Hei!
Toivottavasti tämä avoin kirje tavoittaa kunnan päättäjät, tietoturvapäälliköt, tai muut kuntien vastaavissa tehtävissä toimivat henkilöt. Tarjoamme teille mielenkiintoista kokeilua, jonka avulla voitte parantaa kuntanne tietoturvaa ilmaiseksi.
Olemme Team Rot. Tietoturva on intohimomme ja teemme teknisiä tietoturvatarkastuksia järjestelmiin ja laitteistoihin sekä vapaa-ajallamme että työksemme. Olemme osallistuneet lukuisiin haavoittuvuuspalkinto-ohjelmiin (engl. “Bug Bounty”) maailmanlaajuisesti ja tiimimme jäsenet ovat tunnettuja myös kansainvälisesti. Nyt haluamme parantaa tietoturvaa Suomen kunnissa ja tarjoamme yhdelle Suomen kunnalle työpanostamme – ilmaiseksi, jotta Suomi saadaan turvallisemmaksi.
Esimerkkejä tiimin tietoturva-aiheisista tuotoksista:
- Jarmon loistava raportti Blind XSS:stä LähiTapiolalle: https://hackerone.com/reports/159498
- Jarmon haastattelu Bugcrowd Bug Bounty alustalla: https://blog.bugcrowd.com/researcher-spotlight-putsi
- Jarkon artikkeli siitä miten valvontakamera otetaan haltuun: https://blog.rot.fi/2017/02/17/tp-link-tl-sc3171g-ip-camera-r00t/
- Iiron seminaariesitys Tesla Motorsin lähdekoodin saamisesta: https://www.youtube.com/watch?v=2a8EgCeBOzw
- Jaken artikkeli mobiililaitteen liikenteen kaappamisesta ja analysoinnista: https://blog.rot.fi/2017/02/07/decomposing-lan-security-with-scapy-and-burp-suite/
Team Rot tarjoutuu käyttämään 15h/henkilö/kohde kunnan järjestelmien teknisen tietoturvan tutkimiseen. Havaitut ongelmat raportoidaan kunnan määrittelemälle henkilölle, yleensä siis tietoturvasta vastaavalle. Tämän lisäksi Team Rot ilmoittaa havainnoista myös Viestintäviraston kyberturvallisuuskeskukselle, CERT-FI:lle joka avustaa tarvittaessa esimerkiksi koordinoinnin kanssa jos haavoittuvuus koskee kunnan ulkopuolisia organisaatioita tai vaikkapa ulkoiselta toimittajalta ostettua ohjelmistoa. Kun raportoidut havainnot on korjattu, niin Team Rot julkistaa niistä yhteenvedon. Yhteenveto käydään ennen julkistamista lävitse yhdessä kunnan kanssa ja sisällöstä poistetaan tarvittaessa esimerkiksi luottamukselliset tiedot.
Havaittujen haavoittuvuuksien kokonaismäärä voidaan julkaista ennen varsinaista ongelman korjaamista, mutta haavoittuvuuksien tarkempia tietoja ja osallistuvaa kuntaa ei julkaista vielä tässä vaiheessa.
Jotta tietoturvatarkastus olisi mahdollisimman sujuva ja reilu kummallekin osapuolelle, niin kunta voi määritellä itse halutun kohteen ja esimerkiksi rajata tietynlaiset testitapaukset pois tarkastuksesta. Team Rot kuitenkin suosittelee että kohteena olisi kaikki kunnan järjestelmät, jotka ovat saatavissa julkisessa verkossa. Näin ollen kunta hyötyy Team Rotin tekemästä työstä mahdollisimman paljon. Team Rot pyrkii olemaan aiheuttamatta minkäänlaista ongelmaa kohdejärjestelmän saatavuuden, eheyden ja luottamuksellisuuden kanssa testauksen aikana.
Mikäli kiinnostuit, ota yhteyttä niin sovitaan jatkosta ja muista mahdollisista velvoitteista.
Sähköpostilla: team@rot.fi
< Iiro Uusitalo
< Jarkko Vesiluoma
< Jarmo Puttonen
< Jake-Matti Lahtinen