Vastaamon hakkeri

Hän ei tee rikollisia tietomurtoja mutta tietomurtoja kuitenkin. Luvan kanssa ja järjestelmiä vahvistaakseen.

Hakkereissa on myös niitä, jotka toimivat harmaalla alueella. He eivät ole rikollisia mutta saattavat jännityksen puutteessa testailla yritysten tietoturvajärjestelmiä.

Tai he ovat hyvällä asialla mutta saattavat ajaa asiaa lain rajoja hipoen.

Voisi kuvitella, että Särkkä olisi koulutukseltaan tietojenkäsittelytieteen maisteri tai tietoliikenneinsinööri. Mutta hän on merkonomi. Tietoturva-asioissa ja hakkeroinnissa hän on itseoppinut.

Hän on monen valkohatun tavoin historian ensimmäistä sukupolvea, jonka lapsuudessa oli olemassa tavallisellekin kansalle hiljakseen leviävä internet, vielä yksinkertaisena mutta kuitenkin.

Ensimmäisen tietomurtonsa Särkkä teki kahdeksanvuotiaana vuonna 1991.

Isä oli ostanut Macintosh SE/30 -tieto­koneen. Siihen asennettiin lapsilukko. Benjamin ei voinut pelata suosikkipeliään, jossa tuli pudottaa hahmo helikopterista alhaalla olevaan heinäkärryyn.

Tietomurron poika teki niin sanotulla väsytyshyökkäyksellä: hän kokeili mahdollisia lapsilukon salasanoja yksi kerrallaan niin kauan, kunnes lukko lopulta aukesi. Salasana ei ollut vahva: se oli isän etunimi.

Sellaisia me ihmiset olemme, teemme inhimillisiä virheitä. Laiskuuttamme tai vahingossa. Onni onnettomuudessa on, että samanlaisia ovat usein myös verkko­rikolliset.

MONET yritykset ja virastot myös Suomessa pyytävät valkohattuhakkereita yrittämään luvan kanssa tietomurtoa järjestelmiinsä ja raportoimaan mahdollisista aukoista.

Tällaisista operaatioista käytetään nimeä bug bounty -ohjelmat, haavoittuvuuksien metsästys. Hakkereille maksetaan tiedoista palkkioita, jotka vaihtelevat sadoista euroista yli sataantuhanteen euroon.

Suomessa esimerkiksi Lähi-Tapiola, S-pankki, OP-ryhmä, Elisa, Väestörekisterikeskus, Digi- ja väestötietovirasto ja Verohallinto ovat järjestäneet palkkionmetsästysohjelman ja maksaneet hakkereille.

Lähi-Tapiola maksoi lokakuussa 2016 suomalaishakkerille 18 000 dollarin palkkion vakavan tietoturva-aukon löytämisestä. Hakkeri käytti juuri HackerOne -alustaa.

Ulkoministeriö (UM) julisti marraskuussa 2019 bug bounty -ohjelman. Taustalla oli syvä trauma siitä, että vuonna 2013 UM:n tietojärjestelmistä paljastui kaksi laajaa, vuosia jatkunutta tietomurtoa.

Suojelupoliisin mukaan UM:ää oli vakoillut kaksi eri valtiota. Toisessa tapauksessa jäljet johtivat sekä HS:n että Ylen selvityksissä venäläiseen hakkeriryhmään.

UM:n bug bountyssa ministeriön tietokantoja alkoi hakkeroida luvallisesti 30 hakkeria, joista 28 oli Suomesta, yksi In­tiasta ja yksi Argentiinasta. He tekivät yli sata haavoittuvuusraporttia, joista 32 katsottiin niin oleellisiksi, että UM maksoi niistä palkkion.

Suurimman, 3 000 euron palkkion sai hakkeri, joka osoitti pystyvänsä julkaisemaan UM:n verkkosivuilla omaa sisäl­töään, kuten videoita. On selvää, että kyseisen kaltaiseen tietoturvauhkaan liittyy esimerkiksi hybridivaikuttamisen uhkia.

”Kyseinen hakkeri oli nähnyt siihen hirveästi vaivaa. Että ei se ihan helpolla onnistu. Mutta hän osoitti, että jos teen tällä ja tällä ja tuolla tavoin, niin se on mahdollista”, sanoo UM:n tietoturvapäällikkö Antti Savolainen.

Savolaisen mielestä oleellista bug bounty -ohjelmissa on paitsi tietoturvariskien löytäminen myös se, että ne kehittävät yritysten ja virastojen tietoturvaväen ajattelua.

”Meidän porukka alkoi ensimmäisen kerran ymmärtää, miten hakkeri ajattelee”, Savolainen sanoo.

Itse asiassa Savolainen on niin vaikuttunut nuoren polven valkohattujen työstä, että hän on näinä päivinä jättämässä UM:n. Hän siirtyy Nordean tietoturvatiimiin.

Pienen maan erikoisosaajien piirit ovat hyvin pienet. Nordeaan Savolaisen houkutteli Benjamin Särkkä.

MONELLE valkohatuista anonymiteetti on osa hakkeri-identiteettiä. Osa taas välttelee julkisuutta, koska heidän työnantajansa ei toivo hakkeriharrastukselle julkisuutta.

Benjamin Särkkä on pienestä pitäen rakentanut omia digitaalisia laitteitaan. Kuvan laitetta käytettiin hakkerikisaan Disobey-tapahtumassa.

Benjamin Särkkä on pienestä pitäen rakentanut omia digitaalisia laitteitaan. Kuvan laitetta käytettiin hakkerikisaan Disobey-tapahtumassa.­KUVA: MIKA RANTA / HS

Stereo­tyyppinen hakkeri on pari-kolmekymppinen mies, joka on kasvanut lapsuudesta asti tietoverkoissa. Suomen ammattimaisten valkohattupiirien ytimessä on myös muutama nainen, esimerkiksi KyberVPK-ryhmässä toimiva Laura Kankaala. Hän on päivätöissä startup-yhtiö RoboCorpin tietoturvapäällikkönä.

Käytännössä kaikki Suomen todelliset valkohatut ovat tietoturva-alan ammattilaisia.

Suomessa on muutamia valkohattuhakkerien ryhmiä, jotka ovat organisoituneet tehokkaasti. Yksi niistä on Team ROT. Sen keskeinen hahmo, Jarmo ”Putsi” Puttonen on Mickosin mukaan maailmankin tasolla huippuhakkeri, ainoita suomalaisia, jotka edes periaatteessa pystyvät elättämään itsensä valkohattuhakkeroinnilla.

HackerOnen sivulta voi nähdä, että Puttonen on aivan muutama päivä sitten kuitannut 700 dollarin palkkion vakuutus­yhtiö Lähi-Tapiolalta jonkin tietoturva­haavoittuvuuden raportoinnista.

Puttonen on vaitonainen Vastaamo-tapauksesta. Hän korostaa, että tutkinta on keskusrikospoliisin heiniä. Team ROT kertoo vain ”seuraavansa tapausta tarkasti useista eri lähteistä”.

KUKA sitten on Vastaamo-tietomurron tekijä ja kiristäjä? Tai keitä he ovat?

Sataprosenttisen varmoja tietoja on hyvin vähän, spekulaatioita enemmän.

Benjamin Särkkä uskaltautuu spekuloimaan: kiristäjä saattaisi olla yksin toimiva nuorehko suomenruotsalainen mies Etelä-Suomesta. Useampi yksityiskohta viittaa tällaiseen yhdistelmään.

Särkkä tosin korostaa, että tämä on epävarmaa. Varmuudella hän tietää kiristäjästä vain sen, kuinka tämä on toiminut alettuaan esiintyä Tor-verkossa ja Yl:lla nimimerkillä ransom_man ja alettuaan sähköpostitse kiristää Vastaamon asiakkaita.

Todisteiden uskottavuutta ei ole helppo varmistaa. Jos kiristäjä on tarpeeksi suunnitelmallinen hakkeri, hänen jättämänsä metatiedot saattavat sisältää hämäyksiä, joiden tarkoitus on ollut johdattaa tutkijat harhapoluille.

Kun kiristäjä ilmestyi Tor-verkkoon ja alkoi lähettää kiristysmeilejä Vastaamon asiakkaille, Särkkä ja muut valkohatut alkoivat etsiä kiristäjän sähköposteista niin kutsuttua metatietoa. Metatieto voi paljastaa vaikkapa sen, mitä ohjelmistoja viestin lähettämiseen on käytetty tai missä sijaitsee se tietokone, josta sähköpostit on lähetetty.

Ei h *lvetti miten pitkä artikkeli puuuuh

t.lataaja

Kiristäjän sähköpostien metatiedoista paljastui, että sen lähettäjällä on Amazonin asiakastili.

”Mutta kenelle se tili kuuluu, se on vain viranomaisten selvitettävissä”, Särkkä sanoo.

Ammattimainen kyberrikollinen pyrkii muuttamaan joka ikisen metatiedon, jotta tutkijoiden työ olisi mahdollisimman vaikeaa. Ei ole varmuutta, ovatko Vastaamon kiristäjän metatiedot aitoja vai kiristäjän muuttamia.

Hankalinta tutkijoille – sekä rikospoliiseille että valkohatuille – on se, että jälkimmäisestäkin tietomurrosta on jo puolitoista vuotta. Jos Vastaamon johto olisi toiminut viisaasti ja paljastanut tietomurron välittömästi, tutkijoilla olisi suuremmat mahdollisuudet onnistua.

”Aika mädättää todisteet nopeasti”, Särkkä sanoo.

Monet tietomurtoon käytetyt välineet ovat ”muistipohjaisia”, mikä tarkoittaa, että jäljet niistä katoavat ajan myötä tietojärjestelmän muistista.

”Pitäisi päästä käsiksi siihen [tietomurtoon] jo silloin, kun se on käynnissä.”

KESKIVIIKKONA 21. lokakuuta kiristäjä teki hakkeripiirien näkökulmasta amatöörimäisen teon. Hän otti yhteyttä perinteiseen viestimeen, Ilta-Sanomiin, ensimmäisten asiasta julkaistujen uutisten jälkeen.

Hän yritti saada Vastaamon johdolle esittämälleen kiristysviestille tehoa. Taktiikasta tuntui puuttuvan ymmärrys sekä perinteisen median toiminnasta että verkkokiristyksestä.

”Ammattilaiset eivät käyttäisi mediaa kiristämisessä. Lunnashaittaohjelman käyttäminen olisi paljon tehokkaampaa yrityksiä vastaan”, Särkkä sanoo.

Lunnashaittaohjelmassa on kyse tietojärjestelmässä tuhoa tekevästä ohjelmasta tai tietojärjestelmän käytön estävästä ohjelmasta, jonka avulla rikollinen kiristää uhriltaan vaikkapa rahaa.

Siksi Särkkä uskookin, että Vastaamon kiristäjän yksi motiivi rahan lisäksi on ollut jonkinlainen kosto Vastaamolle.

Jos kyse olisi tällaisesta, tekijä saattaisi olla vaikkapa Vastaamon ex-työntekijä, alihankkija tai jopa asiakas.

”Se ei yllättäisi minua, jos näin olisi. Kiristysviestissä perustellaan, että ’koska yrityksen johto ei kanna vastuutaan’. Se kuulostaa siltä, että joku on tosi vihainen sille yritykselle.”

On esimerkiksi mahdollista, että tietomurron on tehnyt joku Vastaamon entinen tai nykyinen työntekijä, jolla on ollut aivan laillinen pääsy potilastietoihin. Sellaisessa tapauksessa tietomurron ennaltaehkäisy olisi hyvin vaikeaa.

”Vastaamo ei olisi voinut tehdä oikein mitään”, Särkkä sanoo.

KyberVPK:n valkohattuhakkeri Laura Kankaala toivoo, että Vastaamon johto julkistaa aikanaan virallisen selvityksen siitä, mitä kaikkea tietomurrossa tapahtui ja millaiset olivat yhtiön tietoturvajärjestelmät.

”Ihan mielenkiinnolla odotan.”

LAUANTAIN ja sunnuntain välisenä yönä, 24,–25. lokakuuta, kiristäjän nimimerkki ransom_man katosi verkosta.

Nimimerkki lähetti viimeiset viestinsä Tor-verkossa ja antoi ymmärtää, että ”he” ovat lähettämässä uuden lastin potilastietoja.

Sitä ei ole koskaan tullut. Kiristäjä lopetti kommunikoinnin.

Nyt kiristäjän sivusto Tor-verkossa on kadonnut, ja Särkkä uskoo, että kiristäjä on keskittynyt tuhoamaan tiedostojaan ja hävittämään jälkiään.

Perjantain jälkeen kiristäjän toimintaa on leimannut panikoinnin tuntu.

Selitykseksi on tarjolla useita vaihto­ehtoja.

Voi olla, että suomalainen yhteiskunta on reagoinut tavalla, joka on hätäännyttänyt tekijän. Teko on herättänyt suomalaisissa aivan poikkeuksellisen kiukun, vastarinnan ja tuenilmaisun uhreille.

Kiristäjä ei ole välttämättä täysin ymmärtänyt, kuinka vakavasta teosta on kyse.

”Hän on selkeästi pelästynyt ja perääntynyt”, Särkkä arvelee.

Jos siis kyseessä on yksin toimiva säikähtänyt hakkeri.

Toinen – ja huomattavasti synkempi – vaihtoehto on, että kiristyksen takana on ammattimainen porukka, joka on hylännyt ensimmäisen kiristystaktiikkansa ja etsii nyt koko potilastietopankille ostajaa.

Tai on jo myynyt sen eteenpäin.

Koska aineistossa saattaa olla jopa 40 000 suomalaisen arkaluontoisia potilastietoja, on selvää, että mukana on myös merkittävässä asemassa olevien ihmisten tietoja. Nyt on jo tiedossa ainakin yksi kansanedustaja, joka on tullut asiassa julkisuuteen. Sen lisäksi luottamuksellisissa potilaskeskusteluissa on voitu kertoa arkaluontoisia asioista kolmansista osapuolista, muista ihmisistä.

On vaikea arvioida, kuinka monen suomalaisen yksityiselämää Vastaamon potilastiedoissa saatetaan käsitellä.

Arkaluontoisilla psykoterapiatiedoilla vaikutusvaltaisia suomalaisia voisi olla mahdollista kiristää eri tavoin.

Ulkopoliittisen instituutin johtaja Mika Aaltola on pohtinut julkisuudessa, voiko kiristyksellä olla ”potentiaalinen poliittinen ulottuvuus”.

Aaltola viittasi hybridivaikuttamiseen ja vihjasi, että yksi kiristyksen kohde saattaisi jopa olla Suomen valtio.

SUOMI on jännittänyt nyt puolitoista viikkoa, mahtaako Vastaamon tietomurron kiristäjä jäädä kiinni.

Niin, mahtaako?

”Todennäköisyys sille, että hän on tehnyt jonkin virheen jolla hänet saadaan kiinni, on olemassa”, Särkkä sanoo.

Särkän mielestä kyse on koko yhteiskunnalle niin vakavasta traumasta, ettei viranomaisille jää oikein muuta mahdollisuutta kuin ratkaista rikos, vangita tekijät ja varmistaa, että jatkossa suomalaisten arkaluontoisimmat tiedot ovat suojatuissa tietoholveissa lukkojen takana.

”Ettei tämä jää avohaavaksi.”

LOPPU

Vierailija kirjoitti:

Poliisin, Vastaamon johdon ja tietomurtoa selvittävän tietoturvayhtiö Nixun ulkopuolella tiedetään tietomurron tekijästä ja kiristäjästä melko vähän. Kyse voi olla yhdestä ja samasta henkilöstä, kahdesta eri henkilöstä, rikollisryhmästä tai jopa rikollisryhmistä.

Vastaamon mukaan kiristäjä oli lähestynyt yrityksen kolmea työntekijää ensimmäisen kerran jo 29. syyskuuta. Lokakuun loppupuolella kiristäjä julkaisi kuvia, joissa hän väitti olevan aiempaa viestinvaihtoa Vastaamon toimitusjohtajan kanssa.

Hakuninmaan pientaloalueen kenties ainoa – tai ainakin taitavin – hakkeri Benjamin Särkkä sai ensi tiedon tietomurrosta Whatsapp-ryhmästä, jossa ovat lähes kaikki Suomen tietoturva-alan keskeiset henkilöt.

Kiitos, kuka onkin vastaaja. On tämä melko juttu. Tuttuni sai kiristyskirjeen.

Ryhmässä on sekä viranomaisia, kuten poliisin kyberrikollisuustutkijoita, että yksityisen puolen tietoturvallisuusasiantuntijoita.

”Joku laittoi sinne viestin, että on tällainen käynnissä. Että tietääkö joku lisää.”

Käytännössä siis yhdessä Whatsapp-ryhmässä liikkuu perustietoja Suomen koko tietoturvakentän ytimelle. Salattavia, arkaluontoisia tai tutkinnan kannalta tärkeitä keskusteluja siellä ei kuitenkaan käydä.

Poliisi ei juuri ole puhunut julkisuudessa yhteistyöstään valkohattujen kanssa. Toistaiseksi merkittävimmän tunnustuksen valkohatut saivat lauantaina 25. lokakuuta, kun Vastaamo-tutkinnan johtaja, rikoskomisario Marko Leponen erikseen kiitti valkohattuhakkereita.

Särkkä korostaa, että pääosa valkohatuista ja poliisin kyberrikollisuustutkijoista ei tee virallisen tason yhteistyötä, vaan kyse on lähinnä yhdensuuntaisesta viestinnästä: valkohatut syöttävät poliiseille sellaiset löydöksensä, joiden he arvelevat kiinnostavan poliisia.

Poliisi ei ole koskaan ottanut Särkkään yhteyttä ja pyytänyt apua jonkin tapauksen selvittämisessä.

”Toki voi olla sellaisia valkohattuja, jotka ovat enemmänkin poliisiin suoraan yhteydessä, mutta itse en ole.”

Miksi Suomessa kaikki pitää olla julkista? Eikö nyt olisi jo aika ottaa opiksi? Siis astraltv on parempi hoitamaan ahdistusta kuin psykoterapeutti.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Itse epäilen Supoa. Suomi on niin tylsä maa, että heidän on aika ajoin nostettava profiiliaan. Yleensä tällaisten jälkeen tulee aina joku supon tms nokkamies kertomaan miten maailmassa on uhkia ja virkavallan resurssit riittämättömiä tai että valtuuksia pitää lisätä jne

Että sellainen sairaan sekopään fantasia sitten tänä aamuna! Sinustako tietoturvareseurssit ovat kohdillaan ja asiasta ei tarvitsisi välittää? Ja luulet, että valtiolla ei ole muita keinoja nostaa jonkun asian määrärahoja, kuin tehdä rikoksia? Hauskaa, miten sairas mieli ajattelee.

Tuskin sieltä sipuliverkosta mitään minua itkettävää löytyy, mutta ilmeisesti niin ei ole sinun laitasi muruseni.

Miksi kukaan itkisi sinun sairaille fantasioillesi? Ei kukaan ole esittänyt sellaista, hauska.

Kannattaa ajatella asioita monipuolisesti ja eri näkökulmista. Se pitää mielen virkeänä ja sitä voi olla sairas mieli, mutta onko se synonyymi tyhmälle muruseni

Vierailija kirjoitti:

Ei h *lvetti miten pitkä artikkeli puuuuh

t.lataaja

Paljon kiitoksia, kun jaksoit kuitenkin ladata! Oli mielenkiintoinen juttu.

Näin amatöörinä ajattelin ihan samaa siitä, että kiristäjä oli jostain syystä loukkaantunut tai vihainen Vastaamolle. Ehkä hänen yhteydenottoihinsa oli vastattu jotenkin alentuvasti tai loukkaavasti?

Vierailija kirjoitti:

En tiedä, mutta kun koitin laittaa kolmannen osan artikkelista, tuli teksti kommenttisi julkaistaan hyväksynnän jälkeen. Eli se ei ollut liian pitkä (mitä palsta kahden ekan kanssa herjasi) Joko m o d e oli hereillä tai osiossa on k i e l l e t t y sana, vaikka j ä n n ä m i e s. Sorry

Kiitos sinulle tästä infosta! ap

Vierailija kirjoitti:

Vierailija kirjoitti:

Ei h *lvetti miten pitkä artikkeli puuuuh

t.lataaja

Paljon kiitoksia, kun jaksoit kuitenkin ladata! Oli mielenkiintoinen juttu.

Näin amatöörinä ajattelin ihan samaa siitä, että kiristäjä oli jostain syystä loukkaantunut tai vihainen Vastaamolle. Ehkä hänen yhteydenottoihinsa oli vastattu jotenkin alentuvasti tai loukkaavasti?

Sekin voi olla mahdollista. JOs on avautunut psykoterapeutille vaikkapa elämänsä suurimmasta kivusta ja kohdannut väärää tapaa tai asennetta tai jopa väheksyntää, mieli voi katkeroitua. Tai sitten ei. Asialla voi kuitenkin olla joku Vastaamon työntekijäkin.

Oliko artikkelissa tietoa tai arvelua. missä kaveri asuu. Vai onko se juuri tämä suomenruotsalainen paikkakunta?

Vierailija kirjoitti:

Vierailija kirjoitti:

Ei h *lvetti miten pitkä artikkeli puuuuh

t.lataaja

Paljon kiitoksia, kun jaksoit kuitenkin ladata! Oli mielenkiintoinen juttu.

Näin amatöörinä ajattelin ihan samaa siitä, että kiristäjä oli jostain syystä loukkaantunut tai vihainen Vastaamolle. Ehkä hänen yhteydenottoihinsa oli vastattu jotenkin alentuvasti tai loukkaavasti?

Niinpä tai ei ole saanut sieltä kunnon palkkaa vaikka it-puolella ja tajusi tietoturvan ihan urveloksi ja oikeasti, se Ville Tapio vaikuttaa vastenmieliseltä. Päätti näyttää.

Ehkä tuo hakkeri on suomen Snowden

Vierailija kirjoitti:

Oliko artikkelissa tietoa tai arvelua. missä kaveri asuu. Vai onko se juuri tämä suomenruotsalainen paikkakunta?

Spekulointia oli joo vain siitä.

40.000 naispotilasta, toim. Huom.

Vierailija kirjoitti:

Vierailija kirjoitti:

Oliko artikkelissa tietoa tai arvelua. missä kaveri asuu. Vai onko se juuri tämä suomenruotsalainen paikkakunta?

Spekulointia oli joo vain siitä.

Tässä myös aiempaa spekulointia:

https://www.hs.fi/kotimaa/art-2000006697995.html

HS 24.10.2020

Poliisin lisäksi Vastaamon tietomurtajaa jahtaavat myös hakkerit – Jättikö terapia-aineistoa vienyt tietomurtaja itsestään ratkaisevia jälkiä vai onko kyse harhautuksesta?

Hakkerit löysivät tietomurtajasta jälkiä, jotka johtavat Inkooseen. Kyseessä voi olla tietomurtajan sijainnista kertova ratkaiseva virhe, tahallinen harhautus tai jotain muuta.

(...)

Tor-verkossa liikkuu tietoa siitä, että jäljelle olisi jäänyt esimerkiksi Inkoohon viittaavaa paikka- ja säätietoa. Kyse voi kuitenkin olla yhtä hyvin sumutuksesta. Dataa on saatettu esimerkiksi peukaloida tai jättää jäljelle tahallisesti vaikkapa viattoman suomalaisen murretulla koneella.

Paikkatiedot voivat muutenkin olla epätarkkoja tai jopa virheellisiä.

Vierailija kirjoitti:

Ei h *lvetti miten pitkä artikkeli puuuuh

t.lataaja

Olet kyllä syyllistynyt tekijänoikeuslainvastaiseen kopiointiin tässä ja foorumin säännötkin kieltää, jotta ip-osoite banniin.