Ensimmäinen mielikuva esimerkiksi luottokorttiyhtiöiden ja tietoturvatoimijoiden verkkosivustostoista on usein vaatimus korkeasta tietoturvatasosta. Aina tietoturva ei kuitenkaan toteudu käytännössä. Seurasimme lokakuussa maailmalla raportoituja XSS-tyyppisiä turva-aukkoja. Käytännössä siis esimerkiksi sitä minkä toimialan sivustoilta on raportoitu haavoittuvuuksia verkkosivun rakenteen muutoshyökkäykselle. Lähteenä oli XSS-aukkojen raportointiin keskittynyt sivusto XSSed.com ja viime kuukausina aktiisesti XSS:iä raportoineen ryhmän sivusto Team Elite - tosin täysin kattavana ei otosta kuitenkaan voida pitää.

XSS-haavoittuvuuksia on raportoitu viime kuussa mm. tunnettujen virustorjuntayhtiöiden verkkosivuilla, esimerkkinä Symantecin tapaus. Eikä kyseessä ole ainut tietoturvatoimija. Myöhemmin lokakuussa raportoitiin mm. ESETin haavoittuvuudesta.

Myös luottokorttiyhtiö Visan pääsivustolta löydettiin hiljattain cross-site scripting – eli XSS-haavoittuvuus, joka salli skriptikoodin ajamisen sivustolla.

Mutta siis mikä XSS? Cross-site scripting, lyhenteenä XSS, tarkoittaa OWASP-yhteisön suomentamin termein tilannetta, jossa “Verkkosivun rakenne ei säily”. Tällaisessa ns. verkkosivun rakenteen muutoshyökkäyksessä käyttäjän antama syöte välitetään selaimelle tarkistamatta. Lopputuloksena on sivun ulkoasun muuttuminen esim. vieraalta palvelimelta ladatulla sisällöllä.

XSS-aukkoja on olemassa useaa tyyppiä ja osalla aukoista voidaan hankkia esim. kirjautumiseen käytettävä eväste sivustolta.

Kuun viimeisinä päivinä listalle liittyivät vielä tunnettu uutissivusto Zdnet XSS-haavoittuvuuksineen sekä sunnuntaina Yhdysvaltain presidentin my.barackobama.com-sivusto, jolta haavoittuvuuksia löytyi peräti kolme kappaletta.

Visa-tapauksesta on muiden ohella tallessa kopio XSSed-sivun arkistossa. Samalla sivustolla on listattuna myös kolme American Expressiä ja MasterCardia koskevaa XSS-aukkoa.

Luottokorttiyhtiöillä aikaisemminkin samoja aukkoja

Lokakuussa raportoitujen tapausten luonne ja vakavuus vaihtelee, mutta valitettavasti suurin osa tapauksista on edelleenkin korjausta vailla. Mikään uusi asia eivät XSS:t toimijoiden sivuilla ole. Toissa jouluna VISA:n sijoittajasuhteisiin keskittynyt Investor.visa.com-sivusto kärsi myös XSS-haavoittuvuudesta, keväällä 2007 haavoittuvuus oli puolestaan Visa.com-sivuston hakutoiminnossa.

Herääkin kysymys miten XSS-haavoittuvuus on voinut jäädä luottokorttiyhtiöille tietoturva-auditoinnin tehneeltä taholta huomaamatta ja millä aikajänteellä auditoinnit on suoritettu. Sivuston koodin muututtua kun usein tulee ilmi uusia XSS-haavoittuvuuksia.

Virustorjuntatoimijoiden sivuilta aukot löytänyt ja julkistanut ryhmä Team Elite kuuluu ns. valkohattuhakkereihin eli ryhmän toimintaperiatteena on julkaista tieto haavoittuvuuksista vasta kun ne on saatu korjattua. Aina eivät turva-aukkojen löytäjät kuitenkaan toimi vastuullisesti. Joka tapauksessa – raportoitiin aukot vastuullisesti tai ei – ei XSS:n löytyminen maailmanlaajuisen luottokorttiyhtiön sivustolta ainakaan eduksi toimijan maineelle ole.

Viime päivinä on uutisoitu laajasti Ruotsin, Tanskan ja Norjan Yhdysvaltain-suurlähetystöjen suorittamasta tarkkailutoiminnasta, jonka tiedot kerätään Yhdysvalloissa sijaitsevaan tietokantaan.

Löysimme verkosta yksityisyydensuojan vaikutusten analysointidokumentin (ns. Privacy Impact Analysis -dokumentti), joka kuvaa tarkasti mitä tietoja kohdemaissa lähetystöjen turvallisuuden takaamisen nimissä tallennetaan.

Julkisuuteen nousseen toiminnan taustalla on järjestelmä, joka tuntee nimen SIMAS, joka on lyhenne sanoista Security Incident Management Analysis System – turvallisuusuhkien hallinta- ja analysointijärjestelmä. Toimintaa valotettiin ensimmäistä kertaa Norjan TV2-kanavan uutislähetyksessä viime viikon lopulla. Lähetystöissä toiminnasta vastaa Surveillance Detection Unit -yksikkö SDU tarkoituksenaan turvata lähetystöjen toiminta kohdemaissa. Tarkoituksena on siis saada selville rikollinen ja epäilyttävä toiminta suurlähetystöä tai sen henkilöstöä vastaan.

Tietokantaan tallennettavia tietoja ovat passi- ja viisumitietokannoista haettu kansalaisuustieto, ikä, sukupuoli, silmien väri sekä hiustyyli ja hiusten väri. Myös tieto mahdollisista arvista ja tatuoinneista tallennetaan. Kasvokuva kuuluu myös perustietoihin ja sen perusteella voidaan tietokantaan kirjata esimerkiksi hiusten väri.

Tiedot käyvät ilmi Yhdysvaltain ulkoministeriön määrämuotoisesta dokumentista (pdf), joka käsittelee henkilön identifioivaa tietoa tietojärjestelmissä. Yksityisyydensuojaa kuvaavat menettelyt dokumentoiva asiakirja on laadittava jokaisesta valtionhallinnon tietojärjestelmästä.

Henkilökohtaisten haastattelujen myötä saatuja tietoja puolestaan ovat osoite, puhelinnumero sekä vanhempien nimet. Tammikuussa päivitetyn dokumentin mukaan perustietoihin tallennettava ikä saattaa olla ikäarvio, mutta haastattelemalla tiedustellaan tarkka syntymäaika. Paikalliset poliisiviranomaiset antavat myös tietoja tarkkailuyksiköille.

Myös autojen rekisteritunnuksia

Dokumentin mukaan tietoja kerätään myös valokuvaamalla, joten esimerkiksi suurlähetystöjen lähettyvillä liikkuneiden henkilöiden kasvokuva tai auton rekisteritunnus on saattanut tulla tallennetuksi SIMASiin. Norjan TV2:n mukaan esimerkiksi mielenosoituksiin osallistuneita on valokuvattu tietokantaan.

Ruotsin oikeusministeri Beatrice Ask on vahvistanut lauantaina länsinaapurissa tapahtuneen tietojen keruun, mutta korosti käytettyjen tiedonkeruumenetelmien olleen pelkästään laillisia. Ruotsin Yhdysvaltain-lähetystön mukaan suurlähetystössä toimiva yksikkö ei ole luonteeltaan salainen.

Pääsy tietokantaan on muun muassa USA:n terrorismintorjunnan virastolla sekä tiedustelun ja tutkimuksen keskusvirastolla (INR). Terrori-iskujen estämisen nimissä tietoja pääsevät lukemaan myös keskustiedustelupalvelu CIA, liittovaltion poliisi FBI, puolustus-, oikeus- ja energiaministeriöt, kotimaan turvallisuuden virasto DHS sekä lukuisat muut yhdysvaltalaisviranomaiset. Mahdollisesti siis jopa kymmenet tuhannet virkamiehet Yhdysvalloissa. Mistään pienestä joukosta ei joka tapauksessa ole kyse.

Dokumentti vakuuttaa tietosuojakysymyksiin pureudutun teknisillä kontrolleilla, tietoturvakoulutuksella, käyttöoikeusmenettelyillä sekä henkilöstön taustaselvityksillä. Suojausmenetelmäksi mainitaan myös automaattinen uloskirjautuminen järjestelmästä kun se on ollut tietyn ajan käyttämättömänä, listaa dokumentti. Järjestelmää hallinnoi diplomaattiturvallisuuden keskusvirasto Bureau of Diplomatic Security.

Myös yrityksiltä kaivataan vastuullisuutta

Yhdysvaltain valtionhallinnon panostus tietoturvaan ei mm. GAO:n raporttien mukaan kuitenkaan ole ollut riittävää. Täytyykin toivoa, että em. prosesseja noudatetaan ja tietosuoja-asiat otetaan vakavasti. Esimerkiksi epärehellinen työntekijä kun saattaa hyvinkin olla kiinnostunut myymään seurantatietoja eteenpäin.

Samaa vastuullisuutta vaaditaan myös yritysmaailman toimijoilta niin koti-Suomessa kuin maailmallakin. Isännöimämme Tietoturva ry:n seminaari ensi viikolla käsittelee mm. kanta-asiakastietojen käsittelyn yksityisyyden suojan toteuttamista.

Suojelupoliisin lausunnon mukaan Suomessa ei ole vastaavanlaista tarkkailuyksikköä. Edellä mainitun dokumentin mukaan SIMAS on kuitenkin käytössä kaikissa Yhdysvaltojen lähetystöissä maailmanlaajuisesti.

Kirjoittaja toimii tietoturvakonsulttina Nixun Inspect-yksikössä ja seuraa aktiivisesti tietoturvan ja yksityisyyden suojan tilaa meillä ja maailmalla.

Pilvilaskenta on vienyt salasanojen murtamisen aivan uudelle tasolle. Ensin avattiin WPAcracker.com, joka lupaa murtaa WPA- ja WPA-PSK-salauksen keskimäärin 20 minuutissa 17 dollarin hintaan – siis reilulla kympillä. WPAcracker.com tarjoaa 400 prosessorin klusterin ja satojen miljoonien WPA-salasanojen sanakirjan kenen tahansa maksavan asiakkaan käyttöön.

Nyt on salasanojen testaajille julkaistu uusi lelu, kun Amazon avasi hiljattain uuden NVIDIA Tesla M2050 GPU -prosessoreihin perustuvan pilvipalvelunsa.

Tietoturva-asiantuntijat demosivat uuden klusterin salasanojen murtokykyä pian avaamisen jälkeen. Työkaluksi oli valittu Cryptohaze Multiforcer, joka asennettiin CUDA-rajapintaa hyväksi käyttäen EC2:n GPU -klusterin ajettavaksi. 14 SHA-1-hasheillä suojatun, lyhyen (yhdestä kuuteen ASCII-tekstimerkkiä) salasanan murtaminen klusterilla kesti 49 minuuttia. Hinta? Alle 2 dollaria. Salasanojen murtoa massoille todellakin.

Onko salalauseesi riittävän vaikea?

Nyt viimeistään on aika ryhtyä käyttämään pitkiä salasanoja. Itse asiassa suosittelen unohtamaan salasanat ja siirtymään salalauseiden käyttöön:

esimerkiksi “TÄMÄ_on_minun_43_merkkiä_pitkä_salalauseeni”.

Vaikka SHA-1-algoritmi on osoitettu heikoksi kollisiohyökkäyksiä vastaan jo jonkin aikaa sitten, tarjoaa sekin yhä huomattavaa suojaa, jos salalause vain on riittävän pitkä.

Salalauseen pituus toimii tehokkaana suojana brute force -hyökkäyksiä vastaan, mutta salalauseet on suojattava myös niin sanottuja sanakirja- ja rainbow table -hyökkäyksiä vastaan. Varmista, että käytät salalauseessasi erikoismerkkejä kirjainten ja numeroiden lisäksi. Käytä harvinaisia kieliä (esim. Cobol, suomi) tai vaihtoehtoisesti haasta murtajat käyttämällä esimerkiksi heksadesimaalisalasanoja. Mitä vain, mutta pyri keksimään mahdollisimman ainutlaatuisia tapoja kirjoittaa tekstisi tavalla, jolla vältetään salalauseidesi löytyminen murtajien sanakirjoista ja ennalta lasketuista rainbow table -taulukoista. Tällaisten murtokeinojen käyttö hash-suojattujen salasanojen murtamisessa on tietojärjestelmien laskutehon kasvettua kovinkin yleistynyt.

Entä käyttääkö SHA-2:ta?

Mitä erilaisiin hash-algoritmeihin tulee, kävimme mielenkiintoisen keskustelun viime viikolla kollegani kanssa täällä Nixussa block cipher -algoritmien käytöstä hash-summien laskemiseksi erilaisille syötteille. Siitä lisää blogissa ehkä myöhemmin, mutta mainittakoon vielä, että SHA-1-algoritmiin ei tulisi enää luottaa arkaluontoisen tiedon salauksessa. Kuten yllä mainittiin on algoritmi osoittautunut haavoittuvaksi ns. collision-hyökkäyksille jo useita vuosia sitten. Niinpä suosittelenkin SHA-2-algoritmien käyttöä toistaiseksi ennen kuin SHA-3-algoritmi julkaistaan näillä näkymin vuonna 2012.

Ville Hollanti työskentelee tietoturvakonsulttina Nixun Inspect-yksikössä. Hänellä on useiden vuosien kokemus tunkeutumisenestopalveluiden kehittämisestä ja toteuttamisesta sekä tietoturvakonsultoinnista yritystasolla.