Johan Kiviniemi’s series of tubes

”Tiedät varmaan, miksi soitan”

2007-01-02

Tapahtui muutama vuosi sitten:

Puhelimeni soi. Vastaan. Mieshenkilö esittelee itsensä: ”Tässä Etunimi Sukunimi siitä ja siitä puhelinyhtiöstä. Tiedät varmaan, miksi soitan.”

Olin ollut kuukausia aiemmin kyseisessä firmassa kesätöissä. Yritän miettiä, että mitä soittaja mahtaa ajaa takaa, ja miksei hän vain kerro asiaansa.

Lyhyen tauon jälkeen vastaan, etten kyllä keksi.

Soittaja väittää, että olen murtautunut heidän palvelimeensa ja asentanut rootkitin. En tiennytkään tehneeni moista. Hänellä on kuulemma varmat todisteet teostani. Pyydän päästä juttelemaan kasvokkain jonkun kanssa paikan päällä, ja sovimme niin.

Tapaan sovittuna ajankohtana puhelinyhtiöllä henkilön, jonka alaisuudessa olin toiminut kesätyöjaksona. Kerron hänelle, etten ole tehnyt väitettyä tietomurtoa, eikä minulla ole mitään motivaatiota tehdä sellaista. Hän näyttää uskovan minua. Saan kuulla heidän havainneen, että koneelle oli murtauduttu – muistaakseni sitä oli käytetty roskapostin lähettämiseen. Minähän vihaan spämmiä sydämeni pohjasta.

Saan myös kuulla, että heillä on sopimus erään toisen firman kanssa: kyseinen firma ylläpitää heidän palvelimiaan hoitaen tietoturvapäivitykset ymv. He olivat vieneet saastuneen koneen ko. firmalle tutkittavaksi ja sieltä oli ilmoitettu, että tunnus johkiv oli tietomurron takana.

Muistan, että jossain vaiheessa kesätyöjaksoa minulle oli tehty tunnus heidän nimipalvelimelleen työtehtävää varten. En ollut muistanut koko tunnuksen olemassaoloa. (Ihmettelen myös, miksi tunnusta ei oltu poistettu palvelimelta työn tehtyäni.)

Miettiessäni, miksi koneen tutkineesta firmasta väitettäisiin, että minä olisin murtautumisen takana, seuraavat mahdollisuudet tulevat mieleen:

  • Tunkeutuja bruteforcetti salasanani. Pidän tätä hyvin epätodennäköisenä, koska pyrin käyttämään hankalasti arvattavia salasanoja. Mikäli koneelle kuitenkin päästiin alunperin juuri minun käyttäjätunnuksellani, tunkeutujan piti vielä saada jotenkin pääkäyttäjän oikeudet rootkitin asentaakseen. Siinä tapauksessa koneella piti olla vanha, tietoturvareikäinen versio jostakin ohjelmasta, josta päästäänkin seuraavaan kohtaan:
  • Koneella oli vanha, tietoturvareikäinen versio jostakin palvelinohjelmasta (esim. ssh, bind), jota tunkeutuja hyödynsi. Tässä tapauksessa firma, jonka he olivat palkanneet hoitamaan palvelimen tietoturvan, ei ollut hoitanut tehtäväänsä.
    • Tätä kautta tunkeutuja sai suoraan pääkäyttäjän oikeudet. Miten sitten minun tunnukseeni päädyttiin?
      • On lievä mahdollisuus, että tunkeutuja purki palvelimelle tar-paketin, joka sisälsi sillä käyttäjätunnuksen ID-numerolla olevia tiedostoja, joka sattui vastaamaan tunnusta johkiv kyseisellä koneella.
      • On jonkinasteinen mahdollisuus, että koneen tutkineessa firmassa valittiin tunnukseni sijaiskärsijäksi sen sijaan, että he olisivat myöntäneet hoitaneensa ylläpitotehtävänsä heikosti.
      • Ehkäpä firmasta kerrottiin, että ”joku” koneen käyttäjätunnuksista oli tietomurron takana sen sijaan, että he olisivat myöntäneet laiminlyöntinsä, ja jollakin puhelinyhtiön väestä välähti, että ”se oli varmaan tuo kesätyöläinen”.

Joka tapauksessa minua ei enää syytetty tuon jälkeen. Loppu hyvin, kaikki hyvin.

© 2011 Johan Kiviniemi

The image of a giraffe is from Wikimedia Commons