Kolme tapaa, joilla pahis voi iskeä langattomassa verkossa
Julkaistu 2026-05-30
Langattomissa verkoissa voi tietämättämme olla liittyneenä paljon enemmän laitteita kuin arvaammekaan, mutta laitteet kyllä näkevät toisensa, ja jos käyttäjällä on osaamista, näkymä aukeaa helposti hänellekin. Keinoja päästä käsiksi toisten laitteisiin ja dataan on lukuisia, mutta tässä blogikirjoituksessa rajaan esimerkkini kolmeen hyökkäystapaan, joiden tavoitteena on kohteen verkkoliikenteen kaappaaminen, ei esimerkiksi tunkeutuminen laitteelle.
Hyvän salasanan murtaminen ei ole helppoa taitavallekaan hyökkääjälle, mutta julkisten verkkojen ja monien vierasverkkojen salasanat ovat lähtökohtaisesti kaikkien saatavilla, ja kuka tahansa saa ne haltuunsa pyytämällä. Joidenkin hyökkäystekniikoiden havaitseminen on lähes mahdotonta, mutta niiltä voi silti suojautua etukäteen. Peli ei ole vielä pelattu!
Väliintulohyökkäys
Väliintulohyökkäyksellä tarkoitetaan hyökkäystä, jossa hyökkääjä huijaa kaksi laitetta reitittämään keskinäisen liikenteensä hyökkääjän laitteen kautta. Kohdelaitteelle hyökkääjä uskottelee olevansa reititin, ja reitittimelle se uskottelee olevansa kohdelaite, jolloin kumpikin lähettää liikenteen väliintulijalle. Tällä tavalla on mahdollista esimerkiksi nähdä, millä nettisivuilla kohde vierailee ja minkälaisia kuvia sivuilla on. Myös nettisivuille ja sovelluksiin syötetyt salasanat voivat jäädä haaviin.
Temppu on helppo, kun hyökkääjä on samassa verkossa kuin kohdekin. Hyökkääjän kannalta helppoja paikkoja väliintulohyökkäyksille ovat julkiset Wi-Fi-verkot, joiden salasanan saa kysymällä esimerkiksi kirjaston tai kahvilan työntekijältä, tai joissa ei ole salasanasuojausta laisinkaan. Hyökkääjän ei edes tarvitse olla samoissa tiloissa kohteensa kanssa, kunhan signaalin kantama riittää – ja lisäantennillahan se yleensä riittää.
Kohteella ei ole realistista mahdollisuutta havaita väliintulohyökkäystä eikä siten reagoida siihen, joten suojautumiskeino piilee turvallisissa toimintatavoissa. Muissa kuin oman kodin verkossa olisi hyvä käyttää VPN-ohjelmaa. VPN:n käyttäjän liikenne lähtee laitteelta salattuna ja saapuu laitteelle salattuna, jolloin liikennettä monitoroiva hyökkääjä ei saa muuta tietoa kuin että kohteella on VPN käytössä.
Kutsumattoman vieraan varalta verkot tulisi jakaa pienempiin aliverkkoihin, jotta jokainen laite ei olisi kaikkien muiden laitteiden tavoitettavissa. Älypölynimurilla ei pitäisi olla mitään asiaa samaa verkkoon tietokoneen ja matkapuhelimen kanssa riippumatta siitä, että saako siihen tietoturvapäivityksiä vai ei. Verkon saa pilkottua eli segmentointua useampaan osaan Wi-Fi-reitittimen hallintapaneelista.
Paha kaksonen
Paha kaksonen on hyökkääjän hallussa oleva Wi-Fi-reititin, joka tarjoaa tutun nimistä verkkoa. Kun kannettavassa tietokoneessa tai älypuhelimessa on Wi-Fi päällä, laitteen tehtäviin kuuluu huudella ympäristöönsä ja pyytää verkkoa, ja reitittimen työnkuvaan taas kuuluu verkon kovaääninen tarjoaminen. Hyökkääjän tarvitsee vain luoda samanniminen verkko, johon kohteen laite on (tai on ollut) liittyneenä, ja jos signaali on voimakkaampi kuin rehellisessä reitittimessä, kohteen laite jatkaakin netin käyttämistä hyökkääjän laitteen välityksellä.
Tällaista hyökkäystä varten hyökkääjällä ei tarvitse olla pääsyä samaan verkkoon, jossa kohdelaite on, koska hyökkääjä luo uuden verkon itse ja houkuttelee kohteen käyttämään sitä. Joskus hyökkääjän kautta käytetty yhteys voi sisältää avausnäkymän, joka pyytää esimerkiksi Gmail-tunnusta ja sen salasanaa, ennen kuin netti alkaa pelittää. Joskus salaisen tiedon hankkiminen onnistuu kaikkein helpoiten pyytämällä sitä suoraan kohteelta.
Suojautumista pahalta kaksoselta voi edistää esimerkiksi kytkemällä automaattisen verkkoihin liittymisen pois oman laitteen asetuksista. Jos laite onkin joskus ollut liittyneenä hotelliketjun langattomaan verkkoon, minkä takia sille pitäisi sallia automaattinen liittyminen saman nimiseen verkkoon aina myöhemminkin? Silloin tällöin kannattaa tarkastaa lista langattomista verkoista, joihin oma laite on ollut liittyneenä, ja tyhjentää lista. Ja tosiaan, VR:n junaverkkoon ei ehkä kannata liittyä Ruotsin-risteilyllä keskellä merta, vaikka sen toimivuudesta olisi hyviä kokemuksia.
Deautentikointihyökkäys ja salasanan murtaminen
Joskus hyökkääjällä voi olla tavoitteena päästä liittymään työpaikan tai kodin Wi-Fi-verkkoon, jolloin salasana pitää mahdollisesti hankkia tietoteknisin keinoin. Sopiessaan keskinäisen yhteyden avaamisesta verkkolaitteet suorittavat kättelyn. Kättely on se osa kommunikaatiosta, joka kiinnostaa salasanaa tavoittelevaa hyökkääjää, sillä se sisältää algoritmin tekemän tiivisteen eli hashin salasanasta. Kättelyyn on mahdollista päästä käsiksi lähettämällä reitittimelle signaalia, joka pudottaa laitteet sen jakamasta verkosta hetkeksi, sillä kun laitteet kättelevät uudelleen, hyökkääjä voi siepata sen ilmasta. Tiivisteen murtaminen voi onnistua esimerkiksi sanakirjahyökkäyksen avulla.
Testasin deautentikointihyökkäystä asettamalla reitittimeeni salasanan, jonka tiesin murtuvan ennemmin tai myöhemmin. Tietokoneellani olevassa tekstitiedostossa on 14 344 392 vuotanutta salasanaa, joista valintani on 5 689 976:s. Viiden ja puolen miljoonan salasanan kokeileminen kesti 8-vuotiaalta läppäriltäni alle 23 minuuttia. Jos salasana löytyy listoilta, sen murtuminen on vain ajan kysymys. Mitään kertaalleen vuotanutta salasanaa ei saisi kukaan enää käyttää missään palvelussa, koska vuodettujen listojen avulla murtokeikka nopeutuu huomattavasti. Jokaisen salasanan on oltava uniikki ja myös niin pitkä, ettei koneteho riitä sen murtamiseen kaikkia mahdollisia vaihtoehtoja kokeilemalla.
Deautentikointihyökkäykseltä suojaa tehokkaasti myös Wi-Fi-reitittimen WPA3-salaus, sillä vaikka hyökkääjä saisi siepattua tiivisteen kättelystä, salausta ei ainakaan julkisen tiedon perusteella ole vielä onnistuttu murtamaan, eikä tiivisteen palauttaminen alkuperäiseen muotoon siis onnistu. Vielä tänä päivänä WPA2-salaus on yleisemmin käytössä, mutta uutta reititintä hankkiessa kannattaa varmistua, että laitteessa on WPA3 tarjolla. Myös korkeampien taajuuksien (esim. 5–6 GHz vs. 2,4 GHz) käyttäminen on suositeltavaa, sillä osa monitorointia tukevista verkkokorteista toimii vain matalammilla taajuuksilla.