Kuvaaminen työpaikalla vaarantaa tietoturvan

Otetaanko teidän työpaikalla paljon kuvia, joita julkaistaan julkisuudessa? Olettehan varmistaneet, että kuvissa ei näy mitään ylimääräisiä tietoja?

The Guardian julkaisi marraskuussa 2012 uutiskuvia prinssi Williamin palveluspaikalta (armeija), mutta kuvista paljastui jotain, mitä ei oltu tarkoitettu julkisuuteen: käyttäjätunus ja salasana johonkin heidän järjestelmiinsä.

Tapausta on käsitelty tietoturvayhtiö Sophoksen Naked Security -blogissa, jossa myös kyseiset kuvat on näkyvillä.

Niin sanottu ”puhtaan pöydän periaate” koskee myös siis seiniä!

Voiko tietoturvan pettäminen tuhota koko yrityksen?

Viimeisen puolen vuoden aikana internetissä ja alan lehdissä on juteltu paljon ns. varmenneskandaalista. Ensin maaliskuussa 2011 rikollinen taho pääsi käsiksi tietoturvayritys Comodon tytäryhtiön SSL-varmennetietoihin[1] ja myöhemmin syksyllä sama tapahtui yritykselle nimeltä Diginotar[2].

Rikolliset onnistuivat luomaan väärennettyjä SSL-varmenteita, joita sitten esimerkiksi Google, Yahoo, Skype ja Mozilla saivat käyttöönsä[1]. Käytännössä tämä tarkoittaa sitä, että kyseisten palveluiden tietoturvallinen https-yhteys ei todellisuudessa olekaan ollut niin turvallinen.

1 CERT-FI: Vääriä SSL-varmenteita luotu käyttäen varastettuja käyttäjätietoja

2 CERT-FI: Väärennetty SSL-varmenne luotu Googlen osoitteille

 

Asiasta syntyi tapahtuketju, jonka seurauksena Diginotarin varmenteisiin ei enää luotettu ja kyseisen yrityksen varmenteet poistettiin myös eri käyttöjärjestelmistä ja nettiselaimista. Toisin sanoen, yrityksen luottamus on täysin kadonnut ja sitä voidaan pitää lähes kuolemantuomiona nykymaailmassa.

Kysymys: Mieti onko omassa yrityksessäsi jotain tietoa, jonka menettäminen johtaisi vastaavanlaiseen katastrofiin?

Kysymys: Miten olet suojannut liiketoiminnallesi tärkeät tiedot?

Kysymys: Onko yrityksessäsi mietitty, miten liiketoimintaa jatketaan vakavan tietomurron jälkeen?

Tietoturvaloukkauksen hinta yritykselle

CERT-FI uutisoi taannoin tietomurrosta Yhdysvaltalaiseen tietoturvafirmaan nimeltä RSA. Tietomurron vaikutus oli maailmanlaajuinen ja se aiheutti myös paljon uutisointia ja jälkipeliä aiheesta.

Myöhemmin selvisi [1][2]  että tietomurron selvittely ja jatkotoimenpiteet ovat maksaneet RSA:n emoyhtiölle EMC:lle jo $66 miljoonaa dollaria pelkästään toisen vuosineljänneksen aikana.

Yrityksesi tietoturvaa suunniteltaessa ja toteuttaessa kannattaa miettiä myös budjettiasioita. Onko kenties järkevämpää käyttää jonkin verran rahaa tietoturvan suunnitteluun ja ylläpitoon, kuin maksaa sitten jälkikäteen kalliisti. Entä mikä on menetettyjen asiakkaiden ja maineen hinta?

 

1) SANS NewsBites
2) Washington Post

Avoimien WLAN-verkkojen käyttö on nyt laillista!

Mikäli suurempia muutoksia ei enää tule, niin avoimien WLAN-verkkojen käyttö on tästä päivästä (15.3.2011) lähtien laillista. Virallista tietoa asiasta löytyy esimerkiksi oikeusministeriön verkkosivuilta

”WLAN lain” vaikutus tietoturvaan

Kyllä! Saat nyt laillisesti käyttää naapurisi verkkoa! Tietoturvan näkökulmasta asia on kaksijakoinen. Laissa sanotaan, että vain internetin selaaminen on sallittua ja muu toiminta kiellettyä. Eli verkon toisiin koneisiin tai palveluihin ei saa ottaa yhteyttä. Verkon muut koneet saattavat tosin jakaa resurssejaan automaattisesti verkkoon, jolloin kynnys ja houkutus niiden käyttöön todennäköisesti laskee. Osa ihmisistä varmasti ajattelee, että yhteyksien hyödyntäminen negatiivisessa mielessä lisääntyy. Toisaalta jos tieto tästä laista leviää tarpeeksi, niin ihmiset saadaan ajattelemaan tietoturvaa enemmän. Toivottavasti ”vahingossa auki olevat” WLAN-tukiasemat saadaan suojattua lisääntyneen tietoturvatietouden ansiosta. Tahallaan tai tahattomasti avonaisia verkkoja on olemassa kuitenkin melko paljon, joten ainakin itse otan lakimuutoksen mielenkiinnolla vastaan. Muista katsoa myös tämä pienimuotoinen tutkimus aiheesta.

Langattomista verkoista vain noin puolet on tarpeeksi hyvin suojattu!

Tietojesiturvaksi.fi suoritti pienimuotoisen tutkimuksen liittyen WLAN-verkkojen suojaamiseen eräässä kaupungissa. Alueeksi valittiin kaupungin keskusta ja sitä ympäröivät suurimmat asuinalueet. Tarkoituksena oli kartoittaa alueella olevien WLAN-verkkojen määrää ja suojauksen tasoa. Tutkimuksen aikana verkoista ei kerätty ylimääräistä dataa(laitonta!), vaan pelkät saatavilla olevat verkon nimet (SSID) ja salaustyypit(WEP,WPA). Seuraavaksi esitettävät arvot ovat vain ”noin-lukuja”, koska kaikkia alueen langattomia lähiverkkoja on mahdotonta kartoittaa. Osasta verkoista ei saatu myöskään kaikkia tarvittavaa informaatiota. Luvut on pyöristetty lähimpään kymmeneen. Todelliset arvot saattavat olla helposti esimerkiksi +-50 verkkoa. Mitenkään 100% luotettavasta tutkimuksesta ei siis ole kyse, mutta jokaisen on silti helppo havaita jutun idea: Ihmiset ei edelleenkään osaa suojata WLAN-yhteyksiään!

WLAN tutkimuksen tulokset

Alueelta löytyi yhteensä noin 1120 langatonta lähiverkkoa. Näistä 1120 verkosta VAIN 640 oli suojattu turvalliseksi luokiteltavalla WPA-salauksella(WPA/WPA2). Prosentteina siis vain noin 57% oli tarpeeksi hyvin suojattu! Epäluotettavaa WEP-salausta käytti yhteensä noin 170 verkkoa. Prosentteina se on noin 15%. WEP-salaus kannattaa vaihtaa parempaan, koska kyseinen salaus on helposti murrettavissa Ilman salausta oli jopa 310 verkkoa. Eli noin 27% kaikista langattomista lähiverkoista.

Päätelmät

Lyhyesti sanottuna langattomien lähiverkkojen tietoturvatietous ei vieläkään ole tarpeeksi laajalle levinnyttä. Positiivista on se, että yli puolet käyttää jo WPA/WPA2 -salausta. WEP-salaus on kohtuullisen helposti kierrettävissä ja todennäköisesti tällekkin sivustolle siitä jossain vaiheessa demoa julkaistaan. Avoimien verkkojen määrä on suhteellisen suuri. On hyvin todennäköistä, että osa verkon ylläpitäjistä haluaa jakaa WLAN-verkkonsa myös muiden käyttöönsä. Siitä huolimatta noin 27% kaikista löydetyistä verkoista on kohtuuttoman suuri määrä!

 

edit 28.11.2013 poistettu toimimaton linkki