Hyppönen ja Järvinen vaativat: Korjatkaa wlan-palveluiden turva-aukot

Salaamattomiin, julkisiin wlan-palvelupisteisiin liittyy turvaongelmia, joista monet kuluttajat eivät ole tietoisia, varoittavat asiantuntijat. Useiden wlan-palveluiden turvassa on lisäksi puutteita. ITNytin haastattelemat tietoturva-asiantuntijat Mikko Hyppönen ja Petteri Järvinen patistavat palveluntarjoajia tukkimaan aukot.

Niin sanotulla wlan-kaappauksella on mahdollista urkkia langattoman palvelupisteen käyttäjätunnus ja salasana. Joidenkin toimijoiden wlan-tunnus avaa pääsyn myös luottamuksellisiin yksityistietoihin. Tästä seuraa merkittävä turvariski. Samaa ongelmaa ei ole wlan-palvelussa, johon pääsee ilman salasanaa.

Wlan-kaappaus eli niin sanottu evil twin -uhka on alan asiantuntijoille tuttu. Sitä ei tosin tiedetä Suomessa käytetyn.

ITNytin tutkimukset paljastivat turvaongelman S-ryhmän sekä pääkaupunkiseudulla toimivien Welhon ja Maxinetin wlan-palveluissa. S-ryhmä poisti riskialttiin kirjautumistavan muutamia tunteja sen jälkeen, kun ITNyt varoitti vaarasta 17.6. Sen sijaan Welhon ja Maxinetin turva-aukot odottavat vielä tilkitsemistä.

Maxinetin wlan-turva erityisen surkea

Welhon ja Maxinetin wlan-palvelupisteistä urkituilla tunnuksilla pääsee huomaamatta lukemaan uhrin luottamukselliset sähköpostit. Rikollinen tai kiusantekijä voi myös lähettää sähköpostia ja tehdä tilauksia uhrin nimissä. Ongelman ydin on se, että helposti murrettavaan wlan-palveluun kelpaavat samat tunnukset kuin luottamuksellisia tietoja sisältävään nettisivustoon.

Maxinetin tunnukset vuotavat aivan erityisen helposti, koska kirjautumiseen käytetty webbisivu ei ole suojattu niin sanotulla ssl-salauksella.

Kysyimme asiantuntijoiden mielipiteitä wlan-turvasta.
Miten vakavasta ongelmasta on mielestänne kysymys?

– Ongelma on ihan todellinen. ITNyt-lehden kuvaama hyökkäys on mahdollinen. Koska uhka on maantieteellisesti rajattu, se ei kuitenkaan ole F-Securen näkökulmasta tärkeimmästä päästä,Mikko Hyppönen F-Securesta toteaa.

Ongelma on ihan todellinen, Mikko Hyppönen, F-Secure.

 

– Jos kyse on luottamuksellisista tiedoista ja esimerkiksi sähköpostista, riski on huomattava, it-asiantuntija Petteri Järvinen varoittaa. Kaikki riippuu siitä, millaisiin tietoihin tunnuksilla pääsee käsiksi. Pankkitilin numero on selvästi bonuspisteitä ja ostoksia vaarallisempi tieto, Järvinen pohtii.

Jos kyse on luottamuksellisista tiedoista ja esimerkiksi sähköpostista, riski on huomattava, Petteri Järvinen.

 

Mitä ohjeita haluatte antaa palveluntarjoajille?

Petteri Järvisen mielestä kirjautumistietojen välittäminen ilman ssl-salausta ei ole nykyoloissa hyväksyttävää.

– Vaikka tunnuksilla ei pääsisi tärkeisiin tietoihin, ihmisillä on tapana käyttää samaa salasanaa muissakin palveluissa, Järvinen muistuttaa. Kertakäyttöiset salasanat ovat poikkeus.

Myös Hyppönen ihmettelee salaamatonta wlan-kirjautumista. Ssl-salaus on nykyisin erittäin helppo toteuttaa.

– Julkisuudessa esillä olleiden palveluntarjoajien [Welho ja Maxinetti] pitäisi parantaa wlan-palvelupisteidensä kirjautumisen turvallisuutta, sanoo Hyppönen. Näin toimija osoittaa välittävänsä asiakkaista ja heidän yksityistiedoistaan.

– Wlan-kirjautumiseen voitaisiin kelpuuttaa käyttäjätunnuksen osa, Hyppönen ideoi. Muutos on helppo toteuttaa, mutta asiointitunnus ei silti paljastu kaapparille. Asiakkaan ei tarvitse opetella uusia tunnuksia. Silti jäsenyyden tai asiakkuuden preemio säilyy. Erilliset tunnukset on kallis ja hankala ratkaisu, Hyppönen arvioi.

…palveluntarjoajien pitäisi parantaa wlan-palvelupisteiden kirjautumisen turvallisuutta, Mikko Hyppönen, F-Secure.

 

(Yksinkertaisinta olisi avata pääsy wlan-palveluun kaikille. Kun ei kysytä salasanaa, se ei voi myöskään vuotaa. Näin satunnainen vierailija tosin saa maksavan asiakkaan edut. Vapaa käyttöoikeus voi lisäksi tuoda mukanaan roskapostia ja muuta häiriköintiä.)

Entä neuvot wlan-palvelupisteiden käyttäjille?

– Jos salatusta yhteydestä kertovaa lukon kuvaa ei näy selaimessa, asiakkaan ei kannata kirjautua palveluun ainakaan wlanin kautta, opastaa Järvinen.

Molemmat asiantuntijat varoittavat avointen wlan-verkkojen vaaroista.
– Avointa salaamatonta wlan-verkkoa on lapsellisen helppoa salakuunnella, Järvinen varoittaa.

Tästä huolimatta muun muassa monet verkkolehdet, kuten Helsingin Sanomat, vaativat asiakasta rekisteröitymään ja kirjautumaan ilman ssl-suojaa. Salasanat on helppo urkkia myös ilman wlan-kaappausta, Järvinen jatkaa.

– Yritykset turvaavat luottamuksellisen tietoliikenteen vpn-tekniikalla, valistaa Hyppönen.

Vpn (Virtual Private Network) kuljettaa bitit salattuina koko matkan tietokoneesta yrityksen palvelimeen asti. Tunnukset ja muut salaisuudet eivät paljastu salakuuntelijalle. Kuluttajille sopivia vpn-ratkaisuja on kuitenkin tarjolla niukasti.
– Miksei valtio voisi perustaa kansalaisille vpn-palvelun, Hyppönen heittää.

Valtio voisi perustaa kansalaisille vpn-palvelun, Mikko Hyppönen, F-Secure.

 

Järvisen mielestä valtion vpn on mielenkiintoinen idea. Valtio on kuitenkin menossa tyystin toiseen suuntaan. Suunnitteilla on lakimuutos, joka poistaa naapurin avoimen wlan-yhteyden lainaamiselta rangaistavuuden.

 

 

 

Leave a Reply