
Turvallinen/turvaton IoT
Maailma verkottuu ja päivittäiset käyttöesineet sen mukana. Kaikki laitteet ovat kohta kiinni internetissä. Puhutaan esineiden internetistä, Internet of Things, IoT. Paljon hienoja juttuja, mutta unohdammeko kaiken hienouden keskellä jotain?
Kun F-Securen tutkimusjohtaja Mikko Hyppönen kirjoitti puolisentoista vuotta sitten, että lapsemme tulevat vihaamaan meitä tulevaisuudessa, hän puhui juuri tuosta esineiden internetistä. Siitä jossa kaikki pesukoneista jääkaappeihin ja perheen autoihin liitetään toisiinsa internetin välityksellä. Siitä jossa mahdollisuuksien rajatonta virtaa toteutetaan nyt kiireellä ja reunaehdoista välittämättä. Siitä jonka vuoksi lapsemme tulevat pohtimaan mitä oikein ajattelimme luodessamme tämän IoT-himmelin.
Hyppönen puhui tietoturvallisuudesta ja kuluttajan puutteellisista valmiuksista ottaa se huomioon.
Nyt, kun nuo ”tulevaisuudessa meitä vihaavat lapsemme” ovat puolitoista vuotta vanhempia, niin mitä on tapahtunut tällä välin, vai ovatko sen mahdollisen vihan perusteet kasvaneet entisestään?
Hallitsematon ja turvaton IoT?
Tulimme aikanaan aamulla toimistolle, lähellä tuon Hyppösen artikkelin ajankohtaa, ja huomasimme tyhjässä tilassa elämää. Alun perin lasten futisharkkoja varten hankittu valvontakamera eli toimiston pöydällä täysin omaa elämäänsä. Se kääntyili ja zoomasi nurkkia itsekseen, kenenkään koskematta. Pyörimistä katsellessa heräsi uteliaisuus asiaa kohtaan. Verkko-alan ammattilaisina totesimme pian, että tuo kamera oli kovin suurpiirteinen jakaessaan tietoa oman verkkomme ulkopuolelle. Ja tuo suurpiirteisyys sai jatkoa sillä, että sitä ohjasi myös joku verkkomme ulkopuolinen.
Tuon kokemuksen innoittamana keräsimme markkinoiden myydyimpiä valvontakameroita ja laitoimme ne testiin. Verkkoyhteyden löydyttyä useampi niistäkin aloitti aktiivisen keskustelun jonkun ulkopuolisen tahon kanssa.
Noin puolet testatuista kameroista teki asioita, joita kukaan yksityisyydestään välittävä henkilö ei haluaisi niiden tekevän. Nuo kamerat keräsivät kaiken tiedon sijaintiverkostaan ja toimittivat ne reaaliajassa eteenpäin. Kuva- ja äänisignaalin lisäksi. Lisäksi kameran kuvaa katsellakseen piti asentaa puhelimeen appi, jolle oli pakko antaa kaikki oikeudet, jotta se pystyi toimimaan. Tuon jälkeen sillä jollain ulkopuolisella oli oikeudet paitsi kotisi yksityisyyteen, niin myös puhelimeesi ja sen tietoihin. On totta kai mahdollista, että olit valveutunut ja estit kevyemmät yritykset käyttäjätunnuksella ja salasanalla. Paitsi että vielä valveutuneempi rikollinen löytää nettiä selaamalla valmistajan kiinteät käyttäjätunnus/salasanayhdistelmät ja on taas tilanteen herra.
Aika kammottavaa.
Kuka tahansa pääsee kotiisi, kesämökillesi tai yrityksesi varastoon. Minne ikinä tuon valvontakameran asensitkin, niin seurauksena kuka tahansa näkee sinut. Kun pakkaat matkalaukut lomamatkalle tai laitat mökkiä talviteloille. Kuka tahansa voi todeta, ettei kodissasi tai mökilläsi ole nyt juuri kukaan.
Vielä vakavammaksi homma menee, kun kaikki pääsevät esimerkiksi apteekin valvontakameran välityksellä arvuuttelemaan asiakkaan reseptissä lukevaa sosiaaliturvatunnusta.
Turvaton IoT on kaikkialla
Nyttemmin olemme Iot- ja tietoturvayrityksenä selanneet nettiä silkasta mielenkiinnosta ja tuo Hyppösen mainitsema maailma on hypännyt silmillemme entistä voimakkaammin. Mikään ei ole muuttunut.
Kevyimmästä päästä voimme esimerkiksi säätää lukuisten kotien äänentoistojärjestelmiä (kuka tahansa voi). Naapurissa väärään aikaan käynnistetyn pesukoneen pysäyttäminen on sekin vielä harmitonta, mutta taloautomaatiojärjestelmään pääsy on jo astetta vakavampaa. Tuon järjestelmän kotona/poissa -painike on ensimmäisenä vastaan tuleva testikohde. Todennäköisesti kiinteistön lämpötila tippuu painikkeesta vain kymmeneen asteeseen (mikä se esiasetettu lämpötila sitten onkin), mutta pienen tutkiskelun jälkeen huomaamme, että voimme säätää senkin itse. Vaikka nollaan. Toisesta IP-osoitteesta voimme laittaa saunan kiukaan lämpiämään, vaikka tuossa keskeneräisessä saunassa voi olla uudet laudelaudat vielä nojallaan kiuasta vasten. Pelottavia mielikuvia, vaikka se foliohattu ei päässä olisikaan.
Tekniikka ja sen mahdollisuudet on otettu käyttöön, mutta turvaamispuoli on jäänyt kyydistä. Normaali kuluttaja ei voi millään omata sitä tietoa, joka vaaditaan noiden IoT-laitteiden tietoturvallisiin asetuksiin. Kaikki, jotka ovat erehtyneet selaamaan kotiverkon reitittimen asetuksia ovat jo tuosta kiusallisen tietoisia.
Tietoturvamerkki
Tähän tilanteeseen on myös herännyt liikenne ja viestintävirasto Traficomin kyberturvallisuuskeskus jo aikaa sitten lanseeraamalla kuluttajalaitteiden tietoturvamerkin. Ajatuksenaan on, että hyväksytysti testattu verkkolaite on oletusasetuksilla ja ilman säätämistä turvallinen käyttäjälleen, käyttöönotosta lähtien. Tietoisuuden kasvaessa kuluttaja ohjaa valinnoillaan markkinoita valitsemalla turvallisen tuotteen ja pakottaa tietoturvamerkittömät valmistajat kiinnittämään asiaan huomiota.
IoT-maailman on muututtava, koska tällaisenaan Hyppösen ennustus toteutuu, lapsemme tulevat vihaamaan meitä.
Harri Kivinen
Kirjoittaja työskentelee kyberturvaan erikoistuneessa Innocode Oy:ssä, joka toteuttaa verkkolaitetestauksia Traficomin tietoturvamerkkiä varten ja halutessasi laittaa myös sinun tietoturvasi kuntoon.