Torstai, 11.12.2003

USA:n hallituksen tietoturvassa yhä parannettavaa

USA:n hallituksen tietojärjestelmien tietoturvassa on yhä rutkasti parantamisen varaa, vaikka tietoturva onkin selvästi paremmassa jamassa kuin vuosi sitten. Edustajainhuoneen komitean julkaisemassa raportissa tietoturvalle annettiin yleisarvosanaksi D, joka vastaa suunnilleen välttävää täkäläisellä asteikolla. Selvää kehitystä on kuitenkin nähtävissä, sillä viime vuonna hallitus sai tietoturvasta arvosanan F, joka on sama kuin hylätty.

"Kehitys on liian hidasta, jotta minä olisin tyytyväinen", totesi komitean puheenjohtaja Adam Putnam. Tietoturvatutkimuksessa määriteltiin oma arvosana USA:n hallituksen lukuisille elimille. Yksi virasto onnistui saamaan korkeimman arvosanan A, ja kaksi sai arvosanan B. Muiden arvosanaksi tuli C tai huonompi. Kaiken kaikkiaan kahdeksan virastoa sai tänäkin vuonna arvosanan F. Hylätyn arvosanan saaneiden joukossa olivat sekä erityinen turvallisuusministeriö, Department of Homeland Security, että oikeusministeriö, Justice Department.

Lue juttu K2, 11.12.2003 00:17. Lähde: Forbes

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 11 uutta / 11 )

pistettä. Näytä vain kommentit joilla on vähintään

	Ironiaa Anonyymi kommentoija, 11.12.2003 03:48:47	Pisteet: 0

Jotenkin ironista että Department of Homeland Security ei hallitse tietoturvaa. Myös oikeuslaitoksen luulisi kykenevän vastuulliseen tomintaan tällä saralla. Tämä tutkimus syö pahasti edellä mainittujen tahojen uskottavuutta.

Huomion arvoista on myös se että Department of Homeland Security teki kesällä ison lisenssisopimuksen Microsoftin kanssa: http://slashdot.org/articles/03/07/16/1634250.shtm...

DOSHissa on ilmeiseti tehty pankkien tapaan hepposia päätöksiä käyttöjärjestelmähanikintojen suhteen.

Pisterajan alittavia kommentteja piilossa.

	Re: Ironiaa Anonyymi kommentoija, 11.12.2003 07:21:08	Pisteet: 0

Muistaako joku että Microsoft olisi ottanut joskus palvelimensa off-line hyökkäysten takia?

Onhan niitä DDoSsattu monta kertaa, ja windowsupdate.com taidettiin sulkea kokonaan kun jokin mato siihen tähtäsi. Ja aikoinaan windowsupdate.ms.comista tuli IIS madon saastuttamaa html:ää.

Ja niitä hyökkäyksiä tehdään useita tuhansia kuukaudessa.

Tuskin, aika harvoin niitä uutisissa ainakaan näkee. Jos ei sitten pingailua ja porttiscanneja laske "hyökkäyksiksi".

Kuinka usein hakkerit vaivautuvat jonkun Linux purkin takia? Kerran kuussa? Ja heti päästiin läpi...siinä sitä turvaa kerrakseen.

Onhan noita ollut, Debian, Gentoo ja Savannah taisivat kaikki mennä saman reiän ansiosta, muuten noin vakavia reikiä on ollut kovin harvoin. Yrityksiä on kyllä ollut, kuten yritys tunkea reikä kernelin koodiin.

	Re: Ironiaa avirtan, 11.12.2003 10:11:03	Pisteet: 0

Tuskin, aika harvoin niitä uutisissa ainakaan näkee. Jos ei sitten pingailua ja porttiscanneja laske "hyökkäyksiksi".

Itseasiassa portscannaaminen todettiin juuri oikeuden päätöksellä rikolliseksi toiminnaksi.

"...yrittivät tietomurtoa...porttiskannaamalla Synscan-nimisellä ohjelmalla IP-osoitteita..."

http://www.helsinginsanomat.fi/tuoreet/artikkeli/1...

	Re: Ironiaa Anonyymi kommentoija, 11.12.2003 12:22:49	Pisteet: 0

Voihan asian ymmärtää niinkin että IP-osoitteiden skannaaminen kuului osana tietomurtoon, koska sen jälkeen haavoittuville koneille tunkeuduttiin.
Tosin muistelen että tässä puolisen vuotta sitten osuuspankin palvelimia skannaillut määrättiin maksamaan vahingonkorvauksia. Pankille kuulemma koitui tästä rahallista vahinkoa koska järjestelmien turvallisuutta piti parantaa. Ihmettelen vain että tuskin löysi pankin järjestelmistä vapaita portteja. Tällöin ko. henkilö tuomittiin tietomurron yrityksestä.

Tuskin, aika harvoin niitä uutisissa ainakaan näkee. Jos ei sitten pingailua ja porttiscanneja laske "hyökkäyksiksi".

Itseasiassa portscannaaminen todettiin juuri oikeuden päätöksellä rikolliseksi toiminnaksi.
"...yrittivät tietomurtoa...porttiskannaamalla Synscan-nimisellä ohjelmalla IP-osoitteita..."
http://www.helsinginsanomat.fi/tuoreet/artikkeli/1...

	Re: Ironiaa Anonyymi kommentoija, 11.12.2003 12:59:12	Pisteet: 0

Pankille kuulemma koitui tästä rahallista vahinkoa koska järjestelmien turvallisuutta piti parantaa.

Minä en lainkaan ymmärrä sitä, että firmat vaativat (ja saavat) korvauksia siitä, että niiden tietoturva on heikko. Mikäli kotiini "murtautuu" varas ja korvaan ovessa ainoana lukkona olleen ha'an kunnon Abloy-lukolla ja murtoraudoilla niin voinko vaatia korvauksia murtomieheltä?

	Re: Ironiaa Anonyymi kommentoija, 11.12.2003 17:34:49	Pisteet: 0

En minäkään. En saa myöskään vakuutuksesta rahaa jos haka on ollut auki. Erittäin hyvä vertaus vaihteeksi Sektorin kommenteissa.

	Re: Ironiaa Anonyymi kommentoija, 11.12.2003 12:37:49	Pisteet: 0

Itseasiassa portscannaaminen todettiin juuri oikeuden päätöksellä rikolliseksi toiminnaksi. "...yrittivät tietomurtoa...porttiskannaamalla Synscan-nimisellä ohjelmalla IP-osoitteita..."

Aivan oikea päätös, ei porttiskannausta tehdä muuten kuin hyökkäysmielessä. Toki hyökkääjä voi olla asiantuntija joka testaa järjestelmän turvallisuutta kohteena olevan asiakkaan laskuun, mutta hyökkäys se on silloinkin mielessä.

	Re: Ironiaa Anonyymi kommentoija, 11.12.2003 15:17:59	Pisteet: 0

Niin, tai sitten etitään jotain tiettyä porttia. Jos esim jokin palvelin avaa portin mutta ei tiedetä minkä portin se avasi, vaikka tietoa tarvittaisiin palvelun käyttämiseen, on yksi keino skannata portit läpi oikean portin löytämiseksi.

No tuo on lähinnä omia koneita varten. Surffatessani Internetissä skannailen kuitenkin jatkuvasti koneiden 80 porttia. Olenko siis rikollinen?

	Re: Ironiaa Anonyymi kommentoija, 11.12.2003 13:54:28	Pisteet: 0

Korkeinoikeus on tehnyt porttiscannauksesta jo aiemmin ennakkopäätöksen.. että siitä vaan kaikki skannailemaan ;) http://www.kko.fi/ennakkoratkaisut/2003-36.htm

	Re: Ironiaa heko, 12.12.2003 03:24:55	Pisteet: 0

Muistaako joku että Microsoft olisi ottanut joskus palvelimensa off-line hyökkäysten takia?

Jaa, että sekö on ainoa kriteeri? Että palvelimet on off-line ja että ne ovat off-line virallisesti "hyökkäysten takia". Entä jos käy näin?

http://money.cnn.com/2000/10/27/technology/microso...

Tai no, sitten voi käydä ihan vain näin:

http://www.theregister.co.uk/content/6/15509.html
http://www.theregister.co.uk/content/56/20545.html
http://www.theregister.co.uk/content/archive/14492...
http://www.theregister.co.uk/content/6/16296.html
http://www.theregister.co.uk/content/8/19915.html
http://theregister.co.uk/content/56/20917.html
http://www.theregister.co.uk/content/archive/6469....

Ja niitä hyökkäyksiä tehdään useita tuhansia kuukaudessa.

Annapa ne statistiikkasi.

Ne Microsoftin palvelimia vasten tehdyt hyökkäykset, jotka vuotavat julkisuuteen, tuskin ovat täysin kattava otos kaikista todellisista hyökkäyksistä.

Kuinka usein hakkerit vaivautuvat jonkun Linux purkin takia? Kerran kuussa? Ja heti päästiin läpi...siinä sitä turvaa kerrakseen.

Voi, gee. Jo palomuurien ja palvelimien lokeista näkee, kuinka usein *nix-purkkeja vastaan yritetään murtautua. Ja esim. Defaced-listoilla kerrotaan aikamoisesta määrästä erilaisia purkkeja -- tuskin niihin on murtauduttu "yrittämättä": http://marc.theaimsgroup.com/?l=defaced
http://www.zone-h.org/en/defacements/filter/

Se, että murtautumisia on moniin erilaisiin Linux-purkkeihin, kertoo siitä, että Linux ei ole keskusjohtoinen projekti (sikäli kun voidaan puhua yhdestä projektista), jonka "infrastruktuurissa" on osia, jotka ovat haavoittuvampia kuin toiset. ( http://www.catb.org/~esr/writings/cathedral-bazaar... kaikkine puutteineenkin selittänee enemmän ) Kaikkia osia ei kuitenkaan tarvitse käyttää.

Vastaavasti yhdellä ja samalla Microsoftilla on eri konttoreita eri puolilla maailmaa, joihin on murtauduttu.

--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi

USA:n hallituksen tietoturvassa yhä parannettavaa

Uuden sukupolven konsolipelien kehityskustannukset huolettavat kehittäjiä

FBI jahtaa viruskoodareita

Bugbear.B -virus leviää vauhdikkaasti

Massachusetts torpedoimassa Microsoftin sovintoesityksen

Ydinaseiden ohjausjärjestelmä PlayStationille?