Seuraa 
Viestejä9265

Onko aiheesta jotain filosofiaa väännetty enempi? Mietin että kyllä täytyy olla olemassa jokin tapa toteuttaa tietotekniikka, -liikenne ja muu siihen liittyvä ilman pelkoa mm viruksista. Onko asia teoriassakin mahdoton? Onko se vain niin, että aina löytyy keino luoda haittaohjelma jonka saa leviämään? Ja että aina löytyy keino hakkeroitua järjestelmiin?

くそっ!

Kommentit (19)

Kosh
Seuraa 
Viestejä21228

Teoriassa varmaan olisi mahdollista toteuttaa virheetön ohjelma, joka on sekä täydellisesti suunniteltu että toteutettu virheettä. Käytännössä se lienee utopistinen ajatus. Suurin osa tietomurroista ja viruksista on kohdennettu ohjelmavirheisiin, jotka mahdollistavat jonkin ennalta-arvaamattoman toiminnan. Toisaalta jos tietokone on millään lailla murtautujan ulottuvilla, esim. kytketty tietoverkkoihin, niin aina vähintäänkin tuurilla tai brute forcella sen voi murtaa. Esimerkiksi kokeilemalla randomisalasanoja pääsyyn johonkin järjestelmään. Ainut täysin tietoturvallinen laite on sellainen, johon ei kukaan ulkopuolinen mitenkään pääse käsiksi, ei minkään verkon kautta eikä fyysisesti. Tässäkin sitten tulee vastaan perinteisen turvallisuuden toteuttaminen, eli onko murtamattomia lukkoja ja lahjomattomia vartijoita...

Se oli kivaa niin kauan kuin sitä kesti.

Jäärä
Seuraa 
Viestejä3778

Sen jälkeen kun olemme todenneet, että se on käytännössä mahdotonta, niin asiaa voi ajatella niinkin, että pitämällä kohtuullista huolta omasta tietoturvasta, tyytyvät hyökkääjät käyttämään hyväkseen sitä suurempaa kansanosaa joka ei näin tee.

Eli jos parkkipaikalla on kaksi autoa, niin kyllähän se varas vie sen helpommin varastettavan, vaikka sen toisenkaan varastaminen ei aivan sula mahdottomuus olisi, mutta vaatisi selkeästi enemmän vaivaa ja perehtymistä.

Sisältö jatkuu mainoksen alla
Sisältö jatkuu mainoksen alla
Ronron
Seuraa 
Viestejä9265
Jäärä

Sen jälkeen kun olemme todenneet, että se on käytännössä mahdotonta, niin asiaa voi ajatella niinkin, että pitämällä kohtuullista huolta omasta tietoturvasta, tyytyvät hyökkääjät käyttämään hyväkseen sitä suurempaa kansanosaa joka ei näin tee.

Eli jos parkkipaikalla on kaksi autoa, niin kyllähän se varas vie sen helpommin varastettavan, vaikka sen toisenkaan varastaminen ei aivan sula mahdottomuus olisi, mutta vaatisi selkeästi enemmän vaivaa ja perehtymistä.

Tuosta vain seuraa se että aina joku jää uhriksi.. tavallaan se ei silloin ole ratkaisu, ellei ajatella että ne huolimattomat ihmiset jotenkin ansaitsisivat tulla tietomurron uhreiksi. 

くそっ!

Jäärä
Seuraa 
Viestejä3778

Nojuu, totta sekin. Mutta eihän kukaan joka jättää yöksi pyöränsä lukitsematta, ansaitse sitä, että se tulee pöllityksi, vaikka kaikki kyllä jälkikäteen toteavatkin, että oma vika, miksi et lukinnut. Ei ollut kun varkaan vika, mutta silti.

Tietotekniikassa vähän sama.

Puhutaan nyt ihan mistä aiheesta hyvänsä, niin kyllä ilkivallan ja varkauksien suojaamiseen menee vuositasolla tolkuttomat määrät fyrkkaa ja poweria. Olen joskus miettinyt että olis se kyllä metka maailma, missä kukaan ei varastaisi keneltäkään mitään. Lukko olisi ihan kokonaan vieras käsite. Sen kun aamulla marssisi avoimeen autoonsa, painais napista käyntiin ja sutis horisonttiin. Kaupan ovetkin olis öisin auki, lappu vaan olisi että sori, myyjä tulee vasta klo 8 lunastamaan maksuja, mutta voitte toki hypistellä tuotteita ennen sitä.

MrKAT
Seuraa 
Viestejä2328

Minä näin jo ajat sitten matematiikan journaalissa todistuksen, että ei ole olemassa virustorjuntaohjelmaa joka estäisi kaikki virukset. Todistus oli kovasti samanmuotoinen (ja sama logiikka) kuin ettei voida todistaa ohjelmaa pysähtymättömäksi ja virheettömäksi (halting problem), joka sekin osoitettiin mahdottomaksi algoritmisoida.

Jos tietoliikenne on vain pelkästään tekstitiedostoja "juttu.txt" ts. pelkkää kirjoituskonetekstiä tai pelkkiä "maisema1.jpg" kuvia tai ääninauhaa "musa.wav" tai "musa.mp3", niin ei pitäisi olla vaikeata tehdä se liikenne viruksettoman varmaksi. 

 

 

Homeopatia-skandaali A-talkissa: https://www.youtube.com/watch?v=qXLTz5LhHMU

Ronron
Seuraa 
Viestejä9265

Joku vielä keksii, se on joku uusi ajattelutapa koko systeemiin, joku avoimuusjuttu tai jäljitettävyysjuttu tai jotain mikä rakentaa uudella periaatteella koko tietotekniikan informaation tai jotain

くそっ!

SamBody
Seuraa 
Viestejä7018

Tietsikkavirustahan voidaan pitää vain yhtenä huijauksen muotona. Ja jokuhan sitä hölmöä kuitenkin huijaa eli luonnollisin ratkaisu on olla sortumatta hölmöyksiin. Pitää tolkun mukana niin ei sorru huijauksiin. Itse käytin privaatti-tietsikoita (alk MS-DOS 2.0) neljännesvuosisadan ilman mitään taustalla lurkkivia virusvahteja ilman ainuttakaan tartuntaa.

 

t: "kerran-kadulla-huijattu"

http://www.vapaakielivalinta.fi/
https://www.kansalaisaloite.fi/fi/aloite/5492
Tunnustan poikkeavuuteni: perustan näkemykseni enemmän omaan ajatteluun kuin auktoriteetteihin.

Kosh
Seuraa 
Viestejä21228
MrKAT

Jos tietoliikenne on vain pelkästään tekstitiedostoja "juttu.txt" ts. pelkkää kirjoituskonetekstiä tai pelkkiä "maisema1.jpg" kuvia tai ääninauhaa "musa.wav" tai "musa.mp3", niin ei pitäisi olla vaikeata tehdä se liikenne viruksettoman varmaksi. 

En ole varma ymmärränkö mitä tarkoitat. Viruksen tai muun haittaohjelman voi enkoodata muun median sekaan tai muuten kätkeä tiedostoihin. Sen tunnistaminen voi olla mahdotonta, jos haittaohjelma on binäärimuodossa sopivan obfuskoitu niin että näyttää normaalilta medialta tai jos teksitiedostossa se on lähdekoodimuodossa tekstinä niinikään. Riittää, että tiedostoa käsittelevässä ohjelmassa on joku virhe, jota haittaohjelma aukkona hyödyntää. Tai vaikkapa siinä näitä tiedostoja analysoivassa tietoturvaohjelmassa.

Se oli kivaa niin kauan kuin sitä kesti.

MrKAT
Seuraa 
Viestejä2328
Kosh

Riittää, että tiedostoa käsittelevässä ohjelmassa on joku virhe, jota haittaohjelma aukkona hyödyntää. Tai vaikkapa siinä näitä tiedostoja analysoivassa tietoturvaohjelmassa.

No perhonen sentään, ei sen pitäisi olla niin vaikeaa!

Simppeli vanhanaikainen modeemiaikakauden viestintä jossa ohjelma olettaa tekstiä tiedostosta ja tulostaa ruutuun:

Alku:
read #char,
 if #char=EOF then goto end of program

 if ASC(char) not in[32..127] 
   print "_" else
 print #char 
goto Alku unless not timeout

.

Sen saman se tekee joka ikiselle vaikka olisi .EXEä ja käsittelee sen kuin txt-tiedostona
jossa kaikki merkit 0..255 otetaan käsittelyn turvallisesti. (Ja muuten .jpg:t nykyäänkään ei voi sisältää viruksia jotka tarttuisi).

Homeopatia-skandaali A-talkissa: https://www.youtube.com/watch?v=qXLTz5LhHMU

Jäärä
Seuraa 
Viestejä3778

käsittääkseni .jpg -tiedosto voi kyllä infektoitua, mutta se ei voi tartuttaa konetta ellei sitä jotenkin prosessoida ("ajeta") tai vastaavasti ellei jostain oletuskuvankatselusovelluksesta ole löydetty aukkoa jota infektoitunut jpg -voi hyödyntää.

Jäärä
Seuraa 
Viestejä3778
MrKAT

No perhonen sentään, ei sen pitäisi olla niin vaikeaa!

Simppeli vanhanaikainen modeemiaikakauden viestintä jossa ohjelma olettaa tekstiä tiedostosta ja tulostaa ruutuun:

 

Alku:
read #char,
 if #char=EOF then goto end of program

 if ASC(char) not in[32..127] 
   print "_" else
 print #char 
goto Alku unless not timeout

.

Sen saman se tekee joka ikiselle vaikka olisi .EXEä ja käsittelee sen kuin txt-tiedostona
jossa kaikki merkit 0..255 otetaan käsittelyn turvallisesti. (Ja muuten .jpg:t nykyäänkään ei voi sisältää viruksia jotka tarttuisi).

Oliko tämän tarkoitus olla ratkaisu nykytilanteeseen jollain muotoa?

z
Seuraa 
Viestejä2918
Kosh

Teoriassa varmaan olisi mahdollista toteuttaa virheetön ohjelma, joka on sekä täydellisesti suunniteltu että toteutettu virheettä.

Ohjelman virheettömyys ei sinänsä riittäne vaan sen pitäisi myös selvitä siitä, että kaikki muut ohjelmat ja laitteet voivat toimia ihan miten sattuu: Byzantine fault tolerance

Tulikin mieleeni tuosta wikipedian artikkelin mainostamista käytännön ratkaisuista, että muistelen selailleeni jokin aika sitten tuoreehkoa artikkelia, jossa osoitettiin, että kaikki esitetyt ratkaisut saadaan menemään polvilleen aika triviaalisti... paitsi tietysti kirjoittaijien oma, uusi menetelmä, joka ratkaisi kaikki ongelmat...

zz

Kosh
Seuraa 
Viestejä21228
MrKAT
Kosh

Riittää, että tiedostoa käsittelevässä ohjelmassa on joku virhe, jota haittaohjelma aukkona hyödyntää. Tai vaikkapa siinä näitä tiedostoja analysoivassa tietoturvaohjelmassa.

No perhonen sentään, ei sen pitäisi olla niin vaikeaa!

Simppeli vanhanaikainen modeemiaikakauden viestintä jossa ohjelma olettaa tekstiä tiedostosta ja tulostaa ruutuun:

 

Alku:
read #char,
 if #char=EOF then goto end of program

 if ASC(char) not in[32..127] 
   print "_" else
 print #char 
goto Alku unless not timeout

.

Sen saman se tekee joka ikiselle vaikka olisi .EXEä ja käsittelee sen kuin txt-tiedostona
jossa kaikki merkit 0..255 otetaan käsittelyn turvallisesti. (Ja muuten .jpg:t nykyäänkään ei voi sisältää viruksia jotka tarttuisi).

Joo, ok. Tuollaisella leikkiesimerkillä nyt vaan ei ole mitään käytännön virkaa. Tekstitiedoston tulostaminen näytölle ei vielä riitä koko systeemiä turvalliseksi tekemään. Semminkin kun tuokin esimerkki vielä hävittää sisällöstä informaatiota. Tietoliikenteen ja -ohjelmien tulisi täyttää myös toiminnalliset vaatimuksensa, kuten säilyttää data vääristymättömänä.

Se oli kivaa niin kauan kuin sitä kesti.

Kosh
Seuraa 
Viestejä21228
Jäärä

käsittääkseni .jpg -tiedosto voi kyllä infektoitua, mutta se ei voi tartuttaa konetta ellei sitä jotenkin prosessoida ("ajeta") tai vastaavasti ellei jostain oletuskuvankatselusovelluksesta ole löydetty aukkoa jota infektoitunut jpg -voi hyödyntää.

Juu kyllä minkä tahansa tiedoston voi infektoida em. ehdoilla. Käytännössä niitä kuvia prosessoidaan vaikka miten ja missä. Jos vaikka zoomaat kuvankatseluohjelmassa tai nettisivulla, niin jopa siellä joku koodinpätkä ottaa ja lukaiseen kuvadatan, syöttää sen johonkin ohjelmaan tai rutiiniin. Tai jopa, kuten sanoit, pelkkä kuvan katselu tosiaan voi sisältää aukon.

Yksinkertainen esimerkki oli joskus pari vuotta sitten hyvin yleisessä WordPress-julkaisujärjestelmässä ollut virhe, joka mahdollisti esim. palvelinkoneen suoraviivaisen rootkittaamisen. Tämä tehtiin niin, että WordPressin kuvanlatausrajapinta tallensi kuvan palvelimelle jonnekin ja antoi mahdollisuuden esikatsella sitä latauksen jälkeen. Jos kuvaan lisäsi heksaeditorilla PHP-koodia, niin esikatselusivun lataminen palvelimelta suoritti samalla sen koodin korkeilla oikeuksilla. Enempää ei hakkeri tarvitse kuin saada omaa koodiaan suoritetuksi kohdekoneella. Ihan sama, kuinka turvallinen itse .JPG formaattina on, kun sitä käsittelevä ohjelmisto vuotaa kuin seula.

Virheen simppeli korjaus oli tarkistaa kuvatiedoston koko sen metatietoihin nähden, mutta eihän se oikeasti mikään turvallinen ratkaisu ole, jos hyökkääjä haluaa nähdä vaivaa.

Vastaavia ihan naurettavia virheitä on IT-maailma pullollaan. Huvittava tuore esimerkki oli SSL-kirjaston heartbleed-haavoittuvuus, jossa mikä tahansa tietyllä SSL-salauksella suojattu palvelin päästi itse salausprotokollan kyydissä mielivaltaista koodia mistä tahansa omaan muistiinsa.

Sitten ovat bugit, joita ilman on vaikea mitään nykysoftaa kuvitella olevan. Joku muistivuoto on aina jossain, ja ennemmin tai myöhemmin joku keksii kuinka sitä voi hyödyntää pahoihin tarkoituksiin tunkemalla haittakoodia jonnekin ikävään paikkaan.

 

 

Se oli kivaa niin kauan kuin sitä kesti.

MrKAT
Seuraa 
Viestejä2328
Kosh
MrKAT

 if ASC(char) not in[32..127] 
   print "_" else
 print #char 
goto Alku unless not timeout

..

Joo, ok. Tuollaisella leikkiesimerkillä nyt vaan ei ole mitään käytännön virkaa. Tekstitiedoston tulostaminen näytölle ei vielä riitä koko systeemiä turvalliseksi tekemään. Semminkin kun tuokin esimerkki vielä hävittää sisällöstä informaatiota. Tietoliikenteen ja -ohjelmien tulisi täyttää myös toiminnalliset vaatimuksensa, kuten säilyttää data vääristymättömänä.

Aloittaja kyseli tietoliikenteestä johon pomminvarmasti ei pääse virus. Tuossa voi ajatella esimerkiksi vaikka valtionpäämiesten, tai ihmisoikeusjärjestöpomojen, kuumanlinjan lukijan* niin voivat tekstitellä turvallisesti selväkielellä (tai one-time-tape-salakielellä, ihan yhtä virusturvallisesti) ilman että virukset pääsee läpi. Ja näin esimerkkini toteuttaa aloittajan erään toiveen todistuksen. MOT.

*koneet on jotain DOS-aikuisia vanhoja, eivät internetissä eivätkä päivity.

Homeopatia-skandaali A-talkissa: https://www.youtube.com/watch?v=qXLTz5LhHMU

No-one
Seuraa 
Viestejä535
Jäärä

käsittääkseni .jpg -tiedosto voi kyllä infektoitua, mutta se ei voi tartuttaa konetta ellei sitä jotenkin prosessoida ("ajeta") tai vastaavasti ellei jostain oletuskuvankatselusovelluksesta ole löydetty aukkoa jota infektoitunut jpg -voi hyödyntää.

Samaa mieltä. On typerää olettaa että jonkin hakkerointi on mahdotonta. 80 luvulla hakkeroitiin muistaakseni casion fuktiotaskulaskin. Jollain tietyllä matemaattisella lausekkeella sen (muistaakseni) saatiin sammumaan ja tekemään vissiin vähän oudompiakin juttuja + sitäkin aiemmin jo phreakerit hakkeroivat analogisia puhelinjärjestelmiä http://www.gizmodo.com.au/2009/07/phreaking-the-phones-before-there-was-hacking/ Kehittäjät eivät varmasti tulleet edes ajatelleeksi hakkeroinnin mahdollisuutta tai jos tulivatkin oli tyhmää aliarvioida väärinkäyttäjiä.

"... En ikinä uskonut, että muut voisivat ottaa teoriani niin paljon vakavemmin, kuin minä itse..." Albert Einstein

Simplex
Seuraa 
Viestejä3193

On mahdollista käyttää ohjlemointikieliä, jotka soveltuva suurta luotettavuutta vaativien systeemien toteutukseen ja verifioimiseen. Eräs tällainen ohjelmointikieli on Ada SPARK. SPARK pystyy mm. automaattisesti verifioimaan, että kirjoitettu koodi vastaa spesifikaatiota.

http://en.wikipedia.org/wiki/SPARK_%28programming_language%29

Ada-ohjelmointikieli jo itsessään tarjoaa hyvät mahdollisuudet kirjoittaa koodia, joissa on vähemmän tyypillisiä ohjelmointivirheitä, sillä jo käännösvaiheessa pystytään löytämään paljon epäjohdonmukaisuuksia tai suoranaisia virheitä, ja missä tehdään ajonaikaisia tarkistuksia koodin oikeellisuudesta.

Koodaajien on kuitenkin havaittu nauttivan siitä, että he käyttävät mielellään sellaista ohjelmointikieltä missä ei ole käytännössä minkään valtakunnan käännös- ja/tai ajonaikaisia tarkistuksia*, jolla on mahdollisimman helppo kirjoittaa tietoturva-aukkoja sisältävää koodia, ja että he mieluusti käyttävät aikaansa lopputuloksena syntyvän reikäisen C/C++ - koodin debuggaamiseen.

*Käännösaikaiset tarkistukset hidastavat tuottavuutta, koska kääntäjä löytää koodista aivan liikaa virheitä tai huomautuksia, joiden korjaamiseen menee paljon aikaa. Ajonaikaiset tarkistukset verottavat liikaa prosessorikapasiteettia, jolloin on parempi ettei tarkistuksia tehdä, vaan annetaan taulukoiden vuotaa yli ja uskotaan/rukoillaan pointtereiden osoittavan validiin muistilohkoon.

Remonttimies
Seuraa 
Viestejä477
Jäärä

Sen jälkeen kun olemme todenneet, että se on käytännössä mahdotonta, niin asiaa voi ajatella niinkin, että pitämällä kohtuullista huolta omasta tietoturvasta, tyytyvät hyökkääjät käyttämään hyväkseen sitä suurempaa kansanosaa joka ei näin tee.

Eli jos parkkipaikalla on kaksi autoa, niin kyllähän se varas vie sen helpommin varastettavan, vaikka sen toisenkaan varastaminen ei aivan sula mahdottomuus olisi, mutta vaatisi selkeästi enemmän vaivaa ja perehtymistä.

Pätee siihen autovarkeeseen, mutta verottajaan ei päde. Verottajalla [=valtiolliset toimijat] on laajemmat oikeudet sekä röyhkeyttä tehdä tarvittavat toimet veron keräämiseksi sekä veronkierron estämiseksi.

Lenovon läppäreissä kyseenalaisia siruja, windows täynnä NSA:n mentäviä reikiä ymym. Voi kuvitella olevansa turvassa, mutta entäs jos valtaan tuleekin kolmannesta maailmasta haavailevat hullut muutaman vuosikymmenen päästä? Ostitko halvan Wlan modeemin marketista? Mistä tiedät ettei se ole valtion X sponssaama setti jotta voisivat valvoa nettiliikennettä ja konettasi? Ja mistä tiedät että se kalleinkaan vaihtoehto ei sisällä urkintachippejä?

Ja kun se autovaras pääsee kiinni näihin niin avot. On totta että maksaminen tietoturvayhtiöille on hyvä, muum muassa sen vuoksi että yksi jehuista on suomalainen, lisää siis hyvinvointia tässä maassa. Yksikään tietoturvayhtiö ei voi mitään takaoville...

Suosituimmat

Uusimmat

Sisältö jatkuu mainoksen alla

Uusimmat

Suosituimmat