tiistai 1. marraskuuta 2016

Linux - netin suurin tietoturvauhka

Yllättävää kyllä, Linuxista on tullut netin suurin tietoturvauhka. Lokakuun lopun Mirai-hyökkäys netin nimipalvelua vastaan osoitti, miten vielä muutama vuosi sitten harmittomina pidetyillä valvontakameroilla ja itkuhälyttimillä voidaan tukkia nimekkäitä nettipalveluita. Tätä harva osasi kuvitella vielä muutama vuosi sitten.

Huoli IoT-laitteiden ("esineiden internet", käytännössä nettiin kytketyt kodinkoneet ym. ei-tietokonelaitteet) turvallisuudesta heräsi jokin aika sitten osana laajempaa kyberturvallisuusajattelua. Olemme kiinnittäneet paljon huomiota tietokoneisiin ja palvelimiin, joita päivitetään säännöllisesti. Muut laitteet ovat jääneet vähemmälle huomiolle.

Kodin älylaitteiden (riista- ja valvontakamerat, itkuhälyttimet, televisiot ym.) tietoturvassa on kaksi isoa ongelmaa. Ensinnäkin niiden päivittäminen on hankalaa tai tyystin mahdotonta. Valmistaja unohtaa myymänsä laitteet saman tien eikä tarjoa niihin päivitysmahdollisuutta, eikä kaikissa laitteissa ole edes komentoja, joilla päivityksen voisi tehdä.

Toiseksi laitteet kilpailevat halvalla hinnalla ja ominaisuuksien suurella määrällä, mikä on huono yhdistelmä. Valmistajat eivät kiinnitä huomiota tietoturvaan, koska sillä ei ole merkitystä myynnin kannalta. Tämä ajattelu on nyt kostautunut.

Monissa pienlaitteissa nettiyhteydestä ja perustoiminnoista vastaa karsittu Linux, joka on upotettu (embedded) laitteeseen sellaisenaan, black box -periaatteella. Lokakuussa levinnyt Mirai-haittaohjelma kokeilee yleisiä käyttäjätunnuksia ja salasanoja, ja sisään päästyään lataa itsestään kopion laitteen muistiin. Se alkaa etsiä uusia uhreja ja odottaa samalla ohjeita komentopalvelimelta. Palvelin voi käskeä esimerkiksi tekemään palvelunestohyökkäyksen haluttuun ip-osoitteeseen.

On vähän epäoikeudenmukaista syyttää IoT-laitteiden saastumisesta Linuxia, mutta jos kyse olisi Windowsista, tehtäisiin juuri niin -- paitsi että Windowsissa ei ole telnetd- ja ssh-ominaisuuksia, joita Mirai käyttää. Tässä suhteessa Windows olisi ollut turvallisempi valinta. Linux olisi turvallinen, jos laitteet olisi tehty oikein. Mitä järkeä on avata pääsy kameran muistiin, vaikka käyttäjä tietäisikin oikean tunnuksen ja salasanan? Hänen pitäisi ainoastaan nähdä valvontakameran kuvat tai kuulla itkuhälyttimen ääni, mutta muistiin ei ole mitään asiaa.

Hyvä puoli on, ettei IoT-laitteissa useinkaan ole pysyvää muistia, joten mato jää keskusmuistiin ja kuolee, kun sähkö katkaistaan. Suojaamaton laite tosin saastuu nopeasti uudelleen, sillä tartuntayrityksiä riittää netissä tälläkin hetkellä.

Toinen hyvä puoli on, että Mirain käyttämä salasanalista on yksinkertainen ja sisältää vain englanninkielisiä sekä laitevalmistajien vakiosalasanoja. Suomalainen käyttäjä on turvassa, kunhan muistaa vaihtaa salasanaksi vaikka "salasana" tai "johanna" (joka on jostain syystä Suomen yleisimpiä salasanoja). Vahva salasana on tietenkin parempi, mutta Mirain torjumiseksi riittää melkein mikä tahansa suomen kielen sana.

Tekniikka ja talous uutisoi viime viikolla, että tutkijan kokeilussa kotireitittimeen yritettiin murtautua lähes 5000 kertaa vuorokaudessa. Luku tuntui korkealta, joten katsoin oman testilaitteeni tilastot. Sen lokiin oli kertynyt alkuvuodessa keskimäärin 1259 yhteydenottoa joka vuorokausi. Silmämääräisesti arvioiden jokaiseen yritykseen liittyi 2-4 yhteydenottoa samasta IP-osoitteesta, joten efektiivinen yritysten määrä oli ehkä 300-500 kappaletta vuorokaudessa.

Lukua voi verrata vuoden 2013 palomuuriraporttiin, jossa yhteydenottoja oli keskimäärin 163 kappaletta vuorokaudessa. Kolmessa vuodessa koputtelujen määrä on lähes kymmenkertaistunut ja kuluneen vuoden aikana vähintään kolminkertaistunut:

Koputtelujen määrä kolminkertaistunut alkuvuodesta.
Kun tarkastellaan pelkkiä 23-portin (Telnet) yhteyksiä, trendi näkyy vielä selvemmin:

Portti 23
Telnetiä käyttävien matojen määrä on moninkertaistunut alkuvuodesta. IoT-turvaongelmat ovat epäilemättä tämän vuoden tietoturvatrendi -- ja se johtuu epäsuorasti Linuxista.

11 kommenttia:

petrip kirjoitti...

miksi ne laitteet ei ole NATin takana???? miksi niihin edes saa yhteyden kotiverkon ulkopuolelta

Anonyymi kirjoitti...

"Tässä suhteessa Windows olisi ollut turvallisempi valinta." – mutta olisiko Windows ollut kaikissa tapauksissa mahdollinen valinta teknisessä mielessä?

Anonyymi kirjoitti...

Miksi kukaan haluaisi NATia, NATista on niin paljon kärsitty. Luojan kiitos siitä päästään eroon lähitulevaisuudessa kokonaan.

petrip kirjoitti...

NAT suojaa sen sisäpuolelle jätetyt laitteet porttiskannaukselta. Se on halvin ja tärkein palomuuri.

Zarr kirjoitti...

Ongelma on siinä, että nuo IoT-laitteet yleisestikin ottaen ruinaavat ystävälliseltä kotireitittimeltä portin auki ulkomaailmaan UPnP:tä käyttäen. Totta kai kotireitittimissä on NAT jos IPv4:stä puhutaan ja nykyään varsin usein ihan mainio palomuuri noin muutenkin - mutta kun joku on kehittänyt UPnP:n jossa ei tunnu olevan edes mitään laitekohtaista filtteröintiä.

Yksi Turkkulaanen kirjoitti...

Eiköhän suurin ongelma ole enemmänkin tietoturvallisuudesta piittaamatta suunnitellut 'äly'laitteet kuin käyttöjärjestelmä?
Onneksi minä olen vanhanaikainen, eikä kotini laitteet ole mitenkään älykkäitä. Minusta on parempi ajatella itse, eikä olla koneälyn armoilla.

petrip kirjoitti...

no on toki, mutta kun *nix käyttikset on tarkoitettu ihmisille joilla on aavistus siitä mitä tekevät. Siinä on oletuksena kaikenlaista tarpeetonta päällä, joka on tarpeen usein vaikkapa kehitys vaiheessa. Pitäis vaan ymmärtää että sisäinen ja ulkoinen paketti on eri. Winkkarissa ei oletuksena ole oikein mitään. Kädettömät tekee kädetöntä softaa myös tietoturvallisuus mielessä

Anonyymi kirjoitti...

"On vähän epäoikeudenmukaista syyttää IoT-laitteiden saastumisesta Linuxia, mutta jos kyse olisi Windowsista, tehtäisiin juuri niin -- paitsi että Windowsissa ei ole telnetd- ja ssh-ominaisuuksia, joita Mirai käyttää. Tässä suhteessa Windows olisi ollut turvallisempi valinta. Linux olisi turvallinen, jos laitteet olisi tehty oikein."

Huomaa ettei PJ tiedä oikeastaan mitään Linuxista. Tiedoksesi, Linuxissa ei ole sshd (PJ tarkoittanee ssh:lla sshd:tä) eikä Telnetd toimintoja ellei niitä erikseen asenna. Se että jokin valmistaja on ne lisännyt turvattoman salasanan kanssa ei ole käyttöjärjestelmän vika.

PJ voisi jättää Linux antipatiansa vähemmälle näissä kirjoituksissaan ja pysytellä faktoissa.

Anonyymi kirjoitti...

"nix käyttikset on tarkoitettu ihmisille joilla on aavistus siitä mitä tekevät. Siinä on oletuksena kaikenlaista tarpeetonta päällä"
Ainakaan Debianiin pohjautuvissa Linux-jakeluissa ei ole oletuksena verkkoa kuuntelevia palveluja päällä.

"Huomaa ettei PJ tiedä oikeastaan mitään Linuxista. PJ voisi jättää Linux antipatiansa vähemmälle näissä kirjoituksissaan ja pysytellä faktoissa."
Mielestäni Petteri Järvinen kirjoitti varsin asiallisesti: "On vähän epäoikeudenmukaista syyttää IoT-laitteiden saastumisesta Linuxia - - -" "Valmistajat eivät kiinnitä huomiota tietoturvaan, koska sillä ei ole merkitystä myynnin kannalta."

Anonyymi kirjoitti...

"Mielestäni Petteri Järvinen kirjoitti varsin asiallisesti"

Mielestäni Petteri varsin asiattomasti sysää ongelman nimenomaan Linuxista johtuvaksi, eikä sinne minne se kuuluu. Otsikkokin julistaa: "Linux - netin suurin tietoturvauhka", mikä on täysin valheellinen. Muutenkin kirjoituksesta huokuu Petterin tietämättömyys Linuxista.

Anonyymi kirjoitti...

Ainakaan Debianiin pohjautuvissa Linux-jakeluissa ei ole oletuksena verkkoa kuuntelevia palveluja päällä.
Juuri näin. Etenkin kun asentaa palvelimiin tarkoitetun Debian-version ilman X:n kaltaisia nykyajan turhuuksia, tarpeettomia verkkopalveluita ei asennu koneelle automaattisesti. Useimmat tarpeellisetkin palvelut on asennettava manuaalisesti...

Jos sshd:n asentaa, ei se ole mikään avoin portti koneeseen vaan senkin saa konfiguroitua hyvin tiukaksi, esim. niin että root:na ei pääse kirjautumaan etänä.

Website Security Test