lauantai 14. syyskuuta 2013

Tietomurron miljoonat uhrit

Suomalainen kaveri on murtautunut ilmeisesti noin 300 sivustoon ja varastanut niistä käyttäjätietoja: nimiä, käyttäjätunnuksia ja salasanojen tiivisteitä, mahdollisesti myös henkilötunnuksia ja luottokorttinumeroita. Iltapäivälehti laski uhreja olevan satoja tuhansia, Ylen tv-uutisissa puhuttiin jo miljoonista, koska osa murretuista palveluista oli ulkomailla.

Tietomurto on rikos, eikä sitä ole syytä vähätellä. Tässä tapauksessa median uutisointi näyttää kuitenkin liioittelevalta.

Tiettävästi murtautuja ei jakanut käyttäjätietoja eteenpäin eikä hyödyntänyt niitä itse. Tältä osin kyse näyttää olleen wanhanaikaisesta old-school hakkeroinnista, jota tehtiin 1990-luvulla jonkinlaisena älyllisenä haasteena ja ilman rikollista motiivia. Vanhat alustat sisältävät haavoittuvuuksia, joita hyökkääjän on helppo kokeilla ja hyödyntää, vaikka ei haluaisikaan tehdä varsinaista vahinkoa.

Tällaisessa hakkeroinnissa uhrina on lähinnä palvelu ja sen ylläpito, eivät niinkään rekisteröityneet käyttäjät. Uhria ei pidä syyllistää, mutta jos alustat ovat päivittämättä (tai salasanat tallennetaan selväkielisinä!) voi sanoa ylläpidon toimineen ainakin luvattoman huolimattomasti ja siten edesauttaneen rikollista tekoa.

Huolimatonta ylläpitoa voisi syyttää henkilötietolain nojalla, sillä se velvoittaa huolehtimaan henkilörekisterin tietoturvasta. Sen sijaan on kyseenalaista, voiko palveluun rekisteröitynyt käyttäjä nostaa syytteen hakkeria vastaan. Jos käyttäjä ei voi nostaa syytettä, voiko hän silloin olla uhrikaan? Onko yksittäinen käyttäjä hakkerin vai huolimattoman ylläpidon uhri? Onko laissa tässä suhteessa aukko?

Koituuko palveluun rekisteröityneelle käyttäjälle vahinkoa siitä, että joku hakkeroi palvelun ja kopioi käyttäjätiedot itselleen -- hyödyntämättä tai jakamatta niitä eteenpäin? Ainoa seuraus lienee se, että saatuaan tiedon asiasta käyttäjän pitää vaihtaa salasanansa. Tilanne on tietenkin toinen, jos hakkeri jakaa tietoja eteenpäin tai käyttää niitä omaksi hyödykseen.

Viestintäviraston tietoturvayksikkö tiedotti asiasta niukasti. Se kertoi, että palveluihin on murtauduttu ja neuvoi käyttäjiä vaihtamaan salasanansa. Kun ei kerrottu, mitkä palvelut oli murrettu, käyttäjien piti siis vaihtaa kaikki salasanansa. Niitä voi olla yli sata. Ihan kaikkia ei tarvinnut vaihtaa, sillä tiedotteessa kerrottiin, mitä palveluita ei ole murrettu: pankit ja luottokorttiyhtiö Nets. Tämä on uudenlaista, käänteistä tiedottamista.

Kymmenien salasanojen vaihtosavottaan ryhtyminen vain siksi, että joku oli murtautunut jollekin keskustelupalstalle ja kopioinut käyttäjätietokannan itselleen, ei ollut mitenkään perusteltua.

Kriisiviestintä on vaikeaa -- varsinkin kun tilanne syntyy perjantaina työajan jo päättyessä ja poliisitutkinta asiasta on yhä kesken. Tänään lauantaina CERT onkin vedonnut siihen, ettei se halunnut paljastaa haavoittuvien palvelujen nimiä ennen kuin järjestelmät on korjattu.

9 kommenttia:

Markus kirjoitti...

No tuossa viestinnänmuodossa on juuri se pahin dilemma. Jos käyttäjiä käsketään vaihtamaan KAIKKI salasanansa kaikkiin palveluihin, niin tällöin jos palvelua ei ole vielä korjattu, niin myös vaihdettu salasana voi vuotaa. Ennemmin pitäisi kertoa mitkä palvelut on ollu niitä uhripalveluja ja käskeä vaihtamaan salasanansa kaikkiin muihin palveluihin joissa käyttää samaa salasanaa. Ja tietysti käyttäjä ei voi tietää mitä palvelua tulisi välttää kunnes se on korjattu.

Anonyymi kirjoitti...

Mielestäni voisi plla hyvä, että uhrit saisivat jonkun korvauksen.

Olisiko sellainen malli paras, jossa palvelun omistaja maksaa kun viranomainen määrää ja riidelköön sitten tarvittaessa oikeudessa palveluntuottajan kanssa?

Tälläin voitaisiin saada nopeiten tuloksia, koska huonot palveluntuottajat saisivat pahimmoillaan tuplarangaistuksen.

Anonyymi kirjoitti...

Nettipalveluiden sisäänkirjautumisessa pitäisi käyttää varmennusta tekstiviestillä. Lisäksi palveluiden pitäisi lähettää sähköpostilla tieto, jos palvelun tietoja on muutettu tai luettu muualta kuin luotetuista laitteista.

Anonyymi kirjoitti...

Järvinen: "Uhria ei pidä syyllistää, mutta jos alustat ovat päivittämättä (tai salasanat tallennetaan selväkielisinä!) voi sanoa ylläpidon toimineen ainakin luvattoman huolimattomasti ja siten edesauttaneen rikollista tekoa."

Palvelun käyttäjillä on oikeus luottaa, että palvelun ylläpitäjä pitää huolta tietoturvasta, esim. käyttämällä vain turvallisena pidettyjä ratkaisuja ja päivittämällä tietoturva-aukkoja sisältävät ohjelmistot. Näiden asioiden laiminlyönti pettää käyttäjien luottamuksen ja mielestäni pitäisi olla selkeästi kriminalisoitua - ainakin jos palvelun käyttäjänä on kuluttaja.

Petteri Järvinen kirjoitti...

Totta -- jos menen vaikka bussilla, minulla on lupa odottaa että bussinkuljettaja on ammattitaitoinen ja että bussissa on kunnolliset renkaat. Nettipalvelun ylläpitäjällä pitäisi olla samanlainen vastuu perusturvallisuuden järjestämisestä.

Anonyymi kirjoitti...

Järvinen toteaa, että tietoja ei ehkä ole hyödynnetty mitenkään. Tämä on yleensä epävarmaa. Jos tiedot on saatu alkuperäisestä palvelusta kerran kopioitua, voivat ne vuotaa edelleen eteenpäin, ja aina uudet tahot voivat niitä hyödyntää tai vuotaa eteenpäin.

Jos kadottaa kotinsa avaimen, jää aina epävarmuus, hyödyntääkö joku joskus sitä laittomasti. Netissä hyödyntäjiä voi olla paljon, koska ”avaimia” voi helposti monistaa.

Jari kirjoitti...

Kesäkuussa Järvinen kirjoitti, että nyt olisi kysyntää suomalaiselle, tietoturvalliselle sähköpostille...

http://pjarvinen.blogspot.fi/2013/06/nyt-olisi-kysyntaa-suomalaiselle.html

Suomen pienet sivustot ovat kuitenkin selvästi vaarallisia. Todennäköisesti ne käyttävät useimmiten MySQL-kantaa, ja ovat huolimattomasti suojattua. Vaikka palvelimet olisi suomessa, niin ne kutenkin käyttävät kansainvälistä ohjelmistoa, sitäkin todennäköisemmin.

Osmo kirjoitti...

Kun sinä matkustat bussilla, niin maksat matkasta. Paljonko olet maksanut näistä nettipalveluista. Palveluiden rankaiseminen johtaa vain niiden poistumiseen tai siirtymiseen muuall

Erikoista, että kirjoituksensa vähäteltiin rikollisen toimintaa sanomalla, ettei ollut rikollista motiivia. Tietomurto itsessään on rikos, joten siinä aina on rikollinen motiivi takana. Vastuu kuuluu yksinomaan murtajalle. Hänen tulisi saada pitkä vankeus ja elinikäinen tietokoneen, netin ja matkapuhelimen käyttökielto

Petteri Järvinen kirjoitti...

Kun sinä matkustat bussilla, niin maksat matkasta. Paljonko olet maksanut näistä nettipalveluista.

Bussilla on huolellisuusvelvoite silloin, kun kyyti on ilmaista.

Erikoista, että kirjoituksensa vähäteltiin rikollisen toimintaa sanomalla, ettei ollut rikollista motiivia.

Teko voi olla laiton, vaikka siinä ei olisi hyötymiseen tai haitantekoon liittyvää motiivia.

Vastuu kuuluu yksinomaan murtajalle. Hänen tulisi saada pitkä vankeus ja elinikäinen tietokoneen, netin ja matkapuhelimen käyttökielto

Unohtuiko listasta vielä jotain? Raipparangaistus ja häpeäpaalu, kenties?

Vastuu on tietenkin tekijällä, mutta toisaalta tietosuojalaki velvoittaa henkilörekisterin pitäjää huolellisuuteen. Jos rekisteri on helppo varastaa ja sen tiedot luettavassa muodossa voi epäillä, että ylläpito ei ole täyttänyt lain velvoitteita. Siitäkin voidaan rangaista.