Salasanat ja niiden hallinta vaikuttavat merkittävästi käyttäjien sähköisten
palvelujen tietoturvaan. Usein palveluihin ja järjestelmiin pääsyn edellytys
on salasana, jolla käyttäjä myös todennetaan. Joulukuun teemassa keskitytään
salasanojen käyttöön liittyvään tietoturvaan. Hyvä alku on turvallisesti
muodostettu salasana.

Verkkopalveluissa ja tietojärjestelmissä tarvitaan usein kykyä valvoa ja
rajata sitä, kenellä on oikeus päästä käsiksi palvelun tietoihin tai muuttaa
tietoja. Erityisesti internetpalveluissa salasana on suosittu
tunnistamismenetelmä sen tunnettavuuden ja helppokäyttöisyyden vuoksi.

Käyttäjätunnuksin ja salasanoin suojataan tietoja ja rajataan pääsyä eri
tietojärjestelmiin. Jokaisen on hyvä olla tietoinen yleisimmistä
periaatteista salasanojen turvallisesta käytöstä.

Käyttäjätunnusta ja salasanaa voi ajatella tunnusparina, joista toinen on
julkinen ja toinen taas salainen tieto. Käyttäjätunnus on vähintään
kohtuullisella vaivalla arvattavissa tai selvitettävissä. Hyvä esimerkki
käyttäjätunnuksesta on sähköpostiosoite. Salasana puolestaan on salassa
pidettävä tieto, jonka tarkoitus on varmistaa, ettei käyttäjätunnusta
käytettäisi luvatta.

Mistä salasanoissa on kyse? Miten muodostaa hyvä salasana? Millä menetelmin
salasanoja hyväksikäytetään? Miten hallita salasanoja? Lisäksi verrataan
salasanoja muihin todentamismentelmiin ja annetaan palvelujen ylläpitäjille
perusvinkkejä salasanojen hallintaan. Näitä asioita käsitellään joulukuussa
ja teemakuukauden lopuksi Kyberturvallisuuskeskus julkaisee kootun
salasana-ohjeen.

Vahvaa ja heikkoa käyttäjätunnistamista

Kun käytössä on vain käyttäjätunnus ja salasana -pari, puhutaan heikosta
käyttäjätunnistuksesta. Heikkoa tunnistamista käytetään yleisesti lukuisissa
kuluttajille suunnatuissa verkkopalveluissa sekä järjestelmissä, joissa
suojausvaatimukset eivät ole korkeita. Tällaisia muita järjestelmiä voivat
olla esimerkiksi kuluttajien koti-PC:t tai vaikkapa osa oppilaitosten
tarjoamista tietotekniikkapalveluista.

Käyttäjän vahvalla tunnistamisella pyritään yksilöimään henkilö ja
todentamaan, että hänen antamansa tunnisteet ovat aitoja ja oikeita. Vahva
tunnistautuminen perustuu vähintään kahteen (2) seuraavista vaihtoehdosta:

1. Käyttäjän oma tieto (esimerkiksi salasana)
2. Käyttäjän hallussa oleva tieto (esimerkiksi sirukortti tai
kertakäyttöiset PIN-koodit)
3. Käyttäjän oma biometrinen ominaisuus (esimerkiksi sormenjälki tai
iiris)

Vahvasta tunnistamisesta tyypillinen esimerkki on verkkopanki, jossa
käyttäjällä on käyttäjätunnus, salasana ja hallussa oleva kertakäyttöinen
avainlukulista.

Microsoft on julkaissut pikapäivityksen, joka paikkaa Microsoft Office
-tiedostoihin liittyvän haavoittuvuuden. Haavoittuvuus on jatkoa 14.10.
korjatulle OLE-objektien käsittelyyn liittyvälle haavoittuvuudelle
(CVE-2014-4114).

Kyberturvallisuuskeskuksen tietojen mukaan useisiin suomalaisiin
organisaatioihin on kohdistettu CVE-2014-4114-haavoittuvuuden
hyväksikäyttöyrityksiä. Koska 14.10. julkaistu päivitys ei täysin korjaa
tätä haavoittuvuutta, Kyberturvallisuuskeskus suosittelee asentamaan
Microsoftin tarjoaman ns. Fix It -päivityksen pikaisesti. Päivitys ei asennu
automaattisesti Microsoft Updaten kautta, vaan se pitää asentaa erikseen.

Haavoittuvuuden avulla on mahdollista ajaa mielivaltaista ohjelmakoodia
uhrin tietokoneessa. Haavoittuvuuden hyödyntäminen edellyttää tietyllä
tavalla muotoillun Office-dokumentin (esimerkiksi Word tai PowerPoint)
avaamista sähköpostin liitetiedostosta tai internetistä.

Bash-komentotulkissa on löydetty haavoittuvuus, jonka onnistunut
hyväksikäyttö mahdollistaa hyökkääjän komentojen suorittamisen.

Syöttämällä erityisesti muodostetun ympäristömuuttujan haavoittuvalle
Bash-komentotulkille hyökkääjän on mahdollista suorittaa haluamiaan
komentoja. Komentoja saattaa olla mahdollista syöttää haavoittuviin
järjestelmiin myös verkon ylitse. Haavoittuvuuteen on olemassa julkisesti
saatavilla oleva hyväksikäyttömenetelmä.

* Palvelimet ja palvelinsovellukset
* Työasemat ja loppukäyttäjäsovellukset
* Verkon aktiivilaitteet
* Matkaviestinjärjestelmät
* Sulautetut järjestelmät
* Muut

Kohde

* Palvelimet ja palvelinsovellukset
* Työasemat ja loppukäyttäjäsovellukset
* Verkon aktiivilaitteet
* Sulautetut järjestelmät

Lisätietoa +

Hyökkäystapa

* Paikallisesti
* Ilman kirjautumista
* Etäkäyttö

Lisätietoja hyökkäystavasta +

Hyväksikäyttö

* Komentojen mielivaltainen suorittaminen

Lisätietoja hyväksikäytöstä +

Ratkaisu

* Korjaava ohjelmistopäivitys
* Ongelman rajoittaminen

Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

* GNU Bash 4.3 ja aikaisemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet:

* Päivitä haavoittuva komentotulkki käyttöjärjestelmän
päivitystoiminnon avulla.

Applen iPhone 4 -puhelimiin ei enää saa tuoreinta käyttöjärjestelmää. Uusin
tähän malliin saatavilla oleva käyttöjärjestelmä on iOS 7, jonka
Safari-mobiiliselaimessa on haavoittuvuus johon on myös vapaasti saatavilla
oleva hyväksykäyttömenetelmä. Selaimen haavoittuvuuden onnistunut
hyväksikäyttö yhdessä toisen haavoittuvuuden kanssa mahdollistaa hyökkääjän
ohjelmakoodin suorittamisen puhelimessa. Koska hyväksikäyttömenetelmää
jaellaan internetissä, on haavoittuvuuen hyödyntäminen todennäköistä.
Haavoittuvuuden johdosta Kyberturvallisuuskeskus ei suosittele käyttämään
Safari-selainta iPhone 4 tai sitä vanhemmissa puhelimissa. Myös iOS 7
käyttöjärjestelmää hyödyntävien iPod Touch- ja iPad-laitteiden
Safari-selaimet ovat haavoittuvaisia hyväksikäyttömenetelmälle.

Tämä tapaus korostaa vanhentuneiden laitteiden käytön ongelmaa.
Vanhentuneisiin laitteisiin ja käyttöjärjestelmiin ei ole enää saatavilla
korjauspäivityksiä. Näin ollen laitteet jäävät pysyvästi alttiiksi uusille
hyväksikäyttömenetelmille. Ongelma on vastaava kuin esimerkiksi Windows XP
-käyttöjärjestelmätuen loppuminen keväällä: Löytyneitä haavoittuvuuksia
voidaan käyttää loputtomasti uudelleen.