Vastaamon hakkeri

Tällä hetkellä ymmärtääkseni uskotaan että kyseessä on ulkomainen tyyppi joka saanut apua suomenkieliseen käännökseen. Käännöksessä silti outoja virheitä.

Itse epäilen Supoa. Suomi on niin tylsä maa, että heidän on aika ajoin nostettava profiiliaan. Yleensä tällaisten jälkeen tulee aina joku supon tms nokkamies kertomaan miten maailmassa on uhkia ja virkavallan resurssit riittämättömiä tai että valtuuksia pitää lisätä jne

Siis toivon infoa eilisestä Hesarin artikkelista, onko tietoa?

Vierailija kirjoitti:

Siis toivon infoa eilisestä Hesarin artikkelista, onko tietoa?

Juttu hakkereista? Spekulointia, että olisi rannikon suomenruotsalaisesta kaupungista.

F-Secure on hyötynyt hakkerista pörssikurssien nousulla, veikkaan että löytyy sieltä. Hakkeri lienee käyttänyt myös heidän VPN palvelua, F-secure ei varmaankaan luovuttaisi rikoksen tunnistetietoja tapausta tutkivalle puolueettomalle tietoturvafirmalle/poliisille.

Vierailija kirjoitti:

Itse epäilen Supoa. Suomi on niin tylsä maa, että heidän on aika ajoin nostettava profiiliaan. Yleensä tällaisten jälkeen tulee aina joku supon tms nokkamies kertomaan miten maailmassa on uhkia ja virkavallan resurssit riittämättömiä tai että valtuuksia pitää lisätä jne

Että sellainen sairaan sekopään fantasia sitten tänä aamuna! Sinustako tietoturvareseurssit ovat kohdillaan ja asiasta ei tarvitsisi välittää? Ja luulet, että valtiolla ei ole muita keinoja nostaa jonkun asian määrärahoja, kuin tehdä rikoksia? Hauskaa, miten sairas mieli ajattelee.

Ihan amatööri skriptiskidi se on.

Ja termi on krakkeri, ei hakkeri. Krakkeri tekee pahojaan.

Vierailija kirjoitti:

Vierailija kirjoitti:

Itse epäilen Supoa. Suomi on niin tylsä maa, että heidän on aika ajoin nostettava profiiliaan. Yleensä tällaisten jälkeen tulee aina joku supon tms nokkamies kertomaan miten maailmassa on uhkia ja virkavallan resurssit riittämättömiä tai että valtuuksia pitää lisätä jne

Että sellainen sairaan sekopään fantasia sitten tänä aamuna! Sinustako tietoturvareseurssit ovat kohdillaan ja asiasta ei tarvitsisi välittää? Ja luulet, että valtiolla ei ole muita keinoja nostaa jonkun asian määrärahoja, kuin tehdä rikoksia? Hauskaa, miten sairas mieli ajattelee.

Tuskin sieltä sipuliverkosta mitään minua itkettävää löytyy, mutta ilmeisesti niin ei ole sinun laitasi muruseni.

HAKUNINMAA on pientaloalue Helsingin ja Vantaan rajalla. Niin siistiksi hoidettu, että täällä voi uskoa asuvan kansakunnan tukipylväitä, nurmikkonsa kiltisti leikkaavia veronmaksajia.

Paritaloasunnon edessä on musta Mersu, ja ulko-ovella vastaan tulee pari lasta. Eteisessä lasten isä Benjamin Särkkä työntää kyynärpäänsä koronatervehdykseen.

Särkkä on 37-vuotias, varpaisiin asti tatuoitu mies. Jalkapöytiin on piirretty lasten nimet ja syntymäajat. Tietosuojasyistä hän pohtii, missä kulmassa niitä voisi kuvata.

Paritaloasunto on sympaattinen sekasotku viisihenkisen lapsiperheen leluja, keppihevosia ja ammattitason digitaalisia härpäkkeitä. Koronapandemian keskellä Särkkä työskentelee kotona. Työpöydän alla hurisee tavanomaista tehokkaampi tietokone.

Särkän päivätyö on Nordeassa, ja hänen tittelinsä siellä on Head of Cyber Intelligence Analytics.

Sen voisi kääntää vaikkapa kybertiedusteluyksikön pomoksi. Viime päivät Särkkä on käyttänyt Nordeasta, perheenisyydestä ja yrittäjyydestä jäävän ajan psykoterapiakeskus Vastaamon tietomurron ja kiritystapauksen jäljittämiseen.

Hän tekee sitä kymmenien muiden hakkereiden tavoin vapaaehtoistyönä ja syöttää löytämänsä tiedot ja havainnot tutkinnasta vastaavalle keskusrikospoliisille.

Särkkä on Suomen tunnetuimpia valkohattuhakkereita. Näin kutsutaan hyväntahtoisia verkon tietojärjestelmien asiantuntijoita, jotka koettavat kehittää tietoturvaa ja paljastaa esimerkiksi yritysten tai virastojen tietoturvapuutteita.

Asiaan kuuluu, että rikollisesti toimivia hakkereita kutsutaan mustahatuiksi.

ON tiistai ja viikko siitä, kun Särkkä sai ensimmäisen tiedon suuresta tietomurrosta psykoterapiakeskukseen.

Viikossa on ehtinyt tapahtua paljon – ehkä koko yhteiskunnalle.

Tiistaina 20. lokakuuta eri keskustelufoorumeilla oli huhuja siitä, että psyko­terapiakeskus Vastaamon tietojärjestelmiin olisi murtauduttu ja sieltä olisi anastettu mahdollisesti jopa 40 000 asiakkaan arkaluontoisia tietoja heidän terapiakäynneistään.

Kävi ilmi, että itse tietomurto oli jo melko vanha. Se oli tehty marraskuussa 2018, ja murtajilla oli pääsy tietojärjestelmään maaliskuulle 2019 asti, jolloin murto tiettävästi havaittiin Vastaamossa.

Tietomurrossa oli saatettu varastaa Vastaamon koko asiakasrekisteri marraskuuhun 2018 asti ja mahdollisesti yksittäisiä potilastietoja maaliskuulle 2019 asti.

Neljältä keskiviikkoaamuna, 21. lokakuuta, nimimerkki ransom_man ilmestyi internetin pimeälle puolelle, salatun Tor-verkon suomenkieliselle keskustelupalstalle.

Nimimerkki kirjoitti englanniksi, antoi ymmärtää olevansa ei-suomalainen ja edustavansa jotakin ryhmää, meitä.

Hei suomalaiset kollegat, olemme hakkeroineet psykoterapiaklinikan (vastaamo.fi) ja ottaneet kymme­niätuhansia potilastietoja, joihin kuuluu myös äärimmäisen arkaluontoisia vas­taanottomuistiin­pa­noja ja sosiaaliturvanumeroita. Pyysimme pientä 40 bitcoinia maksua (ei mitään yhtiölle, jonka liikevaihto on lähes 20 miljoonaa euroa vuodessa), mutta toimitusjohtaja on lakannut vastaamasta sähköposteihimme. Alamme nyt asteittain julkaisemaan potilastietoja, sata kappaletta joka päivä.

Mukaan nimimerkki laittoi linkin, joka ohjasi hänen sivuilleen Tor-verkossa. Siellä oli tiedosto, jossa oli 300 Vastaamon asiakkaan henkilötiedot ja ainakin osasta heistä tiettävästi yksityiskohtaisia tietoja siitä, mistä oli keskusteltu psykoterapiakeskuksen vastaanotolla.

Poliisin, Vastaamon johdon ja tietomurtoa selvittävän tietoturvayhtiö Nixun ulkopuolella tiedetään tietomurron tekijästä ja kiristäjästä melko vähän. Kyse voi olla yhdestä ja samasta henkilöstä, kahdesta eri henkilöstä, rikollisryhmästä tai jopa rikollisryhmistä.

Vastaamon mukaan kiristäjä oli lähestynyt yrityksen kolmea työntekijää ensimmäisen kerran jo 29. syyskuuta. Lokakuun loppupuolella kiristäjä julkaisi kuvia, joissa hän väitti olevan aiempaa viestinvaihtoa Vastaamon toimitusjohtajan kanssa.

Hakuninmaan pientaloalueen kenties ainoa – tai ainakin taitavin – hakkeri Benjamin Särkkä sai ensi tiedon tietomurrosta Whatsapp-ryhmästä, jossa ovat lähes kaikki Suomen tietoturva-alan keskeiset henkilöt.

Ryhmässä on sekä viranomaisia, kuten poliisin kyberrikollisuustutkijoita, että yksityisen puolen tietoturvallisuusasiantuntijoita.

”Joku laittoi sinne viestin, että on tällainen käynnissä. Että tietääkö joku lisää.”

Käytännössä siis yhdessä Whatsapp-ryhmässä liikkuu perustietoja Suomen koko tietoturvakentän ytimelle. Salattavia, arkaluontoisia tai tutkinnan kannalta tärkeitä keskusteluja siellä ei kuitenkaan käydä.

Poliisi ei juuri ole puhunut julkisuudessa yhteistyöstään valkohattujen kanssa. Toistaiseksi merkittävimmän tunnustuksen valkohatut saivat lauantaina 25. lokakuuta, kun Vastaamo-tutkinnan johtaja, rikoskomisario Marko Leponen erikseen kiitti valkohattuhakkereita.

Särkkä korostaa, että pääosa valkohatuista ja poliisin kyberrikollisuustutkijoista ei tee virallisen tason yhteistyötä, vaan kyse on lähinnä yhdensuuntaisesta viestinnästä: valkohatut syöttävät poliiseille sellaiset löydöksensä, joiden he arvelevat kiinnostavan poliisia.

Poliisi ei ole koskaan ottanut Särkkään yhteyttä ja pyytänyt apua jonkin tapauksen selvittämisessä.

”Toki voi olla sellaisia valkohattuja, jotka ovat enemmänkin poliisiin suoraan yhteydessä, mutta itse en ole.”

Vierailija kirjoitti:

Siis toivon infoa eilisestä Hesarin artikkelista, onko tietoa?

Minäkin toivon tietoa tästä artikkelista, joka on maksumuurin takana:

Pimeän verkon partiolaiset

Näin Benjamin Särkkä ja muut suomalaiset valkohattuhakkerit alkoivat joukolla selvittää, millaisia jälkiä Vastaamo-tietomurron kiristäjä jätti itsestään verkkoon.

https://www.hs.fi/sunnuntai/art-2000006705284.html

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Itse epäilen Supoa. Suomi on niin tylsä maa, että heidän on aika ajoin nostettava profiiliaan. Yleensä tällaisten jälkeen tulee aina joku supon tms nokkamies kertomaan miten maailmassa on uhkia ja virkavallan resurssit riittämättömiä tai että valtuuksia pitää lisätä jne

Että sellainen sairaan sekopään fantasia sitten tänä aamuna! Sinustako tietoturvareseurssit ovat kohdillaan ja asiasta ei tarvitsisi välittää? Ja luulet, että valtiolla ei ole muita keinoja nostaa jonkun asian määrärahoja, kuin tehdä rikoksia? Hauskaa, miten sairas mieli ajattelee.

Tuskin sieltä sipuliverkosta mitään minua itkettävää löytyy, mutta ilmeisesti niin ei ole sinun laitasi muruseni.

Miksi kukaan itkisi sinun sairaille fantasioillesi? Ei kukaan ole esittänyt sellaista, hauska.

En tiedä, mutta kun koitin laittaa kolmannen osan artikkelista, tuli teksti kommenttisi julkaistaan hyväksynnän jälkeen. Eli se ei ollut liian pitkä (mitä palsta kahden ekan kanssa herjasi) Joko m o d e oli hereillä tai osiossa on k i e l l e t t y sana, vaikka j ä n n ä m i e s. Sorry

Vierailija kirjoitti:

Vierailija kirjoitti:

Siis toivon infoa eilisestä Hesarin artikkelista, onko tietoa?

Minäkin toivon tietoa tästä artikkelista, joka on maksumuurin takana:

Pimeän verkon partiolaiset

Näin Benjamin Särkkä ja muut suomalaiset valkohattuhakkerit alkoivat joukolla selvittää, millaisia jälkiä Vastaamo-tietomurron kiristäjä jätti itsestään verkkoon.

https://www.hs.fi/sunnuntai/art-2000006705284.html

Tilatkaa lehti. Tai menkää kirjastoon.

KIRISTÄJÄ kirjoitti tietomurrostaan myös toiselle hämyiselle verkkofoorumille, Yl:lle, joka on internetin avoimella puolella mutta jossa niin ikään esiinnytään anonyymisti.

Hän kävi jonkin aikaa englanniksi keskustelua muiden kanssa sekä Tor-verkossa että Yl:lla. Joku anonyymeistä keskustelijoista, mahdollisesti joku yksityiskohtia onkiva valkohattu, kysyi kiristäjältä: Was the database protected in any way? I guess it wasn’t.

Oliko Vastaamon tietokanta suojattu jollain tavoin?

Kiristäjä vastasi: It was not, the login was root:root.

Hän siis väitti, että Vastaamon tietoturvassa oli pahimman lajin aukko, tietokanta oli helposti löydettävissä ja siinä oli käyttäjätunnuksena ja salasanana se, jonka kone tarjoaa automaattisesti: root ja root.

Jos kiristäjän väite on totta, Vastaamon järjestelmä oli kenelle tahansa harrastajahakkerille hetkessä murrettavissa.

Yl:lla keskustellessaan kiristäjä teki mahdollisesti virheen.

Hänen viestistään jäi Yl:lle niin kutsuttuja evästetietoja, joista valkohattuhakkerit löysivät kiristäjän käyttämän tieto­koneen IP-osoitteen sekä koneen oletuskielen. Se viittaa erääseen ruotsinkieliseen Suomen etelärannikon pikkukaupunkiin, mutta tiedon varmuudesta on ristiriitaisia käsityksiä.

Särkkä ei tehnyt löytöä, mutta hän varmisti, että tiedot olivat menneet keskus­rikospoliisin tutkijoille.

Torstain ja perjantain välisenä yönä, 22.–23. lokakuuta, kiristäjä jakoi Tor-verkossa vielä sadan asiakkaan tiedot ja keskustelupalstalla tiettävästi kuuden Vastaamon asiakkaana olleen poliisin nimen.

Vierailija kirjoitti:

Vierailija kirjoitti:

Siis toivon infoa eilisestä Hesarin artikkelista, onko tietoa?

Minäkin toivon tietoa tästä artikkelista, joka on maksumuurin takana:

Pimeän verkon partiolaiset

Näin Benjamin Särkkä ja muut suomalaiset valkohattuhakkerit alkoivat joukolla selvittää, millaisia jälkiä Vastaamo-tietomurron kiristäjä jätti itsestään verkkoon.

https://www.hs.fi/sunnuntai/art-2000006705284.html

Osa artikkelista olikin jo ilmestynyt tuohon ylemmäksi. Thx! Toivottavasti loputkin tulee myöhemmin.

Hesarissa eilen myös tällainen juttu:

Vastaamon tietomurrossa ja kiristyksissä voi olla useita tekijöitä – liittyykö tekoihin kosto?

https://www.hs.fi/kotimaa/art-2000006704825.html

Jaa. Se sana oli näköjään Y l i l a u t a.

Tulipas hakkerimainen olo, kun onnistuin purkamaan suojauksen 🤣

Perjantaina kiristäjä teki aloittelijan virheen ja julkaisi Tor-verkossa kymmenen gigatavun kokoisen tiedoston.

On mahdollista, että tiedostossa oli Vastaamon koko potilastietokanta loppuvuoteen 2018 asti.

Tiedosto oli parin tunnin ajan ladattavissa Tor-verkossa, ja keskustelujen perusteella jotkut sitä myös latasivat, ainakin osittain. Sen jälkeen hyökkääjän sivusto ja tiedosto katosivat Tor-verkosta.

Kiristäjä kirjoitti perjantaina Tor-verkossa: Since my first server is being ddosed, I will set up another server soon. Stay tuned. Hänen verkkopalvelimensa oli kaadettu, ja hän lupasi rakentaa nopeasti uuden.

Pysy kanavalla, hän kehotti.

Isoimpia kysymyksiä on nyt tämä: keiden kaikkien käsissä on tämä jättitiedosto, joka saattaa sisältää Vastaamon koko potilastietokannan ainakin marraskuuhun 2018 asti?

Tiedoston julkaistuaan kiristäjä joka tapauksessa heikensi ratkaisevasti omia mahdollisuuksiaan kiristää Vastaamon johtoa. Nyt potilastiedot saattoivat olla useilla muillakin tahoilla eikä kiristäjä enää voinut kontrolloida tietojen julkaisemista.

KIRISTÄJÄN tai kiristäjien oli vaihdettava taktiikkaa.

Lauantai-iltana noin kello 19.30 kiristäjä alkoi lähestyä suoraan Vastaamon satoja asiakkaita ja työntekijöitä. Hän lähetti heille sähköpostiviestejä, joissa oli vastaanottajan nimi, henkilötunnus ja siviilisääty.

Kiristäjä vaati 200 euron arvosta kryptovaluutta bitcoineja 24 tunnin sisällä tai 500 euron arvosta bitcoineja 48 tunnin sisällä – tai uhrin potilastiedot julkaistaisiin ”kaikkien nähtäville”.

Kaikkien nähtäville viittasi mahdollisesti siihen, että tiedot julkaistaisiin salatun Tor-verkon sijaan verkon normipuolella, niillä foorumeilla, joilla suuri osa suomalaisista päivittäin käy.

”Hakkeriporukka alkoi organisoitua. Ymmärrettiin, että nyt on kyseessä iso juttu. Ja että jonkun pitäisi kertoa tästä uhreillekin jotain”, Särkkä sanoo.

Niinpä Särkän edustaman valkohattuverkoston, KyberVPK:n, pieni ydinporukka loi uhreille yksinkertaisen hätäohjeistuksen ja lähetti sen lauantai-iltana Twitterissä:

1. Älä panikoi, kyseessä ei ole oikeasti henkilökohtainen kiristysviesti

2. Älä vastaa viestiin mitään, jos vastaat, osoitat vain olevasi aktiivinen

3. Tee rikosilmoitus asiasta

4. Ilmoita kyberturvallisuuskeskukselle.

ON mahdotonta tietää, paljonko suomalaisia valkohattuhakkereita on.

Kyse ei ole yksiselitteisestä ilmiöstä eikä erityisen julkisesta toiminnasta. Päinvastoin. Suuri osa hakkereista, laillisesti toimivistakin, tekee sen anonyymisti ja antaa tekojensa puhua puolestaan.

Kovalla ammattilaistasolla toimivia valkohattuja on Suomessa joitakin kymmeniä. Maailman suurimman valkohattuhakkerien alustan, HackerOnen, toimitusjohtajana työskentelevä suomalainen Mårten Mickos laskeskelee, että HackerOnen noin 800 000 rekisteröityneestä käyttäjästä ehkä parisataa on suomalaisia.

Heistä viitisentoista menestyy alustalla erityisen hyvin.

HackerOnessa tosin ei ole kyse hyvän­tekeväisyydestä vaan tietoturvabisneksestä, alustasta, joka saattaa yhteen yrityksiä ja valkohattuhakkereita.

Särkän edustamaa KyberVPK:ta Mickos luonnehtii digimaailman Lääkärit ilman rajoja -järjestöksi.

”Valkohattuhakkereille kehittyy vahva moraalikäsitys. Heillä on usein yhteiskunnallinen aatemaailma, he ovat digimaailman partiolaisia”, Mickos sanoo.

Hän arvioi, että lahjakkaimmilla valkohatuilla saattaa olla sen kaltaisia kykyjä ja itsenäistä verkkoajattelua, jollaisia esimerkiksi keskusrikospoliisi ei ole kyennyt vielä rekrytoinneillaan saamaan. Siksi yhteistyö on viisasta.

Puhe mustahatuista ja valkohatuista on tietenkin todellisuuden yksinkertaistamista. Hyvin harvoin ihmisiä voi jakaa hyvä ja paha -janalla jompaankumpaan päätyyn – olemme kaikki siinä janalla, kuka milläkin kohdalla.

Benjamin Särkkä kuvailee itseään Twitter-tilinsä esittelyssä: Hacker with a multicolored hat. Hakkeri, jolla on monivärinen hattu.