Seuraa 
Viestejä88
Liittynyt1.7.2015

Suomi pyrkii kyberturvallisuuden kärkimaaksi. Pieni maa saattaisi päästä tavoitteeseen saranapuolelta. Kyberrikosten suorittamisesta pitäisi tehdä kansalaistaito ohjelmoinnin tapaan. Kun osaa rikoksen alkeet, ymmärtää myös riskit ja suojautumisen tarpeen sekä osaa varautua uusiin tekotapoihin. Varsinkin asioiden internetin eteneminen voi muuten kasvattaa rikosavaruuden hallitsemattomaksi.

Alan yrityksillä ja oppilaitoksilla on suljettuja testiympäristöjä ja laboratorioita. Vastaavia testiympäristöjä pitäisi perustaa avoimesti kaikkien kokeiltavaksi. Selvästi tunnistettava testiportaali, jonka alta löytyvät testattavat järjestelmät. Fyysisiä laitteita kuten maksupäätteitä voisi hakkeroida valvotuissa julkisissa tiloissa. Yleisesti tunnetut hyökkäysmenetelmät ja -työkalut ohjeineen julkistetaan. Testiportaalin ympärille voisi rakentaa alan palveluja ja muuta liiketoimintaa kattavasti.

Testiympäristössä ei ole lainkaan liikennettä, joten kaikki aktiivisuus on hyökkäystä ja siten helpompi havaita. Jos tarvitaan testiliikennettä, sen simuloi robotti ja se on helppo suodattaa pois muusta liikenteestä. Hyökkäys voidaan kohdistaa halutulle alueelle antamalla haastetehtäviä. Onnistunut hyökkäys voi vaatia uuden menetelmän tai työkalun kehittämistä sekä jälkien peittämistä. Erityisesti näiden luulisi kiinnostavan alan yrityksiä.

Toiminnan on oltava avointa. Testirikosten kohteeksi joutuneet yritykset julkistavat tapauksia ja palkitsevat tekijöitä näkyvästi. Luottamus yritykseen ja sen järjestelmiin kasvaa avoimuuden myötä. Kiinnostus hyökätä yrityksen oikeaan järjestelmään laskee ja rikolliset valitsevat vähemmän testattuja järjestelmiä. Hyökkäyksistä vaikenevaa yritystä aletaan pitää epäluotettavana. Ehdottoman varmoihin järjestelmiin uskoo tulevaisuudessa yhä harvempi.

Malevitsh Malevitshista: Olisin itse tehnyt tämän paremmin.

Kommentit (7)

optimistx
Seuraa 
Viestejä852
Liittynyt14.1.2008

Mainio ajatus. Jatkokehittelin sitä oitis.

Kansalaisille jo yläasteella perusteellinen virustentekokoulutus. Onhan F-secure osoittautunut maailmanlaajuiseksi menestykseksi.

Kun yläastelaiset testailevat uusia viruksiaan "labraympäristössä" ja luvatta sen ulkopuolella(voih, yritetään toki estää se) , niin osa heistä voi peruste uusia E-secure, G-secure, H-secure- firmoja ja kiitää maailmanmaineeseen.

Eikä siinä kylliksi. Sitten kun nuoriso tylsistyy näihin, niin perustetaan muiden rikosten tekemiseen labroja, esim. alkaen murtovarkauksista, taskuvarkauksista, petoksista, autojen luvatta käyttöönotoista (ralliajoja varten, uusia rallitähtiä!). Tosin tappojen ja murhien opettamisessa huomaan vissejä vaaroja, jos nuoriso oppii liian hyvin. Mutta eiköhän se kuitenkin ole saldoltaan positiivien tilanne.

Tämä on niin kiehtova idea, että oksat pois. Suomi nousuun!

1. Päätä, mikä (tutkimus-)tulos TUNTUISI mukavalta
2. Etsi tulosta tukevia todisteita, hylkää kaikki muut todisteet
3. Pysy kannallasi lopun elämää ja toista sitä kaikille herkeämättä.
4. Valmis!

http://www.tiede.fi/keskustelu/66231/ei_yliopistollinen_tutkimus_taikako...

Uolevi Kattun
Seuraa 
Viestejä88
Liittynyt1.7.2015

OPTIMISTX 29.10.2015:

Mainio ajatus. Jatkokehittelin sitä oitis.

. . .

________________________

Sorry, et ollut ensimmäinen, jatkokehitys on jo tehty:

Mainitsemiasi fyysisen maailman rikoksia tekevät rehellisetkin kansalaiset. Korttihuijareita, taskuvarkaita ja silmänkääntäjiä kutsutaan taikureiksi, kaikki saavat kouluttautua vapaasti. Fyysikko Richard Feynmanin intohimoja oli lukkojen tiirikoiminen. Nyrkkitappelijoita kutsutaan NHL-tähdiksi tai ammattiurheilijoiksi.

Entäpä kybermaailma? Lahjakkaille pahiksille kaikki on muutenkin sallittua olipa sitten kieltoja tai ei. Enemmistö väestöstä ei tällä alalla ihmeisiin pysty eikä heillä ole siihen haluakaan. Nyt jätetään lahjakkaiden hyvisten kyvyt käyttämättä. Varsinkin nuorien, joiden luovuutta koulutus ei ole vielä urauttanut. Se voi olla tarkoituskin. Ovathan jotkut yritykset yrittäneet kieltää jopa henkilökohtaisen laitteen hakkeroinnin. Ei voi olla mitään muuta syytä kuin yritys estää ihmisiä näkemästä miten huono tietoturva ja muita riskejä laitteissa on.

Malevitsh Malevitshista: Olisin itse tehnyt tämän paremmin.

QS
Seuraa 
Viestejä4649
Liittynyt26.7.2015

Niin, diginatiivien suomalaslasten hypetysylistys on hiukan mennyt yli.

Varsinkin yli 40-v poliitikot ajattelevat, että kaikista n. alle 10 vuotiaista kasvaa tietokoneiden, tietoturvan ja ohjelmistosuunnittelun hyperammattilaisia.

Mikä on totuus diginatiivista lapsesta? No se, että lapset osaavaat 5 vuotiaasta eteenpäin pelata tietokoneella, somettaa ja ottaa sekä muokata näyttäviä selfieitä, belfieitä tai jopa sexieitä. Sekä julkaista näitä erilaisilla älyboxeilla ja välineillä. Ynnä laittaa söpöjä hymiöitä someen.

Todellisia ohjlemoinnin/tietoturvan ammattilaisia syntyy samanverran kuin 1980-luvullakin, jokunen harva lahjakas nörtti.

Se, että ylilaudan teinipojat tekevät välillä palvelunestohyökkäyksiä, on osoitus hyvästä googletustaidosta, ja joku on opettanut että netistä voi ladata ohjelmistoja ja käynnistää niitä.

Jäävät sitten aina kiinni kun käynnistävät ohjelmansa kotikoneella Soneran mobiililaajakaistaan kytkettynä ;D

Uolevi Kattun
Seuraa 
Viestejä88
Liittynyt1.7.2015

Tarkennanpa vielä. Jos järjestelmiin tunkeutumiset edellyttävät ehdottomasti virusten, matojen, troijalaisten tai muiden haittaohjelmien ujuttamista verkkoon, tämä ajatus on kuolleena syntynyt. Ei niiden ohjelmointia voi opettaa eikä niitä voi syöttää avoimeen verkkoon.

Varsinkin termiä "laboratorio" käytin nyt huonosti ja hämäävästi. Tuon avoimen testiympäristön on tarkoitus olla avoimessa julkisessa verkossa! Kysymys on siis voidaanko näin menetellen antaa kenen tahansa murrettavaksi tai huijattavaksi salasanoja, suojauksia, salauksia, koodivirheitä ja muita varsinkin asioiden internetin toimintoja ja laitteita ilman että yleinen verkkoturvallisuus vaarantuu? Itse uskoisin, että jotain haastetehtäviä sieltä voisi antaa.

Malevitsh Malevitshista: Olisin itse tehnyt tämän paremmin.

QS
Seuraa 
Viestejä4649
Liittynyt26.7.2015

Uolevi Kattun kirjoitti:

Tarkennanpa vielä. Jos järjestelmiin tunkeutumiset edellyttävät ehdottomasti virusten, matojen, troijalaisten tai muiden haittaohjelmien ujuttamista verkkoon, tämä ajatus on kuolleena syntynyt. Ei niiden ohjelmointia voi opettaa eikä niitä voi syöttää avoimeen verkkoon.

Varsinkin termiä "laboratorio" käytin nyt huonosti ja hämäävästi. Tuon avoimen testiympäristön on tarkoitus olla avoimessa julkisessa verkossa! Kysymys on siis voidaanko näin menetellen antaa kenen tahansa murrettavaksi tai huijattavaksi salasanoja, suojauksia, salauksia, koodivirheitä ja muita varsinkin asioiden internetin toimintoja ja laitteita ilman että yleinen verkkoturvallisuus vaarantuu? Itse uskoisin, että jotain haastetehtäviä sieltä voisi antaa.

Miksipä ei . Eikai julkisen verkon valkohattu-hakkerikisan pystyttäminen laitonta olisi.

Mutta hmm.. jos ajatellaan, että pankki julkaisisi verkossa järjestelmän, ja sanoisi, että hakkeroikaa: voittajalle tonni.

Samalla kun valkohatut hakkeroivat, myös rikolliset hakkeroivat ja samalla selvittävät järjestelmän ominaisuuksia. Hakkerointikohteen on oltava pääosin sama kuin aikanaan julkaistava tuotantosysteemi.

No, hakkeroinnin lomassa turvaratkaisut ja ominaisuudet vuotavat. Kuka takaa, että hakkeri kertoo löydöistään? Pitää piilossa ja murtautuu aikanaan julkaistavaan todelliseen järjestelmään ; )

Tietämyskone
Seuraa 
Viestejä198
Liittynyt21.12.2014

Quantum State kirjoitti:

Niin, diginatiivien suomalaslasten hypetysylistys on hiukan mennyt yli.

Varsinkin yli 40-v poliitikot ajattelevat, että kaikista n. alle 10 vuotiaista kasvaa tietokoneiden, tietoturvan ja ohjelmistosuunnittelun hyperammattilaisia.

Mikä on totuus diginatiivista lapsesta? No se, että lapset osaavaat 5 vuotiaasta eteenpäin pelata tietokoneella, somettaa ja ottaa sekä muokata näyttäviä selfieitä, belfieitä tai jopa sexieitä. Sekä julkaista näitä erilaisilla älyboxeilla ja välineillä. Ynnä laittaa söpöjä hymiöitä someen.

Todellisia ohjlemoinnin/tietoturvan ammattilaisia syntyy samanverran kuin 1980-luvullakin, jokunen harva lahjakas nörtti.

Se, että ylilaudan teinipojat tekevät välillä palvelunestohyökkäyksiä, on osoitus hyvästä googletustaidosta, ja joku on opettanut että netistä voi ladata ohjelmistoja ja käynnistää niitä.

Jäävät sitten aina kiinni kun käynnistävät ohjelmansa kotikoneella Soneran mobiililaajakaistaan kytkettynä ;D

Enpä voisi olla enempää samaa mieltä. Totuus diginatiiveista on juuri kuten sanoit. Vasta eilen toistin samat lauseet pitäessäni itse puhetta. Toinen yleinen harha on että jos jälkikasvu tai jälkikasvun jälkikasvu on sattunut lukemaan yliopistossa jotain joka edes etäisesti liippaa läheltä "digiä", niin se tarkoittaa yliluonnollisten kykyjen taitamista tietotekniikan saralla.

Tuohon olen sitten joskus kommentoinut että ainakaan minä en tahtoisi että autoani vuosihuoltaa joku DI joka on suunnitellut siihen vararenkaan palautusjousen veltostajan, vaikka henkilö onkin korkeasti autoalalle koulutettu.

01000101 01001110 01001001 01000001 01000011

Uolevi Kattun
Seuraa 
Viestejä88
Liittynyt1.7.2015

QUANTUM STATE 29.10.2015:

Mutta hmm.. jos ajatellaan, että pankki julkaisisi verkossa järjestelmän, ja sanoisi, että hakkeroikaa: voittajalle tonni.

Samalla kun valkohatut hakkeroivat, myös rikolliset hakkeroivat ja samalla selvittävät järjestelmän ominaisuuksia. Hakkerointikohteen on oltava pääosin sama kuin aikanaan julkaistava tuotantosysteemi.

No, hakkeroinnin lomassa turvaratkaisut ja ominaisuudet vuotavat. Kuka takaa, että hakkeri kertoo löydöistään? Pitää piilossa ja murtautuu aikanaan julkaistavaan todelliseen järjestelmään ; )

----------------------------------

Tuossapa se, onko näitä testimahdollisuuksia tosielämässä? Ainakin testijärjestelmästä pitäisi nähdä välittömästi miten pitkälle joku on edennyt. Jos seuraava alijärjestelmä on teoreettisesti murtovarman muurin takana, miksi sitä näyttäisi ulkopuolisille? Mikäli muuri on taitavan rikollisen läpäistävissä, pitäisi jotenkin päästä testaamaan sisempiäkin osia.

Vertaan ajatustani tietokonepeleissä huijaamiseen. Systeemiä mitenkään vahingoittamatta saadaan sovellus toimimaan ennakoimattomalla tavalla. Juuri näitä temppuja haen.

Esimerkiksi otan Bitcoinin murtamisen. En voi mitenkään uskoa, että se on mahdotonta. Valuuttaa ei ehkä voi varastaa itselleen, mutta varmennuskirjaukset pystyy ehkä sekoittamaan. Nehän ovat avoimesti verkossa, tosin salattuina. Varmennuksista tulee heti mieleen analogia dna-koodiin tai kvanttiteoriaan. Poikkitieteellinen asiantuntijaryhmä saattaisi Bitcoinin kaataa. Vastaavan virtuaalivaluutan tai muun varmenteen kehittäjä voisi laittaa testin avoimesti verkkoon, koska tosiaineistokin olisi siellä kaikkien nähtävillä.

Lopuksi pahan ajatukseni muusa eli asioiden internet. Mitä tapahtuu, kun yhä enemmän laitteita kommunikoi keskenään verkossa? Valmistajat ovat sekalaista seurakuntaa. Hintakilpailun paineessa turvallisuuteen ei voida panostaa riittävästi. Ja kuka osaa ennakoida eri laitteiden yhteisvaikutuksia? Välttämättä ei tarvita rikollisiakaan asioita sotkemaan, ongelmia voi ilmetä riittävästi ilmankin.

Tähän loppuun kiitokseni OPTIMISTX:lle (29.10.2015). Hyvä kun otit nopeasti esiin tuon viruslabran. Ihmettelin pitkään, en minä kirjoittanut mitään tuollaista. Suuri oli tyrmistykseni, kun aloin ymmärtää että siihenhän minä tosiasiassa viittaan.

Malevitsh Malevitshista: Olisin itse tehnyt tämän paremmin.

Suosituimmat

Uusimmat

Uusimmat

Suosituimmat