*

hautakangas Kyttäyksestä kannustamiseen, rötösherrat kuriin jne.

Olin väärässä NSA:n suhteen

Kuten miljoonat ihmiset ympäri maailman, minäkin kiinnostuin typerästä agentti-salaliittojutusta. Joka oli lopulta, vaikkakin totta, myös melko lailla tyhjä uutisankka. 

Tavasin läpi tiedepapereita ja yritin ymmärtää minulle erittäin monimutkaista matematiikkaa edes yleisellä tasolla, ja vielä varmistaa ymmärrykseni monista lähteistä. 

Koska oli niin makoisa ajatus, että NSA olisi istuttanut takaovia, eli valmistanut itselleen yleisavaimia, tunnetun tietoturvafirman ohjelmistoihin. Ensin suostutellut viranomaiset hyväksymään algoritminsa, ja sitten maksanut selvää rahaa vaarallisen koodin tunkemisesta asiakkaille.

Ja no, ilmeisesti NSA oli tosiaan tehnyt näin. Todennäköisyys, että Dual EC oli mitään muuta kuin epäilyttävä takaovi, on hyvin lähellä nollaa. 

Ongelma on vain, että tuota kyseistä takaovea ei ollut implementoitu, eikä otettu käyttöön, juuri missään. Se oli hyvin epäilyttävä, jopa ilmeinen, mutta ei oikeastaan nykymaailmassa kovin vaarallinen.

...

Todellinen NSA:n takaovi oli mahdollisesti aivan viaton, ja perhanan tyypillinen, ohjelmointivirhe maailman yleisimmin käytetyssä kryptokirjastossa. Sanon mahdollisesti, koska olisi täysin mahdotonta todistaa, jos vaikka se olisikin ollut tarkoituksellinen. 

Tunnettu saksalainen kryptografi kirjoitti koodinpätkänsä valmiiksi uudenvuodenaaton viimeisinä tunteina vuonna 2011, ja lähetti sen tarkastettavaksi. Tarkastaja ei huomannut koodissa virheitä, ja lisäsi sen OpenSSL:ään.

...

Nyt me kaikki olemme kuulleet Heartbleediksi ristitystä bugista, ja jotkut joutuneet tekemään töitäkin sen vuoksi, tässä jo muutaman päivän ajan. Päivittämään ohjelmistoja, luomaan uusia avaimia, ostamaan (tai allekirjoittamaan) uusia sertifikaatteja, keksimään uusia salasanoja.

Bloombergin tämänpäiväisen uutisen mukaan NSA löysi virheen lähes saman tien, heti kun se oli kirjoitettu 2012 vuodenvaihteessa. Ja on siitä asti käyttänyt sitä hyväkseen, välittämättä siitä, että joku muukin saattaisi sen löytää.

...

Virhe on niin ilmeinen, että sen huomaamatta jättämisestä voi tuntea vain häpeää koko avoimen / vapaan lähdekoodin yhteisön puolesta.

...

Tämä sarjakuva summaa maailman parhaiten, mistä oli kyse. Lue se. Ymmärrät sen, vaikka et edes osaisi englantia.

Ohjelmointivirhe on ollut olemassa yli kaksi vuotta. Se pitäisi periaatteessa olla helppo havaita; jo vuosien ajan on ollut täysin julkisessa levityksessä työkaluja, joiden avulla pitäisi huomata, jos jokin ohjelma ottaa merkkijonon pituuden epäluotettavana syötteenä ulkopuolelta.

OpenSSL:n tapauksessa tämä ei tietenkään ollut ihan triviaalia - osittain johtuen toisesta ohjelmointivirheestä, joka on ollut olemassa, ja julkisesti tunnettu, jo neljä vuotta.

Ja tämä virhe taas johtui siitä, että OpenSSL on sillisalaattia spagetilla, kuten valitettavan monet muutkin vapaan lähdekoodin ohjelmistot.

...

Mutta eihän kenellekään asiantuntijallekaan tullut mieleen lähemmin tarkistella jotain niin yksinkertaista ja merkityksetöntä asiaa kuin "heartbeatia". Pulssia. Pulssia ei kokeiltu.

Koko tuon koodinpätkän, tuon uuden ominaisuuden, tarkoitus oli vain varmistaa, että yhteys pysyisi auki. Lähettää pätkä jotain merkityksetöntä dataa toiseen päähän, ja pyytää, että toinen pää lähettäisi sen takaisin.

NSA:lla oli resurssit tutkia tällaisiakin virheitä. Tuhansia asiantuntijoita käymässä läpi joka ainoan koodirivin.

Ei haitannut, että virhettä oli vaikea hyväksikäyttää. Se vaati vain hieman aikaa ja jaksamista, ehkä tuuriakin. 

Täydellinen ohjelmointivirhe siis.

...

Snowden ei turhaan sanonut, että kunnolla toteutettu salaus on yhä luotettavaa. Ehkä hän tiesi OpenSSL:n haavoittuvuudesta, ehkä ei. Pätevä lausunto silti.

OpenSSL, ja moni muu Internetin ydinteknologia, on toteutettu vapaaehtoisvoimin. Kun näitä projekteja aloiteltiin, ei ollut edes olemassa sellaista vaaraa, että haavoittuva koodi päätyisi miljardiin puhelimeen, tai joka ainoaan kuluttajille toimitettavaan digiboksiin, tulostimeen, pankkiin, maksupäätteeseen, autoon, musiikkisoittimeen... tai lähes jokaiseen kytkimeen ja tukiasemaan suuryritysten tai valtioiden verkoissa.

Salaus on vaikeaa. Salaus on matemaatikoiden ja tilastotieteilijöiden hommaa, pikemminkin kuin ohjelmoijien, ylläpitäjien tai laitevalmistajien. 

OpenSSL:ää on koko tämän ajan kehittänyt muutama kourallinen ohjelmoijia, joista suurin osa ei ole edes saanut palkkaa työstään. 

Olisi meidän kaikkien, joka ainoan yksilön, yhteisön ja yrityksen, sekä kaikkien valtioiden, intresseissä maksaa edes jollekulle tällaisen koodin siivoamisesta, virheiden etsimisestä ja niiden korjaamisesta.

Sen sijaan, valtiot ja erinäiset yritykset maksavat huippuasiantuntijoille virheiden löytämisestä, ja sitten niiden salaamisesta ja hyväksikäytöstä. 

 

...

Osa Heartbleedin löytäjistä, ja sen alkuperäiset nimeäjät, olivat suomalaisia tietoturvatutkijoita. Yrityksestä, joka on tehnyt läheistä yhteistyötä muun muassa juurikin NSA:n kanssa. Ja lukuisten muiden "valtiollisten toimijoiden".

Päivän Hesarin uutisessa tästäkin yhteistyöstä, ja firman hallituksen jäsenen keikasta vakoilevassa Valkoisessa talossa, ollaan jopa ylpeitä.

Kehottaisin nyt tutkivaan journalismiin itse kutakin.

Piditkö tästä kirjoituksesta? Näytä se!

14Suosittele

14 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (14 kommenttia)

Käyttäjän hautakangas kuva
Ville Hautakangas

Ja muuten, yksi asia mihin EU:n tulisi puuttua, ovat nämä "tietoturvayritykset" jotka myyvät turva-aukkoja, ja joissain tapauksissa jopa valmiita vakoiluohjelmistoja, valtioille.

Jos "paha" hakkeri käyttäisi tämänkaltaista haavoittuvuutta hyväkseen ansaitakseen rahaa, hänet pistettäisiin kiven sisään. Mutta kun "hyvä" hakkeri myy tiedon valtiolle, joka käyttää sitä hyväkseen ansaitakseen rahaa, hän vain ansaitsee rahaa.

Näitä firmoja on EU:ssa useita, ne ovat toimineet jo usean vuoden ajan, ja lisää syntyy kuin sieniä sateella.

Käyttäjän mattivillikari kuva
Matti Villikari

Ajattele, jos kukaan ei tekisi viruksia, virustorjuntaohjelmia myyvät yritykset olisivat heikoilla. Miten ne varmistavat, että uusia viruksia syntyy?

Käyttäjän herrakeronen kuva
Jiri Keronen

Tietokonevirukset eivät ole ainoa tietoturvallisuusuhka, eivätkä edes merkittävin.

Käyttäjän uskap kuva
Pasi Kortesuo

on kummallista, että voidaan myydä niinkin viallista tuotetta, että tuotteen takia joutuu ostamaan lisäturvaa.

Jos auto olisi sellainen, että kukatahansa muu kuin kuljettaja voisi ottaa sen haltuun, ei sellaista saisi edes myydä.

Käyttäjän hautakangas kuva
Ville Hautakangas

OpenSSL:ää siis ei ole myyty. Se tulee ilmaiseksi mukana lukuisissa tuotteissa, ja sitä on pidetty erittäin luotettavana. Mitä se on toki ollutkin.

Mutta tällaisessa vempeleessä pienikin virhe voi johtaa katastrofaaliseen tiedon vuotamiseen, ja pilata koko tietoturvan.

Nyt täytyisi päivittää, kaikkien web-palvelimien lisäksi, myös joka ainoa ADSL-boksi, kaapelimodeemi, Wifi-AP, älytelevisio, kännykkä, tulostin, kaikki laitteet, jotka ovat tarjonneet OpenSSL:ään perustuvaa suojattua yhteyttä.

Osaa noista ei tulla päivittämään koskaan, sillä valmistajia ei enää kiinnosta.

Käyttäjän uskap kuva
Pasi Kortesuo Vastaus kommenttiin #4

Niin se valmistajan vastuu olikin tuossa analogiassa pointti. Ylipäänsä vastuu keksinnöistä. Kukaan ei ole vastuussa, että ne ovat "turvallisia" jo tiedossa olevia "uhkia" vastaan.

"Uhka" on tietysti suhteellinen. Yksityisen pienen ihmisen kokema uhka on turvallisuustekijä valtaapitäville.

Aki Häkkilä

"on kummallista, että voidaan myydä niinkin viallista tuotetta, että tuotteen takia joutuu ostamaan lisäturvaa.

Jos auto olisi sellainen, että kukatahansa muu kuin kuljettaja voisi ottaa sen haltuun, ei sellaista saisi edes myydä."

Miksiköhän ihmiset ovat niin hölmöjä, että ottavat autoihinsa varkausvakuutuksen? Eihän sellaista autoa saa myydä, jonka kuka tahansa voi ottaa haltuun.

Käyttäjän hautakangas kuva
Ville Hautakangas

Muutkin kuin NSA ovat kuunnelleet verkkoliikennettä, erityisesti erilaisia hyökkäyksiksi epäiltyjä omituisuuksia.

Viime vuonna tallennettiin selvästi Heartbleed-bugia hyödyntänyt hyökkäys, joka oli lähtöisin todennäköisesti *johonkin* tiedusteluvirastoon liittyvästä botnetistä:

https://www.eff.org/deeplinks/2014/04/wild-heart-w...

Nämä kyseiset tietokoneet tunnistettiin alunperin epäilyttäviksi siitä, että ne yrittivät tallentaa kaiken mahdollisen viestiliikenteen IRC:in Freenode-verkosta. Tämä ei ole normaalien verkkorikollisten, tai edes pahantahtoisten tietomurtajien toimintaa - vaan jonkun sellaisen tahon, joka haluaa etsiä neuloja heinäsuovista isolla rahalla.

Käyttäjän jperttula kuva
Juhani Perttu

Entä jos et ollutkaan väärässä ? NSA on jakanut disinformaatiota.

Käyttäjän hautakangas kuva
Ville Hautakangas

NSA on käyttänyt tietoturvan särkemiseen ja virheiden piilotteluun enemmän rahaa ja ihmistyövuosia, kuin koko avoimen lähdekoodin yhteisö on käyttänyt virheiden korjaamiseen. Tätä on jatkunut jo vuosien ajan.

Eikä asialla ole pelkästään NSA, samaa touhuavat monet muutkin valtiot kaiken aikaa. Ja yritykset, myös ihan rehelliset, länsimaiset, hyvää voittoa tuottavat firmat.

Käyttäjän Tronic kuva
Lasse Kärkkäinen

Mites tämä Suomeen tekeillä oleva kyberturvallisuushanke?

Käyttäjän hautakangas kuva
Ville Hautakangas Vastaus kommenttiin #9

Suomessa on viime vuosina opittu lähinnä tiedottamaan vaaroista, mikä on sentään hyvä.

Mutta aktiiviseen turvallisuuden parantamiseen ei ole liiemmin pistetty paukkuja, vaikka osaamistakin löytyisi. Tietoturvatutkijoiden kannattaa ennemmin pitää sekä osaamisensa että löytönsä salassa, ja rahastaa niillä.

...vai tarkoititko sitä, miten erinäiset viranomaiset ovat "kyberturvallisuuden" parantamisen nimissä vilautelleet mahdollisuuksia NSA-tyyliseen tietoliikenteen valvontaan ja aktiiviseen urkintaan, mikä siis ei ainakaan lisää turvallisuutta?

Käyttäjän hautakangas kuva
Ville Hautakangas

NSA:n mukaan väite ei ole totta, ja he eivät ole tienneet mitään koko bugista ennen sen julkistamista. Näin sanoivat oikein virallisesti Twitterissä:

https://twitter.com/NSA_PAO/statuses/4547200591567...

Myöhemmin National Security Council vakuutteli vähän pitemminkin, jostain syystä Google Docsissa julkaistussa viestissä:

https://docs.google.com/document/d/1xjRLcCGO1g2Vwa...

Ja tämä saattaa olla totta. NSA, kuten muutkin Yhdysvaltain turvallisuuselimet, on jo vuosien ajan ulkoistanut likaisia töitään ulkopuolisille yrityksille. Muun muassa nimenomaan siksi, että voisivat kiistää tietävänsä mitään tällaisista asioista.

Käyttäjän hautakangas kuva
Ville Hautakangas

Cloudflare järjesti kilpailun, kuka pystyisi nopeimmin varastamaan palvelimen salausavaimen Heartbleedin kautta. Avaimen pilkkiminen vaati satojatuhansia - miljoonia yrityksiä, mutta valmista tuli:

https://www.cloudflarechallenge.com/heartbleed

Joka ainoa noista yrityksistä kopioi hyökkääjälle satunnaisen palan palvelinohjelmiston muistialueesta. Hyökkääjän ei tarvinnut muuta kuin etsiä muistivedoksista salaisen avaimen näköistä merkkijonoa, ja sitten tarkistaa, että palvelun julkinen avain vastasi tätä.

Normaalissa Internet-palvelussa tällaisesta kalastuksesta ei olisi jäänyt mitään jälkiä mihinkään, ainakaan, jos sen olisi tehnyt vähän hitaammin ja "normaalien" yhteydenottojen yhteydessä.

Toimituksen poiminnat