Tietoturva-asiantuntijan mukaan suomalaiset käyttävät liian helppoja salasanoja. Joskus toisen käyttäjän helppo salasana tekee kaikkien muidenkin tiedoista helposti hakkeroitavia.
Stonesoftin vanhempi tietoturva-asiantuntija Otto Airamo, kuinka helppoa tietojärjestelmiin on murtautua?
– Valitettavasti se on yleensä aika helppoa, jos on osaava tekijä ja jos järjestelmässä on haavoittuvuus.
Millaisia ne haavoittuvuudet käytännössä ovat?
– Niitä on monenlaisia, mutta omassa esimerkissäni näytän salasanoihin ja SQL-kieleen liittyviä haavoittuvuuksia. On olemassa webbisivuja, jotka toimivat niin, että taustalla on SQL-tietokanta, ja usein tällaisissa järjestelmissä on ohjelmointivirheitä, joita hakkeri voi käyttää hyväkseen ja kaivaa sieltä dataa ulos.
– Se mikä on valitettavaa on se, että ihmiset käyttävät usein hyvinkin heikkoja salasanoja, ja niitä samoja salasanoja käytetään useissa eri palveluissa.
Yleisin salasana on "salasana"
Millaisia ovat Suomen yleisimmät salasanat?
– Yleisin salasana on varmaankin "salasana". Seuraavaksi tyypillisin on 12345 tai 12345678. Suomalaiset käyttävät myös salasanoina erittäin yleisesti kirosanoja, eli hyvä arvaus salasanaksi on suomen- tai englanninkielinen kirosana.
Miksi kukaan sitten valitsee tuollaisen salasanan? Jokainenhan ymmärtää että ne on helppo murtaa.
– Tyypillisin ongelma on se, että ihmiset ajattelevat, että eihän minulla ole mitään salattavaa, miksi minun pitäisi mitään suojata.
– Ikävintä on se, että niitä samoja salasanoja käytetään eri järjestelmissä - niissä, jotka eivät ole niin tärkeitä ja sitten niissä tärkeämmissä - sellaisenaan tai ihan vähän muutettuna kuten että laitetaan ykkönen tai huutomerkki perään. Tällaisessa tilanteessa jatkohyökkäyksen tekeminen on heti merkittävästi helpompaa.
Heikoin lenkki ratkaisee
Tarkoittaako tämä siis sitä, että vaikka itse käytänkin monimutkaisia salasanoja, mutta jos samaa palvelua käyttää joku, jonka tunnus on "minavaan1" ja salasana v-alkuinen kirosana, tuo toinen käyttäjä tekee kaikkien tiedoista helpommin hakkeroitavia?
– Kyllä, monissa tapauksissa se toimii juuri näin. Se riippuu myös sen kyseisen palvelun haavoittuvuudesta. Joissain tapauksissa heikko salasana päästää vain sen kyseisen henkilön tietoihin, mutta on myös mahdollista - kuten meidän esimerkistämme nähdään - että joskus riittää, että heikoin lenkki on riittävän heikko - ja koko järjestelmä vuotaa.
Näin tehdään verkkohyökkäys
Stonesoftin vanhempi tietoturva-asiantuntija Otto Airamo näyttää, miten murretaan kuvitteellisen verkkokaupan kaikkien käyttäjien henkilötiedot, käyttäjätunnukset, salasanat sekä luottokorttitiedot noin kymmenessä minuutissa.
Tämäntyyppisiä haavoittuvuuksia käytetään noin 30 prosentissa kaikista verkkohyökkäyksistä.
Jokainen sivusto tarvitsee kuitenkin yksilölliset skriptit, eli tämä havaintoesitys ei tarjoa hakkereille minkäänlaista "kopioitavaa yleisavainta" verkkohyökkäyksiin.