Eräitä todettuja ohjelmistoriskejä 1990-luvulta
Vuonna 1990 AT&T:n kaukoverkon 114 tietokonetta pimenivät yhdeksäksi tunniksi USA:ssa. Ko. aikana 148 miljoonasta kaukopuhelusta vain 50% pääsi läpi. Hotellit menettivät asiakkaita, samoin autovuokraamot ja lentoyhtiöt. Kokonaistappiot olivat 60 -75 miljoonaa dollaria. Yhdysvaltojen laki ei sallinut ennen vuotta 2000 yli 40 bittisiä salausalgoritmeja sisältävien ohjelmistojen vientiä ulkomaille. Lotus neuvotteli sopimuksen NSA:n kanssa siitä, että se voi viedä ulkomaille ohjelmistoja, joiden 64 bitin salausavain sisälsi 24 bitin lisäosan, jonka avain oli luovutettu NSA:lle. Tämän seurauksena NSA pystyi tarvittaessa avaamaan Lotuksen salauksen, mutta muille salaus oli edelleen 64-bittinen. Avaimen siirtäminen NSA:lle ei kuitenkaan ollut salaisuus, vaan siitä tiedotettiin laajasti. Jotkut hallitukset kuitenkin vastustivat Lotuksen sopimusta, koska se saattoi ne NSA:ta heikompaan asemaan. Erityisesti Ruotsissa asiasta nousi kohu, koska Lotus Notes oli käytössä muun muassa useilla valtion virkamiehillä ja kansanedustajilla.
Sinulla ei ole tarvittavia oikeuksia vastauksen lisäämiseksi.
Antti Sinisalo
Eräitä todettuja ohjelmistoriskejä 1990-luvulta
Tietokoneohjatut päätelaitteet esimerkiksi fax, ISDN-puhelin, kännykkä, modeemi, tietokoneessa oleva puhelintoiminne (fax, puheposti ym) mahdollistavat teknisesti näiden laitteiden kauko-ohjuksen jos sellainen toiminne kyseisiin laitteisiin halutaan rakentaa sisälle. Ja jos niissä sellainen on, tämän ohjauksen tietävä voi käynnistää esimerkiksi kännykän tai ISDN-puhelimen ja kytkeä mikrofonin päälle ilman, että laitteen varsinainen haltija huomaa mitään. Englannissa käytössä olevassa System X-puhelinjärjestelmän ISDN-osassa on tämä "puute". System X-järjestelmää on myyty mm Kiinaan ja Venäjälle.
Hakkeri mursi Windows NT:n suojaukset 7. syyskuuta 1998 ja ilmoitti asiasta Microsoftille. Internetselain Navigatorin turvallisuuspuute sallii potentiaalisesti palvelimen lukea tietoa selaimen käyttäjän kiintolevyltä.
Lokakuu 21. 1998: Microsoftin Windows NT sallii sisäpiiriläisen ohittaa kaikki turvaominaisuudet ja hankkia tietoa järjestelmän sisältä.
Syyskuu 1998: Microsoftin ActiveX Internet teknologia olivakava riski toiminnalle Internetissä kuten saksalainen hakkerikerho Chaos Computer Club osoitti suorassa lähetyksessä syksyllä 1998 Saksan televisiossa. Käyttämällä ko. ohjelmaa hakkerit osoittivat pystyvänsä "juoksuttamaan" rahaa miljoonista pankkitileistä vain vapauttamalla konnamaisen ohjelman Internetiin. Microsoftin edustaja totesi tapahtumasta: "Ei ole mahdollista taata Internetin turvallisuutta." Microsoft on korjannut vian, niin että koneen rikollinen haltuunotto ei ole enää mahdollista.
Tietokoneohjatut päätelaitteet esimerkiksi fax, ISDN-puhelin, kännykkä, modeemi, tietokoneessa oleva puhelintoiminne (fax, puheposti ym) mahdollistavat teknisesti näiden laitteiden kauko-ohjuksen jos sellainen toiminne kyseisiin laitteisiin halutaan rakentaa sisälle. Ja jos niissä sellainen on, tämän ohjauksen tietävä voi käynnistää esimerkiksi kännykän tai ISDN-puhelimen ja kytkeä mikrofonin päälle ilman, että laitteen varsinainen haltija huomaa mitään. Englannissa käytössä olevassa System X-puhelinjärjestelmän ISDN-osassa on tämä "puute". System X-järjestelmää on myyty mm Kiinaan ja Venäjälle.
Hakkeri mursi Windows NT:n suojaukset 7. syyskuuta 1998 ja ilmoitti asiasta Microsoftille. Internetselain Navigatorin turvallisuuspuute sallii potentiaalisesti palvelimen lukea tietoa selaimen käyttäjän kiintolevyltä.
Lokakuu 21. 1998: Microsoftin Windows NT sallii sisäpiiriläisen ohittaa kaikki turvaominaisuudet ja hankkia tietoa järjestelmän sisältä.
Syyskuu 1998: Microsoftin ActiveX Internet teknologia olivakava riski toiminnalle Internetissä kuten saksalainen hakkerikerho Chaos Computer Club osoitti suorassa lähetyksessä syksyllä 1998 Saksan televisiossa. Käyttämällä ko. ohjelmaa hakkerit osoittivat pystyvänsä "juoksuttamaan" rahaa miljoonista pankkitileistä vain vapauttamalla konnamaisen ohjelman Internetiin. Microsoftin edustaja totesi tapahtumasta: "Ei ole mahdollista taata Internetin turvallisuutta." Microsoft on korjannut vian, niin että koneen rikollinen haltuunotto ei ole enää mahdollista.
Sinulla ei ole tarvittavia oikeuksia vastauksen lisäämiseksi.
Antti Sinisalo
Eräitä todettuja ohjelmistoriskejä 1990-luvulta
Syyskuu 1998: Linuxin verkkoversio on turvaton. Network File System serverit, jotka käyttävät Linuxia, ovat haavoittuvia hakkerille. Vian löysi USA:n CERT-(Computer Emergency Response Team) organisaatio. "Back Orifice" -virustyyppinen ohjelma mahdollistaa sen, että hakkeri voi ottaa täydelliseen hallintaan Internetiin yhteydessä olevan Windows95/98 -pohjaisen koneen ilman että koneen haltija huomaa mitään. Mahdollisuuden julkaisi "DefCon IV"-hakkerikonferenssi Las Vegas'issa elokuussa 1998. Hakkeri voi skannata Internetiä ja etsiä koneita, joita voisi ottaa haltuun. Kun hakkeri saa koneen ohjaukseensa, hän voi monitoroida sen toimintaa, siepata salasanoja ja sisään kirjoittautumisprosesseja, tuhota tiedostoja jne. Ongelmaan löytyi korjaus muutamassa kuukaudessa.
OKO pankin tietoturva-asiantuntija Ilkka Keso luettelee Data Security'96 seminaariesitelmässään kolmetoista "vahingollista tietoturvayllätystä". Ne mahdollistavat tietoverkko-tai ojelmistosodankäynnin toteutuksen, mutta eivät välttämättä ole kaikki tarkoituksellisia. Vihamielisen vaikuttamisen ja ohjelmointivirheen erottaa vain aikomus, jonka todistaminen taas on erittäin vaikeaa.
Tai Helsingin Sanomat huhtikuussa 2002: Reikäinen Outlook houkuttelee matoja. Toinen toisiaan ovelammat sähköpostivirukset tukkivat verkkoliikenteen ja tunkevat itsensä sähköpostin käyttäjien koneille.
OhjelmistohaavoittuvuudetCERT-FI:n mukaan (lokakuu 2004) palomuurin läpäisyyn käytetään selain-ja soitinohjelmien sekä tietokantojen haavoittuvuuksia, Kotikäyttäjien osalta myös Windows:n haavoittuvuuksia. Tietovarkauksien suhteellinen osuus on lisääntynyt ja epäsosiaalinen toiminta tietoverkoissa on siirtynyt selvästi ammattimaiseen ja rahan ansaitsemisen suuntaan. Uusimmat uhkat ovat kotitietokoneiden kaappaus roskapostin levitykseen, palvelunestohyökkäyksiin ja taloudellisten tietojen hankintaan. Jälkimmäiseen käytetään esimerkiksi täysin oikeilta näyttäviä pankin sivustoja, joiden kautta verkon käyttäjää houkutellaan luovuttamaan luottokorttitiedot, tunnussanat jne.Puolustuksellisia ohjelmistosodankäynnin keinojaTietoturva on puolustuksellisen ohjelmistosodankäynnin ydinkysymyksiä, samoin salaus.Hyökkäyksellinen tietoturvayksikkö, ns. Red Team, on myös puolustuksellinen ohjelmistosodankäynnin keino siinä mielessä, että omaa tietoturvaa vastaan käytettynä se osoittaa organisaation tietoturvan puutteet ja todellisen tason.Suhteellinen etu ohjelmistosodankäynnissäSuhteellisen edun mukaan ohjelmistosodankäynnissä on kolme oleellista aluetta:* paremmat ohjelmat* parempi kyky hyökätä vastustajan ohjelmistoja vastaan ja* parempi kyky suojata ohjelmistoja vastustajan hyökkäykseltä.Reverse engineeringOhjelmistosodankäynnin tärkeitä solmuja ovat ohjelmat, jotka tekevät ohjelmia siis kääntäjät.Merkittävä ohjelmistosodankäynnin keino on konekielisen ohjelmiston takaisinmallinnus konekielisestä korkeamman tason kielelle, jolloin ohjelmiston logiikkaa on oleellisesti helpompi selvittää. Kommunistimaiden väitettiin olleen hyviä tässä kylmän sodan aikana. Takaisinkäännöstä käytetään kaupallisesti muun muassa selvittämään mahdollisia patenttirikkomuksia ohjelmistoteollisuudessa.
Syyskuu 1998: Linuxin verkkoversio on turvaton. Network File System serverit, jotka käyttävät Linuxia, ovat haavoittuvia hakkerille. Vian löysi USA:n CERT-(Computer Emergency Response Team) organisaatio. "Back Orifice" -virustyyppinen ohjelma mahdollistaa sen, että hakkeri voi ottaa täydelliseen hallintaan Internetiin yhteydessä olevan Windows95/98 -pohjaisen koneen ilman että koneen haltija huomaa mitään. Mahdollisuuden julkaisi "DefCon IV"-hakkerikonferenssi Las Vegas'issa elokuussa 1998. Hakkeri voi skannata Internetiä ja etsiä koneita, joita voisi ottaa haltuun. Kun hakkeri saa koneen ohjaukseensa, hän voi monitoroida sen toimintaa, siepata salasanoja ja sisään kirjoittautumisprosesseja, tuhota tiedostoja jne. Ongelmaan löytyi korjaus muutamassa kuukaudessa.
OKO pankin tietoturva-asiantuntija Ilkka Keso luettelee Data Security'96 seminaariesitelmässään kolmetoista "vahingollista tietoturvayllätystä". Ne mahdollistavat tietoverkko-tai ojelmistosodankäynnin toteutuksen, mutta eivät välttämättä ole kaikki tarkoituksellisia. Vihamielisen vaikuttamisen ja ohjelmointivirheen erottaa vain aikomus, jonka todistaminen taas on erittäin vaikeaa.
Tai Helsingin Sanomat huhtikuussa 2002: Reikäinen Outlook houkuttelee matoja. Toinen toisiaan ovelammat sähköpostivirukset tukkivat verkkoliikenteen ja tunkevat itsensä sähköpostin käyttäjien koneille.
OhjelmistohaavoittuvuudetCERT-FI:n mukaan (lokakuu 2004) palomuurin läpäisyyn käytetään selain-ja soitinohjelmien sekä tietokantojen haavoittuvuuksia, Kotikäyttäjien osalta myös Windows:n haavoittuvuuksia. Tietovarkauksien suhteellinen osuus on lisääntynyt ja epäsosiaalinen toiminta tietoverkoissa on siirtynyt selvästi ammattimaiseen ja rahan ansaitsemisen suuntaan. Uusimmat uhkat ovat kotitietokoneiden kaappaus roskapostin levitykseen, palvelunestohyökkäyksiin ja taloudellisten tietojen hankintaan. Jälkimmäiseen käytetään esimerkiksi täysin oikeilta näyttäviä pankin sivustoja, joiden kautta verkon käyttäjää houkutellaan luovuttamaan luottokorttitiedot, tunnussanat jne.Puolustuksellisia ohjelmistosodankäynnin keinojaTietoturva on puolustuksellisen ohjelmistosodankäynnin ydinkysymyksiä, samoin salaus.Hyökkäyksellinen tietoturvayksikkö, ns. Red Team, on myös puolustuksellinen ohjelmistosodankäynnin keino siinä mielessä, että omaa tietoturvaa vastaan käytettynä se osoittaa organisaation tietoturvan puutteet ja todellisen tason.Suhteellinen etu ohjelmistosodankäynnissäSuhteellisen edun mukaan ohjelmistosodankäynnissä on kolme oleellista aluetta:* paremmat ohjelmat* parempi kyky hyökätä vastustajan ohjelmistoja vastaan ja* parempi kyky suojata ohjelmistoja vastustajan hyökkäykseltä.Reverse engineeringOhjelmistosodankäynnin tärkeitä solmuja ovat ohjelmat, jotka tekevät ohjelmia siis kääntäjät.Merkittävä ohjelmistosodankäynnin keino on konekielisen ohjelmiston takaisinmallinnus konekielisestä korkeamman tason kielelle, jolloin ohjelmiston logiikkaa on oleellisesti helpompi selvittää. Kommunistimaiden väitettiin olleen hyviä tässä kylmän sodan aikana. Takaisinkäännöstä käytetään kaupallisesti muun muassa selvittämään mahdollisia patenttirikkomuksia ohjelmistoteollisuudessa.
Sinulla ei ole tarvittavia oikeuksia vastauksen lisäämiseksi.