Kampus
29.11.2017

Verkon kuokkavieraat – hakkerit koettelevat myös Turun yliopistoa

Teksti:
Nelli Lapintie
Kuvat:
Bruce Rolff / 123RF Stock Photo

Hakkerit onnistuvat tunkeutumaan Turun yliopiston palvelimiin vuosittain. Suurimmat tietoturvauhkat ovat vääriin käsiin päätyneet käyttäjätunnukset ja päivittämättä jääneet sivustot.

Marraskuussa 2011 Ylilauta-sivustolle ilmestyi Hetudump.txt-tiedosto. Sen kautta yli 16 000 suomalaisen henkilötiedot vuotivat julkiseksi Suomen suurimmassa tietomurrossa. Mukana oli noin 4 000 Itä-Suomen yliopiston opiskelijan tiedot. Moni heistä haki itselleen luottokieltoa, jotkut kohauttivat harteitaan.

Tilanteen vakavuus valkeni, kun huijarit ottivat henkilötietoja käyttöön. Henkilötunnuksilla ostettiin luotolla autoja ja kallista elektroniikkaa. 

Vaikka alkuperäinen tiedosto on aikaa sitten poistettu Ylilaudalta, ilmestyy siitä johonkin aina uusi kopio. 

"Meillä on käynyt parempi tuuri"

Voisiko sama tapahtua Turun yliopistossa? Yliopiston tietoturvapäällikön Mats Kommosen mukaan se on teoriassa mahdollista.

”Emme tiedä kaikkea, mitä palvelimilla tapahtuu. Jossain saattaa olla murrettavissa oleva palvelu.”

Tietoturvapäällikkö arvelee, että Itä-Suomen yliopistossa käytössä saattoi olla vanhentunut järjestelmä, jonka takia tietomurto oli mahdollinen.

”Maailma on täynnä tahoja, jotka skannaavat internetiä läpi ja napsivat sieltä sivustojen vanhentuneet versiot. Meillä on käynyt lukuisia kertoja vastaavia murtoja, mutta järjestelmissä ei ole ollut tietoa, jota Itä-Suomessa sattui olemaan. Meillä on käynyt parempi tuuri.”

Turun yliopiston järjestelmään tunkeutuvat hakkerit ovat usein mainetta havittelevia opportunisteja, jotka kokeilevat, kuinka moneen paikkaan onnistuvat murtautumaan. Hakkeri voi päästä samoilla murtautumisvälineillä sisään jopa tuhanteen eri palvelimeen.

”Itä-Suomen tapauksessa oli menty tarkoituksella sisään juuri tiettyyn järjestelmään, haettu tietyt tiedot ja päätetty laittaa ne jakeluun. Se oli kohdennettu murto, mikä ei ole yleistä.”

Kommonen arvioi, että Turun yliopiston palvelimiin onnistutaan tunkeutumaan vuosittain.

”Joskus ongelma huomataan nopeasti, mutta joskus kestää pitkään havaita, että järjestelmässä on jotain mätää. Sen vuoksi palvelimien tiukka ylläpito on välttämätöntä.”

Yleensä ovea murtautujille raottaa huonosti ylläpidetty ja päivittämätön Wordpress- tai Joomla- julkaisualusta. Ainejärjestöt tai tutkimusprojektit saattavat pystyttää sivustoja, jonka ylläpitäjä vaihtuu ja julkaisusta huolehtiminen unohtuu.

Julkaisujärjestelmiä tulisi kuitenkin päivittää kuukausittain tai jopa viikoittain.

”Jos julkaisualustaa ei ole päivitetty puoleen vuoteen, se on luultavasti murrettu ja sivustolle on kertynyt niin iso päivitysrästi, että se pitää tehdä kokonaan uudestaan.”

”Voitte toki ilmoittaa poliisille”

Turun yliopiston pahin tietoturvamurto tapahtui vuosituhannen vaihteessa. Silloin hakkeri onnistui murtautumaan yliopiston palvelimiin ja soluttautumaan verkkopalvelimen pääkäyttäjäksi.

Tekijä esitteli itsensä serbialaiseksi crackeriksi.

”Voitte toki ilmoittaa poliisille. Arvatkaa vaan, millaisia ne ovat Serbiassa”, hakkeri viestitti it-tuelle.

Mats Kommosen mukaan iskun jälkien siivoaminen oli iso operaatio.

”Haavoittuneet palvelimet rakennettiin uudelleen ja kaikki salasanat vaihdatettiin – jokainen joutui hakemaan yliopiston tiskiltä uuden. Siinä laitettiin 10 000 ihmistä liikkeelle.”

Tänä päivänä vastaava murto on Kommosen mukaan lähes mahdoton.

”Yliopiston sadat palvelimet on eristetty ulkomaailmasta perusteellisesti. Niissä on tietty reikä, mistä käyttäjät pääsevät käsiksi palveluihin. Ylläpitokäyttöoikeuksia suojataan hyvin.”

Pääsääntöisesti tietokoneiden murtamiseen on kaksi väylää. Yksi tapa on haittaohjelma, joka käyttää koneen heikkouksia hyväkseen. Yleisin keino on huijata käyttäjää tekemään jotain, mikä murtaa koneen tietoturvan.

Tiukasti valvottujen ylläpito-oikeuksien ansiosta yliopiston tietokoneille ei voi vahingossa ladata haittaohjelmia. Yleisin tietoturvauhka onkin se, että käyttäjät eivät huolehdi kunnolla tunnuksistaan ja salasanoistaan.

”Käyttäjätunnusta itsessään emme voi suojata samalla tavalla”, Kommonen huomauttaa.

Vääriin käsiin päätyneet käyttäjätunnukset havaitaan, kun niitä käytetään runsaasti esimerkiksi toisella puolella maailmaa tai kun niiden avulla lähetetään roskapostia ja huijausviestejä. Kommosen mukaan väärinkäyttöä havaitaan kuukausittain.

”Käyttäjätunnuksia päätyy vääriin käsiin monesti useita kerralla, jos yliopistolle on saapunut tavallistakin uskottavamman näköisiä huijausviestejä.”

Keväällä 2018 astuu voimaan Euroopan unionin uusi tietosuoja-asetus. Se vaikuttaa etenkin siihen, miten yritysten tulee huolehtia henkilötiedoista.

Mats Kommonen muistuttaa, että yliopiston tai valtion täytyy huolehtia tietoturvasta vielä tarkemmin kuin kaupallisten yritysten. Tämä tulee ottaa huomioon palveluita ulkoistettaessa.

Monien korkeakoulujen sähköpostit on esimerkiksi ulkoistettu jättiyhtiö Microsoftin Office 365 -palveluun. Turun yliopistossa sähköposteja ylläpidetään kuitenkin vielä paikan päällä.

Kommosen mukaan Microsoftin sähköpostijärjestelmän tietoturva on hyvällä tasolla, mutta mahdolliseen tiedustelutoimintaan yliopistot eivät voi vaikuttaa.

”Amerikkalaisen palveluntarjoajan tietoihin on amerikkalaisella tiedustelupalvelulla pääsy.”

Palvelujen harkitsematon ulkoistaminen voi pahimmillaan johtaa katastrofiin. Tänä vuonna niin kävi Ruotsissa.

”Ruotsalaisten agenttien henkilöllisyydet ovat saattaneet paljastua”, Dagens Nyheter uutisoi heinäkuussa.

Lehti kertoi, kuinka Ruotsin kuljetushallituksen ajokorttirekisteri oli ulkoistettu teknologiayritys IBM:lle Tšekkiin. Yrityksen it-teknikoilla oli pääsy rekistereihin, vaikka heistä ei ollut tehty lainkaan turvatarkastuksia. Rekisterit sisälsivät ajokorttitietojen lisäksi muun muassa salaiseksi luokiteltua tietoa agenteista ja rikollisista.

Skandaali johti hallituskriisiin.

”Ruotsin tapaus oli uniikki sen takia, että rekistereissä oli aidosti arkaluontoisia tietoja. Ei niitä olisi saanut antaa alihankkijalle”, Kommonen sanoo.

Vanhoissa älypuhelimissa piilee tietoturvariski

”VAKAVA VIRHE wpa2:ssa, hyökkääjät pystyvät sieppaamaan salasanoja ja paljon muuta”, tekniikkajulkaisu Ars Technica uutisoi lokakuussa.

Wpa2 on yleisin wifin salaamiseen tarkoitettu menetelmä. Se varmistaa, että langatonta internetiä voi käyttää turvallisesti ja yksityisesti. Belgialaisen KU Leuvenin yliopiston tutkijat selvittivät, että salausmenetelmä ei kuitenkaan ole niin turvallinen kuin luultiin. Se on itse asiassa täynnä reikiä.

”Melkoinen pommi”, suomalainen tekniikkajulkaisu Tivi otsikoi.

Ars Technicassa epäillään, että suurta osaa wifi-yhteyksistä ei tulla korjaamaan.

”Suurin vaara wpa2-verkossa on vanhat kännykät. Ne jäävät ikuisiksi ajoiksi haavoittuvaisiksi laitteiksi ja niiden käyttäminen ei ole turvallista enää”, Turun yliopiston
tietoturvapäällikkö Mats Kommonen sanoo.

Halpoihin älypuhelimiin on saatavilla vain muutamia päivityksiä oston jälkeen. Kun vanhaa puhelinta ei voi päivittää, ei wpa2 heikkous korjaannu. Myös päivittämättömän puhelimen internet-selain altistaa haittaohjelmille.

Kommosen mukaan jo iPhone 5:n käyttäminen on niin vaarallista, ettei sen wifiä tai bluetoothia tulisi kytkeä päälle.

”En käyttäisi mitään puhelinta, johon ei ole viimeisen kahden kuukauden aikana tullut päivitystä.”

OLI VANHA PUHELIN yhteydessä sitten eduroamiin tai kotiverkkoon, dataliikenteeseen voi murtautua päivittämättömän laitteen kautta. Jos kotona on muita älylaitteita, esimerkiksi toinen puhelin tai vaikka leivänpaahdin, haittaohjelmat voivat levitä myös muihin laitteisiin.

Yliopiston verkossa laitteet eristetään niin, että hyppimistä ei pääse tapahtumaan. Kommonen ei silti suosittele vanhojen laitteiden käyttämistä edes yliopiston verkossa.

”Kyllä niitä puhelimena voi käyttää, soittamiseen esimerkiksi.”

Tietoturvapäällikön vinkit verkkoon

  1. SUOJAA VERKKOYHTEYS VPN:llä (virtuaalinen erillisverkko). VPN ei ole välttämätön päivittäisessä surffailussa, mutta sen käyttö on tärkeää etenkin ulkomailla ja avointa wifiä käyttäessä. Turun yliopisto tarjoaa opiskelijoilleen ilmaisen VPN:n, jonka voi ladata intranetistä.
     
  2. KÄYTÄ SISÄLLÖNSUODATUSTA aina tietokoneella. Internet-selaimen lisäosat, kuten Ghostery, estävät ja hallitsevat käyttäjästä tietoa kerääviä evästeitä.
     
  3. HUOLEHDI, että puhelimessasi on viimeisin päivitys. Vanhentuneella järjestelmällä toimiva laite ei ole enää turvallinen.
     
  4. UTU-MAILIEN välillä on turvallisempaa lähettää sähköposteja kuin esimerkiksi utu-mailin ja Gmailin välillä.
     
  5. MIETI AINA, miksi ilmainen palvelu on ilmainen. Keneltä se saa maksun? Mitä tietoa se sinusta kerää, keille se tiedon myy ja onko se sinulle hyvä asia vielä kymmenenkin vuoden päästä? Kaikki eivät myy pelkkää mainostilaa. Tähän liittyy sanonta: “If you are not paying for something, you are the product being sold”.

Lue lisää:

Opiskelijoita huijattu tekaistuilla Tinder-profiileilla

Turun yliopiston opiskelijoiden tietoja ja kuvia on kalasteltu tekaistujen Tinder-profiilien kautta. Tinder on verkossa toimiva suosittu deittipalvelu. (12/2016)

Bittien viemää

Joulukuun alussa Youtube-videopalvelulla oli ongelma. Yhden videon, joka sattui olemaan Etelä-Korealaisen Psyn musiikkivideo kappaleelle Gangnam Style, katsomiskertalaskuri oli lähestymässä suurinta mahdollista lukua, jonka se pystyi esittämään. Kiireessä, ennen kuin mitään ehti tapahtua, Youtuben ohjelmoijat korjasivat laskurin. Vaikka oikeastaan mikään ei ollut rikki. (01/2015)

Instagate – eli Ben Zyskowicz ja sosiaalisen median oppitunti

Hallituksen kyselytunti venyi eilisessä TYYn edustajiston kokouksessa ennätyspitkäksi. Niin sanottu instagate herätti kritiikkiä nykyistä hallitusta kohtaan, jonka nähtiin toimineen epätasapuolisesti. Hallitus säilytti kuitenkin edustajiston luottamuksen. (2/2015)