ÄûÃʵ¼º½

Uutiset

Vaivaton tietoturva on altis vihamielisille hyökkäyksille

Julkaistu:
Tutkijat löysivät haavoittuvuuksia uudesta ZEBRA-käyttäjäntunnistusjärjestelmästä.
Turvallinen sisään- ja uloskirjautuminen on erityisen tärkeää esimerkiksi sairaaloissa, joissa koneilla on lukuisia käyttäjiä ja niillä käsiteltävät tiedot ovat salaisia.

Teknologiaan perustuvassa yhteiskunnassa tarvitaan salasana melkein kaikkeen pankissa asioimisesta viestintään. Koska salasanojen muistaminen on haasteellista, maailmalla kehitetään innolla helppoja mutta samalla turvallisia sisään- ja uloskirjautumistapoja.

– Tietoturvayhteisö on edistynyt hyvän tunnistautumisjärjestelmien kehityksessä. Silti yhtä aikaa käyttäjäystävällisen ja turvallisen järjestelmän kehittäminen ei ole helppo tehtävä, kertoo University of Alabama at Birminghamin (USA) apulaisprofessori Nitesh Saxena.

Saxena, ja hänen Alabaman ja Aalto-yliopiston kollegansa tietävät, mistä puhuvat, sillä he onnistuivat hiljattain osoittamaan ZEBRAn haavoittuvaisuuden vihamielisille hyökkäyksille. ZEBRA on Dartmouth Collegen tutkijoiden kehittämä helppokäyttöinen tietoturvajärjestelmä, joka pystyy tunnistamaan käyttäjän niin, että tämän tarvitsee nähdä vain vähän tai ei lainkaan vaivaan turvallisen käyttäjäistunnon eteen.

ZEBRA edellyttää jokaisen käyttäjän käyttävän Fitbitin tapaista ranneketta, joka mahdollistaa Bluetooth-yhteyden. Kun käyttäjä kirjautuu laitteeseen ensimmäistä kertaa, järjestelmä muodostaa yhteyden rannekkeeseen. Kun käyttäjä käyttää laitetta, ranneke lähettää mittaustuloksiaan käyttäjän ja laitteen vuorovaikutuksesta laitteelle. Tämän jälkeen laite puolestaan käyttää koneoppimiseen perustuvaa luokittelijaa kuvaamaan nämä toiminnat ennustettujen vuorovaikutusten ketjuna.

– Nyt laitteella on kaksi erilaista näkökulmaa samasta ilmiöstä: suorien vuorovaikutusten ketju ja mittausten perusteella päätelty ennustettujen vuorovaikutusten ketju, kertoo professori N. Asokan Aalto-yliopistosta.

– Jos nämä kaksi ketjua täsmäävät, ZEBRA voi tehdä johtopäätöksen, että kyseisen sisäänkirjautumisistunnon aikana laitetta ja ranneketta käyttää sama henkilö. Jos taas ketjut eroavat toisistaan, ZEBRA voi nopeasti ja automaattisesti kirjata käyttäjän ulos, hän selittää.

Keinotteleva hyökkääjä on vahvoilla

Tekemässään tutkimuksessa tutkijat huomasivat, että järjestelmä toimii erinomaisesti – rehellisillä käyttäjillä. Vihamielisten hyökkäysten edessä se oli kuitenkin melko suojaton. Kokeessa 20 koehenkilöä esitti erilaisia uhrin rooleja samalla, kun tutkijat olivat hyökkääjän roolissa. Hyökkääjät matkivat sitä, mitä uhrit tekivät laitteillaan.

– Halusimme tietää, pystyykö ZEBRAa huijaamaan. Tällä tavoin pystyisimme mittaamaan, kuinka turvalliseksi järjestelmä muodostuisi, mikäli joku yrittäisi aktiivisesti hyökätä käyttäjän avoinna olevaan käyttäjäistuntoon. Havaitsimme, että keinotteleva hyökkääjä pystyy melko helposti käyttämään tunnistautunutta käyttäjää hyväkseen, Saxena kertoo.

Keinotteleva hyökkääjä voi pysytellä lähellä uhria, nähden tai kuullen mitä hän tekee, ja sen perusteella päättää mitä hänen vuorovaikutustaan hän aikoo matkia.

– ZEBRA ei pystynyt kirjaamaan ulos keinottelevaa hyökkääjää, joka oli päässyt kiinni avoimeen istuntoon ja valitsi siellä huolellisesti tekemisensä, Asokan sanoo.

– Itse asiassa keinottelevat hyökkääjät välttivät kiinnijäämisen 40 % ajasta, matkimalla uhria vain silloin, kun he ajattelivat sen onnistuvan.

Vaikka ZEBRA on haavoittuvainen keinottelevien hyökkääjien tapauksessa, se toimii hyvin käyttäjien huolimattomuustilanteissa.

– Käyttäjän tekemisten mallintaminen on vaikeaa. Me osoitamme tutkimuksessa, kuinka riittämätön hyökkääjän mallintaminen voi johtaa vääriin johtopäätöksiin järjestelmän turvallisuudesta. Jos käytettävissä on realistinen malli hyökkääjän toiminnasta, järjestelmän puutteet tulevat paremmin näkyviin ja ne voidaan ratkaista, Asokan painottaa.

Tutkimuksen tekivät yhteistyössä Otto Huhta, Mika Juuti, Swapnil Udar ja N. Asokan Aalto-yliopistosta sekä Prakash Shretsha ja Nitesh Saxena University of Alabama at Birminghamista, ja se esitettiin helmikuussa 2016 Network and Distributed System Security Symposiumissa San Diegossa. Tutkimusta rahoittivat National Science Foundation ja Suomen Akatemia. 

³¢¾±²õä³Ù¾±±ð³Ù´ÇÂá²¹:

Professori N. Asokan
Aalto-yliopiston tietotekniikan laitos
(Secure Systems)
Puh. 050 483 6465
n.asokan@aalto.fi

Linkki julkaisuun: (arxiv.org)

Taustatietoa tutkimuksesta

  • ±Êä¾±±¹¾±³Ù±ð³Ù³Ù²â:
  • Julkaistu:
Jaa
URL kopioitu

Lue lisää uutisia

Henkilö koskettaa suurta kiveä tiilirakennuksen edessä, sinisen taivaan alla.
Kampus, Tutkimus ja taide, Yliopisto Julkaistu:

Glitch-teos haastaa näkemään taiteen eri valossa

Laura Könösen veistos paljastettiin 14.10. Otaniemen kampuksella.
Moderni rakennus, jossa värikäs laatoitettu julkisivu, jossa integroitu aurinkopaneeli. Taivas on kirkas ja vaaleansininen.
Mediatiedotteet, Tutkimus ja taide Julkaistu:

Hiilipohjaiset radikaalit ovat tulevaisuuden aurinkokennoteknologiaa

Kansainvälisen tutkimusryhmän löydös on merkittävä askel kohti kevyitä, joustavia ja energiatehokkaita aurinkokennoja.
Joukko kerääntynyt moderniin rakennukseen isojen ikkunoiden ja puisten yksityiskohtien kanssa, seuraa puhujaa lavalla.
Tutkimus ja taide, Yliopisto Julkaistu:

Aalto ARTS viestii verkostolleen uudella uutiskirjeellä ja avaa keskustelua LinkedInissä

Taiteiden ja suunnittelun korkeakoulu on käynnistänyt uuden Friends of Aalto ARTS -uutiskirjeen sekä avannut oman LinkedIn-sivun.
Mies tummansinisessä paidassa ja mustissa housuissa nojaa ruskeaan kalliomuurin seinään takan lähellä, jossa on kynttilöitä.
Mediatiedotteet, Tutkimus ja taide Julkaistu:

Endurance ei ollutkaan aikansa vahvin laiva ja sen puutteet olivat tiedossa – tutkimusmatkailija Shackletonin aluksen uppoamisesta paljastui uutta tietoa

Uusi tutkimus osoittaa, että tutkimusmatkailija Ernest Shackletonin kuuluisa Endurance-alus ei ollut rakenteellisesti riittävän kestävä ahtojäiden puristukseen. Shackleton myös tiesi aluksen puutteista ennen huonosti päättynyttä matkaansa Etelämantereelle.