perjantai 28. lokakuuta 2022

Vastaamo-kiristäjän jäljillä - se oli sittenkin hovimestari?

Vastaamon tietomurto järkytti suomalaisia 21.10.2020, kun vyyhdin uutisointi alkoi. Tasan vuotta myöhemmin poliisi kertoi seuraavansa jälkeä ulkomaille. Tänään, lähes tarkalleen kaksi vuotta tapahtuman jälkeen, poliisi kertoi antaneensa kansainvälisen pidätysmääräyksen 25-vuotiaasta suomalaisesta.

Tekijäksi epäilty Kivimäki tuomittiin Espoossa 2015 yli 50 000 automatisoidusta hakkeroinnista mm. Yhdysvaltojen tietojärjestelmiin. Hänen profiilinsa sopii hyvin Ransom_man-nimimerkin toimintaan. Kaksivaiheinen kiristys nousevalla vaatimuksella oli harrastajamainen viritys, johon ammattilainen ei koskaan lähtisi. Epäilty on siten "poliisin vanha tuttu" ja tietoturvapiireissä tuttu, mikä on melkeinpä pettymys. 

Näinkö yksinkertainen tapaus olikin? Melkein kuin se, että murhaajaksi osoittautuu hovimestari (vanha sanonta, en muista yhtään dekkaria missä hovimestari olisi oikeasti osoittautunut murhaajaksi). Todennäköisesti poliisilla on ollut vahva epäily tekijästä alusta lähtien. Ongelmana on vain ollut saada hänet yhdistettyä hakkerointeihin, jotka tapahtuivat kenenkään huomaamatta paljon aiemmin, ja joiden digitaaliset jäljet olivat jo ehtineet kylmentyä.

Olisi kiinnostavaa tietää, miten poliisi on kaksi vuotta käyttänyt. Virallisen selityksen mukaan tutkijat ovat käyneet läpi aineistoa teratavukaupalla, miljoonia sivuja. Eri lähteistä poliisille on kertynyt valtava määrä lokitietoa, mutta sen seulonta koneellisesti on melko tehokasta. Etsitään vain ip-osoitteita ja aikaleimoja sopivilla ehdoilla.

Uskoisin, että paljon aikaa on kulunut tietopyyntöihin eri maiden operaattoreille ja kryptopörsseihin. Onneksi muutama uhri maksoi kiristäjän pyytämän summan, sillä edes Bitcoin-siirrot eivät ole niin anonyymejä kuin kuvitellaan. 

Kivimäki on osoittanut rikolliset taitonsa hakkeroimalla ulkomaisia järjestelmiä. Poliisilla täytyy olla vahvat todisteet epäilyjensä tueksi, sillä Kivimäestä annettu pidätysmääräys on vahva toimenpide. Vaikka tekijä olisikin hovimestari, tapauksen mahdollinen selvittäminen on iso sulka Suomen poliisin ja KRP:n hattuun. Tähän asti kyberrikollisia on saatu kiinni lähinnä vain tapauksissa, joissa he ovat itse rehennelleet teoistaan. Veikkaanpa, että KRP:llä otetaan tänään perjantain kunniaksi porukalla hyvin ansaitut oluet.

Tapaus osoittaa, että lain koura on pitkä ja toimii myös verkkomaailmassa. Hakkerointi ei totisesti ole helppoa. Taitavakin tekijä tekee inhimillisiä erehdyksiä. Yhdysvaltojen demokraattipuolueen hakkeroinnissa venäläisen tiedustelupalvelun Guccifer 2.0 -hakkeri unohti kerran kytkeä VPN-yhteyden päälle, mikä mahdollisti ip-osoitteen jäljittämisen GRU:n pääkonttoriin Moskovaan.

Aamun uutinen on mainio, mutta homma ei ole vielä maalissa. Syytteen nostaminen ja tuomioon riittävän näytön kokoaminen vaatii vielä paljon työtä. Rikosnimikkeet ovat kuitenkin sen verran vakavia, että teot eivät vanhene ainakaan kahdeksaan vuoteen. Rangaistus on myös oleva paljon kovempi kuin se kahden vuoden ehdollinen tuomio, johon Kivimäki tuomittiin alaikäisenä tehdyistä hakkeroinneista.

Vastaamon uhreja tuleva tuomio voi hieman lohduttaa, mutta vahinkoja se ei poista. Uhrit kärsivät seurauksista vielä pitkään. 

"London based investor" Aleksanteri Kivimäki

Lisäys: "En ole osallistunut rikolliseen toimintaan sitten teinivuosieni, ja kadun niitä toimia syvästi”, epäilty kirjoittaa Twitter-tilillään nimellä Aleksanteri Kivimäki

Profiilissaan hän mainitsee olevansa Lontoossa, jo pidemmän aikaa. Jos tieto pitää paikkansa (tässä jutussa mikään ei ole varmaa), poliisin oli varmasti helppo jäljittää hänet.

tiistai 25. lokakuuta 2022

Tunnin juna tuo Suomen lähemmäksi

"Tunnin juna" -hanke herättää monenlaista kiinnostusta. Varsinainen tunnin juna olisi uusi, suorempi yhteys Helsinki-Turku-välille, jossa rata nyt tekee pitkän lenkin etelään siellä olevien kaupunkien palvelemiseksi. Suorempi raide Helsingistä Turkuun nopeuttaisi matkan tuntiin.

Toinen "tunnin juna" on Helsinki-Tampere-yhteys, joka virallisesti käyttää nimeä Suomirata. Kansikuvassa raiteet muuttuvat lentokoneeksi ja slogan "Suomirata tuo Suomen lähemmäksi" viittaa... no jaa, en tiedä oikein mihin, sillä Tampereen ja Helsingin välisen yhteyden nopeutuminen ei paljon muuta Suomea hetkauta.

Huomasin aiheen herkkyyden viime viikolla, kun kävin junalla Tampereella. Twitter-postaukseni herätti paljon kommentteja. Omassa somekuplassani nopeammalla raideyhteydellä on paljon puoltajia, mutta vielä enemmän vastustajia.

Tunti 17 minuutin juna Tikkurilasta Tampereelle.

Matka-aika Tikkurilasta (lentokentän vuoksi) Tampereelle on aikataulun mukaan tunti 17 minuuttia. Tällä kertaa juna oli jopa hieman etuajassa, joten matka-aika lyheni vielä neljällä minuutilla.

Suomiradan "tunnin juna" kulkisi tunnissa Helsingin keskustasta Tampereen keskustaan, mutta pysähtyisi Pasilassa ja lentokentällä. Kaikki pysähdykset ovat myrkkyä aikataululle. Voidaan arvioida, että niihin kuluu hidastuksineen ja kiihdytyksineen yhteensä 15 minuuttia. Varsinaista matkaa lentokentältä Tampereella jäisi siis 45 minuutin ajan. 

Laskin, että viivasuora yhteys lentokentältä Tampereen rautatieasemalle olisi pituudeltaan 149 kilometriä. Matkanopeudeksi tulisi siten minimissään 199 kilometriä tunnissa (käytännössä hieman enemmän, koska viivasuora reitti mene vesistöjen yli). Täysin mahdollista, mutta edellyttää aivan uuden raideparin rakentamista peltojen ja metsien keskelle.

Onko matka-ajan lyhentäminen noin puolella tunnilla ympäristön tuhoamisen ja useiden miljardien kustannusten arvoista? Siinäpä kysymys. Moni kommentoi, että nopeutta tärkeämpää olisi saada netti toimimaan nopeasti koko matkan ja että junat pysyisivät edes nykyisissä aikatauluissaan. Ne ovat työmatkalaisten kannalta oleellisia kysymyksiä. Kaikki pendelöijät eivät kuitenkaan pysty etätöihin työnsä luonteen vuoksi.

Kommentoijien mielestä vajaan puolen tunnin säästö ei ole miljardien arvoista, etenkään kun se ei hyödytä väliin jääviä kaupunkeja, kuten Riihimäki, Hämeenlinna ja Akaa (Toijala).

Toisaalta nykyisen raiteen vapautuminen Tampereelle asti parantaisi paikallisjunien kulkua ja voisi lisätä vuorojen määrää, mikäli vain asiakkaita riittää. Tampere ja väliasemien kunnat eivät ole mitään miljoonakaupunkeja, eikä niistä koskaan sellaisia tulekaan. Vihreän siirtymän nimissä fyysistä liikkumista tulisi pikemminkin vähentää kuin helpottaa.

Entäpä Tampereelta eteenpäin? Junat Jyväskylän ja Oulun suuntaan kärsivät raiteiden vähyydestä, mikä pakottaa odotteluun. Jotta tunnin junasta olisi hyötyä muulle Suomelle, raiteita pitäisi parantaa myös Tampereelta pohjoiseen. Lisää miljardeja peliin.

Viimeinen kortti on nyt niin pinnalla oleva huoltovarmuus. Se kortti onkin mainio, koska kustannuksista ei tarvitse välittää. Olisi hyvä, että pääkaupunkiseudulta kulkisi olisi toinen, nykyisestä kaukana sijaitseva ratayhteys muualle Suomeen - maksoi mitä maksoi. Turvallisuudella ei ole hintaa.

Teknisesti hienompi ratkaisu olisi rakentaa maanalainen Hyperloop-putki tai supernopea maglev-ilmajuna Vantaan lentokentän ja Tampereen rautatieaseman välille. Siinä olisi jotain uutta, mitä voitaisiin myydä osaamisena ulkomaille. 

Ehkä uusi raidepari pitäisi rakentaa EU-standardin mukaisella leveydellä Suomessa noudatettavan vanhan venäläisen mitoituksen sijaan. Mutta miten silloin jatkettaisiin Tampereelta pohjoiseen? Vai pitäisikö miljardit käyttää mieluummin tunnelin rakentamiseen Tallinnaan? Se avaisi junayhteyden suoraan Eurooppaan ja toisi valtavan parannuksen huoltovarmuuteen.

Näkökulmia löytyy vaikka kuinka paljon. Ei käy kateeksi heitä, jotka asiasta päättävät!

Lisäys 31.10.2022: Näkökulmia myös Ylen uutisessa.

lauantai 22. lokakuuta 2022

Onecoin-kiertue Suomessa ensi viikolla

Tommi Vuorinen nimitettiin jokin aika sitten One Ecosystem yhtiön viralliseksi edustajaksi, joka kiertää Eurooppaa, Afrikkaa ja Lähi-Itää levittäen Onecoin-sanomaa. Siperiasta Islantiin, hän luonnehti itse asiaa. 

Tommi Vuorisen uusi webinaari 20.9.2022

Webinaarissa 20.9.2022 Vuorinen kertoo paljon muutakin mielenkiintoista. Suomessa järjestetään joulukuun puolivälissä tapahtuma, johon tulee myös ulkomaisia puhujia. Oikea lohkoketju julkaistaan ensi vuoden alussa Vietnamin kansainvälisessä tilaisuudessa. 

Jos vasta nyt tulee oikea lohkoketju, onko yhtiö ja Vuorinen valehdellut vuodesta 2015 lähtien, kun hän on vannonut lohkoketjun olevan aito ja todellinen? 

Hauska yksityiskohta on, kun Vuorinen kertoo, että 30 euron käyttäjätilin ylläpitomaksu suoritetaan joko Bitcoineina tai USDT:nä. Eikös Bitcoinin pitänyt olla se väistyvä, huonompi valuutta? Onecoinit eivät kelpaa, eivät edes oikeat eurot tai dollarit. 

Vuorinen kertoo myös suomalaisesta laillisuuslausunnosta, joka on valmistumassa vielä lokakuun aikana. En ihan ymmärrä, mihin sillä pyritään. Lohkoketjut ja kryptovaluutat ovat laillisia, kunhan ne ovat ylipäätään olemassa, mutta se ei vielä takaa, että valuutalla olisi koskaan mitään arvoa. Maailma on täynnä arvottomia, ihan oikeita kryptovaluuttoja. Miksi synkän historian painama Onecoin, jonka alkuperäiset puuhahenkilöt ovat joko kadonneet tai vankeudessa, olisi millään tavalla arvokas?

Näitä kysymyksiä voisi esittää Vuoriselle ensi viikolla, jolloin hän kiertää neljä paikkakuntaa.

"Jyväskylä ma 24.10. klo 18-20

Turku ti 25.10. klo 18-20

Tampere ke 26.10. klo 18-20

Seinäjoki la 29.10. klo 15-17

Ennakkoilmoittautuminen vaaditaan rajatun paikkamäärän vuoksi, ilmoittautuminen minulle tommi1611@gmail.com. Tilaisuuden tapahtumapaikka ilmoitetaan ilmoittautuneille edellisenä päivänä. Sisäänpääsy 10 €."

Jostain syystä Onecoin on maakuntien juttu. Tilaisuuksia ei taaskaan ole pääkaupunkiseudulla. Sen luulisi olevan ensimmäinen paikka, jossa Onecoinia kannattaa mainostaa.

Vuorinen kertoo videolla, että yhtiö on nykyään sveitsiläinen. Sehän on hyvä. Nyt saamme vihdoin tietää, millainen johto yhtiöllä on, keitä on sen hallituksessa ja millaisia tilinpäätöksiä Onecoin on tehnyt. Aiemmin Vuorinen on sanonut, ettei yhtiö näytä mitään lukuja kenellekään, niiden kyselijät voivat mennä jonnekin muualle.

Kiinnostava on myös Vuorisen uusi rooli: yhtiön edustajana hän lupaa vastata myös median kysymyksiin. Nyt kaikki toimittajat ottamaan yhteyttä, Vuorinen vastaa monen vuoden tauon jälkeen vihdoinkin Onecoin-aiheisiin kysymyksiin!

Jos joku pääsee em. tilaisuuksiin kuuntelijaksi, olisi kiinnostavaa kuulla kokemuksia joko suoraan minulle tai tämän kirjoituksen kommentteihin.

Lisäys 1.11.2022: Laitetaan tähän vielä mainokset One Ecosystemin kiertueista, niin jäävät jälkipolvillekin ihmeteltäviksi.

One Ecosystem Reform Helsinki 10.12.2022 - Back to where it all began.
One Ecosystem Reform Tukholma 5.11.2022
One Ecosystem Reform Euroopan kiertue lokakuu-joulukuu 2022

Unkari, Norja (huomenna 2.11.2022), Tukholma (5.11.2022), Islanti (8-9.11.2022), Espanja (19.11.2022), Viro (22.11.2022), Latvia (25.11.2022), Kazakstan (28.11.2022), Italia (2.12.2022), Britannia (5.12.2022), Helsiki (10.12.2022) ja Sveitsi (13.12.2022).

lauantai 15. lokakuuta 2022

Facebook-huijarin huono päivä

Nettirikollisuus on isoa bisnestä, mutta kaikki tekijät eivät ole ammattilaisia. Joukkoon mahtuu hölmöjä, joiden rikolliset taidot ovat lähinnä säälittäviä. Herää epäilys, että nämä kaverit ovat nuoria miehiä, jotka jossain pikku kylässä yrittävät ansaita rahaa nettikahviloissa istumalla ja varakkaita länsimaalaisia huijaamalla. 

"Moi, voitko antaa minulla matkapuhelinnumerosi?" -huijaus alkoi levitä vuoden 2021 marraskuussa. Huijari kaappaa Facebook-tilin ja lähettää sen jälkeen uhrin kavereille ilmoituksia, joissa luvataan 8100 euron rahallista voittoa. Pitää vain kertoa oma tilin numero sekä jotain ihmeellisiä koodeja, joita tarvitaan saapuvan maksun vahvistamiseen.

Aina saadessani huijausviestin lähden kiusaamaan huijaria. Viimeksi näin kävi pari päivää sitten:

Hei, voitko antaa minulle matkapuhelinnumerosi?

Vertailun vuoksi aiempi huijaus 8 kuukautta aiemmin helmikuussa:

Aiempi huijaus, erona vain tervehdys.

Käsikirjoitus on aivan sama, vain tervehdys on vaihtunut Moi-sanasta Hei-sanaan. Olisi kiinnostavaa tietää, kuka tämän skriptin on laatinut. Selvästikään sen käyttäjät eivät ymmärrä asiasta mitään. 

Koska fraasit ovat aina samat, Facebookin olisi helppo tunnistaa ne ja lopettaa viestittely yhteisönormien vastaisena. Facebook tarkkailee viestintää muutenkin ja monelle bänni tulee täytenä yllätyksenä. Missä on valvonta silloin, kun siitä olisi jotain hyötyä käyttäjille itselleen?

Puhelinnumeron lähettämisessä ei ole mitään vaaraa, vaikka tietenkin numero voi jäädä huijarien käyttöön ja johtaa myöhemmin huijaussoittoihin. Mitään erityistä en kuitenkaan ole huomannut, vaikka olen jo pitkään levittänyt numeroani huijauksiin.

Kuinka ollakaan, kilpailusta tulee voitto:

Kävipä taas tuuri!

Tämä kuva on helmikuun huijauksesta, voittomäärät ovat aina 4050+4050 euroa ja keltainen onnittelugrafiikka on sekin vakio. 

Sen jälkeen huijari haluaa siirtää rahat ja pyytää tilinumeroa. Annan tietenkin ihan väärät numerot.

Kun koodit eivät toimineet, hän vain toisti pyyntöjä yhä uudelleen ja uudelleen, samoilla perusteluilla. Kun se ei toiminut, hän alkoi pyytää luottokortin numeroita, voimassaolopäivää ja CVV-koodia. 

Tässä yhteydessä näkyy, miten huijari yrittää rakentaa luottamusta vannomalla, että hän toimii oikein ja haluaa vain auttaa. 

"Vannon, että yritän vain auttaa."

Luottavainen suomalainen saattaa jopa uskoa. Minä en tietenkään uskonut. Huijari väitti sinnikkäästi olevansa Leena Espoosta ja kun häntä todisteeksi kertomaan Espoon säätilan, hän ilmeisesti googlasi sen. 

"Vannon olevani Leena"

Yleensä huijari älyää lopettaa, kun huomaa paljastuneensa. Tämä ei tajunnut. Hän vain toisteli yhä uudelleen samoja fraaseja ja vakuutti olevansa Leena. Touhu oli niin säälittävää, että minun piti vähän auttaa häntä. Korjasin, että "odata" pitää olla "odota". On helppo ymmärtää, että huonosti käännöstä vilkaiseva ulkomaalainen tulkitsee odota-sanan dataksi.  Huvittavasti hän lupasi tulla päivälliselle, kun rahat on siirretty. Tämä poikkesi selvästi valmiista käsikirjoituksesta.

"Lupaan nähdä sinut illalla"

Kiistely vääristä koodeista jatkui vielä seuraavanakin päivänä. Lopulta hän uhkasi tehdä minusta rikosilmoituksen.

Uhkaus rikosilmoituksesta.

Yhteydenpito lakkasi, mutta huijari palasi asiaan vielä kolmantenakin päivänä. Hän ei voinut hyväksyä ajatusta, että oli saanut uhrin koukkuun, mutta ei saanut tätä luovuttamaan oikeita tunnuksia, vaikka oli käyttänyt jo kaksi työpäivää aikaa.

Olin yrittänyt saada selville, mistä maasta hän on. Aiemmat huijarit ovat saaneet Microsoftin lähettämään tekstiviestivahvistuksen, jonka kielestä maa käy ilmi, kuten tämä helmikuinen tapaus.

Turkki paljastaa huijauksen.

Jostain syystä tämän huijarin vahvistukset eivät tulleet läpi, mutta sitten hän lähetti avuksi ruutukuvan luottokorttinumeroiden lomakkeesta, ja se oli turkkia. Edellinen huijari oli Kroatiasta, joten nämä eivät ole pelkkä turkkilainen erikoisuus.

Google Translatoria voi käyttää kaksikin. Vaihdoin kielen turkiksi, jolloin hän esitti tyhmää.

En ymmärrä turkkia.

Lopulta huijari kuitenkin näytti tajuavan häviönsä ja sulki Messengerin. Häntä saattoi hieman harmittaa - kolmen päivän työ valui hukkaan. Kuka käski lyödä omaa päätä seinään vielä senkin jälkeen, kun huijaus oli jo paljastunut?

Valitettavasti kaikki nettirosvot eivät ole yhtä typeriä.

maanantai 10. lokakuuta 2022

Käytännön salasanaohjeita vuonna 2022

Tänään 10.10. alkavan digiturvaviikon kunniaksi muutama käytännöllinen ja ajanmukainen salasanaohje. Perinteiset ohjeet (pitkä ja monimutkainen, vaihdettava säännöllisesti ym) eivät enää toimi. Mikä siis salasanoissa on oleellista?

Se kirkastui itsellekin vasta, kun vaihdoin roolia ja kokeilin salasanojen murtamista.

Yritä nyt sitten täyttää eri palveluiden erilaiset vaatimukset... (Vattenfall)

Käytännössä toisen salasanaa on mahdoton arvata. Järjestelmällinen bruteforce-murto on mahdollista, mutta siihen vaaditaan edelleenkin paljon konetehoa. Jo kymmenen merkin salasana tekee väsytysmenetelmän käytön vaikeaksi, ellei kyse ole sitten yrityssalaisuuksista tai valtiohakkeroinnista. 

Oleellista on, ettei salasanaa löydy miltään valmiilta listalta. Suurten sanalistojen koko on jopa 30 gigatavua. Niihin on kerätty salasanoja erilaisista tietovuodoista ja muista lähteistä. Eivät hakkerit lähde murtamaan kaikkia mahdollisia merkkejä, vaan he käyttävät valmiita listoja. 

Harva jaksaa ladata gigatavujen listoja tutkiakseen, onko oma salasana joskus paljastunut jonkun toisen käyttämänä jossain tietovuodossa. Erilaiset tarkistuspalvelut, kuten https://haveibeenpwned.com/ ovat tässä suureksi avuksi.

Google on indeksoinut vuotolistoja, joten voit myös kokeilla salasanan etsimistä hakukoneella. Siinä on toki ilmeiset riskinsä, joten kannattaa olla varovainen. Kuitenkin vanha sanonta "jos salasanasi löytyy hakukoneella, se ei ole salasana" pitää hyvin paikkansa. Oman salasanan pitäisi olla ainutkertainen paitsi omien laitteiden, myös koko internetin sisällön suhteen.

Tärkein ohje on tämä: jokaiseen palveluun eri salasana! On ihan turha luoda 20 merkin mystistä sanahirviötä Ks8,asigl!!,6hzz7BBq ja käyttää sitä eri palveluissa. Jos salasana paljastuu yhdenkin kerran, se päätyy mukaan sanalistoihin ja on sen jälkeen käyttökelvoton. Silloin salasanan pituus ja mutkikkuus ei auta mitään.

Ääkkösiä sisältävät salasanat ovat liki mahdottomia murtaa, koska UTF-koodaus tekee niiden väsyttämisen hyvin työlääksi. Ehkä juuri samasta syystä useimmat palvelut eivät hyväksy niitä. Ääkköset eivät kelpaa wifi-verkkoihin eivätkä Googlelle, vaikka molemmat ovat muuten hyvin sallivia salasanojen suhteen.

Salasanan säännöllistä, proaktiivista vaihtamista ei ole suositeltu enää vuosiin. Neuvoin luopumaan siitä tavasta 11 vuotta sitten kirjassani, ja nykyään myös viranomaiset kehottavat samaan. Vaihtamisesta koituvat käytännön haitat ylittävät siitä saadut tietoturvahyödyt. Salasanaa kannattaa vaihtaa vain, jos sen tiedetään vuotaneen.

Älä koskaan käytä Googlen tai Facebookin tarjoamaa mahdollisuutta kirjautua palveluihin heidän tunnuksellaan, ilman uutta salasanaa. Se sitoo sinut näihin nettijätteihin jatkossakin ja jos jotain sattuu, kaikkien palveluiden turvallisuus vaarantuu kerralla. Juuri äsken Meta varoitti, että 400 haitallista älypuhelinsovellusta (Android ja iOS) oli kaapannut salasanoja Facebook-kirjautumisen varjolla.

Sähköpostin salasana on kaikkein tärkein. Jos sähköpostiin murtaudutaan, rosvo voi kaapata kaikki muut tilit hyödyntämällä olen unohtanut salasanani -toimintoa. Tästä olen saanut nyt syksyllä uhreilta jo useampia yhteydenottoja. Tilanne voi olla todella ahdistava ja tilien saaminen takaisin työlästä.

Älä koskaan kerro salasanaasi ulkopuoliselle kysyjälle, ei varsinkaan puhelimessa. Ne, joilla on tietohallinnon puolesta tarve päästä tilillesi, pääsevät sinne ilman salasanan kysymistäkin. Älä myöskään kerro, millaisia salasanatekniikoita, niksejä tai hallintaohjelmia käytät. Jokainen tiedonmurunen voi helpottaa kohdistettua murtoa. 

Oleellista on myös se, miten salasanoja käytetään. Niitä ei pidä koskaan kirjoittaa vieraalla koneella. Omallakin koneella kannattaa varmistaa, ettei kukaan kurki olan yli. Muistan eräänkin tapauksen, jossa tunnettu turvallisuushenkilö syötti iPadiin PIN-koodinsa niin, että se näkyi ainakin kymmenen metrin päähän.

Monivaiheinen vahvistus (2FA, MFA) antaa merkittävää lisäturvaa ja kannattaa ottaa käyttöön aina, kun mahdollista. Se ei silti ole pomminvarma, ja varsinkin tekstiviesteinä tulevia koodeja voi kaapata tai urkkia erilaisilla kikoilla.

Ja vielä: kannattaa käyttää mieluummin mobiilisovellusta kuin palvelua nettisivulta. Mobiilisovellus on aina turvallisempi.

keskiviikko 28. syyskuuta 2022

Vastaamon tietoturva-asiat olivat täydessä kaaoksessa

Vastaamon toimitusjohtajaa vastaan nostetut syytteet antavat järkyttävän kuvan tavasta, jolla yhtiössä suhtauduttiin tietoturvaan. Hiukset nousevat pystyyn lukiessa sekä Helsingin Sanomien että Iltalehden juttuja tapahtuneesta. 

Muutama esimerkki: virtualisointiohjelma oli piraattiversio, potilasrekisterin root-käyttäjällä ei ollut salasanaa (tämä uutisoitiin jo 2020, mutta sitä ei voinut uskoa todeksi), it-osastolla ei ollut budjettia, tietosuojavastaavalla ei ollut koulutusta asiaan ja niin edelleen. Tietoturvaongelmista ja kiristysviesteistä vaiettiin. Toimitusjohtaja panosti kaiken vain yhtiön laajentamiseen ja sen arvon kasvattamiseen. 

It-asioita hoiti kaksi kaveria, jotka oli palkattu lähinnä koodareiksi kehittämään järjestelmää. Kyberturvallisuuskeskuksen arvion mukaan tietoturvasta huolehtiminen olisi vaatinut 5-6 it-ammattilaisen työpanoksen.

Syyttäjä katsoi, ettei koodareita ole syytä epäillä rikoksesta, sillä he olivat kertoneet ongelmista ja puutteista toimitusjohtajalle. Ilmeisesti myöskään yhtiön hallitusta ei syytetä valvonnan laiminlyömisestä, koska vain perustaja/toimitusjohtaja Ville Tapio on syytteessä.

Tiedot herättävät eräitä ajatuksia.

GDPR on maineestaan huolimatta paperitiikeri. Jättisakot toimivat ulkomaisia nettijättejä vastaan, koska niillä on varaa maksaa, mutta Vastaamon tapauksessa sakoilla ei ollut merkitystä, koska yhtiö oli jo maksukyvytön. Tietosuojalain rikosoikeudellinen vastuu on mitätöntä yli 30 000 uhrille aiheutuneeseen vahinkoon verrattuna. 

Yhtiö voi ilmeisesti nimetä tietosuojavastaavaksi vaikka siivoojan, koska tietosuojavastaava ei nimestään huolimatta vastaa mistään. Tietosuojasta vastaavat toimitusjohtaja ja hallitus. Vastaavan tehtävänä on toimia vain yhteyshenkilönä ja vaikka hänen pitäisi raportoida havaitsemistaan puutteista johdolle tai viranomaisille, tämän laiminlyönnistä ei seuraa mitään.

Yhtiön pitäisi varmistaa, että tietosuojavastaavaksi nimitettävällä on edellytykset tehtävän hoitamiseen. Vastaamossa näin ei selvästikään ollut. Nähtäväksi jää, syytetäänkö tästä Tapiota oikeudessa. Yhtä hyvin hän olisi voinut nimittää vaikka siivoojan. 

Herää myös kysymys, miksi it-henkilö itse hyväksyi nimityksen ja esiintyi Vastaamon sivulla nimen ja valokuvan kera tietosuojavastaavana, jos hän itsekin katsoi, ettei pysty hoitamaan tehtävää. Kuva ja nimi sivulla loivat asiakkaille valheellisen kuvan siitä, että joku oli vastuussa. 

Vastaamon julkinen seloste tietosuojavastaavan tehtävistä.

Rivin katkeamisesta kesken lauseen voi päätellä, ettei koko asiaa otettu vakavasti. 

Näyttää vakuuttavalta, mutta on vain tekstiä bittiavaruudessa.

Oli asema organisaatiossa mikä tahansa, vakavista terveyteen kohdistuvista ongelmista pitäisi olla sekä juridinen että moraalinen ilmoitusvelvollisuus. Lojaliteettivelvoite ei voi estää tekemästä ilmoitus viranomaisille - vaikka sitten nimettömänä - jos johto ei reagoi vaarallisiin käytäntöihin. Se on kansalaisvelvollisuus, vaikka olisi pelkkä asiakas.

Myös viranomaiset voivat katsoa peiliin. Valvirassa järjestelmiä valvoo yksi henkilö, mutta omatekoisia tietojärjestelmiä käyttävän Vastaamon olisi pitänyt olla listan kärjessä. Yksikin auditointi tai tarkastuskäynti olisi viestinyt toimitusjohtajalle, että tietoturvaan on panostettava. Ennen GDPR:n voimaantuloa peloteltiin, että tietosuojavaltuutetun toimisto tulee tekemään tarkastuksia yrityksiin. Vastaamon olisi pitänyt tietojen laajuuden ja arkaluonteisuuden vuoksi olla myös heidän listansa kärjessä.

Viranomaiset kiertävät kyllä valvomassa anniskelulupia, työoloja ja verojen maksua, mutta tietoturvaa ei edelleenkään oteta vakavasti.

It-ammattilainen: tunne vastuusi! Jos näet, että organisaation järjestelmät ovat niin pahasti retuperällä, että ne aiheuttavat vaaraa ihmisten terveydelle, tee nimetön ilmoitus viranomaiselle tai vihjaa vaikka medialle. Vastaamo ei saa toistua.

torstai 15. syyskuuta 2022

Pojat ryöstivät pankin - eikä pankki edes huomannut

S-Pankin tunnistusongelmasta saadut lisätiedot auttavat hahmottamaan tapahtunutta. Pojat olivat huomanneet, että kirjoittamalla verkon kirjautumislomakkeelle satunnaisen asiakasnumeron he pääsivät joko täysin vieraan henkilön tilille tai sitten mitään ei tapahtunut, ja he yrittivät toisella numerolla uudelleen. 

Kirjaimellisesti lapsellisen helppoa. Pojat (no, 16-vuotias päätekijä ja mukana myös vanhempia) olivat sitten siirtäneet rahoja ulos tileiltä, vaihtaneet niitä kryptovaluutoiksi ja käyttäneet makeaan elämään. Yhteensä he ehtivät suorittaa 20.4-5.8.2022 välisenä aikana 53 maksuvälinepetosta (siis luvatonta tilisiirtoa) ja ainakin 150 tietomurtoa (pääsyä toisen tilille, mutta siellä ei ollut tarpeeksi rahaa). Yksi tileistä oli todellinen jackpot - sieltä siirrettiin yli 400 000 euroa.

Käytännössä pojat ryöstivät pankin, saivat 940 000 euron saaliin, eikä pankki huomannut mitään. Käsittämätöntä. Ja samaan aikaan viranomaiset kehottivat kaikkia olemaan varpaillaan Venäjän kyberuhkien vuoksi. Voi pojat, uhka olikin paljon lähempänä. 

Poikien olisi pitänyt tietää, että tällaisesta teosta jää kiinni. Rahojen takaisin periminen voi tosin olla vaikeaa. Onneksi pojat eivät tarjonneet ideaa ammattirikollisille tai ulkomaisille toimijoille, he olisivat voineet rahastaa kunnolla ja pysyä itse tuntemattomina.

Käytännössä S-Pankin virhe mahdollisti vahvan sähköisen tunnistamisen ilman salasanaa. Voi vain kuvitella, miten tällainen virhe oli päässyt syntymään. Koodari kysyy tunnuksen ja salasanan, lähettää salasanan tarkistettavaksi tietokantaan, mutta ei huomioi tietokannan palauttamaa vastausta. Vaikka tietokanta sanoisi "väärä salasana!", koodi jatkaa palveluun käyttäjätunnuksen perusteella.

Virhe ei paljastu testauksessa, koska usein testataan vain sitä, minkä pitäisi toimia - ei sitä, mikä ei saisi toimia. Testaaja on käyttänyt oikeita tunnuksia ja salasanoja, ja kun pääsy on avautunut, hän on kuvitellut kaiken olevan kunnossa. 

Näin alkeellisella virheellä pankkimaailmassa pääsisi Guinnesin Mokailujen Ennätysten kirjaan. Ehkä todellinen selitys on vähän monimutkaisempi, mutta en usko, että paljon.

Pankki sai tiedon asiasta vasta, kun rehellinen valkohattuhakkeri huomasi pääsevänsä sisään väärällä numerolla, ja ilmoitti asiasta. Emme tiedä, oliko joku muukin huomannut asian.

Pankki piiloutuu teknisten selittelyjen taakse, mikä ei ole täysin uskottavaa. Miksei testauksessa huomattu, että väärätkin salasanat toimivat? Miten on mahdollista, että pankilta ryöstetään 940 000 euroa eikä se huomaa, mitä on tekeillä? 

Pankit ovat valvonnan ammattilaisia. Ne valvovat asiakkaiden tilinylityksiä, rahanpesua, luottokortin käyttöä ja -varkauksia, omaa henkilökuntaa... mutta lähes miljoonan menetykset pankki kuittaa vain asiakkaiden omana huolimattomuutena, ja vierittää vastuun heille. 

En tiedä, miten paljon pankilla normaalisti on luvattomia rahansiirtoja neljän kuukauden aikana, mutta miljoonan lisäys kuulostaa silti paljolta. Eikö edes yhdeltä tililtä kadonnutta jättisummaa huomattu?

Paljon kysymyksiä. On ikävä lyödä lyötyä, mutta nähdäkseni kansalaiset ansaitsevat rehellisiä vastauksia. Vain ne voivat palauttaa luottamuksen sähköiseen asiointiin.