Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Keskiviikko, 24.4.2002

EU suunnittelee yhtenäisiä tietomurtolakeja

EU on julkistanut suunnitelmansa tietoverkkorikoksia koskevista laeista, joiden mukaan tietomurtojen suorittajat ja virusten koodaajat voivat joutua jopa useiksi vuosiksi vankilaan. Tietoturva-asiantuntijat ottivat lakiehdotuksen avosylin vastaan, mutta pitävät tärkeämpänä saada yritykset raportoimaan Internetin kautta suoritettavista tietomurroista, jotta viranomaisten resurssit saataisiin riittävälle tasolle vastaamaan todellista tarvetta.

Lakiehdotuksella pyritään saamaan EU:n jäsenvaltiot yhdenmukaistamaan lainsäädäntöään. Lakiehdotus määrittelee hakkeroinnin luvattomana tunkeutumisena tietojärjestelmään tavoitteena vahingon tai taloudellisen hyödyn saavuttaminen. Pitkän linjan tietokoneharrastajia tämä terminologinen virhe ei tule miellyttämään, sillä alunperinhän hakkerilla (eng. hacker) ja hakkeroinnilla oli täysin eri merkitys ja ylläolevan kuvauksen mukaista toimintaa harjoittavalle on olemassa omakin nimitys, joka on kräkkeri (eng. cracker). Mikäli ehdotus menee läpi, lievistä tietoverkkorikoksista voi saada vankeutta yhdestä vuodesta ylöspäin ja vakavammista tapauksista neljästä vuodesta ylöspäin.

Lakiehdotus myös vaatii jäsenmaita rakentamaan vuorokauden ympäri toimivan tietojärjestelmän, joka valvoo tietoverkkorikoksia. "Uhrien pitää tiedottaa tietoverkon kautta suoritetuista iskuista ja poliisin pitää olla valmis tutkimaan näitä tapauksia," kommentoi tietoturva-asiantuntija Neil Barrett. Tällä hetkellä yritysten uskotaan lakaisevan useita tietoturvarikoksia maton alle negatiivisen julkisuuden pelossa.

Lue juttu K2, 24.4.2002 00:21. Lähde: ZDNet

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 14 uutta / 14 )
pistettä.
Näytä vain kommentit joilla on vähintään
Tietotaitoon liittyvä ongelma
Anonyymi kommentoija, 24.4.2002 09:18:24		 Pisteet: +1
Sinäsä olen ehdottomasti sen kannalla, että tietoturvarikoksista tulee rangaista, mutta astumme sellaisen ongelman eteen, että mistä ammattilaisia. Tietoturva-asiantuntijaksi kehittyminen ei tapahdu niin, että vaan seurataan "hyvien" puolella mitä tapahtuu. Lähes kaikki alan kehittyneet ammattilaiset ovat tehneet itse tietoturvarikoksia jäämättä kiinni. Se on erittäin tärkeä asia oppimisen kannalta. Jos nyt häkki heilahtaa esim 3 vuodeksi niin moni ei yksinkertaisesti uskalla kokeilla eikä silloin juuri asioista kovin nopeasti opi. Paatuneimmat tietoturvarikolliset eivät varmasti juurikan välitä tällaisesta lakialoitteesta. Uskon, että he harrastavat touhujaan niin kauan että roikkuvat hirressä. Tätä vasten en näe välttämättä tätä aloitetta niin positiivisena.

Vokaali
Re: Tietotaitoon liittyvä ongelma
Anonyymi kommentoija, 24.4.2002 09:26:10		 Pisteet: 0
Lähes kaikki alan kehittyneet ammattilaiset ovat tehneet itse tietoturvarikoksia jäämättä kiinni. Se on erittäin tärkeä asia oppimisen kannalta.
Tee siis hyvä teko ja anna teinihaksoreille lupa murtautua sinun omiin järjestelmiisi, niin heidän ei tarvitse tehdä rikosta.
Umbala Re: Tietotaitoon liittyvä ongelma
Umbala, 24.4.2002 12:42:24		 Pisteet: 0
Tee siis hyvä teko ja anna teinihaksoreille lupa murtautua sinun omiin järjestelmiisi, niin heidän ei tarvitse tehdä rikosta.
Mutta yleensä script kiddiet eivät ansaitse moista. Voisin ihan huvin ja kelin vuoksi laittaa arvottoman vanhan koneeni hax0roitavaksi (66MHz 486-DX2, jne...) mutta ei kiinteää konnua ole ;)
--
"One day we all will be living under the iron fist of Emmental Evil."
Re: Tietotaitoon liittyvä ongelma
Anonyymi kommentoija, 24.4.2002 14:51:38		 Pisteet: +1
Voisin ihan huvin ja kelin vuoksi laittaa arvottoman vanhan koneeni hax0roitavaksi (66MHz 486-DX2, jne...) mutta ei kiinteää konnua ole ;)
Tuossa on tietysti se huono puoli, että luvan kanssa hax0roitu kone mahdollistaa myös muiden koneiden luvattoman anonyymin hax0roinnin.

- Äskeinen anonyymi kommentoija
jst Re: Tietotaitoon liittyvä ongelma
jst, 24.4.2002 16:13:37		 Pisteet: 0
"Since Zone-h.org is a learning tool for all of us and for the entire security community, you are welcome to try to deface Zone-h.org for educational purposes and let us know on how you did it." http://www.zone-h.com/)

Löytyyhän tällaisiakin.


j
THE GOAT CAN BE CANCELLED
heko Re: Tietotaitoon liittyvä ongelma
heko, 24.4.2002 10:31:04		 Pisteet: +2
Tietoturva-asiantuntijaksi kehittyminen ei tapahdu niin, että vaan seurataan "hyvien" puolella mitä tapahtuu. Lähes kaikki alan kehittyneet ammattilaiset ovat tehneet itse tietoturvarikoksia jäämättä kiinni.
Kuulostaapa mielenkiintoiselta. "Alan kehittyneet ammattilaiset" on tietysti väljä käsite. Tarkoitatko softankehittäjiä, yritysvakoilijoita, tietoturvapäälliköitä, vai keitä? Mihin väitteesi pohjautuu?

Mitäköhän Markus Friedl on tehnyt? Tai Angelos Keriomytis? Niels Provos on sentään kehittänyt ScanSSH:n, jota - ellen erehdy - IT-viikko taannoin väitti poliisin kutsuneen murtoapuvälineeksi.

"Tietoturvarikoksena" pidetään tietysti eri maissa eri asioita. Joissain maissa kryptografiaohjelmistot ovat rikos.

Se on erittäin tärkeä asia oppimisen kannalta. Jos nyt häkki heilahtaa esim 3 vuodeksi niin moni ei yksinkertaisesti uskalla kokeilla eikä silloin juuri asioista kovin nopeasti opi.
Miksi pitäisi murtautua muiden järjestelmiin? Esim. Solariksesta, Oraclesta ja QNX:stä saa ladattua verkosta ilmaiseksi kopion, johon voi yrittää murtautua vaikka 10-luokan verkossa ihan itsekseen; Windows melkoisen monella lienee ennestään muutenkin.

Paatuneimmat tietoturvarikolliset eivät varmasti juurikan välitä tällaisesta lakialoitteesta. Uskon, että he harrastavat touhujaan niin kauan että roikkuvat hirressä. Tätä vasten en näe välttämättä tätä aloitetta niin positiivisena.
Tämä taitaa olla N:s kerta kun sanon tämän, mutta rikosta harkitsevalle - tai rikostilastoille - rangaistuksen suuruudella on selvästi pienempi merkitys kuin kiinnijäämisriskillä; siitä, kuinka hyvin jokin säädös istuu omaan oikeustajuun, puhumattakaan. Yllättävän moni tuntuu nykyään ajattelevan, että lain ensisijainen tarkoitus olisi jotain muuta kuin kirjata formaaliin muotoon yhteisön hyväksymiä periaatteita.

Yksi puhtaasti mutuun pohjautuva veikkaukseni murtautujan moraalikäsityksistä on, että rikoksen ajatellaan suuntautuvan johonkin hahmottomaan massaan, parhaimmillaan jättiriistokorporaattiin, ja aiheuttavan vain esim. korporaatin tulojen menetyksiä. Näitä tuloja ja naapurin työpaikkaa, eli sitä, minkä pitäisi olla teon kieltävien lakien taustalla, ei osata yhdistää.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Re: Tietotaitoon liittyvä ongelma
maahinen, 24.4.2002 15:33:39		 Pisteet: +1
Tietoturva-asiantuntijaksi kehittyminen ei tapahdu niin, että vaan seurataan "hyvien" puolella mitä tapahtuu.
Miksiköhän tietoturva-asiantuntijaksi kehittyminen ei voisi tapahtua juuri näin? Oma mielipiteeni on, että tietoturva-asiantuntijaksi vaaditaan paljon teoriaopintoja, eri ohjelmointikielien tarkkaa tuntemista ja tietysti käytännön harjoittelua, joka rajataan tätä varten rakennettuun testiympäristöön. Tosin myös pelkästään teoriaa osaava henkilö voi hyvinkin olla tietoturvan ammattilainen ja toisaalta pätevä ohjelmoija voi myös olla myös tietoturvan ammattilainen.
Lähes kaikki alan kehittyneet ammattilaiset ovat tehneet itse tietoturvarikoksia jäämättä kiinni. Se on erittäin tärkeä asia oppimisen kannalta. Jos nyt häkki heilahtaa esim 3 vuodeksi niin moni ei yksinkertaisesti uskalla kokeilla eikä silloin juuri asioista kovin nopeasti opi.
Pelottava ajatus jos osa skripti-ipanoista perustelee tekojaan tällaisella roskalla.
Re: Tietotaitoon liittyvä ongelma
Anonyymi kommentoija, 25.4.2002 09:47:44		 Pisteet: 0
Tietoturva-asiantuntijaksi kehittyminen ei tapahdu niin, että vaan seurataan "hyvien" puolella mitä tapahtuu.
Miksiköhän tietoturva-asiantuntijaksi kehittyminen ei voisi tapahtua juuri näin? Oma mielipiteeni on, että tietoturva-asiantuntijaksi vaaditaan paljon teoriaopintoja, eri ohjelmointikielien tarkkaa tuntemista ja tietysti käytännön harjoittelua, joka rajataan tätä varten rakennettuun testiympäristöön. Tosin myös pelkästään teoriaa osaava henkilö voi hyvinkin olla tietoturvan ammattilainen ja toisaalta pätevä ohjelmoija voi myös olla myös tietoturvan ammattilainen.
Lähes kaikki alan kehittyneet ammattilaiset ovat tehneet itse tietoturvarikoksia jäämättä kiinni. Se on erittäin tärkeä asia oppimisen kannalta. Jos nyt häkki heilahtaa esim 3 vuodeksi niin moni ei yksinkertaisesti uskalla kokeilla eikä silloin juuri asioista kovin nopeasti opi.
Pelottava ajatus jos osa skripti-ipanoista perustelee tekojaan tällaisella roskalla.
En perustele mitään "tekoja tällaisella roskalla", mutta väitäkö tosiaan, että on mahdollista saada kräkkeri tasoinen tietämys asiasta pelkästään teoriaa opettelemalla. Tottakai sillä on merkitystä, mutta laitan melkein pääni pantiksi, että ei siinä saamaa määrää asioita opi kuin tekemällä käytönnön toimia. Se, että murtautuu jonkun järjestelmiin tai aiheuttaa yleistä harmia ei tietänkään ole oikeutettua. Mutta en siitä ongelmasta kertonutkaan vaan nimenoomaan siitä, sitä tietotaitoa ei saavuta tekemällä teoriapohjaisia harjoituksia. On tunnettava eri järjestelmät, softat, jne. eikä niitä opi niin vaan teorialla, vaikka lukee kuinka paljon ei kaikkea voi soveltaa käytäntöön.

Vokaali
Re: Tietotaitoon liittyvä ongelma
maahinen, 25.4.2002 12:13:50		 Pisteet: 0
On tunnettava eri järjestelmät, softat, jne. eikä niitä opi niin vaan teorialla, vaikka lukee kuinka paljon ei kaikkea voi soveltaa käytäntöön.
Tämä pitää paikkaansa, ei tuo sinun kirjoituksesi ihan täyttä roskaa ollut :) Mutta toisaalta jos ensimmäinen käytännön harjoitus on joku internetistä löytyvä kone, niin se voi hyvinkin jäädä viimeiseksi harjoitukseksi, toisaalta jos on jo testannut menetelmän omalla koneellaan, niin mitä uutta oppii siinä, että soveltaa samaa menetelmää laittomasti?
Rikokset tärkeysjärjestykseen
Anonyymi kommentoija, 24.4.2002 17:06:59		 Pisteet: +1
Jos vedät kaverilta hampaat kurkkuun tai sinulta löytyy huumeita niin selviät ilman vankeutta. Jos taas joku ei jaksa huolehtia tietoturvasta ja "murdaudut" käyttämällä yleisesti tiedossa olevaa bugia jollekkin koneelle etkä tuhoa mitään tietoja niin saat vähintään vuoden vankeutta.

Jos taas tietomurtorikos luokitellaan "vakavaksi" saat yhtä paljon (tai enemmän) vankeutta kuin raiskaajat ja tappajat.
heko Re: Rikokset tärkeysjärjestykseen
heko, 24.4.2002 19:00:39		 Pisteet: +2
Jos vedät kaverilta hampaat kurkkuun tai sinulta löytyy huumeita niin selviät ilman vankeutta. Jos taas joku ei jaksa huolehtia tietoturvasta ja "murdaudut" käyttämällä yleisesti tiedossa olevaa bugia jollekkin koneelle etkä tuhoa mitään tietoja niin saat vähintään vuoden vankeutta.
Aargh. Mistä sä näitä oikein temmot? "Vähintään vuoden vankeutta"? Yhtä paljon vankeutta kuin raiskaaja tai tappaja? Anna ihmeessä vaikkapa linkki joihinkin oikeustapauksiin. (Tiedän, Finlexista saa tietysti vain ei-triviaaleja juttuja, joihin on myönnetty valitusoikeus, mutta silti.)

Joo, tietenkin rikokset pitäisi olla "tärkeysjärjestyksessä". Ne ovatkin. Eri ihmisillä vain voi olla vähän eri käsityksiä siitä, mikä on "tärkeysjärjestys".

Olen lämpimästi rikosten ehkäisystä ja rikosten rangaistusten järkevyydestä ja suhteellisuudesta käytävän keskustelun puolesta, mutta siinäkin olisi hyvä yrittää käyttää argumentteinaan asiatietoja, ei kaverin kaverilta, jonka kummin kaiman serkku teki ensin tietomurron ja sitten huumausainerikoksen, kuultua.

Tuo "jos joku ei jaksa huolehtia tietoturvasta ja murtaudut käyttämällä yleisesti tiedossa olevaa bugia" taas menee täysin yli hilseen. Se, että joku laiminlyö vastuunsa, ei tarkoita, että on luvallista käyttää hyväkseen tämän avuttomuutta. Entä, jos se on naapurin mummo? Entä, jos kohteena on naapurin mummon pankki? Oikeuskäytännöstä löytyy kyllä aivan vastaavia tapauksia: se, että ovesta puuttuu lukko, ei todellakaan oikeuta käväisemään toisen kotona.

--
"And, while it was regarded as pretty good evidence of criminality to be living in a slum, for some reason owning a whole street of them merely got you invited to the very best social occasions." -- Terry Pratchett, Feet of Clay
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Re: Rikokset tärkeysjärjestykseen
Anonyymi kommentoija, 24.4.2002 20:27:53		 Pisteet: 0
Jos vedät kaverilta hampaat kurkkuun tai sinulta löytyy huumeita niin selviät ilman vankeutta. Jos taas joku ei jaksa huolehtia tietoturvasta ja "murdaudut" käyttämällä yleisesti tiedossa olevaa bugia jollekkin koneelle etkä tuhoa mitään tietoja niin saat vähintään vuoden vankeutta.
Aargh. Mistä sä näitä oikein temmot? "Vähintään vuoden vankeutta"? Yhtä paljon vankeutta kuin raiskaaja tai tappaja? Anna ihmeessä vaikkapa linkki joihinkin oikeustapauksiin. (Tiedän, Finlexista saa tietysti vain ei-triviaaleja juttuja, joihin on myönnetty valitusoikeus, mutta silti.)
Lue ehdotus: "Mikäli ehdotus menee läpi, lievistä tietoverkkorikoksista voi saada vankeutta yhdestä vuodesta ylöspäin ja vakavammista tapauksista neljästä vuodesta ylöspäin. "

Ehdotuksen perusteella minimirangaistus vakavassa tapauksessa on neljä vuotta.

Maksimirangaistus taposta on 12 vuotta ja usein se huomattavasti lyhyemmäksi. Raiskaajat selviävät vähemmällä.
setae Re: Rikokset tärkeysjärjestykseen
setae, 25.4.2002 09:48:58		 Pisteet: +2
Lue ehdotus: "Mikäli ehdotus menee läpi, lievistä tietoverkkorikoksista voi saada vankeutta yhdestä vuodesta ylöspäin ja vakavammista tapauksista neljästä vuodesta ylöspäin. "
Suunnitelmassa ei puhuta mitään rangaistusten pituuksista. Helsingin Sanomien verkkoliite sanoo:

"Euroopan unioni yrittää suitsia tietoverkkorikollisuutta yhdenmukaistamalla rikoslainsäädäntöään. Komission mukaan esimerkiksi vakavasta nettirikoksesta olisi säädettävä vähintään vuoden vankeusrangaistus. "

Artikkelissa myös:

"Komission esittämä puitepäätös kattaisi niin tietojärjestelmiin murtautumisen eli hakkeroinnin, tietokonevirukset kuin palvelunestohyökkäykset. Tietoverkko-käsite on määritelty sen verran laveasti, että tietokoneiden ja internetin lisäksi mukana ovat mm. kännykät ja intranet."

Kännyköiden ja intranetin kohdalla viimeistään tilanne muuttuu asianomistajarikokseksi. Vaikka rangaistukset olisivat kuinka kovat, on vaara, että tapausten runsas lukumäärä käy ylivoimaiseksi virkavallalle, ja päädytään pian kirjoittamattomaan lakiin, jossa tiettyä vakavuusastetta alempia tekoja ei edes tutkita. Muuttuisiko tilanne sitten nykyisestä, yhtenäisiä rangaistusasteikkoja lukuunottamatta?

Ongelma internetin kanssa on myös tekojen lähde, joka voi olla kaukana idässä (käytännössä Puolassa) - tai naapuritalossa, kierrättäen yhteytensä vain Puolan kautta.

Mikä sitten on tietoverkkorikos? Onko zombiena toimiminen sellainen - ja jos ei, miten nuo tapaukset erotetaan? Zombie-koneista kun useasti poistetaan kaikki mahdolliset viitteet yhteyden lähteestä. Hyvin helposti voidaan ajautua tilanteeseen, että epäillyn pärstäkerroin on ratkaiseva syyttämispäätöstä tehtäessä.
valvonta..
Zemial, 24.4.2002 00:38:14		 Pisteet: 0
Miten tuollainen valvova systeemi pitäisi kehittää? Mitä sen pitäisi valvoa? kaikkea? Uskoin jo että tällainen vöyhötys on enemmänkin jenkkien omia hommia... mutta ei sitten.

Toivottavasti Freenet-projekti ottaisi nyt kunnolla tuulta purjeisiinsa ja lähtisi edistymään.. tai joku vastaava. Jossain vaiheessa yhteiskunta nousee verkkoa vastaan vielä rajustikkin.. mutta sitä ennen on mahdollista turvata vapaa tiedonsiirto.. tai vaihtaa päättäjät joihinkin muihin kuin holhoaviin sosialisteihin.