DNA estänyt JH-a:n sivut?

[muzzy]

Pidetään kuitenkin foorumilla se linja, että otetaan lähettäjätiedot pois, jos kopioidaan viesti tänne.[/color]

Jahas, eli viestistäni poistettiin mailin lähettäjän tiedot. Editoin sinne tittelin ainakin takaisin, olihan kyseessä kuitenkin CERT-FI:n päällikkö eli vastuuasemassa oleva henkilö.

En kyllä kertakaikkiaan ymmärrä tuollaista nimen piilottamista, mutta enpä käy ajamaan tätä keskustelua sivuraiteille sen takia.

[muzzy]

Se vielä piti sanoman, että unohtakaa suosiolla suoraan mitä DNA:n asiakaspalvelu on selitellyt "IP-kloonauksista" ja muusta.  Uskoisin että asiakaspalvelu on vähän pihalla tekniikasta ja on koittanut yksinkertaistaa tapauksen tietoja siinä hieman epäonnistuen.

Mielestäni uskottavin skenaario julkisten tietojen mukaan on se, että jokin taho on ollut yhteydessä sekä CERT-FI:hin että DNA:han, ja DNA:lla joku on ymmärtänyt jotain vähän väärin. Asiakaspalvelussa on jokin tietämätön sitten ajatellut että tämä on näitä CERT-juttuja joten selitellyt tapauksen sitäkautta. Aikamoinen möhläys, mutta turha siihen kovin pitkäksi aikaa on takertua.

Kiinnostavaa on yhä kuitenkin se, onko joku kolmas osapuoli esittänyt sulkupyyntöä vai mistä moinen idea on tullut?  Tapahtunut IP-osoitteen nullroutetus on aika järeä toimi joka ei todellakaan ole ensimmäisen tason asiakaspalvelun henkilöstön käytettävissä.  Argumenttien on täytynyt olla todella vakuuttavia tai pyynnön tehneen tahon todella vaikutusvaltainen että tämä on tapahtunut.  En ihan heti keksi mikä olisi sellainen taho, ellei jokin pankki ole sitten halunnut testailla saako operaattoreita suostuteltua pystyttämään nullrouteja pyynnöstä... Mutta tämä nyt menee jo ihan arvailuksi.

Varmaan tuolle "IP-kloonaus" termin käytöllekin varmaan löytyisi jokin selitys jos saisi tietää vähän lisää asiasta, mutta abusetilanteissa operaattorit yleensä eivät kerro kovin paljoa.  Muuten tulee helposti sapiskaa tietoturvaloukkauksen kohteena olleelta taholta, eli siltä organisaatiolta joka oli phishing-uhan kohteena ja jota tälläkin estotoimella yritettiin suojella.

[Rato]

[/quote]
Pidetään kuitenkin foorumilla se linja, että otetaan lähettäjätiedot pois, jos kopioidaan viesti tänne.[/color]
[/quote]

OK, vaikka tuosta on lipsuttu jatkuvasti. Toivottavasti linja pitää. Kannattaisi kirjata sääntöihin jos ei ole jo.

[Roope]

Varmaan tuolle "IP-kloonaus" termin käytöllekin varmaan löytyisi jokin selitys jos saisi tietää vähän lisää asiasta, mutta abusetilanteissa operaattorit yleensä eivät kerro kovin paljoa.  Muuten tulee helposti sapiskaa tietoturvaloukkauksen kohteena olleelta taholta, eli siltä organisaatiolta joka oli phishing-uhan kohteena ja jota tälläkin estotoimella yritettiin suojella.

"Näiden kahden tapauksen lisäksi olemme tietoisia muistakin kyseiseen
IP-osoitteeseen viittaavista tietoturvaloukkausepäilyistä, joista
ulkomaiset kumppaniorganisaatiomme ovat raportoineet. Näiden osalta emme
ole ryhtyneet toimenpiteisiin, koska asiassa ei ole ollut suomalaisia
asianomistajia ja tapaus on ollut jo muiden tahojen hoidossa."

Minulle jäi epäselväksi kohdistuiko toimenpide nimenomaan Halla-ahon sivuihin vai olivatko ne vain collateral damage jonkun toisen sivuston suojelemisen ohessa. Jos jälkimmäinen, niin eipä tästä sitten enää mitään. Jos ensimmäinen, niin sitten ehkä jotain. Tosin JHa:lla mahdollisena asianomistajana taitaa olla ihan muut asiat ToDo-listalla elokuun ajan...

[MMA]

Sen sijaan olemme käsitelleet viime päivinä ainakin kaksi kyseistä
IP-osoitetta koskevaa tietoturvaloukkausepäilyä. Nämä on lähetetty
rutiinitoimenpiteenä tiedoksi ja toimenpiteitä varten sekä Yahoolle että
US-CERT:ille. Toiseen tapaukseen liittyvä suomalanen asianomistaja on
myös informoitu. Molemmat tapaukset on käsitelty tiketissä [FICORA #285434].

Näiden kahden tapauksen lisäksi olemme tietoisia muistakin kyseiseen
IP-osoitteeseen viittaavista tietoturvaloukkausepäilyistä, joista
ulkomaiset kumppaniorganisaatiomme ovat raportoineet. Näiden osalta emme
ole ryhtyneet toimenpiteisiin, koska asiassa ei ole ollut suomalaisia
asianomistajia ja tapaus on ollut jo muiden tahojen hoidossa.

Tarkoitetaanko asianomistajalla suomalaista operaattoria, jonka kautta tietoturvaloukkauksia on tehty Halla-ahon sivuille?

CERT-FI on myös saanut aikaisemminkin tietoa kumppaniorganisaatiolta (CERT-US?) että Halla-ahon sivuille on tehty tietoturvaloukkausyrityksiä, mutta yrityksiä ei ole tehty suomalaisten operaattorien kautta?

Yahoo voisi varmaan vastata Jussille mistä ja millaisia tietoturvaloukkauksia hänen sivuille ollaan tehty? Minua ainakin kiinnostaisi tietää jos joku koittaisi häiritä tai hakkeroida omia sivustoja. Toisaalta CERT-FI mukaan asiat ovat jo hoidossa, mitä se sitten ikinä tarkoittaakin. Luulisi että ko. tahoilla olisi valmiudet selvittää kuka tai mikä on tietoturvaloukkausten takana.

[muzzy]

Minulle jäi epäselväksi kohdistuiko toimenpide nimenomaan Halla-ahon sivuihin vai olivatko ne vain collateral damage jonkun toisen sivuston suojelemisen ohessa.

Lähes varmasti collateral damagea, mutta se ei mielestäni ole peruste todeta että asia oli sitten siinä.

Kyseessä on Yahoon hosting-palvelin jossa on ilmeisesti yli 250 tuhatta sivustoa, ja sinne on joku käyttäjä saanut yhden haitallisen sivuston. Tämä ei ole mikään peruste estää pääsyä koko IP-osoitteeseen, varsinkaan kun DNA on vielä erityisen tunnettu siitä että heillä on olemassa infrastruktuuri URL-pohjaiseen pääsyn estoon (ks. laki lapsipornografian estotoimista). Mitään hyvää syytä koko IP-osoitteen estämiselle ei pitäisi olla.

Vaikka kyse ei olisi tahallisesta toimesta halla-ahoa kohtaan, on kyseessä silti tuottamuksellinen haittateko. Näkisin että DNA:lta pitäisi saada julkinen selitys siitä mistä täsmälleen oli kyse, ja miksi näin tehtiin. Kyseessä on oikeasti iso asia mikäli operaattoreilla on oikeus valikoivasti rajoittaa nettiyhteyksien toimivuutta oman mielensä mukaan ja mitään sen tarkemmin selittelemättä ihan vain tietoturvaan vedoten.