keskiviikko 22. toukokuuta 2024

Traficomin ja Helsingin kaupungit tietovuodot - panikoida vai ei?

Mitä enemmän Helsingin kaupungin tietomurrosta ja tiedostojen kopioinnista tihkuu tietoja, sitä rumemmalta tapaus alkaa näyttää. Tämän päivän uutinen kertoo, että

  • kyse on jaetusta levystä, jolla on yli 10 miljoonaa asiakirjaa
  • koska kyse on verkkolevystä, vuotaneita tietoja ei voi jäljittää lokien perusteella
  • hyökkääjä on korottanut oikeuksiaan ja päässyt ylläpitäjäksi, mikä on avannut pääsyn kaikkiin tiedostoihin
  • ja aiemmin kerrottiin, että verkkolevyllä on säilytetty myös tietoa Santahaminan varuskunta-alueen yksiköiden asiakkaista sekä mahdollisesti myös ulkomaalaistaustaisten perheiden passinumeroita 
On aina paha merkki, että julki tulevat tiedot ovat aiempaa synkempiä. Se kertoo, ettei tutkijoilla itselläänkään ole tilannekuvaa eikä käsitystä, miten laajalle hyökkääjät ovat päässeet. Tiettävästi mukana on ollut tietoja yksityisistä varhaiskasvatusyksiköistä sekä oppilaitoksista ja vuosina 2005-2018 syntyneiden lasten ja heidän huoltajiensa henkilötunnukset, osoitteet, lapsen äidinkieli, kansalaisuus sekä uskontokunta.

Kaikki tietoja, jotka GDPR:n vuoksi pitäisi suojata erityisen hyvin. Helsingin kaupunki on selvästi jättänyt suojaukset puolitiehen. Oikeuksien korottaminen ylläpitäjäksi antaa ymmärtää, että myös sisäverkon palvelimet ovat jääneet päivittämättä.

Jo kolme viikkoa on mennyt ilman kiristystä tai muuta rikollista toimintaa. Onneksi henkilötunnusten perkaaminen miljoonista dokumenteista ja niiden yhdistäminen muihin henkilötietoihin ei ole helppo operaatio. Tiedoilla voi tehdä lähinnä kiusaa, suuria rahoja niillä ei voi ansaita. Tilanne olisi pahempi, jos tiedostot olisi kryptattu ja kaupungilta vaadittaisiin nyt miljoonalunnaita. Toisaalta verkkolevy on poistettu käytöstä, joten työt ovat joka tapauksessa pysähtyneet. Tämä on siis myös palvelunestohyökkäys.

Ymmärrettävästi uhrit (eli kaupunkilaiset) ovat erittäin vihaisia. Näillä tiedoilla en silti vielä maalaisi uhkaa kansalliselle turvallisuudelle. Medialla on taipumus dramatisoida, mikä lietsoo pelkoa ja epäluottamusta kansalaisiin. Siksi yritän itse pikemminkin vähätellä kuin liioitella uhkaa. Digimaailmassa kaikki on mahdollista, mutta kannattaa ensi sijassa keskittyä siihen, mikä on realistista ja mikä tiedetään varmaksi.

Helsingin varjoon on jäänyt Traficomin tapaus. Tietoja rekisteristä hakevan toisen yrityksen nimissä Trafilta on haettu 65 000 autoilijan nimi, kotiosoite ja hetu. Kyse on autoista, joiden rekisterikilpi on  väliltä AAA-nnn – ALJ-nnn, ja joiden omistaja ei ollut kieltänyt tietojen luovutusta "liikenteeseen liittyviin tarkoituksiin".

Rekisterin perusteella yksi tietovuodon uhreista (paitsi, jos hän oli kieltänyt tietojensa luovuttamisen).

Tämä on jopa vaarallisempi tapaus, ovathan tiedot valmiina tietokannassa ja niitä on jo yritetty hyödyntää verottajan luottotietorekisterissä. Tekijä lienee kotimainen, joten jäljittäminen on helpompaa kuin ulkomaisen hakkerin.

Ironisinta kaikessa on lähestyvä GDPR:n syntymäpäivä. Kolmen päivän kuluttua tulee kuluneeksi 6 vuotta siitä, kun siirtymäaika loppui ja kaiken piti olla kunnossa. Niin paljon aikaa, rahaa ja kahvia on uhrattu GDPR-koulutuksiin ja ohjeistamiseen, ettei tällaisia pitäisi enää voida sattua.

Varsinkin Helsingin kaupungin tapaus näyttää johtuneen monista virheistä ja laiminlyönneistä. Traficom on eri juttu, siinä kyse ei edes ole tietomurrosta, vaan luvattomista tietopyynnöistä.

12 kommenttia:

Zarr kirjoitti...

Tuo "koska kyse on verkkolevystä, vuotaneita tietoja ei voi jäljittää lokien perusteella" on täyttä paskapuhetta. Vaikka kyse ei olisi murtautumisesta niin kyse on oletettavasti joko Windows Serveristä tai Linuxilla Samballa toteutetusta verkkojaosta.

Kummassakin saa audit-logit päälle ja näkee satavarmasti kuka on mitäkin tiedostoa käyttänyt.

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/audit-file-share

Koska levyllä on ollut noinkin paljon arkaluonteista tietoa, auditlogien pitäisi olla päällä ihan oman henkilökunnankin toiminnan valvomiseksi!

Petteri Järvinen kirjoitti...

Windows-palvelimella voi lokittaa vaikka kaikki tiedostojen avaukset, jos halutaan. Se voi kuitenkin olla epäkäytännöllistä, jos tiedostoja on tosiaan yli 10 miljoonaa, ja jos kyse on käyttäjien (tai tiimien) tilapäiseen käyttöön tarkoitetuista verkkolevyistä. Kukapa niitä seuraisi?

Potilastietojärjestelmissä tilanne on toinen, sillä lokitus on tarpeen ihan lain vaatimusten täyttämiseksi.

Anonyymi kirjoitti...

@Petteri

Zarr on oikeassa, tiedostojen käytöstä saa audit lokit päälle ja se ei käytännössä maksa kuin sen levytilan mitä lokit vievät niin kauan kuin niitä on tarvetta ja laki sallii säilyttää. Toki lokia voi tulla paljon ja siihen tarvitaan työkaluja millä niistä saadaan selvyyttä. Lohduttautua voi sillä että ei niitä työkaluja aina tarvitse ostaa etukäteen ne voi hankkia vasta kun tulee todellinen tarve tai luottaa siihen, että kyllä tutkivilla viranomaisilla on ne välineet rikosta tutkiessa kun on lokidataa mitä tutkia.

Toiseksi, edellisessä viestissä annoit ymmärtää että tiedostoja ei (ehkä) keritty kryptata kun niitä kopioitiin muualle ei minusta oikein kestä tarkastelua.

Koska jos sisällöllä on tarkoitus kiristää organisaatiota tai henkilöitä ja oletetaan että murtautuja on itse tämä tuleva kiristäjä, niin hänellä on kyllä silloin itsellä se avain jolla hän voi ne tiedostot avata jossain muualla vaikka ne olisi ensin kryptattu paikallisesti. Eli hän voi ensin kryptata, sitten siirtää ja sitten kiristää tiedoilla.

Paikalla kryptaaminen ensin kannattaisi, koska tiedostot yleensä ensin kompressoidaan ja vasta sitten salataan. Näin kryptatun datan siirtäminen muualle sujuisi nopeammin ja vähemmällä kaistan kultuksella, jonka voisi liikennettä tarkkaileva ohjelmisto havaita.

Kyseessä oli uutisoidun mukaan ensisijaisesti asiakirjojta, joten ne kompresosituvat yleensä erittäin hyvin. Kompressoinnin jälkeen tehtävä salaus ei sitten enää kasvata juuri kokoa kuin hieman.

Mutta toki, verkossa toimivat rikolliset ovat monenlaisia ja usein erikoistuneita johinkin osa-alueisiin. Siten jos murtautuja oli etsimässä tietoa millä kiristää itse, tai myydä aineistoa eteenpäin jollekin kiristäjälle ja sen vuoksi hän olisi kopoinut tiedostot ensin muualle sellaisenaan ja vasta sitten asentanut kryptaavan kiristysohjelman sinne jonkun toisen rikollisjoukon toimeksiantona ja saaden siitä sitten vielä heiltä korvauksen, niin hänellä ei ehkä olisi avainta tähän ohjelmistoon ja siksi siirto pois ensin ja vasta sitten kryptaus. Näin toimien hän saisi kaksi kertaa tuloa samasta aineistosta.

Tiedostojen määrä jota vuoto koskee on todella merkittävä, mutta ei mahdoton tuon kokoisessa organisaatiossa. Sanomista tulee varmaan asiaa selvitettäessä siitä, että joukossa lienee paljon vanhoja asiakirjoja joita ei enää mitenkään olisi ollut aihetta ja lainmukaista säilyttää niin pitkään. Tai ainakaan enää online järjestelmässä levyllä, tiedostoa voi turvallisemmin säilyttää pidempiä aikoja myös offline arkistoissa ja josta ne täytyy erikseen pyytää saataville.

Sitä hieman ihmettelen kirjoitetussa, että jos hän sai järjestelmäyläpitäjän oikeuden lukea levypalvelimelta, niin kuinka lähellä sitä hän mahtoi olla että hän olisi saanut korotetut oikeudet joilla päästä DC:lle (domain kontrollereille) ja sitä kautta käytännössä päässyt aivan joka paikkaan muillekin vastaaville palvelimille ko. verkossa.

Mutta niin tai näin, sen perusteella mitä on lehdistä luettu vaikka aiheutettu vahinko sen koskettamille ihmisille ja organisaatiolle jota se koskee on merkittävä. Niin en oikein ole oikein tähän mennessä luetusta vakuuttunut siitä, että asialla olisi ollut mikään erityisen osaava taho vaan joku sattuman kaupalla haavoittuvuuden löytänyt ja siihen sopivaa työkalua käyttävä joka on sen ehkä ostanut niitä myyviltä verkossa.

Anonyymi kirjoitti...

milloin pormestari ottaa vastuun ja irtisanoutuu?

Petteri Järvinen kirjoitti...

Hyviä pointteja. Ehkä ajatus on, että kesken oleva salaus paljastuu helpommin kuin tiedostojen siirto, sillä osa tiedostoista saattaa olla parhaillaan jonkun käytössä?

Tiedämmekö edes, mihin kaikkialle hän on päässyt? Tai missä muissa organisaatioissa sama tekijä on vieraillut?

Kiina on kerännyt henkilötietoja tekoälynsä materiaaliksi ilman, että vuotoja on koskaan julkaistu pimeässä verkossa tai niillä on yritetty kiristää. Heitä voisi kiinnostaa ihan tavalliset, sekalaiset asiakirjat. Kunhan spekuloin.

Petteri Järvinen kirjoitti...

En ajatellut niinkään lukitusta vaan sitä, että käyttäjät huomaavat levylle ilmestyvän uusia tiedostoja, joilla on outo pääte (kryptatut versiot), eivätkä enää saa auki aiempia tiedostojaan.

Anonyymi kirjoitti...

@Petteri

Aivan. Käyttäjien taholta murtautumisen huomaaminen tekee ensin siirrosta ja sitten kryptauksest murtautujan itsensä kannalta paljastumisen osalta turvallisemman tavan. Kryptaus ja sitten siirto olisi hänen kannaltaan järkevää vain jos hän voisi ajoittaa sen riittävän pitkään ajankohtaan kun käyttäjät eivät käytä järjestelmää niin pitkään, että molemmat kryptauksen ja siirron ehtisi siinä ajassa tehdä.

Tuota en tullut ajatelleksi ennen tätä, hyvä huomio sinulta.

Anonyymi kirjoitti...

Traficomin tapaus kuulostaa siltä, että jollakin on ollut suunnitelmana kysellä tietopyyntöinä koko ajoneuvorekisterin sisältö. Kyselyt on aloitettu AAA:sta, ja ALJ:n kohdalla Traficom huomannut epäilyttävän toiminnan ja sulkenut tunnuksen. Sinänsä mielenkiintoista, tuliko vastaan kyselyrajapinnassa oleva quota, vai vaatiko kyselyiden estäminen manuaalitoimenpiteitä.

Kiinnijäämisriskin pienentämiseksi kannattaisi kysellä rekisterinumeroita satunnaisessa järjestyksessä, eikä järjestelmällisesti käydä niitä aakkosittain läpi - kovin osaavalta tämä toimija ei siis vaikuta.

Teemu kirjoitti...

En ole niin tarkkaan uutisointia tutkinut, mutta oliko tämä nimenomainen levy aktiivisessa käytössä vai oliko joku jäänne joltain ajalta, kun on siirretty tietoja palvelimelta toiselle?

Petteri Järvinen kirjoitti...

Sinänsä mielenkiintoista, tuliko vastaan kyselyrajapinnassa oleva quota, vai vaatiko kyselyiden estäminen manuaalitoimenpiteitä.

Aina, kun määräksi ilmoitetaan 65000, herää kysymys, onko kyse teknisestä rajasta (64k) vai sattumasta.

En ole niin tarkkaan uutisointia tutkinut, mutta oliko tämä nimenomainen levy aktiivisessa käytössä vai oliko joku jäänne joltain ajalta, kun on siirretty tietoja palvelimelta toiselle?

Uutisoinnin perusteella levy oli aktiivisesti käytössä.

XamiX kirjoitti...

Kuinkahan monessa firmassa Suomessa on verkkojaon logitus päällä? Veikkaan että alle 1%:ssa

Petteri Järvinen kirjoitti...

Jossain tuotekehitysyksikössä voi olla, tai terveydenhuollossa. Tavallisissa organisaatioissa ei varmasti ole.