Tapaus Wikileaks - SecMeter

Sisältöön

Tapaus Wikileaks

Yritysturvallisuus > Kyberturvallisuus
Wikileaksin cablegate-raporttien julkistus tarjosi erinomaisen näyteikkunan informaatiosodankäynnin hyökkäys- ja puolustustaktiikkaan.

Yhdysvaltojen hyökkäykselliset peruselementit koostuivat vastapuolen kompromettoinnista, internet-palveluntarjoajien uhkailusta, maksuliikenteen jäädyttämisestä, poliitikkojen poliittisesta ja taloudellisesta painostuksesta sekä hajautettujen palvelunestohyökkäysten organisoinnista.

Wikileaksin keskeisiä puolustuksellisia elementtejä olivat proaktiivinen aineiston jakelu kansainvälisille mediataloille, palveluiden hajautus ja uudelleen reitittäminen, sosiaalisen median hyödyntäminen sekä aktiivinen viestintäpolitiikka.

Wikileaks varautui palveluiden ja rahoituskanavien sulkemiseen
PayPal-palvelun sulkeuduttua Wikileaks siirtyi käyttämään yleisölahjoitusten välityksessä pankkisiirtoa Sveitsiin, Hollantiin ja islantiin sekä luottokorttimaksujen osalta DataCell Sveitsin palveluita.

Wikileaks aktivoi uusia verkko-osoitteita eri puolilla Eurooppaa mm. Hollannissa, Saksassa ja Suomessa. Suomessa rekisteröity osoite oli wikileaks.fi. Kyseinen osoite oli rekisteröity jo 23.2.2008 yksityishenkilölle.

Wikileaksin cablegate-asiakirjat levisivät muutamassa päivässä sadoille peilipalvelimille ympäri maailman. Peilipalvelimien tarkoituksena oli turvata Wikileaks-aineistoon pääsy palvelunestohyökkäyksistä riippumatta.

Yksityiset kansalaiset ja sananvapausjärjestöt antoivat tukensa Wikileaksille, koska Yhdysvaltojen ja sen liittolaismaiden hallitukset sulkivat cablegate-aineiston julkaisukanavat laittomin keinoin.

Toimintatavan katsottiin uhkaavan tiedotusvälineiden vapautta. Jakelukanavien sulkeminen tapahtui tilanteessa, jossa Wikileaksia ei oltu syytetty tai tuomittu yhdestäkään rikoksesta.

Yhdysvallat lisäsi poliittista painostusta Wikileaksin palveluiden sulkemiseksi
Yhdysvaltain toimintatapa osoittautui suoraviivaiseksi suurvaltapolitiikaksi. Mikäli uhkailu, poliittinen tai taloudellinen painostus ei riittänyt Wikileaks-palvelimen sammuttamiseen, ajettiin palvelu alas palvelunestohyökkäyksen avulla.

Palveluntarjoajat pyrkivät salaamaan Yhdysvaltain painostustoimet väittämällä, että Wikileaks oli toiminut palvelusopimusten vastaisesti. Yhdysvaltojen Eurooppaan kohdistuvan poliittisen ja taloudellisen painostuksen alla ministerit ja poliitikot tuomitsivat julkisuudessa Wikilekasin paljastukset rikolliseksi toiminnaksi, jonka jälkeen he ryhtyivät vaatimaan Wikileaksin sivustojen sulkemista.

Todellisuudessa poliitikot ja ministerit osoittivat erittäin suurta mielenkiintoa Wikileaksin cablegate-raportteja kohtaan.
Verkkokauppa Amazon poisti Wikileaksin palvelut palvelimiltaan 1.12.2010. Yhtiö kertoi Wikileaksin rikkoneen palvelusopimusta. Yhtiö kertoi myös joutuneensa Yhdysvaltain kongressin kuulusteluun yhteyksistään Wikileaks -sivustoon.

Yhdysvaltalainen nimipalveluita tarjoava EveryDNS.net yritys katsoi olevansa oikeutettu poistamaan verkko-osoite käytöstä, koska se vaaransi 500.000 muun verkko-osoitteen toimivuuden. Yritys katsoi Wikileaksin rikkoneen palvelusopimusta. Todellisuudessa sitä painostettiin sulkemaan verkko-osoite wikilwaks.org.  Verkko-osoite poistettiin aamuyöstä 3.11.2010, jonka jälkeen wikileaks.org-sivusto ei toiminut.

Ranskan teollisuusministeri Eric Bresson kirjoitti internetiä hallinnoivalle CGIET-virastolle, että Wikileaks-palveluita ei voida hyväksyä ja vaati virastoa kertomaan, miten Wikileaks voidaan häätää Ranskasta.  Lähde (yle.fi 3.12.2010)

Wikileaks siirtyi käyttämään Ruotsalaisen Bahnhof AB -nimisen yrityksen palvelimia sivustonsa julkaisussa. Yhtiön toimitusjohtaja Anna Mossberg kertoi, että hänen yhtiöllään oli kaksi fyysistä Wikileaksin käyttämää palvelinta Tukholman konesalitilassa. Lähde: (nytimes.com 3.12.2010)

Yhdysvaltalainen internetissä maksuliikennepalveluja tarjoava yritys PayPal jäädytti 3.12.2010 yleisölahjoitukset Wikileaksille. Suurin osa Wikileaksille osoitetuista yleisölahjoituksista oli välitetty PayPalin kautta. EBayn omistaman PayPalin mukaan syynä estämiseen on se, että Wikileaks oli rikkonut palvelun käyttöehtoja. Todellisuudessa se painostettiin jäädyttämään Wikileksille osoitetut yleisölahjoitukset. Paypalin tilillä varoja oli Wikileaksin varoja noin 60 000 euroa. Lähde: (readwriteweb.com 3.12.2010, hs.fi 6.12.2010)

Sveitsin posti katkaisi Wikileaksin pankkitilin. Sveitsin postin edustaja kertoi, että Wikileaksin perustajan Julian Assangen nimissä avattu pankkitili lopetettiin, koska Assange oli ilmoittanut asuinpaikakseen virheelliseksi Geneven. Pankkitilillä oli Assangen varoja 30 000 euroa. Lähde: (hs.fi 6.12.2010)

Luottokorttiyhtiö Mastercard keskeytti Wikileaksin luottokorttimaksut maanantaina 6.12.2010.
Luottokorttiyhtiö Visa ilmoitti tiistaina 7.12.2010 katkaisseensa Wikileaksin rahaliikenteen. Yhtiö perusteli toimenpidettä tulossa olevalla Wikileaksin viranomaistutkinnalla. Tähän mennessä Wikileksille kuuluvia varoja on jäädytetty kaikkiaan lähes 100 000 euroa. Lähteet: (hs.fi 7.12.2010, yle.fi 7.12.2010)

Islantilainen DataCell-yhtiö ilmoitti haastavansa Visan oikeuteen Wikileaksin rahahanojen laittomasta sulkemisesta 7.12.2010 kello 22.30. Wikileaksille rahaa siirtäneet Visan asiakkaat olivat pettyneitä luottokorttiyhtiön päätökseen.
DataCell-yhtiön mukaan maailmanlaajuisesti toimintaa harjoittavan luottokorttiyhtiö Visan ei pitäisi osallistua politiikan tekemiseen, vaan keskittyä omaan liiketoimintaansa eli maksujen välittämiseen.

DataCell-yhtiön mukaan Visa oli taipunut Yhdysvaltojen poliittiseen painostukseen. DataCell pyrki kanteellaan saamaan Wikileaks-lahjoitukset uudelleen käyntiin. DataCell-yhtiön toimitusjohtaja Andreas Fink kertoi, että Visan toiminnasta on Wikileaksille ja DataCell-yhtiölle suurta haittaa. Lähteet: (yle.fi 8.12.2010, iltalehti.fi 8.12.2010)

Yhdysvaltalainen Apple poisti verkkokaupastaan sovelluksen, jonka avulla pääsi Wikileaksin Twitter-tilille ja selaamaan Wikileaks-sivuston sisältöä. Sovelluksen kehittäjä lupasi Wikileaksille yhden dollarin jokaisesta kahden dollarin hintaisesta latauksesta. Lähde: (iltasanomat.fi 22.12.2010)

Ensimmäinen hyökkäys
Wikileaksin sivustoon kohdistui palvelunestohyökkäys sunnuntaina 28.11.2010 illalla, samaan aikaan kun sivustolla oli tarkoitus julkaista 250 000 Yhdysvaltain ulkoministeriön asiakirjaa. Palvelunestohyökkäyksen tekijäksi ilmoittautui internetissä "Jester"-niminen tietokonehakkeri.

Jester totesi viestissään Twitter-mikroblogissa tekonsa motiiviksi, että Wikileaks vaarantaa Yhdysvaltain joukot ja ulkosuhteet. Motiivi kuulosti CIA:n sanelemalta. Palvelunestohyökkäyksen toteuttaminen on Yhdysvalloissa rikos. FBI ei ryhtynyt mihinkään toimenpiteisiin "Jesterin" pidättämiseksi ja saattamiseksi teostaan vastuuseen oikeuden edessä.

Wikileaks oli varautunut Yhdysvaltain hallituksen organisoimiin palvelunestohyökkäyksiin ennakolta lähettämällä asiakirja-aineistot etukäteen ainakin New York Times, Guardian, Der Spiegel, El Pais ja Le Monde sanomalehdille julkaistaviksi.

Wikileaksin Twitter-viestin mukaan lehdet jatkavat palvelunestohyökkäyksistä huolimatta asiakirjojen julkaisua.
Wikileaks oli ostanut palvelintilaa myös Amazon-verkkokaupalta. Wikileaksin etusivu siirrettiin saman tien palvelunestohyökkäyksen alettua Amazonin pilvipalvelimelle. Tällä operaatiolla kierrettiin menestyksellisesti palvelunestohyökkäys.

Toinen hyökkäys
Sivusto joutui toistamiseen palvelunestohyökkäyksen kohteeksi tiistaina 30.11.2010. Wikileaksin Twitter-viestien mukaan esimerkiksi tiistaina palvelunestohyökkäyksen voimakkuus oli yli kymmenen gigabittiä sekunnissa.

Kolmas hyökkäys
Kolmannen kerran Wikileaks-sivusto joutui hyökkäyksen kohteeksi torstaina 2.12.2010. Nimipalveluja tarjonnut Yhdysvaltalainen EveryDNS.net kertoi, että Wikileaks -sivustolle oli kohdistettu massiivinen palvelunestohyökkäys (DDoS, Distributed Denial of Service).

Neljäs hyökkäys
Neljännen kerran Wikileaks joutui palvelunestohyökkäyksen kohteeksi, kun se avasi uuden verkko-osoitteen Sveitsissä (http://wikileaks.ch/). Wikileaks tiedotti muutoksesta Twitter-palvelussa. Sveitsiläinen sivusto kaadettiin jo iltapäivällä. Lähde: (hs.fi 3.12.2010)

Viiden hyökkäys
Maanantaina 6.12.2010 Wikileaksin ruotsalainen palvelintarjoaja Bahnhof AB ilmoitti, että se palvelimet ovat joutuneet palvelunestohyökkäyksen kohteeksi. Lähde: (hs.fi 6.12.2010)

Vastahyökkäykset alkavat
Vastahyökkäysten takana uskottiin olevan joukko hakkereita (”Anonymous”-ryhmä), joilla ei ollut yhteistä johtajaa, mutta heitä yhdisti löyhä kollektiivinen sidos, joka koostui yhteisistä ihanteista ja tavoitteista.

Ensimmäinen vastahyökkäys
Ryhmä nimettöminä toimivia Internet-aktivisteja ilmoitti maanantaina 6.12.2010, että he aloittavat hyökkäyksen PayPal-sivustoa vastaan kostoksi päätökselle, joka pysäytti rahalahjoitukset Wikileaksille.
Aktivistit ilmoittivat, että operaatio Payback, alkaa muutaman minuutin kuluttua, kello seitsemän illalla paikallista aikaa (GMT). Lähde: (nytimes.com 6.12.2010)

Toinen vastahyökkäys
Wikileaks sivustoa tukevat hakkerit hyökkäsivät tiistai-iltana 7.12.2010 Ruotsin syyttäjänviraston kotisivuja vastaan. Lähteet: (yle.fi 8.12.2010, hs.fi 8.12.2010)

Kolmas vastahyökkäys
Julian Asssangen kannattajien epäiltiin tehneen vastaiskun 8.12.2010 ja hyökänneen luottokorttiyhtiö Mastercardin Internet-palveluja vastaan, koska yhtiö oli kieltäytynyt palvelemasta Wikileaksia.
Hyökkäys käynnistyi sen jälkeen, kun brittiläinen tuomari kieltäytyi laskemasta Julian Assangea vapaaksi takuita vastaan. Lähteet: (BBC 8.12.2010, hs.fi 8.12.2010)

Neljäs vastahyökkäys
Wikileaks sivustoa tukevat hakkerit hyökkäsivät asianajaja Claes Borgströmin asianajotoimiston kotisivuja vastaan keskiviikkona 8.12.2010. Lähteet: (yle.fi 8.12.2010, hs.fi 8.12.2010)

Viides vastahyökkäys
Julian Assangen kannattajien vastahyökkäyksen kohteeksi joutui keskiviikkona 8.12.2010 myös Visan kotisivut. Sivusto ei toiminut vielä torstainakaan 9.12.2010.

Twitter-sivulle lähetetty hyökkäyskäsky kuului seuraavasti: ” CURRENT TARGET: WWW.VISA.COM :: WEAPONS http://bit.ly/e6iR3X ::: SET YOUR LOIC TO --> irc.anonops.net & FIRE FIRE FIRE!!! #WIKILEAKS #DDOS”
Lähteet: (twitter.com/anon_operation 8.12.2010, iltasanomat.fi 8.12.2010)

Kuudes vastahyökkäys
Hakkerit valmistautuivat hyökkäämään Amazonin kotisivuja vastaan. Hakkeri antoi hyökkäyskäskyn lähettämällä seuraavan viestin Twitteriin: "TARGET: WWW.AMAZON.COM Locked!
Lähde: (telegraph.co.uk 9.12.2010)

Seitsemäs vastahyökkäys
Mastercardia vastaan tehtiin uusi palvelunestohyökkäys sunnuntaina 12.12.2010. Hyökkäyksen toteutti sama nimetön hakkeriryhmä, joka hyökkäsi Mastercardia ja Visaa vastaan edellisellä viikolla. Lähde: (kauppalehti.fi 13.12.2010)

Wikileaksia tukeneita hakkereita pidätettiin Hollannissa
Hollannin poliisi pidätti perjantaina 10.12.2010 16-vuotiaan hakkerin, jota epäiltiin osallisuudesta mm. Hollannin poliisin ja Ruotsin yleisen syyttäjän verkkosivuja vastaan tehdyistä palvelunestohyökkäyksistä sekä osallisuudesta Operation Payback -hyökkäyksiin. Nuorukainen myönsi kuulusteluissa hyökänneen MasterCardia ja Visaa vastaan.

Hollannin poliisi pidätti lauantaina 11.12.2010 toisen Wikileaksia puolustaneen 19-vuotiaan hakkerin, jota epäiltiin hyökkäyksistä Ruotsin yleisen syyttäjänviraston Internet-sivuille ja Mastercardin, Visan sekä Moneybookersin internet-sivuille. Hakkeri pidätettiin lauantaina Hoogezand-Sappemeerissa Pohjois-Hollannissa. Pidätetty henkilö laskettiin myöhemmin vapaaksi. Lähteet: (yle.fi 11.12.2010, 12.12.2010)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön