maanantai 6. elokuuta 2012

Varastettu: digitaalinen elämä Applen pilvestä

Hakkeri murtautui toimittaja Mat Honanin iCloud-pilveen ja pääsi myös muihin nettipalveluihin (toimittajan oma kertomus). Tuloksena oli painajaismainen tapahtumasarja, joka havahduttaa meidät pohtimaan pilvipalvelujen tietoturvaa. Steve Wozniak on jo ehtinyt maalata synkkää tulevaisuutta koko pilviajattelulle: "tulossa on hirveitä ongelmia".

On mahdollista, että vastaavia tietomurtoja on tapahtunut ennenkin, mutta ne eivät ole nousseet otsikoihin. Sana tietomurto on turhan lievä ilmaisu: kyse on digitaalisen elämän varastamisesta ja tuhoamisesta. Sillä voi olla erittäin vakavat seuraukset. Ehkä hakkeri halusi vain osoittaa, miten haavoittuvia nykyiset järjestelmät ovat, ja valitsi siksi uhrin, joka tietää miten saada kohtalolleen julkisuutta?

Tapaus ei kuitenkaan liity pilveen vaan todentamisen yleiseen problematiikkaan. Ja tässä Applella on syytä katsoa peiliin. Vaatimattomasta alusta (iTunes-tili musiikin ostoa varten) on kasvanut iCloud-palvelu, johon käyttäjä lähettää valokuvansa, työtiedostonsa, sähköpostinsa, luottokorttinsa -- koko digitaalisen minänsä.

Ja kaikki tämä on koko ajan ollut yhden salasanan takana!

Aivan kuin ihminen kotoa lähtiessään sulkisi ulko-oven teipillä ja uskoisi, että omaisuus on turvassa.

Viranomaiset muistuttavat jatkuvasti, miten tärkeää on valita vahvoja salasanoja. Ohje on paikallaan, mutta se ei korjaa itse ongelmaa. Salasana voidaan urkkia tai kiertää lukuisilla tavoilla, oli se miten pitkä tahansa.

Applen tapauksessa salasanat ovat usein lyhyitä, koska vahvojen salasanojen naputtelu iPhonen pieneltä näytöltä on työlästä ja virhealtista.

Salasanaviidakossa rämpivä käyttäjä saa apua Twitterin ja Facebookin kaltaisista palveluista, joiden tunnuksilla voi kirjautua muihin palveluihin. Mukavuudella on kääntöpuolensa: salasanan paljastuminen voi aiheuttaa ketjureaktion, jossa hakkeri pääsee moniin sellaisiinkin palveluihin, joita käyttäjä itse ei tule edes ajatelleeksi.

Honanin tapauksesta tekee todellisen painajaisen se, ettei vahinko rajoittunut nettipalveluihin. Apple tarjoaa iCloudissa turvaominaisuutta, jolla voi pyyhkiä varastetun laitteen muistin tyhjäksi. Hakkerin aktivoitua tämän toiminnon Honan menetti myös iPhoneen, iPadiin ja Mac-kannettavaansa paikallisesti tallentamansa tiedot.

Eikö Apple todellakaan tullut etukäteen ajatelleeksi tällaista kauhuskenaariota? Etenkin, kun tietomurto oli tehty huijaamalla sen omaa asiakaspalvelua.

Mitä tästä opimme? Diversiteetti on tietoturvan kannalta tärkeää. Palveluita ei pidä yhdistellä yhden salasanan taakse, vaikka se olisi kätevää ja helppoa.

Yksi opetus on myös se, että pohjimmiltaan kaikki pilvipalvelut ovat haavoittuvia. Pöytäkoneen, kannettavan ja mobiililaitteiden tiedostot menevät nykyään automaattisesti pilveen, jolloin ne siirtyvät jonkun ulkopuolisen tahon omistukseen ja hänen vastuulleen. Varmuuden vuoksi kannattaa edelleen tehdä omia, offline-varmistuksia usb-tikuille tai ulkoisille levyille. Silloin ne ovat turvassa myös luvattomalta etäpyyhkimiseltä.

Pilvipalvelun uhka pitää suhteuttaa vaihtoehtoihin. Jos Honanin läppäri ja iPhone olisi varastettu, hän olisi menettänyt tiedot yhtä tehokkaasti, mutta se ei olisi ollut mikään uutinen. Jokaista pilveen tehtyä hyökkäystä kohti on varmasti kymmeniä tyytyväisiä asiakkaita, joiden tiedot pilvi on pelastanut levyrikon tai varkauden sattuessa.

Tässä tapauksessa varsinainen ongelma ei ollut pilvessä vaan siinä, ettei digitaalinen elämä ei saa olla yhden salasanan varassa. Tarvitaan parempia todentamiskeinoja. Valitettavasti ne maksavat. Mutta kuinka arvokasta elämäsi on?

Google on toiminut esimerkillisesti. Se tarjoaa salasanojen ohella kaksivaiheista, tekstiviesteihin perustuvaa todennusta. Vaikka Googlen palvelut ovat ilmaisia, yhtiö maksaa Ruotsista lähetettävien tekstiviestien kustannukset.

Applelle rahaa tulvii ovista ja ikkunoista. Lisäksi moni asiakas maksaa erikseen pilvipalveluista. Ei ole mitään tekosyytä sille, ettei Apple ole hoitanut palvelunsa turvallisuutta ajoissa kuntoon.

Lisäys 7.8.2012 Toimittaja on laatinut tarkan kuvauksen tapahtuneesta. Se on pelottavaa luettavaa. Muutamia keskeisiä kohtia:

Getting into Amazon let my hackers get into my Apple ID account, which helped them get into Gmail, which gave them access to Twitter. Had I used two-factor authentication for my Google account, it’s possible that none of this would have happened. (Juuri tämä salasanojen ketjuttaminen on uusi, monelle tiedostamaton riski).

... the very four digits that Amazon considers unimportant enough to display in the clear on the web are precisely the same ones that Apple considers secure enough to perform identity verification (Applen tuki vaihtaa salasanan -- ts. luovuttaa digitaalisen elämän toiselle -- kunhan tietää uhrin sähköpostin, kotiosoitteen ja luottokortin neljä viimeistä numeroa. Ällistyttävää!) If you have an AppleID, every time you call Pizza Hut, you’ve giving the 16-year-old on the other end of the line all he needs to take over your entire digital life.

...if your computers aren’t already cloud-connected devices, they will be soon. Apple is working hard to get all of its customers to use iCloud. Google’s entire operating system is cloud-based. And Windows 8, the most cloud-centric operating system yet, will hit desktops by the tens of millions in the coming year. My experience leads me to believe that cloud-based systems need fundamentally different security measures. Password-based security mechanisms — which can be cracked, reset, and socially engineered — no longer suffice in the era of cloud computing. (100 % samaa mieltä)

I’m not even especially angry at Phobia (joka on 19-vuotias hakkeri!), or his partner in the attack. I’m mostly mad at myself. I’m mad as hell for not backing up my data. I’m sad, and shocked, and feel that I am ultimately to blame for that loss. (On erikoista, että nettirikoksen uhriksi joutuneet syyttävät siitä itseään).

On helppo yhtyä myös loppulauseisiin: And then there’s Apple. I bought into the Apple account system originally to buy songs at 99 cents a pop, and over the years that same ID has evolved into a single point of entry that controls my phones, tablets, computers and data-driven life. With this AppleID, someone can make thousands of dollars of purchases in an instant, or do damage at a cost that you can’t put a price on.

21 kommenttia:

Zarr kirjoitti...

Yksi opetus on myös että bloggaaja tietää mistä puhuu.

Tässä ei murrettu salasanaa.

Tässä ei murrettu edes näitä googlattavia "turvakysymyksiä" eli "mikä on äitisi tyttönimi".

Tässä hakkeri soitti Applen tech supporttiin ja uskotteli olevansa tilin omistaja, vaikkei tiennyt salasanaa tai kysymystä.

Kyse on siis vanhanaikaisesta social engineeringistä, jossa Applen prosessit munasivat totaalisesti, mutta ei mitään tekemistä salasanojen kanssa.

Jari K kirjoitti...

Googlen 2-vaiheinen todennus on todellakin erinomaisen toimiva ja hyvin toteutettu järjestelmä. Lisäksi kaupan päälle saa kertakäyttösalasanat eri laitteille, joten esim. puhelimen kadotessa siihen määritetty Gmail-tili lakkaa toimimasta, kun kertakäyttösalasanan mitätöi salasananhallinnan kautta.

Googlen Authenticator on lisäksi avointa lähdekoodia, joten mikä tahansa palvelu voisi sitä hyödyntäen toteuttaa helposti oman 2-vaiheisen todentamisen. Mitään tietoa ei siis liiku Googlen palveluiden kautta, joten foliohatutkin voi jättää foliohattuhyllylle pölyyntymään.

Petteri Järvinen kirjoitti...

Kyse on siis vanhanaikaisesta social engineeringistä, jossa Applen prosessit munasivat totaalisesti, mutta ei mitään tekemistä salasanojen kanssa.

Vain se, ettei vahvakaan salasana itsessään takaa tietoturvaa. Tässä tapauksessa salasana ohitettiin social engineeringillä, mutta yhtä hyvin se olisi voitu kaapata näppäimistöltä tai urkkia olan yli.

Jari K kirjoitti...

@Zarr

Eikös tekstissä juurikin kuvailla tapahtumien kulku tällä tavalla? Yksi opetus on siis myös se, että kommenttien kirjoittaja ei lue tai ymmärrä koko juttua ennen kommentin kirjoittamista.

Erwin FI kirjoitti...
Kirjoittaja on poistanut tämän kommentin.
Erwin FI kirjoitti...

Sekä prosessit että todentamiskeinot eivät ole Internet kelpoisia valitettavan monessa palvelussa. Tämä on vain yksi esimerkki.
Taistelu todentamispalveluiden herruudesta ei edesauttaa asiassa lainkaan. Laajempaa käyttöönotto "User Authentication Assurance Levels" standardeihin perustuva sertifiointi voisi olla yksi keino päästä eteenpäin. Standard(e)issa myös prosessien tasokohtainen minimilaatu on määritelty.

Zarr kirjoitti...

Social engineering-aspekti mainitaan yhdellä lauseella, suurin osa postauksestaa meuhkaa siitä miten tämä ongelma olisi vältetty esim. Googlen tyylisellä 2-vaiheisella autentikaatiolla. Eikä olisi, jos Googlen helpdeskin prosessit olisivat vastaavanlaiset. Yhtälailla ne ovat "yhden salasanan" takana sielläkin.

Pointti siitä että pilvi ei ole luotettava paikka varastoida tavaraa on ihan validi, mutta autentikointimenetelmien vetämistä mukaan en ymmärrä koska ne pystyy ohittamaan huijaamalla firman työntekijää. Lisäksi pilviä vastaan puhuu moni muukin asia (yksityisyys, toimintavarmuus, saavutettavuus, käyttöehdot).

Akipekka kirjoitti...

Apple ei ainakaan ole ihan kauheasti ottanut opikseen. Suomalainen Marko Karppinen joutui vastaavanlaisen "social engineeringin" kohteeksi vuonna 2008, http://markokarppinen.com/post/28762065189/my-apple-id-episode-from-2008

Petteri Järvinen kirjoitti...

@Zarr:

Mielestäni tässä on oleellista se, miten palvelut ovat huomaamatta muuttuneet verkostoiksi: kun yhden murtaa, pystyy kaappaamaan paljon muutakin.

Totta kai tämä on todennusongelma -- uhrin Gmail-tili kaapattiin juuri sen vuoksi, että salasanan resetointi-kysely lähetettiin vain kaapatulle mac-tilille, eikä pyynnön aitoutta varmennettu mitenkään.

Jos lähdetään siitä, että "kaikki todentamiset ovat epäluotettavia, koska ne voi aina kiertää soittamalla tukeen" ei nettipalveluita kannata enää kehittää eikä käyttää. Silloinhan meillä ei ole enää mitään keinoa suojata tietojamme. Täysin aukotonta menetelmää ei ole (kuten ei oikeassakaan elämässä), mutta osa menetelmistä on turvallisempia kuin toiset.

Pilvipalveluissa on monia ongelmia, mutta tämä tapaus ei ollut niinkään pilven kuin huonon todentamisen (ja tietenkin huonojen prosessien tai liian ystävällisen asiakaspalvelun) syytä.

Anonyymi kirjoitti...

Jos unohdetaan että ongelmana oli nimenomaan asiakaspalvelun lepsuilu, miten Applen tulisi näillä miljardeillaan hoitaa palvelun tietoturva kuntoon?

Petteri Järvinen kirjoitti...

Vähintään sen tulisi tarjota Googlen kaltainen sms-vahvistus, onhan suurimmalla osalla asiakkaista iPhone-puhelin. Miksei digitaalisen elämän avainta ole sidottu puhelimen hallussapitoon?

Halukkaille voisi tarjota suomalaisten verkkopankkien tapaan kertakäyttötunnuksia.

Ja kun Applella on kattava omien kauppojen verkosto, miksei asiakasta todenneta niissä?

Anonyymi kirjoitti...

Eli ehdotat että iCloudin käyttämiseksi salasanan sijaan tulisi käydä todentamassa itsensä lähimmässä AppleStoressa? :)

Applen tulisi toki tehdä unohtuneen salasanan kyselyt huolellisemmin. Tosin en tiedä minkälaisesta tapauksesta tässä on kyse, itselläni kävi siten että asensin uuden AppleTV:n ja huomasin sitten myöhemmin että olin tilannut TV-sarjan. Luulin aluksi että tunnus oli hakkeroitu, Applen asiakaspalvelu vastasi nopeasti sähköpostiin, hyvitti veloituksen ja sulki tunnuksen -- sen sai takaisin avoimeksi Forget password -prosessin kautta. Myöhemmin tosin selvisi että olin itse tilannut ko. sarjan kun uuden AppleTV:n kaukosäädin ohjasi myös vanhaa samanaikaisesti.

Itse käytän iCloudia jonkin verran tiettyihin asioihin, en omista iPhonea enkä myöskään välttämättä halua sitoa verkkopalvelua mitenkään puhelimeen.

Sinällään tässä ei ole mitenkään Apple-riippuvaisesta asiasta kyse. Liki kaikki palvelut perustuvat yhden salasanan suojauksiin. Käytän Googlen palveluita myös eikä se normaalioloissa tee mitään sms-varmistuksia ainakaan itselleni. Sen kerran kun Google jotain sellaista teki, sitä sms-viestiä ei ikinä saapunut, ei edes uudelleenyritysten jälkeen. Voisi vähän ottaa päähän jos olisi ollut kiireellinen asia hoidettavana.

Moni on käytännössä mennyt siihen että käytössä on jonkinlainen password manager-ohjelmisto, jolloin palveluiden salasanat ovat aina vahvoja ja erilaisia mutta niihin pääsee itse käsiksi yhdellä tunnistuksella.

Kenties jatkossa Applen kannettaviin tulee jonkinlainen fyysinen autentikointimahdollisuus Applen taannoisen AuthenTec-ostoksen jäljiltä.

Anonyymi kirjoitti...

Applen iCloud faq näyttää sanovan:


After I sign in with my Apple ID, I'm prompted to enter additional information.

iCloud accounts may require some additional information that is not currently associated with your Apple ID. When prompted, enter the required information to continue.

(ja teksti ei ole lisätty tässä kuussa)

.. eli kenties tuo iCloudin tunnistus ei ole aivan niin yksinkertainen kuin on annettu ymmärtää.

Petteri Järvinen kirjoitti...

Nähdäkseni www.icloud.com kysyy vain tunnuksen ja salasanan, sisään pääsee miltä koneelta tahansa.

Applen tulisi tarjota vahvempia todennustapoja niitä haluaville -- siis niille, joilla on palvelussa jotain arvokasta. Googlella kaksivaiheinen todennus on optio.

Käyttäjä voisi myös rastittaa kohdan, joka vaatisi vierailua paikalliseen Apple-myymälään silloin, kun salasana on "unohtunut".

Apple Store tarkistaa henkilöllisyyden jos sieltä ostaa läppärin, miksei tätä voisi hyödyntää myös tietoturvan parantamiseksi?

Anonyymi kirjoitti...

Kamerallisissa laitteissa voitaisiin siirtyä vähintään edes silmän iiris-tunnistukseen, jos asiakas näin haluaa. Ei pitäisi olla temppu eikä mikään. Silloin "salasanaa" ei voisi unohtaa.

Eräs Isä kirjoitti...

Jokaisella on titetenkin oikeus vaarantaa datansa aivan miten haluaa. Nämä pilvet ovat erinomaisen tehokas keksintö yksityisen datan "julkaisuun". Minä en hitustakaan sääli niitä, joiden lompakko varastetaan kun sen omistaja on säilyttänyt sitä puistonpenkin alla. Ta datoja jossakin pilvessä. Minun datani (ja rahani) ovat vähän paremmassa turvassa omalla koneella, kuten lompakkoni on taskussani. Jos on paljon ihmisvilinää, samassa taskussa on myös käteni, ettei taskuvarasturistilla ole liian helppoa.

Anonyymi kirjoitti...

Tämä keissi on tosiaan vähän huono olemaan esimerkkinä salasanapaatokselle. Murron mahdollisti vain Applen huono tietoturvapolitiikka, jonka mukaan salasanan resetoimiseen tarvitsee vain sähköposti- ja laskutusosoitteen, sekä luottokortin 4 viimeistä numeroa.

Laskutusosoitteen krakkerit saivat whois:illa ja luottokortin numerot Amazonilta, josta ne saadaan pienen kikkailun kautta ulos.

Turha tässä on pelkästään Applea syyttää, vaan vika on yhtälailla Amazonissa kuin käyttäjässä itsessään.

http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/

Anonyymi kirjoitti...

Mobiilivarmnenne!
www.mobiilivarmenne.fi

Anonyymi kirjoitti...

"Moni on käytännössä mennyt siihen että käytössä on jonkinlainen password manager-ohjelmisto, jolloin palveluiden salasanat ovat aina vahvoja ja erilaisia mutta niihin pääsee itse käsiksi yhdellä tunnistuksella."

Niin ja sitten kun sen "yhden tunnistuksen" saa joku käsiinsä, onkin käytössä kaikkien kymmenien (satojen???) eri palvelujen käyttäjätunnukset ja salasanat.

Tunnustan käyttäväni tällaista palvelua itsekin, kun salasanaviidakko tuntuu muuten niin mahdottomalta hallita. Teen ihan perustoimistotyötä ja silti jo pelkästään työssä tarvitsen ainakin parikymmentä eri tunnusta ja salasanaa, joista osa on pakko vaihtaa tietyin väliajoin. Siihen kun listaa päälle kaikki siviilielämän muistettavat, muisti ei millään riitä ja niitä lunttilappusiahan ei saanut kirjoitella...

Anonyymi kirjoitti...

Woω, thіs агticlе іѕ
nice, my younger sister іs anаlyzing
theѕе things, so I am going tο cоnveу her.
Look at my blog ; 2012 August

Unknown kirjoitti...

"Halukkaille voisi tarjota suomalaisten verkkopankkien tapaan kertakäyttötunnuksia."

Tähän liittyen, Chicagon DePaulin huippuyliopiston kurssilla otettiin Suomen verkkopankit esimerkeiksi maailman tietoturvallisimmista pankkipalveluista.

Ei luulisi olevan Applen kovin hankala panostaa miljardeillaan tähänkään osa-alueeseen. On kuitenkin tunnettu fakta, ettei Apple ole innokas korjaamaan tietoturva-aukkojaan, ainakaan kovin proaktiivisesti

http://www.forbes.com/sites/adriankingsleyhughes/2012/04/25/apple-10-years-behind-microsoft-when-it-comes-to-security/
http://security.networksasia.net/content/apple-adopts-nonchalant-attitude-toward-iphone-sms-bug
http://www.zdnet.com/apple-needs-wakeup-call-on-security-7000001932/