Vastaamo.fi tietovuoto - keskustelu ja seuranta

[Lucas]

No ei siinä pitkään mennyt... Myytiinköhän eurolla seuraavalle?

Psykoterapiakeskus Vastaamo on haettu konkurssiin

Konkurssihakemus on jätetty tänään Helsingin käräjäoikeuteen.

www.is.fi

Lienee ideana tuolla karistella kaikki vahingonkorvausvaatimukset mäkeen haistattavaa vit** kaikille uhreille.

 

[djtob]

Lienee ideana tuolla karistella kaikki vahingonkorvausvaatimukset mäkeen haistattavaa vit** kaikille uhreille.

On tuo sellainen keino kuten yleensä, kun firmalla kusee kaikki asiat, niin helpoin on laittaa konkurssiin ja uusi tilalle. Nyt vaan katsellaan, että mitä sieltä nousee?

Sitten siihen toiseen asiaan, että ei varmaan ehkä ole yleistandardilla root ja root kirjautumisena. Netissä esimerkiksi löytyy sellainen artikkeli, joka kertoo, että mitkä on käyty kevyesti tarkistamassa 100 yleisintä salasanaa sille rootille, niin ne toistuivat 17 000 kertaa. Ei siellä kyllä turvallisuudesta ole hoidettu oikein.

 

[Zigh]

Mistä tuo tieto? Siis että ei ollut uutisessa mainittu root vaan joku muu helppo?

No ei se ollut kuin valistunut arvaus.
MySQL:ssä ei ole vakiona mitään root:root -käyttäjätunnusta. Oletettavasti tunnus+salasana oli kuitenkin ns. helppo tai muuten tuollainen botti tuskin olisi päässyt sisään.

 

[Special Once]

MySQL:ssä ei ole vakiona mitään root:root -käyttäjätunnusta.

Ei ole ei, mutta MySQL:ssä on vakiona root-käyttäjätunnus jolla ei ole salasanaa ollenkaan. En usko että Vastaamossa ihan näin tyhmiä on oltu että salasana on jätetty tyhjäksi, mutta toisaalta jos ollaan niin tyhmiä että jätetään portti 3306 auki ulkomaailmaan, ei tuokaan ole liian kaukaa haettu.

 

[Zigh]

Ei ole ei, mutta MySQL:ssä on vakiona root-käyttäjätunnus jolla ei ole salasanaa ollenkaan. En usko että Vastaamossa ihan näin tyhmiä on oltu että salasana on jätetty tyhjäksi, mutta toisaalta jos ollaan niin tyhmiä että jätetään portti 3306 auki ulkomaailmaan, ei tuokaan ole liian kaukaa haettu.

Oletuksena sillä rootilla ei pääse kirjautumaan kuin localhostista. Eli vaatisi kyllä jo aika käsittämätöntä töhöilyä, että saisi jätettyä root-oikeudet ilman salasanaa auki ulkomaailmaan.

 

[Special Once]

Oletuksena sillä rootilla ei pääse kirjautumaan kuin localhostista. Eli vaatisi kyllä jo aika käsittämätöntä töhöilyä, että saisi jätettyä root-oikeudet ilman salasanaa auki ulkomaailmaan.

Vähän samanlaista töhöilyä kuin portin 3306 jättäminen auki? Ihan hyvin ovat voineet sallia rootille kirjautumisen mistä tahansa hostista ja salasana nyt vaan on jäänyt laittamatta.

Mutta eipä brute forcessakaan kauaa mene. Verkon kautta testataan helposti 1000 salasanaa sekunnissa.

 

[djtob]

Nyt olisi pitkästä aikaa vähän lisää tietoa Vastaamosta mutta sen potilastietojärjestelmä ja siinä liittyvien tietojen kirjavuus ihmetyttää Valviran selvityksessä:

Selvitys: Vastaamo laiminlöi lukuisia velvollisuuksiaan – potilastiedoissa sinne kuulumattomia tietoja

Vastaamon potilasasiakirjamerkinnät osoittautuivat tarkastetun otoksen perusteella kirjaviksi ja osin puutteellisiksi.

www.uusisuomi.fi

 

[Kautium]

Tämä kupru nousi taas pinnalle TOR-verkossa julkaistun hakukoneen myötä -->

Vastaamon asiakkaiden sähköpostit siirrettiin netin murtovahtipalveluun

Haveibeenpwned-palvelua käyttävät Vastaamon asiakkaat saivat heinäkuussa sähköpostia tietovuodosta. Syy oli siinä, että Vastaamo-aineisto siirrettiin palveluun tuolloin.

www.is.fi

Pimeän internetin Tor-verkkoon on ilmestynyt hakukone, joka mahdollistaa hakujen tekemisen koko Vastaamon potilastietokannasta.

Tämä tarkoittaa sitä, että ihmisiä on mahdollista hakea tietokannasta esimerkiksi nimellä, paikkakunnalla tai postinumerolla. Hakukone näyttää haun jälkeen käyttäjälle Vastaamon asiakkaan terapiatiedot.

Siellä on taas reilupelikerhon jäsenet asialla...

 

[djtob]

Sitten yritetään niiden tietojen avulla saada jostakin sivustosta heppoisilla tiedoilla tilattua tavaroita, mitkä ne uhrit eivät ikinä ole tilanneetkaan.

 

[yero]

Poliisin tutkimuksista ei ole vissiin mitään kuulunut? Ovatkohan umpikujassa?

 

[Samiii]

Poliisin tutkimuksista ei ole vissiin mitään kuulunut? Ovatkohan umpikujassa?

Vastaamon tietokantavuodossa esiintyy toistuvasti eräs henkilö testikäyttäjänä. Tämä kyseinen henkilö on ollut samanaikaisesti potilaana, että myös koodaamassa tätä järjestelmää. Kyseessä on ollut todennäköisesti itse admin.

Tutkimalla ko. henkilön taustoja, joita ei avoimessa netissä paljoa ole, selviää että häneen on tämän Vastaamo-tapauksen tiimoilta kohdistettu pakkokeinoja koti- ja laite etsinnöistä lähtien. Peruste näille pakkokeinoille on ollut ilmeisesti syytä epäillä -kynnyksen ylittyminen tietomurtoon.

Tässä tapauksessa kyseinen henkilö on toiminut toimeksiantosuhteessa Vastaamoon erään kaverinsa kanssa. Tähän kaveriinkin on mitä ilmeisimmin kohdistettu samantyylisiä pakkokeinoja.

Nyt tulee kuitenkin se mielenkiintoinen osuus: kyseiset henkilöt ovat aiemmin olleet asialla tietomurtoon Tekesiä vastaan, yhdessä kolmannen henkilön kanssa. Tekijät latasivat koko tietokannan koneilleen. Toisaalta he ilmoittivat haavoittuvuudesta Tekesille.

Täysin valkoista hattua tästä toiminnasta ei voi jakaa, koska vähemmälläkin urkkimisella olisi voitu haavoittuvuus todistaa. Mitään tarvetta alkaa koko tietokantaa imuroimaan ei ollut, sen jälkeen kun oli selvää että pelkästään muuttamalla tulosteen sarjanumeroa saa sieltä ulos mitä vaan. Varsin alkeellinen haavoittuvuus sanoisin. Tällä tietokannalla on huomattava taloudellinen arvo, koska kyseessä on hankerahoitukset yms. kilpailluilla markkinoilla tapahtuva investointitoiminta. Arkaluontoisia ja rahanarvoisia liikesalaisuuksia mahtunee tähän joukkoon. Poliisin mukaan he saivat haltuunsa kaikki kopiot tietokannasta. Vai saivatko? Mistä sen voi tietää? No ei mistään. Valtionhallinto vetää aina yhtä köyttä. Menee samalle osastolle, kuin Päivi Nergin lausunnot pakolaiskriisin aikaan: ”kaikkien tulijoiden oikea historia tiedetään.” No aivan varmasti. Niinhän Turun tapauskin osoitti.

Koko Tekesin tietokannan imuroinnista johtuen tapaus päätyi aina syyteharkintaan asti. Syyttäjä päätti kuitenkin jättää syyttämättä. Jälkikäteen ajatellen tämä oli paha virhe. Nykyisellä näiden herrojen track recordilla näin tuskin olisi tehty. Valkoisen hatun alta pilkisti jo tuolloin mustaa. Syyttäjä ei tätä kuitenkaan kyennyt näkemään.

Nyt alkaa spekulaatio-osuus. En syytä tai epäile ketään. Tämä on puhdas ajatusleikki:

Kaikille lienee selvää että tämän tason koodarihakkeri osaa peittää jälkensä. Etenkin kun työskentelee jo valmiiksi järjestelmän adminina ja kehittäjänä. Henkilöt jotka etsii harrastuksekseen haavoittuvuuksia ja hakkeroi, mutta jättää palvelimen salasanaksi oletukset. Ei tarvitse olla Sherlock Holmes että ymmärtää mikä tässä mättää.

Jokainen tietenkin vetää asiasta omat johtopäätöksensä. Se on ehkä silti kuitenkin ihan hyvä ettei tämä herra admin, jonka nimellä on listoissa kymmeniä testikäyttäjiä, esiinny lainkaan netissä omalla kuvallaan tai osoitteellaan. Joku entinen asiakas voisi vetää ”liian hätäisiä” johtopäätöksiä. Itse en ole mikään tietokonenero, mutta tämän kaksikon nimet putkahtelee esille kerta toisensa jälkeen, niin asiakirjoista kuin myös vuodetusta tietokannasta. Ihan riippumatta siitä olisinko itse syytön, niin nukkuisin kyllä yöni nyt aika huonosti. Mitkään turvakiellot ei auta, koska jossain pankissa pitää aina olla tili ja jostain paikasta ottaa sähkösopimus. Näissä paikoissa työskentelee paljon myös Vastaamon entisiä asiakkaita…

ps. itse en ole ollut tämän puljun asiakas. Minulla ei siis ole tähän asiaan mitään omakohtaista kokemusta. Itse en ole kenenkään tietoja käynyt lukemassa. Tieto tiettyjen nimien esiintymisestä listoilla on saatu muuta kautta. Niille joiden tietoja tuonne on vuotanut, niin voin sanoa että kertoman perusteella erinäköiset elämäntilanteet ovat aiheuttaneet muissa ihmisissä lähinnä ymmärrystä ja auttamisenhalua. Henkilö(t) jotka tämän vuodon tekivät ovat niin sairaita itse, että yhteiskunta on erittäin vahvasti kääntynyt kaikkien terapiassa käyvien puolelle. Vaati näköjään tällaisen tapauksen että terapiassa käyminen ei ole enää tabu, vaan kunnioitettavaa ja fiksua henkistä huoltamista.

 

[eiltanen]

"Ei kannan tunnuksilla ole väliä koska sinne pääsee vain @localhost. "
"Avaan portin siksi aikaa kun nopeasti katon pari juttua omalta koneelta SQL Workbenchillä verkon yli"

Sanotaan, että ei kannata ekana epäillä rikosta jos tapahtuneen voi selittää typeryydellä.

 

[Samiii]

"Ei kannan tunnuksilla ole väliä koska sinne pääsee vain @localhost. "
"Avaan portin siksi aikaa kun nopeasti katon pari juttua omalta koneelta SQL Workbenchillä verkon yli"

Sanotaan, että ei kannata ekana epäillä rikosta jos tapahtuneen voi selittää typeryydellä.

Mistä sä olet saanut nämä tiedot, vai onko kyseessä pelkkä vitsi?

Se että admin/hakkeri avaa ”vahingossa tai ajattelemattomuuttaan” potilastietopalvelimen portin avoimeen nettiin ja vielä oletussalasanoilla ja vielä päälle joku/jokin sattuu imuroimaan tietokannan juuri silloin, on vähän sama kuin että väittäisi ettei kirvesmies osaisi purkaa itse rakentamaansa pihaterassia.

Tämä on juuri sitä paskaa mitä esitutkintapöytäkirjoihin syötetään aina tällaisissa tilanteissa. Tyhmyyttä ja osaamattomutta ei voi kriminalisoida, joten ollaan sitten tyhmiä ja osaamattomia. Tyhjästä ei voi nyhjäistä, eli taitonsa voi kyllä osoittaa, mutta taidottomuuden osoittamiseen vaaditaan vuosien referenssit.

Valitettavasti tähän rajapintaan jää vakava aukko rikosseuraamusjärjestelmässä. Se että et ole samaa virhettä toistanut missään muualla, ei oikein riitä näytöksi syyllisyyteen. Virheitä saa näköjään tehdä ”aina oikeassa paikassa tarpeen tullen”.

 

[Tonnin Seteli]

Mistä sä olet saanut nämä tiedot, vai onko kyseessä pelkkä vitsi?

Ei selvästi kumpikaan, vaan veikkaus siitä että olisi ryssitty - tai kuten sanot, uskottavalla kiistettävyydellä väitetty että ryssittiin.

 

[Samiii]

Ei selvästi kumpikaan, vaan veikkaus siitä että olisi ryssitty - tai kuten sanot, uskottavalla kiistettävyydellä väitetty että ryssittiin.

Tai sitten kyseessä on tämä ko. herra, joka pelko perseessä odottaa silakka(hai)parvea

En tietenkään oikeasti väitä mitään sellaista. Kunhan vitsailen

 

[Jorsetti]

Poliisin tutkimuksista ei ole vissiin mitään kuulunut? Ovatkohan umpikujassa?

Oma veikkaus on, että ei mitään hajua reinikaisella ja kymmeniä tuhansia rikosilmoituksia odottamassa. Ettei vaan olisi tässä modernin ajan Messukylän kaksoismurhan tapainen tapaus? Ehkä tämä tuo käytäntöjä tuleviin koitoksiin ja tämä ehkä ratkeaa sattumalta joskus.

 

[yero]

Oma veikkaus on, että ei mitään hajua reinikaisella ja kymmeniä tuhansia rikosilmoituksia odottamassa. Ettei vaan olisi tässä modernin ajan Messukylän kaksoismurhan tapainen tapaus? Ehkä tämä tuo käytäntöjä tuleviin koitoksiin ja tämä ehkä ratkeaa sattumalta joskus.

Se, että toi Vastaamo-hakukone on toiminut toukokuusta saakka ja edellen tänään (lähes) lokakuussa kertonee paljon, miten hyvin poiliisi on kartalla.

 

[Kautium]

Se, että toi Vastaamo-hakukone on toiminut toukokuusta saakka ja edellen tänään (lähes) lokakuussa kertonee paljon, miten hyvin poiliisi on kartalla.

Mitä se kertoo siitä? Palvelu on Tor-verkossa, eikä se välttämättä ole alkuperäisten tekijöiden tuotos lainkaan.

 

[yero]

Mitä se kertoo siitä? Palvelu on Tor-verkossa, eikä se välttämättä ole alkuperäisten tekijöiden tuotos lainkaan.

Se tuskin on alkuperäisten tekijöiden tuotos, mutta kyseessä on yksinäänkin vakava rikos (rikoslaki 24:8a), joka poliisin tulisi keskeyttää ja selvittää tekijä.

 

[Kautium]

Se tuskin on alkuperäisten tekijöiden tuotos, mutta kyseessä on yksinäänkin vakava rikos (rikoslaki 24:8a), joka poliisin tulisi keskeyttää ja selvittää tekijä.

Kyllä, niin pitäisi. Mutta millä keinoilla meinasit että se hoituu Tor-verkon palveluiden tapauksessa? Ei ole ihan simppeli setti.

 

[Zigh]

Kyllä, niin pitäisi. Mutta millä keinoilla meinasit että se hoituu Tor-verkon palveluiden tapauksessa? Ei ole ihan simppeli setti.

Niinpä. Jo pelkästään Tor-verkko tekee siitä todella vaikeaa ja jos palvelin on vielä fyysisesti jossain "vinkuintiassa" niin aika vähissä on keinot.

 

[yero]

Niinpä. Jo pelkästään Tor-verkko tekee siitä todella vaikeaa ja jos palvelin on vielä fyysisesti jossain "vinkuintiassa" niin aika vähissä on keinot.

Kansalaisena ei lähtökohtaisesti pahemmin kiinnosta mikään ulina vinkuintiasta tai tor-verkoista, sen sijaan poliisin ja valtiovallan velvollisuus estää rikoksia kylläkin kovasti.

 

[Kautium]

Kansalaisena ei lähtökohtaisesti pahemmin kiinnosta mikään ulina vinkuintiasta tai tor-verkoista, sen sijaan poliisin ja valtiovallan velvollisuus estää rikoksia kylläkin kovasti.

Mutta siinä vaatimuksia esitettäessä olisi suotavaa, jos ymmärtäisi edes periaatteellisella tasolla mitä on vaatimassa. Se että vaatii Suomen poliisia poistamaan jonkin yksittäisen sivuston tai tietosisällön Tor-verkosta, on käytännön tasolla melkein sama asia kuin vaatisi Suomen presidenttiä lopettamaan sodat globaalisti.

 

[FinMaky]

Kansalaisena ei lähtökohtaisesti pahemmin kiinnosta mikään ulina vinkuintiasta tai tor-verkoista, sen sijaan poliisin ja valtiovallan velvollisuus estää rikoksia kylläkin kovasti.

Mieti kuinka kauan USA:lla meni aikaa löytää yksi mies. Osama Bin-Laden. Siellä on resursseja ja väkeä dekadeittain enemmän. No tämän tekijän etsiminen on vaikeusluokassa samaa tasoa. Toinen ongelma on internetin perusasia. Jos jotain on joskus internettiin mennyt ei sitä sieltä pois saa. Eli jos sitten valtavan työn seurauksena saadaan tekijä kiinni ja data pois, niin joku toinen sen sinne laittaa kuitenkin. Miksi? No siitä yhtä tyhmästä syystä kuin se ensimmäinenkin.

 

[mRkukov]

Se tuskin on alkuperäisten tekijöiden tuotos, mutta kyseessä on yksinäänkin vakava rikos (rikoslaki 24:8a), joka poliisin tulisi keskeyttää ja selvittää tekijä.

Kansalaisena ei lähtökohtaisesti pahemmin kiinnosta mikään ulina vinkuintiasta tai tor-verkoista, sen sijaan poliisin ja valtiovallan velvollisuus estää rikoksia kylläkin kovasti.

Osaat hienosti etsiä rikoslain kohdan ja kaikkea, mutta et voi muka ymmärtää tekniikasta yhtään mitään. Haiskahtaa todella pahasti trollaukselta.

Spoileri

Miksi valtionvalta ei estänyt La Palman tulivuoren purkausta! Kysynpähän vain! Ei minua kansalaisena lähtökohtaisesti kiinnosta miksi se muka olisi mahdotonta. Valtiovallan velvollisuus jne.

 

[Samiii]

Mieti kuinka kauan USA:lla meni aikaa löytää yksi mies. Osama Bin-Laden. Siellä on resursseja ja väkeä dekadeittain enemmän. No tämän tekijän etsiminen on vaikeusluokassa samaa tasoa. Toinen ongelma on internetin perusasia. Jos jotain on joskus internettiin mennyt ei sitä sieltä pois saa. Eli jos sitten valtavan työn seurauksena saadaan tekijä kiinni ja data pois, niin joku toinen sen sinne laittaa kuitenkin. Miksi? No siitä yhtä tyhmästä syystä kuin se ensimmäinenkin.

Kaikki viittaa siihen että poliisi ''tietää'' tekijän, koska pariin henkilöön kohdistettiin heti pakkokeinoja tämän tapauksen jälkeen. Henkilöitä ei ilmeisesti vapautettu kaikista epäilyksistä, vaan tutkintaa jouduttiin näytön puutteessa jatkamaan toisella rikosnimikkeellä. Tämän kokoluokan veivaajia ei Suomessa ole muutenkaan kymmenkuntaa enempää. Näyttöä ei vaan saatu millään kasaan, koska aika tuhoaa jäljet. Toisaalta mitään jälkiä ei sinne järjestelmiin olisi jäänyt muutenkaan, koska tässä tapauksessa oli kyse ''pukki kaalimaan vartijana -ilmiöstä''.

Osaavista koodaajista/hakkereista on työmarkkinoilla huutava pula. Vaatii vähän vinksahtanutta mielenlaatua että haluaa siltikin ryhtyä tietoverkkorikolliseksi tai edes epäillyksi sellaiseksi. Tähän tapaukseen liitettynä se vinksahtanut mielenlaatu sopii kuin nenä päähän, koska ko. henkilö oli mitä ilmeisimmin niin ikään ''jonkun nettiin vuotaneen psykoterapiakeskuksen asiakas, eikä edes sieltä keyvyimmästä päästä''.

Tällä reseptillä juttua ei selvitä edes NSA, saatikka joku KRP:

1. SER-kierrätyksestä dyykattu läppäri ja pelipuhelin
2. Vuosia aiemmin käteisellä ostettu prepaid liittymä
3. TOR-verkko ja VPN päällä samanaikaisesti.
4. Päälle vielä muita anonymisointikikkoja
5. Fyysisesti eri tukiasemassa kuin oma puhelin
6. Kaikki jokeen homman jälkeen

 

[jad]

Se että admin/hakkeri avaa ”vahingossa tai ajattelemattomuuttaan” potilastietopalvelimen portin avoimeen nettiin ja vielä oletussalasanoilla ja vielä päälle joku/jokin sattuu imuroimaan tietokannan juuri silloin, on vähän sama kuin että väittäisi ettei kirvesmies osaisi purkaa itse rakentamaansa pihaterassia.

Onko tähän muuten tullut mitään virallisempaa varmistusta, että minkälaista reittiä tietomurto tehtiin. Mentiinkö suoraan tietokantaan, vai ensin palvelimelle ja sen jälkeen kantaan ? Puhe oletussalasanoista hieman ihmetyttää, kun ei käytetyssä Ubuntussa sellaisia ole ollutkaan.

 

[Desgorr]

Onko tähän muuten tullut mitään virallisempaa varmistusta, että minkälaista reittiä tietomurto tehtiin. Mentiinkö suoraan tietokantaan, vai ensin palvelimelle ja sen jälkeen kantaan ? Puhe oletussalasanoista hieman ihmetyttää, kun ei käytetyssä Ubuntussa sellaisia ole ollutkaan.

Villi veikkaus, että on menty suoraan kantaan.

Vastaamon tietoliikenneportti 3306 oli auki nettiin 1,5 vuotta – firmalla oli 3 viikkoa aikaa valmistautua katastrofin paljastumiseen, mutta silti kaikki meni pieleen

Vastaamon ensimmäisessä kiristysyrityksessä on saattanut olla kyse ”roiskaisusta”, jossa tietomurtaja ei tiennyt, mitä hänellä oli käsissään.

www.is.fi

 

[jad]

Villi veikkaus, että on menty suoraan kantaan.

Vastaamon tietoliikenneportti 3306 oli auki nettiin 1,5 vuotta – firmalla oli 3 viikkoa aikaa valmistautua katastrofin paljastumiseen, mutta silti kaikki meni pieleen

Vastaamon ensimmäisessä kiristysyrityksessä on saattanut olla kyse ”roiskaisusta”, jossa tietomurtaja ei tiennyt, mitä hänellä oli käsissään.

www.is.fi

Nimenomaan villejä veikkauksia. Ei se avonainen portti välttämättä sitä tarkoita, että nimenomaan kantaan on murtauduttu. Tuosta IS:n artikkelista saa sen käsityksen, että sisään on kuitenkin painettu ssh:n läpi.

Nixun teknisessä tutkinnassa on tullut ilmi, että MM:n ja NN:n yhteisellä pääkäyttäjätason tunnuksella on tehty toimia 15.3.2019, joista on pääteltävissä, että tällä pääkäyttäjätunnuksella on käsitelty sellaista hakemistoa, johon edellä mainittu kiristysviesti sisältyi. Suoritettujen komentojen perusteella aktiivinen MySQL-kanta (sisältäen kiristysviestin) on pakattu mysl.zip-tiedostoon pääkäyttäjätunnuksen kotihakemistoon.

 

[Hyrava]

Tuossakin olisi auttanut jo paljon jos palvelut olisi vaihdettu vain pois oletusportista ja tietty esim ssh:n tapauksessa sallittu vain publickey-auth jne.

Itsekin olen ne pari porttia mitä ulkoa on omaan verkkoon auki, vaihtanut epästandardeihin portteihin joka esim aikanaan ssh:n kanssa vähensi koputtelua jo heti yli 90%. Nykyään ei itsellä pitäsi olla kuin 2kpl vpn-portteja auki ja niissäkin aika vahvat kryptot, geoblokkausta jne. Lokin mukaan näyttäisi että 3kpl koputteluja olisi tullut viimeisen kuukauden aikana joka on aika vähän verrattuna vakioporttiin johon tuli lukuisia yrityksiä päivittäin, SSH-porttiin tuli tuhansia yrityksiä päivittäin kun se oli joskus vuosia sitten auki nettiin.

 

[Kautium]

Tuossakin olisi auttanut jo paljon jos palvelut olisi vaihdettu vain pois oletusportista ja tietty esim ssh:n tapauksessa sallittu vain publickey-auth jne.

Itsekin olen ne pari porttia mitä ulkoa on omaan verkkoon auki, vaihtanut epästandardeihin portteihin joka esim aikanaan ssh:n kanssa vähensi koputtelua jo heti yli 90%. Nykyään ei itsellä pitäsi olla kuin 2kpl vpn-portteja auki ja niissäkin aika vahvat kryptot, geoblokkausta jne. Lokin mukaan näyttäisi että 3kpl koputteluja olisi tullut viimeisen kuukauden aikana joka on aika vähän verrattuna vakioporttiin johon tuli lukuisia yrityksiä päivittäin, SSH-porttiin tuli tuhansia yrityksiä päivittäin kun se oli joskus vuosia sitten auki nettiin.

Ne jotka kokeilevat vain vakioportteja, eivät koskaan pääse sitä ensimmäistä ovea pidemmälle muutenkaan, joten oletusportin vaihtaminen on vain näennäistä turvallisuutta todellisessa maailmassa.

 

[chrisekh]

Eiko olisi kiva laittaa joku tuollainen honeybot kiusaamaan skripti vakea

GitHub - skeeto/endlessh: SSH tarpit that slowly sends an endless banner

SSH tarpit that slowly sends an endless banner. Contribute to skeeto/endlessh development by creating an account on GitHub.

github.com

 

[utelias]

Tämä on kyllä mielenkiintoinen keissi, että miten mahtaa edetä.
Tämä rikoshan taitaa vanheta kymmennessä vuodessa, että se aika on selvitellä. Vastaava tapaushan oli vuonna 2011, kun jostain tietokannasta vuosi 16 000 suomalaista henkilötunnusta. Tuo juttuhan vanheni jonkun aikaa sitten, ja poliisi ilmoitti sen jälkeen, että tekijä tiedossa, mutta näyttöä ei saada kasaan.

Eli kun jotain törkeää rikosta viedään käräjille, niin aika vahva näyttö saa olla. Vaikea sanoa maallikkona, että mistä se näyttö tietomurroissa koostuu. Ja jos tekijä on jostain Uzbekistanista, niin millä se Suomeen saadaan vastuuseen.

Mahtaakohan nuo tiedoston uudelleen jakajat tietää millasta sanktiota siitä saa, kun jää kiinni? Ja olen aika varma, että niitä kyllä kiinni saadaan.

Näiden selvittelyssä täytyy myös muista, että poliisilla on aika laaja valikoima pakkokeinoja käytössä esim. telekuuntelu, mistä valkohattuhakkeri voi vaan unelmoida. Lisäksi suojelupoliisille anettiin oikeus monitoroida kaikki Suomen sisäinen nettiliikenne. Tiedä sitten onko siitä apua tällasten rikosten selvittämiseen.

 

[Kautium]

Lisäksi suojelupoliisille anettiin oikeus monitoroida kaikki Suomen sisäinen nettiliikenne. Tiedä sitten onko siitä apua tällasten rikosten selvittämiseen.

Eipä se Tor-verkon osalta paljon auta, varsinkaan jos käyttäjä ottaa yhteyden vielä lisäksi jonkin muun maan kautta kiertävän kolmannen osapuolen VPN:n yli, jolloin edes meikäläinen operaattori ei näe liikenteestä sitäkään vähää kuin muuten. Sitä ei suositella Tor-projektin puolelta, mutta asiansa osaava käyttäjä saa sillä lisäsuojaa halutessaan.

Ja oli miten oli, niin ei tällaisten selvitys ole armeijan ja/tai suojelupoliisin hommia muutenkaan.

 

[utelias]

Eipä se Tor-verkon osalta paljon auta, varsinkaan jos käyttäjä ottaa yhteyden vielä lisäksi jonkin muun maan kautta kiertävän kolmannen osapuolen VPN:n yli, jolloin edes meikäläinen operaattori ei näe liikenteestä sitäkään vähää kuin muuten. Sitä ei suositella Tor-projektin puolelta, mutta asiansa osaava käyttäjä saa sillä lisäsuojaa halutessaan.

Ja oli miten oli, niin ei tällaisten selvitys ole armeijan ja/tai suojelupoliisin hommia muutenkaan.

Eikös se VPN decryptaa tai ainakin lokita liikennettä ennen TOR verkkoa? Aika hurja luotto saa olla siihen VPN palveluntarjoajaan.
Operaattorin lokista kyllä näkee, että tällasta VPN-palvelua käytetään, ja sieltä VPN ylläpidosta voi kysellä lokitietoja.
Näissä on niin monta muuttujaa, että mikään järjestely ei kyllä ole pommivarma.

 

[Kautium]

Eikös se VPN decryptaa tai ainakin lokita liikennettä ennen TOR verkkoa? Aika hurja luotto saa olla siihen VPN palveluntarjoajaan.
Operaattorin lokista kyllä näkee, että tällasta VPN-palvelua käytetään, ja sieltä VPN ylläpidosta voi kysellä lokitietoja.
Näissä on niin monta muuttujaa, että mikään järjestely ei kyllä ole pommivarma.

Tor-verkko tai Tor-browser ei ole VPN, mutta Tor-browserin liikenne on salattua. Operaattori näkee ja voi luokitella sitä liikennettä ja jos on valtiollisen toimijan resursseja käytössä, niin siitä voi saada jotain selkoakin. Sen sijaan jos on käytössä lisäksi joku erillinen VPN, jonka exit-node on jossakin muualla, niin se tuo lisäsuojaa useammallakin tavalla.

En tiedä mitä tarkoitat tässä yhteydessä "VPN-operaattorin suorittamalla decryptauksella tai liikenteen lokituksella", mutta ei se VPN-operaattori pääse sinne Tor-selaimen salatun liikenteen sisälle sen paremmin tai huonommin kuin omakaan operaattorisi. Pointti siis oli, että erillisellä VPN-putkella on mahdollista tuoda lisäsuojaa, jos kokee sille tarvetta. Se on sitten eri asia mitä VPN-palveluntarjoajaa käyttää ja miten eri sovellukset sen kanssa toimivat.

Tor over VPN: Everything You Should Know [+Best Tor VPNs to use]

Tor (Onion) over VPN is a method to make your connection absolutely anonymous. Learn all there is to know about this method of connection here!

cybernews.com

 

[utelias]

En tiedä mitä tarkoitat tässä yhteydessä "VPN-operaattorin suorittamalla decryptauksella tai liikenteen lokituksella", mutta ei se VPN-operaattori pääse sinne Tor-selaimen salatun liikenteen sisälle sen paremmin tai huonommin kuin omakaan operaattorisi. Pointti siis oli, että erillisellä VPN-putkella on mahdollista tuoda lisäsuojaa, jos kokee sille tarvetta. Se on sitten eri asia mitä VPN-palveluntarjoajaa käyttää ja miten eri sovellukset sen kanssa toimivat.

Luin linkkisi. Käytännössä siis tuota VPN-palvelua käytetään siihen, että ISP:ltä piilotetaan tietoa TOR-verkon käytöstä. ISP näkee vain liikenteen VPN palvelimelle. En keksi muuta hyötyä tuosta.

Näen tuossa nyt kuitenkin sen haasteen, että VPN:n ja entry noden välinen yhteys ei käytä TOR-salausta. Näin ainakin kuvan perusteella. Silloin VPN palveluntarjoaja kyllä näkee sen liikenteen. Vähän samalla perusteella näkee myös exit-node liikenteen, mutta se ei tiedä lähde IP:tä, toisin kuin VPN palvelu. Silloin pitää olla vahva luotto että VPN palveluntarjoalla ei ole mitään lokitusta, koska muuten sieltä saadaan kyllä kaikki tieto kuten linkissä kirjoitetaan.

 

[Hyrava]

Mikäänhän ei estä vaikkapa itse tekemästä vpn-serveriä jonnekin toiselle puolelle maapalloa ja ottamasta sinne yhteyttä toisen vpn-putken läpi ja noita kun pinoaa ja ketjuttaa muutaman ja välissä koukkaa tor-verkon kautta niin alkaa olla aika hankalaa jäljittää mistä ja minne yhteys kulkee. Toki tuossa on oma vaivansa mutta jos oikeasti haluaa piilotella niin riittävän monta tuollaista linkkiä pitkinpoikin alkaa hävittämään jäljet aika tehokkasti. Ja tosiaan jonkun perus vpn-serverin pystyttämisessä kestää joku ehkä vartti tuollaiseen käyttöön eli jos käyttää päivän tekojensa piilottamiseen niin alkaa olla aikalailla mahdotonta selvitellä yhteyden alkupistettä.

 

[pulatunnus]

Mikäänhän ei estä vaikkapa itse tekemästä vpn-serveriä jonnekin toiselle puolelle maapalloa ja ottamasta sinne yhteyttä toisen vpn-putken läpi ja noita kun pinoaa ja ketjuttaa muutaman ja välissä koukkaa tor-verkon kautta niin alkaa olla aika hankalaa jäljittää mistä ja minne yhteys kulkee. Toki tuossa on oma vaivansa mutta jos oikeasti haluaa piilotella niin riittävän monta tuollaista linkkiä pitkinpoikin alkaa hävittämään jäljet aika tehokkasti. Ja tosiaan jonkun perus vpn-serverin pystyttämisessä kestää joku ehkä vartti tuollaiseen käyttöön eli jos käyttää päivän tekojensa piilottamiseen niin alkaa olla aikalailla mahdotonta selvitellä yhteyden alkupistettä.

Tai sitten mokaa.

Joo, ajatuksen tajusin, mutta jos tässä ketjussa nyt olisi juttua että ei ole yhtä narunpäätä mistä lähdetään keriin, vaan useita.

 

[Kautium]

Luin linkkisi. Käytännössä siis tuota VPN-palvelua käytetään siihen, että ISP:ltä piilotetaan tietoa TOR-verkon käytöstä. ISP näkee vain liikenteen VPN palvelimelle. En keksi muuta hyötyä tuosta.

Niin, se nimenomaan on se idea VPN-yhteyden käytössä ylipäätään. Otetaan salattu yhteys jonnekin, jonka kautta liikennöidään edelleen jollakin toisella tavalla muualle.

Näen tuossa nyt kuitenkin sen haasteen, että VPN:n ja entry noden välinen yhteys ei käytä TOR-salausta.

Tor-selaimen käyttäminen ja VPN-yhteys eivät liity mitenkään toisiinsa. Se VPN on vain putki, jonka kautta Tor-selaimen muuten salattu liikenne kulkee.

ISP ei näe sitä liikenteen sisältöä suoraan, kuten ei näe se VPN-operaattorikaan. ISP voi kuitenkin nähdä millaista liikennettä kohdistuu ja minne, mutta jos siinä välissä on se VPN-putki, niin sitten se oma ISP ei näe sitä. VPN-palveluntarjoaja sen sijaan näkee mitä operaattori muuten näkisi, mutta joka pykälällä seuranta vaikeutuu.

 

[Samiii]

Nimenomaan villejä veikkauksia. Ei se avonainen portti välttämättä sitä tarkoita, että nimenomaan kantaan on murtauduttu. Tuosta IS:n artikkelista saa sen käsityksen, että sisään on kuitenkin painettu ssh:n läpi.

Nixun teknisessä tutkinnassa on tullut ilmi, että MM:n ja NN:n yhteisellä pääkäyttäjätason tunnuksella on tehty toimia 15.3.2019, joista on pääteltävissä, että tällä pääkäyttäjätunnuksella on käsitelty sellaista hakemistoa, johon edellä mainittu kiristysviesti sisältyi. Suoritettujen komentojen perusteella aktiivinen MySQL-kanta (sisältäen kiristysviestin) on pakattu mysl.zip-tiedostoon pääkäyttäjätunnuksen kotihakemistoon.

Nämä kaksi ”herrasmiestä” olivat siis mitä ilmeisimmin se sama kaksikko, joihin kohdistettiin koti- ja laite-etsinnät heti kiristyksen alettua. Näistä toisen nimi löytyy sieltä tietokannasta ja vielä useaan kertaan.

Poliisilta ei todennäköisesti ole kuulunut asian tiimoilta mitään, koska näyttöä ei ole. Aktiivista tutkintaa on turha jatkaa, koska kaikki näyttö on tuhottu ensin ylikirjoittamalla ja sen jälkeen laitteet vielä hävitetty. Tämän tason kaverit osaa kyllä käyttää niitä ylikirjoitussoftia, kun niitä osaa käyttää kuka vaan. Sen jälkeen läppäri jokeen. That’s it

Ainoa keino torjua näitä tämän kaltaisia tapauksia, olisi asettaa yksityisten terveysyritysten järjestelmät osaksi julkisen hallinnon järjestelmää. Toiseksi paras olisi jatkuva auditointi ja tarkastukset. Lisäksi vielä stressitestit joltain hakkerifirmalta.

 

[utelias]

ISP ei näe sitä liikenteen sisältöä suoraan, kuten ei näe se VPN-operaattorikaan. ISP voi kuitenkin nähdä millaista liikennettä kohdistuu ja minne, mutta jos siinä välissä on se VPN-putki, niin sitten se oma ISP ei näe sitä. VPN-palveluntarjoaja sen sijaan näkee mitä operaattori muuten näkisi, mutta joka pykälällä seuranta vaikeutuu.

Tämä selvä. Luotan kyllä enemmän että suomalainen ISP suojaa minun yksityisyyttäni kuin jossain Panamassa sijaitsema VPN-palvelin.

 

[Kautium]

Tämä selvä. Luotan kyllä enemmän että suomalainen ISP suojaa minun yksityisyyttäni kuin jossain Panamassa sijaitsema VPN-palvelin.

Kyllä se liikenne menee edelleen myös sen isp:n kautta, eli ei se ole joko tai - valintatilanne. Sillä vpn:llä on tarkoitus tuoda lisäsuojaa.

 

[pulatunnus]

Tämä selvä. Luotan kyllä enemmän että suomalainen ISP suojaa minun yksityisyyttäni kuin jossain Panamassa sijaitsema VPN-palvelin.

Riippuu ihan siitä mitä tekee. VPN kikkailijat ovat voineet heikentää omaa tilannettaa. Ammattilanen osaa toki vältellä pahimmat/tökeröimmät hunajapurkit.

Mutta aloittelia voi toki töppäillä niin että nimenomaan VPN llä itsensä paljastaa.

 

[utelias]

Kyllä se liikenne menee edelleen myös sen isp:n kautta, eli ei se ole joko tai - valintatilanne. Sillä vpn:llä on tarkoitus tuoda lisäsuojaa.

Lisäsuoja tulee kun ISP ei tiedä TOR-verkon käytöstä, mutta VPN palvelu sen sitten tietää. Lisäksi jos TOR entry node on vihamielinen, niin se ei tiedä alkuperäisestä lähettäjästä mitään. Tämä on tietysti lisä, jolla peitetään alkuperää.

Toisaalta, jos VPN palvelussa on tietoturvaongelmia, niin se sitten tietää TOR-verkon käytöstä ja voi kerätä kaikki lokit siitä.
Jokainen ylimääräinen hyppy ilman lisäsalausta on riski, koska sitä liikennettä voidaan yrittää purkaa. Ja sitten pitäisi maksaa vielä sille VPN-palvelulle jollain luottokortilla, niin saavat yhteystiedot ja kaikki.

Kiinassa jossa nämä on vielä enemmän valideja kysymyksiä, niin TOR entry nodet ja VPN on molemmat estetty, niin viranomainen saa kyllä tämäkin torpattua.


Mun pointti on nyt lähinnä se, että kyllä sieltä TOR-verkosta löytyy heikkoja kohtia. Ei se mikään pomminvarma ole, vaikka tosiaan erittäin haastavaahan se ilman käyttäjävirheitä.

Suomessa nyt oikeasti kellään viranomaisella ole aikaa tällasia tutkia, kuin ehkä juuri tässä Vastaamo tapauksessa.

 

[Kautium]

Lisäsuoja tulee kun ISP ei tiedä TOR-verkon käytöstä, mutta VPN palvelu sen sitten tietää. Lisäksi jos TOR entry node on vihamielinen, niin se ei tiedä alkuperäisestä lähettäjästä mitään. Tämä on tietysti lisä, jolla peitetään alkuperää.

Toisaalta, jos VPN palvelussa on tietoturvaongelmia, niin se sitten tietää TOR-verkon käytöstä ja voi kerätä kaikki lokit siitä.
Jokainen ylimääräinen hyppy ilman lisäsalausta on riski, koska sitä liikennettä voidaan yrittää purkaa. Ja sitten pitäisi maksaa vielä sille VPN-palvelulle jollain luottokortilla, niin saavat yhteystiedot ja kaikki.

Kiinassa jossa nämä on vielä enemmän valideja kysymyksiä, niin TOR entry nodet ja VPN on molemmat estetty, niin viranomainen saa kyllä tämäkin torpattua.


Mun pointti on nyt lähinnä se, että kyllä sieltä TOR-verkosta löytyy heikkoja kohtia. Ei se mikään pomminvarma ole, vaikka tosiaan erittäin haastavaahan se ilman käyttäjävirheitä.

Suomessa nyt oikeasti kellään viranomaisella ole aikaa tällasia tutkia, kuin ehkä juuri tässä Vastaamo tapauksessa.

Ei kukaan ole väittänytkään, että Tor-verkko olisi aukoton ja etteikö maailma olisi täynnä kaikenlaisia hämäriä VPN-palveluntarjoajia. Tuossa oli vaan kyse siitä, että mitä viranomaiset Suomessa voivat tehdä tilanteessa, jossa liikenne menee VPN-putken kautta jonnekin ulkomaille ja vastaus siihen on, että eivät käytännössä mitään.

 

[Samiii]

Ei kukaan ole väittänytkään, että Tor-verkko olisi aukoton ja etteikö maailma olisi täynnä kaikenlaisia hämäriä VPN-palveluntarjoajia. Tuossa oli vaan kyse siitä, että mitä viranomaiset Suomessa voivat tehdä tilanteessa, jossa liikenne menee VPN-putken kautta jonnekin ulkomaille ja vastaus siihen on, että eivät käytännössä mitään.

Niin ja täytyy muistaa että Suomen Poliisi ei voi hakea lupaa pakkokeinoille takautuvasti. Poliisi ei saa, eikä kyllä edes pystyisi menemään ajassa taaksepäin ja hakemaan lupaa vuodelle 2018. Poliisin pitää selvittää missä ja miten näyttö on hankittu. Vaikka jollain operaattorilla olisikin jotain lokeja vielä tallella, niin on aivan eri kysymys miten näitä saa hyödyntää esitutkinnassa.

Tietoliikenteen ”kuunteleminen” takautuvasti ei ole mahdollista ja vaikka olisikin, niin ei se ole sallittua. Tiedustelulaki kyllä velvoittaa teleoperaattoreita luovuttamaan puolustusvoimia kiinnostavaa tietoliikennettä. Teoriassa PV:llä voisi olla hallinnassaan tähän tapaukseen liittyvää materiaalia. Esim. exit-noden yhteyksiä avoimeen verkkoon. Tosin niillä ei tee mitään, koska tiedustelulain nojalla kerättyä sisältöä ei saa hyödyntää kotimaisia yksityishenkilöitä vastaan.

Aina joskus esitutkinnassa myös Poliisille kertyy tietoa, jonka perusteella jonkun rikoksen syyllinen tiedetään varmasti. Tätä tietoa ei voida kuitenkaan hyödyntää näyttönä oikeudessa, koska se on saatu väärällä tavalla. Esim. telekuuntelun yhteydessä selviääkin että henkilö X on syyllistynyt useisiin pahoinpitelyihin ja varkauksiin. Asialle ei voida tehdä mitään.

 

[Sally_Spectra]

...

Aina joskus esitutkinnassa myös Poliisille kertyy tietoa, jonka perusteella jonkun rikoksen syyllinen tiedetään varmasti. Tätä tietoa ei voida kuitenkaan hyödyntää näyttönä oikeudessa, koska se on saatu väärällä tavalla. Esim. telekuuntelun yhteydessä selviääkin että henkilö X on syyllistynyt useisiin pahoinpitelyihin ja varkauksiin. Asialle ei voida tehdä mitään.

Voi hyödyntää. Suomi ei ole Amerikka. Lisäksi esim laittoman kotietsinnän todisteita saa käyttää oikeudessa, ja näin onkin tehty. Todisteen painoarvohan ei muutu siitä milloin se on saatu tai onko se saatu laillisesti vai ei. Esim jos laittoman kotietsinnän yhteydessä koneeltasi löydetään lapoa niin sinua tullaan siitä syyttämään ja hyvä niin. Laiton kotietsintä ei poista sitä faktaa, että lapoa koneelta löytyi ja olet rikokseen syyllistynyt.

 

[Samiii]

Voi hyödyntää. Suomi ei ole Amerikka. Lisäksi esim laittoman kotietsinnän todisteita saa käyttää oikeudessa, ja näin onkin tehty. Todisteen painoarvohan ei muutu siitä milloin se on saatu tai onko se saatu laillisesti vai ei. Esim jos laittoman kotietsinnän yhteydessä koneeltasi löydetään lapoa niin sinua tullaan siitä syyttämään ja hyvä niin. Laitton kotietsintä ei poista sitä faktaa, että lapoa koneelta löytyi ja olet rikokseen syyllistynyt.

Nyt meni puurot ja vellit sekaisin. Käypäs lukemassa pakkokeinolaki läpi. Ainoastaan sellaista pakkokeinojen myötä vahingossa löytyvää tietoa saa käyttää hyväkseen esitutkinnassa, jonka itsensä perusteella saisi kyseistä pakkokeinoa käyttää.

 

[pulatunnus]

Niin ja täytyy muistaa että Suomen Poliisi ei voi hakea lupaa pakkokeinoille takautuvasti. Poliisi ei saa, eikä kyllä edes pystyisi menemään ajassa taaksepäin ja hakemaan lupaa vuodelle 2018. Poliisin pitää selvittää missä ja miten näyttö on hankittu. Vaikka jollain operaattorilla olisikin jotain lokeja vielä tallella, niin on aivan eri kysymys miten näitä saa hyödyntää esitutkinnassa.

Aina joskus esitutkinnassa myös Poliisille kertyy tietoa, jonka perusteella jonkun rikoksen syyllinen tiedetään varmasti. Tätä tietoa ei voida kuitenkaan hyödyntää näyttönä oikeudessa, koska se on saatu väärällä tavalla.

Onko sinulla näihiin jotain tukevia viitteitä.

Jos siis ymmärsin oikein, niin menee kovasti ristiriitaiseksi uutisoitujen muiden tapaudeten kanssa, missä