Tietoturva & kyberhyökkäykset

[Husky]

Henkilökortilla varmentautuminen kansalaisvarmenne

Kansalaisvarmenne ja sähköinen henkilöllisyys | Digi- ja väestötietovirasto - Digi- ja väestötietovirasto

Kansalaisvarmenne on sähköinen henkilöllisyystodistus, jonka avulla henkilö voidaan luotettavasti tunnistaa sähköisessä asioinnissa. Kansalaisvarmenne sisältää mm. etu- ja sukunimen sekä sähköisen asiointitunnuksen. Sähköinen asiointitunnus (SATU) toimii henkilön yksilöivänä tunnistetietona...

dvv.fi

Vai tuollainen. Oliko tuo jo keväällä? Silloin ei tullut vastaan tämä, kun selvittelin eri turvallisuusjuttuja (aika laajalti myös palstalla toisessa letjussa).

Tosiaan Nordealla - ainakin - näkyy kännykässä että mihin paikkaan autentikointia ollaan tekemässä, vaikkapa suomi.fi tunnistautuminen. Saako hämäräveikot tuollaisen autentikoinnin järjestettyä, heitä ei hyväksyttäne tuohon tunnistautumisjärjestelmään? Jos onnistuvat oman sivustonsa kautta kaappaamaan (man in the middle) käyttäjän autentikoitumisen vaikkapa käyttäjän verkkopankkiin niin sitten pahoja asioita pääsee tapahtumaan tai no tässäkin vaaditaan että käyttäjä varmentaa tilisiirtoja. Ilmeisesti näitä tapahtuu jollain tyylillä median juttujen perusteella, olisi kiva ymmärtää tämä tekniikka tarkemmin ja skenaariot jotta voi välttyä

Kiinnostaa kanssa huijaustekniikat.
Jonkin verran on eroja median ja palstan tietojen välillä. Ja kun tuossa tuli suoritettua kyberkurssi niin sielläkin jossakin tod. oleellisessa asiassa eroa palstan tietoihin nähden

 

[VesA]

Tää on mennyt pieleen jo siinä, kun ylipäätään tunnistus tehdään 'pankkikirjalla'. Esim. Virossa yleisesti käytetään kortinlukijaa + sirullista henkilökorttia, samaan tapaan kuin terveydenhuollon ammattihenkilöt tekevät Suomessa.

Tämä mahdollisuuushan on Suomessakin kaikilla joilla on virallinen henkilöllisyystodistus. PIeleen meni siinä kun kortin lukemiseen tarvittavaa laitetta ei alunperinkään mitenkään tuputettu / autettu / jopa sponsoroitu. Vanhoina hyvinä aikoina laite oli sarjaporttiin liitettävä ajureineen, myös läppäreissä oli läpiä joihin pystyi työntämään adapterin. En ole tutkinut millaisia lukijoita nyt on - ja millaista kortti vaatii.

Asiaa sotki myös aikoinaan se, että Kela oli samoilla apajilla ja siitäkin piti riidellä.

 

[kaihakki]

Kansalaisvarmenne kyllä toimii varmaankin laajalti. Mutta, mutta....... Pitää olla virallinen henkilökortti, joka näyttää nyt maksavan 52,- euroa. Se ei riitä, vaan tietsikassa pitää olla lukijalaite, johon kortti työnnetään tunnistautumisessa. Kaikissa tietsikoissa sitä ei ole, joten pitää ostaa erikseen USB-reikään laitettava aparaatti. Esim. tällainen.
https://www.prisma.fi/tuotteet/1101...MI-529zs3jiAMVOxCiAx1zjRFbEAQYCiABEgLTKvD_BwE

Tuollaista vastaavan ostin joku vuosi takaperin. En tiedä, miten korttia käytettäisiin älykännykän kanssa.

 

[kotte]

Esim. Virossa yleisesti käytetään kortinlukijaa + sirullista henkilökorttia, samaan tapaan kuin terveydenhuollon ammattihenkilöt tekevät Suomessa.

Tuokaan ei ole pomminvarma systeemi, koska väli kortinlukija--nettipalvelu ei ole kunnolla kontrollissa. Joku voi uittaa väliin man-in-the-middle-softaa, joka sitten tekee hiukan muitakin ja muunnettuja transaktioita käyttäjän tietämättä. Webbiselainkin on sen verran monitasoinen kokonaisuus, että sen sisään tunkeutuminen on vaikeudeltaan aivan toista luokkaa ja tuonne on jo ympätty suuri määrä turvaavaa ohjelmanpalasta.

Jokin pelkkää sirukorttia monipuolisempi kortti, joka hoitaa omassa turvakäyttöjärjestelmäympäristössään mahdollisen biometrisen tai passphrase-osuuden voisi jo herättääkin luottamusta. Älypuhelin on samoin aika hyvä, jos käyttöjärjestelmä tukee laitteiston erityispiirteiden ohella (eikä kehikkoa ole tarkoituksella rikottu).

 

[Ton1A]

Esimerkiksi terveydenhuollon ammattihenkilöt käyttävät täysin sirullista henkilökorttia vastaavaa sirukorttia tunnistautumiseen. Itse asiassa ko. ammattikortti kelpaa suomi.fi:ssä myös henkilökohtaiseen tunnistautumiseen.

Teknisesti tuo sirukortti sisältää X.509 sertifikaatin, jonka kortinlukijaohjelmisto sitten tarjoaa nettiselaimelle. Nettiselain sitten taas tarjoaa ko. sertiä eteenpäin, jos nettisaitti kertoo että nyt pitäisi antaa serti, jonka allekirjoittajatahona on jokin tietty taho. Esim. suomi.fi:n tapauksessa Digi- ja Väestövirasto. Tekniikka tunnetaan nimellä mTLS, eli Mutual TLS. Tavallisestihan ainoastaan selain luottaa siihen, että palvelinpää varmentaa itsensä TLS-sertillä. mTLS tarkoittaa sitä, että myös palvelinpää varmentaa selaimen pään identiteetin.

 

[Husky]

Esimerkiksi terveydenhuollon ammattihenkilöt käyttävät täysin sirullista henkilökorttia vastaavaa sirukorttia tunnistautumiseen. Itse asiassa ko. ammattikortti kelpaa suomi.fi:ssä myös henkilökohtaiseen tunnistautumiseen.

Teknisesti tuo sirukortti sisältää X.509 sertifikaatin, jonka kortinlukijaohjelmisto sitten tarjoaa nettiselaimelle. Nettiselain sitten taas tarjoaa ko. sertiä eteenpäin, jos nettisaitti kertoo että nyt pitäisi antaa serti, jonka allekirjoittajatahona on jokin tietty taho. Esim. suomi.fi:n tapauksessa Digi- ja Väestövirasto. Tekniikka tunnetaan nimellä mTLS, eli Mutual TLS. Tavallisestihan ainoastaan selain luottaa siihen, että palvelinpää varmentaa itsensä TLS-sertillä. mTLS tarkoittaa sitä, että myös palvelinpää varmentaa selaimen pään identiteetin.

Juu tuon sirukortin huomasin viime keväänä, kun selvittelin itselleni näitä asioita. Mutten muista tuota ML:n aiemmin linkkaamaa DVV:n sivuillaolevaa kaiken kansan korttia nähneeni keväällä

 

[kotte]

Esimerkiksi terveydenhuollon ammattihenkilöt käyttävät täysin sirullista henkilökorttia vastaavaa sirukorttia tunnistautumiseen. Itse asiassa ko. ammattikortti kelpaa suomi.fi:ssä myös henkilökohtaiseen tunnistautumiseen.

Teknisesti tuo sirukortti sisältää X.509 sertifikaatin, jonka kortinlukijaohjelmisto sitten tarjoaa nettiselaimelle. Nettiselain sitten taas tarjoaa ko. sertiä eteenpäin, jos nettisaitti kertoo että nyt pitäisi antaa serti, jonka allekirjoittajatahona on jokin tietty taho. Esim. suomi.fi:n tapauksessa Digi- ja Väestövirasto. Tekniikka tunnetaan nimellä mTLS, eli Mutual TLS. Tavallisestihan ainoastaan selain luottaa siihen, että palvelinpää varmentaa itsensä TLS-sertillä. mTLS tarkoittaa sitä, että myös palvelinpää varmentaa selaimen pään identiteetin.

Juu, tuossa on mallina keskitetty auktoriteetti, joka varmistaa, että sen kanssa asioivat ovat oikeutteja asiointiin. Laiteympäristö on sitten keskitetty ja kaikin puolin valvottu laitteistoympäristö, jolloin esimerkiksi järjestelmää käyttävän lääkärin mieleen tuskin edes juolahtaa eikä ole tarpeellistakaan pohtia, olisiko tuonne toiseen päähän sittenkin jossakin vaiheessa jonkin kiepsautuksen seurauksena pujahtanut jonkin roskalehden toimittajan, huumedealerin tai "kivimäen" kaltainen taho, jolla on aivan muut aikeet mielessään.

 

[kaihakki]

Huijari on rakentanut esim. Trafin sivuston kopion, jonne huijattava houkutellaan tekstiviestillä ja jossa pyydetään käyttäjätunnus, joka sitten menee huijarille, joka kirjautuu tilille, jolloin huijattavan puhelimeen tulee vahvistuspyyntö ja huijattava antaa tunnuslukunsa, jolloin huijari on päässyt tilille. Yksityiskohtia en tiedä, miten tehdään, mutta suunnilleen noin se menee.

Jatketaan vielä, että miten sitten huijari tekee tilisiirron. Aamutelkkarissa joku päivä sitten oli asiantuntija, joka kertoi, että huijari on perustanut ns. muulitilin jonnekin päin maailmaa. Nyt huijari tekee tilisiirron, muttei vielä paina enteriä. Lähettää tekstiviestin huijatulle ja ilmoittaa, että tuli ongelmia, että kirjaatko salasanan uudelleen ja painaa enteriä, jolloin huijatun kännykkä pärähtää ja pyytää salasanan. Antaa sen ja tililtä lähti rahat muulitilille. Sen jälkeistä tapahtumaketjua kryptotilille en tiedä. Mutta suunnilleen noin se proseduuri menee.

Mielestäni valtiovallan pitäisi kuvata nämä erilaiset huijausproseduurit mahdollisimman tarkasti julkisesti kansalaisille, jotta ymmärtävät niiden kulun.

 

[kotte]

Mielestäni valtiovallan pitäisi kuvata nämä erilaiset huijausproseduurit mahdollisimman tarkasti julkisesti kansalaisille, jotta ymmärtävät niiden kulun.

Yleensä riittää ymmärtää, että kaikenlaisten linkkien klikkaaminen on potentiaalinen riski, jollei tiedä täsmälleen, minne linkki vie. Eli, jos on klikannut jonkun dokumentin sisältävää linkkiä, on kytkettävä päälle "mentaalinen jarru", ettei tee yhtään mitään pankkiasiointiin tai tunnistautumiseen liittyvää tarkistamatta ja harkitsematta ensin tosi tarkasti, mitä on tapahtumassa, ja olisi yleissääntönä tällöin parempi noudattaa, miten pankki on neuvonut toimimaan yleisellä tasolla ja jättää sittenkin klikkaamatta kaikenlaiset oikotielinkit. Valitettavasti kaikkia mahdollisia huijauskuvioita lienee jokseenkin mahdoton edes luetella.

Valitettavasti monet tunnetutkin organisaatiot rikkovat periaatetta aika pahasti omassa tiedotustyössään ja asiointipalveluissaan, vaikkakin viime aikoina tilanne on selvästi mennyt parempaan päin verrattuna siihen, mitä se ollut tässä suhteessa. Touhuhan on ollut nykynäkökulmasta tarkastellen etenkin aikaisemmin aivan edesvastuutonta.

 

[Husky]

Yleensä riittää ymmärtää, että kaikenlaisten linkkien klikkaaminen on potentiaalinen riski, jollei tiedä täsmälleen, minne linkki vie. Eli, jos on klikannut jonkun dokumentin sisältävää linkkiä, on kytkettävä päälle "mentaalinen jarru", ettei tee yhtään mitään pankkiasiointiin tai tunnistautumiseen liittyvää tarkistamatta ja harkitsematta ensin tosi tarkasti, mitä on tapahtumassa, ja olisi yleissääntönä tällöin parempi noudattaa, miten pankki on neuvonut toimimaan yleisellä tasolla ja jättää sittenkin klikkaamatta kaikenlaiset oikotielinkit. Valitettavasti kaikkia mahdollisia huijauskuvioita lienee jokseenkin mahdoton edes luetella.

Valitettavasti monet tunnetutkin organisaatiot rikkovat periaatetta aika pahasti omassa tiedotustyössään ja asiointipalveluissaan, vaikkakin viime aikoina tilanne on selvästi mennyt parempaan päin verrattuna siihen, mitä se ollut tässä suhteessa. Touhuhan on ollut nykynäkökulmasta tarkastellen etenkin aikaisemmin aivan edesvastuutonta.

Linkeistä puhuttaessa aina mainitaan pankkitunnusten antaminen. Ignoorataan haittaohjelmien asentumisriski tai jopa väitetään, että sellaista riskiä ei tosiasiallisesti ole.

Periaatteiden rikkomisesta: sellaiset tahot, joilla TODELLAKIN PITÄISI olla tiedossa toimintatavat, kuten Elisa tai Digivirasto, lähettävät tunnistautumislinkkejä meilillä vuonna 2024...eikä pysty muuta kautta hoitamaan heidän sivuillaan, hohhoijaa....

 

[pamppu]

Se ei riitä, vaan tietsikassa pitää olla lukijalaite, johon kortti työnnetään tunnistautumisessa. Kaikissa tietsikoissa sitä ei ole, joten pitää ostaa erikseen USB-reikään laitettava aparaatti.

Kansalaistunnistautumiseen sirukortti on kuolleena syntynyt ajatus. Tossa ensimmäinen virheellinen oletus oli kohta ”tietokone”, johon pitäisi vielä jotain lisälaitteita laittaa. En käytännössä koskaan käytä tietokonetta mihinkään asiointiin. Se on joko ipad tai puhelin. Tunnistaumisen otan puhelimen mobiilivarmenteella aina kun mahdollista. Kortinlukijan kuljettaminen mukana olisi jo huono vitsi vaikka se ehkä jonain bluetoothlaittena vois olla mahdollistakin.

 

[Hempuli]

Auttaako NCF tai RFID (mitä sitten ovatkin...) lyhyen kantaman tiedon siirtoon esim. puhelimen kanssa. Oleellistahan tunnistautumisessa on jotakin, mitä on hallussa eikä siihen verkon kautta pääse hakkeri.

 

[VesA]

Kansalaistunnistautumiseen sirukortti on kuolleena syntynyt ajatus. Tossa ensimmäinen virheellinen oletus oli kohta ”tietokone”, johon pitäisi vielä jotain lisälaitteita laittaa. En käytännössä koskaan käytä tietokonetta mihinkään asiointiin. Se on joko ipad tai puhelin. Tunnistaumisen otan puhelimen mobiilivarmenteella aina kun mahdollista. Kortinlukijan kuljettaminen mukana olisi jo huono vitsi vaikka se ehkä jonain bluetoothlaittena vois olla mahdollistakin.

Sirukorttia on alettu jakaa 1999 - 25 vuotta sitten. Ei silloin ollut muuta kuin tietokone ja sen sarjaportti.
Nykyään on näin:

Vuonna 2017 ja myöhemmin myönnetyissä korteissa on etälukuominaisuus joka mahdollistaa kortin käytön ilman kontaktillista älykortinlukijaa jos lukevassa tietokoneessa, mobiililaitteessa tms. on NFC-tuki sisäänrakennettuna tai ulkoinen NFC-lisälaite. Allekirjoituksia (PIN2-tunnuslukua käyttävää varmennetta) ei voi tehdä NFC-yhteydellä "turvallisuussyistä", se vaatii edelleen kontaktillisen lukulaitteen. Mobiililaitteissa NFC-ominaisuus on käytettävissä toistaiseksi ainoastaan Google/Android-alustalla ja vaatii erillisen SCS-ohjelmiston asentamisen mobiililaitteeseen.

 

[Ode]

Mielestäni valtiovallan pitäisi kuvata nämä erilaiset huijausproseduurit mahdollisimman tarkasti julkisesti kansalaisille, jotta ymmärtävät niiden kulun.

Mahdollisimman tarkkoja kuvauksia ei välttämättä ole, mutta Kyberturvallisuuskeskus ja DVV julkaisevat valtavasti materiaalia kansalaisten ja yritysten käyttöön. Esim. DVV:n matskuilla yritys kuin yritys voi tehdä toimivan kybeturvallisuuspolitiikan, eikä tartte maksaa senttiäkään konsultille, joka kopioi noi matskut ja myy omanaan.

Traficomin Kyberturvallisuuskeskus | Kyberturvallisuuskeskus

Kyberturvallisuuskeskus kehittää ja valvoo viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta. Tuotamme tietoturvallisuuden tilannekuvaa.

www.kyberturvallisuuskeskus.fi

Kybermittari | Kyberturvallisuuskeskus

Palvelu ja työkalut organisaatioiden kyberturvallisuuden arviointiin ja kehittämiseen.

www.kyberturvallisuuskeskus.fi

Digiturvajulkaisut - Digi- ja väestötietovirasto

Digi- ja väestötietovirasto julkaisee digitaaliseen turvallisuuteen liittyviä selvityksiä, oppaita ja tukimateriaaleja. Julkaisut ovat vapaasti hyödynnettävissä.

dvv.fi

Digiturvan oppimispolut | Digi- ja väestötietovirasto

dvv.fi

Turvallisen sovelluskehityksen käsikirja - Sovelluskehitysopas - DVV external Confluence

wiki.dvv.fi

 

[Husky]

Juu, on noissa yritystä noissa infoissa. Niitä keväällä katselinkin.
Silloin oli jokin case mitä koitin noista selvittää, mutta kovin oli pinnallista eli vain ne ikiaikaiset jotka jokainen jo tietää että älä anna puhelimessa pankkitunnusta blaablaablaa mutta ei yhtään syvällisempää. Varmaankin koitin selvittää itselleni justiinsa haittaohjelmien asentumisjuttuja, että kuinka tietoisesti ne pitää hyväksyä vai meneekö ihan esim kun sumussa klikkailee evästeitä. Että jos yksi miljoonasta onkin "eväste"

 

[Hempuli]

Samaa tai samantyylistä salasanaa ei ole tullut käytettyä eri paikkoihin kirjautuessa. Olin taannoin yhden sovelluksen admin. Käyttäjän ajamat scriptit kaiuttivat tunnuksen ja salasanan prosessinäkymään. Toki olin salassapidon piirissä enkä muutenkaan niihin kiinnittänyt huomiota.

Paitsi jäi mieleen, jotta aika monen mielikuvitus riitti vain jalkoväliin asti.

 

[VesA]

Samaa tai samantyylistä salasanaa ei ole tullut käytettyä eri paikkoihin kirjautuessa. Olin taannoin yhden sovelluksen admin. Käyttäjän ajamat scriptit kaiuttivat tunnuksen ja salasanan prosessinäkymään. Toki olin salassapidon piirissä enkä muutenkaan niihin kiinnittänyt huomiota.

Paitsi jäi mieleen, jotta aika monen mielikuvitus riitti vain jalkoväliin asti.

Aika yleistä on, että lokitus on vähän unohdettu - ja sinne menee ihan mitä vaan, jopa niitä salasanoja selväkielisenä, eikä välttämättä ole asetusta jolla lokeja voisi sillä tarkkuudella siistiä, siellä muutama taso joihin päätyy jotain koodaajan mielialan mukaan. Sitten päästäänkin koodaamaan - joko sovellusta tai joku sensuurikomponentti lokivirran ja talletuksen väliin.

Periaatteessa lokeihin pääsyä pitäisi lähes aina hallita ihan GDPR-hengessä: pitää olla ylipäänsä syy, pitää nähdä vain tarpeellinen, pitää kirjata kuka siellä kävi ja mitä tekemässä jne - mutta näkis vaan kerrankin sellaisen setupin.

 

[Ton1A]

Lokeihin ei saisi koskaan päätyä mitään josta suoraan voidaan identifioida kuka ko. käyttäjä oli. Eli siis esim. nimi, hetu tai käyttäjätunnus. Puhumattakaan nyt mistään salasanoista. Jos järjestelmässä sisäisesti annetaan esim. UUID/GUID jokaiselle käyttäjälle, niin se on kyllä OK, että lokitetaan että UUID x suoritti operaation y.

Vahvaa salasanaakin parempi vaihtoehto on ei salasanaa ollenkaan. Esim. foorumin tapauksessa voitaisiin luottaa mm. Microsoft, Google, Facebook, LinkedIn, GitHub jne. identiteetteihin. Tällöin foorumin puolella on tallessa vain tieto siitä, että profiili x kuuluu ulkoiselle tilille y. Identiteettinsä ulkoiselle tilille voisi sitten vahvistaa vaikkapa FIdo-avaimella, joka taas on fyysisesti esim. USB-palikka.

 

[anders]

Aivan. En olekaan ajatellut että se olisi turvallisempi (qr), mutta tosiaan perkale

Mielestäni QR-koodin normaalistaminen pankkiasioinnissa on vaarallista.

QR-koodista ei tiedä mitä siinä on koodattuna, ja niitä jo nyt käytetään huijauksien osana.

Kyllä pankin sovelluksen tunnistautumisvalikossa pitäisi olla minimissään olla pudotusvalikko, josta valitaan millainen tunnistautuminen tehdään. Ja oletuksena "tietojen tarkastelu", joka olisi vain read only valtuutus. Erikseen pitäisi valikossa olla "maksuvaltuutus" rooli, ja kahden lisäkyselyn takana "avoin asianajovaltakirja / haluan tyhjentää tilini ja lahjoittaa kaiken omaisuuteni", mikä siis on nykyinen oletus.

Toinen ominaisuus/lisäys olisi eri sovellus / näkymä kahdelle eri roolille, niinkuin esim Viron henkilökortissa on. Peruskirjautumisella ja lyhyellä pin-koodilla pääsee katselemaan ja kirjautumaan, pidempi pin2 -koodi tarvitaan kaikkeen rahansiirtojen ja muiden velvoitteiden allekirjoittamiseen. Kaikkeen missä tapahtuu jotain peruuttamatonta.

 

[Arisoft]

Mielestäni QR-koodin normaalistaminen pankkiasioinnissa on vaarallista.

QR-koodista ei tiedä mitä siinä on koodattuna, ja niitä jo nyt käytetään huijauksien osana.

Eiköhän tuo ole yhdentekevää mitä koodissa on koodattuna jos sitä luetaan sillä pankkisovelluksella, joka hyväksyy vain oikean koodin?

 

[anders]

Eiköhän tuo ole yhdentekevää mitä koodissa on koodattuna jos sitä luetaan sillä pankkisovelluksella, joka hyväksyy vain oikean koodin?

Aivan.

Mietipä juuri mitä tuossa sanoit.

Tuossa on aika nätti attack vector valmiina, jos on vaikka pankkisovelluksen näköinen www-sivu tms.

Parempi kun valtuutukset jne pidetään sellaisina, että ihminen voi varmistaa niiden sisällön. Ei sen tarvitse olla QR-koodi mistään teknisestä syystä, haaste voisi aivan yhtä hyvin olla vaikka kymmenennumeroinen nonce, jonka pankkisovellus lukee ruudulta OCR:llä. Ei ole temppu nykypäivänä, kun kuussakin on käyty.

Ja nonce numeron voi syöttää hätäpäissään käsin, jos on oikein paranoidi tai käytössä puhelin jossa ei esim kameraa tahi tietoturvapolitiikka joka ei salli kameran käyttöä - minulla esim tuossa toisessa luurissa näin.

 

[Arisoft]

Tuossa on aika nätti attack vector valmiina, jos on vaikka pankkisovelluksen näköinen www-sivu tms.

No kerro lisää, miten tämä tapahtuisi. Hyökkääjän pitää siis muokata ensin jotenkin sitä pankkisovellusta ja sitten....
Ennen kuin vastaat niin tarkasta oletko jo perehtynyt siihen, miten tuo kirjautuminen QR-koodilla toimii.

 

[anders]

No kerro lisää, miten tämä tapahtuisi. Hyökkääjän pitää siis muokata ensin jotenkin sitä pankkisovellusta ja sitten....

Tai luoda jokin sopiva sivusto, joka näyttää pankkisovellukselta.

Ennen kuin vastaat niin tarkasta oletko jo perehtynyt siihen, miten tuo kirjautuminen QR-koodilla toimii.

Toki, jopa kokeillut käytössä.

Pankkisovellukset eivät tässä kuitenkaan ole keskeinen ongelma, niissä vain tuo QR:n käyttäminen on hölmöä, koska se on turhaa lyhyen noncen välittämiseen, joka voitaisiin välittää vaikka savumerkkeinä, tai helpommin ihan numerona ruudulla.

Olen noin vaan yleisesti QR-koodin käyttöä vastaan, koska tuo turhia riskejä. Siksi olen sitä vastaan, että normalisoidaan QR-koodin lukeminen yhtään mihinkään. QR-koodi pitäisi saada varoituskellot soimaan, kaikkialla, eikä niitä tulisi söhiä summassa kamerallaan.

Tässä vähän esimakua, ei ole 100% kuviteltu uhka:

Poliisi varoittaa verkkopankeissa asioivia: ”Älä syötä”

Verkkopankkiin menemiseen on turvallisempia ja vähemmän turvallisia tapoja.

www.is.fi

Qrljacking | OWASP Foundation

Qrljacking on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.

owasp.org

Be Aware - QR Codes Have Become a Vector for Phishing Attacks - CYBERSEC - European Cybersecurity Forum

CYBERSEC FORUM is the leading cybersecurity conference. Gain latest information, analysis and tools. Explore cyber security trends and innovations with us.

cybersecforum.eu

How are attackers using QR codes in phishing emails and lure documents?

QR code attacks are particularly dangerous because they move the attack vector off a protected computer and onto the target’s personal mobile device, which usually has fewer security protections in place and ultimately has the sensitive information that attackers are after.

blog.talosintelligence.com

 

[tj86430]

Tai luoda jokin sopiva sivusto, joka näyttää pankkisovellukselta.

Putosin kärryiltä. Se pankkisovellushan on tässä Arisoftin kuvailemassa tapauksessa asennettuna puhelimeen. Ja sillä puhelimeen asennetulla sovelluksella luetaan se tietokoneen ruudulla oleva koodi. Ja Arisoft esitti, että jos tietokoneen näytöllä näkyvä QR-koodi on feikki ja vaarallinen, ei se puhelimeen asennettu pankkisovellus tee sillä mitään. Ja se kysymys oli miten se puhelimeen asennettu pankkisovellus saadaan vaihdettua sellaiseksi, että se tekeekin jotain vaarallista lukiessaan sen QR-koodin. Ainakaan minä en ymmärrä miten vastaus siihen kysymykseen on tuo ylläoleva?

 

[Husky]

Kai Anders meinasi, että pulliaisella menee kiireessä QR:n toiminnot sekaisin. Että se ei avaakaan verkkopankkia vaan avaakin niiden kyselysivun tms.
Tuollaista voi tapahtua itsekullekin jos totta puhutaan. Ei kukaan ole erehtymätön.

IS:ssä: Älä syötä verkkopankkitunnuksiasi qr-koodin välityksellä avautuvalle sivustolle, poliisi varoitti torstaina.

 

[Arisoft]

Pankkisovellukset eivät tässä kuitenkaan ole keskeinen ongelma, niissä vain tuo QR:n käyttäminen on hölmöä, koska se on turhaa lyhyen noncen välittämiseen, joka voitaisiin välittää vaikka savumerkkeinä, tai helpommin ihan numerona ruudulla.

Se QR-koodi joka vaihtuu monta kertaa sekunnissa on hyvä ihan sen vuoksi, että käyttäjä, joka ei tietoturvasta ymmärrä, ei onnistu millään ilveellä paljastamaan näytöllä vilistävää tietoa huijarille - ei edes ottamalla siitä valokuvan, koska se vaihtuu ennen kuin kuva ehtii perille.

Huijari toki saattaisi onnistua sen koodin jotenkin välittämään uhrille riittävän nopeasti. Siihen tuo ei auta kuin hidastavasti.

 

[kaihakki]

S-pankilla on QR koodisysteemi, joka kyllä toimii ok. Ja lienee turvallinen.
Mutta kyllä yleisesti ottaen olen sitä mieltä, että mitä enemmän näitä erilaisia sovellutuksia tulee käyttöön, sen enemmän sekaisin menee tavallinen kansalainen. Minullakin on lähipiirissä eri ikäisiä tuttavia, joita avustan näissä it-jutuissa ja ei hyvälle näytä. Tavallista kansalaista ei kiinnosta tuon taivaallista lähteä perehtymään näihin erilaisiin sovellutuksiin.
Mielestäni pankkitunnusten käyttäminen muissa kuin pankkiasioissa pitäisi lailla kieltää. Loppuisi suurin osa huijauksista siihen paikkaan. Mobiilivarmenne kaikkiin älykännyköihin valtion kustannuksella. Valtio ei kuitenkaan vastaava kykene tekemään.

 

[Husky]

S-pankilla on QR koodisysteemi, joka kyllä toimii ok. Ja lienee turvallinen.
Mutta kyllä yleisesti ottaen olen sitä mieltä, että mitä enemmän näitä erilaisia sovellutuksia tulee käyttöön, sen enemmän sekaisin menee tavallinen kansalainen. Minullakin on lähipiirissä eri ikäisiä tuttavia, joita avustan näissä it-jutuissa ja ei hyvälle näytä. Tavallista kansalaista ei kiinnosta tuon taivaallista lähteä perehtymään näihin erilaisiin sovellutuksiin.
Mielestäni pankkitunnusten käyttäminen muissa kuin pankkiasioissa pitäisi lailla kieltää. Loppuisi suurin osa huijauksista siihen paikkaan. Mobiilivarmenne kaikkiin älykännyköihin valtion kustannuksella. Valtio ei kuitenkaan vastaava kykene tekemään.

Juu, tuo pankkitunnusten kylväminen jatkui itselläkin viime kevääseen asti. Ei auta vaikka tajuaa nämä asiat (tai siis ainakin tuon asian), jos ei koskaan pysähdy miettimään. Sillä onkin hyvä että näistä asioista puhutaan ja tietoisuus lisääntyy.
Ja varmaan vuosi sitten aloin itse miettiä ettei s**tana googlehaulla parane hakea Nordean sivuja. En ollut kenenkään ikinä kuullut sanovan asiasta ja sattumalta päläkähti päähän yhtäkkiä

 

[Arisoft]

Ja varmaan vuosi sitten aloin itse miettiä ettei s**tana googlehaulla parane hakea Nordean sivuja. En ollut kenenkään ikinä kuullut sanovan asiasta ja sattumalta päläkähti päähän yhtäkkiä

Itse olen kyllä tästä huomauttanut ihmisille jo ennen kuin huijauksia tapahtui. Harva sitä kumminkaan otti tosissaan, jos kukaan. Nyt netistä ja lehdistä luettuaan osaavat olla jo vähän peloissaan, mutta edelleenkään moni ei ymmärrä mistä on kyse. Mutta osa kumminkin ymmärtänyt ja tehnyt asian vaatimat muutokset rutiineihinsa.

 

[kaihakki]

Jos ihmisellä ei ole minkäänlaista kokemustaustaa näistä tietotekniikkajutuista, niin on ihan turha koittaa selittää ja ohjeistaa toimimaan jollain lailla. Ei ole kosketuspintaa, johon selitys tarttuisi. Olen tämän noteerannut monia kertoja. Samoja asioita saa kerta toisensa perään selittää ja näyttää, niin ei vaan mene perille ja jää mieleen. Taas huomenna sama ongelma edessä. Eikä tässä mitkään kurssit mitään auta. Tietotekninen kokonaisarkkitehtuuri on nyt vaan niin massiivinen, että tavallinen kansalainen ei sitä pysty oppimaan. Varsinkin, kun asia ei yhtään kiinnosta ja on enemmänkin riesana.
Huijausten määrä tulee melko varmasti lisääntymään, jos mitään ei valtiovalta asialle tee.

 

[VesA]

Sirukorttia on alettu jakaa 1999 - 25 vuotta sitten. Ei silloin ollut muuta kuin tietokone ja sen sarjaportti.
Nykyään on näin:

Vuonna 2017 ja myöhemmin myönnetyissä korteissa on etälukuominaisuus joka mahdollistaa kortin käytön ilman kontaktillista älykortinlukijaa jos lukevassa tietokoneessa, mobiililaitteessa tms. on NFC-tuki sisäänrakennettuna tai ulkoinen NFC-lisälaite. Allekirjoituksia (PIN2-tunnuslukua käyttävää varmennetta) ei voi tehdä NFC-yhteydellä "turvallisuussyistä", se vaatii edelleen kontaktillisen lukulaitteen. Mobiililaitteissa NFC-ominaisuus on käytettävissä toistaiseksi ainoastaan Google/Android-alustalla ja vaatii erillisen SCS-ohjelmiston asentamisen mobiililaitteeseen.

Itse asiassa näin EI ole. Selvitin asiaa lisää - ja kuvattu systeemi on olemassa, sillä pääsee kantaan jne.
MUTTA ei poliisin myöntämällä henkilökortilla - vaan DVV:n myöntämällä henkilökortilla jota taas ei taviksille jaella. Eli tavisten kortti toimii tosiaan vain tietokoneella. Tässä on varmasti joku järki - eli se että tämä on ikäänkuin se Kelan kortti - kun aikoinaan ei päästy sopuun siitä että henkarit ja kelakortti voisivat olla samassa. Luulin että Kela luovutti - mutta näköjään on sitten tavisten kelakortti ja ammattilaisten kelakortti sirulla.

 

[anders]

Putosin kärryiltä. Se pankkisovellushan on tässä Arisoftin kuvailemassa tapauksessa asennettuna puhelimeen. Ja sillä puhelimeen asennetulla sovelluksella luetaan se tietokoneen ruudulla oleva koodi.

Niin jos se sovellus mitä käytät on pankkisovellus, eikä esim pankkisovellukselta näyttävä feikkisivusto.

Mutta eniveis, tämän yksittäisen mekanismin nyanssit eivät olleet pointti, vaan QR-koodien normallistaminen, kun ne eivät ole tarpeen. Pankkisovellus ei niistä saa milliäkään lisäturvaa vs vaikka kymmenennumeroinen ihmisen luettavissa oleva nonce.

 

[anders]

Ja varmaan vuosi sitten aloin itse miettiä ettei s**tana googlehaulla parane hakea Nordean sivuja. En ollut kenenkään ikinä kuullut sanovan asiasta ja sattumalta päläkähti päähän yhtäkkiä

Tämä on hyvä esimerkki ns. it-maalaisjärjestä. Jos tuota yhtään miettii, ongelma on että useimmat eivät mieti.

Aivan vastaava kuin pankin haku googlella, on mitä olen toitottanut lähipiirille, avatkaa se nordean id-sovellus ennenkuin kirjaudutte, niin näette että siellä ei ole toista kirjautumista "hollilla", odottamassa. Pieni vaiva, suuri lisäturva.

 

[anders]

Kai Anders meinasi, että pulliaisella menee kiireessä QR:n toiminnot sekaisin. Että se ei avaakaan verkkopankkia vaan avaakin niiden kyselysivun tms.
Tuollaista voi tapahtua itsekullekin jos totta puhutaan. Ei kukaan ole erehtymätön.

Juuri tätä tarkoitin. QR-koodin normallistaminen on vaarallista, niihin tulisi suhtautua varoen, eikä sohia kameralla jokaista qr-koodia summassa. Eniten nyppii jotkut ravintoloiden ruokalistat tms, mitkä QR-koodin takana. Mistä tietää mille sivulle ohjaavat?

 

[kotte]

Se QR-koodi joka vaihtuu monta kertaa sekunnissa on hyvä ihan sen vuoksi, että käyttäjä, joka ei tietoturvasta ymmärrä, ei onnistu millään ilveellä paljastamaan näytöllä vilistävää tietoa huijarille - ei edes ottamalla siitä valokuvan, koska se vaihtuu ennen kuin kuva ehtii perille.

Huijari toki saattaisi onnistua sen koodin jotenkin välittämään uhrille riittävän nopeasti. Siihen tuo ei auta kuin hidastavasti.

Sittenpähän huijari on tunkeutunut selaimeen tai hyvin syvälle koneen käyttöjärjestelmään, rikkonut tsl-protokollat, sertikaattiketjut tai ehkä murtaunut pankin järjestelmiin. Peli on joka tapauksessa menetetty siihen mennessä monissa näistä vaihtoehdoista.

Periaatteessa ehjällä kone-käyttöjärjestelmä-selain-konfiguraatiolla voi ottaa turvallisesti yhteyden pankkiin noin yhteyden mielessä (eli päädytään pankkiin eikä minnekään muualla eikä yhteyttä voi salakuunnella tai murtaa kuin NSA-luokan menetelmin). Tuo muuttuva QR-koodi sitten rakentaa luottamusyhteyden päinvastaiseen suuntaan mainitun yhteysistunnon sisällä.

 

[mstr]

Tämä keskustelu meni yli hilseen mutta sai huolestumaan. Entä jos lähestyn asiaa toisinpäin ja kysyn voisiko joku kertoa onko vaaraa kun otan S-pankkiin yhteyden näin:

-tietokoneen (päivitykset OK) selaimelta otan yhteyden pankkiin (kirjanmerkki tallennettu koneelle). Vai olisiko syytä kirjoittaa pankin osoite joka kerta?

-valokuitu kotiin enkä pidä uskottavana, että joku voisi onnistua fyysisiä piuhoja sorkkimaan

-annan pankin sivulle vaaditun käyttäjätunnuksen ja salasanan (12 satunnaista merkkiä, oletan että sen murtaminen ei NSA:ta kiinnosta)

Ennen tätä pidettiin riittävän turvallisena mutta onko tilanne muuttunut ja jos on, niin mikä tapa on parempi?

 

[fraatti]

Tämä keskustelu meni yli hilseen mutta sai huolestumaan. Entä jos lähestyn asiaa toisinpäin ja kysyn voisiko joku kertoa onko vaaraa kun otan S-pankkiin yhteyden näin:

-tietokoneen (päivitykset OK) selaimelta otan yhteyden pankkiin (kirjanmerkki tallennettu koneelle). Vai olisiko syytä kirjoittaa pankin osoite joka kerta?

-valokuitu kotiin enkä pidä uskottavana, että joku voisi onnistua fyysisiä piuhoja sorkkimaan

-annan pankin sivulle vaaditun käyttäjätunnuksen ja salasanan (12 satunnaista merkkiä, oletan että sen murtaminen ei NSA:ta kiinnosta)

Ennen tätä pidettiin riittävän turvallisena mutta onko tilanne muuttunut ja jos on, niin mikä tapa on parempi?

Ei ole muuttunut. Kunhan käyttää tervettä järkeä niin ongelmia ei ole.

 

[Arisoft]

Ennen tätä pidettiin riittävän turvallisena mutta onko tilanne muuttunut ja jos on, niin mikä tapa on parempi?

Viranomaisten määräyksestä johtuen tämä ei nykyisin enää riitä vaan pankit on velvoitettu lisäksi tarkastamaan vielä toisella tavalla, että käyttäjä on oikea. Tämä tapahtuu yleensä puhelinta käyttämällä tavalla tai toisella. Eli syötettyäsi tunnukset ja salasanat, käyttöoikeutesi vahvistetaan vielä toista kanavaa käyttäen.

 

[Ton1A]

Ennen tätä pidettiin riittävän turvallisena mutta onko tilanne muuttunut ja jos on, niin mikä tapa on parempi?

Vaaditaan ns. vahva tunnistautuminen. Sellaiseksi katsotaan kun vähintään kaksi näistä toteutuu

1. tunnistuksessa käytetään salaisuutta jonka vain sinä tiedät (esim. PIN-koodi)
2. tunnistuksessa käytetään biometriaa (esim. kasvot, sormenjälki, silmän iiris)
3. tunnistuksessa käytetään jotakin joka on vain sinun hallussasi, (esim. puhelinsovellus, tai mobiiliavaimen serti SIM-kortilla)

 

[katve]

Vaaditaan ns. vahva tunnistautuminen. Sellaiseksi katsotaan kun vähintään kaksi näistä toteutuu

1. tunnistuksessa käytetään salaisuutta jonka vain sinä tiedät (esim. PIN-koodi)
2. tunnistuksessa käytetään biometriaa (esim. kasvot, sormenjälki, silmän iiris)
3. tunnistuksessa käytetään jotakin joka on vain sinun hallussasi, (esim. puhelinsovellus, tai mobiiliavaimen serti SIM-kortilla)

Tämä. En ihan suoraan hoksaa haaveiluita tuosta fyysisestä sirukortista, ellei periaatteellisena ajatuksena ole että toimijana on valtio eikä yksityissektori kuten pankkitunnuksissa.

Oletettavasti samalla tapaa käyttäjä voi kämmätä ja hyväksyä sirukortilla asioita mitä voi pankkitunnuksillakin? Edellenkään - ainakaan Nordealla - ei rahat lähde tililtä mihinkään ellet erikseen hyväksy asiaa.