Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Keskiviikko, 22.2.2006

Googlen työpöytähaun tietoturvaa epäillään

Hakukoneyhtiö Google on myöntänyt, että sen pari viikkoa sitten julkistama ilmainen hakutyökalu Google Desktop 3 sisältää tietoturvaongelmia. Kyseisellä sovelluksella voi hakea mitä tahansa tiedostoja useilta eri tietokoneilta, esimerkiksi yritysverkossa. Toimiakseen järjestelmä luo kaikista tiedostoista kopion Googlen palvelimille. Vaikka tieto lähetetään kryptattuna, on se tutkimusyhtiö Gartnerin mukaan monille yrityksille liian riskaabelia toimintaa.

Google on myöntänyt Search Across Computers -ominaisuuden muodostavan jonkinasteisen tietoturvariskin, ja kehottaa yrityksiä ottamaan kyseisen toiminnon pois käytöstä, mikäli riski tuntuu häiritsevältä. Google kuitenkin muistuttaa, ettei kyseessä ole mikään konkreettinen vika järjestelmässä. Lisäksi Google huomattaa jo yrityksestä ulos lähtevän sähköpostin muodostavan yhtä lailla tietoturvariskin.

Lue juttu K2, 22.2.2006 00:03. Lähde: News.com

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 18 uutta / 18 )
pistettä.
Näytä vain kommentit joilla on vähintään
puntta Luo kaikista tiedostoista kopion
puntta, 22.2.2006 09:19:58		 Pisteet: 0
Siis kopioi kaikki tiedostot palvelimelle? luulin että jonkin indexsi tiedoston tekee kaikista tiedostoista, joka sinänsä jo on riskaapeli monessa suhteessa.

Jos tosiaan kaikki (Tai osa kopioidaan) niin käyttäjällä ja varsinkin firmalle tuo on lisenssien ym. tekijäoikeuksien suhteen hankala tapaus ja monia tiedostoja ei saa edes viedä tiettyjen maantieteellisten rajojenulkopuolelle. USA:n tiedustelupalvelulle tuo on tokia hieno systeemi.

Jos joku harrasteliaryhmä tekisi samantyylisen softan niin tekijöitä ja jakelijoita olisi etsimässä ja häkkiin pistämässä usean maan viranomaiset.
Gizer Selitykset ontuu
Gizer, 22.2.2006 07:56:19		 Pisteet: 0
Jos yrityksen salaiset tiedostot kopioidaan googlen palvelimelle ilman että käyttäjä sitä tiedostaa, niin eiköhän siinä ole jonkinasteinen tietoturvaongelma. Nyt on Googlelta mopo karannut käsistä.
weicco Re: Selitykset ontuu
weicco, 22.2.2006 09:41:22		 Pisteet: 0
Google taisi perustella tätä sillä, että "eihän tämä ole sen tietoturvattomampi kuin sähköpostikaan." No tässähän on pari muttaa:

1) sähköpostit voidaan salata koko matkan ajaksi
2) firman sisäiset sähköpostit voidaan hoitaa firman omalla suojatulla palvelimella

Googlelta tosin saa jonkun hakukoneen, jonka voi asentaa firman sisälle, mutta en tiedä auttaako se tähän asiaan.
Join me! Together we can rule the galaxy as father and son.
Re: Selitykset ontuu
K2, 22.2.2006 10:33:02		 Pisteet: 0
Google taisi perustella tätä sillä, että "eihän tämä ole sen tietoturvattomampi kuin sähköpostikaan." No tässähän on pari muttaa: 1) sähköpostit voidaan salata koko matkan ajaksi
Kryptattunahan nuo tiedostot menee Googlenkin palvelimelle, kuten tässä uutisessa mainitaan.
weicco Re: Selitykset ontuu
weicco, 22.2.2006 10:45:58		 Pisteet: 0
Kryptattunahan nuo tiedostot menee Googlenkin palvelimelle, kuten tässä uutisessa mainitaan.
Ja ne pysyy siellä kryptattuna ja niitä ei saa auki väärät henkilöt eli tässä tapauksessa kukaan muu kuin desktop searchin käyttäjä? Tuskinpa.
Join me! Together we can rule the galaxy as father and son.
jst Re: Selitykset ontuu
jst, 22.2.2006 13:42:28		 Pisteet: 0
Kryptattunahan nuo tiedostot menee Googlenkin palvelimelle, kuten tässä uutisessa mainitaan.
Ja ne pysyy siellä kryptattuna ja niitä ei saa auki väärät henkilöt eli tässä tapauksessa kukaan muu kuin desktop searchin käyttäjä? Tuskinpa.
Pystyykö niitä avaamaan ja saako niitä avata ovat kaksi ihan eri asiaa. ISP:ni pystyy kyllä suodattamaan kaiken liikenteen mitä koneeltani lähtee. Luotan kuitenkin siihen, etteivät näin tee. Sama varmasti pätee tähän tapaukseen. Kyllä ne siellä googlella ne dokumentit varmasti auki saavat. Uskotaan nyt vaan etteivät avaa. Totuus voi olla toinen, mutta en tuota sen epäluotettavampana pitäisi kuin ko. dokumenttien lähettämistä kryptattuna sähköpostilla, jota suuri osa ihmisistä pitää täysin luotettavana.
THE GOAT CAN BE CANCELLED
weicco Re: Selitykset ontuu
weicco, 22.2.2006 16:24:07		 Pisteet: 0
Pystyykö niitä avaamaan ja saako niitä avata ovat kaksi ihan eri asiaa. ISP:ni pystyy kyllä suodattamaan kaiken liikenteen mitä koneeltani lähtee. Luotan kuitenkin siihen, etteivät näin tee. Sama varmasti pätee tähän tapaukseen. Kyllä ne siellä googlella ne dokumentit varmasti auki saavat. Uskotaan nyt vaan etteivät avaa. Totuus voi olla toinen, mutta en tuota sen epäluotettavampana pitäisi kuin ko. dokumenttien lähettämistä kryptattuna sähköpostilla, jota suuri osa ihmisistä pitää täysin luotettavana.
Asymmetrinen salaus. Minulla on sinun julkinen avaimesi, jolla kryptaan postin, tämän jälkeen lähetän sen sinulle. Sinä saat sen auki vain sala-avaimellasi (mikä onkaan oikea termi), eikä kukaan muu, paitsi jos olet antanut avaimesi jollekin. ISP:llä on toki viestin otsikkotiedot tallessa, mutta itse viestin sisältöön he eivät pääse käsiksi lähimpään 2 miljoonaan vuoteen.

Ja miksi minun tulisi luottaa juuri Googleen sen enempää kuin mihinkään muuhun. Samalla logiikalla voimme pitää mitä tahansa palvelua täysin luotettavana.
Join me! Together we can rule the galaxy as father and son.
Mika Teräs Re: Selitykset ontuu
Mika Teräs, 22.2.2006 14:11:49		 Pisteet: 0
Pystyykö niitä avaamaan ja saako niitä avata ovat kaksi ihan eri asiaa. ISP:ni pystyy kyllä suodattamaan kaiken liikenteen mitä koneeltani lähtee. Luotan kuitenkin siihen, etteivät näin tee. Sama varmasti pätee tähän tapaukseen. Kyllä ne siellä googlella ne dokumentit varmasti auki saavat. Uskotaan nyt vaan etteivät avaa. Totuus voi olla toinen, mutta en tuota sen epäluotettavampana pitäisi kuin ko. dokumenttien lähettämistä kryptattuna sähköpostilla, jota suuri osa ihmisistä pitää täysin luotettavana.
Siis hetkinen, jos lähetät kryptattua sähköpostia, niin tiedät kyllä että sen saavat auki vain avaimen haltijat. Ei ISP (elleivät he avainta jostain syystä pidä hallussaan).

Googlen tapauksessa emme voi tietää saavatko he itse datan helposti auki, vai eivät.
Jokatapauksessa sitä dataa on kai googlen palvelussa prosessoitava heidän päässä salamattomana, joten jossain vaiheessa salausavaimet ovat myös heidän palvelunsa käytössä.

Googlen palvelussa on tuntemattomia muuttujia ja kysymyksiä, joten kyllä vain siihen sisältyy suurempi riski kuin salattuun sähköpostiin, jossa voit tarvittaessasi kontrolloida paljon helpommin ja varmemmin avaimen jakoa ja levittelyä.
korho Re: Selitykset ontuu
korho, 23.2.2006 10:43:40		 Pisteet: 0
Mitä oikein vertaat keskenään?

Yhtä lailla ne sähköpostit ovat selkokielisenä Googlen ja Microsoftin palveluissa, vaikka osan matkaa salattuina taivaltavatkin.

Jos Desktopia verrataan firman suojattuihin järjestelmiin, niin ööh, taitaa vertaajalla olla vakavia ongelmia suhteuttaa eri tuotteita. Yritysten tietoturvasta vastaavat kyllä osaavat erottaa ruuvimeisselin vasarasta. Ei tuota Desktopia ole tarkoitettu suurten sota- ja yrityssalaisuuksien kaivoksi. Tsiisas!

Samalla logiikalla voisit käydä Gmailia ja Hotmailia vastaan. Ajattele kuinka turvattomia ne ovat yrityksen henkilöstön ainoina sähköposteina.
weicco Re: Selitykset ontuu
weicco, 23.2.2006 12:16:39		 Pisteet: 0
Jos Desktopia verrataan firman suojattuihin järjestelmiin, niin ööh, taitaa vertaajalla olla vakavia ongelmia suhteuttaa eri tuotteita. Yritysten tietoturvasta vastaavat kyllä osaavat erottaa ruuvimeisselin vasarasta. Ei tuota Desktopia ole tarkoitettu suurten sota- ja yrityssalaisuuksien kaivoksi. Tsiisas!
Taidat olla lukutaidoton kun TFA:ssa puhutaan nimenomaan yrityksistä ja Sektorin vedoksessakin "Kyseisellä sovelluksella voi hakea mitä tahansa tiedostoja useilta eri tietokoneilta, esimerkiksi yritysverkossa."
Join me! Together we can rule the galaxy as father and son.
korho Re: Selitykset ontuu
korho, 23.2.2006 14:09:27		 Pisteet: 0
Taidat olla lukutaidoton kun TFA:ssa puhutaan nimenomaan yrityksistä ja Sektorin vedoksessakin "Kyseisellä sovelluksella voi hakea mitä tahansa tiedostoja useilta eri tietokoneilta, esimerkiksi yritysverkossa."
Voin toki olla väärässä, mutta minä en muista lukeneeni, että Google olisi promonnut ominaisuutta yrityksille. Gartnerin haastattelussa Googlen edustaja sanoo kohtuullisen suorasanaisesti, ettei tätä kannata ottaa käyttöön mikäli on kovin tärkeää matskua liikkeellä.

Minä en tarvinnut Gartnerin konsulttia käsittääkseni tätä asiaa. Uskon, että yritysten tietoturvasta vastuussa olevat ihmiset ymmärtävät nämä asiat vielä huomattavasti paremmin kuin minä.

Jos Google on suunnannut palvelun nimenomaan yrityssektorille (ilman suljettua serveriä), niin paiskaa linkki, ole hyvä. Pääset näin vähimmällä kinastelulla.
korho Re: Selitykset ontuu
korho, 22.2.2006 10:27:55		 Pisteet: 0
Jos yrityksen salaiset tiedostot kopioidaan googlen palvelimelle ilman että käyttäjä sitä tiedostaa
Sen verran puolustukseksi on nyt mainittava, että oletusarvoisesti "search accross computers" ominaisuus on pois päältä.

Asetusikkunassa mainitaan, että tämä ominaisuus on erikseen laitettava päälle ja se tarkoittaa, että indeksoidut tiedostot talletetaan Googlen servereille. Sitten on pari linkkiä, minkä takaa asiaa selvitetään vielä tarkemmin.

Itse en dokumenttien jakoa ota käyttöön, mutta kyllä minä tavallaan arvostan, että tuollaistakin featurea tarjotaan ja ennen kaikkea, että se on oletusarvoisesti disabloitu. Se on kohteliasta ja suoraselkäistä palvelua.
zerco Re: Selitykset ontuu
zerco, 22.2.2006 08:30:08		 Pisteet: 0
Jos yrityksen salaiset tiedostot kopioidaan googlen palvelimelle ilman että käyttäjä sitä tiedostaa, niin eiköhän siinä ole jonkinasteinen tietoturvaongelma. Nyt on Googlelta mopo karannut käsistä.
Kieltämättä hieman omituinen asenne googlella. Onkohan heillä kasvanut jonkinlainen kuvitelma, että ovat ylivertaisen luottettavia "kumppaneita".
feenix Re: Selitykset ontuu
feenix, 22.2.2006 08:46:04		 Pisteet: 0
Kieltämättä hieman omituinen asenne googlella. Onkohan heillä kasvanut jonkinlainen kuvitelma, että ovat ylivertaisen luottettavia "kumppaneita".
No mitä muuta näistä voi käsittää kuin että Google ei ole aikoihin (ikinä?) välittänyt muista? "Hei ota meiltä pari kikaa mailitilaa, et kylläkään ikinä voi poistaa mailejas mutta eihän se haittaa?", "Ai niin, ei me osata tehdä hakuja siten, että se hakumoottori hoitais homman sun koneella, me nyt lähetetään nää tiedostot tänne eikä kerrota sulle siitä, eikä varsinkaan miten ne saa pois täältä tai mitä niille tehdään, eihän se haittaa?", "Me tehdään hakusivut ihan rikkinäisellä HTML:llä, me voidaan sit tehdä tollanen erillinen XHTML-hakusivu joka sitten toimii kai niissä joissa tää ei, eihän se haittaa?"

Minusta tuokin on aika omituinen puolustus, että data on kryptattuna. Pakkohan Googlen on saada se auki jotta sillä mitään tekisi, joten datan voi varastaa heiltä. Ja kun mietitään esimerkiksi miten tarkkaa on pörssiyhtiöiden tiedotustoiminta, joku sattuu tällaisen laittamaan käyttöön ja dokumentit leviävät ulkomaailmaan, joku saa napattua välistä osavuosikatsauksen viikkoa ennen sallittua julkaisua -> kivat sakot firmalle. Ja niin edelleen.
bungle Re: Selitykset ontuu
bungle, 22.2.2006 14:18:31		 Pisteet: 0
Minusta tuokin on aika omituinen puolustus, että data on kryptattuna. Pakkohan Googlen on saada se auki jotta sillä mitään tekisi
En ota kantaa siihen, miten tämä ominaisuus on toteutettu, mutta eikö voisi olla mahdollista, että kryptaus tehdään clientillä ja Googlea käytetään vain varastona? Tällöin Google ei saisi dataa auki kuin bruteforcella. Toki silloin taas tarvittaisiin jokin avain tuolle hakumoottorille (Google Desktop), mikä olisi ainoastaan käyttäjän tiedossa (salasana on yksi mahdollisuus).
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
feenix Re: Selitykset ontuu
feenix, 22.2.2006 14:31:13		 Pisteet: 0
Minusta tuokin on aika omituinen puolustus, että data on kryptattuna. Pakkohan Googlen on saada se auki jotta sillä mitään tekisi
En ota kantaa siihen, miten tämä ominaisuus on toteutettu, mutta eikö voisi olla mahdollista, että kryptaus tehdään clientillä ja Googlea käytetään vain varastona? Tällöin Google ei saisi dataa auki kuin bruteforcella. Toki silloin taas tarvittaisiin jokin avain tuolle hakumoottorille (Google Desktop), mikä olisi ainoastaan käyttäjän tiedossa (salasana on yksi mahdollisuus).
Googlehan sanoo, että dataa siirretään jotta voidaan jakaa hakutietoja muiden kanssa:

"The data is transferred to a remote server, where it is stored and can then be shared between users for up to 30 days."

Eli jos minä lähetän datan kryptattuna avaimella X ja Google ei sitä pura, sitten minun pitänee kertoa avain muille hakijoille tai avaimen pitää olla tunnettu. Jälkimmäisessä tapauksessa koko kryptaus on turha. Eli aika vahvasti näyttää siltä, että Google purkaa datan ja kryptaa uudestaan kun se lähetetään seuraavalle, jos kerran data on turvallisesti kryptattu. Googlen palvelimilla sen sijaan se ei ole turvassa. Vaikka se sielläkin olisi kryptattuna, se pitää kryptata tunnetulla avaimella, jonka saanee kaivettua esiin, jos pääsee muitakin tietoja ronkkimaan. Ja tällä avaimella lienevät kaikkien tiedot kryptattuna, ei siellä varmastikaan ole kukaan naputtamassa avaimia paperilta aina kun joku dataa haluaa.
weicco Re: Selitykset ontuu
weicco, 22.2.2006 16:27:44		 Pisteet: 0
Tiedämmekö edes miten tieto kryptataan? En löytänyt mistään mitä salausmenetelmää tässä käytetään. Toivottavasti ei sentään symmetrisellä salauksella, jolloin salausavain olisi hardkoodattuna clientiin :)

No joka tapauksessa parempia firmoille soveltuvia hakukoneita ja -palvelimia löytyy.
Join me! Together we can rule the galaxy as father and son.
Igor Re: Selitykset ontuu
Igor, 22.2.2006 14:20:53		 Pisteet: 0
quot;Hei ota meiltä pari kikaa mailitilaa, et kylläkään ikinä voi poistaa mailejas mutta eihän se haittaa?"
Ai, eikö se Trash-näkymässä oleva Delete Forever -nappi poistakaan niitä maileja?

quot;Ai niin, ei me osata tehdä hakuja siten, että se hakumoottori hoitais homman sun koneella, me nyt lähetetään nää tiedostot tänne eikä kerrota sulle siitä, eikä varsinkaan miten ne saa pois täältä tai mitä niille tehdään, eihän se haittaa?"
Tuota noin... asentelin ton Google Desktop Searchin koneelle ihan silkasta mielenkiinnosta, ja blokkasin palomuurista kyseiseltä sovellukselta (taisi olla peräti neljä eri exe-filua) kaikki yhteydet ulkomaailmaan. Hienosti toimi haut omalla koneella.
--
- Igor - // Move 'ZIG'. For great justice.