Benjamin Särkkä on perustanut vuosittain järjestettävän Disobey-hakkerointitapahtuman, jota hän kutsuu hakkereiden hiekkalaatikoksi. Siellä osanottajat voivat jakaa kokemuksiaan ja kokeilla hakkerointitemppuja vapaasti. Tapahtumaan osallistuu myös merkittävissä tietoturvatehtävissä työskenteleviä asiantuntijoita. Benjamin Särkkä vetää itsekin tietoturvatiimiä monikansallisessa konsernissa.
Kerropa millaisia tietoturvauhkia kodin älylaitteet ja esineiden internet eli IoT (Internet of Things) voivat tuoda tavalliseen suomalaiseen kotiin.
– Yksi merkittävä tekijä on se, että IoT-laitteiden määrä tulee kasvamaan kotonakin huimaa vauhtia, ja kun laitteita on runsaasti, hyökkäysrajapinta kasvaa samaa tahtia. IoT-laitteiden tietoturvasta ei myöskään ole yhtä helppo pitää huolta kuin vaikkapa tietokoneista.
– Tietokoneiden ja älypuhelimien päivittämiseen on olemassa tietyt rutiinit. Tarjolla on myös tuotteita, joiden avulla niiden tietoturvaa on helppo pitää yllä. Esineiden internetissä tilanne on toinen.
– Ensinnäkin suurin osa IoT-laitteista toimii jonkinlaisella radioyhteydellä, kuten bluetooth tai wlan. Lisäksi samassa laitteessa saatetaan käyttää useampaa radiotekniikkaa. Joukossa voi olla esimerkiksi teenkeittimiä tai vaikka ovikelloja, jotka ovat yhteydessä ulkomaailmaan sekä oman tukiasemansa että kotiverkon wlan-reitittimen kautta. Näin IoT-laite avaa ulkopuoliselle polun kotiverkon sisään, ja pahimmillaan se saattaa jopa vuotaa tietoja huomaamatta ulospäin. Lisäksi laite voi antaa ulkopuoliselle tietoja siitä, mitä kaikkea on tarjolla kotiverkon sisällä.
Salaus unohtui
– Tunnetaan myös tapauksia, joissa esimerkiksi äänikomentoja vastaanottava televisio lähetti puheen tulkittavaksi pilvipalveluun salaamattomana. Ongelma ei siis ollut puheen tulkinta pilvessä, vaan se, että olohuoneessa oli nyt mikrofoni, jota pääsi helposti kuuntelemaan salaamattoman dataliikenteen kautta.
– Valvontakamera tai vauvamonitori lähettää nettiin kuvaa ja ääntä kodin sisältä, ja tämäkin data voidaan kaapata. Kotona saattaa myös olla esimerkiksi teenkeitin, joka ei ilmaise veden kiehumista viheltämällä, vaan lähettämällä viestin nettiin. Tämän viestin kautta murtautujan on mahdollista saada käsiinsä kotiverkon salasana ja päästä käsiksi kodin tietokoneisiin.
– Jos kyseessä on pahantahtoinen hyökkääjä, niin hänelle avautuu nyt mahdollisuus manipuloida kodin kaikkea verkkoliikennettä. Hyökkääjä voi esimerkiksi heikentää kotiverkon salaustasoa ja päästä sen jälkeen käsiksi myös tietokoneisiin. Tällaisia aktiivisia murtoyrityksiä ei kuitenkaan tehdä satunnaisesti keskiverto koteihin, vaan hyökkääjä yleensä tietää mitä hän on hakemassa esimerkiksi yritysjohtajan tai poliitikon kotiverkosta.
Suurten valmistajien älylaitteessa tietoliikenne on yleensä ssl-salattua. Kuinka suuren turvan tämä antaa?
– Salaus on hyvä asia, mutta data voidaan toki napata laitteessa ennen kuin se salataan siirtoa varten. Lisäksi ssl-varmennetta ei aina käsitellä IoT-laitteissa riittävän perusteellisesti, jolloin myös liikenteen salaus voidaan murtaa.
– Halvoissa IoT-laitteissa tietoturva jää usein minimitasolle tai jopa sen alapuolelle. En kuitenkaan usko, että suuret valmistajat voisivat kehittää älylaitteitta pitkällä tähtäimellä kiinnittämättä erityistä huomiota niiden tietoturvaan.
Louhija hakee laskentavoimaa
Entä mitä kaikkea murtautuja kotiverkosta sitten etsii?
– Niin sanottu uhkaprofiili on hyvin erilainen esimerkiksi poliitikon, huippujohtajan tai keskiverto suomalaisperheen kohdalla. Kaikki nettiin kytkettävät laitteet, joissa on suoritintehoa, kiinnostavat kuitenkin niin sanottuja kryptovaluuttojen louhijoita. Mitä runsaammin laskentatehoa on tarjolla, sen kiinnostavampi kohde verkko on louhijalle – ja helpoin tapa päästä verkkoon on usein IoT-laite.
– Kun valuuttaa louhii muiden ostamilla koneilla ja sähköllä, louhinta muuttuu kannattavaksi. Se on tällä hetkellä yksinkertaisin tapa tehdä rahaa tietomurron avulla. Murtautujan ei tarvitse miettiä onko uhrilla esimerkiksi varaa maksaa lunnaita, joilla hän saa hakkerin lukitseman koneen auki. Lisäksi murto voidaan tehdä ikään kuin kiltisti, eli mitään ei rikota eikä omaisuutta anasteta, vaan käyttämättä oleva kone vain valjastetaan yöaikaan murtautujan valitsemiin tehtäviin. Suuri osa ihmistä ei tällaisessa tilanteessa edes huomaa, että heidän tietokoneensa on kaapattu.
– Haavoittuvuuksia, jotka avaavat ulkopuolisille pääsyn kotiverkkoon, on toki muuallakin kuin IoT-laitteissa. Esimerkiksi reitittimet ja verkkolevyt jäävät monilta päivittämättä, koska päivittämistä ei ole tehty riittävän helpoksi. Silloin nekin ovat potentiaalinen tietoturvauhka.
– IoT-laitteiden voi silti sanoa vetävän tietomurtautujia puoleensa kahdesta syystä. Ensinnäkin, kuten alussa sanoin, mitä enemmän laitteita wlan-kotiverkkoon on kytketty, sitä enemmän on myös haavoittuvia pisteitä. Ja mikäli ennusteisiin on uskominen, kodin kaikki laitteet ovat pian netissä.
– Toinen vaara piilee siinä, että moni kyllä suojaa verkkonsa ja tietokoneensa huolellisesti, muttei tule ajatelleeksi, että esimerkiksi teenkeitin voi paljastaa murtautujalle kotiverkon salasanan olipa se kuinka pitkä tai hankala tahansa.
Kotiin oma verkko IoT-laitteille
Kuulostaa siltä, että ainut tapa välttyä potentiaalisilta ongelmilta on olla ostamatta IoT-laitteita, vai onko olemassa muita ratkaisuja?
– Itse asiassa suurin osa IoT-laitteiden aiheuttamista tietoturvauhkista on vältettävissä melko helposti, mutta kovin harva on vielä ryhtynyt tarvittaviin toimenpiteisiin. Kotiin kannattaa näet rakentaa kaksi wlan-verkkoa, joista toiseen liittää television, pelikonsolin, älykkäät kodinkoneet, älylamput ja sen teenkeittimen. Toinen verkko pyhitetään sitten tietokoneille, joissa kriittinen data, valokuvat, kotivideot ja kaikki muu digitaalinen elämä. Tässä verkossa hoidetaan myös pankkiasiat sekä yhteydenpito kavereihin sekä sukulaisiin ja niin edelleen.
– Jos joku nyt kaappaa älykkään teenkeittimesi, se saattaa muuttua käyttökelvottomaksi tai toimia huonommin kuin uutena, mutta kaikki arvokas data pysyy turvassa toisessa wlan-kotiverkossa.
– Markkinoille on myös tullut tuotteita, kuten F-Secure Sense, jotka käyttävät monenlaisia tekniikoita kotiverkon turvaamiseen. Ne muun muassa seuraavat verkkoliikennettä ja pystyvät havaintojensa perusteelle hälyttämään hyökkäyksistä. Koska IoT-laitteissa itsessään ei ole aina ole edes riittävästi suoritintehoa riittävien tietoturvaominaisuuksien toteuttamiseksi, tietoturva on otettava haltuun verkon tasolla.
– Esineiden internet ja älykkäät kodinkoneet tuovat varmasti mukanaan paljon hyvää. Kaikkea hyvää ei kuitenkaan kannata pilata sillä, että tietoturva jätetään retuperälle. Tarkoitus ei siis ole maalailla uhkakuvia, vaan kiinnittää niin valmistajien kuin kuluttajienkin huomio asioihin, joista on tullut tai tulossa erittäin tärkeitä.
Oheisista linkeistä pääsee lukemaan muita Älykäs kodintekniikka avuksesi -sarjan artikkeleita.
Kodinkoneiden paikka on internetissä
Miksi kodinkoneita kannattaa ohjata älypuhelimella
Älykodista on paljon hyötyä asukkaille
Jääkaapin ovi on älykodin ohjaus- ja viestikeskus
Tietokirjailija Petteri Järvinen arvioi älylaitteiden tietoturvaa