maanantai 18. kesäkuuta 2018

Kasperskyn tietoturvaohjelma EU:n hampaissa

Viime viikolla EU päätti tiivistää kyberyhteistyötä Naton kanssa. Siihen liittyen EU hyväksyi raportin, jonka toiseksi viimeinen kohta totesi venäläisen Kaspersky Labin tietoturvaohjelman haitalliseksi perusteluita esittämättä. Asia herätti mielenkiintoni ja twiittasin siitä useamman kerran.

Taustoja tuntemattomalle asia on vieras, joten tässä tapauksesta kertova kohta 19.9.2018 ilmestyväni kirjan käsikirjoituksen luonnoksesta. Teksti voi vielä muuttua, mikäli asiassa ilmenee uutta.

Kyberuhkia ja somesotaa ilmestyy 19.9.2018
"Venäläinen Eugene (Jevgeni) Kaspersky perusti nimeään kantavan tietoturvayhtiön Moskovassa 1997. Virustorjuntaohjelmasta tuli suosittu ja Kaspersky Lab kasvoi nopeasti kansainväliseksi toimijaksi. Sen palveluksessa on eri maissa noin 4000 työntekijää. Eugene Kaspersky on itse arvostettu tutkija ja esiintyy säännöllisesti kansainvälisissä tietoturvakonferensseissa. Yrityksen menestys on kerryttänyt hänelle yli miljardin dollarin henkilökohtaisen varallisuuden.

Isona ei-amerikkalaisena toimijana Kasperskyyn luotetaan Venäjällä ja Lähi-Idässä, mikä on antanut yhtiölle näköalapaikan länsimaiden näissä maissa suorittamaan urkintaan. Kaspersky on paljastanut ja analysoinut amerikkalaisten kehittämiä vakoiluohjelmia, kuten Equation Groupia.

Tällainen toiminta ei tietenkään miellyttänyt amerikkalaisia. He epäilivät Eugene Kasperskyllä olevan liiankin läheiset suhteet nykyisen Venäjän tiedusteluun. Epäilyn ymmärtää, sillä Kaspersky opiskeli kryptografiaa Venäjällä koulussa, joka teki yhteistyötä silloisen KGB:n kanssa. Hän ehti myös olla jonkin aikaa Neuvostoliiton armeijan palkkalistoilla.

Toisaalta Kasperskyn yritys on analysoinut myös venäläisen Turla-verkkovakoiluryhmän toimintaa, paljastanut lukuisia kiristysohjelmiin erikoistuneita venäläisiä rikollisryhmiä ja ollut mukana No More Ransom -kampanjassa. Euroopan verkkorikostorjuntakeskuksen, Europolin, Kasperskyn ja McAfeen yhteinen sivusto www.nomoreransom.org on levittänyt tietoa kiristysohjelmien torjunnasta myös suomeksi.

Joulukuussa 2016 Venäjän turvallisuusvirasto FSB vangitsi yhden Kasperskyn johtajista epäiltynä maanpetoksesta, koska yhtiö oli ilmeisesti jakanut venäläisistä verkkorikollisista kerättyjä tietoja Yhdysvaltojen viranomaisille. Ei varmasti ole helppoa tasapainoilla idän ja lännen välillä näin arkaluontoisissa asioissa.

Epäluulot Kasperskyä kohtaan voimistuivat, kun Israelin verkkotiedustelu murtautui Kaspersky Labin verkkoon ja löysi sieltä NSA:n salaisia kybertyökaluja. Tietojen tultua julkisuuteen yhtiö selvitti asiaa ja julkaisi oman tiedotteensa. Sen mukaan virustorjunta oli havainnut asiakkaan koneessa aktiivisen Mokes.hvl-troijalaisen, joka oli tullut piraatti-Officen avaimenluontiohjelman kylkiäisenä. Virustorjunta oli tarkistanut levyn tiedostot ja lähettänyt epäilyttävän 7zip-arkistotiedoston yhtiöön tarkempaa analyysiä varten. Sieltä oli löytynyt USA:n Equation-vakoiluohjelmaperheen uuden version lähdekoodeja. Selitys kuulostaa uskottavalta – juuri niin hyvin toimivan torjuntaohjelman pitäisikin toimia.

Wall Street Journalin uutisen mukaan NSA:n alihankkijan palveluksessa ollut henkilö oli todellakin vienyt ohjeiden vastaisesti töitä kotiin ja käyttänyt tiedostoja kotikoneella, jolle oli asennettu Kasperskyn antivirus-ohjelma.

Yhdysvallat kuitenkin väitti, ettei kyse ollut tavallisesta virustorjunnasta, vaan ohjelmaa oli muokattu etsimään levyltä nimenomaan salaiseksi merkittyjä tiedostoja. Kaspersky puolustautui sanomalla, ettei yhtiöllä ollut mitään salattavaa. Se lupasi antaa ohjelmiensa lähdekoodin ulkopuolisten tarkistettavaksi ja perustaa Sveitsiin datakeskuksen, johon eurooppalaisten ja yhdysvaltalaisten asiakkaiden tiedot tallennettaisiin, jotta väitteet salaisesta yhteistyöstä Venäjän tiedustelun kanssa loppuisivat.

Mikään ei auttanut. Joulukuussa 2017 presidentti Trump kielsi lailla Kasperskyn tietoturvaohjelmien käytön maan hallinnossa.

Hollanti teki myöhemmin samoin ja siihenkin liittyi kiinnostavia käänteitä. Hollanti ilmoitti, ettei sillä ollut todisteita Kasperskyn epäluotettavuudesta, mutta ohjelmista luovuttiin ennaltaehkäisevästi, koska Venäjällä oli ”aktiivinen ja hyökkäävä kyberohjelma Hollantia vastaan”.

Kyberohjelman aktiivisuuteen saattoi vaikuttaa Hollannin oman tiedustelupalvelun AIVD:n toiminta. Se oli onnistunut murtautumaan venäläisen APT28-vakoiluorganisaation sisäverkkoon. Kiinnostavien tiedostojen ohella murto avasi pääsyn valvontakameraan, jonka kuvista AIVD päätteli, että käytännössä ryhmän toimintaa johti Venäjän ulkomaantiedustelusta vastaava SVR. AIVD seurasi, miten APT28 aloitti hyökkäyksen Yhdysvaltojen ulkoministeriöön ja välitti tietoja, joilla maa pystyi torjumaan hyökkäyksen. Yhteistyön piti pysyä salaisena, mutta Yhdysvallat meni paljastamaan asian, mikä suututti AIVD:n.

Vielä erikoisempi sivujuonne liittyy kauniiseen valokuvamalliin nimeltä Rian van Rijbroek. Hollantilaisen tv-kanavan uutisohjelmassa hän väitti olevansa salaisia tehtäviä suorittava huippuluokan hakkeri. Yksi toimeksiannoista oli selvittää, kuka Hollannin parlamentin alahuoneesta vuotaa tietoja. Siihen liittyen van Rijbroek kertoi murtautuneensa jouluaattona 2017 Kasperskyn Utrechtin toimiston wifi-verkkoon ja saaneensa selville 40 venäläistä ip-osoitetta, jotka ilmeisesti liittyivät tietovuotoon. Hollannin suurin sanomalehti teki väitteistä uutisen ja haastatteli van Rijbroekia. Kaspersky piti tapausta valeuutisena ja haastoi lehden oikeuteen.

Kesäkuussa 2018 EU-parlamentti hyväksyi virolaisen europarlamentaarikko Urmas Paetin laatiman kyberturvallisuusraportin, joka suositteli NATO-yhteistyön tiivistämistä ja EU:ssa käytettyjen ohjelmien turvallisuuden tarkistamista. Raportin toiseksi viimeinen 76. kohta sanoi asian selkeästi:

...kehottaa EU:ta suorittamaan toimielimissä käytettyjen ohjelmistojen sekä tietotekniikka- ja viestintäalan laitteistojen ja infrastruktuurin kattavan tarkastuksen mahdollisesti vaarallisten ohjelmien ja laitteiden poistamiseksi ja haitallisiksi vahvistettujen ohjelmien ja laitteiden kieltämiseksi (esimerkiksi Kaspersky Lab) [lihavointi bloggaajan]

Raportista ei käynyt ilmi, miten Kaspersky Labin haitallisuus oli vahvistettu. Yhtä lukuunottamatta suomalaiset MEPit äänestivät joko hyväksymisen puolesta tai tyhjää.

Eugene Kaspersky väitti EU:n ampuvan itseään jalkaan tekopyhällä toiminnallaan ja ilmoitti lopettavansa yhteistyön Europolin kanssa.

Oliko Kasperskyllä puhtaat jauhot pussissa vai tekikö se yhteistyötä Venäjän tiedustelun kanssa? Kaspersky itse arveli, että joku ulkopuolinen on saattanut hyödyntää heidän ohjelmaansa salaa. Ehkä henkilökuntaan on soluttautunut Venäjän agentteja? Voimme vain arvailla.

Snowdenin paljastama Prism-ohjelma kertoi NSA:n pääsevän mm. Googlen, Applen ja Microsoftin asiakkaiden tietoihin. Koskaan ei selvinnyt, oliko yhtiöt painostettu salaiseen yhteistyöhön kansallisen turvallisuuden nimissä vai oliko NSA hakkeroinut tiensä palveluihin. Paljastuksista nousi maailmanlaajuinen kohu, mutta pian urkinta unohtui ja kaikki jatkoivat palvelujen käyttämistä entiseen tapaan."

tiistai 12. kesäkuuta 2018

Net - verkko kiristyy tämän päivän silmin

Vanhoja it-aiheisia elokuvia on hauska katsoa uudelleen. Tämän päivän silmin osa niistä näyttää koomisilta, osa visionäärisiltä. Harva tämän alan elokuva kestää aikaa.

Frii-kanava esitti äskettäin kaikkien hakkerielokuvien äidin, The Net - verkko kiristyy, vuodelta 1995. Näin elokuvan heti tuoreeltaan lentokoneessa. Nyt sitä katsoi ihan uusin silmin.

Vuonna 1995 elokuva oli huippumoderni, Suomessa netti oli vasta tulossa suuren yleisön tietoisuuteen. Jenkeissä oltiin jo pidemmällä. Elokuvan alkupuolella sankaritar (Angela Bennettiä esittävä Sandra Bullock) kaipailee nettiyhteyttä meksikolaisella uimarannalla.

"Mihin saan modeemin kiinni?" - ai, mikä se on? Mikset käytä 4G:tä?
Vähän myöhemmin Angela on jo identiteettivarkauden uhrina. Hänen henkilöllisyytensä on kaapattu ja rekisteriin vaihdettu toinen nimi:

Identiteettivarkaus vm. 1995.
Vuonna 1995 katsojien luottamus viranomaisen rekistereitä kohtaan oli luultavasti suurempaa kuin nyt, monien hakkerointi- ym. uutisten jälkeen.

"Olen Angela bennett!" Uskokaa pois.
Elokuva oli edellä aikaansa nostaessaan esille valvontayhteiskunnan toteutumisen. Jos kaikki ei vielä 1995 ollutkaan tietokoneella, nyt on.

"Koko elämämme on tietokoneessa". Yep. 
Leffassa viliseen nostalgisia lyhenteitä ja ohjelmia, kuten TELNET:

TELNET? Mikä se on?
Sen sijaan "Sveitsin internet" (L'internet suisse) jäi itselleni arvoitukseksi. Ehkä sillä haluttiin korostaa verkon kansainvälistä luonnetta.

Trace Utility ja Packet Analyzer, vau.
CyberChat room 15, ihan oikea ip-osoite ja UN*X Shell v1.63.2:

Tuotesijoittelusta päätellen Apple oli elokuvan sponsori.
Webin graafiset käyttöliittymät olivat vuonna 1995 vielä kovin alkeellisia. Tämän päivän palvelussa grafiikka tehtäisiin toisin, mutta ideat ovat oikein.

Cyber Chat ja käyttäjien "kuvat".
Elokuvassa taitaa olla kuvauttu ensi kerran kyberhyökkäys, vaikkei termiä ollutkaan vielä keksitty (ei edes 2007 Die Hard 4:ssä, jossa sitä kutsuttiin nimellä virtuaaliterrorismi).

Kyberhyökkäys iskee Atlantaan ja tietenkin pörssiin.
Kuinka moni vielä muistaa nämä merkkipohjaiset pudotusvalikot:

Wanhan ajan käyttöliittymä.
Sähköpostiosoitteet ovat fiktiivisiä. Oikeudella ei taida vieläkään olla omaa TLD:tä ja User ID muistuttaa enemmän Compuserveä kuin netin sähköpostia.

Sähköpostia FBI:lle
Aikanaan pisti heti silmään, että IP-osoite oli väärin. Luultavasti tarkoituksella, vähän kuin elokuvien 555-puhelinnumerot. Traceroute näyttää kylläkin aidolta -- tosin ajat ovat niin pitkiä, että kyse on selvästi ollut hitaasta modeemiyhteydestä.

IP address 23.75.345.200
Vaihdetaan elokuvaa. Aiemmin keväällä esitetyssä Blackhat -elokuvassa (2015) haetaan IP-osoitetta 95.45.265.284:

Whois 95.45.265.284
Sehän löytyy Ukrainasta, ainakin elokuvissa. Kaupunki Dnipropetrovsk kuulostaa tuntemattomalta, mutta juuri tuon kaupungin lennonjohdon alueella lento MH17 ammuttiin alas heinäkuussa 2014. Voihan nimivalinta olla sattumaakin.

IP address 95.45.265.284, Dnipropetrovsk, Ukraine
Tavallinen katsoja tuskin kiinnittää huomiota ip-osoitteisiin, mutta meitä nörttejä osoitteet kiinnostavat. Vaikka kumpikin elokuva käyttää mahdotonta osoitetta, ne ovat teknisesti uskottavia -- toisin kuin eräät muut, joissa modeemiyhteydellä siirretään sujuvasti videokuvaa tai lanseerataan koko maailman alistava tekoäly.

maanantai 4. kesäkuuta 2018

Mobiilivirusten määrä laskussa

Tätä tuskin näet uutisissa: mobiilivirusten määrä on laskussa. Erityisen paljon ovat vuoden ensimmäisellä neljänneksellä vähentyneet mobiilit kiristysohjelmat. Nämä tiedot käyvät ilmi Kaspersky Labin tuoreesta mobiiliturvakatsauksesta.

Muutama poiminta raportista. Havaittujen asennuspakettien määrä laski 11 prosentilla edellisestä neljänneksestä:

Mobiilihaittaohjelmien määrä laskenut kaksi neljännestä peräkkäin.
Suomi on tilastojen perusteella erittäin puhdas maa, sama pätee muihin pohjoismaihin ja Saksaan. Synkimmät maat ovat Kiina (34 % käyttäjistä kohdannut haittaohjelman), Bangladesh (28 %), Nepal (27 %), Norsunluurannikko (27 %), Nigeria (25 %), Algeria (24 %) sekä Tansania, Intia, Indonesia ja Kenia (kaikki yli 20 %).
Suomi, pohjoismaat ja USA mobiilisti turvallisia.
Pankkitroijalaisten määrä oli noussut, mutta laski kaksi edellistä neljännestä, eikä nytkään yltänyt yhtä korkealle tasolle kuin vuoden 2017 kolmannella neljänneksellä. Hyvää kehitystä sekin. Pankkitroijalaiset kiusaavat varsinkin Venäjää ja yllättäen myös Yhdysvaltoja. Eurooppa on tässäkin suhteessa turvallinen. Turvattomia ovat Venäjän ja USA:n lisäksi Tazdikistan, Uzbekistan, Kiina, Turkki, Ukraina, Kazakstan, Puola ja Moldova. Näissä maissa ei kannata asioida mobiilipankissa!

Mobiilien kiristysohjelmien määrä on suorastaan romahtanut:

Mobiilien kiristysohjelmien määrä on romahtanut.
Kehitys ei kerro koko totuutta, sillä kiristysohjelmat ovat vaihtaneet levitystekniikkaa ja niiden laskentatapa on muuttunut. Raportti myös varoittaa, että kiristäjät ovat teknisesti entistä kehittyneempiä.

Suomi on erityisen hyvässä turvassa, harvoja nollan pinnassa olevia maita. Jopa Ruotsin ja Norjan värit ovat hieman synkempiä.

Hyvä Suomi!
Erityisen synkkiä maita ovat Kazakstan, Italia, Irlanti, Puola, Belgia, Itävalta, Romania, Unkari, Saksa ja Sveitsi. Lista on hieman yllättävä, koska se sisältää lähinnä EU-maita ja yhden entisen neuvostotasavallan.

Tietoturvassa ei ole koskaan varaa levätä laakereilla, mutta ainakin tämän päivän tilanteessa suomalaiset mobiilikäyttäjät voivat olla melko hyvillä mielin. Uhkakuvista ja uutisoinnista huolimatta älypuhelin on vielä erittäin turvallinen, kunhan ei itse poista suojauksia eikä lataile epämääräisiä hupi- ja peliohjelmia.