Close

Tietoturva – tutki haavoittuvuutesi ennen hakkereita

“Tämä on raportti eräästä projektista. Skannasimme yhden teollisen Linux-laitteen ja teimme mielenkiintoisia löytöjä. Osa löydöistä on vakavia haavoittuvuuksia”

Harri Susi, ohjelmistotestauksen ja tietoturvan asiantuntija Etteplanilta, näyttää dokumenttia, joka luettelee kyseisen IoT-laitteen haavoittuvuudet, joita hakkerit saattaisivat hyödyntää. Tämä on ensimmäinen askel kohti parempaa tietoturvaa.

Paljon puhutaan IoT-laitteiden tietoturvasta juuri nyt. Harri ei ole kiinnostunut tästä ”hypestä” vaan haluaa viedä keskustelun pidemmälle, muuttaa asioita. Tämä ei ole mikään pieni haaste koska tietoturvaongelmat ovat todellisia. Markkinoilla on paljon haavoittuvia laitteita. Suurin syy tähän on tuotekehitysprosesseissa ja liiketoimintamalleissa. Asioiden muuttamiseksi pitää ymmärtää kuinka hakkerit toimivat ja ajattelevat.

”Tässä tapauksessa käytin F-Securen Radar-skanneria. Se on työkalu, jota voi käyttää rajapintojen haavoittuvuuksien etsimiseen”, Harri kertoo. Tämä on itse asiassa hyvin samanlainen lähestymistapa kuin hakkerilla. He etsivät järjestelmistä heikkouksia. Sellaisen löytäessään tutkivat, miten sitä voisi hyödyntää. Harri löysi etsimänsä. ”Tässä on avoin laitteenhallintaprotokolla. Sitä ei pitäisi löytyä sen jälkeen, kun laite on julkaistu. Se on luultavasti unohdettu sulkea tuotekehitysvaiheessa.” Tämä on loistava esimerkki haavoittuvuudesta, jota on helppo hyödyntää. Salasanakin on luultavasti joku helposti arvattava, mikäli sellaista edes on.

Tämä haavoittuvuus on helppo korjata, mutta kaikki haavoittuvuudet eivät tietenkään ole näin yksinkertaisia. Yhteistä niille kaikille kuitenkin on, että ne pitää ensin löytää, jotta ne voidaan korjata. Tästä syystä testaus jollain sopivalla työkalulla on tärkeää ja oleellinen osa tietoturvallista tuotekehitysprosessia.

”Tässä tapauksessa käytin F-Securen Radar-skanneria. Se on työkalu, jota voi käyttää rajapintojen haavoittuvuuksien etsimiseen”, Harri kertoo. Tämä on itse asiassa hyvin samanlainen lähestymistapa kuin hakkerilla olisi.

f-secure_radar_1404x600.png

F-Secure Radar. työkalu rajapintojen haavoittuvuuksien etsimiseen

“Security is not a feature, it’s a mindset”.

(tietoturva ei ole ominaisuus vaan se on prosessi ja ajattelutapa) on vanha sanonta mutta silti hyvin kuvaava. Olemme kaikki tottuneita tietokoneiden ja puhelimien turvapäivityksiin. IoT-maailma on erilainen. Kun IoT-laite lähetetään asiakkaalle, se ”asennetaan ja unohdetaan”. Mitään ylläpitoa tai päivityksiä ei ole. Ja kun se hajoaa, se heitetään pois ja tilalle hankitaan uusi.

On selvää, että pitkän päälle tämä ei ole kestävä toimintamalli. Häkätyt kuluttajalaitteet vaarantavat yksityisyydensuojan, mutta yritysten laitteet tarjoavat pahimmassa tapauksessa reitin yrityksen sisäverkkoon. Harri kertoo konkreettisen esimerkin: ”Liitimme testissä erään IoT-reitittimen 4G-verkkoon emmekä jakaneet osoitetta kenellekään. Kahdessa viikossa reitittimeen oli asentunut bot-armeijaa rakentava Tsunami-haittaohjelma.” Ei siis ihme, että IoT-tietoturvasta keskustellaan tällä hetkellä paljon.

Harri kertoo toisen esimerkin. Huonosti suojatut IP-pohjaiset turvakameraratkaisut voivat auttaa verkkorikollisia kaappaamaan vaikka pankin järjestelmiä haltuunsa. Esimerkiksi Interpolin tutkijoiden harjoituksessa web-kameraa käytettiin apuna peittämään haittaohjelman alkuperä (https://www.interpol.int/News-and-media/News/2018/N2018-007). Huonosti suojatut web-kamerat muuttuvat erinomaisiksi verkkorikollisten apulaisiksi.

Mitä sitten pitäisi tehdä IoT-järjestelmien turvaamiseksi? Se ei ole mitään rakettitiedettä, Harri vastaa. ”Kaikki tarvittava on jo nykyaikaisessa ohjelmistokehityksessä käytössä. IoT-laitteita täytyy alkaa hallinnoimaan kuten ohjelmistotuotteita.” Puhutaan elinkaaren hallinnasta, varsinkin asennuksen jälkeisestä ylläpidosta.

Pitää siis ymmärtää, että tuotetta ei voi tehdä turvalliseksi koko sen elinkaaren ajalle ennen sen julkaisua tai asennusta, vaan se on jatkuvaa työtä. Monet ajattelevat haavoittuvuuksia pelkästään ohjelmistovirheinä, joita on syntynyt tuotekehityksen aikana. Näitä vastaan voi taistella perinteisin keinoin esim. testaamisella ja ohjelmakoodikatselmoinneilla, kuitenkin ohjelmistovirheitä jää aina. Nämä virheet eivät ole niitä, joita hakkerit välttämättä hyödyntäisivät. Monet IoT-järjestelmät kasataan erilaisista ohjelmistokomponenteista ja ne hyödyntävät julkisia API-rajapintoja, joiden lisäksi on vain vähän omaa koodia. On varsin yleistä, että jo julkaistussa tuotteessa on ylimääräisiä ja tarpeettomia komponentteja tai palveluja aktiivisena. Tai että olemassa olevasta, turvalliseksi todetusta komponentista, löytyy haavoittuvuus julkaisun jälkeen. On siis tarpeen hallita laitteen koko elinkaarta ja varmistaa turvallinen tapa laitteen päivittämiseksi kun se on tarpeen.

Tuotetta ei voi tehdä turvalliseksi koko sen elinkaaren ajalle ennen sen julkaisua tai asennusta. Turvalliseksi todetusta komponentista, saattaakin löytyä haavoittuvuus vasta julkaisun jälkeen.

”Olemme sokeita haavoittuvuuksille ilman sopivia työkaluja, kuten haavoittuvuusskanneria tai nollapäivähaavoittuvuuksia löytävää fuzzing-testausta.” Hakkeri aloittaa etsimällä heikkouksia. Heikkouksien poistamiseksi, täytyy ne ensin itse löytää ja tämä on hidasta ja vaikeaa työtä ilman soveltuvia työkaluja ja osaamista. Tuote pitää koventaa (’hardening’), eli käytännössä tehdä mahdollisimman vaikeaksi kohteeksi hyökkääjälle.

Usein IoT-laitteiden tuotekehitystä tehdään kohtuullisen pienissä tiimeissä. Ohjelmistokehittäjät siirtyvät seuraavaan projektiin kun edellinen valmistuu. Tietoturvasta huolehtiminen ja sen testaaminen pitäisi kuitenkin olla jatkuvaa ja kaikkien vastuulla. Nykyään puhutaan DevSecOps-mallista, joka on tietoturvalla vahvistettua DevOps-mallia projektin ensimmäisestä päivästä alkaen.

Etteplan voi auttaa asiakkaitaan testausjärjestelmällään, johon liitettyjä laitteita skannataan automaattisesti jatkuvana palveluna myös uusimpien tunnettujen haavoittuvuuksien osalta.

Related content

Fortum Spring tasapainottaa energiaverkkoa

Fortum on eurooppalainen energiayhtiö, jolla on toimintaa yli 40 maassa. Fortum tarjoaa asiakkailleen sähköä, kaasua, lämpöä ja jäähdytystä sekä älykkäitä ratkaisuja resurssitehokkuuden parantamiseen. Fortum haluaa saada asiakkaat ja yhteiskunnan mukaan muutokseen puhtaamman maailman puolesta. Fortum on Euroopan kolmanneksi suurin hiilidioksidipäästöttömän sähkön tuottaja.  Fortumilla on noin 19 000 ammattilaista ja yhteenlaskettu tase noin 69 miljardia euroa, joten Fortumilla on mittakaava, osaaminen ja resurssit kasvaa ja viedä energiasiirtymää eteenpäin.

Tarkan paikannuksen kehittäminen vauhdittaa Kalmarin tutkimusprojektia – apuna Etteplan Rugged Evaluation Platform

Kalmar tarjoaa markkinoiden laajimman valikoiman lastinkäsittelyratkaisuja ja -palveluja satamiin, terminaaleihin, jakelukeskuksiin ja raskaan teollisuuden käyttöön. Kalmar on edelläkävijä terminaalien automatisoinnissa ja energiatehokkaassa konttien käsittelyssä. Joka neljäs kontti maailmassa siirretään Kalmar-ratkaisun avulla. Kalmar tehostaa jokaista kuljetusta laajan tuotevalikoimansa ja maailmanlaajuisen palveluverkostonsa avulla sekä kyvyllään integroida terminaalien eri prosessit saumattomasti toisiinsa.

Tarina jatkuu – Yepzonin paikantimesta tulevaisuudenkestävä huipputason radioteknologioilla

Yepzon on suomalaisyhtiö, joka on jo pitkään tarjonnut paikannuspalveluita kuluttajille. Yepzon tarjoaa nyt markkinoiden johtavan B2B- ja B2C-palvelun, jolla voidaan paikantaa ja seurata lähes mitä tahansa kaikkialla maailmassa.

Yepzon™-sovellus on johtava alusta kaikkiin paikannustarpeisiin, ja lisäksi se tuottaa käyttäjälle runsaasti laitteen ympäristöön liittyvää dataa. Kuluttajat sekä teollisuus- ja muut yritykset luovat alustan avulla omia uusia tuoteinnovaatioita ja ratkaisuja.

Tiukalla aikataululla laadukas ratkaisu

Sähköpyörien sähköjärjestelmiä kehittävä Revonte aloitti yhteistyön Etteplanin kanssa loppuvuodesta 2019. Etteplanin suunnittelema ja toteuttama langaton poljinväännönmittausjärjestelmä mahdollisti sen, että Revonten tuotteen ensimmäiset esituotantosarjat ovat nyt tehty ja sarjatuotannon aloittaminen on käsillä. 

Auton yhteiskäyttö sujuu Triplassa täyden palvelun sovelluksella

Autoilu on murroksessa, sillä omistamisen sijaan on koko ajan yleisempää hankkia kulkuneuvo käyttöön tarpeen tullen. Yhteiskäyttöauto NF Sharing on autoilua palveluna Triplan asukkaille. Nordea Rahoituksen ja ALD Automotiven omistama NF Fleet toimittaa taloyhtiön asukkaiden käyttöön sähköauton, joka on vuokrattavissa mobiilisovelluksen avulla.

Digiaikakauden dentaalirobottia luomassa

Rayo 3DToothfill haluaa parantaa miljardien ihmisten elämää kohtuuhintaisella, huippulaadukkaalla hammashoidolla. Heidän menetelmä tarjoaa parhaat tulokset kilpailukykyisillä kustannuksilla hammaslääkäreille ja potilaille. Jotta menetelmä on varmasti käyttökelpoinen kaikkialla maailmassa, sen tulee olla yksinkertainen ja helppokäyttöinen. Saumaton integroitavuus olemassa olevan laitteiston kanssa on myös tärkeää.