Tietomurrot ja -turvallisuus

[Vieraissa]

Tallentaminen on vain osa henkilötietojen käsittelyä. Salakirjoitettu tallennus ei itsessään suojaa vielä mitään jos käsittely ei ole suojattuna läpi pinon. Jollain avaimella se salakirjoituskin avataan.

Vastaamon tapauksessa on puhuttu koko tietokannasta. Oletan, että tietokanta on imuroitu.

Siitä, onko tietokanta ollut salakirjoitettu vai ei, ei ole ollut mainintaa. Mikäli kryptaus on pystytty purkamaan, on täytynyt tietää algoritmi ja operaatiossa tarvittavat avaimet. Eri algoritmeilla on nopeuden ja turvallisuuden kannalta heikkoutensa ja vahvuutensa, sama pätee avaimen/avainten hallintaan. Kryptaamisen purkamiseen tarvitaan aina tietty avain (joka pitäisi olla visusti tallessa) tai jos avain puuttuu, voidaan käyttää laskentatehoa ja kokeilla kaikkia mahdollisia vaihtoehtoja. Yllä puhuttiin käyttäjätunnuksen heikosta salasanasta, joten tietenkin on ollut helppo myös käydä poimimassa kryptauksen purkamisessa tarvittu avain.

Salakirjoitettu tieto ei ole turvassa, mikäli sitä käsitellään salakirjoittamattomassa muodossa. Tämä voisi tarkoittaa yksittäisen potilaan tietojen kaappaamista esim. terapiaistunnon kirjaamisen yhteydessä. Tällainen vuoto ei kuitenkaan kohdistu koko tietokantaan ja Vastaamon tapauksessa on puhuttu 15 000 henkilön tiedoista.

Olen silti sitä mieltä, että tärkeä data kannattaa aina tallentaa salakirjoitetussa muodossa. Siitä on varmasti tietomurtojen kannalta enemmän hyötyä kuin haittaa.

 

[Max131]

Tokihan homma on mennyt jo aika isosti vituiksi, jos joku on päässyt ylipäätään tietokantaan käsiksi, ts. sisään ympäristöön, jossa kanta sijaitsee. Mutta kyllähän siinä aikamoinen bonus on vielä päälle, jos kanta on huonosti suojattu, salaamaton ja siellä on esim. kaikkien järjestelmän käyttäjien salasanat selkokielisenä. Tai tässä tapauksessa hetut kaikilla potilastiedoilla höystettynä.

En kyllä keksi ihan äkkiä tarvetta sille, että salasanoja nyt ainakaan pitäs kantaan selkokielisenä saada. Hetu saattaa tarvitakin olla palautettavissa selkokielisenä, mutta sit voi ainakin katsoa, että hetut sisältävä kanta on kryptattu ja kannan ympäristö sillä tasolla suojattu, ettei sinne pitäs ihan pikkuvaivalla päästä ihmettelemään kenenkään huomaamatta.

 

[Vieraissa]

Kaiketi tuossa keississä ihan kaikki on mennyt päin prinkkalaa: palvelut, softat, käyttäjän tunnistus, data.

Kun laittaa julkiseen verkkoon palvelun oletusporttia kuuntelevan palvelun (portin vaihtaminen ei parananna tietoturvaa), ei kestä monta minuuttia, kun siihen alkaa tulla hyökkäysyrityksiä. Tämä on ihan normaalia ja se on pakko "hyväksyä". Mitä portista pääsee tekemään ja kuinka helposti, on toinen juttu. Murtautuminen voi olla äärimmäisen helppoa tai "mahdotonta".

 

[Max131]

Joo, onhan se varma, että jos on joku yhtään kiinnostavampi julkista nettiä vasten oleva palvelu, niin jokuhan sinne yrittää mennä.

Toki eihän koko palvelua tarvitse laittaa julkinettiä vasten, vaan pelkkä frontend riittää. Palvelun backend tietokantoineen voi olla jossain muualla. Frontendin ja backendin väliin voi laittaa kuormantasaajan, joka välittää liikennettä backendille ja jota ei pysty kutsumaan kuin frontendistä (loadbalancerille luvitetaan IP:t, josta saa kutsua). Backend taas hyväksyy vain sellaiset kutsut, joiden mukana tulee oikea token, jonka taas tietää vain autentikoitunut käyttäjä. Ja vasta backend kutsuu tietokantaa, joka taas voi olla toisaalla backendiin verrattuna.

Jos yhden käyttäjän tunnarit varastetaan, niin sitten lähtee vaan yhden käyttäjän tiedot. Jos on joku superuser tunnari, niin two factor autentikaatio päälle.

Mää nyt mietin pilvi-infraa tota kirjoittaessani ja tää Vastaamon keissi kuulosti siltä, että niillä on ollu joku niiden itse hallinnoima ympäristö, mutta tuossa on jo useampi kerros turvallisuutta lisää siihen, että joku murtautuu vaan webbipalvelimelle ja kaik lähtee.

 

[Max131]

Hemmetti, kun kerennyt enää editoimaan.. tuossa äskeisessä kuormantasaajahan pitää laittaa niin, ettei se ole ylipäätään näkyvissä julkiseen nettiin.

 

[Vieraissa]

Joo, onhan se varma, että jos on joku yhtään kiinnostavampi julkista nettiä vasten oleva palvelu, niin jokuhan sinne yrittää mennä.

Robotit pommittavat jatkuvasti kaikkia palveluita, joissa tiedetään olevan aukkoja, tai ylipäätään testataan tunnistautumista oletustunnareilla tai heikoilla salasanoilla.

Ad hocina yritetään murtautumisia spessumman kiinnostuksen pohjalta (oma hyötyminen, haitanteko jne.).

Toki eihän koko palvelua tarvitse laittaa julkinettiä vasten, vaan pelkkä frontend riittää.

Koko palvelua ei _saa_ laittaa, vaan pelkästään tarvittava osa, esim. portti, jota selainkäyttöliittymää käyttäessä tarvitaan, mikäli pääsy palveluun tarvitaan julkisesta verkosta.

Palvelun backend tietokantoineen voi olla jossain muualla.

Oletan, että esim. vastaamon tietokannan kopiointi ei ole tapahtunut web-käyttöliittymän kautta, tai sitten ollaan rajapintoihin määritelty vähän liikaa toiminnallisuutta (esim. ylläpitotoimenpiteiden helpottamiseksi).

Frontendin ja backendin väliin voi laittaa kuormantasaajan, joka välittää liikennettä backendille ja jota ei pysty kutsumaan kuin frontendistä (loadbalancerille luvitetaan IP:t, josta saa kutsua). Backend taas hyväksyy vain sellaiset kutsut, joiden mukana tulee oikea token, jonka taas tietää vain autentikoitunut käyttäjä. Ja vasta backend kutsuu tietokantaa, joka taas voi olla toisaalla backendiin verrattuna.

Riippuen miten palvelu ja sen tietoliikenneratkaisut on kokonaisuudessaan toteutettu, parhaimmillaan julkisessa socketissa pyörii vain kuormantasaaja (tai ingress controller), ja se on ainoa kohde, jonka kanssa voi julkisessa verkossa suoraan kommunikoida. Kuormantasaajalla hallintaan sisääntulevaa liikennettä ja luvalliset pyynnöt ohjataan eteenpäin (missä voi tarvittaessa tapahtua lisää päätöksentekoa), kaikki muuta paketit hylätään.

Mää nyt mietin pilvi-infraa tota kirjoittaessani ja tää Vastaamon keissi kuulosti siltä, että niillä on ollu joku niiden itse hallinnoima ympäristö, mutta tuossa on jo useampi kerros turvallisuutta lisää siihen, että joku murtautuu vaan webbipalvelimelle ja kaik lähtee.

Luultavasti heidän hallussaan ja kaikkea muutakin auki kuin 443. Tai sitten tiedetty aukko, jota hyödynnetty.