Langaton WLAN verkko (WiFi verkko) voidaan murtaa. Murtautumisen vaikeuttaminen ja jopa estäminen on mahdollista oikeilla asetuksilla sekä tiedostamalla murtautumismenetelmät. Kiinteä laajakaista (kaapeli kytkettynä tietokoneeseen) ilman langatonta verkkoa on aina turvallisempi.
Avoimissa julkisissa verkoissa (kahvilat, hotellit jne.) turvallisinta on käyttää TOR-selainta tai VPN-palvelua.
Kotikäyttäjän WiFi verkon murtamisen tarkoituksena voi olla:
- verkkoliikenteen tallentaminen (vieraillut sivustot, käyttäjätunnukset, salasanat, data)
- verkon käyttäminen murtautujan käyttötarkoituksiin
- haittaohjelman/vakoilutyökalun asentaminen uhrin koneeseen
Langattoman verkon kautta ei voi suoraan tunkeutua koneelle lukemaan tietoa tai suorittamaan komentoja. Sen sijaan pyritään anastamaan käyttäjätunnuksia tai ohjaamaan uhri valesivustolle, josta asennetaan haittaohjelma. Myös verkosta ladatun viattoman ohjelman korvaaminen lennosta haittaohjelmalla onnistuu. Tätä hyödyntävät erityisesti valtiolliset toimijat.
Langattoman verkon asetukset
1. WLAN reitittimen hallintasalasanan tulee olla monimutkainen. Tällä kirjaudutaan reitittimen asetuksiin (administrator). Salasanan tulee olla eri kuin itse verkon salasana.
2. WPS (WiFi Protected Setup) tulee kytkeä pois päältä (Disabled). Asetusta ei löydy kaikista reitittimistä, jolloin se on oletusarvoisesti estetty.
3. Vaihda oletus SSID. Oletuksena verkon nimi on valmistajasta (esim. Linksys, DLink…) johdettu sana. Nimi tulee vaihtaa vähintään kahden-kolmen sanan mittaiseksi, jossa mieluiten numeroita mukana. Verkkoliikenteen salausavain muodostetaan käyttäen SSID:tä ja salasanaa. Jos SSID jätetään oletusarvoon, voi murtautuja käyttää ns. rainbow table -apuvälineitä salasanan löytämiseen.
4. Vain WPA2-PSK(AES) salaus takaa turvallisuuden. WPA2-Enterprise valinta ei ole tarpeen kotikäytössä. WPA-PSK(TKIP) on AES:ää turvattomampi. Yli 10 vuotta vanhat laitteet eivät tue AES-vaihtoehtoa.
5. Verkon salasana on tärkein osa WPA2-PSK salausta. Salasanan tulee olla pitkä ja monimutkainen, vähintään 20-25 merkkiä. WPA2-PSK salauksen murtaminen onnistuu vain ns. ’brute force’-tekniikalla, jossa salasana murretaan kokeilemalla miljoonia yleisiä salasanoja. Ylempänä mainittu SSID:n muuttaminen liittyy läheisesti tähän.
6. Tarvittaessa Remote Management ja Upnp ominaisuudet voidaan asettaa Disabled-tilaan. Upnp:n estäminen voi haitata joitakin pelejä, pelikonsoleja ja peer-to-peer sovelluksia. Nämä kannattaa testata muutoksen jälkeen. Myös DMZ-asetus voidaan poistaa käytöstä.
7. Asetuksia, joita ei kannata tehdä: SSID Hiding (reitittimen näkymättömyys) kuulostaa hyvältä, mutta todellisuudessa helpottaa murtautumista joissakin tilanteissa. MAC filtering (vain valittujen laitteiden salliminen) voidaan valita päälle, mutta se ei estä murtautumista.
Reitittimen tietoturvan parantamiseen voi harkita DD-WRT laiteohjelmistoa. Usein halpojen reitittimien laiteohjelmistot ovat vanhoja ja tietoturva-aukkoja ei ole paikattu. Ennen asennusta tulee selvittää tukeeko reititin ohjelmistoa.
Langattoman verkon saa siis turvalliseksi käyttämällä WPA2-PSK(AES) salausta, vaihtamalla verkon nimi satunnaiseksi, sekä määrittelemällä verkolle pitkä ja monimutkainen salasana. Muut kuin WPA2-salaukset murtuvat jopa minuuteissa, samoin verkot joissa on WPS aktivoituna.
Seuraavana kuva salasanan murtotyökalusta (kuvassa ’brute force’ menetelmä):
Tämän jälkeen voidaan tutkia mitä sivuja verkon kautta ladataan, ja syöttää virus esimerkiksi Flash-sisältöön nollapäivähaavoittuvuuden avulla:
Jos hyökkääjä onnistuu murtamaan salausavaimen, voidaan verkkoliikenteelle tehdä mitä tahansa – ohjata valesivustoille, tallentaa liikenne, vaihtaa ladattuja tiedostoja lennosta viruksiksi ja niin edelleen. Valtiolliset toimijat voivat tosin tehdä toimenpiteet teleoperaattorin tiloista, jolloin langatonta ei edes tarvitse murtaa…
Windows 7/8/10 yksityisyyden suoja 