keskiviikko 28. lokakuuta 2015

Tietoturvauutiset tekevät kärpäsestä härkäsen

Tietoturva on tärkeä aihe, jota kenenkään ei ole varaa ottaa kevyesti. Mutta tietoturva on tänään paljon muutakin -- se on bisnes ja uutisaihe, jossa pelolla on oma roolinsa.

Media uutisoi kärkkäästi eksoottisia tietoturvauhkia, koska ne ruokkivat mielikuvitusta ja keräävät hyvin klikkejä. Näkyvyys on tärkeää myös tutkijoille, sillä se helpottaa rahoituksen saamista ja palkkaneuvotteluja. Pelko myy niin tuotteita kuin tutkijoitakin.

Jos mediaan olisi luottaminen, netti olisi romahtanut jo vuosia sitten. Juuri niinhän suomalainen tietoliikenneprofessori ennusti kymmenkunta vuotta sitten ja media tarttui hanakasti ennusteeseen. Professori antoi vuonna 2004 netille kaksi vuotta elinaikaa. Nyt on kulunut jo yksitoista, ja vieläkin netti on pystyssä. Ainakin yleensä, pieniä katkoja lukuunottamatta. Riskit, turva-aukot ja yleisen huolimattomuuden tietäen on hämmästyttävää, että melkein kaikki toimii normaalisti.

Viime vuosina on peloteltu autojen tietoturvapuutteilla. Aluksi julkisuutta saaneissa uutisissa jätettiin mainitsematta muuan oleellinen tieto: "hakkeri" istui auton sisällä ja oli kytkenyt läppärinsä suoraan tietoliikenneväylään. Ei ihme, että hän pystyi vaikuttamaan auton toimintoihin.

Sittemmin autojen tietotekniikka on kehittynyt ja aitojakin haavoittuvuuksia on löytynyt. Kohu-uutisista huolimatta auto on tietoturvan näkökulmasta yksi turvallisimmista paikoista. Tivi julkaisi eilen poikkeuksellisen uutisen, joka vähätteli autojen tietoturvauhkien vaarallisuutta.

Selvää on, että älypuhelimen yhdistyessä autoon (Android Auto ja Applen CarPlay) riski kasvavat, joten ne pitää ottaa vakavasti. Turva-aukkojen vaarallisuutta kuitenkin vähentää se, että niitä on vaikea hyödyntää kaupallisesti tai muutenkaan järkevästi. Hakkerien mielenkiinto kohdistuu ensi sijassa nettiliikenteeseen, ei autojen suistamiseen ojaan tai valojen vilkutteluun. Autojen häirintä kiinnostaa korkeintaan häiriintyneitä, pilailijoita tai ehkä tulevia terroristeja. Mutta heillekin on tuottoisampia kohteita kuin käydä yksittäisten autojen kimppuun.

Viime viikon uutinen kertoi, miten aktiivisuusranneke voisi saada lenkkipolulla viruksen ja tartuttaa haittaohjelman kotikoneeseen tietojen synkronoinnin yhteydessä. Totuus on tarua tylsempi, kuten tietoturvauutisissa usein muutenkin.

Fitbitin hallintaohjelmasta on myös universaali Windows 10 -versio.
Vaikka tietoturvatutkija onnistui tallentamaan 17 tavua dataa Fitbit-rannekkeen muistiin ja lukemaan sen takaisin, kyse on nimenomaan datasta. Haittaohjelma edellyttäisi, että ranneke saataisiin suorittamaan data koodina, ja silloin 17 tavua olisi liian vähän toimivaa ohjelmaa varten. Lisäksi pitäisi keksiä tapa, jolla sama data tietokoneelle siirrettynä saataisiin suoritettavaksi koodiksi. Uhka on siis vähintäänkin teoreettinen. Tämän selvittyä Tivi julkaisi aiheesta toisen uutisen.

"Haavoittuvuuden" esitelleen hakkeritar Axelle Apvrillen kalvot aiheesta ovat osoitteessa http://2015.hack.lu/archive/2015/fitbit-hacklu-slides.pdf ja niissä on kiinnostavaa tietoa rannekkeen kiihtyvyysanturien mittauksista sekä rannekkeen ja tietokoneen välisestä tiedonsiirrosta. Sivulla 18 on näppärä ajatus lukita tietokone automaattisesti kun Bluetooth-yhteys rannekkeeseen katkeaa. Idea ei ole aivan uusi, mutta sen yhdistäminen aktiisivuusrannekkeeseen nähdäkseni on.

Aktiivisuusrannekkeiden tietoturvaan kannattaa kiinnittää huomiota, varsinkin jos niillä kerättyä dataa aletaan käyttää vakuutusten hinnoitteluun. Silloin hakkerointiin syntyy taloudellinen kannustin. Niin ikään pilveen kerääntyvät syke-, liikunta- ja unitiedot voivat olla kaupallisesti haluttuja.

1 kommentti:

Blogger kirjoitti...
Blogin hallinnoija on poistanut tämän kommentin.
Website Security Test