Kotitalouksista löytyy erilaisia Internet of Things (IoT) -laitteita, joiden ominaisuuksiin ja toimintaan tutustumalla on mahdollista oppia tietoturvallisuudesta paljon. Oppi on suoraan hyödynnettävissä yritysten tietojärjestelmien ja laitteiden tietoturvallisuuden parantamisessa. Blogiviestin loppuosassa on 4+1 asiaa, jotka kodin IoT-laitteet opettavat yrityksille tietoturvasta. Seuraavaksi kerron, miten päädyin listaamaan juuri nämä asiat.

Tietoturvahavaintoja kodin IoT-laitteista

Loppuvuonna 2016 maailmalla ja Suomessa havaittiin laaja hyökkäysoperaatio IoT-laitteita kohtaan. Mirai-haittaohjelma etsi internetistä laitteita, joiden etähallintasovellus oli avoinna internetiin. Haavoittuvat laitteet oli mahdollista kytkeä osaksi maailmanlaajuista bottiverkkoa, jota hyödynnetään esimerkiksi palvelunestohyökkäyksissä yrityksiä vastaan. (Lähde ja lisätiedot: Kyberturvallisuuskeskus)

Tarkistin omat laitteeni Mirain varalta ja tein samalla kevyen tutkimuksen, jonka kohteeksi päätyi neljä hyllyssä lepäilevää kodin IoT-laitetta. Etsin laitteisiin liittyvää yleistietoa, jota esimerkiksi Mirain kaltaiset haittaohjelmat hyödyntävät. Tarkistin laitteiden avoimet TCP-portit Nmap-työkalulla. Tutkin myös, löytyikö laitteisiin tunnettuja haavoittuvuuksia. Lisäksi kirjasin talteen asennetut käyttöjärjestelmäversiot, saatavilla olevat päivitykset ja muut huomiot.

Kaikkia laitteita on joskus käytetty ja ne ovat edelleen täysin toimivia. En nollannut laitteiden asetuksia. Laitteet olivat: Blu-ray soitin, Linksysin uudempi ja vanhempi langaton reititin sekä tuore järjestelmäkamera. Jätän tarkoituksella tarkat mallit kertomatta. Mallitiedot ovat epäolennaisia kokonaisuuden kannalta. Ohessa on tiivis koonti jokaisen laitteen osalta.

Blu-ray soitin

Ostin laitteen joskus reilu viisi vuotta sitten. Laitteen tarkka ikä ei ole tiedossa.
Tämä Blu-ray soitin sujahti nettiin heti verkkojohdon kytkemisen jälkeen. Huom! Olen käyttänyt laitteen verkossa kerran aikaisemmin, en ole täysin varma, onko verkkotoiminto oletuksena päällä.

Laitteen käyttöjärjestelmä on päivitettävä, jotta verkkotoimintoja voi käyttää. Laite tarjoaa itse päivitystä asennettavaksi. Käytössä on laitteen mukana tullut versio, jonka julkaisuajankohdasta ei sen tarkempaa tietoa. Uusin laitteen kautta tarjolla oleva versio on julkaistu 12/2014.

Skannauksen perusteella kaikki laitteen portit ovat kiinni.

Vanha Linksysin langaton reititin

Nmap-skannauksen perusteella selviää, että laitteen FTP ja telnet -portit on erikseen suljettu. Sen sijaan laitteessa on auki www-palvelin. Kyseessä on reitittimen hallintapaneeli, joka on oletuksena käytössä suojaamattoman HTTP-yhteyden yli.
Hallintapaneelista selviää, että mm. internetin yli toimiva etähallintatoiminto ja UPnP on otettu pois päältä. Laitteen hallintapaneelin oletustunnukset on muutettu. Suojattu HTTPS-pohjainen hallintayhteys on myös mahdollista kytkeä päälle.

Laite on yli kymmenen vuotta vanha ja laitteen ohjelmistoversio on vuodelta 2007. Linksysin tukisivuilla ei ole tarjolla päivitystä kyseiselle laitteelle. Outoa.

Uudempi Linksysin langaton reititin

Laite on taloyhtiön verkko-operaattorin toimittama ja konfiguroima. Päälle on kirjattu langattoman verkon SSID ja salasana. Käyttäjäystävällistä siis…

Laitteeseen asennettu käyttöjärjestelmä on päivätty vuodelle 2012. Tuorein saatavilla oleva versio on päivätty vuodelle 2016.

Laitteessa oli neljä avointa porttia: www-hallintapaneeli, UPnP-yhteys sekä kaksi muuta porttia, joiden tarkoitus jäi epäselväksi.

Oletustunnukset hallintapaneeliin olivat edelleen käytössä. Etähallintatoiminto oli kuitenkin pois päältä, eli hallintapaneelia voi virallisia reittejä pitkin käyttää vain samasta lähiverkosta, ei internetin yli.

Tätä laitemallia kohtaan on toteutettu ainakin yksi hyökkäystyökalu, jonka koodi on julkaistu internetissä. Haittaohjelman nimeksi on annettu The Moon. Haittaohjelman toimintaidea on sama, kuin Mirai-tapauksessakin. Internetistä etsitään laitetta, jossa on tietty portti avoinna, jonka jälkeen laitteeseen murtaudutaan haavoittuvuutta hyväksikäyttäen.

Linksys neuvoo päivittämään laitteen uusimpaan versioon ja ottamaan etähallintatoiminnot pois päältä. Lisätietoja aiheesta:

• Linksysin ohjeet
• Computerworldin uutinen
• Ars Technican uutinen

Tuore järjestelmäkamera

Järjestelmäkamera on mahdollista kytkeä verkkoon langattoman yhteyden kautta. Verkkotoiminnon käyttöönotto vaatii konfigurointia, joka toteutetaan erillisellä sovelluksella. Sovellus tarkistaa samalla ohjelmistoversion sekä suojattuun tiedonsiirtoon tarvittavat SSL-sertifikaatit.

Laitteessa on kaksi erilaista verkkotoimintoa. Ensimmäinen vaihtoehto mahdollistaa kameran etäohjauksen mobiililaitteella. Toinen mahdollistaa kameralla otettujen kuvien lähettämisen pilvipalveluun, josta kuvat on jaettavissa eteenpäin muille käyttäjille.

Verkkotoiminto pitää erikseen kytkeä päälle kamerasta. Toiminto jää päälle myös kameran uudelleenkäynnistyksen jälkeen, mutta kamera ei kytkeydy suoraan langattomaan verkkoon, vaikka toiminto olisikin päällä. Langaton verkko valitaan vasta, kun tiedetään mitä toimintoa halutaan käyttää. Verkkoportit avataan toiminnon perusteella.

4+1 vinkkiä

Huomioiden ja havaintojen perusteella voidaan muodostaa seuraavia vinkkejä:

1. Muista IoT-laitteiden ja tietojärjestelmien olemassaolo

Normaalikäytössä reitittimet ja Blu-ray soitin ovat koko ajan verkossa. Kamera pitää joka kerta erikseen käskeä verkkoon. Jatkuva verkkoyhteys altistaa laitteet hyökkäyksille ympäri vuorokauden. Vaikka IoT-laitteen luonteeseen kuuluu se, että verkkoyhteys on olemassa, niin laitteita ei pidä kuitenkaan unohtaa verkkoon. Jos laitteelle tai sen verkkoyhteydelle ei ole tarvetta, niin ota se pois käytöstä. Järjestelmäkameran yhteydet on toteutettu niin, että sitä ei voi unohtaa verkkoon, koska yhteys muodostetaan aina erikseen.

2. Ole tietoinen päivitysten saatavuudesta

Reitittimiä voi käyttää vuosia päivittämättä. Jää käyttäjän vastuulle selvittää, onko laitteiden käyttöjärjestelmille päivityksiä tarjolla. Tätä voi helpottaa esimerkiksi tilaamalla valmistajilta sähköposti-ilmoitukset uusista päivityksistä. Parempi olisi, jos laite itse ilmoittaisi tarjolla olevista päivityksistä käyttäjälle. Yritysten kannattaa suunnitella ja toteuttaa tietojärjestelmänsä niin, että ne ilmoittavat itse päivitystarpeesta.

3. Salli vain tarpeelliset toiminnot

IoT-laitteissa voi olla erilaisia toimintoja oletuksena päällä käytön helpottamiseksi. Jää käyttäjän vastuulle ottaa omalta kannalta turhat toiminnot pois päältä. Tämä pitäisi olla toisin päin.

Kuten esimerkiksi palomuurisääntöjä tehtäessä, kannattaa ensin estää kaikki yhteydet ja avata sitten vain tarpeelliset yhteydet. Tämä ilmeni hyvin järjestelmäkamerassa, jossa portit avattiin tarpeen perusteella. Reitittimissä oli turhaan peruskäytön kannalta tarpeettomia toimintoja päällä. Lisäksi uudemmassa reitittimessä oli kaksi avointa porttia, joiden tarkoitus jäi epäselväksi. Porttien tarkoitus pitäisi tietää tai ne tulisi saada suljettua, ennen kuin laite otetaan käyttöön.

Blu-ray soittimen ja järjestelmäkameran kaikki verkkotoiminnot eivät olleet käytössä, koska tuorein käyttöjärjestelmäversio ei ollut asennettuna. Tämä on yksi tapa rajoittaa laitteeseen kohdistuvia hyökkäyksiä. Ei päästetä laitetta täydellisesti verkkoon, jos tuorein ohjelmistoversio ei ole asennettuna.

4. Suojaamaton yhteys on tietoinen valinta

Reitittimien hallintapaneelit oli asetettu toimimaan suojaamattomien yhteyksien kautta. Lähtökohtaisesti olisi järkevämpää asettaa suojattu yhteys oletuksena päälle, jolloin käyttäjä joutuisi ottamaan tietoisen riskin suojausasetuksia muuttaessaan.

+1 Extravinkki

Yhden laitteen verkkotoiminto hajosi kokonaan, kun laitteeseen kohdisti tietyntyyppisen skannauksen. Uudelleenkäynnistys korjasi vian. IoT-laitteiden ja muiden järjestelmien pitäisi hyväksyä vain sovitut yhteydet ja olla reagoimatta muihin yhteyksiin. Pelkkä porttien kolkuttelu ei saisi aiheuttaa laitteen epävakaata toimintaa.