Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus sekä suojelupoliisi varoittavat suomalaisia Venäjän tavasta hyödyntää heikosti suojattuja kotireitittimiä ja muita verkkolaitteita kybervakoilussa.
Supo ja Kyberturvallisuuskeskus kertoivat keskiviikkona 8. huhtikuuta osallistuneensa FBI:n johtamaan operaatioon, jossa häirittiin Venäjän sotilastiedustelupalvelun kybervakoilutoimintaa. Operaatiossa estettiin murretuista verkkolaitteista koostuvan maailmanlaajuisen kybervakoiluverkoston käyttäminen.
Supon mukaan verkkolaitteita on myös voitu käyttää osana niin kutsuttua toiminnansuojausinfrastruktuuria, joka ei ainoastaan mahdollista kybervakoiluliikenteen naamioimista tavanomaiseksi verkkoliikenteeksi, vaan myös vaikeuttaa tekijän havaitsemista, tunnistamista ja jäljittämistä. Venäjän sotilastiedustelupalvelun toiminnan kiinnostuksen kohteena on ollut viranomaisten mukaan sotilaallista toimintaa, valtionhallintoa ja kriittistä infrastruktuuria koskeva salassa pidettävä tieto.
Operaatio kohdistui venäläisten murtamiin TP-Link-merkkisiin reitittimiin, joissa ei ole korjattu haavoittuvuutta CVE-2023-50224.
”Tämä haavoittuvuus antaa hyökkääjälle mahdollisuuden tehdä laitteelle tietopyynnön, joka on paljastanut laitteeseen tallennetut salasanat tai avaimet ja näin mahdollistanut laitteen kaappaamisen hyökkääjän käyttöön”, supo sanoo tiedotteessa.
Haavoittuvuus on mahdollistanut niin sanotut välimieshyökkäykset.
Hanki reititin operaattorilta
Suojelupoliisi julkaisi syksyllä 2023 ohjeistuksen koskien kodin reitittimien tietoturvaa. Se kutsui vanhoja ja päivittämättömiä laitteita uhaksi kansalliselle turvallisuudelle, sillä suojaamaton tai huonosti suojattu kotireititin voi mahdollistaa luvattoman tunkeutumisen Suomen tietojärjestelmiin.
Murrettuja reitittimiä voidaan hyödyntää myös palvelunestohyökkäyksissä käyttäjän tietämättä. Saastuneet reitittimet muodostavat bottiverkkoja, jotka valjastetaan hyökkäämään valittuihin kohteisiin, kuten pankkien ja viranomaispalveluiden verkkosivuille. Seurauksena on palveluiden hidastuminen tai jopa hetkellinen lamaantuminen.
Telian mukaan suurimman riskin muodostavat yli viisi vuotta vanhat reitittimet, joihin ei saa enää tietoturvapäivityksiä. Tällaisia laitteita on suomalaiskodeissa sen mukaan satojatuhansia.
Suojelupoliisi on kehottanut hankkimaan reitittimet teleoperaattorilta, koska ne päivittyvät automaattisesti, eikä käyttäjän välttämättä tarvitse kantaa niiden tietoturvasta samanlaista huolta kuin muualta hankittujen ja vanhempien laitteiden kohdalla.
Supon mukaan teleyritykset huolehtivat tarjoamiensa laitteiden asetuksista ja ylläpidosta, mutta muualta hankittujen laitteiden kohdalla vastuu on kuluttajalla itsellään.
Tee nämä toimenpiteet
Koska erilaisia laitteita on valtavan suuri määrä, on täysin tarkkojen askel-askeleelta-ohjeiden antaminen vaikeaa. Paras apu löytyy joko oman laitteen käyttöohjeesta tai olemalla yhteydessä laitteen ostopaikkaan.
Operaattoreiden myymien laitteiden ohjeet löydät alta:
Kurkkaa siis kotona reitittimen pohjaan ja tarkista laitteen hallintapaneelin osoite sekä oletuksena olevat kirjautumistunnukset. Mene hallintapaneeliin ja tee alla listatut toimenpiteet.
1. Aseta tai vaihda hallintapaneelin salasana
Hallintapaneelin salasanalla suojataan itse hallintapaneeli, jotta kukaan ulkopuolinen ei pääse muuttamaan reitittimesi asetuksia. Hyvä salasana on uniikki, vaikeasti arvattavissa, tarpeeksi pitkä ja sisältää isojen ja pienien kirjainten sekä numeroiden lisäksi myös erikoismerkkejä. Esimerkiksi ”admin” ei ole hyvä salasana, sillä se on tyypillinen oletussalasana ja tarkoitettu vaihdettavaksi vahvempaan.
2. Suojaa langaton verkko
Hallintapaneelin salasana ei ole sama asia kuin langattoman verkon salasana. Verkon salasana on se salasana, jota esimerkiksi uusi tietokone, puhelin tai tabletti kysyy, kun verkkoon ollaan liittymässä ensimmäistä kertaa. Aseta myös langattomalle verkolle salasana. Edellä kuvatut salasanaohjeet pätevät myös langattoman verkon salasanaan.
Salasanan lisäksi myös verkon wpa-suojaus on syytä asettaa päälle. Tyypillisiä vaihtoehtoja verkon suojausasetuksissa ovat uusin ja turvallisin wpa3 personal sekä vanhempi wpa2. Wpa3-suojausta ei kuitenkaan kannata asettaa, elleivät kaikki omat laitteet tue sitä. Mikäli käytät myös vanhempia laitteita, joissa ei ole wpa3-tukea, valitse suojaukseksi wpa2.
Palomuuri on oletuksena päällä monissa laitteissa, mutta mikäli näin ei ole, kannattaa se kytkeä hallintapaneelin asetuksista. Palomuuri ei yksinään riitä suojaamaan verkkoasi, mutta se on F-Securen mukaan erinomainen tapa parantaa verkkoon liitettyjen laitteiden suojausta.
3. Anna verkolle uniikki nimi
Vältä langattoman verkon oletusnimien käyttöä tai muita yleisiä nimiä, kuten laitevalmistajan nimeä. Esimerkiksi Linksys, Netgear, Asus ja Dlink ovat reititinvalmistajia.
Oletusnimissä piilee se riski, että vaikkapa kerrostalossa joku muu saattaa käyttää samalla tavalla nimettyä verkkoa, jolloin laitteet saattavat yrittää yhdistää väärään verkkoon.
Älä kuitenkaan anna verkolle omaa nimeäsi tai muuta sellaista nimeä, jonka voi yhdistää sinuun, ettet tarjoa mahdolliselle tunkeutujalle arvokasta tietoa laitteeseen murtautumisen helpottamiseksi.
4. Päivitä reitittimen ohjelmisto
Hallintapaneelin kautta on myös mahdollista päivittää laitteen ohjelmisto. Mikäli laitteeseen on tarjolla uusi ohjelmistoversio, on päivitys tärkeää tehdä viipymättä. Uudet ohjelmistoversiot sisältävät muun muassa tietoturvapäivityksiä ja tunnettujen haavoittuvuuksien paikkauksia. Vaikka olisit juuri päivittänyt ohjelmiston ja tarjolla on jälleen uusi versio, on se syytä asentaa aikailematta.
Mikäli laitteen ohjelmisto on ajan tasalla, ei se vielä tarkoita, että laite on turvallinen. Jos ohjelmistoa ei ole päivitetty vuosiin, mutta tarjolla ei siltikään ole uutta päivitysversiota, voi kyseessä olla jo niin vanha laite, ettei se enää saa ohjelmistopäivityksiä. Tällaisen laitteen käyttäminen on tietoturvariski, joten uuden laitteen hankinta on suositeltavaa.
5. Estä etäkäyttö
Reitittimen etäkäyttö on syytä kytkeä pois päältä hallintapaneelista, jos sitä ei tiedä tarvitsevansa. Etäkäytöllä tarkoitetaan sitä, että laitteeseen voi ottaa yhteyden myös internetin yli. Tämä kuitenkin altistaa reitittimen luvattomalle käytölle.
