lauantai 31. toukokuuta 2008

Särö suomalaisen tietoyhteiskunnan turvallisuudessa

Nyt se on vahvistettu: tupas-todennuksesta huolimatta asiakas voi harvinaisen yhteensattuman seurauksena päästä palveluun toisen henkilön nimissä. Aamulehden uutinen kertoo, miten KELAn tapauksessa nainen pääsi Sampo Pankin tunnuksilla vahingossa Nordean palveluun.

Aamulehden uutisessa Nordean riskienhallintajohtaja Kari Oksanen toteaa, että "tämä on aika mitätön asia". Teknisesti ottaen se pitääkin paikkansa. Käytännössä asialla on kuitenkin kauaskantoisia seurauksia:

1) Tähän asti tupas-tunnistusta on pidetty vahvana todennuksena, joka toisin kuin itse valittu salasana todentaa käyttäjän niin luotettavasti, että hänelle voidaan sen jälkeen näyttää esimerkiksi tili- ja terveystietoja. Kun nyt käyttäjä on täysin vahingossa päässyt toisen henkilön tietoihin on pakko kysyä, voidaanko todennusta enää pitää vahvana.

2) Suomalaisia tietoyhteiskuntapalveluita on tähän asti pidetty erittäin luotettavina ja turvallisina. Yksikin tällainen vahinko nakertaa luottamusta sähköistä asiointia kohtaan. Kyse ei ole enää siitä, voiko joku kirjautua palveluun toisen nimissä vaan siitä, kuinka usein niin tapahtuu. Mitä enemmän sähköinen asiointi yleistyy, sitä useammin vastaava vahinko tulee toistumaan.

3) KELAn tapaus oli puhdas vahinko. Nyt, kun asia on tullut julkiseksi, on vaarana että jotkut alkavat tarkoituksella kokeilla satunnaisia tunnuksia, tai keksivät muita kiertoteitä. Mitä tapahtuu, kun puhdasta sattumaa autetaan tarkoituksellisella yrittämisellä?

Suomalaisen tietoyhteiskunnan julkisuuskuva on saanut särön. Palvelujen tuottajien on ryhdyttävä konkreettisiin toimiin luottamuksen palauttamiseksi. Todentaminen on saatettava 2000-luvun vaatimusten tasolle.

17 kommenttia:

Anonyymi kirjoitti...

"3) KELAn tapaus oli puhdas vahinko. Nyt, kun asia on tullut julkiseksi, on vaarana että jotkut alkavat tarkoituksella kokeilla satunnaisia tunnuksia, tai keksivät muita kiertoteitä. Mitä tapahtuu, kun puhdasta sattumaa autetaan tarkoituksellisella yrittämisellä?"

Pankkitunnus menee lukkoon kolmen virheellisen yrityksen jälkeen, joten mitään kovin pitkäkestoista brute force -hyökkäystä ei ainakaan yksittäistä tunnusta vastaan saada kohdistettua.

Koko tämä sinun "aukkoja tietoyhteiskunnan turvallisuudessa" -kampanja on hieman yliampuva. Jos niissä tunnuksissa olisi isompia tietoturva-aukkoja, niin kyllä rikolliset olisivat niitä jo laajemmin hyödyntäneet.

Jokaisessa tunnistautumistavassa on jonkin kokoinen aukko. Netissä tunnistautumista ei koskaan saada täysin aukottomaksi. Tämä ei kuitenkaan minun mielestäni ole "särö suomalaisen tietoyhteiskunnan turvallisuudessa", vaan ihan normaali tilanne.

Petteri Järvinen kirjoitti...

Ei, mutta mitähän mahtaisi tapahtua, jos esimerkiksi 9999harrastajaa kokeilisi ihan vain uteliaisuuttaan jokaisella kirjautumisella KERRAN satunnaista asiakasnumeroa ja väärää tunnuslukua...?

Otsikossani lukee "särö", ei "aukko". En itsekään pidä tätä (ainakaan vielä) aukkona.

Sitä, onko vahingossa vääriä kirjautumisia tapahtunut aiemmin, emme voi tietää. Kelan tapauksessa nainen toimi fiksusti, koska hän otti todisteen vieraan henkilön tiedoista ja toi asian julkisuuteen. En yhtään ihmettelisi, vaikka näin olisi kaikessa hiljaisuudessa käynyt aiemminkin.

Rikollisten toiminnasta taas emme tiedä mitään.

Mikään todentaminen ei ole täysin aukotonta. Pointti on siinä, kuinka vahvana voidaan pitää järjestelmää, joka sallii väärän todentamisen vahingossa.

Anonyymi kirjoitti...

"Ei, mutta mitähän mahtaisi tapahtua, jos esimerkiksi 9999harrastajaa kokeilisi ihan vain uteliaisuuttaan jokaisella kirjautumisella KERRAN satunnaista asiakasnumeroa ja väärää tunnuslukua...?"

Luultavasti ei yhtään mitään. Se, että satunnainen asiakasnumero ja tunnusluku täsmäisivät, on hyvin epätödennäköistä. Kun noiden lisäksi pitää vielä tietää asiakasnumeroon ja tunnuslukuun liittyvä vaihtuva avainluku, niin todennäköisyys sille, että joku 9999 harrastajasta pääsisi tekemään väärän tunnistautumisen, on täysin mitätön. Kun vielä huomioi sen, että tunnus menee lukkoon muutaman virheellisen tunnistautumisyrityksen jälkeen, niin todennäköisyys väärinkäytökselle on suunnilleen samaa luokkaa, kuin todennäköisyys saada lottovoitto ja salamanisku samalla hetkellä.

"Rikollisten toiminnasta taas emme tiedä mitään."

Tuohan ei pidä paikkaansa. Mikäli rikolliset jollain tavalla hyödyntäisivät tätä suomalaisen tietoyhteiskunnan turvallisuudessa olevaa säröä, se uutisoitaisiin hyvinkin näkyvästi ja kuuluvasti. Tällä sektorilla hiljaisuus on siis merkki siitä, että järjestelmä toimii.

Jos nyt lähdetään hakemaan niitä oikeita säröjä suomalaisen tietoyhteiskunnan turvallisuudessa, niin eiköhän esimerkiksi käyttäjien osaamattomuus/typeryys ole paljon suurempi ongelma kuin se, että joku saattaa kerran miljoonassa vuodessa onnistua tunnistautumaan jonnekin jonkun toisen nimissä.

Vahvempaan tunnistautumiseen panostaminen on aika turhaa, mikäli ihmiset senkin jälkeen surffaavat päivittämättömillä koneilla ilman minkäänlaista palomuuria/virustorjuntaa, ja kertovat pankkitunnuksensa ja salasanansa, mikäli joku niitä netissä/sähköpostissa sattuu kyselemään.

Petteri Järvinen kirjoitti...

"Luultavasti ei yhtään mitään. Se, että satunnainen asiakasnumero ja tunnusluku täsmäisivät, on hyvin epätödennäköistä."

Todennäköisyys on 1:9999, eli keskimäärin kerran 9999 yritystä kohden joku pääsisi läpi. Asiakasnumeron satunnaisuudella ei ole tässä merkitystä (kunhan se on olemassa), koska ei yritetä minkään tietyn henkilön tilille. Juuri tässä on koko jutun juju.

Salamaniskun todennäköisyydestä en tiedä, mutta lottovoiton todennäköisyys on 1:15380937. On siis 1538 kertaa helpompaa päästä toisen henkilön nimissä verkkopalveluun kuin saada lottovoitto.

Anonyymi kirjoitti...

"Asiakasnumeron satunnaisuudella ei ole tässä merkitystä (kunhan se on olemassa), koska ei yritetä minkään tietyn henkilön tilille."

Kyllä sillä sen verran on merkitystä, että välillä 00000000 - 99999999 ehkä muutama prosentti numeroista on valideja käyttäjätunnuksia. Aika outoa väittää, ettei tällä merkitystä, sillä suurin osa näistä sinun 9999 arvaajasta ei osu edes validiin käyttäjätunnukseen.

"Todennäköisyys on 1:9999, eli keskimäärin kerran 9999 yritystä kohden joku pääsisi läpi."

Tässäkin olet väärässä. Todennäköisyys on 1:10000.

Jos oletetaan, että todennäköisyys arvata toimiva käyttäjätunnus on 1:10, niin todennäköisyys arvata käyttäjätunnus ja vielä siihen liittyvä nelinumeroinen salasana on siis 1:100000.

Se mitä sinä et huomioi mitenkään on se, että tämän jälkeen kysytään vielä nelimumeroinen vaihtuva avainluku. Sen arvaamisen todennäköisyys on taas 1:10000, eli todennäköisyys kirjautua satunnaisen henkilön tilille ei ole 1:9999, kuten väität, vaan 1:10000000000.

Ja tuo 1:10000000000 on se särö suomalaisen tietoyhteiskunnan turvallisuudessa, jonka sinä olet nyt katsonut aiheelliseksi nostaa ihmisten tietoisuuteen...

Petteri Järvinen kirjoitti...

"Kyllä sillä sen verran on merkitystä, että välillä 00000000 - 99999999 ehkä muutama prosentti numeroista on valideja käyttäjätunnuksia."

Siksi kirjoitinkin, että 'kunhan se on olemassa'. Itselläni on kuusinumeroinen asiakasnumero, arvelen että niistä jokainen on käytössä (paitsi asiakkuudesta luopuneet henkilöt).

Seitsennumeroisista asiakasnumeroista voin vain arvailla. Nordealla on ilmoituksensa mukaan 2,2 yksityisasiakasta ja valtaosa heistä asioi sähköisesti, joten he tarvitsevat numeron. Lisäksi tulevat yritysten tunnukset, joissa on samanlainen asiakasnumero + vaihtuva 4-numeroinen koodi kuin kotiasiakkailla. Tästä päättelen, ettei asiakasnumeroissa juurikaan ole tyhjää.

""Todennäköisyys on 1:9999, eli keskimäärin kerran 9999 yritystä kohden joku pääsisi läpi."

Tässäkin olet väärässä. Todennäköisyys on 1:10000."

Tietääkseni koodia 0000 ei käytetä, joten vaihtoehtoja jää 9999. Tällä nyt ei sinällään ole mitään merkitystä.

"Se mitä sinä et huomioi mitenkään on se, että tämän jälkeen kysytään vielä nelimumeroinen vaihtuva avainluku."

En huomioi, koska minulta sitä ei kysytä. Olisi mielenkiintoista tietää, miksi joillakin asiakkailla on ylimääräinen todennusvaihe ja toisilla ei.

Anonyymi kirjoitti...

"En huomioi, koska minulta sitä ei kysytä. Olisi mielenkiintoista tietää, miksi joillakin asiakkailla on ylimääräinen todennusvaihe ja toisilla ei."

Osuuspankki käyttää nykyään 8-merkkiä pitkää käyttäjätunnusta (tosin itselläni on vanha 6 merkkiä pitkä), eikä minnekään TUPASin takana olevaan palveluun pääse ilman käyttäjätunnusta + salasanaa + avainlukua.

Anonyymi kirjoitti...

Oma Nordea-tapaus: tilitietoja pääsee KATSOMAAN kun tietää 7-numeroisen pysyvän käyttäjätunnuksen sama sekä 4-numeroisen vaihtuvan tunnisteen. Todennäköisyys arvata nämä (olettaen että kaikki 10 miljoonaa tunnusta käytössä) on 1/100000000000 eli 1 sadasta miljardista.

Jos haulaa vielä tehdä rahasiirron niin tarvitsee vielä tietää toinen nelinumeroinen koodi, ja sen arvaamisen todennäköisyys on 1/1000000000000000.

Petteri Järvinen kirjoitti...

Otetaan tämä nyt vielä kerran:

"Oma Nordea-tapaus: tilitietoja pääsee KATSOMAAN kun tietää 7-numeroisen pysyvän käyttäjätunnuksen sama sekä 4-numeroisen vaihtuvan tunnisteen. Todennäköisyys arvata nämä (olettaen että kaikki 10 miljoonaa tunnusta käytössä) on 1/100000000000 eli 1 sadasta miljardista."

Todennäköisyys päästä katsomaan sinun tilitapahtumiasi ja saldoasi, on tuo. (Tai itseasiassa todennäköisyys on äärettömän pieni, koska esiinnyt anonyyminä emmekä voi tietää, milloin olisimme osuneet oikeaan tiliin).

Todennäköisyys sille, että ulkopuolinen pääsee katsomaan jonkun toisen tilitapahtumia ja saldoa, on 1:9999 (olettaen, että kaikki 6-numeroiset asiakasnumerot ovat jonkun käytössä).

Näillä kahdella on aika iso ero!

Rahansiirroista en ole väittänyt mitään, ne ovat hyvin turvallisia.

Anonyymi kirjoitti...

"Todennäköisyys sille, että ulkopuolinen pääsee katsomaan jonkun toisen tilitapahtumia ja saldoa, on 1:9999 (olettaen, että kaikki 6-numeroiset asiakasnumerot ovat jonkun käytössä)."

Yleistät erittäin rankasti. Esimerkiksi Osuuspankissa et pääse katsomaan tilitapahtumia ilman käyttäjätunnusta, salasanaa ja avainlukua.

On aika arveluttavaa lietsoa paniikkia toitottamalla tietoyhteiskunnan turvallisuuden olevan vaarassa, mikäli kyse on vain siitä, että Nordeassa tilitiedot saa turhan helposti näkyviin.

Anonyymi kirjoitti...

Petteri, olet toki melkein oikeassa. Nordean tunnus on 7-numeroinen (tästä on tosin netissä eri palstoilla ollut tietoja, että eri henkilöillä on eri pituiset tunnisteet). Todennäköisesti ainakin yksi merkki on tarkistussumma, joten todennäköisyydeksi päästä katsomaan satunnaisia tilitietoja tulee 1/100000. Koska varmastikaan kaikki 6-numeroiset koodit eivät ole käytössä vaan ehkä 20% niistä, saa tuon luvun vielä kertoa viidellä.

Katsokaapa Ruotsin Nordean
https://gfs.nb.se/privat/bank/index.html


PS: Nythän on uutisoitu Kelan tapauksen syy. Joku meni vahingossa pankin X sisäänkirjautumissivulle vaikka oli pankin Y asiakas. Sattumalta molemmilla pankeilla oli käytössä täsmälleen sama tunnus- ja avainpari. Joten kyllä näissä PJ:n laskelmissa on ihan perää.

Tosin nyt pitää todella pitää pää kylmänä ja ajatella rationaalisesti. Väitän, että saan SATUNNAISEN PANKKIASIAKKAAN tilitietoja käsiini todella helposti menemällä penkomaan lähimmän taloyhtiön paperinkeräysastiaa.

Petteri Järvinen kirjoitti...

Jos Nordealla on 2,4 miljoonaa yksityisasiakasta ja yritysasiakkaat tähän päälle, seitsemän merkin mittaiseen asiakasnumeroon ei mahdu tarkistusnumeroa. Tilinumeroissa sellainen on, mutta luulenpa ettei sitä pidetty tarpeellisena asiakasnumeroista päätettäessä. (Jep, tiedän että yritysasiakkaiden tunnuksissa on kahdeksan numeroa, mutta kaksi ensimmäistä ovat historiallisista syistä johtuen ainakin vanhemmilla asiakkailla samoja).

Se, että Nordean asiakasnumero ja kertakäyttötunnus täsmäsivät sattumalta Sampo pankin tunnuksiin, johtaa päättelyn helposti harhaan. Vain nelinumeroisella tunnuksella on merkitystä ja siksi tapahtuneen vertailu lottovoittoon ei toimi.

Eikä kyse ole pelkästä tilitietojen näkemisestä, vaan kaikista niistä palveluista, joihin kaksiosaisella tupas-tunnistuksella pääsee.

Anonyymi kirjoitti...

Olen valittanut tästä jo monta vuotta. Kaikista tunnistuksista on mahdollista päästä sattumalta ensimmäisellä yrittämällä läpi.

"Todentaminen on saatettava 2000-luvun vaatimusten tasolle."

Tuo tarttui korvaani. Miten tunnistusta pitäisi parantaa? Miten sitä yleensä *voisi* parantaa? En ainakaan itse keksi mitään tapaa korjata sitä perustavanlaatuista vikaa - kaikki on arvattavissa yhdellä yrittämällä.

Iiristunnistus? Mahtavaa, mutta ne iiristäsi kuvaavat luvut lähetetään silti verkon yli, ja oikean numerosarjan voisi lähettää sattumalta.

Nykyteknologialla ei yksinkertaisesti pystytä parempaan, kuin sen todennäköisyyden laskemiseen, ikävä kyllä. 8-merkkiset tunnukset? Paperilapulta ne kuitenkin kopioidaan.

Entä jos.. Kaikilla olisi staattinen ip. Kirjautuminen vaatisi oikean ip:n. Tunnuksillasi kirjautuminen vaatisi kotiisi murtautumista. (Tai operaattorin tiloihin murtautumista, tai fyysisten piuhojen kaappaamista ulkona, ellei kehitetä teknologiaa, joka estää linkin katkaisun. En tunne kvanttifysiikkaa, mutta jotain tämänsuuntaista kait on siltä alalta tulossa)

Staattisen ip:n vaativalla kirjautumisella olisi tietysti omat haittapuolensa. Kirjastosta taikka kaverin luota ei pääsekkään pankkiin (tai muualle).

Jos palataan takaisin todellisuuteen. Todennäköisyyden laskeminen. Tunnuslukulappusten sijaan sirukortti, jonne uudet tunnukset ladataan. Tällä tavoin tunnukset voisivat olla kuinka tahansa pitkiä ilman että käyttö on liian vaikeaa. Toisaalta kortit maksaa pankeille, kortinlukijat asiakkaille, ja muuta ei tehty kun pienennettiin todennäköisyyksiä.

Ja tämänkin jälkeen joku voi vaan kaupassa sivusilmällä katsoa visa-korttisi päältä ja alta parit hassut numerot, ja pääsee näiden kanssa tekemään netissä ostoksia - sinun kortillasi. (Ja ne allekirjoitukset kassalla, mitä ne muka auttaa?)

Anonyymi kirjoitti...

"Tuo tarttui korvaani. Miten tunnistusta pitäisi parantaa? Miten sitä yleensä *voisi* parantaa? En ainakaan itse keksi mitään tapaa korjata sitä perustavanlaatuista vikaa - kaikki on arvattavissa yhdellä yrittämällä."

Loppujen lopuksi kyse on aina todennäköisyyksistä - myös iiristunnistuksessa ja vastaavissa - sillä verkossa siirrettävät bitit on periaatteessa aina mahdollista arvata. Oleellista on saada todennäköisyys todella pieneksi. Kysymykseen, mikä tämä todnäk pitäisi olla, ei ole olemassa oikeaa vastausta.

Miten järjestelmiä voisi parantaa? Tunnistuksessa syötettäviin salasanoihin on saatava lisää merkkejä. Mukaan voitaisiin ottaa myös aakkoset.

Btw. on aika mielenkiintoista että pankkien nykyisin käyttämiä tunnistusmenetelmiä kutsutaan "vahvoiksi". Esim. salausmenetelmissä vahva tarkoittaa sitä, että purkaminen ei käytännössä ole mahdollista.

Anonyymi kirjoitti...

Tuo pankkien tunnistautumissysteemiä olisi todella syytä kehittää. Pidän suurimpana ongelmana sitä, että tämänkaltaisen heikohkon tunnistautumisen takana on tunnusten haltijalle sälytetty rajoittamaton riski. Tunnuksilla voi tehdä vapaasti sopimuksia, joista sopimusehtojen mukaan vastaa aina tunnusten haltija. Tunnusten haltijalla ei ole oikeutta rajoittaa käyttöä esimerkiksi pelkkiin pankkipalveluihin tai tietyn tilin käyttöön. Palveluntarjoajat valitsee pankki, joka vieläpä myy palvelua eli tekee bisnestä tunnusten haltijoiden riskillä.

Anonyymi kirjoitti...

On syytä myös muistaa, että ei ole mitään yhteistä "pankkien tunnistamistapaa". Jokainen pankki on toteuttanut tunnistuksen itsenäisesti hyväksi katsomallaan tavalla. Tosin tavat ovat yllättävän samanlaisia.

Useimmat pankit vaativat jo kertakäyttösalasanan ennen tietojen näyttämistäkään. Tästäkin muutoksesta monet käyttäjät valittivat keskusteluryhmissä, koska halusivat nähdä helposti tietonsa.

Tunnistuksessa pitää tasapainotella helppouden, turvallisuuden ja kustannusten kesken.

Totta kyllä, että tunnistamista on syytä kehittää - ehkä tarjottava vaihtoehtojakin. Helppo + turvallinen, hankala + erittäin turvallinen,...?

On hyvä, että mahdollisia epäkohtia tuodaan esille. Suurin särö luottamukseen verkkopalveluja kohtaan tullee kuitenkin siitä, että mediassa puhutaan asioista, joita valtaosa kuluttajista ei ymmärrä. Suurin osa IT-asiantuntijoistakaan ei kykene arvioimaan turvallisuusratkaisuja asiantuntevasti.

Anonyymi kirjoitti...

Pankit tasapainoilevat hommassa omalta kannaltaa ja tietysti pyrkivät hoitamaan homman mahdollisimman halvalla niin, että suuren yleisön luottamus pysyy. Tähän tietysti kuuluu ongelmien salailu.

Turvallisuusdesta aiheutuvat kustennukset eli tämän hetken tilanteessa pankkitunnusten säilytys on sopimuksessa siirretty asiakkaan vastuulle. Koska periaatteessa jokaisella tunnusten haltijalla on rajoittamaton riski, tulisi tunnukset säilyttää esimerkiksi kassakaapissa ja perheissä jokaisella tulisi olla oma kassakaappi.

OK, esimerkki on hieman kärjistetty, mutta yksittäisen asiakkaan kannalta tunnuksiin liittyy iso vastuu. Koskahan mahtaa ilmaantua ensimmäinen "kalastelija", joka tekee sarjassa asuntomurtoja vain valokuvatakseen pankkitunnukset tehdäkseen niillä velkaa ja ostoksia. Tuotot ovat tällä tavalla todennäköisesti paljon paremmat kuin televisioita varastaessa.

Siirtyminen valokuvattavissa olevista tunnuksista sirukorttiin olisi jo selkeä askel parempaan. Tällöin tunnusten ainakin huomaisi kadonneen, toisin kuin nyt.