*

Ajatuksia vallasta ja vastuusta Valta on hajautettava

Suomen tunnistautuminen on rikki

  • Tämähän on selvästi vesitiivis!
    Tämähän on selvästi vesitiivis!

Valtori vastasi HS:n kysymyksiin ja he antavat vähätellen ymmärtää, että mitään ongelmaa ei ole, ja jos on, niin se on käyttäjissä. 

"Mekin ensin luulimme, että tässä olisi jotain, mutta ei mitään tietoturvapoikkeamaa tai – ongelmaa löytynyt. Emme nyt oikein ymmärrä, miten tämä juuri nyt on pöllähtänyt esiin." ... "Mellas muistuttaa, että Plommerin esiin nostama tietoturvavika voi tietysti sattua, jos tietokoneen käyttäjä ei sulje istuntoaan käytön jälkeen. Silloin joku voi päästä tietoja katsomaan." 

Voin siis nyt hyvin kertoa teille, että ihmisten HETUn ja nimi liikkuu tunnistauduttaessa osoiterivillä palveluiden välillä siirryttäessä. Voit kokeilla, löytyykö selaimen välimuistista näitä tietoja kirjoittamalla osoiteriville yksinkertaisesti "tunnistus.suomi.fi" ja poimit osoitteiden pudotusvalikosta sen kaikkein pisimmän URL:in ja kopioit sen johonkin tekstieditoriin. Tästä rimpsusta löytyy vierailuaikasi, HETUsi ja nimesi, ihan selkokielisenä. Tätä on helppo demonstroida vaikka kollegan koneella - omani oli järkyttynyt, eikä voinut uskoa miten helposti pääsin näihin tietoihin käsiksi. 

Toisin kuin Valtorin nimeämä puhuva pää väittää, tiedot löytyvät myös selaimen historiasta. Voit kokeilla haeskella URLeja sieltäkin. Esimerkiksi sen kirjastokoneen selaushistoriasta voisi saada melkoisen saaliin. Testasin tätä ihan itse tänään ja menin Tikkurilan kirjastoon, jossa asiat oli onneksi hoidettu niin hyvin, että Chrome aukeaa oletusarvoisesti incognito-moodissa. Se ei tallenna jälkiä selailusta selaimen tietoihin. Sieltä en siis saanut ainakaan pikaisella tarkastelulla mitään irti. Tästä kymmenen pistettä heille! Exploreria ei voinut käyttää incognitona, enkä näin jälkikäteen ajateltuna selannut sen historiatietoja. Sieltä olisi voinut ehkä jotain löytyäkin.

Tosiasia kuitenkin on, että lukuisten julkisten koneiden välimuisteja ja selaushistorioita voi selata hyvinkin pitkälle ja siten saada tämän arkaluontoisen yhdistelmän selville. Kukaan ei kiistä, etteikö näiden selville saaminen olisi ongelma, joten Valtorin pitäisi minusta nyt ihan kiltisti myöntää, että aivan liian suuri osa ihmisistä EI tyhjennä sekä selaimen välimuistia, että sen historiatietoja lopettaessaan. TUPAS on aikansa elänyt, jos se sallii näin helpot tietovuodot, että minäkin ne löydän.

Heidän pitäisi siis korjata tämä ammottava tietoturva-aukko niin, etteivät tiedot enää liiku osoiterivillä, ainakaan selkokielellä! Muun muassa tällaisten markkinatoimijoiden takia: "asiakas saa valittavakseen maksaako hän laskulla, osamaksulla vai tilillä, riippuen mitkä palvelut on käytössä.. Asiakkaalta kysytään hetu/y-tunnus, ja luottotiedot tarkistetaan välittömästi.. Syötetyn hetun tai y-tunnuksen pitää olla saman henkilön, kuin mitkä tiedot annettiin tilauksen osoitetiedoissa." (Klarnan varsin hasardi menettelytapa, mikä voisikaan mennä pieleen..?).

Yksi mielenkiintoinen seikka oli se, että tästä nimenomaisesta ongelmasta on kuulemma raportoitu Viestintävirastolle aikaisemminkin, mutta silloinkin on viitattu kintaalla. Tällainen pään puskaan työntäminen ei enää kyberturvallisuuskeskukselta vetele - järjestelmä on korjattava hetimmiten!

Piditkö tästä kirjoituksesta? Näytä se!

10Suosittele

10 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (8 kommenttia)

Käyttäjän topira kuva
Topi Rantakivi

Jos et ole pystynyt pystynyt IE:tä käyttämään InPrivatea (CTRL+Vaihto+P), niin tämä kielii vanhasta IE-versiosta ja ehkä vanhasta laitteistosta.

Mutta melkoista vähättelyä ja pitäisi ehdottomasti korjata pikaisesti, jos ei muuten niin erottamisia ja päitä pölkyille.

Jari-Matti Mäkelä

Kannattaa nyt tajuta, että tuo aukko koskettaa lähinnä julkisia päätteitä, joita käyttää moni henkilö -- usein vielä sellaiset, joilla ei ole itsellä konetta tai hirveästi osaamista tietotekniikasta. Eli ihmiset, jotka tarvitsevat kaikkein eniten apua tietoturvan kanssa.

Kotona ei ole mitään väliä, jos perheenjäsen tai kaveri saa tietää henkilötunnuksen. Julkisissa organisaatioissa kuitenkin on ongelmana, että määrärahat ovat tiukalla ja tietohallinto kujalla, joten ei ole mikään ihme, jos jossain vielä on Windows XP ja IE6. Organisaation johto on voinut kieltää toimivuuden takaamiseksi kaikki päivitykset ja estää käyttäjiä itse korjaamasta asioita. Huom, tämä ongelma ei rajoitu edes yleisöpäätteisiin vaan ihmiset säännöllisesti hoitavat henk.koht. asioita työkoneillakin, jolloin väärinkäytöksien riski on olemassa.

Käyttäjän bestis kuva
Jani Ollikainen

Eikä kosketa. Jos löydän oman läppärini historiasta tuon tiedon niin sitten hetuni on koneellani löydettävissä selaimen historiasta vielä määrätystä paikasta.

Tämän jälkeen on triviaalia lisätä johonkin haittaohjelmaan tuki, joka kaivaa tuosta urlista uhrin koko nimen ja henkilötunnuksen ja lähettää sen verkkorikollisille.

Nyt jos jostain syystä koneelleni saadaankin tämä haittaohjelma, esimerkiksi jonkun 0d-haavoittuvuuden kautta niin tykkäisin, että koko nimeäni ja henkilötunnustani ei voisi kaivaa noin helposti koneeltani.

Käyttäjän plommer kuva
Raoul Plommer

Kävin tänään kampanjoinnin ohessa eräässä Itä-Helsingin kirjastossa ja testasin että Chromen hakuhistoria säilytetään kokonaisen päivän ajan. Kukaan ei ollut silloin aamupäivällä käyttänyt valtion tunnistautumispalvelua, joten en tällaista linkkiä löytänyt, mutta illalla mahdollisuudet olisivat varmasti jo huomattavasti paremmat.

Käyttäjän bestis kuva
Jani Ollikainen

Tuota eikai tämä nyt ole Tupas spekseissä? Nimittäin loin juuri tilin Nordnetiin ja kappas kun urlissa palasi:

h t t p s://www.nordnet.fi/nx-tupfi/return?B02K_VERS=0003&B02K_TIMESTMP=50020150418232853275879&B02K_IDNBR=&B02K_STAMP=IGE6h3gTJTZ4NQPTTzE&B02K_CUSTNAME=&B02K_KEYVERS=0001&B02K_ALG=03&B02K_CUSTID=&B02K_CUSTTYPE=01&B02K_MAC=

Ja katsomalla: https://www.fkl.fi/teemasivut/sahkoinen_asiointi/D...

Kyllä. Tuohan on ihan speksissä, että se tulee GET:inä. Myönnettäköön, että Location: -ohjaus ei onnistu POST:lla vaan pitäisi generoida joku väli HTML, että "Sinut ohjataan nyt palveluun", joka tekisi sen POST-pyynnön (ja sitten taas ko. välidokumentin sisällä joutuu se HETU-olemaan ja sekin menee välimuistiin, mutta IMO parempi sekin kuin GET-parametrit).

Nyt ymmärrän miksi he eivät näe tässä ongelmaa, kun se on itse speksissä ja kaikki palvelut, jotka saavat HETUn ovat siis yhtälailla rikki.

Käyttäjän bestis kuva
Jani Ollikainen

Näköjään speksissä olisi tarjolla myös salattu henkilötunnus.

Mitä nyt muistilokeroista kaivelen tätä niin eikös tämä selkokielisen HETUn saaminen ole jotenkin rajattu vain joillekkin tahoille? Ja kuolevaiset joutuvat toteuttamaan sen, että anna HETU ja sitten järjestelmä vaan kertoo, että oliko se oikein vai ei.

Muistilokeroni ovat oikeassa, esim. Handelin speksit:
http://www.handelsbanken.fi/shb/inet/icentfi.nsf/vlookuppics/10_maksuliikenne_palvelukuvaus__tunnistuspalvelu/$file/palvelukuvaus_tunnistuspalvelu.pdf

"Vastaussanoman ollessa selväkielinen, välittää Handelsbankenin
tunnistus-palvelu joko asiakkaan henkilötunnuksen, henkilötunnuksen tarkisteosan tai Y-tunnuksen sen mukaan, mistä on sovittu palvelusopimuksessa.
Selväkielisen henkilötunnuksen tunnistus palvelu välittää vain palveluntuottajille, joilla on oikeus sitä käsitellä."

Nordnetin tapauksessa jouduin nimittäin syöttämään itse HETUni ja en tajua mitä järkeä on palauttaa HETU selkokielisenä takaisin.

Uusin speksi Finanssialan keskusliitolta: https://www.fkl.fi/teemasivut/sahkoinen_asiointi/D...

Käyttäjän JoelJoonatanKaartinen kuva
Joel Kaartinen

Onkos tämä tietovuoto sitten ihan speksissä asti? Siltä se vähän vaikuttaisi.

Käyttäjän plommer kuva
Raoul Plommer

http://www.iltasanomat.fi/kotimaa/art-200000116167...

"Nainen uskoo tietojensa päätyneen vääriin käsiin jo vuonna 2011 suuren henkilötietovuodon yhteydessä. Kyseisessä vuodossa levisi henkilötietoja siitä koulutusorganisaatiosta, jossa nainen itse opiskeli."

Toimituksen poiminnat