15. syyskuuta 2016

Viranomaiset eivät osaa tehdä turvallisia nettipalveluita, osa2

Kirjoitin blogissani jo neljä vuotta sitten viranomaisten nettipalveluiden tietoturvaongelmista, jotka vuotta myöhemmin olikin jo onnistuneesti korjattu. Toisaalta pari vuotta sitten jouduin uudestaan palaamaan aihepiiriin ja näköjään nyt on taas uusinnan aika.

Katsoin kokeeksi eräitä yleisesti käytössä olevia viranomaisten nettipalveluita Qualys SSL Labsin työkalun avulla ja jälki on kaameaa katsottavaa. Näitä nettipalveluita käyttää päivittäin suuri joukko suomalaisia ja tietoturva on tällä tasolla. Viranomaiset eivät ole vaivautuneet paikkaamaan alkeellisimpiakaan aukkoja ja päivittämään salauksen tasoa, vaikka tunnettuja ja hyväksikäytettäviä haavoittuvuuksia löytyy näistä kasapäin.

Ei tähän jaksa edes enää kommentoida mitään. Ei ehkä tarvitse edes.






4 kommenttia:

  1. Auttaiskohan jos asentais zonealarmin?

    VastaaPoista

  2. Oikeassa olet. Katsoin Nordean tilanteen. Se sai arvosanan A.
    https://www.ssllabs.com/ssltest/analyze.html?d=www.nordea.fi


    acc

    VastaaPoista
  3. tunnistus.fi ei ole enää käytössä, joten sen poodle-haavoittuvuudella ei ole ilmeisesti paljon väliä: https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2016/04/ttn201604141622.html

    Homman hoitaa nykyään palvelin tunnistus.suomi.fi, jolla näyttää ainakin Qualysin testi menevän läpi A-tasoisesti. Muuten asia olisikin etusivun uutisen arvoinen. Muita mainitsemiasi palvelimia en ole (vielä) kurkannut.

    VastaaPoista
  4. Hienoa, että kirjoitat asiasta ja asiaa. Mutta en oikeasti ymmärrä miksi. Ei tämä kansa ole ansainnut tätä kaikkea. Hukkukoot paskaansa, jonka ovat itse tuoneet itselleen.

    VastaaPoista