Älykäs automaatio on yleistynyt kodeissa. Ilmanvaihto, lämmitys, valot ja ovien lukitus toimivat langattomilla yhteyksillä. Se tarkoittaa käytännössä sitä, että myös asiattomat henkilöt pääsevät niihin aiempaa helpommin käsiksi.
Saksalaisen Stralsundin ammattikorkeakoulun professori Andreas Noack kumppaneineen on kehittänyt kannettavan Universal Radio Hacker -ohjelmiston, jolla hakkeri voi analysoida tai murtaa langattomia tiedonsiirtoprotokollia. Noack esitteli ohjelmistoa eilen Traficomin järjestämässä kyberalan seminaarissa.
Tällaisella tutkijoiden rakentamalla laitteella voidaan murtaa esimerkiksi kotitalon lukitus, vaikka se toimii turvallisehkona pidetyllä AES-128-salauksella.
– Useimmat protokollat eivät ole julkisia. Valmistajat salaavat ne, koska eivät halua loppukäyttäjän murtavan tuotteita. Tämän vuoksi tietoturvatutkijatkaan eivät pääse helposti tarkastelemaan tuotteiden haavoittuvuuksia, Noack valitteli.
Kuulija oppii matkimaan
Langattomat avaimet ja muut laitteet käyttävät tiedonsiirtoon usein radiotaajuuksia. Kannettavalla laitteella krakkeri voi kuunnella ympäristönsä radioliikennettä, tunnistaa säännönmukaisuudet ja tuottaa omia käskyjä kodin laitteille.
Markkinoilta on saatavilla esimerkiksi The Flipper Zero -laite, jolla pystytään vastaanottamaan ja lähettämään ir-, rfid-, bluetooth-, radio- ja muiden protokollien viestejä. Tällaisella laitteella voi osaava tekijä tunkeutua talon ovesta sisään tai varastaa kauppakeskuksen pysäköintihallista auton.
Useiden valmistajien tietoturva nojaa Noackin mukaan toiveajatteluun.
– En näe teitä, joten tekään ette näe minua, hän irvaili ja peitti silmänsä käsillään.
Alihankintaketjua pitää valvoa
EU pyrkii turvaamaan yritysten toimintaa ja kansalaisten tietoja lainsäädännöllä. Viime vuoden alussa voimaan tuli tiedonhallintaan liittyvä Nis-2-direktiivi, jonka kansallisessa soveltamisessa kestää vielä.
Ajatuksena on, että kriittisimmissä sovelluksissa tarvitaan kolmannen osapuolen hyväksyntä koodin sisällöstä ja sen haavoittuvuuksista. Vakavuudeltaan vähäisemmissä käyttökohteissa riittää valmistajan oma arviointi.
– Määräyksiä kannattaa noudattaa jo nyt, vaikka näitä ei olisikaan vielä kirjattu lakiin. Nämä ovat hitaita toteuttaa aloilla, joilla tuotekehityssykli on pitkä, kehotti tietosuojavastaava Jussi Leppälä Valmetilta samassa tilaisuudessa.
Yritysten toimitusketjut ovat usein pitkiä, eli talot tilaavat ulkopuolisilta ohjelmistoja. Tilaajat usein luottavat toimittajaan, mutta myös tilaajan tulee valvoa toimittajansa turvallisuutta.
– Purkka-liimaviritelmiä on kaikkialla, missä yritykset hankkivat järjestelmiä sieltä täältä ja liittävät niitä yhteen, LAV Securityn perustaja Lea Viljanen varoitti.
Teksti: Janne Luotola
Kuva: Andrey Popov /Mostphotos