|
Uusi tietomurtosarja: Suomalaismiehellä oli pääsy yli 60 000 palvelimeen
|
|
Viestiketjuun kuuluvat käyttäjäkommentit liittyvät tähän uutiseen:
uutinen julkaistu: 18 lokakuuta, 2013
Helsingin poliisi tutkii uutta tietomurtosarjaa, jossa nuorella suomalaisella mieshenkilöllä on ollut pääsy yhteensä yli 60 000 murrettuun internet-palvelimeen ympäri maailmaa. Tapaus ei liity syyskuussa tiedotettuun tietomurtosarjaan.
Poliisin mukaan epäilty suomalaismies on toiminut kansainvälisessä hakkeriryhmässä, jolla on mahdollisesti ollut murrettujen palvelimien kautta pääsy miljoonien ... [ lue koko uutinen ]
Lue uutisartikkeli kokonaisuudessaan ennen kuin kommentoit aihetta.
|
Senior Member
|
18. lokakuuta 2013 @ 12:04 |
Linkki tähän viestiin
|
Lainaus:
Helsingin poliisi tukii uutta tietomurtosarjaa
typo.
|
Senior Member
1 tuotearvio
|
18. lokakuuta 2013 @ 12:30 |
Linkki tähän viestiin
|
|
Ja palvelimet senkun murtuu kuin leipäkeksi.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 18. lokakuuta 2013 @ 12:33
|
|
R4ndom1
Member
|
18. lokakuuta 2013 @ 14:27 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab:
Ja palvelimet senkun murtuu kuin leipäkeksi.
Niin murtuu kun ei ole tietoturva kunnossa.
|
|
Lumikki
Senior Member
|
18. lokakuuta 2013 @ 17:42 |
Linkki tähän viestiin
|
|
Vaikka on oikein että tuollaista hakkeria rangaistaan.
Niin miksi ei sakoteta niitä yrityksiä jotka ylläpitää palvelimia joiden tietoturva on aivan perseellään. Mikä kumma se on että yritystoiminta saa anteeksi sen että ihmisten yksityiset asiat vaarantuvat vain siksi että kaikenmaailman amatöörit tekee liiketaloutta palveluilla. Usein syynä on ihan taloudelliset säästöt tai/ja palvelinten ylläpitäjien osaamattomuus.
Itse asiassa poliisi/viranomainen voisi tehdä tietoturvatarkistusiskuja tälläisia palvelimia pitäviin yrityksiin Suomessa. Sekä vaatia toimenpiteitä asian korjaamiseen, jos ongelmia ilmenee. Tehdäänhän moniin muihinkin aloihin tarkistuksia että määräyksiä noudatetaan.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 18. lokakuuta 2013 @ 19:17
|
|
qwerty83
Member
4 tuotearviota
|
18. lokakuuta 2013 @ 22:01 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Itse asiassa poliisi/viranomainen voisi tehdä tietoturvatarkistusiskuja tälläisia palvelimia pitäviin yrityksiin Suomessa. Sekä vaatia toimenpiteitä asian korjaamiseen, jos ongelmia ilmenee. Tehdäänhän moniin muihinkin aloihin tarkistuksia että määräyksiä noudatetaan.
Kyllä.
On se tosiaan ihme, että rahan perässä olevat nettiyrittäjät saa tehdä melkein mitä vaan. Miksi heitä ei koske säännölliset auditoinnit?
|
|
RingLeaderTM
Inactive
|
19. lokakuuta 2013 @ 08:41 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Niin miksi ei sakoteta niitä yrityksiä jotka ylläpitää palvelimia joiden tietoturva on aivan perseellään. Mikä kumma se on että yritystoiminta saa anteeksi sen että ihmisten yksityiset asiat vaarantuvat vain siksi että kaikenmaailman amatöörit tekee liiketaloutta palveluilla.
Itse asiassa poliisi/viranomainen voisi tehdä tietoturvatarkistusiskuja tälläisia palvelimia pitäviin yrityksiin Suomessa. Sekä vaatia toimenpiteitä asian korjaamiseen, jos ongelmia ilmenee. Tehdäänhän moniin muihinkin aloihin tarkistuksia että määräyksiä noudatetaan.
Asiakonteksti, mutta varmastihan se on salasanan sekä pääsyoikeuksien ongelmasta lähtöisin, että palvelut ovat heikkoja, "pääsy pitää rajata selkeämmin". [(Read-only) (ROM)]
Mutta miten taas siirrytään valmiustilasta aktiiviseen puolustukseen ja millä osin yhtiön yksityisyyden tietosuojalauseke toteutuu ?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 19. lokakuuta 2013 @ 11:04
|
|
rick79
Senior Member
1 tuotearvio
|
19. lokakuuta 2013 @ 19:23 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Vaikka on oikein että tuollaista hakkeria rangaistaan.
Niin miksi ei sakoteta niitä yrityksiä jotka ylläpitää palvelimia joiden tietoturva on aivan perseellään. Mikä kumma se on että yritystoiminta saa anteeksi sen että ihmisten yksityiset asiat vaarantuvat vain siksi että kaikenmaailman amatöörit tekee liiketaloutta palveluilla. Usein syynä on ihan taloudelliset säästöt tai/ja palvelinten ylläpitäjien osaamattomuus.
Itse asiassa poliisi/viranomainen voisi tehdä tietoturvatarkistusiskuja tälläisia palvelimia pitäviin yrityksiin Suomessa. Sekä vaatia toimenpiteitä asian korjaamiseen, jos ongelmia ilmenee. Tehdäänhän moniin muihinkin aloihin tarkistuksia että määräyksiä noudatetaan.
No just joo.. "Hei eipäs nyt tutkita murhia kun pitää mennä Kemiralle kattoo että niitten Avasti on päivitetty ja rekisteröity"... Siis ihan tosissaan.. Eiköhän tuollaset asiat ratkota sitten oikeudessa, ja luuletko tosiaan että jos selviää että tietoturva-asiat on ollu vatuillaan niin sen loppulaskun maksaa kukaan muu kuin yritys itse. Ei esim. Vakuutusyhtiö korvaa firman puolesta mitään jos asiat ei ole kunnossa. Vrt. Lukitsematon kauppa ryöstetään, ei vakuutus korvaa siinä tilanteessa. Tai jos korvaa niin vakuutusmaksut nousee tähtitieteelliseksi.
Kuten on miljoonaan kertaan todettu niin ainoa tapa pitää tiedot taatusti tallessa on pitää ne koneella/paikassa joka ei ole yhteydessä nettiin. Mikään virussuoja/palomuuri/salasana/ym... Ei ole täysin vedenpitävä.
Vanha viisaus sanoo: idioottivarmojen asioiden keksijät harvoin ottavat huomioon idioottien kekseliäisyyttä.
Asus P5B Deluxe - Intel Q8200 - 4GBDDR2 - M-Audio Audiophile 2496 - Nvidia gt210 - Silverstone 500W - Fractal Design XL
|
|
Lumikki
Senior Member
|
19. lokakuuta 2013 @ 20:17 |
Linkki tähän viestiin
|
Lainaus:
Eiköhän tuollaset asiat ratkota sitten oikeudessa, ja luuletko tosiaan että jos selviää että tietoturva-asiat on ollu vatuillaan niin sen loppulaskun maksaa kukaan muu kuin yritys itse.
Ensinnäkin yritys ei joudu mihinkään vastuuseen asioista nykyään, vaikka olisi kuinka perseestä tietoturva asiat.
Olet oikeassa että yritys tuossa joutuu maksamaan oman tietoturvakorjauksen siis siinä tapauksessa että se tekee jotain asialle tai vähintään tapahtuu maineen menetys tuollaisesta töppäyksestä. Mutta sen mitä sinä unohdit on että ne asiakkaat joiden tiedot varastettiin, niin niistä yritys ei joudu vastuuseen. Sehän tuosssa onkin se ongelma.
Miksi jos pankista varastetaan asiakkaan rahoja niin pankki on vastuussa asiasta. Mutta jos mistä tahansa yrityksestä varastetaan asiakkaan henkilötietoja niin kukaan ole vastuussa. Miksi ihmiset katsoo että se raha on ainoa tärkeä asia.
Korvaako vakuutus yrityksen asiakkaille sen että kun yritysestä varastetaan asiakkaiden henkilötietoja? Ei korvaa mitenkään, eikä yrityksellä ole asian suhteen mitään korvausvelvollisuutta asiakkaalle.
Yrityksen joka arkistoi nettiin asiakastietoja eli henkilörekisteriä, pitäisi joutua vastuuseen jos se on laiminlyönnyt selvästi tarvittavan tietoturvan asialle. Miten me ihmiset voidaan luottaa yrityksien henkilötietotietoturvaan esimerkiksi nettikaupoissa jos niillä yrityksillä ei ole mitään vastuuta eli seurauksia asiasta jos sitä ei hoideta oikein?
Lakiin voidaan kirjoittaa vastuu vaikka henkilörekisteristä, mutta jos kukaan ei valvo että asiaa noudatetaan niin se laki on ihan turha.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 19. lokakuuta 2013 @ 20:26
|
|
rick79
Senior Member
1 tuotearvio
|
19. lokakuuta 2013 @ 21:22 |
Linkki tähän viestiin
|
|
No ei se nyt ihan noin mee... Jos joku pöllii minun luottokortin numeron ja ostaa sillä kamaa netistä niin joku taho korvaa sen rahan menetyksen mulle. En todellakaan joudu maksumieheksi. Aivan sama kun jos tyhmyyksissäni annan s.postikyselyssä avainlukuni ja tunnukseni kolmanelle osapuolelle joka sitten tyhjentää tilini niin pankki korvaa sen menetetyn rahan mulle.
Ja tuo vertaus että joku pöllii pankista asiakkaiden rahoja on kyllä kohtuu urpo. Pankkihan ei säilytä erikseen kenenkään rahoja, vai meinaatko että holvissa on muutama säkki 500? seteleitä joissa lukee Nalle Wahlroos :D
Asus P5B Deluxe - Intel Q8200 - 4GBDDR2 - M-Audio Audiophile 2496 - Nvidia gt210 - Silverstone 500W - Fractal Design XL
|
|
Lumikki
Senior Member
|
19. lokakuuta 2013 @ 23:37 |
Linkki tähän viestiin
|
Lainaus:
No ei se nyt ihan noin mee... Jos joku pöllii minun luottokortin numeron ja ostaa sillä kamaa netistä niin joku taho korvaa sen rahan menetyksen mulle. En todellakaan joudu maksumieheksi. Aivan sama kun jos tyhmyyksissäni annan s.postikyselyssä avainlukuni ja tunnukseni kolmanelle osapuolelle joka sitten tyhjentää tilini niin pankki korvaa sen menetetyn rahan mulle.
Ei todellakaan korvaa silloin kun se on sinun huolimattomuutta. Tuo on virheelinen ennakkokäsitys, mutta se riippuu hieman tilantteesta eli mitä on tapahtunut. Pankki vastaa asioista vasta sen jälkeen kun olet imoittanut asiasta pankille. Jolloin pankki voi estää asian tapahtumisen. Pankki korvaa vain sellaiset asiat jotka tapahtuu sen omista puutteista tai virheistä. Esimerkiksi joku murtaa pankin tilejä ja varastaa rahoja muilta. Se ei saa kuitenkaan tapahtua asiakkaan omasta huolimattomuudesta. Jos pankki korvaa asiakkaan huolimattomuudesta aiheutuneen menetyksen niin se tapahtuu ihan pankin hyväntahtoisuuden nojalla, niillä ei ole mitään velvollisuutta asiaan.
En tarkoittanut fyysistä rahaa sillä pankki asialla. Minun moka, sanoin asian huonosti. Vaan tuota mitä tuossa yllä mainitsin.
Mutta tässä mennään jo ohi asian, joka on että yritykset eivät vastaa asiakkaan henkilötietojen menetyksestä asiakkaalle mitenkään. Yleensä vain pahoittelevat asiaa ja kuittaavat sen sillä.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 19. lokakuuta 2013 @ 23:54
|
|
1pertti
AfterDawn Addict
|
20. lokakuuta 2013 @ 00:51 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti rick79:
Aivan sama kun jos tyhmyyksissäni annan s.postikyselyssä avainlukuni ja tunnukseni kolmanelle osapuolelle joka sitten tyhjentää tilini niin pankki korvaa sen menetetyn rahan mulle.
Tuo on pelkästään pankin hyväntahtoisuutta, jos noin tapahtuu. Luulisin, että asiasta on jo tiedotettu niin paljon, että pankit eivät enää tuollaisia hölmöilyjä korvaa. Ainakaan mitään korvausvelvollisuutta ei tuollaisessa tapauksesa ole.
On aivan eri asia, jos korttitiedot varastetaan sellaiselta osapuolelta, jolle olet ne maksua varten antanut.
|
|
pähkinä
Member
3 tuotearviota
|
20. lokakuuta 2013 @ 01:05 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Yrityksen joka arkistoi nettiin asiakastietoja eli henkilörekisteriä, pitäisi joutua vastuuseen jos se on laiminlyönnyt selvästi tarvittavan tietoturvan asialle. Miten me ihmiset voidaan luottaa yrityksien henkilötietotietoturvaan esimerkiksi nettikaupoissa jos niillä yrityksillä ei ole mitään vastuuta eli seurauksia asiasta jos sitä ei hoideta oikein?
Sitten voidaankin kysyä, että mikä on riittävän "oikein"? Kaikki kuitenkin on murrettavissa, joten siltä kantilta asia ei ole ihan yksinkertainen. Toisekseen me voidaan tässä ja nyt päättää mikä on riittävä suojauksen taso ja tehdään siitä alan standardi tai vähimmäistaso. Tästä menee kaksi kuukautta ja joku on jo väsännyt koodinpätkän, millä jokainen googlaamiseen kykenevä ES-Jonne pystyy tämän suojauksen murtamaan.
Kyllä minäkin pystyn halutessani murtautumaan (kuten about kaikki edes jollain tasolla ajattelemaan kykenevät ja jopa kykenemättömätkin) tuohon lähisiwaan, todennäköisesti vielä jäämättä kiinni. Pitäisikö kaupan pitäjää rangaista siitä, että se mahdollistaa minun murtautumiseni?
Entäpä jos mukiloin sinut kadulla ja pöllin samalla puhelimen, joka sinulla oli kaveriltasi lainassa? Pitäisikö sinut laittaa vastuuseen, koska et osannut jujutsua, eikä taskussasi ollut ysimillistä tapahtumahetkellä? Olit kuitenkin puutteellisesti suojautunut rikollisia vastaan.
Tai ehkäpä tulen piuhoja pitkin sinun kotikoneellesi ja nappaan kovolta sinun ja tyttöystäväsi kotipornot. Oletko silloin syyllistynyt puutteelliseen suojaukseen?
En vain kykene ymmärtämään, että miksi nämä yritykset pitää ristiinnaulita, vaikka rikoksen suorittaa joku ihan muu? Ei ne tiedot kuitenkaan minään excel-tiedostona löydy niiden etusivulta, tyyliin "ota tästä", vaan pitää vähän nähdä vaivaakin. Se, että joku rikos on helppo tehdä, ei mielestäni oikeuta syyllistämään rikoksen uhria millään tasolla. Tavallisella ihmisellä on päivittäin useita mahdollisuuksia suorittaa jos minkämoista rikosta, mutta ei kuitenkaan suorita, miksi? Koska se on laitonta (ja moraalisesti väärin), ei siksi, etteikö se olisi mahdollista.
|
|
Lumikki
Senior Member
|
20. lokakuuta 2013 @ 02:46 |
Linkki tähän viestiin
|
Lainaus:
En vain kykene ymmärtämään, että miksi nämä yritykset pitää ristiinnaulita, vaikka rikoksen suorittaa joku ihan muu?
Koska myös sillä jolta varastetaan on velvollisuus suojata asiat edes kohtalaisella suojauksella. Mitä siitä tulisi jos pankit pitäisi rahojaan vaatekaapissa, pankin tilat olisi ilman hälytysjärjestelmiä.
Se mitä pyydetään on että ei ajeta palvelimilla 2-vuotta vanhoja softia joissa on tunnettuja tietoturva aukkoja. Sekä ollaan niin typeriä että tallennetaan salasanat täysin salaamattomasti. Näin tapahtuu aivan liian usein näissä tapauksissa. Siis en puhu siitä että ne olisi murtovarmoja, koska sellaista ei ole olemassakaan. Minä puhun selvistä tietoturva laiminlyönneistä, joita tapahtuu aivan liian usein. Syynä tähän on se että se liiketalous ajaa usein sen tietoturvan yli ja se todellinen kärsijä on se kuluttaja jonka tiedot varastettiin.
On naurettavaa syyllistää vain se murtautuja jos se jonka asia murrettiin ei ole edes alkeellisesti suojannut itseään. Luulisi tietoturva asiantuntijoiden pystyvän helposti määrittämään lakiin mikä on se riittävä tietoturva suojaus näissä asioissa.
Mitä tulee tuohon että kansalainen ryöstetään kadulla. Niin jos lähdet tietoisesti slummiin kujille yöaikaan niin turha sitä on sanoa että ei se ole henkilön vika jos joutui ryöstön kohteeksi. Siitä tässä on kyse, eli tahallisesti tai typeryyttään tai välinpitämättömyyttään altistaa itsensä rikoksille. Pitää huolehtia itse siitä perusturvasta, eikä huutaa suu auki että ei se ole mun vika.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 20. lokakuuta 2013 @ 03:03
|
|
Mainos
|
|
|
|
KalikoJak
Suspended due to non-functional email address
|
20. lokakuuta 2013 @ 17:14 |
Linkki tähän viestiin
|
|
En sen kummemmin mistään mitään tiedä, mutta olen samaa mieltä, että jos pidät yllä henkilörekisteriä, niin tietoturva pitää olla ainakin kohtalaisella tasolla.
Jos rekisteri on tarpeeksi iso, tulisi viranomaistarkistuksia tehdä vaikka puolen vuoden välein.
Ja korvauksia tietonsa menettäneille tai sakkoa, mikäli tiedot on murrettu JA tietoturva on ollut puutteellinen.
Asus P8Z77-V LX2, i5-3570K, Corator DS, Asus HD7870, 8GB 1600 Mhz DDR3, 120GB Agility 3 + F3 1TB, SAGA II 500W, NZXT Hades, 24" Full HD.
|
