Tietoturvavaroitus

[Ed]

Miettiessäni uutta avataria jokin aika sitten kiinnitin huomioni erään käyttäjän kuvaan.
Pidin siitä ja halusin tietää mistä se on peräisin.
Kopioin kuvan osoitteen uuteen ikkunaan ja pääsin osoitetta hieman muokkaamalla käyttäjän henkilökohtaiseen kuvagalleriaan.
Olin järkyttynyt.
Kuvia asunnosta sisä- ja ulkopuolelta, ystäviä ja sukulaisia nimineen, autoja rekisterinumeroineen, omakuvia, kotipornoa, lemmikkejä, kuvia muutamista forumilaisista.

Puhtaasti tieteen ja tietoturvan nimissä olin pakotettu tutkailemaan myös muiden forumilaisten mahdollisia tietoturva-aukkoja, joita löytyikin kymmeniä.
Laitoin asianomaisille varoitukset yksityisviestinä välittömästi tallennettuani ensin kaiken arveluttavan materiaalin.

Koko käyttäjälistaa en ehtinyt käymään läpi, mutta suurimman osan kuitenkin.

Muutama neuvo:
-Suojatkaa kuvagallerianne salasanalla
-Säilyttäkää intiimit kuvat eri paikassa kuin avatarit
-Varokaa rekisterinumeroita ja kadunnimiä kuvissa
-Tiedostonimenä ei kannata käyttää ihmisen oikeaa nimeä.jpg
-Tietoturvasi voi olla kunnossa, mutta ystävälläsi välttämättä ei. Harkitse, kenelle lähetät kuviasi.
-Jos sinulla on lapsellinen salaseura muiden forumilaisten kanssa, älkää pitäkö avatarejanne samassa osoitteessa
-Avatarin kautta voi päästä muuallekin kuin kuvagallerioihin, esimerkiksi oppilaitoksesi tai työpaikkasi sivuille.
-Kuvagallerian käyttäjätunnuksen avulla sinut löytää mahdollisesti myös muilta, murha.infoakin epäilyttävämmiltä forumeilta.

Eipä kiittämistä, teen vain työtäni.

[Doctor Lecter]

Hyvä vihje Ediltä...

[Katsa]

Joo kiitos vaan yyveestä, minua koskeviin tietoihin ei tosin päässyt avattareni kautta. Tein nyt kuitenkin mieliksesi lapsellisen salaseuran toisen forumilaisen kanssa ja laitoin kuvani samaan paikkaan kuin hänkin. Onhan siinäkin nyt sitten jollakin kotipoliisilla miettimistä olemmeko sama henkilö vai emme. Jos minun kuvani on löytynyt jonkun toisen galleriasta, no, ei se nyt NIIN suuri vahinko minulle ole.
Kurjaa tietysti jos joku on ajattelemattomuuttaan saattanut intiimigalleriansa sun muut kaikkien töllisteltäväksi - itselleni tällä ei ole väliä, koska olen anyway tavallista tallaajaa julkisempi henkilö. Osa täällä tietää kuka olen ja sillä ei ole minulle liiemmälti väliä jos joku heistä katsoo asiakseen paljastaa sen kaikille. Seison asioideni takana myös omilla kasvoillani ja omalla identiteetilläni.
Joka paikassa muualla netin syövereissä olenkin ihan tunnistettavana henkilönä nimineen ja osoitteineen; täällä oli aluksi tarkoitus olla kasvottomampi, mutta koska en osaa olla muuta kuin itseni, olen aika hyvin tullut kaapista täälläkin. Nickiä en enää täällä kuitenkaan vaihda samaksi kuin muualla, sillä pidän tästä. Olen joskus jopa ajatellut vaihtaa tämän nickin kaikkialle muuallekin.

Noniin, kiitos siis salapoliisityöstäsi, se on varmaan arvokasta niille joita tämä asia pääsi pahasti yllättämään!

[kukkuu]

Miettiessäni uutta avataria jokin aika sitten kiinnitin huomioni erään käyttäjän kuvaan.
Pidin siitä ja halusin tietää mistä se on peräisin.
Kopioin kuvan osoitteen uuteen ikkunaan ja pääsin osoitetta hieman muokkaamalla käyttäjän henkilökohtaiseen kuvagalleriaan.
Olin järkyttynyt.
Kuvia asunnosta sisä- ja ulkopuolelta, ystäviä ja sukulaisia nimineen, autoja rekisterinumeroineen, omakuvia, kotipornoa, lemmikkejä, kuvia muutamista forumilaisista.

Puhtaasti tieteen ja tietoturvan nimissä olin pakotettu tutkailemaan myös muiden forumilaisten mahdollisia tietoturva-aukkoja, joita löytyikin kymmeniä.
Laitoin asianomaisille varoitukset yksityisviestinä välittömästi tallennettuani ensin kaiken arveluttavan materiaalin.

Koko käyttäjälistaa en ehtinyt käymään läpi, mutta suurimman osan kuitenkin.

Muutama neuvo:
-Suojatkaa kuvagallerianne salasanalla
-Säilyttäkää intiimit kuvat eri paikassa kuin avatarit
-Varokaa rekisterinumeroita ja kadunnimiä kuvissa
-Tiedostonimenä ei kannata käyttää ihmisen oikeaa nimeä.jpg
-Tietoturvasi voi olla kunnossa, mutta ystävälläsi välttämättä ei. Harkitse, kenelle lähetät kuviasi.
-Jos sinulla on lapsellinen salaseura muiden forumilaisten kanssa, älkää pitäkö avatarejanne samassa osoitteessa
-Avatarin kautta voi päästä muuallekin kuin kuvagallerioihin, esimerkiksi oppilaitoksesi tai työpaikkasi sivuille.
-Kuvagallerian käyttäjätunnuksen avulla sinut löytää mahdollisesti myös muilta, murha.infoakin epäilyttävämmiltä forumeilta.

Eipä kiittämistä, teen vain työtäni.

Hyvin selkästi ilmoitat tehneesi tietoturvarikoksen. Et toki voi mennä toisen asuntoonkaan sisään, vaikka ovi olisi auki.

Jos jotkut säilyttävät kuviaan netissä ja niihin pääsee osoiteriviä hiukan muuttamalla, ei se tarkoita, että kaikilla sinun kaltaisillasi olisi oikeus niitä katsella, saati tallennella omalle koneellesi.

[Bombay]

Ei Ed tässä nyt sentään ole tietoturvarikokseen kyllä syyllistynyt.

[murhavaari]

Jos jotkut säilyttävät kuviaan netissä ja niihin pääsee osoiteriviä hiukan muuttamalla, ei se tarkoita, että kaikilla sinun kaltaisillasi olisi oikeus niitä katsella, saati tallennella omalle koneellesi.

Ei tuo kyllä mikään rikos ole. Jos on niin tyhmä että pitää julkisessa netissä kuvia osoitteessa www.olentosityhma.com/ihkutkuvat ja osoitteessa www.olentosityhma.com/munpornokuvat ilman mitään suojauksia niin kannattaa lähinnä katsella peiliin. Tuolla tavalla materiaali päätyy helposti esim. Googlen listoille.

Rikoksen tunnusmerkistö alkaa täyttymään vasta sitten kun arvaillaan salasanoja tai käytetään hyväksi esim. galleria softan tietoturva-aukkoja.

Kaiken lisäksi kukkuu voisi etsiä sen kohdan laista mikä kieltää tallentamasta aineistoa omalle koneelle. Toki esim. lapsiporno on laissa kiellettyä materiaalia, mutta esim. julkisesta galleriasta saat täysin vapaasti tallentaa omalle koneellesi mitä satut löytämään.

[Ed]

Vai tietoturvarikos.
Tämän siitä saa palkaksi, saatana, kun yrittää auttaa.
Tämä on nimenomaan varoitusviesti ihmisten anonymiteetin säilyttämiseksi, ei henkilökohtainen tunnustus.
Kyse on julkisista kuvagallerioista, joita pääsee selailemaan ihan virallistakin reittiä.

Lecterin kotipornoa en päässyt katsomaan, mutta voit lähettää tiedostot yksärinä. Joku osaavampi saattaa kyllä päästä, joten ehkä sitä ei netissä kannata säilyttää.

Salaseuralla en tarkoittanut sinua, Katsa. Vaikka julkisuus ei sinua haittaa, useimpia varoittamiani henkilöitä se haittaa vastausviesteistä päätellen.

[konsta]

Ed toimi hyvin ja moraalisesti. Nettiä tutkii myös epämääräinen joukko kräkkereitä, jotka ilmoittelevat tietoturvaukoista, eli sen kaltainen "tunkeutuminen" on katsottu olevan yleisen edun mukaista. Noita aukkoja ei oikeastaan saataisi selville muuten, kuin tunkeutumisella.

Ihan kiinnostaisi tietää, missä menee oikean tietoturvarikoksen kriteerit. Itsellesi tulisi mieleen tiedon kerääminen jossakin muussa tarkoituksessa, kuin tietoturvaukon etsimisessä. Mutta ehkä laki edellyttää tässä jotakin muutakin, olisko kellään tietoa? Ja miten pitkälle edellytetään omakohtaista suojautumista. Tuskin ketään voin syyttää, jos olen esim kaapelimodemilla verkossa, ilman palomuuria, tiedostojen jaot avoinna. Koneeni näkyy netissä, ikään nettisisältönä.

[cicero]

kyllä jokainen on itse vastuussa siitä mitä nettiin pistää, ihan ensisijaisesti. Jos materiaali on asianmukaisesti suojattu ja joku ehdoin tahdoin sinne murtautuu, kyseessä on rikos.

Ihmiset ovat oikeasti liian avoimia nettimaailmassa ja tietoa menee paikkoihin jotka eivät välttämättä olisi niin hyväksi.

[murhavaari]

Ihan kiinnostaisi tietää, missä menee oikean tietoturvarikoksen kriteerit. Itsellesi tulisi mieleen tiedon kerääminen jossakin muussa tarkoituksessa, kuin tietoturvaukon etsimisessä. Mutta ehkä laki edellyttää tässä jotakin muutakin, olisko kellään tietoa?

Suomessa on tulkittu lakia niin että ns. porttiskannaus on esimerkiksi kiellettyä. Kohteena oli muistaakseni OKO-pankki, ja tekijänä joku nuori opiskelija. Hän ei siis murtaunut vaan ainostaan skannaili avoimia portteja. Hänet palkittiin tästä tempusta kohtuullisen isolla korvausvaatimuksella.

Rikos tapahtuu jos murtaudut johonkin sisään, sisään et saa mennä sillä verukkeella että etsit vain tietoturva-aukkoja.

[konsta]

Viesti epäonnistui, hmmm

[wretch]

Vuosia sitten eräs tuttu etsi avoimia välityspalvelimia ja skannali portteja erittäin typerällä tavalla.Hän ei ollut piiloutunut mitenkään.Ainoa seuraus oli se, että ISP lähetti tyypille sähköpostin, jossa kerrottiin, että skannailu oli laitonta.Samassa viestissä kehotettiin myös päivittämään virustutka, koska viestin mukaan jotkut virukset voivat syyllistyä skannaukseen.

[kukkuu]

Lainaus tietomurto.info sivustolta:


"8 § Tietomurto. Joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava tietomurrosta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.

Tietomurrosta tuomitaan myös se, joka tietojärjestelmään tai sen osaan tunkeutumatta teknisen erikoislaitteen avulla oikeudettomasti ottaa selon 1 momentissa tarkoitetussa tietojärjestelmässä olevasta tiedosta.

Yritys on rangaistava. (Esim. porttiskannaus, lue KKO:n ennakkopäätös.)

Tätä pykälää sovelletaan ainoastaan tekoon, josta ei ole muualla laissa säädetty ankarampaa tai yhtä ankaraa rangaistusta.
Tulkintaa

Tietomurron kriminalisoinnissa on tavoiteltu yleistä tietojärjestelmien koskemattomuutta turvaavaa säännöstä, joka tulisi sovellettavaksi jo pelkästään murtautumisesta; tosiasiallista vahinkoa ei siis edellytetä. Vahingon tekeminen tai muu toiminta (esim. sähköpostin lukeminen) voi johtaa muuhun syytteeseen: ks. 4 momentin toissijaisuuslause. Rikoksen tunnusmerkistö täyttyy heti, kun turvajärjestelyt on kokonaisuudessaan ohitettu: esimerkiksi monivaiheisesta salasanakyselystä on selvitettävä kaikki vaiheet.

Säännöstä tulkittaessa ei ole ratkaisevaa se, millainen järjestelmä tarkkaan ottaen on (kunhan se on sähköinen!) eikä se, minkä vuoksi siihen murtaudutaan. Myös urheilumielessä tehty murtautuminen on tietomurtona rangaistavaa.

Teon tunnusmerkistön katsotaan täyttyvän, kun järjestelmään tunkeudutaan murtamalla jokin käytössä oleva turvajärjestely. Tällaisesta mainitaan nimenomaisestikin esimerkkinä käyttäjätunnukseen pohjautuva suojaus. Tunnusmerkistö soveltuu myös, jos sinänsä oikeutettu käyttäjä murtautuu sellaiseen järjestelmän osaan, johon hänellä ei normaalisti ole käyttöoikeutta. Turvajärjestelyn ohittamisen on oltava tahallista: tunkeutujan on tiedettävä yrittävänsä järjestelmään, johon hänellä ei tulisi olla pääsyä.

Turvajärjestelyn ohittamisen täytyy liittyä nimenomaisesti rikoksentekijän tekoon. Esimerkiksi satunnainen turvatarkastuksen epäkunto ja siitä johtuva sisäänpääsy ei johda syytteeseen. Sen sijaan esimerkiksi toisen käyttäjätunnuksen selvittäminen ja sen käyttäminen on kyllä tietomurto, kuten myös tunnusten arvailu (edellyttäen, että murtautuminen on ollut tahallisena tarkoituksena). Mikäli tunnuksen oikea omistaja on antanut tunnuksen tekijän käyttöön, ei kyseessä ole tietomurto, vaan asiaa käsitellään "samoin kuin toisen nimen kirjoittamista asiakirjaan tämän luvalla".

Säännöksen 2. momentti kriminalisoi tiedon hankkimisen ilman murtautumista. Hallituksen esityksessä käytetään "teknisenä erikoislaitteen" esimerkkinä "laitetta, joka tietojärjestelmästä lähtevän säteilyn perusteella pystyy selvittämään järjestelmässä käsiteltävän tiedon sisällön". Käytännössä useammin esiintyviä laitteita lienevät esimerkiksi verkon liikennettä valvovat järjestelmät, joilla on mahdollista napata salasanoja ym. talteen.

3. momentin mukaan myös tietomurron yritys on rangaistavaa. Tämä kattaa mm. sellaiset tilanteet, joissa tekijä pyrkii selvittämään itse tietomurron tekemiseen tarvittavat käyttäjätunnukset. Edelleen tosin vaaditaan teon tahallisuutta, mutta toisaalta ei varsinaista hyötymistarkoitusta: pelkkä urheilumielikin riittää. On huomattava, että pykälän esityöt tarjoavat tälle melko laajaa käyttöalaa: "Tietomurron yrityksen rangaistavuus on tarkoitettu helpottamaan puuttumista juuri tietojärjestelmien luotettavuuden ja turvallisuuden kannalta huolestuttavaan käyttäjätunnusten tai muiden turvajärjestelyjen järjestelmälliseen selvittämiseen."




Lainaus Ed:
"Koko käyttäjälistaa en ehtinyt käymään läpi, mutta suurimman osan kuitenkin. "

Onko tietoturva-aukon etsintä syy noin kattaviin tarkistuksiin?

En halua tästä aiheesta keskustella tämän enempää. Tuon kyseisen kuvapankin ongelma on ollut tiedossa jo tovin aikaa, mutta olisi tuon ilmoituksen voinut hoitaa jotenkin muuten. Nyt Suomessa on koko joukko keskustelupalstojen avattarien scannailijoita lisää.
Ed tietää varmasti kuvapankin olleen salasanasuojattu, vaikkakin siinä on hevosen mentävä aukko. Kyse ei ole julkisista gallerioista.

[Ed]

Sanotaan nyt vielä uudestaan, etteivät galleriat olleet salasanalla suojattuja, josta juuri halusin varoittaa.
Suojattuihin gallerioihin ei pääse.

Myös skannaus-sana on tässä yhteydessä täysin väärä.

Avoimiin gallerioihin pääsee ja saa mennä kuka tahansa ihan virallistakin reittiä kuvapankin etusivulta, jos tietää käyttäjän nikin siellä.
Tämän taas saa selville kuvan osoitetta vilkaisemalla.

Mielestäni ihmisten tietämättömyys tästä vaati varoittamista, sillä löytämiäni tietoja voisi väärä taho käyttää hyvinkin ikävillä tavoilla.

[konsta]

No joo, sieltähän ne tuli Kukkuulta selvät kriteerit. Eli Ed ei ole ohittanut yhtään turvajärjestelyä, eikä napannut säteilytietoja, joten ei ole kyse tietoturvarikoksesta. Suojaamaton tieto näytäisi olevan siis lainsuojatonta, koska yhtään turvajärjestelmää ei tarvitse ohittaa.