Perjantai lokakuun 21. päivä oli melko tavallinen päivä vuoden 2016 mittapuulla. Helsinkiä riivasi pikkulapsia pelotteleva pesäpallomailaa heilutteleva naamioitunut pelle, Jokerit eteni Venäjän liigassa ottamalla Pasilassa kotivoiton Spartak Moskovasta ja uusin gallup ennusti 70-vuotiaan entisen missikisatuottajan häviävän Yhdysvaltojen presidentinvaalit 95 prosentin todennäköisyydellä. Samana päivän tapahtui kuitenkin myös tähän asti merkittävin palvelunestohyökkäys, todellinen siviilihyökkäysten Stuxnet, joka kaatoi lukuisia maailman suosituimpia verkkosivustoja.

Merkittävän hyökkäyksestä tekee sen suorittanut sadantuhannen tekijän armeija, joka koostui huomaamatta kaapatuista kameroista, tulostimista, televisioista ja muista älylaitteista ympäri maapallon. Historiallisen siitä puolestaan tekee iskun vääjäämättömyys. Lokakuun iskun mahdollisuus on tiedetty jo vuosia. Varmaa on, että sen kaltaiset iskut tulevat olemaan yleisempiä, voimakkaampia ja laajempia.

Iskun anatomia

Lokakuun isku kohdistui Dyn-nimipalvelujärjestelmään. Netissä jokaisella sivustolla ja nettipäätteellä on oma erillinen IP-osoitteensa, joka kertoo sen sijainnin ja toimii sen uniikkina tunnisteena. IP-osoitteet ovat kuitenkin epäkäytännöllisen pitkiä numero- ja kirjainsarjoja muistettavaksi, mitä varten niille voi myös antaa nimen, esimerkiksi ulkopolitist.fi, jonka avulla käyttäjät voivat helpommin vierailla osoitteessa. Nimien ja osoitteiden yhdistämistä ja sivujen liikennettä hoitavat nimipalvelujärjestelmät (DNS, Domain Name System -tarjoajat). Palvelunestohyökkäys (DDoS, Distributed Denial of Service -hyökkäys) nimipalvelujärjestelmään katkaisee toimivan yhteyden nimien ja IP-osoitteiden välillä. Hyökkäyksen kohteeksi joutunut Dyn on globaalisti merkittävä DNS-tarjoaja, jonka asiakkaisiin kuuluvat muun muassa Twitter, Spotify, Netflix, Reddit, PayPal, Airbnb, Github ja Pinterest.

DDoS-hyökkäykset eivät ole uusi ilmiö, mutta niiden tuhovoima kasvaa verkon mukana. Hyökkäyksen periaate on kanavoida valitulle sivustolle niin suuri määrä keinotekoista liikennettä, että se ylittää serverin käyttökapasiteetin ja ruuhkauttaa todellisten käyttäjien liikenteen tai kaataa koko serverin. Keinotekoista liikennettä tuotetaan kaapatuista IP-osoitteista, jotka muodostavat orjalaitteiden bottiverkoston eli botnetin. Perinteisesti botnetin kokoamista ovat rajoittaneet tietokoneiden virustentorjuntaohjelmat ja palomuurit. Teollisen internetin (IoT, internet of things) eli verkkoon yhdistettyjen älylaitteiden määrän huikean kasvun myötä tämä este on kuitenkin käytännössä poistunut. Lukuisten älylaitteidemme suojaus on nimittäin järkyttävän vähäistä.

Itse asiassa palvelunestohyökkäyksen toteutus on yhä helpompaa. Mahdollisuus botnetin kapasiteetin vuokraamiseksi omaan käyttöön on jo olemassa pimeän verkon palstoilla. Eräiden tietojen mukaan lokakuun Dyn DDoS-isku oli kaikessa laajuudessaan vain yhden loukkaantuneen verkkopelaajan ristiretki verkon pimeälle puolelle Sony PlayStation Networkia vastaan. Kuluttajat ja yritykset eivät ota IoT:n turvallisuutta vielä tarpeeksi vakavasti. Onko meidän kuitenkin odotettava tuhovoiman kasvavan mittasuhteisiin, jonka käyttämiseksi on perinteisesti vaadittu korkea turvallisuusluokitus tai presidentin virka?

Olemme luoneet tuottavan hirviön

Syynä teollisen internetin olemattomaan suojaukseen ovat laiskuus ja ahneus. Turvallisuusnäkökulmat jäävät toiseksi, kun tulosta voi tehdä myymällä lähes mitä tahansa, jos on markkinoilla ensimmäisten joukossa. Talouden laahaamisesta huolimatta älylaitteiden kysyntä on valtavaa ja kasvaa tasaisesti. Sen minuutin aikana, jonka kulutat tämän kappaleen lukemiseen, verkkoon liittyy arviolta 4800 uutta laitetta, jotka kommunikoivat muiden laitteiden kanssa ilman ihmistä. Verkkoon yhdistettyjen laitteiden määrän arvioidaan ylittävän 30 miljardia vuonna 2020, ja 80 miljardia jo vuonna 2025.

Kun tyhmistä laitteista tehdään älykkäitä, nopeat syövät hitaat. Kuluttajat haluavat operoida kaikkea verkon tai applikaation kautta – tänä jouluna monen kuusenalusta täyttää älykäs sähköhammasharja, johon liittyvällä applikaatiolla voi varmistaa, miten hyvin hampaat tulikaan harjattua tai vaikkapa kätevästi tilastoida puolison hampaidenharjaustiheys. Vähäisiä älyvaatimuksia täyttävien laitteiden saattamiseksi nopeasti tuotantoon myös kopioidaan vuosia vanhaa koodia, joka saattaa olla helposti hakkeroitavissa.

Ostopäätös on vaikutusvaltaa

Kuluttajien pitäisi kuitenkin haluta turvallisia laitteita. Uhkat yksittäiselle kuluttajalle ovat suoria ja epäsuoria. Oman laitteen joutuminen botnet-orjaksi on epäsuora uhka. Vaikka laite on hakkeroitu, todellinen hyökkäys kohdistuu jonnekin muualle. Tämä aiheuttaa vaihtelevaa epämukavuutta, kun laite soluttautuneen agentin tavoin yhtäkkiä aktivoituu palvelemaan sen todellista johtajaa, eikä noudata tarkoitetusti käyttäjän omia käskyjä. Usein laitteen aktivoitumista ei kuitenkaan edes huomaa. DDos-hyökkäykset voivat toki myös kohdistua kuluttajalle merkittäviin palveluihin. Oman laitteen joutumista botnetin osaksi on kenties pidetty epätodennäköisenä, eivätkä kuluttajat ole heränneet ymmärtämään, että kyseessä voi turvaamattoman tuotteen kohdalla olla jopa vääjäämättömyys.

Lokakuun Dyn DDoS-hyökkäyksen takana oli Mirai-viruksen muodostama botnet. Mirain koodi julkaistiin verkossa aiemmin syksyllä, ja sen pohjalta on siten odotettavissa uusia variaatioita. Vain viikkoja myöhemmin havaittiin toinen Miraita hienostuneempi virus. Linux/IRCTelnetinä tunnettu sovellus oli ehtinyt vallata yli 3500 verkkolaitetta, vain viisi päivää sen havaitsemisesta ensimmäisen kerran. Molemmat hyödyntävät tunnettuja tehdasasetuksina käytettyjä käyttäjänimen ja salasanan yhdistelmiä. Ne siis valtaavat laitteita, joiden tehdasasetuksia tunnuksille ei ole vaihdettu.

Haittaohjelmilta suojautuminen ei kuitenkaan aina ole yksinkertaista. Tämän osoitti eeppisessä Twitter-saagassa verkkoturvallisuusfirman päällikkö Rob Errata, joka kokeilumielessä tilasi verkkoon kytkettävän valvontakameran. Alustavista turvatoimista huolimatta laite kaapattiin vain 98 sekuntia sen verkkoon päästämisen jälkeen:

1/x: So I bought a surveillance camera pic.twitter.com/HbmPzrZgFK

— Rob Graham, Elf🎅 (@ErrataRob) November 18, 2016

Elämä käsissä

Suorempaa uhkaa kuluttajalle edustaa laitteen hallinta tietojen urkkimiseksi tai sen kaappaamiseksi lunnaita vastaan. Kuka haluaisi kotinsa turvakameroiden tai lämmitysjärjestelmän olevan vieraan hallinnassa, autosta, insuliinipumpusta tai sydämentahdistimesta puhumattakaan? Ja kukapa ei maksaisi niiden saamisesta takaisin omaan valtaansa. Vaikka kiristysohjelmat (ransomware) ovat yhä paremmin tunnustettu ongelma, tästä huolimatta IoT-älytuotteiden turvaus on surkealla tasolla. Erityisen riskialttiiksi on arvioitu juuri verkkoon kytketyt valvontakamerat, joiden kommunikointi valmistajan palvelimien kanssa on joissain tapauksissa täysin suojaamatonta.

Philips, joka nopeudellaan dominoi varhaisia älylamppumarkkinoita, on viimeisin esimerkki tietoturvan painajaisskenaarioista. Eräässä kokeessa testaajat saivat kaapattua kokonaisen kiinteistön valojärjestelmän haltuunsa. Hyökkäys toteutettiin etänä lennokista yli 300 metrin päässä kohteesta. Testaajat paitsi hallitsivat valojärjestelmää, myös pystyivät asentamaan siihen uuden laiteohjelmiston (firmware), joka käytännössä estää omistajan yritykset hallita valoja. Sama on mahdollista myös edellä mainittujen turvakameroiden kanssa, jotka oli ohjelmoitu lataamaan tehdaspäivityksiä suojaamattomassa yhteydessä ilman erityisiä varmisteita päivitysten oikeellisuudesta.

Älytelevisiosi on valtion vihollinen

Yhä useampien elämän osa-alueiden siirtyessä verkkoon kunnollisen suojauksen toteutuminen voi olla keskeinen osa koko yhteiskunnan resilienssiä. On mahdotonta arvioida, kuinka suuria taloudellisia tai inhimillisiä kustannuksia IoT-laitteiden valtaamisella voi lopulta olla. Varmaa on, että jos turvallisuusnäkökulmaa ei oteta vakavasti, laaja hyökkäyskapasiteetti tulee olemaan yhä helpommin saatavilla kenen tahansa käytettäväksi.

Sähköisen äänestämisen ongelmat ovat ajankohtainen osoitus IoT:n turvallisuusnäkökulmien tärkeydestä ja toistaalta älylaitteita tuottavien yritysten härskiydestä. Tietoturva-asiantuntija Harri Hursti paljasti koneiden turvallisuudessa vakavia puutteita hakkeroimalla äänestyskoneen julkisesti yli kymmenen vuotta sitten. Hän ja työryhmä olettivat, että kun puutteet saatettiin valmistajan tietoon, niihin myös reagoitaisiin. Marraskuisessa Reddit AMA:ssa Hurstilla oli huonoja uutisia. Samoja haavoittuvuuksia ei ole edelleenkään korjattu tai otettu huomioon laitteiden kehityksessä.

Seuraavina vuosina verkkoon liittyy kymmeniä miljardeja laitteita, jotka ovat hakkeroitavissa. On epätodennäköistä, että tuotteiden turvaus paranee itsestään, jos kuluttajat eivät vaadi turvattuja tuotteita, valtiot aseta vaatimuksia tuotteiden verkkoturvallisuudelle tai hyökkäyksen kohteeksi joutuneet yritykset vaadi rahallisia korvauksia haavoittuvien tuotteiden valmistajilta. Ainut tapa turvautua verkkohyökkäyksiltä saattaa olla pitää tärkeimmät asiat poissa verkosta. Minkä yleensä tulee olla älykästä, ja mikä voi olla tyhmää?

Verkkoturvallisuudessa, kuten sodassa, ongelma ei ole pommeissa, aseissa tai virheellisessä koodissa. Perimmäinen ongelma, mutta myös sen ratkaisu on ihmisissä.