Telia Security Operations Center lähettämä sähköpostiviesti

Välttämättä kyseessä ei ole tietokoneesi vaan mahdollisesti murrettu modeemisi tai joku muu laite.

Ainakin modeemille heti:

• Tehdasasetusten nollaus
• Käyttäjätunnuksen salasanan vaihto
• Jos löytyy päivitys, päivitä uusimpaan versioon

Näihin löytyy ohjeita valmistajan oppaasta miten tapahtuu. Jos ei löydy tietotaitoa, käänny ammattilaisen puoleen. 

Ja sähköpostin luotettavuuden näet siitä että on lähetetty @telia.fi osoitteesta luultavasti. Mutta täälä ei käsitellä tarkemmin tietojasi joten sinun tulee olla asiakaspalveluun yhteydessä. 

Hei,

Jokin liittymän takana oleva laite on saastunut ja tekee porttiskannausta julkiseen verkkoon. Jos liittymässä on käytössä reititin tai modeemi reitittävässä tilassa niin mahdoton sanoa että mikä saastunut laite on. Kuten @olkitu sanoi, niin syyllinen voi olla modeemi/reititin ja siinä oli hyvät ohjeet mitä laitteelle kannattaa tehdä. Edellä mainittujen lisäksi syyllinen voi olla myös jokin muu verkkoon kytketty laite, ip-kamera, digiboksi, verkkokovalevy yms. Jos tietokone on saastunut niin virustorjunnat eivät monesti löydä mitään vaan ainoa keino puhdistaa kone on käyttöjärjestelmän uudelleen asennus.

Jos liittymä on jo suljettu niin se voidaan aukaista Häiriöilmoitusten toimesta kunhan saastunut laite on puhdistettu tai poistettu verkosta. Jos liittymä on edelleen auki mutta haittaliikenne jatkuu niin tulee liittymä menemään sulkuun. Niin kauan kun haittaohjelma liittymässä on niin ei ole turvallista hoitaa asioita netissä kuten verkkopankki maksut ym.

Edit HannaSu: lisätty käyttäjän tägäys

Ja noistahan kannattaa olla meihin yhteydessä jo vähänkin epäilyttää että onko viesti oikea vai jotain roskapostia. Tuohon viestiin ei muuten tarvitse vastata milläänlailla.

Tähän liittyen toivon että telia  tekee mahdolliseksi  kaudesta 2018-  lähtien     liiga pelien katsomisen myös   tavalisella tietokoneella  netin kautta minkätahansa   operaattorin netillä

 meinaan nää  telkkarien netit  on aika tietoturvattomia  kun niissä ei ole oikeen mitään suojausta

---

@MMALINEN kirjoitti:

Tähän liittyen toivon että telia  tekee mahdolliseksi  kaudesta 2018-  lähtien     liiga pelien katsomisen myös   tavalisella tietokoneella  netin kautta minkätahansa   operaattorin netillä

 meinaan nää  telkkarien netit  on aika tietoturvattomia  kun niissä ei ole oikeen mitään suojausta

---

Telia TV:n käyttö onkin jo nyt mahdollista tietokoneella, puhelimella ja tabletilla minkä tahansa operaattorin netillä, eli sitä ei nytkään ole sidottu vain meidän netille mahdolliseksi. Lisäinfoa täältä. :)

---

@Ani576@  kirjoitti:

Hei,

 

Tuli tämmöinen sähköposti. Mikä tämmöinen on ja onko oikea viesti? Mitä pitäisi tehdä? Tietokoneet on ainakin skannattu viruksien varalta.

 

 

Hei,

tämä osoite on annettu meille kontaktiosoitteeksi koskien liittymää

*id numero* (*nimi sensuroitu*)
*osoite sensuroitu*

Olemme havainneet IP-osoitteen [*ip poistettu*] takana olevan koneen tai laitteen skannaavan Internetin osoitteita läpi. Toiminnalla pyritään yleensä löytämään ja saastuttamaan verkossa olevia muita haavoittuvia koneita ja laitteita, jolloin koneenne on todennäköisesti myös itse saastunut jollakin haittaohjelmalla. Vaihtoehtoisesti ko. koneeseen/laitteeseen on asennettu jonkinlainen verkkoa tutkiva ohjelmisto ja sen asetukset ovat väärin.

Viimeisimmät osoitetta koskevat raportit:

2017-08-06T16:00:00+03:00       Network scan, 1721 hosts, ports: ICMP:Unreachable port  [*ip poistettu*]
2017-08-06T17:00:00+03:00       Network scan, 999 hosts, ports: ICMP:Unreachable port   [*ip poistettu*]
2017-08-06T18:00:01+03:00       Network scan, 1001 hosts, ports: ICMP:Unreachable port, SrcPort: 63372  [*ip poistettu*]
2017-08-06T19:00:02+03:00       Network scan, 1000 hosts, ports: ICMP:Unreachable port  [*ip poistettu*]
2017-08-06T19:59:56+03:00       Network scan, 999 hosts, ports: ICMP:Unreachable port   [*ip poistettu*]
2017-08-06T20:47:27+03:00       Network scan, 790 hosts, ports: ICMP:Unreachable port   [*ip poistettu*]
2017-08-06T22:00:02+03:00       Network scan, 912 hosts, ports: ICMP:Unreachable port   [*ip poistettu*]
2017-08-06T23:00:00+03:00       Network scan, 1182 hosts, ports: ICMP:Unreachable port  [*ip poistettu*]
2017-08-07T00:00:02+03:00       Network scan, 1000 hosts, ports: ICMP:Unreachable port  [*ip poistettu*]
2017-08-07T01:00:02+03:00       Network scan, 1000 hosts, ports: ICMP:Unreachable port  [*ip poistettu*]
2017-08-07T01:59:55+03:00       Network scan, 998 hosts, ports: ICMP:Unreachable port   [*ip poistettu*]
2017-08-07T03:00:02+03:00       Network scan, 1003 hosts, ports: ICMP:Unreachable port, SrcPort: 51679  [*ip poistettu*]
2017-08-07T04:00:03+03:00       Network scan, 999 hosts, ports: ICMP:Unreachable port   [*ip poistettu*]
2017-08-07T04:59:55+03:00       Network scan, 999 hosts, ports: ICMP:Unreachable port, SrcPort: 51679   [*ip poistettu*]
2017-08-07T05:13:25+03:00       Network scan, 224 hosts, ports: ICMP:Unreachable port   [*ip poistettu*]
2017-08-07T12:00:00+03:00       Network scan, 1134 hosts, ports: ICMP:Unreachable port  [*ip poistettu*]
2017-08-07T12:59:56+03:00       Network scan, 999 hosts, ports: ICMP:Unreachable port   [*ip poistettu*]
2017-08-07T13:59:54+03:00       Network scan, 356 hosts, ports: ICMP:Unreachable port, ICMP:Unreachable host    [*ip poistettu*]

Ryhtykää välittömästi toimiin, jotta saastunut kone/laite saadaan irrotettua verkosta mahdollisimman pian. Useimmissa tapauksissa saastuneet koneet tulisi asentaa täydellisesti uudelleen.

Saatte tarvittaessa lisätietoja vastaamalla tähän viestiin. Säilyttäkää tällöin otsikossa olevat ID-numerot.

Mikäli haluatte, että lähetämme jatkossa tämänkaltaiset tietoturvailmoitukset eri tai vain tiettyyn osoitteeseen, ilmoitattehan meille uuden osoitteen vastaamalla tähän viestiin. Olisi parempi, ettei osoite olisi henkilösidonnainen (eli mieluummin tietoturva@yritys.fi kuin etunimi.sukunimi@yritys.fi).


Parhain terveisin,

--
Security Operations Center
Telia Company
telia.fi

Telian tarjoamat tietoturvapalvelut yrityksille:
https://www.telia.fi/yrityksille/tuotteet/tietoliikenne/tietoturvapalvelut/kaikki-ratkaisut

 

---

Minulle sen sijaan ruli tälläinen viesti

Hei,

tämä osoite on annettu meille kontaktiosoitteeksi koskien liittymää

Olemme havainneet IP-osoitteen takana olevan koneen tai laitteen skannaavan Internetin osoitteita läpi. Toiminnalla pyritään yleensä löytämään ja saastuttamaan verkossa olevia muita haavoittuvia koneita ja laitteita, jolloin koneenne on todennäköisesti myös itse saastunut jollakin haittaohjelmalla. Vaihtoehtoisesti ko. koneeseen/laitteeseen on asennettu jonkinlainen verkkoa tutkiva ohjelmisto ja sen asetukset ovat väärin.

Viimeisimmät osoitetta koskevat raportit:

2018-04-09T09:54:59+03:00       Network scan, 1122 hosts, ports: TCP:80, SrcPort: 48139
2018-04-09T10:54:48+03:00       Network scan, 997 hosts, ports: TCP:80, SrcPort: 45900
2018-04-09T12:00:58+03:00       Network scan, 1103 hosts, ports: TCP:80, SrcPort: 58529
2018-04-09T12:42:58+03:00       Network scan, 700 hosts, ports: TCP:80, SrcPort: 41960
2018-04-09T13:48:58+03:00       Network scan, 892 hosts, ports: TCP:8080, SrcPort: 52314
2018-04-09T15:00:01+03:00       Network scan, 1104 hosts, ports: TCP:8080, SrcPort: 53513

Ryhtykää välittömästi toimiin, jotta saastunut kone/laite saadaan irrotettua verkosta mahdollisimman pian. Useimmissa tapauksissa saastuneet koneet tulisi asentaa täydellisesti uudelleen.

Saatte tarvittaessa lisätietoja vastaamalla tähän viestiin. Säilyttäkää tällöin otsikossa olevat ID-numerot.

Mikäli haluatte, että lähetämme jatkossa tämänkaltaiset tietoturvailmoitukset eri tai vain tiettyyn osoitteeseen, ilmoitattehan meille uuden osoitteen vastaamalla tähän viestiin. Olisi parempi, ettei osoite olisi henkilösidonnainen (eli mieluummin tietoturva@yritys.fi kuin etunimi.sukunimi@yritys.fi).


Parhain terveisin
---
Security Operation Center
Telia Company
telia.fi

Telian tarjoamat tietoturvapalvelut yrityksille:
https://www.telia.fi/yrityksille/tuotteet/tietoliikenne/tietoturvapalvelut/kaikki-ratkaisut

Tutkin tilanteen ja nuo ajat täsmäsivät siihen, milloin olin avannut Firefox-selaimen jossa nimulla on kieltämättä satoja tabeja auki ja ikkunoitakin kymmenkunta joka on kieltämättä laiskaa käyttöä ja muistiakin kulöee Firefoxiin runsaasti, mutta sitä minulla on runsaasti. Yarkistuykseni lopputulos oli kuitenkin se, että mitään epänormaalia en tilanteessa havainnut. Mikään kotikonje ei olluit saastunut. Ei myöskään adsl-modeemi. Tämän tatkitin mrtg-ohjelmalla joka mittaa todellista nettiliikenteen käyttöä. Käyttömääräni on vuositasolla 0.8% eli siis 8 promillea liittymän kapasiteetista elöi todella maltillista. Nimettönän abuse-senkilön väitteet eivät voi pitää paikkaansa. Liittymäni ei voi tukkia nettiä eikä liittymää. Jos Telian edustaja väittää liittymäni tukkivan nettiä, niin hänen olisi vähimmäisvaatimuksena esitettävä jokin todista eli tilasto siitä, mutta tätä ei ole esitetty. Arvatenkin siksi että sitä ei voida esittää koska liittymäni ei oikeasti tuki mitään, mutta Firefoxin käynnistyessä lataa satojen sivujen tiedot lyhyessä ajassa koska tabeja on niin paljon auki, mutta tuo tietpliikennemäärä on hyvin pientä, vaikka http-liikenteen määrä eri soitteisiin voikin kiinnittää ammattitaidottoman ja tilanteen tulkintaan kykenemättömän henkilön huomion. Jos taustalla on edes ihminen. Sillä voihan Telialla toiminnan tgaustalla olla väärin säädetty ohjelmakin, joka ei osaa tulkita tilanteita oikein. Oma viestinihän oli täsmälleen saman muotoinen kuin tuon toisen viestin viesti. Telialla siis näyttää jokin automaattiohjelma jakelevan näitä viestejä ja ihmisiä ei ole töissä.

Asian varmistamiseksi asensin vielä ntop-ohjelman reitittimenä toimivaan koneeseen. Kun katsotte Googlaatte ntop-ohjelmaa huomaatte että se tulostaa erittäin monipuolisesti netin käytön eri osa-alueet ja sillä samoin pystyy havaitsemaan epänormaalin toiminnan. Epoänormaalia ei löytynyt. Samoin jos Googlaatte mrtg huomaatte että se seuraa nettiliikienteen määrää hyvin monipuolisesti. Minulla nrtg ottaa käyttötiedot suioraan adsl-modeemista, joten sekään ei ole voinut saastua. Asetukset modeemissa ovat turvalliset eli salasana on riittävän piutkä ja nettikirjautunen ei ole mahdollista. Samoin modeemi toimii palomuurina korkeimmilla asetuksilla ja kodin sisäverkko on natattu eli ulkoapäin ei pysty kotoverkon koneisiin ottamaan yhteyttä millään keinoin. Pelkästään kotiverkosta päin pystyy ottamaan yhteyttä ulospäin.

Tämän kaiken kerroin vastausviuestissä abuse-henkilölle joka ei missään vaiheessa kertonut nimeään eikä yhteystietojaan. Hän ei myöskään lukenut viestejäni tai ei ymmärtänyt niitä, sillä hän ei missään vaiheessa todentanut millään tilastoilla sitä, että liittymäni muka tukkisi nettiä. Pari nimetöntä viestiä tuli abuse-henkilöltä ja lopulta liittymäni suljettiin varoittamatta.

Arvaatte mitä haittaa koko perheelle tulee kun nykypäivänä netti lakkaa varoittamattatoimasta. Koko elämämme ja asiointimmehan on netissä nykyisin. Netti on siis ihmisen perustarve nylyisin. Elämä ilman sitä on käytännössä jos ei mahdotonta niin hyvin hankalaa.

Terlian nimetön ja mielivaltanen toiminta väärin tulkitun asikkaan nettiliikenteen skannaustiedon perusteella on pöyristyttävää ja varmasti jokaisen tämän viestin lukevan mielestä täysin ammattitaidotonta ja asiakasta aliavioivaa. Minullekin tuli saari taloudellinenkin menetys Telian huonon ja ammattitaidottoman toiminnan takia. Oletteko samaa vai eri mieltä?

Pyysin prosessin monessa vaiheessa yhteydenottoa mutta sitä ei ole kuulunut tähänkään päivään mennessä. En ole siis voinut keskulella kenenkään Telian organisaatiossa olevan ihmisen kanssa tilanteesta.

Ymmärrätte että nimimerkkini syy on erittäin selkeä. Telian palveluita en voi suositella kenellekään. Netin voi ostaa myös luotettavalta toimijalta. Näin minäkin olen joutunut tekemään.

Kaiken taustalla voi olla myös Telian aggressivinen turhien palveluiden myynti. Eli jonkin johtajan myyntikäyrä on ollut laskussa . Mutta tälläisesta toiminnasta myyntikäyrä ei voi nousta. Vai oletteko eri mieltä?

Hei @EntinenAsiakas 

Nuita viestejä ei lähetellä huvikseen ja kyllä meidän asiakasturvallisuus tiimissä on ihan ihmiset töissä 

Jos hieman avataan tekniikkaa tuon taustalta että millä haitaliikkenne tunnistetaan. Elikkä jos sinun liittymästä tuleva liikenne reitittyy perille olemassa oleviin osoitteisiin internetissä niin se ei hälytä kelloja ja oletuksena kun avaat nettisivuja, isonkin määrän kerralla niin vastapäässä on palvelin mihin liikenne menee. Eli ei ongelmaa. Mutta jos liittymän liikenne ohjautuu käyttämöttömiiin osoitteisiin eikä mene perille minnekkään niin sitten se tunnistuu skannaukseksi. 

Esimerkiksi tuo sähköpostin ensimmäinen rivi: Network scan, 1122 hosts, ports: TCP:80, SrcPort: 48139. 1122 uniikkia verkosta löytymätöntä ip:tä on skannattu tcp protokollalla porttia 80 portista 48139.

Sulut hoitaa aina ihminen, ei automatiikka ja ongelmasta pyritään tiedottamaan asiakasta ennen kuin liittymä suljetaan, kuten tämä sinun saamasi viesti mutta jos liikenne ei lopu niin silloin ei ole muuta vaihtoehtoa kuin sulkea liittymä, lain velvoitteesta ja verkon turvallisuuden takia. Kerroit että olet sähköposti keskustelua käynyt asian tiimoilta mutta onko tilanne siis kesken meidän asiakasturvallisuuden kanssa?

Itselle ei ole tullut vastaan, enkä ole kuullut tähän mennessä yhdestäkään tapauksesta jossa tilanne olisi tulkittu väärin asiakasturvallisuuden toimesta.

Edit HannaSu: lisätty käyttäjän tägi

Jeps, minulle tuli tämmöinen:

Onko tämä aito viesti? Tiedot ovat aika mitäänsanomattomia ja maksulliseen numeroon soittaminen tämän selvittämiseksi ei kyllä ole mitään hyvää palvelua, kun ei yhtään tiedä kuinka vakavasta asiasta on kyse. Myöskään parilla eri antiviruksella tehdyt haut eivät löytäneet mitään ainakaan tietokoneilta.

Edit HannaSu: poistettu sähköpostiosoite

UDP portti 51413 viittaa Transmission-nimiseen bittorrent-ohjelmaan, jolla ladataan ja jaellaan tiedostoja bittorrent-protokollaa käyttäen. Perinteisestihän näitä on käytetty hyvin laajasti "warettamiseen" eli mm. ilmaisen musiikin, elokuvien, pelien yms. laittomaan lataamiseen ja jakamiseen. Jos omasta perheestä ei löydy "syyllistä" torrentin käytölle, niin ei kai teillä ole vaan avointa wifiä (wlania) tai joku huono wlan tukiasema, jonka kautta joku aivan ulkopuolinen käyttäisi nettiliittymäänne?

MUTTA: torrent itsessäänhän EI OLE LAITON, ja sitä käytetään laajasti myös täysin laillisten jakeluiden, esim. monien Linux-asennusmedioiden jakamiseen! Eli nyt haluaisin selityksen, MIKSI joku on saanut tällaisia tietoturvahälyjä torrent-ohjelman käytöstä?

Joku aika sitten käytin itsekin torrenttia hetken, kun latasin nimenomaan Linuxin asennusimagen. Ainakaan vielä silloin ei tullut tällaista tietoturvahälyä, mutta nytkö sitten tulee vai? Tosin en käyttänyt transmissionia, vaan uTorrentia, koska halusin sellaisen mitä ei tarvitse asentaa pysyvästi (tarve oli kertaluontoinen). Lataaminen sujui normaalisti (tosin vsata sen jälkeen kun poistin torrent-eston omasta palomuurista). Myös uTorrent muodostaa jopa tuhansia UDP-yhteyksiä toimiessaan ja tämä kuuluu bittorrent-protokollaan.

Mutta onko bittorrentin käyttäminen muuttunut kielletyksi Telian verkossa?

Muutenkin tällaiset ilmoitukset nostavat sellaisen kysymyksen että mennäänköhän tässä jopa yksityisyyden loukkaamisen puolelle? Operaattorillahan ei pitäisi olla oikeutta kytätä asiakkaan tietoliikennettä? Nyt kuitenkin tällaisten ilmoitusten näin on nimenomaan tehty! Mitähän mieltä tietoturvaviranomaiset ovat tällaisesta?

Vaikka ei olekaan (vielä) sattunut omalle kohdalle, niin nyt haluaisin kuulla kootut selitykset, että missä mennään? Koska teen myös työhommia käyttäen omaa nettiliittymääni, niin mitään vakoilua ei voida hyväksyä. Muutenkin tällainen kehityssuunta on erittäin huolestuttava. Koskakohan meikäläisen useamman teratavun backupeistakin alkaa tulla hälyjä?

---

Onko tämä aito viesti? Tiedot ovat aika mitäänsanomattomia ja maksulliseen numeroon soittaminen tämän selvittämiseksi ei kyllä ole mitään hyvää palvelua, kun ei yhtään tiedä kuinka vakavasta asiasta on kyse. Myöskään parilla eri antiviruksella tehdyt haut eivät löytäneet mitään ainakaan tietokoneilta.

---

@Hagakure48 viesti on ihan aito. Helppiin ei toki pakko ole soittaa, mutta muun muassa sieltä saa apua koneen puhdistamisen kanssa. 

---

@SINAD  kirjoitti:

UDP portti 51413 viittaa Transmission-nimiseen bittorrent-ohjelmaan, jolla ladataan ja jaellaan tiedostoja bittorrent-protokollaa käyttäen. Perinteisestihän näitä on käytetty hyvin laajasti "warettamiseen" eli mm. ilmaisen musiikin, elokuvien, pelien yms. laittomaan lataamiseen ja jakamiseen. Jos omasta perheestä ei löydy "syyllistä" torrentin käytölle, niin ei kai teillä ole vaan avointa wifiä (wlania) tai joku huono wlan tukiasema, jonka kautta joku aivan ulkopuolinen käyttäisi nettiliittymäänne?

 

MUTTA: torrent itsessäänhän EI OLE LAITON, ja sitä käytetään laajasti myös täysin laillisten jakeluiden, esim. monien Linux-asennusmedioiden jakamiseen! Eli nyt haluaisin selityksen, MIKSI joku on saanut tällaisia tietoturvahälyjä torrent-ohjelman käytöstä?

 

Joku aika sitten käytin itsekin torrenttia hetken, kun latasin nimenomaan Linuxin asennusimagen. Ainakaan vielä silloin ei tullut tällaista tietoturvahälyä, mutta nytkö sitten tulee vai? Tosin en käyttänyt transmissionia, vaan uTorrentia, koska halusin sellaisen mitä ei tarvitse asentaa pysyvästi (tarve oli kertaluontoinen). Lataaminen sujui normaalisti (tosin vsata sen jälkeen kun poistin torrent-eston omasta palomuurista). Myös uTorrent muodostaa jopa tuhansia UDP-yhteyksiä toimiessaan ja tämä kuuluu bittorrent-protokollaan.

 

Mutta onko bittorrentin käyttäminen muuttunut kielletyksi Telian verkossa?

 

Muutenkin tällaiset ilmoitukset nostavat sellaisen kysymyksen että mennäänköhän tässä jopa yksityisyyden loukkaamisen puolelle? Operaattorillahan ei pitäisi olla oikeutta kytätä asiakkaan tietoliikennettä? Nyt kuitenkin tällaisten ilmoitusten näin on nimenomaan tehty! Mitähän mieltä tietoturvaviranomaiset ovat tällaisesta?

 

Vaikka ei olekaan (vielä) sattunut omalle kohdalle, niin nyt haluaisin kuulla kootut selitykset, että missä mennään? Koska teen myös työhommia käyttäen omaa nettiliittymääni, niin mitään vakoilua ei voida hyväksyä. Muutenkin tällainen kehityssuunta on erittäin huolestuttava. Koskakohan meikäläisen useamman teratavun backupeistakin alkaa tulla hälyjä?

---

@SINAD 

---

@HeikkiSul  kirjoitti:

Meille ilmoitetaan haitallisiksi luokiteltuihin kohteisiin kohdistuvasta liikenteestä eri tahoita (mm. Traficomin Kyberturvallisuuskeskukselta) Näiden ilmoitusten pohjalta olemme sitten yhteydessä asiakkaisiin. Meillä on myös sensoreita verkossa, jotka havaitsevat haitallista liikennettä asiakkaiden liittymistä, jotka kohdistuvat verkon käyttämättömiin osoitteisiin.

Sitä vain jäin tässä miettimään mitä @EntinenAsiakas tuolla kirjoitteli. Eli saatuaan tällaisen hälyviestin jonka juurisyynä oli runsaasti välilehtiä sisältävä selain oli hän käyttänyt runsaasti vapaa-aikaansa ongelman selvittelyyn löytämättä mistään mitään vikaa. Tämän raportoituaan Telia lyökin yhteydet kokonaan poikki täysin varoittamatta! Tarina ei näyttäisi kertovan, saattinko yhteyttä koskaan takaisin ja jos, niin miten? Ilmeisesti ei, koska nimimerkki Entinen asiakas...

Eli onkohan tuo tunnistusjärjetelmä nyt varmasti luoetttava? Selaimessa ei muuten tarvitse olla montaakaan plugaria sennettuna että se avaa jopa kymmeniä yhteyksiä käynnistyksen yhteydessä, ei toki käyttämättömiin osoitteisiin mutta kuitenkin. Mutta totta kai on olemassa myös sovelluksia, jotka yrittävät yhteyksiä vanhoihin/käyttämättömiin osoitteisiin, tällaisia ovat esimerkiksi lukuisten eri kryptovaluuttojen vanhaksi päässeet QT-pohjaistet lompakot. Jos lompakkoa ei ole käytetty aikoihin, siellä on vanhentunut peers.dat, joka sisältää muiden käyttäjien lompakoiden IP-osoitteita. Tällöin se yrittää käynnistyvaiheessa turhaan yhteyttä näihin ja siitä voi seurata jopa kymmeniä yhteydenottoja käyttämättä jääneisiin IP-osoitteisiin. Tätä tapahtuu etenkin sellaisten pienempien kryptojen yhteydessä joiden lompakoita ei ole enää aikoihin päivitetty.

Varmaan muitakin P2P-tyyppisiä sovelluksia on, jotka pitkään käyttämättä olleen jakson jälkeen yrittävät etsiä edellisen käyttökerran mukaisia vertaisiaan (peers) siinä onnistumatta, kun osoitteet ovat vastapäässä jo muuttuneet.

---

@SINAD  kirjoitti:

---

---

Sitä vain jäin tässä miettimään mitä @EntinenAsiakas tuolla kirjoitteli. Eli saatuaan tällaisen hälyviestin jonka juurisyynä oli runsaasti välilehtiä sisältävä selain oli hän käyttänyt runsaasti vapaa-aikaansa ongelman selvittelyyn löytämättä mistään mitään vikaa. Tämän raportoituaan Telia lyökin yhteydet kokonaan poikki täysin varoittamatta! Tarina ei näyttäisi kertovan, saattinko yhteyttä koskaan takaisin ja jos, niin miten? Ilmeisesti ei, koska nimimerkki Entinen asiakas...

 

Eli onkohan tuo tunnistusjärjetelmä nyt varmasti luoetttava? Selaimessa ei muuten tarvitse olla montaakaan plugaria sennettuna että se avaa jopa kymmeniä yhteyksiä käynnistyksen yhteydessä, ei toki käyttämättömiin osoitteisiin mutta kuitenkin. Mutta totta kai on olemassa myös sovelluksia, jotka yrittävät yhteyksiä vanhoihin/käyttämättömiin osoitteisiin, tällaisia ovat esimerkiksi lukuisten eri kryptovaluuttojen vanhaksi päässeet QT-pohjaistet lompakot. Jos lompakkoa ei ole käytetty aikoihin, siellä on vanhentunut peers.dat, joka sisältää muiden käyttäjien lompakoiden IP-osoitteita. Tällöin se yrittää käynnistyvaiheessa turhaan yhteyttä näihin ja siitä voi seurata jopa kymmeniä yhteydenottoja käyttämättä jääneisiin IP-osoitteisiin. Tätä tapahtuu etenkin sellaisten pienempien kryptojen yhteydessä joiden lompakoita ei ole enää aikoihin päivitetty.

 

Varmaan muitakin P2P-tyyppisiä sovelluksia on, jotka pitkään käyttämättä olleen jakson jälkeen yrittävät etsiä edellisen käyttökerran mukaisia vertaisiaan (peers) siinä onnistumatta, kun osoitteet ovat vastapäässä jo muuttuneet.

---

Sensorimme tosiaan seuraa liikennettä IP-osoitteisiin, joille ei internetissä löydy reittiä eli eivät ole aktiivisessa käytössä. Se, että jonkin asiakkaan IP on vaihtunut eikä sieltä vastaa esim. verkkosivu, bitcoin lompakko tms. ei vielä tarkoita, että se joutuisi meidän sensorille. Tähän vaaditaan, että IP-osoitteen omistaja, kuten webbipalvelun tarjoaja tai toinen operaattori on kokonaan poistanut kyseisen IP-verkon käytöstä, sekä lopettanut niihin liikenteen reitittämisen omaan verkkoonsa.

Normaaleissa tilanteissa liikennettä tällaisiin osoitteisiin ei tapahdu suurissa määrissä, edes kun selainta käynnistetään. Toki palvelimia varmasti voi olla jotka eivät vastaa, jos tabeja on auki satoja, mutta näiden operaattorit tai palveluntarjoajat kyllä yleensä reitittävät osoitteet omaan verkkoonsa asti, eikä ne tällöin päädy sensorillemme.

@EntinenAsiakas  on viestissään antanut otteen saamastaan viestistä ja siitä voidaan tulkita, että tunnin aikajakson aikana hänen liittymästään on oltu yhteydessä ensin 1122 uniikkiin, käytöstä poissa olevaan IP-osoitteeseen ja heti seuraavan tunnin aikana vielä 997 uniikkin osoitteeseen jne.
Vaikka selaimessa olisi satoja välilehtiä auki, niin jokaisen näistä pitäisi yrittää liikennöidä useampaan uniikkiin olemattomaan IP-osoitteseen että tuollainen liikennemäärä olisi mahdollista. Eli kyseessä ei ole väärä hälytys.
Myöskään liittymää ei laiteta kiinni varoittamatta, vaan ensin siitä menee ilmoitus asiakkaalle. Mikäli haittaliikenne jatkuu tästä huolimatta niin sitten liittymä suljetaan.
Tämä on myös ihan Traficomin vaatimus verkkojen turvallisuuden takia.

Liikenteenseurannan toiminta on tarkistettu myös tietosuojan ja lakien mukaisiksi.

Jos hieman avataan toimintaanne, niin ongelma ei ole se, etteikö haittaliikennettä olisi, vaan se, että teidän toiminnallenne se ei tunnistaudu oikeaan asiakkaaseen ja siis teknisesti siihen laitteeseen, josta haittaliikenne on peräisin! Jokaisella laiktteella on on aina voimassa oleva IP-numero. Minun tapauksessani sain viimein listauksen liikenteestä, joka tosiaan voi olla porttiskannausta. Mutta kun sinä ajanjaksiona pääteleitteessani ei ole ollut listauksessa olevaa IP-osoitetta, joten se ei ollut peräisin minun päätelaitteeltani vaan jonkun toisen päätelaitteesta. Niinpooä niin, sulut hoitaa ihminen, ei automatiikka, mutta  tämän ihmisen nimi ei minulle ikinä selvinnyt, pelkästään nimimerkki. Kun lähetin viestin siitä, että listauksen haittaliikenne ei voi olla peräisin minun liittymästäni, ei tuo ihminen, eikä organisaatio yleensäkään vastannut millään lailla.

Mutta iso kuva kyllä syntyi eli organisaatiossa toimivalta ihmisiltä puuttuu ammattitaito ja itse organisaatiosta puuttuvat kirjatut toimintaperiaatteet miten toimitaan ja miten tolimintaa kehitetään jos kehitettävää on. Muita haittaliikenteestä syytettyjä neuvon aina vaatimaan listauksen havaitusta haittaliikenteestä ja tarkistamaan että se siinä listatut  IP-numerot vastaavat liittymän päätetelaiteeen käytössä ollutta IP-numeroa, ettei käy kuten minulla, että selvittelin turhaan mitä kotiverkkoni laitteet ovat puuhailleet kun en ole huomannut mitään erikoista. Erikoista ei tosiaan ollut minun kotiverkossani tapahtunut, vaan jonkun toisen.

Sitä en kiellä etteikö koneita voisi saastua. Kuitenkin edelleen kotiverkko on varsin hyvässä turvassa, jos pidät modeemisi NATtaavana etkä muuta sitä siltaavaksi. NATtaava tarkoittaa sitä, että kotiverkko on erotettu pahasta internetistä ja modeemisi on ainoa laite, jonka ulkomaailma nakee. Siltaavana taas kaikki kotiverkon tietokoneet saavat internetissä näkyvän IP-osoitteen eli näkyvät suoraan sinne, jolloin niihin kohdistuu suora virustamisen uhka. Minulla ei ole pariin vuosikymmeneen tullut tilannetta, jossa kotiverkko ei voisi olla nattaavan päätelaitteen takana ja yhtään todettua virusta ei ole kotiverkkoon uinut, vaikka kodissa on paljon netissä olevia laitteita. Ei, vaikka Telian TELIA SECURITY OPERATIONS CENTERissä nimimerkin takana toimiva oikea ihminen niin väitti! Toki virustorjunta on päällä ja päätelaitteissa tuore ohjelmisto.

Huomasin keskustelun vasta muutaman vuoden jälkeen. Ehkä ei tosiaan huvittanut keskustellakaan, koska tosiaan selvisi, että haittaliikenne ei tullut minun liittymästäni vaan joskun toisen ja Telia oli huolimattomasti selvittänyt kenestä asikkaasta oli kyse. Ja kun tämä selvisi, Telia tosiaan ei vastannut mitään, ei pyytänyt anteeksi, ei pahoitellut, vaan katosi. Virheitä sattuu kaikille, minullekin ja anteeksi pyytäminen on vaikeaa. Minullekin. Mutta elämä on opettanut että se kannattaa silti. Meillä ei ole maailmassa yhtään virheetöntä ihmistä, mutta on ihmisiä jotka oppivat virheistään. Jos minulta kysytään, en halua olla tekemisissä ihmisten kanssa, jotka eivät tee virheitä. Sellaisia ihmisiä kun ei voi olla olemassa, eli he valehtelevat. Haluan olla tekemisissä virheitä tehneiden ihmisten kanssa, varsinkin niiden, jotka kertovat mistä ne johtuivat ja mitä he niistä oppivat. Menee filosofiseksi, mutta minä en haluaisi, että elämässäni olisi jäänyt yksikään virhe tekemättä, ei vaikka jotkut hävettävät vieläkin. Niistä on minulle seurannut enemmän hyvää kuin pahaa. Että varokaa vaan, jos tapaamme livenä eikä netissä. Ei mene minun kanssani aina putkeen, ekalla kerralla. Mutta nettiyhteyteni ei ole edelleenkään Telialta. Toka kerta vaatisisi .... no kertokaa mitä se teidän mielestä vaatisi.

ensinnäkin palaute telialle: tällaisia viestejä ei saisi enää sähköpostilla lähetellä. sähköposti kuuluu museoon ja on ongelmallinen monelta kantilta, mm tietoturva, spammi, viestien yksityisyys, väärennökset ja huijausivestit. telialla on oma viestijärjestelmä jonne tällaiset tärkeät viestit voi lähettää, ja ainoastaan lähetetään pikkuviesti joko tekstiviestillä tai sähköpostilla että on viesti telian omissa järjestelmissä ilman linkkejä.

asiaan löyhästi liittyen. kun vielä oli adsl telialta (soneralta) monta vuotta sitten niin minun yksi koneista saastui ja rupesi tekemään ddos hyökkäyksiä (ei ollut muuten windows kone, vaan opensuse). sain sitä selvitellä kyllä. sonera ei kuitenkaan koskaan lähettänyt mitään raporttia asiasta. pistää miettimään toimiiko tuo telian valvonta järjestelmä.

---

@EntinenAsiakas  kirjoitti:

Jos hieman avataan toimintaanne, niin ongelma ei ole se, etteikö haittaliikennettä olisi, vaan se, että teidän toiminnallenne se ei tunnistaudu oikeaan asiakkaaseen ja siis teknisesti siihen laitteeseen, josta haittaliikenne on peräisin! Jokaisella laiktteella on on aina voimassa oleva IP-numero. Minun tapauksessani sain viimein listauksen liikenteestä, joka tosiaan voi olla porttiskannausta. Mutta kun sinä ajanjaksiona pääteleitteessani ei ole ollut listauksessa olevaa IP-osoitetta, joten se ei ollut peräisin minun päätelaitteeltani vaan jonkun toisen päätelaitteesta. 

---

Lisätään alkuun että en näe tarkemmin tietoja sinun tapauksestasi @EntinenAsiakas  ja kommentoin tästä yleisellä tasolla ja täällä esittettyjen tietojen valossa.

Se on totta että emme monesti pysty suoraan sanomaan että mikä päätelaite haitaliikennettä tekee, juuri tuosta mainitsemastasi NAT:sta johtuen.
Eli jos liittymällä on reititin ja NAT käytössä niin silloin näkyy että haittaliikenne tulee kyseiseltä liittymältä sen julkiselta IP:ltä, joka on reitittimen käytössä ja tämän MAC-osoitteelta, vaikka monesti syyllinen onkin jokin päätelaite tämän reitittimen takana.
Jos käytössä on siltaava laite ja kaikki päätelaitteet hakevat julkiset IP:t niin silloin näemme suoraan että mikä laite tähän on syyllinen.

Oma lukunsa on sitten väärässä osoitteessa olevat liittymät, ristiinkytkennät tm mutta näissa tosin ei myöskään väärän asiakkaan liittymä sulkeudu, jos tällainen on kyseessä, koska näitä tehdään nimenomaan liittymän näkökulmasta.
Mikään systeemi ei kuitenkaan aukoton ole ja pieni mahdollisuus väärille tulkinnoille on mahdollinen. Liittymän sulun jälkeen tilannetta seurataan että haittaliikennettä ei tule enää. Jos haittaliikenne jatkuu sulusta huolimatta niin tämä kertoo että jokin on mennyt pieleen, mutta normaalisti haittaliikenne lakkaa sulkuun.

---

@lasselusse  kirjoitti:

ensinnäkin palaute telialle: tällaisia viestejä ei saisi enää sähköpostilla lähetellä. sähköposti kuuluu museoon ja on ongelmallinen monelta kantilta, mm tietoturva, spammi, viestien yksityisyys, väärennökset ja huijausivestit. telialla on oma viestijärjestelmä jonne tällaiset tärkeät viestit voi lähettää, ja ainoastaan lähetetään pikkuviesti joko tekstiviestillä tai sähköpostilla että on viesti telian omissa järjestelmissä ilman linkkejä.

 

asiaan löyhästi liittyen. kun vielä oli adsl telialta (soneralta) monta vuotta sitten niin minun yksi koneista saastui ja rupesi tekemään ddos hyökkäyksiä (ei ollut muuten windows kone, vaan opensuse). sain sitä selvitellä kyllä. sonera ei kuitenkaan koskaan lähettänyt mitään raporttia asiasta. pistää miettimään toimiiko tuo telian valvonta järjestelmä.

---

Kiitos palautteesta. Tämä on myös meillä tiedostettu. Tällä hetkellä viestintää tehdään sähköpostilla ja tekstiviestillä.

Tässä sinun DDOS-tapauksessa tämän liikenteen ei kuulukkaan jäädä tuolle meidän sensorille mistä tässä ketjussa on puhuttu, koska tuossa liikenne on ollut kohdentunut käytössä olevalla IP:lle.
Jos muuta kautta tulee tieto että liittymä on osallistunut palvelunestohyökkäykseen tai että sen takana on haittaohjelmatartunta, niin olemme yhteydessä.

Mistähän minun kohdallani on kyse, koska kyseinen lähdeportti on porttiohjattu bittorrentia varten?

Onko oikea syy olettaa että tämä ei ole normaalia bittorrent-liikennettä?

###
Olemme saaneet tietoomme, että Internet-liittymäänne kytketty tietokone tai muu laite on saastunut haittaohjelmalla. Kaapattuja koneita ja laitteita käytetään yleensä käyttäjän vakoiluun ja tietoliikenteen häirintään.

Viimeisimmät liittymäänne koskevat raportit:

2021-09-07T03:16:51 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T04:03:20 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T05:22:50 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T07:29:22 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T08:31:28 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T09:55:45 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T14:59:16 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T15:47:23 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T17:17:14 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T21:25:56 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T22:07:50 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T23:57:38 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-08T00:55:53 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-08T02:39:22 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
###

Aina samat portit eikä yhteyksiä ole muodostettu kuin yksi kerrallaan.

Tuo lähdeportti on ohjattu vain yhdelle laitteelle ja bittorrent-client on aika varmasti tuon koko ajan ollut päällä, kun se yleensä on 24/7 päällä.

Mikään muu joka näkyy perus linux-työkaluille (netstat yms) ei koneella tuota porttia ainakaan aktiivisesti käytä enkä tcpdumpilla saanut tuota samaa esiintymään toistuvasti.

---

@langatonjohto  kirjoitti:

 

Mistähän minun kohdallani on kyse, koska kyseinen lähdeportti on porttiohjattu bittorrentia varten?

 

Onko oikea syy olettaa että tämä ei ole normaalia bittorrent-liikennettä?

 

###
Olemme saaneet tietoomme, että Internet-liittymäänne kytketty tietokone tai muu laite on saastunut haittaohjelmalla. Kaapattuja koneita ja laitteita käytetään yleensä käyttäjän vakoiluun ja tietoliikenteen häirintään.

Viimeisimmät liittymäänne koskevat raportit:

2021-09-07T03:16:51 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T04:03:20 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T05:22:50 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T07:29:22 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T08:31:28 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T09:55:45 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T14:59:16 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T15:47:23 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T17:17:14 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T21:25:56 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T22:07:50 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-07T23:57:38 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-08T00:55:53 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
2021-09-08T02:39:22 (GMT+3) 1 hosts, UDP:34555(100%), SrcPort: 55511 [IP]
###

 

Aina samat portit eikä yhteyksiä ole muodostettu kuin yksi kerrallaan.

 

Tuo lähdeportti on ohjattu vain yhdelle laitteelle ja bittorrent-client on aika varmasti tuon koko ajan ollut päällä, kun se yleensä on 24/7 päällä.

 

Mikään muu joka näkyy perus linux-työkaluille (netstat yms) ei koneella tuota porttia ainakaan aktiivisesti käytä enkä tcpdumpilla saanut tuota samaa esiintymään toistuvasti.

---

Kyseinen kohde-IP-osoite on tunnettu osallisuudestaan botnet-verkkojen hallintaan ja siksi tähän on todennäköisesti reagoitu.

No niin, eli torrenttien käyttäminen siis laukoo Telian tietoturvahälyjä suotta.. Jokohan tää olis todistettu? Varmaankin jotain tracker-palvelinta hostataan samalla serverillä missä on (ainakin joskus) pyörinyt joku botnettien keskuspurkki.

Jään jännityksellä seuraamaan, meneekö nyt myös @langatonjohto liittymä kiinni jos torrentin käyttöä jatkaa, koska missäänhän ei nyt ole oikeasti vikaa, mitä voisi korjata. Torrenttien käytön sallittavuushan keskusteltiin jo aiemmin.

On suurella todennäköisyydellä todistettu, seurasin liikennettä Telian ilmoittamaan haittaohjelman käyttämään IP:hen ja muihin ehdotetun haittaohjelman aiemmin käyttämiin, netistä kaivamiini IP-osoitteisiin viikon ajan ilman yhtään hälyä lokissa, nyt laitoin torrentin päälle kahdeksi tunniksi (ainoastaan laillisia torrent -filuja) ja häly tuli lokiin heti. 99% varmuudella kyseessä on jokin torrent-palvelin, jota haittaohjelma on ehkä ainakin joskus käyttänyt botnetin ohjailuun tms.

Eli seuraava steppi olisi Telian poistaa tämä turhia hälytyksiä aiheuttava IP sieltä blacklistoilta. Tässä on nyt tuotu esiin tapaus, jolla tavalla aikaansaadaan aiheeton hälytys. Eihän tuollaista voi pitää, etenkin jos se voi johtaa koko liittymän sulkemiseen.

Saamme tiedot komentopalvelimien osoitteista luotetuilta viranomaistahoilta, kuten kyberturvallisuuskeskukselta ja tietoturvayhteisöiltä.Toki virheitä voi sattua myös heille, joten mielellään otamme vastaan palautetta jos kyse on virheellisestä hälytyksestä.

Vastaamalla meidän lähettämiin sähköposteihin voidaan asiaa tutkia aina tarkemmin. Mitä enemmän käyttäjä voi tilannetta tarkentaa niin se aina auttaa meitäkin asian selvittelyssä. Mikäli virhe havaitaan, olemme yhteydessä tiedon tarjoajaan ja korjaamme automatiikkaa. Emme toki tällaisessa virhetilanteessa sulje liittymää.