Lue uutinen mobiilisivustolla

Poliisi iski: Tietomurtosarjasta epäillyt kiinni itse teosta

26.2.2002 07:55 Poliisin yllätysisku Vantaalla onnistui ja kahta huippuosaajaksi epäiltyä tietomurtautujaa odottavat nyt ankarat syytteet yli 300:sta murrosta, joiden kohteena on jopa tietoturvayhtiöitä. Poliisin mukaan vastaavan tasoisia krakkereita on Suomessa parisenkymmentä.

Vantaan poliisin talousrikosyksiköllä on tutkittavana laajamittainen tietomurtosarja, jossa krakkerit eli murtautujat ovat erityistä skannausohjelmaa käyttäen etsineet tietokoneiden ssh-porttien tietoturva-aukkoja. Poliisi kertoo päässeensä päätekijöistä toisen jäljille "reaaliajassa". Kysymyksessä oli tiettävästi ansa.
- Emme poliisin puolelta halua kertoa tarkemmin, kuinka saimme tekijän kiinni itse teossa ja jäljitettyä tämän tietokoneen. Jutun tutkinta kestää jonnekin kevääseen saakka, kertoo hakkerijutun tutkinnanjohtaja komisario Arto Hankilanoja Vantaan rikospoliisin talousrikosyksiköstä.

Krakkerien murtotyökalu mursi varalle 140 000 konetta

Nyt tutkinnassa olevat tietomurrot ajoittuvat noin kolmen kuukauden ajalle. Suosiossa ovat olleet esimerkiksi teleoperaattorit, tietoturvallisuuden kanssa tekemisissä olevat yritykset, media ja julkisyhteisöt. Yhden tilitoimistoon marraskuussa tehdyn tietomurron digitoday uutisoi tuoreeltaan.

Hankilanojan mukaan murrettuja tietokoneita on tutkinnan tässä vaiheessa noin 300. Tietomurroista suurimman osan ovat tehneet kaksi viime viikolla pidätettyinä ollutta 18-vuotiasta pääepäiltyä. Nuoret ovat helsinkiläisiä.

- Tällaisilla porttiskannauksilla on murrettu ssh:n suojaus, millä menettelyllä krakkerit ovat saaneet laittomasti haltuunsa noin 140 000 yrityksen tai yhteisön ssh-porttien ohjelmistoversiot, joiden murtamiseen heillä on ollut erityinen työkaluohjelma, Hankilanoja kertoo.

Määrätietoista jälkien hävitystä

Hypoteettinen kokonaisluku kertoo automaattisen skannausohjelman murtamien tietoyhteyksien määrän. Kaikkia murrettuja koneita hakkerit eivät käyttäneet.

- Rikollisen toiminnan kohteena olleet tietokoneet sijaitsevat b-luokan ip-avaruudessa ja fyysisesti Euroopan maissa, Yhdysvalloissa ja Venäjällä. Alustavan arvion mukaan noin neljännes tietokoneista sijaitsee Suomessa, Hankilanoja kertoo.

Järjestelmään päästyään hakkerit ovat muuttaneet tietojärjestelmän valvontaan käytettäviä ohjelmia, luoneet uusia kansioita ja tiedostoja sekä ladanneet työkaluohjelmia, jotka poistavat murtojälkiä lokitiedoista ja joilla skannataan tietojärjestelmien tietoturva-aukkoja.

Koneita murrettiin hyökkäysvaunuiksi

Tietojärjestelmän suojauksen murrettuaan murtautujat ovat saaneet käyttöönsä pääkäyttäjän oikeudet, mikä on mahdollistanut tietojärjestelmän sisällön vapaan selailun.

- Tehdyt muutokset on pyritty piilottamaan tietojärjestelmään.

Murretuilta tietokoneilta krakkerit ovat edelleen suorittaneet uusia tietoturva-aukkojen skannauksia.

Teon anatomia on seuraava: murretun tietokoneen sisään ladattu ohjelma on käynnistänyt krakkerin omalla salasanalla uuden ssh-palvelun, joka on jättänyt yhteysväylän eli takaportin auki, jota kautta krakkeri pääsee uudelleen milloin tahansa murretun tietokoneen tietojärjestelmään.

- Kaikissa näissä noin 300:ssa murretussa tietokoneessa on krakkerin mentävät takaportit auki, Hankilanoja kertoo.

Tietomurroilla lapselliset motiivit

Valtaamiaan koneita krakkerit ovat käyttäneet välineenä entistä vaikeampia tietomurtojen, kuten rahalaitosten järjestelmien murtamiseen tai murron yritykseen. Poliisi ei kuitenkaan ole saanut esille viitteitä taloudellisen hyödyn tavoittelusta.

- Tietomurtojen motiivina on lähinnä ollut haaste ip-avaruuden herruudesta, oman osaamisen näyttäminen ja arvostuksen hankkiminen alan piireissä, jännityksen hakeminen, hupi ja tietoturva-alan ammattilaisten hassuttaminen sekä pilailut yritysten web-sivuilla.

Irc-ryhmät krakkeriuden korkeakouluja

Poliisin mukaan internetissä vapaasti muodostettavat ja kontrolloimattomissa olevat irc-keskusteluryhmät ovat muodostuneet it-rikollisuuden korkeakouluiksi, joissa krakkeriosaamista lisätään.

- Tällaisiin keskusteluryhmiin tullaan näyttävistä ja alan piireissä kunnioitusta herättävistä murrettujen tietokoneiden ip- ja domain-osoitteista.

Miehet etsivät neitsyitä

Hankilanojan mukaan murtautuessaan tietokoneelle krakkerit ovat olleet lähinnä kiinnostuneita, onko logeissa jälkiä muista murtautujista eli onko tietokone jo "korkattu" - ja milloin tietokone on viimeksi käynnistetty, sillä käynnistäminen kielii koneen tietoturvallisuuden ja sen ylläpidon tasosta.

- Mitä pidempään kone on pyörinyt yhtäjaksoisesti sitä todennäköisempää on, että tietoturvapäivityksiä ei ole tehty, poliisi päättelee.

Poliisi kehottaa unix- ja Linux-palvelimien ja työasemien ylläpitäjiä tarkistamaan ssh-ohjelmiston version ja tarvittaessa päivittämään sen paremmin suojattuun versioon.

- Ne tietokoneet, joissa on vanhat ssh:n ohjelmistoversiot, on syytä tarkistaa, onko niitä murrettu. Murtautujien jäljiltä tietokoneen saa toimimaan varmasti vain asentamalla koko kone uudelleen ja tästä aiheutuu ylläpitäjille kustannuksia.

Alle promille murtojen uhreista ilmoittaa

Poliisi arvioi, että Suomessa alan piireissä liikkuu noin 50 murtoja harjoittavaa krakkeria, joista parikymmentä huippuosaajaa.

- Uhriutumisesta it-rikosten kautta ei käytännössä juurikaan ilmoiteta poliisille. Esimerkiksi tässä tietomurtosarjassa yritysten ja yhteisöjen ilmoitusaktiivisuus on ollut reilusti alle promillen luokkaa. Alhainen ilmoitusaktiivisuus ja tietokoneiden heikko tietoturvallisuuden taso ja ylläpito luovat osaltaan otollista maaperää krakkerien temmellettäväksi, Hankilanoja kommentoi.

Poliisitutkinnan kohteena olevat rikosnimikkeet ovat muun muassa tietomurtoja, joista rangaistusmaksimi on yksi vuosi vankeutta. Lisäksi tutkinnassa on tietomurtojen yrityksiä sekä luvattomia tietoyhteyksien käyttöjä, joista maksimissaan voi seurata vuosi vankeutta.

Krakkereiden epäillään syyllistyneen myös vaaran aiheuttamiseen tietojenkäsittelylle. Rangaistusasteikko tästä teosta päättyy kahteen vuoteen vankeutta.

Reijo Holopainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuollut ja yhdeksän haavoittunut ammuskelussa Hyvinkäällä

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta