Olipas oikein mielenkiintoinen ja helposti katsottavaksi tehty sarja! Katsoin kaikki jaksot yhdeltä istumalta. Taas kerran mietin, miksi en ole opiskellut koodaamista ja "tietokoneita" yliopistolla silloin, kun siihen oli mahdollisuus..
Kuinka ja millaisilla virityksillä olette omat älykotinne suojanneet?
Tuleeko mieleen mitään hyvää lähdettä, josta saisi tietoturvan perusteita opiskeltua tiivistetysti ja käytännönläheisesti?
Mä kanssa katsoin kaikki kerralla, olikohan 6 jaksoa. Mulla oli jossain vaiheessa oma wifi parille pistorasialle, mutta se ei turvallisuutta sinänsä tuo. Nopeimmat helpot keinot on erillinen palomuuri, kätkeä wifi näkyvistä, riittävän pitkä salasana ja pitää laitteet ajantasalla. Ja ettei kytke suoraan julkiseen internetiin laitteita jotka ei siihen normaalisti ole tarkoitettu.
ja jos laitteet tukee niin oma vlan, mutta se on vaatii osaamista ja käsittääkseni kuluttajille suunnatut perustuotteet ei sitä tue. Mikään ei tuo itsessään autuutta mutta ainakin kiusaa hyökkääjää hetken pidempään. Paras on kytkeä mahd. Vähän laitteita ja hyväksyä riskit, esim että kameralla joku voikin kuvata sinua eikä toisinpäin.
Muita mitä suosittelen, on virustorjunta koneisiin, koneiden levyjen salaus erilisellä ohjelmalla ja ennenkaikkea säännölliset varmuuskopiot tärkeistä asiosta, kuten kuvista. Ja nyt meni jo liikaa ohi aiheen että lopetan tän romaanin
Jos englanti sujuu, tästä löydät melko kattavan yleisesityksen verkon turvaamisesta. https://www.tutorialspoint.com/network_security/index.htm
Siinä on runsaasti asiaa myös sellaisista asioista jotka eivät liity suoraan älykotiin vaan verkkolaitteisiin ja -palveluihin yleisesti. Mutta koska älykodit ovat käytännössä kasa verkotettuja laitteita, aivan samat perusperiaatteet ja tekniikat niitäkin koskevat. Yleisesittelyissä ei käydä läpi älykodeissa käytettyjä lyhyen kantaman verkkotekniikoita kuten Zigbee tai Z-wave - niiden turvallisuudesta löytyy kyllä googlella lisää materiaalia.
Jos pysytään yleisellä tasolla, jonkinlaisessa tärkeysjärjestyksessä voisi asiaa haarukoida näin:
1. Päivitä laitteesi ja ohjelmistosi 1b. PÄIVITÄ LAITTEESI JA OHJELMISTOSI!!! 1c. ihan oikeasti, päivitä kaikki laitteesi ja kaikki ohjelmistosi aina kun päivityksiä on saatavilla. Tämä on tärkein yksittäinen asia - jos laiminlyöt sen, juuri millään muulla ei ole mitään merkitystä.
Jos valmistaja ei enää tarjoa ohjelmistopäivityksiä, heitä laite pois (tai korvaa sen firmware jollain päivittyvällä avoimen koodin vastineella - esim wifi-reitittimissä OpenWRT:llä)
2. Vaihda oletussalasanat. Jos laitteesi salasana on se minkä valmistaja on laitteeseen tehtaalla laittanut, kuka tahansa löytää sen netistä -> laitteesi on murrettu.
3. Älä käytä samaa salasanaa monessa paikassa. Kun yksi murtuu, hyökkääjä kokeilee samaa salasanaa muihinkin paikkoihin. Erityisen hölmöä on käyttää vaikkapa gmail-tunnuksessa heikkoa salasanaa ja viljellä sitä muissakin palveluissa. Kun hyökkääjä saa salasanasi, hän resetoi loputkin pyytämällä sähköpostiin uudet passut "unohtuneen" tilalle.
Kun nuo perusasiat ovat kunnossa, voit pohtia näitä (hieman satunnaisessa järjestyksessä):
* Älä pidä laitteissasi päällä palveluita joita et tarvitse. Esim: älä pidä tulostimen wifi:ä päällä jos kytket tulostimesi USB:llä tai verkkopiuhalla. Älä myöskään pidä ohjelmistoissasi päällä ominaisuuksia joita et tarvitse. Jokainen palvelu on potentiaalinen hyökkäysreitti.
* Älä ylläpidä avoimia WLAN (wifi) -verkkoja. Suojaa ne kaikki hyvillä salasanoilla, WPA2-salauksella (WEP ei suojaa keneltäkään)
* Kytke kaikista laitteista ja ohjelmistoista pois päältä kaikki kivat palvelut joiden avulla voit käyttää laitettasi netistä/netissä. Ne on 99% todennäköisyydellä toteutettu tavalla joka ei ole turvallinen. Jos välttämättä haluat katsella kännykälläsi vaikkapa sähköisen ovisilmäsi kuvaa, huomioi että samaa kuvaa saattaa katsella kuka tahansa muukin joka viitsii laitteeseesi murtautua. Jos kiinalainen nyrkkipaja valmistaa laitteen 30 eurolla ja haluaa myydä sinulle uuden mallin parin vuoden päästä, tuo paja panostaa tuotteensa tietoturvaan 0 euroa, ja julkaisee siihen 0 tietoturvapäivitystä.
Hyökkääjä etsii verkostasi ensimmäisen heikon kohdan, ja jos oletussalasana ei selviä, tai päivittämättömästä, internitiin näkyvästä laitteesta ei löydy heikkoutta, seuraava askel on päästä mistä tahansa muusta nurkasta sisäverkkoon. Sisäverkossa voi sitten mellastaa vapaasti ilman että palomuuri tai edes wifi-purnukka estää. Siksi pääsy ulkoverkosta (WAN) sisäverkkoon (LAN) pitää estää - muuten peli on menetetty.
Verkkojen suojauksen peruskuviot em. asioiden jälkeen taitavat mennä hieman peruskuluttajan kiinnostuksen ohi, mutta tässä muutama yrityspuolella käytössä oleva juttu esimerkiksi, toteutettavissa kuluttajan saatavilla olevilla vehkeillä:
-kunnollinen palomuuri. Perus-Wifi-reititin tai -ADSL-purnukka ei ole palomuuri - se on NAT-purkki. Se suojaa suurinpiirtein yhtä hyvin kuin oven piilottaminen ohikulkijoilta. Ovi siis voi olla kuinka hapero tahansa, mutta suojaus perustuu siihen että ovi on ohikulkijoilta 'piilossa'. Wifi-purkin "edessä" tai tilalla tulisi olla kunnollinen palomuuri. Ilmaisista esim https://www.pfsense.org toimii aivan hyvin vaikkapa 10 vuotta vanhassa ylijääneessä pikku-PC:ssä - kunhan siihen laittaa Intelin verkkokortin jossa on 2 porttia (toinen WAN-portiksi eli internetiin kiinni, toinen LAN-portiksi, ja siihen sitten wifi-purnukka sillattuna eli bridged-tilassa).
Pfsenseen saa lisäpalikoida ihan kelvollisia IPS/IDS-tunkeutumisenesto-kilkkeitä ilmaiseksi.
-parasta olisi laittaa automaatio-härpäkkeet omaan VLANiin, eli erilliseen lähiverkkosegmenttiin, ja kaikki vähemmän tärkeät viihdelaitteet tai muuten mahdollisesti tietoturvattomat härpäkkeet omaansa. Tämä vaatii nk. hallittavan kytkimen, joka maksaa muutaman satasen. Jos ajatus on kytkeä eri tietoturvatason laitteita wifillä, eri VLANien hyödyntäminen vaatii kaksi erillistä wifi-purnukkaa (toinen suoraan muuriin kiinni, toinen kytkimen perään, esim), tai sitten vaativampaa virittelyä vaikkapa niin että OpenWRTtä pyörittävä wifi-reititin kytketään hallittavaan kytkimeen trunk-kaapelilla ja trunkataan siihen kaksi eri VLANia, kumpikin omaan wifi-verkkoon samassa purkissa. Tämä toki vaatii kaksi eri WLAN-korttia wifi-reitittimeltä, ja ymmärrystä VLANien trunkkaamisesta (tarkoittaa kahden eri lähiverkon 'putkittamista' samassa kaapelissa).
Tässä eri VLANien ratkaisussa VLANien välillä liikennöinti estetään muurilla - tai sallitaan vain haluttu liikenne. Oletuksena muuri toteuttaa inter-VLAN-reitityksen (eli mahdollistaa VLANien välisen juttelun jos muuri ei estä). Näin vaikkapa vähemmän tärkeiden laitteiden verkossa oleva ikivanha härpäke voi rauhassa tulla murretuksi, mutta siitä ei pääse hyppäämään automaatiolaitteiden verkkoon, koska kyseessä on kaksi erillistä verkkoa (ts. virtuaaliverkkoa eli VLANia).
Jos joku kiinnostui näistä jälkimmäisistä, voin laittaa lisäspeksejä pfsensen, openwrt:n ja erillisten VLANien hyödyntämisestä verkon segmentoinnissa.
Viestejä yhteensä
Kuinka ja millaisilla virityksillä olette omat älykotinne suojanneet?
Tuleeko mieleen mitään hyvää lähdettä, josta saisi tietoturvan perusteita opiskeltua tiivistetysti ja käytännönläheisesti?
nimim. jotain tarttis tehdä
ja jos laitteet tukee niin oma vlan, mutta se on vaatii osaamista ja käsittääkseni kuluttajille suunnatut perustuotteet ei sitä tue.
Mikään ei tuo itsessään autuutta mutta ainakin kiusaa hyökkääjää hetken pidempään. Paras on kytkeä mahd. Vähän laitteita ja hyväksyä riskit, esim että kameralla joku voikin kuvata sinua eikä toisinpäin.
Muita mitä suosittelen, on virustorjunta koneisiin, koneiden levyjen salaus erilisellä ohjelmalla ja ennenkaikkea säännölliset varmuuskopiot tärkeistä asiosta, kuten kuvista. Ja nyt meni jo liikaa ohi aiheen että lopetan tän romaanin
https://www.tutorialspoint.com/network_security/index.htm
Siinä on runsaasti asiaa myös sellaisista asioista jotka eivät liity suoraan älykotiin vaan verkkolaitteisiin ja -palveluihin yleisesti.
Mutta koska älykodit ovat käytännössä kasa verkotettuja laitteita, aivan samat perusperiaatteet ja tekniikat niitäkin koskevat.
Yleisesittelyissä ei käydä läpi älykodeissa käytettyjä lyhyen kantaman verkkotekniikoita kuten Zigbee tai Z-wave - niiden turvallisuudesta löytyy kyllä googlella lisää materiaalia.
Jos pysytään yleisellä tasolla, jonkinlaisessa tärkeysjärjestyksessä voisi asiaa haarukoida näin:
1. Päivitä laitteesi ja ohjelmistosi
1b. PÄIVITÄ LAITTEESI JA OHJELMISTOSI!!!
1c. ihan oikeasti, päivitä kaikki laitteesi ja kaikki ohjelmistosi aina kun päivityksiä on saatavilla. Tämä on tärkein yksittäinen asia - jos laiminlyöt sen, juuri millään muulla ei ole mitään merkitystä.
Jos valmistaja ei enää tarjoa ohjelmistopäivityksiä, heitä laite pois (tai korvaa sen firmware jollain päivittyvällä avoimen koodin vastineella - esim wifi-reitittimissä OpenWRT:llä)
2. Vaihda oletussalasanat.
Jos laitteesi salasana on se minkä valmistaja on laitteeseen tehtaalla laittanut, kuka tahansa löytää sen netistä -> laitteesi on murrettu.
3. Älä käytä samaa salasanaa monessa paikassa.
Kun yksi murtuu, hyökkääjä kokeilee samaa salasanaa muihinkin paikkoihin. Erityisen hölmöä on käyttää vaikkapa gmail-tunnuksessa heikkoa salasanaa ja viljellä sitä muissakin palveluissa. Kun hyökkääjä saa salasanasi, hän resetoi loputkin pyytämällä sähköpostiin uudet passut "unohtuneen" tilalle.
Kun nuo perusasiat ovat kunnossa, voit pohtia näitä (hieman satunnaisessa järjestyksessä):
* Älä pidä laitteissasi päällä palveluita joita et tarvitse. Esim: älä pidä tulostimen wifi:ä päällä jos kytket tulostimesi USB:llä tai verkkopiuhalla.
Älä myöskään pidä ohjelmistoissasi päällä ominaisuuksia joita et tarvitse. Jokainen palvelu on potentiaalinen hyökkäysreitti.
* Älä ylläpidä avoimia WLAN (wifi) -verkkoja. Suojaa ne kaikki hyvillä salasanoilla, WPA2-salauksella (WEP ei suojaa keneltäkään)
* Kytke kaikista laitteista ja ohjelmistoista pois päältä kaikki kivat palvelut joiden avulla voit käyttää laitettasi netistä/netissä. Ne on 99% todennäköisyydellä toteutettu tavalla joka ei ole turvallinen.
Jos välttämättä haluat katsella kännykälläsi vaikkapa sähköisen ovisilmäsi kuvaa, huomioi että samaa kuvaa saattaa katsella kuka tahansa muukin joka viitsii laitteeseesi murtautua. Jos kiinalainen nyrkkipaja valmistaa laitteen 30 eurolla ja haluaa myydä sinulle uuden mallin parin vuoden päästä, tuo paja panostaa tuotteensa tietoturvaan 0 euroa, ja julkaisee siihen 0 tietoturvapäivitystä.
Hyökkääjä etsii verkostasi ensimmäisen heikon kohdan, ja jos oletussalasana ei selviä, tai päivittämättömästä, internitiin näkyvästä laitteesta ei löydy heikkoutta, seuraava askel on päästä mistä tahansa muusta nurkasta sisäverkkoon. Sisäverkossa voi sitten mellastaa vapaasti ilman että palomuuri tai edes wifi-purnukka estää.
Siksi pääsy ulkoverkosta (WAN) sisäverkkoon (LAN) pitää estää - muuten peli on menetetty.
Verkkojen suojauksen peruskuviot em. asioiden jälkeen taitavat mennä hieman peruskuluttajan kiinnostuksen ohi, mutta tässä muutama yrityspuolella käytössä oleva juttu esimerkiksi, toteutettavissa kuluttajan saatavilla olevilla vehkeillä:
-kunnollinen palomuuri. Perus-Wifi-reititin tai -ADSL-purnukka ei ole palomuuri - se on NAT-purkki. Se suojaa suurinpiirtein yhtä hyvin kuin oven piilottaminen ohikulkijoilta. Ovi siis voi olla kuinka hapero tahansa, mutta suojaus perustuu siihen että ovi on ohikulkijoilta 'piilossa'. Wifi-purkin "edessä" tai tilalla tulisi olla kunnollinen palomuuri. Ilmaisista esim
https://www.pfsense.org
toimii aivan hyvin vaikkapa 10 vuotta vanhassa ylijääneessä pikku-PC:ssä - kunhan siihen laittaa Intelin verkkokortin jossa on 2 porttia (toinen WAN-portiksi eli internetiin kiinni, toinen LAN-portiksi, ja siihen sitten wifi-purnukka sillattuna eli bridged-tilassa).
Pfsenseen saa lisäpalikoida ihan kelvollisia IPS/IDS-tunkeutumisenesto-kilkkeitä ilmaiseksi.
-parasta olisi laittaa automaatio-härpäkkeet omaan VLANiin, eli erilliseen lähiverkkosegmenttiin, ja kaikki vähemmän tärkeät viihdelaitteet tai muuten mahdollisesti tietoturvattomat härpäkkeet omaansa. Tämä vaatii nk. hallittavan kytkimen, joka maksaa muutaman satasen.
Jos ajatus on kytkeä eri tietoturvatason laitteita wifillä, eri VLANien hyödyntäminen vaatii kaksi erillistä wifi-purnukkaa (toinen suoraan muuriin kiinni, toinen kytkimen perään, esim), tai sitten vaativampaa virittelyä vaikkapa niin että OpenWRTtä pyörittävä wifi-reititin kytketään hallittavaan kytkimeen trunk-kaapelilla ja trunkataan siihen kaksi eri VLANia, kumpikin omaan wifi-verkkoon samassa purkissa. Tämä toki vaatii kaksi eri WLAN-korttia wifi-reitittimeltä, ja ymmärrystä VLANien trunkkaamisesta (tarkoittaa kahden eri lähiverkon 'putkittamista' samassa kaapelissa).
Tässä eri VLANien ratkaisussa VLANien välillä liikennöinti estetään muurilla - tai sallitaan vain haluttu liikenne. Oletuksena muuri toteuttaa inter-VLAN-reitityksen (eli mahdollistaa VLANien välisen juttelun jos muuri ei estä).
Näin vaikkapa vähemmän tärkeiden laitteiden verkossa oleva ikivanha härpäke voi rauhassa tulla murretuksi, mutta siitä ei pääse hyppäämään automaatiolaitteiden verkkoon, koska kyseessä on kaksi erillistä verkkoa (ts. virtuaaliverkkoa eli VLANia).
Jos joku kiinnostui näistä jälkimmäisistä, voin laittaa lisäspeksejä pfsensen, openwrt:n ja erillisten VLANien hyödyntämisestä verkon segmentoinnissa.