Internetissä on 10.9.2014 aikana levinnyt tietoja listasta, jossa väitetään
olevan noin 5 miljoonaa sähköpostiosoitetta. Väitetysti verkkorikollisilla
olisi myös hallussa kyseisten sähköpostiosoitteiden salasanat. Tämän
hetkisten tietojen mukaan suuri osa tunnuksista ei ole toiminnassa. Lista
vaikuttaa olevan kerätty useasta eri lähteestä pitkän aikajakson aikana.

Listan osoitteista noin 4,8 miljoonaa ovat Googlen Gmail-palvelun
sähköpostiosoitteita, joiden joukossa on useita osoitteita jotka viittaavat
suomalaiseen käyttäjään. Lisäksi listalla on myös muiden
sähköpostipalveluiden osoitteita, muun muassa noin 120 000 venäläisen
Yandex-sähköpostipalvelun osoitteita.

Kyberturvallisuuskeskuksen tiedossa ei ole mistä listalla olevat tunnukset
ovat mahdollisesti varastettu, eikä myöskään mahdollisen varkauden
ajankohtaa. Näin ollen listalla olevat tiedot voivat olla myös hyvin
vanhoja. Onkin todennäköistä, että listalla olevat sähköpostiosoitteet on
kerätty useasta eri tietovuodosta pidemmän ajanjakson aikana. Googlen
julkaisemien tietojen mukaan vain alle 2% tunnusvuodossa mukana olevista
sähköpostiosoitteen ja salasanan yhdistelmästä olisi toimivia tunnuksia.
Googlen mukaan tunnuksia ei ole varastettu heidän järjestelmistään ja he
seuraavat mahdollisia tunnusten väärinkäytöksiä tehostetusti.

Verkkoon on myös luotu palveluita, joista voi väitetysti tarkastaa onko oma
sähköpostiosoite varastettujen osoitteiden joukossa. Kyberturvallisuuskeskus
ei suosittele tällaisten palveluiden käyttöä, koska tällaisen palvelun
takana olevien tahojen motiivieista ei voi tietää. Tämän tyyppisiä
palveluita voidaan käyttää myös tietojenkalastelussa.

Tämän hetkisen tiedon mukaan verkkoon vuodetut sähköpostiosoitteiden tiedot
eivät muodosta merkittävää uhkaa suomalaisille internetin käyttäjille.
Ilmiönä käyttäjätunnusten ja salasanojen vuotaminen verkkoon on kuitenkin
valitettavan yleinen. Käyttäjä voi parhaiten suojautua tällaisia vuotoja
vastaan huolehtimalla seuraavista seikoista:

* Käytä laadukkaita salasanoja. Laadukas salasana on sellainen, jonka
itse muistat, jonka pituus on yli 8 merkkiä, ja jota hyökkääjät eivät pysty
arvaamaan sanakirjoista tai sinua koskevista tiedoista yhdistelemällä.
* Vaihda käyttämiesi verkkopalveluiden salasanat riittävän usein,
esimerkiksi vähintään kerran vuodessa. Salasanojen hallintaan voi käyttää
sitä tarkoitusta varten olevaa verkkopalvelua tai ohjelmistoa.
* Hyödynnä kaksivaiheista tunnistautumista palveluissa jotka sen
tarjoavat. Kaksivaiheisessa tunnistautumisessa oman salasanan lisäksi
palveluun tunnistaudutaan kertakäyttöisellä salasanalla joka toimitetaan
esimerkiksi tekstiviestinä.

Pitäisikö salata?

WLAN-tekniikka perustuu vapaasti eteneviin radioaaltoihin samaan tapaan kuin
radiopuhelimissa. Muut asemat voivat siis kuulla lähettävän aseman viestin,
vaikka viesti olisi tarkoitettu vain tietylle asemalle. Hyvissä oloissa
signaali on kuultavissa yli sadan metrin etäisyydellä ja erikoisvälineillä
viestintä onnistuu kilometrinkin päästä. Kuka tahansa voi lähettää oikeita
tai väärennettyjä viestejä verkkoon.

Tietoturvallisuuden takaamiseksi WLAN-käyttäjän pitäisi pystyä varmistumaan,
että hänen laitteensa viestii tunnetun tukiaseman kanssa, ja että muut
kuulolla olevat laitteet eivät pysty ymmärtämään hänen ja tukiaseman välistä
liikennettä tai ujuttamaan sekaan valheellisia viestejä. Viestinnän
luottamuksellisuuden vuoksi viestit on pystyttävä salakirjoittamaan ja
niiden eheys varmistamaan.

Viestiliikenteen salaaminen vaatii päätelaitteissa ja tukiasemissa
käytettäviä salaisia tietoja, kuten salakirjoitusavaimia. Salaisuuksien
jakaminen voi joissakin tapauksissa olla työlästä. WLAN:n radioliikenteen
jättäminen salaamatta voi olla järkevää, jos salauksesta saatavat hyödyt
ovat vähäiset haittoihin nähden. Salaaminen voi olla turhaa esimerkiksi
silloin, kun mahdollisten hyökkääjien pääsy WLAN:n kuuluvuusalueelle voidaan
estää fyysisesti.

WLAN:n salausmenetelmiä

WLAN:n radiorajapintaa varten on määritelty useita vaihtoehtoisia
salausmenetelmiä. Nämä menetelmät salakirjoittavat päätelaitteen ja
tukiaseman välillä kulkevat viestit niin, etteivät sivulliset pysty niitä
helposti ymmärtämään tai muokkaamaan huomaamattomasti. Salausmenetelmät myös
tunnistavat tukiaseman käyttäjille niin, etteivät muut voi helposti esiintyä
luotettuna tukiasemana. WLAN:n käyttäjiä ja päätelaitteita WLAN:n
salauksella ei kuitenkaan pysty luotettavasti tunnistamaan.

Vanhin menetelmä WEP (Wireless Equivalent Privacy) on osoitettu monella
tapaa haavoittuvaksi eikä sitä suositella käytettäväksi, jos uudempia
menetelmiä on käytettävissä. WPA2 (Wi-Fi Protected Access II) on ollut Wi-Fi
Alliancen hyväksymissä laitteissa tuettu vuodesta 2006 lähtien. Se täytyy
kuitenkin osata ottaa käyttöön. Myös WPA-salaus saattaa olla käytettävissä.
WPA-salaus oli välivaihe WLAN-standardien kehityksessä ennen kuin WPA2
saatiin valmiiksi.

Myös Wi-Fi Protected Setup- eli WPS-salaus on osoitettu haavoittuvaksi eikä
sitä suositella enää käytettäväksi. WPS-salaus oli tarkoitettu
helppokäyttöiseksi vaihtoehdoksi WPA2:lle, mutta WPS:n suunnitteluvirheiden
vuoksi hyökkääjä voi vähäisellä vaivalla arvata salausavaimen.

Suosituksia salaukseen

Käytännössä kuluttajille suositellaan Advanced Encryption Standard
-salakirjoitusalgoritmia käyttävää WPA2-salausmenetelmää ja siihen vahvaa
(pitkä, monimutkainen ja vaikeasti arvattava) esijaettua salasanaa.
Langattoman tukiaseman asetuksissa tämä valinta esiintyy yleensä merkintänä
“WPA2+PSK (AES)”. Vahvan 20-merkkisen salasanan laatiminen ei ole vaikeaa
eikä sitä tarvitse muistaa ulkoa, kun sen tallentaa päätelaitteen
käyttöjärjestelmän muistiin verkon ensimmäisellä käyttökerralla.

Lain mukaan yksinkertaisenkin salauksen murtaminen on Suomessa kiellettyä ja
rangaistavaa. Sellaisia ihmisiä, jotka aikovat rikollisessa mielessä hyötyä
WLAN:sta ja siellä liikkuvista tiedoista, rangaistavuus tuskin hetkauttaa
paljoakaan, joten kannattaa valita kerralla vahva salaus.

Jos motivoituneet salakuuntelijat arvioidaan varteenotettavaksi uhaksi,
tulee muistaa, että jokainen, joka saa WLAN:n esijaetun salasanan haltuunsa,
pystyy purkamaan salauksen kaikesta kuulemastaan kyseisen WLAN:n
liikenteestä. Tämä voi olla erityisen varteenotettava uhka yritysten
tarjoamissa vierailijaverkoissa: verkon tarjoava yritys voi olla luotettava,
mutta joku verkossa vierailijoista ei ehkä ole.