- COMP.SEC.100
- 22. Kyberfyysisten järjestelmien turvallisuus
- 22.3 Kyberfyysisten järjestelmien toimialueet
Kyberfyysisten järjestelmien toimialueet¶
Kyberfyysisten laitteiden kirjo ulottuu teollisuuden ja robotiikan alueilta lääketieteellisiin implantteihin ja kuluttajien IoT-laitteisiin. Tässä käsitellään konkreettisuuden vuoksi vain viimeiseksi mainittuja kahta. Myös robotiikan kyberturva on varmasti mielenkiintoista mutta jätetään pois peruskurssilta. Siitä voi lukea CyBOK-tekstin luvusta 21.3, jossa on kerrottu tiiviisti myös teollisuusautomaatiosta, autonomisista liikennevälineistä ja älykkäistä sähköverkoista. “Älylaivojen” turvallisuudesta tehdään TAU:llakin tutkimusta, josta tässä yksi johdatteleva artikkeli (2018).
Lääketieteelliset laitteet¶
Turvallisuus- ja yksityisyysriskiensä takia sulautetut lääketieteelliset laitteet ovat olleet merkittävä kiinnostuskohde KFJ-tutkimuksessa.
Therac-25 on yksi tunnetuimmista esimerkeistä siitä, kuinka ohjelmisto-ongelmat voivat vahingoittaa tai jopa tappaa ihmisiä. Therac-25 oli 1980-luvun puolivälissä käytetty tietokonekontrolloitu säteilyterapialaite. Ohjelmointivirheistä johtuen (erityisesti kilpatilanne) laite antoi joillekin potilaille yli sata kertaa suuremman säteilyannoksen kuin terapiaan oli tarkoitettu. Tämä johti kuolemiin ja vammautumisiin. Osittain vammojen syntymiseen vaikutti myös se, että Therac-25 käytti ohjelmakoodia Therac-6- ja Therac-20 -laitteista, joissa oli laitteistotason suojausmekanismeja korvaamassa ohjelmistopuutteita. Myös liian nopeasti syötetyt komennot johtivat virheisiin. (Vrt. lähteet Wikipedia, tekninen raportti (1992)).
Theracin tapauksessa kyseessä oli vahinko, tai kyynisempi voisi sanoa syyllisiksi laiskuuden sekä osaamattomuuden sekä lainsäädännön puutteet. Lainsäädännöllä on voimakas ohjaava vaikutus KFJ-turvallisuudessa (vrt. myös aiempi kaavio). Tyypillisesti lainsäädäntö kuitenkin etenee niin, että vasta riittävän suuren vahinkomäärän ja julkisuuden jälkeen säädöksiä muutetaan.
Entäpä jos kyseessä onkin vihamielinen hyökkäys?
Lääketieteellisistä implanteista (Implantable Medical Devices (IMDs)), puhuttaessa voi tulla mieleen, että sellaiset ovat tulevaisuuden cyberpunk-juttuja. Kuitenkin niihin kuuluvat jo sellaiset vakiintuneet laitteet kuin sydämentahdistimet, defibrillaattorit, neurostimulaattorit ja lääkkeenannostelujärjestelmät. Vuonna 2017 ilmestynyt kirja edistyneen neuroprostetiikan tietoturvasta ottaa huomioon asioita, joita ei vielä ole toteutettu. Kirjan referointia löytyy aiemman kurssin tehtävästä.
IMD-laitteet ovat usein lääkärin uudelleenohjelmoitavissa, mikä avaa laitteet myös tietoturva- ja yksityisyysuhkille, erityisesti silloin, kun hyökkääjä voi esiintyä IMD-laitteiden asetusten muuttamiseen käytettävänä laitteena.
Lääketieteellisiin laitteisiin kohdistuvat hyökkäykset voidaan jakaa salakuunteluhyökkäyksiin (passiiviset) ja injektointihyökkäyksiin (aktiiviset), jossa hyökkääjä voi muuttaa dataa. Näihin telemetriarajapintoihin kohdistuvien hyökkäysten vähentämiseksi on suunniteltu autentikointia (esim. biometristä) sekä ulkopuolisten puettavien laitteiden käyttöä, jotka sallivat tai estävät pääsyn lääketieteelliseen laitteeseen riippuen siitä, onko tämä lisälaite läsnä. Hyökkäysten havaitsemiseen on suunniteltu käyttäytymismallien havainnoimista, jolla erotettaisiin turvallinen ja vaarallinen käyttäytyminen.
Uusi ehdotus IMD-autentikointiin liittyen on niin sanottu touch-to-access -periaate. Sen perusidea on, että potilaalla on biometrinen signaali (esim. sydämenlyöntien väli), jota voivat käyttää vain suorassa kontaktissa potilaan kanssa olevat laitteet. Ratkaiseva haaste on varmistaa, että nämä biometriset signaalit eivät ole etäältä luettavissa. Kuitenkin esimerkiksi sydämenlyönnit voi päätellä sivukanavista, joihin kuuluvat web-kamera sekä infrapunalaser.
Tietoturvavaatimukset eivät tietenkään rajoitu implantteihin tai muihin laitteisiin. Sitä mukaa kun terveydenhuoltoon tuodaan lisää tietokone- ja ohjelmistopohjaista teknologiaa, on kyseisen teollisuudenalan lisättävä tietoturvapyrkimyksiään. Lääketieteellinen data on houkutteleva kohde varkauksille ja yksityisyyden loukkauksille sekä kiristyshaittaohjelmien muodossa oleville palvelunestohyökkäyksille.
Esineiden internet¶
Kuluttajille suunnattuja IoT-laitteita, eli esineiden internetiä (Internet of Things) on nykyään kaikkialla: kodeissa ääniohjattuina virtuaaliavustajina, automaatiolaitteina, älylaitteina ja valvontalaitteina; terveydenhuollossa puettavina laitteina, ml. kuntolaitteet ja terveydenseurannan laitteet; internetiin kytkettyinä opettavina lasten leluina; ja viihdeteollisuudessa erilaisina WiFi-ohjattuina laitteina.
Sitä mukaa kun arki tulee enenevässä määrin riippuvaiseksi näistä järjestelmistä, niiden tietoturvasta on herännyt kasvava huoli. Laitteiden tietoturva riippuu niillä suoritettavien ohjelmistojen sekä laiteohjelmien eheydestä sekä toteutetuista tietoturvamekanismeista.
Uudet hyökkäysvektorit tekevät IoT-laitteista houkuttelevia kohteita rikollisille. Yksinkertaisena esimerkkinä on haavoittuvien IoT-laitteiden organisointi massiivisia hajautettuja palvelunestohyökkäyksiä varten, kuten Mirai-bottiverkko teki vuonna 2016. Muita esimerkkejä ovat olleet hyökkääjät, jotka murtautuivat kasinon sisäverkkoon akvaarion kautta (2017), tai hyökkääjät, jotka kiristyshaittaohjelman avulla lukitsivat hotellin huoneet ja vaativat lunnaita, jotta vieraat pääsisivät huoneisiinsa (2017).
Iso osa IoT-bottiverkoissa olevista IoT-laitteista on internetyhteydessä olevia kameroita. Internet-kameroiden luvattomista yhteyksistä on raportoitu usein. Monien videosyöte on vapaasti (joskin luvattomasti) saatavilla verkossa ja löydettävissä IoT-indeksointialustoilta kuten Shodanista. Tehdasasetukset laitteisiinsa jättäneiden kuluttajien yksityisyys on helposti uhattuna. IoT-laitteisiin kohdistuvat uhat eivät kuitenkaan lopu yksityisyysongelmiin ja DDoS-hyökkäyksiin. Haavoittuvuudet kuluttajien IoT-laitteissa kuten drooneissa, IoT-kameroissa, lasten älyleluissa ja intiimilaitteissa voivat johtaa myös fyysiseen harmiin (droonien käyttö ihmisten vahingoittamiseen), hyväksikäyttöön sekä ahdisteluun. Näiden uudenlaisten fyysisten ja henkisten loukkausten ymmärtämiseen tarvitaan yhteistyötä yhteiskuntatieteiden tutkijoiden sekä lainoppineiden kanssa uusien viitekehysten luomiseksi.
Tutkijoilta suurta huomiota saanut osa-alue on ääniohjattujen virtuaaliavustajien tietoturva. He ovat esimerkiksi onnistuneet mikrofonien epälineaarisuuksien avulla injektoimaan kuulumattomissa olevia käskyjä virtuaaliavustajille. Toisissa tutkimuksissa on voitu hallita hallita ääniohjattuja sovelluksia sellaisilla hyökkäyksillä kuin “voice squatting” tai “voice masquerading”. Esimerkiksi kuluttaja voisi haluta avata sovelluksen “Capital One”, mutta hyökkääjä on tehnyt saataville sovelluksen “Capital Won”, jonka virtuaaliavustaja saattaisi avata. Avustaja ei ehkä pysty tekemään eroa sanojen please ja police välillä. Suomen kielen fonetiikan takia vastaava toimii ehkä heikommin suomenkielisille sovelluksille. Kielemme tarjoaa kyllä mahdollisuuksia, joita Fingerpori usein havainnollistaa (esimerkiksi näin). Toisaalta suuri osa myös suomalaisten puhelimista löytyvistä sovelluksista lienee englanninkielisiä ainakin nimeltään. Äänen naamiointihyökkäyksessä hyökkääjän sovellus saattaa pitää järjestelmää hallussaan ja saattaa pelkästään esittää seuraavansa kuluttajan käskyjä.
Useissa kuluttajien IoT-laitteiden tietoturvaratkaisuissa on ehdolla ajatus jonkinnäköisestä keskitetystä ja turvallisesta IoT-hubista, joka välittäisi viestinnän laitteiden ja internetin välillä. Ongelmana on se, että IoT-laitteen ja pilvipalvelimen välinen liikenne voi olla salattua, jolloin hubi joutuisi tekemään tietoturvapäätöksiä salatun liikenteen perusteella. Toisaalta päästä-päähän salattu liikenne voi estää kuluttajia tarkastamasta laitteitaan varmistuakseen, ettei laite riko yksityisyysodotuksia. Ongelman korjaamiseksi on ehdotettu, että kuluttaja voisi pyytää myyjää lähettämään aiemman salausavaimen luotetulle kolmannelle osapuolelle, joka purkaa salauksen ja näyttää datan sen omistajalle.
Lyhyesti, haavoittuvien IoT-laitteiden leviäminen nostaa uusia tietoturva- ja yksityisyysriskejä, ja IoT-laitteet ovat sen vuoksi houkuttelevia hyökkäyskohteita. Turvattomuuden syyt vaihtelevat insecure-by-design -toteutuksista (esim. laitteet, joissa on takaportti vianetsintään) toteutuksiin, joissa tietoturvapäivitysten ajaminen laitteelle on vaikeaa. Yksi suurimmista ongelmista IoT-laitteiden tietoturvan parantamisen tiellä on se, että markkinat eivät palkitse/kannusta myyjiä kilpailemaan paremmasta tietoturvallisuudesta.