Taakka tiedonjakosivusto – seuraa aikamme ilmiöitä

Vastaamon tietomurtotapaus

Keskiviikkona 21.10.2020 julkisuuteen tuli Suomen oloissa poikkeuksellinen tietomurto, jonka seurauksena mahdollisesti kymmenientuhansien psykoterapiapotilaiden tiedot ovat päätyneet vihamielisiin käsiin.

Poliisin lisäksi Vastaamon tietomurtajaa jahtaavat myös hakkerit – Jättikö terapia-aineistoa vienyt tietomurtaja itsestään ratkaisevia jälkiä vai onko kyse harhautuksesta?

Hakkerit löysivät tietomurtajasta jälkiä, jotka johtavat Inkooseen. Kyseessä voi olla tietomurtajan sijainnista kertova ratkaiseva virhe, tahallinen harhautus tai jotain muuta.

Psykoterapiakeskus Vastaamon toimitilat sijaitsevat Helsingissä.­Kuva: Vesa Moilanen / Lehtikuva
Psykoterapiakeskus Vastaamon toimitilat sijaitsevat Helsingissä.­Kuva: Vesa Moilanen / Lehtikuva

Tietomurtaja on vaatinut psykoterapiaa tarjoavalta Vastaamolta noin 450 000 euron arvosta bitcoineja. Uhkauksena on ollut, että muussa tapauksessa tietomurtaja vuotaa verkkoon joka päivä sadan ihmisen tiedot. Useita tietoeriä on jo vuodettu. Vastaamo on vahvistanut tietomurron.

Poliisi tutkii tapausta törkeänä tietomurtona ja törkeänä yksityiselämää loukkaavana tiedon levittämisenä. Samaan aikaan tietomurtaja sai kuitenkin peräänsä paljon hakkerointitaitoisia, koska useat heistä eivät hyväksy yksittäisten ihmisten tietojen paljastamista.

”Tämä oli silleen, että ei jumalauta – tässä on käyty ihan ihmisten kimppuun”, sanoo eräs ammatikseen tietoturva-alalla työskentelevä hakkeri.

HS käyttää nimitystä hakkeri kuvaamaan ihmistä, jolla on riittävä osaamista ymmärtää, miten tietomurto tapahtuu. Osa työskentelee tietoturva-alalla, jossa esimerkiksi mittatilaustyönä tehtävät tietoturvaselvitykset edellyttävät sitä asiakkaiden tietoturvapuutteiden paljastamista, jotta puutteet voidaan korjata.

Tällaisia ihmisiä kutsutaan usein valkohattuhakkereiksi erotuksena rikoksia tekevistä mustahattuhakkereista. HS on lukenut pimeässä verkossa tietomurrosta käytyä keskustelua, johon voi osallistua myös tietoverkkorikollisia. HS ei ole haastatellut pimeän verkon keskustelijoita.

Käytännössä HS:n haastattelemat valkohattuhakkerit alkoivat joukkovoimalla analysoida potilastietojen sijasta muuta dataa, jota tietomurtaja on jättänyt verkossa jälkeensä. Monet hakkerit ovat avanneet HS:lle, mitä teosta voidaan päätellä. Tietomurtaja on jättänyt itsestään useita jälkiä, jotka voivat toisaalta olla myös tahallista harhauttamista.

1. Kuinka ammattimainen tietomurto oli?

Vastaamo ei ole toistaiseksi kommentoinut HS:lle, mitä yhtiö itse on saanut selville tietomurrosta. Hakkereiden arviot viittaavat kuitenkin siihen, että tietoihin olisi päästy käsiksi hyvin yksinkertaisilla keinoilla – käytännössä esimerkiksi niin, että tiedot olisivat löytyneet pelkän helpon oletussalasanan takaa.

Yksi HS:n haastattelema hakkeri kertoo nähneensä tietomurron epäillyn tekijän jakamassa datassa yksinkertaisen käyttäjätunnuksen ja salasanan. HS ei kuitenkaan pysty varmistamaan, ovatko ne peräisin Vastaamolta vai murron tekijän lisäämiä.

HS on nähnyt listauksen, jossa on ihmisten nimitietoja ja heihin liitettyjä tiedostoja. HS ei ole avannut listan takaa avautuvia tietoja.

F-Securen tietoturvallisuusjohtaja Erka Koivunen sanoi HS:lle jo torstaina, että tietojen käsittelyssä ja säilyttämisessä ei ollut Vastaamossa nähty suurta vaivaa niiden salaamiseksi.

”Siellä ei ole edes yritetty suojata. On luotettu siihen, että sen tiedostojärjestelmän tai tietokannan ääreen pääsevät vain valtuutetut tahot”, hän arvioi.

Tämän puolesta puhuvat esimerkiksi julkisesti löytyvät tiedot Vastaamon tietoverkoista ja palvelimista. Vastaamon oma verkkoinfrastruktuuri ei vaikuta turvallisesti hoidetulta. Useita verkkoja ylläpitäviä palvelimia on ollut päivittämättä jo vuosia, kertoo yksi verkkoarkkitehtuuriin perehtynyt asiantuntija HS:lle. Esimerkiksi yhden käytetyn ohjelmointikielen tuotetuki on päättynyt jo vuonna 2016.

Julkisesti on nähtävillä verkko-osoitteita, jotka viittaavat suoraan yrityksen intranetiin ja potilasrekisteriin. Näiden jättäminen näkyville kasvattaa huomattavasti sen riskiä, että joku päättää ryhtyä selvittämään, pääsisikö potilasrekisteriin tai sisäverkkoon käsiksi joku muukin kuin työntekijät.

Vaikka murto ei välttämättä tapahtunut tällä tavalla, HS:n haastateltava pitää todennäköisenä, että nämä tiedot ovat voineet olla reitti toteuttamaan hyökkäystä.

”Varsinkin kun nyt on varmaa tietoa siitä, että käyttöjärjestelmäversiot ovat ohjelmointikieliensä versioiden perusteella niin vanhoja, ettei niiden päivittäminen ole edes mahdollista ilman että jotain hajoaa pahasti”, hakkeri huomauttaa.

”Muita syitä voivat olla osaamattomuus, laiskuus tai budjetti ja sen puute.”

HS ei julkaise asiantuntijahakkereiden nimiä, sillä he ovat yksityisten työnantajien palveluksessa eivätkä työnantajat halua tulla yhdistetyksi tapaukseen.

Lue lisää: Terapiapotilaisiin kohdistunut tietomurto on voinut vaarantaa tuhansien ihmisten tietosuojan, kyseessä on täysin ”poikkeuksellinen tapahtuma”

Tekijäjoukkoa rajaisi, jos tietomurto olisi toteutettu erityisen mutkikkaalla tai uudenlaisella menetelmällä. Jos menetelmä on yksinkertainen, tekijä voi olla periaatteessa kuka tahansa kovan luokan ammattilaisesta aloittelevaan teiniin. Samasta syystä myöskään hakkerin omiin väitteisiin tietomurron tavasta ei kannata luottaa.

2. Mitä jälkiä tietomurtaja jätti?

Toinen ratkaiseva kysymys on, mitä jälkiä tietomurtaja on jättänyt tietomurron jälkeen.

Tietomurtajan varastamat tiedot sijaitsivat pimeässä verkossa palvelimella, josta hakkerit ovat pyrkineet löytämään haavoittuvuuksia. Eräs hakkeri kertoo, ettei löytänyt palvelimelta perinteisiä virheitä, joihin aloittelijat sortuvat. Kyse on esimerkiksi siitä, onko auki jäänyt tietoliikenneportteja, joiden kautta voisi päästä käsiksi tiedot ladanneeseen henkilöön.

”Voisi vähän sanoa, että ammattilaisten kädet ovat olleet asialla”, hakkeri arvioi.

Ohjelmointikieli Pythoniin perehtynyt toinen harrastaja puhuu HS:lle tietomurtajan jäljistä. Hän sanoo, että ohjelmointikieli on selvästi ollut tekijälle tuttu, ja arvioi, että jälki on siistiä ja laadukasta.

Jotta tieto tapahtuneesta tietomurrosta leviäisi, tekijän täytyy levittää tietoa. Siksi joku – mahdollisesti tekijä itse – on joutunut viestimään Ylilauta-keskustelualustalla siitä, että tietoja on tarjolla pimeässä verkossa.

Juuri tässä tietojen levitysvaiheessa saattoivat syntyä ratkaisevat virheet – tai sitten kyse oli harhautuksesta.

”Hän on mahdollisesti jättänyt itsestään evästedataa, kun hän on kopioinut Ylilaudalla olevia keskusteluketjuja jaettavaksi”, hakkeri arvioi.

Evästeet ovat dataa, joka tallentuu käyttäjän koneelle. Tämän perusteella käyttäjä voidaan tunnistaa, jos tekijä on jakanut tiedot epähuomiossa eikä hämätäkseen. Tekijä oli tallentanut Ylilaudalta poistetun ketjun kokonaisuudessaan omalle Tor-verkon sivulleen. Tallennus sisälsi myös Ylilaudan mainoksia, joihin oli tallentunut mainosten keräämää dataa, kuten paikkatietoja.

Tor-verkossa liikkuu tietoa siitä, että jäljelle olisi jäänyt esimerkiksi Inkoohon viittaavaa paikka- ja säätietoa. Kyse voi kuitenkin olla yhtä hyvin sumutuksesta. Dataa on saatettu esimerkiksi peukaloida tai jättää jäljelle tahallisesti vaikkapa viattoman suomalaisen murretulla koneella.

Paikkatiedot voivat muutenkin olla epätarkkoja tai jopa virheellisiä.

Pimeän verkon sivustolle jaettuun aineistoon on saattanut jäädä muitakin jälkiä. Yksi HS:n haastattelema tietoturva-asiantuntija löysi aineistosta myös Googlen käyttäjätunnuksen numerosarjamuodossa. Tämän perusteella Googlen haltuun on voinut tallentua yksilöivää tietoa, jonka Google voi luovuttaa viranomaisille riittävän vakavissa rikosepäilyissä.

3. Mitä tekijästä voidaan päätellä?

Rikosylikomisario Tero Muurman keskusrikospoliisista ei kommentoi tietomurtoon ja kiristykseen liittyvää tutkintaa lainkaan.

Moni asia on vielä muutenkin vahvistamatta: kun esimerkiksi tietomurron toteutustapaa ei tiedetä varmasti, on hankalampaa arvioida tekijän osaamista.

Tekijä tai tekijät käyttävät itsestään monikkomuotoa. Siitä, onko tekijöitä todellisuudessa enemmän kuin yksi, ei ole varmuutta. Monikkomuodon käyttäminen on verkkorikollisille jopa tavanomaista, kun yksittäinen tekijä pyrkii häivyttämään itseensä johtavia jälkiä.

Kotimaisten verkkorikollisten keskuudessa on melko tavallista sekin, että tekijä tai tekijät käyttävät asiointikielenä englantia. Näin on Vastaamonkin tapauksessa. Toisaalta englantia käyttävät myös kansainväliset verkkorikolliset, joten varmuutta tekijän alkuperästä ei tuo kielikään.

Tekijä tai tekijät tuntevat kuitenkin suomalaiset alan verkkokeskustelut, kuten Ylilaudan. Tekijä tai tekijät vaikuttavat kirjoittavan myös suomalaiselle pimeän verkon keskustelupalstalle, joskin englanniksi. Pimeässä verkossa keskustelijat ovat kiinnittäneet huomiota viesteissä käytettyyn naureskelusanaan ”hehe”. Se on melko tyypillinen suomenkielinen ilmaisu.

LÄHDE: Helsingin Sanomat/Mikko Gustafsson, Laura Halminen 23.10.2020