Kameroista ja kaappaamisesta: Kuinka esineiden internet voi viedä kilpailuetusi

F-Secure on löysi useita haavoittuvuuksia Foscamin IP-turvakameroista, joiden avulla hyökkääjä saa kameran hallintaansa.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: kesäkuu 20, 2017
Lukuaika: 3 Minuuttia

LATAA RAPORTTI

Esineiden internet on arkeamme. Se on tuonut mukanaan kiinnostavia mahdollisuuksia, kustannussäästöjä sekä tehokkuutta tekemiseen. Uudella uljaalla maailmalla on myös varjopuolensa, jonka voi tiivistää Hyppösen lakiin: jos siinä on älyä, on se haavoittuva.

F-Secure ja vastaavat yritykset löytävät haavoittuvuuksia internetiin liitetyistä laitteista jatkuvasti. Hyppösen laki osoittautui jälleen paikkansapitäväksi kun löysimme useita haavoittuvuuksia kiinalaisvalmistaja Foscamin IP-turvakameroista. Kerromme raportissamme tarkasti laitteesta löytyneistä 18 haavoittuvuudesta. Niiden avulla hyökkääjä voi saada kameran hallintaansa ja ladata itselleen kameran videotallenteen.

Tämä ei ole uutta, kaikki tietävät, että verkkoon kytketyt kamerat voidaan kaapata. Olemme kaikki kuulleet tarinoita, joissa pahaa-aavistamattomia uhreja on vakoiltu kameroiden avulla. Meidän pitäisi muistaa, että kameratoiminnon lisäksi laite toimii palvelimena. Haavoittuva palvelin antaa hyökkääjälle mahdollisuuden tunkeutua muihin verkon laitteisiin.

 

 

Jos tällainen laite on yhdistetty yritysverkkoon ja hyökkääjä pääsee sen avulla verkkoon, voi hän levittää verkossa haittaohjelmaa saadakseen mahdollisimman laajat oikeudet laitteisiin.

 

Verkot muuttuvat

Verkon rajat ovat rapautuneet jo vuosien ajan.  Taustalla on monia seikkoja. Pilvipalvelujen käyttö, kuluttajistuminen sekä liikkuvien työntekijöiden laitteet ja tiedot, jotka aikanaan olivat yritysverkon sisällä, ovat nyt sen ulkopuolella. Samaan aikaan yritysverkon ulkopuoliset asiat ovat liikkuneet sisäpuolelle. Esineiden internetin älylaitteet laajentavat verkkoa ja häivyttävät yritysverkon rajaa entisestään.

Janne Kauhanen, yksi kyberturva-asiantuntijoistamme muotoilee asian näin: ”Esineiden internet tuo verkkoihin lisää laitteita, joita ei osata ajatella verkon laitteina. Tämä johtaa varjo-it:n laajenemiseen, kun yrityksissä ei ole enää tietoa heidän verkossaan olevista laitteista. Jos et tunne kokonaisuutta, et voi rakentaa suojausta.”

 

Suojauksen laiminlyönnit

Harry Sintonen, haavoittuvuudet löytänyt tietoturvakonsulttimme kertoo, ettei ole koskaan nähnyt yhtä huonosti suunniteltua laitetta. ”Haavoittuvuudet ovat pahinta laatua, ne antavat hyökkääjälle mahdollisuuden tehdä lähes mitä tahansa. Hyökkääjä voi hyödyntää laitteen haavoittuvuuksia yhtä kerrallaan tai yhdistellä niitä saadakseen laitteen ja verkon mahdollisimman laajasti hallintaansa.”

Monet kyseisen laitteen haavoittuvuudet ovat laiminlyöntejä.  Oletussalasanat eivät ole satunnaisia, liian montaa väärää salasanaa kokeilevaa käyttäjätiliä ei lukita, pääsyä kriittisiin tiedostoihin tai hakemistoihin ei rajoiteta. Laitteessa ei edes pitäisi olla tiettyjä ominaisuksia, kuten piilotettua Telnet-yhteyttä tai ohjelmistoon pysyvästi koodattuja tilitietoja, joilla hyökkääjä voi ohittaa käyttäjän itse asettaman salasanan.

Kaikki tämä kertoo valmistajan piittaamattomuudesta turva-asioista. Tämä ongelma koskee älylaitteita laajemminkin.  Laitteiden tietoturva ei vaikuta niiden myyntiin, joten se ei kiinnosta valmistajia. Tämän vuoksi markkinoille on tullut turvattomia kameroita, reitittimiä, termostaatteja, videotallentimia, vedenkeittimiä, autoja, ja lähes mitä tahansa. Tämä ei jää pelkästään laitteiden käyttäjien ongelmaksi, vaan on uhka koko internetille. Viime syksynä tapahtuneeseen valtavaan palvelunestohyökkäykseen osallistui myös turvattomia esineiden internetin laitteita.

Laitteiden löytäminen ja niiden asiaton käyttö ei ole ongelma mahdollisille hyökkääjille, koska valmistajat ovat tehneet siitä suhteellisen helppoa.

”Jos joku näistä laitteista on verkossasi, takaan, että verkkorikolliset löytävät sen,” Kauhanen sanoo.

map of potentially vulnerable Foscam devices around the world

 

Kuinka korjaamme tilanteen

Vaikka tilanne voi kuulostaa pahalta, F-Securen asiantuntijoiden mukaan peli ei ole menetetty. Vaikka sääntely on harvoin ihanteellinen ratkaisu, se voisi siirtää valmistajien huomion turvaan.

”Monilla toimialoilla käydään läpi tämä prosessi, jossa havaitaan, että tietoturvakysymykset täytyy ratkaista. Esimerkiksi autoalalla havaittiin turvavyöt vuosien kuluessa hyväksi ideaksi. Esineiden internet käy läpi samaa prosessia, kymmenen vuoden päästä ongelmat on ratkaistu. Kysymys onkin, haluatko näiden ongelmien haittaavan kilpailukykyämme tämän väliajan”, F-Securen turvallisuusneuvonantaja Sean Sullivan sanoo.

Yritysten kannalta ensimmäinen askel on tällaisten laitteiden eristäminen omaan verkkoonsa pois internetistä. Se voi myös tarkoittaa kokonaisvaltaista ja monitasoista lähestymistä tietoturva-asioihin. Selvitä perusteellisesti, mitä verkossasi tapahtuu. Ymmärrä, miten hyökkääjät lähestyvät organisaatiotasi, ja pyri vähentämään heidän liikkumatilaansa.

Esineiden internetin laitteita rakentavien yritysten kannattaisi keskittyä turvakysymyksiin mahdollisimman varhain varautuakseen alan mahdolliseen sääntelyyn. Älylaitteiden valmistajien kannattaisi ottaa turvakysymykset huomioon ohjelmistosuunnittelussa alusta alkaen. Tuoteturvallisuuden prosessit ja investoinnit turvaan auttavat erottumaan valmistajien suuresta massasta. Tästä voi olla hyötyä, erityisesti jos viranomaiset aloittavat säätelyn.

Lataa koko raporttimme haavoittuvuuksista täydellisten uhkien lieventämiskeinojen kanssa yrityksille ja jälleenmyyjille.

LATAA RAPORTTI


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s