Taloussanomat

Tietoturvakonferenssissa tehtiin aloittelijamoka – paljastuminen ei kestänyt kauan

Kuva: © Kacper Pempel / Reuters

3.3.2016 17:04 Tapahtumassa käytetyn lukitun sovelluksen salasana oli jätetty selkokieliseksi ohjelman koodiin.

Tällä viikolla järjestetyssä RSA-tietoturvakonferenssissa paljastui aloittelijatason virhe, kertoo Security Week.

Järjestäjät jakoivat tapahtuman näytteilleasettajille Samsung Galaxy S4 -älypuhelimia osastolla käyvien vierailijoiden osallistujakorttien lukemiseksi. Älypuhelimet oli määritelty toimimaan "kioskitilassa", eli ne pystyivät käyttämään ainoastaan viivakoodinlukusovellusta.

Bluebox Security -tietoturvayhtiön tutkijat latasivat lukusovelluksen Google Playsta omalle puhelimelleen ja huomasivat sovelluksen oletussalasanan löytyvän selkokielisenä sen ohjelmakoodista.

Salasanalla pääsi käsiksi kioskitilassa toimineen sovelluksen asetuksiin ja sitä kautta puhelimen kehittäjävalikkoon. Tätä kautta puhelimen saattoi rootata, viedä sen tiedot ja asentaa laitteelle haittaohjelmia.

Sovellus oli kehitetty nimenomaan RSA-konferenssia varten. Kyseessä oli kolmannen osapuolen toteuttama tilaustyö.

Tutkijat arvelivat, että kyseessä oli jäänne koodausvaiheesta. Jättämällä salasana näkyväksi se olisi käsillä, vaikka se olisikin laitteessa vaihdettu. Salasanan jättäminen lopulliseen koodiin kieli kuitenkin huolimattomuudesta, laiskuudesta tai leväperäisyydestä.

Rehellisyyden nimissä on todettava, että tietoturvatapahtuman järjestäjän osa ei ole kiitollinen. Kävijät etsivät ympäristöstä haavoittuvuuksia kilvan, sillä löydösten näkyvyys kollegojen keskuudessa on iso ja välitön.

RSA sai runsaasti negatiivista julkisuutta toissa vuonna, kun kävi ilmi, että yhtiö jatkoi NSA:n murtaman suojaustekniikan käyttöä. Muun muassa F-Securen Mikko Hyppönen boikotoi tämän takia RSA:n konferenssia.

Jutun kirjoitti: Digitoday

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (9)

Sivut: 1
EdellinenSeuraava

Anonyymi
Kisa salauksista ja muusta "salausinfrasta" käy hyvin kiihkeänä. Nyt taitaa olla tavoitteena kehittää murtamattomia koodeja ja/tai rautaa johon on vaikea tunkeutua. Tällaisia NSA, FBI, CIA ja KGB - sori puhelin sekoili - siis FSB pelkäävät kuin ruttoa.

Onhan se nyt ihan kauheaa, että ihmisiä ei voikaan ohjata mielin määrin koska he haluavat olla riippumattomia.
Anonyymi: K_A_Runa_Pettila 3.3.2016 17:56

Anonyymi
Rootata..

mitä hittoa, toimittajalla termit hukassa.
Boota lienee oikea termi.
Anonyymi: asiantuntija-- 3.3.2016 18:02

Anonyymi
Via murtamaton softa tai rauta. Ihan yhtä murtamattomia kaikki kuin Titanic oli uppoamaton.
Anonyymi: Labian 3.3.2016 18:23

Anonyymi
Rootata..

mitä hittoa, toimittajalla termit hukassa.
Boota lienee oikea termi.
Taitaa itsellä olla tietotaito hukassa. Tarkistappa mitä puhelimen "roottaus" tarkoittaa
Anonyymi: TopKek 3.3.2016 18:39

Anonyymi
Ei, kyllä se on asiantuntija, jolla on termit hukassa.
Anonyymi: tumis 3.3.2016 19:08

Anonyymi
Rootata..

mitä hittoa, toimittajalla termit hukassa.
Boota lienee oikea termi.


Käytät itse sanaa "lienee". vaikka olit asiantuntematon? Lörö!
Anonyymi: Labian 3.3.2016 19:10

Anonyymi
Rootata..

mitä hittoa, toimittajalla termit hukassa.
Boota lienee oikea termi.


Bootata puhelin voi ihan painamalla käynnistysnappia. Ei siihen tarvita kehittäjäasetuksia, toisin kuten rootaamissa. Duh
Anonyymi: demcookies 3.3.2016 22:12

Anonyymi
Onkohan kukaan vielä huomannut 'asiantuntijan' kommenttia jossa virheellisesti korjataan artikkelia 'rootata' termin osalta. Termi on todellakin 'rootata' eikä 'bootata'. Hyvä että huomasin tämän ennen muita.
Anonyymi: Tuntijanasia 4.3.2016 10:45

Anonyymi
Kyllä roottaaminen on kyseisessä tilanteessa oikea termi. Haittaohjelmien ei enää pitäisi nykypäivänä tarttua automaagisesti, vaan vähintäänkin heiveröinen oletussuojaus pitäisi saada pois käytöstä. Unix pohjaisissa puhelimissa tämä tarkoittaisi su eli root -tason käyttöoikeuksia... "Jailbreak" on yleisemmin kuitenkin haittaohjelman aiheuttama tila kuin käyttäjän omaehtoinen valinta.
Anonyymi: Call-it-w4ever 4.3.2016 12:00
Sivut: 1
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday


2013

Kolme vuotta sitten

Linuxia lyönyt Sony nojaa FreeBSD:hen PS4:ssä?

26.06.2013 Sony saattaa yllättää Playstation 4 -konsolin käyttöjärjestelmällä. Valinta voi pohjautua FreeBSD:hen, VGLeaks kirjoittaa.

.