keskiviikko 28. lokakuuta 2020

Vastaamon tietomurto - lue nyt mitä sinun tulee tietää ja tehdä

Mitä on tapahtunut?

  • Vastaamo "vähän" mokasi, ja piti tietokantansa väitetysti "käyttäjänimi salasana" tunnusten takana.
  • Joko hakkeri joka kokeili kepillä jäätä, tai organisaatio jolla on saattanut olla tämä tietokanta hallussaan jo pari vuotta, teki liikkeen. 
  • Tietomurron tehnyt taho on tehnyt tekonsa tiettäväksi, ja julkaissut tietoa siitä oma-aloitteisesti niin netissä, dark webissä kuin jopa tiedotusvälineissä.
  • Lunnasvaade 40 bitcoinia eli ~450k€ eli noin 10€ per potilas, mutta yksittäisille ihmisille lähetetyissä kiristysmaileissa summa on 200-500€ (bitcoineissa)
  • Kiristäjä on myös kaupitellut niitä muille. 
  • Kyseinen taho on tässä vaiheessa levitellyt jo sadan/satojen ihmisen tietoja, sisältäen mm. sotun ja potilaskertomuksen. Mukana kansanedustajia ja poliiseja. 

Tilanne epäilemättä on paha. On esitetty että hakkeroiva taho on sadistinen, mutta allekirjoittanut on sitä mieltä, että kyseessä on pikemminkin psykopaattinen taho, joka ei yksinkertaisesti koe tunnontuskia tiedolla rahastamisesta, joka on oikeasti haavoittuvaisessa ja epävakaassa asemassa olevien kannalta potentiaalisesti tuhoisaa jos se pääsee kaikkien silmille. Miten moni päätyy laidan yli tämän johdosta? Tilanne on kuitenkin sellainen, jossa nämä ihmiset ovat hakeneet apua ongelmiin, josta eivät ilmeisesti ole voineet puhua kenenkään kanssa muuten, ja nyt sitten ne on kaikkien nähtävillä. Tästä eniten kärsivät nämä potilaat, joiden kohtalo on tässä tapauksessa täysin kohtuuton. 

Syyllisiä etsitään. Eräs on syytös tulee Vastaamoa kohtaan - ansaitusti, sillä sen tietoturva oli vastuuseen nähden todella huonolla tolalla. On myöskin esitetty, että se kaikki johtuu rahanhimosta, jolloin on säästetty kunnon tietosuojasta ja myös pihistelty lunnasvaateiden maksussa. Oli miten oli, ei tässä ole muuta syyllistä kuin syyllinen, eli hakkeroinut taho. Se, että joku jättää auton käymään parkkipaikalle ja oven auki, ei ole oikeutus ottaa autoa luvatta käyttöön - oli se miten tyhmästi tehty tahansa auton omistajalta. 

(Hakkeri olisi voinut vaikkapa raportoida tämän aukon Vastaamolle, ja se olisi saattanut saada kaikkien kannalta aikaan win-win-diilin).

Mitä hakkeri sitten teki? Todennäköisesti seuraavaa:

  • Hakkeri saa tietoon serverin IP-osoitteen pingaamalla satunnaisia osoitteita julkisesta verkosta
  • Hakkeri koittaa ottaa yhteyttä serveriin käyttämällä mysql:n vakioporttia, vakiotunnusta ja vakiosalasanaa
  • Hakkeri pääsee sisään ja käsiksi kaikkiin tietokantaan tallennettuihin tietoihin

Vaihtoehtoisesti kyseessä on jo aiemmin tapahtunut tietomurto, joka vasta nyt on otettu käyttöön - tarkoittaen sitä, että nämä tiedot ovat olleet jo pitkään hakkerin hallussa. Mahdotonta tietää, mutta viimeisimmät uutiset osoittavat, että tämä(kin) saattoi olla jo tiedossa, mutta asialle ei tehty mitään.

Nimittäin hakkereilla/hakkereilla voi olla useita eri tietokantoja hallussaan - kautta maailman. Ne sitten tutkivat niitä kun kerkiävät, ja iskevät kun aika tuntuu sopivalta. Esim. Vastaamolta varastettua tietokantaa tutkittu ja silloin tajuttu että rahanarvoista dataa tietokannassa, joten ei muuta kuin selvittämään kenen tietokanta, kuka ylinjohtaja ja lunnasvaade toimitusjohtajan emailiin.

Kun hakkerit löytävät reiän softasta, ne varastavat kaiken mitä ehtivät ennen kuin aukko tukitaan päivityksellä. Myöhemmin ne selvittävät saalinsa arvon.

Tämän kertaiset löydöt viittaavat siihen, että tässä todellakin on kyseessä jäävuoren pää, ja varsinainen onnettomuus on jo tapahtunut aiemmin: tietokanta on varastettu lokakuussa 2018. Todennäköisesti tietomurtautujan/-murtautujien scriptit ovat yksinkertaisesti kopioineet reikäsistä järjestelmistä  tietokannat, joissa tiedot ovat olleet salaamattomina tekstitiedostoina. Aika hyytävää miettiä, jos asia todellakin on ollut näin. 

Ratkaisu?

Yksinkertaista, Watson. Pitää tietoturva aina kunnossa. Sekä ottaa varman päälle ja esim. pitää palvelin vain ja ainoastaan firman sisäisessä intranetissä (virtuaalisessa lähiverkossa), jolloin serveriä ei pääsisi edes pingaamaan kukaan muu, kuin firman tunnukset omaava henkilö.

Auttaa myöskin, jos admin ja password eivät ole root ja root, kuten huhutaan tässä tapauksessa käyneen. 

Ahneella on paskainen loppu

Tämä tapaus alkaa saamaan lisää hämäriä piirteitä, joiden sylttytehdas on kapitalistinen ahneus. Kuten jo edellisessä kappaleessa tuotiin esille, oli tietomurtoa aiemmin jo pimitetty. Mutta siinä ei ole vielä kaikki, tietoisena siitä, oli toimitusjohtaja Ville Tapio muina miehinä myynyt firman osakkeita. Kieltämättä siitä tulee aavistuksen "limainen käytettyjen autojen kauppias" -fiilis. Se myöskin saa hieman kyseenalaiseen valoon tietoturvan laiminlyömisen, joka alkaa näyttämään siltä, että voittoa on maksimoitu, ja sellaiseenhan ei kuulu panostaminen asiakkaiden hyvinvointiin - kuten Fundamentti on asian ilmaissut, ei terveyden ja hyvinvoinnin pitäisi koskaan olla rahanhimon tyydyksen motivoimaa, vaan pikemminkin kutsumusala. 

Kuva niljaisesta kokoomusliskosta tulee väkisinkin mieleen, kun tässä kehyksessä tämän sankarin tiedetään kritisoineen Facebookin julkisesti näkyvissä päivityksissä säätelyä ja viranomaisvalvontaa. Sekä kannattaneen terveyspalveluiden siirtämistä yksityisille, unohtamatta sitä, että hän myös kannattaa pääomasijoittajayhtiöille suunniteltua verovapautta, "jotta saadaan rahaa markkinoille".

Kapitalismi on syöpä. Sen ainoa päämäärä on maksimoida voittoa, ja johtaa rikkaiden rikastumiseen, jossa ei ole mitäään väliä sillä että tallataanko näiden voittojen mahdollistajia matkalla. Niin monet tarinat me tiedämme, joissa pääomasijoittajat ovat ahneuksissaan aiheuttaneet surkeutta ihmisille, ja tämä viittaa samaan sylttytehtaaseen - tietoturvapuute ja tietomurto salattiin, jotta voitot voitaisi maksimoida. Ongelma kirjaimellisesti myytiin pois. Tai ainakin yritettiin. 

Tältä pohjalta vaikuttaa siltä, että tässä on kaksi opportunistista rikollista kyseessä - hakkerin ollessa se toinen. 

Tämän pohjalta terveydenhuollon yksityistämisen jatkaminen ja yhteisten rahojen hakkaaminen heille on osoittautunut epäonnistuneeksi projektiksi. Ihmisten henkilökohtaisilla tragedioilla rahastaminen on näemmä johtanut nyt heidän tragedioidensa lisääntymiseen. 

Alussa allekirjoittanut omasi sympatioita Vuotamon pomoa kohtaan, mutta nyt alkaa tuntumaan siltä, että nuo vääryydellä hankitut rahat tulisi käyttää asiakkaiden korvauksiin. Ahneella totisesti on paskainen loppu!

Mutta, asia tutkittakoon loppuun, ennen lopullista tuomiota. Tällä hetkellä nimittäin näyttää siltä, että lynkkauskandidaattien ykkösenä on hakkeri ja hyvänä kakkosena tämä finanssipelejä pelannut toimitusjohtaja. 

Hakkerit vai hakkerit?

EI ole tiedossa, että onko kyseessä hakkeri, vaiko hakkereita. Yksityinen vaiko järjestö. Suomalainen vaiko  ulkomaalainen taho. Jotenkin intuitiivisesti tulisi mieleen, että se saattaisi olla suomalainen taho - ainakin eräs heistä - sillä jotenkin kotimaisen firman targetoiminen sekä kotimaisille foorumeille  ja laudoille yhteydenottaminen äkkiseltään tuo mieleen, että tässä taitaa olla kyseessä joku kotimainen taho. Myöskin jälki - jos se ei ole hämäys - joka johtaa Inkooseen, vahvistaisi tätä hypoteesiä. Mutta varmaa tietoa ei vain ole. 

Tietomurron juuret ovat myöskin syvemmällä. Se mitä yksi hakkeri tekee, sen voi tehdä toinenkin. Näin ollen on hyvinkin mahdollista, että alkuperäinen kiristäjä kiristää vain Vastaamoa, ja loput ovat huomanneet saman ja ovat esim. vastuussa yksityishenkilöiden kiristämisestä. (Alkuperäinen kiristäjä todellakin targetoi vain ja ainoastaan Vastaamon - tosin, voihan olla, että tämä yksityishenkilöiden härkkiminen on suunnitelma B, sillä Vastaamo kieltäytyi maksamasta.)

Toisena skenaariona on, että kiristäjältä on karannut kontrolli saaliiseensa, ja se yrittää nyt kotiuttaa niin paljon rahaa kuin mahdollista, sillä levinneet tiedot on nyt myös "yksityisyrittäjien" käsissä, jotka tulevat myöskin apajille. Tämän puolesta todistaa ainakin se, että huhujen mukaan muut kuin itse alkuperäinen hakkeri, on levittänyt Suomen silmääpitävien tietoja. 

Tästä pääsemme viimeiseen tekstin osioon, siihen joka varmasti koskettaa eniten juurikin tietomurron yksittäistä uhria:

Lunnaat - maksaa vaiko ei?

Kiristäjä tässä tapauksessa iskee surutta vyön alle, ja pelaa ihmisten alimmilla vaistoilla, kuten häpeällä ja paniikilla. On täysin ymmärrettävää, että näin henkilökohtaisia tietoja ei kukaan halua kaiken kansan nähtäville, vaan ajatus maksamisesta kieltämättä tuntuu houkuttelevalta. 

Mutta, mietitään asiaa järjellisesti. 

Kiristämisen psykologiasta on tiedettävä se, että sen lisäksi että se iskee näihin primaalisiin vaistoihin, se luo myöskin uhrilleen illuusion kiristäjän "vallasta" ja kontrollista. Siinä on perää, ja se on osatotuus. Koko totuus puolestaan on siinä, että kyllä, valta on tällöin uhrin itsensä ulkopuolella siinä mielessä, että kiristäjällä on valta-asema tässä tilanteessa. Mutta kiristettävällä on puolestaan valta siinä, että antaako hän kiristäjälle sen, mitä kiristäjä haluaa - rahaa. 

Tämä on kiristäjän pelin maali. 

Fakta kuitenkin on, että kiristettävän pitäisi suhtautua asiaan stoalaisesti, ja ajatella pahimman skenaarion jo tapahtuneen. Niin vaikealta kun se tuntuukin, sillä se voi vielä kääntyä niin, että hänen pelkonsa on ollut turha, mutta sen sijaan kiristäjä ei voita mitään. 

Toinen fakta on, ettei ole olemassa mitään takeita siitä, etteikö kiristäjä 1. olisi myynyt jo tietoja 2. ne olisi muidenkin käsissä (näin epäilemättä on käynyt, siitä edempänä lisää) 3. hän ei kiristäisi myöhemmin lisää, kun huomaa heikkouden uhrissaan. Kiristäjällä on täten mahdollisuus maksimoida voittonsa, myös jatkossa. Harkitse myöskin seuraavaa: Jos nyt maksat kiristäjälle, sinä tällöin todistat sen, että tietosi ovat siinä määrin sensitiivisiä, että olet valmis maksamaan niiden poistosta, ja se tarkoittaa sitä, että olet nyt merkitty potentiaaliseksi kupattavaksi. Et voi saada mitään taetta tietojesi poistosta, mutta maksaminen meinaa sitä, että olet valmis maksamaan. Katoa siis harmaaseen massaan, haihdu, ja älä profiloidu kiristettäväksi. Sama pätee myöskin kiristysmaileihin - älä vastaa edes. Toimita ne viranomaisille ja toimi ohjeiden mukaan. 

Parempi olisi kerätä potti palkkioksi kiristäjän kiinnisaamiseksi.

Nyt, kun pysähdyt ja mietit: voisiko joku kenties ilmiantaa tämän tahon, jos tuo kiristämänsä potti tai edes osa siitä annettaisi hänelle siitä hyvästä?

Vastaamon käsistä mopo on jo karannut. Tilanne on sietämätön, koska ei ole olemassa mitään takeita siitä, että siihen voisi vaikuttaa alistumisella tai millään - vain virkavallan ja valkohattuhakkereiden deus ex machina voi auttaa.

Palatkaamme vielä siihen mahdollisuuteen, jonka mukaan tiedot joilla on kiristetty olisi kompromentoitu muutenkin. 

Hakkeri julkaisi darkwebissä 10gigan edestä potilastietoja. Kun lasketaan, on näiden julkaistujen 300 potilastiedon yhteiskoko on 2.4 mb. 1000 potilastietoa on siis n. 8 mb Arviolta 45.000 potilastietoa pitäisi siis olla 360 mb. Huhujen mukaan hakkerin julkaisema 10 gigan tiedosto - johon olisi mahtunut 1 250 000 potilastietoa - on sittemin vedetty pois, tarkoittaa kahta asiaa: joko tietokanta on vielä isompi, tai sitten kyseinen hakkeri puijasi uteliaat lataamaan itselleen viruspaketin. Joten jos uteliaisuus tappoi kissan, se voi kostautua tässäkin tapauksessa niille jotka päättivät mennä lueskelemaan tietoja, jotka eivät heille kuulu. 

Mainittakoon, että jos nyt näiden tietojen lukeminen on moraaliltaan kyseenalaista, lienee se myöskin laitonta. Tämä kannattaa jokaisen uhrin nyt muistaa. Eli jos olet tietomurron uhri, ja joku tulee kiristämään tai kuumottelemaan, on laki silloin puolellasi.


2 kommenttia:

J. Jörgensen kirjoitti...

Kovin pieniksi laskee blogisti yksittäisten potilaiden tiedostot. Jos 1000 tiedostoa on vain 8 Mb,eli 8000 kb, niin yksi tiedosto olisi vain 8 kb. No, kyllähän 8 kiloon jotain mahtuu, mutta tuskinpa tiedostot ihan pelkkiä ascii tekstejä ovat. Varsinaisista tekstinkäsittelyohjelmista tallennettavissa tiedostoissa on mukana aina muotoiluohjauksia, yms. Nykyisin yleiset pdf-tiedostot ovat varsin tyypillisesti semmosen 80-100 kb / A4 sivu. Tietysti, jos tiedostot ovat kompressoituja vaikkapa jollain zip tai rar -virityksellä, niin sitten 8 kiloon kyllä menee koko lailla paljon dataa.

XeimA kirjoitti...

Hyvä pointti! Mielestäni vain tuossa noin suuressa tiedostossa on jotain hämärää, etenkin kun väitetysti nuo tiedostot olivat salaamattomassa txt muodossa, jossa tuo hakkeri tai hakkerit ne olisivat imuroineet. Lisäksi epäilen aika vahvasti sitä, että ne olisivat niitä vaivautuneet muokkaamaan.

Eräs epäilys joka tapauksessa on, että jos noin huonolla tolalla oli tietoturva, etteikö useammallakin hakkerilla olisi saattanut olla niihin pääsy.