0:00:00.000,0:00:03.250
[Translated by Sampsa Suvivuo [br](KYBS2001EN23K2 course assignment at JYU.FI)]

0:00:03.250,0:00:07.200
<i>35c3 alkumusiikki</i>

0:00:07.908,0:00:15.565
Johdatus tietoverkkoturvallisuuteen

0:00:19.415,0:00:25.451
Seuraavan esityksen "Johdatus [br]tietoverkkoturvallisuuteen" pitää nomaster.

0:00:25.630,0:00:38.304
Nomaster on osa Chaosdorfia, aktiivinen jäsen [br]ja lähestyy ongelmia käytännönläheisesti.

0:00:38.480,0:00:45.106
Uskon että saamme käytännönläheisen[br]johdatuksen tietoverkkoturvallisuuteen.

0:00:45.540,0:00:46.990
Tervetuloa, nomaster.

0:00:51.750,0:00:56.814
Kiitos. Tämä on ensimmäinen puheeni[br]kongressissa ja olen niin innoissani, että

0:00:56.814,0:01:06.162
toivon pysyväni kasassa. Olen iloinen, [br]että olette täällä. Minua pyydettiin

0:01:06.182,0:01:09.534
pitämään esitys, joka on mahdollisesti [br]enemmän aloittelijoille suunnattu.

0:01:09.564,0:01:17.890
Toivon, että voitte nauttia esityksestä [br]ja pysytte kyydissä, mutta ettette myöskään

0:01:18.015,0:01:23.149
ole kuullut kaikkea jo aiemmin. [br]Katsotaan miten sujuu.

0:01:25.899,0:01:35.815
Ajatus on antaa käytännöllisiä esimerkkejä[br]tietoverkkoturvallisuuden ongelmista.

0:01:36.794,0:01:44.884
Saamme paljon kyselyjä, onko tähän verkkoon[br]turvallista yhdistää? Yleensä vastaus on,

0:01:45.454,0:01:51.245
ettei verkko itsessään ole turvallinen. [br]Sinun järjestelmäsi ja kannettavasi tulisi

0:01:51.245,0:01:52.988
olla turvallisia.

0:01:52.988,0:01:59.832
Mikä on realistinen esimerkki, mitä voisi[br]tapahtua? Sen haluan näyttää teille ja

0:02:00.516,0:02:05.564
minulla on kolme esimerkkiä sitä varten. [br]Toivottavasti saatte oivalluksia.

0:02:06.014,0:02:07.271
<i>Verkkopino</i>

0:02:07.283,0:02:13.482
Tarvitsemme hieman pohjustusta [br]ennen kuin aloitamme. Tässä on

0:02:13.520,0:02:20.938
yliyksinkertaistettu verkkopino. Kuten olette [br]voineet kuulla, verkkopino perustuu kerroksiin.

0:02:21.514,0:02:27.640
Jokaisella tietokoneella on MAC-osoite, joka ei[br]liity millään tavalla Applen tuotteisiin.

0:02:29.488,0:02:32.896
Lisäksi on IP-osoite.

0:02:34.705,0:02:40.318
Näiden päällä meillä on sovellus, joka [br]käyttää TCP tai UDP sockettia ja sille

0:02:40.318,0:02:43.855
määriteltyä protokollaa kuten HTTPS.

0:02:44.867,0:02:49.094
Millä on merkitystä meille ovat nämä kaksi [br]kerrosta tässä (TCP/IP), koska tämä on

0:02:49.094,0:02:53.680
käyttämäsi verkko ja sen toimintaan [br]osallistuvat protokollat.

0:02:53.680,0:03:00.265
Muu on osa järjestelmää, käyttäjän laitetta[br]tai palvelinta ja mihin data virtaa. Mitä

0:03:02.482,0:03:11.804
haluamme saavuttaa on, ettei kukaan muu [br]pääse käsiksi sovellukseen kuin käyttäjä

0:03:11.840,0:03:12.751
ja palvelin.

0:03:13.206,0:03:18.050
Yksityisyytesi on vaarassa, kun kolmansilla [br]osapuolilla on pääsy sovellukseen.

0:03:20.647,0:03:22.919
Voimme puhua HTTPS:stä myöhemmin.

0:03:25.887,0:03:32.640
Jotta olisimme samalla sivulla, helppo [br]esimerkki. IP-osoite IPv4-muodossa,

0:03:32.958,0:03:42.440
esimerkiksi kotireitittimen, ja IPv6-muodossa, [br]joka on vain pidempi ja usein kirjoitettu

0:03:42.691,0:03:52.494
heksadesimaalina. Sitten on MAC-osoite eli [br]jokaiselle tietokoneelle uniikki osoite verkossa.

0:03:52.962,0:03:56.482
Tavanomaisesti tämä on "poltettu" laitteeseesi. [br]Käynnistyessään tietokoneesi käyttää

0:03:56.902,0:04:04.302
MAC-osoitettaan verkon kanssa viestimiseen[br]ja esimerkiksi IP-osoitteen saamiseksi.

0:04:05.287,0:04:07.898
Pahoja asioita voi tapahtua tässä kohtaa.

0:04:09.455,0:04:11.507
<i>ARP-väärennös</i>

0:04:11.574,0:04:14.052
Ensimmäinen esimerkki on ARP-väärennös. [br]Kuka on kuullut siitä?

0:04:16.624,0:04:23.078
Eli ei mitään mieltä selittää sitä. [br]Luulen, ettei takarivi nostanut käsiään.

0:04:25.017,0:04:33.566
Yleensä pidän valkotauluista. Minulla ei [br]ole sellaista täällä, joten tein koneellani

0:04:34.001,0:04:36.917
viime yönä muutaman. Toivottavasti [br]pystytte lukemaan ne. Käsialani on huono.

0:04:37.418,0:04:44.135
Käytämme ARP-protokollaa selvittämään[br]IP-osoitetta vastaavan MAC-osoitteen.

0:04:48.185,0:04:51.552
Kuten tiedätte, kerroin sen juuri, [br]MAC-osoite on "poltettu" laitteeseen ja

0:04:52.494,0:04:59.837
IP-osoite, jota tietokone käyttää verkon [br]kanssa viestimiseen, määritetään laitteelle erikseen.

0:05:00.572,0:05:06.204
Tarvitsemme tämän osoitteen pakettien [br]lähettämiseksi koneellesi. Paketin täytyy

0:05:06.671,0:05:12.232
todennäköisesti matkustaa maailman ympäri [br]saavuttaakseen määränpäänsä. Tämän takia

0:05:12.480,0:05:15.338
meillä on kaksi täysin erilaista osoiteavaruutta.

0:05:15.899,0:05:22.189
Yksi, joka antaa tietokoneellesi aina [br]käytetyn uniikin osoitteen eli MAC-osoitteen.

0:05:22.734,0:05:29.217
Ja toinen, IP-osoite, joka on aina yksilöllinen sijainnillesi.

0:05:31.235,0:05:35.185
Nopeimmat tajusivat, ettei IPv4-osoite, [br]jonka näytin aiemmin, ole todellisuudessa

0:05:35.248,0:05:37.852
uniikki, mutta yksinkertaistamme asioita.

0:05:40.655,0:05:50.352
Paikallisverkossa reitittimesi on välitettävä[br]paketit tietokoneellesi. Voidakseen tehdä

0:05:51.328,0:06:00.510
sen, tietokoneen MAC-osoitteeseen kytketyn [br]IP-osoitteen, johon paketti lähetettiin, on

0:06:00.510,0:06:02.322
oltava reitittimen tiedossa.

0:06:02.368,0:06:07.617
Tässä tapauksessa asiakasohjelma kysyy [br]reitittimen IP-osoitetta. Se lähettää

0:06:07.867,0:06:15.433
broadcast-viestin verkolle ARP-taulukon[br]kautta kysyen "Kenellä on IP-osoite?"

0:06:16.400,0:06:20.367
Reititin vastaa IP-osoitteen olevan sen[br]MAC-osoitteessa.

0:06:20.577,0:06:30.453
Jos katsotte tarkkaan, reititin lähettää [br]paketin sanoen IP-osoitteen olevan tässä

0:06:30.513,0:06:32.822
MAC-osoitteessa. Pysyttekö mukana?

0:06:35.705,0:06:45.090
Jos joku yrittää varastaa liikennettänne, [br]nämä voivat lähettää vastauksen sanoen

0:06:45.389,0:06:51.839
"Joku kysyi reitittimen MAC-osoitetta", ja[br]MAC-osoite on heidän osoitteensa. He

0:06:52.572,0:07:01.923
lähettävät oman väärennetyn MAC-osoitteensa[br]verkolle, jolloin asiakasohjelma oppii

0:07:02.404,0:07:12.955
osoitteen ja lähettää paketit hyökkääjälle.[br]Katsomme tätä hyökkääjän näkökulmasta.

0:07:14.655,0:07:24.539
Asiakasohjelman ongelma on, että se näkee[br]vain tavanomaisen datavirran. Asiakasohjelma

0:07:25.121,0:07:32.105
lähettää datan hyökkääjälle, joka välittää[br]liikenteen reitittimelle ja takaisin. Näin

0:07:32.838,0:07:42.168
ollen, hyökkääjä voi tarkkailla verkossa tapahtuvaa liikennettä.

0:07:48.076,0:07:53.924
Luonnollisesti, jos saat kaapattua paketin,[br]pystyt muokkaamaan sitä. Tämä on hyvin

0:07:54.608,0:08:03.991
perinteinen verkkohyökkäys. Kun tiedätte,[br]miten se toimii, pystytte toivottavasti

0:08:04.358,0:08:14.775
myös estämään sen. Tämän päivän [br]verkkokytkimissä on turvaominaisuuksia,

0:08:15.360,0:08:20.441
mutta teidän on oltava tietoisia, että [br]kaikissa verkoissa näin ei aina ole. Jokainen

0:08:21.007,0:08:25.558
kohtaamanne verkko on luultavasti [br]haavoittuvainen tämän kaltaiselle hyökkäykselle.

0:08:28.075,0:08:31.025
<i>DNS-kaappaus</i>

0:08:31.043,0:08:34.013
Seuraavaksi DNS-kaappaus.

0:08:34.615,0:08:41.768
Tämä hyökkäys tapahtuu toisella verkon[br]kerroksella perustuen DNSään.

0:08:42.383,0:08:49.917
DNS yhdistää isäntänimen (hostname) [br]IP-osoitteeseen, joten meillä on tässä

0:08:50.182,0:08:54.916
uusi kerros. Ei IP:stä MAC-osoitteeseen[br]vaan isäntänimestä IP-osoitteeseen.

0:08:55.217,0:09:00.018
Tämä mahdollistaa samankaltaisen [br]hyökkäyksen, muttei vain paikallisverkossa

0:09:00.400,0:09:04.316
vaan myös jokaiselle isäntänimelle [br]internetissä.

0:09:05.682,0:09:13.650
Yritämme päästä käsiksi DNS-serverin [br]IP-osoitteeseen. Tavallisesti asiakasohjelma

0:09:14.017,0:09:20.966
kysyy osoitetta DNS-serveriltä, johon se [br]yrittää yhdistää. Tässä tapauksessa

0:09:21.284,0:09:27.249
IPv4-osoitteeseen, jonka DNS-palvelin[br]palauttaa.

0:09:28.050,0:09:32.883
Asiakasohjelma yhdistää serveriin ja saa[br]vastauksen takaisin. Päivänselvästi,

0:09:33.199,0:09:40.799
jos saamme haltuumme DNS-serverin [br]osoitteen, voimme tehdä kuten viimeksi.

0:09:41.168,0:09:45.318
Emme voi lähettää MAC-osoitettamme, koska[br]emme ole samassa lähiverkossa, mutta

0:09:45.616,0:09:48.749
voimme lähettää oman IP-osoitteemme, johon[br]asiakasohjelma ottaa yhteyttä.

0:09:49.100,0:09:50.967
Mikä tahansa isäntänimi internetissä.

0:09:51.799,0:09:58.433
Sitten asiakasohjelma lähettää, vastaamme [br]omalla IP-osoitteellamme, liikennettä

0:09:58.849,0:10:06.899
meidän kauttamme. Välitämme liikenteen [br]serverille ja näemme, jokaisen kyselyn.

0:10:08.166,0:10:15.866
Emme näe serveriltä asiakasohjelmalle [br]menevää liikennettä. Se vaatisi palvelimen

0:10:16.168,0:10:18.550
haltuun ottamista.

0:10:18.867,0:10:25.301
Muistakaa, ettei liikenteen sisältö ole [br]välttämättä hyökkääjää kiinnostavaa.

0:10:25.849,0:10:32.600
He haluavat tietää, mitä osoitteita pyydät. [br]Monet yksityisyysongelmat juontuvat

0:10:32.883,0:10:40.916
pakettien metadatasta. Tosin tässä [br]tapauksessa muu data on kiinnostavampaa.

0:10:40.916,0:10:43.665
Eli mitä isäntänimeä pyydät.

0:10:43.930,0:10:48.176
Voitte kuvitella joidenkin isäntänimien[br]olevan pahempia paljastaa kuin toiset.

0:10:53.144,0:10:55.143
<i>Valvomaton/villi yhteyspiste</i>

0:10:55.578,0:10:58.109
Siinä oli esimerkit tavanomaisista [br]verkoista.

0:10:58.393,0:11:03.205
Saamme myös paljon kyselyitä [br]yhteyspisteistä.

0:11:03.415,0:11:06.043
Ne ovat monimutkaisempi kuvio.

0:11:08.133,0:11:17.166
Kun yhdistämme tietokoneen kytkimeen, [br]otamme kaapelin ja yhdistämme sen kytkimeen.

0:11:17.583,0:11:22.733
Tietokone on kytketty siihen kytkimeen. [br]Langaton järjestelmä toimii hyvin samalla

0:11:23.599,0:11:31.076
tavalla. Insinöörit kehittivät wifin [br]toimimaan langattomana ethernettinä.

0:11:31.638,0:11:38.807
Eli se toimii aivan kuten yhdistäisin [br]tietokoneeni kytkimeen, mutta kytkimen

0:11:39.096,0:11:41.818
sijaan se on yhdistetty yhteyspisteeseen.

0:11:43.535,0:11:49.951
Tietokoneeni valitsee automaattisesti [br]yhteyspisteen, johon muodostaa yhteys.

0:11:52.219,0:11:58.652
Ikään kuin minulla olisi avustaja, joka[br]yhdistäisi johdon kytkimestä toiseen

0:11:59.002,0:12:07.801
liikkuessani, jottei minun tarvitse välittää[br]asiasta, kunhan yhteys pysyy päällä.

0:12:10.101,0:12:15.426
Kun ajattelemme asiaa näin, voimme[br]nähdä ongelmia.

0:12:16.926,0:12:23.426
Mitä meidän on tiedettävä ensin on, [br]että verkko tunnistetaan SSID:llä.

0:12:24.159,0:12:32.876
Eli tiedän, mihin kytkinten ryhmään haluan[br]yhdistää. Konferenssin verkko on

0:12:33.824,0:12:37.075
nimeltään 35C3 Network" ja olette [br]todennäköisesti valinneet jonkin siistin

0:12:37.443,0:12:39.058
nimen kotiverkollenne.

0:12:40.576,0:12:49.775
Kotiverkossanne on yksi yhteyspiste ja [br]täällä meillä on satoja. Tietokoneenne

0:12:50.108,0:12:59.708
vaihtaa yhteyspistettä jatkuvasti. [br]Estääksemme naapureitasi liittymästä

0:13:00.009,0:13:03.110
verkkoosi, käytämme salausprotokollia.

0:13:03.558,0:13:10.291
Aiemmin oli WEP, joka on suoraan [br]sanottuna rikki ja vanhentunut. Tänä

0:13:10.742,0:13:17.259
päivänä meillä on WPA-protokolla, joka[br]hyödyntää ennakkoon jaettua avainta,

0:13:17.542,0:13:23.375
wifi-salasanaa. Tavanomaisesti menet [br]naapurisi tai kaverisi luokse tai kahvilaan

0:13:23.975,0:13:28.274
ja pyydät heiltä wifin salasanaa.

0:13:30.690,0:13:38.574
Yksi ongelma on, että se vain estää muita[br]tahoja käyttämästä verkkoasi. Jokainen,

0:13:38.701,0:13:45.310
jolla on hallussa ennakkoon jaettu avain,[br]pystyy yhdistämään verkkoosi ja mahdollisesti

0:13:45.910,0:13:50.359
purkamaan liikenteen salauksen.

0:13:52.859,0:14:01.993
Toinen ongelma on, että voin asettaa [br]toisen yhteyspisteen, jolla on sama SSID,

0:14:02.676,0:14:07.343
kuin olemassa olevalla verkolla. Se ei ole[br]kuitenkaan virallinen yhteyspiste.

0:14:09.516,0:14:15.404
Mitä tapahtuu seuraavaksi on, että käyttäjä[br]yhdistää yhteyspisteeseeni, esimerkiksi

0:14:16.004,0:14:25.537
koska yhteys on vahvempi. Hyökkääjä [br]voi siirtää pistettä lähemmäksi kohdetta ja

0:14:26.572,0:14:37.023
lähettää saman SSID:n kuin oikea yhteyspiste. [br]Käyttäjä ottaa yhteyden väärään yhteyspisteeseen

0:14:37.422,0:14:41.605
ja lähettää liikennettä sen kautta. [br]Ja totta kai myös vastaanottaa.

0:14:43.555,0:14:48.371
Voisit tehdä sen tässä verkossa. [br]Pyydämme painokkaasti, ettet tee niin.

0:14:49.989,0:14:55.669
Yksi syy, miksi emme halua liian monia [br]yhteyspisteitä ja kanavia tänne.

0:14:56.170,0:15:00.721
Toinen on, ettei sinun pitäisi hyökätä [br]toisten ihmisten tietokoneisiin.

0:15:01.372,0:15:07.988
Selitän miten tämä toimii, jotta voitte[br]estää sen. Onko selvä?

0:15:14.137,0:15:19.370
Tässä kongressissa meillä on käytössä [br]yrityskäyttöön tarkoitettu järjestelmä,

0:15:19.721,0:15:23.406
joka käyttää ylimääräistä salauskerrosta[br]estämässä teitä tekemästä niin.

0:15:25.704,0:15:31.269
Yhteyspiste tarvitsee sertifikaatin[br]todistaakseen, että se on virallinen yhteyspiste.

0:15:33.003,0:15:37.304
Mitä tapahtuu seuraavaksi on, että [br]tietokoneesi tarkastaa salaustekniikan

0:15:37.652,0:15:46.553
avulla, että yhteyspiste on oikea. Kun[br]kytket Android-sovelluksesi langattomaan

0:15:46.819,0:15:55.811
verkkoon täällä, vain virallisella [br]yhteyspisteellä on sovelluksessa

0:16:05.225,0:16:07.907
oleva sertifikaatti. Tietokoneesi eli tässä[br]tapauksessa älypuhelimesi,

0:16:07.907,0:16:10.760
varmistaa automaattisesti yhteyspisteen[br]aitouden.

0:16:11.693,0:16:14.277
Kannettavallasi sinun on tehtävä tämä käsin.

0:16:15.442,0:16:22.110
Kokeilkaa sitä. Menkää Wikiin. Sieltä löytyy[br]tiedot yhteyden konfiguroimiseksi.

0:16:22.459,0:16:25.709
Hieman kättelyprotokollaa, [br]hieman salaustunnelointia.

0:16:26.092,0:16:31.644
Domain nimi, sertifikaatin tunniste. [br]Ja voit sanoa,

0:16:32.476,0:16:36.244
"varmista sertifikaatin olevan virallinen."

0:16:36.793,0:16:43.426
Vasta sitten tämä hyökkäys ei toimi enää.[br]Kotonasi sinulla ei todennäköisesti ole

0:16:43.777,0:16:48.743
yritystason autentikaatiojärjestelmiä, [br]joka tarvitsee serverin ja joka

0:16:49.093,0:16:54.410
pitää konfiguroida. [br]Tavallisesti kotiverkoilla ei ole näitä.

0:16:54.943,0:17:05.476
Tulevaisuudessa WPA3 tuo vastaavanlaisen[br]suojan.

0:17:05.519,0:17:07.014
<i>Yhteenveto</i>

0:17:07.149,0:17:07.866
Mitä on tehtävissä?

0:17:09.990,0:17:11.522
Suositukseni sinulle.

0:17:12.090,0:17:18.723
Varmista, että sinulla on perustiedot [br]protokollista ja standardeista.

0:17:20.173,0:17:28.674
Tutki netissä RFC:eitä, Request For Comments,[br]protokolladokumentteja, jotka kertovat,

0:17:29.041,0:17:36.406
miten ne oikeasti toimivat. Kun luet ne [br]huolella, opit samalla,

0:17:36.824,0:17:40.774
mikä kaikki voi mennä vikaan.

0:17:43.990,0:17:57.639
Internetistä löytyy runsaasti esitelmääni[br]selkeämpiä selostuksia näistä ja monista

0:17:57.718,0:18:02.519
muista asioista. Nämä antavat laajemman[br]käsityksen siitä, miten asiat toimivat.

0:18:04.172,0:18:07.452
Tämä antaa myös näkemystä itsesi [br]suojelemiseen.

0:18:09.467,0:18:16.668
Jos haluat tehdä vain sen, käytä HTTPS:ää, [br]joka on turvallinen protokolla sovellukselle.

0:18:17.568,0:18:23.186
Eli asiakasohjelma varmistaa, että se on yhteydessä[br]oikeaan palvelimeen ja salaa liikenteen.

0:18:24.851,0:18:30.619
Suurin osa liikenteestäsi ei ole havaittavissa,[br]vaikka nämä hyökkäykset olisivatkin käynnissä,

0:18:32.318,0:18:34.885
mikä on tärkeää.

0:18:36.567,0:18:39.801
Salattu HTTPS-liikenne on onneksi [br]lisääntynyt kiitos Let's Encrypt

0:18:40.103,0:18:44.020
organisaation ja olemme kiitollisia siitä

0:18:46.619,0:18:55.484
Halutessasi voit kokeilla oman yritystason[br]WPA-autentikointijärjestelmän luomista.

0:19:01.412,0:19:08.245
Käytännönläheisempi asia kannettavallasi[br]kongressin verkossa on tarkastella

0:19:08.561,0:19:15.262
liikennettä sudo tcpdump -komennolla ja [br]näet pakettien virtavaan sisään ja ulos

0:19:15.728,0:19:17.393
kannettavastasi.

0:19:19.194,0:19:24.377
Voit tarkistaa pakettien käyttämän reitin[br]traceroute ohjelmistolla tai

0:19:24.661,0:19:28.160
kehittyneemmällä mtr:llä.

0:19:30.344,0:19:34.094
Voit oppia paljon käyttämällä Scapyn [br]kaltaista ohjelmaa.

0:19:35.011,0:19:39.744
Suosittelen. Se on yksinkertainen python[br]komentotulkki, jonka avulla voit väärentää

0:19:40.178,0:19:45.278
paketteja. Voit luoda paketin, jolla on [br]tietty lähtöosoite ja määränpää ja näyttää

0:19:45.643,0:19:47.944
tietynlaiselta.

0:19:49.112,0:19:52.661
Kunnioittakaa muita. [br]Olkaa mainioita toisillenne.

0:19:53.393,0:19:59.061
Käyttäkää näitä työkaluja oppiaksenne [br]kuinka liikenne järjestelmienne välillä

0:19:59.661,0:20:02.994
tai mahdollisesti ystävänne järjestelmään [br]toimii.

0:20:03.511,0:20:06.827
Kokeile yhdessä muiden paikallaolijoiden[br]kanssa.

0:20:09.228,0:20:10.894
Toivottavasti sain herätettyä [br]mielenkiintonne.

0:20:12.437,0:20:18.865
Aikani on lopussa eikä meillä [br]valitettavasti ole aikaa kyselyosiolle.

0:20:18.967,0:20:21.455
Kiitos.

0:20:51.890,0:20:57.205
<i>35c3 loppumusiikki</i>

0:20:58.839,0:21:02.972
[Translated by Sampsa Suvivuo[br](KYBS2001EN23K2 course assignment at JYU.FI)]