Lue uutinen mobiilisivustolla

Yritysten ja kuntien palvelinten salaiset tiedostot helposti luettavissa

21.1.2003 08:41 Sadat suomalaiset yritykset ja kunnat antavat tietovarkaille ja netissä liikkujille vapaan pääsyn omille palvelimilleen ja työasemilleen. Suomalaisyritysten tietoturva ja osaaminen ovat maailman verkkogurujen keskuudessa lähinnä pilkan kohteita. Aiheen tähän antaa tiedostonjako-ohjelmien villi käyttö.

Seurasimme tilannetta Suomessa ja Ruotsissa viiden viikon ajan. Tänä aikana löysimme 124 suomalaista yritystä, joiden tietokoneiden sisältämät tiedot olivat julkisesti saatavilla.

Yleisimpiä löydettyjä tietoja olivat yrityksen yksittäisen palvelimen tai työaseman tiedot. Usein näkyvillä olivat koko C-aseman, D-aseman tai intranetin sisältämät tiedostot.

Viestintävirasto on jo vuosi sitten todennut asiasta seuraavaa:

"Tiedostonjako-ohjelmat eivät ole tietoturvallisia, sillä niiden avulla voidaan muun muassa siirtää toisen käyttäjän koneelle takaporttiohjelmistoja. Tiedostonjako-ohjelmistot saattavat sisältää myös spyware-ohjelmistoja, joiden avulla voidaan muun muassa siirtää kohdetietojärjestelmän IP-osoitetietoja tai käyttäjätietoja ennakolta määritetyille palvelimille. Riippuen ohjelmistojen määrityksien asettamisesta on myös mahdollista, että ohjelmiston käyttäjä pääsee lukemaan tai kopioimaan toisen käyttäjän luottamuksellisia tietoja."

Tämän artikkelin kirjoittaminen – ja lukeminen – vaatii tasapainoilua piratismin ja tietoturvan välillä. Kysymys on PeerToPeer (P2P)-ohjelmista. P2P -ohjelmia ovat muun muassa DC, DC++, Kazaa, Morpheus ja Audiogalaxy.

Artikkelissa keskitytään DC- ja DC++ -ohjelmiin, joiden avulla ja inhimillisellä huolimattomuudella on aiheutettu korvaamattomia menetyksiä useiden yritysten salaisina pidettyjen tietojen vuodettua julkisuuteen. Joukkoon mahtuu suomalaisia suuryrityksiä ja lukematon määrä pienempiä.

Miten DC/DC++ ja hubit toimivat?

DC on lyhenne Neo-Moduksen kehittämästä ohjelmistosta nimeltään Direct Connect. Direct Connect on P2P-ohjelmisto (Peer to Peer), jolla tiedostoja voidaan siirtää suoraan tietokoneelta toiselle. DC++ on myöhemmin kehitetty ja lähes täysin Direct Connectia vastaava ohjelmisto.

"Hubi" on tavallaan keskitin, jonka kautta asiakasohjelmat, eli clientit (ohjelman käyttäjät) saavat yhteyden toisiinsa. Sitä ei kutsuta palvelimeksi, koska se ei jaa tiedostoja vaan välittää vain keskustelut, hakupyynnöt ja -tulokset. Varsinainen tiedonsiirto käydään suoraan clienttien (ohjelmien käyttäjien) kesken.

Hubeilla voidaan käydä reaaliaikaista keskustelua muiden ohjelmien jakajien kanssa. Yleensä keskustelut koskevat lähinnä kyselyitä kenellä on jokin tiedosto jaossa, tai kuka tietää mistä löytyy se ja se ohjelma.
Joissakin yrityksissä DC++/DC-ohjelmaa käytetään yrityksen omassa intranet-verkossa, vaikkapa työryhmien työskentelyssä, eli korvaamaan kallis ja suhteellisen hidas LotusNotes-ohjelma, tai kyseessä on käyttö yrityksen sisäistä koulutusta varten.

Extranet-sovelluksena DC/DC++ palvelee etätyöntekijöitä tai monimutkaisten ohjelmien ja laitteistojen asiakkaita, jotka voivat oppia toinen toisiltaan ilman, että alkuperäisen toimittajan tarvitsee puuttua asiaan.

Esimerkiksi OpenSource-ohjelmistoista löytyy useita maksuttomia P2P-ohjelmia, joita suositellaan juuri yrityskäyttöön. Tähän on otettava kuitenkin selkeä ja yksinkertainen linja ja samalla Viestintäviraston kanta asiaan: "P2P-ohjelmat eivät kuulu yritysverkkoympäristöön, olkoot ohjelmat muka kuinka hyväkäytöksisiä tahi ei. Siispä ohjeistuksessa ei kannata yhtään kiemurrella - selkeä kieltolinja."

Yleisin käyttö P2P-ohjelmilla on kuitenkin laittomien tietokoneohjelmien, musiikkikappaleiden ja elokuvien lataaminen omaan käyttöön, sekä niiden jakaminen muille käyttäjille. Jotta tämä olisi mahdollista, on käyttäjän usein laitettava omia tiedostojaan jakoon muiden saataville.

Missään ei kuitenkaan ole "?keskitettyä"? palvelinta, jossa jaetut tiedostot sijaitsisivat, vaan jokainen käyttäjä on suoraan yhteydessä toisen käyttäjän jakamiin tiedostoihin. "?Sisäänpääsyvaatimuksena"? hubille voi olla joko viiden tai 30 gigatavun verran jaettavia tiedostoja, Ruotsissa jopa 100 gigatavua.

Suomalaisittain tilanteessa on lisäksi sellainen mielenkiintoinen piirre, että Suomessa laittomien musiikkikappaleiden ja elokuvien lataaminen/imuroiminen hubeilta tai mistä muualta tahansa omaan käyttöön ei pitäisi olla rangaistava teko.

Eli laittomat piraatit voidaan tuolla tavalla "pestä" laillisiksi. Tämä koskee myös tulevaa tekijänoikeuslakia. Palaamme aiheeseen lähipäivinä.

Vaara uhkaa

Yleisimpiä syitä miksi tiedot vuotavat julkisuuteen, ovat muun muassa yrityksen tietoturvaohjeistukset, käyttäjien oikeudet asentaa omia ohjelmia ja mahdollisuudet liikennöidä DC- tai DC++ -liikennettä käyttäen yrityksen sisäverkosta pihalle ja valvonnan puute.

Ennenkaikkea syynä on kuitenkin väärin konfiguroitu tiedostonjako-ohjelmisto, jolloin kaikki koneen tiedot voivat mennä vahingossa tai tarkoituksella jakoon muille hubien käyttäjille.

Kokemattomat käyttäjät eivät osaa välttämättä asentaa ohjelmistoa oikein ja kaikki koneen tiedostot menevät vahingossa jakoon. Tällaisten ohjelmien asentaminen yritysten koneille olisi yksiselitteisesti kiellettävä.

Uhkana tiedostonjako-ohjelmistojen käytössä on myös haittaohjelmistojen leviäminen, itse ohjelmistojen tietoturva ja sen taso, joka on tietysti hyvin kyseenalainen. Ohjelmina DC ja DC++ ovat itsessään kuitenkin parhaasta päästä verrattuna muihin tiedostonjako-ohjelmistoihin.

Esimerkiksi Kazaa sisältää rajusti ad/spywarea, joiden avulla itse ohjelmiston kehitystyötä voidaan ylläpitää. Ad/spywareen liittyy omat riskinsä. Ennenkaikkea nämä ominaisuudet korostuvat yrityskäytössä.

Tapaus Sonera

Sonera Oyj:llä oli palveluksessaan työharjoittelija, joka halusi imuroida piraattiohjelmia DC++ -hubilta työpaikkansa koneelle, siirtää ohjelmat cd:lle ja viedä valmiin cd:n kotiinsa.

Yritys onnistui, mutta henkilö jakoi tahallaan erään Soneran tietokoneen target="_blank">kaikki laskutustiedot tietokantoineen julkisuuteen.

Jokainen DC++ -hubin käyttäjä pystyi lukemaan ja tallentamaan itselleen Soneran laskutustietoja, pankkiyhteyksien tunnuksia ja salasanoja ja muita salaisina pidettäviä tiedostoja. Yrityksen henkilökunnalla oli kiire tuhota logien jälkiä hubeilla käynneistä, kuten seuraavasta lainauksesta hubin keskustelualueelta on luettavissa.

Tapauksen lokitapahtumat etenivät näin (nimiä on muutettu asianomaisten pyynnöstä):

[15:10] <[Netsafir]Danger> kivoja juttuja paljastuu sun filujen sisältä: FTP Software Session File - telesampo.th.tele.fi - password:xxx
[15:10] <[Netsafir]Danger> muhahahaha
[15:10] <[Netsafir]Danger> ei kannata jakaa kaikkea
[15:10] <[FIN]Times> lol
[15:11] <[Netsafir]Danger> vittu täällähän on kaikkia vitun pankki yhteyksiä tunnuksineen :) LOL!
[15:11] <[FIN]Hamra> vieläkö repe on on online?
[15:13] <[FIN]Timech> Danger, kenellä on jaossa tunnareita?
[15:13] <[Netsafir]Danger> repen filut: c:OnNet Host DataSessions
[15:13] <[DivX]Lynys> siis KELLÄ ON KAIKK PANKKIYHTEYDET YM JAOSSA??? =)
osa sensuroitu
[15:16] <[Netsafir]Danger> kohta tulee joku KRP kolkutteleen ovelle :)
[15:16] <[Netsafir]Danger> jumalauta poika ootsä hakkereitunu soneraan ????
[15:16] <[FIN]Hamra> ei mulla toiminu tuo linkki
[15:17] <[Netsafir]Danger> sori
[15:17] <[Netsafir]Danger> nyt toimii
[15:18] <[FIN]Times> luottotiedot.ste :D
[15:18] <[FIN]Hamra> saattaa hepulla olla ylimääräsiä sydämentykytyksiä
[15:18] <[Netsafir]Danger> aika tyhmä pitää olla
[15:18] <[FIN]Hamra> sen siitä saa kun ei kouluta henkilökuntaa
osa sensuroitu
[17:51] Loppu aika kesken. Tuhosin kaikki logit... VARMUUDEN VUOKSI. =)))
[17:52] Imutus koneen laitoin lopuksi vielä formaattiin. =)

Tapaus tietoturvakonsultti

Eräs tapaus koski yksittäistä tietoturvakonsulttia, joka tallensi omalle kotikoneelleen, kahden yrityksen ja erään kunnan toimeksiannosta saamansa väliaikaiset admin-salasanat ja tunnukset.

Kun konsultin poika imuroi tiedostoja hubilta, hän laittoi myös isänsä "?salaiset"? tiedostot jakoon, jolloin kaikilla oli mahdollisuus päästä täysin oikeuksin kyseisen yritysten koneille.

Keskusrikospoliisin komisarion, Veli-Pekka Loikalan mukaan salasanoja hyödyntämällä joku olisi voinut saada hallintaansa esimerkiksi kunnan liikennevalot, potilasrekisterit ja lukemattomat muut toiminnot.

Kuka siis haluaa, että 10-vuotias nassikka kääntelee liikennevaloja miten haluaa ja laittaa ilkeän isänsä pakkohoitoon? Tästä on jo kerrottu asianomaisille tahoille, minkä johdosta salasanat ja tunnukset on siellä muutettu.

Karua kertomaa

Artikkelia varten haastateltiin kymmentä eri yritysten tietoturvasta vastaavaa henkilöä ja vastaukset olivat surullista kuultavaa.

Kahdeksan heistä oli sitä mieltä, ettei ongelma ole relevantti, koska he ovat sulkeneet portit, joita P2P-ohjelmat käyttävät, eikä työkoneissa ole admin-oikeuksia.

Kuitenkin keskustelufoorumeilta ja newseistä löytyy useita ohjeita ja "?kräkkejä"? mainitun "?tietoturvan"? ohittamiseen, eli käytännössä ainut tapa tukkia P2P-ohjelmien käyttö on estää koko yrityksen internet-liikenne.

Ja jos tietoturva ei osaa edes suojata yrityksen sähköposteja, jotka Windows NT -järjestelmissä löytyvät Documents-kansiosta ja jotka voi helposti Muistiolla lukea, ollaan jo aikamoisissa tilanteissa.

Järkytyittekö lukemastanne? Ei kannata, sillä 122 vastaavaa tapausta olisi tarjolla täysin dokumentoituina.

Ohje P2P-ohjelmien käyttöön

Miten tiedoston jakaminen käytännössä tapahtuu?

- Lataamalla ohjelma ja määrittelemällä tiedostot, jotka jakaa. Esimerkiksi windows-kansiota ei ole syytä jakaa. Tee jakamillesi tiedostoille oma kansionsa, jonne kopioit kaikki jakamasi tiedostot. Jaa vain tämä kansio!

Miten voin olla varma, että vain nämä tiedostot on jaettu, eikä ohjelma tee mitään muuta?

- Et mitenkään!

Voiko näitä tiedostonjako-ohjelmia käyttää turvallisesti?

- Ei koskaan! P2P-ohjelmat ja niiden tiedostonjaot ovat arvaamattomia. Edes tietoturva-ammattilainen ei välttämättä pysty P2P-ohjelmia "hyödyntämään" turvallisesti.

Voinko imuroida itselleni puheena olevia eri yritysten "?salaisia"? tietoja ja lukea niitä?

- Ei missään tapauksessa! Voit joutua suuriin vaikeuksiin viranomaisten toimesta.

Hubien ylläpitäjien ja muiden asiantuntijoiden ja viranomaisten haastattelut asiasta löytyvät osoitteesta: http://www.digitoday.fi/digi98fi.nsf/pub/dd20030121084114_jvi_13647516

Jarmo Mäkelä toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuollut ja yhdeksän haavoittunut ammuskelussa Hyvinkäällä

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta