Digitalisaatio - hyvät ja huonot puolet

[OscarK]

Olin 12 vuotta Citymarketissa töissä. Ainoastaan Gerdtin Myyrmannin pommin räjähdyksessä suljettiin kauppa ja kassat.

Ikinä ei ole siellä tapahtunut semmoista josta täällä panikoidaan.

Ei tässä mitään panikoida, vaan ihan threadin otsikon mukaisesti tuon esiin niitä digitalisaation huonoja puolia. Ongelma ovat ne ihmiset, jotka kiihottuvat digitalisaatiosta niin paljon, että heille kaikki digitalisointi on aina hyvä asia.

 

[Kautium]

Ongelma ovat ne ihmiset, jotka kiihottuvat digitalisaatiosta niin paljon, että heille kaikki digitalisointi on aina hyvä asia.

Olen varmaan missannut jotain. Missä sellaisia on näkynyt?

 

[Frankie]

Valokuitu on ihan yhtä digitaalinen kuin langaton verkko. Se on vain huomattavasti vakaampi.

 

[Kingofflies]

Milloin viimeksi et ole saanut ostoksia kaupassa maksettua, ihan mielenkiinnosta kysyn?

Tämä. Itselle käv kerran niin, että menin Flamingo kylpylään ja kassalla kun piti maksaa sisäänpääsy. Huomasin, että lompakko ja puhelin (apple pay) oli unohtuneet kotiin. Muistinpa sitten onneksi, että kellossa oli Garmin Pay ja sillä sain maksuun.
Eli: Vanhassa analogisessa maailmassa olisin jäänyt ulkopuolelle jos olisi ollut käteisen varassa. Apple Payllä useimmiten maksan, se ei ole pettänyt kertaakaan sinä aikana ~5+ vuotta kun olen sitä käyttänyt. Ja sitten toi viimeinen backup, eli älykello. Kukkaro, känny ja rahat voi jäädä kotiin, älykello on 24/7/365 ranteessa.

 

[Sompi]

Ei vaan kerro ihan yleisesti jokin palvelu, minkä käyttö edellyttää älypuhelimen käyttöä. Höpisit äsken jopa kaupassa käynnistä, joten naurattaa jo valmiiksi.

Sähköautoja ei voi ladata ilman Android- tai iOS-äppiä. On käsittämätöntä, miten sähköautoilijat eivät ollenkaan protestoi tuollaista kehitystä vastaan.

Ja whatappia taitaa pystyä käyttämään selaimella, vaatii puhelinnumeron.

Ei pysty. Sen saa toimimaan selaimessa vain lukemalla Android- tai iOS-älypuhelimella tietokoneen näytöltä QR-koodin, ja se toimii vain seuraavaan sivunlataukseen asti.

Ai siellä on muutettu systeemejä. Omasta maksamisestani tuolla lienee vuosi aikaa. Hyvä muutos todennäköisesti, vanha systeemi oli erittäin turhauttavaa jonotusta maksupisteelle. Hyvä esimerkki digitalisaation luomasta positiivisesta kehityksestä.

Se ei ole hyvää kehitystä, jos edes autoa ei saa enää laillisesti parkkiin ilman Android- tai iOS-älypuhelinta ja siihen asennettavaa vakoiluohjelmaa.

En usko, että korkeakoulussa vaaditaan älypuhelinta 2FA:han. Nuo nimittäin pääsääntöisesti voi hoitaa SMS:llä, eli ei ole pakko olla sovellusta. Ja jos työpaikalla tarvitaan, niin silloin työnantaja tarjoaa tähän sopivan puhelimen, joten se ei ole mikään todellinen ongelma.

Savoniassa ei kelpaa enää tekstiviesti kaksivaiheiseen tunnistautumiseen, vaan pitää olla salaista protokollaa käyttävä suljetun koodin Microsoft Authenticator-sovellus, jonka saa vain Android- ja iOS-älypuhelimiin. Koulun IT-hallinnon mukaan tekstiviestin hyväksyminen kaksivaiheisen tunnistautuminen keinoksi on tietoturvariski.

Tästä muuten tuli mieleen yksi omalle kohdalle iskenyt digitalisaatiopakotus jonka takia viimein taivuin asentamaan OP Mobiilin puhelimeen: Xboxilla peliä ostaessa OP pakotti käyttämään mobiiliavainta. Ei ollut mitään mahdollisuutta käyttää avainlukulistaa. Eli piti sitten asentaa ja ottaa käyttöön se appi että sai pelin ostettua.

Itseltäni olisi jäänyt peli maksamatta,

 

[kaarlos]

Sähköautoja ei voi ladata ilman Android- tai iOS-äppiä. On käsittämätöntä, miten sähköautoilijat eivät ollenkaan protestoi tuollaista kehitystä vastaan.

Tämä nyt on ihan puutaheinää, niillä NFC lätkillä voit ladata koskematta puhelimeen - mutta sikäli en ole eri mieltä etteikö noissa julkisissa latureissa pitäisi olla korttimaksu kuten bensa-automaateissa (ja tähänhän ollaan menossa).

 

[Kautium]

Koulun IT-hallinnon mukaan tekstiviestin hyväksyminen kaksivaiheisen tunnistautuminen keinoksi on tietoturvariski.

Niin se onkin ja se on myös Microsoftin näkemys, joka on ilmoittanut, että tuo ominaisuus ei ole kohta edes optio. Siksi se opinahjosikin on sen estänyt.

 

[Sompi]

Niin se onkin ja se on myös Microsoftin näkemys, joka on ilmoittanut, että tuo ominaisuus ei ole kohta edes optio. Siksi se opinahjosikin on sen estänyt.

Mihin se perustuu? Puhelimet ovat täynnä tietoturva-aukkoja joka tapauksessa, joten ei se Microsoftin oma ohjelma ole kunnolla turvallinen sekään, kun se kuitenkin ajetaan reikäisessä älypuhelimessa. Itse asiassa siinä älypuhelinohjelmassa on paljon enemmän hyökkäyspinta-alaa kuin tekstiviestissä.

Heh, eli oravannahat ja lankapuhelimet rinnalle

Kukaan muu kuin sinä ei ole maininnut oravannahkoja, joten voisit lopettaa moisten typerien olkiukkojen viljelemisen. Oravannahkoja ei ole missään pidetty valtakunnan virallisen valuutan ilmenemismuotona enää satoihin vuosiin - nykyään käytetään seteleitä ja kolikoita, ja hyvä niin.

Lankapuhelinverkko taas on jo huoltovarmuudenkin kannalta melkoisen tärkeä asia ja sen purkaminen on yksi typerimmistä päätöksistä, mitä tässä maassa on tehty pitkään aikaan. Monessa syrjäisemmässä paikassa ei kuulu mobiiliverkko kunnolla, ja lankapuhelinverkon purkamisen jälkeen sellaisissa paikoissa on nyt jääty kokonaan ilman yhteyksiä.

 

[Trespasser]

mutta sikäli en ole eri mieltä etteikö noissa julkisissa latureissa pitäisi olla korttimaksu kuten bensa-automaateissa (ja tähänhän ollaan menossa).

Tästähän tuli tosiaan EU-asetus, että latauspisteillä kertalataus on voitava maksaa jatkossa helposti maksukorteilla ilman minkäänlaisia tilauksia ja hinnat pitää olla selvästi nähtävillä. Tää tulee tässä kevään 2024 aikana voimaan, ja esim. Teslan uusissa superchargereissa on jo maksupäätemoduulille paikka. En muista koskeeko tää ainoastaan uusia pisteitä vai kaikkia pikalatauspisteitä.

 

[null]

Mihin se perustuu? Puhelimet ovat täynnä tietoturva-aukkoja joka tapauksessa, joten ei se Microsoftin oma ohjelma ole kunnolla turvallinen sekään, kun se kuitenkin ajetaan reikäisessä älypuhelimessa. Itse asiassa siinä älypuhelinohjelmassa on paljon enemmän hyökkäyspinta-alaa kuin tekstiviestissä.


Kukaan muu kuin sinä ei ole maininnut oravannahkoja, joten voisit lopettaa moisten typerien olkiukkojen viljelemisen. Oravannahkoja ei ole missään pidetty valtakunnan virallisen valuutan ilmenemismuotona enää satoihin vuosiin - nykyään käytetään seteleitä ja kolikoita, ja hyvä niin.

Lankapuhelinverkko taas on jo huoltovarmuudenkin kannalta melkoisen tärkeä asia ja sen purkaminen on yksi typerimmistä päätöksistä, mitä tässä maassa on tehty pitkään aikaan. Monessa syrjäisemmässä paikassa ei kuulu mobiiliverkko kunnolla, ja lankapuhelinverkon purkamisen jälkeen sellaisissa paikoissa on nyt jääty kokonaan ilman yhteyksiä.

Tuuraatko käyttäjää OscarK, vai miksi tartuit viestiin, joka ei ollut edes osoitettu sulle?

 

[Timo 2]

Tuuraatko käyttäjää OscarK, vai miksi tartuit viestiin, joka ei ollut edes osoitettu sulle?

Eikö muut saisi vastata viestiin, kuin vain se jolle viesti on tarkoitettu? Lisäksi tämä vaikuttaa vahvasti menevän käyttäjstä keskustelun puolelle.

 

[null]

Eikö muut saisi vastata viestiin, kuin vain se jolle viesti on tarkoitettu? Lisäksi tämä vaikuttaa vahvasti menevän käyttäjstä keskustelun puolelle.

Saa toki ja ilmoita ihmeessä ylläpidolle, jos koet vääryyttä.

 

[=JP=]

Mihin se perustuu? Puhelimet ovat täynnä tietoturva-aukkoja joka tapauksessa, joten ei se Microsoftin oma ohjelma ole kunnolla turvallinen sekään, kun se kuitenkin ajetaan reikäisessä älypuhelimessa. Itse asiassa siinä älypuhelinohjelmassa on paljon enemmän hyökkäyspinta-alaa kuin tekstiviestissä.

Kannattaa tutustua:

SIM swap scam - Wikipedia

en.wikipedia.org

Ollut jo pitkään vakava ongelma itseasiassa ja joissakin maissa yllättävän helppoa...

 

[Timo 2]

Saa toki

Eikö siis kysyminen miksi joku vastaa johonkin viestiin ole turhaa ja mene käyttäjistä keskustelun puolelle?

ilmoita ihmeessä ylläpidolle, jos koet vääryyttä.

En jaksa.

 

[Sompi]

Kannattaa tutustua:

SIM swap scam - Wikipedia

en.wikipedia.org

Ollut jo pitkään vakava ongelma itseasiassa ja joissakin maissa yllättävän helppoa...

Kaksivaiheisen tunnistautumisen väärentäminen tuolla tavoin vaatii niin tarkkaa ajoitusta, että hyökkäyksen onnistumisen todennäköisyys on tähtitieteellisen pieni.

Todennäköisempää on, että siihen älykännykkään asentuu joku haittaohjelma tai Microsoft Authenticatorista löytyy joku tietoturva-aukko.

 

[Timo 2]

Kannattaa tutustua:

SIM swap scam - Wikipedia

en.wikipedia.org

Ollut jo pitkään vakava ongelma itseasiassa ja joissakin maissa yllättävän helppoa...

Näyttää ettei suomessa toimi. Uusi sim tulee postilla, tai pitää hakea henkkareilla operaattorin myymälästä.

 

[null]

Eikö siis kysyminen miksi joku vastaa johonkin viestiin ole turhaa...

Luultavasti näin, mutta samalla myös sun koko kommentti aiheeseen liittyen oli turhaa. Joten jos ahistaa, niin ilmoita eteenpäin.

 

[=JP=]

Näyttää ettei suomessa toimi. Uusi sim tulee postilla, tai pitää hakea henkkareilla operaattorin myymälästä.

En sanonutkaan että se on iso ongelma täällä, vaan monessa muussa maassa ja koska monet palvelut on maailmanlaajuisia, niin muutokset tapahtuu myös maailmanlaajuisesti. Ja siksi tuo SMS 2FA on todettu surkeaksi ja halutaan poistaa käytöstä...

Kaksivaiheisen tunnistautumisen väärentäminen tuolla tavoin vaatii niin tarkkaa ajoitusta, että hyökkäyksen onnistumisen todennäköisyys on tähtitieteellisen pieni.

Todennäköisempää on, että siihen älykännykkään asentuu joku haittaohjelma tai Microsoft Authenticatorista löytyy joku tietoturva-aukko.

Jos siihen älykännykkään asentuu haittaohjelma, niin yhtä turha se tekstiviesti varmennus on.
Tuota SIM Swap "hyökkäystä" vaan on käytetty aikas paljonkin hyväksi ja löytyy montakin tapausta...

 

[Timo 2]

En sanonutkaan että se on iso ongelma täällä, vaan monessa muussa maassa ja koska monet palvelut on maailmanlaajuisia, niin muutokset tapahtuu myös maailmanlaajuisesti. Ja siksi tuo SMS 2FA on todettu surkeaksi ja halutaan poistaa käytöstä...

Esitetäänpä jatkokysymys niinpäin että miksei suomen malli toimisi muulla tai miksi suomessa ainoastaan tehdään tämä fiksusti?

 

[=JP=]

Esitetäänpä jatkokysymys niinpäin että miksei suomen malli toimisi muulla tai miksi suomessa ainoastaan tehdään tämä fiksusti?

Tähän on lähes mahdoton vastata, ei ole mitään "standardia" toimintatapaa ja operaattorit toimii eri maissa eri tavalla, esim. ei varmenneta kunnolla asioita...
Sehän tässä maailmassa onkin yksi suurimpia ongelmia, kun ei ole kaikkialla sitä yhtä ja samaa tapaa hoitaa asioita ja ikinä ei tule olemaankaan. Jos kaikissa asioissa olisi säädetyt standardit, joiden mukaan kaikki toimisi, niin kylläpä olisi paljon helpompaa hoitaa asioita. Mutta sitten toisaalta valitettaisiin kun on niin tarkkaan säädetty maailma, että ei ole ns. vapaata ajattelua tjsp... Aina joku valittaa asioista, olipa ne hoidettu miten tahansa.

Jotkut taasen ovat jumittuneet sinne parin vuosikymmenen taakse oleviin tapoihin ja näihin tapauksiin on mahdoton vaikuttaa, mikään uusi ei kelpaa, vaan valitetaan kaikesta...

 

[Timo 2]

Tähän on lähes mahdoton vastata, ei ole mitään "standardia" toimintatapaa ja operaattorit toimii eri maissa eri tavalla, esim. ei varmenneta kunnolla asioita...

Eli ongelma on operaartorit, jotka toimivat leväperäisesti, ei että tuo tekstiviestillä tuleva varmenne olisi ongelmallinen.

Toimitaanko edes kaikkialla lännessä fiksusti tuon simin kanssa, vai onko tämä lähinnä ongelma kehitysmaissa ja muissa missä hallinto on mitä on?

 

[TeknoR]

Tästähän tuli tosiaan EU-asetus, että latauspisteillä kertalataus on voitava maksaa jatkossa helposti maksukorteilla ilman minkäänlaisia tilauksia ja hinnat pitää olla selvästi nähtävillä. Tää tulee tässä kevään 2024 aikana voimaan, ja esim. Teslan uusissa superchargereissa on jo maksupäätemoduulille paikka. En muista koskeeko tää ainoastaan uusia pisteitä vai kaikkia pikalatauspisteitä.

Se koskee ainoastaan kaikkia TEN-T tien läheisyydessä olevia latauspisteitä, että siis siellä pitää olla 60km välein korttimaksullinen pikalaturi. Aika paljon latauspisteitä siis jää todennäkösesti toimimaan vanhalla systeemillä.

Eli tuo punainen maantie allaolevassa kuvassa:

AFIR-lainsäädäntö kasvattaa lataustehoja - Oikosulkublogi

Tämä artikkeli on ilmestynyt muutama viikko sitten STUL:n Sähkömaailma -lehdessä. Suomeen rakennetaan lähivuosina aiempaa tehokkaampia latausasemia osana EU:n ympäristötavoitteita. Euroopan Unioni julkaisi heinäkuussa Fit for 55 -paketin, joka tähtää hiilidioksidipäästöjen ... Lue lisää

oikosulkublogi.fi

 

[=JP=]

Toimitaanko edes kaikkialla lännessä fiksusti tuon simin kanssa, vai onko tämä lähinnä ongelma kehitysmaissa ja muissa missä hallinto on mitä on?

Taitaa eniten esiin tulleita tapauksia olla USAssa ja jokainen voi itse päättää onko kyseessä kehitysmaa...

Esim. tuolta Wikipedian sivulta:

In early 2022, the US FBI reported a sharp increase in money losses to consumers in 2021, and continuing into 2022, from this type of fraud. The losses in 2021 alone were five times larger than the three prior years summed: “The FBI says that victims lost $68 million to this SIM-card based scam in 2021, compared to just $12 million in the three-year period between 2018 and 2020.” The FBI received 1,600 complaints about SIM-swapping in 2021, a sharp increase from the three previous years. The swaps happen quickly once the scammers have sufficient information to persuade a mobile phone carrier to assign a stolen phone number to their phone; the thefts of money happen when the thieves then receive the two-factor codes sent to the proper owner of the phone number.

 

[Timo 2]

Taitaa eniten esiin tulleita tapauksia olla USAssa ja jokainen voi itse päättää onko kyseessä kehitysmaa...

Usa on kyllä monella mittarilla kehitysmaa, mutta samalla johtava telollisuusvaltio ja supervalta, joka on monella mittarilla kuin mikätahansa muu länsimaa.

Todellinen ristiriitaisuuksien valtio.

Joten joo, jos usassa ja puolessa muulla maailmassa asiat on päin honkia, eikä yritykset pysty tätä korjaamaan, niin kokomailmassa otetaan käyttöön järjestelmä, joka ei kärsi siitä että asiat on päin honkia.

 

[JCSH]

Usa on kyllä monella mittarilla kehitysmaa, mutta samalla johtava telollisuusvaltio ja supervalta, joka on monella mittarilla kuin mikätahansa muu länsimaa.

Todellinen ristiriitaisuuksien valtio.

Joten joo, jos usassa ja puolessa muulla maailmassa asiat on päin honkia, eikä yritykset pysty tätä korjaamaan, niin kokomailmassa otetaan käyttöön järjestelmä, joka ei kärsi siitä että asiat on päin honkia.

Eikä tuo SIM swap scam ole ainoa ongelma. Tekstiviesteissä ei ole E2E enkryptausta ja muutenkin niiden tietoturva on erittäin kyseenalainen.
Joten siihen, että niistä pyritään eroon MFA:ssa, on kyllä todella hyvät perusteet.

 

[Kingofflies]

Mihin se perustuu? Puhelimet ovat täynnä tietoturva-aukkoja joka tapauksessa, joten ei se Microsoftin oma ohjelma ole kunnolla turvallinen sekään, kun se kuitenkin ajetaan reikäisessä älypuhelimessa. Itse asiassa siinä älypuhelinohjelmassa on paljon enemmän hyökkäyspinta-alaa kuin tekstiviestissä.


Kukaan muu kuin sinä ei ole maininnut oravannahkoja, joten voisit lopettaa moisten typerien olkiukkojen viljelemisen. Oravannahkoja ei ole missään pidetty valtakunnan virallisen valuutan ilmenemismuotona enää satoihin vuosiin - nykyään käytetään seteleitä ja kolikoita, ja hyvä niin.

Lankapuhelinverkko taas on jo huoltovarmuudenkin kannalta melkoisen tärkeä asia ja sen purkaminen on yksi typerimmistä päätöksistä, mitä tässä maassa on tehty pitkään aikaan. Monessa syrjäisemmässä paikassa ei kuulu mobiiliverkko kunnolla, ja lankapuhelinverkon purkamisen jälkeen sellaisissa paikoissa on nyt jääty kokonaan ilman yhteyksiä.

Sulle ei taida Androidin Trusted Execution Environment ja iOSin Secure Enclave olla tuttuja? Sim-kloonauksella tektiviestien kaappaus on naurettavan yksinkertaista, se on todella turvaton.

 

[Timo 2]

Tekstiviesteissä ei ole E2E enkryptausta

Tämä ei taida ole ongelma muille, kuin yksityisyydestään tarkoille.

muutenkin niiden tietoturva on erittäin kyseenalainen.

Millä tavalla tämä vaikuttaa tavalliseen tampioon?

Joten siihen, että niistä pyritään eroon MFA:ssa, on kyllä todella hyvät perusteet.

Jos nyt tuo sim swap scamm jätetään huomioimatta, niin mitä konkreettisia syitä on olla käyttämättä tekstiviestejä MFA:ssa?

 

[Timo 2]

Sulle ei taida Androidin Trusted Execution Environment ja iOSin Secure Enclave olla tuttuja? Sim-kloonauksella tektiviestien kaappaus on naurettavan yksinkertaista, se on todella turvaton.

Ei ole. Miten se sim kloonataan, kun se sim on suljettu katoamisen yhteydessä, tai se on puhelimessa, erilaisten lukitusten takana?

 

[Kingofflies]

Tämä ei taida ole ongelma muille, kuin yksityisyydestään tarkoille.


Millä tavalla tämä vaikuttaa tavalliseen tampioon?

Jos nyt tuo sim swap scamm jätetään huomioimatta, niin mitä konkreettisia syitä on olla käyttämättä tekstiviestejä MFA:ssa?

Ei tarvitse kuin yhden hyvän perusteen, SIM-kloonaus. Se on konkreettinen syy. Tietoturva on yhtä turvallinen kuin sen heikoin lenkki. Ihan sama kuin rakentaisi maailman turvallisimman bunkkerin ja jättäisi avaimen ulko-oven eteen. "Selitä mitä konkreettisia haittoja siitä on, että se avain siinä oven ulkopuolella on esillä"

 

[JCSH]

Tämä ei taida ole ongelma muille, kuin yksityisyydestään tarkoille.

Millä tavalla tämä vaikuttaa tavalliseen tampioon?

Jos nyt tuo sim swap scamm jätetään huomioimatta, niin mitä konkreettisia syitä on olla käyttämättä tekstiviestejä MFA:ssa?

Kun siinä SMS:ssä ei ole sitä E2E enkryptausta, niin sen MFA pyynnön lähettäjä ei pysty varmistamaan sitä, että vain sen haluttu vastaanottaja pystyy lukemaan sen. Tästä seuraa se, että toimittaakseen tietoturvallisen järjestelmän, Microsoftin pitää luottaa niihin kaikkiin pariin tuhanteen eri verkkoyhtiöön, jonka verkossa se loppukäyttäjä saattaa olla. Välttämättä tuo ei ole ongelma, jos olet Suomessa Elisan verkossa, mutta jos oletkin jossain reissussa roamaamassa, niin vittuakos tiedät, että mitä se randomi verkko-operaattori, ja sen työntekijät, tekevät.

 

[Timo 2]

Ei tarvitse kuin yhden hyvän perusteen, SIM-kloonaus. Se on konkreettinen syy. Tietoturva on yhtä turvallinen kuin sen heikoin lenkki. Ihan sama kuin rakentaisi maailman turvallisimman bunkkerin ja jättäisi avaimen ulko-oven eteen. "Selitä mitä konkreettisia haittoja siitä on, että se avain siinä oven ulkopuolella on esillä"

SIM kloonaus ei ole tuttu. Miten se tapahtuu?

Kun siinä SMS:ssä ei ole sitä E2E enkryptausta, niin sen MFA pyynnön lähettäjä ei pysty varmistamaan sitä, että vain sen haluttu vastaanottaja pystyy lukemaan sen. Tästä seuraa se, että toimittaakseen tietoturvallisen järjestelmän, Microsoftin pitää luottaa niihin kaikkiin pariin tuhanteen eri verkkoyhtiöön, jonka verkossa se loppukäyttäjä saattaa olla. Välttämättä tuo ei ole ongelma, jos olet Suomessa Elisan verkossa, mutta jos oletkin jossain reissussa roamaamassa, niin vittuakos tiedät, että mitä se randomi verkko-operaattori, ja sen työntekijät, tekevät.

Eli edelleen tullaan aiemmin mainitsemaani ongelmaan, joka oli leväperäiset operaattorit. Vähän säätentelyä sinne ja teksiviesteissä ei ole mitään vikaa?

 

[Kingofflies]

Ei ole. Miten se sim kloonataan, kun se sim on suljettu katoamisen yhteydessä, tai se on puhelimessa, erilaisten lukitusten takana?

Kortteja saa kloonattua muutenkin kuin niillä fyysisillä kopiokoneilla. Operaattoreilla on salaisuuksia (root key tai vastaava), puolisalaisuuksia (IMSI) ja julkista (puhelinnumero) tietoa, jonka avulla SIM-kortit luodaan. Noita salaisuuksia on välillä vuotanut ja niistä on uutisoitu. Varmaan vähintään saman verran on vuotanut ilman uutisointia. Lisäksi varmaan aika monilla valtiollisilla tahoilla on takaportteja operaattorien salaisuuksiin. Eli puhelimen voi kloonata ilman, että alkuperäinen luvallinen käyttäjä tietää siitä mitään.

 

[JCSH]

Eli edelleen tullaan aiemmin mainitsemaani ongelmaan, joka oli leväperäiset operaattorit. Vähän säätentelyä sinne ja teksiviesteissä ei ole mitään vikaa?

Leväperäiset operaattorit ovat aika helvetin iso ongelma, kun ne operaattorit ovat niitä, jotka kuljettavat sen SMS viestin.

Lisäksi, millä sä sääntelet pois korruption ja epärehellisyyden? Millä säätelet pois sen, että sen thaimaalaisen operaattorin joku insinööri ei ota vastaan sitä parin tonnin lahjusta vastineeksi siitä, että forwaa sen sun MFA SMS:n sille hakkerille sen sijaan, että se saapuisi sun puhelimeen kun lomailet auringon alla?

 

[Sompi]

Jos siihen älykännykkään asentuu haittaohjelma, niin yhtä turha se tekstiviesti varmennus on.

Senpä takia ei olekaan mitään järkeä käyttää jotain suljettua Microsoft Authenticatoria, joka toimii vain kahdenlaisissa puhelimissa, joissa molemmissa tunnetusti on paljon tietoturva-aukkoja. Tekstiviestiautentikointi taas toimii hyvin vaikka Pinephonella tai mustavalkonäytöllisellä vanhalla nokialaisella, joihin ei haittaohjelmat asennu.

Kun siinä SMS:ssä ei ole sitä E2E enkryptausta, niin sen MFA pyynnön lähettäjä ei pysty varmistamaan sitä, että vain sen haluttu vastaanottaja pystyy lukemaan sen. Tästä seuraa se, että toimittaakseen tietoturvallisen järjestelmän, Microsoftin pitää luottaa niihin kaikkiin pariin tuhanteen eri verkkoyhtiöön, jonka verkossa se loppukäyttäjä saattaa olla. Välttämättä tuo ei ole ongelma, jos olet Suomessa Elisan verkossa, mutta jos oletkin jossain reissussa roamaamassa, niin vittuakos tiedät, että mitä se randomi verkko-operaattori, ja sen työntekijät, tekevät.

Jos tekstiviestien päästä päähän salaamattomuus on ongelma siksi, että operaattori näkee tekstiviestin sisällön, niin pitää muistaa, että sillä samalla operaattorilla on myös täysi kontrolli SIM-korttiin ja sitä kautta suora pääsy koko puhelimen osoiteavaruuteen ja laitteistoon käytännössä kaikissa kuluttajille suunnatuissa puhelimissa, joten Microsoft Authenticatorin tai minkään muunkaan sovelluksen puhelimessa käsittelemä data ei ole operaattorilta turvassa. Tässäkin taas se Pinephone on positiivinen turvallinen poikkeus, mutta Microsoft Authenticator ei tietenkään sillä toimi.

Lähtökohtaisesti tietysti sitä Microsoft Authenticatoria pitäisi pitää turvattomana joka tapauksessa, koska kyse on suljetun koodin ohjelmasta, jonka toimintalogiikka on Microsoftin yrityssalaisuus.

 

[Kingofflies]

SIM kloonaus ei ole tuttu. Miten se tapahtuu?
Eli edelleen tullaan aiemmin mainitsemaani ongelmaan, joka oli leväperäiset operaattorit. Vähän säätentelyä sinne ja teksiviesteissä ei ole mitään vikaa?

Aiemmin kun olen täällä harhakäsityksiä oikonut ja liian teknisiä asioita koittanut avata, siitä on tullut vaan sanomista. Ota google käteen ja tutki asiaa.
e: ja en siis ole itse niin perehtynyt tuohon, että tietäisin yksityiskohtia. Muistan vaan tapauksen, että jonkun (saksalainen?) operaattorin juuriavaimet oli hakkeroitu ja se käytännössä vaaransi kaikki niiden SIMit. Niiden täytyi luoda uudetavaimet ja olemassaolevatSIM-kortit piti vaihtaa. Jotain tämän suuntaista. Joku paremmin muistava voi linkittää ja täsmentää.
e2: Ja sitten tuo JCSH mainitsema ongelma. Operaattorit eivät ikinä saa SMS tietoturvasta aukotonta. Siellä voi aina olla joku riittävät oikeudet omaava tehdä luvattomia. Ja koska SMS ei ole salattu, siitä on tehty naurettavan helppoa heille.

 

[Trespasser]

Se koskee ainoastaan kaikkia TEN-T tien läheisyydessä olevia latauspisteitä, että siis siellä pitää olla 60km välein korttimaksullinen pikalaturi. Aika paljon latauspisteitä siis jää todennäkösesti toimimaan vanhalla systeemillä.

Eli tuo punainen maantie allaolevassa kuvassa:

AFIR-lainsäädäntö kasvattaa lataustehoja - Oikosulkublogi

Tämä artikkeli on ilmestynyt muutama viikko sitten STUL:n Sähkömaailma -lehdessä. Suomeen rakennetaan lähivuosina aiempaa tehokkaampia latausasemia osana EU:n ympäristötavoitteita. Euroopan Unioni julkaisi heinäkuussa Fit for 55 -paketin, joka tähtää hiilidioksidipäästöjen ... Lue lisää

oikosulkublogi.fi

Niin siis latausasemien määrä / etäisyydet koskee TEN-T verkkoa, mutta käsittääkseni AFIRissa Ad-hoc maksaminen on oma lukunsa, erillään tuosta etäisyysmäärittelystä. Noi latausasemien etäisyydet on osa AFIRIn "etäisyyspohjaisia tavoitteita" kun taas maksupäätevaatimus on paketissa osa "käyttäjäystävällisyys" -tavoitteita.

Eli etäisyydet on kohdissa 1 ja 2, yleiset maksupääte- ja läpinäkyvyysvaatimukset kohdassa 6. Maksupäätevaatimuksessa ei ole eritelty, että koskee vaan TEN-T -verkkoa. Voin toki olla väärässäkin.

Press corner

Highlights, press releases and speeches

ec.europa.eu

Mut ehkä tää ei kuulu enää tähän ketjuun näin yksityiskohtaisesti.

 

[JCSH]

Jos tekstiviestien päästä päähän salaamattomuus on ongelma siksi, että operaattori näkee tekstiviestin sisällön, niin pitää muistaa, että sillä samalla operaattorilla on myös täysi kontrolli SIM-korttiin ja sitä kautta suora pääsy koko puhelimen osoiteavaruuteen ja laitteistoon käytännössä kaikissa kuluttajille suunnatuissa puhelimissa. Tässäkin taas se Pinephone on positiivinen turvallinen poikkeus, mutta Microsoft Authenticator ei tietenkään sillä toimi.

Se operaattori voi hallita sitä liikennettä, mutta siitä ei ole mitään iloa jos ne MFA viestit kulkevat E2E enkryptattuina.
Lisäksi se SIM-kortti ei todellakaan anna suoraa pääsyä “koko puhelimen laitteistoon”.

Lähtökohtaisesti tietysti sitä Microsoft Authenticatoria pitäisi pitää turvattomana joka tapauksessa, koska kyse on suljetun koodin ohjelmasta, jonka toimintalogiikka on Microsoftin yrityssalaisuus.

Se, että onko softa avointa koodia vai suljettua, ei kerro mitään siitä tietoturvasta.

 

[Sompi]

Se operaattori voi hallita sitä liikennettä, mutta siitä ei ole mitään iloa jos ne MFA viestit kulkevat E2E enkryptattuina.

Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.

Se, että onko softa avointa koodia vai suljettua, ei kerro mitään siitä tietoturvasta.

Se vaikuttaa suoraan ohjelman luotettavuuteen.

 

[JCSH]

Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.

Ei todellakaan pääse.

 

[Kingofflies]

Ei todellakaan pääse.

No ei. Sompi alkaa taas käydä sellaisilla kierroksilla (Trollaus kiihtyy), että voi ihan miten päätöntä vaan kirjoittaa perustelematta mitenkään.

 

[JCSH]

Se vaikuttaa suoraan ohjelman luotettavuuteen.

Kaksi sanaa:
Log4j
Heartbleed

Mutta hei, open source for the win

 

[Kingofflies]

Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.


Se vaikuttaa suoraan ohjelman luotettavuuteen.

Lähtökohtaisesti juuri näin, avoimuus luo luottamusta. Mutta tietoturvan osalta voi olla lisäsyy paljastamatta lähdekoodia. Lähdekoodin paljastaminen lisäisi hakkereitten hyökkäyspinta-alaa eksponentiaalisesti. Lähdetään siitä, että kaikki "Hello Wordlia" monimutkaisemmat softat on bugisia. Ja autentikaattori-softan potentiaalisten bugien avaaminen koko maailmalle ei ole hyvä vaihtoehto.
Ennemmin itse ainakin luotan MS authenticatoriin, kuin jos vaihtoehtona olisi random-tyypin kirjoittama10 000 rivin Open Source MFA-softa

 

[Kingofflies]

Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.


Se vaikuttaa suoraan ohjelman luotettavuuteen.

Ok, eli Elisalla on nyt siis mun Bio-tunnisteet, kasvokuva ja sormenjälki, hallussaan. Ja tietysti pankin PIN-koodi. Ja kaikkien nettisivujen, mukaanlukien nettipankin kirjautumistiedot? Voihan harmi! Toivottavasti voin luottaa heihin ja eivät tyhjennä tiliäni.
e: Mitäköhän GDPR mahtaa sanoa tähän, että operaattorilla on kaikki tuo tieto minusta, eikä sitä ole mainittu heidän GDPR-rekisteriselosteessaan

 

[Sompi]

Onkohan tämä jotain hybridisodankäyntiä? SIM-takaovet nykypuhelimissa ovat ihan yleistietoa, tai ainakin pitäisi olla. Aiheesta löytyy kyllä vaikka pikaisesti googlettamalla suuri määrä tietoa, jos sitä haluaa etsiä. Teillä näyttää olevan taas se taktiikka, että syyttelette trolliksi ja tuotte "keskusteluun" parissa minuutissa suuren määrän viestejä, joissa ei ole muuta asiasisältöä kuin saattaa toinen naurunalaiseksi.

Kaksi sanaa:
Log4j
Heartbleed

Mutta hei, open source for the win

Tietoturva-aukkoja löytyy sekä suljetun että vapaan koodin ohjelmista. Tässä oli kuitenkin puhe ohjelman toimintalogiikasta eikä vahingossa koodiin jääneistä tietoturva-aukkoina ilmenevistä bugeista. Ohjelmaan ei voi luottaa, jos sen toimintalogiikka pidetään käyttäjältä salassa.

 

[JCSH]

Onkohan tämä jotain hybridisodankäyntiä? SIM-takaovet nykypuhelimissa ovat ihan yleistietoa, tai ainakin pitäisi olla. Aiheesta löytyy kyllä vaikka pikaisesti googlettamalla suuri määrä tietoa, jos sitä haluaa etsiä. Teillä näyttää olevan taas se taktiikka, että syyttelette trolliksi ja tuotte "keskusteluun" parissa minuutissa suuren määrän viestejä, joissa ei ole muuta asiasisältöä kuin saattaa toinen naurunalaiseksi.

No laita vaikkapa yksikin uskottava lähde sun väitteelle:

Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.

Olettaen että kyseessä on suht uusi ja päivitetty iPhone tai Android luuri.

 

[Timo 2]

Leväperäiset operaattorit ovat aika helvetin iso ongelma, kun ne operaattorit ovat niitä, jotka kuljettavat sen SMS viestin

Sori, kun katson asiaa täysin suomesta käsin, jossa operaattoreiden toimintaa säännöstellään ja hommat vaikuttaa toimivan nätisti.

Lisäksi, millä sä sääntelet pois korruption ja epärehellisyyden? Millä säätelet pois sen, että sen thaimaalaisen operaattorin joku insinööri ei ota vastaan sitä parin tonnin lahjusta vastineeksi siitä, että forwaa sen sun MFA SMS:n sille hakkerille sen sijaan, että se saapuisi sun puhelimeen kun lomailet auringon alla?

Hyvä, poistetaan tekstiviesti mfa:sta maissa, jossa on korruptiota, yms. Mutta länsimaissa tuo ei liene ongelma, kuin korkeintaan jollain valtopäämiehellä, yms, koska vaatisi niin suuria lahjuksia ja näilläkin on tuon päälle muita mekanismeja suojata tilit.

Kortteja saa kloonattua muutenkin kuin niillä fyysisillä kopiokoneilla. Operaattoreilla on salaisuuksia (root key tai vastaava), puolisalaisuuksia (IMSI) ja julkista (puhelinnumero) tietoa, jonka avulla SIM-kortit luodaan. Noita salaisuuksia on välillä vuotanut ja niistä on uutisoitu. Varmaan vähintään saman verran on vuotanut ilman uutisointia. Lisäksi varmaan aika monilla valtiollisilla tahoilla on takaportteja operaattorien salaisuuksiin. Eli puhelimen voi kloonata ilman, että alkuperäinen luvallinen käyttäjä tietää siitä mitään.

Meinaatko että puhelinnumeron imsi:n saa helposti selville ja sillä pystyy simin helposti kopioimaan?

en siis ole itse niin perehtynyt tuohon, että tietäisin yksityiskohtia. Muistan vaan tapauksen, että jonkun (saksalainen?) operaattorin juuriavaimet oli hakkeroitu ja se käytännössä vaaransi kaikki niiden SIMit. Niiden täytyi luoda uudetavaimet ja olemassaolevatSIM-kortit piti vaihtaa. Jotain tämän suuntaista. Joku paremmin muistava voi linkittää ja täsmentää.

Niin, no sähköpostikin voidaan hakkeroida, (aloittaa evästeiden varastamisella, linuskin joutui tämän uhriksi jokin aika sitten) tai käyttäjä voidaan huijata syöttämään pankkintunnukset, yms.

Jotenkin jäi fiilis että konkreettinen riski jäi näyttämättä.

Aiemmin kun olen täällä harhakäsityksiä oikonut ja liian teknisiä asioita koittanut avata, siitä on tullut vaan sanomista. Ota google käteen ja tutki asiaa.

Jos sinusta jokin on ongelma, niin on sinulla (väitteen esittäjällä) todistustaakka. Itse vain raaputan pikkasen pintaa, jos sieltä löytyisi jotain hyviä perusteita, kun en itse asiaa tunne.

 

[Sompi]

No laita vaikkapa yksikin uskottava lähde sun väitteelle:


Olettaen että kyseessä on suht uusi ja päivitetty iPhone tai Android luuri.

SIM-kortissa on lukuisia takaovia palveluntarjoajia, poliisia ja valtiollisia tiedustelupalveluita varten. Ehkä eniten käytetty tai ainakin tunnetuin näistä takaovista on Sim Toolkit eli STK.

Yksi eniten kohahduttaneista STK:ta hyödyntäneistä valtiollisten tiedustelupalveluiden luomista haittaohjelmista sai paljastuessaan nimen Simjacker: Simjacker

Pitäisi myös tulla jokaiselle itsestäänselvyytenä, että myös suljetun lähdekoodin käyttöjärjestelmissä kuten Androidissa, iOS:ssä ja Windowsissa on lukuisia takaovia, jotka vain odottavat paljastumistaan. Aina kun joku takaovi huomataan, niin ohjelmistopäivityksien mukana tulee uusi korvaava takaovi tilalle.

 

[Kingofflies]

No laita vaikkapa yksikin uskottava lähde sun väitteelle:


Olettaen että kyseessä on suht uusi ja päivitetty iPhone tai Android luuri.

Onkohan tämä jotain hybridisodankäyntiä? SIM-takaovet nykypuhelimissa ovat ihan yleistietoa, tai ainakin pitäisi olla. Aiheesta löytyy kyllä vaikka pikaisesti googlettamalla suuri määrä tietoa, jos sitä haluaa etsiä. Teillä näyttää olevan taas se taktiikka, että syyttelette trolliksi ja tuotte "keskusteluun" parissa minuutissa suuren määrän viestejä, joissa ei ole muuta asiasisältöä kuin saattaa toinen naurunalaiseksi.

Tietoturva-aukkoja löytyy sekä suljetun että vapaan koodin ohjelmista. Tässä oli kuitenkin puhe ohjelman toimintalogiikasta eikä vahingossa koodiin jääneistä tietoturva-aukkoina ilmenevistä bugeista. Ohjelmaan ei voi luottaa, jos sen toimintalogiikka pidetään käyttäjältä salassa.

Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.


Se vaikuttaa suoraan ohjelman luotettavuuteen.

Onko tuo hybridisodankäyntiä? TEE ja Secure Enclave ovat niin yleistietoa, tai ainakin pitäisi olla. Kuten SIM-kloonauskin. Ne (siis TEE ja security enclave) suht hyvin pitää salaisuudet salaisuuksina. Pikainen googletus kertoon niiden toimintaperiaatteen.
GOoglasin: "sim backdoor". Eka linkki

SIM Backdoors and Security

SIM cards have been proven to be vulnerable to attacks from both your phone carrier and outside sources. With your SIM’s access in the wrong hands there could be much of your information put at risk…

medium.com

Jossa muun muassa tällaista tarinaa SIM kloonauksesta ja SMS-viestien turvallisuudesta (En ota kantaa lähteen luotettavuuteen)

• Criminals in other countries can clone your phone’s SIM if you call them from your phone.
• A cloned SIM could utilize your data plan, increasing your plan cost and illegally using it for other purposes.
• The text message SIM concern has been revisited since the loophole was exposed in 2013, but regardless you should not answer a text message from a user claiming to be your service provider.

 

[JCSH]

Hyvä, poistetaan tekstiviesti mfa:sta maissa, jossa on korruptiota, yms. Mutta länsimaissa tuo ei liene ongelma, kuin korkeintaan jollain valtopäämiehellä, yms, koska vaatisi niin suuria lahjuksia ja näilläkin on tuon päälle muita mekanismeja suojata tilit.

Paitsi että se on ongelma sitten kun lähdet lomalle sinne Thaimaahan.
Lisäksi on aika naiivia olettaa, että vain valtionpäämiehet olisivat tuollaisen toiminnan kohteita. Teollisuusvakoilu on kuitenkin aika massiivista maailmalla ja siinä ei tarvi olla mikään valtiopäämies, tai edes mikään yrityksen korkeaan johtoon kuuluva, että voi joutua kohteeksi. Joten kun puhutaan firmasta kuten Microsoft, niin ei ne halua rakentaa mitään puolivillaisia kahden tai kolmen kategorian palveluja, joissa tavalliset tallaajat saa paskaa tietoturvaa. Vaan ne haluaa rakentaa siitä yhdestä järjestelmästä riittävän valtaosalle kaikista asiakkaista.

 

[JCSH]

SIM-kortissa on lukuisia takaovia palveluntarjoajia, poliisia ja valtiollisia tiedustelupalveluita varten. Ehkä eniten käytetty tai ainakin tunnetuin näistä takaovista on Sim Toolkit eli STK.

Yksi eniten kohahduttaneista STK:ta hyödyntäneistä valtiollisten tiedustelupalveluiden luomista haittaohjelmista sai paljastuessaan nimen Simjacker: Simjacker

Pitäisi myös tulla jokaiselle itsestäänselvyytenä, että myös suljetun lähdekoodin käyttöjärjestelmissä kuten Androidissa, iOS:ssä ja Windowsissa on lukuisia takaovia, jotka vain odottavat paljastumistaan. Aina kun joku takaovi huomataan, niin ohjelmistopäivityksien mukana tulee uusi korvaava takaovi tilalle.

En nähnyt vieläkään mitään, mikä tukisi sun väitettä, että operaattori pääsee käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissa.
Joten suosittelen että joko:
A) Oikeasti tuot jotain oikeita, konkreettisia lähteitä noille sun väittelle.
B) Myönnät olleesi väärässä.
C) Siirrät keskustelun tuonne salaliittoketjuun mihin se kuuluu.