Imuroi turvallisesti

Esineiden internetin (Internet of Things, IoT) kasvaessa myös verkkoon kytkettyjen arjessa käytettävien laitteiden määrä kasvaa. Auton, pölynimurin tai ydinvoimalan kytkemisessä verkkoon ei kuitenkaan aina muisteta erästä varsin tärkeää seikkaa: turvallisuutta.

Dammsug_Stralfors_875.jpg

IT-turvallisuusasiantuntija Lucas Lundgren.

Siellä ne olivat täysin suojaamattomina, kenen tahansa ohjattavissa internetin kautta:
ydinvoimalan säteilymittarit, maanjäristysjärjestelmät, lääkintälaitteet ja vankilan ovet. Eräs nimeltä mainitsematon hallitus puolestaan seurasi tiettyjen henkilöiden liikkeitä heidän autojensa GPS-järjestelmän välityksellä. Puhumattakaan 15 000 ruotsalaisesta pankkiautomaatista, joista nostetut summat olivat yleisesti nähtävissä.

Kaiken tämän IT-turvallisuusasiantuntija Lucas Lundgren havaitsi jäljittäessään internetissä antureiden laitteistoa ohjaavaa matalan tason protokollaa. Protokolla oli suunniteltu pieneksi, nopeaksi, tehokkaaksi ja energiaa säästäväksi. Samalla se oli tunkeutujille täysin avoinna, koska läheskään kaikki eivät olleet vaivautuneet suojaamaan laitteisiinsa asentamaa protokollaa käyttäjätunnuksella ja salasanalla.

– Halutessani olisin voinut ohjata kyseisiä antureita ja avata esimerkiksi vankilanovien lukot. Olisin myös voinut säätää ydinvoimalan säteilyanturit käynnistämään laitoksen tuulettimet säteilyn lisääntyessä – jolloin ydinvoimalan työntekijät olisivat saattaneet saada säteilyvammoja, kertoo tanskalaisen IT-turvallisuusyrityksen Fortconsultin Senior security consultant Lucas Lundgren. Lundgren on suosittu luennoitsija, jota tietoturva-aukot ovat kiinnostaneet kovasti aina seitsenvuotiaasta saakka.

– IoT-tuotteet herättävät kauhua. Todellisuus on kymmenen kertaa pahempi kuin voimme kuvitella. Monissa verkkoon kytketyissä tuotteissa ei ole ajateltu turvallisuutta lainkaan, hän jatkaa.

Yksinkertaiset laitteet vaarallisia

Kaikki älylaitteet ovat pohjimmiltaan pieniä tietokoneita. Ne ovat sen vuoksi vähintään yhtä haavoittuvia kuin tietokone – tai jopa haavoittuvampia. Laitteissa on lisäksi yksi ongelma: Niiden anturit eivät yleensä ole tarpeeksi voimakkaita pystyäkseen takaamaan vahvan suojauksen ja hyvän turvallisuuden. Ne voivat olla myös akkukäyttöisiä, ja paljon virtaa vievä hyvä sisäinen turvallisuusratkaisu saattaa tyhjentää akun nopeasti.

Vaikkei useimpia älylaitteita käytetäkään arkaluonteisessa toiminnassa, hakkerit voivat hyödyntää niitä kuormitushyökkäyksessä jonkin verkkosivuston tai internetpalvelun kaatamiseksi.

Turvallisuusriskien vuoksi Lucas Lundgren neuvoo aina miettimään, kannattaako älylaite todellakin kytkeä verkkoon.

– Tarvitsetko esimerkiksi todellakin laitetta, joka valvoo jääkaapissa olevien kananmunien määrää ja lähettää sinulle tekstiviestin, kun munat ovat loppumassa? Entä onko sinun pakko saada viesti robotti-imurilta, kun se on saanut työnsä valmiiksi. Nämä ovat hauskoja toimintoja, mutta meidän on oltava tietoisia niiden seurauksista. Jos laitetta ei ole pakko kytkeä verkkoon, älä tee sitä.

Joissakin tapauksissa älylaitteen verkkoyhteydestä voi kuitenkin olla hyötyä, mutta yhteys voidaan aina muodostaa turvallisemmalla tavalla kuin kytkemällä laite suoraan internetiin.

– Laite voi olla paras segmentoida yksityiseen verkkoon, mikä on erityisen tärkeää arkaluonteisissa toiminnoissa, kuten ydinvoimaloissa.

Panosta turvallisuuteen alusta alkaen

On myös tärkeää jo asennettaessa määrittää kaikkiin verkkoon kytkettäviin laitteisiin matalimman tason turvallisuusasetukset, kuten kunnon käyttäjätunnukset ja salasanat.

– Olen monta kertaa nähnyt, kuinka yritykset ulkoistavat asentamisen, ja kun asennus on valmis, asennusyritykseen ei pidetä enää yhteyttä. Käydessäni läpi asennuk- sia olen usein todennut, että niin käyttäjätunnukseksi kuin sala-
sanaksikin on valittu ”admin”. Asiakas luulee tilanneensa myös turvallisuusasetukset, mutta asennusyrityksen mukaan se ei sisältynyt tilaukseen. Pystyin esimerkiksi kirjautumaan erään suuren rahoitusalan yrityksen järjestelmään hälytinlaitteella ja kytkemään sen jälkeen hälytyksen pois päältä ja avaamaan oven.