Tapaus TCB - SecMeter

Go to content

Tapaus TCB

Yritysturvallisuus > Kyberturvallisuus
TCB -nimimerkillä esiintyneen nuoren mieshenkilön teoista muodostui aikanaan Suomen kaikkien aikojen laajin tietomurtoja koskeva rikostutkimus.

Teot tapahtuivat vuoden 1997 syyskuun ja heinäkuun 1998 välisenä aikana. TCB onnistui kaappaamaan itselleen tietojärjestelmien pääkäyttäjien oikeuksia, mutta ei aiheuttanut itse järjestelmille suoranaista vahinkoa.

TCB keräsi tietojärjestelmistä käyttäjien salasanoja ja tutki sähköpostiviestejä. Tekoihin olivat innoittaneet omalla työpaikalla havaitut tietomurtotapaukset.

TCB:n tekemät tietomurrot olivat mahdollisia, koska organisaatioiden palomuuriasetukset olivat keskeneräisiä ja järjestelmissä oli suoranaisia tietoturvapuutteita.

Juttu lähti liikkeelle vuonna 1998 muutaman yrityksen toimesta, joiden tietojärjestelmiin oli murtauduttu. Poliisi pääsi melko pian TVB:n jäljille ja takavarikoi hänen tietokoneensa.

Syksyllä 1997 TCB aloitti laajamittaisen tunkeutumissarjan Oulun yliopiston tietojärjestelmiin. Hän sai mm. pääkäyttäjän oikeudet useisiin palvelimiin.

Ainakin yksi palvelin sisälsi paljon luottamuksellista tietoa. Tähän koneeseen yliopiston ylläpito asensi käyttöjärjestelmän uudelleen.Teon motiiveiksi TCB ilmoitti uteliaisuuden ja halun testata omia taitoja.

Tietotekniikkarikoksiin perehtyneen syyttäjän Antti Pihlajamäen mukaan vastaaja oli kuulusteluissa kertonut Nokian tietojärjestelmiin murtautumisen olleen jonkinlainen statussymboli.

Asianomistajia jutussa oli kaikkiaan 139, joista osa julkisuuden henkilöitä. Valtaosa asianomistajista jätti saapumatta oikeuteen eikä vaatinut korvauksia.

Lähteet: (TV1 -uutislähetys 1.8.2000 klo 21.30, MTV3 -uutislähetys 1.8.2000 klo 22.00, YLE Teksti-TV uutiset 1.8.2000, Helsingin Sanomat 2.8.2000, sivu A11, Ilta-Sanomat 2.8.2000, sivut A8 ja A9, Uutislehti 100 2.8.2000, sivu A11, Iltalehti 2.8.2000, sivu 11)


Oikeudenkäynti alkoi 22.1.2001
Yleinen syyttäjä Antti Pihlajamäki luki syytteet 22.1.2001 kello 09:25 murtautumisesta yliopistojen, korkeakoulujen, opetushallinnon ja lukuisten yritysten tietojärjestelmiin syksyn 1997 ja kevään 1998 aikana. Vastaaja oli esitutkinnassa myöntänyt tekonsa.

Syyttäjä vaati vastaajalle rangaistusta tietojärjestelmän luvattomasta käytöstä, tietojärjestelmän törkeästä luvattomasta käytöstä, tietomurrosta (toissijainen syyte), vahingonteosta ja viestintäsalaisuuden törkeästä loukkauksesta. Syytekohtia oli kaikkiaan viisi.

Vastaaja liikkui tietoverkossa palvelimelta toiselle käyttäen myös ulkomailla sijaitsevia palvelimia. Vastaaja kiisti osittain luvattoman käytön sillä perusteella, että hän vain siirtyi järjestelmästä toiseen.

Vastaaja kiisti käyttäneensä luvatta Jyväskylän amk:n tietojärjestelmää, koska hänellä oli käyttäjätunnus ja salasana laillisesti hallussaan. Muiden asianosaisten kohdalta vastaaja myönsi luvattoman käytön. Osaan asianosaisten tietojärjestelmistä vastaaja myönsi tunkeutuneensa. Muilta osin syytekohta tietomurrosta kiistettiin.

Asianomistajat esittivät korvausvaatimuksensa
Pääkäsittelyä edelsi valmisteleva istunto, jossa asianomistajien ja vastaajan edustajat täsmensivät pääkäsittelyssä esitettäviä korvausvaatimuksia. Asianosaisten korvausvaatimusten yhteissumma laski valmistelun aikana noin 800 000 markasta alle 700 000 markan.

Tietomurtosarjan kohteena oli yli 130 organisaatiota, joista vain viitisentoista esitti oikeudelle korvausvaatimuksia. Helsingin yliopisto katsoi kärsineensä 326.000 markan vahingot. Laskelmassa ei ollut mukana oikeudenkäyntikuluja.

Teknillinen korkeakoulu ilmoitti vahingokseen 77.600 markkaa, Tampereen teknillinen korkeakoulu ilmoitti vahingokseen noin 77.000 markkaa ja Oulun yliopisto 29 500 markkaa. Muiden yliopistojen vaatimukset liikkuivat muutaman tuhannen markan suuruusluokassa.

Vastaaja ei hyväksynyt korvausvaatimuksia
Korvausten osalta puolustuksella oli huomauttamista. Tietojärjestelmien päivitykset olivat olleet normaalia ylläpitoa ja päivityksiä. Puolustus katsoi, että vastaajan maksettavaksi ei voida siirtää tietojärjestelmien normaalien kehitystoimenpiteiden kustannuksia. Päivitykset olisi pitänyt tehdä muutoinkin. Vastaaja ei ollut asentanut asianosaisten tietojärjestelmiin ROOTKIT-ohjelmaa.

Puolustus katsoi myös, ettei asianomistajien vaatimukset vahingonkorvausten osalta olleet perusteltuja. Käyttöjärjestelmien uudelleen asennukset oli tehty viikkojen päästä tunkeutumisesta. Syy-yhteys vastaajan toimintaan päivitysten osalta puuttui.

Puolustus katsoi myös, että asianomistajien toiminta oli ollut liian suoraviivaista. Lokitiedot eivät olleet luotettavia, eikä niiden tutkimisella saavutettu tuloksia. Asianomistajien korvausvaatimukset tapauksen selvittelytyöstä olivat aiheettomia, koska ne liittyivät tutkintaviranomaisen normaaliin työhön.

Vastaajan näkemyksen mukaan hänen toimintansa tarkoitus ei ollut aiheuttaa vahinkoa. Päinvastoin, vastaaja oli auttanut yliopistoa antamalla mm. neuvoja järjestelmän korjaamiseksi. Puolustuksen näkemyksen mukaan vastaajan selvitettyä itse rikoksen, ei perustetta esitetylle selvitystyölle ollut.

Puolustus vaati sovittelumenettelyä asianomistajien kanssa. Suurista korvauksista aiheutuisi vastaajalle huomattavan raskas taakka. Puolustus kiisti oikeudenkäyntikulut kaikkien asianomistajien osalta.

Ohjelmistopäivitysten puutteita ja niihin liittyviä asennuksia ei tulisi vaatia vastaajan maksettaviksi. Perusteluna puolustus katsoi, että rikoksen johdosta ei asianomistajan järjestelmän tilanne saa parantua.

Puolustuksen mukaan Helsingin yliopiston kohdalla koko käyttöjärjestelmän asentaminen uudelleen oli tarpeetonta. Unix –järjestelmien asennus vie noin tunnin. Vastaaja oli tunkeutunut 21 koneelle, mutta vain 5 koneeseen oli asennettu käyttöjärjestelmä uudelleen. Puolustuksen mukaan tämä osoitti, että käyttöjärjestelmien uudelleen asennus oli tarpeetonta.

Puolustus vetosi mm. siihen, että Oulun yliopistolla oli ollut muitakin tietomurtoja oikeuskäsittelyssä, joten korvausperusteet olivat vääriä.

Vastaaja totesi toiminnastaan mm. seuraavaa:

  • Vastaajaa kiinnosti katsoa mitä koneissa oli.
  • Toiminnan jatkuessa siitä saattoi tulla pakkomielle.
  • Vastaajalla ei ollut mitään vahingoittamistarkoitusta.
  • Hyökkäävä puoli puuttui kokonaan, vaikka siihen olisi ollut mm. Funet-verkossa mahdollisuus.
  • Vastaaja ei saanut toiminnastaan mitään hyötyä.
  • Vastaaja havaitsi omalle työpaikalleen tehdyn tietomurron. Havainnosta meni viikko tai kaksi, kun vastaaja teki oman tietomurtonsa.
  • Vastaaja katsoi ainoastaan ajankuluksi mitä muista järjestelmistä löytyisi.
  • Vastaaja ei levittänyt haltuunsa saamiaan käyttäjätunnuksia muille.

Vastaaja kertoi, että verkonkuunteluohjelmia on olemassa erilaisia. Jokaisen Unix –palvelimen ohjelmistoon sisältyy ainakin yksi tällainen ohjelma. Niillä administraattori voi seurata verkossa tapahtuvaa liikennettä. Snifferi-ohjelma ei kaappaa viestiä verkosta, vaan tunkeutuu verkkokortille, josta lukee käyttäjätunnukset ja salasanat. Vastaaja ei tehnyt muutoksia snifferi -ohjelmiin.

Todistajan mukaan SSH client -ohjelman lähdekoodiin oli lisätty rivit, jotka ottivat verkossa liikkuvan käyttäjätunnuksen ja salasanan talteen. Koodi oli muutosten jälkeen käännetty ajettavaksi ohjelmaksi. Kyse oli muutamasta rivistä C–kieltä. Vastaajan muutettua SSH-ohjelmaa se alkoi kysyä käyttäjätunnusta ja salasanaa sekä tallensi ne tiedostoon. Tätä SSH–ohjelma ei normaalisti tee.

Tampereen TTK:n verkossa oli tapahtuman aikaan kaikkiaan noin 150 palvelinta. Murtohavaintoja tehtiin kahdella palvelimella, joihin vastaaja oli saanut ROOT-oikeudet. Tapaus tuli ilmi yhteistyökumppanin otettua yhteyttä, joka kertoi, että TTK:n pääkäyttäjä oli ottanut yhteyttä heidän palvelimeensa yöllä.

Ajankohta vaikutti todistajan mielestä erikoiselta. Todistaja kertoi, että he havaitsivat palvelimelle asennetun takaportin. SSH client -ohjelma oli korvattu toisella versiolla. Takaporttiohjelmat oli naamioitu nimeämällä ne yleisillä ohjelmanimillä. Ohjelmia oli asennettu kaikkiaan 2 kappaletta. Verkonkuunteluohjelmia palvelimilla ei havaittu.

TTK:n edustajan mukaan he joutuivat vaihtamaan 13000-14000 salasanaa puolentoista viikon aikana. Työ aiheutti suuret kustannukset. Eritasoisia hyökkäyksiä oli päivittäin. ”Yleensä meillä vain koputellaan järjestelmän ovia. Vakavia hyökkäyksiä on harvemmin”.

Tuomio
Jyväskylän käräjäoikeus katsoi vastaajan syyllistyneen tietomurtoihin, tietojärjestelmien luvattomaan käyttöön ja törkeään viestintäsalaisuuden loukkaukseen.

Käräjäoikeus tuomitsi vastaajan mm. tietomurrosta ja törkeästä viestintäsalaisuuden loukkauksesta viideksi (5) kuukaudeksi ehdolliseen vankeusrangaistukseen. Lisäksi vastaaja määrättiin maksamaan noin 450 000 markkaa korvauksina aiheuttamistaan vahingoista sekä oikeudenkäyntikuluista.

Osapuolet ilmoittivat tyytymättömyytensä tuomioon. Jutun käsittely jatkui myöhemmin Vaasan hovioikeudessa, jossa tuomio nousi 5 kuukaudesta 7 kuukauteen.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Asiakkaiden luottamus on voitettava joka päivä uudelleen.
Sääntö nro 2
Riittävän isolla vasaralla voi rikkoa mitä tahansa.
Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.

Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.

Back to content