Viime viikon varoitus LG-televisioiden haavoittuvuudesta sai tutkimaan, miten televisiot näkyvät julkiseen internetiin. Tekninen selvitys haavoittuvuuksista on luettavissa ne löytäneen Bitdefenderin omalta sivulta. Selityksestä päätellen ne ovat varsin vakavia. Jos palomuuri ei suojaa haavoittuvaa televisiota, ulkopuolinen hakkeri voi ottaa sen haltuunsa ja sitä kautta edetä kodin sisäverkkoon ja jos huonosti käy, vaikka etäyhteyden tai läppärin mukana yritysverkkoon.
Haavoittuvuus koskee vain tiettyjä LG-televisioiden malleja.
Television firmware-ohjelman päivittäminen on tärkeää. |
Kummassakaan omassa LG-televisioissa Auto Update ei ollut kaupasta ostettaessa päällä. Televisio kuitenkin ilmoittaa aina kun uusi firmware on saatavilla, joten päivittäminen vaatii vain yhden painalluksen. Varmuuden vuoksi kannattaa laittaa asetus täydelle automatiikalle, sillä kaikki ihmiset eivät ymmärrä päivittämisen merkitystä.
Kiinnostavaa kyllä, Shodan-hakukone löytää netistä 89 304 julkiseen verkkoon näkyvää LG-televisiota, joista peräti 6 251 (7 %) on Suomessa ja 2 484 (2,8 %) Elisan verkossa.
Haavoittuvat LG-televisiot avoimena netissä. |
Eniten televisioita on Koreassa, mikä on helppo ymmärtää. Sitten tulevat Hongkong, USA ja Ruotsi vain hieman Suomea suuremmilla määrillä.
Lukema yllättää, sillä LG:n markkinaosuuden ei pitäisi pohjoismaissa olla mitenkään muista poikkeava. Myös tietoturvassa pohjoismaita pidetään hyvinä.
Tein kyselyn myös Sonyn televisioilla. Kyse ei ole haavoittuvuuksista, vaan ylipäätään nettiin näkyvistä Sony-televisioista. Yksittäisessä mallissa (Bravia KD-55XF9005) kärkeen nousevat Suomi (31 kpl) ja Latvia (30). Kaikissa Bravia-malleissa tilanne on tämä:
Sony Braviat näkyvissä netissä. |
Jälleen kerran korostuvat Hongkong, Yhdysvallat, Suomi ja Ruotsi. Uutena maana mukana on Japani. Myös operaattorijakauma on kiinnostava. Listalla Elisa on viides (287 kpl), DNA kuudes (277) ja Telia yhdeksäs (223). Telenor ja Tele2 tulevat kauempana perässä, mutta ovat kuitenkin listalla.
Mistä johtuu, että pohjoismaissa on niin paljon suojaamattomia LG- ja Sony-televisioita avoimina nettiin? En osaa selittää asiaa, sillä oletan että älytelevisiot ovat yhtä yleisiä muuallakin Länsi-Euroopassa.
Ehkä operaattorien laajakaistaverkot ovat meillä erilaisia (enemmän portteja auki, vähemmän estoja), niin että asiakkaiden sisäverkot näkyvät helpommin nettiin? Tai sitten taustalla vaikuttaa mobiilidatan suuri osuus. Ehkä kotilaitteita käytetään mobiilidatalla ja seinästä tuleva laajakaistayhteys on vedetty ethernetillä suoraan televisioon, ilman palomuuria (jollaisena yleensä toimii wifi-reititin)?
Joka tapauksessa tilasto osoittaa tarpeelliseksi Supon muistutuksen kotilaitteiden tietoturvasta. Tarkista, että oma telkkarisi on palomuurin turvallisemmalla puolella.
Ilmeisesti reitittimissä on UPnP päällä muuten sieltä ei näy mitään ulos, koska kuluttajille myytävät reitittimet ovat käytännössä kaikki oletuksena reitittävässä tilassa.
VastaaPoistaTukisin UPnP-teoriaa. Jos käytössä on DLNA eli käytännössä mediapalvelin, ainakin LG käyttää UPnP-toimintoa. Tämä on yksi isoimmista tietoturvarei'istä mitä nykykotireitittimillä on, se kun antaa tosiaan minkä softan tahansa pyytää palomuuriin avausta.
VastaaPoistaSuomessa ei useimmiten käytetä CGN:ää (Carrier Grade Nat), eli julki-internetin ja sisäverkon välissä on vain ja ainoastaan kodin reunareititin. Jos se avaa porttinsa telkkarille UPnP-pyyntöön reagoiden niin näkyviinhän se tulee. Sama pätee tietty myös IPv6:een jossa CGN:stä ei ole tietoakaan.
Muuten, jos omistaa LG:n telkkari, jos sen haluaa rootata niin tietoturvareikäähän siinä käytetään. https://github.com/RootMyTV/RootMyTV.github.io
VastaaPoistaRoottauksella saa esim. tallenteet ulos ilman että ne olisivat salattuja.
Jaa niin lisäys edelliseen.
VastaaPoistaIPv6:n kanssa asia on sitten hieman kimurantimpi, siellä kun virallisia privaatteja ei edes ole ja jos se laajakaistareititin on konfiguroitu hakemaan IPv6 prefixin, operaattori sitä tukee ja laajakaistareititttimessä on SLAAC tai DHCP6 päällä sisäverkon puolella, niin sitten helposti tosiaan sisäverkon laitteille tulee julkiset IPv6 osoitteet ja nämä viihdelaitteet ovat sen avulla erittäin hyvin tavoitettavissa.
Suomessa ei useimmiten käytetä CGN:ää (Carrier Grade Nat), eli julki-internetin ja sisäverkon välissä on vain ja ainoastaan kodin reunareititin
VastaaPoistaTämä voisi tosiaan selittää Suomen (ja Ruotsin) eron muihin suuriin maihin.
triviaalia testata se onko laitteen IP jokin 10.0.0.0/8, 172.16.0.0/12 tai 192.168.0.0/16 prefixistä ja jos se ei sitä olisi niin TV siitä huomauttelisi.
Hyvä ehdotus, toivottavasti tv-valmistajat ovat kuulolla. Voisi myös antaa oikeuden (tai jopa velvollisuuden) operaattoreille skannata laajakaista-asiakkaitaan ja lähettää noottia, jos sieltä vastaa televisiolta tms. näyttävä laite eikä wifi-reititin.
Jos operaattorin oma-aloitteinen porttiskannaus kuulostaa liialta niin ehkä operaattorit voisivat tehdä tästä palvelun, jonka asiakas voisi itse pyytää omaan ip-osoitteeseensa.
Tuli vielä hetki sitten mieleen, että kun IPv6:n kanssa ei ole määritelty privaattiverkkoja (on toki mm. 2001:db8::/32 "documentation prefix") jota ei internetin rungossa välitetä, mutta kun IPv6:n kanssa ei juuri NAT:ia tueta ja käytetä niin eipä sitä kovin monelle hyötyä olisi konfiguroida.
VastaaPoistaNiin se tapa millä TV voisi testata onko se julkisesta verkosta tavoitettavissa olisi helppo tehdä samalla kun TV tarkistaa kuitenkin määrävälein sitä onko päivityksiä saatavissa.
Samalla TV voisi lähettää molemmat sekä IPv4 ja IPv6 osoitteet palvelimelle, joka testaisi että saako se takaisin päin avattua yhteyden internetistä TV:lle. Jos saa niin laite on avoin internetisä ja se voisi tästä TV:n käyttäjää varoittaa. Sitten vain poistaa eikä talleta niitä tietoja sinne palvelimelle niin mitään ongelmia tietosuojan ym. kanssa ei voi tulla.
Tuollainen olisi todella helppo ja kevyt tehdä sekä tosiaan toimisi molemmilla nykyisllä IP-protokollilla. Sillä ei olisi väliä vaikka ohjelmat jaetaan nykyisin varmaan kaikilla CDN:ssä niin silti valmistajan palveluista helposti seuraava toteutettavissa.
Yleisesti tietoturva asoissa asia on niin, että jos jonkin suojan kuluttajalaitteissa voi helposti toteuttaa erikseen käyttäjiä sillä vaivaamatta niin se kannattaa tehdä eikä jättää vastuuta asian hoitamisesta ja päälle kytkemisestä ym. käyttäjille. Heistä suurimman osan kompetenssi ei näihin riitä asioihin omaehtoisesti riitä tehdä valistuneita ratkaisuja.
Toki testiin olisi TV:n asetuksiin helppo laittaa valinta kytkeä se pois päältä, jos nimenomaisesti joku haluaa pitää TV:tä julkisessa verkossa. Kuitenkin suurin osa ei varmasti halua jos siitä voi aiheutua heille tietoturvaongelmia, joten se kannattaisi olla oletuksena päällä ja varoittaa käyttäjiä kun aihetta on.
Kyllä operaattoreilla mielestäni pitäisi tuollainen palvelu (porttiskannaus) olla, vai olisiko Traficom parempi taho sellaisen palvelun tarjoajaksi, jolloin se olisi jokaisen käytettävissä operaattorista riippumatta.
VastaaPoistaMinulle toimii paremmin sellainen ratkaisu, jossa telkkari itsessään ei ole yhteydessä nettiin. Ns. älyominaisuuksia käytän Apple TV:llä. Olettaisin siinä tietoturvan olevan paremmalla tasolla kuin telkkareissa.
VastaaPoistaVeikkaan, että Suomessa operaattoreilla on ipv4-osoitteita käytettävissä enemmän kuin monilla ulkomaisilla operaattoreilla, ja siksi on ollut mahdollista jaella julkisia ip-osoitteita asiakkaille. Itselläni on Elisan liittymä ja kotiin tulee ethernet - siihen saattoi pelkän kytkimen kautta laittaa nettiä tarvitsevat laitteet kiinni, ja näin telkkarikin sai julkisen ip-osoitteen. Alkoi touhu sen verran hirvittää, että hankin nattaavan reitittimien väliin.
VastaaPoistaSinänsä huvittavaa, että nattaus on alunperin kehitetty ratkomaan niukkojen ipv4-osoitteiden ongelmaa, mutta siitä onkin tullut tietoturvan tärkeä lenkki, kun se estää ulkopuolelta tulevat yhteydet.
Tietoturvaa parantaisi, jos kuluttajille myytävissä nettiliittymissä ulkopuoliset yhteydet olisi oletuksena estetty.
Tietoturvaa parantaisi, jos kuluttajille myytävissä nettiliittymissä ulkopuoliset yhteydet olisi oletuksena estetty.
VastaaPoistaKyllä, mutta se on kyllä internetin perustamisesta alkaen olleen verkon neutraaliuuden vastaista.
Eli välittäjänä olevien operaattorien ei pidä puuttua siihen miten verkon reunalle liittymän hankkivat liittymää päättävät käyttää kunhan se vain ei häiritse muiden käyttämistä. Laittoman käytön ym. valvonta kuuluu maan viranomaisille, ei operaattoreille.
Edellinen periaate näkyy mm. IETF IPv6 määritelelyissä (-90 luvulla ja sen jälkeen) on ollut vahva tahto olla tekemättä NAT:ia IPv6:n ja on nimen omaan haluttu vain aitoja päästä-päähän yhteyksiä.
IPv6 projektin alkaessa yleisiä kaupallisia palomuureja ei vielä ollut, ne tulivat vasta vuosikymmenen puolivälin jälkeen. Marcus J. Ranumin, FWTK & TIS projektit olivat aika harvojen ulottuvilla ja laajempi soveltaminen hyvin kallista ja epäkäytännöllistä.
Maailma on toki nyt erilainen ja vuosituhannen vaihteen ensimmäisen vuosikymmenen puolivälin jälkeen palomuurit ovat olleet arkipäivää organisaatioissa ja päätelaitteissa.
Operaattoreiden oli pakko ottaa osoite pulan vuoksi CGN:n käyttöön IPv4:n osalta mobiiliverkoissa. IPv6:sta missä se on otettu käyttöön, kuten DNA:lla ja sen verkossa toimivalla MOI:lla se on Suomessa, NAT:ia ei käytetä.
Näin on, kokeilin pikaisesti juuri ja minun puhelin ja iPad vastaavat mobiilin puolelta olevalla osoitteella ICMPv6 Echo Request viesteihin eli IPv6 ping tavoittaa suoraan. Nmap 1000 yleisintä porttia ei vastannut mutta tuli perille, minulla ei noissa ole välinettä (tcpdump, wireshark tms.) katsoa tuliko koko skannaus perille mutta on minusta on täysin perusteltua olettaa että kyllä tuli. Täytyykin kokeilla läppärillä uudestaan myöhemmin ja jättää muutama portti auki niin näkee onko välissä palomuuria vai ei. Vahvasti epäilen, että ei ole koska operaattorien liikennemäärillä ne ovat aika hintavia ja moni IPv6 kokeillut havainnut, että käytännön toteutuksissa edelleen paljon parantamisen varaa.
... jatko
VastaaPoistaSitten vielä lisäksi hieman laajempi näkökulma, 'kuluttaja liittymien suojaamiseen ulkopuolelta avattavilta yhteyksiltä' on myös syytä tuoda esille, koska sitä ei moni tule ajatelleeksi. Siitä alla lisää.
Internetistä on jo vuosia ollut tulossa samankaltainen kun Kaapeli-TV:t ovat, jossa on vain muutamia isoja sisällön tuottajia ja harvoja jakelijoita, jotka pyrkivät ja jo suurelta osalta myös käytännössä sanelevat verkossa palveluiden tuottamiseen sekä luultavasti jatkossa myös yhä enemmän sisältöjä voidaan kuluttaa.
Internet ei ole verkko vain viihde alusta isojen oligopolistien toimijoiden tarpeisiin. Facebookin, Twitterin, Youtuben, Gmailin, Netflixin, Instagrammin, YLE-Areenan jne. käyttämiseen.
Internet on oletuksena avoin päästä päähän kaikille mahdollistaa sen paljon monipuolisemman käytön kun pääasiassa edellä mainittuja käyttävä tulee ajalteleeksi ja se, että Internettiä aletaan kahlehtia ja estää kuluttajia käyttämästä monipuolisemmin ja myös pienimuotoiseen palveluiden pitämiseen on asia joka on monelle hyvin arvokas asia.
Mikäli avointa yhteyttä ainakin kiinteisiin kuluttaja liittymiin ei ole se pakottaa liitymän lisäksi vuokraamaan palvelin tilaa konesali- tai pilvipalveluista. Se nosta hintaa ja myös sulkee mahdollisuuden ideoimisen ja uudenlaisten hajautettujen palveluiden pienimuotoiselle kehittämisen kokeilemisen ja pitämiselle.
Moni voi olla ymmärtämättömyyttään sitä mieltä, että ei noin marginaalisesta asiasta kannata välittää.
Silloin ei ymmärretä että tässä on kyse samasta asista kun esim. radioamatööri-toimintaan liittyvä toiminta on.
Siellä kokeillaan, tutkitaan ja kehitetään uudenlaisia tapoja käyttää ja yhdistellä asoita, siirtää radioliikennettä verkossa, yhdistää tukiasemien käyttöä verkon kautta jne. -- verkon monipuolinen käyttö on näissä olennaista.
... jatko
VastaaPoistaMonet harrastajat pitävät kotonaan internet-verkkoyhteyden takana laajoja erialaisia palveluita joiden käyttäjistä moni ei tahdo ymmärtää mistä se data sinne tulee ja että se perustuu näiden harrastajien ylläpitämien palveluihin niissä kuluttajaliittymissä. Alla muutama esimerkki näistä.
- monet yksityiset sääpalvelut, ukkos-tutkat ym. on kehitetty ensin näin ja toimivat edelleen virallisten ohella.
- samoin yksityiset verkossa olevat Web-kamerat, vaikka moni on vain huvin vuoksi laitettu monia käytetään myös yleiskuvan saamiseen jostain lähiseudun tapahtumista tai vaikkapa vain säästä ja ilmasta, mitä ei muista mittareista nähdä.
- APRS - lentojen, laivojen, jne. sijainnin ja viestiliikenteen monitorinnin palvelut joihin Flighradar mm. perustuu
- GPS ja muiden satelliitti-paikannus järjestelmien häirinnän monitorointiin on tehty palvelu
- Radioaktiivisuuden monitorointiin on myös olemassa verkosto ja monitorointipalvelu ollut jo jonkin aikaa.
- Erilaiset satelliittien ja tähtitaivaan ilmiöiden seurantaan liittyy myös vastaavaa toimintaa.
- WebSDR:t eli verkon kautta käytettävät ohjelmisto-radiot ja niiden verkostot, joilla sen lisäksi että niitä käyttävät harrastelijat etänä tapahtuvaan kuunteluun käytetään myös tutkimuksessa.
Edelliset ovat vain muutamia esimerkkejä. Yksityiset harrastajat ja erilaiset kerhot pitävät monia yleishyödyllisiä palveluita joiden toiminta on tavanomaisten kuluttaja liittymien varassa ja data mitä siellä tuotetaan ei ole viranomaisten tuottamaa dataa. Toki niitäkin on paljon, mutta monelle palvelulle on olennainen edellytys, että on liittymä mihin saa ulkoa yhteyden.
Vain kuluttaja liittymät ovat riittävän edullisia jotta niitä voivat kyseiset tahot käyttää. Kuluttaja liittymät ovat edullisia koska niitä tuotetaan suurella volyymilla. Yritys liittymät ovat huomattavasti kalliimpia, vähintään tupla hintaisia samaan paikkaan tilattaessa, eikä niitä edes toimiteta yksityisille ilman Y-tunnusta.
Se, että oletuksena olisi yksityiskäyttäjien liittymässä ulkoa avautuvat yhteydet estetty luultavasti johtaisi siihen, että sitten tarvitsijalle sen avaaminen erikseen hinnoiteltaisiin erikseen ja se ehkä vähentäisi tai jopa estäisi niiden jotka haluavat jotain pientä palvelua sen oman liittymän takana pitää.
Joten näin yhtenä sellaisena jolla on ammatin tuomaa taitoa käytää verkkoa monipuolisemmin kuin ns. peruskäyttäjät ja myös pyörittää edellä lueteltujen kaltaisia palveluita kansalaistoimintana muiden käyttöön paremmin sopisi se, että peruskäyttäjät käyttävät niitä NAT-reitittimiä.
Sen lisäksi TV ym. laite valmistajilta pitäisi viranomaisten edellyttää sitä, että he asentavat oletuksena näihin laitteisiin paloumuuri ohjelmiston käyttöön. Linuxissa ja *BSD:ssä on ollut yli 20v toimivat ilmaiset palomuurit, jotka on olut aina helppo ottaa käyttöön ja niiden käyttämättömyys on pelkkää laiskuutta ja ylenkatsetta laitetoimittajilta.
Laitteen ostaneelta sitä ei voi toki sulautetussa laitteessa edelyttää, eikä valmistajan pidä lykätä omaa laiskuutta ja omien laitteiden tietoturva ongelmia toisten ratkaistavaksi vaatimalla heiltä sitä. Ehdottaa toki voi käyttäjälle, että laita laite NAT:n tai palomuurin taakse, mutta se on sitten lisäturva eikä saa olla ainoa turva ja jättää turvaa tekemättä siihen laitteeseen itseensä.