maanantai 12. marraskuuta 2012

Vuosi salasanavuodoista

Vieläkö muistat, mistä kohuttiin vuosi sitten tähän aikaan? Salasanavuodoista. Ja oli joukossa sähköpostiosoitteitakin (hui!) -- juuri tänään (12.11.) niitä julkaistiin peräti puoli miljoonaa. "Salasanat vaihtoon HETI!" oli komento.

Ensimmäinen vuoto (5.11.) oli vakavin, koska siinä paljastettiin ihmisten kotiosoitteita ja henkilötunnuksia. Viihdepalvelujen salasanat tai julkiset sähköpostiosoitteet eivät olleet kovin vaarallisia. Uhkaukset julkistaa sähköpostiosoitteisiin liittyvät salasanat osoittautuivat perättömiksi.

Pahat pelot eivät toteutuneet, mutta muutamia väärinkäyttöjä tuli ilmi. Uhreja peloteltiin tietojen julkistamisella (HS 3.1.2012). Keväällä poliisilla oli viisi väärinkäyttötapausta tutkinnassa, mutta silti uhrit "saattoivat huokaista helpotuksesta" (MTV3 uutinen 17.3.2012).

Varsinaisia vahinkoja huolestuttavampaa on poliisin voimattomuus rikosten selvittämisessä. Tiettävästi yhdenkään hakkerin tai salasanojen vuotajan jäljille ei päästy, syyttämisestä tai tuomitsemista puhumattakaan.  Entä jos kyse olisi ollut vakavammista rikoksista? Ovatko hakkerit lain ulottumattomissa, koska tekninen osaaminen antaa heille kyvyn ja sitä kautta oikeuden peittää jälkensä? Tämä on piraateilta usein kuultu argumentti.

USA:ssa Stratforin salasanavuodolla oli hieman Suomen tapahtumia laajemmat seuraukset. Yksi yhtiön asiakkaista oli muuan Paula Broadwell, jonka salasana paljastui vuodon mukana, ja jonka nyt tiedämme olleen CIA:n johtajan salarakas. Ars Technica spekuloi kiinnostavasti, pääsikö joku ulkopuolinen lukemaan Petreuksen ja Broadwellin välisiä henkilökohtaisia sähköposteja? Osasiko kenraali varoa Gmailin käyttöä?

Ymmärsikö Anonymous, millainen jättipotti sillä mahdollisesti oli käsissään? Ja ellei Anonymous ymmärtänyt, ymmärsikö jonkun vieraan vallan tiedustelupalvelu, joka oli suurta yleisöä paremmin perillä Petreuksen ja Broadwellin salaisuuksista?

Kannattaa olla huolellinen salasanojensa suhteen ja varoa sähköpostin käyttöä -- oli sitten CIA-johtaja tai tavallinen yrityksen työntekijä!

Lisäys 13.11.2012: Viestinnän salaamisessa oli näköjään käytetty vanhaa Al-Qaida-kikkaa, kertoo Iltasanomat. Ilmeisesti CIA on oppinut jotain jahtaamiltaan terroristeilta. Tosin 9/11-iskun tekijät käyttivät Hotmailia, Gmailia ei silloin vielä ollut (harva tunsi edes Googlea nimeltä).

1 kommentti:

Jouni Laurila kirjoitti...

Yleensä ajatellaan ettei siellä söhköpostissa ole mitään tärkeää, mutta vuosien aikana sinne vain kertyy yhtä sun toista.

Lienee syytä siirtyä kaksinkertaiseen kirjautumiseen.
Itse otin Googlella ja Dropboxilla käyttöön.

Googlessa tuli yllättävän monessa paikassa käyttöön kertasalasanoja ja varmistuskoodeja, mutta aika pian homma toimi sujuvasti.
Dropboxi meni aika paljon helpommalla.

Website Security Test