Hakkeri murtautui toimittaja Mat Honanin iCloud-pilveen ja pääsi myös muihin nettipalveluihin (toimittajan oma kertomus). Tuloksena oli painajaismainen tapahtumasarja, joka havahduttaa meidät pohtimaan pilvipalvelujen tietoturvaa. Steve Wozniak on jo ehtinyt maalata synkkää tulevaisuutta koko pilviajattelulle: "tulossa on hirveitä ongelmia".
On mahdollista, että vastaavia tietomurtoja on tapahtunut ennenkin, mutta ne eivät ole nousseet otsikoihin. Sana tietomurto on turhan lievä ilmaisu: kyse on digitaalisen elämän varastamisesta ja tuhoamisesta. Sillä voi olla erittäin vakavat seuraukset. Ehkä hakkeri halusi vain osoittaa, miten haavoittuvia nykyiset järjestelmät ovat, ja valitsi siksi uhrin, joka tietää miten saada kohtalolleen julkisuutta?
Tapaus ei kuitenkaan liity pilveen vaan todentamisen yleiseen problematiikkaan. Ja tässä Applella on syytä katsoa peiliin. Vaatimattomasta alusta (iTunes-tili musiikin ostoa varten) on kasvanut iCloud-palvelu, johon käyttäjä lähettää valokuvansa, työtiedostonsa, sähköpostinsa, luottokorttinsa -- koko digitaalisen minänsä.
Ja kaikki tämä on koko ajan ollut yhden salasanan takana!
Aivan kuin ihminen kotoa lähtiessään sulkisi ulko-oven teipillä ja uskoisi, että omaisuus on turvassa.
Viranomaiset muistuttavat jatkuvasti, miten tärkeää on valita vahvoja salasanoja. Ohje on paikallaan, mutta se ei korjaa itse ongelmaa. Salasana voidaan urkkia tai kiertää lukuisilla tavoilla, oli se miten pitkä tahansa.
Applen tapauksessa salasanat ovat usein lyhyitä, koska vahvojen salasanojen naputtelu iPhonen pieneltä näytöltä on työlästä ja virhealtista.
Salasanaviidakossa rämpivä käyttäjä saa apua Twitterin ja Facebookin kaltaisista palveluista, joiden tunnuksilla voi kirjautua muihin palveluihin. Mukavuudella on kääntöpuolensa: salasanan paljastuminen voi aiheuttaa ketjureaktion, jossa hakkeri pääsee moniin sellaisiinkin palveluihin, joita käyttäjä itse ei tule edes ajatelleeksi.
Honanin tapauksesta tekee todellisen painajaisen se, ettei vahinko rajoittunut nettipalveluihin. Apple tarjoaa iCloudissa turvaominaisuutta, jolla voi pyyhkiä varastetun laitteen muistin tyhjäksi. Hakkerin aktivoitua tämän toiminnon Honan menetti myös iPhoneen, iPadiin ja Mac-kannettavaansa paikallisesti tallentamansa tiedot.
Eikö Apple todellakaan tullut etukäteen ajatelleeksi tällaista kauhuskenaariota? Etenkin, kun tietomurto oli tehty huijaamalla sen omaa asiakaspalvelua.
Mitä tästä opimme? Diversiteetti on tietoturvan kannalta tärkeää. Palveluita ei pidä yhdistellä yhden salasanan taakse, vaikka se olisi kätevää ja helppoa.
Yksi opetus on myös se, että pohjimmiltaan kaikki pilvipalvelut ovat haavoittuvia. Pöytäkoneen, kannettavan ja mobiililaitteiden tiedostot menevät nykyään automaattisesti pilveen, jolloin ne siirtyvät jonkun ulkopuolisen tahon omistukseen ja hänen vastuulleen. Varmuuden vuoksi kannattaa edelleen tehdä omia, offline-varmistuksia usb-tikuille tai ulkoisille levyille. Silloin ne ovat turvassa myös luvattomalta etäpyyhkimiseltä.
Pilvipalvelun uhka pitää suhteuttaa vaihtoehtoihin. Jos Honanin läppäri ja iPhone olisi varastettu, hän olisi menettänyt tiedot yhtä tehokkaasti, mutta se ei olisi ollut mikään uutinen. Jokaista pilveen tehtyä hyökkäystä kohti on varmasti kymmeniä tyytyväisiä asiakkaita, joiden tiedot pilvi on pelastanut levyrikon tai varkauden sattuessa.
Tässä tapauksessa varsinainen ongelma ei ollut pilvessä vaan siinä, ettei digitaalinen elämä ei saa olla yhden salasanan varassa. Tarvitaan parempia todentamiskeinoja. Valitettavasti ne maksavat. Mutta kuinka arvokasta elämäsi on?
Google on toiminut esimerkillisesti. Se tarjoaa salasanojen ohella kaksivaiheista, tekstiviesteihin perustuvaa todennusta. Vaikka Googlen palvelut ovat ilmaisia, yhtiö maksaa Ruotsista lähetettävien tekstiviestien kustannukset.
Applelle rahaa tulvii ovista ja ikkunoista. Lisäksi moni asiakas maksaa erikseen pilvipalveluista. Ei ole mitään tekosyytä sille, ettei Apple ole hoitanut palvelunsa turvallisuutta ajoissa kuntoon.
Lisäys 7.8.2012 Toimittaja on laatinut tarkan kuvauksen tapahtuneesta. Se on pelottavaa luettavaa. Muutamia keskeisiä kohtia:
Getting into Amazon let my hackers get into my Apple ID account, which helped them get into Gmail, which gave them access to Twitter. Had I used two-factor authentication for my Google account, it’s possible that none of this would have happened. (Juuri tämä salasanojen ketjuttaminen on uusi, monelle tiedostamaton riski).
... the very four digits that Amazon considers unimportant enough to display in the clear on the web are precisely the same ones that Apple considers secure enough to perform identity verification (Applen tuki vaihtaa salasanan -- ts. luovuttaa digitaalisen elämän toiselle -- kunhan tietää uhrin sähköpostin, kotiosoitteen ja luottokortin neljä viimeistä numeroa. Ällistyttävää!) If you have an AppleID, every time you call Pizza Hut, you’ve giving the 16-year-old on the other end of the line all he needs to take over your entire digital life.
...if your computers aren’t already cloud-connected devices, they will be soon. Apple is working hard to get all of its customers to use iCloud. Google’s entire operating system is cloud-based. And Windows 8, the most cloud-centric operating system yet, will hit desktops by the tens of millions in the coming year. My experience leads me to believe that cloud-based systems need fundamentally different security measures. Password-based security mechanisms — which can be cracked, reset, and socially engineered — no longer suffice in the era of cloud computing. (100 % samaa mieltä)
I’m not even especially angry at Phobia (joka on 19-vuotias hakkeri!), or his partner in the attack. I’m mostly mad at myself. I’m mad as hell for not backing up my data. I’m sad, and shocked, and feel that I am ultimately to blame for that loss. (On erikoista, että nettirikoksen uhriksi joutuneet syyttävät siitä itseään).
On helppo yhtyä myös loppulauseisiin: And then there’s Apple. I bought into the Apple account system originally to buy songs at 99 cents a pop, and over the years that same ID has evolved into a single point of entry that controls my phones, tablets, computers and data-driven life. With this AppleID, someone can make thousands of dollars of purchases in an instant, or do damage at a cost that you can’t put a price on.
On mahdollista, että vastaavia tietomurtoja on tapahtunut ennenkin, mutta ne eivät ole nousseet otsikoihin. Sana tietomurto on turhan lievä ilmaisu: kyse on digitaalisen elämän varastamisesta ja tuhoamisesta. Sillä voi olla erittäin vakavat seuraukset. Ehkä hakkeri halusi vain osoittaa, miten haavoittuvia nykyiset järjestelmät ovat, ja valitsi siksi uhrin, joka tietää miten saada kohtalolleen julkisuutta?
Tapaus ei kuitenkaan liity pilveen vaan todentamisen yleiseen problematiikkaan. Ja tässä Applella on syytä katsoa peiliin. Vaatimattomasta alusta (iTunes-tili musiikin ostoa varten) on kasvanut iCloud-palvelu, johon käyttäjä lähettää valokuvansa, työtiedostonsa, sähköpostinsa, luottokorttinsa -- koko digitaalisen minänsä.
Ja kaikki tämä on koko ajan ollut yhden salasanan takana!
Aivan kuin ihminen kotoa lähtiessään sulkisi ulko-oven teipillä ja uskoisi, että omaisuus on turvassa.
Viranomaiset muistuttavat jatkuvasti, miten tärkeää on valita vahvoja salasanoja. Ohje on paikallaan, mutta se ei korjaa itse ongelmaa. Salasana voidaan urkkia tai kiertää lukuisilla tavoilla, oli se miten pitkä tahansa.
Applen tapauksessa salasanat ovat usein lyhyitä, koska vahvojen salasanojen naputtelu iPhonen pieneltä näytöltä on työlästä ja virhealtista.
Salasanaviidakossa rämpivä käyttäjä saa apua Twitterin ja Facebookin kaltaisista palveluista, joiden tunnuksilla voi kirjautua muihin palveluihin. Mukavuudella on kääntöpuolensa: salasanan paljastuminen voi aiheuttaa ketjureaktion, jossa hakkeri pääsee moniin sellaisiinkin palveluihin, joita käyttäjä itse ei tule edes ajatelleeksi.
Honanin tapauksesta tekee todellisen painajaisen se, ettei vahinko rajoittunut nettipalveluihin. Apple tarjoaa iCloudissa turvaominaisuutta, jolla voi pyyhkiä varastetun laitteen muistin tyhjäksi. Hakkerin aktivoitua tämän toiminnon Honan menetti myös iPhoneen, iPadiin ja Mac-kannettavaansa paikallisesti tallentamansa tiedot.
Eikö Apple todellakaan tullut etukäteen ajatelleeksi tällaista kauhuskenaariota? Etenkin, kun tietomurto oli tehty huijaamalla sen omaa asiakaspalvelua.
Mitä tästä opimme? Diversiteetti on tietoturvan kannalta tärkeää. Palveluita ei pidä yhdistellä yhden salasanan taakse, vaikka se olisi kätevää ja helppoa.
Yksi opetus on myös se, että pohjimmiltaan kaikki pilvipalvelut ovat haavoittuvia. Pöytäkoneen, kannettavan ja mobiililaitteiden tiedostot menevät nykyään automaattisesti pilveen, jolloin ne siirtyvät jonkun ulkopuolisen tahon omistukseen ja hänen vastuulleen. Varmuuden vuoksi kannattaa edelleen tehdä omia, offline-varmistuksia usb-tikuille tai ulkoisille levyille. Silloin ne ovat turvassa myös luvattomalta etäpyyhkimiseltä.
Pilvipalvelun uhka pitää suhteuttaa vaihtoehtoihin. Jos Honanin läppäri ja iPhone olisi varastettu, hän olisi menettänyt tiedot yhtä tehokkaasti, mutta se ei olisi ollut mikään uutinen. Jokaista pilveen tehtyä hyökkäystä kohti on varmasti kymmeniä tyytyväisiä asiakkaita, joiden tiedot pilvi on pelastanut levyrikon tai varkauden sattuessa.
Tässä tapauksessa varsinainen ongelma ei ollut pilvessä vaan siinä, ettei digitaalinen elämä ei saa olla yhden salasanan varassa. Tarvitaan parempia todentamiskeinoja. Valitettavasti ne maksavat. Mutta kuinka arvokasta elämäsi on?
Google on toiminut esimerkillisesti. Se tarjoaa salasanojen ohella kaksivaiheista, tekstiviesteihin perustuvaa todennusta. Vaikka Googlen palvelut ovat ilmaisia, yhtiö maksaa Ruotsista lähetettävien tekstiviestien kustannukset.
Applelle rahaa tulvii ovista ja ikkunoista. Lisäksi moni asiakas maksaa erikseen pilvipalveluista. Ei ole mitään tekosyytä sille, ettei Apple ole hoitanut palvelunsa turvallisuutta ajoissa kuntoon.
Lisäys 7.8.2012 Toimittaja on laatinut tarkan kuvauksen tapahtuneesta. Se on pelottavaa luettavaa. Muutamia keskeisiä kohtia:
Getting into Amazon let my hackers get into my Apple ID account, which helped them get into Gmail, which gave them access to Twitter. Had I used two-factor authentication for my Google account, it’s possible that none of this would have happened. (Juuri tämä salasanojen ketjuttaminen on uusi, monelle tiedostamaton riski).
... the very four digits that Amazon considers unimportant enough to display in the clear on the web are precisely the same ones that Apple considers secure enough to perform identity verification (Applen tuki vaihtaa salasanan -- ts. luovuttaa digitaalisen elämän toiselle -- kunhan tietää uhrin sähköpostin, kotiosoitteen ja luottokortin neljä viimeistä numeroa. Ällistyttävää!) If you have an AppleID, every time you call Pizza Hut, you’ve giving the 16-year-old on the other end of the line all he needs to take over your entire digital life.
...if your computers aren’t already cloud-connected devices, they will be soon. Apple is working hard to get all of its customers to use iCloud. Google’s entire operating system is cloud-based. And Windows 8, the most cloud-centric operating system yet, will hit desktops by the tens of millions in the coming year. My experience leads me to believe that cloud-based systems need fundamentally different security measures. Password-based security mechanisms — which can be cracked, reset, and socially engineered — no longer suffice in the era of cloud computing. (100 % samaa mieltä)
I’m not even especially angry at Phobia (joka on 19-vuotias hakkeri!), or his partner in the attack. I’m mostly mad at myself. I’m mad as hell for not backing up my data. I’m sad, and shocked, and feel that I am ultimately to blame for that loss. (On erikoista, että nettirikoksen uhriksi joutuneet syyttävät siitä itseään).
On helppo yhtyä myös loppulauseisiin: And then there’s Apple. I bought into the Apple account system originally to buy songs at 99 cents a pop, and over the years that same ID has evolved into a single point of entry that controls my phones, tablets, computers and data-driven life. With this AppleID, someone can make thousands of dollars of purchases in an instant, or do damage at a cost that you can’t put a price on.