteisiin ja portteihin. Vaikeuttaa olennaisesti väärinkäyttöä. Muista myös valvoa DNS liikennettä tai vielä tehokkaampana konstina  poista DNS kokonaan käytöstä ja estä liikenne. Jotta sen kautta ei voida siirtää dataa ulos luotetusta ympäristöstä "mihin tahansa". Tietysti myös sellaiset palvelut tulee estää, joiden kautta tietoa voidaan välittää eteenpäin, kuten SMTP, submission protocol, tms.

Valitettavasti turvallisia ympäristöjä ei tahdo nähdä oikein muualla kuin teollisuudessa. Yrityksissä ja kodeissa ovat äärimmäisen harvinaisia.

Mulla tosin on kolme konetta, jotka on luokiteltu tietoturva-tarpeen mukaan. Yksi anonyymi-kone, ei sisällä mitään henkilökohtaista dataa, boottaa kirjoitussuojatulta USBilta, kaikki tuhoutuu joka bootissa, kaikki liikenne menee Torin kautta. Tavallinen kone ja se turvallinen kone, joka boottaa kirjoitussuojatulta usbilta, data käsitellään ram-diskillä, ja siinä ei ole guita, käytössä on nano ja GPG joiden avulla voin käsitellä siihen turvallisesti siirrettyä dataa (ascii tekstiä), mitään muita formaatteja ei koneella käsitellä, koska ne voivat sisältää edelleen expoitteja joilla voi päästä käsiksi ainakin teoriassa konella käsiteltävän tietoon. Salatut viestit siiretään tavallisen / tor koneen ja turvallisen koneen välillä RS-kaapelilla GPG:n ASCII armored formaatissa.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Postimies - 10.06.13 - klo:18.14
Olen monta kertaa inttänyt, että käyttäoikeuksien on rajoittaminen tärkeämpää kuin ne tietuturvasoftat. Käyttäjältä pois oikeus asentaa ohjelmia ja suorittaa niitä myös kotikansiossa auttaa kovasti. Mitä vähemmän oikeuksia sitä  hankalampi vieraan koodin asentuminen koneeseen on.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: ubpappa - 09.10.13 - klo:07.39
Sopisikohan tämä kysymys tänne:

Onko huoletuttava  ??? [ Warning ]

Koodia: [Valitse]
u120464@u120464-desktop:~$ sudo rkhunter -c
[sudo] password for u120464:
[ Rootkit Hunter version 1.3.8 ]
Checking system commands...
.

 /usr/bin/unhide.rb                                       [color=red][ Warning ][/color]
.

Performing additional rootkit checks
    Suckit Rookit additional checks                          [ OK ]
    Checking for possible rootkit files and directories      [ None found ]
    Checking for possible rootkit strings                    [ None found ]

  Performing malware checks
    Checkingrkhunte running processes for suspicious files          [ None found ]
    Checking for login backdoors                             [ None found ]
    Checking for suspicious directories                      [ None found ]
    Checking for sniffer log files                           [ None found ]

  Performing Linux specific checks
    Checking loaded kernel modules                           [ OK ]
    Checking kernel module names                             [ OK ]
.
.
Checking the local host..
.
.
 Checking for passwd file changes                         [color=red][ Warning ][/color]
 Checking for group file changes                         [color=red] [ Warning ]
[/color].rkhunte
.
  Checking for hidden files and directories              [color=red] [ Warning ]
.[/color]
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: nm - 09.10.13 - klo:08.57
Mitä ohjelman lokitiedosto kertoo, eli avaa tiedosto /var/log/rkhunter.log ja kopioi sisältö tänne.

Tai listaa lokin varoitukset päätteeseen komennolla: sudo cat /var/log/rkhunter.log | grep Warning
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: ubpappa - 10.10.13 - klo:13.28
Mitä ohjelman lokitiedosto kertoo, eli avaa tiedosto /var/log/rkhunter.log ja kopioi sisältö tänne.
Tai listaa lokin varoitukset päätteeseen komennolla: sudo cat /var/log/rkhunter.log | grep Warning
u120464@u120464-desktop:~$ sudo cat /var/log/rkhunter.log | grep Warning
[sudo] password for u120464:
[07:01:32]   /usr/bin/unhide.rb                              [ Warning ]
[07:01:32] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
[07:10:14]   Checking for passwd file changes                [ Warning ]
[07:10:15] Warning: User 'postfix' has been added to the passwd file.
[07:10:15]   Checking for group file changes                 [ Warning ]
[07:10:15] Warning: Group 'postfix' has been added to the group file.
[07:10:15] Warning: Group 'postdrop' has been added to the group file.
[07:10:15]   Checking for hidden files and directories       [ Warning ]
[07:10:15] Warning: Hidden directory found: /etc/.java
[07:10:15] Warning: Hidden directory found: /dev/.udev
[07:10:15] Warning: Hidden file found: /dev/.blkid.tab: ASCII text
[07:10:15] Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
[07:10:15] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
u120464@u120464-desktop:~$
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: nm - 10.10.13 - klo:14.33
[07:01:32]   /usr/bin/unhide.rb                              [ Warning ]
[07:01:32] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text

Tämä on rkhunterin bugi. Rkhunter käyttää joko Unhidea tai Unhide.rb:tä (joka asentuu Ubuntussa rkhunterin riippuvuutena) ja on normaalia, että /usr/bin/unhide.rb on Ruby-skripti.


[07:10:14]   Checking for passwd file changes                [ Warning ]
[07:10:15] Warning: User 'postfix' has been added to the passwd file.
[07:10:15]   Checking for group file changes                 [ Warning ]
[07:10:15] Warning: Group 'postfix' has been added to the group file.
[07:10:15] Warning: Group 'postdrop' has been added to the group file.

Johtunee rkhunterin Ubuntu-paketoinnista, joka asentaa Postfixin rkhunterin jälkeen. Tämä varoitus taitaa hävitä itsestään, koska rkhunter -c päivittää vertailutietokannan jokaisella ajokerralla. Tarvittaessa tietokannan voi päivittää myös manuaalisesti komentamalla sudo rkhunter --propupd


[07:10:15]   Checking for hidden files and directories       [ Warning ]
[07:10:15] Warning: Hidden directory found: /etc/.java
[07:10:15] Warning: Hidden directory found: /dev/.udev
[07:10:15] Warning: Hidden file found: /dev/.blkid.tab: ASCII text
[07:10:15] Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
[07:10:15] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

Nämä piilokansiot ja -tiedostot ovat Ubuntussa normaaleja. Rkhunter-paketin asentama asetustiedosto on mielestäni puutteellinen näiden jakelun erityispiirteiden osalta.


Pääset turhista varoituksista eroon muokkaamalla rkhunterin asetustiedostoa. Avaa tiedosto tekstieditoriin pääkäyttäjän oikeuksin:

sudo -i gedit /etc/rkhunter.conf

Kopioi tiedoston loppuun nämä rivit:

Koodia: [Valitse]
SCRIPTWHITELIST="/usr/bin/unhide.rb"
ALLOWHIDDENDIR="/etc/.java"
ALLOWHIDDENDIR="/dev/.udev"
ALLOWHIDDENFILE="/dev/.blkid.tab"
ALLOWHIDDENFILE="/dev/.blkid.tab.old"
ALLOWHIDDENFILE="/dev/.initramfs"
ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"

Tallenna tiedosto ja sulje gedit.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: JussiK - 14.11.13 - klo:14.53
Jos tekee näin: ALLOWHIDDENFILE="/dev/.initramfs"

tulee: Invalid ALLOWHIDDENFILE configuration option: Not a file: /dev/.initramfs

jos poistaa em. rivin:

[14:43:46] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'   ?????

terv jussik
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: nm - 14.11.13 - klo:15.15
Jos tekee näin: ALLOWHIDDENFILE="/dev/.initramfs"

tulee: Invalid ALLOWHIDDENFILE configuration option: Not a file: /dev/.initramfs

jos poistaa em. rivin:

[14:43:46] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'   ?????

terv jussik

Tämä ongelma on korjattu rkhunterin versiossa 1.4.0:

http://digitalcardboard.com/blog/2012/05/24/ubuntu-12-04-rkhunter-1-3-8-false-positives/

Ubuntu 12.04:n tapauksessa joudut joko sietämään varoitusta tai päivittämään rkhunterin manuaalisesti. Ehkä Ubuntu 13.04:n paketti asentuisi suoraan...
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: JussiK - 14.11.13 - klo:16.03
No tässä on ollut näitä vääriä hälyjä ainakin 5 vuotta, joten eiköhän sen kestä. Ohjelman tarkoituksen huomioonottaen näitä ei saisi olla!!

t. jussik
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 14.11.13 - klo:18.21
Mietin tässä justiin, että onko tällä hetkellä olemassa yhtään keskitettyä tunnettujen softien whitelist provideria? Koska blacklist homma ei vaan kertakaikkiaan enää tunnu toimivan nykyjään.

Tietysti pienemmässä ympäristössä, kuten servereillä pystyn itse ylläpitämään whitelistiä, mutta olisi tosi kätevää jos saisi ison kattavan whitelist aineiston joka sisältäisi mm. sovellusten päivitykset, ettei tarvitsisi aina manuaalisesti päivitellä listoja, kun softat lakkaa toimimasta.

http://whitelist.kaspersky.com/

Löytyykö mitään vastaavaa joka ei ole suunnattu pelkästään Enterprise asiakkaille?
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Sami Lehtinen - 02.01.14 - klo:06.54
Pitää muistaa että nykyjään lähes kaikissa laitteissa on ohjelmisto:
Backdoor found in Linksys, Netgear Routers (https://github.com/elvanderb/TCP-32764)
Hacking SD cards (http://hackaday.com/2013/12/29/hacking-sd-card-flash-memory-controllers/)

Tarkoittaa myös sitä, että minkään laitteen toimintoihin ei voi luottaa. mm. SSD:n Secure Erase, voi toimia tai olla toimimatta, riippuen siitä mikä firmware siinä on. Lisäksi SSD voi näyttää tyhjältä pyyhkimisen jälkeen, vaikka kaikki data on vielä tallella.

DZAT/RZAT SSD tekevätkin tuon by defaut sen jälkeen kun tiedot on "deletoitu", mutta silti ne ovat vielä muistipiireillä, koska itse flashin tyhjentäminen jätetään myöhemmäksi.

Tämä kannattaa myös lukaista iltapalaksi: Year 2013 in Crypto (http://hyperelliptic.org/tanja/vortraege/talk-30C3.pdf).
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: ariv - 13.07.18 - klo:05.42
Tiedoksi joillekkin.
https://www.mikrobitti.fi/2018/07/suositun-linux-jakelun-kayttajat-vaarassa-haittaohjelma-ujutettiin-useaan-ohjelmistopakettiin/?utm_source=Mikrobitti_uutiskirje&utm_medium=email&utm_campaign=Mikrobitti_uutiskirje
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: jekku - 13.07.18 - klo:06.06
"AURin valikoima koostuu käyttäjien lataamasta sisällöstä. Ohjelmistolähteen käyttö edellyttää erityistä varovaisuutta, sillä AURista ladattu paketti saattaa sisältää käytännössä mitä tahansa."

Eiköös Ubuntuunkin ole saatavilla eritasoisia ohjelmalähteitä?
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Eesaurus - 13.07.18 - klo:09.10
"AURin valikoima koostuu käyttäjien lataamasta sisällöstä. Ohjelmistolähteen käyttö edellyttää erityistä varovaisuutta, sillä AURista ladattu paketti saattaa sisältää käytännössä mitä tahansa."

Eiköös Ubuntuunkin ole saatavilla eritasoisia ohjelmalähteitä?

Joo. Ketjun aloitusviestissä on aika hyvin kerrottu ko. asiat ja mahdolliset riskit.
Otsikko: Vs: Ohjelmistojen tietoturvariskeistä
Kirjoitti: Liorrl - 20.07.18 - klo:10.16
Tarkistaako mikään taho ylipäätään esim. Ubuntun repositoreissa olevien sovellusten toimintaa ja lähdekoodia mitenkään hallitusti troijalaisten ym. varalta? Eli vaikkapa kuvienkäsittelysovellusta, joka aikoinaan on tuota Ubuntun repositoryyn, onkin tekijän/jonkun muun osalta muutettu ja siihen on lisätty troijalainen, joka samalla varastaa näppäinpainallukset tms. ja lähettää ne ulkopuoliselle palvelimelle. Kuinka tällainen on estetty Ubuntun tai muiden jakelujen kohdalla?
Käsittääkseni nuo ovat pitkälti varmenteilla varmistettuja asioita (mm. hash lukemat). Varmasti yksi potentiaalinen uhka on se, että ohjelmistosta löydetään haavoittuvuus mikä ei tietysti vielä ole vakavaa, mutta jos haavoittuvuus on tunnetussa ohjelmassa ja yleisessä versiossa ja että sitä ei korjata ja päivitetä jakeluun on minusta uhka. Tuon takia en itse käytä käytännössä lainkaan uusia jakeluita joissa on omia "repoja". Muutamia jakeluitahan on löydettykin joihin on tahallisesti upotettu jotain haittakoodia, enkä oikein luota siihenkään että vaikka kuinka vihkiytynyt jakelun tekijä olisi, että hänellä kuitenkaan on yksinkertaisesti edes aikaa kahlata päivittäin tietoa läpi uusista haavoittuvuuksista. Tarkoitan tällä siis lähinnä näitä yhden miehen kustomoituja distroja. Mm. cert.fi:n sivuilta kun laittaa hakusanaksi linux ja haavoittuvuus, niin löytyy todella yleisiä ohjelmia joista näitä on löydetty esim. pidgin, xpdf yms yms. ja mikä lienee tosiaan tilanne sitten harvinaisemmilla ohjelmilla, joita ei varmasti tutkailla niin paljon.

Periaatteessa opensource on idioottivarma tapa tehdä ohjelmista tietoturvallisia, mutta tuntuu että lähdekoodin lueskelijoita ja ennenkaikkea niistä oikeasti ne uhat hoksaavia käyttäjiä ei taida kuitenkaan olla älyttömän paljon ja siksi minusta suljetun koodin softissa on tietoturvan kannalta kyllä omat hyvät puolensa.

Mitä tulee Ubuntun tietoturvaan niin käsittääkseni se on hyvin pitkälle samalla tasolla kuin Debian. Ilmeisesti kutakuinkin samat ohjelmat ja versiot löytyy kummankin varastoista? Viisaammat korjatkoon.

Pahin uhka on varmaankin seuraavan uutisen mukaiset hyökkäykset, jotka on kohdistettu suoraan ylläpitäjiin. Jos hyökkäys on oikein onnistunut ja sitä ei nopeasti huomata, niin melkoinen soppa varmasti alkaa selvittämään niitä ei virallisia muutoksia ohjelmistoihin. Pena peruskoodaaja tuskin huomaisi esim. ytimeen tehtyjä haitallisia muutoksia. Koskee kiertäen myös alussa mainittuja varmenteita. Eipä niistäkään ole paljoa hyötyä jos ylläpitäjän oikeuksilla niitä joku pääsee peukaloimaan.
http://www.itviikko.fi/tietoturva/2011/09/12/linux-kehittajien-salasanat-vietiin- (http://www.itviikko.fi/tietoturva/2011/09/12/linux-kehittajien-salasanat-vietiin-laajassa-tietomurrossa/201112872/7)parhaat (http://parhaatcasinolista.com/)laajassa-tietomurrossa/201112872/7 (http://www.itviikko.fi/tietoturva/2011/09/12/linux-kehittajien-salasanat-vietiin-laajassa-tietomurrossa/201112872/7)

No ok. Tietysti erittäin epätodennäköisiä uhkia ja vaikeita toteuttaa tarkemman valvonnan takia, mutta toisaalta jossain niitä tulevia Mitnickejä lymyilee joita kiinnostaa tähdätä suoraan "ytimeen" täydellä rähinällä. Eikös mm. SecurID:n pitänyt myös olla 100% varma? Ainakin siihen asti kun joku vei heiltä siemenet ja hävittäjien tietoja kait meinasi hävitä Lockheediltä. Kaikki on kyllä turvassa mutta varuilta vaihdetaan 40miljoonaa sirua? :)

Se siitä. Pahin suora käyttäjäuhka on kuitenkin se tietokoneen käyttöasenne. Kuinka monesti olenkaan putsannut tietokoneita viruksista, koska käyttäjällä on ollut välillä ollut oikein maksettu ohjelmisto. Se on sitten käsityksen mukaan tarkoittanut sitä, että kone ei voi saastua mitenkään ja netissä on voinut tehdä ihan mitä vain ja ennenkaikkea nehän löytää tietysti kaikki virukset ohjelmista joita yrittää asentaa? Joskus aiemminkin olen täällä maininnut asiasta, mutta mainitsen nyt vielä kerran. Eräs kone käyttäytyi todella erikoisen oloisesti heti asennuksen jälkeen ja tämä käyttäjä osasikin epäillä asiaa, koska mm. kuukkelin osumissa oli välillä varsin oudon oloisia osumia. Kävin itse katsoon paikanpäällä ja kysyin tarkalleen mitä asennuksen jälkeen on tehty. Kaikki oli ihan ok, ei mitään typeryyksiä vaan koneen olisi pitänyt olla ihan varmasti tietoturvallinen ja asialliset asennetut tietoturvaohjelmatkaan ei nähneet mitään erikoista. Skannailin koneen kuitenkin muutamalla livecd torjuntaohjelmalla ja joku troijalainen oli koneella, joka kuukkelin mukaan ilmeisesti ohjasi kaikki verkkoliikenteen erikoisempia reittejä pitkin (jos en väärin muista niin muokkasi suoraan dns osoitteistoa). Tätä vihulaista ei olisi järkeni mukaan pitänyt päästä koneelle missään vaiheessa ja tuli puheeksi asennusmedia. Ei mahda olla yllätys että alkuperäinen media oli hukkunut ja uusi oli noudettu netistä ja poltettu.

kiitos tästä tiedosta!