You are here: TUTWiki>Tietoturva/Tutkielmat>Tutkielmat?>KayttajanTietoturvaVoIP (revision 11)

TTY / Tietoturvallisuuden jatkokurssi / Harjoitustyö 2011

Heidi Lamminaho

Käyttäjän tietoturva eri VoIP?-palveluissa

Johdanto

Viime vuosien aikana erilaiset VoIP?-palvelut Internetissä ovat yleistyneet tavallisten kuluttajienkin keskuudessa. Yleisimpiä VoIP?-palveluiden tarjoajia ovat Skype, Google (GoogleTalk?) sekä erilaiset kiinteän verkon teleoperaattorit. Kukin palveluista on toteutettu eri tavoin. Miten on silloin tietoturvan laita? Onko palveluiden tietoturva todellista vai pelkästään näennäistä? Kuka palveluntarjoajia valvoo vai valvooko kukaan? Näihin kysymyksiin pyrin löytämään vastauksen työssäni.

Kiinteän verkon operaattoreiden VoIP?-palveluiden tietoturva

Osa kiinteän verkon operaattoreista siirtää VoIP?-liikennettä erillisverkoissa. Yksi tällainen toteutus on IPsec VPN Internet-yhteyden ylitse. Kyseessä ei tällöin ole varsinainen Internet-puhelu, koska puhe kulkee erillisverkossa, joka on rakennettu Internetin päälle. Varsinaiseksi Internet-puheluksi tätä ei toki voi kutsua, koska yhdysliikenne muille operaattoreille kulkee valtakunnallisen IP-runkoverkon tai perinteisen puhelinverkon kautta [1]. Tällöin IP-puheella on yhtä hyvä tai parempi suoja kuin perinteisellä puhelinliikenteellä, jota on pidetty tietoturvallisena [2, s. 21]. Puhelinliikenne kulkee Suomessa salaamattomana pääsääntöisesti samoissa valokuiduissa kuin Internet-liikenne [1].

Osa kiinteän verkon operaattoreista siirtää puhetta julkisessa Internetissä. Puheen siirtämisessä Internetissä uhkakohteena ovat salakuuntelun ja liikenteen häirinnän lisäksi myös itse VoIP?-palvelimet ja -päätelaitteet. Internet-puhelimista ja -järjestelmistä on löydetty haavoittuvuuksia, jotka pahimmillaan voivat johtaa järjestelmien kaatumiseen tai siihen että kräkkeri saa koko VoIP?-järjestelmän hallintaansa [2, s. 21]. Esimerkki tietoturvallisesta Internet-puheratkaisusta on ruotsalainen Telepo BCS eli yritystason puheratkaisu, joka on kytkettävissä suoraan avoimeen Internetiin. Järjestelmä sisältää erillisen reunapalvelimen, joka huolehtii Internetissä sijaitsevan päätelaitteen tai ohjelmiston kanssa kommunikoinnista käyttäen SIP/TLS ja Secure-RTP teknologioita, jolloin sekä puhe että signalointi ovat salattuja. Käyttäjien tunnistamiseen käytetään vahvaa todennusta [3].

Suljettujen järjestelmien tietoturva

Skype on vertaisverkkotekniikkaa hyödyntävä puhe-, video- ja pikaviestintäverkko. Keskitetyt palvelimet tallentavat Skype-käyttäjien olinpaikan, kirjautumistiedot ja profiilin, mutta asiakasohjelmien välinen viestintä on päästä päähän AES-salattu [4, s.16]. Skypen saa käyttöönsä rekisteröitymällä Skype-verkkoon. Rekisteröinnin yhteydessä kysytään sähköpostiosoitteen lisäksi perushenkilötietoja, joista välttämättömiä ovat ainoastaan kielen ja kotimaan antaminen. Annetut tiedot näkyvät kaikille Skype-käyttäjille lukuun ottamatta sähköpostiosoitetta. Palveluun kirjaudutaan sisälle käyttäjätunnuksen ja salasanan avulla. Unohtuneet tunnukset on mahdollista tilata sähköpostiosoitteella tai käyttäjätunnuksella sähköpostiin [4, s.16].

AES on tehokas salausmenetelmä, mikäli AES-toteutusta ei ole keinotekoisesti heikennetty tai salausavainten hallintaa ei ole luovutettu kolmannelle osapuolelle. Skypen tapauksessa ainakin jälkimmäinen ehto täyttyy, sillä Skype hallinnoi käyttäjien avaimia omalla palvelimellaan. Skypen salauksen vahvuus on kuitenkin se, että esimerkiksi avoimessa WLAN-ympäristössä käytyä keskustelua on vaikea purkaa.

Miten viestintäviranomaiset suhtautuvat eri viestintäpalveluihin?

Viestintävirasto on ottanut kantaa Skype-palvelun sääntelyyn Suomessa vuonna 2005. Viestintäviraston kannanotto on hyvin seikkaperäinen ja sitä voidaan siten soveltaa myös Viestinviranomaisten toimivallan määrittelyyn suhteessa muihin palveluntarjoajiin, kuten GoogleTalk?. Lausunnossa tuli esille, että Skype koostui juridisesti kolmesta eri palvelusta: Skype Classic, Skype-In sekä Skype-Out. Skype Classic on palvelu, jossa asiakas voi puhua maksuttomia VoIP?-puheluita toisille asiakkaille käyttämällä verkosta ladattavaa sovellusta. Skype-In palvelussa käyttäjä saa suomalaisen puhelinnumeron (E.164), jonka avulla hän voi vastaanottaa puheluita yleisestä puhelinverkosta Skype-sovellukseen. Skype-Out palvelussa käyttäjä saa ulkomaisen E.164 numeron, jonka avulla hän voi soittaa yleiseen puhelinverkkoon, mutta ei vastaanottaa sieltä puheluita. Skype-In ja Skype-Out palveluissa käytetään aina eri numeroita [5].

Viestintävirastolla ei tulkintansa mukaan ole toimivaltaa puhtaasti Internetissä toimivassa Skype Classic -palvelussa, sillä yritys on rekisteröity Luxemburgiin eikä kyseisestä palvelusta ole yhteyttä puhelinverkkoon. Skype-In palveluun toimivalta sen sijaan ulottuu, koska siinä käytetään suomalaista E.164 numeroa. Skype katsottiin Skype-In palvelun osalta palveluntarjoajaksi, eikä pelkästään TDC Song:n jälleenmyyjäksi ja velvoitettiin täten tekemään teletoimintailmoitus. Skype-Out palvelu ei myöskään kuulu suomalaisen viranomaisen toimivaltaan, koska palvelussa ei voi vastaanottaa puheluita ja käytettävä E.164 numero on ulkomainen. Skypeä ei voitu kuitenkaan velvoittaa esimerkiksi toteuttamaan hätäpuheluita, sillä Skype-In palvelusta ei voi soittaa mihinkään muuhunkaan yleisen puhelinverkon liittymään [5].

Mikäli Internet puhepalvelun tarjoaa ulkomaille rekisteröity yhtiö, eikä palvelusta ole mahdollista soittaa yleiseen puhelinverkkoon, kotimaisella viranomaisella ei ole toimivaltaa asiassa. Näin ollen viranomaistahot eivät myöskään valvo käyttäjän etuja (tietoturva, yksityisyys) kyseisissä pelkästään Internetiä käyttävissä ulkomaisissa puhepalveluissa. Lisäksi voidaan todeta, että sopimusjuridiikan avulla palveluntarjoaja kykenee pilkkomaan palvelun pienempiin osiin ja siten minimoimaan viranomaisvalvonnan. Kannanoton perusteella voidaan päätellä myös esimerkiksi Google Talk palvelun kuuluvaksi Viestintäviraston toimivallan ulkopuolelle, sillä kyseisen palvelun tarjoaja on Yhdysvaltalainen yritys, eikä kyseisestä palvelusta voida soittaa puhelinverkkoon tai päinvastoin.

Päätelmät / yhteenveto

Vastaukset ongelmaan tiivistetään tässä luvussa, jonka maksimipituus on sama kuin johdantoluvunkin. Tässä ei toisteta aiempia ilmaisuja eikä viitata aiempiin kohtiin. Toisaalta uusia näkökulmia ei tuoda esille, paitsi ehkä mainintoja siitä, miten työtä voisi jatkaa: syvemmälle tai laajemmalle. Lukija voi lukea vain johdannon ja päätelmät. Päätelmäluku on hyvä, jos lukija tällöin haluaakin lukea, mitä välissä on.

Lähteet

  • [1] Järvi, Jussi. Haastattelu kiinteän verkon operaattoreiden puhepalveluiden tietoturvasta. 02.11.2011.
  • [2] Viitala, Juha. VoIP?:n tietoturva ja soveltuvuus julkishallintoon. 2007. Lopputyö. [https://publications.theseus.fi/handle/10024/11904] Luettu 02.11.2011.
  • [3] Telepo Ab. Solution description. Versio 3.5. [http://www.telepo.com/beta/wp-content/uploads/docs/solution-description-3-5-r1c.pdf] Luettu 03.11.2011.
  • [4] Jarva, Olli. Pikaviestinnän tietoturva. 2009. Lopputyö. [http://olli.jarva.fi/kandidaatintyo_pikaviestinnan_tietoturva.pdf] Luettu 03.11.2011.
  • [5] Viestintävirasto. Viestintäviraston kannanotto Skype-palveluiden sääntelystä Suomessa. 2005. Kannanotto. [http://www.ficora.fi/attachments/suomiry/1156442751417/Skype_final_Finnish.pdf] Luettu 03.11.2011

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Kehitteillä
Tyyppi Esitys
Luokitus Verkko
Mitä Useita
Miltä Useita
Missä Useita
Kuka Tite-maallikko
Milloin Päivittäin
Miksi Muu toimijan ja hänen yhteisönsä ulkopuolinen tekijä
Print version |  PDF  | History: r14 | r12 < r11 < r10 < r9 | 
Topic revision: r11 - 01 Dec 2011 - 22:15:09 - HeidiL?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback