December 11, 2019 |

Älylukon tietoturvaongelmat jättävät oven auki hyökkääjille

Älylukon suunnitteluvika on hyvä esimerkki siitä, miten vaikeaa älykkäiden sekä turvallisten laitteiden valmistaminen on. Kyberturvallisuusratkaisuja toimittavan F-Securen konsultit ovat havainneet helposti hyödynnettävissä olevan suunnitteluvirheen älylukossa. Lukko ei pysty vastaanottamaan laiteohjelmistopäivityksiä, mikä tarkoittaa, että vikaa ei voi korjata perusteellisesti. Tämä on hyvä esimerkki siitä, miten vaikeaa valmistajien ja kuluttajien on suojata uusia Internetiin yhteydessä olevia laitteita. […]

Älylukon suunnitteluvika on hyvä esimerkki siitä, miten vaikeaa älykkäiden sekä turvallisten laitteiden valmistaminen on.

Kyberturvallisuusratkaisuja toimittavan F-Securen konsultit ovat havainneet helposti hyödynnettävissä olevan suunnitteluvirheen älylukossa. Lukko ei pysty vastaanottamaan laiteohjelmistopäivityksiä, mikä tarkoittaa, että vikaa ei voi korjata perusteellisesti. Tämä on hyvä esimerkki siitä, miten vaikeaa valmistajien ja kuluttajien on suojata uusia Internetiin yhteydessä olevia laitteita.

KeyWe Smart Lock, etäohjattu, ensisijaisesti yksityisasunnoissa käytössä oleva laite, on tarkoitettu ovien avaamiseen ja sulkemiseen mobiililaitteen sovelluksella. F-Secure Consulting pystyi hyödyntämään puutteellisesti suunniteltuja tietoliikenneprotokollia ja sieppaamaan lukitusta ohjaavan salaisen tunnuslauseen fyysisen laitteen ja mobiilisovelluksen vaihtaessa tietoja keskenään.

— Lukossa on useita suojausmekanismeja. Lukko on valitettavasti suunniteltu siten, että näiden mekanismien ohittaminen ja lukon ja sovelluksen välisten viestien kuunteleminen on kohtuullisen helppoa – lukon saa siis auki suhteellisen yksinkertaisella hyökkäyksellä. Ongelmaa ei voi lieventää mitenkään, joten murtovarkaat pystyvät hakkeroimaan tällä lukolla suojattuja koteja hyvin helposti. Hyökkääjä tarvitsee vain hieman tietotaitoa, halvan, yleisesti saatavilla olevan laitteen tietoliikenteen sieppaamiseen ja hieman aikaa lukon omistajien etsimiseen, sanoo F-Securen Krzysztof Marciniak, hakkerointia kehittämässä ollut kyberturvallisuuskonsultti.

Hyökkäys on jälleen yksi osoitus monista laitevalmistajien ja kuluttajien kohtaamista tietoturvahaasteista IoT-laitteiden vallatessa markkinoita. Erään äskettäisen arvion mukaan vuoteen 2025 mennessä Internet-yhteyden muodostaneita laitteita on 125 miljardia.* IoT-laitteiden levitessä leviävät myös tietoturvaongelmat.

Lukolla on useita hyödyllisiä tietoturvaominaisuuksia, kuten kriittisten järjestelmätietojen salaus valtuuttamattomilta osapuolilta. Salainen tunnuslause (the secret passphase) on eräs tällaisista tiedoista.

F-Secure Consulting löysi kuitenkin suhteellisen helppoja tapoja kiertää järjestelmän suojauksen. Ja koska laite ei voi vastaanottaa laiteohjelmistopäivityksiä, hyökkäyksen hyödyntämää vikaa ei voida korjata. Tämä tarkoittaa, että lukkoa käyttävien on vaihdettava lukko tai otettava harkittu riski.

Marciniak huomauttaa, että tietoturva toimii vain, kun se toteutetaan asianmukaisesti. Tätä faktaa IoT-laitevalmistajat eivät saa unohtaa.

— Tietoturvaa ei voi toteuttaa yhtenä, jokaiseen tarkoitukseen soveltuvana pakettiratkaisuna. Se on räätälöitävä käyttäjän, ympäristön, uhkamallin ja monien muiden tekijöiden mukaan. Tämä ei ole helppoa, mutta jos IoT-laitevalmistajat toimittavat tuotteita, jotka eivät voi vastaanottaa päivityksiä, ne täytyy rakentaa alusta lähtien turvallisiksi, Marciniak kertoo.

Marciniak suosittelee Internet-yhteyksien aiheuttamien tietoturvavaikutusten huomiointia ennen offline-tilassa toimivien laitteiden vaihtamista verkkoversioihin. Laitevalmistajille hän suosittelee tuotteiden tietoturva-arviointia osana niiden suunnittelutyötä.

F-Secure Consulting toimii neljällä mantereella 11 eri maassa. Se toimittaa räätälöityjä kyberturvallisuuspalveluja pankki- ja rahoitussektorille, ilmailualalle, rahtipalveluille, jälleenmyyntiliikkeille, vakuutusyhtiöille ja muille usein hyökkäysten kohteeksi joutuville organisaatioille.

Hyökkäyksen helppouden ja tehokkaiden korjauskeinojen puutteen vuoksi F-Secure Consulting on päättänyt olla ilmoittamatta hyökkäykseen tekemiseen tarvittavia tärkeitä teknisiä tietoja. F-Secure Labs on kuitenkin julkaissut toimintaohjeita sisältävän tiedotteen ja blogikirjoituksen, joissa on lisätietoja aiheesta. F-Secure Consulting tarjoaa lisätukea ja palveluja laitevalmistajille.

 

*Lähde: https://www.techradar.com/news/rise-of-the-internet-of-things-iot

 

Sanna Syrjäläinen
+358 40 8349277
PR Manager, Nordics
F-Secure Corporation

 

Social Media
Lehdistöarkistot
Valitse vuosi

Uusimmat lehdistötiedotteet

December 17, 2019

Suosittu langaton esitysjärjestelmä hakkeroitiin minuuteissa

F-Securen tietoturvakonsultit varoittavat luotettaviksi koettujen laitteiden alttiudesta hyökkäyksille. Kyberturvallisuusratkaisuja toimittavan F-Securen konsultit ovat havainneet useita virheitä suositussa langattomassa esitysjärjestelmässä. Osa näistä virheistä on hyödynnettävissä alle minuutissa. Hyökkääjät voivat siepata ja käsitellä tietoja esityksen aikana, varastaa salasanoja ja muita luottamuksellisia tietoja, asentaa takaportteja sekä muita haittaohjelmia. Barcon langaton ClickShare-esitysjärjestelmä on yhteistyökäyttöön tarkoitettu työkalu, jolla voi esittää […]

December 11, 2019

Älylukon tietoturvaongelmat jättävät oven auki hyökkääjille

Älylukon suunnitteluvika on hyvä esimerkki siitä, miten vaikeaa älykkäiden sekä turvallisten laitteiden valmistaminen on. Kyberturvallisuusratkaisuja toimittavan F-Securen konsultit ovat havainneet helposti hyödynnettävissä olevan suunnitteluvirheen älylukossa. Lukko ei pysty vastaanottamaan laiteohjelmistopäivityksiä, mikä tarkoittaa, että vikaa ei voi korjata perusteellisesti. Tämä on hyvä esimerkki siitä, miten vaikeaa valmistajien ja kuluttajien on suojata uusia Internetiin yhteydessä olevia laitteita. […]

November 21, 2019

Tulevaisuudessa tekoäly ei enää matki ihmistä — F-Securen tutkimushanke Project Blackfin hyödyntää autonomisesti toimivia tekoälyagentteja

F-Securen uusi kyberturvallisuuteen keskittyvä tutkimusprojekti vie tekoälyn hyödyntämisen uudelle tasolle. Kyberturvallisuusasiantuntija F-Secure on käynnistänyt uuden tutkimusprojektin, jonka tarkoituksena on kehittää yrityksen omissa tunnistus- ja vastaustekniikoissaan käytössä olevia keskittämättömiä tekoälymekanismeja entisestään. Project Blackfin -hankkeessa hyödynnetään erilaisia älytekniikoita, kuten parviälyä, ja laaditaan sopeutuvia, autonomisesti toimivia tekoälyagenttiohjelmia, jotka tekevät yhteistyötä yhteisten tavoitteiden eteen. F-Securen Matti Aksela (Vice President, […]

November 18, 2019

MITRE ATT&CK -arviointi nostaa F-Securen yhdeksi alan parhaista osaajista edistyneiden uhkien havainnoinnissa

MITRE ATT&CK -tulokset vahvistavat, että F-Securen EDR-tekniikat ovat tukeva perusta kattavien havaitsemis- ja reagointiominaisuuksien rakentamiselle. F-Secure on onnistuneesti käynyt läpi ensimmäisen MITER ATT&CK™ -arviointikierroksen. Testissä arvioidaan, kuinka yritysten päätelaitteiden havaitsemis- ja vastausratkaisut (endpoint detection and response, EDR) toimivat edistyneiden uhkien (advanced persistent threat, APT) käyttämien tekniikoiden kanssa. Tulos vahvistaa, että F-Secure on yksi parhaista osaajista […]

%d bloggers like this: