Älykkäässä kodissa vietetään avoimien ovien päivää ympäri vuorokauden

Uudessa uljaassa maailmassa älykäs kodinelektroniikka tulee osaksi yhä useamman suomalaisen kodin arkea. Verkkoon yhteydessä olevat laitteet mahdollistavat tiedon jakamisen omistajalleen ajasta ja paikasta riippumatta: verkkokameran kautta näkee mitä lemmikille kuuluu, omat tiedostot ovat kätevästi saavutettavissa aina ja kaikkialta ja kodinkoneita voi hienosäätää etäyhteyden kautta. Valitettavasti jokainen yhteys kodista tai yrityksestä Internetiin on myös mahdollisuus verkon hämärähepuille(tm).

Minulla on ollut viime viikkoina ainutlaatuinen mahdollisuus oppia epämukavia totuuksia jokapäiväisessä käytössä olevien laitteiden salatusta maailmasta. Olen auttanut oululaista tietoturva-alan startupia, Badrap Oy:tä, kehittämään uudenlaista palvelua älykkäiden laitteiden tuomia uudenlaisia uhkakuvia vastaan. Pyrin mahdollisimman maallikkotermein kuvaamaan mistä on kyse ja miksi sinunkin kannattaisi ottaa tietoturvaan astetta vakavampi ote jatkossa.

Bonuksena kerron myös miten voit auttaa hyviksiä taistelussa pahiksia vastaan.

Kotisi on todennäköisesti yhteydessä Internetiin

Yhä useammasta suomalaisesta kodista löytyy jokin laite, joka on yhteydessä Internetiin. Tyypillisesti tällainen laite voi olla vaikkapa Internet-yhteyden tarjoava reititin tai langaton tukiasema. Tietotekniikkaan vihkiytyneemmissä talouksissa voi olla myös omia palvelimia tai verkkoon yhteydessä olevia kovalevyjä, jotka mahdollistavat yhteydenpidon omiin tietoihin tien päältä.

Mikäli jokin edellä mainituista laitteista on säädetty tai otettu käyttöön väärällä tavalla — esimerkiksi jättämällä oletussalasana käyttöön — voi ulkopuolinen hämäräperäinen toimija hyödyntää tällaista haavoittuvuutta ja päästä käsiksi henkilökohtaisiin tietoihin. Haavoittuvuutta voidaan myös hyödyntää siten, että sen kautta päästään käsiksi toiseen laitteeseen tai vaikkapa koko kotiverkon asetuksiin.

Edellä kirjoittamassani ei sinällään ole mitään uutta — verkkoon yhteydessä olevia laitteita on ollut jo pitkään ja niissä olevia haavoittuvuuksia on käytetty erilaisiin hämäräperäisiin tarkoituksiin.

Tilanne on kuitenkin muuttumassa, sillä esineiden Internet (Internet of Things, IoT) tulee hankaloittamaan tilannetta jatkossa olennaisesti.

Esineiden Internetillä tarkoitetaan “Internetin laajenemista laitteisiin ja koneisiin, joita voidaan ohjata, mitata ja sensoroida Internet-verkon yli” (Wikipedia). Kuluttajille tämä tarkoittaa esimerkiksi älykkäitä kodinkoneita ja kodin järjestelmiä. Kustannustason laskiessa älykkäät kodin laitteet tulevat yhä useamman saavutettaviksi ja sitä kautta osaksi yhä useampaa suomalaistaloutta. Laitteiden älykkyyttä voidaan hyödyntää esimerkiksi parantuneena käyttömukavuutena, energiansäästönä tai hallittavuutena.

Kukapa ei haluaisi arkeaan helpottaa?

Siksikin väitän, että jatkossa hankintakustannusten laskiessa yhä useammassa suomalaisessa kodissa on yhä enemmän Internetiin yhteydessä olevia laitteita. Tämä ei sinänsä automaattisesti tarkoita mitään: jo aiemminkin reitittimet ja langattomat tukiasemat ovat olleet erittäin turvallisia käyttää, kun vain otti ne oikeaoppisesti käyttöön (yleensä riitti, että noudatti mukana tulevia ohjeita) ja muisti päivittää ajurit aika ajoin.

Entäpä jos laitteita ei edes voi ottaa oikeaoppisesti käyttöön saatika päivittää?

Älykkäitä laitteita valmistaa monenkirjava joukko yrityksiä — ja kaikille tietoturva ei ole se ykkösprioriteetti. Laitetta ei välttämättä voi ollenkaan päivittää tai sitä käytetään aina tehdasasetuksilla. Laite on myös voinut valmistushetkellä olla turvallinen, mutta siinä käytetystä teknologiasta voidaan löytää haavoittuvuus joskus tulevaisuudessa. Erilaisten ongelmien kirjo on moninainen ja siksikin Internet of Thingsillä on toinen vähemmän mairitteleva nimi — Internet of Shit.

Maailma on siis täynnä rikkinäisiä Internetiin yhteydessä olevia laitteita ja lisää tulee liukuhihnalla.

Tilanne on vähintäänkin haastava niin tavalliselle kuin vähän valistuneemmallekin kuluttajalle. Asiaa ei myöskään helpota se havainto, että toteuttamamme pienen tutkimuksen mukaan suomalaiset verkon käyttäjät ovat aika usein yksin, jos tietoturvan kanssa tulee jotain ongelmia.

Ollos huoleton, Badrap valveil’ on

Tätä taustaa vasten olemme kehittäneet uudenlaista testaaverkkosi.fi -palvelua, jonka avulla voisimme kertoa sinulle omia tietojasi ja laitteitasi uhkaavista haavoittuvuuksista. Palvelu vertaa käyttämääsi IP-osoitetta testaaverkkosi.fi -palveluun talletettuihin tietoturvatutkijoiden tuottamiin tietokantoihin ja kertoa mahdollisista löydöksistä tilanteen korjaamiseksi. Testaaverkkosi.fi ei siis tutki käyttämääsi tietokonetta tai verkkoyhteyttä, vaan hakukonemaisesti hakee osumia talletetuista tiedoista IP-osoitteesi perusteella. Haku ei ole reaaliaikainen, vaan se hyödyntää aiemmin talletettua dataa havaintojen tekemiseksi.

Esimerkki: Testaaverkkosi.fi kertoo Netbios-haavoittuvuudesta.

Palvelua käyttämällä saat siis tiedon, jos kotoasi tai vaikkapa työpaikaltasi löytyy hämäräheppujen(tm) hyödynnettävissä olevia haavoittuvuuksia. Se mitä haavoittuvuuden löydyttyä tapahtuu riippuu haavoittuvuuden luonteesta ja kerromme luonnollisesti kaiken tietämämme, jotta tilanne saadaan korjattua. Jos siis tilanteeseen löytyy jokin muu korjaus, kuin haavoittuneen laitteen poisto verkosta “for good”.

Palvelun taustalta löytyy Badrap -niminen oululainen startup, jonka juuret ovat syvällä oululaisessa tietoturvaskenessä. Tekijöillä on taustaa Codenomiconilta, Clarified Networksilta ja myös Synopsykseltä. Tavalliselle kuluttajalle nämä yritykset eivät todennäköisesti kerro juuri mitään, vaikka esimerkiksi Codenomiconin Heartbleed -löydös ylittikin aikanaan uutiskynnyksen sekä valtakunnallisesti että ulkomailla.

Aiemmassa maailmassa asiakkaat ovat olleet yrityksiä ja jopa valtiollisia toimijoita, mutta esineiden Internetin myötä uhkakuvat tulevat entistä lähemmäksi tavallista kuluttajaa.

Siksi apuasi tarvitaan nyt.

Koekäyttö, jonka avulla kehitämme kansalaispalvelua ja keräämme palautetta, on saatu käyntiin.

Tarvitsemme palvelua parantaaksemme ja kehittääksemme lisää koekäyttäjiä, jotka testaavat onko heidän käyttämänsä verkko kunnossa. Nakuttele siis itsesi osoitteeseen testaaverkkosi.fi ja kokeile palvelua. Jokainen testaamasi verkko-osoite auttaa vaikeuttamaan hämäräheppujen(tm) hommia ja ei sido sinua mitenkään.

Tavalliselle kuluttaja-asiakkaalle palvelu on nyt ja aina maksuton, mutta toki tavoitteenamme on mahdollistaa palvelun jatkokehittäminen saamalla sille tulovirtaa.

Seuraava etappi onkin liiketoiminnan luominen palvelun ympärille. Yksi tutkimamme mahdollisuus on tarjota palvelua yrityksille ja vieläpä siten, että yrityksen eri sijainneissa työskentelevät voisivat olla suojassa erilaisilta verkkouhilta työnteon paikasta riippumatta.

Onneksi voimme auttaa.

PS. Arvostamme palautettasi palvelusta nyt ja jatkossa. Testaaverkkosi -palvelun alalaidasta löytyy kätevä linkki, jonka kautta voit jakaa meille ajatuksiasi.