Wikileaks ja muut vuodot Erka Koivunen SRHY / 2011-03-10 3/10/2011 1
Viestintäviraston tietoturvatehtävät tietoturvaloukkausten käsittely (CERT-FI) kansallinen tietoturvaviranomainen (NCSA-FI) Suomen fi-verkkotunnus kansallinen tietoturvapäivä teleyritysten ohjaus ja valvonta sähköisen viestinnän tietosuoja sähköinen allekirjoitus sähköinen tunnistaminen 2
By Finnish networks we mean: Autonomous Systems in Finnish soil, operated or owned by Finnish organisations or otherwise important to Finnish interests. Domains under.fi and.ax DNS root Public telephone networks with +358 prefix Other networks operated or owned by Finnish organisations By Finnish network services we mean: Services located in Finnish networks Services operated or owned by Finnish organisations ; ; FI-ASNs / compiled 2006-12-14-1600 / kh ; ; This is a list of Autonomous System Numbers related to F ; Finnish organisations. As a national CSIRT for Finland, ; act as a proxy in case some of these organisations need ; contacted in timely and/or confidential manner. ; 375 EU TIETOTIE-AS Finnish State Comp 544 EU SONERA-FUNET-TRANSIT Sonera Co 565 EU Technical Research Centre of F 719 FI ELISA-AS Elisa Oyj 761 EU TIETORAITTI-AS Seinajoen Tieto 764 EU FI-PMO-AS Prime Minister_s Off 790 EU EUNETFI EUnet Finland... Other assets we consider Finnish Finnish Credit Card Prefixes Bank Account Numbers Finnish Brand Names 3
Tietoturvaloukkauksen käsittelyprosessi 4
Tietoturvaloukkauksen havaitsija Somebody took care of a phishing server (vapaaehtoisia) raportoivia välikäsiä Tietoturvaloukkauksen uhri 5
Missä maassa palvelin on? name: some.address.fi addresses: 88.255.94.87, 88.255.94.88 country codes: 88.255.94.87 TR 88.255.94.88 TR Route from FI to TR: FI Helsinki University of Technology FI Helsinki University of Technology FI Helsinki University of Technology FI FUNETAS FUNET autonomous system SE NORDUNET NORDUnet SE TELIANET TeliaNet Global Network EU TELIANET TeliaNet Global Network EU TELIANET TeliaNet Global Network EU TELIANET TeliaNet Global Network EU TELIANET TeliaNet Global Network EU TELIANET TeliaNet Global Network..wait for it.. wait for it.. US LEVEL3 Level 3 Communications National CERT of Finland 6 6
Tietoturvaloukkausten ratkaiseminen edellyttää maailmanlaajuista yhteistyötä National CERT of Finland 7 7
Tietoja varastavien haittaohjelmien suomalaiset uhrit ajalla 1.1.2008 30.8.2009 8
Tapaus Sonera, Deutsche Telekom, Deutsche Bahn, HP, Italia HS: Sonera investigators: Relander knew of snooping in late 2000 (31.5.2004) http://www.hs.fi/english/article/sonera+investigators+relander+knew+of+snooping+in+late+2000/1076152872961 HS: Six Sonera executives charged in Sonera phone record scandal (4.1.2005) http://www.hs.fi/english/article/1101978168396 The man from the case "Thus they were spying for Telecom" speaks (only in Italian, 2.06.2006) http://www.repubblica.it/2006/05/sezioni/cronaca/spionaggio-calcio/parla-007-privato/parla-007-privato.html EDRI-gram 9/2006: Italian authorities messed up by the wiretapping scandal (27 September, 2006) http://www.edri.org/edrigram/number4.18/italy Hewlett-Packard ja Patricia Dunn http://en.wikipedia.org/wiki/hewlett-packard_spying_scandal Did Deutsche Telekom Spy on Journalists and Board Members? (05/26/2008) http://www.spiegel.de/international/business/0,1518,555363,00.html Der Spiegel: Deutsche Telekom Spy Scandal (05/31/2008) http://www.spiegel.de/international/business/0,1518,556939,00.html Der Spiegel: Spy Scandal Rattles Deutsche Bahn Top Managers (02/12/2009) http://www.spiegel.de/international/germany/0,1518,607206,00.html Arstechnica: How one man tracked down Anonymous and paid a heavy price (February 9, 2011) http://arstechnica.com/tech-policy/news/2011/02/how-one-security-firm-tracked-anonymousand-paid-a-heavy-price.ars Brian Krebs: Russian Cops Crash Pill Pusher Party (21.2.2011) http://krebsonsecurity.com/2011/02/russian-cops-crash-pill-pusher-party/ TS: Sinnemäen blogi paljastui avustajan kirjoittamaksi (20.2.2011) http://www.ts.fi/online/kotimaa/198626.html Ranskan ajankohtaiset L informaticien: Piratage de Bercy : la plus grosse attaque informatique subie par la France (March 07, 2011) http://www.linformaticien.com/actualit%c3%a9s/tabid/58/newsid496/10506/piratage-de-bercy-la-plus-grosse-attaque-informatique-subie-par-lafrance/default.aspx L informaticien: Exclusif : Le SI des Affaires Etrangères en accès libre! (March 09, 2011) http://www.linformaticien.com/actualit%c3%a9s/tabid/58/newsid496/10517/exclusif-le-si-des-affaires-etrangeres-en-acces-libre/default.aspx CERT-FI Varoitus 07/2007: Suomalaisia verkkopalveluiden käyttäjätunnuksia sisältävä tiedosto verkossa https://www.cert.fi/varoitukset/2007/varoitus-2007-7.html 2011-03-03 9
Tietovuotajia avustavia palveluita Wikileaks Openleaks Cryptome edesmennyt anon.penet.fi (http://en.wikipedia.org/wiki/penet_remailer) Tiedostonjakopalveluita: 4Chan.org ja edesmennyt Finnchan http://fi.wikipedia.org/wiki/kuvafoorumi Rapidshare hidemyass.com zshare.net.. 2011-03-03 10
Tylsää lakitekstiä 3/10/2011 www.cert.fi cert@ficora.fi 11
Viestintämarkkinalaki 23.5.2003/393 131 Velvollisuus korjata häiriö Jos viestintäverkko tai laite aiheuttaa vaaraa tai häiriötä viestintäverkolle, laitteelle, viestintäverkon käyttäjälle tai muulle henkilölle, teleyrityksen tai muun viestintäverkon tai laitteen haltijan on välittömästi ryhdyttävä toimenpiteisiin tilanteen korjaamiseksi ja tarvittaessa irrotettava viestintäverkko tai laite yleisestä viestintäverkosta. Viestintävirasto voi 1 momentissa tarkoitetussa tapauksessa määrätä korjaustoimenpiteistä sekä verkon tai laitteen irrottamisesta. 12
Sähköisen viestinnän tietosuojalaki 16.6.2004/516 19 Velvollisuus huolehtia tietoturvasta Teleyrityksen ja lisäarvopalvelun tarjoajan on huolehdittava palvelujensa tietoturvasta. Yhteisötilaajan on huolehdittava käyttäjiensä tunnistamistietojen ja paikkatietojen käsittelyn tietoturvasta. Palvelun ja käsittelyn tietoturvasta huolehtiminen tarkoittaa toimia toiminnan turvallisuuden, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistamiseksi. Nämä toimet on suhteutettava uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin. [..] Viestintävirasto voi antaa teleyritykselle tarkempia määräyksiä 1 3 momentissa tarkoitetusta palvelun tai tietojen säilyttämisen tietoturvasta. 13
Sähköisen viestinnän tietosuojalaki 16.6.2004/516 20 Toimenpiteet tietoturvan toteuttamiseksi Teleyrityksellä, lisäarvopalvelun tarjoajalla ja yhteisötilaajalla sekä niiden lukuun toimivalla on oikeus ryhtyä 2 momentissa tarkoitettuihin välttämättömiin toimiin tietoturvasta huolehtimiseksi: 1) viestintäverkkojen tai niihin liitettyjen palvelujen tietoturvalle haittaa aiheuttavien häiriöiden havaitsemiseksi, estämiseksi, selvittämiseksi ja esitutkintaan saattamiseksi; 2) viestin lähettäjän tai viestin vastaanottajan viestintämahdollisuuksien turvaamiseksi; tai 3) viestintäpalvelujen kautta laajamittaisesti toteutettavien rikoslain 37 luvun 11 :ssä tarkoitettujen maksuvälinepetosten valmistelun ehkäisemiseksi. Edellä 1 momentissa tarkoitetut toimet voivat käsittää: 1) viestin automaattisen sisällöllisen analyysin; 2) viestien välittämisen ja vastaanottamisen automaattisen estämisen tai rajoittamisen; 3) tietoturvaa vaarantavien haitallisten tietokoneohjelmien automaattisen poistamisen viesteistä; 4) muut näihin rinnastettavat teknisluonteiset toimenpiteet. [..] 14
Laki tietoyhteiskunnan palvelujen tarjoamisesta 5.6.2002/458 4 luku Välittäjinä toimivien palvelun tarjoajien vastuuvapaus 13 Vastuuvapaus tiedonsiirto- ja verkkoyhteyspalveluissa Kun tietoyhteiskunnan palvelu muodostuu palvelun vastaanottajan toimittamien tietojen siirrosta viestintäverkossa tai verkkoyhteyden tarjoamisesta, palvelun tarjoaja ei ole vastuussa siirrettyjen tietojen sisällöstä tai välittämisestä, jos hän: 1) ei ole siirron alkuunpanija; 2) ei valitse siirron vastaanottajaa; eikä 3) valitse eikä muuta siirrettäviä tietoja. 15
Laki tietoyhteiskunnan palvelujen tarjoamisesta 5.6.2002/458 15 Vastuuvapaus tietojen tallennuspalveluissa Kun tietoyhteiskunnan palvelu käsittää palvelun vastaanottajan (sisällön tuottaja) toimittamien tietojen tallentamisen tämän pyynnöstä, palvelun tarjoaja ei ole vastuussa tallennettujen tietojen sisällöstä tai välittämisestä, jos hän toimii viipymättä tallentamansa tiedon saannin estämiseksi: 1) saatuaan tietoonsa sitä koskevan tuomioistuimen määräyksen taikka, jos kysymyksessä on tekijänoikeuden tai lähioikeuden loukkaaminen, saatuaan 22 :ssä tarkoitetun ilmoituksen; 2) saatuaan muuten tosiasiallisesti tietoonsa, että tallennettu tieto on ilmeisesti rikoslain 11 luvun 8 :n taikka 17 luvun 18 tai 18 a :n vastainen. 16
Viestintävirasto Viestinnän kehityksen turvaaja www.viestintävirasto.fi 3/10/2011 www.cert.fi cert@ficora.fi 17