Digitalisaatio - hyvät ja huonot puolet

[=JP=]

Esitetäänpä jatkokysymys niinpäin että miksei suomen malli toimisi muulla tai miksi suomessa ainoastaan tehdään tämä fiksusti?

Tähän on lähes mahdoton vastata, ei ole mitään "standardia" toimintatapaa ja operaattorit toimii eri maissa eri tavalla, esim. ei varmenneta kunnolla asioita...
Sehän tässä maailmassa onkin yksi suurimpia ongelmia, kun ei ole kaikkialla sitä yhtä ja samaa tapaa hoitaa asioita ja ikinä ei tule olemaankaan. Jos kaikissa asioissa olisi säädetyt standardit, joiden mukaan kaikki toimisi, niin kylläpä olisi paljon helpompaa hoitaa asioita. Mutta sitten toisaalta valitettaisiin kun on niin tarkkaan säädetty maailma, että ei ole ns. vapaata ajattelua tjsp... Aina joku valittaa asioista, olipa ne hoidettu miten tahansa.

Jotkut taasen ovat jumittuneet sinne parin vuosikymmenen taakse oleviin tapoihin ja näihin tapauksiin on mahdoton vaikuttaa, mikään uusi ei kelpaa, vaan valitetaan kaikesta...

 

[Timo 2]

Tähän on lähes mahdoton vastata, ei ole mitään "standardia" toimintatapaa ja operaattorit toimii eri maissa eri tavalla, esim. ei varmenneta kunnolla asioita...

Eli ongelma on operaartorit, jotka toimivat leväperäisesti, ei että tuo tekstiviestillä tuleva varmenne olisi ongelmallinen.

Toimitaanko edes kaikkialla lännessä fiksusti tuon simin kanssa, vai onko tämä lähinnä ongelma kehitysmaissa ja muissa missä hallinto on mitä on?

 

[TeknoR]

Tästähän tuli tosiaan EU-asetus, että latauspisteillä kertalataus on voitava maksaa jatkossa helposti maksukorteilla ilman minkäänlaisia tilauksia ja hinnat pitää olla selvästi nähtävillä. Tää tulee tässä kevään 2024 aikana voimaan, ja esim. Teslan uusissa superchargereissa on jo maksupäätemoduulille paikka. En muista koskeeko tää ainoastaan uusia pisteitä vai kaikkia pikalatauspisteitä.

Se koskee ainoastaan kaikkia TEN-T tien läheisyydessä olevia latauspisteitä, että siis siellä pitää olla 60km välein korttimaksullinen pikalaturi. Aika paljon latauspisteitä siis jää todennäkösesti toimimaan vanhalla systeemillä.

Eli tuo punainen maantie allaolevassa kuvassa:

AFIR-lainsäädäntö kasvattaa lataustehoja - Oikosulkublogi

Tämä artikkeli on ilmestynyt muutama viikko sitten STUL:n Sähkömaailma -lehdessä. Suomeen rakennetaan lähivuosina aiempaa tehokkaampia latausasemia osana EU:n ympäristötavoitteita. Euroopan Unioni julkaisi heinäkuussa Fit for 55 -paketin, joka tähtää hiilidioksidipäästöjen ... Lue lisää

oikosulkublogi.fi

 

[=JP=]

Toimitaanko edes kaikkialla lännessä fiksusti tuon simin kanssa, vai onko tämä lähinnä ongelma kehitysmaissa ja muissa missä hallinto on mitä on?

Taitaa eniten esiin tulleita tapauksia olla USAssa ja jokainen voi itse päättää onko kyseessä kehitysmaa...

Esim. tuolta Wikipedian sivulta:

In early 2022, the US FBI reported a sharp increase in money losses to consumers in 2021, and continuing into 2022, from this type of fraud. The losses in 2021 alone were five times larger than the three prior years summed: “The FBI says that victims lost $68 million to this SIM-card based scam in 2021, compared to just $12 million in the three-year period between 2018 and 2020.” The FBI received 1,600 complaints about SIM-swapping in 2021, a sharp increase from the three previous years. The swaps happen quickly once the scammers have sufficient information to persuade a mobile phone carrier to assign a stolen phone number to their phone; the thefts of money happen when the thieves then receive the two-factor codes sent to the proper owner of the phone number.

 

[Timo 2]

Taitaa eniten esiin tulleita tapauksia olla USAssa ja jokainen voi itse päättää onko kyseessä kehitysmaa...

Usa on kyllä monella mittarilla kehitysmaa, mutta samalla johtava telollisuusvaltio ja supervalta, joka on monella mittarilla kuin mikätahansa muu länsimaa.

Todellinen ristiriitaisuuksien valtio.

Joten joo, jos usassa ja puolessa muulla maailmassa asiat on päin honkia, eikä yritykset pysty tätä korjaamaan, niin kokomailmassa otetaan käyttöön järjestelmä, joka ei kärsi siitä että asiat on päin honkia.

 

[JCSH]

Usa on kyllä monella mittarilla kehitysmaa, mutta samalla johtava telollisuusvaltio ja supervalta, joka on monella mittarilla kuin mikätahansa muu länsimaa.

Todellinen ristiriitaisuuksien valtio.

Joten joo, jos usassa ja puolessa muulla maailmassa asiat on päin honkia, eikä yritykset pysty tätä korjaamaan, niin kokomailmassa otetaan käyttöön järjestelmä, joka ei kärsi siitä että asiat on päin honkia.

Eikä tuo SIM swap scam ole ainoa ongelma. Tekstiviesteissä ei ole E2E enkryptausta ja muutenkin niiden tietoturva on erittäin kyseenalainen.
Joten siihen, että niistä pyritään eroon MFA:ssa, on kyllä todella hyvät perusteet.

 

[Kingofflies]

Mihin se perustuu? Puhelimet ovat täynnä tietoturva-aukkoja joka tapauksessa, joten ei se Microsoftin oma ohjelma ole kunnolla turvallinen sekään, kun se kuitenkin ajetaan reikäisessä älypuhelimessa. Itse asiassa siinä älypuhelinohjelmassa on paljon enemmän hyökkäyspinta-alaa kuin tekstiviestissä.


Kukaan muu kuin sinä ei ole maininnut oravannahkoja, joten voisit lopettaa moisten typerien olkiukkojen viljelemisen. Oravannahkoja ei ole missään pidetty valtakunnan virallisen valuutan ilmenemismuotona enää satoihin vuosiin - nykyään käytetään seteleitä ja kolikoita, ja hyvä niin.

Lankapuhelinverkko taas on jo huoltovarmuudenkin kannalta melkoisen tärkeä asia ja sen purkaminen on yksi typerimmistä päätöksistä, mitä tässä maassa on tehty pitkään aikaan. Monessa syrjäisemmässä paikassa ei kuulu mobiiliverkko kunnolla, ja lankapuhelinverkon purkamisen jälkeen sellaisissa paikoissa on nyt jääty kokonaan ilman yhteyksiä.

Sulle ei taida Androidin Trusted Execution Environment ja iOSin Secure Enclave olla tuttuja? Sim-kloonauksella tektiviestien kaappaus on naurettavan yksinkertaista, se on todella turvaton.

 

[Timo 2]

Tekstiviesteissä ei ole E2E enkryptausta

Tämä ei taida ole ongelma muille, kuin yksityisyydestään tarkoille.

muutenkin niiden tietoturva on erittäin kyseenalainen.

Millä tavalla tämä vaikuttaa tavalliseen tampioon?

Joten siihen, että niistä pyritään eroon MFA:ssa, on kyllä todella hyvät perusteet.

Jos nyt tuo sim swap scamm jätetään huomioimatta, niin mitä konkreettisia syitä on olla käyttämättä tekstiviestejä MFA:ssa?

 

[Timo 2]

Sulle ei taida Androidin Trusted Execution Environment ja iOSin Secure Enclave olla tuttuja? Sim-kloonauksella tektiviestien kaappaus on naurettavan yksinkertaista, se on todella turvaton.

Ei ole. Miten se sim kloonataan, kun se sim on suljettu katoamisen yhteydessä, tai se on puhelimessa, erilaisten lukitusten takana?

 

[Kingofflies]

Tämä ei taida ole ongelma muille, kuin yksityisyydestään tarkoille.


Millä tavalla tämä vaikuttaa tavalliseen tampioon?

Jos nyt tuo sim swap scamm jätetään huomioimatta, niin mitä konkreettisia syitä on olla käyttämättä tekstiviestejä MFA:ssa?

Ei tarvitse kuin yhden hyvän perusteen, SIM-kloonaus. Se on konkreettinen syy. Tietoturva on yhtä turvallinen kuin sen heikoin lenkki. Ihan sama kuin rakentaisi maailman turvallisimman bunkkerin ja jättäisi avaimen ulko-oven eteen. "Selitä mitä konkreettisia haittoja siitä on, että se avain siinä oven ulkopuolella on esillä"

 

[JCSH]

Tämä ei taida ole ongelma muille, kuin yksityisyydestään tarkoille.

Millä tavalla tämä vaikuttaa tavalliseen tampioon?

Jos nyt tuo sim swap scamm jätetään huomioimatta, niin mitä konkreettisia syitä on olla käyttämättä tekstiviestejä MFA:ssa?

Kun siinä SMS:ssä ei ole sitä E2E enkryptausta, niin sen MFA pyynnön lähettäjä ei pysty varmistamaan sitä, että vain sen haluttu vastaanottaja pystyy lukemaan sen. Tästä seuraa se, että toimittaakseen tietoturvallisen järjestelmän, Microsoftin pitää luottaa niihin kaikkiin pariin tuhanteen eri verkkoyhtiöön, jonka verkossa se loppukäyttäjä saattaa olla. Välttämättä tuo ei ole ongelma, jos olet Suomessa Elisan verkossa, mutta jos oletkin jossain reissussa roamaamassa, niin vittuakos tiedät, että mitä se randomi verkko-operaattori, ja sen työntekijät, tekevät.

 

[Timo 2]

Ei tarvitse kuin yhden hyvän perusteen, SIM-kloonaus. Se on konkreettinen syy. Tietoturva on yhtä turvallinen kuin sen heikoin lenkki. Ihan sama kuin rakentaisi maailman turvallisimman bunkkerin ja jättäisi avaimen ulko-oven eteen. "Selitä mitä konkreettisia haittoja siitä on, että se avain siinä oven ulkopuolella on esillä"

SIM kloonaus ei ole tuttu. Miten se tapahtuu?

Kun siinä SMS:ssä ei ole sitä E2E enkryptausta, niin sen MFA pyynnön lähettäjä ei pysty varmistamaan sitä, että vain sen haluttu vastaanottaja pystyy lukemaan sen. Tästä seuraa se, että toimittaakseen tietoturvallisen järjestelmän, Microsoftin pitää luottaa niihin kaikkiin pariin tuhanteen eri verkkoyhtiöön, jonka verkossa se loppukäyttäjä saattaa olla. Välttämättä tuo ei ole ongelma, jos olet Suomessa Elisan verkossa, mutta jos oletkin jossain reissussa roamaamassa, niin vittuakos tiedät, että mitä se randomi verkko-operaattori, ja sen työntekijät, tekevät.

Eli edelleen tullaan aiemmin mainitsemaani ongelmaan, joka oli leväperäiset operaattorit. Vähän säätentelyä sinne ja teksiviesteissä ei ole mitään vikaa?

 

[Kingofflies]

Ei ole. Miten se sim kloonataan, kun se sim on suljettu katoamisen yhteydessä, tai se on puhelimessa, erilaisten lukitusten takana?

Kortteja saa kloonattua muutenkin kuin niillä fyysisillä kopiokoneilla. Operaattoreilla on salaisuuksia (root key tai vastaava), puolisalaisuuksia (IMSI) ja julkista (puhelinnumero) tietoa, jonka avulla SIM-kortit luodaan. Noita salaisuuksia on välillä vuotanut ja niistä on uutisoitu. Varmaan vähintään saman verran on vuotanut ilman uutisointia. Lisäksi varmaan aika monilla valtiollisilla tahoilla on takaportteja operaattorien salaisuuksiin. Eli puhelimen voi kloonata ilman, että alkuperäinen luvallinen käyttäjä tietää siitä mitään.

 

[JCSH]

Eli edelleen tullaan aiemmin mainitsemaani ongelmaan, joka oli leväperäiset operaattorit. Vähän säätentelyä sinne ja teksiviesteissä ei ole mitään vikaa?

Leväperäiset operaattorit ovat aika helvetin iso ongelma, kun ne operaattorit ovat niitä, jotka kuljettavat sen SMS viestin.

Lisäksi, millä sä sääntelet pois korruption ja epärehellisyyden? Millä säätelet pois sen, että sen thaimaalaisen operaattorin joku insinööri ei ota vastaan sitä parin tonnin lahjusta vastineeksi siitä, että forwaa sen sun MFA SMS:n sille hakkerille sen sijaan, että se saapuisi sun puhelimeen kun lomailet auringon alla?

 

[Kingofflies]

SIM kloonaus ei ole tuttu. Miten se tapahtuu?
Eli edelleen tullaan aiemmin mainitsemaani ongelmaan, joka oli leväperäiset operaattorit. Vähän säätentelyä sinne ja teksiviesteissä ei ole mitään vikaa?

Aiemmin kun olen täällä harhakäsityksiä oikonut ja liian teknisiä asioita koittanut avata, siitä on tullut vaan sanomista. Ota google käteen ja tutki asiaa.
e: ja en siis ole itse niin perehtynyt tuohon, että tietäisin yksityiskohtia. Muistan vaan tapauksen, että jonkun (saksalainen?) operaattorin juuriavaimet oli hakkeroitu ja se käytännössä vaaransi kaikki niiden SIMit. Niiden täytyi luoda uudetavaimet ja olemassaolevatSIM-kortit piti vaihtaa. Jotain tämän suuntaista. Joku paremmin muistava voi linkittää ja täsmentää.
e2: Ja sitten tuo JCSH mainitsema ongelma. Operaattorit eivät ikinä saa SMS tietoturvasta aukotonta. Siellä voi aina olla joku riittävät oikeudet omaava tehdä luvattomia. Ja koska SMS ei ole salattu, siitä on tehty naurettavan helppoa heille.

 

[Trespasser]

Se koskee ainoastaan kaikkia TEN-T tien läheisyydessä olevia latauspisteitä, että siis siellä pitää olla 60km välein korttimaksullinen pikalaturi. Aika paljon latauspisteitä siis jää todennäkösesti toimimaan vanhalla systeemillä.

Eli tuo punainen maantie allaolevassa kuvassa:

AFIR-lainsäädäntö kasvattaa lataustehoja - Oikosulkublogi

Tämä artikkeli on ilmestynyt muutama viikko sitten STUL:n Sähkömaailma -lehdessä. Suomeen rakennetaan lähivuosina aiempaa tehokkaampia latausasemia osana EU:n ympäristötavoitteita. Euroopan Unioni julkaisi heinäkuussa Fit for 55 -paketin, joka tähtää hiilidioksidipäästöjen ... Lue lisää

oikosulkublogi.fi

Niin siis latausasemien määrä / etäisyydet koskee TEN-T verkkoa, mutta käsittääkseni AFIRissa Ad-hoc maksaminen on oma lukunsa, erillään tuosta etäisyysmäärittelystä. Noi latausasemien etäisyydet on osa AFIRIn "etäisyyspohjaisia tavoitteita" kun taas maksupäätevaatimus on paketissa osa "käyttäjäystävällisyys" -tavoitteita.

Eli etäisyydet on kohdissa 1 ja 2, yleiset maksupääte- ja läpinäkyvyysvaatimukset kohdassa 6. Maksupäätevaatimuksessa ei ole eritelty, että koskee vaan TEN-T -verkkoa. Voin toki olla väärässäkin.

European Green Deal: ambitious new law agreed to deploy sufficient alternative fuels infrastructure

The Commission welcomes the political agreement reached between the European Parliament and the Council to boost the number of publicly accessible electric recharging and hydrogen refuelling stations in particular across the European Union's main transport corridors and hubs.

ec.europa.eu

Mut ehkä tää ei kuulu enää tähän ketjuun näin yksityiskohtaisesti.

 

[JCSH]

Jos tekstiviestien päästä päähän salaamattomuus on ongelma siksi, että operaattori näkee tekstiviestin sisällön, niin pitää muistaa, että sillä samalla operaattorilla on myös täysi kontrolli SIM-korttiin ja sitä kautta suora pääsy koko puhelimen osoiteavaruuteen ja laitteistoon käytännössä kaikissa kuluttajille suunnatuissa puhelimissa. Tässäkin taas se Pinephone on positiivinen turvallinen poikkeus, mutta Microsoft Authenticator ei tietenkään sillä toimi.

Se operaattori voi hallita sitä liikennettä, mutta siitä ei ole mitään iloa jos ne MFA viestit kulkevat E2E enkryptattuina.
Lisäksi se SIM-kortti ei todellakaan anna suoraa pääsyä “koko puhelimen laitteistoon”.

Lähtökohtaisesti tietysti sitä Microsoft Authenticatoria pitäisi pitää turvattomana joka tapauksessa, koska kyse on suljetun koodin ohjelmasta, jonka toimintalogiikka on Microsoftin yrityssalaisuus.

Se, että onko softa avointa koodia vai suljettua, ei kerro mitään siitä tietoturvasta.

 

[JCSH]

Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.

Ei todellakaan pääse.

 

[Kingofflies]

Ei todellakaan pääse.

No ei. Sompi alkaa taas käydä sellaisilla kierroksilla (Trollaus kiihtyy), että voi ihan miten päätöntä vaan kirjoittaa perustelematta mitenkään.

 

[JCSH]

Se vaikuttaa suoraan ohjelman luotettavuuteen.

Kaksi sanaa:
Log4j
Heartbleed

Mutta hei, open source for the win

 

[Kingofflies]

Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.


Se vaikuttaa suoraan ohjelman luotettavuuteen.

Lähtökohtaisesti juuri näin, avoimuus luo luottamusta. Mutta tietoturvan osalta voi olla lisäsyy paljastamatta lähdekoodia. Lähdekoodin paljastaminen lisäisi hakkereitten hyökkäyspinta-alaa eksponentiaalisesti. Lähdetään siitä, että kaikki "Hello Wordlia" monimutkaisemmat softat on bugisia. Ja autentikaattori-softan potentiaalisten bugien avaaminen koko maailmalle ei ole hyvä vaihtoehto.
Ennemmin itse ainakin luotan MS authenticatoriin, kuin jos vaihtoehtona olisi random-tyypin kirjoittama10 000 rivin Open Source MFA-softa

 

[Kingofflies]

Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.


Se vaikuttaa suoraan ohjelman luotettavuuteen.

Ok, eli Elisalla on nyt siis mun Bio-tunnisteet, kasvokuva ja sormenjälki, hallussaan. Ja tietysti pankin PIN-koodi. Ja kaikkien nettisivujen, mukaanlukien nettipankin kirjautumistiedot? Voihan harmi! Toivottavasti voin luottaa heihin ja eivät tyhjennä tiliäni.
e: Mitäköhän GDPR mahtaa sanoa tähän, että operaattorilla on kaikki tuo tieto minusta, eikä sitä ole mainittu heidän GDPR-rekisteriselosteessaan

 

[JCSH]

Onkohan tämä jotain hybridisodankäyntiä? SIM-takaovet nykypuhelimissa ovat ihan yleistietoa, tai ainakin pitäisi olla. Aiheesta löytyy kyllä vaikka pikaisesti googlettamalla suuri määrä tietoa, jos sitä haluaa etsiä. Teillä näyttää olevan taas se taktiikka, että syyttelette trolliksi ja tuotte "keskusteluun" parissa minuutissa suuren määrän viestejä, joissa ei ole muuta asiasisältöä kuin saattaa toinen naurunalaiseksi.

No laita vaikkapa yksikin uskottava lähde sun väitteelle:

Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.

Olettaen että kyseessä on suht uusi ja päivitetty iPhone tai Android luuri.

 

[Timo 2]

Leväperäiset operaattorit ovat aika helvetin iso ongelma, kun ne operaattorit ovat niitä, jotka kuljettavat sen SMS viestin

Sori, kun katson asiaa täysin suomesta käsin, jossa operaattoreiden toimintaa säännöstellään ja hommat vaikuttaa toimivan nätisti.

Lisäksi, millä sä sääntelet pois korruption ja epärehellisyyden? Millä säätelet pois sen, että sen thaimaalaisen operaattorin joku insinööri ei ota vastaan sitä parin tonnin lahjusta vastineeksi siitä, että forwaa sen sun MFA SMS:n sille hakkerille sen sijaan, että se saapuisi sun puhelimeen kun lomailet auringon alla?

Hyvä, poistetaan tekstiviesti mfa:sta maissa, jossa on korruptiota, yms. Mutta länsimaissa tuo ei liene ongelma, kuin korkeintaan jollain valtopäämiehellä, yms, koska vaatisi niin suuria lahjuksia ja näilläkin on tuon päälle muita mekanismeja suojata tilit.

Kortteja saa kloonattua muutenkin kuin niillä fyysisillä kopiokoneilla. Operaattoreilla on salaisuuksia (root key tai vastaava), puolisalaisuuksia (IMSI) ja julkista (puhelinnumero) tietoa, jonka avulla SIM-kortit luodaan. Noita salaisuuksia on välillä vuotanut ja niistä on uutisoitu. Varmaan vähintään saman verran on vuotanut ilman uutisointia. Lisäksi varmaan aika monilla valtiollisilla tahoilla on takaportteja operaattorien salaisuuksiin. Eli puhelimen voi kloonata ilman, että alkuperäinen luvallinen käyttäjä tietää siitä mitään.

Meinaatko että puhelinnumeron imsi:n saa helposti selville ja sillä pystyy simin helposti kopioimaan?

en siis ole itse niin perehtynyt tuohon, että tietäisin yksityiskohtia. Muistan vaan tapauksen, että jonkun (saksalainen?) operaattorin juuriavaimet oli hakkeroitu ja se käytännössä vaaransi kaikki niiden SIMit. Niiden täytyi luoda uudetavaimet ja olemassaolevatSIM-kortit piti vaihtaa. Jotain tämän suuntaista. Joku paremmin muistava voi linkittää ja täsmentää.

Niin, no sähköpostikin voidaan hakkeroida, (aloittaa evästeiden varastamisella, linuskin joutui tämän uhriksi jokin aika sitten) tai käyttäjä voidaan huijata syöttämään pankkintunnukset, yms.

Jotenkin jäi fiilis että konkreettinen riski jäi näyttämättä.

Aiemmin kun olen täällä harhakäsityksiä oikonut ja liian teknisiä asioita koittanut avata, siitä on tullut vaan sanomista. Ota google käteen ja tutki asiaa.

Jos sinusta jokin on ongelma, niin on sinulla (väitteen esittäjällä) todistustaakka. Itse vain raaputan pikkasen pintaa, jos sieltä löytyisi jotain hyviä perusteita, kun en itse asiaa tunne.

 

[Kingofflies]

No laita vaikkapa yksikin uskottava lähde sun väitteelle:


Olettaen että kyseessä on suht uusi ja päivitetty iPhone tai Android luuri.

Onkohan tämä jotain hybridisodankäyntiä? SIM-takaovet nykypuhelimissa ovat ihan yleistietoa, tai ainakin pitäisi olla. Aiheesta löytyy kyllä vaikka pikaisesti googlettamalla suuri määrä tietoa, jos sitä haluaa etsiä. Teillä näyttää olevan taas se taktiikka, että syyttelette trolliksi ja tuotte "keskusteluun" parissa minuutissa suuren määrän viestejä, joissa ei ole muuta asiasisältöä kuin saattaa toinen naurunalaiseksi.

Tietoturva-aukkoja löytyy sekä suljetun että vapaan koodin ohjelmista. Tässä oli kuitenkin puhe ohjelman toimintalogiikasta eikä vahingossa koodiin jääneistä tietoturva-aukkoina ilmenevistä bugeista. Ohjelmaan ei voi luottaa, jos sen toimintalogiikka pidetään käyttäjältä salassa.

Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.


Se vaikuttaa suoraan ohjelman luotettavuuteen.

Onko tuo hybridisodankäyntiä? TEE ja Secure Enclave ovat niin yleistietoa, tai ainakin pitäisi olla. Kuten SIM-kloonauskin. Ne (siis TEE ja security enclave) suht hyvin pitää salaisuudet salaisuuksina. Pikainen googletus kertoon niiden toimintaperiaatteen.
GOoglasin: "sim backdoor". Eka linkki

SIM Backdoors and Security

SIM cards have been proven to be vulnerable to attacks from both your phone carrier and outside sources. With your SIM’s access in the wrong hands there could be much of your information put at risk…

medium.com

Jossa muun muassa tällaista tarinaa SIM kloonauksesta ja SMS-viestien turvallisuudesta (En ota kantaa lähteen luotettavuuteen)

• Criminals in other countries can clone your phone’s SIM if you call them from your phone.
• A cloned SIM could utilize your data plan, increasing your plan cost and illegally using it for other purposes.
• The text message SIM concern has been revisited since the loophole was exposed in 2013, but regardless you should not answer a text message from a user claiming to be your service provider.

 

[JCSH]

Hyvä, poistetaan tekstiviesti mfa:sta maissa, jossa on korruptiota, yms. Mutta länsimaissa tuo ei liene ongelma, kuin korkeintaan jollain valtopäämiehellä, yms, koska vaatisi niin suuria lahjuksia ja näilläkin on tuon päälle muita mekanismeja suojata tilit.

Paitsi että se on ongelma sitten kun lähdet lomalle sinne Thaimaahan.
Lisäksi on aika naiivia olettaa, että vain valtionpäämiehet olisivat tuollaisen toiminnan kohteita. Teollisuusvakoilu on kuitenkin aika massiivista maailmalla ja siinä ei tarvi olla mikään valtiopäämies, tai edes mikään yrityksen korkeaan johtoon kuuluva, että voi joutua kohteeksi. Joten kun puhutaan firmasta kuten Microsoft, niin ei ne halua rakentaa mitään puolivillaisia kahden tai kolmen kategorian palveluja, joissa tavalliset tallaajat saa paskaa tietoturvaa. Vaan ne haluaa rakentaa siitä yhdestä järjestelmästä riittävän valtaosalle kaikista asiakkaista.

 

[JCSH]

SIM-kortissa on lukuisia takaovia palveluntarjoajia, poliisia ja valtiollisia tiedustelupalveluita varten. Ehkä eniten käytetty tai ainakin tunnetuin näistä takaovista on Sim Toolkit eli STK.

Yksi eniten kohahduttaneista STK:ta hyödyntäneistä valtiollisten tiedustelupalveluiden luomista haittaohjelmista sai paljastuessaan nimen Simjacker: Simjacker

Pitäisi myös tulla jokaiselle itsestäänselvyytenä, että myös suljetun lähdekoodin käyttöjärjestelmissä kuten Androidissa, iOS:ssä ja Windowsissa on lukuisia takaovia, jotka vain odottavat paljastumistaan. Aina kun joku takaovi huomataan, niin ohjelmistopäivityksien mukana tulee uusi korvaava takaovi tilalle.

En nähnyt vieläkään mitään, mikä tukisi sun väitettä, että operaattori pääsee käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissa.
Joten suosittelen että joko:
A) Oikeasti tuot jotain oikeita, konkreettisia lähteitä noille sun väittelle.
B) Myönnät olleesi väärässä.
C) Siirrät keskustelun tuonne salaliittoketjuun mihin se kuuluu.

 

[Kingofflies]

Paitsi että se on ongelma sitten kun lähdet lomalle sinne Thaimaahan.
Lisäksi on aika naiivia olettaa, että vain valtionpäämiehet olisivat tuollaisen toiminnan kohteita. Teollisuusvakoilu on kuitenkin aika massiivista maailmalla ja siinä ei tarvi olla mikään valtiopäämies, tai edes mikään yrityksen korkeaan johtoon kuuluva, että voi joutua kohteeksi. Joten kun puhutaan firmasta kuten Microsoft, niin ei ne halua rakentaa mitään puolivillaisia kahden tai kolmen kategorian palveluja, joissa tavalliset tallaajat saa paskaa tietoturvaa. Vaan ne haluaa rakentaa siitä yhdestä järjestelmästä riittävän valtaosalle kaikista asiakkaista.

Tai ei tarvi mennä Thaimaahan. EIkä tarvi olla valtionpäämies tai yritysjohtaja. Jos on riittävän mielenkiintoinen henkilö. Esim. IT-tuki henkilöt eivät ole kovin mediaseksikkäitä tyyppejä, mutta heillä voi olla mielenkiintoisia oikeuksia. Jos heidän SMS-2FA hakkeroidaan tällaisella, voi tulla pahaa jälkeä.
e: vanha linkki, mutta edelleen ajankohtainen.

Supo: Valetukiasemia voi ostaa pimeiltä markkinoilta - vastaava uhka myös Suomessa

Oslossa matkapuhelinverkon salakuunteluun käytetyt valetukiasemat on yleensä tehty viranomaiskäyttöön, mutta niitä myydään myös laittomilla markkinoilla.

www.mtvuutiset.fi

 

[Kingofflies]

En nähnyt vieläkään mitään, mikä tukisi sun väitettä, että operaattori pääsee käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissa.
Joten suosittelen että joko:
A) Oikeasti tuot jotain oikeita, konkreettisia lähteitä noille sun väittelle.
B) Myönnät olleesi väärässä.
C) Siirrät keskustelun tuonne salaliittoketjuun mihin se kuuluu.

D) Jatkaa perusteettomia ja lähteettömiä lausahduksia...koska, miksi ei?

 

[Timo 2]

Paitsi että se on ongelma sitten kun lähdet lomalle sinne Thaimaahan.
Lisäksi on aika naiivia olettaa, että vain valtionpäämiehet olisivat tuollaisen toiminnan kohteita. Teollisuusvakoilu on kuitenkin aika massiivista maailmalla ja siinä ei tarvi olla mikään valtiopäämies, tai edes mikään yrityksen korkeaan johtoon kuuluva, että voi joutua kohteeksi. Joten kun puhutaan firmasta kuten Microsoft, niin ei ne halua rakentaa mitään puolivillaisia kahden tai kolmen kategorian palveluja, joissa tavalliset tallaajat saa paskaa tietoturvaa. Vaan ne haluaa rakentaa siitä yhdestä järjestelmästä riittävän valtaosalle kaikista asiakkaista.

Ok, ei mulla mitään tekstiviestien poistoa vastaan itsessään ole, lähinnä kyseenalaistan sen tarpeellisuuden erityiseti lännessä. Ja jos toi poistetaan, niin mitä tilalle? Ihmisille kaksi sähköpostia? Sähköpostitkin voidaan hakkeroida? Ja tavalliselle tampiolle pitää asiat tehdä äärimmäisen helpoksi. Minä kyllä voisin ottaa parempia ja monimutkaisempia menetelmiä käyttöön, kun niiden tarpeellisuus perustellaan, mutta tavallinen ihminen voi olla hyvinkin kädetön näissä ja asiat pitää hänelle tehdä äärimmäisen yksinkertaiseksi.

 

[love_doctor]

No laita vaikkapa yksikin uskottava lähde sun väitteelle:

Olettaen että kyseessä on suht uusi ja päivitetty iPhone tai Android luuri.

Siis kantataajuusmodeemin pääsystä systeemin keskusmuistiin on lukuisia esimerkkejä. Esim. tuolla käsitelty asiaa useamman esimerkin avulla. Librem-puhelimen yksi suunnittelun pääkohdista on ollut eristää kantataajuusmodeemi kaappausvaaran takia. Sanoisin, että tässä on siitä huolimatta riskejä, vaikka valmistaja lupaisi IOMMU-rajoituksia.

Esim. SUPO on puhunut tarpeesta päästä ihmisten koteihin ja käytännössä voisi tarkoittaa myös esim. sitä, että operaattori pakotetaan asentamaan normaalien etäyhteyskäytäntöjen puitteissa laitteen firmwareen takaportti SUPOlle. Puhelimessa ihan sama. Kun valmistajan koodi on suljettua ja operaattorilla ja SUPOlla on omat intressit asennella omia softia kansalaisten laitteisiin, niin kyse on luottamuksesta ja siitä, pystyykö ohjelmiston jotenkin varmentamaan luotettavaksi. Libremhän taitaa esim. tarjota palveluita puhelimen turvallisen postituksenkin varmistamiseksi, ettei joku nilkki matkalla asenna takaporttia.

Ei tässä ole mitään väliä, onko puhelin riittävän uusi. Jos valmistaja on kusipää ja samoin operaattori ja virkavalta, niin minkäs teet.

 

[Hyrava]

Ihan tuon Sim Toolkitin avulla pystyy useimpiin puhelimiin asentamaan ohjelmia käyttäjän tietämättä ja pääsemään käsiksi puhelimen käsittelemään dataan.

Saisiko tästä jotain konkreettisia esimerkkejä?

 

[love_doctor]

Onko tuo hybridisodankäyntiä? TEE ja Secure Enclave ovat niin yleistietoa, tai ainakin pitäisi olla.

Näissä on myös aukkoja. Kokeilitko tehdä edes alkeellista hakua aiheesta. Esim. tässä. Toinen on se, että laitteissa voi olla vaikkapa valtiollisille toimijoille salaisia käskysekvenssejä, joilla suojaukset voi ohittaa. Milläs helvetillä debuggaat jotain 2nm prosessia kotona? Nisseniltä vähän vahvemmat lasit?

Enklaavien pointti on suojata käyttäjän data "pääkäyttäjältä", mutta se on täysin rikki jos välissä on pienen pienikin vuoto esim. sivukanavan muodossa. Jos oikeasti haluaa pelata varman päälle, perinteiset menetelmät eli vaikka ihan fyysisesti erilliset järjestelmät ja askeettiset softapinot on paljon helpompi taviksen varmentaa toimiviksi. Jos siis vaikka haluaa tehdä rikoksia jäämättä kiinni. Kuumottelisi ihan helvetisti tehdä jotain Vastaamo-tyylistä kepposta luottaen siihen, että on uusimmat enklaavit ja Samsungin puhelimet niin eihän siinä voi käydä sitten huonosti

 

[JCSH]

Ok, ei mulla mitään tekstiviestien poistoa vastaan itsessään ole, lähinnä kyseenalaistan sen tarpeellisuuden erityiseti lännessä. Ja jos toi poistetaan, niin mitä tilalle? Ihmisille kaksi sähköpostia? Sähköpostitkin voidaan hakkeroida? Ja tavalliselle tampiolle pitää asiat tehdä äärimmäisen helpoksi. Minä kyllä voisin ottaa parempia ja monimutkaisempia menetelmiä käyttöön, kun niiden tarpeellisuus perustellaan, mutta tavallinen ihminen voi olla hyvinkin kädetön näissä ja asiat pitää hänelle tehdä äärimmäisen yksinkertaiseksi.

Yksi ratkaisu on juurikin se authentikaatio applikaatio, mikä on se mihin esim. Microsoft ohjaa ihmisiä siirtymään. Sillä voidaan hoidaa tuo MFA prompti E2E enkryptattuna. Lisäksi tuo on käytettävyydeltäänkin paljon parempi kuin nuo tekstiviestit.

 

[JCSH]

Tämä on kyllä jo sen sortin trollausta, että monella tietoturva-asiat vakavasti ottavalla foorumilla tuosta tulisi jo bannit.

Ihan tuon Sim Toolkitin avulla pystyy useimpiin puhelimiin asentamaan ohjelmia käyttäjän tietämättä ja pääsemään käsiksi puhelimen käsittelemään dataan. Ja siinä sentään kyse on ihan virallisesta puhelinoperaattorille tarjotusta dokumentoidusta rajapinnasta.

Laita nyt oikeasti lähde sille, että tuon kautta operaattori pääsisi käsiksi “kaikkeen dataan, mitä puhelin käsittelee muistissaan”.
Vaikkakin kyky asennella randomeja applikaatioita tai kiskoa puhelimen IMEI ovat molemmat merkittäviä tietoturvariskejä, ja sellaisia että ne pitäisi ehdottomasti paikata, niin tuo on eri asia kuin se, että pääsisi käsiksi siihen Microsoftin autentikaattori appiksen runtime muistiin ja siten ohittamaan tuon MFA:n.

 

[JCSH]

Siis kantataajuusmodeemin pääsystä systeemin keskusmuistiin on lukuisia esimerkkejä. Esim. tuolla käsitelty asiaa useamman esimerkin avulla. Librem-puhelimen yksi suunnittelun pääkohdista on ollut eristää kantataajuusmodeemi kaappausvaaran takia. Sanoisin, että tässä on siitä huolimatta riskejä, vaikka valmistaja lupaisi IOMMU-rajoituksia.

Toki aina voi olla aukkoja. Kun aukkoja löytyy, niin niitä paikataan.
Mutta tuo on eri asia, kuin Sompin väite, että “Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.”.

 

[love_doctor]

Toki aina voi olla aukkoja. Kun aukkoja löytyy, niin niitä paikataan.
Mutta tuo on eri asia, kuin Sompin väite, että “Operaattori pääsee kuitenkin käsiksi kaikkeen dataan, mitä puhelin käsittelee muistissaan.”.

Niin. Luin sen itse niin, että tarkoitti teoreettista mahdollisuutta. Olisi aika posketon juttu jos operaattori suoraan toisi esille tällaisia.

Ajatus ei ole kuitenkaan kaukaa haettu. Esim. mulla on ollut Telia operaattorina ja kaikissa sen bokseissa on ollut etähallinta oletuksena päällä - jopa sellaisessa sisäverkkoon tulevassa wifi-sillassa, jolla voi jatkaa nettiä langattomasti huoneesta toiseen, vaikka tämän laitteen ei tarvitsisi olla missään yhteyksissä ulkoverkkoon. Nytkin mulla on operaattorin kaapelimodeemi, johon ei itsellä ole root/admin-oikeuksia. Esim. portin siltaamista piti pyytää operaattorilta, vaikka säätö tälle olisi ostamassani laitteessa itsessään. Tiedän että jotkut ovat noita jaksaneet hakkeroida itse auki, mutten jaksa, koska laitteen kuuluvuus ja antennitekniikka olisi kuitenkin riittämätön. Mulla on operaattorin purkin jälkeen toinen purkki, jossa on sitten OpenWRT ja se hoitelee lähiverkkoa. Näin operaattorilla ei ole sinne pääsyä eikä välttämättä SUPOllakaan. Vaikka nyt laitteet saa palomuurattua ja kotiverkkoon laitettua kryptatut protokollat, kyllä se hiukan häiritsee ajatuksena, että joku kyrvänsyylä kuuntelisi 192.168.1.1:ssä tcpdump ja DoS-työkalut valmiina.

 

[Copper]

Nääh... @Sompi nyt haluaa vain sitä "parempaa" tietoturvaa.

Olihan se kiva 90-luvulla, kun kaikki NMT- ja PETO-verkon puhelut oli täysin salaamattomia. Mikäs siinä kuunnellessa mitä kylällä tapahtui. Ja tiesi valmiiksi naapurin rekkarin, HETUn ja mahdollisen rikossyytteen.
Telejakamoihinkin pääsi linkkuveitsellä. Lankapuhelimesta kuulokkeen johto poikki, ja vähän kuori + hauenleuat päähän. Mennyt jo niiiin kauan aikaa. Mutta olikohan parit SIORVIRUHA. Sai sinne oman modeeminkin kiinni jne.

Edit: Herra Pasi Viheraho oikein todisti. Miten paskaa "tietoturvaa" aikoinaan oli.

 

[JCSH]

Niin. Luin sen itse niin, että tarkoitti teoreettista mahdollisuutta. Olisi aika posketon juttu jos operaattori suoraan toisi esille tällaisia.

Jos selaat keskustelua taaksepäin, niin huomaat, että väite oli käytännössä, että se operaattori lukisi sitä puhelimen muistia yhtä helposti kuin se operaattori voi lukea siihen puhelimeen lähetettyjä tekstiviestejä.
Joista ensimmäinen vaatii astetta pahempia korjaamattomia haavoittuvuuksia siinä laitteessa ja operaattorilta kyvyn käyttää hyväksi niitä haavoittuvuuksia. Kun taaskin jälkimmäinen on teknisesti suht suoraviivainen homma operaattorin puolesta, kerta tekstiviesteissä ei ole sitä E2E enkryptausta ja se enkryptaus mitä niissä on tehdään sen operaattorin toimesta.

 

[Paapaa]

Monessa puhelinmallissa operaattori pääsee käytännössä suoraan käsiksi kaikkeen

Lähde tälle väitteelle, kiitos.

 

[JCSH]

Monessa puhelinmallissa operaattori pääsee käytännössä suoraan käsiksi kaikkeen. Tuo Simjacker kuitenkin perustui siihen, että tietoihin käydään käsiksi "kiertotietä" esimerkiksi asentamalla puhelimeen ensin jokin ohjelma.

Loppujen lopuksi noilla eroilla ei ole hirveästi merkitystä, kun lopputulema on sama.

Jälleen kerran, anna nyt niitä esimerkkejä niistä puhelinmalleista, joissa se operaattori pääsee käytännössä suoraan käsiksi kaikkeen.
Se, että sä toistat perusteettomia väitteitä yhä uudelleen ja uudelleen, ei tee niistä yhtään enemmän oikeita.

 

[=JP=]

@Sompi Kannattaa niitä lähteitä nyt pikkuhiljaa alkaa laittamaan, taas sääntöjen vastaisia omia väitteitä jatkuvasti...

Tuo Simjacker myöskin on erittäin harvassa maassa edes mahdollinen, jos katsoo tuolta sivulta raporttia, luitko sitä edes?

Kartasta jo näkee, että tuo on vain noissa köyhemmissä maissa mahdollista:

 

[=JP=]

Vai oikein "sääntöjen vastaisia väitteitä"? Missä on lista kielletyistä ja sallituista väitteistä?

Korjasin jo viestiini, tarkoitin sinun omia väitteitä, joille ei ole mitään lähteitä.

Ja sama vaan jatkuu edelleen...

 

[JCSH]

Käsitykseni mukaan ainakin kaikissa Nokian Symbian-puhelimissa pääsee operaattori suoraan käsiksi kaikkeen

Ottaen huomioon, että viimeinen Nokian Symbian puhelin julkaistiin aikalailla tasan 12 vuotta sitten, niin mitä helvetin tekemistä tuolla on tämän keskustelun kanssa?

 

[kaarlos]

Nää väitteet on kyllä aika kaukaa haettuja ottaen huomioon että jenkeissä käyty Apple-FBI vääntö puhelimen avaamiseksi joskus 2015 ei onnistunut FBI:n omilla resursseilla eikä Apple suostunut luuria avaamaan. Taisi sen joku lopulta saada auki jollain zero-day haavoittuvuudella, mutta olisihan se ollut aika paljon vaivattomampaa vaan pyytää teleoperaattoria avaamaan se.

 

[Paapaa]

Käsitykseni mukaan

Nää sun väitteet ovat kaikki täysin hatusta vedettyä lähteetöntä mielikuvitusta jota et kykene lähteistämään yhtään mitenkään. Sivusta toiseen. Eli nytkin satuilet jostain helvetin Symbian-luureista. Symbianin tarukin loppui noin 10v sitten. Viimeinen virallinen Symbian-puhelin taisi tulla myyntiin 2012. Eli taas höpiset jostain, mistä et mitään tiedä.

 

[JCSH]

Nää väitteet on kyllä aika kaukaa haettuja ottaen huomioon että jenkeissä käyty Apple-FBI vääntö puhelimen avaamiseksi joskus 2015 ei onnistunut FBI:n omilla resursseilla eikä Apple suostunut luuria avaamaan. Taisi sen joku lopulta saada auki jollain zero-day haavoittuvuudella, mutta olisihan se ollut aika paljon vaivattomampaa vaan pyytää teleoperaattoria avaamaan se.

Hyvä pointti. Miksi ihmeessä kaikki länsimaiset tiedustelupalvelut valittavat E2E enkryptauksesta ja vaativat lakeja, joilla saavat takaovet noihin enkryptauksiin, jos operaattorit jo lukevat kaikkea mitä puhelimen muistista löytyy kuin Aamulehteä pöntöllä istuessa?

 

[=JP=]

Mihin mahtaa perustua väite, että simjacker toimisi ainoastaan joissain tietyissä maissa, mutta muualla ei onnistuisi?

Kannattaisi lukea ne sivut, joita itse tänne linkkaa silloin ku sattuu löytymään Googlesta sopiva sivusto.

https://info.enea.com/Simjacker-Technical-Paper

Sivulta 27 eteenpäin...

 

[kaarlos]

Siinä nyt taisikin olla kyse tapauksesta, jossa puhelimeen oli tallennettu kryptattua tietoa ja salausavainta ei ollut puhelimen muistissa olemassa. Vähemmän yllättäen sellaista nyt ei millään takaovilla saa murrettua.

Niin ja näitä puhelimia sattuu olemaan markkinoilla ihan helvetisti. Väittäisin että kaikki puhelimet jota saat tänä päivänä kaupasta salaa sisäisen muistinsa sisukset.

 

[kaarlos]

Ei sillä salauksella ole merkitystä, jos kuitenkin salausavain on koko ajan muistiin ladattuna käyttöjärjestelmän ollessa käynnissä, jotta tiedot ylipäätään saadaan luettua massamuistista muistiin. Haittaohjelmatkin pääsevät kyllä tietoon silloin käsiksi.

Voisit vaikka listata kaikki ne käytettävissä olevat haittaohjelmat uusimmille Android ja IOS versioille joilla tämä onnistuu. Se on hyvin jännä että näitä ei ole korjattu vaikka selkeästi ne on kätevästi saatavilla.