Avainsana: haittaohjelma

Poliisikin vakoilee sinua pian

Posted onLeave a comment

Vuo­den­vaih­tees­ta al­kaen po­lii­si voi asen­taa hait­ta­oh­jel­man epäil­lyn ko­neel­le seu­ra­tak­seen tä­tä. En hy­väk­sy, kos­ka muut­kin jou­tu­vat kär­si­mään.

Kuva: Open­clip­art

”Poliisi hankkii oman vakoiluohjelman”, uutisoi Helsingin Sanomat tänään nettisivuillaan. Mistään NSA:n PRISM-vakoiluohjelmasta ei kuitenkaan ole kyse, vaan otsikolla HS koittaa kalastella lukijoita Facebookista.

Aihe on kuitenkin vakava: ensi vuodesta alkaen poliisi voi asentaa salaa haitta­ohjelman tietyistä rikoksista epäiltyjen tietokoneelle, mobiili­laitteille ja kahvin­keittimiin. Ihan puskista ei tämä uusi mahdollisuus tullut, sillä esitykset poliisi-, esitutkinta- ja pakko­keino­lain­säädännön muuttamiseksi olivat tapetilla jo helmikuussa 2011, jolloin itsekin asiasta kirjoitin.

Ainakaan heti vuodenvaihteessa ei Ville Warettajan tarvitse pelätä, että poliisi ujuttaisi koneelle haitakkeita TTVK:n pyynnöstä, sillä HS:n mukaan ”[s]euranta voi kohdistua vain sellaisiin ihmisiin, joita epäillään muun
muassa terrorismirikoksesta, henkirikoksesta, törkeästä lapsen
seksuaalisesta hyväksikäytöstä, törkeästä talousrikoksesta, törkeästä
huumerikoksesta tai törkeästä vahingonteosta”, ja silloinkin vain oikeuden luvalla.

Oma näkemykseni on kuitenkin edelleen se, että kaikenlaisten ei-toivottujen ohjelmistojen asentaminen on aina paheksuttavaa riippumatta siitä, onko kohteena raskaan sarjan lastenraiskaaja, tekijänoikeustaparikollinen vai tavallinen kadunmies; tai siitä, toimiiko asentajana poliisi, tekijänoikeusmafia vai rikollisryhmä.

Suurin ongelma tässä sivulliset kärsijät, collateral damage. Käytännössä tietokoneeseen murtautuminen ynnä sen käytön ja tietosisällön vakoilu vaarantaa myös muiden kuin suunnitellun kohteen tietoturvan ja oikeuden yksityisyyteen. Esimerkkejä:

  • Haittaohjelma asennetaan väärään laitteeseen. Esimerkiksi ISP:ltä saadun IP:n perusteella murtaudutaan Internetin välityksellä koneelle, joka ei olekaan epäillyn. IP voi olla vaihtanut haltijaa, tai piuhan päässä voi olla kyläilemässä olevan kone.
  • Laitteella on useita käyttäjiä. Vaikka itselläni on tyystin omassa käytössäni useita tietokoneita, monissa kotitalouksissa samaa tietokonetta käyttää moni henkilö. Tällöin vakoilun rajaaminen vain epäiltyyn on vähintäänkin haasteellista.
  • Laitteella on luottamuksellisia tietoja, esimerkiksi henkilörekistereitä. Varsinkin palvelinkoneissa on usein erilaisia tietokantoja ja muita rekistereitä, joista voi löytyä hyvinkin arkaluonteisia tietoja muistakin kuin epäillystä.
  • Poliisimiehen uteliaisuus. Vaikka periaatteessa haittaohjelman käyttöön vaaditaan tuomioistuimen lupa, en usko että asentaminen ilman lupaa esimerkiksi julkkiksen tai oman vaimon koneelle olisi teknisesti mahdotonta. Korkean moraalitason olettaminen ei riitä.

Vaikka jollain tavoin varmistettaisiin, ettei oheisvahinkoa pääse syntymään, ei haittaohjelma siltikään ole ”syyttömille” vaaraton, sillä lainsäädäntö voi muuttua. Tulevaisuudessa, kun lippalakin hallussapito on laitonta, voidaan uusia rikosepäilyjä lisätä listalle lakia muuttamalla. Voisin kuvitella, että vaikkapa TTVK olisi kiinnostunut haittaohjelman käytöstä jo nyt.

En halua kuitenkaan täysin tyrmätä käytönseurantaohjelmien käyttöä poliisin apuna. Tällaista ohjelmaa voitaisiin käyttää samaan tapaan kuin seurantapantaa, eli tuomitun rikollisen suostumuksella ja tämän tietäen. Toki tällöin haittaohjelman käyttötarkoitus pitäisi miettiä uudelleen, mutta näin olisi mielestäni hyvä tehdä joka tapauksessa.

Kotimaisen valtiontroijalaisen torjumiseen ei ole oikeastaan mitään uusia keinoja. Pitämällä käyttöjärjestelmän ja sen ohjelmistot ajan tasalla pääsee jo pitkälle, ja tietoturvaohjelmistokin auttaa. Hesarin uutisessa F-Securen tutkimusjohtaja Mikko Hyppönen kertoo:

Tarkoituksenamme ei ole auttaa levittämään haittaohjelmia. Sillä ei ole
merkitystä, minkä maan viranomainen niitä käyttää. Jos tekisimme Suomen
viranomaisten kanssa yhteistyötä, niin sitten varmasti Ruotsikin
haluaisi samaa. Ja Viro. Ja Saksa. Ja Italia. Ja Israel. Ja Syyria.

Silti siihen kannattaa totutella, että tietokoneellasi ja Internetissä tekemistäsi kyttäävät lähitulevaisuudessa − tai jo nyt − niin rikolliset, poliisi, mainostajat kuin palveluntarjoaja. Kuka liittyy listaan seuraavaksi?

Apua Facebook-madon tunnistamiseen

Posted onLeave a comment

Olen tä­nään näh­nyt ”mie­len­kiin­toi­sia” pos­tauk­sia Face­boo­kis­sa enem­män kuin ai­koi­hin. Ky­sees­sä on ma­to­tyyp­pi­ses­ti le­vi­ä­vä ros­ka­pos­ti. Sen tun­nis­ta­mi­ses­sa WOT-li­sä­osa on avuk­si.
Ku­va: Ku­va­kaap­paus Face­boo­kis­ta.

Varmasti kaikki Facebook-käyttäjät törmäävät aika ajoin tilanteeseen, jossa FB-kaveri julkaisee arveluttavaa, yleensä kuitenkin tietyllä tapaa uteliaisuuden herättävää, materiaalia. Suurin osa ymmärtää, että tällainen käyttäjä on joutunut Facebook-madon uhriksi ja tajuaa olla klikkaamatta linkkiä. Esittelyteksti saa kuitenkin aina houkuteltua jonkun klikkaamaan, ja pian roskaa on entistä useamman facebookittajan silmillä.

Jos on luonteeltaan utelias, eikä niin kovin teknisesti orientoitunut, saattaa vahinko sattua. Tällöin parasta on poistaa roskasivuston lähettämä tilapäivitys, jotta kierre saataisiin katkaistua. Jatkossa kannattaa olla hieman tarkempi: tähän on mainio, suomalainen2 ja ilmainen työkalu olemassa.

Var­si­nai­sel­la hui­jaus­si­vus­tol­la käyt­tä­jää tyy­pil­li­ses­ti hou­ku­tel­laan klik­kaa­maan ”vi­de­on” Play-pai­ni­ket­ta. Vi­deo­ta ei pyö­ri­mään saa, mut­ta klik­kaa­jan Face­book-sei­näl­le il­mes­tyy päi­vi­tys pyy­tä­mät­tä ja yl­lät­täen.
Ku­va: Ku­va­kaap­paus hui­jaus­si­vus­ta4.

Käydäänpä ensin lyhyesti läpi, mistä oikeastaan edes puhutaan. Facebook-madon toimintaidea on useimmiten seuraava: käyttäjän siirryttyä kohdesivulle, tässä tapauksessa osoitteeseen http:​//821​40837​12920​5ruth​ietop​video​9pef​aquyk​ypefa​quyky​.[poistettu]​/vide​oen.p​hp?wa​tch=U​oQgS2​NfP&p​lay=​true&​[poistettu], hänen olisi tarkoitus klikata ”YouTube-soittimen”1 ”Play-nappia”1. Sen sijaan, että haluttu video lähtisi pyörimään, sivusto lähettää käyttäjän nimissä Facebookiin uuden roskapostauksen. Kaikki on siis pelkkää huijausta, eikä mitään videota sivustolla ole alunalkaenkaan.

Madon sielunelämää kuvailee tarkemmin Troy Hunt blogissaan (englanniksi), enkä siksi lähde asiaa tarkemmin kuvailemaan. Sen sijaan haluan kertoa, miten helposti Facebookissa − ja muuallakin Internetissä3 − voi suojella itseään epäilyttäviltä, jopa vaarallisilta sivuilta. Apu löytyy Web Of Trust -selainlisäosasta.

Lisäosa on saatavilla yleisimmille selaimille, ja se kertoo sivujen luotettavuuden selaimen työkalurivillä olevalla yksinkertaisella kuvakkeella: vihreä=hyvä, punainen=huono, ja värit noiden välillä ovat jotain siltä väliltä. Työkalu on kelvollinen auki olevan sivuston luotettavuuden suurpiirteiseen arviointiin, mutta sen todellinen voima on mielestäni Facebook-sivujen (ja mm. Googlen hakusivujen) linkkeihin ilmestyvät kuvakkeet, jotka kertovat linkin kohteesta huomattavan paljon.

Huo­no­mai­nei­sis­ta si­vus­tois­ta WOT va­roit­taa nä­ky­väs­ti, en­nen kuin käyt­tä­jä edes pää­see si­vul­le.
Ku­va: Ku­va­kaap­paus WOT-li­sä­osan va­roi­tus­vies­tis­tä

WOT:n toimintaperiaate perustuu siihen, että lisäosan käyttäjät arvostelevat vierailemiaan sivuja muutamassa kategoriassa (Luotettavuus, Asioinnin turvallisuus, Tietosuoja ja haluttaessa Lapsiturvallisuus), ja palvelu laskee näistä sivustolle luokituksen, joka sitten esitetään käyttäjille. Huonoimmille sivustoille navigoitaessa lisäosa ei päästä käyttäjää sivustolle ennen kuin tämä on nähnyt varoitussivun.

Aivan sataprosenttisen luotettava WOT ei ole, sillä luokitukset perustuvat käyttäjien arvioihin. Monet käyttäjistä eivät esimerkiksi (ymmärrettävästi) piittaa TTVK ry:stä, jonka seurauksena heidän sivustolleen WOT antaa epätyydyttävä-arvosanan. Kuitenkin, jos Facebook-linkin luokitus on oranssi (huono), punainen (erittäin huono) tai valkoinen (ei tietoa), ei sitä yleensä kannata klikata.

Pidänkin WOT-lisäosaa ehdottomasti asentamisen arvoisena ihan kaikille. Nopeasti ymmärrettävä liikennevalo on hyvä apu sivuston arvioimiselle ennen klikkausta.

Pähkinänkuoressa:

  • Facebook-madot ovat ärsyttäviä.
  • Matopostausten tunnistamista auttaa Web of Trust -selainlisäosa.
  • Kyseisestä lisäosa on hyödyksi muutenkin.
  • Asenna se selaimeesi.


1) Termit lainausmerkeissä siksi, ettei kyseessä ole muuta kuin JavaScriptillä ryyditetty kasa HTML:ää ja kuvia.
2) WOT-palvelua ylläpitää suomalainen Wot Services Oy, mutta sen arvokkuus on sen kansainvälisen käyttäjäkuntansa ansiota.
3) Oikeastaan vain WWW:ssä, mutta oikeat termit eivät ole olleet IT-alalla aikoihin muodissa.
4) WOT-lisäosaa ei näy tässä, sillä varmuuden vuoksi avasin sivun virtuaalikoneessa.

FB-kysymysten piilottaminen ei saa vaatia tietoturvan menetystä

Posted on1 Comment

Facebookin kysymykset
ovat ehkä ärsyttäviä,
mutta niiden piilottaminen
3. osapuolen ohjelmalla
ei ole kovin fiksua.

Kuva: Facebook-
logo

Facebook-kaverini linkkasi blogikirjoitukseen otsikolla ”Näin kadotat Facebook-kysymykset” [pietar.in]. Kirjoittajalla on varmasti hyvä tarkoitus, mutta kirjoituksessa tarjottu ratkaisu ei ole omiaan rakentamaan todellista, käyttäjästä lähtevää, tietoturvaa.

Kirjoitus esittelee F.B Purity -nimisen [fbpurity.com] selainlisäosan, joka mukauttaa ilmeisesti Greasemonkeya [mozilla.org] apuna käyttäen Facebook-käyttökokemusta käyttäjän valintojen mukaan. Yksi lisäosan toiminnoista on monia ärsyttäneiden Facebook-kyselyjen piilottaminen.

En ole itse kyseistä lisäosaa käyttänyt, enkä väitä, etteikö se olisi turvallinen ja näppärä. Tässä mielestäni ollaan kuitenkin liikkeellä väärällä tavalla: ollaan uhraamassa tietoturvallisuus käyttömukavuuden ja -helppouden tähden.

Selainlisäosalla on paljon
valtaa, mutta kuka katsoo
lisäosan perään?

Kuva: Openclipart

Selainlisäosilla on kuitenkin melko vapaat kädet tehdä selaimessa mitä tahansa, eikä niiden oikeellisuudesta voida mennä täysin takuuseen. Tällaisessa käyttöskenaariossa eräs olemassaoleva riski on se, että lisäosa lähettää yksityisiä ja toisinaan arkaluontoisiakin tietoja eteenpäin, jolloin vaikkapa identiteettivarkaus voisi olla mahdollinen.

Lisäksi tässä ollaan tarkoituksella rikkomassa sitä käyttökokonaisuutta, jonka Facebook on käyttäjilleen toteuttanut: he ovat halunneet tässä vaiheessa, että kyselyt näkyvät aina, ja tällaisen ”ongelman” kiertäminen teknisesti on hieman kyseenalaista.

Eniten olen oikeastaan huolissani niiden naiivien käyttäjien puolesta, jotka eivät tällaisista asioista halua huolestua: he löytävät helpon ratkaisun heitä kiusaavaan asiaan eivätkä ajattele asiaa sen enempää. Ja kun tällaiseen ”helppoon elämään” ollaan totuttu, pian ollaan jo lataamassa ilmaisia rekisterinpuhdistimia, jotka nopeuttavat konettasi ainakin 4000 %.

Jos kyselyt silti ärsyttävät – mikä on omasta kokemuksestani melko todennäköistä – olisi oikea suunta palautteen antaminen Facebookille, ja viime kädessä äänestäminen jaloilla – jos tällainen ontuva kielikuva sosiaaliseen mediaan liittyen sallitaan.

On näin ollen suorastaan edesvastuutonta antaa tällaisia ”vinkkejä” vähemmän tietotekniikkaa tunteville ihmisille, sillä he eivät todennäköisesti ymmärrä omaa parastaan – eivätkä tulekaan ymmärtämään, mikäli kaikki tarjotaan hopeatarjottimella niin, että omien aivojen käyttö kielletään.

Lopuksi vielä Facebook-aiheinen tietoturvavinkki: Facebookia voi – ja kannattaa – nykyään käyttää SSL-salattua yhteyttä käyttämällä lisäämällä osoitteeseen yhden s-kirjaimen, siis https://facebook.com; temppu toimii myös mobiiliversioilla.

Pysyvästi salatun yhteyden saa käyttöönsä asetuksista: Käyttäjätili » Käyttäjätilin asetukset » Asetukset » Käyttäjätilin turvallisuus, valitsemalla valintaruudun ”Selaa Facebookia salatun yhteyden (https) kautta aina kun mahdollista” ja lopuksi tallentamalla uudet asetukset.

Viikko Confickerin totaaliaktivoitumiseen

Posted onLeave a comment

It-viikko uutisoi tänään, että F-Securen Mikko Hyppösen mukaan tämän vuoden Windows-hittituotteen, Conficker-madon, aprillipäivänä (ke 1.4.) tapahtuvan aktivoitumisen vaikutuksia on vaikea arvioida.

Kun mato on saastuttanut koneita laajalti ympäri maailmaa, on saavutettu laskentateho ja Internet-kaistanleveys melko massiivinen, ja kun tuollaisia voimia halutaan käyttää rikollisiin tarkoituksiin, voi jokainen itse arvella millaista tuhoa sillä voidaan saada aikaan.

Mutta miksi aktivoida mato tiettyyn aikaan? Aivan kuin taustalla olisi jotain ennennäkemätöntä, ehkäpä jokin uudenlainen ennalta-arvaamaton hyökkäystaktiikka. Tähän kysymykseen saamme vastauksen varmasti viikon päästä.

Conficker-madolta suojautuminen on hyvin yksinkertaista, sillä mm. Ubuntu Linuxiin ei tuo(kaan) virus tartu. Nyt siis on hyvä aika pelata varman päälle ja lisäksi panostaa tulevaisuuteen: Linuxia lataukseen.