Tietomurrot ja -turvallisuus

[Vieraissa]

Mietityttääkö tai pelottaako tietojärjestelmien turvallisuus?

Perustilanne on sellainen, että tälläkin hetkellä ympäri maailmaa on tuhansittain (miljoonittain?) tietojärjestelmiä, joihin kuka vain voi helpostikin hyökätä, sillä sopivia työkaluja on netti pullollaan. Ja haavoittuvuuksia skannataan maailmanlaajuisesti koko ajan. Vapaan Internetin ideologian perusteella anonymiteetti on oikeus, joten varsin kohtuullisella tietotekniikan ymmärryksellä ja "järkevin" kustannuksin voi suorittaa rikollista toimintaa (tai hyökkäysyrktyksiä ylipäätään) jäämättä nalkkiin.

Vastaamon keississä ihmetyttää tiedon kohteina olevien ihmisten kiristäminen. Ymmärrän, että kukaan heistä ei halua tietojensa joutuvan ulkopuolisiin käsiin, mutta ketä oikeasti kiinnostaisi yksittäisen henkilön mielenterveystiedot: kavereita, työnantajia vai ketä? Julkisuuden henkilön kiinnostusarvo on toki korkeampi, mutta ihmetyttää sekin, esim. mitä kukaan tekisi tiedolla, että naapurustossa asuva henkilö on mieleltään bi-polaarinen? Tai miksi ralliautoilijan henkinen tila ketään kiinnostaisi?

Työnantajaa voisi tällaiset jutut kiinnostaa, se olisi ymmärrettvää, mutta samalla kyseisen tiedon hakeminen ja käyttäminen olisi lainvastaista, siis "huonoa" kauppatavaraa.

Murron kohteena olevan yrityksen vuoto voi tuhota.

Yleisemmällä tasolla identiteettivarkaudet/luottokorttitiedot ovat parempaa kauppatavaraa, koska niiden avulla haitan tekemisen lisäksi on helpommin saatavissa myös taloudellista hyötyä.

 

[Mike]

Ohan toi perseestä etenkin siksi, että valmiiksi mahdollisesti epätasapainoisten ihmisten tietoja levitetään. Mutta todellisuus on niin, ettei ketään kiinnosta. Luullaan, että Perniössä asuvan Martan lääkäritiedot kiinnostaa kaikkia mahdottomasti ja että ne leviää netissä kaikille. Mä olen aika paljon SEO virityksiä tehnyt että saa Pakkotoiston ketjut näkymään eikä ole helppoa. Saati sitten että jonkun randomin tiedot koskaan kenenkään näkösälle tulis.

 

[Kuli]

Tietovuoto: Kiinalaisyrityksen urkintalistalla on 794 suomalaista, joukossa poliitikkoja ja heidän lähipiiriään – Katso, miten suomalaiset on jaoteltu

Poikkeuksellinen tietovuoto kertoo, millaiset suomalaiset vaikuttajat kiinnostavat Kiinaa.

yle.fi

Joidenkin maiden vakoilijat noitaki tietoja tutkii ja vertailee muihin tietoihin,sit ku löytyy vähäkään mielenkiintoisempi henkilö ni kansiot kiikutetaan juoksujalkaa Kiristys ja Lahjonta osaston esimiehelle analysoitavaksi.

 

[Vieraissa]

Tietovuoto: Kiinalaisyrityksen urkintalistalla on 794 suomalaista, joukossa poliitikkoja ja heidän lähipiiriään – Katso, miten suomalaiset on jaoteltu

Poikkeuksellinen tietovuoto kertoo, millaiset suomalaiset vaikuttajat kiinnostavat Kiinaa.

yle.fi

Joidenkin maiden vakoilijat noitaki tietoja tutkii ja vertailee muihin tietoihin,sit ku löytyy vähäkään mielenkiintoisempi henkilö ni kansiot kiikutetaan juoksujalkaa Kiristys ja Lahjonta osaston esimiehelle analysoitavaksi.

Pitää paikkansa. Kohteen tulee olla jollain tavalla vaikutusvaltainen, jotta arkaluontoisesta tiedosta on jotain konkreettista hyötyä.

Tuon stoorin inhimillinen puoli oli tämä:
"Kiinalaiset ovat keränneet tietoja ihmisistä pääasiassa avoimen datan lähteistä, kuten sosiaalisen median profiileista.
Lähteinä ovat olleet muun muassa Twitter, Facebook, Instagram ja LinkedIn. Myös uutisartikkeleita on käytetty lähteenä."

Ehkä kannattaisi olla vähän tarkempi, mitä julkisiin palveluihin itsestään paljastaa.

 

[Deleted member 96894]

Kyllä mä toisaalta ymmärrän sen Perniön Martan huolen, koska vaikka valtaosaa ihmisistä ei hittojakaan kiinnosta, lähipiiristä voi hyvin löytyä se työpaikan juorukello, anoppi, naapurinkyylä tai muu noita josta on ihanaa päästä kertomaan kaikille että Martan enaimmäinen mies löi sitä. Toki vois ajatella että mitö sitten, mutta jos asia on alunperinkin Martalle niin kipeä että terapiaa on tarvinnut, niin ei itse välttämättä ajattele niin.

Toisekseen ei ne kaikki Vastaamon keissit oo olleet niin harmittomia että pikkusen nyt terapiaa kun vähäsen pipossa kutittaa. Jos asiakas on itsetuhoinen nuori, niin ajatuskin siitä että asiat leviää kaikille tutuille voi oikeasti romahduttaa. Sieltä voi paljastua mitä tahansa insestistä perheväkivaltaan, ja vaikka normaalit ihmiset nyt osaa olla noita juttuja penkomatta tai lukematta ja vaikka normaali ihminen sellasesta kuullessaan korkeintaan kokis myötätuntoa, aina on niitä jotka tykkää mässäillä sosiaalipornolla.

Ja kun asiakkaina on ollut lapsiakin, oikeasti toivon että heille järjestyy tarvittaessa apua muualta kun Vastaamosta.

Ja toivottavasti tekijä jää kiinni.

 

[maltsu]

Tietovuoto: Kiinalaisyrityksen urkintalistalla on 794 suomalaista, joukossa poliitikkoja ja heidän lähipiiriään – Katso, miten suomalaiset on jaoteltu

Poikkeuksellinen tietovuoto kertoo, millaiset suomalaiset vaikuttajat kiinnostavat Kiinaa.

yle.fi

Joidenkin maiden vakoilijat noitaki tietoja tutkii ja vertailee muihin tietoihin,sit ku löytyy vähäkään mielenkiintoisempi henkilö ni kansiot kiikutetaan juoksujalkaa Kiristys ja Lahjonta osaston esimiehelle analysoitavaksi.

Ehkä hieman agenttielokuvien värittämä käsitys, uskoisin että täälläkin kerätään dataa esim. mitä tyyppejä Venäjän päättäjät on ja mistä naruista vetää jos tulis jotain neuvottelua tai tilannetta. Ei se nyt sitä välttämättä tarkoita, että haa ton mutsi ei osaa uida, kiristetään sillä! Olishan se nyt outoa jos pressa ja pääministeri menis kysymään supolta mitä tyyppejä Venäjän ministerit x ja y on, niin vastaus olis, hyi-hyi Sauli ei tollasia saa kysyä.

 

[mikasa90]

Just eilen tuliviestiä hus:lta että ”olemme panostaneet tietoturvaan”. Toki eiköhön taitavat tietokoneen käyttäjät pääse varmaan minne vaan mut vastaamon keississä omistajat on ollu piittaamattomia. Siel on jätetty kertomatta tietomurrosta kun olivat myymässä firmaan. Ja sekin et viel käyttäjätunnus/salasanat on luokkaa root/root.

 

[maltsu]

Mietityttääkö tai pelottaako tietojärjestelmien turvallisuus?

Lähinnä veronmaksajana pelottaa niiden hinta, ihan tajuttomia summia tungetaan noihin. Säännöllisin väliajoin joku myyvän tahon asiantuntija pääsee pääuutislähetyksen kertomaan miten tämäkin tietoturva/urkinta/vaikuttamis uhka on niiin kamala ja valtionhallinto maksaa mitä pyydetään, kun Martan terveystiedon vois joku saada tai Putin vaikka mainoksen facebookiin ja siitähän seuraisi yhteiskunnan romahtaminen. Tosiaan jännä juttu että oikeasti arvokkaiden juttujen, niinku pankkitilien, arvo-osuustilien tai luottokorttitietojen turvallisuudesta ei ole mitään haloota.

 

[Vieraissa]

Tosiaan jännä juttu että oikeasti arvokkaiden juttujen, niinku pankkitilien, arvo-osuustilien tai luottokorttitietojen turvallisuudesta ei ole mitään haloota.

Onhan niistä jatkuva haloo. Finanssipuolella hommaan suhtaudutaan yleisellä tasolla sen verran vakavammin, jotta murtoja ei tapahdu yhtä usein.

Käkriäisen Muorin Verkkokauppa saattaa helpommin vuotaa.

 

[Vieraissa]

Toki eiköhön taitavat tietokoneen käyttäjät pääse varmaan minne vaan

Ei verkossa.

Häpeän takia yritykset eivät aina ilmoita murroista. Joskus virheet ovat häpeällisiä, mutta monesti niiden peittely on vielä häpeällisempää.

 

[RSH]

Hyvä tapa suhtautua tietoturvaan on asennoitua siihen niin että on jo korkattu ja mitä se vaikuttaa, poislukien kovemman suojan takana olevat järjestelmä (pankit, terveydenhuolto yms). Jos joku koittaa väittää että on täysin suojattu niin human-factor ylikirjoittaa sen lähes aina samantien.

Yksityishenkilönä vaikka se että kestääkö sen, että kaikki mitä nettiin on laittanut tulis täysin julki. Tai yrityksenä, miten jatkuvuus on hoidettu jos/kun johonkin järjestelmään tulee hattupojat vierailemaan ja vie tiedot ja/tai tuhoaa ne.

 

[Deleted member 96894]

Tosiaan jännä juttu että oikeasti arvokkaiden juttujen, niinku pankkitilien, arvo-osuustilien tai luottokorttitietojen turvallisuudesta ei ole mitään haloota.

No eikö tässäkin miltei ensimmäisenä tiedotettu että asiakkaiden luottokorttitiedot ei menneet. Kortilla kai moni sielläkin maksaa.

 

[Max131]

Joskohan tuosta Vastaamon keissistä muut toimialan firmat oppis sen, että 1) hetuja ei ole mitään syytä tallentaa selkokielisenä kantaan, vaan niistä tallennetaan jollain tiivistefunktiolla laskettu ja suolalla tehostettu tiiviste. Tiiviste saadaan mätsättyä oikeaan hetuun, kun tiedetään tiivistefunktio. Sama homma kuin salasanojen kanssa. Ja 2) hetuja yms. henkilön yksilöiviä henkilötietoja ei laiteta samaan kantaan arkaluontoisten, terveydentilaa koskevien tietojen kanssa. Keskustelin tästä yhden psykologin kanssa, ja hänen kantansa oli se, että terapeutin ja asiakkaan välisiä terapiakeskusteluja ei pitäisi olla ylipäätään mitään syytä tallentaa tietojärjestelmiin. Kenelläkään ei pitäisi olla tarvetta nähdä niitä.

Mutta jo noilla äskeisillä parannuksilla yhden kannan korkkaus ei olisi paljastanut kenenkään hetua ja kenenkään terapiakeskustelut eivät olisi olleet yhdistettävissä suoraan johonkin henkilöön.

En oo tullut lukeneeksi, miten tuohon tietojärjestelmään oli tarkemmin päästy sisälle.

 

[Vieraissa]

Minkähän takia henkilötietojen salakirjoittamista ei tietosuojalaissa vaadita?

Nyt on puhuttu uusista henkilötunnuksista uhreille. Loppuosaako siinä muutettaisiin? Minkä verran se auttaisi, jos henkilötiedot on anastettu?

 

[RSH]

Minkähän takia henkilötietojen salakirjoittamista ei tietosuojalaissa vaadita?

Lakien kautta on hankala määrittää toteutusta suojaukseen, vaihtoehtoja on paljon samaan lopputulokseen. Tietosuoja-asetus tuon osalta onkin aika ympäripyöreä:

f)

niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).

Asetus - 2016/679 - EN - GDPR - EUR-Lex

eur-lex.europa.eu

 

[Destry]

Olen kerran varannut ajan Vastaamon kautta, kun oli tarkoitus silloisen tulevan ex-avomiehen kanssa keskustelemassa ammattilaisen kanssa kertaalleen. Peruin sen ajan kuitenkin, eli ei menty koskaan.

Mutta. Hetu meni ja kiristyssähköposti saapui.

Olen nyt maksanut 30 euroa saadakseni luottotietoni lukkoon, ja sehän mun pitää muistaa jatkossa kahden vuoden välein uusia. Sillä aikaa olen mustalla listalla vakuutus- ja teleoperaattoriyhtiöistä alkaen, eli jatkossa joudun toimittamaan lippulappusia joka paikkaan, jos pitää tehdä jotain sopimuksia. Maksut menee käteisellä tai olemassa olevilla luottokorteilla, koska laskua en enää saa. On meinaan kätevää elämää tämä, kun on asuntosijoittaja, joka haluaisi hyötyä velkavivusta.

Väestörekisterikeskukseen piti asettaa täydet kiellot, muistaa tehdä muuttokielto(!) ja vielä PRH:lle rekisteröintikielto. Pari rikosilmoitusta (kiristyksestä sekä Vastaamolle harvinaisen paskasta GDPR-toiminnasta). Olen myös lähettänyt Vastaamolle kyselyn, että minkä hlvetin takia heillä on mun henkilötietoni tallesssa, kun EN ole potilas.


Että näin henk.koht.näkökulmasta katsottuna tässä on aika paljon pelissä. Paljon laajempi asia kuin vain se, että onko noloa käydä terapiassa ja että pitäisikö se saada normalisoitua. Puhumattakaan tosiaan noista todella pahoista tapauksista, joissa on puitu jotain insestiä tms. Valmiiksi kärsineitä riivataan lisää.

 

[Kuli]

Supon päällikkö Vastaamon varastetuista potilastiedoista: ”Tiedustelupalvelut voivat olla hyvinkin kiinnostuneita”

Koronaviruspandemia lisäsi kybervakoilun määrää. Erityisesti Venäjä ja Kiina kohdistavat Suomeen systemaattista kybervakoilua.

www.is.fi

Kyllä ihmisten heikkoudet oli ne sit sukupuolisia,poliittisia,terveyteen liittyviä tai vaikkapa sukulaisuussuhteita on edelleen aseita jonkun käsissä.

 

[mikasa90]

Kirjoitteliko kiristäjä suomalaiselle nettifoorumille? Kiihkeä spekulaatio käynnissä

Kiristäjän mahdollista toimintaa Redditissä spekuloidaan verkossa kiihkeästi

www.is.fi

REDDIT-KESKUSTELUPALSTAN /r/Suomi-ryhmässä spekuloidaan parhaillaan, onko Vastaamoa kiristänyt verkkorikollinen osallistunut palstalla käytävään keskusteluun.

Kiristyksen alettua viime viikon keskiviikkona Redditiin luotiin käyttäjätunnus juuri ennen Vastaamo-murron tuloa julkiseksi. Suomeksi viestitellyt käyttäjä hyökkäsi useita kertoja sanallisesti Vastaamoa ja sen toimintaa vastaan. Tämän lisäksi hän kritisoi neuvoja olla maksamatta lunnaita ja spekuloi sillä, että darknetin käyttäjät tuskin ehtivät lataamaan kokonaan kiristäjän Tor-sivuilleen tarjolle laittamaa 10 gigatavun tiedostoa.

Tiedoston uskotaan sisältäneen Vastaamon koko tietokannan sekä mahdollisesti ohjelmakoodia, jota murrossa käytettiin. Tiedosto tuli ladattavaksi vähäksi aikaa viime perjantaina mahdollisesti vahingossa.

Kun käyttäjälle huomautettiin hänen luoneen tunnuksensa juuri kiristyksen alla, osa viesteistä ja yksi keskustelunavaus katosivat. Käyttäjä ehti kirjoittaa yhteensä viitisenkymmentä viestiä. Viimeiset viestit nähtiin viime sunnuntaina.

Myös asiaa tutkiva F-Securen tietoturvajohtaja Mikko Hyppönen pyysi asiasta lisätietoja keskusteluketjun aloittajalta.

IS:n tietojen mukaan Reddit-keskustelu on poliisin tiedossa, eikä siitä tarvitse enää vihjata.


Spekulaatioketjun aloittanut kirjoittaja on täydentänyt alkuperäistä viestiä tiedolla, että nimimerkki hiljeni saatuaan kirjoituskiellon palstalle.


Vaikka varsinaisia todisteita asiasta ei ole, spekulaatio leviää nopeasti netissä ja keskusteluketjun suosio kasvaa koko ajan.


Tällä hetkellä moni uskoo kiristäjän olevan suomalainen tai toimivan yhdessä suomalaisen kanssa. Varmuutta asiasta ei kuitenkaan ole.


KIRISTÄJÄN uskotaan olleen verkkokeskusteluissa hetkittäin hyvinkin aktiivinen. Hän julkisti kiristyksen alun perin Ylilauta-keskustelufoorumilla. Kun ketju poistettiin, hän siirtyi viestittelemään pian suljettavalla pimeän verkon Torilauta-foorumilla. Siellä kiristäjäksi uskottu henkilö heitteli hetkittäin hyvinkin lyhyitä sutkautuksia.

Vastaamon ja sen asiakkaiden kiristäjä on synnyttänyt verkossa merkittävän auttamisen halun. Poliisia ovat avustaneet niin motivoituneet tavalliset netinkäyttäjät, ”nettietsivät”, kuin valkohattuiset eli eettisesti toimivat hakkerit.


Poliisi on aiemmin ilmoittanut avun olevan tervetullutta murtautujan kiinni saamisessa, mutta muistuttanut että tiedon on oltava laillisin keinoin hankittua.

Juttua muokattu kello 11.12: Viestien katoamisen takana on mitä todennäköisimmin ylläpidon toiminta.
-------------------------------------------------------------------------------
Oletetaan toi jää kii, niin eihän toi saa edes kovaa?

 

[maltsu]

No eikö tässäkin miltei ensimmäisenä tiedotettu että asiakkaiden luottokorttitiedot ei menneet. Kortilla kai moni sielläkin maksaa.

Ei kai nyt luottokorttitiedot tuonne tallennu?

Ilmeisesti siis saaneet henkilötunnuksen ja nimen ja osoitetedot + noita potilastietoja.

Kait se vakavin skenaario, että pystyis avaamaan pankkitilin, sais pankkitunnukset tehtyä ja sitten jonkun pikavipin otettua. Mutta ei toi nyt ihan helppoa ole, muutenhan noita olis jo tehty satoja tässä välissä. Onko tehty yhtään?

 

[RSH]

Eikös henkilötunnuksella pysty tilaamaan monesta verkkokaupasta laskulla tavaraa ? Onko siinä mitään tarkempaa tarkistusta ?