Lontoon poliisi pidätti kuusi Lapsus$-hakkeriryhmän jäseniksi epäiltyä nuorta

[Kaotik]

Kaotik kirjoitti uutisen/artikkelin:
Hakkeriryhmä Lapsus$ on päässyt viime aikoina otsikoihin useampaan otteeseen hakkeroituaan tiensä useamman suuren profiilin yrityksen verkkoihin. Uhreiksi ovat päätyneet ainakin Microsoft, NVIDIA ja Samsung.

Bloomberg uutisoi myöhään edellisiltana Suomen aikaa, että tietoturvatutkijat olisivat päässeet Lapsus$:n johtohahmoksi epäillyn hakkerin jäljille. Aluksi huhutun brasilian sijasta päätekijän olevan 16-vuotias "White" ja "Breachbase" nimimerkkejä käyttänyt teini Englannin Oxfordista. Bloomberg pääsi tekijän jäljille kilpailevien hakkereiden paljastettua hänen henkilötietojaan.

Pian sen jälkeen TechCrunch sai tietoonsa Lontoon poliisin pidättäneen seitsemän ihmistä epäiltynä yhteyksistä Lapsus$-ryhmään. Poliisin antaman lausunnon mukaan se on tehnyt kumppaneineen tutkimuksia selvittääkseen hakkeriryhmän jäsenet. Poliisi kertoi pidättäneensä tutkimusten johdosta seitsemän 16-21 vuotiasta ihmistä, jotka on sittemmin vapautettu tutkinnan ajaksi.

TechCrunch kertoo tietoturvatutkija Brian Krebsin selvittäneen, että 16-vuotias päätekijäksi epäilty teini olisi ostanut muun muassa ihmisten henkilötietojen julkaisuun käytetyn Doxbin-palvelun viime vuonna. Sittemmin hänen kerrotaan luovuttaneen sivuston hallinnan tammikuussa, mutta vuotaneen sen jälkeen koko Doxbinin sisällön. Tämä sai Doxbinin käyttäjät kostamaan tempauksen julkaisemalla paitsi 16-vuotiaan itsensä, myös tämän vanhempien tietoja.

TechCrunchin tietojen mukaan tutkijat pääsivät tekijöiden jäljille näinkin helposti ja nopeasti muun muassa siksi, ettei ryhmällä ole ollut tapana peitellä jälkiään. Lapsus$:n Telegram-kanavalla kerrotaan olevan yli 45 000 tilaajaa ja sen olevan aktiivinen erilaisten yritysten sisäpiiriläisten rekrytoinnissa. Bloombergin mukaan ryhmän jäsenet ovat jopa liittyneet joidenkin uhriksi joutuneiden yritysten Zoom-kokouksiin pilkatakseen niiden työntekijöitä.

Läheet: TechCrunch, Bloomberg

Linkki alkuperäiseen juttuun

 

[user9999]

Perujutut löytyy

Ohjeet ja oppaat yksityishenkilöille | Kyberturvallisuuskeskus

Tietoturvaosaaminen on tärkeä kansalaistaito, joka koskettaa sekä aikuisia että lapsia. Tällä sivulla käsitellään kyberturvallisuuden perussanastoa sekä annetaan ohjeita oman tietoturvan parantamiseen kotona ja työpaikalla.

www.kyberturvallisuuskeskus.fi

 

[Hannibal]

Ne koodaa
Tai jotain...
Tai sit ne ehkä pelaa.. Paha sanoo, kun ei yhtään ymmärrä. Mutta täytyy siitä olla jotain hyötyy kun se osti itelleen upouuden Ferrarin...

 

[Ormu]

No siinä ei kauaa kestänyt. Mitähän tekijöiden mielessä on liikkunut, kun ei jälkiä viitsitä kovin kummoisesti peitellä.

 

[leffo]

Niin vikahan ei ole missään systeemeissä joissa on pääsee lauma teinejä sisään etänä. Meinaan noin nopea kiinnijääminen ei oikein kuulosta kovan tason osaajilta.

 

[dataaja95]

EI vittu mitä menoa, liitytään firmojen etäkokouksiin ja pilkataan työntekijöitä. Itse kuvittelin tämän ryhmän takana olevan kovatasoisia ammattilaisia. Asenteesta ja toimintatavoista päätellen ryhmä olikin lauma keskenkasvuisia scriptkiddiejonneja.

 

[kurkimies]

Niin vikahan ei ole missään systeemeissä joissa on pääsee lauma teinejä sisään etänä. Meinaan noin nopea kiinnijääminen ei oikein kuulosta kovan tason osaajilta.

Verrattuna Vastaamon tapaukseen, jossa on kestäny yllättävän kauan tutkinta

 

[Griffin]

No, toivottavasti saavat perseilystään kunnon selkäsaunan..
Ai niin, eihän niitä nykyisin..
No... on se 20V ja enemmän velkavankeuttakin jotain..

Alaikäisten töppäilystä myös vanhemma täyteen vastuuseen, tietenkin ja tarvittaessa omaisuuden täydellinen ulosmittaus..

 

[maajussi]

Niin vikahan ei ole missään systeemeissä joissa on pääsee lauma teinejä sisään etänä. Meinaan noin nopea kiinnijääminen ei oikein kuulosta kovan tason osaajilta.

Vaikka jostain yrityksen toimitiloistakin jäisi vahingossa joku kattoluukku tms. auki ja siitä teinit menisi sisään pöllii kamaa tai sotkemaan paikkoja niin ei sekään mitenkään hyväksyttävää olisi tai "systeemin /yrityksen vika".

 

[egaD]

Vaikka jostain yrityksen toimitiloistakin jäisi vahingossa joku kattoluukku tms. auki ja siitä teinit menisi sisään pöllii kamaa tai sotkemaan paikkoja niin ei sekään mitenkään hyväksyttävää olisi tai "systeemin /yrityksen vika".

Tottakai se olisi esim. vartiointifirman syy jos eivät ole muistaneet/viitsineet tarkistaa että ovet ja ikkunat on lukittuna. Sit jos joku ajaa tankilla pääovesta läpi niin voidaan miettiä olisko vartiointifirmalla ollut mahiksia estää murtoa.
Jos joku persoonallisuushäiriöinen teini pystyy murtautumaan isojen firmojen systeemeihin ja dumppaamaan huonosti suojattua lähdekoodia tai pahimmassa tapauksessa käyttäjien tietoja niin on mun mielestä perusteltua epäillä yrityksen aliarvioineen/pihistelleen tietoturvansa kanssa, jolloin syyttävä sormi pitää suunnata yrityksen johdon suuntaan.

 

[Griffin]

Tottakai se olisi esim. vartiointifirman syy jos eivät ole muistaneet/viitsineet tarkistaa että ovet ja ikkunat on lukittuna. Sit jos joku ajaa tankilla pääovesta läpi niin voidaan miettiä olisko vartiointifirmalla ollut mahiksia estää murtoa.
Jos joku persoonallisuushäiriöinen teini pystyy murtautumaan isojen firmojen systeemeihin ja dumppaamaan huonosti suojattua lähdekoodia tai pahimmassa tapauksessa käyttäjien tietoja niin on mun mielestä perusteltua epäillä yrityksen aliarvioineen/pihistelleen tietoturvansa kanssa, jolloin syyttävä sormi pitää suunnata yrityksen johdon suuntaan.

On melko ihmeellistä syyttää jotakuta muuta vahingon teosta, kun vahingon tekijää.
Vaikka kuinka ei olisi ulko-ovi lukossa, niin silti se on TÄYSIN sen rosvon vika, joka rosvoaa kamaa.

Ei voi olla niin typerää, että kaikki pitää lukita ja suojata siten, että ei hajoa ihmisvoimin, koska mulkut eivät ymmärrä, mikä on toisen omaisuutta ja mitä ei saa varastaa / tuhota.

Vaikka järjestelmässä ei olisi salasanoja jne ollenkaan, niin se ei oikeuta millääntavoin ilkivaltaan tai varkauksiin.
Toivottavasta rangaistukset on sellaiset, jotta noiden ei tarvitse normaalia elämää miettiä muutamaan kymmeneen vuoteen ainankaan..

 

[Emeron]

Tottakai se olisi esim. vartiointifirman syy jos eivät ole muistaneet/viitsineet tarkistaa että ovet ja ikkunat on lukittuna. Sit jos joku ajaa tankilla pääovesta läpi niin voidaan miettiä olisko vartiointifirmalla ollut mahiksia estää murtoa.
Jos joku persoonallisuushäiriöinen teini pystyy murtautumaan isojen firmojen systeemeihin ja dumppaamaan huonosti suojattua lähdekoodia tai pahimmassa tapauksessa käyttäjien tietoja niin on mun mielestä perusteltua epäillä yrityksen aliarvioineen/pihistelleen tietoturvansa kanssa, jolloin syyttävä sormi pitää suunnata yrityksen johdon suuntaan.

että jos unohdat auton ovet auki kun menet kauppaan, on se ihan omaa syytä kun joku käy keräämässä kaiken rahan arvoisen tai sitten vie vain koko auton. Tekijää ei voi syyttää kun ovet oli auki?

 

[egaD]

On melko ihmeellistä syyttää jotakuta muuta vahingon teosta, kun vahingon tekijää.

Ei minusta, ehkä helpottaa jos et ajattele mustavalkoisesti vaan tajuat että yhteen tapahtumaan on useimmiten useampi (osa)syy. Se onko syy tuomittava on eri asia.

Ei voi olla niin typerää, että kaikki pitää lukita ja suojata siten, että ei hajoa ihmisvoimin, koska mulkut eivät ymmärrä, mikä on toisen omaisuutta ja mitä ei saa varastaa / tuhota.

En usko että mun tarvii selittää sulle miksi näin on jokatapauksessa usein toimittava. Asutaan kuitenkin oikeiden ihmisten seassa eikä muumilaaksossa.

että jos unohdat auton ovet auki kun menet kauppaan, on se ihan omaa syytä kun joku käy keräämässä kaiken rahan arvoisen tai sitten vie vain koko auton. Tekijää ei voi syyttää kun ovet oli auki?

Mitäpä jos et vääristelisi sanojani? En missään sanonut että se on yksin firman syytä. Ja kyllä, jos jätät auton ovet auki niin olet osasyy tapahtumaan; jotkut vakuutusyhtiöt esimerkiksi eväisivät tässä tapauksessa korvaushakemuksesi. Itse olisin ainakin aika vihainen kuskille jos mun tavarat pöllitään autosta, jonka kuski on jättänyt ovet levällään kaupan parkkikselle.

 

[Griffin]

En usko että mun tarvii selittää sulle miksi näin on jokatapauksessa usein toimittava. Asutaan kuitenkin oikeiden ihmisten seassa eikä muumilaaksossa.

Kovemmat rangaistukset, niin olisi ihan hyvin mahdollista siirtyä takaisin, kohti "muumilaaksoa".. Ei huligaanien päänsilittelyillä saavuteta yhtäänmitään hyvää ja toimivaa...

 

[Emeron]

Mitäpä jos et vääristelisi sanojani? En missään sanonut että se on yksin firman syytä. Ja kyllä, jos jätät auton ovet auki niin olet osasyy tapahtumaan; jotkut vakuutusyhtiöt esimerkiksi eväisivät tässä tapauksessa korvaushakemuksesi. Itse olisin ainakin aika vihainen kuskille jos mun tavarat pöllitään autosta, jonka kuski on jättänyt ovet levällään kaupan parkkikselle.

missä vääristelen sanojasi? Koitan ymmärtää tuota ajatuksen juoksuasi. Juuri tuon takia noita, sanotaan nyt nätisti, ajattelemattomia ihimisiä on jotka käy heti kiinni ja varastaa kaiken mitä mahdollista kun näkee tilaisuuden. Saman tien jostain nurkan takaa hyökkää joku joka jaksaa syyllistää omistajaa kun on jättänyt huonosti vahdituksi, melkein on ollu äitin pikkukultien pakko käyttää tilausuus hyväksi.

 

[Heimolainen]

Tottakai se olisi esim. vartiointifirman syy jos eivät ole muistaneet/viitsineet tarkistaa että ovet ja ikkunat on lukittuna. Sit jos joku ajaa tankilla pääovesta läpi niin voidaan miettiä olisko vartiointifirmalla ollut mahiksia estää murtoa.
Jos joku persoonallisuushäiriöinen teini pystyy murtautumaan isojen firmojen systeemeihin ja dumppaamaan huonosti suojattua lähdekoodia tai pahimmassa tapauksessa käyttäjien tietoja niin on mun mielestä perusteltua epäillä yrityksen aliarvioineen/pihistelleen tietoturvansa kanssa, jolloin syyttävä sormi pitää suunnata yrityksen johdon suuntaan.

Entä jos joku antaa niille avaimen? Onko se silloinkin firman syytä? Käsittääkseni nuo on päässyt sisään järjestelmiin, koska joku on luovuttanut niille käyttäjätunnuksen sisään. MS:n tapauksessa pääsivät katselemaan koodeja, mutta eivät muuttamaan mitään, koska pusku vaatii MFA:n.

 

[Anagonda]

Miksi autossa on lukot ovissa ja vanhoissa jopa virtalukossa? @egaD :in mukaan ilmeisesti vain siksi että käyttäjä saa lukita ovet ja nauttii siitä.
Mun mielestä ne lukot on sen takia että on typeryksiä joiden mielestä on ok tuhota toisen omaisuutta jos se jotenkin on vain mahdollista. Eli ovet joudun lukitsemaan jotta nämä lapsukset eivät kävele sisään ja pölli kaikkea.

Mutta aiheeseen, jo ihan ensimmäisestä lapsus uutisesta lähtien mietin että nämä on kyllä oikeille hakkereille aika irvikuva. Tietty jonkun mielestä se on syvää osaamista että pöllii jonkun toisen tunnukset. Vähän sama kuin autovarkaus, että ei siinä paljoa taitoa tarvita jos sinulla on auton avaimet hallussa. Eli jos oikeasti jonkun mielestä se on hakkerointia että urkkii tunnukset niin aika leffamenoksi on menty.

 

[mahead]

Eivät peittele jälkiään? Nyt kävi hakkereilla lapsus...

 

[egaD]

missä vääristelen sanojasi?

Tässä:

on se ihan omaa syytä

Ja tässä:

Tekijää ei voi syyttää

Keksit ihan eri argumentin jota vastaan päätit vastata, mä en missään vaiheessa sanonut että itse tekijää ei voi/pidä syyttää. Se että laitat kysymysmerkin perään ei muuta asiaa jos kysymyksesi ei ole lähelläkään mitä sanoin...

@egaD :in mukaan ilmeisesti vain siksi että käyttäjä saa lukita ovet ja nauttii siitä.

Nyt en kyllä ymmärrä mistä revit ton, eiköhän mun viestistä käy ilmi että lukkojen tarkotus on tehdä tavaran pölliminen vaikeammaksi, eli kasvattaa kynnystä rikokselle ja näin ollen pienentää sen todennäköisyyttä.

Entä jos joku antaa niille avaimen? Onko se silloinkin firman syytä?

Silloin se on mielestäni salasanan vuotaneen tahon syytä (hakkereiden lisäksi). Voidaan tietenkin kysyä olisiko firmalla ollut mahdollista mitätöidä tämä vektori esimerkiksi rajoittamalla tärkeään lähdekoodiin pääsyä etänä.

 

[Spotty]

On melko ihmeellistä syyttää jotakuta muuta vahingon teosta, kun vahingon tekijää.
Vaikka kuinka ei olisi ulko-ovi lukossa, niin silti se on TÄYSIN sen rosvon vika, joka rosvoaa kamaa.

Eiväthän ne poissulje toisiaan, vahingon tekijää voidaan syyttää teosta ja samaan aikaan pitää tietenkin tutkia myös mikä mahdollisti rikoksen.

Jos Osuuspankki säilyttää rahojani kassakaapin sijaan pahvilaatikossa eteisen lattialla, niin ensimmäisenä suuttuisin pankille enkä pitkäkyntiselle.

Kovemmat rangaistukset, niin olisi ihan hyvin mahdollista siirtyä takaisin, kohti "muumilaaksoa".. Ei huligaanien päänsilittelyillä saavuteta yhtäänmitään hyvää ja toimivaa...

Eikös tuo ole aika tutkittu asia, että kovemmat rangaistukset eivät vähennä rikollisuutta? Näin ainakin Suomessa.

 

[Emeron]

on se ihan omaa syytä

Ja tässä:

Tekijää ei voi syyttää

Totta et ollutkaan sinä joka että kirjoitti on systeemissä vikaa, vaan joku muu. Eli joo laitoin sanoja suuhusi erehdyksessä, pahoittelut

 

[Griffin]

Eiväthän ne poissulje toisiaan, vahingon tekijää voidaan syyttää teosta ja samaan aikaan pitää tietenkin tutkia myös mikä mahdollisti rikoksen.

Jos Osuuspankki säilyttää rahojani kassakaapin sijaan pahvilaatikossa eteisen lattialla, niin ensimmäisenä suuttuisin pankille enkä pitkäkyntiselle.

Eikös tuo ole aika tutkittu asia, että kovemmat rangaistukset eivät vähennä rikollisuutta? Näin ainakin Suomessa.

Jos se on kuiva paikka, niin kyllä ne rahat säilyvät hyvin pahvilaatikossakin, kun vain rosvon perkele ei vie niitä. Eli viimekädessä siis rosvon syytä.
Tietysti jos taho (pankki) mainostaa, että pitää turvassa nimenomaan myös rosvoamiselta, niin sitten on sopimusrikos.

Mitä rangaistuksiin tulee:
Jos esim varkaan käsi amputoidaan pois, niin eipä se sillä varastele.

Jos esim netissä rötöstelijän laitteet takavarikoidaan toistuvasti ja vähänväliä, niin se netissä rötöstely vähenee kyllä huomattavasti. Jos taas heristetään vain sormea, niin ei se rötöstely mihinkään vähene.

Jos rosvoilevan tyypin kuva julkaistaan rikosrekisterin kanssa lehdessä, niin kyseisen tyypin liikkeisiin kiinitetään huomiota ja rötöstely ei onnistu. Esim vartiatkin toimivat tunnettujen naamojen kanssa ennaltaehkäisevästi: Kun ko naama huomataan valvontajärjestelmän kautta, niin hetki seurataan ja yleensä käydään toimittamassa ulos, kun on selvää, että ei ole asiakkaana..

 

[FlyingAntero]

Itselle tulee Lapsus$:n tapauksesta hieman mieleen 1990-luvun ruotsalaiset teinihakkerit, jotka murtautuivat NASA:n ja Yhdysvaltojen Ilmavoimien järjestelmiin. Silloin kyse oli enemmänkin harmittomasta uteliaisuudesta kuin rikollisesta toiminnasta. Lapsus$ sen sijaan on kiristänyt uhrejaan, vaikka ei ole suoraan rahalunnaita ilmeisesti pyytänyt?

Joka tapauksessa kannattaa katsoa Hakkerit suurvallan ytimessä -dokumentti, jos aihepiiri kiinnostaa ja dokkari vielä jostain löytyy. Osa ruotsalaisista nuorista päätyi lopulta tietoturvayhtiöihin töihin (olikohan F-secure?).

• Hakkerit suurvallan ytimessä | YLE TV1 | yle.fi

 

[pulatunnus]

Jos esim netissä rötöstelijän laitteet takavarikoidaan toistuvasti ja vähänväliä, niin se netissä rötöstely vähenee kyllä huomattavasti. Jos taas heristetään vain sormea, niin ei se rötöstely mihinkään vähene.

Hmm, jos on konsti millä voidaan heristellä sitä sormea, niin sillä voisi olla vaikutus, eli ilman lähdettä voisin yhtä hyvin uskoa että aika saman tasoinen vaikutus.

Jos rosvoilevan tyypin kuva julkaistaan rikosrekisterin kanssa lehdessä, niin kyseisen tyypin liikkeisiin kiinitetään huomiota ja rötöstely ei onnistu. Esim vartiatkin toimivat tunnettujen naamojen kanssa ennaltaehkäisevästi: Kun ko naama huomataan valvontajärjestelmän kautta, niin hetki seurataan ja yleensä käydään toimittamassa ulos, kun on selvää, että ei ole asiakkaana..

Lehdestä tiedä, se voi olla vähän sekä että.
Mutta jos vartijat tunnistaa taparikollisen (myymälä varas), niin se kyllä saa vartijan huomion.
Mutta näpistysten osalta tuomio ei ole se juttu, vaan ehkäisevää on ennalta ehkäisy ja varhainen kiinni jääminen, jolloin sitä kierrättä ei pääse edes syntymään. "sormenheristely" riittää pitkälle.

 

[maajussi]

Tottakai se olisi esim. vartiointifirman syy jos eivät ole muistaneet/viitsineet tarkistaa että ovet ja ikkunat on lukittuna. Sit jos joku ajaa tankilla pääovesta läpi niin voidaan miettiä olisko vartiointifirmalla ollut mahiksia estää murtoa.
Jos joku persoonallisuushäiriöinen teini pystyy murtautumaan isojen firmojen systeemeihin ja dumppaamaan huonosti suojattua lähdekoodia tai pahimmassa tapauksessa käyttäjien tietoja niin on mun mielestä perusteltua epäillä yrityksen aliarvioineen/pihistelleen tietoturvansa kanssa, jolloin syyttävä sormi pitää suunnata yrityksen johdon suuntaan.

Muut jo hyvin vastailivatkin sinulle, mutta lisään sen että omassa esimerkissäni nimenomaan käytin vertauskuvana kattoluukkua, joka siis voisi olla auki tai heikosti lukittu. Ja teinijonnien pitäisi nimenomaan kiivetä katolle aukaista luukku päästäkseen ja murtautuakseen sisään. Ei siis kyseessä firman vartioiden huolimattomuus tai etuovi lukitsematta tilanne. Siksi systeemin vika väite on mielestäni täysin väärä.

Vastaamo case tietysti erillainen ja siinä mediatietojen mukaan voikin vierittää paljon syytä firmallekin, mutta näissä Lapsus jutuissa nyt ei niinkään, kun ne ilmeisesti alunperinkin olleet paljon vahvemmin suojattuja yrityksiä ja vaatineet sentään jotain murtokykyjä tekijöiltä.

 

[Alatuberkuloosi]

....

 

[KVahlman]

Arsilla on kattava kuvaus siitä miten ilmeisesti pääsivät sisään, eli käyttämällä monivaiheisen tunnistautumisen (ja ihmisten) heikkouksia:

Lapsus$ and SolarWinds hackers both use the same old trick to bypass MFA

Not all MFA is created equal, as script kiddies and elite hackers have shown recently.

arstechnica.com

 

[hsalonen]

Arsilla on kattava kuvaus siitä miten ilmeisesti pääsivät sisään, eli käyttämällä monivaiheisen tunnistautumisen (ja ihmisten) heikkouksia:

Lapsus$ and SolarWinds hackers both use the same old trick to bypass MFA

Not all MFA is created equal, as script kiddies and elite hackers have shown recently.

arstechnica.com

Potkut pitäisi antaa työntekijälle, joka hyväksyy autentikaatiopyynnön , kun "niitä vaan tulee mun puhelimeen ja halusin niistä eroon, niin painoin vaan Hyväksy"..

 

[pulatunnus]

Potkut pitäisi antaa työntekijälle, joka hyväksyy autentikaatiopyynnön , kun "niitä vaan tulee mun puhelimeen ja halusin niistä eroon, niin painoin vaan Hyväksy"..

Jos ihan vakavasti miettii, niin riippuu tapauksesta/toteutuksesta/yksityiskohdista/kokonaisuudesta.

Mutta oli aihetta tai ei, niin ainakin tärkeää esimerkkiä niin koulutuksen kuin järjestelmien kehittämisen ja käytettävyyden kannalta.

 

[hsalonen]

Jos ihan vakavasti miettii, niin riippuu tapauksesta/toteutuksesta/yksityiskohdista/kokonaisuudesta.

Mutta oli aihetta tai ei, niin ainakin tärkeää esimerkkiä niin koulutuksen kuin järjestelmien kehittämisen ja käytettävyyden kannalta.

Firman tietoturvakoulutukset on aina mielekkäämpiä, kun miettii, että joku on oikeasti sortunut tällaiseen. Mutta ihan oikeasti, tarinan esimerkissä tuli 1 aikaan yöllä autentikointipyyntöjä 100 kertaa, ennenkuin vastattiin kyllä, että päästiin takaisin nukkumaan. Tässä skenaariossa kyllä voi syyttää itseään.

Tietenkin, tästä ei aiheudu minulle kuin se, että joudun katsomaan tietoturvaesitystä, jossa vastataan ei ja tehdään tiketti tietoturvaosastolle, mutta voisin olla katsomattakin, jos ihmiset ei menisi näihin. Lisäksi kukaan ei oikeassa elämässä tee tikettiä , ennenkuin pomo pakottaa ja jos tuli vastattua vahingossa Kyllä yöllä, niin tätä vahinkoa peitellään intuitiivisesti ja toivotaan , että se menisi itsestään pois.

Sotkematta työpaikkaani tähän enempää, sanon vaan, että saamme roskapostikirjeitä, jonka tietoturva on kirjoittanut, osana näitä koulutuksia ja varotoimenpiteitä, niin niistäkin on vaan haittaa. Jos ihmiset ei menisi näihin yksinkertaisiin huijauksiin, säästyisin tältäkin.

Ja tässä ja edellisessä viestissäni kritisoin MFA Prompt Bombingia, joka oli esimerkin valossa sitä, että pommitettiin käyttäjää hyväksymään autentikointi, kunnes käyttäjä turhautui, hyväksyi ja luuli ratkaisseensa ongelman. Valitettavasti noita tyhmiä käyttäjiä löytyy, ja heitä pitäisi saada sanoa tyhmiksi ja heidän pitäisi saada suoraan potkut, jos tämä johtaa vaikka siihen, että Nvidialta varastetaan lähdekoodeja.

 

[pulatunnus]

Mutta ihan oikeasti, tarinan esimerkissä tuli 1 aikaan yöllä autentikointipyyntöjä 100 kertaa, ennenkuin vastattiin kyllä, että päästiin takaisin nukkumaan. Tässä skenaariossa kyllä voi syyttää itseään...

En tiedä mikä on tuon työntekijän asema, koulutus jne.

Mutta jos perus valkokaulus duunari, niin joo, väärin teki, mutta jos hän tuossa uhrataan niin kuullostaa b-maiden oikeus käytännöiltä. Uhri häkkiin, pomot jatkaa toisia taputellen.

Väärin teki kun hyväksyy, siinä samaa mieltä, mutta kuvailemassasi tilanteessa siellä pomopuolella pitäisi tuolit tutista. Ja tuosta koulutusmateriaa heille jotka tuollaisia systeemejä rakentaa.

Siis yritän sanoa että jos joku pitää tyhmäksi leimata niin hakisin sieltä missä nuo valinnat ja toteutukset on tehty. (oletus että uhri oli joku muu).

 

[hsalonen]

En tiedä mikä on tuon työntekijän asema, koulutus jne.

Mutta jos perus valkokaulus duunari, niin joo, väärin teki, mutta jos hän tuossa uhrataan niin kuullostaa b-maiden oikeus käytännöiltä. Uhri häkkiin, pomot jatkaa toisia taputellen.

Väärin teki kun hyväksyy, siinä samaa mieltä, mutta kuvailemassasi tilanteessa siellä pomopuolella pitäisi tuolit tutista. Ja tuosta koulutusmateriaa heille jotka tuollaisia systeemejä rakentaa.

Ei kai ne pomot voi estää tuollaista hyökkäystä, jos vaan jostain on saatu työntekijän numero/tunnukset. Jos ei tuon verran ymmärrä 2FA:sta, ei pitäisi päästää työntekijää etätöihin ollenkaan.

En pidä itseäni tietoturvan erityisasiantuntijana (vaikka Schneierit on luettu ja kursseja käyty), mutta nuo asiat ovat minulle itsestäänselvyyksiä. Toki olen myös koulutettu ihminen ja IT-alalla töissä. Nyt varmaan puhut virastotyöntekijöistä ja muista normaaleista IT-duunareista, jotka vaan tekevät omaa juttuaan ja kukaan ei ole heille näitä asioita kertonut? Vaikka esimerkkinä KELAn virkailija, joka ymmärtää sosiaalietuuksia, mutta ei jaksa opetella IT-järjestelmiä ja kohta on eläke ja tämä korona-ajan etätyö on vain pakollinen paha? Siinä tapauksessa pitäisi olla pakollinen etätyökoulutus, ja kokeet, ja jos ei läpäise koetta (esimerkin henkilö ei välttämättä) niin ei saa mennä etätöihin. Piste. Sitten henkilölle järjestetään työpiste koronavaatimukset täyttävälle toimistolle. Muuten on pomojen vika ja silloin (ja vain silloin) pitäisin heitä vastuullisena. Lisäksi semmoinen perusjärki, että henkilö pääsee vain tietoihin, joita töissään tarvitsee.

--

Lisäksi olen siitä outo eläin, että työkännykässä on vain ja ainoastaan työjuttuja. Ja se on äänettömällä toisessa huoneessa öisin, niin minua ei edes voi häiritä työasioilla nukkuessani.

 

[pulatunnus]

Ei kai ne pomot voi estää tuollaista hyökkäystä, jos vaan jostain on saatu työntekijän numero/tunnukset. Jos ei tuon verran ymmärrä 2FA:sta, ei pitäisi päästää työntekijää etätöihin ollenkaan.

Yhden aikaan yöllä sata pyyntöä, joita ei saa hiljaiseksi ilman hyväksyntää.

Maalikon korviin ensimmäisenä kuullostaa asialta että jotain on pielessä jos noin käy, ei käyttäjässä vaan jossain muualla.

Jos tuota suunniteltu ominaisuus, ja tuo on merkittävä riski, niin koulutus on epäonnistunut, jos käyttäjä ei osaa toimia.

Jos siis tarina henkilö oli tavis valkokaulus työntekiä, ehkä jopa ihan fiksu omassa tehtävässään.

Vaikka esimerkkinä KELAn virkailija, joka ymmärtää sosiaalietuuksia, mutta ei jaksa opetella IT-järjestelmiä ja kohta on eläke ja tämä korona-ajan etätyö on vain pakollinen paha? Siinä tapauksessa pitäisi olla pakollinen etätyökoulutus, ja kokeet, ja jos ei läpäise koetta (esimerkin henkilö ei välttämättä) niin ei saa mennä etätöihin.

Työantajan kannalta tehokkaampaa kehittää etätyöskentelyä, kuin tehdä järjestelmä missä pitää pystyä reagoimaan oikein keskellä yötä tulevaan hyökkäykseen.
Erikseen sitten esim turvallisuupuolen päivystävät, joilla oltava kyky reagoida.

Toki koulutuksessa pitää pyrkiä käymää yllättävät tilanteet, miten toimia, jos ei tiedä miten toimia. Kannatan myös ns "palo" harjoituksia riviväelle.

Siis edelleen tuohon sinun esimerkkiin, jos yöllä alkaa rivityöntekijän laite huutaan ja vaatimaan hyväksyntään, jos etä sitä saa hiljaiseksi, 99 kertaa yrität hylätä, niin aika varovainen, keskiverto aikuis nörttillä on takaraivoissa että jos joku valinta ei toimi, niin kokeillaan toista, siis umpitokkurassa "pillin huutaessakin".

Jos yrityskulttuuri on sellainen ettei virhettä voi tehdä, niin se vain heikentää turvallisuutta.

 

[jive]

Uhrin syyllistäminen alkaa mennä pukeudu burkhaan ja älä poistu koskaan kotoa - tasolle. Rikosoikeudellinen vastuu on ihan selvä, ongelmallisempi kysymys sitten on korvausvastuu jonka nykymaailmassa sanelee käytännössä vakuutusyhtiö.
Sitten jos oikeuslaitos on mallia USA niin ei ihme että nämä tuppaavat menemään sekaisin.