Suomen tunnistautuminen on rikki

leaking-sieve

Valtion konttori vastasi HS:n kysymyksiin ja he antavat vähätellen ymmärtää, että mitään ongelmaa ei ole, ja jos on, niin se on käyttäjissä.

“Mekin ensin luulimme, että tässä olisi jotain, mutta ei mitään tietoturvapoikkeamaa tai – ongelmaa löytynyt. Emme nyt oikein ymmärrä, miten tämä juuri nyt on pöllähtänyt esiin.”

Mellas muistuttaa, että Plommerin esiin nostama tietoturvavika voi tietysti sattua, jos tietokoneen käyttäjä ei sulje istuntoaan käytön jälkeen. Silloin joku voi päästä tietoja katsomaan.”

Voin siis nyt hyvin kertoa teille, että ihmisten HETUn ja nimi liikkuu tunnistauduttaessa osoiterivillä palveluiden välillä siirryttäessä. Voit kokeilla, löytyykö selaimen välimuistista näitä tietoja kirjoittamalla osoiteriville yksinkertaisesti “tunnistus.suomi.fi” ja poimit osoitteiden pudotusvalikosta sen kaikkein pisimmän URL:in ja kopioit sen johonkin tekstieditoriin. Tästä rimpsusta löytyy vierailuaikasi, HETUsi ja nimesi, ihan selkokielisenä. Tätä on helppo demonstroida vaikka kollegan koneella – omani oli järkyttynyt, eikä voinut uskoa miten helposti pääsin näihin tietoihin käsiksi.

Toisin kuin Valtorin nimeämä puhuva pää väittää, tiedot löytyvät myös selaimen historiasta. Voit kokeilla haeskella URLeja sieltäkin. Esimerkiksi sen kirjastokoneen selaushistoriasta voisi saada melkoisen saaliin.

Testasin tätä ihan itse tänään ja menin Tikkurilan kirjastoon, jossa asiat oli onneksi hoidettu niin hyvin, että Chrome aukeaa oletusarvoisesti incognito-moodissa. Se ei tallenna jälkiä selailusta selaimen tietoihin. Sieltä en siis saanut ainakaan pikaisella tarkastelulla mitään irti. Tästä kymmenen pistettä heille! Exploreria ei voinut käyttää incognitona, enkä näin jälkikäteen ajateltuna selannut sen historiatietoja. Sieltä olisi voinut ehkä jotain löytyäkin.

Tosiasia kuitenkin on, että lukuisten julkisten koneiden välimuisteja ja selaushistorioita voi selata hyvinkin pitkälle ja siten saada tämän arkaluontoisen yhdistelmän selville. Kukaan ei kiistä, etteikö näiden selville saaminen olisi ongelma, joten Valtorin pitäisi minusta nyt ihan kiltisti myöntää, että aivan liian suuri osa ihmisistä EI tyhjennä sekä selaimen välimuistia, että sen historiatietoja lopettaessaan. TUPAS on aikansa elänyt, jos se sallii näin helpot tietovuodot, että minäkin ne löydän.

Heidän pitäisi siis korjata tämä ammottava tietoturva-aukko niin, etteivät tiedot enää liiku osoiterivillä, ainakaan selkokielellä! Muun muassa tällaisten markkinatoimijoiden takia:

“asiakas saa valittavakseen maksaako hän laskulla, osamaksulla vai tilillä, riippuen mitkä palvelut on käytössä.. Asiakkaalta kysytään hetu/y-tunnus, ja luottotiedot tarkistetaan välittömästi.. Syötetyn hetun tai y-tunnuksen pitää olla saman henkilön, kuin mitkä tiedot annettiin tilauksen osoitetiedoissa.” (Klarnan varsin hasardi menettelytapa, mikä voisikaan mennä pieleen..?).

Yksi mielenkiintoinen seikka oli se, että tästä nimenomaisesta ongelmasta on kuulemma raportoitu aikaisemminkin, mutta silloinkin on viitattu kintaalla. Tällainen pään puskaan työntäminen ei enää kyberturvallisuuskeskukselta vetele – järjestelmä on korjattava hetimmiten!

HETUt ja nimet vuotavat kuin räkä nokasta

shawshank-1

Valtion tietoturvassa on ammottava aukko, joka toivottavasti korjataan viipymättä. Ilmoitin tästä äsken Viestintävirastolle, joka on minuun toivottavasti pian yhteydessä, eikä päästä ihan kaikki kokeilemaan, miten homma oikein toimii.

Pienellä kikkailulla, kuka tahansa voisi mennä esimerkiksi kirjaston julkiselle koneelle ja katsella minkä nimiset ihmiset ovat käyttäneet siltä tunnistautumispalvelua, ja mitkä heidän HETUnsa ovat. Koko tempun tekemiseen ja näiden tietojen muistitikulle kopioimiseen menee noin 20 sekuntia, yläkanttiin arvioituna.

Uhan kohteena ovat käytännössä kaikki suomalaiset, jotka käyttävät valtion tarjoamaa sähköistä tunnistautumista julkisella koneella, eli ainakin kouluissa, työpaikoilla ja internetkahviloissa.

Suosittelen kaikkia olemaan käyttämättä valtion tarjoamia tunnistautumispalveluja julkisilla koneilla, kunnes vika on saatu korjattua. Toivon että uhka otetaan vakavasti ja parasta tietysti olisi, että HETUa ei enää käytettäisi minkäänlaisena henkilövarmisteena, edes niiden lehtien tilailun yhteydessä. Silloin niiden vuotamisellakaan ei olisi juuri merkitystä.

Haluan parempaa tietoturvaa, massiivisen verkkovalvonnan sijaan. Näissä vaaleissa äänestetään myös oikeudestasi yksityisyyteen. Piraattipuolue lupaa puolustaa sitä, kuten muitakin kansalaisoikeuksia ja yksilönvapauksia herkeämättömästi. Muita puolueita nämä asiat eivät ole tuntuneet juuri kiinnostavan, kun aina vaan juostaan sen rahan perässä, vasempaan tai oikeaan. Piraatit ymmärtävät erityisesti perusoikeuksien ja vapauden päälle.

Olen ehdolla Helsingin piirissä numerolla 259.

Pikainen puolitusina – syitä äänestää Piraatteja

Piraattien äänestämiseen on paljon syitä ja koska äänestäjienkin on syytä tietää näistä, niin listaan pikaisesti ensimmäiset kuusi mieleentulevaa syytä äänestää Piraatti eduskuntaan:

1) Piraateilla on näytön paikka. Kun Piraatti pääsee eduskuntaan, hänen takanaan seisoo yli 4 000 jäsentä, jotka auttavat kansanedustajaamme politiikan muotoilussa ja eteenpäin viemisessä. Jos läpi päässyt Piraatti jäisi lepäämään laakereillaan, tai pettäisi äänestäjänsä puolueen ideologian ydinalueiden suhteen, olisi uskottavuutemme mennyttä.

2) Piraateilta löytyy asiantuntemusta, jota muilla puolueilla ei ole. Piraattien kansanedustajalta ei jää ennakkosensuurin ujutus huomaamatta – me huomasimme sen ilman edustajanpaikkaakin, palkatta. Tarvitsemme siis ainakin yhden piraatin kertomaan muille kansanedustajille, mitä asioita he ovat ylenkatsoneet.

3) Piraatit haluavat muuttaa itse demokraattista järjestelmäämme. Kokoomus mainostaa, että politiikka on rikki, mutta heillä ei ole yhtäkään ehdotusta itse poliittisen järjestelmän parantamiseksi. En usko, että he tosiasiallisesti haluavatkaan muuttaa politiikkaa ja sen tekemistä. Piraatit haluavat parantaa kansalaisaloitteiden vaikuttavuutta, vaihtaa vaalitapaa, lisätä hallinnon avoimuutta ja julkisen tiedon saatavuutta reilusti entisestään.

4) Jos olet alle 30-vuotias, niin miksi et äänestäisi Suomen ylivoimaisesti nuorimmista ehdokkaista koostuvaa puoluetta? Jo aikaisemmin on nähty, että yli 50-vuotiaat kansanedustajat äänestävät säännönmukaisesti eri tavalla, ainakin tietyissä liberaaleissa aiheissa, kuten esimerkiksi tasa-arvoisen avioliittolain suhteen.

5) Piraatit ovat Suomen ylivoimaisesti liberaalein puolue. Jos me todella olisimme yhden asian puolue, niin se asia olisi vapaus. Piraattien ehdokkaiden mielipiteet vasemmisto-oikeisto -asettelussa vaihtelevat hyvinkin paljon, mutta juuri liberaaliudessa me olemme Suomen johdonmukaisin puolue. RKP, ja Kokoomus kyllä väittävät olevansa liberaaleja, ja puolustavansa yksilönvapauksia mutta näiden viimeisten kahdeksan hallitusvuoden aikana niiden teot ja säätämät lait puhuvat aivan päinvastaista kieltä.

6) Piraatit ovat poliittisesti kokemattomia ja eivät siten ole vielä ehtineet korruptoitumaan. Meidän on jatkossakin vaikea korruptoitua, sillä avoimuuden edistäminen tarkoittaa tietenkin sitä, että me joudumme näyttämään esimerkkiä kaikissa tekemisissämme. Me olemme näiden vaalien tähän asti ainoa puolue, jonka kaikki jäsenet ovat täyttäneet vaalirahoituksen ennakkoilmoituksen.

 

Olen itse ehdolla Piraattien riveissä Helsingin vaalipiirissä numerolla 259. Äänien saaminen antaa minulle hurjasti motivaatiota jatkaa toimintaani, myös eduskunnan ulkopuolelta.