Tietoturvaa

Kirjoittaja Sami, 21.11.2003

Jokohan kaikki, joiden puhelimessa on Bluetooth ovat kokeilleet bluejackingia? Eli ideanahan on että tehdään puhelimen muistiin käyntikortti jonka nimikenttään kirjoitetaan hupsu viesti. Vaikka: “Terveisiä salaiselta ihailijalta”. Seuraavaksi valitaan puhelimesta toiminnoksi käyntikortin lähetys Bluetooth-yhteyden yli. Kännykkä skannailee hetken ja näyttää listan lähietäisyydellä olevista puhelimista jotka ovat valmiita vastaanottamaan käyntikortteja langattomasti. Junista, luennoilta tai muista väkirikkaista paikoista tällaisia löytyy yleensä aina muutamia.

Sitten vain lähetetään juuri tehty käyntikortti valitun uhrin puhelimeen. Hänen kännykkänsä piippaa ja ruudulla näkyy vastaanotettu käyntikortti salaiselta ihailijalta. Mikään ei kuitenkaan kerro, mistä käyntikortti saapui. Kortin lähettäjä voi naureskella itsekseen bluejacking-uhrin hämmentyneille ilmeille.

Tästä viime aikojen muoti-ilmiöstä on kirjoitettu useassa paikassa ja juuri näinä viikkoina ilmiö taitaa olla kuumimmillaan. Itse en ole joutunut vielä bluejackingin uhriksi vaikka olen pitänyt ihan tarkoituksella puhelimen Bluetoothia päällä. Pari kertaa olen onnistuneesti lähettänyt anonyymejä terveisiä lähistöllä istuneille.

Bluejackingin “henkinen koti” on bluejackQ, sivusto josta kaikki sai alkunsa. Sieltä löytyy myös joukko tarinoita, jossa bluehäkkerit kertovat parhaimmista kepposistaan. Spuddyn tarina siitä kuinka hän kaverinsa kanssa seurasi yhä enemmän hermostuvaa uhriaan ympäri kaupunkia pommittaen häntä viesteillä alkoi muistuttaa jo häirintää.

Samaisen saitin keskustelupalstalta löytyi myös erikoinen uutinen. AL Digital -niminen yritys kertoo löytäneensä Bluetooth-teknologiasta aukon, jonka avulla on mahdollista varastaa puhelimen osoitekirjan tietoja langattoman yhteyden yli.

Normaalistihan Bluetooth-laitteet suostuvat avaamaan suoran yhteyden toisen laitteen kanssa vain vaihtaakseen jotain yksinkertaisia tietoja, kuten käyntikortteja. Jos tarvitaan edistyneempää yhteyttä, laitteet täytyy kiinnittää pariksi. Tuo tapahtuu kirjoittamalla sama PIN-koodi molempiin laitteisiin. Näin varmistetaan se, että laitteita ei voi liittää pareiksi salaa tai vahingossa.

AL Digital väittää löytäneensä kiertotien, jonka ansiosta toisen puhelimen osoitekirjaa pääsee lukemaan ilman puhelimien kytkemistä pariksi. Sinänsähän osoitekirjan lukeminen on vielä suhteellisen pieni paha: useimmilla häkkeröinnin uhreilla vääriin käsiin joutuisi nimiä ja puhelinnumeroita, joissain tapauksissa myös sähköpostiosoitteita ja katuosoitteitakin. Jos muistiossa on salaisia numeroita, niiden menettäminen olisi jo ikävämpää. Esimerkiksi levy-yhtiön pomon kännykän osoitekirjan ryöstely voisi antaa mielenkiintoisia tuloksia ko. yhtiötä käyttävän artistin faneille.

Mutta jos häkkeröinti mahdollistaa laitteiden parittamisen ilman PIN-koodia, on se jo vähän hankalampi juttu. Silloin vaikkapa junassa ollessani häkkeri voisi käyttää minun tietämättäni kännykkääni oman läppärinsä Internet-yhteytenä – jättäen laskujen maksamisen minun huolekseni.

Uutisjutussa tämä uusi häkkeröintimenetelmä ristittiin “Bluestumblingiksi”. Mielenkiintoista nähdä, kuulemmeko siitä vielä lisää.

Nimimerkki “Bluejackass” kertoi bluejackQ:n foorumeissa toisenlaisesta häkkeröintitavasta. Hän huomasi junassa muutamaa riviä edempänä henkilön, joka oli juuri ottamassa esiin Bluetoothilla varustettua hands free -kuuloketta. Koska kuulokkeissa on yleensä paketista tullessaan ennalta asetettu PIN-koodi jota harvat jaksavat muuttaa, hän pystyi arvaamaan oikean koodin edessä istuvan kuulokkeeseen.

Tämän jälkeen bluejackass kertoi muodostaneensa parin oman puhelimensa ja edessä istuvan hands-freen välille ennen kuin tämä ehti parittaa sen omaan puhelimeensa. “Sitten soitin Neiti Aikaan ja katsoin kun edessä istuva säikähti”.

Verkosta löytyi tänään pari muutakin mielenkiintoista tietoturvaan liittyvää uutista:

Helsingin Sanomat kertoo Sammon verkkopankista löydetystä tietoturvaongelmasta. Ongelma liittyy nykyisten selainten ominaisuuteen, missä ne muistavat edellisiä käytyjä sivuja. Kun alat kirjoittaa selaimen osoitekenttään uutta nettiosoitetta ja ehdit kirjoittaa vaikkaapa www.pi, selain pyrkii täydentämään loput muistelemalla ennen käytyjä sivuja. Silloin selain voi ehdottaa osoitteeksi vaikkapa www.pinseri.com.

Jos kuitenkin käy niin, että koneella on juuri käyty Sammon verkkopankissa ja seuraava koneelle istunut alkaa kirjoittaa uutta osoitetta joka alkaa samalla tavalla kuin verkkopankin osoite, selain saattaa tarjota osoitetta jolla pääsee takaisin verkkopankkiin – edellisen käyttäjän tunnuksilla!

Digitoday sen sijaan testasi vanhaa kunnon sosiaalista häkkeröintiä. Kävi ilmi, että salasanan saa selvitettyä sataprosenttisella tehokkuudella ihan vain kysymällä sitä. Eli toimi näin:

Otetaan yrityksessä työskentelevä uhri. Lähetetään hänelle ensin sähköpostia, jossa lähettäjän nimeksi on väärennetty yrityksen ATK-vastaavan nimi. Viestin sisältö menee tähän tyyliin: “Olemme tekemässä muutoksia järjestelmässämme. (Oma nimesi) soittaa sinulle hetken kuluttua ja kysyy käyttäjätunnuksesi ja salasanasi. Emme kysy näitä tietoja sähköpostissa tietoturvasyistä.”

Tämän jälkeen soitetaan viestin vastaanottajalle ja viitataan heidän aiemmin “ATK-päälliköltä” saamaansa viestiin. Kaikki Digitodayn testaamat henkilöt antoivat mukisematta salasanansa.

    Jutussa “Tietoturvaa” on 2 kommenttia:

    • rahi says:

      Tervetuloa tietoyhteiskuntaan.

    • AVP says:

      Sinihammas yhdistää ilman kujeiluakin. Muutama viikko sitten istuskelin kahvilassa amsterdamissa ja ajattelin tyhjentää kamerapuhelimesta kuvat kannettavalle. Ottaessani puhelimesta yhteyttä kannettavaan listassa näkyikin kannettavan lisäksi “TapiosMouse”. Ja kuinkas ollakaan, toisella laidalla kahvilaa istuskeli suomalainen Tapio, joka oli unohtanut repussaan olevaan BT-hiireen virran päälle. :) Ja totta kait kävi ilmi että meillä on yhteisiä tuttavia. Terveisiä vaan Tapiolle ja Tapion hiirelle. :)

Kirjoita kommentti


Tämä linkki on ansa roskapostittajille.