Close

Tietoturva – tutki haavoittuvuutesi ennen hakkereita

“Tämä on raportti eräästä projektista. Skannasimme yhden teollisen Linux-laitteen ja teimme mielenkiintoisia löytöjä. Osa löydöistä on vakavia haavoittuvuuksia”

Harri Susi, ohjelmistotestauksen ja tietoturvan asiantuntija Etteplanilta, näyttää dokumenttia, joka luettelee kyseisen IoT-laitteen haavoittuvuudet, joita hakkerit saattaisivat hyödyntää. Tämä on ensimmäinen askel kohti parempaa tietoturvaa.

Paljon puhutaan IoT-laitteiden tietoturvasta juuri nyt. Harri ei ole kiinnostunut tästä ”hypestä” vaan haluaa viedä keskustelun pidemmälle, muuttaa asioita. Tämä ei ole mikään pieni haaste koska tietoturvaongelmat ovat todellisia. Markkinoilla on paljon haavoittuvia laitteita. Suurin syy tähän on tuotekehitysprosesseissa ja liiketoimintamalleissa. Asioiden muuttamiseksi pitää ymmärtää kuinka hakkerit toimivat ja ajattelevat.

”Tässä tapauksessa käytin F-Securen Radar-skanneria. Se on työkalu, jota voi käyttää rajapintojen haavoittuvuuksien etsimiseen”, Harri kertoo. Tämä on itse asiassa hyvin samanlainen lähestymistapa kuin hakkerilla. He etsivät järjestelmistä heikkouksia. Sellaisen löytäessään tutkivat, miten sitä voisi hyödyntää. Harri löysi etsimänsä. ”Tässä on avoin laitteenhallintaprotokolla. Sitä ei pitäisi löytyä sen jälkeen, kun laite on julkaistu. Se on luultavasti unohdettu sulkea tuotekehitysvaiheessa.” Tämä on loistava esimerkki haavoittuvuudesta, jota on helppo hyödyntää. Salasanakin on luultavasti joku helposti arvattava, mikäli sellaista edes on.

Tämä haavoittuvuus on helppo korjata, mutta kaikki haavoittuvuudet eivät tietenkään ole näin yksinkertaisia. Yhteistä niille kaikille kuitenkin on, että ne pitää ensin löytää, jotta ne voidaan korjata. Tästä syystä testaus jollain sopivalla työkalulla on tärkeää ja oleellinen osa tietoturvallista tuotekehitysprosessia.

”Tässä tapauksessa käytin F-Securen Radar-skanneria. Se on työkalu, jota voi käyttää rajapintojen haavoittuvuuksien etsimiseen”, Harri kertoo. Tämä on itse asiassa hyvin samanlainen lähestymistapa kuin hakkerilla olisi.

f-secure_radar_1404x600.png

F-Secure Radar. työkalu rajapintojen haavoittuvuuksien etsimiseen

“Security is not a feature, it’s a mindset”.

(tietoturva ei ole ominaisuus vaan se on prosessi ja ajattelutapa) on vanha sanonta mutta silti hyvin kuvaava. Olemme kaikki tottuneita tietokoneiden ja puhelimien turvapäivityksiin. IoT-maailma on erilainen. Kun IoT-laite lähetetään asiakkaalle, se ”asennetaan ja unohdetaan”. Mitään ylläpitoa tai päivityksiä ei ole. Ja kun se hajoaa, se heitetään pois ja tilalle hankitaan uusi.

On selvää, että pitkän päälle tämä ei ole kestävä toimintamalli. Häkätyt kuluttajalaitteet vaarantavat yksityisyydensuojan, mutta yritysten laitteet tarjoavat pahimmassa tapauksessa reitin yrityksen sisäverkkoon. Harri kertoo konkreettisen esimerkin: ”Liitimme testissä erään IoT-reitittimen 4G-verkkoon emmekä jakaneet osoitetta kenellekään. Kahdessa viikossa reitittimeen oli asentunut bot-armeijaa rakentava Tsunami-haittaohjelma.” Ei siis ihme, että IoT-tietoturvasta keskustellaan tällä hetkellä paljon.

Harri kertoo toisen esimerkin. Huonosti suojatut IP-pohjaiset turvakameraratkaisut voivat auttaa verkkorikollisia kaappaamaan vaikka pankin järjestelmiä haltuunsa. Esimerkiksi Interpolin tutkijoiden harjoituksessa web-kameraa käytettiin apuna peittämään haittaohjelman alkuperä (https://www.interpol.int/News-and-media/News/2018/N2018-007). Huonosti suojatut web-kamerat muuttuvat erinomaisiksi verkkorikollisten apulaisiksi.

Mitä sitten pitäisi tehdä IoT-järjestelmien turvaamiseksi? Se ei ole mitään rakettitiedettä, Harri vastaa. ”Kaikki tarvittava on jo nykyaikaisessa ohjelmistokehityksessä käytössä. IoT-laitteita täytyy alkaa hallinnoimaan kuten ohjelmistotuotteita.” Puhutaan elinkaaren hallinnasta, varsinkin asennuksen jälkeisestä ylläpidosta.

Pitää siis ymmärtää, että tuotetta ei voi tehdä turvalliseksi koko sen elinkaaren ajalle ennen sen julkaisua tai asennusta, vaan se on jatkuvaa työtä. Monet ajattelevat haavoittuvuuksia pelkästään ohjelmistovirheinä, joita on syntynyt tuotekehityksen aikana. Näitä vastaan voi taistella perinteisin keinoin esim. testaamisella ja ohjelmakoodikatselmoinneilla, kuitenkin ohjelmistovirheitä jää aina. Nämä virheet eivät ole niitä, joita hakkerit välttämättä hyödyntäisivät. Monet IoT-järjestelmät kasataan erilaisista ohjelmistokomponenteista ja ne hyödyntävät julkisia API-rajapintoja, joiden lisäksi on vain vähän omaa koodia. On varsin yleistä, että jo julkaistussa tuotteessa on ylimääräisiä ja tarpeettomia komponentteja tai palveluja aktiivisena. Tai että olemassa olevasta, turvalliseksi todetusta komponentista, löytyy haavoittuvuus julkaisun jälkeen. On siis tarpeen hallita laitteen koko elinkaarta ja varmistaa turvallinen tapa laitteen päivittämiseksi kun se on tarpeen.

Tuotetta ei voi tehdä turvalliseksi koko sen elinkaaren ajalle ennen sen julkaisua tai asennusta. Turvalliseksi todetusta komponentista, saattaakin löytyä haavoittuvuus vasta julkaisun jälkeen.

”Olemme sokeita haavoittuvuuksille ilman sopivia työkaluja, kuten haavoittuvuusskanneria tai nollapäivähaavoittuvuuksia löytävää fuzzing-testausta.” Hakkeri aloittaa etsimällä heikkouksia. Heikkouksien poistamiseksi, täytyy ne ensin itse löytää ja tämä on hidasta ja vaikeaa työtä ilman soveltuvia työkaluja ja osaamista. Tuote pitää koventaa (’hardening’), eli käytännössä tehdä mahdollisimman vaikeaksi kohteeksi hyökkääjälle.

Usein IoT-laitteiden tuotekehitystä tehdään kohtuullisen pienissä tiimeissä. Ohjelmistokehittäjät siirtyvät seuraavaan projektiin kun edellinen valmistuu. Tietoturvasta huolehtiminen ja sen testaaminen pitäisi kuitenkin olla jatkuvaa ja kaikkien vastuulla. Nykyään puhutaan DevSecOps-mallista, joka on tietoturvalla vahvistettua DevOps-mallia projektin ensimmäisestä päivästä alkaen.

Etteplan voi auttaa asiakkaitaan testausjärjestelmällään, johon liitettyjä laitteita skannataan automaattisesti jatkuvana palveluna myös uusimpien tunnettujen haavoittuvuuksien osalta.

Liittyvä sisältö

Älykäs tapahtuma-alusta

Etteplaniin kuuluvan Eatechin ja Tampereen kaupungin tuottamaa ratkaisua käytetään Helsingin Kauppatorin digitaalisten kokeilujen julkaisualustana. Tuotamme alustaan käyttämiseen liittyviä tukipalveluja kokeilujen ajaksi.

Tampere Events App

Etteplaniin kuuluvan Eatechin toteuttama tapahtumasovellus Tampere Events App otettiin käyttöön Yleisurheilun nuorten MM-kilpailuissa 10.-15.7.2018. Sovelluksen kautta tapahtumakävijä saa tietoa mm. tapahtumaan saapumisesta, palveluista sekä aikatauluista. Käyttäjä voi valita sovelluksessa omat suosikkilajinsa, jolloin hän saa muistutuksia niiden alkamisesta.

Posti

Etteplaniin kuuluva Eatech on Postin yhteistyökumppani, joka vastaa Postin pakettiautomaattien ylläpidosta ja osallistuu kehitykseen. Eatechin jatkuvien palveluiden osasto on toteuttanut Postin pakettiautomaatteihin laitteiston uudistuksen sekä uuden ohjelmiston käyttöönoton syksyn 2017 aikana. Työ kattaa kaikki Suomen pakettiautomaatit.

Ota yhteyttä
Mikko Lindström
Mikko Lindström
Head of SW Quality