Avoimen WLAN-verkon tietoturva.

[Hajakenttä]

Tiedotusvälineissä on varoiteltu käyttämästä julkisia, avaimettomia WLAN-verkkoja lentoasemilla, matkakeskuksissa, junissa ja missä nyt onkin sellaisia saatavilla yleisölle. Kysyisin asian vakavuudesta: mihin tietoturvan uhat oikein perustuvat ja onko tosiaan vakavasti otettavia uhkia olemassa? Koskevatko mahdolliset uhat myös Linuxia? Kohdistuvatko uhat verkossa oleviin käyttäjiin muiden käyttäjien suunnalta vai verkon ylläpitäjän suunnalta? Kohdistuuko uhka verkon ylläpitäjään käyttäjien suunnalta? Onko uhkakuvalle jotain tehtävissä?

Joskus taannoin oli koulukunta, jonka ajatuksena oli ylläpitää kaikkien mahdollisten WLAN-verkon omistajien yksityisiä verkkoja avoimena kaikille kuuluvuusalueella oleville, ja näin tehdä kaupunkiympäristö tuhansien avoimien verkkojen avulla suureksi WLAN yhteisalueeksi. Onko tuo ajatus jo kuollut ja kuopattu mahdottomana?

[Lepotila zZ]

Tiedotusvälineissä on varoiteltu käyttämästä julkisia, avaimettomia WLAN-verkkoja lentoasemilla, matkakeskuksissa, junissa ja missä nyt onkin sellaisia saatavilla yleisölle. Kysyisin asian vakavuudesta: mihin tietoturvan uhat oikein perustuvat ja onko tosiaan vakavasti otettavia uhkia olemassa? Koskevatko mahdolliset uhat myös Linuxia? Kohdistuvatko uhat verkossa oleviin käyttäjiin muiden käyttäjien suunnalta vai verkon ylläpitäjän suunnalta? Kohdistuuko uhka verkon ylläpitäjään käyttäjien suunnalta? Onko uhkakuvalle jotain tehtävissä?

Käsittääkseni käyttäjän kaikki suojaamaton liikenne on niin yläpitäjän kuin muiden käyttäjien tutkittavissa. Jos sivustoille kirjautuminen hoituu salaamattoman http-yhteyden kautta, on käyttäjätunnukset ja salasanat muiden kaapattavissa. Suojattuja https-yhteyksiä käyttävien palvelujen pitäisi olla turvallisia. VPN-palvelua käyttämällä on tietenkin suojassa. Käyttöjärjestelmällä ei ole tässä merkitystä.

Joskus taannoin oli koulukunta, jonka ajatuksena oli ylläpitää kaikkien mahdollisten WLAN-verkon omistajien yksityisiä verkkoja avoimena kaikille kuuluvuusalueella oleville, ja näin tehdä kaupunkiympäristö tuhansien avoimien verkkojen avulla suureksi WLAN yhteisalueeksi. Onko tuo ajatus jo kuollut ja kuopattu mahdottomana?

Luulisin, että sen voisi toteuttaa tietoturvallisesti. Ei tietenkään kannata vain avata omaa lähiverkkoaan muiden käytettäväksi, koska silloin oma liikenne on avoinna muiden käyttäjien nuuskittavaksi. Käyttäjien tietenkin tulee aina ottaa huomioon nuuskijoiden mahdollisuus.

Anonymiteetin ja vastuullisuuden kysymykset ovat sitten erikseen.

[Tomin]

Tiedotusvälineissä on varoiteltu käyttämästä julkisia, avaimettomia WLAN-verkkoja lentoasemilla, matkakeskuksissa, junissa ja missä nyt onkin sellaisia saatavilla yleisölle. Kysyisin asian vakavuudesta: mihin tietoturvan uhat oikein perustuvat ja onko tosiaan vakavasti otettavia uhkia olemassa? Koskevatko mahdolliset uhat myös Linuxia? Kohdistuvatko uhat verkossa oleviin käyttäjiin muiden käyttäjien suunnalta vai verkon ylläpitäjän suunnalta? Kohdistuuko uhka verkon ylläpitäjään käyttäjien suunnalta? Onko uhkakuvalle jotain tehtävissä?

Käsittääkseni käyttäjän kaikki suojaamaton liikenne on niin yläpitäjän kuin muiden käyttäjien tutkittavissa. Jos sivustoille kirjautuminen hoituu salaamattoman http-yhteyden kautta, on käyttäjätunnukset ja salasanat muiden kaapattavissa. Suojattuja https-yhteyksiä käyttävien palvelujen pitäisi olla turvallisia. VPN-palvelua käyttämällä on tietenkin suojassa. Käyttöjärjestelmällä ei ole tässä merkitystä.

Kuka tahansa voi kuunnella suojaamatonta WLAN-verkkoa ja jos käyttää HTTPS:ää niin ainakin palvelimen osoitteet voi silti saada selville. Lisäksi mikään muu liikenne ei kulje suojattuna ja yleensä tietokoneet tykkäävät keskustella netissä vaikkei käyttäjällä itsellään olisi asiaa (mm. päivitykset) puhumattakaan siitä, että edelleenkään monetkaan sivut eivät käytä HTTPS:ää. Itse olen joskus hotellissa käyttänyt suojaamatonta WLAN-verkkoa niin, että olen putkittanut liikenteen SSH:n läpi kotipalvelimelle ja sieltä sitten surffannut netissä.

[Hajakenttä]

Vaikka varoisi naputtelemasta käyttäjätunnuksia ja salasanoja ollessaan avoimessa verkossa, niitä käyttää ainakin sähköpostin automaattinen viesti-ilmaisin, kuten Ubuntun Mail Notification sovellus, (jonka asetustiedostosta, muuten on urkittavissa nuo tunnukset selväkielisinä, kunhan vaan pääsee koneeseen käsiksi). Onko siis sähköpostin tunnukset silloin vakoiltavissa? Jotkin sovellukset, kuten KeePassX salasanapankki sovellus sentään salakirjoittaa sisältönsä. Senkin avaaminen on sitten vakoiltavissa, vai kuinka?

Mitä tunnusmerkkejä on tuollaisella HTTPS:ää käyttävällä sivustolla, jotta osaisi sen käytössä tunnistaa? Entä, mikä on tämä VPN palvelu, jonka pitäisi suojata? Nämä tekniikat kun ovat vähän jäänet opettelematta.

Pankin yhteyden ollessa kyseessä tulee selaimen osoitekenttään alkupäähän lukon kuva. Onko se jokin suojauksen varma merkki? Onko silloinkin avoin WLAN yhtä suojaton ja vakoiltavissa kuin muillakin sivuilla?

[AimoE]

Jos KeePassX -tietokanta on verkossa ja haet sen avoimen verkon yli, niin kylläpä on paljaana. Mutta jos se on omalla koneellasi, niin ei verkon nuuskija pääse käsiksi siihen. Sama pätee kaikkiin tiedostoihin, jotka istuvat sinun koneellasi, etkä liikuta niitä verkossa -- ja sovelluksiin joita ei avata verkon yli. Mutta jokainen salasana joka kulkee verkossa on paljaana jos verkko on avoin.

Tyypillisimmin työnantajan verkko on VPN-yhteyden takana. Jokapojalla tuskin on tarvetta rakentaa VPN-suojausta omaan kotiverkkoonsa.

[Tomin]

VPN on ohjelma, jolla saa suojatun tunnelin toiseen verkkoon. Vastaavan pystyy tekemään myös SSH:lla (Secure SHell), kuten itse olen tehnyt, mutta VPN (Virtual Private Network) on tehty juuri sitä varten. VPN:ä voi ajaa myös omalla koneella, johon ottaa yhteyden toiselta koneelta eri verkossa. Sen jälkeen näyttää siltä kuin käyttäisi toista konetta sen oman koneen verkossa. Tietenkin tieto kulkee myös näiden kahden verkon välillä Internetissä, mutta se on suojattu. Käytin SSH:ta lähinnä siksi, että se oli jo käytössä eikä ollut erityisempää syytä asentaa VPN:ä.

http://linux.fi/wiki/VPN
http://linux.fi/wiki/SSH#Tunneli

Se lukon kuva selaimessa tarkoittaa SSL tai TLS salausta (ja HTTPS-yhteyttä). Yleensä siitä klikkaamalla saa lisätietoja suojauksesta ja sen tasosta.

[Hajakenttä]

Kiitos tukiopetuksesta... 

Yhteenvetona, jos olen oikein ymmärtänyt, avoimissa WLAN verkoissa ei kannata olla lainkaan, niin hyvää palvelua kuin sellaisen tarjoaminen monesti onkin. Vaikka varoisi salaisuuksia naputtelemasta niitä viestittelee koneet toisilleen ilman käyttäjän pyyntöäkin. Nykyisin on niin paljon verkkorikollisia ja se rikollisuudenala näyttää olevan houkuttelevan kannattavaa.

Kuinkahan paljon tietoa ja taitoa tarvitaan WLAN verkkoliikenteen seuraamiseen?

Jos jossain hotellissa on salattu WLAN ja respa antaa salausavaimen huoneen avaimen mukana, onko silloin sama tilanne kuin salaamattomalla WLAN verkolla? Se salausavainhan on kaikilla hotellin asiakkailla, jotka voivat olla ketä tahansa... Voivatko he seurata toistensa liikennettä? Olisiko minulle, tavan tumpelolle, mahdollista salaa seurata mitä vaimoni tuossa huoneen toisessa nurkassa puuhaa netissä tällä samalla WLAN verkolla, joka on WPA/WPA2 suojattu?

Tuo SSH-tunneli on tosi mielenkiintoinen keksintö. Se täytyy kyllä vielä joskus kunnolla opetella. Vailla hyvää tietotekniikan peruskoulutusta se äkkiä lukien tuntuu kovin mutkikkaalta, vaikka artikkeli itse sanoo asiaa helpoksi...
http://linux.fi/wiki/SSH-tunneli
Ymmärsinköhän sen SSH-periaatteen oikein? Siis, asennetaan vaikka Ubuntun palvelinjakelu johonkin tietokoneeseen, joka sitten on kotimodeemissa pysyvästi kiinni ja käynnissä aina. Siihen ja miniläppäriin tehdään tarvittavat SSH asettelut (joita en täysin vielä ymmärrä). Sitten mennään miniläppäri matkalaukussa jonnekin kaukomaille hotelliin, ja sieltä avoimessa WLAN verkossa ollen tehdään päätekomennolla tunneli kotipalvelimeen SSH:ta käyttäen, ja liikenne on yhtä turvallista kuin se tehtäisiin kotimodeemissa olevasta koneesta. Arvaan, että voisin myös siirtää tiedostoja matkaläppäristä kotipalvelimeen turvaan, kuten omaan pilveen... ja kotonakin muista koneista palvelimeen... onko näin?

[matsukan]

Avoimet wlan on tietoturvaltaan samankaltainen kuin mikä tahansa internet, kaikkia kuunnellaan ja voidaan urkkia.Yleensä wlan boksit on aika suljettua tavallisilta kansalaisilta siten ettei kuuntelua voi suorittaa ilman modifikaatiota ja erikoisboksia. Normikansalaisilla ei ole mielenkintoa urkkia kenenkään pankkisalaisuuksia, nämä on ihan eri tason toimijat. WPA on vain hidaste, se murtuu minuuteissa oikeilla työkaluilla.

Samoin TLS/SSL on tietoruvaltaan vitsi. Tämän tarkoituksena on vain olla miljardi luokan rahastus olemattomalla tietoturvalla, se lukko siinä osoitebaarin vieressä on vain ihmisten hämäämistä, viimeistään heartbleedin jälkeen openssl on osoittautunut reikäjuustoksi, surkeaksi koodiläjäksi.

VPN ja SSH on taasen tietoturvaltaan ihan eriluokkaa mutta näistäkään ei ole webbiselauksen turvaajaksi. OpenVPN kuullostaa hyvältä mutta sekin on vain hyvä ohjelma kun muuta ei ole käytettäväksi. Parempia kun olisi olemassa ja open soursana. Tätäkin vois käyttää mutta kun halutaan ihmisiä huijata käyttämään tietoturvaltaan huononmpia ratkaisuja.

Eli käytä vain avoimia wlan bokseja jos niitä löydät, tietoturvaltaan ne on vain samoja kuin internet.

[Tomin]

Jos jossain hotellissa on salattu WLAN ja respa antaa salausavaimen huoneen avaimen mukana, onko silloin sama tilanne kuin salaamattomalla WLAN verkolla? Se salausavainhan on kaikilla hotellin asiakkailla, jotka voivat olla ketä tahansa... Voivatko he seurata toistensa liikennettä? Olisiko minulle, tavan tumpelolle, mahdollista salaa seurata mitä vaimoni tuossa huoneen toisessa nurkassa puuhaa netissä tällä samalla WLAN verkolla, joka on WPA/WPA2 suojattu?

Tietääkseni WPA(2)-liikennettä ei voi seurata, vaikka tietäisikin salausavaimen. Sillä avaimella, kun ei sitä varsinaista verkkoliikennettä salata. WEP-salauksesta en ole yhtä varma, mutta siihen ei kannata luottaa muutenkaan.

Tuo SSH-tunneli on tosi mielenkiintoinen keksintö. Se täytyy kyllä vielä joskus kunnolla opetella. Vailla hyvää tietotekniikan peruskoulutusta se äkkiä lukien tuntuu kovin mutkikkaalta, vaikka artikkeli itse sanoo asiaa helpoksi...
http://linux.fi/wiki/SSH-tunneli
Ymmärsinköhän sen SSH-periaatteen oikein? Siis, asennetaan vaikka Ubuntun palvelinjakelu johonkin tietokoneeseen, joka sitten on kotimodeemissa pysyvästi kiinni ja käynnissä aina. Siihen ja miniläppäriin tehdään tarvittavat SSH asettelut (joita en täysin vielä ymmärrä). Sitten mennään miniläppäri matkalaukussa jonnekin kaukomaille hotelliin, ja sieltä avoimessa WLAN verkossa ollen tehdään päätekomennolla tunneli kotipalvelimeen SSH:ta käyttäen, ja liikenne on yhtä turvallista kuin se tehtäisiin kotimodeemissa olevasta koneesta. Arvaan, että voisin myös siirtää tiedostoja matkaläppäristä kotipalvelimeen turvaan, kuten omaan pilveen... ja kotonakin muista koneista palvelimeen... onko näin?

Se on loppujen lopuksi melko yksinkertainen käyttää. SSH-palvelimen asennus Ubuntuun on näin helppoa, eikä sen tarvitse olla edes palvelinversio:

Koodia: [Valitse]

sudo apt-get install openssh-serverAsiakaspuolella tarvittavat ohjelmat ovat jo valmiiksi asennettuna ja sen socks-tunnelin sai sillä Linux.fi:n komennolla. Jos haluaa vähän paremman tunnelin, josta menee läpi kaikki liikenne ohjelmasta riippumatta, niin kannattaa katsella ihmisten valmiita skriptejä/ohjelmia. Sellaisen tekeminen vaatii jo hieman perehtymistä. Itse käytin tuota joskus: https://github.com/apenwarr/sshuttle/

Ainoa asia, joka "perustunnelin" tekemisessä on vaikeampaa on porttiohjauksen (engl. port forwarding) lisääminen. Tosin jos joskus on säätänyt NAT-palomuuriin reikiä jonkun verkkopelin takia niin samalla tavalla se SSH-liikennekin hoituu. Eli sinne reitittimeen pitää tehdä ohjaus palvelinkoneen (voi siis olla ihan tavallinen PC myös tai vaikka vähävirtainen ARM) porttiin 22 jostain ulkoverkon portista. Kannattaa käyttää jotain muuta kuin tuota vakioporttia, koska se vähentää murtautumisyrityksiä huomattavasti (usein jopa kokonaan) tai ainakaan ne eivät osu enää oikeaan porttiin. Sitten pitää vaan SSH:lle kertoa, että portti on muuten joku muu (tehdään lisäämällä komentoon "-p portti"). Ja huomaa, että tämä on sitten eri asia kuin se tunnelin portti eli sitä ei muuteta.

En ole kyllä koskaan kokeillut kuunnella WLAN-liikennettä, mutta siihen on valmiita työkaluja ja jopa Linux-jakeluja olemassa. Ja siihen ei tietääkseni vaadita normaalia WLAN-korttia (ja tietokonetta) kummempaa rautaa. Itse asiassa joskus muistan lukeneeni, että Freerunneria (älypuhelin, 400 MHz ARM) käytettiin sellaiseen ja että se pystyi murtamaan WEP-salauksen. WPA ja WPA2 ovat huomattavasti turvallisempia eivätkä murru minuuteissa kuten syrtek väitti tai ainakaan minä en tiedä sellaisesta. WEP sen sijaan on ihan lelu tänä päivänä, mutta valitettavasti se on ainoa mitä esimerkiksi DS Lite -pelikonsoli tukee. En silti itse käytä sitä mihinkään sen vakavampaan.

[AimoE]

Tavallisen internetin ja wlanin turvassa on ainakin se ero, että wlan on paikallinen verkko ja nuuskija pystyy kohdentamaan nuuskimisensa hyvin tarkasti juuri sen verkon osanottajiin. Minusta se on iso ero.

[Tomin]

Tavallisen internetin ja wlanin turvassa on ainakin se ero, että wlan on paikallinen verkko ja nuuskija pystyy kohdentamaan nuuskimisensa hyvin tarkasti juuri sen verkon osanottajiin. Minusta se on iso ero.

Tuo on hyvä pointti.

Olisiko minulle, tavan tumpelolle, mahdollista salaa seurata mitä vaimoni tuossa huoneen toisessa nurkassa puuhaa netissä tällä samalla WLAN verkolla, joka on WPA/WPA2 suojattu?

Et. WEP käyttää aina samaa salausavainta, joten sen paketit voi lukea jos tietää salausavaimen, mutta WPA:ssa tämä on huomioitu eikä se onnistu.
http://www.webopedia.com/DidYouKnow/Computer_Science/WEP_WPA_wireless_security.asp

Tuosta WPA:n murtamisesta: Löysin tälläisen artikkelin netistä:
http://lifehacker.com/5873407/how-to-crack-a-wi-fi-networks-wpa-password-with-reaver
Tässä murtauduttiin WPS:n avulla, ei siis WPA:n haavoittuvuuden kautta. WPS ei ole tarpeellinen välttämätön ominaisuus, se on vain tehty helpottamaan peruskäyttäjien elämää. Se siis vaatii joko tuon PIN-koodin tai sitten napinpainalluksen reitittimestä tai ehkä jopa molemmat ja itse en ole sitä koskaan käyttänyt. Enpäs muista olenko ottanut sen pois päältä omista reitittimistäni, mutta jatkossa otan varmasti.

Muokkaus: Tarpeettomuus riippuu ihan näkökulmasta. Välttämätön se ei ainakaan ole.

Muokkaus: Vähän lisää vastausta Hajakentän viestiin.

Ymmärsinköhän sen SSH-periaatteen oikein? Siis, asennetaan vaikka Ubuntun palvelinjakelu johonkin tietokoneeseen, joka sitten on kotimodeemissa pysyvästi kiinni ja käynnissä aina. Siihen ja miniläppäriin tehdään tarvittavat SSH asettelut (joita en täysin vielä ymmärrä). Sitten mennään miniläppäri matkalaukussa jonnekin kaukomaille hotelliin, ja sieltä avoimessa WLAN verkossa ollen tehdään päätekomennolla tunneli kotipalvelimeen SSH:ta käyttäen, ja liikenne on yhtä turvallista kuin se tehtäisiin kotimodeemissa olevasta koneesta. Arvaan, että voisin myös siirtää tiedostoja matkaläppäristä kotipalvelimeen turvaan, kuten omaan pilveen... ja kotonakin muista koneista palvelimeen... onko näin?

Kyllä, ei tarvitse komennella palvelinpäässä enää mitään. Kyllä, se olisi yhtä turvallista. Kyllä, voisit siirtää tiedostoja sillä yhteydellä. Jos käyttää tuollaista kaiken liikenteen ohjaavaa tunnelia, niin käytännössä vaikuttaa siltä, että on omassa kotiverkossa. SSH:han on tehty päätteen etäyhteyttä varten, mutta sillä voi siirtää kaikkea muutakin tietoa turvallisesti.

Siinä SSH-palvelimessa ei sitten kannata käyttää huonoja salasanoja tai mieluummin ei salasanoja ollenkaan vaan salausavaimia. Ne on selitetty siellä Linux.fi:n Wikissä. Se yksityinen salausavain tulee pitää turvassa ja kannattaa ehdottomasti suojata se jollain asiallisella salasanalla. Jos se joutuu väärin käsiin, niin ensimmäisenä se poistetaan käytöstä (ja tehdään uusi). Siitä ei ole mitään hyötyä (tietoturvan kannalta) sen jälkeen sinulle, eikä hyökkääjällekään kunhan se on poistettu käytöstä.

[matsukan]

http://www.sciencedaily.com/releases/2014/03/140320100824.htm

Turvallisuutta ja sen puutetta on vain niin monenlaista. Tavallista wlanin käyttäjän kannalta turvallisuus on ketju joka koostuu 1) tietokoneen ja boxin, 2) boxin sisäisen ja 3) boxin ja internetin välillisestä yhteyden turvallisuudesta. Se että kaupungissa olisi tuhat vapaata wlan boxia voi olla vain tietourvan kannalta hyvä jos esim webbiselaimen ja serverin välinen liikenne on salattu vahvasti siten että salaus on käyttäjän hanskattavissa ja vastuulla.

SSL/TLS ei täytä tätä määritelmää koska turvallisuus nojaa vahvasti maksullisiin certehin ja sen ketjuihin ja et voi todellakaan varma että A certin omistaja olisi vuotanut sen CIA:lle taikka NSA_lle tahallisesti taikka tahattomasti.
 
Samoin WPA ja whatever W* ei myöskään täytä koska sinun pitää luottaa tekniikkaan joka purkeissa ja joiden tietoturva on kyseenalainen koska tuotanto-olosuhteita ja koodia/rautaa ei todellakaan pysty valvomaan kukaan.

Eli wlan purkit on vain tiedon ja liikenteen välittäjiä ja semmoisina niitä tulee pitääkin kohdella. Tämä tarkoittaa sitä että kaikki wlan purkin sisäinenkin liikenne tulisi olla salattua ja kryptattua laitteiden jota niitä käyttää. Ja joiden tekniikka olisi siis käyttäjän valittavissa ja käyttäjien päätettävissä. Joissakin tapauksissa vaan pitää tehdä myönnytyksiä käytettävyyden johdosta.

Tämän johdosta todellakin karsastan ISP tarjoamista ilmaisista wlan bokseista. Niiden tarjoaminen pitäisi kieltää lailla.

[AimoE]

Yksi kyssäri johon ei ole vielä otettu kantaa:

Jos jossain hotellissa on salattu WLAN ja respa antaa salausavaimen huoneen avaimen mukana, onko silloin sama tilanne kuin salaamattomalla WLAN verkolla? Se salausavainhan on kaikilla hotellin asiakkailla, jotka voivat olla ketä tahansa... Voivatko he seurata toistensa liikennettä? Olisiko minulle, tavan tumpelolle, mahdollista salaa seurata mitä vaimoni tuossa

Oma kokemukseni on että salatun WLAN-verkon avaimet ovat aina käyttäjäkohtaisia, eli jokaiselle asiakkaalle annetaan eri avain ja vain yksi käyttäjä voi käyttää samaa avainta. Periaatteessa. Käytännössä on toki mahdollista että hotelli käyttää jotain erikoisviritettyä softaa joka nuuskii asiakkaan tietoja, mutta sekään ei anna mahdollisuutta että asiakkaat pääsisivät nuuskimaan toistensa tietoja.

[tosiutelias]

Oma kokemus taasen on että samaa avainta jaetaan kaikille, näin ainakin Englannissa viime vuosina.
Avain on hotellikansiossa, tai sitten respassa on tarjolla kopiota jossa on sama avain kaikissa.
Meidän perheen eri päätelaitteet ainakin toimi samalla avaimella kaikki yhtäaikaa.
Androidin Fing -ohjelma ainakin näytti näissä hotelleissa mitä päätelaitteita oli verkkoon kytkeytyneenä.

Oma kokemukseni on että salatun WLAN-verkon avaimet ovat aina käyttäjäkohtaisia, eli jokaiselle asiakkaalle annetaan eri avain ja vain yksi käyttäjä voi käyttää samaa avainta. Periaatteessa. Käytännössä on toki mahdollista että hotelli käyttää jotain erikoisviritettyä softaa joka nuuskii asiakkaan tietoja, mutta sekään ei anna mahdollisuutta että asiakkaat pääsisivät nuuskimaan toistensa tietoja.

[qwertyy]

Oma kokemus taasen on että samaa avainta jaetaan kaikille, näin ainakin Englannissa viime vuosina.

Ei tuo AimoE:n tapaus ole mitenkään kyllä poikkeuksellinen. Ihan samanlaiseen järjestelmään törmäsin Saksassa yhdessä hotellissa. Käyttäjätunnus oli muistaakseni huonenumero ja ilmeisesti juokseva salasana tuli "checkin" lomakkeen mukana, johon oli ilmoitettu voimassaoloajaksi sama kuin huoneen varausaika..

[AimoE]

Ohhoh, enpä tajunnut että hotellien käytännöissä on noin paljon vaihtelua. Omat kokemukseni ovat Suomesta ( työnantajan järjestämissä koko-ontumisissa), ja niissäkin on jonkin verran vaihtelua, mutta ei ihan noin paljon. Muistaakseni kerran olen nähnyt systeemin jossa respa ei voi nähdä tai päätellä salasanaa, vain asiakas näkee sen.

[Sami Lehtinen]

Jos KeePassX -tietokanta on verkossa ja haet sen avoimen verkon yli, niin kylläpä on paljaana.

Niin? Mitä sitten, sehän on salattu juuri oikein, eli salattu jo ennen tiedonsiirtoa.

No huhhuh, taas menee puurot ja vellit sekaisin oikein urakalla.

Mitä tulee salaukseen, niin nyt tuntuu siltä että taas sekoillaan. Salaus ja salasana eivät ole ollenkaan sama asia, kun käytetään asianmukaisia salasanoja. Vaikka kaikki käyttäsivät samaa salasanaa, ei se tarkoita sitä, että sillä pääsisi tarkkailemaan toisten liikennettä, sitähän käytetään vain autentikointiin.

Jos nyt asiaa oikein mietitään, niin mikäpä on se salasana mitä kaikki käyttää mm. https:n kanssa? Aivan oikein, salasanaa ei edes ole, eikä sitä tarvita. Jos käytetäänkin vaikka basic authenticationia tai kerberosta, niin siitä huolimatta salasana ja salaus on ihan omat asiansa, eikä niitä pidä mennä sotkemaan keskenään.

Vielä esimerkkinä tuosta keepassin tiedostosta. Tämäkin loppu on ihan tässä 'levällään', toivotan teille onnea sen suhteen.

Koodia: [Valitse]

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1

hQQOA08tW5KfYMcQEBAApK1+5nVqtC2VKph/zGcGVQzZ33o/CMtcPOqM19O5liqi
MnVkK5bKF5HplgYMKQ2+aMqkvuQHBaCmu/D2Ex7G2DVwET8R/YnDgtxhj88PwJMe
nfg0b+VumRKVJJ7KO5Oshj4L+xzlZQL4Hxyrtgyl75xS4CdZmLHytonvOVZIH/MI
ZPyxitF4MCBw56IsU4t+yBTcUS6fbTGe3hpOOCbRvwz6L5kDB/6uBkQd9VPlHp7n
ORB/cj6+DIBCB7mSlKoFcSGp4NIDYk9ncCwzECMY3pAFdOgRvfEZ1Hzmw3nNjBsN
3Znj86TidoLfM003vRK8OsH4nsBoZ8RPhINeZFpLhC5OcfX0R+Jzbd6Pb8j8CW5J
GWivCCcQbLFCyJP4CiUiUHjLeEGDCJbW5HfCKnw8uxbxlgkeZ2k1RUKyTcy5z5F3
zCHsgEhK7SrbggLyhpcRxYffxHyFNt2zz8djeKdsl3pvDrwkF+gG28jVIj7vpRLP
UioxDntN0kEA7SWiRHRZmLoJOhCD/IdJ3f56Pb2HIiOxLXKJy74tWcmaM84/jlCf
xYtU1uJV4zNklZOu5BBlvUzb5Qt35SZ9fgjOKRA89/kJ2/RhzAG2NvXVJX1tD5cc
DYq0l1VrTAXiGkRTJzouZghR44R8ezBg/V5f6QHrXyQVR5YNgZ/VPmQ8FyUqbCAP
/jiHq9vj96POebDRSvlBle2dXembDye4xWCudZxGDpqwb22vIkR4N7SXHX4xrurL
MD5FuTAhE3zPBQjHNDMK8t6D4EBiYk2bxZPsb2oXbTjDPj6RKXsBXY5jUS/V9nzp
bJkqgHTuWQZgp2fNUZHgXLfaptaUJvyMnM18+VFVZ/XKuAeBxGheBvG4CmxJW7Pg
ZQg14c1jk6+AO2f6FTmjvgvQ3/baWa71HOMD0jHJhKrpvqS0Z9LSe5Wd1hA6co3r
i9d/kpnVdlTj/VCc9Nb7RipEBFGLBsIoKyWz5+Y7jKPbl/eh4J/bxQNENRha/HME
BBqX4sjSAAiZskuO120sAY1+qd8SzL3Xoql8CGFKDp+4ecYMKJAn/w/P743Fga3m
RRx9Mg1bEIQbgJCKte4xwl1deAgtpvgWDlVz4NeBFqi1liWwj+GOlJnAy6cqXlAx
YAM+HOUZG/yAb7YBndtpcbYivrn+JVjE6mO9cfJ2QGqZsY1VHxT8MOM2ni9V/0Cs
3Kndfa5BNe6tAJR9CJeQ5TEizs0BMftJhdadGquU30yts6HOrC8A/uhaWOapSrIu
pp1cY8HbxiFrwGaeJuYsF/aSxsw9Sk1yq+ASZyS2h3bVvBeIcDBZ/sEOEJvtF1So
qvTPHrpkeUiCPtX4IVNsuHi0IrnGr1jA2VrKB+74H4cb0qEB/cTcx4w5wgUeewU8
DGyr6KZsyXQxjHYXLeEWQwi2WEEkQIY62fz3FvXvQWWZN0nm66egZUlerQ4CqTZ0
idQcdBXvuhW9LDqmAfShcQdb9PxpD2rtZT+gqKNsCCHKUvRBUOKRrMSUEIX2pBLZ
TNbkCn7O12n+wtljRFxygUnaakyB1IIaVCl5qYk9bi/bfBMi5ylKmvfSo6aCnd/9
KIdaGg==
=SKRR
-----END PGP MESSAGE-----

Kun olette tulkinneet noi mun ohjeet, niin tuota tuota. Toimikaa niiden mukaan, ja tarjoan vaikka koko illan Helsingissä.

Viimeisenä niittinä sitten se, että kun olette saaneet kaikki VPN:ät ja salaukset viriteltyä. Niin menette tietysti FecesBookkiin ja käytätte sitä sitten luottamuksellisten tietojen välittämiseen. Asiahan on nyt kunnossa, kun on salaukset käytössä.

Jotta tietoliikenne olisi turvallista, pitää käyttää järjestelmää, joka piilottaa kuka kommunikoi kenen kanssa ja milloin, vahvasti salattuna. Muuten metadata on aina luettavissa. Mitkään normaalissa käytössä olevat ratkaisut, eivät pääsääntöisesti ole turvallista nähnytkään. Koska tietoturva on erittäin vaikea asia. Suurimpia ongelmia nykypäivänä ohjelmistojen kehityksessä on se, että kaiken maailman turhia kikka huuhaa kolmos ominaisuuksia arvostetaan pirusti enemmän, kuin sitä että sovellukset olisivat turvallisia. Ja sehän sitten tietää mitä siitä seuraa.

[AimoE]

Jos KeePassX -tietokanta on verkossa ja haet sen avoimen verkon yli, niin kylläpä on paljaana.

Niin? Mitä sitten, sehän on salattu juuri oikein, eli salattu jo ennen tiedonsiirtoa.

Anteeksi epätarkkuus lauseen muotoilussa. En tietenkään tarkoittanut tiedoston hakua, vaan sitä että tietokanta avataan sovellukseen ikään kuin se olisi paikallisella levyllä. Vahingossa ilmaisin sen liian lyhyesti (ajattelin varmaankin salasanan hakua tietokannasta).

[JaniAlander]

No onko yhteys siihen salattu, eli vaikkapa https, silloinhan ongelmaa ei periaatteessa pitäisi olla.

[AimoE]

No onko yhteys siihen salattu, eli vaikkapa https, silloinhan ongelmaa ei periaatteessa pitäisi olla.

Mikä olikaan ketjun otsikko?