Vakoilun vuosi 2013


2014-01-10, 08:25 Kirjoittanut Jani Ekqvist

Vuonna 2013 uutisointi tietoturvasta oli synkkää, mutta niinhän uutiset tahtovat aina olla. Minusta rikollisuuden puolella viime vuosi ei kuitenkaan erityisesti erotu edeltäjistään. Aikaisempaa enemmän liikuttiin tiedustelun ja politiikan maailmassa, mutta myös yritykset ovat saaneet osansa.

Kesäkuusta lähtien kestosuosikki on tietysti ollut Edward Snowden ja yksi toisensa jälkeen tipahdelleet paljastukset NSA:n ja CGHQ:n tietoliikennevakoilun laajuudesta. Kohteena ovat olleet niin viranomaiset, poliitikot, suuryritykset kuin tavalliset kansalaisetkin. Ja paljastuihan lokakuussa, ettei edes oma lintukotomme ole ollut turvassa, tosin tekijästä on vielä ainakin poliittinen epäselvyys. MTV:n esiin kaivamien tietojen mukaan ulkoministeriön sisäverkossa on ollut tunkeutujia neljän vuoden ajan, kunnes tilanne selvisi Ruotsin turvallisuusviranomaisilta saadun vihjeen perusteella tammikuussa. Samalla kun maailmalla ryhdyttiin vaatimaan verkkotiedustelun suitsimista, Suomessa murtojen innoittamana on ryhdytty ajamaan viranomaisten valtuuksien laajentamista. Suurille palvelinkeskuksille yksi syy toimia Suomessa on nimenomaan hyvä yksityisyyden suoja, mikä on hyvä pitää mielessä.

Lokakuun lopulla EU:n tietosuoja-asetus koki pahan takaiskun, kun britit viivästyttivät sen toteutusaikataulua yhdysvaltalaisten verkkoyritysten pyynnöstä vähintään vuodella. Asiaan palataan siis aikaisintaan vuonna 2015, ja toiveissa lienee että päättäjiä saadaan siihen mennessä pehmitettyä alentamaan esitettyjä rangaistuksia ja sallimaan henkilötietojen vapaampi käyttö.

Pankkitunnusten kalastelu on vuoden aikana jatkanut kasvuaan ja huijausten laatu on parantunut, kuten odottaa sopii. Marraskuussa poliisi tiedotti tapauksista, joissa huijarit olivat pyytäneet tunnuksia henkilön verkkopankkiin tehdyn rikoksen selvittämiseksi, ja samoihin aikoihin myös S-Pankki kertoi sähköposteista, joissa pyydettiin kirjautumaan verkkopankkiin sähköpostissa olevan linkin kautta "turvallisuussyistä". Ilmeisesti suuria vahinkoja ei tapahtunut, ja ihmiset alkavat vähitellen olla valveutuneita näiden yritysten osalta. Sen sijaan maailmalla luottokorttinumeroita vietiin loppuvuonna taas kymmeniä miljoonia. Brian Krebs raportoi ensin syksyllä varkaiden vieneen Adoben verkkosivujen asiakastietoja ja siinä sivussa useimpien tuotteiden lähdekoodit, ja sitten kesken joulukaupan vähittäiskaupan jättiläinen Target kertoi, että sen kassapäätteiltä oli kopioitu 40 miljoonan kortin tiedot. Korttitiedot ovat jo tulleet myyntiin alamaailman verkkokauppoihin. Tosin luottokorttitietojen varkaudet ovat olleet arkipäivää jo pitkään, kesällä Yhdysvalloissa asetettiin viisi miestä syytteeseen yhteensä 160 miljoonan kortin tietojen varastamisesta, yhteistyössä aiemmin tuomitun miehen kanssa jolla oli tilillään tuomiot 130 miljoonan ja 40 miljoonan kortin varkauksista. Positiivisena uutisena Britanniassa uutisoitiin fyysisten pankkiryöstöjen puolestaan pudonneen kymmenesosaan 1990-luvun lukemista.

Viime maaliskuussa Aalto-yliopisto julkaisi raporttinsa Suomen automaatioverkkojen haavoittuvuudesta. Automaatiojärjestelmiä etsivästä hakukoneesta, Shodanista löytyi vuosi sitten tammikuussa noin 3000 suomalaista Internetiin avointa järjestelmää. Maaliskuuhun mennessä noin tuhat oli saatu suljettua, mutta seurantatutkimuksessa syksyllä avoimien laitteiden määrä oli taas noussut takaisin tuohon kolmeen tuhanteen. Vuodesta 2014 povataan Internet of Things tai jopa Internet of Everything –teemavuotta, ja samalla voimme jäädä odottelemaan koska ensimmäinen merkittävä automaatiojärjestelmän murto Suomessa tapahtuu.

Automaatiojärjestelmien ulkopuolisella Internetillä ei vuosi sujunut paljonkaan paremmin. Anton Kapela ja Alex Pilosov esittelivät DefCon-konferenssissa jo vuonna 2008 miten liikenne voidaan kaapata Internetissä kulkemaan hyökkääjän palvelimen kautta BGP-mainostuksia hyödyntäen ilman että käyttäjä huomaa mitään. Viime vuonna Renesys havaitsi useita hyökkäyksiä, joissa yhteensä noin 1500 verkon liikenne kierrätettiin Valko-Venäjän tai Islannin kautta ennen sen päätymistä oikealle vastaanottajalle. Mitä liikenteelle matkan varrella tehtiin, sitä ei kukaan tiedä, mutta kohteiden joukossa oli eri maiden hallintoa ja suuri VoIP-tarjoaja.

Valitettavasti kun yhdistelee hieman näitä vuoden uutisia, tilanteessa on toivomisen varaa. Avoimia automaatiojärjestelmiä on paljon, ja sadat niistä ovat kriittistä infrastruktuuria. Ulkoministeriön tietojärjestelmissä oltiin huomaamattomina vuosia. Loppuvuodesta Der Spiegel löysi Snowdenin toimittamasta materiaalista 50-sivuisen "postimyyntiluettelon" valmiista murtautumistyökaluista useimpiin käytössä oleviin verkkolaitteisiin. Ei liene kovin kaukaa haettu johtopäätös, että myös muilla suurilla valtioilla on vastaavaa kyvykkyyttä murtautua huomaamattomasti laitteisiin ja jäädä sinne odottelemaan tulevaa tarvetta.


comments powered by Disqus