Blogi

Kesäloma ja yksityisyys

Löysin itsestäni “loma-asennemiehen“ heti kesäloman alkajaisiksi, mutta en selvinnyt alkua pidemmälle tarkistamatta sähköpostejani.  Postissa odotti viesti, joka laittoi pohtimaan kuinka eri tavoin ihmiset suhtautuvat yksityisyyteensä. Arvelin asian selittyvän ihmisten temperamentieroilla, joten tein ensimmäisen kesälomaviikon kunniaksi lyhyen tutustumiskierroksen ihmisen persoonallisuustyyppeihin.

Nettilähteiden mukaan nykypsykologiassa persoonallisuutta mallinnetaan 16 testattavissa olevalla ominaisuudella, jotka tavataan tiivistää viiteen suureen (Big Five): avoimuus, ulospäinsuuntautuneisuus, sovinnollisuus, tunnollisuus ja neuroottisuus. Näistä muodostuu kullekin oma räätälöity cocktail, persoonallisuusprofiili, jonka avulla voisi mahdollisesti selittää eroja suhtaumisessa yksityisyyteen.

Vaikeaksihan homma meni, mutta onneksi löysin sivuston, jossa asiaa oli mukavasti kaupallistettu ymmärrettävämpään muotoon. Sivuston laatimista 16 profiilista viisi (INFJ INTP ISTP INFP ISFJ) on yksityisyyttä arvostavaa tai vaalivaa. Tasaisella jakaumalla tämä tarkottaisi, että vain 30% ihmisistä on luonteeltaan yksityisyyttä arvostavia. Muutenkin mielenkiintoista on, että sivusto liittää yksityisyydenkaipuun luonteenpiirteen heikkoudeksi.

Tämä selittänee jo jotain, mutta jatketaan.

Ilmainen lounas ja anonyymiä kohdennettua mainontaa

Netti ei ole netti, jos sen palvelut eivät ole ilmaisia. Rajattomien resurssien utopiassa myös palvelimet, nettikaista ja työ on ilmaista. Tässä maailmassa ne kuitenkin rahoitetaan mainoksilla. Mainostajat taas ovat tarkkoja siitä mihin rahansa sijoittavat, joten he kaipaavat yhä tarkempaa kohdentamista: miksi näyttää tila-automainos ydinkeskustassa yksin asuvalle opiskelijalle, kun sen voi näyttää raskaana olevan kolmen lapsen perheen työssäkäyvälle isälle.

Googlen ja Facebookin sekä parin muun online-profilointijätin palvelukuvaukset avaavat asiaa lisää. He tarjoavat mainosten kohdistamiseen demografiadataa kuten sukupuoli ja ikäryhmä, verkostodataa kuten yhdistys- ja some-ryhmäjäsenyydet, elämantilannedataa kuten asumismuoto, perhesuhteet, tuloluokka ja koulutustaso tai kiinnostusryhmädataa kuten äitiystuotteet, autot, matkailu ja syöpälääkkeet. Tilannedatasta esimerkkejä ovat vaikkapa käytössä oleva nettilaite, sen sijainti ja sijaintipaikan säätila.

Alkaa vaikuttaa salakatselulta ja -kuuntelulta… paitsi jos olen leikkiin suostuvainen.

Luvan kanssa vai ilman

Profiilitieto on mainostajalle tarjottuna anonyymia, ei nimettyyn yksilöön kohdistettavissa olevaa tietoa. Sitä ei yleensä luovuteta mainostajille eräajona taikka muuten massana vaan sen avulla liipaistaan teknisesti mainokset palveluiden käytön yhteydessä. Mainostaja ei siis yleensä näe kuka olen.

Tiedot keräävä profiloija taas näkee hyvinkin tarkasti mistä laitteesta data on lähtöisin, jopa mihin sähköpostiosoitteeseen laite on rekisteröity, mikä sen puhelinnumero on, keitä kaikkia laitteen käyttäjä on lisännyt osoitekirjaansa ja mikä laitteen tämän hetkinen sijainti on. Saattaapa samalla mennä lähetettyjen viestien ja otettujen valokuvienkin meta-tiedot osaksi profiloijan big dataa, suurta tietomassaa, jonka perusteella mainostajille tarjotut kohdennusprofiilit muodostetaan. Maailmassa ennen nykyinternettiä kaiken tiedon olisi joutunut kysymään minulta, nyt sen saa automaattisesti käytössäni olevilta laitteilta.

Lähes poikkeuksetta palveluehtojen pikkupräntissä on yleislauseke, jolla käyttäjä antaa luvan laitteen keräämän ja siihen syötetyn tiedon käyttämiseen valmistajan ja profiloijan parhaaksi katsomalla tavalla. Eikä <blink>ilmaista palvelua</blink> tyypillisesti pääse käyttämään ilman ehtojen suoraa tai epäsuoraa hyväksymistä. Mysteeriksi tosin jää mitä tuli hyväksyttyä: mitä kerättävät tiedot ovat, minkälaisia profiileja niiden pohjalta muodostetaan ja minne kaikkialle tiedot leviävät.

Voinko siis antaa luvan kun en voi tietää mihin olen suostumassa?

Yksityisyys ja sen puute

Akateemikot käsittelevät yksityisyyttä tutkimuspaperien vaatimalla pieteetillä, minä brutaalimmin: Yksityistä on se, mikä ei muille kuulu. Minä olen yksityisyyden ytimessä ja minä määrittelen mitä itsestäni kenellekin paljastan. Jopa yhteiskunta ja lainsäätäjä ovat kanssani samoilla linjoilla, vaikkakin kaventavat yhteisen edun nimissä määräämisvaltaani.

Toisaalta jos vain kolmannes ihmisistä välittää yksityisyydestään niin polkevatko vähemmistön oikeudet enemmistön tarpeita? Mikä on se uhka, jolla yksityisyydensuojaa perustellaan ja aiheuttaako online-profilointi saman uhkan yksityisyydelle?

Nettin kumuloituneen tiedon ja tarinat tiivistämällä uhkana ovat (sekalaisessa järjestyksessä):

- tutkijat ja tutkimuksen tekijät, jotka pystyvät tiedon perusteella päättelemään arkaluontoisia tai intiimejä henkilötietoja
- mainostajat, profiloijat ja profiilitiedon kauppamiehet, jotka manipuoloivat tiedon perusteella ostokäyttäytymistä tai käyttävät tietoja lain vastaisesti
- työnantajat tai yhteisöt, jotka valvovat ja rankaisevat tiedon avulla poikkeamista käyttäytymisnormeissa
- rikolliset ja perverssit, jotka kohdistavat tiedon avulla tekonsa paremmin
- viranomaiset, jotka käyttävät tietoa kansalaisten tai matkalaisten manipulointiin, vainoamiseen tai vakoiluun
- lähipiiriläiset tai trollit, jotka kostavat tai vainoavat (yksityisetsivien hankkiman) tiedon avulla
- palveluntarjoajat, jotka hinnoittelevat epäoikeudenmukaisesti tai epäävät tiedon avulla palvelunsa käytön

Näitä uhkia nyt on maailma täynnä, mutta mikä on riski?

Yksityisyyden menetys

Riskilaskennassa kuuluu uhkan lisäksi ottaa huomioon todennäköisyys ja toteutuvan uhkan vaikutus. Yksityisyydensuojan kannalta uhka on aina ilman suostumustani tapahtuva tiedon leviäminen ulkopuoliselle. Tämä taas voi kasvattaa todennäköisyyttä joutua esim. rikoksen, vainon tai epäoikeudenmukaisen hinnoittelun kohteeksi.

Jokaisen elämäntilanne on uniikki, joten on täysin mahdotonta konkretisoida mitä yksityisyyden menetys kullekin tarkoittaisi. Mutta mitä yksityiskohtaisemmin ja laajemmin minusta tiedetään, sitä todennäköisempää on, että tieto vuotaa ulkopuoliselle. Mikään ei myöskään takaa sitä, että vuotanut tieto on oikeata ja totuudenmukaista. Eikä myöskään sitä, että tieto vuotaa vain yhdestä lähteestä.

Aktiivisena netinkäyttäjänä riskini on siis se, että yksityisasiani liikkuvat maailmalla olivat totta tai eivät ja että aiemmin mainitut yksityisyyden uhkaajat käyttävät niitä hyväksi ilman suostumustani. Makaaberina "pelotteluesimerkkinä" toimikoon auto-onnettomuudessa kuolleesta alaikäisestä tytöstään isää muistuttanut toimistotarvikekauppiaan suoramarkkinointiviesti. Riskin vastapainona on aina myös ennalta tunnistamattomia mahdollisuuksia. Tästä esimerkkinä toimikoot yksityisyydensuojan murtamalla pilaantuneiden elintarvikkeiden ostajia kontaktoinut kotimainen kauppaketju.

Olenko kuitenkaan ymmärtänyt kaiken tämän ‘Hyväksyn’ -nappia painaessani?

Tietoon perustuva suostumus

Lääketieteen puolella otettu käyttöön eettinen käsite ja toimintamalli nimeltään “tietoon perustuva suostumus”: Kokeeseen tai hoitoon osallistuvaa informoidaan kaikista siihen liittyvistä riskeistä ja vaaditaan samalla yleensä kirjallinen suostumus siihen liittyviin toimenpiteisiin. Näin esimerkiksi Facebookin suorittamassa tunteidenmanipulointikokeessa (suomeksi käsitelty täällä) ei toimittu.

Nettipalveluissa, joiden sisältöä tuotetaan suuren verkoston toimesta, tällaisten suostumusten kysely ennen palvelun käyttöä ei ole käytännössä mahdollista: itselläni ainakin jäisi palvelu käyttämättä, jos ennen käyttöä pitäisi lukea ja hyväksyä kohta kohdalta kymmenien organisaatioiden ja palveluiden tietosuojaehdot. Yhdestä lomakkeesta voisin selviytyä jos se selkeästi standardoiduilla symboleilla (kuten esim. disconnect.me/icons) ilmaisisi palvelun yksityisyydensuojan tason. Tämän hetkinen kompromissi on ruudun ylä-, ala- tai johonkin osaan ilmestyvä cookie-seurannasta kertova ilmoituslaatikko ja siihen tai muualle ruudulla ilmestyvä linkki yksityisyydensuojasta lakijargonilla tai pikkupräntillä kertovaan ehtolausekokoelmaan.
 

Toiveita tietoon perustuvan suostumuksen saamiseksi nettipalveluihin herättää EU:n valmisteilla oleva tietosuoja-asetus (ehdotusteksti http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf ja muutosehdotukset http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2014-0212&language=EN):
 
“consent' means any freely given specific, informed and explicit indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed”
 
Astuuko tämä voimaan ja miten se aikanaan ilmenee palveluissa jää nähtäväksi.

Mutta vastauksena kysymykseeni: olen ja en ole antanut suostumustani tietojen käsittelyyn riippuu siitä vastaanko kysymykseen palveluntarjoajana vai käyttäjänä.

Tietojen tarkastus- ja oikaisuoikeus

Vähintä mitä olen aina odottanut palveluihin ilmestyväksi on omien tietojen hallintanäkymä ja sinne erityisesti kahta ominaisuutta: “Tarkasta omat tiedot” ja “Kuka käsittelee tietojani”.

Tietoja ovat kaikki palvelussa käsitellyt, minuun liittyvät tiedot - olivat ne sitten palvelun itsensä keräämiä, muilta hankittuja tai näistä johdettuja. Tietojen käsittelijöistä riittäisi ensialkuun ajantasainen lista kaikista tytäryhtiöistä, alihankkijoista ja kumppaneista joille em. tietoja palvelusta luovutetaan ja joilta tietoja hankitaan. Näin esittää jo nykyinen henkilötietolainsäädäntökin tosin siinä muodossa, että “kerran vuodessa ilmaista” ja “kirjallisella hakemuksella”; ks. tietosuoja.fi/fi/index/rekisteroidylle/rekisteroidynoikeudet/tarkistusoikeus.html.

Käytännössä omien tietojen tarkastaminen ja oikaisu on tehty niin vaikeaksi, että a) todella harva sitä viitsii yrittää ja b) vielä harvempi palveluihinsa toteuttaa. Big datan analyysikyvyt palvelevat nyt profiloijia ja välillisesti profiloinnin kohteita.

Näillä kahdella omien tietojen hallintatoiminnolla big data saadaan palvelemaan myös meitä kuluttajia, kansalaisia, työntekijöitä, jäseniä ja asiakkaita meitä, joiden henkilötiedoilla koko lysti kustannetaan.

Yksityisyysvähemmistön oikeudet

Palatakseni tämän blogin kirvoittaneeseen sähköpostiin ja persoonallisuustyyppeihin: En tehnyt testiä enkä tilannut laajaa kuvausta persoonallisuusprofiilistani, mutta sen tiedän, että kuulun yksityisyyttä arvostavaan ihmisryhmään enkä laske sitä luonteenpiirteen heikkoudeksi.

En usko että suurimmalla osalla muistakaan on erityisesti mitään salattavaa, mutta haastan lukijan paikallistamaan tuttavapiiristään yhdenkin jolla ei olisi asioita, jotka eivät muille kuulu.

Toisin kuin tiedonkalasteluteollisuuden lobbarit väittävät yksityisyysvähemistön oikeuksien toteuttaminen on pieni hinta kaikesta siitä hyvästä, jota ilmaisten nettipalveluiden symbioosi tuottaa.

Nyt takaisin lomille :)
 

Tietomurtojen havaitseminen DNS-kyselyistä

Nixu julkaisi hiljattain white paperin aiheesta Have I been compromised (ladattavissa pdf:nä täältä), jossa käytiin läpi tietomurron eri vaiheita aina murrosta jälkitoimiin. Käyn tässä blogikirjoituksessani syvemmin läpi organisaation sisäisen nimipalvelun eli DNS:n roolia tietomurron havaitsemisessa.

Verkkotunnuksia käytettäessä suoritetaan aina DNS-kysely jolla verkkotunnukselle selvitetään sitä vastaava IP-osoite. Tämä siis pätee myös saastuneille koneille asentuneisiin haitakkeisiin, jotka ottavat yhteyttä hallintapalvelimeensa (Command & Control) verkkotunnuksella. Usein verkkotunnus johon haitake ottaa yhteyttä on kovakoodattu haitakkeen koodiin, joten se ei muutu. Kehittyneemmät haitakkeet käyttävät ns. fastflux-tekniikkaa, jossa algoritmi generoi jatkuvasti uusia verkkotunnuksia havainnoinnin ja blokkauksen välttämiseksi. Edellä mainittuja on tosin vaikea havaita automatiikalla niiden satunnaisuuden takia. Lokeja tutkimalla ja vihamielisiin osoitteisiin tehtäviä nimipalvelukyselyjä seuraamalla voidaan käynnissä olevasta tietomurrosta saada kuitenkin vihiä.

Pikalista tehtäviin asioihin:

  • Kerää DNS-lokit! – Lokia tulee paljon joten mieti säilytysaika.
  • Salli DNS-portti 53 ulos vain hyväksyttyihin DNS-resolvereihin ja monitoroi ei-sallittuja kyselyitä.
  • Tarkkaile DNS-lokeista yrityksesi nimeä kolmantena asteena domain-nimessä, esim. yritys.paha.org
  • Tunnista nimipalvelukyselyt tunnettuihin vihamielisiin osoitteisiin.
  • Tarkkaile yli 512 tavua pitkiä DNS-paketteja ja DNS-liikenteen datamäärää.
  • Tunnista pitkät verkkotunnukset ja haut verkkotunnuksiin joita ei ole olemassa.

Liikennöinti vihamielisiin osoitteisiin (Blacklisting)

Liikennöinti tunnettuihin ”pahoihin” osoitteisiin voidaan havaita käyttämällä valmiita osoitelistoja ja verrata niitä esimerkiksi SIEM-tuotteella DNS-lokeihin. Muun muassa seuraavia listoja on saatavilla:

http://www.malwaredomains.com
https://zeustracker.abuse.ch
http://pgl.yoyo.org
http://mtc.sri.com
http://www.malwarepatrol.net

Liikennöinti pahoihin osoitteisiin voidaan estää myös edullisella DNS sinkhole -lähestymistavalla. Yrityksen DNS-kyselyt ohjataan DNS sinkhole -palvelimelle, jonka pahojen verkkotunnusten listaa vasten tarkistetaan onko osoite paha. Mikäli osoite on paha, voidaan verkkotunnusta kysyneelle koneelle palauttaa väärä IP-osoite, joka ohjaa sivulle, jossa ilmoitetaan osoitteen olevan haitallinen/yrityksen politiikan vastainen. Jotta sinkhole-tekniikka toimii, tulee nimipalvelukyselyiden kulkea yrityksen DNS-palvelinten kautta, joka voidaan varmistaa sillä että palomuurissa kielletään muut DNS-kyselyt. Tämä sen takia, että osa haitakkeista käyttää myös omia DNS-palvelimia. Osa kaupallisista tuotteista hyödyntää myös sinkhole-tekniikkaa ja tästä esimerkkinä PaloAlto. DNS sinkhole voidaan tehdä edullisesti avoimen lähdekoodin työkaluin ja tästä esimerkkinä Bind-ohjelmistolla toteutettu sinkhole.

Liikennöinti pahoihin osoitteisiin (Whitelisting)

Yksi lähestymistapa on verrata kysyttyjä domain-osoitteita Alexan tarjoamaan miljoonan yleisimmän verkkotunnuksen listaan (pakatussa muodossa täällä) ja hälyttää listan ulkopuolisista osoitteista. F-Securen mukaan tällä menetelmällä voidaan jopa välttää 99,61% verkkohyökkäyksistä.


Yrityksen tietojen vuotaminen

Myös yrityksen tiedonvuotamisvaiheessa (eng. data exfiltration) voidaan hyödyntää DNS-protokollaa. DNS -protokolla sallii UDP-protokollaa käyttäen 512 tavun hyötykuorman, kun EDNS-lisäys sallii TCP-protokollaa käyttäen jopa 4096 tavua hyötykuorman. Ilmaisia ohjelmia datan siirtämiseen DNS:n avulla on mm. Iodine. DNS-tunnelin käyttö vaatii että hyökkääjällä on hallinnassa verkkotunnus tai aliverkkotunnus, johon hän tekee nimipalvelukyselyn. Esimerkiksi hyökkääjä kysyy osoitetta fdsfok43dfbvfdshprsådf.paha.org jossa on aliverkkotunnukseen koodattu ulos kuljetettava data.

NGFW- ja IPS-tuotteet myös pystyvät havaitsemaan DNS-tunneleita niihin tehdyillä sormenjäljillä. NSTX DNS -tunnelia voidaan yrittää havaita esimerkiksi etsimällä DNS TXT-kyselyitä joissa on hyökuormassa ”cT”-merkkijono. Lisää aiheesta SANS:n julkaisemassa artikkelissa ”Detecting DNS tunneling”.

DNS-tunneleita voidaan havaita myös tarkkailemalla DNS-pakettien kokoa ja DNS-liikenteen datamäärää. Tätä voidaan tehdä palomuurien, flow-datan tai IPS/IDS-laitteiden avulla.
 

Epäilyttävät verkkotunnukset

DNS-liikenteestä pystyy tunnistamaan asioita, jotka vaativat lisätutkintaa. Tällaisia asioita ovat pitkät DNS-nimet. DNS-nimi voi olla maksimissaan 255 merkkiä pitkä ja verkkotunnus/aliverkkotunnus 63 merkkiä kuten aliverkkotunnus.verkkotunnus.fi . Tarkkaile domain-nimiä jotka ovat kokonaisuudessaan yli 63-merkkiä pitkiä tai verkkotunnus/aliverkkotunnus on yli 13-merkkiä pitkä.
Epäonnistuneet DNS-kyselyt yrityksen alidomaniin voivat olla merkki kohteiden etsinnästä esim. kyselyt intra.yritys.fi, ad.yritys.fi joita ei ole olemassa, mutta voisivat hyvin olla olemassa ja paljastaisivat kohteita.
 

Kysymyksiä ja vastauksia lähimaksukorteista

Lähimaksukortit eli NFC-teknologiaan (Near Field Communication) perustuvat maksukortit ovat yleistyneet Suomessa. Samaan aikaan kun kortit ja maksupaikat yleistyvät, herättävää korttien yleistyminen laajalti keskustelua mediassa ja ihmisten parissa. Erityisesti korttien turvallisuus puhututtaa monia.
Päätimme Nixussa koota listan yleisimpiä väitteitä ja kysymyksiä lähiluettaviin maksukortteihin liittyen, sekä vastata näihin kysymyksiin testiemme ja kokemuksemme perusteella. Tämä kirjoitus käsittelee vain ja ainoastaan kansainvälisten korttiyhtiöiden myöntämiä lähimaksukortteja, eikä ota kantaa muihin NFC-kortteihin ja niiden turvallisuuteen (esim. matkakortit, avainkortit).
Suoritimme testit muutaman eri suomalaisen pankin myöntämillä korteilla ja teimme johtopäätökset testitulosten pohjalta. On siis mahdollista, että kaikki korttityypit eivät toimi samalla tavalla.

1. Ovatko lähimaksukortit turvallisia?
Kysymykseen ei voi vastata kyllä tai ei määrittelemättä ensin mitä ”turvallisuudella” tarkoitetaan, ja kenen näkökulmasta asiaa tarkastellaan (kuluttaja, kauppias, pankki, korttiyhtiö, kortin valmistaja jne.). Jos asiaa tarkastellaan kuluttajan eli kortinhaltijan näkökulmasta, voidaan sanoa, että kortit ovat turvallisia, sillä tähän tekniikkaan liittyvistä mahdollisista väärinkäytöksistä vastaa lähtökohtaisesti pankki. Väärinkäytöksen havaitseminen ja siitä reklamoiminen on kuitenkin kuluttajan vastuulla. Suosittelemme tarkkaavaisuuden lisäksi kortinhaltijaa tutustumaan sopimusehtoihin.

2. VÄITE:
Lähimaksukortit ovat turvallisia, sillä niiden tiedot on suojattu salauksella.
Lähimaksukortit hyödyntävät salaustekniikkaa esim. PIN-koodin varmistamisessa ja transaktioiden tekemisessä, mutta kortilta voi kuitenkin lukea salaamatonta tietoa. Kaikkea kortilla olevaa tietoa ei siis ole salattu.

3. VÄITE:
Lähimaksukorteilta voi lukea tietoa, mutta sitä ei voi väärinkäyttää.
Lähimaksukortilta voi lukea mm. maksukorttinumeron (PAN, Primary Account Number) sekä voimassaoloajan. Näillä tiedoilla on mahdollista tehdä esim. verkkokauppaostoksia (etäostos, card-not-present). Kortilta luettua tietoa voi siis väärinkäyttää.

4. VÄITE:
NFC-sirulla oleva korttinumero ei ole sama kuin korttiin painettu maksukortinnumero, joten väärinkäytöksiä ei voi tehdä.
Valitettavasti testaamissamme korteissa korttinumero on sama sekä NFC-sirulla että kortin päällä. On kuitenkin totta, että eri korttinumeroilla etäostoksiin liittyvät väärinkäytökset olisi voitu estää. On mahdollista, että kaikkien pankkien järjestelmät eivät tue kortteja, joilla on kaksi tai kolme erillistä maksukorttinumeroa, minkä vuoksi tällaista ominaisuutta ei ole ainakaan vielä voitu toteuttaa kaikkiin kortteihin.

5. VÄITE:
Maksukorttinumerolla ja voimassaoloajalla ei voi tehdä verkkokauppaostosta, sillä kaikki verkkokaupat edellyttävät lisäksi erillisen tarkistusnumeron (CVV2).
Jotkut kansainväliset verkkokaupat, kuten Amazon, hyväksyvät ostosten tekemisen ainoastaan maksukorttinumeron ja voimassaoloajan yhdistelmällä. On totta, että tarkistusnumeroa  ei voi lukea NFC-sirulta, ja että suurin osa verkkokaupoista edellyttää sen antamista. Olemme käsitelleet asiaa aiemmin täällä.

6. VÄITE:
Kortin tiedot voi lukea enintään 2 cm päästä, joten todellista uhkaa ei ole.
Tavallisella muutaman kympin maksavalla lukijalla tiedot voidaan lukea n. 10 cm päästä. On mahdollista, että etäisyyttä voisi kasvattaa paremmalla laitteistolla.

7. Voisiko vilpillinen kauppias tehdä ylimääräisiä veloituksia ohikulkijoiden korteilta?
Teoriassa kyllä. Kauppias jäänee vilpillisestä toiminnasta kuitenkin hyvin nopeasti kiinni. Olemme käsitelleet asiaa aiemmin täällä.

8. Minkä muun tyyppisiä hyökkäyksiä lähimaksukortteja vastaan voisi tehdä?
Uudelleenohjaamalla viestit (ns. relay-hyökkäys) voidaan tehdä lähimaksu vaikka toiselle puolelle maapalloa. Tämä kuitenkin edellyttää, että kortin välittömässä läheisyydessä on NFC-lukija, joka välittää tiedot esimerkiksi internetin yli toiselle NFC-lukijalle, joka puolestaan on maksuautomaatin välittömässä läheisyydessä. Molempien NFC-lukijoiden tulee olla samanaikaisesti maksukortin ja maksuautomaatin välittömässä läheisyydessä lyhyen hetken. NFC-lukijana voi toimia esim. älypuhelin.




9. Voiko NFC-sirulta kopioidulla tiedolla luoda toimivan korttikopion?
Ei voi. NFC- tai EMV-sirulta ei voi lukea sellaista tietoa, jonka avulla voisi luoda toisen kortin, jossa on toimiva EMV- ja/tai NFC-siru. Vaikka NFC- ja EMV-siruilta löytyy myös magneettiraidan sisältämä vastaava tieto (ns. uratieto), ei se kuitenkaan mahdollista magneettiraidan kopioimista, sillä tieto ei ole täysin identtinen oikean magneettiraidan sisältämän tiedon kanssa.

10. VÄITE:
Väärinkäyttöriski rajautuu 25 euroon, joten asiasta on turha murehtia.
Lähimaksuostot ovat tyypillisesti rajattu 25 euroon, ja niitä voi tehdä enintään muutaman kappaleen jonka jälkeen tulee syöttää PIN-koodi. Jos korttia kuitenkin väärinkäyttää esim. verkkokaupassa (etäostos), ei tämä rajoitus ole voimassa, vaan kortilta voi pahimmassa tapauksessa ostaa niin paljon kuin mitä luottoraja tai tilin saldo sallii.

11. VÄITE:
Väärinkäytökset voi estää tai minimoida erillisillä käyttörajoituksilla.
Totta. Monet pankit tarjoavat esim. erillisiä päiväkohtaisia käyttörajoituksia eri maksutyypeille sekä esimerkiksi geoblokkausta (esim. kortti toimii vain Pohjoismaissa ja verkkokaupassa, ei muissa maissa). Näitä ominaisuuksia säätämällä väärinkäytösriskin voi joko estää tai sitä voi pienentää. Haittapuolena kuitenkin saatetaan menettää yksi kansainvälisten maksukorttien suurin etu: ne käyvät kaikkialla ja niillä on helppo ja nopea maksaa. Sopivien rajoitusten asettaminen vaatii siis kortinhaltijalta aina jonkin verran aikaa ja vaivaa, ja on näin lopulta kompromissi turvallisuuden ja käytettävyyden välillä.

12. VÄITE:
Rikolliset eivät voi lukea kortilta tietoa, mikäli se on RFID-suojatussa lompakossa.
Totta. Oikein toteutettuna suojattu lompakko muodostaa kortin ympärille ns. Faradayn häkin, joka estää kortin lukemisen lompakon läpi. Tee-se-itse -mies käärii kortin ja koko lompakon folioon.

13. Miten etäostoksiin liittyvän väärinkäytösriskin olisi voinut estää korttia suunniteltaessa?
NFC-sirulla voisi olla kortin päälle painetusta poikkeava korttinumero. Näin etäostokset olisi voitu rajata vain painetulle numerolle, ja vastaavasti sallia lähimaksuostot vain NFC-sirulla olevalle numerolle. Pankin järjestelmät eivät välttämättä kuitenkaan tue kortteja, joilla on useita maksukorttinumeroita. Tämä ei myöskään estäisi aiemmin kuvattua relay-hyökkäystä (katso kohta 8).

14. VÄITE:
Lähimaksukortit lisäävät osaltaan kuluttajan turvallisuutta, kun PIN-koodin käyttö vähenee.
Totta. Lähimaksukortit vähentävät PIN-koodien näpyttelyä, joka puolestaan vaikeuttaa PIN-koodin urkkimista. Erityisen hyödyllisenä tämä voidaan nähdä esimerkiksi  yökerhoissa, joissa tehdään tyypillisesti monta alle 25 euron transaktiota ja joissa tarkkaavaisuus on heikentynyt ja urkintariski on keskimääräistä suurempi. Perinteisiä sirukortteja on moitittu siitä, että sama PIN-koodi tarvitaan sekä mitättömän pieniin että erittäin suuriin ostoksiin.

15. VÄITE:
Lähimaksukortin olisi voinut korvata nykyisellä sirukortilla siten, että PIN-koodin kysely olisi poistettu pienistä ostoksista.
Sirukortti tukee toiminnallisuutta, jossa maksu tapahtuu työntämällä kortti maksupäätteeseen, eikä PIN-koodia kysytä. Tämä ei täysin vastaa lähiluettavien korttien toiminnallisuutta, eikä tällaista toimintoa ole jostain syystä haluttu toteuttaa Suomessa.

16. Mitä muuta tietoa korteilta saa luettua?
Tämä riippuu kortista, mutta mm. seuraavat tiedot olemme onnistuneet lukemaan kortilta:

- Kortinhaltijan nimi (VISA-kortilta, mutta ei MasterCard-kortilta)
- Kielivalinta
- Edellisiä sirumaksutapahtumia (katso kohta 17)
- Magneettiraidan uratietoa vastaava tieto (ei identtinen)
- Teknistä tietoa

Lisäksi tietysti kortin numerosta voi päätellä pankin sekä mikä kortti on kyseessä (esim. tavallinen VISA tai VISA Gold).

17. Voiko kortilta todella nähdä, että olen käynyt Kallen Kukkakaupassa ostoksilla?
Ei voi. Ostohistoriasta näkyy ainoastaan muutaman edellisen siru- ja lähimaksun ostopäivämäärä, loppusumma ja valuutta. Kaupan nimi ei siis tallennu kortille. Etä- ja magneettiraitaostokset eivät luonnollisesti myöskään tallennu kortille.

18. VÄITE:
NFC-sirulta luettavissa olevat tiedot voi lukea myös EMV-sirulta, magneettiraidalta tai kortin päältä. Mikään ei siis todellisuudessa ole muuttunut, vaan tiedot on aina voitu lukea kortilta hyvinkin helposti.
On totta, että EMV-sirulta, magneettiraidalta ja kortin päältä voi lukea vastaavaa tietoa kuin mitä NFC-sirulta. Tilanne on kuitenkin siinä mielessä muuttunut, että NFC-sirulta tiedot voidaan lukea ilman kortinhaltijan selkeää tahdonilmaisua. Jotta perinteisen maksukortin tiedot voidaan lukea, on kortti näytettävä kolmannelle osapuolelle tai se pitää syöttää maksupäätteeseen/magneettijuovanlukijaan. NFC-kortin osalta riittää, että tiedoista kiinnostunut pääsee hetkeksi riittävän lähelle korttia. Lisäksi NFC-lukijat (toisin kuin EMV-sirulukijat tai magneettiraidanlukijat) ovat kohta kaikilla mukana, sillä ne alkavat olla osa älypuhelinten vakiovarustusta.

Yhteenvetona voidaan sanoa, että NFC-kortteja vastaan on mahdollista hyökätä ainakin muutamalla eri tavalla (katso kohdat 3, 7 ja 8). Toisaalta vastuu tämän tyyppisistä väärinkäytöksistä on yleensä pankilla, mutta kortinhaltijan tulee silti seurata kortilta tehtäviä veloituksia. Tämän tyyppisiä väärinkäytöksiä ei kuitenkaan tietojemme mukaan ole esiintynyt. Meidän on myös vaikea ennustaa minkä tyyppisiä korttirikoksia rikolliset tulevaisuudessa tekevät. Tilanteen tekee kuitenkin mielenkiintoiseksi se, että tulevaisuudessa entistä suurempi osa maksukorteista on varustettu lähimaksuominaisuudella, ja samanaikaisesti entistä suurempi osa puhelimista on varustettu NFC-lukijalla. Toisaalta lähimaksukorteista on myös hyötyä: maksaminen nopeutuu, eikä PIN-koodia välttämättä tarvitse näppäillä turvattomassa ympäristössä.
 

Hakkeri kaivoi Lauran elämästä kaiken mahdollisen – näin kaikki tapahtui

Nixun toteuttamasta henkilöön kohdistuneesta murtotestauksesta kerrottiin Helsingin Sanomissa lauantaina 5.4. Aihe on puhututtanut viikonlopusta lähtien, joten käymme tässä blogipostauksessa läpi projektin eri vaiheita, ehkäpä hieman enemmän teknisestä näkökulmasta kertoen. Tämä juttu ei keskity pelkästään HS:n artikkeliin, vaan käsittelee asioita osin laajemminkin.

Projekti lähti käyntiin jo viime vuoden puolella ja sai alunperin ideansa Yhdysvalloissa tehdystä vastaavanlaisesta, henkilöön kohdistuneesta murtotestauksesta. Nixun Twitter-tiliä seuranneet saattavatkin muistaa, että kyselimme silloin josko Suomesta löytyisi kiinnostuneita ”uhreja”. Helsingin Sanomiinkin jutun kirjoittanut Laura Halminen lupautui vapaaehtoiseksi ja näin ollen projekti käynnistyi joulukuun alussa. Projektiin osallistui Nixulta noin viiden henkilön ryhmä, joka muiden töiden niin salliessa käytti aikaansa Lauran tietojen selvittelyyn ja itse menetelmien suunnitteluun. Työ jakautui tyypillisen murtotestauksen tapaan kahteen työvaiheeseen, tiedusteluun ja hyökkäykseen, joista ensin mainittu vei ajasta suuremman osan.

Tiedusteluvaihe

Tiedusteluvaiheessa tavoitteenamme oli selvittää mahdollisimman kattavasti kaikki saatavilla oleva tieto kohdehenkilöstä, jotta voisimme myöhemmin kohdentaa itse hyökkäysyritykset paremmin häneen kohdistuviksi. Tietoja etsittiin käyttäen hyödyksi kaikkia mahdollisia tietolähteitä, avoimista viranomaisrekistereistä (verohallinto, väestörekisteri jne.) sosiaaliseen mediaan ja tiedonlouhintaan erikoistuneihin työkaluihin, kuten Maltegoa. Maltego on työkalu, joka osaa kartoittaa tietolähteiden perusteella esimerkiksi eri henkilöiden sosiaalisen median profiileja, tunnuksia ja jopa teknisiä tietoa käyttäjistä. Koska nykyihmisillä on erityisesti verkossa useita erilaisia kutsumanimiä, käyttäjätunnuksia, aliaksia, sähköpostiosoitteita ja jopa eri nimiä, oli eri aliasten tunnistaminen ja yhdistäminen ensimmäisessä vaiheessa erityisen tärkeää. Käytännössä työ vaatii paljon erilaisia hakuja ja sitten saatujen tietojen ristiinvertailua, jolloin voidaan selvittää, mitkä tunnukset ja aliakset todella liittyvät samaan henkilöön.

Varsin nopeasti pystyimmekin selvittämään useita eri tunnuksia, sähköpostiosoitteita ja puhelinnumeroja ja selvittämään, miten ne liittyivät samaan henkilöön. Lisäksi eri aliaksia ja yhteystietoja seuraamalla löytyi tarkkoja tietoja asunnoista, autoista ja esimerkiksi internetissä myydyistä tuotteista. Huomionarvoista on, että vaikka kohdehenkilö oli pyrkinyt julkaisemaan ilmoituksia ilman omaa nimeään anonyymisti, monessa tapauksessa ilmoituksen jättäjän todellinen henkilöllisyys oli selvitettävissä muutaman hypyn kautta, esimerkiksi seuraamalla ensin ilmoituksessa ollutta Gmail-osoitetta, korreloimalla sen tietoja toiseen tunnukseen, joka taas linkittyi puhelinnumeroon, joka lopulta kavalsi henkilöllisyyden.

Lisäksi vaikka henkilö itse olikin ollut varsin varovainen sen suhteen, mitä internettiin itsestään lataa, paljastui myös sosiaalisen median kautta silti monia tietoja, joita ystävät ja sukulaiset olivat vahingossa paljastaneet. Nykyään ei siis enää todellakaan riitä, että itse ei paljasta esimerkiksi lastensa nimiä tai syntymäpäivää netissä, kun avulias sukulainen käy sen esimerkiksi Facebookin tai Twitterin kautta koko kansalle kertomassa onnitteluviestin merkeissä.


Siirtyminen hyökkäysvaiheeseen

Tiedusteluvaiheen lopputulemana tiesimme jo hyvin henkilön harrastukset, aliaksen, perhesuhteet ja kiinnostuksen aiheet. Samoin tiesimme tarkat tiedot hänen työnantajansa puhelimen ja tietokoneen versioista sekä kotitietokoneen mallin. Valitettavasti toimeksiannon piirissä emme kuitenkaan saaneet hyökätä kohti työnantajaa tai perhettä (Suomessa yksi henkilö ei voi antaa lupaa hyökätä muita kohtaan tai muiden kautta), joten jouduimme keskittymään henkilön kotikoneeseen. Myöskään erilaisissa nettipalveluissa olevia tunnuksia vastaan emme voineet hyökätä, sille yksittäinen henkilö ei voi antaa lupaa tehdä tietoturvaa vaarantavia hyökkäyksiä esimerkiksi Gmailia vastaan.

Kohteeksi valikoitui siis kotikone. Tiesimme sen mallin (Macbook) ja summittaisen iän, mutta käyttöjärjestelmän, selaimen ja muiden varusohjelmien tarkat versiot eivät olleet tiedossa. Näitä selvittääksemme rakensimme oman linkinlyhennyspalvelumme, joka toimii muuten kuin esimerkiksi bit.ly, mutta samalla kun käyttäjä ohjataan uudelle sivustolle, hänen selaimeen asetetaan seurantaa helpottamaan pysyvä eväste (persistent cookie) ja selaimessa ajetaan tiedonkeruuskripti, joka kerää tiedot selaimesta, asennetuista laajennuksista eli plugineista sekä käyttöjärjestelmästä. Mitään varsinaisesti haitallista sivusto ei vielä tässä vaiheessa tehnyt. Lähetimme kohdehenkilölle linkkejä, jotka kiersivät linkinlyhennyspalvelumme kautta useita eri reittejä (esimerkiksi sähköpostitse salattuna juttuvinkkeinä, kuten HS:n jutussa mainittu Mikko W, kommentteina blogiin ym.) ja seurasimme palvelimellemme kertyviä lokeja, joista nopeasti paljastuikin käyttöjärjestelmän ja koneen tarkat versiot, näytön resoluutiota ja asennettuja varusohjelmia myöden.

Teimme itsellemme vastaavilla versioilla varustetun virtuaalikoneen, jonka avulla testasimme useita erilaisia hyökkäysmalleja. Ensimmäisenä asensimme linkinlyhennyspalvelumme oheen palvelimellemme Metasploit-nimisen työkalun, sekä muitakin hyökkäysohjelmia, ja kokeilimme löytyisikö kyseisestä versiosta haavoittuvuuksia, joita voitaisin käyttää. Meille valitettavasti, ja kohdehenkilön onneksi, mikään versioista ei sisältänyt tunnettuja haavoittuvuuksia, joita käyttäen koneen hallintaan saaminen olisi ollut suoraviivaista, joten jouduimme siirtymään seuraavaan suunnitelmaan. Kohdejärjestelmänä oli tietty OS X:n versio, joten siirryimme tekemään hyökkäystä, joka käyttäisi hyväkseen kyseisen käyttöjärjestelmän tapaa käsitellä tiedostoja. Hyödyntäen tiedostojen metatietoja, loimme tiedoston, joka ajettaessaan ajetaankin Terminal-ohjelmassa todellisen ohjelman sijaan, ottaa yhteyttä Nixun palvelimelle ja avaa meille takaportin kohdejärjestelmään (eikä jää kiinni virustutkissa). Tässä lähestymistavassa ainoa ongelma oli, että kyseisen tiedostoon tulee niin sanottu ”karanteeni-bitti” (joka varoittaa käyttäjää tiedoston vaarallisuudesta) mukaan, kun tiedosto toimitetaan vastaanottajalle internetin yli. Tämän karanteeni-bitin saimme kierrettyä käyttäen salattua GPG-pakettia, sillä se ei välittänyt kyseisestä bitistä.

Useita eri hyökkäysmenetelmiä käytettiin

Hyökkäystiedosto toimitettiin kohteelle kahta eri reittiä käyttäen hyväksi keksittyjä ja tätä tarkoitusta varten luotuja aliaksia. Kumpaakaan toimitetuista tiedostoista ei kuitenkaan valitettavasti avattu, lähinnä siksi, että niitä ei ehditty huomata. Hyökkäystiedosto itsessään toimi, ja avaa kyllä yhteyden. Menetelmää esiteltiin myös viikonloppuna Tutkiva journalismi -konferenssissa Helsingissä käytännön demon merkeissä.

Edellä mainittujen sekä HS:n jutussa mainittujen menetelmien lisäksi meillä oli muita hyökkäysvektoreita, liittyen esimerkiksi wlan-verkkoihin tai laitteiden fyysiseen turvallisuuteen. Lisäksi suunnitelmissa oli toteuttaa phishing-tyyppisiä hyökkäyksiä, mutta niitä ei loppujen lopuksi otettu projektin sisältöön mukaan ajankäyttöön ja lainsäädäntöön liittyvien rajoitteiden takia.
Wlan-verkkojen osalta suunnittelimme ja toteutimme omaan käyttöömme menetelmän, jonka avulla pystymme kuuntelemaan esimerkiksi älypuhelimien ja kannettavien tietokoneiden ns. broadcast-liikennettä, jossa kyseiset laitteet pyrkivät löytämään tuntemiaan langattomia verkkoja. Käytännössä esimerkiksi wlan-ominaisuuden omaava älypuhelin huutelee ympärilleen tuntemiaan verkkojen nimiä sen toivossa, että kyseinen verkko olisi saatavilla. Näitä tietoja voi kuunnella esimerkiksi Kismet-nimisellä ohjelmalla. Tietoja jalostamalla voidaan päätellä laitteiden omistajien tietoja ja esimerkiksi heidän kodin ja työpaikkansa sijainti vertaamalla tunnistettuja wlan-verkkoja erilliseen tietokantaan, jonne verkkojen tunnettuja sijainteja on tallennettu (näitä sijainteja kerää esimerkiksi wigle.net). Lisäksi ihmisten sosiaalisia verkostojakin voidaan päätellä tiedoista. Mikäli käyttäjillä A ja B on samoja langattomia verkkoja, voidaan heidän olettaa käyvän samoissa paikoissa.

Johtopäätökset

Johtopäätöksenä projektista voidaan  todeta, että anonymiteetin saavuttaminen verkossa on erittäin hankalaa, mikäli ei vaihda kaikkia aliaksiaan ja yhteystietojaan yhdellä kertaa. Niin kauan kuin aliaksia voi yhdistää mitään kautta (vaikka useamman hypyn kautta), henkilöllisyys on tunnistettavissa. Lisäksi sen kontrollointi, että itse ei jaa tietoa, ei enää riitä. Sosiaalinen media pursuaa tietoa myös sinusta, vaikket sitä olisi sinne itse ladannutkaan. Myös taskussasi kulkeva älypuhelimesi voi olla lörppöhuulisempi kuin tiesitkään.

Teknisen hyökkäämisen suhteen törmäsimme lakien ja sääntöjen muuriin, joka rajoittaa toimiamme jonkin verran odotettua enemmän tämäntyyppisissä, yhteen henkilöön kohdistuvissa toimeksiannoissa. Siitä huolimatta hyökkäyskoodi saatiin toimitettua henkilölle, joka osasi olla varuillaan. Tällaisia rajoitteita ei tietysti niillä ole, jotka liikkuvat varjoisella puolella verkkoa, joten muistakaa olla varovaisia verkossa liikkuessanne.

 

Kriittisten päätelaitteiden suojaaminen

– kun legacy-järjestelmistä ei voida vielä luopua

Viime aikojen keskustelut Windows XP:n tuen loppumisesta on nostanut pinnalle vanhentuneiden "legacy"-järjestelmien suojaamisen. Suojaamisen näkökulmasta vanhoja XP-koneita tulee kohdella kuten muitakin legacy-järjestelmiä yritysverkoissa. Suurin ongelma vanhentuneiden järjestelmien käytössä on sovelluksen tarkoituksenmukaisessa toiminnassa ilmenneitä puutteita korjaavien turvapäivitysten puuttuminen. Tätä tarkoituksenmukaista toimintaa ei voida estää palomuureilla tai virustorjunnalla, kuten mm. Europol hiljattain muistutti.

Tässä kirjoituksessa keskitytään kriittisiä tehtäviä toteuttavien legacy-järjestelmien suojaamiseen. Koska usein tällaiset järjestelmät ovat palvelinsovelluksia, toimistoverkon XP-työasemien suojaamiseen kirjoituksesta ei juurikaan ole apua. Suositus on jaettu kolmeen osaan:

1. Arvioi legacy-järjestelmän tarpeellisuus ja siitä syntyvä riski

Pääsääntönä on, että kaikkien järjestelmien joiden tuki on päättynyt, tulisi olla poistuneet käytöstä. Hyvään hallintotapaan kuuluu sovelluksien ja laitteistojen riittävä elinkaaren hallinta, jonka olisi pitänyt puuttua vanhentuviin ratkaisuihin hyvissä ajoin, jotta migraatioprojekti oltaisiin ehditty suorittaa loppuun rauhassa.

Useissa tapauksissa vanhentuvia sovelluksia ei kuitenkaan voida päivittää, niiden kriittisen roolin tai muiden riippuvuuksien takia. Esimerkkinä mainittakoon tuotannonohjausjärjestelmät, jotka saattavat vaatia toimiakseen esimerkiksi Windows 2000 -käyttöjärjestelmän tai web-sovellus, joka on tehty toimimaan vain tietyllä vanhalla Tomcat-versiolla.

2. Pienennä legacyn riskiä

Mikäli vanhentunutta järjestelmää ei voida sulkea pois tai päivittää on siitä syntyvää riskiä pienennettävä ja jäännösriski hyväksyttävä.

Hyvin käytäntöjen mukaisen ympäristön koventamisen (hardening) lisäksi järjestelmiä voidaan suojata seuraavilla tavoilla:
- Järjestelmän eriyttäminen muusta verkosta. Legacy-järjestelmät olisi hyvä eriyttää verkkoteknisesti muusta ympäristöstä, jotta a) hyökkäyspinta-ala pienenee, b) onnistuneen hyökkäyksen jälkeinen poikittaisliike on vaikeampaa ja, c) ympäristön valvonta on helpompaa. Eriyttämisen voi tehdä segmentoimalla verkkoa palomuurein tai kytkemällä järjestelmä täysin irralliseen verkkoon.
- Välityspalvelimet (proxy). Mikäli ulkoiset tahot eivät voi käsitellä palvelua suoraan, vaan yhteys keskeytetään ja käsitellään aina turvallisen välityspalvelimen kautta, on taustalla olevien järjestelmien ohjelmistohaavoittuvuuksien hyväksikäyttäminen merkittävästi vaikeampaa. Välityspalvelimet parantavat myös valvontakykyä.
- Virtuaalinen paikkaus (virtual patching). Jos ongelmia ei korjata itse ohjelmistossa, voidaan ne koettaa korjata niin sanotulla virtuaalisella paikkauksella, jossa haavoittuvaa ohjelmistoa suojaamaan asetetaan erillinen turvaohjelmisto. Virtuaaliseen paikkaamiseen pystyvät ainakin eräät päätelaitteiden IPS-sovellukset, verkon IPS-laitteet sekä verkkopalveluiden sovelluspalomuurit (Web Application Firewall). Nämä turvaohjelmistot keskeyttävät kaikki kohdesovellukseen kohdistuvat kyselyt ja estävät tunnetusti virheelliset kyselyt.


3. Valvo riskin toteutumista

Haavoittuvia ja kriittisiä järjestelmiä tulee valvoa erityisellä tarkkuudella. Järjestelmän itsensä tuottamien lokien ja edellä mainittujen turvaohjelmistojen, sekä -laitteiden valvonnan lisäksi valvonnassa kannattaa harkita kriittisten tiedostojen muuttumattomuutta seuraavien (FIM) tuotteiden käyttöönottoa. Korkeaa turvatasoa tavoiteltaessa tulee harkita verkkoliikenteen tarkempaa monitorointia, verkon protokolla-analysointia, sekä päätelaitteen käytön profilointia toteuttavia työkaluja.

Kirjoittaja Pietari Sarjakivi kehittää Nixussa Tietoturvan tilannekuva -liiketoimintaa, jonka tarkoituksena on auttaa asiakkaita rakentamaan kokonaisvaltaista tietoturvan seurantaa.
 

Sivut