Jotenkin koen itseni vastuulliseksi vastata tähän, kun ainakin yritän hoitaa tietoverkon turvallisuuden ylläpitoa myös työkseni.
Ennenkuin kyseenalaistaa WLAN-verkon turvallisuuden, kannattaa miettiä ihan normaalien yhteyksiensä turvallisuutta. Itse en enää luota siihen, että mikään internet-yhteys olisi täysin turvallinen ilman salausta. Tämä on käytännön tosiasia, etenkin kun internet-palveluntarjoajat ovat paisuneet niin jättiläismäisiksi. En halua nimetä tai sen paremmin osoitella ketään, mutta kokemukset aivan yksinkertaisista tietoturvapalveluista ovat niin masentavia, etten luottaisi salaamattoman tiedon kulkevan ilman tarkkailijoita operaattorin runkoverkossa. Voitte aivan vapaasti luokitella minut paranoidiksi, myönnän aika-ajoin hieman olevanikin.
Vaikka kyse ei olisi pankkiyhteydestä tai muusta yhtä tärkeästä, ei kannata uskotella itselleen, että "kuka minun sähköpostin / web-hotellin salasanalla muka mitään tekee". Harvemmin rikolliset haluavat kenenkään web-sivuja sutata, mutta tietovarkaat ovat aina vaikeampi jäljittää jos jäljet johtavat pentti-peruskäyttäjän tunnuksiin ja loppuvat siihen. Kannattaa miettiä tätä, vaikkei se kovin todennäköiseltä tuntuisikaan.
Suurin osa internet-liikenteestä on edelleen salaamatonta. Onneksi kukaan ei nykyään enää telnettiä käytä (kuin ehkä sisäverkossa diagnostiikkaan tms), mutta se, FTP (normi tiedonsiirto), HTTP (webbi), POP3/IMAP/SMTP (sähköpostiliikenne) ovat esimerkkejä sellaisia protokollista, joissa ei lähtökohtaisesti mitään salausta käytetä. Kaikki nämä ovat kuitenkin salattavissa. Telnetin on hyvin korvannut jo SSH (secure shell), tiedonsiirtoliikenne esim. webbihotelliin onnistuu nykyään myös SSH:n yli tunneloituna. Perusprotokollien tyypillinen salaustekniikka on laittaa se kulkemaan SSL:n yli (secure socket layer), jolloin protokolla pysyy samana mutta välissä on vain rajapinnat jotka salaavat ja purkavat salauksen. Tällä tavalla salatut protokollat tunnistää yleensä s-kirjaimesta protokollan alkuperäisen kirjainyhdistelmän alussa tai lopussa (esim. SFTP, HTTPS, POP3S, IMAPS).
Eli aina kun laitat tunnuksesi ja salasanasi maailmalle ilman minkäänlaista salausta protokollassa, se on mahdollista siepata. Mitä pidemmällä palvelin on, sen todennäköisemmin.
Tältä pohjalta kannattaa miettiä, kuinka arkaluontoista tietoa kannattaa mihinkäkin syöttää. Normaali web-surffailu, foorumeille kirjoittelu yms. ei välttämättä salausta kaipaa, mutta sähköpostin kohdalla olisin jo aika tarkka, ainakin tunnuksien suhteen. Jos sähköpostin sisällön haluaa pysyvän turvattuna koko reitin vastaanottajalle asti, on suositeltavaa salata koko sisältö protokollista välittämättä käyttäen PGP:tä tms. Tämä vaatii hieman enemmän panostusta, mutta se maksaa kyllä itsensä takaisin saavutettuna yksityisyytenä.
WLAN sekoittaa pakkaa vain sen pätkän osalta, jonka liikenne kulkee tietokoneelta tukiasemaan, siitä edespäin se yleensä jatkaa johtoja myöden. Jos käyttää lähtökohtaisesti turvallisia protokollia, ei tuon liikenteen "sniffaamisesta" juuri ole iloa, oli se sitten salaamatonta tai ei. Mahdollisuuksien mukaan tietenkin kannattaa tämäkin liikenne suojata niin hyvin kuin mahdollista. En ole täysin ajantasalla sen suhteen, mikä noista salaustekniikoista pystytään jo murtamaan. Tämä on hieman myös kiinni käytettävästä raudasta, tukiasemista ja verkkokorteista, sekä osittain myös käyttöjärjestelmistä raudan perässä. Käsittääkseni WPA on WEP:iä parempi, ja nyrkkisääntönä: mitä enemmän bittejä salauksessa, sen hankalampi se on murtaa. Mahdollisimman pitkä salasana (tämän voi nykyään melko huoletta antaa koneen tallentaa, vaikka riskinsä on siinäkin) ja riippuen riskistä tätäkin on syytä vaihtaa niin usein kuin mahdollista (=käytännöllistä). Ylläpitäjät, astukaa myös käyttäjän kenkiin näissä tapauksissa; kuinka mukava tällaista verkkoa on sitten käyttää, kun aina pitää ruikuttaa salasanoja jostain.
Niin, ja jollei lähiverkkokaapelointi ole toteutettu erittäin hyvin häriösuojatulla kaapelilla, voi sitäkin "kuunnella" vaikka rakennuksen ulkopuolelta, jos on aikuisten vehkeet. Legendan mukaan Suomessakin Setecin pihoille ilmaantuu parkkeerattuja "mustia pakuja" joita joudutaan sieltä hoputtelemaan muualle. Se, kuinka paljon jonkin tiedon kalastelussa halutaan mennä, rippuu toisinaan myös siitä kuinka arvokasta se on.
VPN on pätevä systeemi esim. liikenteen kotoa töihin salaamista varten, ja tätä tulisi harrastaa myös lankayhteyksissä. VPN on tavallaan verkkoyhteys toisen verkkoyhteyden sisällä. Ulospäin se näkyy yhtenä salattuna yhteytenä, mutta verkkoyhteyttä käyttävät ohjelmat eivät salauksesta tiedä tai siitä välitä. Vähän kuin menisi oma piuha töihin. Fiksu keksintö, mutta pidetään jälleen mielessä, että liikenne on sittenkin salattu vain välillä koti- työpaikka. Eikä kaksin- tai kolminkertainen salaus mitään haittaa, paitsi niitä jotka yhteyttä luvatta koittavat seurata. Ei siis kannata luopua "ylimääräisistä" salauksista, vaikka käyttäsikin VPN-yhteyttä.
Tässä tällainen perusannos dataa, jonka ei ole tarkoitus vastata niinkään alkuperäiseen kysymykseen kuin tuoda esille perspektiiviä verkkojen tietoturvaan yleensä. Ja nämäkin ohjeistukset pätevät vain tapauksiin, joissa ongelmana on verkon kuuntelu. Jos jokin taho pystyy asettumaan suoraan Sinun ja palvelimen välille, johon olet yhteydessä, ei edes vaihtuvista salasanoista ole hyötyä. Niin kireälle ei foliohattua kannata kuitenkaan vetää, muuten elämä vaikeutuu liikaa.
EDIT: Täällä oli aikoinaan juttua aiheesta, kannattaa lukea jos lontoonkieli ei pelota. Vanhat slashdot-keskustelut on siitä hyviä, että sieltä on kaikki paskapuhe moderoitu näkymättömiin. Linkki:
WPA Weak Key Cracker Posted. Artikkelikin on ihan hyvä, lukekaa ainakin /.:n summary niin pääsee vähän kärryille missä on menty jo vuosi sitten.
![[:P]](./images/smilies/icon_razz.gif "Kieli"){kind=icon}
![[:$]](./images/smilies/icon_redface.gif "Punastuu"){kind=icon}
... Avoimessa verkossa en itse ainakaan postejani lue, varsinkin paikoissa jossa on paljon ihmisiä. Ei ole kovin vaikeaa ladata netistä valmista ohjelmaa, joka laitetaan kuuntelemaan koko verkon liikennettä ja nappaamaan sieltä avainsanojen passwd tms mukaisia tietoja. Pankkipalveluita (tai muita esim SSL:llä suojattuja) uskaltaisin ehkä silti käyttää hätätilanteessa. Avoimet WLAN verkot soveltuu siis hyvin surffaukseen ja esim hopeisen ompun lukemiseen/postailuun. Töitä niissä ei kannata tehdä, ellei käytä edellämainittuja suojauskeinoja, kuten VPN:ää.
