ITNytin huuhaa-tietoturvauutisointia
Kun ITNyt uutisoi S-ryhmän WLAN-kirjautumisongelmasta, olin innoissani. Vihdoinkin suomalainen IT-uutispalvelu, joka harrastaa oikeaa tutkivaa journalismia!
Myöhemmin lisätty uutinen Welhon ja Maxinetin ongelmista kuitenkin paljastaa, että kyse onkin vain brändeillä ratsastavasta julkisuustempusta, joka liioittelee ja vääristelee uhkaa. Welhon hotspotien WLAN-kirjautumiset on nimittäin SSL-suojattu. Olen itse ollut aikoinaan mukana suunnittelemassa niitä. Welhoon kirjautuminen on ihan yhtä turvallista kuin vaikkapa Googleen tai Facebookiin.
ITNytin uutisoinnin taustalla onkin se vanha ja tunnettu tietoturvaongelma, että avoimen WLAN-tukiaseman rinnalle voi pystyttää valetukiaseman samalla SSID:llä ja huijata käyttäjän kytkeytymään siihen. Tässä ei ole mitään S-ryhmälle, Welholle tai Maxinetille spesifistä, vaan sama periaate toimii minkä tahansa avoimen tukiseman ollessa kyseessä.
"Vaarassa" ovat siis yhtä lailla Spark-, Wippies- ja Homerun-tunnukset kuten kaikki muutkin hotspot-operaattorit ympäri maailman. Ainoa keino suojautua näiltä radiotason hyökkäyksiltä tarkistaa sisäänkirjautuessaan, että SSL-yhteys on varmennettu oikella varmenteella.
Tablettien yleistyessä ja lisätessä langattomien verkkojen kysyntää on sinänsä ihan hyvä nostaa tietoisuuteen tämä WLANin vanha ongelma. Mutta sitä on syytä käsitellä oikeasta näkökulmasta.
Varsinainen ongelma on IEEE 802.11a/b/g/n-standardissa, joissa ei ole mitään keinoa luoda salattua yhteyttä vaatimatta käyttäjää tietämään etukäteen salausavainta. Tämän vuoksi maailman jokainen avoin hotspot-verkko on radiotasolla salaamaton, ja käyttäjien on niitä käyttäessään luotettava SSL/SSH-salaukseen tai VPN-yhdyskäytäviin.
16 Comments
On tässä kuitenkin se oikea ongelma, että palveluun kirjaudutaan sisään ilmeisesti samoilla käyttäjätunnuksilla ja salasanoilla, joilla pääsee käyttämään ja hallinnoimaan Welhon muitakin palveluita. (Nyt arvailen hieman, sillä en ole käyttänyt näitä palvleuita). Onko näin?
Mm. Homerun-tunnukset ovat kertakäyttöisiä ja niillä pääsee vain Internetiin.
Miksi Welhon Wlan-hotspotit ylipäätään edes haluavat autentikaatiota? Tyhmää ja tarpeetonta kontrollia. Paljon parempi olisi jakaa yhteys vapaasti kaikkien käyttöön.
Ongelman ydin ei ole wlan-laappaus. Vaan se, että sama tunnus ja salasana kelpaavat sekä helposti murrettavaan wlan-hotspottiin että luottamuksellisia tietoja sisältävään nettipalveluun. Jos esimerkiksi HomeRun-tunnus vuotaa ulkopuoliselle, so what? Kaappari pääsee surffaamaan ilmaiseksi. Eipä maksa vaivaa rakennella kaapparireitittimiä ja kirjautumissivustojen näköispainoksia. Sen sijaan Welhon kaapatuilla tunnuksilla pääsee lukemaan huomaamatta uhrin luottamukselliset sähköpostit. Voi imuroida sähköpostitse tulevat salasanat. Voi tehdä uhrin nimissä tilauksia. Voi vaikka kirjautua lapsipornosivustoon uhrin nimissä jne. jne. Miettikääpä mitä vahinkoa kiero ihminen voisi toiselle aiheuttaa! Englannissa jäi keväällä kiinni työtoveriinsa ihastunut henkilö, joka yritti lavastaa työtoverin aviopuolison rikolliseksi. Tarkoitus oli rikkoa avioliitto. S-ryhmän tapauksessa murrettu tunnus avasi portit mielestäni astetta harmittomampiin yksityistietohin. Kaksi tuntia siitä, kun olimme paljastaneet yksityiskohdat s-ryhmän asiantuntijoille, he estivät riskaabelin kirjautumistavan. Viisas ratkaisu. Welhon tapauksessa ongelma on helppo korjata. Luodaan wlania varten erillinen salasana, joka ei kelpaa muihin palveluihin. Sen jälkeen ei kenenkään maksa vaivaa kalastella wlan-tunnuksia.
Terveisin Vesa Ylä-Jääski
Ossi: "Miksi Welhon Wlan-hotspotit ylipäätään edes haluavat autentikaatiota? Tyhmää ja tarpeetonta kontrollia. Paljon parempi olisi jakaa yhteys vapaasti kaikkien käyttöön."
Täysin avoin verkko on riski siltä kannalta, jos sitä käytetään laittomaan toimintaan, esmes roskapostin, lapsipornon, piraattituotteiden yms. levittämisen tai jopa tietomurtoihin ja muihin hyökkäyksiin. Kirjautuminen vähentää olennaisesti tällaisen väärinkäytön riskiä ja helpottaa syyllisten etsimistä.
Tero, I'll call BS. Internetissä on lukemattomia anonyymisyyttä tarjoavia palveluita aina Tor-verkoista alkaen, joita voidaan yhtä lailla teoriassa käyttää roskan ja lapsipornon levitykseen.
Ossi, eikö sinua siis haittaa, jos Krp hakee kotiasi kaikki tietokoneet, omasi ja työnantajasi, sanotaan nyt vaikkapa kolmen kuukauden tutkinnan ajaksi? Tällöin he selvittävät, kuka on välittänyt lapsipornoa tai tehnyt tietomurron, joka tuli kotiliittymäsi IP-osoitteesta.
Minä en ainakaan halua tuota, ja siksi kotiverkossani WLAN ai ole avoinna.
Tietysti WPA2-salauskin voitaneen murtaa jollain vaivalla ja kun riittävästi yrittää, mutta miksi nähdä vaivaa, kun avoimiakin verkkoja on.
Samojen tunnusten käyttämisestä: Ihan sama ongelma koskee esimerkiksi Google-accounttia. Jos käyttäjä kirjautuu vihamielisen WLAN-tukiaseman kautta Google-tiliinsä, eikä tarkasta SSL-sertifikaattia, niin sitten rikollisilla on sekin tunnus tiedossa. Tai Facebookiin tai IRC-Galleriaan tai mihin vaan.
Se on mielestäni aika pieni tekijä tässä, että itse hotspot-palveluun satutaan kirjautumaan samalla tunnuksella kuin johonkin muuhun palveluun Internetissä.
PS. Korjaan yhden virheen kommenteista: Homerun-tunnukset eivät ole kertakäyttöisiä, vaan itsekin kirjaudun Homeruniin aina samalla tunnuksella ja salasanallani. Sitä en tiedä, kelpaavatko ne joihinkin muihinkin TeliaSoneran palveluihin.
On totta, että Gmail-tilin, Nordean pankin tai Facebookin ym. tunnuksia voidaan khalastella pystyttämällä jonnekin vihamielinen WLAN-tukiasema, jota kautta erehdyksessä surfaavien verkkoliikenne saadaan kaapattua itselleen.
Tämä ei kuitenkaan poista sitä tosiasiaa, että Welhon hotspot-ratkaisussaKIN on tietoturvan suunnitteluvirhe sen vaatiessa käytettäväksi samoja käyttäjätunnuksia ja salasanoja, joilla pääsee mm. Welhon sähköpostiin ja tilihallintaan (mikäli näin on).
Olen edelleenkin sitä mieltä, että avoin ja kaikille maksuton WLAN toisi enemmän lisäarvoa kuin vain tietylle käyttäjäryhmälle rajoitettu sellainen. Minua eivät huoleta Teron uhkakuvat. Harrastan mielelläni langattomien verkkojen sosialismia, vaikka muuten porvarillisia arvoja kannatankin.
Enpä muuten itse tiennyt, että Homerun-tunnuksia on muitakin kuin vain niitä raaputettavia kertakäyttöisiä. Tosin jos nämä saa nyysittyä, niillä päässee vain surffaamaan jonkun muun rinnalle. Ja vahinko tästä on ööö... ei mitään.
Ossi, tuo kertomani uhkakuva oli sikäli todellinen, että kuulin siitä Keskusrikospoliisista.
Sieltä siis todettiin, että hankalaa on, kun tutkinnan takia joudutaan viemään kaikki koneet, jotka liittymän takana ovat, ja syylliseksi osoittautuikin sitten verkossa vieraillut ulkopuolinen wlan-käyttäjä.
Tutkinta vie yleensä vähintään kuukausia, mutta esimerkiksi TVKaistalta takavarikoitua aineistoa Krp:n talousrikostutkijat ovat selvitelleet jo viime kesästä lähtien.
Ossi: Mikä on se skenaario, jossa kirjaudut sisään hotspot-palveluun niillä kertakäyttöisillä tunnuksilla, mutta sen jälkeen et enää käytä mitään kirjautumista vaativia Internet-palveluita?
Eli kun kuitenkin kirjaudut sillä oikealla Welho-tunnuksella lukemaan sähköpostia, niin kyseinen tunnus voidaan urkkia siinä vaiheessa. Eriyttämisellä saadaan lähinnä palvelun käyttämisestä hankalaa.
Teoreettisena casena voi pitää sitä, että käyttäjä kirjautuisi hotspot-palveluun kertakäyttötunnuksilla, avaisi sitten VPN:n, ja hoitaisi lopun liikenteen turvallisesti VPN:n läpi. Tätäkin pohdittiin joskus ihan alkuaikoina, mutta VPN:n asentamista ja konfigurointia pidettiin liian monimutkaisena vaatimuksena hotspotin käyttämiselle.
Selventääkseni asiaa vielä hieman: Hotspotin sisäänkirjautumispalvelu ei siis ole tietoturvamielessä mitenkään erityisasemassa kaikkiin muihin Internetin sisäänkirjautumista vaativiin palveluihin nähden.
Ainoa ero on siinä, että sitä käytetään joka kerta, kun taas vaikkapa Googlea, Facebookia tai Welhon web-sähköpostia käytetään kenties vain joka toisella tai kolmannella kerralla. Tunnusten kalastelun kannalta tällä ei ole mitään teknistä merkitystä.
Google mainostaa Tampoonitestejä sun feedissäs. Vissiin context algoritmissa jotain pientä vikaa :)
Itsepä tuon sanot, joka kerta. Lisäksi wlan-kirjautumissivu on yleensä yksinkertainen ja siksi helppo jäljitellä. Hyöty suhteessa vaivaan huononee wlan-hyökkäyksessä selvästi muiden sivustojen kohdalla.
Entäpä jos HotSpotiin kirjautumisessa hyväksytään muutamalla numerolla lyhennetty käyttäjätunnus? Muutos on yksinkertainen, ei tarvitse opetella uusia tunnuksia, mutta asiointitunnus ei sellaisenaan vuoda. Idean heitti Mikko Hyppönen.
S-ryhmän tietohallinnon lisäksi tunnetut asiantuntijat tuntuvat olevan wlan-turva-asioissa vähän eri linjoilla kuin Kenneth ja Welho. Lisää voi lukea täältä: http://www.itnyt.fi/node/383
Ei muuten vieläkään näy Welhon sivuilla heidän lupaamiaan tarkennettuja wlan-ohjeita. Miten aidon kirjautumissivun tunnistaa? Jos ei mene vipuun kirjautumissivun kanssa, ei joudu - ainakaan yhtä helposti - saman reitittimen takana oleviin muihin huijarisivustoihin. Sikälikin HotSpotin kirjautumissivu on erityisasemassa.
Hyvä Vesa Ylä-Jääski. Tarinasi jauhaa paikallaan kuin rikkinäinen äänilevy ja sen sanomakin rahisee yhtä pahasti. Hoet samaa mantraa ymmärtämättä sitä tai suostumatta myöntämään asian todellista laitaa. Kauanko IT-maailman seitsämän päivää meinaa skandalisoida wlan-piruista ja mustista aukoista tietoturvassa? Onko seuraavaksi vuorossa jokin monista suomalaisista palveluista vai lähdettekö skandaalinkäryiselle matkalle yhdysvaltoihin kovistellen Boingoa tai iPassia?
Kenties Teidän savuavat pyssynne kannattaisi kohottaa kohti isoa pirua, Facebookkia, ja kertoa miten joku voi kopioida heidän yksinkertaisen ja salaamattoman kirjautumissivunsa, ja syyttää heitä lähes ihmisten heitteillejätöstä! Muutama sopivasti asiayhteydestä irrotettu asiantuntijakommentti, niin maailma on teidän! Ainoana vaarana lienee, että Facebookin vierailijamäärät saattavat kalveta Welhon hotspotille, mutta ehkä viikon sisään sisäänkirjautuvia ilmestyisi muutama.
Havainnointikykysi sekä artikkeleidesi taso kulkevat käsi kädessä, sillä aamupäivällä hotspottiin kirjautuessa luki sivulla selkeästi miten voin varmistaa hotspot kirjautumissivun aitouden ennen sisäänkirjautumista.
Hyppösen sanoin: Koska (wlan) uhka on maantieteellisesti rajattu, se ei kuitenkaan ole F-Securen näkökulmasta tärkeimmästä päästä. Olisiko siis aika kirjoittaa uutinen jossa olisi myös lihaa luiden päällä, ja johon kompetenssisi riittäisi?
Minua hämää ITNytin raportoinnissa se, ettei niissä noudateta journalismin aivan perusoppia eli antaa vastapuolelle mahdollisuus kommentoida.
Esimerkiksi ensimmäisessä S-ketjun Bonus-kortin haavoittuvuuden uutisessa ei ainakaan alkuun ollut heidän näkökulmaansa asiaan, enkä nähnyt muissakaan jutuissa sitä tähän asti.
Kuitenkin tiedän, että 'SOK:n S-korttipuolen tietohallintojohtajalta sai kommentin vain viidessä minuutissa.
Vesa Ylä-Jääskiltä olisi kiinnostavaa kuulla, yritättekö uskottavaksi uutismediaksi?
Oikein hyvä jos näin on! Pahoittelut siinä tapauksessa puutteellisista tiedoistani. "Welhon sivuilla" tarkoitin sivuston www.welho.fi osastoa "Welho Hotspotin käyttöohjeet". Siellä ei mielestäni ole vieläkään ohjeita kirjautumissivuston aitouden tunnistamiseen - vai pitääkö varata aika optikolta :) Mutta ihan hyvä jos kirjautumissivulla tällainen ohje on.
Kun sok:lle lähetettyihin kirjallisiin kysymyksiin ei alkanut kuulua vastausta, päätimme koota sok:n näkökulmaa samana päivänä julkaistuun toiseen juttuun http://www.itnyt.fi/node/321.
Jätämme uurastuksen tulokset nöyrin mielin lukijoiden arvioitaviksi. Uudella julkaisulla riittää kivistä peltoa kynnettäväksi.
Vesa, hyvä jos siis yrititte saada kommenttia. Luettuani uutisen soitin (ensimmäistä kertaa koskaan, muistaakseni) SOK:n viestintään ja sain saman tien kahden eri tietohallintojohtajan nimet.
Alle viidessä minuutissa sain kommentit sieltä.
Sähköposti ei ole sellainen yhteydenottotapa, että vastausta kannattaa odottaa hetkessä. Sen varmasti kaikki journalistit tietävät jo ennestään. Uutistoimittaja tarttuu puhelimeen.
You can use Markdown to format your comment:
Separate paragraphs in your text with two newlines