Lauantaina 5.11. 16 000 suomalaisen nimet,



Samankaltaiset tiedostot
Hyvän salasanan tunnusmerkit Hyökkääjästä salasanan pitää näyttää satunnaiselta merkkijonolta. Hyvän salasanan luominen: Luo mahdollisimman pitkä

Näin salasanasi murretaan jopa muutamassa minuutissa ja se on yllättävän helppoa, sanoo asiantuntija

ILMOITUSSOVELLUS 4.1. Rahanpesun selvittelykeskus REKISTERÖINTIOHJE. SOVELLUS: 2014 UNODC, versio

Tietoturvavinkkejä pilvitallennuspalveluiden

Piippolan Metsästysyhdistys Ry Anttilantie 4 Rek.Nro Piippola

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

Käyttöohje Suomen Pankin DCS2-järjestelmään rekisteröityminen

AsioEduERP v12 - Tietoturvaparannukset

Tietokannan tietoturva. Heli Helskyaho Tietoturva-aamupäivä, Oracle House

KANSALAISOPISTON INTERNET-ILMOITTAUTUMISEN OHJEET TUNNUKSEN JA SALASANAN HANKKIMINEN

Wilman pikaopas huoltajille

1. JÄSENTIETOJEN PÄIVITYS

ARVI-järjestelmän ohje arvioinnin syöttäjälle

Tietosuojaseloste. Trimedia Oy

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

TIETOTURVAKATSAUS 1/

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

opiskelijan ohje - kirjautuminen

Ravintola Kalatorin tietosuojaseloste

ORGANISAATION KIRJAUTUMINEN TURVASIRU.FI-PALVELUUN

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Salasanat haltuun. Neuvoja salasanojen käyttöön ja hallintaan

JÄSENTIETOJEN PÄIVITTÄMINEN

KÄYTTÖOIKEUKSIEN LUONTI TUKISOVELLUKSESSA

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

1. ASIAKKAAN OHJEET Varauksen tekeminen Käyttäjätunnuksen luominen Varauksen peruminen... 4

Webkoulutus

ARVI-järjestelmän ohje arvioinnin syöttäjälle

Tässä ohjeessa kerrotaan, miten alkaen käyttöönotettavaan AIPAL aikuiskoulutuksen palautejärjestelmään myönnetään käyttöoikeuksia.

Tätä ohjekirjaa sovelletaan alkaen.

Ristijärven metsästysseura tysseura osti lisenssin jahtipaikat.fi verkkopalveluun, jotta seuran

Ajankohtaista tietoa LähiTapiolan verkkopalvelun pääkäyttäjille

PELAAJAPROFIILI Mobiilisovellus

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

F-Secure KEY salasanojenhallintaohjelman käyttöönotto Mac -laitteella

Fi-verkkotunnus yksilöllinen ja suomalainen

LUPAHANKKEET RAKENNUSVALVONNAN SAHKÖISESSÄ ASIOINTIPALVELUSSA

HUOLTAJAN OHJE TIETOJEN PÄIVITTÄMINEN

UUTTA. Hintaluokat. Hintaluokilla määritellään laituripaikkojen hinnat keskitetysti. Paikan hinta näkyy kaikkialla aina paikkatiedon ohessa.

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

TIETOTURVAOHJE ANDROID-LAITTEILLE

Salasanojen turvallinen tallentaminen KeePass ohjelmalla

KIRJAUTUMINEN JÄRJESTELMÄÄN ALOITUSSIVU. OMAT ASETUKSET Salasanan vaihto. VITANet KÄYTTÄJÄOPAS. Avaa VITANet osoitteessa

Emmi-sovelluksen kirjautumisohje

Arena-koulutus Sisäänkirjautuminen ja omat sivut. Noora Muurimäki Outi Syväniemi Leila Virta

1 JOHDANTO UUDEN ILMOITUKSEN LUOMINEN VALMIIN ILMOITUKSEN MUOKKAAMINEN YLEISTEKSTIEN KÄYTTÖ JA LUOMINEN...4

Käyttöohje. Ticket Inspector. Versio 1.0. Sportum Oy

UTIFLEET-VARAUSJÄRJESTELMÄ KÄYTTÄJÄN OHJE. Gospel Flight ry

Toimittajaportaalin rekisteröityminen Toimittajaportaalin sisäänkirjautuminen Laskun luonti Liitteen lisääminen laskulle Asiakkaiden hallinta Uuden

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto

IT-palvelujen ka yttö sa a nnö t

Tikon Ostolaskujenkäsittely versio SP1

OpenSSL Heartbleed-haavoittuvuus

OPISKELIJAN REKISTERÖITYMINEN JA TYÖTILA-AVAIMEN KÄYTTÖ. 1. Mitä kaikkea saan käyttööni samoilla tunnuksilla?

Ilmoitus saapuneesta turvasähköpostiviestistä

Wilman käyttöopas. huoltajille. > Wilma

Voit käyttää tunnuksiasi tilataksesi materiaaleja Sanoma Pron verkkokaupasta.

Open Badge -osaamismerkit

Android. Sähköpostin määritys. Tässä oppaassa kuvataan uuden sähköpostitilin käyttöönotto Android Ice Cream Sandwichissä.

Hosting-palveluiden tietoturvahaasteet. Antti Kiuru CERT-FI

JÄSENTIETOJEN PÄIVITTÄMINEN

1 (5) OPISKELIJAN KÄYTTÖLIITTYMÄ

Kymenlaakson Kyläportaali

Tietosuojakäytäntö Affordia Oy:ssä v

Sonera ID. huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi

LEGO Technic Rakenna digitaalisesti! Kilpailu yleiset määräykset ja ehdot

Pilvipalveluiden arvioinnin haasteet

Wilma-ohje huoltajille

Tätä ohjekirjaa sovelletaan alkaen. Ohjeeseen on lisätty tietoa avainversioista ja avainten vaihtamisesta

Lyseopaneeli 2.0. Käyttäjän opas

AVOIMEN MENETTELYN KILPAILUTUS

Lemonsoft SaaS -pilvipalvelu OHJEET

Send-It ilmoittautumisjärjestelmä (judotapahtumat Suomessa)

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

NEPTON JÄSENTIETO - PERUSVERSIO käyttöohjeet lyhyesti

Liitteenä on ohje järjestelmän käytöstä. Lasse Haverinen p Kaisa Korhonen p

Mobiilijäsenkortti. Mobiilikortin aktivointi

Käyttöohje. Visy Access Net UPM

Hyvä mobiilikortin käyttäjä!

JÄSENTIETOJEN PÄIVITTÄMINEN

OHJE 1 (14) Peruskoulun ensimmäiselle luokalle ilmoittautuminen Wilmassa

LoCCaM. LoCCaM Cam laitteiston ohjaaminen. Dimag Ky dimag.fi

Wilman huoltajatunnus. Tunnuksen tekeminen

TIETOSUOJASELOSTE Julkaistu

Päivitämme materiaalia säännöllisesti kesän ja syksyn 2017 aikana.

TIETOSUOJASELOSTEET. Lieksan Kehitys Oy LieKe

Kokoelmakilpailu Lomakeohje, Laji.fi-sarja 1. Rekisteröityminen

TENNISVARAUSJÄRJESTELMÄ. OHJEKIRJA v.1.0

F-Secure KEY salasanojenhallintaohjelman käyttöönotto PC -laitteella

Hyvä tietää ennen kuin aloitat

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

ohjeita kirjautumiseen ja käyttöön

Yliopistohaku.fi -palvelun Oma haku -palvelu

HRWeb työntekijöiden selainliittymä HRSuunti Net työvuorosuunnitteluun

ProTieto Oy. Verottajan ilmoitus. Käyttöohje alihankkijoille

JÄSENTIETOJEN PÄIVITTÄMINEN

Transkriptio:

Tietovuoto Näin tapahtui Suomen suurin tietovuoto Marraskuun aikana Suomessa tapahtui neljä vakavaa tietovuotoa. Vuotaneita tietoja voidaan käyttää rikollisiin tarkoituksiin. TEKSTI: OSSI JÄÄSKELÄINEN Eripituisten salasanojen vahvuudet Haktivistiryhmä Anonymous kertoo olevansa Suomen suurimpien tietovuotojen takana. Lauantaina 5.11. 16 000 suomalaisen nimet, osoitteet, sähköpostiosoitteet, puhelinnumerot ja henkilötunnukset vuotivat nettiin. Mukana oli esimerkiksi poliisin, tullin, verohallinnon ja ulkoasiainministeriön palveluksessa olevia henkilöitä. Kyseessä oli Suomen historian suurin henkilötietovuoto. Tiedot vuotivat erilaisia koulutuspalveluita tarjoavilta tahoilta kuten Itä-Suomen yliopiston avoimen yliopiston järjestelmistä, Suomen Opiskelija-allianssi Osku ry:ltä sekä Työtehoseuralta. Tiedot on saatu todennäköisesti jonkun ohjelmiston haavoittuvuutta hyväksikäyttäen tietomurron avulla. Seuraavana lauantaina 12.11. tietovuodot jatkuivat, kun 500 000 suomalaista sähköpostiosoitetta julkaistiin netissä. Sähköpostiosoitteet ovat peräisin ilmeisesti erilaisilta keskustelupalstoilta ja nettisivuilta. Kyseessä oli määrällisesti todennäköisesti Suomen suurin tietovuoto, vaikka sähköpostiosoitteiden lisäksi muita tietoja ei julkaistu. Myöhemmin samana iltana netissä julkaistiin myös 15 000 a-, n- ja o-alkuista salasanaa, joiden väitettiin liittyvän vuotaneisiin sähköpostiosoitteisiin. Väitettä ei ole vahvistettu, mutta lista vaikuttaa ainakin osin aidolta. Joukossa on selvästi suomalaisten salasanojen kaltaisia merkkijonoja, mutta myös lukuisia epätodennäköisempiäkin merkkijonoja. Keskiviikkona 16.11. tapahtui kolmas tietovuoto. Tällä kertaa netissä jaettiin 12 000 käyttäjätunnusta, salasanaa ja sähköpostiosoitetta. Tiedot olivat peräisin käytettyjen autojen kauppaan keskittyneestä Netcar.fi-palvelusta, josta tiedot varastettiin sql-injektiohyökkäyksen avulla tehdyn tietomurron kautta. Maanantaina 28.11. tapahtui vielä neljäs tietovuoto, kun netissä jaettiin 73 000 käyttäjätunnusta, salasanaa ja sähköpostiosoitetta. Tiedot vuotivat Helistin.fi-keskustelupalstalta, jonka käyttämän PhpBB2-keskustelupalstasovellukseen tuki ja tietoturvapäivitykset lopetettiin jo vuosia sitten. Samat tunnukset toimivat myös useissa muissa Terve Median palveluissa. Terve Median palveluita ovat Verkkoklinikka.fi, Tohtori.fi, Poliklinikka.fi, Terkkari.fi, Terve24. fi, Kimallus.fi, Huoltamo.com, Pudottajat.fi, Terverekry. fi, Mustapippuri.fi sekä Laakariportaali.fi. Pelkästään Lääkäriportaalilla on yli 15 000 käyttäjää eli 86 prosenttia suomalaisista lääkäreistä Salasanan murtamiseen kuluvan ajan suuruusluokka sivun 26 esimerkkilaitteistolla. Minuutti: salasanan pituus 6 merkkiä tai alle 20 MikroPC 12/2011 WWW.MIKROPC.NET

Miten suuren uhkan tietovuodot aiheuttavat? Osoitteen ja puhelinnumeron vuotaminen nettiin ei ole useimmissa tapauksissa vaarallista. Samat tiedot löytyvät esimerkiksi puhelinluettelosta tai numeropalvelusta. Listassa voi kuitenkin olla esimerkiksi viranomaisten salaisia yhteystietoja. Nettiin vuotanut jättimäinen sähköpostiosoitelista ei sekään uhkaa kenenkään tietoturvaa. Lista toki voi toimia osoitelähteenä roskapostittajille, mutta muuta konkreettista haittaa siitä tuskin on. Vasta jos sähköpostiosoitteisiin yhdistetään tieto siitä, mistä palvelusta tiedot on saatu, sekä sähköpostiosoitteisiin liitetyt tunnukset ja salasanat, lista voi olla vaarallinen. Sähköpostitunnusten tai -osoitteiden salasanoja ei siis ole julkistettu. Salasanat ovat peräisin niistä palveluista, mistä tiedot on saatu, kuten keskustelupalstoilta. Ellet käytä samaa salasanaa kaikkialla, sähköpostisi salasana on turvassa. Vuotaneet salasanat eivät siis yksinään ole uhka. Pelkällä salasanalla ei tee mitään vasta, kun salasana yhdistetään käyttäjätunnukseen tai sähköpostiosoitteeseen, tietoturva on vaarassa. Toistaiseksi ei ole julkaistu listaa, jossa jättivuodon yhteydessä mahdollisesti saadut salasanat yhdistettäisiin muihin tietoihin. Jos eri palveluissa on käytössä eri salasana, käyttäjätunnuksen ja salasanan yhdistävä lista ei sekään ole vielä vaarallinen, ellei listalla kerrota lisäksi, mihin verkkopalveluun käyttäjätunnus ja salasana käyvät, kuten esimerkiksi Netcar.fi- ja Helistin.fi-murtojen yhteydessä kävi. Tietovuodot olivat kuitenkin erittäin hyvä ja konkreettinen muistutus siitä, että samaa salasanaa ei missään nimessä kannata käyttää eri palveluissa, ja että salasanan kannattaa olla riittävän monimutkainen ja etenkin riittävän pitkä. Tietovuotojen takia etenkin tärkeiden palveluiden kuten sähköpostin, verkkokauppojen sekä maksupalveluiden kuten PayPalin salasanat on syytä vaihtaa turvallisempiin. Henkilötunnus: avain identiteettivarkauteen Henkilötunnus on vuotaneista tiedoista potentiaalisesti vaarallisin. Monessa palvelussa aina viranomaisten asiointipalveluita myöten henkilötunnusta käytetään ikään kuin salasanana. Oikean henkilötunnuksen kertomalla voi turhan usein vahvistaa olevansa kyseinen henkilö, vaikka käyttäjä pitäisi aina tunnistaa jollain muulla keinolla kuin pelkällä henkilötunnuksella. Henkilötunnuksen voi saada selville esimerkiksi julkisista asiakirjoista. Henkilötunnuksen ei pitäisi olla salassa pidettävää tietoa, eikä sen avulla pitäisi päästä tunnistautumaan palveluihin. Käytännössä pelkällä osoitetiedolla ja henkilötunnuksella voi esimerkiksi tilata internetistä tavaraa. Näin tietovuodon jälkeen tehtiinkin: poliisi tiedotti viikko henkilötietovuodon jälkeen, että vuotaneilla henkilötiedoilla on tilattu netistä tavaraa kymmenillä tuhansilla euroilla heti vuodon jälkeisinä päivinä. Jos oma henkilötunnus oli vuotaneiden tietojen joukossa, kannattaa esimerkiksi postia ja muita yhteydenottoja seurata tarkasti. Jos postiluukusta alkaa putoilla esimerkiksi osamaksutositteita, rikollinen on voinut käyttää henkilötietojasi tavaroiden tai palveluiden maksamiseen. Tällöin on otettava välittömästi yhteyttä poliisiin. Kuka on vastuussa, jos tietomurto tapahtuu? Periaatteessa vastuu on aina sillä taholla, joka ylläpitää esimerkiksi asiakas- tai henkilörekisteriä. Vastuukysymys on kuitenkin käytännössä hankalampi. Jos www-sivujen tekninen toteutus ja ylläpito on ostettu yritykseltä A, nettisivut ja tietokanta sijaitsevat fyysisesti yrityksen B palvelimella ja tietomurto tapahtuu yrityksen C valmistaman ohjelmiston kautta, on epäselvää, kuka lopulta on vastuussa. Etenkin, jos murto on kohdistunut esimerkiksi avoimeen lähdekoodiin perustuvaan ohjelmistoon. Tällöin ei edes ole olemassa ketään yksittäistä tahoa, joka olisi vastuussa. Vastuu jakaantuu moneen palaseen: sovelluskehittäjä on vastuussa tietoon tulleiden tietoturvareikien ja haavoittuvuuksien paikkaamisesta. Sivuston tekninen ylläpitäjä on vastuussa päivitysten asentamisesta. Ja palveluntarjoajan on omalta osaltaan pidettävä huolta, että palvelin ja esimerkiksi julkaisujärjestelmän taustalla olevat sovellukset kuten tietokantapalvelin sekä palvelimen käyttöjärjestelmä ovat ajan tasalla. Vastuullinen taho riippuu siis siitä, mitä kautta tai mihin järjestelmään tietomurto on tehty. Tietovuoto vai tietomurto? Tietomurto tarkoittaa sitä, että tietoihin on päästy käsiksi palveluksessa tai sovelluksessa olevaa tietoturva-aukkoa hyödyntäen. Tiedot on saatu murtautumalla palveluun, yleensä jo julkiseen tietoon tullutta mutta vielä paikkaamatonta haavoittuvuutta hyödyntäen. Tietomurron avulla saatuja tietoja ei välttämättä julkaista eli vuodeta esimerkiksi nettiin, vaan tietoja voidaan käyttää esimerkiksi identiteettivarkauksiin Tietovuoto voi tapahtua joko tietomurron seurauksena tai ilman tietomurtoa. Tiedot voivat vuotaa julkisuuteen esimerkiksi yrityksen tai organisaation sisältä henkilöltä, jolla on ollut pääsy kyseisiin tietoihin. Tietovuoto voi olla tahallinen tai tapahtua vahingossa. Tiedot vuotavat ilman tietomurtoakin Eikä tietovuotoja varten tarvita aina edes tietomurtoa. Tiedot voivat vuotaa esimerkiksi yrityksen työntekijän kautta ilman että järjestelmiin murtaudutaan. Uhria voidaan huijata lähettämään tiedot huijarille, tiedot voivat vuotaa vahingossa esimerkiksi väärin kirjoitetun sähköpostin vastaanottajan kautta tai työntekijä voi vuotaa tiedot tahallisesti, joko ilkivaltana tai taloudellisen hyödyn saamiseksi. 80 prosenttia tietovuodoista tulee yrityksen sisältä päin, arvioivat Tiedon johtaja Jyrki Oksala sekä Trusteqin kehitysjohtaja Jukka Lauhia Pilvipalvelut ja käytännön tietoturva -tapahtumassa marraskuun lopussa. Tilastot eivät tue väitettä täysin, ainakaan kansainvälisesti: tietovuotoja tilastoivan datalossdb.org-palvelun mukaan tänä vuonna tapahtuneista tietovuodoista 49 prosenttia tapahtui yritysten ulkopuolisten tekijöiden toimesta ja 42 prosenttia yrityksen työntekijöiden kautta. Lopuille tietovuodoille ei löytynyt varmaa selitystä. Etenkin yrityksen sisältä tapahtuvat tietovuodot eivät aina ole tarkoituksellisia, vaan johtuvat useammin työntekijän huolimattomuudesta kuin tahallisuudesta. Kuka siis korvaa, jos tietoja vuodetaan? Sieltähän ne sopimuksesta löytyy, Oksala toteaa. Korvauksia voi olla hankala saada. Vastuu on rajattu aika vahvasti, Lauhia varoittaa. Tunti: 7 merkkiä WWW.MIKROPC.NET MikroPC 12/2011 21

Tietovuoto GRAFIIKKA: KATJA REINA 1 PALVELUSTA LÖYDETÄÄN haavoittuvuus. Siitä kerrotaan tietoturva-asiantuntijoiden sähköpostilistoilla tai keskustelupalstoilla. Murtautuja saa tiedon haavoittuvuudesta samasta paikasta. Murtautujalla on yleensä tunteja tai päiviä aikaa ennen kuin tietoturva-aukko paikataan. Tietomurron anatomia 5 790 haavoittuvuutta sovelluksissa ja verkkopalveluissa vuonna 2011 (24.11. asti). LÄHDE: SecurityFocus 3 HYÖKKÄÄJÄ MURTAUTUJA EI HYÖKKÄÄ suoraan palvelimelle, vaan käyttää välissä tor-verkkoa tai Socks-välityspalvelinta. Tor-verkko kierrättää liikenteen useiden anonyymipalvelimien kautta. Uhri ei siis näe, mistä hyökkäys todellisuudessa tuli. Tekijää ei voida jäljittää. Viikko: 8 merkkiä 22 MikroPC 12/2011 WWW.MIKROPC.NET

TIETOMURROT, % YLLÄ- PITÄJÄN VIRHE 43 57 LÄHDE: The Web Application Security Consortium 2008 MITEN TIEDOT VUOTAVAT, % SQL-INJEKTION JA HAITTA- OHJELMAN YHDISTELMÄ 20 30 PALVELIMEN HUONO KONFIGUROINTI TIETOTURVA- TOT AUKKO K HAITTA- OHJELMA 40 SQL- INJEKTIO LÄHDE: UK Security Breach Investigations Report 20 NÄIN TIETOJA VARASTETAAN YRITYKSESSÄ, % TUNTEMATONTON SISÄLTÄ, TAHALLAAN 11 21 SISÄLTÄ, VAHINGOSSA LÄHDE: Datalossdb.org SISÄLTÄ, MOTIIVEISTA EI TIETOA 48 ULKOPUOLINEN TAHO 2 MURTAUTUJA TIETÄÄ, mikä ohjelmisto on haavoittuva, ja etsii Googlella sivustoja, joilla palvelu on käytössä. 4 5 TIETOTURVA-AUKON HYÖDYNTÄMISTÄ varten hyökkääjän on syötettävä palvelimelle omaa koodiaan. Tämä onnistuu yleensä esimerkiksi www-sivuilla olevan lomakkeen kautta, sillä lomakkeen kenttiin voi syöttää mitä haluaa. Kun lomakkeeseen syötetyt erikoismerkit aiheuttavat virhetilanteen, päädytään virheilmoitussivulle. Virheilmoitussivun osoitetta muokkaamalla järjestelmään voidaan syöttää koodia. Sopiva sovellus voi käydä automaattisesti läpi jopa satoja tuhansia variaatioita hyökkäyskoodista. 5 790 haavoittuvuutta sovelluksissa haav av oi ttuvuutta sovelluksissa ja verkkopalveluissa 2011 (24.11. mennessä) es sä) TOR-VERKON TOIMINTA KUN SOPIVA haittakoodi löytyy, päästään antamaan käskyjä sivuston takana olevalle tietokantapalvelimelle. Tietokantaa voidaan pyytää listaamaan esimerkiksi käyttäjätiedot. Nämä tiedot näkyvät nyt www-sivulla tekstimuodossa. Riippuu palvelusta, mitä tietoja sinne tallennetaan. Tietoja voivat olla esimerkiksi käyttäjätunnus, nimi, sähköpostiosoite, osoite, puhelinnumero, henkilötunnus, luottokortin numero ja salasana tai sen tarkistussumma. 6 HELISTIN.FI-KÄYTTÄJIEN SALASANAN PITUUS, % Salasanoja palvelussa yhteensä 73 173 kpl 12 9 MERKKIÄ 27 MERKKIÄ TAI YLI Yleisin 8 MERKKIÄ LÄHDE: Helistin.fi-palvelussa käytetyt salasanat 5 MERKKIÄ TAI ALLE 22 6 MERKKIÄ 19 7 MERKKIÄ SALASANOJEN TARKISTUSSUMMIA voi etsiä Googlen avulla tai niitä voi verrata etukäteen muodostettuihin rainbow table -taulukoihin. Salasanoja ei siis varsinaisesti murreta, vaan yleisimpien salasanojen sekä lyhyiden merkkijonojen tarkistussummat on laskettu etukäteen. Kun palvelusta on saatu liuta salasanojen tarkistussummia, katsotaan, löytyykö samoja tarkistussummia rainbow table -taulukoista. Jos löytyy, niin taulukosta saa selville selkokielisen salasanan. Uhri ei näe mistä hyökkäys tulee TARKISTUSSUMMA SELVÄKIELINEN SALASANA Liikenne kulkee salattuna verkossa PALVELIN JOHON HYÖKÄTÄÄN e7e941b1f09f266540c6780db51d5f58 salasana a33c882677b5a41625037f90ab30f4ea aurinko eadc3949ba59abbe56e057f20f883e 123456 Vuosi: 9 merkkiä WWW.MIKROPC.NET MikroPC 12/2011 23

Tietovuoto Vuotivatko salasanat todella? Suola on merkkijono, jonka järjestelmä lisää salasanaan ennen tarkistussumman laskemista. Se voi olla palvelukohtainen eli kaikille käyttäjille sama tai käyttäjäkohtainen. Suolan avulla pystytään estämään valmiiden tarkistussummataulukoiden käyttö salasanan purkamisessa. Käyttäjä ei voi vaikuttaa suolaan, vaan suolan käyttö riippuu järjestelmästä. Tiiviste tai tarkistussumma on salasanasta yksisuuntaisella matemaattisella menetelmällä muodostettava merkkijono. Sanan kissa tarkistussumma on 1ad99cbe9e425d4f- 19c53a29d4f12597, ja tarkistussummasta ei voi laskea takaisin, mikä salasana todellisuudessa on. Verkossa on kuitenkin lukuisia sivustoja, joille on laskettu valmiiksi lyhyiden merkkijonojen siis huonojen salasanojen tarkistussummat. Vertaamalla tietomurron avulla saatuja tarkistussummia netistä löytyviin on erittäin helppo saada salasanat selville, jos tiivisteissä ei ole käytetty suolaa. Md5, sha-1 ja sha-2 ovat erilaisia tapoja laskea tarkistussumma. Md5 on näistä yksinkertaisin ja nopeimmin laskettavissa, sha-1 hitaammin laskettava eli turvallisempi ja sha-2 kolmikosta turvallisin. Salasanan pituus sekä suolaaminen ovat tietoturvan kannalta tarkistussummametodia tärkeämpiä tekijöitä. HAKTIVISTIRYHMÄ Anonymouksen Suomen-osasto Anonymous Finland väittää olevansa vastuussa sekä henkilötietovuodosta että 500 000 vuotaneesta sähköpostiosoitteesta. Netcar. fi- ja Helistin.fi-vuotojen taustalla taas olivat ilmeisesti yksittäiset henkilöt, jotka eivät ole osa Anonymousta. MikroPC haastatteli hakkeriaktivistien puhemieheksi esittäytynyttä henkilöä. Hänen mukaansa ryhmä olisi saanut haltuunsa sähköpostivuodon yhteydessä myös noin 490 000 salasanaa, joista 20 30 prosenttia olisi tallennettu niin sanottuina suolattuina tarkistussummina, osa suolaamattomina sha-1-tiivisteinä ja osa selväkielisinä. Puhemiehen mukaan sähköpostiosoitteet olisi saatu suurimmaksi osaksi PHP-Fusion-, PhpBB3- ja vbulletin-järjestelmiä käyttäviltä sivustoilta. PhpBB3 ja vbulletin ovat keskustelupalsta-alustoja, PHP-Fusion laajempi sisällönhallintajärjestelmä, jossa on myös keskustelupalsta. PhpBB3:ssa ja vbulletinissa salasanat tallennetaan käyttäjäkohtaisesti suolattuina md5-tarkistussummina, PHP-Fusion-järjestelmässä oletusarvoisesti käyttäjäkohtaisesti suolattuna sha-2-tiivisteenä. ANONYMOUS-EDUSTAJAN puheista sekä alustojen teknisistä toteutuksista voi vetää sen johtopäätöksen, että salasanoja tai niiden tarkistussummia ei välttämättä ole saatu todellisuudessa haltuun: kyseiset järjestelmät eivät tallenna salasanoja siinä muodossa, missä Anonymous-edustaja väitti. Ja vaikka salasanatiivisteet olisivat vuotaneet, niitä ei saa kovin helpolla selväkieliseksi. Vain jos salasanat olisi tallennettu suolaamatta tai staattisella, palvelukohtaisella suolalla, salasanat voisi selvittää järjellisessä ajassa. SALASANOJEN tarkistussummat lasketaan nykyään nopeimmin näytönohjainten avulla. Esimerkiksi kahdeksalla tehokkaalla Radeon HD 6970 -näytönohjaimella varustettu reilun 3 000 euron hintainen teho-pc laskee oclhashcat-plus-sovelluksen avulla parhaimmillaan 26 miljardia md5-tiivistettä tai 12 miljardia sha-1- tiivistettä sekunnissa. Jos salasanassa on isoja ja pieniä kirjaimia, numeroita sekä erikoismerkkejä (40 yleisintä erikoismerkkiä), kaikki kahdeksan merkkiä pitkät md5-tarkistussummina tallennetut salasanat on murrettu nopeimmillaan reilussa viikossa. Yhdeksänmerkkisten salasanojen murtoon menee jo noin 2,5 vuotta, kymmenmerkkisten yli 250 vuotta. Toki tuhannen yhtä tehokkaan laitteiston hajautetulla rinnakkaislaskennalla 9-merkkiset murtuisivat jo päivässä. Näin järeitä murtofarmeja kotikäyttäjiltä tuskin kuitenkaan löytyy. Ja koska salasanat ovat näissä järjestelmissä käyttäjäkohtaisesti suolattuja, sama urakka pitäisi käydä läpi yksitellen jokaiselle käyttäjätunnukselle. SEN SIJAAN JOS TIEDOT ovat vuotaneet sellaisista järjestelmistä, jotka tallensivat salasanat yksinkertaisina md5-tarkistussummina, etenkin helpot ja lyhyet salasanat selviävät todella helposti esilaskettujen rainbow table -murtotaulukoiden avulla. Esimerkiksi Phpbb-keskustelupalstan vanhempi 2-versio tallentaa salasanat yksinkertaisina md5-tarkistussummina. Yksinkertainen md5-tarkistussumma on kaikkein helpommin murret tavissa, mutta mitä pidempi salasana on, sitä kauemmin sen murtaminen kestää. Lyhyen mutta monimutkaisen salasanan s ijaan käytettävä pidempi mutta helpommin muistettava salalause on todellisuudessa paljon turvallisempi. 0 vuotta: merkkiä 24 MikroPC 12/2011 WWW.MIKROPC.NET

Salasanan pituus, merkkiä Salasana 8 9 11 sisältää a-ö sekunteja minuutteja tunteja päiviä a-ö, A-Ö tunteja päiviä kuukausia kymmeniä vuosia a-ö, A-Ö, 0-9 tunteja päiviä vuosia satoja vuosia a-ö, A-Ö, 0-9, erikoismerkit tunteja päiviä satoja vuosia Murtoaika Käytännön esimerkki kymmeniä tuhansia vuosia SALASANAN KISSA md5-tarkistussumma on 1ad99cbe9e425d4f19c53a29d4f12597. Tarkistussumman googlaamalla salasana paljastuu. Kun salasanaan lisätään suola, esimerkiksi #www.keskustelupalsta.fi$, suolattu salasana on #www.keskustelupalsta.fi$kissa ja sen md5-tiiviste a29258ac806f5f15433c5393c8c09b3e. Tätä tiivistettä ei löydä valmiista taulukoista tai netistä. JOS SUOLA ON KAIKILLE käyttäjätunnuksille sama, murtotaulukko on helppo luoda laskemalla tarkistussummat kaikille merkkijonoille välillä #www.keskustelupalsta.fi$a #www.keskustelupalsta.fi$öööööööö. Aikaa tähän menee tehokkaalla laitteistolla vain reilu viikko. Tämän jälkeen kaikki palvelussa käytetyt 8-merkkiset salasanat olisi saatu selville, oli käyttäjiä sitten 2 tai 2 000. JOS SUOLA ON KÄYTTÄJÄKOHTAINEN, tällöin käyttäjä1:n suola olisi esimerkiksi Zab+Oh1@, käyttäjä2:n 0oEa128# ja niin edelleen. Vaikka käyttäjät 1 ja 2 käyttäisivät samaa salasanaa, salasanan tarkistussumma olisi eri. Tällöin jokaisen käyttäjän salasana pitäisi murtaa erikseen, mikä on todella hidasta. Jos käyttäjiä on 2 000, kuluisi reilun viikon sijasta 2 000-kertainen aika eli lähes 50 vuotta kaikkien 8-merkkisten salasanojen murtamiseen. USEIMMAT NYKYAIKAISET palvelut tallentavat salasanat juuri käyttäjätunnuskohtaisella suolauksella. Jos käyttäjäkohtaisesti suolattujen salasanojen tarkistussummat vuotavat verkkoon, niiden murtaminen on hankalaa; jos salasana on riittävän monimutkainen, salasanan murtaminen on käytännössä mahdotonta ilman supertietokonetta tai muuta laajaa rinnakkaislaskentaa. Unohda salasana käytä salalausetta! HYVÄSSÄ salasanassa on sekaisin isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Esimerkiksi #s5k!h0x on hyvä salasana. Näin väitetään, mutta tämä ei pidä paikkaansa. Tällainen salasana on vaikea muistaa ja helppo murtaa! Käytännössä salasanan pituus määrittelee sen turvallisuuden. Jos salasanassa käytetään isoja ja pieniä kirjaimia, numeroita ja yleisimpiä erikoismerkkejä, jokainen lisämerkki karkeasti ottaen satakertaistaa murtamiseen kuluvan ajan. MITÄ PIDEMPI salasana, sitä todennäköisempää on, että sen tarkistussummaa ei löydy netistä. Myös isojen kirjaimien, numeroiden sekä erikoismerkkien käyttö tuo lisäturvaa. Salasanan pituus on kuitenkin enemmän turvaa tuova tekijä kuin salasanassa olevien erikoismerkkien määrä. Pitkän ja hankalan salasanan sijaan voi käyttää erikoismerkeillä ja numeroilla terästettyä salalausetta. Lause on helpompi muistaa kuin epämääräinen merkkijono. Salalause voi olla selväkielinen tai lyhenteitä käyttävä; KissaniNimiOnMisse<3 tai esimerkiksi jääkiekkofanilla Mm1995&2011!. SALALAUSETTA EI SAA käyttää sellaisenaan missään palvelussa, vaan siihen on aina lisättävä palvelukohtainen merkkijono, joka ei ole helposti arvattavissa. Jos näin ei tehdä, ja yksikin palvelu tallentaa salasanan selväkielisenä, yhden paljastuneen salasanan avulla salalause paljastuu. Esimerkiksi Mm1995&2011!- keskustelupalsta.fi - salalauseen paljastuttua on helppo arvata, että Gmailin salasana on Mm1995&2011!gmail.com SALALAUSEESEEN on siis lisättävä jokaiselle palvelulle yksilöllinen merkkijono, jota ei voi arvata palvelun nimen perusteella. Tämän merkkijonon voi huoletta kirjoittaa paperille, ja paperia voi huoletta kuljettaa mukaanaan vaikka lompakossa. Näin yksikään vuotanut salasana ei paljasta muiden palveluiden salasanoja eikä lompakossa mukana kulkeva paperi paljasta minkään palvelun salasanaa kokonaisuudessaan. Ja jos palvelukohtainen tunnus on esimerkiksi neljän kirjaimen mittainen, sen muistaminen on kuitenkin huomattavasti helpompaa kuin niin sanotun hyvän salasanan kuten #s5k!h0x :n muistaminen. Ja siinä missä #s5k!h0x murtuu viikossa, 12-merkkisen salalauseen kuten Mm1995&2011! :n murtamiseen kuluisi aikaa kolme miljoonaa vuotta tai miljoonalta tehokoneeltakin kolme vuotta. 000 vuotta: 11 merkkiä WWW.MIKROPC.NET MikroPC 12/2011 25

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute