Viime aikoina julkisuudessa on puhuttu ”nörttiopiskelijoiden uudesta ykkösharrastuksesta”, eli stalkkaamisesta. Perinteisesti stalkeroinnilla tarkoitetaan ihmisten (yleensä naisten) ahdistelua ja vaanimista, mutta muodikkaampi väijyminen tapahtuu hienotunteisemmin tietoverkoissa.

Helpoin tapa ”urkkia” tietoja on kirjoittaa ihastuksen nimi hakuohjelmaan ja katsoa mitä löytyy. Uudessa nykysuomessa tätä kutsutaan googlettamiseksi. Samalla voi kokeilla vaikka etsiä henkilön käyttämiä persoonallisia nimimerkkejä eri keskustelupalstoilta. Jos taas kirjautuu tekijänoikeusvapaiden harjoitustöiden jakamiseen tarkoitetuille sivustoille vaikkapa oppilaitoksen virallisella käyttäjätunnuksella, saattaa tuolloin paljastua, että henkilö saattaakin olla kiinnostunut eri pumppaamistekniikoista, vaikka hänen pitäisi oikeasti opiskella orgaanista kemiaa.

Jännää mutta ei vielä kovin haastavaa. Onko vanha kunnon hakkerointi mennyt siis jo pois muodista? Kyllähän ihastuksen kotikoneelta saa hänestä paljon enemmän tietoa kuin Googlesta!

Ihastuksen koneelle murtautuminen pitää aloittaa luonnollisesti selvittämällä missä kone on, eli mikä koneen IP-osoite on. Käytännössä tämä onnistuu, jos saa ihastuksen vastaamaan sähköpostiin kotikoneeltaan. Tässä tapauksessa vastauksen sisällöllä ei ole väliä, sillä kiinnostava IP-osoite näkyy useimmilla postinlukuohjelmilla suoraan viestin header-kentästä.

Jos ajatellaan, että vaikkapa Teekkarikylässä asuva opiskelija haluaisi käyttää nimetöntä Hotmail-osoitetta epäpätevän kurssiassistentin haukkumiseen, voisi assistentti katsoa mistä IP-osoitteesta viesti on tullut. Tämän jälkeen hän voisi katsoa verkosta mille asunnolle kyseinen IP-osoite kuuluu. Jos hän ei jaksaisi lehteä viemään omia terveisiään suoraan postilaatikkoon, voisi hän pistää tekstiviestin finderille ja kysyä häirikön osoitetta. Tästä syystä assistentit kannattaa haukkua kavereiden koneilta.

TKK:n Tietojenkäsittelyteorian laboratorion tietoturvakysymyksiin erikoistunut professori Hannu H. Kari kertoo, että koneen IP-osoitteen tietäminen riittää hyvin hyökkäyksen aloittamiseen.

– Valmiilla porttiskanni-ohjelmilla voi katsoa, että ahaa, sillä on tuollainen Windows. Katsotaanpas onko se päivittänyt kaikki tietoturva-aukot umpeen. Jos ei ole, niin haavoittuvuuden kautta voi hyökätä koneeseen, Hannu H. Kari kertoo.

Professori Kari epäilee, että suurin osa tietoteekkareista olisi joskus harrastanut vieraiden koneiden porttien skannausta, jos ei muuten niin harjoittelun vuoksi. Jos haluaa oppia taitavaksi tietomurtojen torjujaksi, pitää ensiksi tietenkin tietää, kuinka tietomurtoja periaatteessa tehdään.

Harrastuksena porttiskannausten tekeminen on jossain laillisuuden harmaalla rajalla ja toimintaa voisi verrata siihen, että kokeilee onko naapurin ovi lukossa vai ei. Moraalinen kysymys kuuluukin, meneekö sisälle jos huomaa, että portti on auki. Viimeistään sisälle mentäessä toiminta muuttuu kuitenkin laittomaksi.

Jos ylittää kynnyksen, voi koneelle tämän jälkeen ladata sopivan haittaohjelman, minkä jälkeen kaikki portit pysyvät avoinna. Virustentorjuntaohjelmat tunnistavat vain verkossa jo liikkuvia haittaohjelmia, joten taitavan krakkerin kannattaa ohjelmoida oma vakoiluohjelma. Ennen troijalaisen käyttöönottoa pitää tietenkin testata itselläkin käytössä olevilla virustentorjuntaohjelmilla, tunnistavatko ne aikaansaannoksen. Jos virus käyttäytyy liian virusmaisesti ja tunnistettavasti, on tuotekehittely selvästi kesken.

Hannu H. Karin mukaan keskiverto tietoteekkari koodaa yksinkertaisen vakoiluohjelman yhdessä iltapäivässä.

Laittomien käyttäjien kannattaa lähestyä konetta esimerkiksi IRC-kanavien tai vaikkapa kiinalaisen kotikäyttäjän koneen kautta, jolloin kiinnijäämisriski pienenee huomattavasti. Huhujen mukaan myös paikallinen Otax-palvelin onnistuttiin viime syksynä valjastamaan pahantekoon.

Tietoturvasta puhuttaessa kuulee usein sanottavan, että pahimmista ongelmista pääsisi helpoimmin eroon luopumalla Windows-käyttöjärjestelmästä. Hannu H. Kari ei kuitenkaan pidä Windowsin vaihtoa ratkaisuna ongelmiin.

– Kaikissa käyttöjärjestelmissä on reikiä. Yleisimmin käytössä olevasta Windowsista niitä on vain löydetty enemmän kuin muista, professori Kari sanoo.

Valtaisan negatiivisen julkisuuden takia Windowsin turvallisuuteen käytetään nykyisin valtavasti rahaa ja resursseja. Uusia päivityksiä tuleekin lähes päivittäin. Ohjelmia päivitettäessä ongelmat myönnetään Microsoftin sivuilla täysin avoimesti: ”Microsoft Windows -pohjaisista järjestelmistä on löydetty suojausongelma, jonka vuoksi luvaton käyttäjä voi murtautua Windows-pohjaiseen järjestelmään ja ottaa sen hallintaansa.”

Ainoa todellinen ratkaisu porttiskannausten torjumiseen on kuitenkin hankkia tarpeeksi tehokas palomuuri. Hannu H. Kari kertoo, että hänellä itsellään on kotikoneella kolme palomuuriohjelmaa peräkkäin. Vaikka yhdestä palomuurista pääsisi läpi, ei koneelle olisi vielä asiaa.

– Kun minä kytkin kotikoneella ADSL-liittymään ensimmäisen rautapalomuurin kiinni, niin hyökkäyksiä tuli pari sekunnissa. Kun sitten katsoin sitä liikennettä, niin periaatteessa ne olivat kaikki hyökkäysyrityksiä. Sitten kun ne löytävät niistä reikiä, niin ne tulevat niistä sisälle.

TKK:n Tietoverkkolaboratoriossa tutkijana ja laboratorioinsinöörinä työskentelevä Markus Peuhkuri kertoo, että nykyisissä kiinteissä verkoissa tapahtuva liikenne on onnistuttu salaamaan ulkopuolisilta varsin hyvin.

– Uudemmissa kytkentäisissä verkoissa liikenne menee periaatteessa suoraan töpselistä keskukselle eikä informaatiota leviä matkalle. Käytössä on silti edelleen runsaasti vanhempia tai muuten huonompia laitteita mitkä ”vuotavat” liikennettä.

Vanhoissa Ethernet-lähiverkoissa elettiin ”jaetussa mediassa”, jolloin kaikki samassa lähiverkossa olleet koneet pystyivät seuraamaan helposti muiden koneiden liikennettä.

– Silloin se oli täysin triviaalia. Laittoi vain tcpdumpin päälle ja se tallensi kaiken liikenteen siitä verkosta, Markus Peuhkuri muistelee.

Esimerkiksi vanhemmissa soluasunnoissa (Teekkarikylän ulkopuolella) vanhat Ethernet-verkot saattavat olla edelleen käytössä. Myös uudemmissa verkoissa käytettävät kytkimet voivat mennä sekaisin ja varsinkin yhteyden ensimmäiset paketit saattavat lähteä kaikkiin lähiverkon portteihin.

– Kytkimiä voi myös yrittää sekoittaa. Tämän jälkeen riippuu verkon ylläpidosta ja asetuksista huomataanko jos sama laite näyttää olevan esimerkiksi kahdessa paikassa samaan aikaan, Peuhkuri kertoo.

Uudempien kiinteiden verkkojen puolelta tietomurtoja ei Markus Peuhkurin mukaan kuitenkaan kannata enää yrittää.

Valitettavasti langattomien verkkojen turvallisuustaso ei ole vielä lähelläkään kiinteiden verkkojen tasoa. Esimerkiksi Otaniemessä käytössä oleva Aalto-verkko on täysin salaamaton, joten kuka tahansa pystyy kuuntelemaan verkossa olevaa liikennettä. Vaikka Aalto-verkon käyttö vaatii TKK:n käyttäjätunnukset, on esimerkiksi nettikahviloissa täysin avoimia yhteyksiä, minkä liikenteen kaappaamineen on helppoa jos vain sattuu olemaan lähistöllä.

– Langattoman verkon sniffaaminen on täysin triviaalia. Siinä palataan Ethernetin aikaiseen jaettuun mediaan, Peuhkuri kertoo.

Jos käyttää salattua web-yhteyttä tai ssh-protokollaa, niin liikenteen kuuntelu menee huomattavasti hankalammaksi. Yksi Markus Peuhkurin suosittelema keino on tunneloida liikenne salatulla fso-yhteydellä kiinteälle välipalvelimelle, minkä jälkeen proxysta voi surffata turvallisin mielin eteenpäin. Sen sijaan WEP-salauksessa salauksen avain on jaettu yleensä kaikille verkon käyttäjille, joten kuka tahansa pystyy kuuntelemaan myös toisten liikennettä.

Esimerkiksi Linux-jakeluun löytyy useita WLAN-pakettien kaappaamiseen tehtyjä ohjelmia. Linuxiin tulee oletusarvoisesti mukana myös TCP-looppien ja Etherealin kaltaiset protokolla-analysaattorit ja verkkoliikenteen kuunteluun käytetyt ohjelmistot, joiden avulla ympärillä tapahtuvaa liikennettä pystyy helposti seuraamaan. Normaaleilla perustyökaluilla pystyy puolestaan erottelemaan mitä data-paketit pitävät sisällään, ja tämän jälkeen bitit on helppo järjestellä uudelleen selkokieliseen muotoon. Tämä onnistuu keneltä tahansa keskivertoteekkarilta.

– Tietyt kurssit läpikäyneillä ei pitäisi olla mitään ongelmia. Periaatteessa liikennettä pystyy kaappaamaan jos koneella on normaali langaton verkkokortti, minkä saa monitoritilaan, Markus Peuhkuri kertoo.

Salatut tiedot pystyy tietenkin myös tallentamaan myöhempiä, ajan kanssa tapahtuvia murtoyrityksiä varten. Esimerkiksi pankkiyhteyksissä käytetään nykyisin niin raskasta salausta, että murtaminen ei onnistu ”koti- konstein”, mutta toisaalta TKK:lla opiskelijoillakin on tarvittaessa niin paljon tietokoneresursseja käytettävissä, että raskastakin salausta pystytään murtamaan. Tässä Markus Peuhkuri naureskelee, että TKK:n ATK-keskus on kuitenkin tarkkana prosessiajojen valvonnassa.

– Ne tulee monesti kyselemään jos joku tutkijakin yrittää dl:ien lähestyessä ajaa jotain simulaatiota kaikissa koneissa, että mitäs täällä on meneillään.

Valitettavasti kukaan Otaxin atk.yleinen -uutisryhmää lukeva hakkeri ei halunnut ilmiantaa itseään haastateltavaksi tätä juttua varten.