*

Ajatuksia vallasta ja vastuusta Valta on hajautettava

Valtion sähköinen tunnistus vuotaa hetuja nimien kera

  • "Ei voi olla totta... "
    "Ei voi olla totta... "

Valtion tietoturvassa on ammottava aukko, joka toivottavasti korjataan viipymättä. Ilmoitin tästä äsken Viestintävirastolle, joka on minuun toivottavasti pian yhteydessä, eikä päästä ihan kaikki kokeilemaan, miten homma oikein toimii.

Pienellä kikkailulla, kuka tahansa voisi mennä esimerkiksi kirjaston julkiselle koneelle ja katsella minkä nimiset ihmiset ovat käyttäneet siltä tunnistautumispalvelua, ja mitkä heidän HETUnsa ovat. Koko tempun tekemiseen ja näiden tietojen muistitikulle kopioimiseen menee noin 20 sekuntia, yläkanttiin arvioituna.

Uhan kohteena ovat käytännössä kaikki suomalaiset, jotka käyttävät valtion tarjoamaa sähköistä tunnistautumista julkisella koneella, eli ainakin kouluissa, työpaikoilla ja internetkahviloissa.

Suosittelen kaikkia olemaan käyttämättä valtion tarjoamia tunnistautumispalveluja julkisilla koneilla, kunnes vika on saatu korjattua. Toivon että uhka otetaan vakavasti ja parasta tietysti olisi, että HETUa ei enää käytettäisi minkäänlaisena henkilövarmisteena, edes niiden lehtien tilailun yhteydessä. Silloin niiden vuotamisellakaan ei olisi juuri merkitystä.

 

Haluan parempaa tietoturvaa, massiivisen verkkovalvonnan sijaan. Näissä vaaleissa äänestetään myös oikeudestasi yksityisyyteen. Piraattipuolue lupaa puolustaa sitä, kuten muitakin kansalaisoikeuksia ja yksilönvapauksia herkeämättömästi. Muita puolueita nämä asiat eivät ole tuntuneet juuri kiinnostavan, kun aina vaan juostaan sen rahan perässä, vasempaan tai oikeaan. Piraatit ymmärtävät erityisesti perusoikeuksien ja vapauden päälle.

Olen ehdolla Helsingin piirissä numerolla 259.

Piditkö tästä kirjoituksesta? Näytä se!

17Suosittele

17 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (10 kommenttia)

Käyttäjän plommer kuva
Raoul Plommer

Ensimmäinen lehtijuttu: http://fin.afterdawn.com/uutiset/artikkeli.cfm/201...

Lisää medianäkyvyyttä on toivottavasti tulossa, ovat ainakin lupailleet. Kyberturvallisuuskeskusta pitää nyt painostaa tekemään asialle jotain, ja se nähdäkseni toteutuu ainoastaan kohun nostattamisen kautta.

Joku voisi esimerkiksi listata tähän, mitä kaikkea tuolla yhdistelmällä (HETU+nimi) saa Suomessa tehtyä.

Käyttäjän plommer kuva
Raoul Plommer

http://www.tivi.fi/Kaikki_uutiset/2015-04-17/Valti...

toinen juttu - kiinnostuisikohan usari itsekin jossain vaiheessa.. :)

Käyttäjän plommer kuva
Raoul Plommer

Kyberturvallisuuskeskukselta saamani vastaus:

"Hei,

Kiitos ilmoituksesta.
Selvitämme asiaa.

Pyydämme että ette julkaise yksityiskohtaisia tietoja jotta
väärinkäyttömahdollisuuksia saadaan rajattua.

Yhteiskäyttöisiin tietokoneisiin sisältyy luonnollisesti paljon riskejä,
joiden vuoksi tulisi harkita mitä palveluita sellaisilla koneilla
käyttää. Tietokoneella voi olla esimerkiksi haittaohjelma, joka
tallentaa käyttäjien syöttämiä käyttäjätunnuksia ja salasanoja kun
käyttäjä vierailee jollakin verkkosivulla.

Ystävällisin terveisin
Markus Lintula / Kyberturvallisuuskeskus"

Tony Hannukainen

Nimellä ja hetulla pystyy tilaamaan esimerkiksi Klarna-laskulla muiden piikkiin.

Käyttäjän elisesvahn kuva
Elise Svahn

Ostot tosin täytyy tehdä väestörekisterikeskuksesta löytyvään osoitteeseen.

Käyttäjän plommer kuva
Raoul Plommer

http://www.valtori.fi/fi-FI/Valtion_sahkoisen_tunn...

"Vetuma-tunnistautumisessa selaimen osoiterivillä näkyy mm. istunnon aikaleima, henkilön koko nimi sekä henkilön henkilötunnus, kun käyttäjä siirtyy tunnistautumisen jälkeen käyttämäänsä verkkopalveluun."

Eivät kyllä aio ilmeisesti tehdä mitään asialle. >:(

"Vetuma-palvelun toteuttamisessa on noudatettu Finanssialan keskusliiton Tupas-tunnistamispalvelun määrittelyjä, jonka mukaisesti on toteutettu verkkopankkitunnuksia hyödyntäviä suomalaisia palveluita."

Noh, TUPAS:ssa ei tätä virhettä edes ole. Tämä ei jää tähän.

Tony Hannukainen

"Kaikki selainyhteydet Vetuma-palveluun tapahtuvat SSL-salauksella suojattuna. Ulkopuolinen ei pääse kaappaamaan osoiterivillä kulkevia tietoja verkkoliikenteestä, vaan tiedot näkyvät vain käyttäjälle itselleen."

Esim. hakupalkit ja erilaiset selainten lisäosat mm. google analytics kerää url osoitteet oli salattu tai ei. Samoin url tallentuu servereiden logiin oli https tai ei.

Tony Hannukainen

Itseasiassa tupasin tunnistusperiaatteista löytyy kohta:
3.4 Henkilötunnuksen käsittely
Palveluntarjoaja vastaa siitä, että sillä on kyseisessä palvelussa oikeus käsitellä selväkielistä
henkilötunnusta, mikäli se on halunnut ottaa käyttöönsä Tupas-tunnisteiden selvä-
kielisen toimituksen.

https://www.fkl.fi/teemasivut/sahkoinen_asiointi/D...

Käyttäjän plommer kuva
Raoul Plommer

Kävin tänään Tikkurilan kirjastossa, ja siellä asiat oli hoidettu hyvin - Chrome aukeaa incognito-moodissa oletusarvoisesti. Epäilen kuitenkin tämänkin käytännön vaihtelevan hyvinkin suuresti, kun puhutaan kaikista julkisista tietokoneista. Demosin tätä tänään kollegalleni ja hän vaikutti kauhistuneelta siitä, miten helposti hänen HETU+nimi oli luettavissa hänen käyttämältään koneelta, ihan muutamassa sekunnissa. Se on siis erittäin nopeasti ja helposti tehty.

Tony Hannukainen

Näimpä. Ihmetyttää suuresti, että tämä on valtorin mielestä OK. Erikseen tietoturvauhista tuli mieleen vielä index.dat tiedostot joita erityisesti IE tekee. Tuohon tiedostoon tallentuu kaikki vieraillut verkkosivustot, eikä tiedostot poistu historiaa tyhjentämällä. Vaatii kyllä hieman vaivaa ja osaamista saada ne tiedostot käsiinsä, mutta niistä on luettavissa selkokielisenä kaikki url:it.

Toimituksen poiminnat