perjantai 13. marraskuuta 2020

Vihdoinkin toimia identiteettivarkaita vastaan

Vastaamon onnettomalla tietovuodolla on hyviäkin puolia. Vihdoin -- siis vihdoin! -- valtio on ryhtymässä toimiin identiteettivarkaita vastaan. Ongelma paljastui jo syksyllä 2011, kun nettiin vuodettiin suuri joukko henkilötietoja. Aluksi niiden käyttö oli satunnaista, mutta lopulta huumehörhöt keksivät, miten helppoa on tilata tavaraa uhrin nimissä ja myydä se eteenpäin.

Ongelma on ollut hyvin tiedossa. Verkkokaupat haluavat tehdä ostamisen mahdollisimman helpoksi, eivätkä vaadi ostajan vahvaa tunnistamista. Tuote myydään laskulla, jota varten luottokelpoisuus tarkistetaan henkilötunnuksen perusteella. 

Sopiva hetki tiukennuksiin olisi ollut syyskuussa 2015, jolloin identiteettivarkaus lisättiin rikoslakiin. Sekin tapahtui kansainvälisen sopimuksen velvoittamana ja Suomen pykälä jäi hampaattomaksi. Rangaistus on niin lievä, ettei poliisi voi käyttää pakkokeinoja ja uhrin on osoitettava, että identiteettivarkaus on aiheuttanut merkittävää haittaa.

Tilauspetokset ovat aina olleet rikoksia, identiteettivarkauden pykälä liittyy lähinnä netin valeprofiileihin ja muuhun kiusantekoon. Lisäksi pykälä tekee tilauspetoksen tapauksessa asianomaisen, huijattu kauppias ei ole ainoa uhri.

EU tuli tässäkin avuksemme. PSD2-direktiivi velvoittaa vahvaan todennukseen pankkiasioinnissa. Pelkkä salaa kopioitu tunnuslukutaulukko ei enää riitä.

Nyt verkkokauppojen porsaanreiät halutaan vihdoin tukkia. Jatkossa vahvaa tunnistautumista edellytettäisiin kaikkien kuluttajaluottosopimusten tekemiseltä. Pitäisi olla niin, ettei ilman vahvaa tunnistamista verkosta tilattu tuote tai palvelu ole perintäkelpoinen. Se kannustaisi kummasti kauppoja pankkitunnusten tai mobiilivarmenteen käyttöön.

Luotto- ja tietojenluovutuskiellot ovat hajallaan eri puolilla nettiä, osa kielloista on jopa maksullisia lisäpalveluita. Nämä halutaan jatkossa keskittää yhteen paikkaan. Toivottavasti valtio velvoittaa luottotietoyhtiöt tarjoamaan kieltopalvelun veloituksetta.

Kaikki nyt korjattavat ongelmat ovat olleet tiedossa jo vuosia, hallitukset eivät vain ole tehneet niille mitään. 

Tämäkin hallitus olisi ehkä havahtunut ongelmaan aikaisemmin, ilman Vastaamon tietomurtoa, jos hallitukseen olisi nimitetty digi- ja tietoturvaministeri nykyisen Eurooppa- ja tasa-arvoministerin sijaan. Jälkimmäinen sopi kuitenkin paremmin yhden hallituspuolueen agendaan.

82 kommenttia:

Markus kirjoitti...

Kaikkein huvittavinta tässä on efekti, jossa vain iso rikos saa asioita tapahtumaan.

Eihän siitä ole kuin viikkoa aikaisemmin kun elinkeinoelämä tyypillisesti marisi sitä ikuista valitusvirttä "miten joidenkin transujen takia tehtävä henkilötunnuksen muutos on liian kallista". Vain siis viikkoa myöhemmin tämä sama elinkeinoelämä sai suoraan sanoen sellasen potkun munille, että tuntui niin sanotusti selkäytimessä asti.

Kysymys kuuluukin nyt? Ihan oikeastiko tätä maata rikolliset pyörittää?

Että ne yhteiskunnan rehelliset vaikutuskeinot joita tämänkin muutostavoitteen tiimoilta on jankattu vuosikymmeniä ties missä tyhjänpäiväsissä kabineteissa saamatta yhtään mitään aikaiseksi.

Uhreja vain tulee ja silmiä ummistetaan.

Mutta yksi ainoa hakkeri saa pyörän pyörimään.

Mihin me tarvitaan poliittista prosessia tai koko järjestelmää jos se on näin kelvoton?

Sitten vielä se toinen kysymys. Mikä se hakkerin ihan todellinen motiivi oli ;) ? Tässä tulee koko asiasta monia asioita mieleen.

Ainakin tämän asian se näytti. Ja sai aikaiseksi.

Markus kirjoitti...

Kaikkein ironisinta tässä koko touhussa on, että voin vannoa ja vakuuttaa, että jokainen poliisi on mun kanssa seuraavasta samaa mieltä.

Se hakkeri teki jotain todella tärkeää.

Vaikka se on rikollinen. Sen "sota" oli joistakuista väistämättömistä pienistä uhrimääristä huolimatta äärimmäisen tarpeellinen.

Sitähän tämä tavallaan oli. Nykyajan hybridisodankäyntiä.

Yksi rikos paljasti ison syövän. Sen elinkeinoelämän tekemiä rikoksia tai ei ehkä suoria rikoksia mutta äärettömän välinpitämättömyyden meidän kaikkien asioiden hoidossa.

On tosiaan kiehtova kysymys, mahtoiko hakkeri itsekään ymmärtää minkälaisen pandoran lippaan avasi.

Kiitos hakkeri, jos luet tämän!

Anonyymi kirjoitti...

"Pitäisi olla niin, ettei ilman vahvaa tunnistamista verkosta tilattu tuote tai palvelu ole perintäkelpoinen."

Minua taas on jo pitkään ihmetyttänyt seuraava: miksi pelkällä hetulla tai vastaavalla ei-salaiseksi tarkoitetulla tiedolla tehty tilaus on tähän asti ollut perintäkelpoinen? Elleivät oikeuslähteet nykytilanteessa määrittele perintään oikeuttavaa tunnistautumista, riittääkö vaikka kengännumero siihen?

Toisaalta mitä enemmän hetuja vuotaa rikollisten käsiin, sitä epäluotettavampi siitä identifioinnissa tulee. Luulen, että tätä menoa firmat vapaaehtoisesti luopuvat sen käytöstä, vaikkei lainsäätäjä tekisi mitään.

Anonyymi kirjoitti...

Petteri:"PSD2-direktiivi velvoittaa vahvaan todennukseen pankkiasioinnissa. Pelkkä salaa kopioitu tunnuslukutaulukko ei enää riitä."

Olisi ollut syytä pakottaa pankit poistamaan paperiset tunnuslukutaulukot kokonaan pois käytöstä.
Kuten aiemmin todettiin esmes OP:n tunnuksella ja kopioidulla avainlistalla voi tehdä tilauksia netistä. Vastaaviahan on poliisilla muutamia satoja parhaillaan tutkittavana.

DanskeBank poisti muovisen tunnuslukulistan ja otti käyttöön paristolla käyvän vempaimen, eli tunnuslukulaitteen.

Petteri Järvinen kirjoitti...

Mistä kaupasta voi edelleen tilata ja maksaa pelkillä OP:n tunnuksilla? Käyn itse kokeilemassa.

Anonyymi kirjoitti...

Aiemmin kirjoitin tuosta identiteettivarkaudesta. Eli salasana kopsattu ja valokuvattu nuo nelinumeroiset avainluvut. Tilattu mm Norvegian, Elisa, Telia, HobbyHall, Teboil, Tokmanni, Amex luottokortti saatu, Ikea ja niin edelleen ja kaikki ovat perinnässä, 12 000 laskut olivat Kymenlaakson käräjäoikeudessa, siihen tuli lykkäys kunnes poliisi on tutkinut. Lowell laittoi asian oikeuteen.

Jos tuossa tapauksessa olisi ollut OP:llä esimerkiksi vastaava tunnuslukulaite kuin mitä DanskeBankilla niin sen varastamisen olisi huomannut aika nopeasti, eikä tyyppi olivoinut tilata toisen nimellä enempää tavaraa.

Anonyymi kirjoitti...

Petteri, Re Osuuspankki, kaupoista en tiedä mutta esim. Veikkaus.fi:stä voit luoda tunnukset ja ostaa lottokupongin.

Samoin toimii vaikka vero.fi, kansalaisaloite.fi, ja monet monet muut.

Markus kirjoitti...

https://kangasalansanomat.fi/nordea-luopuu-paperisesta-tunnuslukukortista-kaikki-pankit-eivat-hylkaa-paperisia-tunnuksia

Kuittaan, että nordealla on myös käytössä muovinen tunnuslukulaite. Ollut itse asiassa jo kolmisen vuotta. Äkkiä muistellen.

Ensimmäinen laite on ilmainen ja se kannattaa ottaa ihan vain sen vuoksi, jos vaikka vaihtaa kännykkää niin saa sen mobiilisen tunnuslukusovelluksen kytkettyä myös uuteen kännykkään. Tai jos kännykkä vaikka katoaa niin on varakirjautusmiskikka.

Nordea itsessään kannustaa ensisijaisesti käyttämään mobiiliappsia.

Paperista taulukkoa ei taida saada enää edes pyytämällä.

Tunnuslukulaitetta ei voi sivullinen käyttää. Paitsi jos tietää sinun itse laitteeseen määrittelemän pin-koodin. Laitetta ensimmäistä kertaa käyttöön otettaessa määrittelet itse laitteeseen vapaavalintaisen tunnusluvun, eikä laitteella voi tehdä mitään ilman sitä. Vaikka se varastettaisiinkin.

Markus kirjoitti...

Lisäksi vielä. Sen laitteen tunnusluvun lisäksi pitää myös edelleen päästä sinne verkkopankkiin, johon on vielä erilliset kirjautumistunnusluvut. Eli siis verkkopankkiin voi päästä mutta mitään tapahtumaa sielä ei voi tehdä ilman joko tuota tunnuslukulaitetta jolla on oma tunnuslukunsa vielä tai kännykkäappsia joka sekin vaatii joko pin-koodin tai faceid, touchid tjsp.

Eli varas tarvitsee nämä kaikki toimiakseen. Tunnusluvut siis.

Anonyymi kirjoitti...

Ongelma miksi itse käytän OP:n kanssa edelleen paperista avainlukulistaa on käytettävyys ja toimintavarmuus. En yksinkertaisesti halua pankkiasioitani kännyyn, jossa odottaa läjä Android-reikiä. Arvostaisin jos pankkitunnistuksessa se 2FA tehtäisiin tavallisella Microsoft/Googleauthenticatorilla, joka ei ota mitään yhteyttä verkkoon alustuksen ja avaimen asennuksen jälkeen.

Markus kirjoitti...

https://mobiili.fi/2019/11/04/mobiilivarmenne-uudistuu-ensi-vuonna-luvassa-entista-monipuolisempi-ja-helppokayttoisempi-palvelu/

Mobiilivarmenne järjestelmäkin muuten uudistuu lähiaikoina.

Siihenkin tulee ilmeisesti eri-asteisia kirjautumistoiminteita. Vahvan tunnistautumisen toiminteen lisäksi.

Anonyymi kirjoitti...

Omilla tutuillani ja itselläni ovat käytössä mobiiliappsien ohella myös nuo paperiset listat että myös tunnuslukulaitteet. Ja myös yrityksillä.
Johtuu siitä että puhelin katoaa, varastetaan, ei toimi, netti ei toimi jne... Sitten ollaan pulassa kun kaikki pelkän yhden mobiililaitteen varassa.

DanskeBankilla tuo tunnuslukulaite ei vaadi mitään erillistä salasanaa.

Markus kirjoitti...

Eli tässä voidaan yhdessä todeta, että kaikkein turvallisimmin asian on tehnyt nordea.

Tunnuslukulaite jaetaan ilmaiseksi mutta ei kannusteta käyttämään pääasiallisena metodina. Tosin halutessaan saa käyttää.

Tunnuslukulaite on suojattu pin-koodilla sekin. Vääriin käsiin joutuessa sillä ei voi tehdä mitään. Toiminnetta valitessa ensimmäinen kysymys on pin-koodi, jonka voi itse valita laitetta käyttöönotettaessa.

Paperista listaa ei jaeta.

Verkkopankkiin kirjautuessakin tarvitaan tunnusta ja salasanaa (tai sitä naamankuvaa/sormenjälkeä). Eli kuittaustapaa käytetään vasta kun jotain muutosta tilillä tehdään.

Mobiiliappsi on se jota suositellaan jatkuvaan käyttöön. Tässäkin on pin, jonka voi itse valita. Tunnuslukulaitteella TAI toisella mobiiliappsilla voi aktivoida lisää mobiiliappseja. Tämän vuoksi järkevintä on käyttää tunnuslukulaitetta lähinnä varakeinona, jolla voi sitten konttorissa käymättä aktivoida näitä tunnuslukuappseja. Edelleenkin kuitenkin pärjää hienosti ilman appsia ja siis tämä muovirasia on ilmainen. Ei tosin käytettävyydeltään lähelläkään mobiiliappsia. Mutta ajaa asiansa turvallisesti.

Tunnuslukuappsi on tavallaan tuplasuojattu. Ensin pitää avata se kännykkä. Sitten vielä se appsin kulloinkin kuittaama toiminne. Tässä vaiheessa on käytössä ainakin iphonessa se kasvontunnistus, sormenjälki tai pin. Mutta ei kaikissa toiminteissa. Kriittisimmissä toiminteissa pitää aina käyttää tunnuslukuappsin pin-koodia. Eli esimerkiksi rahansiirtoja ei voi kuitata pelkällä naamankuvatuksella.

Menee vähän yli jos kaiken tämän lisäksi tarvitsisi vielä paperista taulukkoa, joka romuttaa tavallaan koko idean?

Tietysti mikäänhän ei estä sitä, jos itse kerrot pin-koodin vaimollesi/miehellesi tai myssypäisille kämppään tunkeutujille. Mutta ainakaan selän takana missään muussa skenaariossa ei pitäisi pystyä rahaa siirtämään tai "allekirjoitusta" tekemään.

rikilm kirjoitti...

Hmmm. Markus.. Moni kayttää muitakin pankkeja kuin Nordeaa. Moni käyttää pankkiasioinneisaan tietokonetta/läppäriä.
Omassa tapauksessani en puhun rahansiirtämisestä. Ainoat rikokset tehty..lainaan poliisin kirjoittamaa: "Kaikki tilaukset on tehty verkkokaupassa tunnistautumalla verkkopankkitunnuksilla. Alla vielä tarkemmat tilaustiedot kaikista tapahtumista"

Markus kirjoitti...

Tiedän, että moni muu käyttää muitakin pankkeja.

En kuitenkaan ottanut siihen kantaa.

Otin siihen kantaa, mikä pankki tällä hetkellä ilmeisesti on tehnyt asian turvallisimmin. Voi olla, että joku muukin pankki on tehnyt asian näin. Sitä en tiedä kun minä käytän nordeaa. Kerroin siis vain miten nordea on asian tehnyt.

Kätevyyskin on subjektiivista. Mutta ainakaan nykyteknologialla ei paljoa turvallisemmaksi voi saada.

Heikoin kohta on se pin-koodi mikä täytyy kaikissa tilanteissa pystyä pitämään omana tietonaan. Mutta sama ongelmahan on virossakin sähköisessä henkilötodistuksessa sekä sillä tehtävillä toiminteilla. Se kuitenkin oletettavasti kotioloissa on aina helpompaa kuin "bensa-automaatilla". Toisekseen nuo pin-koodit on aina halutessaan vaihdettavissa toisin kuin esimerkiksi pankkikortin koodi vaatii koko kortin vaihdon.

En siis välitä siitä mitä pankkeja muut käyttää. Mutta joku voisi saada idean vaihtaa pankkia, jos turvallisuutta haluaa. Tietää ainakin vertailussaan kertomastani, miten nordeassa asia on tehty.

Anonyymi kirjoitti...

DanskeBank:in verkkopankkiin sisää pääsy vaatii seuraavaa:
a) Käyttäjättunnus eli tilinumero
b) Salana eli pin-koodi
c) tunnusluvun tunnuslukulaitteelta . ei pin-koodia vaan pelkkä nappi

Maksusuoritusten hyväksyminen vaatii salasanaa (kohta b) mikä on selkeä tietoturvariski, pitäisi olla tunnuslukulaitteen tunnusluvulla. Hyväksyminen tehtii aikoinaan kertakäyttöisillä luvuilla tunnuslukulapulta mutta se muutettiin, syy oli että "asiakkaat valittivat että tunnuslukuja kului niin paljon". tietoturva heikennyksen syy oli oikeasti kulujen vähentäminen.

En ole tyytyväinen danskebankiin tuon osalta.




Anonyymi kirjoitti...

Nordean tunnuslukulaite, joka on pienen laskimen näköinen hieman luottokortia pienempi ja ehkä noin neljän luottokortin paksuinen on tietoturvan osalta varsin hyvä ja toimiva laite. Mutta laitteen LCD:n luettavuus on aika kehno. LCD on sen verran upotettu ja upotuksen reunat jyrkkiä, että se on valon osumiselle oikein aika nuuka. Upotuksen reunat jos olisivat loivennettu, niin se korjaisi ongelman.
Kalvonäppäimet ei tietysti ole mitenkään erityisen hyvät, mutta kyllä riittävän toimivat tehtäväänsä.

Tunnuslukulistojen tai taulukoiden käyttö erosi ja eroaa edelleen eri pankeilla. Nordealla ja sen edeltäjillä kutakin tunnusnumeroa on käytetty vain yhden kerran ja käyttö eteni (etenee kai vieläkin jos joku niitä vielä käyttää) järjestylsessä. Joillakin muilla mm. S-pankin numeroita käytetään toistuvasti pyydetyistä koordinaateista, eli ne eivät lopu kesken. Tunnukujen lisäksi kirjautuminen ja kaikki toimet pitää vahvistaa käyttäjtiliin liitetyn mobiiipuhelimen lähetettävän teksarin sisältämällä nelinumeroisella koodilla (ns. haasteilla).

Amazonilla, eBay:lla, Paypallilla on voinut pitkään käyttää tekstareilla vahvistamista, mutta suuntaus on viime aikoina ollut siirtyä kaksivaiheisessa tunnistamisessa (2FA) aikaperustaiseen OTP (TOTP) käyttöön.

TOTP:n käyttöönotto on varsin helppoa, hyvin toimivia sovelluksia saatavissa yleisiin mobiililaitteisiin ja myös tietokoneelle. Google Authenticator, FreeOTP ovat yleisiä, mutta myös joissakin ns. password manager/keymanager ohjelmistoissa TOTP on sisäänrakennettuna ja myös vapaina ohjelmistoina sekä komentoriviltä toimivia versiota on tehty ja löytyy mm. githubista.

Palvelinpuolella, siis jos itse haluaa käyttää TOTP:ia sen käyttöönotto ssh-kirjautumisten kanssa tai web-palvelimeen on varsin helppo lisätä. Ohjelmistokielissä on pitkään olllut kirjastoja ja moduuleja, joilla sen tuen lisääminen omaan ohjelmistoon on melko helppo toteuttaa.

TOTP ei sovellu korkeinta turvallisuutta edellyttäviin paikkoihin, koska sitä ei voi välttämättä sitoa vain yhden päätelaitteen käyttöön ja siksi varmistaa ettei siihen liittyvää kryptografista avainta voisi joku kopioida jos pääsee käsiksi laitteeseen tai ohjelmaan, johon se on talletettu ja onnistuu murtamaan sen käyttämän salauksen jota kunnolliset toteutukset käyttävät. TOTP -toteutukset vaihtelevat turvallisuudeltaan, on hyvin luotettavia toteutuksia muta varmasti myös heikompia joissa on puutteita. Hyvän asiakasohjelman valitseminen on sen kanssa tärkeää ja kannattaa luottaa niihin jotka on auditoitu luotettavien tahojen toimesta.

Anonyymi kirjoitti...

... jatko

Oikein käytettynä TOTP lisää turvallisuutta huomattavasti pelkkän käyttäjätunnuksen ja salasanan käyttöön verraten. Se on myös yleiskäyttöisempi ja oikein käytettynä turvallisempi kun tekstiviesteihin perustuvien koodien käyttö puhelinverkon käyttämän SS7 protokollan puutteiden vuoksi.

TOTP:ia parempi, mutta toki myös huomattavasti kalliimpi ratkaisu on erillisiin tietoturvapiireihin (tamper proof secure enclave) perustuvat tunnistuslaaitteet, joiden avainta ei voi kopioida tuhoamatta laitetta.

Nordean tunnistuslaite on rautapohjainen TOTP -laite, joka on rakennettu pienen laskimen kokoon ja suojattu käyttäjän antamalla pin-koodilla. En ole yrittänyt tutkia, mutta on hyvin mahdollista että sen todennäköisesti käyttämässä ARM-suorittimessa on mukana TrustZone secure enclave. Jos näin on, niin se on siinä tapauksessa erittäin hyvä laite. En kuitenkaan aio omaani uhrata uteliaisuuden vuoksi tutkiakseni sitä ainakaan ennen kun se hajoaa.

Kun nyt yleissti mietitään minkälainen tunnistusratkaisu olisi kelvollisen turvallinen yleiskäyttöiseksi korvaava väline HETU:n väärinkäytölle, niin TOTP:ssta sellaisen saisi tehtyä varsin kohtuullisin kuluin, koska asiakasohjelmistot on jo olemassa.

Se on toki mahdollista, että jokainen palveluja tuottava taho, kauppa jn.e tekisi TOTP -tunnistautumisen ja edellyttäisi sen käyttöä, mutta ehkä helpompi käyttäjille ja tietojärjestelmien tekijöille olisi tehdä vastaavasti kun on luottokorttien käytön kanssa yleensä, että käytetään ulkoistettua palvelua jonka palvelussa käydään maksamassa ja palataan sitten takaisin.

Sopivia tahoja tunnistus palveluiden tekemiseen olisi varmasti monia, mutta ehkäpä Suomi.fi olisi hyvä ainakin julkisen sektorin palveluihin.

Anonyymi kirjoitti...

Niin ja unohdin mainita, että TOTP:ia voisi käyttää hyvin myös puhelimella asioidessa.

Siinähän on tyypillisesti kuusinumeroinen 30s väleiin vaihtuva koodi. Eli siis, henkilö joka olisi rekisteröinyt ja tallettanut kaupan tai palveluntuottajan palvelussa generoidun avaimen päätelaitteeseesa voisi myöhemmin tunnistautua vain kertomalla nimen, hetun ja sen jälkeen edellytettäisiin vielä, että lukee ääneen sen numeron joka näkyy kännykän tai vastavan TOTP sovelluksessa sen palvelun kohdalla mihin on rekisteröinyt.

Helpointa tietysti olisi, ainakin vähemmän tekniikkaa ymmärtäville, jos näitä rekisteröitejä ei olisi tarpeen tehdä useaan paikkaan vaan esim. juuri Suomi.fi kautta.

Mutta siis tätä yleisesti jo käytettyä tunnistautumista voisi käyttää muutenkin kuin vain tietojärjestelmiin tunnistauduttaessa.

Toki avuksi tarvittaisiin muutakin joko asiakasnumeroa tai HETU:a, mutta vain siihen mihin sitä alun perin on tarkoitettukin, eli erottamaan kahta nimikaimoja toisistaan. Siis ainoastaan yksilöimään henkilöä, eikä tunnistamaan mikä on selkeästi sen väärinkäyttöä.

Kehitys ja ylläpitokustannusten pitämiseksi kohtuullisina, laitteiden saatavuden ja valmistamisen kustannusten jatkossa, tietoturvan edellyttämien päivitysten saatavuuden jatkuvuuden takaamiseksi olisi järkevämpää käyttää olemassa olevia ratkaisuja eikä yrittää luoda uutta järjestelmää tyhjästä, koska meillä ei sellaiseen välttämättä ole käytettävissä nyt eikä myöhemminkään liiemmälti rahaa.

Petteri Järvinen kirjoitti...

"En yksinkertaisesti halua pankkiasioitani kännyyn, jossa odottaa läjä Android-reikiä"

Minkälaisia reikiä Androidissa odottaa? Ellei kyse ole ikivanhasta versiosta, mobiililaitteet ovat turvallisempia kuin pöytäkoneet tai läppärit. Eipä niissä ole haittaohjelmiakaan, kiitos sovelluskauppojen.

Anonyymi kirjoitti...

@Petteri

En ole lainauksesi kirjoittaja, mutta onko sinulla näyttöä väitteellesi "mobiililaitteet ovat turvallisempia kuin pöytäkoneet tai läppärit." vai onko se pelkkää mutua?

CVE Details Top 50 luvut näyttävät, että valmistajakohtaisia (Vendors) Cvss scores lukuja (ts jakaumaa katsoessa) joka tietysti kattaa kaikki ko. valmistajan tuotteiden (laitteet ja ohjelmistot) painotettuja keskiarvoja pitkältä ajalta, ero ei ole suuren suuri.

Luvuissa on kuitenkin mukana aivan kaikki rauta- ja ohjelmistotuotteet mitä kullakin on ollut -99 jälkeen, joten vertailu ei ole aivan reilua tehdä firmojen kaikien tuotteiden mukaan, koska siellä on paljon mukana myös historiallisia ja nykyisiä tuotteita joita ei ole mobiililaitteissa, läppäreisssä ja kännyköissä.

Paremman kuvan saa kun valitsee tuotekohtaisesti Product Cvss scrore ja sieltä katsoo paikontettuja keskiarvola.

Debian Linux on ehkä yllättäen "Top 50 Products By Total Number Of "Distinct" Vulnerabilities", johdossa. Mutta sille löytyy hyvin looginen selitys. Sen jakeluun sisältyy yli 89000 vapaiden ohjelmistojen pakettia, mikä on moninkertaisesti pakettimäärä mikä on muissa käyttöjärjestelmissä vakiona. Niistä suurin osa on kolmannen osapuolen ohjelmistoja. Sen vuoksi usein kun löytyy haavoittuvuus jostain, se usein siksi osuu Debianiin, mutta vaikka haavoittuvuus löytyi jostain yli 89000 ohelmistopaketista, se ei tarkoita että läheskään kaikkia niistä on asennettuna koneeseen. Ensinnäkään aivan kaikkea ei voi edes asentaa, osa on asennettavissa ns. joko tai periaatteella. Tyypillinen työpöytäasennus sisältää vajaan 3000 pakettia ja siinä on sitten jo paljon enemmän ohjelmia kun kun vaikkapa Windows10 koti- tai työkäyttäjällä on käytössä. Tilastossa ei ole oletusasetukset sisältämien pakettien muodostaman käyttöjärjestelmän vastaavaa lukua, joten sikäli tilasto ei ole kovin reilu Debiania kohtaan.

Myös moni Debianiin perustuva, myös Ubuntu, ei paketoi käytännössä aivan kaikkea mitä Debian paketoi joten sen vuoksi niissä haavoittuvuuksia on vähemmän ja siksi ne ovat alempana. Pakettimääristä löytyy Wikipedian Comparison of Linux distributions sivustolta jos se kiinnostaa. No se Linuxeista.

Anonyymi kirjoitti...

... jatko

Android käyttää Linux kerneliä, mutta muuten se on hyvin erilainen eikä siinä ole valtavaa määrää Linux jakeluiden vapaita ohjelmia asennettuna tai edes asennettavissa, siitä huolimatta se on noin korkealla tuossa listassa. Ja vaikka katsoo vain muutaman viime vuoden 2017 jälkeisiä lukuja, niin kyllä sieltä on löytynyt haaviottuvuuksia, myös vakavia.

Niin on löytynyt myös Iphone OS:sta, mutta vertaamalla "Code Execution", "Gain Information" ja "Gain Privileges" viimeisiltä vuosilta Androidiin on varsin selvää että Android ei ole edelleenkään turvallinen.

Eipä niissä ole haittaohjelmiakaan, kiitos sovelluskauppojen.

Applen App Store tapauksessa väite pitää varsin hyvin paikkansa, mutta Google Play sovelluskaupan tarjonnassa on todella runsaasti haittaohjelmia.

1,
2
3 jne.
4 jne.

Android Play -kaupan ongelma on siinä, ettei jakoon laitettavien ohjelmien ennakkotarkastus on edelleen heikkoa ja sieltä poistetaan jaosta vasta sitten kun joku raportoi tai Google itse havaitsee.

Anonyymi kirjoitti...

... jatko

Haittaohelmien tekijät ovat keksineet jo kauan sitten, että ne lataavat Google Play kaupasta jonkun yleisesti käytetyn ohjelman. Purkavat apk paketin, avaavat lähdekoodiksi binäärin (java decompile), muuttavat ohjelmistoa sen verran että sen voi sanoa olevan eri ohjelma samoilla ominaisuuksilla ja lisäävät siihen sitten haittakoodia. Tämän jälkeen he paketoivat sen uudestaan ja laittavat Play kauppaan tyypillisesti halvempana kun alkuperäinen tai jopa ilmaiseksi saataville. Sen lisäksi usein myös Pro version kalliimmalla kun alkuperäinen versio oli.

Suuri osa käyttäjistä valitsee edullisimman jonkun tarpeen hoitavan ohjelman ja ne jotka luulevat, että kalliimmat ohjelmat ovat turvallisia saavat he hyvin suuren osan käyttäjistä lankeamaan heidän ansaansa.

Em. ongelma ei ratkea Play kaupan osalta mitenkään muuten kun lisäämällä tarjolle tulevien ohjelmien huolellisempaa teknistä tutkimista ja erityisesti ennakkotarkastuksia, ennen kun ne päästetään kauppaan asiakkaiden ladattavaksi. Mutta niin kauan kun Google kilpailee Applen kanssa siitä kenellä on eniten tarjolla ohjelmia se ei taida heitä riittävästi kiinnostaa.

Android puhelin voi, huom voi olla, turvallinen uutena paketista käyttöön otettaessa. mutta aina se ei ole edes sitä.

Android kärsii samasta ongelmasta, mistä ns. kuluttaja-PC:t ovat kärsineet jo ainakin 20 vuotta. Kuluttaja-PC valmistajien tärkein kilpailuetu on laitteen hinta. Laitteen hintaa ovat pitkään olleet subventoimassa ilmais- ja apuohjelmat, joita he paketoivat mukaan asiakkaille kokeiltavaksi jne. Näiden ohjelmistojen tekijät maksavat PC-valmistajille siitä, että he laittavat niitä mukaan ja vielä niin, että niitä on usein työlästä poistaa käyttöönoton jälkeen.

Näiden ilmaisohjelmistojen mukana tulee laitteisiin sitten kaikenlaista, jos ei niissä ole haittaojelmia myyntipakkauksessa, niin niistä voi sellaisia tulla koska niitä voi myös päätyä ohjelmiston myynnin kautta myöhemmin tahoille, jotka sitten tarjoavat haittaohjelman ilmaisena päivityksenä. Viimeisen noin 10v ajanjaksolla haittaohjelmistojen levittäjät ovat keksineet, että kätevä keino päästä käyttäjien laitteisiin on ostaa ohjelmistoja joilla on jo käyttäjiä ja kehittäjällä ei niin enää suuria näkymiä rahan tekemiseen jatkossa muuten kuin ohjelmiston myymisellä toiselle yritykselle.

Markus kirjoitti...

Nimetön, joka puhuit nordean tunnuslukulaitteesta hyvin syvällisesti.

"Toki avuksi tarvittaisiin muutakin joko asiakasnumeroa tai HETU:a, mutta vain siihen mihin sitä alun perin on tarkoitettukin, eli erottamaan kahta nimikaimoja toisistaan. Siis ainoastaan yksilöimään henkilöä, eikä tunnistamaan mikä on selkeästi sen väärinkäyttöä."

Itse olen ihmetellyt koko HETU-keskustelussa kaiken pyörimistä nimenomaan hetu:n ympärillä. Puhutaan hetun muuttamisesta. Mutta itse asiassa HETU:han ei liity sähköiseen asiointiin mitenkään. Meillä ON JO se peräänkuuluttamasi "asiakastunnus". Sillä on toinen nimi ja koko nykyinenkin sähköinen tunnistautuminen perustuu siihen. Se on SATU. "Sähköinen asiointitunnus". Jokaisella jonkin vahvan sähköisen tunnistaumistavan ottaneella ON JO henkilökohtainen erottelunumero HETU:n lisäksi. Eli jos olet ottanut jossain elämäsi vaiheessa sähköisen henkilökortin sirulla, mobiilivarmenteen tai verkkopankkitunnukset, sinulle on jo silloin annettu tämä tunnusnumero. Se löytyy ihan kun tutkit omia tietojasi väestötietojärjestelmän sivuilla.

Siksi se suuri kysymys kuuluukin, miksi me mitään uutta keksittäisiin sähköisen asioinnin turvaamiseksi. Eihän meidän tarvitse mitään muuta tehdä kuin oikeusprosessiin lisätä etäluottosopimuksiin vaatimuksen "SATU:n" todentamisesta. Eli että sinun SATU on yhdistetty sähköisen identifioinnin kertaluonteiseen asiointikoodiin. Silloin se todistaa että sinä olet käyttänyt jotain sähköistä tunnistamistapaa ja silloin se suurella todennäköisyydellä todistaa että sinä olet kaupan osapuoli (paitsi jos ne "asetta ohimolla pitävät myssymiehet" ovat jotenkin pääseet käsiksi asioihin, joka on taas harvinainen ja erillinen rikos). Eihän meidän tarvitse rakentaa yhtään mitään uutta. Meidän pitää vain muuttaa lainsäädäntö tuollaiseksi. Oikeusprosessi ja perintäprosessi etäkauppaan liittyen ei ole käytettävissä, jos ei ole tuota tunnistuskoodia käräjähakemuksessa antaa. Teknisesti asia on jo olemassa! Se vain pitää ottaa tehokkaasti käyttöön!

HETU:n vaihtaminen sinälläään on ihan erillinen asia. Siinä on muitakin ongelmia kuin se, että se kelpaa nykyisin jonkinlaisen "puhuttuna koodina" avamaan jos joitakin lukkoja. Kuten tekemään luottoa ja kauppaa toisen nimillä. Henkilötunnuksessa oikeana ongelmana on se iän selviäminen siitä samoin kuin sukupuolenkin. Samoin numeroavaruuden riittävyys on ongelma. Jos nyt aletaan hetu:ja vaihtamaan kevyemmällä periaatteella, ei ne ihmisten syntymäajat siinä vaihdu vaan vain se loppuosa joka on hyvin rajallinen. Saman ongelman on aiheuttanut jälkikäteinen maahanmuutto. Samoin maahanmuuttajilla ei välttämättä ole tarkkaa tietoa oikeasta syntymäajastaan jolloin se alkuosakin muuttuu joillakuilla ihmisillä epäluotettavaksi. Se on vain arvaus. Vaikka järjestelmää perustettaessa sen piti olla aina absoluuttinen varma tieto. Mutta kun ulkomailla ei välttämättä olla niin varmoja siitä tarkasta syntymäpäivästä.

Mutta tämä on erillinen asia. Ensin pitää lopettaa hetun käyttö luottoasioissa. Sen sijaan pitää käyttää sitä SATU:a. Pakottaa käyttämään. Kun se on jo olemassa, se vain pitää ottaa käyttöön nyt.

Markus kirjoitti...

On vielä yksi tunnus lisäksi, joka seuraa elämäsi ajan.

Y-tunnus. Jos olet koskaan elämäsi aikana perustanut toiminimiyrityksen, sinun henkilöösi lisätään tässä vaiheessa y-tunnus joka seuraa koko lopun elämäsi samana muuttumattomana.

Se on verottajan sivuilla aina, vaikka toiminta olisi lakannut aikoja sitten.

Voit aina perustaa uuden toiminimiyrityksen mutta tunnus pysyy samana, kun sen kerran olet saanut.

Eli y-tunnus ei oikeastaan ole mikään yritystunnus vaan sekin on SATU:n ja HETU:n lisäksi myös henkilökohtainen lisähenkilötunnus jota käytät "yrityksesi" (joka olet siis sinä itse) toiminimen tapauksessa asioiden hoitoon.

Eli onhan meillä näitä tunnuksia. Niillä on mekanismeja, jotka on toiminut jo vuosia. Siksi onkin outoa miksi tämän asian hoitaminen nyt on niin kallista ja hankalaa (olevinaan).

Anonyymi kirjoitti...

@Markus

SATU:n käytössä on ihan samat ongelmat kun HETU:nkin, poislukien että siitä ei saa selville sukupuolta ja syntymäaikaa.

No parannus se olisi toki sekin tietosuojaan, mutta ei se poista sitä ongelmaa että SATU on aivan samalla tavalla vain yksilöintiin tarkoitettu kun HETU, eikä sitä pidä alkaa käyttämään ihmisten tunnistamiseen. Siinä jouduttaisiin vain ns. ojasta allikkoon.

HETU ja SATU kelpaavat vain yksilöimään ja varmistamaan, ettei ns. nimikaimoja sekoiteta toisiinsa.

Tunnistaminen on aivan erillinen ongelma yksilöinnistä -- nykyiset ongelmat juontavat juuri siitä, että nämä käsitteet ovat menneet sekaisin ja on tehty systeemitason virheitä perustuen tähän virheeseen.

Vahvaan tunnistamiseen tarvitaan yhtä aikaa mitkä tahansa kaksi seuraavasta kolmesta:

- jotain mitä tiedät (kuten tunnus ja salasana jonka ei pitäisi olla muiden tiedossa)
- jotain mitä sinulla on (toimikortti tai vastaava 'token' ja jota ei voi kloonata)
- jotain mitä olet (sormenjälki tai muu yksilöivä biotunniste)

SATU ei kelpaa tähän sen enempää kun HETU:kaan, ne eivät täytä edellisiä ehtoja pelkän nimen lisäksi.

Suomi.fi tarjoaa julkishallinnolle tunnistautumista, mutta se on kankea ottaa käyttöön (tiedän koska olen työssä tekemisissä asian kanssa).

Suomi.fi tunnistuksen käyttöönoton kynnys on selvästi aivan liian korkea useimmille PKT yrityksille, isommilta se onnistuu kun on hyvin osaava oma IT-osasto joka kykenee myös ohjelmointiin tai vaihtoehtoisesti ymmärrystä ja resursseja käyttää konsultina asiantunttevia yrityksiä, jotka tekevät muutokset ja ohjaavat projektia.

Pankkitunnistus on muuten OK, mutta eri pankkien käytännöt ovat keskenään hyvin erilaisia ja juuri kun luulee saaneensa ne hyvin käyttöön, joku pankki tai väkisinkin käytettävä välittäjä muuttaa järjestelmäänsä ja siitä seuraa lähes jatkuvaa säätämistä, johon ei kaikkien osaaminen ja resurssit tahdo riittää. Tämä on nähty jo 15v ajan kun näitä on käytetty, eikä se siitä tule nähtävästi lähiaikoina muuttumaan.

Anonyymi kirjoitti...

...jatko

Tarvitsisimme helpommin käyttöön otettavan ja enemmän yhdenmukaisen tunnistusjärjestelmän. Suomi.fi olisi hyvä paikka toteuttaa se, mutta kynnyksen käyttöönotolle pitäisi olla alempi sekä palvelun niin vakaa ettei sitä käyttävän tarvitse säätää käyttöönoton jälkeen monta kertaa vuodessa ja käyttökustannuksen per tunnistus pitäisi olla myös edullista.

Edellä esitetty TOTP ts. Aikaan perustuva (yleensä, voi olla pidempikin) 30s välein vaihtuva kertakäyttöinen salasana (OTP ts. One Time Password) voisi tehdä palvelun kuten edellä on esitetty.

Se olisi hyvin riittävä ja helpohkosti käyttöön otettava ja sopisi varsin hyvin vähemmän kun ensitunnistamiseen, viranomaistarkoituksiin, terveydenhuoltoon ja pankkiasiontiin riittävä tapa tunnistaa varsin luotettavasti. Pankit, viranomainen (julkishallinto) ja muu terveydenhuolto tarvitsevat järeämpää ja sellaiset on jo olemassa (Suomi.fi, Pankkien nykyiset järjestelmät, toimikortit ja mobiilivarmenteet).

Mutta pelkästään edellisten saanti vahvan tunnistamisen piiriin eri riitä, tarvitsemme jotain mitä voidaan käyttää kaikissa verkossa tarvittavassa tunnistamisessa, jossa tehdään pieniä ostoksia, otetaan tilauksia ja toimeksiantoja.

Siis perusidea TOTP käytössä olisi se, että asioidessaan jossain missä tarvitaan tunnistusta annat nimesi ja vaikka sen SATU:n, näin sinut voidaan yksilöidä eikä erehdyksessä kaimasi kenen kanssa asioidaan, nyt sitten vielä kysytään että anna TOTP-haaste.

Siis: Nimi, SATU ja TOTP -niillä ratkeaisi edullisesti, varsin helposti useimmat vahvemman tunnistuksen tarpeet useimpiin tarpeisiin.

Käytännössä käyttö menisi näin:

Avaat kännykkäsi sovelluksen tai tietokoneohjelman joka toteuttaa TOTP-käytäntöä. Katsot siitä että jaha, tämä paikka haluaa tunnistaa sinut Suomi.fi -palvelun TOTP-tunnisteella. Klikkaat sen auki ja leikkaat/liimaat kuusi numeroa siitä ja laitat verkkolomakkeelle tai sitten jos asioit puhelimella luet asiakaspalvelijalle (jatkossa robotille heh) numerot ja sinut on tunnistettu.

Anonyymi kirjoitti...

... jatko

Ennen kun voitaisiin toimia näin tarvitsisi tehdä seuraavat asiat:

1) Palveluntuottaja tekee palveluun mahdollisuuden rekisteröidä käyttäjätilin oheen TOTP palvelun käytön. Tästä oli jo yllä puhetta, se ei ole kovin vaikeaa tehdä, ilmaisia ja vapaita kirjastoja ja esimerkkejä on varsin hyvin olemassa.

- voit jo nyt käyttää sitä monissa palveluissa kuten Google -tili, Amazon, eBay ja Paypal, se on heidän nykysin suosittelemansa tunnistustapa.
- asenna esim. joko Google Authenticator, jos käytät Androidia tai muuten vaikkapa iPhone/iPad FreeOTP tms. TOTP:ia tukeva asiakasohjelma, sen jälkeen käyt lisäämässä tämän tunnistusmenetelmän kyseisten palveluden sivustolla kirjautuneena käyttäjänä.

- muista tallettaa johonkin turvalliseen ja varmaan paikkaan se 32 merkin merkkijono muuallekin, siltä varalta että laite tai ohjelma johon sen asensit ei enää toimisi, puhelin särkyy/hukkuu tai muuta vastaavaa. Merkkijonon avulla voit lisätä toisen laitteen joka toimii aiemman sijasta.

Tai vaihtoehtoisesti

2) Palveluntuottaja käyttää jonkun toisen tunnistuspalvelua, eikä toteuta sitä itse.

Se toki edellyttää, että tunnettu tunnistuspalveluntuottaja, kuten Suomi.fi lisää vastaavan toiminnon mitä tuossa 1) ensimmäisessä vaihtoehdossa ja sen lisäksi avaa käyttäjiksi rekisteröityneille tunnistuspalvelun käyttäjille HTTPS:n yli esim. REST-apin, josta 1) kohdan toisen vaihtoehdon palveluntarjoaja käyttää sitä oman tietojärjestelmänsä kautta.

Asiakas käy rekisteröimässä Suomi.fi palveluun tilillensä TOTP-sovelluksen ja käytännössä usein miten skannaa QR-koodin sivulta tai leikkaa/liimaa 32 merkkiä pitkän merkkijonon, sekä testaa sitä samalla siellä, että se toimii.

Sitten asiakkaan asioidenssa palvelussa käyttäjältä pyydetään "Anna Suomi.fi rekisterimäsi ohjelmiston TOTP näyttämä tunniste". Kun käyttäjä on sen syöttänyt, niin palveluntuottaja kysyy taustalla salatun yhteyden yli sitä Suomi.fi rajapinnan kautta ja vertaa että tunniste on sama. Samoin palvelu antaa HMAC-tiivisteen aikaleimaan ja TOTP:tunnisteesta, jota voidaan myöhemmin vaatia todisteeksi, että asiakas on tunnistettu aidosti palvelusta eikä palveluntuottaja voi huijata että muka on tehdnyt tunnistuksen. Asiakkaan kuittiin sitten vielä nämä tiedot näkyviin "Asiakas tunnistettu Suomi.fi TOTP-palvelussa" och visst samma också på svenska.

Jälkimmäisessä vaihtoehdossa olisi selviä etuja:

1) Sen myötä TOTP:n käyttöönotto palveluntarjoaja on varsin triviaali tehdä

2) Asiakkaan ei tarvitsisi jokaiselle tilille joka paikassa jotka haluaa käyttää TOTP:ia käydä tekemässä ja pelkästään rasti ruutuun tilillä, että käytän tuon palveluntuottajan tunnistusta.

3) Tunnistus olisi luotettavasti todennettavissa eikä ole kiistettävissä (nonrepudiation firm).

Markus kirjoitti...

Nimetön.

Ei SATU:n käytössä ole ollenkaan niitä ongelmia joita hetu:n käytössä on.

SATU:a kun harva edes tietää, harva pystyy vertailemaan, kun ei saa sitä näkyville missään muualla.

Sehän on vain tietokoneiden keskenään keskustelema numerosarja. Sitä ei voi käyttää samalla tavoin kuin hetu:a puhelimessa puhumalla tai nettilomakkeeseen kirjoittamalla (niinkuin sen hetu:n voi). Harva edes tietää koko SATU:n olemassaolosta. Harva myös tietää mikä se numerosarja on. Näin se turvallisuus on eri tasolla.

SATU on myös kolmannen osapuolen hallussa aina. Eli siis sen identifointiasian tekee kolmas taho (tupas/operaattorit/pankit). Näin ollen on jokin kolmas taho, jolta aina voi kysyä, onko tämä validi tapahtuma. Se tapahtuma on arkistoitu muualla, riippumattomalla taholla. Eikä itse tapahtumaan osallistujilla. Tämä on tärkeää mahdollisessa oikeudenkäynnissä. On yksi todistaja lisää. Samoin tietysti vastapuolen väite on huteralla pohjalla, kun vastapuolikin tietää asiassa olevan täysin riippumattoman kolmannen osapuolen, jolta asia voidaan tarkistaa.

Tässä on siis todella paljon eroja henkilötunnukseen. Tosin SATU on juuri se miten sitä henkilötunnustakin pitäisi käyttää. Periaatteessa vain erotteleva numerosarja. Mutta se on olemassa. Tietojärjestelmät on jo rakennettu. Mekanismi toimii ja on toiminut jo vuosikymmenen päälle. Ei se voi olla kallista, jos tältä pohjalta vielä vähän kehitellään.

Markus kirjoitti...

Tässä kuviossa ongelma ei siis ole HETU itsessään. HETU:kin on vain oikeastaan random erotteleva numerosarja.

Ongelma tässä kuviossa on, että Suomessa on sopimusvapaus. Se on juridinen asia.

Käytännössä tämä näkyy niin, että "kauppa" tai "luotottava taho" bisneksen sujuvuuden ja rahansäästön nimissä on tehnyt "tapahtumasta helppoa ja nopeaa". Täten tulee tilanne, jossa he sallivat tahallaan hetun käytön sopimuksen tekemiseksi.

Kuitenkaan he eivät tarkista mitenkään kuuluuko HETU sille kuka "toisessa päässä" väitetään olevan.

Sopimuksessa tässä tilanteessa on kuitenkin aina kaksi tahoa. On se kuka on asiat näppäimistöllä kirjoittanut ja sitten on tämä bisnestä tekevä taho.

Kun tulee tilanne, jossa näppäimistöä napsutteleva "asiakas" taho väittää olevansa joku kolmas henkilö kun se kauppatapahtuma on helppoa ja hauskaa, tai sitten se on tekemässä suoran varkauden. Haluaa tavaran itselleen mutta ei maksaa sitä. Tai ilkivaltaisesti aiheuttaakseen hankaluuksia kolmannelle taholle tulee ongelma.

Kolmas taho ei missään tilanteessa ole sopijaosapuoli. Kolmas taho joutuu osalliseksi asiaan, jossa ei ole osapuolena. Suurin paine ja hankaluus kuitenkin tulee tälle osapuolelle. Se no yksinkertaisesti väärin!

On neljäs taho. Ulosottoviranomaiset, käräjäoikeudet ja perintätoimistot.

Kun taho 1 ei saa maksua, taho 3 ei saa välttämättä tuotetta tai ei ainakaan halua. Taho 1 vetäytyy täysin vastuusta. Kaikki ongelmat nakitetaan sille viattomalle taholle joka siis ei ole sopimuksen osapuoli. Ongelma tulee, kun myyjä ei usko sitä. He eivät halua nähdä omassa prosessissaan sitä vikaa, koska sen korjaaminen romuttaisi sen koko prosessin. Se maksaisi ja siitä tulisi yksi välivaihe lisää kauppatapahtumaan. Mielummin simputettaisiin.

Täten uhri on puun ja kuoren välissä. On myyjä joka väittää, että sopimus on, ja on uhri joka väittää, että sopimusta ei ole. Myyjä uhkailee pistävänsä asian eteenpäin perintätoimeen jos uhri ei tee hirveästi asioita selvitelläkseen asiaa. Siis uhri edelleenkään ei ole mikään sopimuksen osapuoli, joten periaatteessa uhrin ei tarvitsisi liikauttaa karvaakaan. Mutta se perintäprosessi on erittäin tehokas ja nopea. Jos uhri tekisi siten kuin olisi täysi oikeus tehdä ulkopuolisena osapuolena, eli ei tee mitään. Perintäprosessi etenisi. Myyjän ei tarvitse tehdä mitään muuta kuin uhkailla.

Siksi ainoa keino, miten ongelmat voidaan välttää on tehdä uhrin asemasta juuri se mikä se on. Ei mitään. Se ei ole osapuoli. Kun uhri ei ole osapuoli, on oikeus ja kohtuus, että jommallakummalla oikealla osapuolella on se näyttövelvoite ennenkuin perintäprosessi voi alkaa. Se miten he asian toteuttaa, on aivan vain ja ainoastaan heidän päänsärkynsä. Siten ainoa looginen ratkaisu on poistaa se uhrin kurmotus, perintäprosessi siinä vaiheessa, jos oikeuteen asiaa vetävä tahoa ei pysty osoittamaan vastapuoltaan. Eihän viaton kolmas osapuoli kuulu oikeuteenkaan selvittelemään asiaa. Kauppatapahtuma on tapahtunut yksin omaan varkaan ja kaupan välillä. Kaupan tehtävä on vältellä varkauksia omilla suojautumiskeinoilla. Jos kauppa ei lukitse ovia, ei se siitä voi muita syyttää jos rikollinen vie tavarat. Silti se on rikos. Mutta ei kolmansien uhrien asia.

Juridinen asian hoito on todella halpaa. Muutetaan lakia ja muut sitten hoitavat asiansa. Tai jos eivät hoida, se on heidän päänsärkynsä. Mekanismit on jo olemassa.

Markus kirjoitti...

Kaikkein härskeintä koko kuviossa on, että uhri itsessään ei ole ainoa uhri.

Kauppojen ja luotottavien tahojen "klarnojen" välinpitämättömyys kuormittaa myös hirveällä tavalla veronmaksajien maksamia mekanismeja.

Eli he eivät vaivaudu hoitamaan asiaa kunnolla, koska se maksaa ja se hidastaa sen yhden pykälän verran kauppatapahtumaa. Mutta samalla he odottaa, että poliisi, käräjäoikeudet, perintätoimistot ja ulosottoviranomaiset sekä se kolmas uhri hoitaa kaiken likapyykin.

Koko kuvio on suoraan sanoen sairas. Kyllä kaupalle ja luottolaitoksillekin kuuluu selvittää kenen kanssa luottosopimuksia "kirjoittaa". Samat velvoitteet on pankeillakin "asiakas pitää tuntea". Klarnalla on varaa siihen. Se on ihan typerää nillitystä. Mutta ymmärrettävää bisnesajattelulla.

Kyllä asia pitää muuttaa niin, että kun kolmas osapuoli, joka ei siis ole osapuoli asiassa vain yksinkertaisesti ilmoittaa, että "minä en ole tässä tapahtumassa osapuoli". Vastuu asian jälkiselvittelystä siirtyy sille kuka sopimuksen on tehnyt. Totaalisesti. Mikään perintämekanismi ei ole käytettävissä ennen kuin se osapuoli on selvillä. Kun uhrikin tietää tämän, voi uhri olla turvallisin mielin siitä eteenpäin. "Minun nimeäni ei voi olla missään vahvan tunnistautumisen arkistossa, koska en ole sitä tunnistamista tehnyt". Ja tuo oli siis vaatimus sille, että asiaa voi periä.

Tämä on se mekanismi mikä pakottaa kaupat ja luotottavat tahot ottamaan tämän ymmärtääkseni nykyisin hyvin kohtuuhintaisen vahvan tunnistautumisen käyttöön.

Anonyymi kirjoitti...

@Markus

EI SATU tunnus ole vaikea löytää nimen perusteella, joten ei sitä voi salaisena pitää, päin vastoin kun se on saatavissa julkisesta hakemistosta LDAP-kyselyllä niin täysin julkista tietoa se on ja samat ongelmat sen käytöstä tulisivat kun HETU:nkin käytöstä.

HETU oli vielä hyvin yleisesti esillä monessa paikassa vielä reilu 15-20v sitten. Erilaisissa julkaistuissa listoissa kuten urheilutuloksissa, yliopistoilla ilmoitustauluilla kurssin läpäisseiden nimen yhteydessä, vakuutusyhtiöiden ja terveyspalveluiden laskuissa, kuitessa jne. HETU:n piilottelu alkoi vasta joskus noin 15v sitten kun alettiin paremmin yleisesti ymmärtää, että mitä kaikkea sen avulla voi toiselle kiusallaan tai itselleen toisen kustannuksella hankkia.

Digivirastolla on ohje, miten SATU-tunnus löytyy helposti. SATU on pelkkä juokseva numero, jonka perässä samalla algoritmilla kun HETU:ssa laskettu tarkistusmerkki. Kokeilin huvikseni, että kyllä toimii kuten on kuvattu, mm. blogin pitäjän nimen perusteella löytyy kaksi SATU-tunnusta, joten ainakin kaksi samannimistä on hakenut kansalaisvarmenteen sisältävää tunnistusvälinettä.

Ja HETU ei ole random numerosarja, koska siihen on sisällytetty tietoa henkilön ominaisuuksista. SATU ei myöskään ole random, koska sen ollessa juokseva numero on mahdollista päätellä hakemalla itse tunnistusväline ja päätellä siitä ylin arvo, jonka perusteella sitten joku voi(si) laskea niille kaikille tarkistusnumeron ja käydä niin hitaasti satunnaisessa järjestyksessä rekisteriä läpi, että se ei herätä DVV:n epäilyksiä. Se olisi ilmeisen laitonta toimintaa ja mikäli tietoja tallettaisi siitä syntyisi laiton henkilörekisteri, joten en missään nimessä kehota ketään sellaista tekemään, päin vastoin varotan tekemästä. Mutta toin asian esille, että näin voi joku todella tehdä ja sen vuoksi asia täytyy osata huomioida siinä miten SATU tunnusta aiottaisiin käyttää.

SATU kelpaa sen vuoksi pelkkään yksilöintiin, eikä sitä missään nimessä pidä alkaa käyttää tunnistamiseen, sen enempää kun HETU:akaan.

Anonyymi kirjoitti...

Henkilötietojen keräyksessä on ihmetyttänyt Gigantti. Kun käyn kivijalkaliikkeestä ostamassa jonkin vempaimen, myyjä haluaa minulta nimen, osoitteen, puhelinnumeron ja henkilötunnuksen, jotka se näppäilee koneeseen.
Liittyy todennnäköisesti takuuseen. Useimpiin muihin kauppoihin riittää pelkästään nimi.

Giganttihan on jäänyt jo kiinni näiden tietojen väärinkäytöstä, kun miesmyyjä otti somessa yhteyttä naisasiakkaaseen. Itsellä ei ole tätä pelkoa. Mutta ihmetyttää Gigantin tapa kerätä tällaista asiakasrekisteriä.

Anonyymi kirjoitti...

Nuo henkilötiedot ovat arvokasta tavaraa kun firma myydään. Uskoakseni viidenkymmenen euron kappalehinta per asiakas asiakastiedoista.

Petteri Järvinen kirjoitti...

Eli jos olet ottanut jossain elämäsi vaiheessa sähköisen henkilökortin sirulla, mobiilivarmenteen tai verkkopankkitunnukset, sinulle on jo silloin annettu tämä tunnusnumero

Verkkopankkitunnukset eivät tuota SATUa. Mobiilivarmenne tuottaa, samoin henkilökortin hakeminen.

Petteri Järvinen kirjoitti...

En ole lainauksesi kirjoittaja, mutta onko sinulla näyttöä väitteellesi "mobiililaitteet ovat turvallisempia kuin pöytäkoneet tai läppärit." vai onko se pelkkää mutua?

Turvallisuus on muutakin kuin CVE-listaus. Kuinka laajasti haavoittuvia Android-versioita on käytössä ja ennen kaikkea: miten niitä pystytään hyödyntämään? Kuinka monta tapausta tiedät, joissa älypuhelimen kautta on menty sisään suomalaiseen yritykseen tai sovellukseen?

Mobiilisovelluksissa voi olla piilotettuja tai kyseenalaisia toimintoja, mutta kun ei lataa epämääräisiä sovelluksia puhelimeensa, on hyvin turvassa. Sovelluskauppa, vaikka sen tarkistus olisi huonokin, on valtava parannus avoimeen ohjelmajakeluun verrattuna.

Petteri Järvinen kirjoitti...

Liittyy todennnäköisesti takuuseen. Useimpiin muihin kauppoihin riittää pelkästään nimi.

Liittyy markkinointiin, ei takuuseen. Kuitti ostoksesta riittää takuun osoittamiseen. Gigantti on aina ollut innokas keräämään asiakkaista tietoja, esim. https://www.is.fi/digitoday/tietoturva/art-2000006315183.html.

Anonyymi kirjoitti...

Gigantista olen aika paljon ostanut ja joka kerran myyjä kassalla vetoaa takuuseen kun kysyy henkilötietoja. Joka kerta olen sanonut että kuitti riittää. ja voi sitä nyrpeää ilmetta joka kerran.

Kuinka laillisuuden kanssa on? Eikä kassan pitäisi kertoa mihin tarkoitukseen tietoja todellisuudessa kerätään ja ainakin kertoa ettei tietoja ole pakko antaa ja varmaankin jotakin muuta?

Markus kirjoitti...

Okei. En tiennyt, ettei verkkopankkitunnukset tuota SATU:a. Tosin onhan se loogistakin. Itse muistan käyttäneeni SYP:n solo verkkopankkia jo modeemiyhteyksillä telesampon kautta taisi olla. Siten on loogista, että pankkien taustajärjestelmät on eri tavalla toteutettu, miten uudemmat. Tosin mikäänhän ei estä asiaa muuttamasta. Muu kuin se raha ja tahtotila.

Vastaan myös toiselle, joka sanoi että satu on yhtä turvallinen kuin hetu, tai turvaton.

Itse olen edelleen eri mieltä. Eihän sillä ole merkitystä vaikka numerot olisi lottonumeroita.

Kyse ei ole numeroiden muodostuksesta vaan siitä miten ja mihin niitä käytetään.

SATU on turvallisempi kuin HETU sen vuoksi, koska ihminen ei voi satua käyttää! Sitä käyttää vain tietokoneet ja sekin tapahtuu kolmannen osapuolen välityksellä.

Silloin ei ole merkitystä vaikka se numerosarja löytyisi googlella. Kun sitä ei voi käyttää.

Ainoa keino miten SATU:a käytetään on fyysiesti se "vahva tunnistautuminen". Eli silloin ainoa keino saada satu vastapuolen tietoon on tehdä se autentikointiprosessi sillä tavoin millä koskaan sen teetkään (verkkopankki/henkilökortti/mobiilivarmenne).

Kun kaikki tietää, että se asia on näin. Rikollisilla ei ole mitään kiinnostusta sitä numerosarjaa kohtaan. Miksi olisi, koska se on hyödytön? Sitä ei voi mihinkään käyttää, niin rikoksen tekemiseen tuhlattava energia on täysin turhaa ajanhukkaa.

Täten itse olen edelleen sitä mieltä, että HETU:n käyttö pitää lopettaa ihan kaikessa muussa kuin mihin se alunalkaen tarkoitettiinkin. Se on vain ja ainoastaan ihmisiä erotteleva numerosarjake. Taasen SATU:a aletaan käyttämään sillä metodilla, siihen tarkoitukseen johon se nyt jo on tehty. Eli ihmisten tunnistamiseen.

Täten se tarkoittaa sitä lainmuutosta, jolla asiaa kannustetaan. Jotta asiaa voisi koskaan käräjäoikeuteen viedä, asian viejän (asianomistajan totuusvelvollisuus rikosprosessissa) velvollisuus on toimittaa käräjäoikeudelle tarkka tieto vastapuolesta, ennen kuin voi vastapuolta mistään syyttää. Käräjäoikeuden ei tätä tarvitse tehdä eikä kuulu. Kyllä asianomistajan tehtävä on pitää huoli, että esittää rikossyytteensä oikeaa henkilöä kohtaan kun kerran oikeusprosessi asiassa on mukana. Kätevimmin ja halvimmin tämä hoituu siten, että henkilön tekemän prosessin on taltioinut kolmas osapuoli, jolta tämän tiedon sitten saa. Tunnistautumisen yhtydessä yleensä reaaliajassa mutta ainakin prosessi sinällään on kaikkien mielestä luotettava vahva tunnistautuminen.

Mikään ei ole täydellistä. Eihän tämäkään estä "väärällä henkilökortilla" tiskillä tunnistautumista. Mutta ainakin tämä on jo tarpeeksi hyvä. Absoluuttisen täydellistä on turha odotella. Sitä ei tapahdu koskaan. Eikä voi odottaa.

Markus kirjoitti...

Niin ja lisäksi vielä että autentikointiprosessissa "vastapuoli saa SATU:n tietoon" ei tarkoita sitä itse numerosarjaa, jolla vastapuolikaan ei tee mitään.

Se tieto jonka vastapuoli saa, on kuittaus, onko se vahva tunnistautuminen onnistunut vai eikö ole. Sen kuittauksen antaa tunnistautumismekanismi. Numerosarjat ja tietotekninen menetelmä asiassa on täysin epäolennainen kunhan niin lainsäädäntö kuin käyttäjätkin ajattelevat asian nk. "vahvan luotettavan tunnistautumisen metodina". Metodi ja käytänteet elävät ajan mukana. Eli muuttuvat silloin tällöin.

Petteri Järvinen kirjoitti...

SATU on turvallisempi kuin HETU sen vuoksi, koska ihminen ei voi satua käyttää!

Täten itse olen edelleen sitä mieltä, että HETU:n käyttö pitää lopettaa ihan kaikessa muussa kuin mihin se alunalkaen tarkoitettiinkin. Se on vain ja ainoastaan ihmisiä erotteleva numerosarjake. Taasen SATU:a aletaan käyttämään sillä metodilla, siihen tarkoitukseen johon se nyt jo on tehty. Eli ihmisten tunnistamiseen.

Meneeköhän tässä nyt käsitteet sekaisin?

HETU ja SATU ovat samanlaisia yksilöiviä numerosarjoja. SATU voitaisiin ottaa käyttöön HETUn sijaan, jos koetaan syntymäajan/sukupuolen näkymisen olevan ongelma. Se tietenkin edellyttäisi suuria muutoksia tietojärjestelmiin, koska ihmisiä ei ole SATUn perusteella eikä kaikilla ole vielä (näkyvää) SATUa.

SATUa ei silti käytetä ihmisten tunnistamiseen, mobiilivarmennetta voidaan käyttää (SATU on ikään kuin varmenteen sarjanumero). Mobiilivarmenne lähettää nettipalveluun SATUn, pankkitunnukset HETUn. Yksilöinti ja tunnistaminen (a.k.a todentaminen) ovat eri asioita.

Anonyymi kirjoitti...

Pitkien selitysten jälkeen olen huomioinut seuraavaa:

1. Nordea kaiketi turvallinen, koska tunnusluvut eivät paperilla.
2. Ehkä pankkiasioitaan ei kannata pelkän kännykän varaan laittaa.
3. Gigantissa kysellään turhaan henkilötietoja takuuseen vedoten.

Mitäpä muuta?

Anonyymi kirjoitti...

Minusta tärkeintä on tehdä osoitteenluovutuskiellot julkisiin rekistereihin.

Verkkopankin käyttäjätunnus pitäisi kirjoittaa joka kerta muistista, eikä tallettaa sitä selaimen muistiin tai muuallekaan. Alkuperäinen käyttäjätunnus säilöttynä turvalliseen paikkaan esim. tallelokeroon tai kassakaappiin.

Salasanat tulisi tehdä generaattorilla eikä keksiä niitä itse.

Minulla on läppärin kryptauksessa 64-bittinen salasana (6 satunnaista sanaa). Sen pystyy suhteellisen helposti kirjoittamaan.

Spaced repetition -menetelmällä voi opetella salasanoja ulkoa.

Luottokiellon lisäksi voi tilata palvelun, joka ilmoittaa luottotietokyselyistä heti sähköpostiin.

Jos lähettää kuvan henkilöllisyystodistuksesta esim. ulkomaiselle pankille tms., niin siihen voi usein lisätä vesileiman tyyppisen merkinnän kuvankäsittelyohjelmalla, josta näkee että se on tarkoitettu vain tämän yhden firman käyttöön.

Markus kirjoitti...

Tottakai siinä voisi käyttää henkilöiden eriyttämistietona sitä nykyistä HETU:akin.

Mutta siinä oli ne muut ongelmat.

Siten SATU-keskustelu alkoi ajatellen, ettei tarvitse luoda enää hirveästi mitään uutta, jota ei jo olisi. Vaan ottaisi tehokäyttöön sen mitä jo on. SATU:n pikkuhiljaa HETU:n tilalle. Vaihtaa vaikka sen nimen sitten joskus HETU:ksi. Runkojärjestelmä kuitenkin on jo olemassa.

Teknisestihän kyse ei ollut numerosarjasta ollenkaan vaan siitä, että varmistutaan henkilön olevan se kuka väittääkin. Eli kuittaamisesta. Kolmannen osapuolen "operaattori" pitää kirjaa kirjautumisista, arkistoi ne "tilisiirtojen tapaan" jonkinlaisella arkistointitunnuksella ja tätä pitää käyttää luottosopimusta tehdessä aina, jos ei ole F2F jutuista kyse, jolloin käytetään sitä henkilötodistusta.

Käytännössä asiakkaalle päin tämä näkyy yksinkertaisuudessaan siten, ettei tapahtuma nettisivulla tai puhelimessa yksinkertaisesti etene, ennenkuin asia on "kuitattu". Niin kuin asia on pankkien kanssa jo tänä päivänäkin. Tai vastuullisten yritysten, kuten esimerkiksi mobiilioperaattorien tilauksia tehdessä. Ennenkuin luuria/sim-korttia lähetetään, pitää tehdä tämä vahva tunnistautuminen.

Juridisesti asia näkyy niin, ettei mitään tarvitse oikeastaan edes todistella. Asian ollessa peruskäytäntö, voi aina vedota siihen, että tunnistuksen on ollut pakko tapahtua, koska järjestelmä ei yksinkertaisesti olisi päästänyt prosessia eteenpäin ilman sitä. Jos asiaa ei ole osoittaa käräjäoikeuteen, ei keissiä sinne voi viedä. Mutta se, että asia on jo järjestelmän yleinen käytäntö riittäisi käräjäoikeudelle. Eli tarkoittaa, että tilausta ei ole tehty sillä nykyisellä ongelmallisella metodilla vain kirjoittamalla hetu johonkin formiin.

Tarkemmissa selvitystöissä voi kyseeseen tulla niitä arkistotunnuksia yms, mutta perustaltaan niitäkään ei tavallisessa arkikäytössä mihinkään tarvita. Vain, jos kyseessä on rikostutkinta verkkopankkitunnusten/henkilöllisyyden väärinkäyttötapauksessa. Eli se niin sanottu "aito keissi".

Näin tavoite on toteutunut. Oli HETU missä muodossa tahansa, nykyisessä tai tulevassa, se vain pitää eriyttää taas siihen mitä se on aina ollut. Henkilöt erottelevaksi sarjaksi. Silloin ei ole väliä vaikka se olisi julkinen. Tosin nykyisessä on ne muut ongelmat kuten iän selviäminen jne.

Anonyymi kirjoitti...

Kiitos toiselle ja toiselle nimettömälle. lyhyet ja ytimekkäät selvitykset ja jaksaa jopa lukea ne läpi. Tarpeellista tietoa.

Petteri Järvinen kirjoitti...

Jep, kannattaa kirjoittaa lyhyesti ja ytimekkäästi.

Anonyymi kirjoitti...

Turvallisuus on muutakin kuin CVE-listaus.

Älä nyt, ihanko todella? /s

Kenen alan ammattilaisen luulet oikeasti luulevan että se on vain sitä?

Kuinka laajasti haavoittuvia Android-versioita on käytössä ja ennen kaikkea: miten niitä pystytään hyödyntämään?

Näihin kysymyksiin vastattiin niissä linkatuissa jutuissa, jospa lukisit ne ajatuksella niin luulet vähemmän.

Kuinka monta tapausta tiedät, joissa älypuhelimen kautta on menty sisään suomalaiseen yritykseen tai sovellukseen?

Olen kuullut suomesta yksittäisiä tapauksia, yhden tiedän ja tunnen käyttäjän henkilökohtaisesti. Siinä noin viikon vanhalla paketista otetulla käytännössä täysin uudella hyvin yleisellä ja suositulla Android puhelimella, johon ei oltu lisätty mitään muuta kun käyttäjän tarvitsemat perusasiat eikä missään nimessä mitään 'pierusovelluksia' kävi muutama vuosi sitten lomalla välimeren eteläisen puolen valtiossa.

Puhelin alkoi perillä pian jo lentokentällä päälle kytkemisemisen jälkeen käyttäytyä niin omituisesti että se herätti käyttäjässä epäilyjä. Hotellilla käyttäjä ymmärsi, että puhelin tekee omin päin asioita joita sen ei pitäsi tehdä ja että se on murtauduttu tai siihen on muuten päässyt haittaohjelma. Hän sammutti ja heitti sen matkalaukkuun, loppu matka meni vaimon ei-Android puhelinta välillä lainaten. Suomessa puhelin päätyi ensin työnantajan paljon mobiililaitteiden ongelmia ratkaisevan ICT-ammattilaisen pöydälle ja ko. johtajalle annettiin uusi puhelin. Puhelinta tutkittiin sisäisesti jonkin ja siinä tultiin siihen tulokseen, että jotain siihen oli tullut mutta tarkemmiin mitä se oli ei tietääkseni selvinnyt. Puhelin päätyi mekaanisen rikkomisen jälkeen SER-jätteeseen.

Olettamus, että kaikista tietoturvaan liittyvistä ongelmista tai vahingoista voisit lukea iltapäivälehdistä on perin naiivi. Ei yritykset ja organisaatiot halua näistä itselleen julkisuutta, ne hyväksytään toteutuneina toiminnan riskeinä ja yritetään ottaa oppia, niin että vastaava ei enää toistuisi jatkossa.

Mobiilisovelluksissa voi olla piilotettuja tai kyseenalaisia toimintoja, mutta kun ei lataa epämääräisiä sovelluksia puhelimeensa, on hyvin turvassa. Sovelluskauppa, vaikka sen tarkistus olisi huonokin, on valtava parannus avoimeen ohjelmajakeluun verrattuna.

Ole hyvä ja lue "15. marraskuuta 2020 klo 10.31" jätetty kommentti, tarvittaessa useampaan kertaan ajatuksella. Sen jälkeen oletettavasti ymmärrät kuinka naiivi tuo edellinen kommentti on.

Minulla on siitä omakohtainen kokemus muutaman vuoden takaa. Aiemmin luotettava pienen kehittäjän ohjelma päätyi haittaojelman levittäjän omistukseen bulvaanin kautta ja jokin aika sen jälkeen ohjelman päivitys toi mukanaan haittaohjelman, jonka tosin heti onneksi havaitsin. Tämä ei ollut mobiilialustalla, mutta mitään sellaiselta ei Android Play -kauppa suojaa vaan se voi ja varmasti sitä myös tapahtuu siellä.

Anonyymi kirjoitti...

@Petteri

... (SATU on ikään kuin varmenteen sarjanumero).

Ei ei ole. SATU on henkilön sarjanumero + tarkistusmerkki.

Varmenteen sarjanumero vaihtuu joka kerta kun sinulle myönnetään uusi varmenne, aiemman erääntymisen vuoksi, varmenteen perumisen (revokointi - esim tunnisteen hukkaamisen tai varastamisen) vuoksi. SATU ei vaihdu vaikka vaihtaisit nimeä tai sukupuolta.

Sama henkilön sähökinen tunniste SATU seuraa aina kaikissa tunnisteissa vaikka muut tiedot vaihtuisivat, poikkeuksena todistajansuojelun järjestelyt ja sitä kautta uuden identiteetin myöntämine, silloin SATU vaihtuu kuten muutkin tiedot.

Petteri Järvinen kirjoitti...

Siinä noin viikon vanhalla paketista otetulla käytännössä täysin uudella hyvin yleisellä ja suositulla Android puhelimella, johon ei oltu lisätty mitään muuta kun käyttäjän tarvitsemat perusasiat eikä missään nimessä mitään 'pierusovelluksia' kävi muutama vuosi sitten lomalla välimeren eteläisen puolen valtiossa.

Kaverin puhelin alkoi Afrikan-matkalla käyttäytyä oudosti, emme pystyneet selvittämään mikä siinä oli joten laitoimme kierrätysjätteeseen. Ei vielä kovin vakuuttava osoitus Androidin turvattomuudesta.

Sovelluskauppa, vaikka sen tarkistus olisi huonokin, on valtava parannus avoimeen ohjelmajakeluun verrattuna.

Ole hyvä ja lue "15. marraskuuta 2020 klo 10.31" jätetty kommentti, tarvittaessa useampaan kertaan ajatuksella. Sen jälkeen oletettavasti ymmärrät kuinka naiivi tuo edellinen kommentti on.


Ajatukseni oli, että sovelluskauppa on valtava parannus siihen avoimeen jakeluun verrattuna, jota esim. Windowsissa voi tehdä - ladata netistä mitä vain omaan koneeseensa. Oletko tosiaan tästä eri mieltä?

Kaipaan suhteellisuudentajua. Kaikissa alustoissa on riskinsä: iPhonen käyttö maksoi ilmeisesti Jamal Khashoggille hänen henkensä. Mm. arabimaat käyttävät huipputason vakoiluohjelmia vastustajiensa vakoiluun.

Jos Android on reikäinen ja iPhone on reikäinen, Windowsista ja Macistä puhumattakaan, mitä alustaa sitten uskaltaa käyttää? Et sinäkään kirjoituskoneella näitä blogikommentteja kirjoittanut.

Alunperin kyse oli pankkiasoinnista, joita kommentoija ei halunnut hoitaa reikäisellä Androidilla. Käytkö itse pankin tiskillä, kun edes mobiililaitteisiin ei voi luottaa, vai miten hoidat homman?

Aivan varmasti kaikissa puhelimissa on haavoittuvuuksia.

Petteri Järvinen kirjoitti...

Ei ei ole. SATU on henkilön sarjanumero + tarkistusmerkki.

Totta. Tarkoitin sitä, ettei SATUa ole yksinään (ilman varmennetta), joten se ei suoranaisesti ole myöskään henkilön sarjanumero. (Tai ilmeisesti on, koska SATU annetaan jo vauvan syntyessä, mutta se viedään rekisteriin vasta varmenteen yhteydessä).

Anonyymi kirjoitti...

Jos Android on reikäinen ja iPhone on reikäinen, Windowsista ja Macistä puhumattakaan, mitä alustaa sitten uskaltaa käyttää? Et sinäkään kirjoituskoneella näitä blogikommentteja kirjoittanut.

Ei mitään yksittäistä alustaa. 2FA:t ja muut asiat pitää olla fyysisesti *erillisiä* myös alustatasolla.

Jos käytän verkkopankkia PC:llä (Win, Mac, Linux), voisin hyväksyä mobiilissa pyörivän TOTP-tekniikkaan perustuvan 2FA:n. En pankkien omia sovelluksia.

Jos käytän pankkia kännykällä (Android, IoS), varmentavana komponenttina ei saa olla se samassa kännykässä pyörivä toinen sovellus, vaan olkoon sit vaikka paperilistaus tai erillisdongle. Tai vaikka toinen, erillinen puhelin joka pyörittää sitä TOTP:ta.

Sama pätee muihinkin 2FA-juttuihin.

henris42 kirjoitti...

Hmm,
Jotenkin tulee mieleen että nyt keskustelijoilta unohtuu mm. autentikoinnin ja autorisoinnin ero.

Autentikointi: systeemi luotettavasti sanoo että sinä olet sinä. siinä se.

Autorisointi: systeemille kerrotaan tavalla tai toisella, mitä siellä olevia palveluita saat käyttää.

Normitilanteessa esim kuluttajalla nuo tehdään peräkkäin, mutta on vaikka kuinka paljon tilanteita missä nämä on ihan eri asiaa.

Jekku on että autentikointi, pitäisi tehdä jotenkin fundamentaalisesti, että palvelu tietää että sinä tosiaan olet sinä. Tämä todentaminen ei kuitenkaan anna sinällään mitään oikeuksia.

Tähän mennessä tätä perus aspektia ei olla saatu kovin hyvin toimimaan. On salasanoja ja muuta "scheissea" mitä ei ehkä ideaalimaailmassa tarvittaisi.

Myöskään kehitys ei ole vakuuttavaa. Ehkä tulevaisuus voisi olla ns. Self-Sovereign Identity, mutta jutenkin se on vaan liian vaikea ja mutkikas että se voisi lyödä läpi.



Anonyymi kirjoitti...

@Petteri

Ei vielä kovin vakuuttava osoitus Androidin turvattomuudesta.

Pidätkö sinä puhelinta, johon voi murtautua ns. drive-by break in tyyliin turvallisena?

Minä en pidä.

Tiedän, että kaveri joka sitä tutki tuntee Androidit varsin hyvin pitkältä ajalta, on asennellut vapaita versioita jne.

Ymmärrän hyvin sen, että on päätetty antaa olla ja siirtyä eteenpäin elämässä, hyväksyä tapahtunut, että se siitä. Koska ei ole aikaa ja henkilö resursseja haaskata ei-olennaiseen firman kannalta. Puhelimille sattuu isossa organisaatiossa melkoinen määrä havereita vuosittain ja harva organisaatio luottaa puhelinten kierrätyksen turvallisuuteen muuten kuin SER:n kautta, joten siksi se sinne päätyi.

Kaipaan suhteellisuudentajua. Kaikissa alustoissa on riskinsä: iPhonen käyttö maksoi ilmeisesti Jamal Khashoggille hänen henkensä. Mm. arabimaat käyttävät huipputason vakoiluohjelmia vastustajiensa vakoiluun.

Niin käyttävät, mutta ei hän kuollut iPhonen vuoksi koska brutaali hallinto ei kestänyt arvostelua ja päätti hankkiutua hänesä eroon. Jos muistan oikein, niin hän jätti iPhonen vaimolle ja piti itse vain Applen kellon mennessään suurlähetystöön Turkissa.

Ajatukseni oli, että sovelluskauppa on valtava parannus siihen avoimeen jakeluun verrattuna,

Sovelluskauppa voi olla, siis voi olla, valtava parannus aiempaan. Mutta ei se sitä ole jos sieltä hyväuskoiset vuosittain latailevat kymmniä tai satojatuhansia haittaohjelmien saastuttamia sovelluksia kuten Google Play kaupasta taphatuu. Lue ne aiemmat viestin linkit, siellä on näistä juttuja.

Google on poistanut satoja haittaohjelmia jo tänä vuonna Play storesta, mutta aploodien sijaan kannattaisi kysyä miksi ne ylipäätään ovat päässeet jakeluun?

Myös se, että ohjelmien myyminen kehittäjältä toiselle pitäisi olla tarkemin valvottua, niin että jo vuosia sitten käyttämäsi sovellukaupasta lataamasi ohjelma ei yht'äkkiä sisälläkin ilmaisen päivityksen jälkeen haittaohjelmaa.

Google ei tee muuta kun poistaa kaupasta ja pahoittelee tapahtunutta. Ihan niin kuin rahassa kylpevä firma ei muka voisi tehdä asialle enempää.

Siksi nykyinen Googlen Play sovelluskauppa ei siten ole kovin turvallinen ole.

Helpoksi se toki sovellusten lataamisen tekee, mutta puutteellinen ennakkotarkastus yhdistettynä latauksen helppouteen kääntyy helposti riskiksi, koska uteliaisuus ja ansoina asiallisten ohjelmien joukossa olevat haittaohjelmia sisältävät sovellukset voivat helposti osua varsin monen kohdalle.

Ei ole kaukaa haettua todeta, että Google Play store on ollut ajoittain haittaohjelmien super-tartuttaja - ajan termeillä ilmaisten..

Anonyymi kirjoitti...

... jatko

Applen toiminta on ollut pitkään aivan eri tasolla, niillä on tiukka ennakkotarkastus, jossa ajetaan sovelluksia ja testataan mitä ne tekee, he myös ajavat kaikki sovellukset läpi analyysistä joka tarkistaa, että ne eivät käytä mitään muita rajapintoja kun mitä on julkaistu sallittu käyttää.

Sovelluksen manifestissa on lueteltava kaikki rajapinnat ja oikeudet mitä sovellus tarvitsee, nämä myös tarkistetaan että muuta ei käytetä. Ja vasta sitten kun se menee läpi näistä teknisistä, sekä myös muista ns. ehdoista joita on laitettu mikä on sallittua sisältöä ja hyvän tavan mukaista (toki tästä on eriäviä mielipiteitä mikä on mitä ja mikä ei) sovellus pääsee jakeluun sovelluskauppaan.

Apple peruu myös jo käyttöoikeuksia haittaohjelmilta Gatekeeper ominaisuudella ja jo ladatut sovellukset eivät enää toimi jos niistä paljastuu haittaohjelmia tai ne ovat käyttöehtojen vastaisia.

Applen alustalta löytyy haavoittuvuuksia, mutta harvemmin itse sovelluskaupan ohjelmista koska seula on tarkka.

Käytkö itse pankin tiskillä, kun edes mobiililaitteisiin ei voi luottaa, vai miten hoidat homman?

En käytä mobiililaitetta pankkiasioinnissa enkä maksamisessa.

Tiskillä en ole käynyt 8 vuoteen, olen private banking asiakas ja asioin fyysisesti pankissa lähinnä sijoitusasioissa.

Asioin verkko-pankkissa vain samalla tavalla huolellisesti rakennetulla, tietoturvan huolellisesti säädetyllä ja ohjelmistoltaan minimiin karsitulla pienehköllä läppärillä, joita tavataan käyttää korkeaa tietoturvaa edellyttävien tietojärjestelmien ylläpidossa.

Luotan huomattavasti enemmän läppäriin ja alustaan, jossa voin itse monitoroida reaaliaikaisesti mitä koneessa tapahtuu asianmukaisilla välineillä, kun käyttäisin sokkona mobiililaitetta luottaen ettei siellä pyöri mitään epäolennaista tai haitallista.

Ja kuten edellä kirjoittanut Nimetön toteaa, paras tapa on pitää erillään -- ilmarako (Air Gapped) 2FA autentikointilaitteen ja sen laitteen välillä mihin 2FA haaste syötetään. Nordean tunnuslukulaite toteuttaa tämän hyvin.

Anonyymi kirjoitti...

Tiskillä en ole käynyt 8 vuoteen

Tai siis olen käynyt pankin tiskillä 8v sitten viimeksi maksamassa kauppasumman, jotta ei tarvinnut lähetellä enää tositteita postissa kun myyjä oli eri paikkakunnalta. Verkkopankkia olen käyttänyt siitä lähtien kun niitä on ollut aina Solosta asti.

Petteri Järvinen kirjoitti...

Ymmärrän hyvin sen, että on päätetty antaa olla ja siirtyä eteenpäin elämässä, hyväksyä tapahtunut, että se siitä. Koska ei ole aikaa ja henkilö resursseja haaskata ei-olennaiseen firman kannalta.

Jos joku tunkeutui firman työntekijän puhelimeen, pidän sen selvittämistä aika oleellisena - etenkin, jos kyseessä oli tuntematon haittaohjelma. Sama voi tapahtua uudelleen.

Google on poistanut satoja haittaohjelmia jo tänä vuonna Play storesta, mutta aploodien sijaan kannattaisi kysyä miksi ne ylipäätään ovat päässeet jakeluun?

Aukotonta suojaa on mahdoton rakentaa. "Sadat haittaohjelmat" ovat mitätön määrä kolmeen miljoonaan sovelluskaupassa julkaistuun ohjelmaan verrattuna. Äkkiseltään ei tule mieleen yhtään suomalaisten laajasti lataamaa haitallista ohjelmaa Google Play-kaupasta, ovat olleet lähinnä peli- ja utility-ohjelmia, joita kukaan järkevä käyttäjä ei muutenkaan luuriinsa asentaisi.

Riski on aina olemassa, kuten Applen hakkeroitu Xcode-ympäristö osoitti (2015). Haittaohjelmien lisäksi myös Applen laitteissa on ollut turvallisuuden vaarantavia bugeja.

Tiskillä en ole käynyt 8 vuoteen, olen private banking asiakas ja asioin fyysisesti pankissa lähinnä sijoitusasioissa.

Miljonääreillä on miljonäärien murheet, ja syytäkin suojata tilinsä tavallista kansalaista paremmin.

Ja vaikka itse tekisi kaiken oikein, pankin työntekijät ovat silti uhkana (Nordean tapaus tänä syksynä).

Anonyymi kirjoitti...

Minä en ole käyttänyt mobiilipankkia, ainoastaan tunnuslukusovellusta + tietokonetta. Käyttäjätunnus ja pin-koodi annetaan eri laitteilla. Aika epätodennäköistä, että molemmat laitteet saataisiin hakkeroitua.

Jos mobiililaitteisiin tehdään joku onnistunut hyökkäys, se kohdistuu todennäköisesti niihin, jotka käyttävät mobiilipankkia ja syöttävät käyttäjätunnuksen ja pin-koodin samalla laitteella. Tässä tilanteessa pankki luultavasti estäisi koko verkkopankin toiminnan kunnes tilanteeseen on saatu ratkaisu.

Markus kirjoitti...

Applen turvallisuudessa suhteessa androidiin kyse ei ole pelkästä app storesta ja sen tarkistusprosesseista. Se on vain pieni osa kokonaisuutta, itse asiassa aika olematonkin.

Suurempi osa kokonaisuutta on suljettu ekosysteemi. Tarkoittaa siis tiukasti suljettua.

Apple tekee raudan ja softan. Yksi tärkeimmistä asioista. Raudanvalmistaja tuntee parhaiten rautansa. Apple siis teettää prosessoria myöden kaiken itse omien speksiensä mukaan.

Sekä vääntää softan asiaan.

Sekä päättää, miten rajapintoja saa käyttää. Ja ennenkaikkea MITÄ rajapintoja saa käyttää. Sehän ne rajapinnat on rakentanutkin.

Tarkoittaa. Mitä enemmän näitä rajapintoja annetaan vapaasti käyttää. Sitä turvattomampi ympäristöstä tulee. Applellahan on äärimmäisen tiukat kriteerit siihen syvempään laitteen käyttöön. Pankkiohjelmille on erikseen määritelty hieman vapaammat rajapinnat, kuin mille tahansa muille. Tosin nekään ei saa esimerkiksi NFC:tä käyttää ollenkaan. Näitä gold-standard oikeuksin varustettuja softan valmistajia on todella vähän. Taasen pintakerroksissa olevilla softanvalmistajilla ei ole käytettävissä läheskään niin hyviä rajapintoja. Applella itsellään on tietysti käytössä ihan kaikki mitä haluaa. Tästähän se narina kilpailunrajoittamisesta tulee.

On tietysti totta, että kaikessa on bugeja. Näiden bugien avulla hyvinkin turvalliseen järjestelmään voi aina turvautua. Mutta vastapuolella on vain se yksi talo! Joka saa korjattua sen bugin kaikkiin laitteisiin. Kun on se rautavalmistajakin samalla.

Googlen tapauksessa android puhelinmalleja on???? kuinka monta tuhatta olikaan? Entä kuinka monta kymmentä eri valmistajaa on niin nykyistä kuin mennyttäkin?

Näistä kaikki tietää tarkkaan mitä rautaa laitteessa on? Tai kaikki on tehnyt softansa applemaisella tarkkuudella.

Eihän google edes kontrolloi niitä rajapintoja kunnolla. Niitä saa käyttää lähes miten huvittaa.

Tästä kaikesta huolimatta android on silti parempi ympäristö kuin windows/PC konsanaan.

Mutta ei sillä asialla kyllä ole kovin paljoa tekoa play-kaupan kanssa.

Petteri Järvinen kirjoitti...

Näistä kaikki tietää tarkkaan mitä rautaa laitteessa on? Tai kaikki on tehnyt softansa applemaisella tarkkuudella.

Ja siitä huolimatta iOS:stä löytyy vakavia bugeja ja siihen tehdään vakoiluohjelmia.

Tästä kaikesta huolimatta android on silti parempi ympäristö kuin windows/PC konsanaan.
Mutta ei sillä asialla kyllä ole kovin paljoa tekoa play-kaupan kanssa.


Itse asiassa on. Et taida oivaltaa sovelluskaupan suurinta etua: käyttäjiä voidaan estää asentamasta nettisivulta tai sähköpostista tulevia haitta/huijausohjelmia.

Anonyymi kirjoitti...

Et taida oivaltaa sovelluskaupan suurinta etua: käyttäjiä voidaan estää asentamasta nettisivulta tai sähköpostista tulevia haitta/huijausohjelmia.

Ai voidaan vai? Androidissa sideloading on sallittua ja yleistä. Esimerkiksi Fortnite tarjoaa ladattavan APK-paketin (https://fortnite.en.uptodown.com/android) koska peliä ei ole play storeen voitu laittaa ansaintamallista johtuen (https://www.theverge.com/2020/8/13/21368079/fortnite-epic-android-banned-google-play-app-store-rule-violation).

Joten pelin haluava yleisö varmasti vääntää sideloadingin päälle kun annetaan tarpeeksi ystävälliset ohjeet ladata ja asentaa APK. Vaikkei ymmärtäisi puhelimesta ja playstoresta mitään.

"Hanki tästä Office ilmaiseksi!/Hanki tästä pornoa ilmaiseksi!/Hanki tästä hyvä peli ilmaiseksi!" ja se siitä.

Anonyymi kirjoitti...

Ko. kirjoitukseen liittymättä, halusin lähettää sinulle kiitoksen.

Elävän arkiston klippi jossa toteat tyttöjen tietokoneen käyttämättömyyden olevan ehdottomasti vahingollista tulevaisuutta ajatellen. Siis tämä on juuri sitä neutraaliutta ja vilpittömyyttä, jota toivoisin kaikilta löytyvän it-alalla ja tietokoneista kiinnostuneita naisia kohtaan!
Ei vähättelyä, ei ylikorostunutta "naisetkin voivat käyttää tietokonetta" asennetta, vaan neutraaliutta.

T. 2010-luvulla alalle opiskellut, jolle tämä lyhyt toteamus oli varmasti yksi mieleenpainuvimmista

Petteri Järvinen kirjoitti...

Ko. kirjoitukseen liittymättä, halusin lähettää sinulle kiitoksen.

Kiitos, tämä lämmitti kovasti mieltä.

Petteri Järvinen kirjoitti...

Ai voidaan vai? Androidissa sideloading on sallittua ja yleistä.

Sideloading ei ole oletuksena sallittua, mutta mahdollista se on - juuri sillä tavalla itsekin asensin aikoinaan Android Auton, jota ei Suomen sovelluskaupasta saanut.

Ohjelman asentaminen tätä kautta vaatii kuitenkin osaamista ja asetusten rukkaamista, eikä onnistu puolivahingossa, kuten haittaohjelmat tekevät vieläkin. Klikkaat yhtä linkkiä kalastelusivulla niin saat koneeseesi takaoven ja sen jälkeen kiristysohjelman. Tai avaat tiedostoliitteen ja kytket makrot päälle, jolloin se itse lataa haittaohjelman koneeseen.

Siitä puheenollen: Microsoftin sovellusten Android-versiot eivät aja makroja lainkaan, saati että niiden lataamat binäärit haittaohjelmat toimisivat puhelimissa. Jälleen valtava parannus aiempaan.

Itse neuvonkin avaamaan epäilyttävät tiedostoliitteet älypuhelimella, koska se on niin turvallista Maciin tai PC:hen verrattuna.

rikilm kirjoitti...

Palaan vielä aiheeseeni, eli tuohon keissiin

Perjantaina tuli Collector Paymensilta lasku SAMSUNG GALAXY A50 (2019) MUSTA 128 GT hintana 249€. Tilattu Power.fi verkkokaupasta. Annettu väärä puhelinnumero, sähköpostiosoite ja toimitusosoite

Lisäksi tuli netin kautta tilattu K-raudasta AKKUKONE MAKITA DLX5032T hintaan 1190€. Tuossa laskussa luki: "Voit ladata ostoksen maksamisesta tekemäsi kertaluottosopimuksen verkkopalvelusta osoitteesta bill.collectorpayments.fi."

Lisäksi 8.7.2020 Luotto- ja korttihakemus, myönnetty, 2000 eurolle. Siinäkin väärä puhelinnumero, sähköpostiosoite ja osoite...

Eli mitäpä tuo vahva tunnistus auttaa kun rikollinen on kepulikonstein saanut haltuunsa OP:n tunnukset ja kortilla olevat tunnusluvut.

Markus kirjoitti...

rikilm

Kyllä tuossa voi tehdä todella paljonkin, kun kyseessä on vahva tunnistautuminen. Ne op:n tunnukset ei ole kivitauluun kirjoitettuja vaan ihan pankkiin soittamalla kuoletettavissa ja siten niiden käytön voi estää. Itse asiassa se on jopa sinun velvollisuutesi. Muutoin vastuu kaupoista on sinulla, kun kerran tiedät niiden väärinkäytöstä.

Eihän se jo tehtyjä sopimuksia estä, mutta ne sitten voi käsitellä sitä myöten kun tulee.

Kuitenkin asialle saa pisteen ..... hankkimalla uudet tunnukset.

Eri asia on, jos kaupan ja luoton tekoon käytetään tunnuksia joita nyt tällä hetkellä ei kovin helpolla saa kuoletettua. Eli hetua. Silloin tuon kaltaiset asiat on olleet "ikuinen riesa".

Petteri Järvinen kirjoitti...

Miten rikollinen on saanut haltuunsa sinun OP-tunnuslukulistan?

rikilm kirjoitti...

On naapurini ja käynyt usein kylässä. Muutaman kerran olemme nauttineet alkoholia. Itse olen usein parvekkeella tupakalla tai voin käydä kellarissa tai vastaavaa. Sillä aikaa petollisen sielun on helppo tutkiskella paikkoja. Oli uskoakseni sen valokuvannut koska lista ei ollut kadonnut. OP:n kirjautumistunnuksista en tiedä mistä saanut, koska poliisi ei vielä ketään kuulustellut.

Anonyymi kirjoitti...


Eikös "epäilyttävät tiedostoliitteet", edelleen kannattaisi neuvoa jättää avaamatta kokonaan ja poistaa se viesti.

Mobiililaitteen kykyyn suojella ei kannata luottaa liikaa, vaikka pieni kielialue on suojellut meitä aiemmin, niin ennen pitkää nämä ongelmat myös leviää meille kuitenkin.

Tekniikkaa osaamattomallekin VirusTotal palvelu olisi helppo ja hyvä tapa tarkastaa epäilyttävät liitteet ja -linkit selaimella. Jos nyt on kerta kaikkiaan ainvan pakko avata se liite uteliaisuuden tai uskalluksen vuoksi suoraan poistamaan.

Petteri Järvinen kirjoitti...

On naapurini ja käynyt usein kylässä.

No, sitten ei kannata ihmetellä. Yhtä hyvin hän olisi voinut varastaa sinulta käteistä. Opetus on, että jos rikollinen pääsee fyysisesti käsiksi maksuvälineisiin, ei mikään turvatekniikka voi sitä pelastaa. Juuri siksi pankin sopimus velvoittaa säilyttämään tunnusluvut huolellisesti.

Nordea vaatii tunnuslukusovelluksen käyttämistä jokaisen todennuksen yhteydessä, myös verkkokaupasta tilattaessa.

Eikös "epäilyttävät tiedostoliitteet", edelleen kannattaisi neuvoa jättää avaamatta kokonaan ja poistaa se viesti.

Kannattaa, mutta se ei aina ole mahdollista. Liioin Virustotalista ei ole apua, koska haittaohjelma voi olla räätälöity juuri kohdeorganisaatiota vastaan.

rikilm kirjoitti...

Nyt en oikein ymmärrä kommenttiasi. Olit sitä mieltä aiemmin ettei tapaukseni olisi mahdollista toteuttaa Osuuspankin tiliä käyttämällä. Väitit että aina tulee aktista ilmoitus puhelimeen.
Väitin useita kertoja sinua vastaan näillä esimerkeilläni ja siksi näitä kirjoitin.

Itse en asiaa ole lainkaan ihmetellyt koska tiesin kertomani pitävän paikkaansa. Ja myös siksi esitin varoituksia ettei esimerkiksi Osuuspankin paperiset tunnusluvut ole turvallisia omaan esimerkkiini vedoten. Ja totesin että Nordea on turvallisin jos haluaa välttää vastaavia tapauksia.

Näitä vastaavia on muutama sata vuodessa. Lapset, vaimot, aviomiehet, sukulaiset ja ystävät näitä tekevät.

Petteri Järvinen kirjoitti...

Itselläni on tilit Nordeassa ja OP:ssa. Kokemuksesta tiedän, että OP lähettää tekstiviestillä haluamansa koodin järjestysnumeron, mutta sitä käytetään näköjään vain pankin omissa rahansiirroissa ja laskujen maksuissa. Todennukseen (ja siten lainasopimuksiin) riittää pelkkä kooditaulukko. Pitääkin selvittää, millainen käytäntö muilla pankeilla on. Kiitos tiedoista.

Eniten tällaisia huijauksia tapahtuu vanhuksille, joiden lapset tai lastenlapset kopioivat tunnuslukulistoja omaan käyttöönsä.

Anonyymi kirjoitti...

Liioin Virustotalista ei ole apua, koska haittaohjelma voi olla räätälöity juuri kohdeorganisaatiota vastaan.

Tuolla logiikalla esim. turvavyön käyttö ei hyödytä, koska se ei kaikissa tapauksissa suojaa vammoilta ja aina pelasta henkeä.

Ihanko oikeasti ajattelet näin mustavalkoisesti, että (tietoturva)kontrolllista on hyötyä vain jos se vaikuttavuus on 100%, muussa tapauksessa siitä ei ole hyötyä.

Entäpäs ne vähintään 99.9% jotka eivät koskaan tule olemaan spearphisiningin kohteena, eikö se heille vois olla hyödyllinen niiden massoittain levitettävien haittaohjelmien varalta tarkastamiseen?

Kyselit tuolla yllä mm. suhteellisuudentajua. Mahdatko muistaa soveltaa sitä joskus myös omalle kohdalle?

Petteri Järvinen kirjoitti...

Suhteellisuudentaju on aina hyvä muistaa. Nyt tartuit yhteen lauseeseen, joka oli irrallaan asiayhteydestä.

Yrityskäyttäjillä on yleensä virustarkistus sähköpostipalvelimella, joka nappaa 99 % tavallisista haittaohjelmista. Virustotal on ihan hyvä palvelu, mutta jos tämän seulan läpi pääsee, ohjelmaa ei luultavasti löydy sieltäkään. Lisäksi Windows 10:n oma tarkistin nappaa kiinni, kun haittaliitettä yrittää lähettää Virustotaliin ja se estää lähetyksen (pitäisi tallentaa ensin levylle ja lähettää selaimesta).

Tietenkin Virustotalia kannattaa käyttää, jos pystyy ja jos osaa tulkita sen tietoja oikein. Itsekin käytän. Aikoinaan tein jopa graafin siitä, miten nopeasti uusi haittaohjelma näkyi eri Virustotalin käyttämissä ohjelmissa. Valtaosa niistä päivittyi vuorokaudessa, muutama tuntematon aasialainen ohjelma vei sitten viikkoja.

Ei kuitenkaan pidä kuvitella, että jos Virustotalin ohjelmat eivät löydä mitään, liitetiedoston voi huoletta avata omalla työasemalla. Ei voi! Sen sijaan mobiililaitteella avaaminen on ainakin 99 % turvallista. Ja siitähän me alunperin väittelimme.

rikilm kirjoitti...

Pankin sopimus tunnuslukujen säilyttämisestä on mielenkiintoinen ja vasta oikeus ratkaisee mitä "huolellisuus tarkoittaa. Tässä eräs esimerkkitapaus.

Korkein Oikeus: https://korkeinoikeus.fi/fi/index/ennakkopaatokset/1540983137702.html

"A oli säilyttänyt maksukorttia lompakossaan ja siihen liittyvää tunnuslukua asianajotoimistossaan työpöydän laatikossa. Tunnusluku oli edelleen ollut pankilta tulleessa kirjeessä. Anastuksen tapahtuessa A oli jättänyt toimiston tyhjilleen ovea lukitsematta noin kymmenen minuutin ajaksi käydäkseen viemässä asiakirjoja ullakolla olevaan arkistoon. Tällöin hän oli jättänyt lompakkonsa työpöydän päälle."

KO ratkaisu jossa säilytettiin käräjäoikeuden päätös:

"Käräjäoikeus velvoitti A:n suorittamaan pankille 150 euroa korkoineen hyläten pankin vaatimuksen siitä, että A tuli velvoittaa korvaamaan pankille koko tämän saatavan perintäkuluineen."

Mielenkiintoista

Petteri Järvinen kirjoitti...

Jep, tätä rovaniemeläistä asianajajaa koskevaa päätöstä ihmeteltiin vuosi sitten. Aiemmassa tapauksessa KKO vaimo joutui maksamaan miehensä luvatta ottaman lainan, koska oli säilyttänyt tunnuksia huolimattomasti kotona paikassa, jonka mies tiesi.

Vastuu pankkitunnusten säilyttämisestä on ankara.

rikilm kirjoitti...

Linkkisi lopussa on:

"KKO:n mukaan huolellisena menettelynä voidaan yleensä pitää esimerkiksi sitä, että tunnistusvälinettä säilytetään lompakossa ja tunnuslukua kotona lipaston laatikossa."

Anonyymi kirjoitti...

Nyt Nordea vaatii asiakkailtaan esimerkiksi valokuvan itsestään ja henkilötodistuksesta.
Kuinka voimme olla varmoja ettei kuvaa luovuteta esimerkiksi viranomaisille tms?

Anonyymi kirjoitti...

Varmasti jaetaan viranomaisille pyynnöstä. Niillä on pian kattava kasvokuvakokoelma meistä ja valvonta helpottuu liikumme sitten missä tahansa.

henris42 kirjoitti...

Hmm, noin "alan ihmisenä" en kyllä lämpene tuolla ylempänä vouhkattuun TOPT tai laitteisiin.

Niistä joskus koitettiin tehdä liiketoimintaa, mutta maailma on jo isossa skaalassa ajanut noiden ohi. Olen suorastaan ällistynyt jos Nordea noita vermeitä vielä tarjoaa. Enterprise maailmassa ne on jo paljolti tiessään. Toki sielläkin on huonoja ja hyviä ratkaisuja - huonot on nimeomaan noi TOTP, hyvät käyttävät laitteen secure enclave toimintoja ja pohjautuvat digitaaliseen allekirjoitukseen.

Puhelin on siis aivan hyvä paikka säilyttää omaa digitaalista avainta - se on sormenjäljellä tms suojattu. Mobiilivarmenne on ihan ok ratkaisu. Riippuu toki puhelimesta kuinka _hyvin_ on suojattua - se olisi itse asiassa taas oikein hyvä uuden tutkimuksen paikka!

Applella on saatavilla vain Applen oma keystore - mikä on kai(!) ok. Android maailma on kirjavampi, siellä on Trusted Executive Environment toteutuksia monenlaisia. Mutta esim Samsung on NATO hyväksytty.



Markus kirjoitti...

Henris42

Nordea todennäköisesti tarjoaa tunnuslukukonetta lähinnä pakon vuoksi. Se on halpa tapa korvata paperilistat. Varsinkin nykyisin kun postikulut on ihan jäätäviä. Tunnuslukulaite lähetetään vain sen yhden kerran ja palvelee sen jälkeen useita vuosia. Mutta se on pakko tarjota, koska asiakassuhteessa asiakasta ei voi pakottaa ostamaan älypuhelinta. Se olisi aika huonoa bisnestä.

Nordea ei kuitenkaan lähetä tunnuslukukonetta kaikille! Nordea itsekin haluaa, että ensisijaisena tunnistustapana käytetään nimenomaan sitä älypuhelin-sellaista ja kannustaa siihen rajusti. Nordea kannustaa muutoinkin käyttämään älypuhelinalustaa kaikessa pankki-asioinnissa ja kannustus tapahtuu jopa rahallisella porkkanalla. Jos käytät _MOBIILI_palveluita, esimerkiksi asuntolaina-asiakkaalla ei ole mitään palvelumaksuja mistään. Jos et ole asuntolaina-asiakas palvelumaksu on reilusti alhaisempi (olisiko ollut 3,50 euroa) Käyttäessäsi mobiilipalveluita. Verkkopankin käyttöä tietokoneella ei lasketa. Saat käyttää myös tietokoneen verkkopankkia halutessasi. Mutta palvelumaksu-ilmaisuuden/alennuksen saadakseen pitää käyttää mobiilipankkia.

Eli kannustus mobiilin käyttöön on se ensisijainen. Kaikessa.

Kuitenkin tunnuslukukone kannattaa ottaa. Se ensimmäinen kone on ilmainen ja hyvä VARAKEINO päästä verkkopankkiin tilanteissa, joissa mobiili syystä tai toisesta ei ole käytössä. Kännykkä on vaikka hajonnut. Näin pystyt aktivoimaan mobiilipuolen ilman konttorissa käyntiä. Niitä konttoreita kun ei nykyisin ole mitään liikaa. Siksi kirjoitin, että "hyvän sään aikana" kannattaa se kone tilata.

Silti kuitenkin nordea suosittelee ensisijaisesti mobiilin tunnistuksen käyttöä.

Uskoisin että laitteessa on secure enclave. En ole varma. Ensimmäinen kone on ilmainen ja sen jälkeen uudet koneet maksaa kympin luokkaa. Ainakin applen tuotteissa on jo vuosia ollut T-siru (nykyisin A/M-prosessoriin sisäänrakennettuna). Eli applen luurien lukitus on suojattu luurissa paikallisesti secure enclavella. Samoin macbookit, ipadit jne.

Androidit ..... ei taida olla? Missään? En sano varmaksi?

Markus kirjoitti...

Tuo Secure Enclave iPhoneissa oli suurin syy miksi valitsin nimenomaan Applen leirin androidin sijaan.

Nykyisin tilanne voi olla eri. Viisi vuotta sitten nokia/microsoftin puhelindivisioonan luhistuessa kuitenkin "ekosysteemi"valinta piti tehdä ja tällöin juuri samaan aikaan applen suurimpia hehkuttamia asioita oli nimenomaan T1 siru. Secure Enclave. Joka turvaa sen aikaisen touchID:n, sekä koko puhelinlaitteen sisäisen salauksen. Nykyisin secure enclave on lähes kaikessa applen tuotannossa vakio-osa prosessoriin sisäänrakennettuna. Eli uusimmissa "ARM" imac/mac pro M1 sirullisissakin viimeinkin on. Intel macbookeissa oli jo aikaisemmin erillisellä sirulla. Mutta ei kuitenkaan työasemalaitteissa.

Petteri Järvinen kirjoitti...

Kuitenkin tunnuslukukone kannattaa ottaa. Se ensimmäinen kone on ilmainen ja hyvä VARAKEINO päästä verkkopankkiin tilanteissa, joissa mobiili syystä tai toisesta ei ole käytössä.

Tällaisia tilanteita varten kannattaa hankkia toinen älypuhelin, eivät ne maksa juuri mitään. Itsellä on oman pankin tunnistusohjelma useassa puhelimessa. Ei jää sähköinen asiointi kiinni yhden laitteen rikkoutumisesta.