Anne Hautamäki

20 - 12 - 2022 - Asiantuntijablogit

Digitaalisen Suomen tietoturvahaasteita, osa 1 oletustunnukset

Cyber Security Specialist Anne Hautakangas on viimeisen kahden vuoden aikana saanut osallistunut yli 50 erilaiseen tietoturvatarkastukseen. Matkan varrella hän on huomannut, että jotkut haavoittuvuudet ovat suomalaisissa järjestelmissä yleisempiä kuin toiset. Kolmiosaisen blogisarjan ensimmäisessä osassa syvennytään oletustunnuksiin liittyviin seikkoihin.

Mikä on oletustunnus?

Oletustunnus on laitteessa tai ohjelmistossa valmiina oleva ylläpitäjän tunnus. Sen löytää usein tarrana laitteen kyljestä tai lukemalla ohjelmiston käyttöohjeen. Oletustunnukset ovat helposti arvattavia: admin|admin, root|root, admin|password – ja tarkoituksena on, että ne vaihdettaisiin turvallisempiin ensimmäisen kirjautumisen jälkeen. On kuitenkin kiusallisen yleistä, että oletustunnuksia löytyy käytöstä ja vieläpä sellaisistakin järjestelmistä, jotka ovat avoinna julkiseen internettiin.

Miksi oletustunnukset ovat vaarallisia?

Jos laitteeseen tai sovellukseen on laitettu salasana, se sisältää varmasti sellaista tietoa, jota pitää suojella. Oletustunnuksilla on suojattu tietoturvatarkastuksissamme mm. valvontakamerajärjestelmiä, teollisuuden automaatiolaitteita ja palvelimen yhteyksiä internettiin. Oletustunnuksilla voidaan päästä näkemään järjestelmässä olevaa tietoa ja pahimmillaan niitä käyttämällä voidaan vaikuttaa järjestelmän toimintaan.

Insta Anne Hautakangas

Miksi oletustunnuksia yhä käytetään?

Oletustunnuksen löytyminen on aina tietoturvahavainto. Tyypillisesti tunnuksia löytyy vanhoista järjestelmistä, jotka on otettu käyttöön esimerkiksi 2000-luvun alkupuolella tai jopa sitä aiemmin. 20 vuotta on pitkä aika, ja ihmisten vaihtuessa tieto käytössä olevista oletustunnuksista saattaa kadota. Joskus voi myös yksinkertaisesti unohtua, että palvelimelta löytyy sovellus, joka käyttää Telnet-yhteyttä ja toisinaan on niin kova kiire rakentaa uutta, että vanhat asiat jäävät tekemättä.

On myös aloja, joissa ihmisten pääasiallinen työ on heiluttaa jakoavainta hiiren sijaan ja silloin tuntuu helpommalta käyttää tunnuksia, jotka on helppo muistaa. Ihmisiähän tässä lopulta vaan ollaan.

Mitä pitäisi tehdä?

Oletustunnuksen vaihtaminen ei ole iso juttu. Hankalinta on löytää paikat, joissa niitä käytetään ja päästä sopuun siitä, että millainen salasana valitaan. Ettei sitten käy niin, että se uusi salasana on ihan yhtä helposti arvattavissa kuin oletustunnuskin. Suosimme täällä meillä pitkiä lauseen kaltaisia salasanoja, joissa on numeroita ja erikoismerkkejä mukana: Ferrari=Aina!#1, I<3Tampere&Insta.

Oletustunnuksia kannattaa etsiä erityisesti vanhoista laitteista ja järjestelmistä sekä sellaisista järjestelmistä joita käytetään harvoin.

Mikäli tietoturva mietityttää, voidaan miettiä ratkaisuja myös yhdessä. Tietoturvatarkastuksen jälkeen tiedät järjestelmäsi tietoturvan tason ja myös keinot, joilla voit sitä parantaa.

Oletko kiinnostunut työstä kyberturvallisuuden parissa? Blogisarjan tulevissa osissa perehdytään salasanan palautukseen ja API:en tietoturvaan!

Kurota kohti kyberturvan kärkiosaajuutta

Anne Hautakangas
Kirjoittaja

Anne Hautakangas

Kirjoittaja työskentelee Instassa kyberturvallisuuden asiantuntijana.

Jaa artikkeli

Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.