tiistai 10. maaliskuuta 2015

Hei, tässä on turva-aukko - mitäs minä nyt teen?

Olipa tämä 10.3.2015 todellinen tietoturvan superpäivä! Talentumin Kybertalkoot-seminaari, Baswaren laskutusohjelman haavoittuvuus, väitetty Facebookin salakuuntelu -- sekä näyttävästi yleismedioissa uutisoitu TEKESin tietomurto (alkuperäinen, hieman liioitteleva juttu). Näistä viimeinen tapaus ansaitsee muutaman kommentin ja pohdinnan.

Olet it-ammattilainen ja täyttämässä web-lomaketta, kun huomaat siinä olevan tietoturva-aukon. Jokainen alalla toimiva tietää, mitä tehdä sen jälkeen: ottaa yhteyttä joko sivuston omistajaan tai kyberturvallisuuskeskukseen. Tämä on oikeaoppinen ja ainoa laillinen toimintatapa.

Mutta asiassa on toinenkin, inhimillinen puoli. Kukaan ei halua huutaa sutta turhaan. Ennen kuin ilmoittaa aukosta on pakko varmistaa, että kyseessä on tosiaan aukko, josta pääsee sisään järjestelmään. Ovestakaan ei voi tietää, onko se lukossa vai ei, ennen kuin on tarttunut kahvaan ja kokeillut.

On myös helppo kuvitella, että aukko herättää uteliaisuuden. Hei, mihin kaikkialle tästä pääsee? Entä jos kokeilen toista parametria? Mitähän tiedostoja tänne palvelimelle on säilötty? Yksinkertaisimmillaan koko tietovarasto kopioituu omalle koneelle yhdellä kopiointi- tai esim. wget-käskyllä.

Tässä tapauksessa aukon löytäjät ilmoittivat siitä itse TEKESille, joka tutki lokejaan ja havaitsi, että aukon kautta oli tosiaan ladattu muiden lähettämiä hakemuksia. TEKES teki rikosilmoituksen poliisille, joka pidätti miehet kuulusteluja varten ja tutkii nyt tapahtunutta törkeänä petoksena.

Rikosnimike kuulostaa oudolta; pikemminkin kyseessä olisi tietomurto. Näillä on iso ero, sillä petoksesta voi saada neljä vuotta vankeutta, tietomurrosta vain yhden. Ero vaikuttaa ratkaisevasti siihen, millaisia pakkokeinoja poliisi voi käyttää tutkinnassaan.

On vaikea kuvitella, miten oikeudettomasti ladatut TEKES-hakemukset voisivat täyttää törkeän petoksen tunnusmerkistön. Vielä suurempi kysymys on, miksi tekijät ilmoittaisivat itse teostaan uhrille.

Hakkerit perustelevat usein tietomurtoja sillä, että kohdejärjestelmä oli huonosti suojattu. Ajatuksena kai on, että jos ovessa on huono lukko tai avain on unohtunut paikalleen, sisään saa mennä vapaasti. Näinhän ei tietenkään ole. Murto on murto, jos pääsy on oikeudeton ja tahallinen.

Uutisoinnissa kaikki moitteet ovat kaatuneet tekijöiden niskaan. Ehkä jotain vastuuta kuuluu myös TEKESille itselleen. Järjestelmiin ei saa jäädä niin yksinkertaisia aukkoja, että niihin törmää vahingossa. Asiakastietoja sisältävien palveluiden on oltava tietoturvallisia. Ylläpito kantaa siitä oman vastuunsa.

Kuka muu on mahtanut huomata saman aukon? Onko joku vienyt tietoja ja jättänyt ilmoittamatta asiasta uhrille? Tätä emme tietäisi vieläkään, elleivät uusimmat tekijät olisi ilmoittaneet asiasta oma-aloitteisesti. Mutta samalla he saivat niskaansa raskaat syytteet. "Poliisi pitää rikosepäilyä erittäin vakavana", siteeraa Iltalehti tutkintaa johtavaa rikostarkastaja Jukkapekka Risua.

Niinpä sinä, tavallinen it-ammattilainen, muista tämä: jos törmäät vahingossa nettipalvelussa olevaan aukkoon, ilmoita siitä oitis eteenpäin äläkä pengo asiaa ominpäin. Epävarmoissa tapauksissa on varminta jättää ilmoitus kokonaan tekemättä, jotta et itse joudu hankaluuksiin. Kyllä sen joku hakkeri kuitenkin löytää -- sitten joskus.

Lisäys 17.3.2015: Iltalehti ei kursaile - sen videolla naamioitunut tekijä näyttää omalta koneeltaan, miten kokoomuksen web-sivuilta löytyy wp-confit.php-tiedoston unohtunut varmuuskopio, joka puolestaan avaa pääsyn koko järjestelmään.

Lisäys 18.3.2015: Ja mitä tehdä, jos ilmoitus uhrille ei tuota tulosta

3 kommenttia:

Anonyymi kirjoitti...

" Asiakastietoja sisältävien palveluiden on oltava tietoturvallisia. Ylläpito kantaa siitä oman vastuunsa."

Mikähän mahtaa olla se vastuu tässä tapauksessa, kuka saa varoituksen,huomautuksen, potkut.

Millainen haavoittuvuus on ollut?

Kuka on toimittanut moisen järjestelmän, sen haluan ja vaadin
saada tietää veronmaksajana.

Anonyymi kirjoitti...

"I don't ask permission, I ask forgiveness."
- Vanha hakkeriperiaate

Anonyymi kirjoitti...

Hieman epäilen, että vastuuseen oikeasti laitetaan ketään.

On aika selvää että TEKESissä Valtion virastona olisi tullut noudattaa VM:n Vahtiohjeita ja mainitun kaltaisen ongelman löytyminen heidän tilaamastaan & käyttämässään järjestelmästä indikoi, että näin ei ole tapahtunut.

Johto ei ole ollut siellä oikein tehtäviensä tasalla, se on selvää.

Toiminnot voi ulkoistaa, mutta vastuuta ei voi palvelun hankintasopimuksilla ulkoistaa -- ei vaikka usein johto niin luuleekin.

ks. 7/2006
MUUTOS JA TIETOTURVALLISUUS, ALUEELLISTAMISESTA ULKOISTAMISEEN – HALLITTU PROSESSI
-VAHTI ohje, sivu 17.

Toiselle anonyymille, armoa ei tarvitse kenenkään pyytää saati anoa, joka ei ryhdy mihinkään laittomaan mistä voi jäädää kiinni.