Hillaryn puolue, Jennifer Lawrence, Colin Powell, seuraavaksi sinä? Näin helposti salasanasi murretaan

USA:n demokraattipuolueeseen, entiseen ulkoministeriin Colin Powelliin ja CIA:n johtajaan kohdistuneet murrot olisi voinut estää yksinkertaisilla konsteilla. Kuka tahansa voi suojata sähköpostinsa paremmin kuin mahtimiehet.

Kotimaa
Jennifer Lawrence, Hillary Clinton ja Colin Powell.
AOP

Ihmisten sähköposteihin murtaudutaan joka päivä. Yksityisyyttä loukkaavia murtoja tekevät monenlaiset hyökkääjät julkkisten nakukuvia jahtaavista rikollisista vieraiden valtioiden vakoilijoihin. Tavallisen käyttäjän koneelle taas voi pyrkiä vaikkapa mustasukkainen entinen puoliso tai pankkitunnuksia tavoitteleva rikollinen.

Kun ihminen kirjautuu verkkopankkiinsa, hän käyttää salaista käyttäjätunnustaan, salaista tunnussanaansa ja lisäksi avainlukulistaa. Yksityiseen sähköpostiin kirjautuminen on yksinkertaisempaa – tavallisesti riittää salasanan muistaminen.

Myös maailman vaikutusvaltaisimmat ihmiset käyttävät pelkän salasanan avulla suojattuja sähköposteja.

Vaikutusvaltaisten ihmisten tileille voivat pyrkiä vieraan valtion vakoojat, tavallisen ihmisen tietoja voivat tavotella vaikkapa mustasukkaiset entiset kumppanit – molemmat samoilla keinoilla.

Colin Powell oli kutsunut oman puolueensa ehdokasta Donald Trumpia “kansalliseksi häpeätahraksi”.

Yhdysvaltain entisen ulkoministerin Colin Powellin yksityiset sähköpostit tulivat vuotosivusto DCLeaksin kautta julkisuuteen keskelle vaalitaistoa syyskuussa. Oman puolueensa ehdokasta Donald Trumpia ansioitunut kenraali oli kutsunut “kansalliseksi häpeätahraksi”.

Heinäkuussa Wikileaks julkaisi 20 000 demokraattipuoluetta hallinnoivan ja sen strategioita valmistelevan Democratic Party Committeen jäsenten sähköpostia paljastaen tietoja muun muassa Hillary Clintonin suosimisesta Bernie Sandersin kustannuksella.

Demokraattien presidenttiehdokas Hillary Clinton hyökkäsi muun muassa Trumpin ydinasepuheita vastaan
Demokraattien presidenttiehdokas Hillary Clinton hyökkäsi muun muassa Trumpin ydinasepuheita vastaan.JUSTIN LANE / EPA

Samaa raskaan sarjan sähköpostihakkerointia edustaa keskustiedustelupalvelu CIA:n johtajan John O. Brennanin sähköpostien varastaminen vuonna 2015. Wikileaksin kautta julkisuuteen päätyi tietoja muun muassa tiedustelutehtävissä toimivista henkilöistä, tiedusteluraporttien luonnoksia.

Teosta epäillään viiden nuoren miehen porukkaa. Heistä kaksi, hakkerinimiä INCURSIO ja D3F4ULT käyttäneet yhdysvaltalaiset nuoret miehet vangittiin syyskuussa.

Sähköpostijärjestelmien suojaamiseen perehtynyt tietoturvayhtiö F-Securen tietoturva-asiantuntija Sean Sullivan toteaa, että ainakin demokraattipuolueen järjestelmästä on löydetty jälkiä työkaluista, joita Venäjän verkkovakoojien tiedetään käyttävän.

Vaikka Venäjä olisi vaikuttanut iskujen taustalla, se ei tarkoita, että sähköpostien varastamiseen olisi tarvittu maailman parhaiden hakkereiden uusimpia konsteja tai valtavia rahamääriä.

– Hyökkääjät käyttävät aivan perusjuttuja. Niiltä suojautumiseen ei tarvitse olla erikoisasiantuntija, Sullivan tiivistää.

Sullivan sanoo, että hiljattain tavallisten käyttäjien ulottuville on tullut hyviksi havaittuja tekniikoita, kuten pankkipalveluista tuttu kaksivaiheinen tunnistautuminen. Lisäksi voi käyttää oveluuttaan.

“Keskivahva salasana riittää”

Yksinkertaisimmillaan sähköpostin korkkaaminen tarkoittaa salasanan arvaamista. Hyökkääjä voi kokeilla tavallisimmilla salasanoilla kuten password, asdf tai aurinko. Arvailun tukena tunkeutuja voi myös käyttää myös tietokoneohjelmia, jotka syöttävät salasanoja.

Sullivan sanoo, että salasanan ei välttämättä tarvitse olla vahva, esimerkiksi “<4Q+EC(4s&[d6~=:sQJ. Olennaista on, että sanaa ei ole käytetty missään muualla.

Sullivanin oma konsti keskivahvan salasanan tekemiseksi on yksinkertainen:

– Valitse adjektiivi, valitse kolmenumeroinen luku ja substantiivi. Eli vaikkapa keltainen486tuoli. Jos joku pystyy tämän arvaamaan, hän on valtavan onnekas.

Sean Sullivan.
Sean Sullivan.Pekka Tynell / Yle

Jokainen voi rakentaa mielessään oman systeeminsä salasanan tai -lauseen rakentamiseksi.

Tällainen salasana on riittävän hyvä palveluun, jossa sisäänkirjautumisyritysten määrä on rajoitettu. Samoin jos käyttäjä on asettanut kaksivaiheisen tunnistautumisen, on tällainen salasana kelvollinen. Kaksivaiheisessa tunnistautumisessa pelkkä salasana ei riitä, vaan sen lisäksi tarvitaan esimerkiksi puhelimeen lähetettävä koodi.

Kissani nimi on Manner(heimintie)#+

Yleensä sähköpostiin tai some-tiliin tunkeutumisissa ei kuitenkaan ole kyse siitä, että hakkeri olisi saanut käsiinsä salasanan. Tavallisimmin kyse siitä, että hyökkääjä pääsee vaihtamaan salasanan eli huijaa jotenkin “unohditko salasanasi” -järjestelyitä.

Usein sähköpostitilien suojana käytetään turvakysymyksiä, joiden arvaaminen on mahdollista. Joissakin palveluissa kysymykset voi asettaa itse, mutta tietyissä palveluissa saatetaan kysyä vaikkapa äidin tyttönimeä tai vanhaa kotiosoitetta. Näiden tietojen etsiminen on vain hidaste tunkeutujalle - etenkin jos hän tuntee kohteensa.

Turvakysymysten vastausten varastamisesta oli kyse muun muassa vuonna 2014 tapahtuneessa amerikkalaisiin näyttelijöihin kuten Jennifer Lawrenceen, Kate Uptoniin ja Amber Heardiin kohdistuneessa hyökkäyksessä, jonka seurauksena suuri määrä tähtien pilvipalveluun tallennettuja alastonkuvia päätyi nettiin.

Kannattaisiko turvakysymyksiin merkitä mieliruuakseen vaikkapa Näsinneulan_portaat?

Kannattaisiko siis turvakysymyksiin merkitä mieliruuakseen vaikkapa Näsinneulan_portaat tai vanhaksi kotiosoitteekseen Haarniska@varvas?

Sean Sullivan kertoo, että monet ihmiset käyttävät suojauksessaan apuna näennäisen järjettömiä vastauksia – vaikkapa salasanoja.

Ongelmana on toki se, että keksimänsä vastaukset pitäisi todella pystyä muistamaan jopa vuosien päästä.

Sullivan sanookin, että salasanojen kirjoittaminen ylös ja paperin säilyttäminen turvallisessa paikassa voi olla hyvä käytännön konsti.

Itse hän käyttää ja suosittelee kaupallisia salasanapalveluja. Palveluissa salasanat, turvakysymysten vastaukset ja muut arkaluontoiset tiedot voi tallettaa virtuaaliseen holviin.

Nämä salasanat ovat käyttäjän määrittelemän kuningassalasanan takana, joten käyttäjän ei tarvitse muistaa suurta määrää monimutkaisia salasanoja.

Palvelujen luotettavuus perustuu siihen, että salasanat on tallennettu palveluun vahvasti salattuina. Vaikka palveluun murtauduttaisiin, ei hyökkääjä voi saada käsiinsä suurta määrää selväkielisiä salasanoja.

Hän suosittelee myös, että käyttäjällä olisi turvallisessa paikassa sinetöity kirjekuori. Sen avulla luottohenkilö pääsee sähköposti- ja sometileille, jos tilien omistaja joutuu onnettomuuteen tai kuolee.

Hakkeri iskee vanhalle tilillesi, jota et edes käytä

Usein hakkerit napsivat tietyn tilin murtoon tarvittavat tiedot useista lähteistä.

Yhdestä palvelusta voi saada helposti ulos tiedon – esimerkiksi osan luottokortin numerosta – jota voi käyttää tiedon heruttamiseen toisesta järjestelmästä. Näin kävi myös CIA:n johtajan John O. Brennanin tapauksessa.

Sähköpostiin murtautuneet nuoret miehet kertoivat itse Wired-aikakauslehdelle, kuinka he onnistuivat huijaamaan tarvitsemansa tiedot.

John O. Brennan
John O. BrennanJustin Lane / EPA

Yksi hakkereista tekeytyi teleoperaattori Verizonin työntekijäksi ja sai operaattorin aidon työntekijän paljastamaan muun muassa Brennanin pankkikortin viimeiset numerot ja sähköpostitilin. Näillä tiedoilla he pystyivät taas huijaamaan Brennanin käyttämän sähköpostipalvelun AOL:n työntekijää ja vaihtamaan tilin salasanan.

Kun murtautuja toimii näin – soittelee sopiville ihmisille, valehtelee ja painostaa, kutsutaan menetelmää sosiaaliseksi hakkeroinniksi.

Samanlaista menetelmää tunkeutuja voi käyttää myös pyrkiessään tavallisen suomalaisen sähköpostitilille: pankkikortin numeron voi varastaa, tietoja hankkia julkisista rekistereistä tai yksinkertaisesti kysyä kohteen lähipiiriltä. Joskus ihmiset levittelevät arvokkaita tietojaan somessa.

Sullivan neuvoo myös rivikansalaisia ottamaan oppia CIA:n Brennanin tapauksesta ja tarkastelemaan, linkittyvätkö käyttäjän sähköposti- ja sometilit toisiinsa. Näin voi olla, jos vanhaa tiliä tarvitaan uuden tilin salasanan vaihtamiseen.

– Vuosien varrella ihmisille kertyy useita sähköpostitilejä, joista yksi yhdistyy toiseen, se kolmanteen, tämä neljänteen ja niin edelleen. Yhdelle tilille murtautuminen voi johtaa murtoon muille tileille.

Yhdelle tilille murtautuminen voi johtaa murtoon muille tileille.

Sullivan neuvoo pohtimaan, mikä on käyttäjälle tärkein sähköpostitili, ja huolehtimaan sen turvakysymykset ja suojauksen kuntoon. Vanhoista tileistä voi hankkiutua eroon tai järjestää asiat niin, että tärkeän tilin salasanan palautuksessa ei tarvitse käyttää vanhoja tilejä.

Tämä on tärkeää myös siksi, että usein vanhojen sähköpostijärjestelmien suojaus ei ole samalla tasolla kuin suurten ja nykyaikaisten järjestelmien.

Aika ajoin hakkerien käsiin päätyy myös kerralla suuri määrä tietoja, joita voidaan käyttää ihmisten tileille tunkeutumiseen. Useissa vuodoissa murtautujat ovat saaneet käsiinsä salasanoja salatussa muodossa, mutta turvakysymyksiä selväkielisinä. Rikolliset voivat kaupata näitä tietoja.

Sean Sullivan arvioi, että Colin Powellin sähköpostitilin hakkeroinnin taustalla voi olla Dropbox-palveluun tehty hyökkäys vuonna 2012. Tässä murrossa on voitu saada myös Powellin tilille tunkeutumiseen tarvittavat tiedot. Dropbox-vuodossa vaarantuivat 70 000 asiakkaan tiedot. Syyskuussa uutisoidussa hyökkäyksessä Yahoo-verkkopalveluun hyökkääjät onnistuivat puolestaan viemään 500 miljoonan ihmisen tietoja.

Ei kaikkia munia samaan koriin

Powellin, Brennanin ja demokraattipuolueen sähköpostien paljastumisella voi olla vaikutusta jopa Yhdysvaltain presidentin, maailman vaikutusvaltaisimman henkilön valintaan.

Mutta onko tavallisen kansalaisen arkipäiväisten sähköpostien päätyminen hakkereille kovinkaan suuri vahinko?

Pahat mielessä oleva hyökkääjä ei kuitenkaan välttämättä ole edes kiinnostunut sähköpostien sisällöstä, vaan pyrkii sähköpostimurron avulla pitemmälle.

Colin Powell
Romanialaishakkeri tunkeutui muun muassa entisen ulkoministerin Colin Powellin Facebook-tilille.Davi Bohrer / US National Archives / EPA

Suurimmalla osalla tietokoneen tai kännykän omistajista on tili, jonka kautta hän voi hallita laitteitaan: muuttaa niiden asetuksia ja vaikkapa tyhjentää koko laitteen sisällön. Tällaisia ovat esimerkiksi Apple ID, Google-tili tai Microsoft-tili.

Tilin käyttäjätunnus on usein käyttäjän työ- tai kotisähköposti. Tähän sisältyy riski, sanoo Sean Sullivan.

Jos hyökkääjä saa käsiinsä käyttäjätunnuksen ja onnistuu vastaamaan turvakysymyksiin, hän pääsee käsiksi laitteen hallinnassa käytettävään tiliin ja laitteen sisältöön kuten käyttäjän valokuviin tai muihin arkaluontoisiin tietoihin.

Sullivanin vinkki tämän ehkäisemiseksi on varsin yksinkertainen: mobiililaitteen käyttäjä perustaa sähköpostiosoitteen, joka ei viittaa mitenkään kyseiseen käyttäjään ja käyttää kyseistä tiliä ainoastaan laitteensa hallinnointiin. Ei siis viestintään eikä verkkokauppojen tilauksiin.

Jos hyökkääjä onnistuu pääsemään vaikkapa päivittäisessä käytössä olevaan sähköpostiin, ei hänelle avaudu suoraa tietä matkapuhelimessa oleviin tiedostoihin.

Sähköpostitulvaa voi hallita

Sähköpostimurtojen onnistuminen perustuu myös siihen, että hakkerit ymmärtävät ihmisten arjen - sähköposteja tulee joka tuutista ja aivan liikaa. Selatessaan kiireesti sähköpostitulvaa he helposti klikkaavat auki linkkejä ja liitetiedostoja, jotka voivat sisältää haittaohjelmia. Vaikkapa työsähköpostiin tullut viesti “Tilaamasi tuote on saapunut”, voi herättää ihmisen mielenkiinnon.

Tätäkin vastaan Sullivan on kehittänyt yksinkertaisen järjestelyn; hän on ohjannut sähköpostit tulemaan muutamaan erilaiseen laatikkoon.

Inboxiinsa hän saa vain hänelle henkilökohtaisesti osoitetut viestit. Työaikanaan hän keskittyy niihin.

Viestit, joissa hänen nimensä on kopiokentässä tai cc-kentässä menevät omiin laatikoihinsa. Massapostitukset päätyvät bulkkilaatikkoon ja kalenterikutsut omaansa.

– Valtaosa huijausposteista menee automaattisesti bulkkilaatikkoon. Inboxiin tulee niin vähän viestejä, että huomaan kyllä jos sinne tulee huijausviesti, hän perustelee.

Sullivan kertoo neuvoneensa vastaavaa järjestelyä muun muassa asianajoyrityksille, jotka ovat sen ansiosta pystyneet keskittymään olennaiseen ja välttymään lukuisilta hyökkäyksiltä.

Esimerkiksi demokraattipuolueen tileille tunkeutuminen perustui juuri siihen, että hyökkääjät ujuttivat ihmisten sähköposteihin viestin, jonka liitteenä ollut hauska video tartutti haittaohjelman.

Kiinnostuitko tietoturvastasi? Lue juttumme: 8 helppoa vinkkiä, joilla suojaat sähköpostisi ja yksityisimmät kuvasi

Lähteet: F-Secure, Trend Micro, Crowdstrike, The York Times, Reuters, Wired, Washington Times, The Guardian