Salasanamurto voi kylvää vahinkoa laajalti
Lehtikuva
Eilen illalla paljastanut jättimäinen 127 000 suomalaisen salasanan, käyttäjätunnuksen ja sähköpostiosoitteen vuotaminen verkon keskustelupalstoille ja tiedostonjakopalveluihin voi aiheuttaa harmia vielä pitkään ja monelle. – Fail-kulttuuri on säälimätöntä, sanoo asiantuntija. Nörtti nauttii muiden käyttäjien huonoista salasanoista ja muista tyhmyyksistä.
23.3.2010 12:57
40
– Tämä voi saada laajamittaista vahinkoa aikaan.
Näin arvioi Viestintäviraston Cert-fi-tietoturvayksikön päällikkö Erka Koivunen eilen paljastunutta tietomurtoa ja salasanojen vuotoa.
08:22Osake
+1,92 %
6,91
+0,13
Koivusen mukaan kyseessä on suomalaisten kannalta pahin tietovuoto pariin vuoteen.
Huolestuttavinta tapauksessa on se, että nyt vuotaneiden tietojen avulla voidaan mahdollisesti murtautua Älypään käyttäjien sähköpostiosoitteisiin, työpaikkojen it-järjestelmiin ja muihin arkaluontoisempiin järjestelmiin.
Jos omat tiedot vuotivat ja samaa salasanaa käyttää Älypään ulkopuolella, vaarassa ovat tiedot myös muissa palveluissa.
Taloussanomien lähteiden mukaan verkkoon levinneestä listasta löytyy sähköpostiosoitteita, joiden omistajat työskentelevät muun muassa poliisissa, eduskunnassa, puolustusministeriössä sekä kotimaisissa suuryhtiöissä.
Lokakuu 2007
on täällä taas
Edellisen kerran kymmeniä tuhansia suomalaisten sanasanoja livahti verkkoon vuonna 2007. Tuolloin useiden keskustelupalstojen käyttäjätunnukset ja salasanat päätyivät nettiin.
– Vaikutuksiltaan tapaukset ovat verrannollisia. Tuntuu kuin elettäisiin uudestaan lokakuuta 2007, Koivunen sanoo Taloussanomille.
Ainakin yhdessä suhteessa tapaukset eroavat. Tällä kertaa tiedot ovat lähtöisin vain ilmeisesti vain yhdestä lähteestä: mediayhtiö Sanoma Entertainmentin Älypää-verkkopelistä. Yhtiön peliliiketoiminnan johtaja Fernando Herrera pahoittelee vuolaasti käyttäjille aiheutuvaa harmia.
– Jos käyttäjä käyttää samaa salasanaa useissa paikoissa, suosittelemme todella, todella vakavasti sen vaihtamista, Herrera sanoo.
Moni panee toivonsa nyt siihen, että käyttäjät olisivat käyttäneet Älypäässä eri salasanaa kuin tärkeämmissä järjestelmissä.
– Luulen, että suurin osa on tehnyt näin. Mutta kun tunnuksia on 127 000, joukossa on myös sellaisia, jotka ovat suuren uhan alla, Koivunen sanoo.
Koivusen mukaan etenkin omaan sähköpostilaatikkoon kannattaisi valita täysin oma salasanansa.
Hyökkäyksen anatomia
ei vielä tiedossa
Sanoman Herrera ei ole vielä täysin perillä siitä, miten tietomurto ylipäätään onnistui. Viranomaisiin on kuitenkin jo oltu yhteydessä, eikä tarkempia tietoja kerrota ulospäin.
– Työskentelemme parhaillaan asian parissa, emmekä julkista teknisiä yksityiskohtia, koska teemme yhteistyötä viranomaisten kanssa.
∇ Mainos, artikkeli jatkuu alempana ∇
∇ Artikkeli jatkuu ∇
Yksi verkkokeskusteluissa vellonut huhu saa kuitenkin vahvistuksen. Älypää ei ollut suojannut käyttäjätunnuksia, salasanoja ja sähköpostiosoitteita sisältävää listaansa kryptaamalla sitä.
– Älypää on hyvin vanha palvelu, joten kyseessä oli inhimillinen virhe, Herrera sanoo.
Viestintäviraston Koivusen mukaan jäljet viittaavat kuitenkin siihen, että Älypään järjestelmään murtautuminen onnistui puutteellisen syötteentarkistuksen takia.
Tällaisessa murtautumisessa hyökkääjä saa ujutettua järjestelmään omaa koodiaan, jonka avulla tunkeutuminen onnistuu.
Fail-kulttuuri
ei tunne sääliä
Koivusen mukaan syötteen tarkistusta koskevat haavoittuvuudet eivät ole mitenkään poikkeuksellisia, ja virasto saa niistä ilmoituksia viikoittain.
Koivunen patistaa yhtiöitä testaamaan uusien verkkopalveluidensa tietoturvaa paremmin ennen niiden julkaisemista. Hänen mukaansa tuore tapaus osoittaa, ettei tietoturvan testaamista kannata ulkoistaa keskustelupalstoille.
Koivunen yltyy myös moittimaan keskustelun sävyä. Hänen mukaansa moni verkkokeskustelija tuntuu olettavan, että esimerkiksi onnettoman salasanan valinta oikeuttaisi itsesään kaiken kiusanteon.
– Tämä fail-kulttuuri on aika säälimätöntä.
– Keskusteluissa on vallalla masentava ilmapiiri. Se, että joku on teknisesti mahdollista ei voi tarkoittaa, että se on sallittua, Koivunen suomii.
Koivunen muistuttaa, ettei mahdollisesti listalta löydettyjä salasanoja ja käyttäjätunnuksia kannata lähteä kokeilemaan. Kokeilemalla voi syyllistyä esimerkiksi tietomurtoon.
Cert-fi-yksikön päällikkö suosittelee, että tietomurtoa epäilevät henkilöt ja tahot olisivat yhteydessä poliisiin.
Älypää kuuluu Taloussanomien tavoin Sanoma-konserniin.
19
18
18
Kommentit (40)
Suomi - Pääsiäissaaret välinen jalkapallon MM-loppuottelukin tapahtuu nopeammin toivomalla.
Se on jonkun jampan tekun loppytyö. Aika kädetöntä on, että tällainen suosittupalvelua ei ole yhtään kehitetty tietoturvan kannalta!
md5 alkaa olemaan jo niin vanhaa tekoa että senkin pystyy murtamaan joten se vain hidastaisi touhua.
Ja toiseksi, omasta mielestä verkkosivujen ylläpitäjät ei ole vastuussa jos joku murtautuu ja vie salasanat, eikö tässä syylliseksi voida luetella vain murtautuja. Sama kuin pankin ryöstämisessä langetettais tuomio vartioliikkeelle kun ne ei ollu valmiina pyssyjen kanssa pankin sisällä etukäteen.
Huvittavaa nähdä kuinka normaali mopopoikakin voi vetää näitä "asiantuntioita" sievästi narussa.
Tuommoisiin älypääsaitteihin ei kukaan viitsi kahta sekuntia miettiä "salasanaa", koska on samantekevää "kräkkääkö" joku sen vai ei.
Tuommoisiin älypääsaitteihin ei kukaan viitsi kahta sekuntia miettiä "salasanaa", koska on samantekevää "kräkkääkö" joku sen vai ei.
Olen täysin samaa mieltä. Kukaan täysijärkinen ei tietenkään rekisteröidy oikeilla tiedoilla mihinkään viihdepalveluihin olivat ne sitten kotimaisilla tai ulkomaisilla palvelimilla.
Vähän sama kuin jättäisi auton lukitsematta tien varteen ja avaimet virtalukkoon ja laittaisi pyyhkijän sulkien alle ison lapun, että "Älä varasta, koska laki kieltää".
Älypää vastuuseen edesvastuuttomasta toiminnasta. Piste.
Ei tarkoita.
En kuitenkaan pitäisi kauhean viksuna ihmistä joka jättää esimerkiksi uuden urheiluautonsa itähelsinkiläisen ostarin eteen yöksi ovet auki ja avaimet virtalukossa. Vaikka auton luvaton haltuunotto ei kauhean sallittua olekaan, katsotaan omistajan olevan vastuussa itsekin jostain toimista.