Tue blogiani lahjoittamalla!

21.1.09

Poliisi TV 15.01.2009

Poliisi TV esitti 15.01.2009 jakson, jossa käsiteltiin netistä löytyviä "murto-ohjeita". Käytännössä jaksossa puitiin sitä, kuinka netin videopalveluista kuten YouTubesta löytyy videoita lukkojen aukaisusta, esimerkiksi viime aikoina Ruotsissa hälyä nostattanut tapaus ASSA 2000 EVO.

ASSA 2000 EVO on Ruotsissa hyvin yleisesti käytetty ja turvalliseksi mainostettu, mutta video todistaa toista sen tarjoamasta turvallisuudesta. Tosin tämänkin uutisoinnissa on se perustavaa laatua oleva virhe, että itse avainpesää ei tiirikoitu mitenkään, vaan lukkorunko ohitettiin ohuella työkalulla, joka tungettiin oven ja karmin välistä lukkorungon sisään, joka laukaisi teljen sisään. Itse ongelma siis korjautuu täysin pelkän lukkorungon suojaamisella murtosuojaraudalla, eikä itse avainpesässä välttämättä ole mitään sen kummempaa haavoittuvuutta.

Jaksossa näytettiin myös kokonaisuudessaan Tiirikointi.net käyttäjän Jucen tekemä videoanimaatio Abloy Classic lukon toiminnasta. Lähetin Poliisi TV:lle kyselyn, että oliko heillä videon tekijältä lupa esittää ko. videota lähetyksessään. Juce itse kertoi, ettei lupaa videon esittämiseen ole edes kysytty. Poliisi TV siis on rikkonut tekijänoikeuksia.

Päivitys 28.01.2009: Poliisi TV:stä oltiin yhteydessä ja ilmoitettiin, että videon näyttäminen menee sitaattioikeuden piiriin. Lain mukaan julkistetusta teoksesta on hyvän tavan mukaisesti mahdollista ottaa lainauksia tarkoituksen edellettymässä laajuudessa. Tämä siis käytännössä tarkoittaa lähteen ja tekijän ilmoittamista ja lainauksen tulee sopia teokseen, johon lainaus on otettu. Tekijää ei ilmoitettu (Juce nimimerkki vilahti nopeasti videon lopussa), lähteeksi ilmoitettiin ainoastaan YouTube (nettilainauksissa hyvän tavan mukaista on ilmoittaa tarkka osoite ja lainauspäivämäär) ja kaiken kukkuraksi lainattiin koko animaatiovideo. Mielestäni tämä ei ole tarkoituksen edellyttämässä laajuudessa, vaan enemmän kuin laki sallii.

Jaksossa haastateltiin myös lukkoseppämestari Jouni Vesantoa, joka kertoi että suomalaiset Abloy lukot ovat turvallisia. Tämä pitääkin paikkansa, sillä jo nykyisen Abloy Classicin tiirikointi on hankalaa. Muut kuin Protec mallit Abloylta ovat tiirikoitavissa kuitenkin ilman näkyviä ja havaittavia vahinkoja lukolle. Sen sijaan mikroskoopin alla osa erilaisista tekniikoista paljastuu, sillä ne aiheuttavat jälkiä sellaisiin paikkoihin joihin avain ei pysty osumaan.

Vesanto myös kertoi, että Abloy lukot ovat testattu tiirikoimalla ja käytännön murtokokeella, eikä niitä ole saatu auki ilman murtojälkiä. Tämä ei pidä täysin paikkaansa, sillä esimerkiksi Abloy Classic pesän saa auki ilman murtojälkiä, jopa siten että edes mikroskoopin alla ei jälkiä välttämättä löydy. Lisäksi tällaiset käytännön murtokokeet ja tiirikointitestaukset eivät ole kuin subjektiivisia näkemyksiä ko. lukoista, sillä tällaisia testauksia ei esimerkiksi Suomessa yleisesti käytettävä riippulukkostandardi EN 12310 mainitse lainkaan. Standardissa on mainittu vain poraustesti sekä erilaisia punnuslyöntejä sekä sahaustesti ja vastaavia. Standardin sisällöstä ja sen puutteista kuitenkin tarkemmin tulevassa artikkelissa lukkojen testauksesta ja hyväksynnästä.

Poliisi TV näytti myös "murto-ohjeita" YouTubesta, joissa siis oli videoitu naurettavien tappihaittalukkojen tiirikointia. Ensinnäkin kyseisiä lukkoja ei Suomessa yleisesti ole oikein missään käytössä ja nekin tappihaittaiset mitä löytyvät, ovat hintaluokaltaan suht kalliista päästä ja sisältävät monia muita turvaominaisuuksia, jotka tekevät niiden tiirikoinnista suht hankalaa. Toisekseen Poliisi TV näytti lyhyen pätkän Abloy ovilukon murtamisesta porakoneella, mutta ei liene kenellekään yllätys, että lukot aukeavat isoilla työkaluilla lukon tuhoten.

Summa summarum, jakson sisältö näiden "murto-ohjeiden" osin oli aikamoista populismia, sillä 'kaikki' tietävät että lukot aukeavat kun on tarpeeksi iso leka ja ne lukot jotka aukeavat tiirikoimalla ovat Suomessa (onneksi) harvinaisempia lukkoja. Murtotilastoista voitaneen todeta samaa, eli kättä pidempää ja vahvempaa on lähes aina käytetty sisään pääsemiseksi tai sitten alkuperäistä avainta, joka on aiemmin viety tai kopioitu. Yleensähän murrot ovat hetken mielijohteesta tai tilaisuuden synnyttäminä tehtyjä ja suunnitelmallisemmat keikat ovat harvinaisempia.

Ainoa positiivinen jakson antimista oli Finanssialan Keskusliiton turvallisuusasiantuntija Aku Pänkäläisen haastattelu, jossa Pänkäläinen totesi, että "pellepelottomia" (viitaten ymmärrettävästi tiirikointiharrastajiin) tarvitaan lukkojen testaukseen, jotta ongelmat löytyisi ja että valmistajat tekisivät parempia tuotteita. Hän myös totesi, että kuitenkin kannattaa miettiä mitä julkaisee aiheen tiimoilta ja olen asiassa harvinaisen samaa mieltä. Paras tapa on ilmoittaa valmistajalle ongelmasta, mahdollisesti tarjota ratkaisua ongelmaan ja tämän jälkeen antaa valmistajalle aikaa korjata ongelma, ennen kuin asiasta julkisemmin kirjoittaa/puhuu.

11 kommenttia:

Vesa Linja-aho kirjoitti...

Tietotekniikassa termi "security through obscurity" lienee enemmistölle tuttu, mutta lukkopuolella ilmeisesti ei.

Ainakin näin luulisin tuon Poliisi-TV:n jakson perusteella: ihmiset pitävät jotenkin normaalina sitä, että lukon "saa auki jollain vippaskonstilla, jonka tietää vain lukkoseppä". En ainakaan näe muuta syytä siihen, miksi netistä löytyvät "murto-ohjeet" olisivat jotenkin paheksuttava juttu.

Tietokonekin kaipaa turvapäivityksiä, mikseivät asuntojen lukotkin.

Anonyymi kirjoitti...

Enpä usko, että ammattilukkoseppä käyttää noin järeää menetelmää. Onhan siinä tosin aluksi vastassa teräksinen avainpesäkuppi, mutta kun se on puhkaistu, voisi vaihtaa millin-puolentoista paksuiseen poraan. Ei tulisi ihan noin rumaa jälkeä.

Jaakko Fagerlund kirjoitti...

Vesa osuu kyllä naulankantaan tuolla kommentillaan. Ainakin tiirikointiharrastajien keskuudessa tuo "security through obscurity" on tuttu, eli ei suostuta esimerkiksi kertomaan mitä lukko pitää sisällään "turvallisuussyistä" tai väitetään jotakin, mitä ei edes yritetä todistaa mitenkään.

Onhan se tietysti yksi turvallisuuskerros lisää, kun ei kerrota esimerkiksi RFID-kortin protokollasta tai salauksesta mitään, mutta toisaalta silloin se yleensä kertoo myös siitä, että algoritmissa/protokollassa on jotakin mätää eikä se kestä tarkempaa tutkimista.

Hyvä esimerkki tällaisesta on Mifare-salausalgoritmi, joka selvitettiin purkamalla fyysisesti siru ja tutkimalla sen logiikkakaavio läpi ja hetkeä myöhemmin salaus murrettiin, koska se oli ns. talon sisäinen tekele.

Jos kerran lukkoyhtiöt luottavat tuotteidensa tarjoamaan turvallisuuteen, tulisi ne tuotteet olla avoimia esimerkiksi lähdekoodiensa osalta (esimerkiksi CLIQ teknologia, jota Abloykin käyttää) ja keskustelun pitäisi olla avointa myös mekaanissa lukoissa.

Tämä on yksi syy miksi blogiani kirjoitan ja tiirikointia/lukkoja harrastan: Etsin ongelmia ja ratkon niitä, mutta jos ammattilaisia tai yhtiötä ei kiinnosta, ongelmista on hyvä kertoa julkisuuteen, jotta ihmiset osaisivat varoa viallisia tuotteita.

Ihmiset tuudittautuvat turvallisuuden tunteeseen, jonka lukot tuo, vaikka eivät tiedä edes miten lukko toimii tai mitä ongelmia siinä mahdollisesti on.

Tietokonemaailmassa samaa tekevät hakkerit, eli tutkivat asioita mielenkiinnosta ja ratkaisevat ongelmia, joihin myöhemmin ilmestyy päivityksiä. Lukkojen kanssa voi tehdä samoin, mutta päivitys ei onnistu vain "pistämällä jakoon" uusi turvallisuuspäivitys bitteinä nettiin, koska on kyse fyysisistä esineistä ja asioista ja sellaisen päivitys vaatii rahaa. Harva yhtiö edes tiedottaa asiakkailleen pienistä havaituista ongelmista; hiljaa taustalla vaihdetaan osa toiseksi ja toivotaan, että kukaan ei huomaa tai nosta asiaa esille.

Anonyyymi, en tiedä kuka tuon videon on kuvannut jonka linkitin, enkä itse ole perehtynyt lukkojen tuhoamiseen niiden auki saamiseksi sen kummemmin, joten en voi kommentoida tarkemmin.

Tiedän kyllä, mistä pitää porata ja miksi, mutta jätän tällaiset mieluummin työkseen avauksia tekeville (vai pitäisikö sanoa vaihtoja tekeville, porattu kun on lopullisesti entinen).

Anonyymi kirjoitti...

Mielenkiintoista tosiaan, että netti on väärällään videoita ja tietoa tappihaittalukkojen tiirikoinnista, mutta Abloy-lukoista esitetään lähinnä, miten se murretaan mahdollisimman nopeasti.

Anonyymi kirjoitti...

No ei se ohjelma ihan hukkaan onneksi mennyt, kun itsekin löysin tälle palstalle ohjelman innoittamana
;)

Aika outoa, että TV näyttää lupaa kysymättä videoita.
Lienee niin, että yksityinen katselu vs. materiaalin luvaton lainaaminen ja julkinen esittäminen ovat eri asioita.

Erinomainen palsta ja kerrankin rehelliselläkin ihmisellä mahdollisuus saada tietoa, mikä auttaa suojautumaan rikollisia vastaan oikeilla menetelmillä ja lukoilla. Venkulathan nuo murtokonstit oppivat jo valtion täysihoidossa.

Onko palstalla jo tai voisiko saada vaikka osion suositeltavista lukoista eri kategorioissa. Eli ne mallit mitkä Blogin pitäjän mielestä ovat omassa luokassaan hyviä?

Jaakko Fagerlund kirjoitti...

Hei ja kiitos kommenteista! :)

Lukkosuosituksia on usein minulta kysytty sähköpostitse ja olenkin miettinyt, että voisi aiheesta artikkelin kirjoittaa. Ongelmana on lähinnä lukkojen luokittelu ja se, että tällainen suositus/luokittelu on vain subjektiivinen näkemys ko. lukoista.

Kaikkihan tietysti aukeaa, kun on tarpeeksi iso leka, mutta voisin tosiaan listan kerätä siten, että painoarvona olisi lukon tiirikointi, koska tiirikointia ei lukosta päälle päin näe, mutta murtojäljet kyllä näkee (eli sanka poikki tmv.).

Näin etukäteen voisi todeta, että listan kärkisijoille tulee Abloy, BiLock ja Kaba ja loput sijat jakautuu sitten suht lukkokohtaisesti. Tarkemmin sitten artikkelissa :)

Anonyymi kirjoitti...

Kirjoitit Jaakko "Paras tapa on ilmoittaa valmistajalle ongelmasta, mahdollisesti tarjota ratkaisua ongelmaan ja tämän jälkeen antaa valmistajalle aikaa korjata ongelma, ennen kuin asiasta julkisemmin kirjoittaa/puhuu."

Jos ajatellaan esimerkiksi jotain lukkoa, joka on satojen tuhansien rakennusten "suojana", niin mikä olisi mielestäsi sopiva aika antaa valmistajan korjata ongelma?

Jaakko Fagerlund kirjoitti...

Hei

Paha sanoa mitään yksittäistä lukemaa, kaikki riippuu niin paljon tilanteesta, eli kuinka vakava ko. ongelma on (vrt. ASSA Evo, Medeco, ABUS Plus) ja kuinka helppo se on korjata.

Mikäli kyseessä olisi esimerkiksi ASSA Evon tyyppinen ongelma, eli avainpesä voidaan kokonaan ohittaa operoimalla pienellä työkalulla lukkorunkoa, niin en aiheesta puhuisi hirveän julkisesti muuta kuin neuvoen asentamaan murtosuojaraudan tai ottamaan yhteyttä valmistajaan ja kysymään heidän neuvoa.

ABUS Plus tapauksen yhteydessä kyse oli kokonaisen tuoteperheen ongelmasta, mutta ongelman korjaukseksi riitti yhden työvaiheen jättäminen pois. Lisäksi ongelma oli sellainen luonteeltaan, että sitä ei voinut hyödyntää ilman erityisiä työkaluja, joten se ei ollut niin vakava. Tässä tapauksessa valmistaja reagoi miltei heti ja asia pidettiin ei-julkisena puoli vuotta.

Huomattavastihan se lyhentää valmistajan aikaa/vaivaa, jos ongelmaan on heti tarjota ratkaisumalleja, jolloin korjaus saadaan nopeasti tehtyä. Tästä esimerkkinä Medeco ja heidän BiAxial tuote, jonka ongelmaan oli olemassa ratkaisu. Ko. tuotteita on Yhdysvalloissa käytössä hyvin paljon turvallisuuskohteissa kuten meillä Abloyta joka paikassa, joten ongelma kosketti monia. Lisäksi ongelman hyödyntäminen vaati vain yhden työkalun, joten kyseessä oli suurempi ongelma. Peter Field (tuotekehitysosaston päällikkö) toimi asiassa avoimesti ja työskenteli yhdessä lukkoharrastajien kanssa ongelman selvittämiseksi ja aikaa taisi vierähtää noin puoli vuotta ei-julkisena.

Lukkojen kanssa ongelma on juurikin se, että niitä ei voida päivittää samalla tapaa (helposti ja halvalla) kuten ohjelmistoja, vaan jonkun täytyy erikseen käydä uusimassa esimerkiksi lukko, eikä se varmasti onnistu omatoimisesti kaikilta, varsinkin jos ratkaisumalli vaatii uudet sisuskalut (vrt .Medeco). Murtosuojaraudan asennus sen sijaan onnistunee liki kaikilta, jotka osaavat seurata ohjeita ja käyttää ruuvimeisseliä

Joten vastatakseni kysymykseesi: Riippuu ongelman luonteesta. Puoli vuotta on sellainen suht järkevä minimi, koska teollisuus on kuin pirun iso laiva manuaaliohjauksella; uuden kurssin kääntäminen (tuotannon/varaston vaihto) on aikaa vievä prosessi.

Anonyymi kirjoitti...

Pankit, vakuutusyhtiöt ja valtiot palkkaavat tietoturva-asiantuntijoikseen ihmisiä, jotka ovat onnistuneet hakkeroitumaan ko. järjestelmiin. Jos siis löydät esim. abloyn lukosta puutteen, niin kannattaa laittaa sen kuvaus CV:n liitteeksi, tai sitten CV palautteen liitteeksi. Miten päin vaan. :) Paperit vetämään abloylle.

Jaakko Fagerlund kirjoitti...

"Pankit, vakuutusyhtiöt ja valtiot palkkaavat tietoturva-asiantuntijoikseen ihmisiä, jotka ovat onnistuneet hakkeroitumaan ko. järjestelmiin."

Joitakin tapauksia kyllä tiedän, mutta onko Suomessa ainuttakaan henkilöä, joka olisi palkattu ko. syystä?

"Jos siis löydät esim. abloyn lukosta puutteen, niin kannattaa laittaa sen kuvaus CV:n liitteeksi, tai sitten CV palautteen liitteeksi. Miten päin vaan. :) Paperit vetämään abloylle."

Sanoisin, että yrityksiä enemmänkin kiinnostaa ratkaisu ongelmaan ja tästä voivat maksaakin, mutta että palkkaisivat..hieman epäilen, mutta onhan sekin mahdollista.

Anonyymi kirjoitti...

Tuskin ainakaan Abloylta vakituista työtä irtoaa, mutta ulkopuolisia konsultteja tiedetään tuotekehityksen apuna käytetyn.