Tämä on mainospaikka (näillä pidetään sivusto pystyssä)

Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

TT-2k

Päämoderaattori
Ylläpitäjä
PSN-tietomurtoketjussa on sen verran paljon käyty keskustelua mm. identiteettivarkauksista ja yksityisyydensuojan loukkauksista, että aiheesta on tässä vaiheessa hyvä perustaa oma ketjunsa.

Kerron alkuun pienen anekdootin omasta nuoruudestani. Se on kertomus elämäni todennäköisistä pahimmasta loukkauksesta yksityisyyttäni kohtaan, ja sinällään yksinkertainen osoitus siitä, että teknisetkin suojaukset ovat alttiita sosiaaliselle manipuloinnille.

13-vuotiaana aloin kirjoittaa päiväkirjaa. Se oli ainoa paikka, johon pystyin kertomaan kaiken mahdollisen ja täysin sensuroimatta. Vaikka avoin ihminen olenkin, jokaisella meistä on enemmän ja vähemmän kaikenlaisia pieniä "salaisuuksia", joita ei vaan ole tarkoitettu muiden tietoon. Alkuun ainoa suoja tietovuotoja vastaan oli yksinkertaisesti päiväkirjadisketin (Wiki-linkki kaikista nuorimpia lukijoita varten, heh) piilotus, koska Amigassani ei muuta tallennusmediaa ollut, enkä ymmärtänyt erilaisten kryptaussoftien päälle. Vaikka lähimmät ystäväni tiesivät päiväkirjastani, ei kukaan tiennyt, missä itse levykettä säilytin. Fyysinen este oli siis riittävä suojaus.

Kun jouluaattona 1992 sain ensimmäisen PC:ni, piti päiväkirjakin sinne tietysti siirtää. PC:ssä oli kuitenkin myös kiintolevy (210 megaa, wau!), ja mukavuudenhaluisena otuksena halusin luopua jatkuvasta disketin piilotuksesta. Ratkaisu löytyi suht. helppokäyttöisestä kryptaussoftasta, joka taisi tulla muistaakseni Norton Toolsin mukana. Päiväkirja makoili normaalisti kiintolevylläni salattuna, eikä salausavainta ollut missään muualla kuin omassa päässäni. Pystyin huoletta päästämään kaverini koneelleni ilman valvontaa, koska ilman salausavainta oli itse tiedosto pelkkää salattua mössöä.

Eräänä päivänä pari hyvää ystävääni olivat luonani vierailemassa, ja jostain syystä taas vaihteeksi kovin kiinnostuneita päiväkirjastani. He tiesivät, missä itse tiedosto majaili, ja millä softalla se oli enkryptattu, mutta salasana puuttui. Aikansa he sitä (luvallani) arvuuttelivat, mutta eivät tietystikään onnistuneet. Jotenkin toinen näistä ystävistäni sai minut ylipuhuttua kertomaan salasanani. Suostuin siihen sillä ehdolla, että saisin vaihtaa salasanani heti sen jälkeen, kun he näkivät, että antamani salasana todella purki salauksen. Näin tapahtuikin, ja kaverit olivat tyytyväisiä.

Vaan vähänpä tiesin, että jossain vaiheessa aiemmin eräs kavereistani oli kopioinut päiväkirjatiedostoni ja kuljettanut sen kotikoneelleen disketillä. Ja vaikka salasanaani aina silloin tällöin vaihtelinkin, oli tällä hepulla juuri sellainen versio, jossa oli se kertomani salasana. Muutamien päivien jälkeen sain kuulla, että muutama kaverini oli päiväkirjani lukenut. Se oli melko musertava isku, ja tunsin itseni suorastaan henkisesti raiskatuksi. Jokainen osannee kuvitella, kuinka herkkää aikaa teini-ikä muutenkin on, ja sitten kun kaikista salaisimmatkin ajatukset levisivät kaveripiiriin, oli se todella ikävä juttu.

Ainoa onni onnettomuudessa oli, että tiedosto ei koskaan levinnyt erityisen laajalle, eli päiväkirjaani pääsi lukemaan ehkä noin 4 ihmistä. Siihen aikaan ei siis vielä ollut nettiä, ja modeemitkin olivat suhteellisen harvinaisia. Ja kukaan kavereistani ei ollut niin ajattelematon idiootti, että olisi tietoisesti lähtenyt tiedostoa jakelemaan. Se oli siis vain jotain sellaista teinipoikien tirkistelynhalua, ja tuskinpa noista neljästä kaveristakaan kukaan jaksoi kaikkia satoja sivuja tarkkaan lukea. Nykyaikana tiedoston voi upata nettiin kädenkäänteessä, ja kun kissa on kerran sinne asti päästetty, se ei pussiin enää suostu palaamaan.

Jos tällä tarinalla on jokin opetus, niin se olkoon se, että älä IKINÄ anna MITÄÄN tärkeää salasanaasi KENELLEKÄÄN. Koskaan ei voi tietää, miten joku sitä saattaa käyttää vääriin tarkoituksiin.

Hyviä linkkejä:

Wikipedia: Data breach Major Incidents
Wikipedia: Identity theft

Salasanoista ja niiden muistamisesta:

Put Your Passwords on a Post-it
Lastpass - The Last Password You'll Have To Remember
KeePass Password Safe
1Password - Have you ever forgotten a password?
 
Viimeksi muokannut moderaattori:
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Vastaan nyt tänne puolelle tähän:

Mikä vika kaikessa on jos pelkäät jokaista kanssakäymistä niin, että "mitään jälkiä itsestään ei saa jättää"? Etkä myöskään varmaan ymmärrä, että tietosuojan luominen ei ole yhtä helppoa kuin poistaa numeronsa puhelinluettelosta tai maksaa kanapasta käteisellä.

Sinulle pieni vinkki. En pelkää kanssakäymisiä vaan hoidan omalta osaltani homman siten, että en ala idioottina jakamaan tietojani minne sattuu. Ehkä sinäkin joskus opit asiat kantapään kautta.

Ymmärrän vallan mainiosti ihan työnkin kautta tietosuojauksesta, sen ylläpitämisestä ja luomisesta. Ex-työnantaja oli aika tarkka näistä asioista. Kaikki tiedonsiirto ja tiedot oli salattu aika rankalla kädellä. Ja periaatteena siis se, että jos joku ulkopuolinen jotain tietoa saisi irti niin siitä ei olisi mitään hyötyä. Pomo sai tästä varoituksen kun yrityksen tiloihin murtauduttiin ja asiakastiedot valuivat vääriin käsiin.

Paljon kokemuksia eri tietomurroista/tietovuodoista. Niin pankkien, poliisin kuin terveydenhuollon puolelta. Pienissä piirissä liikkuu yllättävän paljon ihmisten tietoja vieraille ihmisille. Joku voi käyttää tätä hyväkseen ja muiden harmiksi.
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Samoihin aikoihin PSN-katkoksen alkamisen kanssa Amazonin pilvipalvelu tippui verkosta aiheuttaen täydellisen palvelukatkoksen suurelle määrälle Amazonin pilvipalvelun asiakkaista.

Nyttemin on selvinnyt, että katkoksen johdosta osaa asiakkaiden datoista ei voida palauttaa lainkaan, sillä varmistukset eivät olleet kaikilta osin kunnossa. Riippuen datasta ja asiakkaasta, tämä voi vaarantaa koko yrityksen toiminnan.

Amazon's Cloud Crash Disaster Permanently Destroyed Many Customers' Data
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Nyttemin on selvinnyt, että katkoksen johdosta osaa asiakkaiden datoista ei voida palauttaa lainkaan, sillä varmistukset eivät olleet kaikilta osin kunnossa. Riippuen datasta ja asiakkaasta, tämä voi vaarantaa koko yrityksen toiminnan.

Aikamoinen epic fail tämäkin, ja nykyään tuota pilvipalveluhypeä on jokapaikassa. Ei varmaan tämän kaltaiset tapaukset lisää ainakaan firmojen luottamusta pilvipalveluihin, kun maailman isoin (mutu) toimittaja kusee hommat näin.
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Pitkään piti miettiä ja googlata kun takaraivossa kutisi vaan ei millään meinannut mieleen muistua mutta näinhän se oli, että reilut pari vuotta sitten Nokialle kävi vastaavalla tavalla Ovi-palvelunsa kanssa.

Kieltämättä ikäviä kompastuskiviä pilvipalveluille, joiden tosiaan pitäisi loistaa ainakin varastoidun tiedon helpossa saatavuudessa sijainnista riippumatta (paitsi jos riittävässä määrin verkkoa on nurin) niin varsinkin sen säilyvyydessä, kun se on replikoitu riittävän moneen paikkaan.

Toisaalta tuskinpa kukaan mitään kriittistä dataa pelkkään pilveen säilöökään. Toivottavasti. Tuo on sinällään ihan hyvä muistutus siitä, että vaikka netti tekee kaikesta todella paljon helpompaa ja näppärämpää, aina voi sattua ja tapahtua.
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Sain uuden Visa-kortin Sampo Pankista ja ainakin Play.comin tilaus sen jälkeen vaati Verified by Visa -proseduurin ( Verified by Visa - luottokunta.fi ). En tiedä onko muilla pankeilla sama Playn kanssa, mutta näköjään ainakin Sampo Pankilla jos kortti vaihtuu.
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Jenkkilässä noin 250 000:n The X Factor -kisaan ilmoittautuneen henkilötiedot lähtivät livohkaan.

Media reports reveal that personal information of more than 250,000 people may have been stolen from Fox's The X Factor, following a hack against the US edition of the TV show's computer network.

Surely, this data should have been encrypted and brutally difficult for outsiders to access? Perhaps more details will be revealed in due course, but for now we know that the stolen data includes The X Factor applicants' names, email addresses, phone numbers (optional), dates of birth, and genders.
Update! Ketjun avausviestissä linkkaamani LastPass-palvelu kertoo mahdollisesti joutuneensa tietomurron uhriksi ja varotoimenpiteenä pakottaa käyttäjät vaihtamaan palvelussa käytetyt nk. Master Passwordit. Suurimmassa "vaarassa" ovat asiakkaat, joiden pääsalasana on ollut sellainen, jonka voi murtaa perinteisellä "sanakirjahyökkäyksellä".

After delving into the anomaly we found a similar but smaller matching traffic anomaly from one of our databases in the opposite direction (more traffic was sent from the database compared to what was received on the server). Because we can't account for this anomaly either, we're going to be paranoid and assume the worst: that the data we stored in the database was somehow accessed. We know roughly the amount of data transfered and that it's big enough to have transfered people's email addresses, the server salt and their salted password hashes from the database. We also know that the amount of data taken isn't remotely enough to have pulled many users encrypted data blobs.

Lähteet: Sophos ja LastPass
 
Viimeksi muokannut moderaattori:
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Ei suoranainen tietomurto, mutta taas yhdenlainen osoitus siitä, kuinka tunnetun reiän paikkaaminen ei ole mikään itsestäänselvyys. Skype kertoo blogissaan Mac-versiosta löytyneestä haavoittuvuudesta, johon ei paikkaa tarjota automaattisesti, koska "isompi päivitys on jo tulossa". Käyttäjän pitää itse ladata ja asentaa korjattu versio.

Last month, we were contacted by Pure Hacking, a group of ethical hackers in Australia, who reported what they believed to be a zero-day vulnerability in Skype for Mac 5.x. This vulnerability, which they blogged about earlier today, is related to a situation when a malicious contact would send a specifically crafted message that could cause Skype for Mac to crash. Note, this message would have to come from someone already in your Skype Contact List, as Skype's default privacy settings will not let you receive messages from people that you have not already authorized, hence the term malicious contact.
Aukon hyväksikäyttöön tarvittavaa koodia ei ole havaittu liikkuvan villinä maailmalla. Joku voisi kuitenkin ajatella Skype kaataa vastuun käyttäjälle, vaikka reiän hyödyntämiseksi ei tarvita muuta kuin sopivasti muotoiltu Skype-viesti joltakin kontaktilistan henkilöltä.

Laajamittaisiin tietovarkauksiin tämä ei missään nimessä johda, mutta ajattelinpa nostaa vaan esille keskustelun herättämiseksi.

Lähde: Skype
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Anonymous ilmoittaa, että eräs sen entisistä jäsenistä on kaapannut ryhmän käyttämiä palvelimia ja kehottaa välttämään AnonOps.net- ja AnonOps.ru-osoitteita.

We regret to inform you today that our network has been compromised by a former IRC-operator and fellow helper named "Ryan". He decided that he didn't like the leaderless command structure that AnonOps Network Admins use. So he organised a coup d'etat, with his "friends" at skidsr.us . Using the networks service bot "Zalgo" he scavenged the IP's and passwords of all the network servers (including the hub) and then systematically aimed denial of service attacks at them (which is why the network has been unstable for the past week). Unfortunately he has control of the domain names AnonOps.ru (and possibly AnonOps.net, we don't know at this stage) so we are unable to continue using them. We however still have control over AnonOps.in, and will continue to publish news there.

PS. Vahingoniloiset ilkkumisviestit lähtevät suorilta bittitaivaaseen, joten kommentoikaa asiallisesti.

Lähde: Anonops
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Anonymous-palvelimien kaappauksen tehnyt "Ryan" on antanut haastattelun Thinqille. Motiivikseen mies/nainen/muumipeikko kertoo sen, että mielestään valta oli ihan liian keskittynyt Anon-ryhmittymässä. Naruista veteli hyvin pieni porukka, jota tuntui kiinnostavan yhä vain enemmän oman egonsa pönkittäminen.

According to Ryan and two other former supporters, 'Garrett' and 'Chippy1337', the publicity-hungry cabal behind AnonOps had begun engaging in operations simply to grab headlines. They accuse the group's leaders of "using the PR machine that is AnonOps" to feed their own egos.
Kysymykseen siitä, olivatko Anonyymit PSN/SOE-tietomurron takana, Ryan vastasi näin:

"I don't believe Anonymous people were responsible for the Sony PSN outage," said Garrett, but added: "Even if they were, it was planned behind closed doors. No one's going to admit to that. It's way too hardcore. The FBI will be involved. I doubt if that will ever come out."

Lähde: Thinq
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Tuo varmaan on tai tulee olemaan näiden nettianarkistien suurin ongelma. Se vain on ihmisen perusluonnetta, että pitää pyrkiä johtoasemaan ryhmässään jos olet vähänkin dominoivaa luonnetta. Nimimerkkien takaa on vielä helpompi alkaa hakeutumaan ryhmän johtohahmoksi, keinolla millä hyvänsä. Näin ollen myös "heikot" johtajat voivat päästä vallankahvaan kiinni. Toisaalta tuo sisäinen anarkia on hyvä, sillä hyvin organisoitu, ja toisilleen lojaali ryhmittymä on varmasti paljon tehokkaampi, kuin maailmanlaajuinen minäpäsolenhakkerileaderi porukka. Toisaalta taas kuvittelis olevan helpompaa neuvotella sellaisen tahon kanssa, jolta se selkeä johtaja ja johtoryhmä löytyisi. Silloin olisi edes vähän hajua mitkä ovat heidän todelliset tavoitteet.
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

"...said Garrett, but added: "Even if they were, it was planned behind closed doors. No one's going to admit to that. It's way too hardcore. The FBI will be involved. I doubt if that will ever come out.""

Tätähän sitä tuli itsekin spekuloitua. Edes Anonin tyypit eivät halua ottaa tästä vastuuta, koska niin raskas rikos on kyseessä ja on kohdistunut lähes pelkästään ns. viattomiin käyttäjiin ilman mitään kytköksiä muuhun kuin pelaamiseen (ja FBI ym mukana).

En tietenkään väitä tietäväni että "se oli Anon", mutta viitteet ovat ainakin vahvat. Se vain ei ollut ns. ydinporukka (joka Garrettin mukaan oli lopulta yllättävänkin pieni porukka jossain netin syövereissä).
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Kyseinen "Ryan" on julkaissut taannoisiin DDoS-talkoisiin osallistuneiden IP-osoitelistan. Listalta löytyy muutama suomalainenkin osoite. Lisäksi hän oli julkaissut ryhmän IRC-logeja.

Eri maiden viranomaiset lienevät tästä materiaalista kiinnostuneita, sillä palvelunestohyökkäykset ovat nekin laitonta toimintaa.


https://sites.google.com/site/lolanonopsdead/
 
Viimeksi muokannut moderaattori:
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Information is free...

Hups.
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

ATT (eli itse keksimäni Anonyymien tietotoimisto) tiedottaa:

thinq_, unfortunally you have been trolled. Ryan clearly had no intention to do anything for Anonymous... EVER, he was only ever here to boost his own ego. There is no "leadership", Ryan seems to be mistaking "leadership" with people who actually get of their ass and do stuff (and not just treating other users with contempt). To add further to the point of "leadership", network staff have a hard enough time trying to keep the network functional and stable, let alone leading a PR campaign.
Viesti kokonaisuudessaan lähdelinkissä.

Hieman huvittavaksi hiekkalaatikkodraamaksi menee, mutta mikäs tässä popcornia syödessä.

Lähde: AnonOps
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Kyseinen "Ryan" on julkaissut taannoisiin DDoS-talkoisiin osallistuneiden IP-osoitelistan. Listalta löytyy muutama suomalainenkin osoite. Lisäksi hän oli julkaissut ryhmän IRC-logeja.

Eri maiden viranomaiset lienevät tästä materiaalista kiinnostuneita, sillä palvelunestohyökkäykset ovat nekin laitonta toimintaa.


https://sites.google.com/site/lolanonopsdead/

Tarkoittaako tämä nyt sitä, että myös muutama suomalainen on ollut mukana vai mitä? :)
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Kyseinen "Ryan" on julkaissut taannoisiin DDoS-talkoisiin osallistuneiden IP-osoitelistan. Listalta löytyy muutama suomalainenkin osoite. Lisäksi hän oli julkaissut ryhmän IRC-logeja.

Mielenkiintoista. Pahintahan aina on, jos ns. oma koira puree.. Se riski Anomuumien kaltaisilla porukoilla on aika iso.
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Tarkoittaako tämä nyt sitä, että myös muutama suomalainen on ollut mukana vai mitä? :)
Eiköhän perinteisiin "soihdut ja talikot" -tyylisiin DDOS-kokoontumisiin tästäkin maasta ainakin kourallinen löydy, oli tarkoitusperä sitten ihan mikä tahansa :) Automatisoituja välineitä ainakin taitaa olla tarjolla siinä määrin hövelisti, ettei virtuaalibarrikaadeille nouseminen ainakaan niistä jää kiinni.
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Tarkoittaako tämä nyt sitä, että myös muutama suomalainen on ollut mukana vai mitä? :)

Siltä vaikuttaa jos lista on aito. En kylläkään ole varma onko tuo lista PSN:ää vastaan hyökkänneiden lista vai aiempi luottokorttiyhtiöitä vastaan tehdyn hyökkäyksen lista.

Tuskin nuo muuta ovat tehneet kuin ajaneet DDoS-clienttiä koneillaan.
 
Vastaus: Tietomurrot, identiteettivarkaudet ja yksityisyydensuojan loukkaukset

Anonymous-kähinä senkun jatkuu. Tällä kertaa Ryan kertoo, että DDOS-hyökkäykset tehtiin käytännössä lähes kokonaan n. 50 000 koneen botnet-armeijalla, ja LOIC-työkalua käytti arviolta vain muutama kymmenen yksittäistä käyttäjää. Silti aiemmin julkisuudessa on puhuttu vain tuosta LOICin käytöstä, koska kaapattujen koneiden käyttö botnetina "ei olisi ollut hyvää PR:ää".

Ryan claimed that OpSony and the attack on BMI were going nowhere until he added his support. This support came by way of 5-10,000 bots, out of an install base of 50,000 to pull from. In addition, he added that the use of LOIC to attack targets was just a scam for the public.

“During OpSony we had a maximum of 40 [LOIC canons],” Ryan told us. “The bot shit was kept secret because it'd be bad PR. If they knew it was bots instead of [LOIC], then what’s the point of the public coming in?”
Toisaalta Thinqin uudessa artikkelissa kerrontaan, että Ryanilla olisi hallusaan jopa 800 000 konetta kattava bottiverkko.

Ryan is accused of acting contrary to the collective’s democratic principles by intimidating other users with the threat of a botnet of “hijacked” computers he is rumoured to control – and which some reports estimate may consist of as many as 800,000 machines – the equivalent, said one Anon, of “negotiating with someone who has a bazooka casually slung over their shoulder”.

Lähteet: The Tech Herald & Thinq
 
Ylös Bottom