Korinaa kuopasta

Jo 582 juttua!

Tilaa RSS tai Atom

Salasanojen varastaminen ei olekaan rangaistava teko

Kuukausi sitten kysyin mikä on sopiva rangaistus 80 000 salasanan varastamisesta useilta eri nettisivustoilta. Tänään oikeus on katsonut antamallaan tuomiolla, ettei tämäkään teko ole Suomessa lain silmissä rangaistava teko. Iltapäivälehdistö tietää kertoa, että nyt 18-vuotiaaksi aikuiseksi varttunut mieshenkilö sai häntä kohtaan nostetuista tietomurtoihin ja petoksiin koskevista syytöksistä vapauttavan päätöksen. Tuomarien mukaan salasanojen varastaminen ei olekaan tämän nuoren miehen vika, vaan se vika onkin nettisivustojen ylläpitäjien vika, koska he eivät olleet huolehtineet tietoturvajutuista kunnolla.

Jossain määrin kärjistettäessä voidaankin todeta, että niiden 80 000 käyttäjätilin tietojen päätyminen julkiseen levitykseen Internetissä ei olekaan tämän kräkkerin vika, vaan se on niiden Web-palveluiden ylläpitäjien vika. Jossain määrin kärjistettäessä tällaisella laintulkinnalla voidaan päätellä, että jos henkilö onnistuu murtautumaan asuntoon apunaan sorkkarauta, hitsipilli ja traktori, omaisuuden varastamisen syypää löytyykin itse asiassa asunnon omistajasta — omistajahan oli selvästi asentanut liian heppoisan esteen varkaan ja omaisuutensa välille.

Koska aika on arvokasta, kannattaa tutustua tähän alla näkyvään listaan jos mielit löytää tämän nettisivuston parhaat kirjoitukset. Tässä alapuolella on kaikkein luetuimpia kirjoituksia Korinaa kuopasta -blogin aarreaitasta. Kirjoitukset on järjestetty suosituimmuusjärjestykseen siten, että luettelon kärjessä on tällä hetkellä eniten lukukertoja saaneet kirjoitukset.

Luetuimpia blogimerkintöjä

Blogimerkintää "Salasanojen varastaminen ei olekaan rangaistava teko" muokattiin viimeksi 4079 päivää sitten, eli maanantaina 28.12.2009 kello 10:10. Kirjoitukseen on julkaistu kommentteja 4 kpl. Kaikki kirjoituksen saamat kommentit löytyvät suoraan tämän tekstimötikän alapuolelta.

Julkaisun kommentit

k00pa kommentoi 4178 päivää sitten

NONI!

JA mitäs minä sanoin. Ihan oikeassa olin.

Ylläpitäjien vika se on jos kusevat systeeminsä.

(yksi omakin salasana varastettiin, enkä ollut siitä vihainen kräkkerille, rasittivaan se että sivun ylläpitäjät eivät osanneet pitää tietoja turvassa)

valopää nilkki selkärangaton selkärangaton kommentoi 4178 päivää sitten

Ihania kirjoituksia, mutta pari oleellista faktaseikkaa on päin vittua tuossa edellisessä: “mikä on sopiva rangaistus” kirjoituksessa. Poliisikuulusteluissa annettu tietomurtojen tunnustus peruttiin jälkeenpäin, koska tunnustaessa en ollut vielä tutustunut lakiin. Tyhmäähän tuollaista on odottaa keltään, saati sitten juuri 16-vuotta täyttäneeltä teiniltä. Etkä taida itsekään tuntea lakia näiltä osin tai käytettyä SQL-injektio tekotapaa, sillä lakia ei voida tulkita kovin moniselitteisesti.

Puolustuksessa vedottiin pääosin siihen ettei tietomurron tunnusmerkistö täyty ja ettei merkittävää todellista vahinkoa ole aiheutunut. Puolustuksessa oltiin pitkälti samoilla linjoilla tietosuojavaltuutetun toimiston antaman lausunnon kanssa, josta voisin kiinnostavimmat kohdat kirjoittaa tähän:

[quotea]
Tietomurto (RL 38:8 §)

Tietomurto edellyttää säännöksen 1 momentissa tekijälle kuulumattoman käyttäjätunnuksen käyttöä tai turvajärjestelyn murtamista muuten. Tapauksessa esiin tullut SQL-injektio -tekotavassa ei käytetä tekijälle kuulumattomia käyttäjätunnuksia. Plääplää. Jotta olisi kysymys muusta tietojärjestelyn murtamisesta, tulisi tekojen kohdistua tällaiseen järjestelyyn. Näissä SQL-injektion tyyppisissä tekotavoissa kyetään käsittelemään kohteena olevia tietojärjestelmiä mutta kun tällaista käsittelyä estävää järjestelyä ei ole (syötteiden tarkistaminen ja filtteröinti) ei ehkä voi puhua turvajärjestelyn murtamisesta.

Näin ollen sivuille on päässy vapaasti sitten ettei voida puhua tunkeutumisesta, mutta sivujen tekemiseen ja ylläpitoon käytetty ohjelmisto ei ole tarkistanut, rajoittanut ja estänyt epätavallisten käskyjen toteuttamista, joka on mahdollistanut selon ottamisen palvelun taustalla olevien tietokantojen sisällöstä.
[/quotea]

Ja jotta maallikotkin ymmärtäisi mistä SQL-injektiossa on kyse, niin käytännössä sivustolle lähetetään komento joka pyytää käyttäjätunnus- ja salasanatiedot. Näillä sivuilla ei ole turvajärjestelyjä (syötteiden tarkistamista) ollut mikä olisi estänyt tällaisten komentojen suorittamisen. Kärjistyksesi on siis virheellinen. Se on asunnon omistajan “vika”, jos luovuttaa omaisuutensa ongelmanuorelle joka vain pyytää niitä kauniisti.

Korvausvaatimuksia oli yhteensä 130 000 euroa, jotka tulivat pääasiassa kolmelta sivulta. Korvausvaatimukset kiistettiin perusteiltaan ja määriltään. Suurin osa sivuista eivät vaatineet mitään korvauksia, joka sinällään jo kertoo todellisen vahingon määrästä. Todistajan (KRP:n tietoteknisen tutkijan) kanssa todettiin ettei käyttämäni tietoturva-aukon paikkaaminen tai turvajärjestelyn rakentaminen vie asiantuntevalta henkilöltä kuin korkeintaan puoli tuntia (fgrep SELECT log ja yhden komennon lisääminen .php-koodiin). Muutenkin kyseenalaista laskuttaa minua tästä, sillä haavoittuvuushan on ollut tietojärjestelmässä jo ennen tekoa.

Aika helpolla kyllä pääsin, osin myös asianomistajien epäosaamisen vuoksi. Raastuvaan saapui vain pari mesenetin edustajaa, ilman asianajajaa, ilman papereita tai mitään dokumentteja “aiheutetusta vahingosta”. Melko paska lähtäkohta, kun pojilla oli kuitenkin 113 890 euroa korvausvaatimuksia. Toisaalta, oli se aika kova paukku nuoren pojan psyykkeelle kun kuuli korvausvaatimusten määrän, sillä lopullisesti oikeudessahan se vasta selvisi kuinka bullshittiä ne on. Saisivat vähän maksaa mulle siitä hyvästä. Valtion kriisiapu ftw.

Petri kommentoi 4178 päivää sitten

Kiitos teille molemmille kommentista! On harvinaisen totta se, etten tunne lakia kuin sen verran mitä mattimeikäläiseltä sopii odottaa. SQL:ssä olevan tietoturva-aukon hyödyntäminen ei liene kuitenkaan mahdollista ihan sattumalta jotain linkkiä klikkaamalla tai lomaketta räpläämällä? Väitän siis, että henkilö, joka on jotenkin onnistunut pääsemään sinne tietokannan suojaamattomiin paikkoihin, on jotenkin tarkoituksellisesti siihen pyrkinyt. Henkilö on sellaisessa tapauksessa tietoisesti lähtenyt murtautumisreissulle. Salasanoihin käsiksi pääsemisen lisäksi ne salasanat kopioitiin ja ne tallennettiin, ne sen jälkeen laitettiin myös julkiseen levitykseen. Vieläpä useiden sivustojen kohdalla. ;-)

Gocom kommentoi 4177 päivää sitten

SQL:ssä olevan tietoturva-aukon hyödyntäminen ei liene kuitenkaan mahdollista ihan sattumalta jotain linkkiä klikkaamalla tai lomaketta räpläämällä? Väitän siis, että henkilö, joka on jotenkin onnistunut pääsemään sinne tietokannan suojaamattomiin paikkoihin, on jotenkin tarkoituksellisesti siihen pyrkinyt. Henkilö on sellaisessa tapauksessa tietoisesti lähtenyt murtautumisreissulle.

Molempiin vastaus on “on”. SQL injektion tekeminen voi oikeastaan sattua vahingossa ja se juuri tehdään sen varassa ettei sivusto puhdista sisälletulevaa materiaalia, kuten tuumailemiasi get- ja post-kutsuja. “Kärjistettynä” kyse on vain ja ainoastaan heittomerkin käyttämisestä. Aukon kaikenlisäksi korvaa, vain ja ainoastaan, yksinkertainen muutaman merkin escapetointi.

Oho! Tämän julkaisun kommentointi onkin jo suljettu. Kun tämän julkaisun kommentointi oli vielä avoinna, tälle julkaisulle kirjoitettiin yhteensä 4 kommenttia. Tämä artikkeli on lokeroitu kategoriaan . Tämän julkaisun kestolinkin osoite on http://www.kuopassa.com/weblog/2009/09/19/salasanojen-varastaminen-ei-olekaan-rangaistava-teko.

Korinaa kuopasta: Salasanojen varastaminen ei olekaan rangaistava teko.

Selaat tällä hetkellä blogimerkintää Salasanojen varastaminen ei olekaan rangaistava teko. Se julkaistiin 19. päivä syyskuuta 2009. Voit siirtyä lukemaan blogin tuoreimpia kirjoituksia klikkaamalla tiesi weblogin etusivulle. Tässä blogissa julkaistaan kiinnostaviksi katsomiani asioita, joten jos tiedät kiinnostavan nettiin liittyvän aiheen, josta kannattaisi kirjoittaa, laita palautetta!