Hakkerismi - SecMeter

Hakkeritoiminta on muuttunut merkittävästi 1980-luvulta nykypäivään. Alun perin hyväntahtoisesta teknisestä uteliaisuudesta liikkeelle lähtenyt ilmiö on osin kehittynyt ammattimaiseksi tiedustelu- ja rikollisorganisaatioiden toiminnaksi. Lainsäädäntö ja tietoturvakäytännöt ovat vastanneet uusiin uhkiin, mutta verkon jatkuva laajeneminen ja teknologinen kehitys tekevät hakkeroinnista ajankohtaisen ilmiön myös tulevaisuudessa.

Aiemmin hakkerit toimivat vanhentuneen rikoslain harmaalla alueella, eivätkä itse nähneet toiminnassaan mitään pahaa saatikka pitäneet itseään rikollisina. Päinvastoin, he katsoivat olevansa hyödyksi paljastaessaan tietojärjestelmistä selkeitä puutteita.

On varmasti totta, että ilmi tulleet tapaukset herättivät organisaatiot miettimään järjestelmiensä turvallisuutta. Tiedotusvälineiden nostattaman kohun myötä tietoturvallisuuden asiantuntijoille tarjoutui ensi kertaa mahdollisuus päästä markkinoimaan palveluksiaan ja tuotteitaan uskottavasti.

Hakkereita on luokiteltu hyviin (valkohattuihin) ja pahoihin (mustahattuihin) poikiin ja myös erilaisin lisänimikkein, kuten esimerkiksi:

• salasanahakkereihin jotka yrittivät petollisin keinoin hankkia ja paljastaa käyttäjien salasanoja.
  
• linjahakkereihin, jotka hakevat tietoa tietoliikenneverkoista ja yrittävät kerätä mahdollisimman paljon tietomurron suorittamiseen tarvittavaa tietoa.
  

Tietokoneisiin luvattomasti ja harkitusti tunkeutuvista hakkereista käytettiin myös nimitystä krakkeri. Lehdistö ei yleensä erottele hakkereita ja krakkereita toisistaan vaan käyttää kaikista tunkeutujista nimitystä hakkeri. Alun perin krakkeri -nimitys tarkoitti hakkeria, joka oli perehtynyt ohjelmistojen kopiosuojauksien avaamiseen. Nykyisin krakkeri-sana on jäänyt pois käytöstä.

Hakkerismin ideologia

Hakkerismin katsotaan syntyneen 1950 -luvun lopulla USA:ssa Massachusetts Institute of Technology (MIT) pienoisrautatiekerhon harrastajien piirissä. Hakkerointi alkoi erilaisten kepposten tekemisellä. Opiskelijat panivat myös merkille, että tietokoneen keskusyksikkö (CPU) oli yöllä vajaakäytössä ja hyödynsivät hukkakapasiteetin oppiakseen lisää tietokoneiden toiminnasta.

Opiskelijoiden näkemyksen mukaan kyse ei ollut luvattomasta käytöstä, koska tietokone oli yleisesti käytettävissä, eikä kukaan tarvinnut sen kapasiteettia yöllä. Tietokoneen käytöstä ei näin ollen aiheutuisi korkeakoulun toiminnalle mitään haittaa tai vahinkoa.

Hakkereiden mielestä tiedon on oltava kaikille vapaata. Tietojen vaihto edistää aiempaa parempien ohjelmien ja laitteiden kehitystä (esimerkiksi Linux -järjestelmä). Ylväs hakkeri -ideologia oli toimiva niin kauan, kuin tietokoneet olivat ainoastaan korkeakoulujen hakkeriyhteisöjen käytettävissä.

Tietokoneiden yleistyessä erityisesti oppilaitoksissa saattoi kuka tahansa verkkoanarkisti kutsua itseään hakkeriksi. Alkuperäinen hakkeri-ideologia etikettisääntöineen jäi tiedeyhteisöjen vaalittavaksi.

Uudelle käyttäjäsukupolvelle aukesi verkosta modeemiyhteyksien välityksellä lähes neitseellinen maailma. Organisaatiot eivät olleet osanneet varautua maailmanlaajuiseen nopeaan verkkoekspansioon ja suojautua kaikilta mahdollisilta tunkeutujilta ja haittaohjelmilta.

Tunkeutumisen helppous sokaisi monen koululaisen tajunnan. Ani harva osasi kunnioittaa vieraan tietojärjestelmän koskemattomuutta. Alkeelliset näytöt toivottivat kaikki tervetulleiksi järjestelmään tarjoten samalla idioottivarman sisäänpääsyn. Leikki muuttui vakavammaksi rikollisuudeksi viimeistään silloin, kun eräältä maailman suurimmalta atk -yritykseltä varastettiin puhelinlinjojen kautta käyttöjärjestelmän julkistamaton versio.

KKO:lta ennakkopäätös tietomurron yrityksestä vuonna 2003

Syytteen mukaan vuonna 1981 syntynyt mieshenkilö yritti 23.11.1998 murtaa turvajärjestelyn tunkeutuakseen oikeudettomasti Osuuspankkikeskus-OPK osuuskunnan tietojärjestelmään. Teko tapahtui suorittamalla tietoliikenneporttien skannauksen erityistä tietokoneohjelmaa käyttämällä.

Tekijän tarkoituksena oli löytää avoimia välityspalvelimia ja avata jatkoyhteys internetiin siten, että yhteys olisi näyttänyt tulleen avoimesta välityspalvelimesta. Tekijä ei onnistunut kuitenkaan tunkeutumaan palomuurin läpi.

Käräjäoikeus tuomitsi tekijän 29.2.2000 sakkorangaistukseen tietoliikenteen häirinnästä. Turun hovioikeus katsoi 4.6.2001, että näyttö riitti tekijän tuomitsemiseen tietomurron yrityksestä ja muutti käräjäoikeuden päätöksen.

Hovioikeus tuomitsi tekijän rikoslain 38 luvun 8 §:n 1 ja 3 momentin ja 3 luvun 2 §:n nojalla nuorena henkilönä tietomurron yrityksestä ja hänen syykseen luetuista muista rikoksista (tietoliikenteen häirintä ja tietomurron yritys) yhteiseen sakkorangaistukseen ja velvoitti tekijän suorittamaan vahingonkorvaukseksi osuuskunnalle 20 000 ja yhtiölle 55 000 markkaa korkoineen.

KKO katsoi, että mies keräsi tietoa tarkoituksenaan murtautua sen avulla osuuskunnan verkkoon, eikä muuttanut Turun hovioikeuden tuomiolauselmaa. KKO katsoi myös, että vahingonkorvauksia ole perusteltua tässä tapauksessa sovitella. Lähde: (KKO, Diaarinumero: R2001/678, Esittelypäivä: 8.11.2002, Antopäivä: 8.4.2003, Taltio: 811)

Suomen ensimmäinen hakkerijuttu 1986

Joukko nuoria 17-18–vuotiaita poikia pidätettiin syksyllä 1986, heidän tunkeuduttua yliopistojen ja VTTK:n tietokoneisiin. Poliisit jäljittivät useita kuukausia kestäneen työn tuloksena poikajoukon. Kaksi henkilöä pidätettiin ja useat muut joutuivat kuulusteluihin.

Yksi pojista vietti Pasilan poliisitalon putkassa maksimiajan eli 17 vuorokautta. Pojat olivat vuodesta 1984 lähtien käyttäneet luvatta mm. Teknillisen korkeakoulun ja Valtion teknillisen tutkimuskeskuksen (VTTK) tietokoneita.

Oikeudenkäynnin tuloksena suurin osa syytteistä hylättiin.

Kaksi pääsyytettyä tuomittiin 70.000 markan korvauksiin käytetystä tietokoneajasta. Toinen heistä sai lisäksi 50 päiväsakkoa petoksesta ja luvattomasta tietokoneen haltuunotosta.

Milloin tietomurtorikoksen tunnusmerkistö täyttyy (Rikoslain 38 luvun 8 §)

Joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava tietomurrosta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.

Oikean käyttäjätunnuksen tai muun tunnistuskontrollin tiedoksisaantitapa on rikoksen täyttymisen kannalta merkityksetön. Rikos täyttyy tunnistuskontrollin tultua läpäistyksi. Lähde: (Antti Pihlajamäki)

Oikeuskäytännön mukaan jo tiedon hankkiminen käyttäjätunnus-salasanapaperista toteuttaa tietomurron yrityksen, mikäli hankkiminen tapahtuu tietomurron tekemisen tarkoituksessa. Lähde: (Antti Pihlajamäki)

Case ”Ei tuomiota tietomurrosta”

Porvoon käräjäoikeus antoi ratkaisun, jossa18-vuotias suomalainen mies tuomittiin tietojen luvattomasta käytöstä. Mies täytti kymmenessä verkkopalvelussa lomakkeita, joiden avulla avautui pääsy asiakasrekistereihin. Asiakasrekistereistä mies pystyi imuroimaan asiakkaiden tiedot ja 80.000 käyttäjän salasanat.

Miestä ei tuomittu tietomurrosta, koska hyökkäyksen kohteeksi joutuneet organisaatiot eivät olleet suojanneet järjestelmiään. Tietosuojavaltuutetun mukaan teon estäminen olisi ollut äärettömän helppoa eikä se olisi maksanut mitään. Lähde: (Talouselämä 25.9.2009)

Taktiikkaa ja tekniikkaa

Palvelimien tietoturvapäivitykset tulisi pitää aina ajan tasalla erityisesti web-palvelimien ja palvelinohjelmistojen osalta. Niistä löytyy kuitenkin valitettavan usein haavoittuvuuksia, jotka voivat vaarantaa koko tietojärjestelmän eheyden ja luottamuksellisuuden.

Tietojärjestelmä altistuu hyökkäyksille, jos esimerkiksi hallintaprotokollat ja web-käyttöliittymät sisältävät haavoittuvuuksia. Verkkolaitteiden valmistajien asettamat oletusarvot saattavat myös avata hyökkäysreitin, ellei niitä ole asennuksen jälkeen asianmukaisesti muutettu.

Alkuaikoina hakkerit skannasivat organisaatioiden numeroita yleisillä käyttäjätunnuksilla. Skannaus perustui eri vaihdejärjestelmien yleisesti tunnettuihin oletussalasanoihin, joissa niiden oletettiin jääneen muuttamatta tai ne oli muutettu sisällöllisesti merkitseviksi ja helposti arvattavissa oleviksi merkkijonoiksi.

Vuonna 1993 havaittiin eri maihin ja organisaatioihin kohdistuva tapahtumaketju, jonka alkuperää viranomaiset eivät ainakaan vuoteen 1996 mennessä tunteneet. Soittoja oli kohdistettu eri organisaatioihin jo 76 000 kertaa.

Todennäköisesti myös soitoista aiheutuneet kustannukset oli kohdistettu eri organisaatioiden numeroille. Eräs hakkereiden käyttämä keino oli etsiä ja hyödyntää sellaisten organisaatioiden puhelinvaihteita, joiden numerokontrollit ovat jääneet tarkistamatta.

Murtautumistekniikat muuttuivat yritysten liitettyä verkkonsa internetiin. Vuoden 1998 lopulla useista kansallisuuksista koostuva ohjelmoijaryhmä kirjoitti ohjelman, jonka avulla oli mahdollisuus testata webbisaittien turvallisuutta 18 tunnettua haavoittuvuustekijää vastaan. Testatuista 36 miljoonasta saitista 450 000 oli haavoittuvia. Lähde: (Kauppalehti Extra 3.9.1999 sivu 54)

Vuonna 1999 julkistettiin kaksi uutta tietomurtoon soveltuvaa ohjelmistoa:

• Trinoo ja
  
• TFN (Tribe Flood Network).
  

Ohjelmistoilla oli mahdollisuus tehdä verkkoon hajautettu hyökkäys ja estää tietojärjestelmän toiminta useista kohteista tulevalla häirintäliikenteellä. Hyökkääjän oli ensin kyettävä asentamaan ohjelma kohdeyrityksen palvelimelle.

Ohjelmalla voitiin tutkia verkkoa ja etsiä samalla myös uusia hyökkäyskohteita. Vihamielinen toiminta näytti verkon valvojalle normaalilta liikenteeltä. Kehitteillä oli myös muunnoksia, jotka soveltuivat internetin kautta tapahtuviin hajautettuihin hyökkäyksiin.

Vielä viime vuosituhannen lopussa poliisin mukaan sähköiseen kaupankäyntiin liittyvästä rikollisuudesta ei ollut Suomessa havaintoja. Tuolloin keskusrikospoliisin kymmentä tutkijaa työllistävät perinteiset tietomurrot ja petokset.

Rikosylikomisario Veli-Pekka Loikala mainitsi tapauksista, joissa suomalaisten yritysten johto ei halunnut uskoa, että heidän tietojärjestelmiinsä oli murtauduttu. "Sellaisiakin tapauksia oli, ettei uskottu edes silloin, kun poliisista kerrotaan kuinka murto tehtiin". Loikalan arvion mukaan 60 - 70 prosenttia tietomurroista on mahdollistanut työntekijöiden tekemät virheet. Lähde (Kauppalehti 7.9.1999 sivu 4).

IP-puhelinvaihteiden oletussalasanat

Yrityksen VoIP-puhelut mahdollistava puhelinvaihde on altis hyökkäyksille, jos tehdasoletuksina olevia tunnuksia ei ole vaihdettu. Hyökkääjä voi tunnistaa VoIP -puhelinvaihteen verkkoskannauksen avulla ja yrittää hyökkäystä kokeilemalla oletustunnuksia. Onnistunut hyökkäys VoIP -puhelinvaihteeseen voi merkitä tuntuvaa lisälaskua yritykselle.

Yrityksen tulee varmistua, että puhelinvaihteen oletussalasanat on vaihdettu riittävän pitkiin ja vaikeasti arvattaviin salasanoihin. Puhelinvaihteen ohjelmistojen tallettamia lokeja on myös seurattava mahdollisten väärinkäytösten havaitsemiseksi.

Case ”Analyzer”

Erittäin taitava israelilainen 18-vuotias hakkeri Ehud Tenenbaum käytti nimimerkkiä "Analyzer". Hakkeri pidätettiin Israelissa maaliskuussa vuonna 1998 epäiltynä tietomurrosta Pentagoniin. Israelin poliisi pidätti samassa yhteydessä myös muita nuoria epäiltynä yhteistyöstä.

Analyzerin motivaationa oli viha organisaatioita kohtaan. Israelin armeija aikoi värvätä "Analysaattorin" suorittamaan asepalvelusta armeijan tietokonekeskukseen, mutta muutti suunnitelmiaan, kun tuli ilmi, että hän jätti kuulustelujen aikana kertomatta, että murtokohteena olivat myös Israelin armeijan tietojärjestelmät.

Hylkäävään päätöksen perussyy oli pelko, että "Analysaattorin" värvääminen saattaisi vaarantaa Israelin suhteet ystävällismielisiin maihin. Kolmen kuulustelupäivän jälkeen ja 11 tuntia kestäneiden kuulustelujaksojen jälkeen Analysaattori kieltäytyi kaikesta yhteistyöstä.

Kuulusteluissa Analyzer kuitenkin kertoi kouluttaneensa kahta nuorta amerikkalaista FBI:n pidättämää hakkeria. Hän tunnusti myös itse murtautuneensa Pentagonin tietokoneisiin.

Syyskuussa 2008 Kanadan poliisi pidätti Ehud Tenenbaumin Montrealissa epäiltynä 1,5, miljoonan dollarin luottokorttipetoksista. Tenebaum oli tunkeutunut ympäri maailmaa eri rahoituslaitosten tietojärjestelmiin ja varastanut niistä luottokorttitietoja. Hän oli käyttänyt murtautumisessa SQL-injection hyökkäystä.

Vuonna 2009 Ehud Tenenbaum tunnusti New Yorkissa oikeudessa 10 miljoonan luottokorttipetokset. Tenenbaum myönsi oikeudessa murtautuneensa yhdysvaltalaisten pankkien ja luottokorttiyhtiöiden tietojärjestelmiin. Hän käytti myös näissä tapauksissa SQL-injection hyökkäystä.

Tietomurtojen eräänä tavoitteena oli poistaa pankkikorteille asetetut nostorajoitukset. Tenebaum toimitti luottokorttinumeroita ympäri maailmaa rikoskumppaneilleen, jotka tyhjensivät tilejä pankkiautomaateilla. Lähde: (wired.com/Threat Level 24.3.2009, 29.10.2009)