Mitä kodin IoT-laitteet opettavat yrityksille tietoturvasta?

Kotitalouksista löytyy erilaisia Internet of Things (IoT) -laitteita, joiden ominaisuuksiin ja toimintaan tutustumalla on mahdollista oppia tietoturvallisuudesta paljon. Oppi on suoraan hyödynnettävissä yritysten tietojärjestelmien ja laitteiden tietoturvallisuuden parantamisessa. Blogiviestin loppuosassa on 4+1 asiaa, jotka kodin IoT-laitteet opettavat yrityksille tietoturvasta. Seuraavaksi kerron, miten päädyin listaamaan juuri nämä asiat.

Tietoturvahavaintoja kodin IoT-laitteista

Loppuvuonna 2016 maailmalla ja Suomessa havaittiin laaja hyökkäysoperaatio IoT-laitteita kohtaan. Mirai-haittaohjelma etsi internetistä laitteita, joiden etähallintasovellus oli avoinna internetiin. Haavoittuvat laitteet oli mahdollista kytkeä osaksi maailmanlaajuista bottiverkkoa, jota hyödynnetään esimerkiksi palvelunestohyökkäyksissä yrityksiä vastaan. (Lähde ja lisätiedot: Kyberturvallisuuskeskus)

Tarkistin omat laitteeni Mirain varalta ja tein samalla kevyen tutkimuksen, jonka kohteeksi päätyi neljä hyllyssä lepäilevää kodin IoT-laitetta. Etsin laitteisiin liittyvää yleistietoa, jota esimerkiksi Mirain kaltaiset haittaohjelmat hyödyntävät. Tarkistin laitteiden avoimet TCP-portit Nmap-työkalulla. Tutkin myös, löytyikö laitteisiin tunnettuja haavoittuvuuksia. Lisäksi kirjasin talteen asennetut käyttöjärjestelmäversiot, saatavilla olevat päivitykset ja muut huomiot.

Kaikkia laitteita on joskus käytetty ja ne ovat edelleen täysin toimivia. En nollannut laitteiden asetuksia. Laitteet olivat: Blu-ray soitin, Linksysin uudempi ja vanhempi langaton reititin sekä tuore järjestelmäkamera. Jätän tarkoituksella tarkat mallit kertomatta. Mallitiedot ovat epäolennaisia kokonaisuuden kannalta. Ohessa on tiivis koonti jokaisen laitteen osalta.

Blu-ray soitin

Ostin laitteen joskus reilu viisi vuotta sitten. Laitteen tarkka ikä ei ole tiedossa.
Tämä Blu-ray soitin sujahti nettiin heti verkkojohdon kytkemisen jälkeen. Huom! Olen käyttänyt laitteen verkossa kerran aikaisemmin, en ole täysin varma, onko verkkotoiminto oletuksena päällä.

Laitteen käyttöjärjestelmä on päivitettävä, jotta verkkotoimintoja voi käyttää. Laite tarjoaa itse päivitystä asennettavaksi. Käytössä on laitteen mukana tullut versio, jonka julkaisuajankohdasta ei sen tarkempaa tietoa. Uusin laitteen kautta tarjolla oleva versio on julkaistu 12/2014.

Skannauksen perusteella kaikki laitteen portit ovat kiinni.

Vanha Linksysin langaton reititin

Nmap-skannauksen perusteella selviää, että laitteen FTP ja telnet -portit on erikseen suljettu. Sen sijaan laitteessa on auki www-palvelin. Kyseessä on reitittimen hallintapaneeli, joka on oletuksena käytössä suojaamattoman HTTP-yhteyden yli.
Hallintapaneelista selviää, että mm. internetin yli toimiva etähallintatoiminto ja UPnP on otettu pois päältä. Laitteen hallintapaneelin oletustunnukset on muutettu. Suojattu HTTPS-pohjainen hallintayhteys on myös mahdollista kytkeä päälle.

Laite on yli kymmenen vuotta vanha ja laitteen ohjelmistoversio on vuodelta 2007. Linksysin tukisivuilla ei ole tarjolla päivitystä kyseiselle laitteelle. Outoa.

Uudempi Linksysin langaton reititin

Laite on taloyhtiön verkko-operaattorin toimittama ja konfiguroima. Päälle on kirjattu langattoman verkon SSID ja salasana. Käyttäjäystävällistä siis…

Laitteeseen asennettu käyttöjärjestelmä on päivätty vuodelle 2012. Tuorein saatavilla oleva versio on päivätty vuodelle 2016.

Laitteessa oli neljä avointa porttia: www-hallintapaneeli, UPnP-yhteys sekä kaksi muuta porttia, joiden tarkoitus jäi epäselväksi.

Oletustunnukset hallintapaneeliin olivat edelleen käytössä. Etähallintatoiminto oli kuitenkin pois päältä, eli hallintapaneelia voi virallisia reittejä pitkin käyttää vain samasta lähiverkosta, ei internetin yli.

Tätä laitemallia kohtaan on toteutettu ainakin yksi hyökkäystyökalu, jonka koodi on julkaistu internetissä. Haittaohjelman nimeksi on annettu The Moon. Haittaohjelman toimintaidea on sama, kuin Mirai-tapauksessakin. Internetistä etsitään laitetta, jossa on tietty portti avoinna, jonka jälkeen laitteeseen murtaudutaan haavoittuvuutta hyväksikäyttäen.

Linksys neuvoo päivittämään laitteen uusimpaan versioon ja ottamaan etähallintatoiminnot pois päältä. Lisätietoja aiheesta:

Tuore järjestelmäkamera

Järjestelmäkamera on mahdollista kytkeä verkkoon langattoman yhteyden kautta. Verkkotoiminnon käyttöönotto vaatii konfigurointia, joka toteutetaan erillisellä sovelluksella. Sovellus tarkistaa samalla ohjelmistoversion sekä suojattuun tiedonsiirtoon tarvittavat SSL-sertifikaatit.

Laitteessa on kaksi erilaista verkkotoimintoa. Ensimmäinen vaihtoehto mahdollistaa kameran etäohjauksen mobiililaitteella. Toinen mahdollistaa kameralla otettujen kuvien lähettämisen pilvipalveluun, josta kuvat on jaettavissa eteenpäin muille käyttäjille.

Verkkotoiminto pitää erikseen kytkeä päälle kamerasta. Toiminto jää päälle myös kameran uudelleenkäynnistyksen jälkeen, mutta kamera ei kytkeydy suoraan langattomaan verkkoon, vaikka toiminto olisikin päällä. Langaton verkko valitaan vasta, kun tiedetään mitä toimintoa halutaan käyttää. Verkkoportit avataan toiminnon perusteella.

4+1 vinkkiä

Huomioiden ja havaintojen perusteella voidaan muodostaa seuraavia vinkkejä:

1. Muista IoT-laitteiden ja tietojärjestelmien olemassaolo

Normaalikäytössä reitittimet ja Blu-ray soitin ovat koko ajan verkossa. Kamera pitää joka kerta erikseen käskeä verkkoon. Jatkuva verkkoyhteys altistaa laitteet hyökkäyksille ympäri vuorokauden. Vaikka IoT-laitteen luonteeseen kuuluu se, että verkkoyhteys on olemassa, niin laitteita ei pidä kuitenkaan unohtaa verkkoon. Jos laitteelle tai sen verkkoyhteydelle ei ole tarvetta, niin ota se pois käytöstä. Järjestelmäkameran yhteydet on toteutettu niin, että sitä ei voi unohtaa verkkoon, koska yhteys muodostetaan aina erikseen.

2. Ole tietoinen päivitysten saatavuudesta

Reitittimiä voi käyttää vuosia päivittämättä. Jää käyttäjän vastuulle selvittää, onko laitteiden käyttöjärjestelmille päivityksiä tarjolla. Tätä voi helpottaa esimerkiksi tilaamalla valmistajilta sähköposti-ilmoitukset uusista päivityksistä. Parempi olisi, jos laite itse ilmoittaisi tarjolla olevista päivityksistä käyttäjälle. Yritysten kannattaa suunnitella ja toteuttaa tietojärjestelmänsä niin, että ne ilmoittavat itse päivitystarpeesta.

3. Salli vain tarpeelliset toiminnot

IoT-laitteissa voi olla erilaisia toimintoja oletuksena päällä käytön helpottamiseksi. Jää käyttäjän vastuulle ottaa omalta kannalta turhat toiminnot pois päältä. Tämä pitäisi olla toisin päin.

Kuten esimerkiksi palomuurisääntöjä tehtäessä, kannattaa ensin estää kaikki yhteydet ja avata sitten vain tarpeelliset yhteydet. Tämä ilmeni hyvin järjestelmäkamerassa, jossa portit avattiin tarpeen perusteella. Reitittimissä oli turhaan peruskäytön kannalta tarpeettomia toimintoja päällä. Lisäksi uudemmassa reitittimessä oli kaksi avointa porttia, joiden tarkoitus jäi epäselväksi. Porttien tarkoitus pitäisi tietää tai ne tulisi saada suljettua, ennen kuin laite otetaan käyttöön.

Blu-ray soittimen ja järjestelmäkameran kaikki verkkotoiminnot eivät olleet käytössä, koska tuorein käyttöjärjestelmäversio ei ollut asennettuna. Tämä on yksi tapa rajoittaa laitteeseen kohdistuvia hyökkäyksiä. Ei päästetä laitetta täydellisesti verkkoon, jos tuorein ohjelmistoversio ei ole asennettuna.

4. Suojaamaton yhteys on tietoinen valinta

Reitittimien hallintapaneelit oli asetettu toimimaan suojaamattomien yhteyksien kautta. Lähtökohtaisesti olisi järkevämpää asettaa suojattu yhteys oletuksena päälle, jolloin käyttäjä joutuisi ottamaan tietoisen riskin suojausasetuksia muuttaessaan.

+1 Extravinkki

Yhden laitteen verkkotoiminto hajosi kokonaan, kun laitteeseen kohdisti tietyntyyppisen skannauksen. Uudelleenkäynnistys korjasi vian. IoT-laitteiden ja muiden järjestelmien pitäisi hyväksyä vain sovitut yhteydet ja olla reagoimatta muihin yhteyksiin. Pelkkä porttien kolkuttelu ei saisi aiheuttaa laitteen epävakaata toimintaa.

Tietojen luokittelu on tietoturvallisuuden perusta

Tietoaineistojen tai tietojen luokittelu on kokonaisuus, joka auttaa tunnistamaan organisaatiolle tärkeät tiedot ja suojaamaan ne asianmukaisesti eri käyttötilanteissa. Marraskuussa 2016 julkaistu YAMK-opinnäytetyöni ”Kohti tietoaineistojen luokittelua ammattikorkeakoulussa” kokoaa yhteen kattavan tietopaketin aiheesta.

tietoaineistojen luokitteluKuviossa tietoaineistojen luokittelun kokonaisuus hyödyntämiskohteineen.

Pyrin tekemään opinnäytetyön niin, että siitä olisi hyötyä mahdollisimman monelle organisaatiolle. Työ sisältää mm. 9-vaiheisen menetelmän tietoaineistojen luokittelun aloittamiseksi sekä kuvauksia luokiteltujen tietojen hyödyntämiskohteista. Yleisesti ottaen tulokset auttavat luokittelutoiminnan johtamisessa, suunnittelussa ja toteuttamisessa.

Tietoaineistojen luokittelu on olennainen osa tietoriskien hallintaa. Luokittelemalla tiedot julkisuuden perusteella eri kategorioihin voidaan tietoon kohdistuvia riskejä pohtia monipuolisemmin. Esimerkiksi eniten suojausta vaativat tietoaineistot ovat tunnistettavissa helpommin. Opinnäytetyötä tehdessäni käsitykseni siitä, että tietojen luokittelu on olennainen osa organisaation tietoturvallisuuden toteuttamista, vahvistui merkittävästi.

Opinnäytetyö on ladattavissa Theseus-palvelusta tästä linkistä: http://urn.fi/URN:NBN:fi:amk-2016112216800

Kyberkaries iskee alle kahdessa kuukaudessa

Tietoturvafirma Kenna tutki tunnettujen tietoturvareikien paikkaamiseen liittyviä aikaikkunoita. Siinä missä hammaslääkäri paikkaa reiät 15 minuutissa,
kuluu yrityksillä keskimääräisesti 100-120 päivää tietoturvareikien tukkimiseen.

Samaisen tutkimuksen mukaan yrityksellä on arviolta 40-60 päivää aikaa tukkia aukot. Muuten kyberkaries iskee 90% todennäköisyydellä.

Tietoturvareikiin hyökätään automaattisten työkalujen avulla. Niitä hyödyntäviä tahoja ei ensisijaisesti kiinnosta mihin hyökätään, kunhan onnistutaan.
Sitten pöllitään kaikki, mikä irti lähtee. Lopuksi vasta katsotaan, mitä on saatu.

Tietoturva-aukoista johtuvia riskejä voidaan pienentää. Kenna suosittelee käyttämään samoja työkaluja kuin vastapuolikin. Toisin sanoen yritysten kannattaa kartoittaa omien järjestelmiensä aukkoja systemaattisesti ja automatisoidusti.

Ellei IT-palveluiden ammattimainen ylläpito ole ydinliiketoimintaasi, niin anna homma jollekin muulle. On hölmöläisen hommaa koittaa hallita tietoturvapäivityksiä muun toiminnan ohella.

Videovinkki: Näin yrityksiä vakoillaan tällä hetkellä

Ylen aamu-tv:ssä (28.6.2016) haastateltiin EK:n johtavaa yritysturvallisuusasiantuntijaa. Aiheena oli yrityksiin ja valtioihin kohdistuva vakoilu.
10 minuutin mittainen video sisältää paljon olennaisia tietoturvallisuuteen liittyviä asioita. Suosittelen!

Viisi poimintaa videosta:

Kaikki yritykset eivät toki ole kohdistetun vakoilun kohteena. Silloinkin pitää silti valita, kumpaan jengiin kuulut. Niihin:

  1. joilla ei ole mitään salattavaa, ja jotka nyt toteavat, että asia ei koske meitä.
  2. jotka ymmärtävät (ja osoittavat ymmärtävänsä), että turvallisuusasiat tukevat liiketoimintaa, sekä mahdollistavat sen tekemisen kestävällä tavalla.

Valinta on helppo tehdä, mutta toteutus vaatii työtä ja oikeaa asennetta.

Salasitko myös poistetut tiedostot?

USB-tikun tai levyosion salaaminen ei välttämättä salaa aikaisemmin poistettuja tiedostoja. Osiolta on siis mahdollista palauttaa jo poistetut tiedostot. Asiasta kysyttiin alunperin Truecrypt-ohjeen kommenttiosiossa. Laittakaa vastaavia haastavia ja mielenkiintoisia kysymyksiä tulemaan!

Kun poistat tiedoston esim. USB-tikulta, niin tiedosto ei oikeasti poistu. Käyttöjärjestelmä ei vain enää näe tiedostoa. Tiedosto on kuitenkin olemassa edelleen. Lue aiheesta lisää: Tiedostojen turvallinen poistaminen.

Salausta tehdessä pitää tietää, salataanko tiedostojen lisäksi myös vapaa tila. Jo poistetut tiedostot sijaitsevat käyttöjärjestelmän näkökulmasta tuossa vapaassa tilassa. Jos vapaata tilaa ei salata, tiedostot on palautettavissa.

Testasin tätä käytännössä. Tallensin 6 tiedostoa osiolle. Poistin niistä sen jälkeen 3 ensimmäistä.

Testdisk poistetut tiedostot

Yllä olevasta kuvasta huomaa, että käyttämäni TestDisk-työkalu näkee edelleen poistetut tiedostot. Ne on merkitty kuvassa (heikosti luettavalla) punaisella tekstillä. Seuraavaksi salasin osion Truecryptillä. Käytin salauksen yhteydessä osion pikaformatointia, joka ei salaa vapaata tilaa.

photorec tiedostojen palauttaminen

Salauksen jälkeen ajoin Photorec-työkalun. Photorec löysi ja palautti salatulta osiolta jopa 7 tiedostoa (kuva yllä). Ne olivat tässä sekä aikaisemmassa testissä poistamani tiedostot.

Jotta poistettujen tiedostojen palauttaminen salatulta muistitikulta tai osiolta ei olisi mahdollista, pitää myös vapaa tila salakirjoittaa. Toinen vaihtoehto on ylikirjoittaa tila ennen salausta esimerkiksi DBAN-ohjelmalla. Jotkut salausohjelmat voivat myös ylikirjoittaa tyhjän tilan salauksen yhteydessä.

Linkkejä aiheeseen liittyville ulkopuolisille sivuille: