tag:blogger.com,1999:blog-6843976375835852604.post9112416397726568477..comments2024-03-28T20:05:56.432+02:00Comments on Havaintoja digimaailmasta: Varastettu: digitaalinen elämä Applen pilvestäPetteri Järvinenhttp://www.blogger.com/profile/08190899459274223616noreply@blogger.comBlogger21125tag:blogger.com,1999:blog-6843976375835852604.post-10951196979469927982012-10-11T00:36:47.273+03:002012-10-11T00:36:47.273+03:00"Halukkaille voisi tarjota suomalaisten verkk..."Halukkaille voisi tarjota suomalaisten verkkopankkien tapaan kertakäyttötunnuksia."<br /><br />Tähän liittyen, Chicagon DePaulin huippuyliopiston kurssilla otettiin Suomen verkkopankit esimerkeiksi maailman tietoturvallisimmista pankkipalveluista.<br /><br />Ei luulisi olevan Applen kovin hankala panostaa miljardeillaan tähänkään osa-alueeseen. On kuitenkin tunnettu fakta, ettei Apple ole innokas korjaamaan tietoturva-aukkojaan, ainakaan kovin proaktiivisesti<br /><br />http://www.forbes.com/sites/adriankingsleyhughes/2012/04/25/apple-10-years-behind-microsoft-when-it-comes-to-security/<br />http://security.networksasia.net/content/apple-adopts-nonchalant-attitude-toward-iphone-sms-bug<br />http://www.zdnet.com/apple-needs-wakeup-call-on-security-7000001932/Anonymoushttps://www.blogger.com/profile/08263671561583758639noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-2046170224823257102012-09-15T09:16:03.567+03:002012-09-15T09:16:03.567+03:00Woω, thіs агticlе іѕ
nice, my younger sister іs a...Woω, thіs агticlе іѕ <br />nice, my younger sister іs anаlyzing <br />theѕе things, so I am going tο cоnveу her.<br /><i>Look at my blog</i> ; <b><a href="http://Fastdrive24.com/2012/08/" rel="nofollow">2012 August</a></b>Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-72343484100623523862012-08-11T20:00:47.067+03:002012-08-11T20:00:47.067+03:00"Moni on käytännössä mennyt siihen että käytö..."Moni on käytännössä mennyt siihen että käytössä on jonkinlainen password manager-ohjelmisto, jolloin palveluiden salasanat ovat aina vahvoja ja erilaisia mutta niihin pääsee itse käsiksi yhdellä tunnistuksella."<br /><br />Niin ja sitten kun sen "yhden tunnistuksen" saa joku käsiinsä, onkin käytössä kaikkien kymmenien (satojen???) eri palvelujen käyttäjätunnukset ja salasanat. <br /><br />Tunnustan käyttäväni tällaista palvelua itsekin, kun salasanaviidakko tuntuu muuten niin mahdottomalta hallita. Teen ihan perustoimistotyötä ja silti jo pelkästään työssä tarvitsen ainakin parikymmentä eri tunnusta ja salasanaa, joista osa on pakko vaihtaa tietyin väliajoin. Siihen kun listaa päälle kaikki siviilielämän muistettavat, muisti ei millään riitä ja niitä lunttilappusiahan ei saanut kirjoitella...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-80656013887959603182012-08-07T13:25:21.848+03:002012-08-07T13:25:21.848+03:00Mobiilivarmnenne!
www.mobiilivarmenne.fiMobiilivarmnenne! <br />www.mobiilivarmenne.fiAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-60121805479517139242012-08-07T08:27:21.033+03:002012-08-07T08:27:21.033+03:00Tämä keissi on tosiaan vähän huono olemaan esimerk...Tämä keissi on tosiaan vähän huono olemaan esimerkkinä salasanapaatokselle. Murron mahdollisti vain Applen huono tietoturvapolitiikka, jonka mukaan salasanan resetoimiseen tarvitsee vain sähköposti- ja laskutusosoitteen, sekä luottokortin 4 viimeistä numeroa.<br /><br />Laskutusosoitteen krakkerit saivat whois:illa ja luottokortin numerot Amazonilta, josta ne saadaan pienen kikkailun kautta ulos.<br /><br />Turha tässä on pelkästään Applea syyttää, vaan vika on yhtälailla Amazonissa kuin käyttäjässä itsessään.<br /><br />http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-20554415991045561452012-08-07T05:40:44.458+03:002012-08-07T05:40:44.458+03:00Jokaisella on titetenkin oikeus vaarantaa datansa ...Jokaisella on titetenkin oikeus vaarantaa datansa aivan miten haluaa. Nämä pilvet ovat erinomaisen tehokas keksintö yksityisen datan "julkaisuun". Minä en hitustakaan sääli niitä, joiden lompakko varastetaan kun sen omistaja on säilyttänyt sitä puistonpenkin alla. Ta datoja jossakin pilvessä. Minun datani (ja rahani) ovat vähän paremmassa turvassa omalla koneella, kuten lompakkoni on taskussani. Jos on paljon ihmisvilinää, samassa taskussa on myös käteni, ettei taskuvarasturistilla ole liian helppoa.Eräs Isänoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-80077686280580541762012-08-07T01:25:34.160+03:002012-08-07T01:25:34.160+03:00Kamerallisissa laitteissa voitaisiin siirtyä vähin...Kamerallisissa laitteissa voitaisiin siirtyä vähintään edes silmän iiris-tunnistukseen, jos asiakas näin haluaa. Ei pitäisi olla temppu eikä mikään. Silloin "salasanaa" ei voisi unohtaa.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-47271455589975408982012-08-06T18:08:15.908+03:002012-08-06T18:08:15.908+03:00Nähdäkseni www.icloud.com kysyy vain tunnuksen ja ...Nähdäkseni www.icloud.com kysyy vain tunnuksen ja salasanan, sisään pääsee miltä koneelta tahansa.<br /><br />Applen tulisi tarjota vahvempia todennustapoja niitä haluaville -- siis niille, joilla on palvelussa jotain arvokasta. Googlella kaksivaiheinen todennus on optio. <br /><br />Käyttäjä voisi myös rastittaa kohdan, joka vaatisi vierailua paikalliseen Apple-myymälään silloin, kun salasana on "unohtunut".<br /><br />Apple Store tarkistaa henkilöllisyyden jos sieltä ostaa läppärin, miksei tätä voisi hyödyntää myös tietoturvan parantamiseksi?Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-74280679232980845772012-08-06T17:13:15.524+03:002012-08-06T17:13:15.524+03:00Applen iCloud faq näyttää sanovan:
After I sign ...Applen iCloud faq näyttää sanovan:<br /><br /><br />After I sign in with my Apple ID, I'm prompted to enter additional information.<br /><br />iCloud accounts may require some additional information that is not currently associated with your Apple ID. When prompted, enter the required information to continue.<br /><br />(ja teksti ei ole lisätty tässä kuussa)<br /><br />.. eli kenties tuo iCloudin tunnistus ei ole aivan niin yksinkertainen kuin on annettu ymmärtää.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-62927725168802187502012-08-06T17:06:58.286+03:002012-08-06T17:06:58.286+03:00Eli ehdotat että iCloudin käyttämiseksi salasanan ...Eli ehdotat että iCloudin käyttämiseksi salasanan sijaan tulisi käydä todentamassa itsensä lähimmässä AppleStoressa? :)<br /><br />Applen tulisi toki tehdä unohtuneen salasanan kyselyt huolellisemmin. Tosin en tiedä minkälaisesta tapauksesta tässä on kyse, itselläni kävi siten että asensin uuden AppleTV:n ja huomasin sitten myöhemmin että olin tilannut TV-sarjan. Luulin aluksi että tunnus oli hakkeroitu, Applen asiakaspalvelu vastasi nopeasti sähköpostiin, hyvitti veloituksen ja sulki tunnuksen -- sen sai takaisin avoimeksi Forget password -prosessin kautta. Myöhemmin tosin selvisi että olin itse tilannut ko. sarjan kun uuden AppleTV:n kaukosäädin ohjasi myös vanhaa samanaikaisesti.<br /><br />Itse käytän iCloudia jonkin verran tiettyihin asioihin, en omista iPhonea enkä myöskään välttämättä halua sitoa verkkopalvelua mitenkään puhelimeen.<br /><br />Sinällään tässä ei ole mitenkään Apple-riippuvaisesta asiasta kyse. Liki kaikki palvelut perustuvat yhden salasanan suojauksiin. Käytän Googlen palveluita myös eikä se normaalioloissa tee mitään sms-varmistuksia ainakaan itselleni. Sen kerran kun Google jotain sellaista teki, sitä sms-viestiä ei ikinä saapunut, ei edes uudelleenyritysten jälkeen. Voisi vähän ottaa päähän jos olisi ollut kiireellinen asia hoidettavana.<br /><br />Moni on käytännössä mennyt siihen että käytössä on jonkinlainen password manager-ohjelmisto, jolloin palveluiden salasanat ovat aina vahvoja ja erilaisia mutta niihin pääsee itse käsiksi yhdellä tunnistuksella.<br /><br />Kenties jatkossa Applen kannettaviin tulee jonkinlainen fyysinen autentikointimahdollisuus Applen taannoisen AuthenTec-ostoksen jäljiltä.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-84888783701674196172012-08-06T16:55:13.992+03:002012-08-06T16:55:13.992+03:00Vähintään sen tulisi tarjota Googlen kaltainen sms...Vähintään sen tulisi tarjota Googlen kaltainen sms-vahvistus, onhan suurimmalla osalla asiakkaista iPhone-puhelin. Miksei digitaalisen elämän avainta ole sidottu puhelimen hallussapitoon?<br /><br />Halukkaille voisi tarjota suomalaisten verkkopankkien tapaan kertakäyttötunnuksia.<br /><br />Ja kun Applella on kattava omien kauppojen verkosto, miksei asiakasta todenneta niissä?Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-5392405229631761772012-08-06T16:04:19.137+03:002012-08-06T16:04:19.137+03:00Jos unohdetaan että ongelmana oli nimenomaan asiak...Jos unohdetaan että ongelmana oli nimenomaan asiakaspalvelun lepsuilu, miten Applen tulisi näillä miljardeillaan hoitaa palvelun tietoturva kuntoon?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-71978146557668575732012-08-06T15:56:27.041+03:002012-08-06T15:56:27.041+03:00@Zarr:
Mielestäni tässä on oleellista se, miten p...@Zarr:<br /><br />Mielestäni tässä on oleellista se, miten palvelut ovat huomaamatta muuttuneet verkostoiksi: kun yhden murtaa, pystyy kaappaamaan paljon muutakin.<br /><br />Totta kai tämä on todennusongelma -- uhrin Gmail-tili kaapattiin juuri sen vuoksi, että salasanan resetointi-kysely lähetettiin vain kaapatulle mac-tilille, eikä pyynnön aitoutta varmennettu mitenkään.<br /><br />Jos lähdetään siitä, että "kaikki todentamiset ovat epäluotettavia, koska ne voi aina kiertää soittamalla tukeen" ei nettipalveluita kannata enää kehittää eikä käyttää. Silloinhan meillä ei ole enää mitään keinoa suojata tietojamme. Täysin aukotonta menetelmää ei ole (kuten ei oikeassakaan elämässä), mutta osa menetelmistä on turvallisempia kuin toiset.<br /><br />Pilvipalveluissa on monia ongelmia, mutta tämä tapaus ei ollut niinkään pilven kuin huonon todentamisen (ja tietenkin huonojen prosessien tai liian ystävällisen asiakaspalvelun) syytä.Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-63709276099542671652012-08-06T15:18:52.837+03:002012-08-06T15:18:52.837+03:00Apple ei ainakaan ole ihan kauheasti ottanut opiks...Apple ei ainakaan ole ihan kauheasti ottanut opikseen. Suomalainen Marko Karppinen joutui vastaavanlaisen "social engineeringin" kohteeksi vuonna 2008, http://markokarppinen.com/post/28762065189/my-apple-id-episode-from-2008Akipekkahttps://www.blogger.com/profile/12115111673199945193noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-26744846287899378672012-08-06T15:01:44.000+03:002012-08-06T15:01:44.000+03:00Social engineering-aspekti mainitaan yhdellä lause...Social engineering-aspekti mainitaan yhdellä lauseella, suurin osa postauksestaa meuhkaa siitä miten tämä ongelma olisi vältetty esim. Googlen tyylisellä 2-vaiheisella autentikaatiolla. Eikä olisi, jos Googlen helpdeskin prosessit olisivat vastaavanlaiset. Yhtälailla ne ovat "yhden salasanan" takana sielläkin.<br /><br />Pointti siitä että pilvi ei ole luotettava paikka varastoida tavaraa on ihan validi, mutta autentikointimenetelmien vetämistä mukaan en ymmärrä koska ne pystyy ohittamaan huijaamalla firman työntekijää. Lisäksi pilviä vastaan puhuu moni muukin asia (yksityisyys, toimintavarmuus, saavutettavuus, käyttöehdot).Zarrnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-30075861319533639532012-08-06T14:37:07.291+03:002012-08-06T14:37:07.291+03:00Sekä prosessit että todentamiskeinot eivät ole Int...Sekä prosessit että todentamiskeinot eivät ole Internet kelpoisia valitettavan monessa palvelussa. Tämä on vain yksi esimerkki.<br />Taistelu todentamispalveluiden herruudesta ei edesauttaa asiassa lainkaan. Laajempaa käyttöönotto "User Authentication Assurance Levels" standardeihin perustuva sertifiointi voisi olla yksi keino päästä eteenpäin. Standard(e)issa myös prosessien tasokohtainen minimilaatu on määritelty.Erwin FIhttps://www.blogger.com/profile/03191669292590051862noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-19877923233245828142012-08-06T14:35:44.339+03:002012-08-06T14:35:44.339+03:00Kirjoittaja on poistanut tämän kommentin.Erwin FIhttps://www.blogger.com/profile/03191669292590051862noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-68576760572990634002012-08-06T14:09:32.016+03:002012-08-06T14:09:32.016+03:00@Zarr
Eikös tekstissä juurikin kuvailla tapahtumi...@Zarr<br /><br />Eikös tekstissä juurikin kuvailla tapahtumien kulku tällä tavalla? Yksi opetus on siis myös se, että kommenttien kirjoittaja ei lue tai ymmärrä koko juttua ennen kommentin kirjoittamista.Jari Knoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-41268084115101731022012-08-06T14:09:28.786+03:002012-08-06T14:09:28.786+03:00Kyse on siis vanhanaikaisesta social engineeringis...<i>Kyse on siis vanhanaikaisesta social engineeringistä, jossa Applen prosessit munasivat totaalisesti, mutta ei mitään tekemistä salasanojen kanssa.</i><br /><br />Vain se, ettei vahvakaan salasana itsessään takaa tietoturvaa. Tässä tapauksessa salasana ohitettiin social engineeringillä, mutta yhtä hyvin se olisi voitu kaapata näppäimistöltä tai urkkia olan yli.Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-71387892119188345652012-08-06T14:07:30.611+03:002012-08-06T14:07:30.611+03:00Googlen 2-vaiheinen todennus on todellakin erinoma...Googlen 2-vaiheinen todennus on todellakin erinomaisen toimiva ja hyvin toteutettu järjestelmä. Lisäksi kaupan päälle saa kertakäyttösalasanat eri laitteille, joten esim. puhelimen kadotessa siihen määritetty Gmail-tili lakkaa toimimasta, kun kertakäyttösalasanan mitätöi salasananhallinnan kautta.<br /><br /><a href="http://code.google.com/p/google-authenticator/" rel="nofollow">Googlen Authenticator</a> on lisäksi avointa lähdekoodia, joten mikä tahansa palvelu voisi sitä hyödyntäen toteuttaa helposti oman 2-vaiheisen todentamisen. Mitään tietoa ei siis liiku Googlen palveluiden kautta, joten foliohatutkin voi jättää foliohattuhyllylle pölyyntymään.Jari Knoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-7597056878861938302012-08-06T14:06:44.933+03:002012-08-06T14:06:44.933+03:00Yksi opetus on myös että bloggaaja tietää mistä pu...Yksi opetus on myös että bloggaaja tietää mistä puhuu. <br /><br />Tässä ei murrettu salasanaa.<br /><br />Tässä ei murrettu edes näitä googlattavia "turvakysymyksiä" eli "mikä on äitisi tyttönimi".<br /><br />Tässä hakkeri soitti Applen tech supporttiin ja uskotteli olevansa tilin omistaja, vaikkei tiennyt salasanaa tai kysymystä. <br /><br />Kyse on siis vanhanaikaisesta social engineeringistä, jossa Applen prosessit munasivat totaalisesti, mutta ei mitään tekemistä salasanojen kanssa.Zarrnoreply@blogger.com