Verkkopankkien asiakkaille tulossa uusi suojakeino
Kuva: Matias Mäki
25.8.2010 14:45 Viestintävirasto on vuosien pohdiskelun ja työskentelyn jälkeen viimein ottanut tärkeän askeleen Suomi-internetin perusturvan parantamiseksi. Uudistus tekee Nordea-tyyppisistä pankkihuijauksista selvästi vaikeampia.
Viestintävirasto kertoo ottaneensa käyttöön fi-verkkotunnusten tietoturvalaajennuksen (DNSSec) ensimmäisen vaiheen. Fi-juuren allekirjoittaminen aloitettiin 18.8.
Myöhemmin syksyllä otetaan käyttöön tietoturvalaajennuksen toinen vaihe, allekirjoituksen tekeminen varsinaisilla tuotantoavaimilla sekä julkisten avaimien julkaisu fi-juuressa. Tietoturvalaajennus on kokonaisuudessaan asiakkaiden käytettävissä 31.3.2011.
DNSSec (Domain Name System Security Extensions) on nimipalvelun laajennus, jonka tarkoituksena on parantaa nimipalvelun tietoturvaa. Nimipalvelua voidaan verrata koko maailman kattavaan puhelinluetteloon, jossa jokaiselle verkkotunnukselle on annettu oma numeerinen osoite.
Tekniikasta on puhuttu ainakin kymmenen vuotta. Vasta tietoturvatutkija Dan Kaminskyn haavoittuvuuspaljastus vuonna 2008 antoi yllykkeen toimenpiteisiin. Nimipalvelun aukon avulla luotettavat verkkosivut voitiin vaihtaa hyökkääjän sivuihin.
CSC
auttoi
Viestintävirasto ei kiirehtinyt DNSSecin pariin monestakin syystä. Ei ollut selvää, mistä vaadittavat henkilöresurssit löytyvät. Lisäksi huolestutti tekniikan kriittisyys: pienikin tekninen häiriö tai inhimillinen virhe voi aiheuttaa koko fi-juuren putoamisen internetistä.
Viraston verkkotunnusyksikön päällikkö Juhani Juselius kertoo ratkaisujen löytyneen. Henkilöstöpulma selvisi, kun Tieteen tietotekniikan keskus CSC otettiin yhteistyökumppaniksi. CSC vastasi projektin toteuttamisesta.
Fi-juuren putoaminen internetistä puolestaan pyritään estämään muun muassa parantamalla päivystystä CSC:n avulla.
– Se, että CSC ylläpitää osaa DNSSec-ratkaisusta omilla resursseillaan, turvaa tavallaan sen toiminnan, Juselius arvioi.
Varmasti
perille
DNSSec takaa, että internetin käyttäjät pääsevät juuri sille verkkosivulle, jolle heillä oli aikomus mennä. Juseliuksen mukaan tekniikka aiheuttaa yleistyessään hankaluuksia esimerkiksi nimipalvelutietoja väärentäville pankkirosvoille.
Suomessa paljastui alkuvuonna tapaus, missä haittaohjelman saastuttamat tietokoneet näyttivät Nordean verkkopankin käyttäjälle vakuuttavan näköisen, mutta rikollisen kirjautumissivun. Tileiltä ehdittiin varastaa kymmeniä tuhansia euroja.
– Tämäntyyppiset hyökkäykset ainakin vaikeutuvat huomattavasti. Perinteisen huijauksen, jossa kaapataan nimipalvelinliikenne ja ohjataan se väärään paikkaan, ei pitäisi olla enää mahdollista ilman, että käyttäjä huomaa sitä.
Kun DNSSec-tietoturvalaajennus on käytössä, vastaukset nimipalvelukyselyihin ovat digitaalisesti allekirjoitettuja. Allekirjoitukseen tarvitaan avainpari, joista toinen on yksityinen ja toinen julkinen.
Yksityinen avain on salainen. Se on ainoastaan omistajan hallussa, kun taas julkinen avain julkaistaan nimipalvelussa omassa tietueessaan. Allekirjoitus voidaan varmentaa yksityistä avainta vastaavalla julkisella avaimella.
Vielä
kestää
Netti ei vielä tällä hetkellä ole suomalaisittain turvallisempi. Tietoturvalaajennuksen käyttöönotosta vastaavat nimipalvelimia ylläpitävät palveluntarjoajat sekä verkko-operaattorit.
DNSSec-palvelun käyttö ei vielä edellytä fi-verkkotunnuksen haltijalta toimenpiteitä. Heille palvelu avataan maaliskuussa, jolloin julkisen avaimen voi syöttää verkkotunnukselle Viestintäviraston palvelussa.
Tavallinen internetin surffaaja voi kohdata tietoturvaominaisuuden nettiselaimessaan. Selain ilmoittaa, onko nettiosoite todennettu vai ei. Käyttäjän pääsy todentamattomalle verkkosivulle voidaan myös estää automaattisesti.
Tuomas Linnake
tuomas.linnake@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 10.2. Facebook-kaverin poisto johti kaksoismurhaan
- 10.2. Googlen lompakko hakkeroitiin helposti
- 10.2. Google pystyttää kilpailijaa Dropboxille
- 10.2. Alcatel-Lucent lopettaa työpaikkoja
- 10.2. Pirate Bay uhmaa muistitikulla estoja
- 10.2. Comptel puolittaa osingon
- 10.2. Kodak keskittyy kuvien tulostamiseen
- 10.2. Yle: Piraattiradio häiriköi Turun seudulla
- 10.2. Windows XP:lle harvinaisen vähän korjauksia
- 10.2. Itsemurhatehtaan johtajalta vohkittiin salasana
- 10.2. Googlen ensimmäinen työntekijä lähtee
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 9.2. Uusi iPad tulee maaliskuun alussa?
- 9.2. Siri opiskelee kiinaa ja venäjää
- 9.2. Peliskene poimi presidentin palkinnon
- 9.2. Google: Näytä surfailusi, saat rahaa
- 9.2. Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 9.2. Samsungilta ei julkistuksia Barcelonassa
- 9.2. Ciscon tulos parani reippaasti
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 8.2. IPadille haetaan porttikieltoa Kiinaan
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- 8.2. Nokian potkut uhkaavat tuhatta Salon tehtaalla
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 9.2. Windows 8:n testiversio ilmestyy karkauspäivänä
- 9.2. Apple myy vihdoin iPhone 4S:ää Kiinassa
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 9.2. Uusi iPad tulee maaliskuun alussa?
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Uusimmat uutiset
- Googlen lompakko hakkeroitiin helposti 16:26
- Pirate Bay uhmaa muistitikulla estoja 14:02
- Itsemurhatehtaan johtajalta vohkittiin salasana 10:03
- FBI: Steve Jobsilla oli top-secret -luokitus 07:00
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Lisää
Digiyesterday
Viisi vuotta sitten
Krakkerit töhersivät ydinturvajärjestön nettisivut
11.02.2007 Krakkerit ujuttivat keskiviikkona Kanadan ydinturvakomission web-sivujen etusivulle kuvan ydinräjähdyksestä. Komissiossa ei tiedetä, milloin palvelimelle murtauduttiin ja miten kauan krakkerit siellä viihtyivät.
Kolme vuotta sitten
DB:n nuuskijat ilmeisestikin rikkoneet lakia
11.02.2009 Saksan valtionrautatiet DB ei enää sulje pois sitä, että sen pestaamat salapoliisifirmat olisivat työntekijöiden nuuskimisessaan rikkoneet lakia. Konsernin johtaja Hartmut Mehdorn olettaa tämän myös tapahtuneen alaistensa tieten.
Taloussanomat
- Kilpailuta asuntolaina, voit säästää 3 300 euroa 06:01
- Helsingissä marssittiin verkon vapauden puolesta 16:29
- Osuusliike myy samppanjaa alle Alkon hintojen 06:06
- Kymmenien italialaispankkien luottoluokitus laski 16:05
- Älä sano näin kehityskeskustelussa 17:08
- Skoda somisti Roomsterinsa partiopoikatyylillä 06:10
- Kreikan hallitus hyväksyi säästöt uudestaan 15:29
- HS: SAK ei enää torju eläkeiän nostoa 10:13
- Professori Ylelle: Valtiollisten lentoyhtiöiden aika on ohi 10:31
- TS: "Luonnonkalojen lääkejäämien riskit selvitettävä" 11:13
- » Taloussanomat.fi
-
177 e
Lenovo ThinkCentre M81 TW (Core I5-2400, 2 GB, 320 GB, Windows 7 Professional), keskusyksikkö
-
65 e
HP Z600 (Xeon E5620, 8 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
56 e
Lenovo ThinkStation S20 (Xeon W3550, 4 GB, 500 GB, Win 7 Professional), keskusyksikkö
-
55 e
HP Z600 (Xeon E5645, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
37 e
HP Z400 (Xeon W3565, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
Kommentit (18)
Kun käyttäjän kone lähettää verkkoon nimipalvelykyselyn, joka ei siis vaadi mitään salaussysteemeitä, niin se voidaan edelleenkin kaapata ja antaa vastaukseksi jotain suojaamattomien nimipalvelimien ulkopuolelta. Ja tällöin käyttäjä saadaan ohjattua mille tahansa ei-toivotulle palvelimelle.
Mikä on SmartScreen-suodatin ja kuinka se voi auttaa suojautumaan?
SmartScreen-suodatin on Internet Explorerin toiminto, joka auttaa tietokalastelusivustojen tunnistamisessa. SmartScreen-suodatin voi myös estää asentamasta tietokoneeseen haittaohjelmia eli laittomia, viruksia sisältäviä, väärennettyjä tai vahingollisia ominaisuuksia sisältäviä ohjelmia.
SmartScreen-suodatin suojaa tietokonetta kolmella tavalla:
Se toimii taustalla, kun selaat Internetiä. Se analysoi WWW-sivuja ja selvittää, onko niillä epäilyttäviä ominaisuuksia. Jos SmartScreen-suodatin löytää epäilyttäviä WWW-sivuja, näyttöön tulee sanoma, jonka kautta voit antaa palautetta ja jossa neuvotaan varovaisuuteen.
SmartScreen-suodatin vertaa käyttämiäsi sivustoja jatkuvasti päivitettävään tietokalastelu- ja haittaohjelmasivustojen luetteloon. Jos sivusto on luettelossa, näyttöön tulevassa varoituksessa ilmoitetaan, että sivusto on turvallisuuden vuoksi estetty.
SmartScreen-suodatin vertaa myös Internetistä ladattuja tiedostoja samaan haittaohjelmasivustojen luetteloon. Jos sivusto on luettelossa, näyttöön tulevassa varoituksessa ilmoitetaan, että ladattu tiedosto on turvallisuuden vuoksi estetty.
Mikä on SmartScreen-suodatin ja kuinka se voi auttaa suojautumaan?
SmartScreen-suodatin on Internet Explorerin toiminto, joka auttaa tietokalastelusivustojen tunnistamisessa. SmartScreen-suodatin voi myös estää asentamasta tietokoneeseen haittaohjelmia eli laittomia, viruksia sisältäviä, väärennettyjä tai vahingollisia ominaisuuksia sisältäviä ohjelmia.
SmartScreen-suodatin suojaa tietokonetta kolmella tavalla:
Se toimii taustalla, kun selaat Internetiä. Se analysoi WWW-sivuja ja selvittää, onko niillä epäilyttäviä ominaisuuksia. Jos SmartScreen-suodatin löytää epäilyttäviä WWW-sivuja, näyttöön tulee sanoma, jonka kautta voit antaa palautetta ja jossa neuvotaan varovaisuuteen.
SmartScreen-suodatin vertaa käyttämiäsi sivustoja jatkuvasti päivitettävään tietokalastelu- ja haittaohjelmasivustojen luetteloon. Jos sivusto on luettelossa, näyttöön tulevassa varoituksessa ilmoitetaan, että sivusto on turvallisuuden vuoksi estetty.
SmartScreen-suodatin vertaa myös Internetistä ladattuja tiedostoja samaan haittaohjelmasivustojen luetteloon. Jos sivusto on luettelossa, näyttöön tulevassa varoituksessa ilmoitetaan, että ladattu tiedosto on turvallisuuden vuoksi estetty.
IE8:n smart screen suoja on kaukana täydellisestä.
Ja mitä yleisemmäksi IE8 tulee niin sitä heikommaksi smart screen tulee. Webbihuijareiden kun on pakko testata tekniikkansa niin että ne toimivat IE:llä.
Sama on nähtävissä malware puoella, Symantec ja McAfee ovat suurimpia, joten pöpöjen tekijät testaavat tuotoksensa niitä vastaan ennen kun pistävät liikkeelle.
Palveluntarjoajasi voi estää nimipalvelukyselyt muihin kuin omiin nimipalvelimiinsa. Ongelmasi on ratkaistu.
Onko tuohon pakko suostua? Tällöinhän voi joutua tahtomattaan käyttämään KRP:n mielivaltaista sensuurilistaa.