maanantai 7. marraskuuta 2011

Jos jopa Anonymous saa hankittua hetuja, niin mihin ammattirikolliset pystyvät?

Suomessa on viime päivinä kohistu tietovuodosta, jossa useiden tuhansien ihmisten henkilötietoja on laitettu levitykseen julkisille nettisaiteille. Syylliseksi tietomurtoihin on nimetty vaaralliselta kuulostava Anonymous-kräkkeriryhmän Suomen osasto".

Ammattilaispiireissä "Anonymouksen" kaltaisia ryhmiä kutsutaan yleisesti skriptikakaroiksi (script kiddies). Heidän tietomurtotaitonsa ovat useimmiten aika vaatimattomat rajoittuen netistä ladattujen valmiiden hyökkäysohjelmien (tai "skriptien") käyttöön ja teknisesti suhteellisen yksinkertaisiin temppuihin kuten SQL-injektioihin. Skriptikakaroista ei siis pitäisi olla juuri vaaraa järjestelmille, jotka on testattu kattavasti ja joiden tietoturva-asiat pidetään kunnossa.

Vaikka roskalehdet kuinka maalailisivat uhkakuvia vaarallisesta "Anonymous-ryhmästä", ei kenenkään kannata mielestäni olla huolissaan heikäläisten olemassaolosta. Todellinen huolenaihe on sen sijaan se, että henkilörekistereitä sisältävät tietojärjestelmät saavat täysin vapaasti olla niin reikäisiä, että jopa nettimaailman pikkuvandaalit voivat päästä niihin noin vain käsiksi. Vähän sama siis kuin jos karkkivaras pystyisi ryöstämään pankkeja karkkivarkaantaidoillaan.

Nettirikollisuus on usein sellaista, ettei sitä edes huomata ellei tekijä varta vasten pidä metakkaa teoistaan. Skriptikakarat ovat aina halunneet julistaa saavutuksensa koko maailmalle siinä missä vakavastiotettavammat systeemikräkkerit ovat pyrkineet pitämään tekonsa piilossa. Näin oli jo 80-luvulla ensimmäisten kräkkerikohujen aikaan ja sama kaava pätee nykyäänkin. On perusteltua olettaa, että isoa huomiota saavat kuvafoorumikäyttäjien kepposet edustavat vain jäävuoren huippua verrattuna siihen, mitä pinnan alla tapahtuu: sillä aikaa kun julkiselle webbisaitille vuodetaan parikymmentätuhatta hetua ihan vain "for lulz", on joku ammattirikollisten ryhmä voinut täysin huomaamatta käydä vaikkapa tekemässa itselleen kopion koko Väestörekisterikeskuksen tietokannasta.

Voisiko tämä sitten olla mahdollista? Ottaen huomioon sen, kuinka valtio ja kunnat ovat viime vuosina niin perusteellisesti mokailleet tietojärjestelmähankinnoissaan, pitäisin jopa todennäköisenä sitä, että monissa kriittisissä valtion järjestelmissä on asiansa osaavien tietomurtajien mentäviä aukkoja. Jos päättäjät kerta toisensa perään hankkivat tietoteknistä osaamista firmoilta, joissa yleisesti kuvitellaan, että kokeneen tekijän voi korvata kymmenellä tai edes sadalla tai tuhannella vastavalmistuneella intialaismaisterilla, voidaan tuskin olettaa, että he ymmärtäisivät ohjelmistotyön laadun päälle sen vertaa että osaisivat vaatia pomminvarmaa tietoturvaa.

Arvon tiedotusvälineiden edustajat voisivatkin siis näin ollen jo vähitellen kääntää valokeilansa pois huomiohakuisista nettihäiriköistä ja heidän trollailuistaan ja kysyä sen sijaan, kannattaisiko ohjelmistotyön laatuun noin yleensä ruveta kiinnittämään vähän enemmän huomiota varsinkin jos hankkeissa on kyse ihan oikeiden ihmisten ihan oikeasta yksityisyydensuojasta.

14 kommenttia:

Anonyymi kirjoitti...

"Arvon tiedotusvälineiden edustajat voisivatkin siis näin ollen jo vähitellen kääntää valokeilansa pois huomiohakuisista nettihäiriköistä ja heidän trollailuistaan ja kysyä sen sijaan, kannattaisiko ohjelmistotyön laatuun noin yleensä ruveta kiinnittämään vähän enemmän huomiota varsinkin jos hankkeissa on kyse ihan oikeiden ihmisten ihan oikeasta yksityisyydensuojasta"

Tähänhän tämän tietovuodon tekijät uutisten mukaan nimenomaan pyrkivät; herättelemään mediaa suomalaisen tietoturvan heikosta tasosta.

Kissis kirjoitti...

viznut <3

Anonyymi kirjoitti...

Jokohan ohjelmistoja ostetaan Kiinasta? Maan kaikki liike-elämä on valtion ja sitä kautta tiedustelupalvelun suorassa valvonnassa, joten jos ohjelmistofirmat lähtevät ostoksille Kiinaan, ei minkäänlaista tietoturvaa kannata edes yrittää.

Anonyymi kirjoitti...

Niin eikös tämä ollut nimenomaan heidän pointtinansa: herättää keskustelua julkisten tietojen turvasta? Eli?

viznut kirjoitti...

En usko, että tietovuodon tekijöillä oli sen kummempaa tarkoitusta tai pointtia kuin jonkinlaisen reaktion aiheuttaminen (heikäläisittäin: "I did it for lulz").

Mitään sellaista selvärajaista ryhmää kuin "Anonymous Finland" ei ole edes olemassa, vaan kuka tahansa kuvalautajonne voi kokea itsensä osaksi heitä ja julkaista heidän nimissään omia trollailujaan ja muita julkilausumiaan. Näillä ei ole välttämättä mitään tekemistä keskenään eikä alkuperäisten tekijöiden kanssa.

viznut kirjoitti...

@Anonyymi 2:32: Kyllähän se jenkkien CIA:kin ujuttelee softiin omia takaporttejaan minkä kerkiää, joten en pitäisi Kiinan hallintoa juuri sen kummempana uhkana tuossa suhteessa.

Anonyymi kirjoitti...

Median on vähän hankala kirjoittaa isommista tekijöistä niin kauan kuin sellaisia ei tule julki. Siksi tämä tempaus, oli tekijät amatöörejä tai ei, on mielestäni pelkästään hyvä asia julkisen keskustelun kannalta.

Anonyymi kirjoitti...

Nettirikollisuus...olisi kiva kuullakin, mihin muuhun tämä rikollisuus netissä perustuu kuin pelkkien kalastusyritysten ja klikkaushelvettien varaan. Ottaen huomioon, että mukaan lasketaan useimmiten myös piratismi.
Kuitenkin kuka tahansa ammattirikollinen tietää, että parempi ottaa uhriksi jo tuntema rahakkaampi henkilö, tehdä alihankintana jollekin toiselle osapuolelle tai sitten julmasti kohdentaa resurssit johonkin sellaiseen mistää saa varmemmin rahaa, kuten nettipankit ja muu rahaliikenne. Tässä suhteessa hieman tuntuu foliohattuilulta, että Aada-mummon lonkkakuvista tai alakerran Peten työttömyysrekisteristä olisi jotain välitöntä rahallista hyötyä. Tietenkin, saattaa olla, mutta useinhan tarvittavat tiedot saadaan laillistakin kautta.

Anonyymi kirjoitti...

No jopas on taas tekstiä, ensi kerralla suosittelemme tutustumaan aiheeseen ennen turhanpäiväisen paskan kirjoittamista, mutta tottahan toki tämä kerää konmentteja <3

Anonyymi kirjoitti...

No jopas on taas tekstiä, ensi kerralla suosittelemme tutustumaan aiheeseen ennen turhanpäiväisen paskan kirjoittamista, mutta tottahan toki tämä kerää kommentteja <3

Anonyymi kirjoitti...

Selvennätkö vielä kiinnostuneelle, Anonyymi 9. marraskuuta 2011 8.39 (ja 8.58), että mikä tuossa kirjoituksessa oli pielessä ja osoitti että kirjoittajan pitäisi perehtyä paremiin aiheeseen? Itse kun en ainakaan siihen ole perehtynyt, niin olisi kiva tietää.

viznut kirjoitti...

Kuulisin kyllä itsekin mielelläni sellaisten ihmisten näkemyksiä, jotka kokevat ymmärtävänsä jostain tässä kirjoituksessa mainitsemastani aiheesta minua enemmän. En tosin usko, että kovin monella ylilauta.fi/b/:n aktiiviseuraajalla on kapasiteettia tähän, varsinkaan sellaisilla, jotka eivät osaa edes perustella ympäripyöreitä heittojaan mitenkään :)

viznut kirjoitti...

Cert.fi:n Koivunen on samoilla linjoilla kanssani Anonymous-trollailujen suhteen ja tuo myös esille vapaaehtoisen tietoturvatyön merkitystä: http://www.mtv3.fi/uutiset/it.shtml/2011/11/1431258

Anonyymi kirjoitti...

Mua ihmetyttää tämä yleinen ylimielinen nillittäminen siitä, miten kunnat, valtionelimet ynnä muut käyttävät HETUa tärkeänä asiana ihmisten tunnistamiseen, kun...no, eikö se nyt ole tärkeä asia ihmisen tunnistamiseen? Käytännöllinenkin vielä.
Tietenkin, on kiva, että on verkkopankkitunnistautumista suositaan enenevässä määrin, mutta kun ei se silleen ole ratkaisu ongelmaan, vaan todella epäkäytännöllinen tapa, ihan fyysisten rajoitteidensa takia.
Aina voidaan itkeä, miten ollaan ajassa jäljestä, mutta eipä hirveästi kukaan tuonut esiinkään oikeasti käteviä vaihtoehtoja. Verkkopankkitunnistautuminen se ei ainakaan ole.