Millainen on turvallinen salasana?

Yleisesti hyväksytty turvallisen salasanan resepti on seuraava:

  • Helppo muistaa
  • Vaikea arvata
  • Vähintään x merkkiä pitkä
  • Sisältää eri kokoisia kirjaimia, numeroita ja erikoismerkkejä
  • Ei löydy sanakirjasta
  • Eri joka järjestelmässä

Salasanan pituus on hieman kyseenalainen asia. Esimerkiksi ennen on pidetty riittävänä, että 8 merkkiä on tarpeeksi. Nykyään esimerkiksi cert-fi suosittelee, että se olisi vähintään 15 merkkiä. Toisin sanoen, kohta voidaan puhua yleisesti jo salalauseesta!

Salanan on oltava helposti muistettava

Mikäli salasana on liian vaikea, tarvitsee se usein palauttaa mieleen. Ihminen on yleisesti ottaen kuitenkin niin laiska, että jossain vaiheessa hän kuitenkin kirjoittaa sen esim lapulle.

Salasana ei saa olla arvattavissa

Perheenjäsenten, sukulaisten, kaverien ja lemmikkien nimet ovat huonoja salasanoja, koska ne on helppo arvata. Jos jonkun salasanaa pitäisi arvuutella, niin todennäköisesti arvuuttelu alkaisi em listan perusteella. Myös harrastukset ja muut kiinnostuksen kohteet ovat huonoja salasanoja sellaisenaan.

Salasanan pituudella on merkitystä

Nykyaikaiset tietokoneet ovat sen verran tehokkaita laskukoneita, että liian lyhyet salasanat pystytään aukaisemaan kohtuullisen pienellä vaivalla. Ideana tässä on se, että tietokone käy jokaisen vaihtoehdon läpi kunnes löytää oikean. Esimerkkinä kone voisi etsiä 3 merkkisestä salasanasta sitä oikeaa testaamalla ensin aaa, sitten aab, aac, aad ja niin edelleen. Mitä pitempi salasana, sitä enemmän vaihtoehtoja on käytävä läpi!

Kirjaimet, numerot ja erikoismerkit

Edelliseen esimerkkiin viitaten, mikäli käytössä on vain pieniä kirjaimia, riittää että kone testaa merkit a-ö. Jos käytössä on myös numerot, kasvaa lista taas merkeillä 0-9. Jos tähän otetaan vielä erikoismerkkejä !#%& jne, niin lista kasvaa edelleen. Pidemmän listan läpikäyminen kuluttaa enemmän aikaa.

Löytyy vai ei löydy sanakirjasta?

Jos koittaisit arvata jonkun salasanaa, niin yrittäisit varmaan tiettyjä sanoja tietyssä järjestyksessä? Sinulla olisi lista tietyistä sanoista, joita aiot kokeilla. Kuten sanottu, nykyaikaiset koneet ovat niin tehokkaita, että ne tekevät saman operaation erittäin nopeasti. Ei tule siis yllätyksenä, että esimerkiksi tuhansia sanoja sisältävän listan läpikäyminen ei kestä kauaa. Kone käy listaa läpi niin kauan, että oikea sana löytyy. Paitsi tietty jos salasanasi ei ole kyseisellä listalla!

Eri salasana joka järjestelmässä

Mikäli käy niin huonosti, että salasanasi järjestelmään X paljastuu, niin ei hätää jos olet käyttänyt eri salasanaa järjestelmässä Y. Yhden tiedon paljastuminen ei siis vaaranna muita tietoja!

Esimerkki turvallisesta salasanasta

Muutama esimerkki perusteluineen:

  • PeKoOn@Norjassa! = Lyhennys lauseesta Pekan Koti On Norjassa!
  • !#_uusiRisu41ta_#! = helposti muistettavissa oleva kuvio tms

Suomen (botti)armeija

Helsingin Sanomat uutisoi 12.10.2011, että Suomi valmistautuu kybersodankäyntiin. Tarkoituksena olisi vahvistaa tietoverkkopuolustusta ottamalla käyttöön myös hyökkäyksissä käytettäviä ”välineitä”, kuten viruksia ja muita haittaohjelmia.

Aihe on mielenkiintoinen ja ajankohtainen. Muut maat ovat myös uutisoineet ottavansa käyttöön vastaavanlaisia toimintoja, hyvänä esimerkkinä (TV:stä tuttu!) Yhdysvaltojen huvittavasti nimetty Cyber Command.

Kauankohan menee, että kaikki Suomen tietokoneet tullaan liittämään yhdeksi suureksi bottiverkoksi, jota voidaan sitten käyttää palvelunestohyökkäyksiin?

Yrityksen omaisuuden suojaaminen

Iltalehti.fi uutisoi 11.7.2011 varastetusta iPhonesta, jonka löytyminen johti samalla rikollisliigan paljastumiseen. Tietoturvan näkökulmasta uutisesta löytyy mielenkiintoisia piirteitä. Tässä hieman mietittäviä asioita.

Huom! Tässä tekstissä ei ole tarkoituksena millään tavalla kyseenalaistaa ryöstön kohteeksi joutunutta yritystä tai sen henkilökuntaa. Alla mainitut kysymykset on tarkoitettu yleisesti pohdittaviksi asioiksi eri yritysten tietoturvasta vastaaville henkilöille tai esimerkiksi tietoturvaa opiskeleville henkilöille.

Uutinen lyhykäisyydessään: Mies tuli kauppaan ja varasti naismyyjä iPhonen, kun myyjä oli käymässä takahuoneessa. Naismyyjän puhelimeen oli asennettu Find My iPhone -sovellus, jonka avulla käyttäjä voi paikantaa esimerkiksi kadonneen puhelimensa. Puhelimen jäljittäminen johti lopulta rikollisliigan ”varaston” paljastumiseen.

Uutisessa mainitaan näin:

  • Varas oli ”siististi pukeutunut ulkomaalainen mies”.
  • Myyjä ei epäillyt mitään, vaan piipahti takahuoneessa.

Kysymys: Onko henkilöstölle selvitetty heidän vastuut, velvollisuudet ja oikeudet?

Kysymys: Miten pahasti tietoturva vaarantuu kun henkilöstö poistuu hetkeksi työpisteeltään?

 

  • Varas vei myyjän oman iPhonen.

Kysymys: Onko yrityksessä ohjeistettu omien laitteiden käyttämisestä työpaikalla?

Kysymys: Miten laitteistoturvallisuus on yleisesti hoidettu yrityksessä?

Kysymys: Onko normaalit varkaudet helposti toteutettavissa jopa keskellä työpäivää?

 

  • Myyjä katsoi myöhemmin nauhalta tapahtuman kulun.

Kysymys: Miten valvontakamerat on sijoitettu yrityksen tiloihin?

Kysymys: Onko valvontakameran kuvan laatu tarpeeksi hyvä?

Kysymys: Onko lakiasiat huomioitu kameravalvontaa hankittaessa?

Kysymys: Onko yrityksessä määritelty kenellä on oikeus avata valvontakameran tallenteita?

Tallentava kameravalvonta yrityksen tiloissa vaatii rekisteriselosteen. Katso myös muut tärkeät aiheeseen liittyvät asiat erillisestä Kameravalvontaopas -teoksesta.

 

  • Varastetussa iPhonessa oli Find My iPhone -sovellus.

Kysymys: Miten yrityksessä on varauduttu yllättäviin riskeihin?

Kysymys: Onko kalliit ja tärkeät laitteistot (/toimitilat) vakuutettu?

Kysymys: Onko mobiililaitteiden tietoturva kunnossa? Esimerkiksi tärkeiden tietojen salaus ja laitteen käytön esto ilman asianmukaista tunnistautumista.

 

  • Lopulta puhelimen signaali katosi ja jäljitysohjelman toiminta lakkasi

Kysymys: Onko laitteiden ja ohjelmistojen tietoturvaominaisuudet helposti kierrettävissä?

 

Kysymyksiä kannattaa pohtia oman yrityksesi näkökulmasta!

MITM hyökkäys käytännössä

Jotta Man in the Middle hyökkäyksen käytännön toteutus olisi helpommin ymmärrettävissä, niin tässä on ensin lueteltuna aiheeseen liittyviä käsitteitä.

IP-osoite

Laitteen yksilöllinen osoite verkossa. Verrattavissa esimerkiksi matkapuhelimien puhelinnumeroon.

MAC-osoite

Esimerkiksi jokaisella verkkokortilla on oma yksilöllinen MAC-osoite, jolla laite tunnistetaan tietoliikenneverkossa. Tämä osoite tunnetaan myös ns fyysisenä osoitteena.

ARP

Tällä termillä tarkoitetaan yleensä ARP-protokollaa (Address Resolution Protocol). Protokollan tavoitteena on selvittää mistä IP-osoitteesta tietty MAC-osoite löytyy. Verkossa keskustelevat koneet lähettävät toisilleen ARP-paketteja, jotka kertovat koneiden sijainteja.

ARP-taulu

Käyttöjärjestelmä ylläpitää ns ARP-taulua, johon se tallentaa edellä mainitut MAC ja IP osoiteparit. ARP-taulu on siis kuin osoitekirja.

arp_table_windows

Kuvassa on esimerkki ARP-taulusta. Tietty Internet-osoite on yhdistetty tiettyyn Fyysiseen osoitteeseen. Aina kun käyttäjän koneelta (IP osoite: 192.168.1.100) lähtee paketteja laitteelle192.168.1.254 (esim WLAN-modeemi), niin ne tiedetään lähettää oikeaan fyysiseen (MAC) osoitteeseen 00-04-ed-xx-xx-xx. WLAN modeemi sitten ohjaa tiedot muualle verkkoon. Vastaavasti kun joku haluaa keskustella .100 koneen kanssa, niin paketit tulevat ensin .254 laitteen kautta.

ARP Spoofing ja ARP Poisoning

Spoofing on suomeksi ”huijaus” ja Poisoning tarkoittaa ”myrkytys”. MITM-hyökkäyksessä näillä termeillä tarkoitetaan operaatiota, jossa hyökkääjä väärentää (huijaa/myrkyttää) uhrikoneen ARP-taulun. Myrkytys tapahtuu siten, että hyökkääjä lähettää ARP-pakettina virheellistä tietoa jonkin koneen sijainnista. Uhrikone tallentaa virheellisen tiedon ARP-tauluunsa (kts kuva alla).

arp_table_spoofed

Kuvassa on ARP-taulu sen jälkeen, kun uhrikoneelle on suoritettu ARP-huijaus (MITM-hyökkäys!). Nyt kun 192.168.1.100 lähettää paketin modeemille 192.168.1.254 niin se ei menekäään enää fyysisesti osoitteeseen 00-04-ed-…. vaan ohjautuu hyökkääjän laitteelle 00-11-22-33-44-55. Hyökkääjä voi muokata pakettia matkalla ja lähettää sen sitten eteenpäin verkkoon.

Vastaavasti kun joku lähettää paketin .100 koneelle, niin hyökkääjä voi muokata sitä ensin ja laittaa väärennetyn tiedon eteenpäin koneelle .100.

SSL-salauksen kiertäminen

Verkkosivujen tietoturvasta puhuttaessa usein viitataan myös SSL-salaukseen (https-protokolla). Aina painotetaan sitä, että salaamattomille sivustoille ei saisi antaa arkaluontoista informaatiota, kuten henkilö- tai pankkitunnuksia. Internetin eri palveluja käyttäessä oppii nopeasti tuntemaan, mitkä sivustot ovat oletuksena salattuja ja mitkä eivät. Esimerkiksi nettipankin sivustoon luotetaan todennäköisesti sen kummempaa ihmettelemättä. Onhan sen oltava salattu!

Koska käyttäjä todennäköisesti oletuksena luottaa valitsemiinsa palveluihin, voi hyökkääjä käyttää tätä ihmismielen heikkoutta hyväkseen.

MITM-hyökkäyksen avulla on mahdollista riisua salaus pois halutusta verkkopalvelusta. Riisuminen tapahtuu siis vain käyttäjän laitteen päästä. Itse palvelulle ei tietenkään voida tehdä mitään, eli emme voi poistaa esimerkiksi verkkopankin SSL-salausta pankin päästä.

Esimerkki: Käyttäjä on tottunut siihen, että vaikkapa GMail on toteutettu SSL-salauksella. Näin ollen hän menee sivustolle aina sen enempää tietoturvaa (salausta) ajattelematta. Mikäli käyttäjän kone onkin joutunut MITM -hyökkäyksen kohteeksi, voi sokea luottamus kyseiseen verkkosivustoon koitua kohtalokkaaksi.

gmail_sslTässä kuvassa (vuodelta 2011) on esitettynä kaksi erillistä osoiteriviä (Firefox-selaimesta). Ylemmässä on normaali GMail+SSL -salaus. Alemmassa osoiterivissä on GMail hyökkäyksen jälkeen. Ero on siis vain kosmeettinen eikä sitä välttämättä huomaa, ellei erikseen aina tarkista osoiteriviä!