← Back to front page

Posted on in Politics

Nyt kun Lex Nokia on hyväksytty, on kiintoisaa pohtia, millä eri tavoin sitä voi kiertää. Käsittääkseni organisoitua keskustelua tästä aiheesta ei ole kielletty. :-) (Totean myös varmuudeksi, että itse en tällaista omalla työpaikallani koskaan tekisi, mutta on vain hauska pohtia teknisiä keinoja, koska tunnen aihetta hiukan.)

1. SFTP
Olettaen että ssh-portti on auki, helpointa olisi siirtää tiedosto SFTP:llä jollekin palvelimelle. Palvelin voisi sijaita esim. Amazonin EC2-pilvessä, jolloin sen omistajan selvittäminen saattaisi olla melko hankalaa. Tarvittaessa palvelinyhteyttä voisi kierrättää tcp-tunneloinnilla monenkin osoitteen kautta. SFTP on salattu, joten tiedoston sisällöstä tai nimestä ei jäisi mihinkään tietoa.

2. HTTPS
Mikäli muut kuin web-yhteydet on blokattu, seuraavaksi helpointa olisi avata selaimella SSL-yhteys jollekin palvelimelle ja lähettää tiedosto webbilomakkeella sinne. Tämän voisi tehdä vaikka jostakin webbihotellista vuokratulle palvelimelle, joka ottaisi tiedoston vastaan myöhempää noutoa varten tai lähettäisi sen eteenpäin privaattisähköpostiin.

3. HTTP
Mikäli SSL:kin on blokattu tai firman palomuuri tukee ainoastaan proxytettya HTTP:tä, niin dokumentin voisi ensin salata paikallisesti ja tallentaa ASCII-tekstimuotoon. Tämän voisi tehdä esimerkiksi GPG-työkalulla, tai periaatteessa jopa selaimessa client-side-JavaScriptillä, jos kyse on alkujaan tekstimuotoisesta datasta. Lopullinen salattu data liimattaisiin web-lomakkeelle ja lähetettäisiin POST-pyyntönä palvelimelle.

* * *

Kaikissa edellämainituissa tapauksissa TCP-yhteydet voisi tunneloida esimerkiksi botnetin satunnaisten IP-osoitteiden läpi, jolloin olisi käytännössä mahdotonta selvittää minne tiedosto lähetettiin ja mitä siinä oli sisällä. Logeissa näkyisi vain, että jotain satunnaista dataa postattiin johonkin satunnaiseen Internet-osoitteeseen.

Hienoin ratkaisu yhdistäisi tähän vielä steganografian siten, että postattava data näyttäisi jonkinlaiselta luonnolliselta hölynpölyltä. Se voisi olla esimerkiksi ripoteltu HTTP-pyyntöjen headereihin tai URLeihin siten, että liikenne näyttäisi tavalliselta webbisurffailulta, mutta pikku hiljaa pyyntöjen mukana menisi palasia yrityssalaisuudesta.

Jos Kimmo Sasi sattuu lukemaan tämän blogikirjoituksen, niin hän voisi ehkä kommentoida, ovatko nämä realistisia tapoja kiertää Lex Nokiaa yrityssalaisuuksien vuotamiseksi?

6 Comments
Vesa Palmu 6.3.2009 14:45:59

Jos ei todellakaan haluaisi jäädä kiinni materiaalin vuotamisesta olisi varmaan parasta väärentää verkkokortin MAC-osoite, käyttää julkista langatonta ja vaikkapa Tor verkkoa. Siinä saa jo olla aika tekijä että selvittää keneltä materiaali oli alunperin lähtöisin...

Anonymous 6.3.2009 22:13:08

Mitä jos polttaa levylle ja lähettää firman sisästä postia hyväksikäyttäen datat maailmalle ihan kirjekuoressa :) Tai siis vaikka johonkin tarkoin valittuun osotteeseen, en tiedä kuinka helpolla suomessa sais anonyymin osotteen hommattua. Postilokeroistakin kun jää jäljet.

Oooo 7.3.2009 13:15:26

Ihan hauskoja tapoja, mutta kyllä näistä kaikista jää yhteyksien avaamisen jäljet vaikka viestin sisältöä ei näkisikään.

Lisäksi firman sisällä on heppoa valvoa kuka downloadailee /etc/product/roadmap/hyshys/. -kansiosta tavaraa itselleen vaikka ei sitä välttämättä tarvitsisi. Kun tähän yhdistää "oudot" yhteydet voidaan valvontaa kohdistaa oikeisiin tahoihin ja pyytää riisuutumaan.

Esimerkiksi Nokian sisäverkosta ei pääse ulos ssh:lla.

kennu 7.3.2009 21:40:41

Esimerkiksi Nokian sisäverkossa voisi olla kuitenkin aika vaikea tunnistaa automaattisesti yhteyksiä, jotka kohdistuvat satunnaisesti botnet-iippareihin, Amazonin virtuaalipalvelimiin, tai vaikka Google App Enginessä ajettavaan omaan softaan. Jos siis oletetaan, että yleistä surffiliikennettä on muutenkin valtavasti, ja siitä pitäisi jotenkin tunnistaa epäilyttävä liikenne.

Sitten jos firman sisällä "varastaa" salaisuuksia jostain jaetusta kansiosta, vaikka ei olisi niitä tarvetta nähdä, tilanne on tietysti ihan eri, eikä se oikeastaan liitykään enää Lex Nokiaan.

Arska 8.3.2009 03:43:47

Aihe on mielenkiintoinen ja keskustelua herättävä. Tuoreimmassa Hesarissa on saatu hyvä juttu aikaiseksi mokomasta aiheesta... Eräs toimittaja haastoi eduskuntaan valitut ehdokkaat näyttämään omat sähköpostinsa hänelle. Toimittaja vetosi siihen, että kansa on eduskunnan työnantaja ja voi saada tiedot Lex Nokian periaatteen mukaisesti.. Yllätys, yllätys, vain harva siihen suostui... Asiaa voi miettiä monelta kantilta, mutta meneekö homma nyt ihan oikein, sitä sopii miettiä? En usko, mutta terkkuja kuiteskin kennulle, joka pitää mainiota blogia!!!

Kruiik 9.3.2009 11:02:13

Helpointa lienee suurimmassa osassa yrityksiä, myös Nokialla, tallentaa data USB-tikulle tai CD:lle normaalin työn ohessa jos siihen on mahdollisuus, jos ei niin aina voi käyttää vaikka PC Suitea tai Bluetooth-siirtoa läppäristä kännykkään. Jälkiähän esim. BT-siirrosta ei jää seurattavasti mihinkään ja mukana tulevat parigigaiset muistikortit mahdollistavat useammankin dokumentin siirron kerralla.

Comments are closed.