Maanantaina tietoturvatutkijat pudottivat melkoisen uutispommin: wlan-yhteyksien salaukseen yleisesti käytetty wpa2-protokolla on saatu murrettua. Kyse on vakavasta ongelmasta, sillä miljoonat ja miljoonat laitteet luottavat nimenomaan wpa2-salaukseen wlan-yhteyksien suojauksessa.

Ongelman vakavuudesta huolimatta sen vaikutus yksittäiseen kotikäyttäjään on erittäin vähäinen eikä sen takia kannata tehdä wlan-tukieasemasta verkonpainoa ja siirtää puhelinta mikroaaltouuniin säilöön. Toisin kuin joissain uutisissa on annettu ymmärtää, salauksen murtuminen ei esimerkiksi vaaranna käyttäjän puhelimen sisältöä tai avaa koko laitetta hakkereiden hyökkäyksille.

Paras tapa hahmottaa wpa2-aukon vaikutusta on suhtautua myös salattuun verkkoon samalla tavoin kuin mihin tahansa avoimeen verkkoon kahvilassa tai hotellissa. Toisin kuin avoimessa verkossa, wpa2-salatun verkon kuuntelu kuitenkin vaatii, että hakkeri pystyttäisi käyttäjän verkon läheisyyteen oma tukiasemansa, jonka kautta käyttäjän verkkoliikenne pitäisi saada kiertämään.

Lopputulemana voidaan olettaa, että keskiverto kotikäyttäjällä tuskin on hallussaan niin haluttavaa tietoa, että rationaalinen hyökkääjä olisi valmis kaikkeen tarvittavaan vaivaan. Massatkin suojelevat: kun kaikki ovat haavoittuvia, hyökkäyksen osuminen omalle kohdella on erittäin epätodennäköistä.

Lisäksi varsinaisia skriptejä haavoittuvuuden hyödyntämiseen ei ole vielä edes julkaistu, mikä kuitenkin tapahtunee pian.

Vaikka joku näkisikin vaivan wlanin salakuunteluun, peli ei ole menetetty. Varsinaisen wlanin suojaus on vain yksi osa ketjua. Verkkoa kuunteleva hakkeri ei saa käsiinsä esimerkiksi salasanoja tai pankkitunnuksia, kunhan liikenne käyttäjän laitteen ja nettipalvelun kuten verkkopankin välillä on salattua.

Pankkien osalta näin on käytännössä aina, muiden nettipalveluiden tilanne vaihtelee, vaikka salatut yhteydet ovatkin yleistyneet reippaasti. Yhteys on salattu, mikäli osoiterimpsu alkaa kirjaimilla ”https” ja osoiterivillä on  vihreä munalukkosymboli.

Sama pätee myös mobiilisovelluksiin, joista valtaosa siirtää tärkeän tiedon kuten salasanat puhelimelta verkkopalvelimelle salattuja https-yhteyksiä käyttäen.

Jos tietoturvastaan haluaa olla tarkka, vpn-yhteyksiä käyttämällä verkon suojauksen murtanut hakkeri jää täysin pimentoon, kun kaikki liikenne salataan laitteen ja vpn-palvelimen välillä.

Päivitä kaikki mahdollinen

Paras keino varmistaa oma tietoturvansa kaikissa tilanteissa on pitää laitteidensa ohjelmistot ajan tasalla. Wpa2-haavoituvuuden tapauksessa tärkeintä on päivittää nimenomaan wlan-yhteyksiä käyttävät asiakaslaitteet eli puhelimet, läppärit, televisiot ja muut älylaitteet. Esimerkiksi Viestintäviraston Kyberturvallisuuskeskus kertoo, että ongelma ei ratkea kotireitittimen ohjelmiston päivityksellä. Senkin päivittäminen toki kannattaa aina.

Isoimmista valmistajista Microsoft on jo julkaissut tuen piirissä oleville Windows-versioille omat päivityksensä ja Googlella sekä Applella päivitykset ovat työn alla. Android-käyttäjät tosin joutuvat odottelemaan kukin oman laitteensa valmistajan päivitystä. Linux-puolella päivitys on olemassa ainakin Debian-pohjaisille linux-jakeluille kuten Debianille, Ubuntulle ja Linux Mintille.

Sen sijaan älykkäälle tv:lle, jääkaapille, pesukoneelle, vaa’alle tai valoille päivitys tulee joskus tulevaisuudessa tai sitten ei ollenkaan. Jos päivitystä ei tule, laitteiden lähettämä tieto on alttiina vakoilulle, jos valmistaja ei ole rakentanut mukaan salausta. Todennäköisesti ei ole.

Silloin kannattaa pohtia kuinka suuri ongelma tietojen joutuminen vääriin käsiin olisi. Tämäkin vain siinä epätodennäköisessä tapauksessa, että joku vaivautuisi verkkoa vakoilemaan. Kannattaa muistaa, että hakkeri ei kykene verkon kautta kaappaamaan laitteita, vain kuuntelemaan niiden viestintää.

Jos ei halua televisionkatselutietojensa joutuvan vääriin käsiin, ei ole muuta vaihtoa kuin siirtyä joko langallisiin yhteyksiin tai poistaa verkkoyhteys käytöstä. Sama pätee esimerkiksi jääkaappeihin ja vaakoihin. Harvalle laitteiden yksityisyys lienee niin tärkeää, että niistä kannattaisi luopua.

Yllä oleva teksti ei ainakaan kaikilta osin päde yrityksiin, joiden verkossa liikkuu kriittistä tietoa. Myös yritykset voivat kuitenkin pääsääntöisesti suojautua esimerkiksi vpn-yhteyksiä käytämällä.