Nordeaan kohdistuneisiin järeisiin palvelunestohyökkäyksiin oli mitä ilmeisimmin valjastettu myös kotimaisia verkkolaitteita. Niiden tietoturva on syytä ottaa entistäkin vakavammin.
Kyberuhka ei ole enää utopiaa. Jos laiminlyöt reitittimen tai muiden verkkoon liitettyjen laitteiden tietoturvan, tietomurtautuja voi tulla kutsumatta kylään.
Suojelupoliisi arvioi, että suojaamattomat ja päivittämättömät kotireitittimet muodostavat merkittävän riskin kansalliselle turvallisuudelle. Supon mukaan vieraan vallan kybervakoilijat iskeytyvät myös muihin kodin verkkolaitteisiin.
Reitittimen kaappaaja voi rellestää verkossa uhrinsa identiteetillä. Hän voi vakoilla kaappaamansa laitetta, käyttää sitä muiden vakoiluun tai valjastaa sen palvelunestohyökkäykseen.
Viimeksi mainittu vaihtoehto realisoitui karvaasti syksyllä. Nordean pankkipalvelut olivat poikkeuksellisen jumissa juuri palvelunestohyökkäysten vuoksi. Pankki arvioi Helsingin Sanomissa, että hyökkäyksiin on käytetty tavallisten kansalaisten verkkoon liitettyjä laitteita ja kannusti niiden suojaamiseen.
Tärkeintä on varmistaa, että laite saa tietoturvapäivitykset automaattisesti ja että käyttäjänimet sekä salasanat on vaihdettu pois tehdasasetuksista.
Reitittimen syvin olemus
Termillä reititin viitataan tätä nykyä yleisesti niin sanottuun modeemireitittimeen – jota saatetaan kutsua myös pelkäksi modeemiksi.
Aiemmin modeemit ja reitittimet olivat erillisiä laitteita. Modeemi yhdistää kodin internetiin. Reititin taas jakaa nettiyhteyttä kodin laitteille, langattomasti wifillä tai Ethernet-kaapeleilla.
Nyt ne ovat sulautuneet yhdeksi. Käytännössä jokaisessa modeemissa on myös reititin.
Reititin on siis verkkolaite, joka jakaa kodin nettiyhteyttä – kutsuttiinpa sitä sitten reitittimeksi, modeemiksi tai modeemireitittimeksi.
Operaattori vaalii omiaan
Jos olet hankkinut reitittimesi tai muun verkkolaitteesi operaattorilta, lähtötilanne on hyvä. Operaattoreiden tarjoamat laitteet on asetettu päivittymään automaattisesti. Automaattipäivitykset tosin alkavat olla tehdasasetuksina uusissa verkkolaitteissa muutenkin.
Se, miten laajasti operaattori vastaa toimittamiensa laitteiden tietoturvasta, vaihtelee.
Esimerkiksi Telia huolehtii kuukausimaksullisten reitittimiensä turvallisista asetuksista, päivityksistä ja huolloista ilman eri veloitusta niin kauan, kuin laitesopimus on voimassa.
Vastaavasti esimerkiksi Telian verkkokaupassaan myymät reitittimet, jotka toimivat kaikkien operaattoreiden liittymissä, eivät ole Telian hallittavissa tietoturvan osalta.
”Viestimme asiakkaille henkilökohtaisesti, jos tarjoamamme reitittimen tietoturvaa ei voi enää päivittää”, Telian laajakaista- ja TV-liiketoiminnan johtaja Kalle Muhonen sanoo. Käytäntö koskee kuukausimaksullisten vuokralaitteiden lisäksi laitteita, jotka asiakas on saanut liittymän yhteydessä.
Suurin osa Elisan myymistä reitittimistä on operaattorin hallinnoimia tietoturvan osalta, Elisan kuluttajien laiteliiketoiminnasta vastaava johtaja Olli-Pekka Nokkonen kertoo. ”Laite on siten aina ajan tasalla ja tietoturvallinen”, Nokkonen sanoo. Tällaiset reitittimet on varustettu Elisa Sertifioitu -merkinnällä.
Mikään laite ei kuitenkaan toimi virheettömästi. Automaattipäivitys voi luiskahtaa syystä tai toisesta pois päältä. Siksi kannattaakin varmistaa joka tapauksessa, että automaattiset päivitykset ovat varmasti päällä.
Yhtä yleispätevää päivitysohjetta ei ole, koska käytännöt vaihtelevat laitekohtaisesti. Manuaalia siis tarvitaan. Jos et löydä laitteen mukana tullutta käyttöohjetta, googlaamalla laitteen nimi ja sana manual tai käyttöohje ohjeistus varmasti löytyy.
Traficomin Kyberturvallisuuskeskus on koonnut eri operaattoreiden myymien verkkolaitteiden päivitysohjeita.
Hallintasivustolla homma hoituu
Päivitysasetusten tsekkaus menee pääpiirteissään näin:
- Ota kotiverkkoon liitetyn laitteen selaimella yhteys verkkolaitteen hallintasivustoon. Sivuston osoite on numeerinen, esimerkiksi http://192.168.0.1/. Osoite vaihtelee valmistajakohtaisesti mutta löytyy laitteen käyttöohjeesta tai laitteen pohjasta.
- Tehdasasetusten käyttäjätunnus ja salasana hallintasivustolle löytyvät nekin laitteesta tai ohjekirjasta. Jos olet suositusten mukaan vaihtanut ne jo aiemmin, käyttämäsi selain saattaa muistaa ne. Jos et kuitenkaan enää muista niitä, eikä selaimestakaan ole apua, palauta laite tehdasasetuksiin siitä löytyvällä reset-painikkeella.
- Sisään kirjauduttuasi etsi hallintasivustolta päivitysasetukset. Oikea valikko on todennäköisesti nimetty tyyliin System (järjestelmä), Settings (asetukset), Administration (hallinta), Security (turvallisuus), Infomation (tietoja) tai Updates (päivitykset) – tai jokin niiden yhdistelmä tyyliin System settings.
- Jos automaattiset päivitykset eivät ole päällä, kytke ne päälle. Tarkista tarvittaessa käyttöohjeista, miten ne aktivoidaan.
Myös verkkokameroiden ja älytelevision kaltaisissa nettilaitteissa on käytännössä samalla periaatteella toimiva hallintasivusto.
Poista etähallinta, käynnistä palomuuri
Reitittimen etähallinta (remote access) on syytä kytkeä pois päältä. Reitittimen hallintasivustosta sekin onnistuu. Etähallinnan avulla kotiverkkoon voisi päästä tunkeutumaan internetistä.
Tarkista samalla hallinta-asetuksista, että reitittimen palomuuri (firewall) on varmasti käytössä. Se suodattaa ei-toivottua liikennettä kotiverkon ja internetin välillä.
Uusi käyttäjätunnukset, salasanat ja verkkonimet
Myös käyttäjätunnuksen ja salasanan vaihtaminen onnistuu hallintasivustolla.
Vaihda myös reitittimen langattomien verkkojen nimet pois tehdasasetuksista. Murtautuja voi päätellä oletusnimistä, mikä reititin on käytössä, ja yrittää hyödyntää murtautumiseen juuri kyseisen laitteen tietoturva-aukkoja.
Ja kun reitittimen valmistaja on selvillä, murtautuja tietää myös laitteen oletusarvoiset käyttäjätunnukset ja salasanat.
Laita letkut oikein!
Kyberturvalllisuuskeskus neuvoo varmistamaan, että saapuvan internet-yhteyden kaapeli on kytketty reitittimen niin sanottuun WAN-porttiin. Se on yleensä yksittäinen, LAN-porteista erillään oleva liitäntä.
Jos saapuvan netin kaapelin kuitenkin liittää LAN-porttiin, kytkentä ohittaa reitittimen suojaukset. Internetistä saapuvalle haitalliselle liikenteelle avautuu näin suora väylä reitittimeen ja muihin kotiverkon laitteisiin.
Reitittimen ajoittainen uudelleen käynnistäminen parantaa tietoturvaa. Jos haittaohjelma on saastuttanut reitittimen, virtojen katkaisu voi keskeyttää haitakkeen toiminnan, Kyberturvallisuuskeskus vinkkaa.
Eri verkot ihmisille ja koneille
Yksi helppo tapa tietoturvan parantamiseen on perustaa erilliset verkot ihmisille – eli käyttämillemme päätelaitteille kuten puhelimille, tableteille ja tietokoneille – ja nettikameran kaltaisille nettilaitteille.
Ai miksikö? Nettiin liitetyt laitteet ovat suhteellisen uusi tuoteryhmä. Niiden tietoturva ei ole ehtinyt kehittyä samalle tasolle kuin päätelaitteiden, joiden suojaamista on harjoiteltu jo vuosikymmeniä.
Jos erillisten verkkojen järjestelyssä tietomurtautuja pääsisi sisään vaikkapa nettikameraan, hän olisi kuitenkin vielä erillään ihmiskäyttäjien luottamuksellisista tiedoista.
Nykyaikaiset reitittimet tukevat useita samanaikaisia verkkoja. Niiden perustaminen onnistuu hallintasivustolla.
Varmista, että langattoman verkon salauksena (security mode) on vahva WPA2 tai jopa sitäkin uudempi ja parempi WPA3, jos se vain laitteesta löytyy. Paras mahdollinen salaus on tosin todennäköisesti oletusarvona uusille verkoille, mutta kannattaa silti tarkistaa.
Jos verkossa on vanhoja laitteita – joiden käyttöä ei siis tietoturvasyistä suositella! – salaukseksi pitää valita yhteensopivuussyistä vanhempi ja heikompi WPA/WPA2-moodi. Tällaisia laitewanhuksia varten kannattaa tehdä vielä yksi verkko, ja liittää uudemmat laitteet verkkoon, joka sallii vahvemman salauksen.
Ikivanha WEP-salaus murtuu helposti, joten karta sitä – kuten myös täysin avointa verkkoa.
Uusi laite on tietoturvateko
Jos reititin tai muu verkkolaite on kovin vanha, sen päivitykset ovat voineet lakata ajan myötä tai päivittäminen on hankalampaa ylipäänsä. Mitä uudempi laite on kyseessä, sitä paremmalla tolalla laitteen tietoturva lähtökohtaisesti on.
Telian Kalle Muhonen suosittelee yli viisi vuotta vanhan reitittimen korvaamista uudella, ja MPY:n mukaan jo kolmivuotias laite alkaa olla turhan iäkäs.
Verkossa on ilmaisia palveluita, joilla voi testailla oman reitittimen tietoturvan tilaa. Tutustu esimerkiksi ShieldsUP ja Router Security -työkaluihin.
Lähteet: F-Securen, operaattoreiden, suojelupoliisin ja Traficomin sivut
Tämä juttu on päivitetty versio alun perin marraskuussa 2023 julkaistusta artikkelista.
Kari Ahokas
