08.12.2016 | Blogi

Osallistuuko jääkaappisi verkkohyökkäykseen? Varmista IoT-laitteiden tietoturva!

Digitalisaatio on kovassa nosteessa, koska kaikki mahdollinen halutaan nykyään liittää internetiin. Verkkoon liittyessä pitää kuitenkin muistaa myös tietoturvallisuus, jotta käyttäjät eivät tietämättään vaaranna koko internetin tietoturvaa. Sinunkin uutta älykästä jääkaappia, hammasharjaa, äänentoistolaitetta, modeemia tai kahvinkeitintä saatetaan käyttää verkkohyökkäykseen tietämättäsi.

Parin vuoden aikana internet on tullut ihmisten lisäksi tutuksi myös esineille. Esineiden internet (IoT) on käsite, jossa koneita tai laitteita voidaan kytkeä internetiin ja kytkennästä saadaan jonkinlaista lisähyötyä käyttäjälle. Lisähyöty voi olla esim. tiedon kerääminen tai laitteen hallinta puhelimella.

Käyttäjälle esineiden internet on tullut tutuksi erilaisten laitteiden kautta, kuten valvontakameroiden, älytelevisioiden, verkkoon kytkettävien sensorien ja -valojen kautta.

Esineiden internetistä käyttäjille kerrotaan kuitenkin lähinnä vain se, miten laite kytketään verkkoon onnistuneesti – ja se on siinä!

Käyttö voidaan aloittaa vaivattomasti ja helposti. Ja me käyttäjät olemme tyytyväisiä, kun voimme hallita uutta laitetta kätevästi kännykän kautta. Elämä hymyilee ja kaikki on taas helpompaa ja kivempaa.

Miksi tietoturvariskeistä ei puhuta suoraan?

Käyttöohjeissa kerrotaan liian harvoin, jos lainkaan, että IoT-laitteiden suurimmat ongelmat liittyvät laitteiden päivittämiseen. Yleensä laitetoimittaja ei saa joko jaettua asiakkaille päivitystä tarpeeksi nopeasti, laitetoimittaja saattaa lopettaa päivitysten toimittamisen kokonaan tai käyttäjä itse laiminlyö omat päivityksensä.

Päivitysten laiminlyönti aiheuttaa sen, että mikäli laitteistoon ei saada uutta päivitystä ajallaan, voi järjestelmää olla mahdollista käyttää hyväksi tietoturva-aukon kautta. Väärin asennettu laite voi avata hyökkääjälle pääsyn verkon kaikkiin laitteisiin.

Kenen vastuulla tietoturva on?

Käyttäjän ei pitäisi tuudittautua siihen ajatukseen, että laitetoimittaja olisi hoitanut tietoturvan hyvin. Varsinkin halvemmat laitetoimittajat tuottavat vain laitteen ja sovelluksen, ja laitteiden käyttäjä tekee itse käytännön sovelluksen.

Käyttäjän ei pitäisi tuudittautua siihen ajatukseen, että laitetoimittaja olisi hoitanut tietoturvan hyvin.

Toisin sanoen, laitteiden tietoturvallisesta kytkemisestä ovat vastuussa sekä käyttäjät että verkon arkkitehtuurin toteuttajat. Arkkitehtuurin toteuttajat vastaavat siitä, että verkko on suunniteltu niin, ettei kukaan ulkopuolinen pääse laitteeseen suoraan käsiksi.

Tämän lisäksi, vaikka sekä käyttäjä että arkkitehtuurin suunnittelija toimisivat vastuullisesti, saattavat laitetoimittajat joskus ohjeistaa käyttäjiä ohittamaan mahdolliset turvallisuutta parantavat mekanismit. Manuaalissa saatetaan esimerkiksi neuvoa näin:

“Voit ottaa laitteeseesi yhteyttä suoraan, kun uudelleenohjaat reitittimeltä portit 80 (HTTP) ja 20 (FTP) laitteesi IP-osoitteeseen.”

Käytännössä tämä tarkoittaa, että avaat internetistä pääsyn laitteellesi. Kumpikaan näistä avatuista palveluista ei sisällä salausta, ja siksi joku voi pystyä kaappaamaan salasanasi, mikäli käytät esimerkiksi avointa langatonta verkkoa kahvilassa. Lisäksi, jos laite ei ole saanut päivityksiä viimeiseen kuuteen vuoteen, pitää se mitä todennäköisemmin sisällään useamman tietoturva-aukon ja mahdollistaa hyökkääjän pääsyn käyttäjän verkkoon.

Sinunkin laitteitasi voidaan käyttää hyökkäyksissä

Käytin verkossa olevien laitteiden tietoturvaa testaavaa https://www.shodan.io -palvelua testatakseni oman palveluntarjoajani tietoturvallisuutta samalla kuin kirjoitin tätä blogikirjoitusta. Palvelun avulla voidaan tarkistaa IP-alueilla olevien laitteiden aukinaisia portteja, eli selvittää, onko palvelu auki julkiseen verkkoon ilman minkäänlaista suojausta.

Sain selville, että olisin voinut hyökätä viiteen eri reitittimeen, joiden kautta olisin voinut pahimmassa tapauksessa saada pääsyn jokaiselle lähiverkossa olevalle laitteelle. Tämän lisäksi löysin seitsemän palvelua, joissa käytettiin palvelinsovellusten vanhentuneita versioita. Koska vanhoissa versioissa tiedetään olevan haavoittuvuuksia, on niihin saatavissa helposti myös haavoittuvuuksia hyödyntäviä haittaohjelmia.

IoT-laitteet ovat nousseet otsikoihin viime aikoina mm. siksi, että vähän aikaa sitten yli 150 000 IoT-laitetta käytettiin hyväksi maailman suurimpaan hajautettuun palvelunestohyökkäykseen. Hajautetun palvelunestohyökkäyksen tarkoituksena on kuormittaa jotain verkkopalvelua niin paljon, että palvelu ei ole enää käyttäjien saatavissa. Tämä esimerkissä mainittu palvelunestohyökkäys kohdistui palveluntarjoajaan nimeltään Dyn. Hyökkäs esti käyttäjiä käyttämästä Twitterin, Spotifyn ja Redditin palveluita.

On puhuttu myös, että joku tavoittelee parhaillaan koko internetin kaatamista ja luulen, että IoT-laitteet tulevat näyttelemään tässä surullisessa harjoituksessa suurta roolia. Harjoituksen suorittajasta ei tiedetä mitään, joten varsinaista motiivia tälle ei voida myöskään esittää.

Mitä sinä voit tehdä tietoturvallisemman maailman hyväksi? Mistä aloittaa?

Viestintävirasto on laatinut verkkosivuilleen hyvät ohjeet siitä, kuinka IoT-laitteet voidaan suojata. Ohjeet koskevat pääsääntöisesti kuluttajia. Yritysten IoT-ratkaisut ovat monipuolisempia ja yritysten tuleekin vaatia tietoturvaa toteutusten osana alusta saakka, jos ratkaisun toimittaja ei osaa sitä automaattisesti tarjota.

Mikäli kaipaat apua IoT-ratkaisuissa, ota rohkeasti yhteyttä!

Iiro Uusitalo työskentelee Cloud Ninjana Solitalla Cloud Services -tiimissä. Töissä hänet tunnetaan Mussukkana, kotona isänä ja mediassa erikoisasiantuntijana.  Vapaa-ajallaan Iiro metsästää tietoturva-aukkoja mm. Synackin Red Teamissa, HackerOnessa ja Bugcrowdissa. Muun muassa Tesla Motors on kiittänyt Iiroa haavoittuvuuksien löytämisestä! Iiro on myös aktiivinen somettaja ja vaikuttaa DevOps Finlandissa. Seuraa Iiroa Twitteristä @iiuusit -käyttäjätunnuksella.

Kiinnostuitko? Lue lisää aiheesta IoT Think Tank -raportistamme. Tutustu myös palveluratkaisuihimme, muihin ajankohtaisiiin blogikirjoituksiimme ja avoimiin työpaikkoihimme. Etsimme jatkuvasti uusia rakastettavia työkavereita joukkoomme! Oletkohan sinä seuraava solitalainen?

Solita on digitaalisen liiketoiminnan asiantuntijayritys. Olemme asiakkaidemme matkaopas muuttuvassa maailmassa. Luomme uutta liiketoimintaa ja palveluja yrityksille ja julkishallinnolle yhdistämällä teknologian, liiketoimintaprosessit ja sisällöt uudella tavalla. Solita tuottaa digitaalisia ratkaisuja ja verkkopalveluita sähköiseen liiketoimintaan ja asiointiin sekä tiedolla johtamiseen. Vuonna 1996 perustettu Solita on kasvuyritys, joka on kasvanut kannattavasti yli 20 prosentin vuosivauhtia. Yhtiön liikevaihto vuonna 2015 oli 49,7 miljoonaa euroa. Solita työllistää yli 470 digitaalisen liiketoiminnan asiantuntijaa Helsingissä, Tampereella ja Oulussa.