[Teema] Ota esineiden internetin suojauskeinot haltuun

Tietokoneiden käyttäjille alkaa nykypäivänä olla itsestäänselvyys, miten laitteen tietoturvasta huolehditaan. Huolehtimalla käyttöjärjestelmän ja sovellusten päivittämisestä, sekä käyttämällä tietoturvaohjelmistoa voi merkittävästi vähentää riskiä joutua esimerkiksi kiristyshaittaohjelman uhriksi. Esineiden internetin kanssa nämä perussäännöt menevät kuitenkin jossain määrin uusiksi. Älykodin tietoturva pysyy kunnossa tulevaisuudessakin huolehtimalla verkon suojauksesta ja suosimalla laitteita joille luvataan päivityksiä myös tulevaisuudessa.

Esineiden internetin, eli IoT-laitteiden (Internet of Things) osalta ei usein mielletä, että ne ovat itse asiassa täysiverisiä tietokoneita, joista kuitenkin puuttuu näyttö ja näppäimistä. Nämä laitteet ovat usein pieniä, yksinkertaisia ja suunniteltu tekemään jokin tietty asia mahdollisimman tehokkaasti. Kun IoT-laite kytketään verkkoon, mahdollistetaan sen ohjaus esimerkiksi internet selaimen tai älypuhelimen sovelluksen avulla. Internetiin kytkeminen voi kuitenkin samalla altistaa laitteen samanlaisille tietoturvahaasteille kuin minkä tahansa tietokoneen. IoT-laitteet ovat samalla tavalla alttiita esimerkiksi haavoittuvuuksien hyväksikäytölle kuin tavallisetkin tietokoneet, ja koska itse laitteen tietoturvan tasoon on usein hyvin vaikea vaikuttaa, voi niiden hyväksikäyttö olla usein jopa helpompaa kuin tavallisten tietokoneiden osalta.

Puutteellisesti suojattu IoT-laite saattaa vaarantaa oman ja muiden tietoturvan

IoT-laitteeseen tartutettu haittaohjelma voi esimerkiksi avata hyökkääjälle pääsyn kodin sisäverkon muihin laitteisiin, tai IoT-laitetta voidaan hyödyntää verkkohyökkäysten tekemiseen toisella puolella maailmaa olevaan kohteeseen. IoT-laitteiden tietoturvaongelmien tunnistaminen voi myös olla erittäin vaikeaa. Esimerkiksi haittaohjelmalla saastutettu IoT-laite voi jatkaa toimintaansa normaalisti, vaikka se samaan aikaan lähettäisi 10 000 roskapostiviestiä päivässä ympäri maailmaa, lähettäisi kodin verkkotallennuslaitteeseen tallennetut tiedostot rikollisten haltuun, jakaisi kodin valvontakameran kuvan koko maailman nähtäväksi ja päästäisi hyökkääjän puhumaan verkkoon kytketyn itkuhälyttimen kautta.

IoT-laitteiden puutteellisen suojauksen muodostamat ongelmat ovat arkipäivää valitettavasti myös Suomessa. Viestintäviraston Kyberturvallisuuskeskus on muun muassa tutkinut tapausta, missä internetin kautta oli tunkeuduttu kodin videovalvontajärjestelmän keskusyksikköön, ja tyhjennetty sitä kautta kaikki kameroiden tallentama kuva. Viestintäviraston tiedossa on myös tapaus, jossa maalämpöpumpun ohjausjärjestelmän epäiltiin osallistuneen palvelunestohyökkäyksen tekemiseen haittaohjelmatartunnan seurauksena.

Pahimmassa tapauksessa kodin IoT-laite voikin vaarantaa käyttäjän oman tiedon tai laitteiden turvallisuuden lisäksi jonkun ulkopuolisen uhrin tietoturvaa. Haitallista liikennettä lähettävä laite voi pahimmassa tapauksessa johtaa internet liittymän sulkemiseen, mikäli haitallista liikennettä ei saada muuten estettyä.

IoT-laitteiden tietoturvaongelmat kumpuavat monesti siitä, että laitteen turvallisuuteen ei ole panostettu riittävästi sen suunnitteluvaiheessa. Laitteet ovat usein edullisia, ja vaikka niiden suunniteltu elinikä käytön kannalta on tavallista tietokonetta huomattavasti pienempi, ei niille tarjotun laitetuen pituus välttämättä heijasta tätä seikkaa. Varsinkaan pienillä valmistajilla ei välttämättä ole kiinnostusta tarjota laitteelle tietoturvapäivityksiä sen jälkeen kun laitteet on saatu kaupaksi. Oman haasteensa on tuonut myös alan yhteisten standardien ja vaatimusten puute.

Muistilista kodin IoT-laitteiden hankintaan

Kun olet hankkimassa kotiin IoT-laitetta, on seuraavat asiat hyvä selvittää myyjältä tai tutustumalla laitteen tietoihin internetissä:

  • Onko laitteelle saatavilla tietoturvapäivityksiä tai onko valmistaja sitoutunut julkaisemaan niitä?
  • Päivittyykö laitteen ohjelmisto automaattisesti, vai tehdäänkö se käyttäjän toimenpitein
  • Onko laitteen asetuksiin pääsy suojattu yksilöllisellä salasanalla, vai pitääkö se vaihtaa laitteen käyttöönoton yhteydessä?
  • Jos laitteeseen on tarkoitus päästä kiinni myös internetistä, tapahtuuko tämä siten että laite näkyy suoraan internetiin vai esimerkiksi valmistajan internetissä olevan portaalin kautta?

Tietoturvapäivitysten puute on yksi IoT-laitteiden suurimmista ongelmista. Laitteita, joista on löytynyt merkittäviä tietoturvaongelmia, eikä laitteen valmistaja ole julkaissut tähän päivitystä, kannattaa välttää. Laitetta myyvältä kauppiaalta kannattaa aina tiedustella laitteen tietoturvasta ja päivityksistä. Jos kuluttajat ovat itse kiinnostuneet aiheesta ja kysyvät siitä, lisää se myös kauppiaiden tarvetta selvittää näitä asioita. Myös internetin hakukoneita kannattaa hyödyntää lisätietojen hankkimisessa. Yhdistämällä hakukoneeseen laitteen nimen sekä hakusanan "vulnerability" (haavoittuvuus) tai "security update" (tietoturvapäivitys), voi tunnistaa onko kyseisestä laitteesta löydetty haavoittuvuuksia ja onko siihen saatavilla päivityksiä.

Suosi laitteita, jotka tukevat automaattisia ohjelmistopäivityksiä

IoT-laitteiden ohjelmiston päivittämisen toteuttaminen voi myös muodostua haastavaksi. Pahimmassa tapauksessa päivitys, jos sellainen on ylipäätään saatavilla, joudutaan lataamaan laitteeseen siirrettävän USB-muistitikun avulla. Tällainen toimenpide on tavallisen loppukäyttäjän kannalta työläs.

Sellaiset laitteet, jotka mahdollistavat ohjelmiston päivittämisen käyttöliittymän kautta, ovat huomattavasti helpompia päivittää. Käyttöliittymä on toteutettu yleensä joko laitteen tarjoamana verkkosivuna, tai erillisen älylaitteen sovelluksen kautta (esim. Android- tai Apple iOS –sovellus). Käyttöliittymästä kannattaa etsiä ohjelmistopäivitykseen (yleensä "software upgrade" tai "firmware upgrade") viittaavaa asetuskohtaa, ja tarkastaa sen kautta mitä päivitysvaihtoehtoja laite tarjoaa.

Loppukäyttäjien kannattaa suosia sellaisia IoT-laitteita, mitkä voi määrittää lataamaan päivitykset automaattisesti internetin yli valmistajan palvelimelta. Tällöin yleensä riittää, että ajoittain tarkastaa ovatko päivitykset asentuneet. Automaattisia ohjelmistopäivityksiä tukevia laitteita kannattaa painottaa ostopäätöstä tehtäessä!

Toinen yleinen vaihtoehto päivitysten asentamiseen on se, että valmistaja tarjoaa omilla verkkosivuillaan laitteeseen sopivan ohjelmistopäivityksen, jonka käyttäjä lataa tietokoneelle tai älylaitteelle. Tällöin ladattu päivitys siirretään IoT-laitteelle asennettavaksi ohjelmistopäivitysten asetuskohdan kautta.

Käsin tehtävässä päivittämisessä tulee olla tarkkana, että ladattu päivitys on tarkoitettu juuri itsellä olevaan laitteeseen. Väärän päivitystiedosto voi pahimmillaan estää laitteen toiminnan. Jos päivityksen asentaminen tuntuu haastavalta, kannattaa harkita asiantuntija avun pyytämistä. Käsin tehtävän päivittämisen tuskalta voi välttyä helpoiten sillä, että jättää tätä vaativat laitteet kaupan hyllyyn pölyttymään!

Jos laitteessa on salasana, varmista että sen voi vaihtaa

Toinen merkittävä haaste IoT-laitteiden osalta on niin sanotut kiinteät salasanat. Tällöin laitteen ohjelmistoon on tallennettu ylläpitosalasana, jonka kautta laitteen asetuksiin pääsee käsiksi. Esimerkiksi verkkorikolliset hyödyntävät kiinteitä salasanoja etsimällä internetiin kytkettyjä IoT-laitteita, kuten laajakaistareitittimiä, ja tunkeutumalla niihin tällaisen salasanan avulla.

Vaihtamalla oletussalasanan turvalliseen salasanaan, voi merkittävästi vähentää riskiä että laite päätyy ulkopuolisen tahon hallintaan. Laitteen hallintasalanojen vaihto tapahtuu lähtökohtaisesti samasta käyttöliittymästä kuin laitteen muidenkin asetusten, kuten ohjelmistopäivitysten tekeminen.

Huolehdi IoT-laitteiden turvallisesta kytkemisestä verkkoon

Monet IoT-laitteet voivat paljastaa itsensä avoimeen internetiin UPnP – protokollan (Universal Plug and Play - Wikipedia) porttiohjauksen avulla. Verkkokamera voi esimerkiksi ohjeistaa kodin laajakaistareitittimen avaamaan pääsyn internetistä kameralle, jolloin kameraan voi olla mahdollista päästä kiinni myös ulkopuolisen tahon toimesta. Maailmalta löytyy useita ikäviä esimerkkejä siitä, kun kodin valvontakameran kuva onkin ollut kenen tahansa seurattavissa. Esimerkiksi vuonna 2012 ja 2013 raportoitiin laajasti TRENDnet-merkkisten verkkokameroiden puutteellisesta suojauksesta . Lähtökohta IoT-laitteiden kytkennässä tulisi aina olla se, että ne eivät näkyisi julkiseen internetiin, vaan niihin olisi pääsy vain kodin sisäverkon puolelta.

Kodin laajakaistareitittimillä on merkittävä rooli suojata kodin tietokoneita ja IoT-laitteita erilaisilta verkkohyökkäyksiltä. Oikein asennettu laajakaistareititin ei paljasta siihen kytkettyjä laitteita ulkopuolelta tuleville yhteyspyynnöille. Huolehdi että ainakin seuraavat asiat on kunnossa laajakaistareitittimessäsi:

  • Reititin toimii osoitteenmunnostilassa (Network Address Translation, eli NAT), eikä sillatussa (bridged) tilassa
  • Reitittimen hallintakäyttöliittymä ei näy internetiin
  • Reitittimen hallintakäyttöliittymän salasana vaihdetaan yksilölliseen, vahvaan salasanaan
  • Langattoman lähiverkon (WiFi) suojaus tehdään tehokkaalla salauksella (esimerkiksi WPA2-salaus) ja vahvalla salasanalla
  • Poista itselle tarpeettomat lisäominaisuudet käytöstä, esimerkiksi UPnP-toiminnallisuudelle ei ole tarvetta kuin tietyissä erityistarkoituksissa

Tarkat ohjeet näiden asetusten tarkistamiseen ja muuttamiseen löytyy yleensä oman laajakaistareitittimen käyttöohjeista. Ostotilanteessa näitä asioita kannattaa tiedustella myös laitteen myyjältä. Mikäli sormi menee asetusten kanssa suuhun, kannattaa apua tiedustella aiheeseen perehtyneeltä tuttavalta tai asiantuntija-apua myyviltä yrityksiltä.

Aihetta on tarkasteltu laajemmin Viestintäraston kaksiosaisessa artikkelisarjassa:

Tietoturva nyt! - Heikosti ylläpidetyt kotireitittimet ovat verkkorikollisten kohteena - osa 1

Tietoturva nyt! - Heikosti ylläpidetyt kotireitittimet ovat verkkorikollisten kohteena - osa 2

Uusia keinoja IoT-laitteiden suojaukseen

Siinä missä tavallisten tietokoneiden tietoturvaa on yksinkertaista parantaa esimerkiksi tietoturvapäivitysten asentamisella, tietoturvaohjelmistolla ja ohjelmistopalomuurilla, ei näitä keinoja monestikaan ole saatavilla IoT-laitteille. Koska näiden laitteiden toimintaperiaate on lähtökohtaisesti kommunikoida verkon yli, avaa tämä myös mahdollisuuden tunnistaa verkkoliikenteen pohjalta mahdollisia haitallisesti toimivia IoT-laitteita.

Markkinoille onkin tulossa laitteita, jotka pyrkivät suojaamaan kerralla kaikki kodin tietokoneet, äly- ja IoT-laitteet tunnistamalla ja hälyttämällä mikäli verkkoliikenteessä havaitaan esimerkiksi haittaohjelman muodostamaa liikennettä. Esimerkkejä tällaisista markkinoille tuloillaan olevista laitteesta ovat F-Securen valmistama SENSE-tietoturvaratkaisu tai CUJOn älykäs palomuuri.

GSMA ja OWASP edistävät alan parhaita käytäntöjä ja vaatimuksia

Kuluttajat eivät suinkaan ole ainoita osapuolia, joille huonosti toteutettu tietoturvan voi aiheuttaa menetyksiä. Kasvavat markkinat suovat valtavia mahdollisuuksia valmistajille, mutta suosion kasvaessa palveluista tulee myös kiinnostavia kohteita rikollisiin tarkoituksiin. Tuotteiden elinkaaret ovat pitkiä ja turvattomasti toteutettuina laitteet tai palvelut voivat johtaa valmistajan maineen ja luottamuksen menettämiseen ja tätä kautta esimerkiksi rahoittajien perääntymiseen. Varsinkin taipaleensa alussa olevien palveluiden tai esimerkiksi startup-yritysten ei kannata laiminlyödä tietoturvaa, sillä pahimmillaan maineen menettäminen ennen varsinaista läpilyöntiä voi johtaa yrityksen kaatumiseen, vaikka taustalla olisi kuinka hyvä idea.

Groupe Spécial Mobile Association (GSMA) on puhelinvalmistajien ja operaattorien mielipiteitä edistävä yhdistys. GSMA on julkaissut IoT-teemaisen tietoturvallisuusohjeistuksen, joka sisältää alan parhaita käytäntöjä ja suosituksia IoT-palveluiden elinkaaren eri vaiheisiin. Ohjeistuksen tarkoituksena ei ole luoda uusia standardeja, vaan ohjeistus koostuu dokumenteista palveluihin, päätelaitteisiin ja verkko-operaattorin osuuteen. Ohjeistus alkaa eri osa-alueet kattavalla esittelydokumentilla sekä eri dokumentit yhdistävään yleiskatsaukseen. IoT-laitteita tai -palveluita kehittävien tahojen onkin syytä tutustua huolella näihin alan eri tietoturvallisuusohjeistuksiin, ja huolehtia että siitä että heidän tarjoamansa IoT-ratkaisu ei ole se, joka vaarantaa älykodin turvallisuuden!

OWASP (Open Web Application Security Project) on voittoa tavoittelematon organisaatio, jonka tavoitteena on edistää verkkopalveluiden ja sovellusten turvallista suunnittelua ja toteutusta. OWASP julkaissut sivuillaan ohjeita suunnittelijoille, valmistajille, kehittäjille ja kuluttajille parantaakseen IoT-maailman ymmärrystä ja turvallisuutta.

Lisätietoja

Tietoturva nyt! - Heikosti ylläpidetyt kotireitittimet ovat verkkorikollisten kohteena - osa 1

Tietoturva nyt! - Heikosti ylläpidetyt kotireitittimet ovat verkkorikollisten kohteena - osa 2

GSMA IoT Security Guidelines

OWASP Security Guidance


Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248