Sydän lyö ja salasanat vuotavat. Joko vaihdoit omasi?

Sydän lyö aivojen määräämää tahtia. Joka lyönnillä sydän imee laskimoista verta sisään ja syöksee valtimoista ulos hapella rikastettua verta. Muuta kuin verta siellä  suonissa ei juurikaan (toivottavasti) liiku. Onneksi jokaisen henkilön verenkierto on kuin suojattu järjestelmä. Jokainen laskimo, valtimo, suoni ja kapillääri ovat suojattuja yhdyskäytäviä. Näin on DNA:ssa määritelty. Kukaan ei helpolla pääse varastamaan verta tai yleensäkään kertomaan aivoille, millä taajuudella sydämen pitäisi lyödä tai miten paljon verta tulisi jokaisella lyönnillä pumpata. Eikä DNA:ta pysty ihan helpoilla työkaluilla kopiomaan. Toki verenkiertoon pääse käsiksi, niin kuin monet leijonia karkuun juoksevat gasellit Afrikan savanneilla tietävät. Mutta silloin koko järjestelmä hajoaa.

Miten sydämen toiminta liittyy tietoturvaan? Maailmaa on hiljattain ravistellut iso Heartbleediksi kutsuttu haavoittuvaisuus, joka koskee yli puolta internet liikenteestä. Ja nyt ei ole kysymys pelkistä yksinkertaisista webbipalveluista, vaan kohteena voivat olla myös sähköpostipalvelimet, tietokannat, IaaS/PaaS/SaaS palvelut, VoIP ja puhelinkonferenssipalvelut, kassapäätteet, lääkintälaitteet, hissit ja kuljettimet sekä teollisuusautomaatio. Kaikki. Nyt puhutaan jo esineiden internetistä. Ja se onkin luultua haavoittuvaisempi.

Internetissä käytetään suojattuja yhteyksiä suureen osaan liikennettä. Esimerkiksi kun käydään pankissa, selaimen osoitekentässä näkyy silloin “https://” normaalin http:// sijaan. “s” tarkoittaa salattua.

Kun salattu yhteys avataan, vastaanottajan ja lähettäjän järjestelmät sopivat keskenään, kättelevät, ja sopivat salausavaimista. Kun tämä yhdyskäytävä on muodostettu eikä muuta liikennettä vielä ole, esimerkiksi kun käyttäjä kirjoittaa selaimeen pankkitunnuksiaan tai täyttää jotain lomaketta – lähetetään tasaisin väliajoin sydämenlyöntiä muistututtavaa liikennettä edestakaisin, jotta yhteys pysyisi auki.

Sydämenlyönti sisältää hyötykuorman, kirjekuoren, joka voi olla tyhjä tai täynnä tavaraa. Tyypillisesti se on tässä vaiheessa tyhjä, koska mitään tietoja ei vielä vaihdeta. Lähettäjä kirjoittaa aina kuoreen, miten paljon tavaraa kirjekuori sisältää ja miten paljon voi odottaa vastaukseksi. Vastaanottaja luottaa lähettäjään sokeasti.

Esimerkiksi: “Vastaa minulle MUMMO 5 kirjaimella”. Vastaanottaja säilyttää viimeisimmän liikenteen välimuistissa ja poimii suoraan sieltä pinon päältä MUMMO. Jos nyt lähettäjä kirjoittaa “Vastaa minulle MOPO 500 kirjaimella”, vastaanottaja poimii MOPO plus 496 kirjainta pinon päältä jolloin todennäköisyys on suuri että viesti silloin sisältää ainakin varsinaiset kruununjalokivet, eli itse salausavaimet.

Kun salausavaimet ovat hallussa, voi sanoa että pankkiholvin ovi on auki. Nyt kaikki liikenne on luettavissa, oli se sitten henkilökohtaista tietoa, sähköposteja, dokumentteja tai mitä tahansa muuta luottamuksellista tietoa.

Haavoittuvaisuuden korjaaminen kokonaan tullee kestämään pitkään. Monet yritykset ovat kuitenkin jo hoitaneet asian kuntoon. Nyt on jokaisella oivallinen aika käydä vaihtamassa omat salasanat suosituimmista palveluista. Varsinkin jos on tullut viime viikkojen aikana tehtyä luottokorttiostoksia internetin kautta.

Hyvän salasanan salat

Millainen hyvän salasanan tulisi olla? Ei ainakaan 123456 – joka ehkä yllättävää kyllä on maailman suosituin salasana, heti 1234567 jälkeen. Senhän arvaa apinakin.

Ei, vaan salasana kannattaa muodostaa pienistä ja suurista kirjaimista, numeroista ja merkeistä. Joka palvelulle kannattaa olla oma salasanansa, riippumatta siitä että niitä on kymmeniä, ehkä jopa satoja.

Käytännössä tämä kuitenkin on hankalaa ellei a) käytä siihen tehtyä ohjelmaa kuten LastPass, tai b) kehitä siihen omaa tunnussanajärjestelmää.

Omassa järjestelmässä tunnussana voi koostua kiinteästä ja vaihtelevasta osasta jolloin se on helpompi muistaa. Kiinteä osa voi olla jonkun helposti muistettavan lauseen sanojen ensimmäiset kirjaimet plus numeroyhdistelmä.

Esimerkiksi “Kulkee kuin mummo hangessa”. Siihen perään vaikka syntymävuosi takaperin jolloin saadaan KkMh86. Loppuun vielä vaikka palvelun nimi takaperin ja joku merkki; KkMh86liamG%. Mitä pidempi salasana, sen turvallisempi se on.

Sen jälkeen salasana täytyy enää muistaa. Tai edes muistaa, missä se muistilappu on mihin se tuli varmuuden vuoksi kirjoitettua. Välimuisti kun on ihmisillä heikompi kuin tietokoneilla riippumatta siitä, mitä on DNA:han koodattu. Tai ehkä se on vain harjoituksen puutetta?

 

 

Kim Nyström, Head of Sales and Marketing, Cyber Security, Combitech

 

Avainsanat: tietoturva

Kommentit