sunnuntai 30. joulukuuta 2012

Poliisista tulee hakkeri

Helsingin Sanomat kertoo poliisin saavan vuoden päästä uusia oikeuksia. Vakavasta rikoksesta epäillyn henkilön koneelle voidaan asentaa haittaohjelma seuraamaan sähköpostia, nettisurffailua, Facebook-käyttöä ja kaikkea muutakin sähköistä viestintää.

Oikeudesta päätettiin jo lähes kaksi vuotta sitten pakkokeinolain uudistuksen yhteydessä. Laki oli todella laaja, eikä vakoiluohjelmien salliminen poliisille herättänyt sen paremmin suuren yleisön kuin kansanedustajienkaan huomiota.

Ajatus poliisista hakkeroimassa epäillyn tietokoneelle on uusi ja pelottavakin. Periaatteessa vakoiluohjelma voidaan rinnastaa sala- tai telekuunteluun, mutta se voi olla jotain paljon enemmän: kaiken sähköisen toiminnan seuraaminen läpivalaisee ihmisen täydellisesti ja paljastaa jopa ajatukset. Näppäimistökaappari voi tallentaa esimerkiksi henkilökohtaisiksi tarkoitetut muistiinpanot, päiväkirjat ja salasanat.

Kuten lähes pari vuotta sitten kirjoitin (Poliisi tekee murron), asiassa on monia käytännön ongelmia. Pc-koneen vakoilu on helppoa, mutta yhä useampi hoitaa nettiasioinnin tabletilla tai älypuhelimella. Niihin voi ujuttaa vakoiluohjelman vain, jos saa laitteen fyysisesti haltuunsa. Pitääkö matkapuhelinkauppiaiden ja huoltojen antaa laite hetkeksi poliisille, jos asiakas on poliisin valvonnassa? Mac-ympäristö on Windowsia suojatumpi, joten alkavatko rikolliset suosia Applen koneita?

Poliisihakkerien on väitetty asettavan turvaohjelmien tekijät hankalaan asemaan: saako virustorjunta löytää myös valtion omat haittaohjelmat vai pitääkö ne tietoisesti päästää läpi?

Käytännössä ongelmaa ei ole, sillä torjuntaohjelmat löytävät vain tuntemansa haittaohjelmat. Niin kauan kuin poliisi vakoilee vain muutamia epäiltyjä kerrallaan ja vaihtaa ohjelmia riittävän usein, ne saavat olla rauhassa virustorjunnalta.

Torjuntaohjelmien toiminta perustuu siihen, että joku monista tartunnan saaneista havaitsee tiedoston ja lähettää siitä näytteen torjuntaohjelmien tekijöille. Pitämällä piiri riittävän pienenä poliisin vakoiluohjelma voi toimia kaikessa rauhassa vuosien ajan. Tästä hyvänä esimerkkinä on Stuxnet ja suomalaisen henkilön tekemä web-kameran vakoiluohjelma, joista jälkimmäinen sai toimia yli vuoden kaikessa rauhassa. Tekijä paljastui väärennettyjen www-sivujen, ei vakoiluohjelman vuoksi.

Itse asiassa poliisihakkerin osa on nettihakkeria helpompi, sillä vakoiluohjelma voi olla suhteellisen yksinkertainen eikä siinä nimenomaisesti saa käyttää monimutkaisia häive- ja obfuskaatio-tekniikoita, koska virusskannerien heuristiikka saattaa tarttua niihin. Vakoiltavien kohteiden pieni määrä suojelee vakoiluohjelmaa löytämiseltä ja vaikka niin kävisikin, vahinko ei ole suuri -- poliisin on kuitenkin kerrottava vakoiluohjelman käytöstä tutkinnan päätyttyä.

Ainoa käytännön ongelma on ehtiä poistaa vakoiluohjelma epäillyn koneelta ja varmuuskopioilta ajoissa, ennen kuin kohteelle pitää tiedottaa salakuuntelusta. Muuten vakoiluohjelma on helppo kaivaa esiin ja lähettää tunnistusohjelmille, mikä estää poliisia käyttämästä samaa ohjelmaa tulevissa tutkinnoissa.

Poliisihakkerointi herättää isoja periaatteellisia ja käytännön toteutukseen liittyviä kysymyksiä. Tästä, samoin kuin pilveen tallennettujen tietojen käytöstä rikostutkintaan, kuullaan vielä paljon. Poliisityön uusi aika on alkamassa.

30 kommenttia:

Jussi kirjoitti...

Suomi seuraa valvontayhteiskunnan perinteitä kunnioitettavalla uskollisuudella.
http://jpoli.blogspot.fi/2012/12/sorm.html

Teemu kirjoitti...

Tyhmä kysymys: Saako poliisi myös avata ja lukea kaiken rikollisen vastaanottaman perinteisen postin? ja sitten vain ilmoittaa jälkikäteen, että näin on tehty? Jos ei, niin miksei? Eikai säköinen posti eroa perinteisestä?

Toinen kysymys: mitä jos valvottu henkilö otta koneestaan varmuuskopion, eli imagen, jonka joutuu sitten syystä tai toisesta palauttamaan valvonnan jo päätyttyä, näin uudelleen aktivoiden valvonnan? Eikö poliisi tuossa tilanteessa riko lakia, tahtomattaan mutta kuitenkin?

Kolmas kysymys: kuka vastaa jos sisään ujutettu rootkit tms. saa aikaan vahinkoa? Vahinko saattaa olla korjattavissa pienin kustannuksi (esim. imagen palauttaminen tms) tai sitten ei. Entä jos kyseessä olikin syytön henkilö?

Neljäs kysymys: entä jos krakkeroitu kone ei olekaan yksin rikollisen käytössä? Entä jos silloin paljastuu pienempi rikos, kuten vaikkapa musiikin nettilatailu?

Viides kysymys: Entä jos levitetty troijalainen lähteekin syystä tai toisesta leviämään tarjoten dataa täysin syyttömien koneista?

Näitä ja monia muita kinkkisiä kysymyksiä ei kukaan tainnu miettiä silloin kun tuota lakia sorvattiin. Poliisiahan nuo eivät hirmuisesti vaivaa, sillä he selvinnevät pahoistakin mokista lähinnä huomautuksella.

Anonyymi kirjoitti...

>Mac-ympäristö on Windowsia suojatumpi, joten alkavatko rikolliset suosia Applen koneita?

Linuxin voisi minusta mainita tässä yhteydessä yhtä hyvin.

Petteri, älä sorsi Linuxia.

Unknown kirjoitti...

Tärkeä pointti on myös mitenkä poliisi saa tämän tehdä. Valvooko kukaan vai poliisi poliisia.

Minusta pitäisi olla joka riippumaton ulkopuolinen taho joka julkaisisi ainakin jotain seurantatietoja toiminnasta.

Valitettavasti ennemmin tai myöhemmin joku tulee käyttämään oikeutta väärin.

Teemu kirjoitti...

Matkapuhelinten suhteen asia saa muuten mielenkiintoisia piirteitä. Sillä esim. IOS käyttikseen ei niin vain asennella mitään mikä ei ole applen marketissa. Sama pätee tietysti tableteihin. jos siis poliisi haluaa tällaisen laitteen hekkeroida, täytyy sen joko saada ko softa marketti, mikä tuskin onnistuu, tai rootata itse laite. Roottaaminen taas päättää laitteen takuun pysyvästi. Periaatteessa palauttaminen palauttaa takuun, mutta se edellyttää sitä, ettei huolto huomaa roottausta sekä sitä, että laitteen omistaja valehtelee huoltoon. Takuuehdoissa sanotaan, että takuu loppuu roottauksen jälkeen pysyvästi.

Kuka vastaa tällä tavalla välillisesti syntyneistä vahingoista. Etenkin, jos kyseessä sattuukin olemaan syytön.

Anonyymi kirjoitti...

"Tyhmä kysymys: Saako poliisi...."

Uusimmassa Alibissa on just juttua kuinka poliisi on salakuunnellut vankilan puhelinta, jolla vangit on yhteydessä asianajajiinsa. Ne ovat siis nauhottaneet kaiken mitä tuolla on puhuttu. Ei tuosta niille mitään seurauksia ilmeisesti tule, joten miksi asiat olisivat toisin netissäkään?

En tunne näitä tietoturva-asioita järin hyvin, mutta tiedän että maailmalla on useampiakin firmoja, jotka ei tee mitään muuta kuin etsi tietoturva-aukkoja tietokoneista ja kännyköistä ja myyvät noita eteen päin esim poliisille, vakoilijoille jne. Joten eiköhän suomalainen poliisikin pysty ostamaan tollaselta tiedot miten vakoiluohjelman saa kohteen huomaamatta sen puhelimeen. Operaattoreilla saattaa olla jotain jekkuja miten ne saa ujutettua ohjelmia puhelimiin. Sitten on tietysti ihan normaalit poliisikeinot. Pidätetään kohde millä tahansa tekosyyllä vähäksi aikaa ja ton yhteydessä asennetaan sitten se vakoiluohjelma sen puhelimeen. Kun toi on tehty, niin hemmo lasketaan vapaaksi. Tai sitten tehdään vaan operaattoreiden kanssa hiljanen sopimus, että kaikkiin puhelimiin asennetaan tollanen jo valmiiksi ja poliisi voi sitten tarvittaessa vaan aktivoida sen.

Anonyymi kirjoitti...

@Teemu
Kyllä poliisi saa lukea kaiken postin. Minulle on tullut poliisilta virka-apupyyntö, jossa yksinkertaisesti poliisille toimitettiin dvd:llä ko. henkilön kaikki postit.

Ainakaan piratismijutuissa, syytönkään ei ole saanut mitään korvauksia kun laitteet ovat olleet pitkiä aikoja poliisin huostassa, osia kadonnut ja hajonnut. Käsittääkseni poliisille ei tule tälläisistä asioista minkäänlaista korvausvelvollisuutta. Korjatkoot tietävämmät.

Uskoisin, että tulevaisuudessa poliislla on oma kuuntelunodensa kaikkien operaattoreiden konesalissa, johon he kytkeytyvät silloin kuin mieli tekee.

Anonyymi kirjoitti...

@Anonyymi

Hyviä pointteja, olen ollut useamman kuin kerran samassa tilanteessa virka-avun osalta.

Eniten minua mietityttää mitä se, että miten tämä vaikuttaa tietoturvayhteistyöhön ja haluun jakaa tietoa viranomaisten kanssa jossa keskinäinen luottamus on edellytys jakamiselle. Se ettei tietoja väärinkäytetä. Haluammeko edelleen jakaa tietoja enää jos aiemman kaltaista pohjaa luottamukselle ei enää ole ja luovutettuja tietoja voidaan käyttää viranomaisen toimesta kyseenalaisesti.

Tiedossa on, että kun raportoimme haavoittuvuuden kansallisen CERT:lle se jakaa tiedon valmistajan ja muiden CERT:n kanssa, jotka varottavat kukin omia etupiirejään ongelmasta. Tärkein lähtökohta tälle tiedon jakamiselle on se että sen avulla autamme muita suojautumaan haavoittuvuuksien aiheuttamilta uhkilta ja oletamme, että saamme vastavuoroisesti tietää ongelmista muilta.

On ollut epäilyjä jo varsin pitkään, että mm. eräiden maiden CERT:n kautta haavoittuvuuksista tiedot päätyvät myös tiedusteluorganisaatioille, jotka pyrkivät käyttämään joko itse tai yhteistyökumppaninsa avulla näitä tietoja tiedustelussa ja suoranaisessa vakoilussa niin kauan kuin se on mahdollista. Osa mm. Stuxnetin rei'istä oli sellaisia, että Microsoft niistä tiesi ja onkin epäily että niiden korjaamisen viivyttelylle lienee joku muukin syy kuin vain että ei muka keritty aiemmin. Tätä puoltaa se kuinka nopeasti ne sitten korjattiin kun tieto niistä vuoti julkisuuteen.

Hyppösen toteamus, että tilanne on skitofreninen on enemmän kuin osuva.

Teemu kirjoitti...

@Anonyymi

Jotenkin tuntuu, että kerrankin joku on anonyymi ihan syystä...

Anonyymi kirjoitti...

Poliisi lienee lähinnä kiinnostunut, keihin epäilty on yhteydessä internetin kautta. Salaustekniikoiden käyttö on nykyään niin yleistä, että nettiliikennettä kuuntelemalla on vaikea saada mitään irti, ja siksi tällaisille valtuuksille on tilausta - perinteisessä puhelimen salakuuntelussa kun ei ole tätä salaukseen liittyvää ongelmaa.

On kaukaa haettua, että poliisi onnistuisi etänä murtautumaan epäillyn koneelle, tai epäilty itse tulisi vahingossa asentaneeksi poliisin vakoiluohjelman. Käytännössä ainoa toimiva tapa on, että poliisi saa laitteen haltuunsa ja asentaa siihen ohjelmansa. Tätä vastaan tosin on helppo suojautua salaamalla kiintolevy.

Anonyymi kirjoitti...

SSL/TLS salaus ei riitä, koska se perustuu luotettuihin juurivarmenteiden myöntäjiin, joidenka varmenteet ovat selaimessasi valmiiksi asennettu.

Mikä on TeliaSoneran ja FRA välinen suhde? TeliaSoneran juurivarmenne mahdollistaa minkä tahansa varmenteen luomisen lennosta ja salatunliikenteen purkamisen. Tarvitsee vain päästä liikenteen väliin. En toki väitä, että näin toimittaisiin, mutta entäpä Kiinan kansantasavaltaan tai Yhdysvaltoihin kytköksissä olevat tahot?

Totuus on, varmenteiden myöntäjien järjestelmiin on murtauduttu ja tehty valevarmenteita. Tämän takiahan selaimista poistettiin pari vuotta sitten juurivarmenteita, koska niihin ei voinut luottaa.

Olen myös kuullut, että amerikkalaiset viranomaiset eivät anna laitteille myyntilupia ellei heille toimiteta kaikkia tarvittavia sähköisiä -avaimia ja -varmenteita.

Mikäli näin on, niin heillä on samat mahdollisuudet kuin valmistajalla muokata laitteen ohjelmistoa.

Britanniassa, salausavaimet on luovutettava viranomaisille rangaistuksen uhalla eli salasanat tai useampi vuosi linnaa.

Tänä muistutuksena, että ei se salaaminenkaan aina kaikkea ratkaise.

Unknown kirjoitti...

Eikös ainakin Saksalaiset moittineet muutam vuosi sitten ettei Skypea pääse salakuuntelemaan kun on niin hyvin suojattu.

Nyt se on Microsoftin, enkä ole enään valitusta kuullut.

Mikä lienee syynä. :-(

petrip kirjoitti...

"
Anonyymi sanoi...

SSL/TLS salaus ei riitä, koska se perustuu luotettuihin juurivarmenteiden myöntäjiin, joidenka varmenteet ovat selaimessasi valmiiksi asennettu."

Ei tuo mahdollista salauksen purkua. Sillä operaattori pystyy valehtelemaan kuka olet yhteyden muodostuksen yhteydessä. Tuon avulla salakuuntelu edellyttäisi melkoisen kyvykästä proxya ja silloinkin se onnistuisi vain operaattorin varmentamille sivuille.

Kyllä nykyiset salaukset aika hyvin salakuuntelun blokkaa. Niin hyvin että paras tapa on tehdä vakoilu itse koneella siellä ei ole salaukset kiusana.

Sinänsä ihan ok oikeus poliisille. Jos kodin saa tutkia ja puhelut kuunnella niin miksei sitten tätäkin? Ei muuta kansalaisen tilannetta juuri mitenkään

Anonyymi kirjoitti...

SSL/TLS salauksen ongelma on se, että kuka tahansa tietokoneessasi olevista juurivarmentajista voi luoda certificaatin mille tahansa web-sitelle. Se on vastoin sääntöjä, mutta siihen ei ole teknisiä esteitä.

Tee haku termilä 'Trustwave issued a man-in-the-middle certificate' niin saat lisää tietoa. Valtiotason pelureille myydään man-in-the-middle koneita, jotka käyttävät vääriä certificaatteja.


Wall Street Journal julkasi ‘Surveillance Catalog’in
Marraskuussa 2011, jossa valmistajien esitteitä lasitteiden kyvyistä nimenomaan SSLja TLS avaamiseen - periaatteessa kaikki monline toiminta saadaan avattua.

Anonyymi kirjoitti...

Jälkimmäinen anonyymi kirjoittaa asiaa SSL/TLS ongelmista. Tuo ongelma on ollut tiedossa varsin pitkään.

Siksi mm. VAHTI 3/2008 - Valtion- hallinnon salaus- käytäntöjen tietoturva- ohje sivulla 46 5.5.4 Suositukset kohdassa toteaa mm. näin:

Käyttöjärjestelmät ja monet muut laitteisto- ja ohjelmistoratkaisut antavat
usein mahdollisuuden ”ottaa helposti käyttöön varmentajan”. Hyvin usein varmenteiden myöntäjiä on hyväksytty luotetuiksi järjestelmän oletusase- tuksissa. Kaikkiin näihin mahdollisuuksiin ja oletusasetuksiin tulee suh- tautua kriittisesti.
.

Käytännössä se tarkoittaa, että korkeaa turvallisuutta edellyttävissä ympäristöissä poistetaan aina kaikki varmentajat ensin ja lisätään vain ja ainoastaan ne jotka organisaatio erikseen varmistaa luotetuiksi.

Siviilikäyttäjän ongelman helpottamiseksi on tehty selaimiin plugineja, kuten CertPatrol, joka huomauttaa aina kun palvelimen varmenne vaihtuu tms.

Google muuten vaihtelee varmenteita varsin usein ja on nyt viime aikoina alkanut käyttää itse ylläpitämäänsä varmennepalvelua.

Toinen hyvä projekti on Convergence, jonka tarkoituksena on korvata keskitetyt CA -palvelut Notariaattipalveluilla, joita kuka tahansa voi perustaa ja tietysti sitten käyttäjät voivat valita keneen notaariin he haluavat luottaa.

Varmentamisen löystymisestä ja suorasta lepsuilusta on heitetty kieli poskessa huulta jo vuosia. Eniten ehkä on hampaita naurattanut tämä Add Honest Achmed's root certificate hakemus juuri-varmentajaksi browser-forumin tikettijärjestelmässä (bugzilla).

Anonyymi kirjoitti...

Tässä ehjä linkki Hononest Ahmed's root certificate hakemukseen.

https://bugzilla.mozilla.org/show_bug.cgi?id=647959

Anonyymi kirjoitti...

Tässä vielä linkki Moxie Marlinspiken pitämään puheeseen BlackHat USA 2011 konferenssissa.

http://www.youtube.com/watch?v=Z7Wl2FW2TcA#t=5m

Linkki vie suoraan 5 minuutin kohtaan josta varsinainen puhe alkaa, alussa on Moxien kertoma hauska täytejuttu, joka ei liity mitenkään itse asiaan vaan jonka tehtävä on viihdyttää niitä jotka ovat paikalla ajoissa ja antaa myöhässä olevienkin asettua paikoilleen.

Anonyymi kirjoitti...

Vielä kaksi huomionarvoista sivustoa koskien SSL:n varmenteiden todentamista.

1) EFF:n SSL Observatory.

2) ICSI Certificate Notary.

Jälkimmäisessä on live graafi, jonka avulla voi tutkia varmenteita ja riippuvuuksia.

Anonyymi kirjoitti...

Jos haluat avata firmasi kaiken SSL/TLS liikenteen hommaa SSL bridging ohjelmisto (esim. Microsoft Internet Security and Acceleration (ISA) Server) ja asenna firmasi certificaatti monitoroitaviin koneisiin (en tiedä asian laillisuudesta Suomessa) mutta tällä tavalla voidaan tarkkailla tuota datavirtaa.

Anonyymi kirjoitti...

Niin Microsoftin SSL bridging toteuttaa juuri MITM:n (Man In The Middle) kaupallisena tuotteena suoraan itse käyttöjärjestelmävalmistajalta.

Sillä liikenteen seuraaminen on teknisesti helppo tehdä firmassa jossa on keskitetty hallinta ja oma varmenne jne.

Se ei kuitenkaan toimi esim. BYOD -laitteilla, eikä jos laite viedään jonnekin mistä liikennettä ei tunneloida ensin firman palomuurin (TMG & ISA) tai taakse. Mutta jos firmalla on jo pääkäyttäjän oikeudet koneelle ym. firman oman juurivarmenteen asentamista varten niin eihän koneen käytön seuranta ole muutenkaan vaikeaa, windowsillahan voi logata jos vain halua on kaikki eventit AD:n avulla.

SVTSL ei kuitenkaan sitä salli tehtäväksi suomessa, ellei ole asianmukaisesti tehty ilmoitusta TSV:lle ym. Ja kukaanhan ei ole vielä suomessa sitä tehnyt, joten kenenkään ei pitäisi sitä täällä tehdä.

Pakkokeinolain muutos kuitenkin antaa poliisille mahdollisuuden ilmeisesti tehdä ja viranomaisen tutkiessa SVTSL:ää ei sovelleta.

Tämä keskustelu on kuitenkin nyt hieman sivuraiteella keskittyen vain SSL:n ja levyn kryptaamiseen ym. jotka kyllä vaikeuttavat, mutta se miten sitä mm. saksan poliisi on tehnyt niin niistä ei juuri ole apua kun vakoilua tekevä ohjelma pyritään asentamaan itse käyttäjän koneelle jollakin keinolla.

Youtubesta löytyy "finfisher spyware" hakusanoilla linkkejä Gamma International nimisen firman markkinoimiin työkaluihin, joita viranomaisille on muualle myyty.

Hannu Tanskanen kirjoitti...

Tosiasiahan on, että tietotekniikan/internetin aikakaudella elämme jo "1984":ssä jota George Orwell ei olisi pystynyt kuvittelemaankaan.

Google tietää sinusta enemmän kuin itsekään tiedät,paljolti siksi että vihollisesi lisäävät sinne tahallista dissinfoa sinusta.

Tällaiselle tavalliselle rivikansalaiselle ja vaatimattomalle kuntapoliitikolle tuo on yhdentekevää ja vaalien aikainen "vihapuhe" vain antoi lisä-ääniä.

Mutta kiitos kuitenkin asiantuntijalle tiedoista, tuo vahvisti päätöstäni heittää tietokoneella vesilintua ja vaihtaa Applen IPod´iin.

Hannu Tanskanen kirjoitti...

EDIT:

Systeemi näköjään tuplaa kommentin.
Blogin pitäjä poistanee ylimääräisen ja tämän!

Anonyymi kirjoitti...

Tuo SSL/TLS liikenteen avaamismahdollisuus on asia, jota suuri yleisö ei tiedosta. Sen voi siis tehdä jokainen varmenteiden myöntäjä (CA), jos tuo CA voi kirjoittaa uhrin tietoliikenteeseen. CA (kuten Trustwave teki kerran) voi antaa laitteen hyökkääjälle, joka voi olla esim. poliisiorganisaatio, tiedusteluyritys tai -palvelu yms. CA voidaan myös pakottaa (tunnetaan nimellä compelled certificate creation attack) juridisella määräyksellä kirjoittamaan certificaatti monitoroitavalle yksittäiselle serverille.

Ulkomaisessa keskustelussa on esitetty toiveita, että tiedusteluyrityksiä estettäisiin lainsäädännöllä myymästä laitteita diktatuureille mutta asiassa ei liene tapahtunut edistystä. Ovatko Suomen poliisiorganisaatiot tietoisia näistä tekniikoista? Ainakin suomalaiset poliisimiehet ovat vierailleet konferensseissa, joissa laitteita on esitelty - internetissä on/oli saatavilla lista ainakin erään konferenssin osallistujista ja heidän edustamistaan organisaatioista.

Anonyymi kirjoitti...

Aika surullista, että tämänkin blogin lukijakuntaa tuntuu kiinnostavan enemmän jonkintietyn protokollan rikottavuus kuin perusoikeudet.

Nils Holgersson kirjoitti...

Sinänsä koko laki on mielestäni suht turha. Sillä jos harrastaisin laittomia puuhia johon tarvitsisi tietokonetta/puhelinta, pieni googletus tekee poliisin toimet turhaksi.
Tietokonetta nettia tms. voi käyttää "suht" anonyymisti esim Tails distrolla, ja mitä puhelimiin tulee niin kirpparilta läjä vanhoja halpoja(yksinkertaisia) puhelimia ja läjä pre paid liittymiä, niin poliisilla on aika kova työ saada ko. värkeistä juurikaan mitään irti.

Anonyymi kirjoitti...

Jahas, no niin siinä sitten taas kävi mistä täällä just oli puhetta.

TURKTRUST on myöntänyt *.google.com varmenteen vahingossa väärälle taholle kuten CERT-FI asiasta tänään kertoo..

Ei taida TURKTRUST Inc prosessit olla sen paremmassa kunnossa kun Honest Achmed varmentajaksi hakeneella irvileuallakaan.

Anonyymi kirjoitti...

Privacy International järjestö on Englannissa pyytänyt viranomaisia tarkistamaan onko Gamma International (mm. FinSpy tuotteen tekijä) rikkonut vientilisenssiehtoja myydessään tuotteita tiettyihin maihin, esim. Bahrainiin ja Turkmenistaniin, (tarkemmin https://www.privacyinternational.org/press-releases/privacy-international-calls-on-hmrc-to-investigate-gamma-internationals-potential).

Anonyymi kirjoitti...

Täällä on ollut mainintoja man-in-the-middle hyökkäyksen tehokkuudesta. Uusin huomio on ilmoitettu eilen 9.1.2013 puhelinmaailmasta, nyt on havaittu Nokian ohjaavan erään puhelimen https (SSL) liikenten oman palvelimensa kautta ja antavansa puhelimelle oman certificaattinsa - tämä on todiste MITM'stä. Toimiiko tuo puhelinmalli aina näin vai onko kysessä vain joku yksittäinen tarkkailu (viranomaisen vaatima)? Katso blogia http://gaurangkp.wordpress.com/ .

Anonyymi kirjoitti...

Nokia on myöntänyt, että se avaa SSL liikenteen ja uudestaan cryptaa sen. Nokian mukaan se ei kuitenkaan vakoile liikennettä vaan vain tiivistää sitä, jotta käyttäjän web-selailu olisi nopeampaa. Katso http://www.techweekeurope.co.uk/news/nokia-decrypting-traffic-man-in-the-middle-attacks-103799 .

Anonyymi kirjoitti...

Nyt eräs tutkija teki saman kokeen USAssa Lumialla ja asensi siihen tuon Xpress Browserin - toimii samoin kuin Asha mallissa eli liikenne avataan Nokian proxyssa.

Perusteellinen kirjoitus blogissa

https://freedom-to-tinker.com/blog/sjs/how-the-nokia-browser-decrypts-ssl-traffic-a-man-in-the-client/