Tietomurrot: Mitä varastetuilla tiedoilla voi tehdä?

Anonymous-liike
Teksti
Lauri Vanhala

Henkilötietojen päätyminen vääriin käsiin ei ole katastrofi. Verkkopalveluiden tietoturvan tasoa voi tutkia helposti itsekin.


Anonymous Finland -hakkeriryhmä ilmoittautui tietomurron tekijäksi. Kuva: Justin Sullivan / AFP / Lehtikuva.


Kuluvan vuoden aikana on tapahtunut useita mittavia tietomurtoja. Suomessa lauantaina paljastunut tapaus koskettaa 16 000 ihmistä. Vielä laajempi tapaus kävi ilmi toukokuussa, kun Sony tiedotti, että hakkerit ovat saattaneet päästä käsiksi jopa 24,5 miljoonan käyttäjän tietoihin ja yli kymmeneen tuhanteen luottokorttinumeroon.

Verkkosivustojen tietoturva kaatuu toistuvasti samoihin alkeellisiin virheisiin. Julkisuudessa olleet tietomurrot on useimmiten toteutettu menetelmällä, jonka perusteet voi opiskella tunnissa Googlesta.

Tietokantoihin tunkeutuminen vaikuttaa helpolta, mutta mitä hyötyä siitä on? Mitä varastetuilla tiedoilla voi tehdä ja mitä tavallisen ihmisen kannattaa muistaa antaessaan tietojaan palveluihin?

Maksukorttitiedot

Jos hakkeri saa käsiinsä luottokorttitietoja, ongelmana on käyttää niitä jäämättä kiinni. Keinoja on useita, joista yksi ovelimmista tapahtuu verkkohuutokaupoissa. Temppua on kuvaillut muun muassa F-Securen tietoturvajohtaja Mikko Hyppönen.

Varas voi asettaa verkkohuutokauppaan myyntiin esimerkiksi upouuden television, jota hänellä ei todellisuudessa ole. Kun uhri tarttuu syöttiin ja haluaa ostaa laitteen, varas lupaa toimittaa television pikimmiten. Uhri ei osaa pelätä huijausta, sillä hän saa luvan maksaa laitteen vasta kun on nähnyt, että se on todella kunnossa.

Varas käyttää anastettuja luottokorttitietoja ostaessaan toisesta verkkokaupasta television, jonka hän tilaa huutokauppauhrin osoitteeseen. Kun uhri vastaanottaa television, hän ei osaa epäillä mitään, vaan maksaa kiltisti varkaalle.

Varas pyytää maksun anonyymillä rahansiirtopalvelulla, kuten Western Unionilla, jolloin hänestä ei jää juuri jälkiä. Kun huijaus paljastuu, poliisit kolkuttavat ensimmäiseksi television ostaneen uhrin ovea. Todellisen huijarin jäljittäminen osoittautuu äärimmäisen mutkikkaaksi.

Luottokortin haltija ei ole vastuussa varastetuilla tiedoilla tehdyistä ostoksista, mutta television ostanut uhri menettää rahansa.

Sähköpostiosoite

Rekisteröitymistä vaativan verkkopalvelun tietokantaan tallentuu useimmiten ainakin sähköpostiosoite. Jos osoitteita on tarpeeksi paljon, varastetut osoitelistat voi muuttaa rahaksi myymällä ne eteenpäin roskapostin ja huijausviestien lähettäjälle.

Roskapostin lähettäjät pyrkivät tunnistamaan käytössä olevat osoitteet ja kohdistamaan viestinsä niihin. Aktiivisten osoitteiden tunnistamiseksi näihin huijausviesteihin liitetään usein linkki, jota vastaanottajaa houkutellaan klikkaamaan – kuten vaikkapa ”en halua näitä viestejä jatkossa”. Klikkaaminen ei kannata, koska silloin roskapostittaja saa tietää, että varastettu sähköpostiosoite on todella käytössä.

Roskapostissa saattaa olla myös kuvia, mutta Gmail ja monet sähköpostiohjelmat kieltäytyvät näyttämästä niitä automaattisesti. Kuvia ei kannata klikata näkyviin, koska myös niiden lataaminen viestii hakkerille toimivasta sähköpostiosoitteesta.

Käyttäjätunnus ja salasana

On tavallista, että ihmiset käyttävät eri verkkopalveluissa samaa salasanaa. Jos hakkeri onnistuu onkimaan sähköpostiosoitteet ja salasanat yhdestä palvelusta, hän voi saada kerralla pääsyn useisiin muihinkin palveluihin.

Jos verkkopalvelu on ohjelmoitu oikein, tietokantaan tallennetut salasanat on sotkettu niin, ettei hakkeri hyödy niistä millään tavalla. Mutta liian usein tunkeutuja löytää tietokannan, jossa salasanat on tallennettu selkokielisenä. Tämän virheen teki esimerkiksi Sony.

Palvelun tietoturvan tasoa voi tutkia helposti klikkaamalla ”unohditko salasanasi” -linkkiä. Palvelusta ei saisi olla mahdollista tilata omaa salasanaansa, vaan turvallinen palvelu generoi linkkiä klikattaessa aina uuden salasanan, joka käyttäjän täytyy itse vaihtaa uuteen.

Jos linkkiä klikkaamalla omaan sähköpostiin saapuu voimassa oleva salasana selkokielisenä, on syytä käyttää palvelussa eri salasanaa kuin muualla.

Salasanoja tallennetaan turvattomasti tavallisesti pienemmillä, harrastelijoiden tekemillä sivustoilla, mutta ongelma saattaa koskettaa suuriakin palveluita. Yksi kotimainen esimerkki löytyy Finnair Plus -sivuilta.

Henkilötunnus

”Henkilötunnus on julkista tietoa”, sanoo keskusrikospoliisin ylitarkastaja Sari Kajantie. Se on tarkoitettu henkilöiden yksilöimiseen, ei tunnistamiseen.

Ongelmana on, että vastoin ohjeita monet organisaatiot käyttävät henkilötunnusta edelleen ihmisten tunnistamiseen puhelinpalveluissa.

”Henkilötunnusta ja osoitetietoa on käytetty tilauspetoksissa”, Kajantie sanoo. Aiemmin oli mahdollista tehdä esimerkiksi osoitteenmuutos toisen henkilön nimissä, koska soittajan henkilöllisyys varmistettiin vain henkilötunnuksen perusteella.

Tilanne on muuttunut parempaan suuntaan. Esimerkiksi osoitteenmuutospalvelussa soittajan henkilöllisyys varmistetaan henkilötunnuksen lisäksi turvakysymyksillä, jotka koskevat esimerkiksi soittajan syntymäkuntaa tai aiempia osoitteita.