tiistai 28. kesäkuuta 2011

"Kiusasimme, koska pystyimme"

Tietomurtoja tehtaillut ja yrityksiä häirinnyt hakkeriryhmä LulzSec on päättänyt hajaantua ja julkaissut jäähyväiskirjeen, jossa se paljastaa toimiensa motiivin: teimme kaiken ainoastaan siksi, että pystyimme siihen.

Miten vähäpätöinen, suorastaan halveksittava motiivi! Kiusata nyt toisia vain siksi, että pystyy siihen. LulzSec olisi voinut edes teeskennellä, että se halusi kiinnittää huomiota tietoturvaongelmiin tai ottaa kantaa jonkin yhteiskunnan epäkohdan puolesta.

Mutta ei - hakkerijengi teki vahinkoa vain siksi, että se oli mahdollista. Syyttömien kiusaaminen vahvimman oikeudella on kaikista motiiveista alhaisin. Asiaa ei muuta muuksi se, että vahvuus tarkoittaa tässä yhteydessä älyllistä eikä fyysistä kyvykkyyttä.

Tietoturvasta ei koskaan saada täydellistä. Aina löytyy vähintäänkin yksi heikko salasana, jokin päivittämättä jäänyt tietokone, jokin uusi haavoittuvuus. Yrityksiä pitää velvoittaa normaaliin huolellisuuteen kaikessa toiminnassaan -- myös tietojenkäsittelyssä -- mutta jos aukkoja siitä huolimatta jää, niiden hyödyntäminen on raukkamaista.

Uutinen kertoo, miten poliisin pidättämä LulzSecin jäsen on vasta 19-vuotias. Siinä iässä kiusaaminen ei ole mitenkään tavatonta. Uuden tekniikan ansiosta kiusa kohdistuu epäsuositun koulutoverin sijasta yrityksiin ja ehkä jopa miljooniin nettikäyttäjiin.

Liian suuri valta on nyt kokemattomissa käsissä. Väistämättä herää vaatimuksia netin valvonnan lisäämisestä niin, että kiinnijäämisen riski saadaan riittävän korkeaksi. Vapauteen liittyy aina myös vastuu.

5 kommenttia:

Anonyymi kirjoitti...

Mutta tietoturvassa on fyysiseen turvallisuuteen se ero että siitä on teoriassa mahdollista saada melkolailla täydellistä. Lisäksi hyökkäykset olivat tietääkseni yksinkertaisia, joten mikäli lulzsec sinne pääsi niin ehkä samat vuodetut tiedot olivat jo rikollisten hallussa.

Se että hyökkäys oli mahdollinen oli tässätapauksessa hemmetin hyvä syy hyökätä, koska yleisesti tunnettuja hyökkäysmenetelmiä vastaan pitäisi olla suojassa. Eri asia sitten jos lulzsecillä olisi ollut taskussaan jotain julkaisemattomia reikiä.

Ties vaikka niinkin olisi ollut, esimerkiksi se surullisenkuuluisa HBGary piti hallussaan tuntemattomia haavoittuvuuksia monissa tuotteissa, ja Anonymous murtautui sinne ja vei dataa. Jos sieltä on joku 0day-hyökkäys vuotanut, on voinut tulla aika hemmetin rumaa jälkeä. Sitä voikin sitten miettiä näiden firmojen moraalia ja etiikkaa jotka tuntevat tietojenkäsittelyä vaarantavia haavoittuvuuksia ja tekevät rahaa myymällä tietonsa kenelle vain joka on valmis maksamaan.

Mikään ei tietääkseni kuitenkaan viittaa siihen että lulzsec olisi käyttänyt jotain hienoja hyökkäyskeinoja, pikemminkin ryhmää on nimenomaan syytetty valmiiden työkalujen käytöstä ja rellestämisestä - jotain mitä IHAN KUKA TAHANSA olisi voinut tehdä. Ja juuri siksi asia onkin tärkeä, kuka vain olisi voinut ladata työkalut ja käyttää niitä samoin tuloksin.

Petteri Järvinen kirjoitti...

>Se että hyökkäys oli mahdollinen
>oli tässätapauksessa hemmetin hyvä
>syy hyökätä, koska yleisesti
>tunnettuja hyökkäysmenetelmiä
>vastaan pitäisi olla suojassa

Ei se näin mene.

Se, että ylläpito hoitaa tehtävänsä puutteellisesti, ei anna kenellekään oikeutta aiheuttaa vahinkoa muille -- ei varsinkaan niille, jotka ovat täysin syyttömiä asiaan.

Vaikka kauppias unohtaisi lukita kauppansa oven yöksi, se ei anna oikeutta varastaa tavaroita eikä tehdä ilkivaltaa myymälässä.

Samalla tavalla naista ei saa raiskata, vaikka hän kulkisi vähissä vaatteissa tai yksin pimeällä kadulla.

torvi kirjoitti...

Juuri näin, Petteri. Spot on.

Kaikkein eniten koko "vyyhdissä" on sapettanut se, miten aina eri uutisten alla se ensimmäinen tai viimeistään toinen kommentoija messuaa ihan levottomia puolustuspuheita (ei ihan niin sinnikkäästi kuin persut, mutta lähestulkoon). Miten joku edes kehtaa puolustaa ihan läpiräikeätä tietokoneen väärinkäyttöä, varsinkaan jos ei ole edes omaa intressiä ojassa. Vapaaehtoisesti. Kuinka he jaksavatkaan? Lieventävien asiahaarojen poissaollessa muiden huomiota yritetään kiinnittää vaikka sitten siihen, että toimittajat saati sitten muutkaan ymmärrä näitä asioita ja terminologiakin on ihan väärin janiinpäinpois... jumprahuitti kun on säälittävää puuhastelua, joka hiton kerta sama show.

Kai tämä kaikki liittyy johonkin epic fail -kulttuuriin, jota kaltaiseni vanhuksen on vain kovin vaikea sulattaa.

Anonyymi kirjoitti...

>Se, että ylläpito hoitaa tehtävänsä
>puutteellisesti, ei anna kenellekään
>oikeutta aiheuttaa vahinkoa muille

Pitää paikkaansa, mutta ei muuta tosiasiaa että vahinko on kokoajan odottamassa nurkan takana.

>Vaikka kauppias unohtaisi lukita
>kauppansa oven yöksi, se ei anna
>oikeutta varastaa tavaroita eikä
>tehdä ilkivaltaa myymälässä.

Oikeutuksen puute ei lohduta jos sinne kauppaan kävelee avoimesta ovesta sisään kulkukoira tai vaikka karhu, käytkö siinäkin tapauksessa selittämään miten villieläin toimi väärin? Avoin ovi ei anna kenellekään oikeutta, sensijaan se antaa MAHDOLLISUUDEN.

Miljoonien ihmisten tiedot ovat avoimien ovien takana odottamassa että joku tai jokin kävelee sisään. Aina se ei ole ihminen tarkoituksella tulla juuri sinne, vaan historia tuntee monia viruksia jotka sokkona pistävät saastuneilta koneilta tiedostoja jakoon vertaisverkkoihin. Hyvinkin arkaluontoista dataa voi lähteä kävelemään ilman että kenelläkään on tarkoitus koskea nimenomaan juuri siihen dataan.

Monia hyökkäyksissä käytettyjä turva-aukkoja käytetään muunmuassa roskapostittajien ja muiden kriminaalien bottiverkkojen levittämiseen, ja on kaikkien etu jos JOKAINEN ylläpitäjä on valppaana huolehtimassa palvelujensa turvallisesta toteutuksesta. Eipä ketään taida kiinnostaa palvelimen kaappaus ennenkuin joku käy pystyttämässä sinne lapsipornosivuston.

Alalla on vallassa välinpitämättömyyden kulttuuri, jossa ohjelmointivirheistä ei välitetä eikä tärkeissä järjestelmissä välttämättä ole juuri minkäänlaisia suojajärjestelyjä. Yrityksen johtajilla ei usein ole teknologiataustaa eikä ekonomisti näe järkeä tuhlata rahoja tietoturvaan jos ne uhat eivät koskaan toteudu. Kerrohan viisaampana mitä tehdä että tämä kulttuuri kokee muutoksen? Vaaroista kertominen ei sitä muutosta tee, vaarojen kohtaaminen ja hyökkäysten pelko sensijaan on lähestulkoon ainoa voima joka ajaa turvallisten järjestelmien kehitystä.

Eli kyllä se vain näin menee.

Juho Nuosmaa kirjoitti...

"Because we can" ja "just
because we could" pitää sisällään vahvan poliittisen latauksen, joka unohtuu kun sen kääntää suomenkielelle. Samassa kappaleessa, jossa se ilmaistaan vahvistetaan vielä samaa: "You can get what you want
and you are worth having it, believe in yourself."

Tuolla lauseella viitataan suoraan ihmisoikeuksiin ja tasa-arvon puolesta. He eivät vain kerro kiusanneensa koska pystyivät, vaan käyttäessään noita lausahduksia ilmaisevat tasa-arvoliikkeen historiassa käyttämiä aatteita, joilla on kannustettu ihmisiä uskomaan itseensä ja pitämään puolta. Tuo juontuu tehdasorjien aikaan ja luokkajakoja vastaan. Nykyään niitä käytetään englannissa paljon mm. vammaisten puolesta puhuttaessa.

Koko sisältö, että toimitaan vain koska pystytään siihen taitaa olla suomalaisille vieras ajatusmaailma. Se kuitenkin liittyy juuri meidänkin hyveinä pitämään valinnan vapauteen. Tehdään, koska toisten mielivaltaisesti oikeuden itselleen ottaneiden ei kuulu päättää meidän puolesta. Tehdään, koska valitaan itse ja ollaan oikeutettuja siihen.

Website Security Test