Nutikodu ja asjade interneti turvalisus

Nutitelefonist kontrollitavad termostaadid, nutikõlarid, video-uksekellad…nimekiri võimalikest nutikodu seadmetest pikeneb näiliselt iga päev. Iga järgnev seade teeb elu mugavamaks, kuid lisab su koju ühe potentsiaalse ründevektori. Turvalahendusi tootev firma Kaspersky tuvastas ainuüksi 2019. aasta esimeses pooles enam, kui 100 miljonit rünnakut asjade interneti seadmete vastu. 

See ei tähenda, et nutikodu seadmete kasutamisest loobuma peaks – neid kasutades ja üles seades tuleb lihtsalt jälgida turvalisuse põhimõtteid. 

Asjade internet on tegelikult laiem mõiste, kui nutikodu. Asjade internet hõlmab endas kõiki internetti ühendatud seadmeid nagu valgusfoorid ja tänavavalgustus. Antud artikkel keskendub kodukasutajale, mistõttu mõtlen asjade interneti all reeglina seadmeid, mida kasutatakse kodus või kontoris. 

Miks rünnatakse nutiseadmeid?

Häkkerid ei pruugi rünnata nutikaid seadmeid tingimata kuritegeliku kasu saamise eesmärgil – tihti tehakse seda lihtsalt meelelahutuseks. See on muidugi väike lohutus – kindlasti ei soovi sa, et keegi kolmas isik su beebimonitori pilti näeks – või veel hullem, selle kaudu temaga suhelda saaks. Teadaolevalt on rünnatud uksekellasid, veebikaameraid, nutikõlare, nutitelere, nutikaid lambipirne ning paljusi teisi seadmeid. 

Pahatahtlikum põhjus rünnata nutikodu seadmeid on nende DDOS rünnakuteks kasutamine. Pikemalt olen DDOS rünnakutest kirjutanud siin. Oluline on teada, et iga internetti ühenduv seade saab saata päringuid, mida häkkerid kuritegelikult ära kasutada saavad. Haavatavat nutikat lambipirni võidakse kasutada Eesti või mõne teise välisriigi infrasüsteemi ülekoormamiseks. Enamiku nutikodu seadmete vastu suunatud rünnakutest langevad just sinna kategooriasse. Nimelt ei vii selliseid rünnakuid enamasti läbi mitte inimesed käsitsi vaid ussviirused, mis otsivad internetist haavatavaid seadmeid ning ründavad neid automaatselt. Tuntuim asjade internetti ründav uus-viirus on “Mira”, millest kirjutan pikemalt allpool. Ussviirustest üldiselt olen kirjutanud pikemalt artiklis “Mis on arvutiviirused ja kuidas nad toimivad”.

Samuti võivad kurjategijad kasutada nutikodu seadmeid su jälgimiseks. Näiteks on võimalik koduse IP kaamera järgi tuvastada kas keegi on kodus. Samuti on võimalik pealt kuulata su vestlusi ning salvestatud materjali väljapressimiseks kasutada. 

Haavatav nutikodu seade võib olla ukseks sinu kodusesse võrku. Olles ligi saanud haavatavale seadmele võib häkker sealt edasi liikuda arvutite või nutitelefonideni. Samuti annab see võimaluse pealt kuulata krüpteerimata veebiliiklust, mis võib kurjategijale anda su paroolid või konfidentsiaalse informatsiooni. 

Kõiki eelmainitud ohud on ennetatavad, kuid see eeldab teadlikku ning süsteemset lähenemist nutikodu turvamisele. 

Tee iga uue seadme kohta taustauuring

Nutikodu seadmete valimisel tuleks turvalisuse kaalutlustel eelistada tuntud tootjaid. Väike Hiina tootja ei vastuta reeglina oma seadme turvalisuse eest – vastupidi, sinna võib tagauks või pahavara juba sisse ehitatud olla. Tegemist pole paranoia ega alusetu paanika külvamisega – Hiinas toodetud odavatest nutikodu seadmetest on korduvalt tagauksi leitud.

Samuti on võimalik, et tootja pole seadme turvalisusele rõhku pööranud. Näiteks võib seadmel võib olla vananenud, tuntud haavatavustega tarkvara. Samuti võib ligipääs seadmele vaikimisi avatud olla, mis võimaldab sellele interneti kaudu ligi pääseda. Tuntumatel tootjatel on ressursse oma seadmetele turvauuenduste väljastamiseks, lisaks on neile tarkvarauuenduste installeerimine enamasti lihtne. Vähemtuntud tootjad ei pruugi üldse seadmetele tarkvarauuendusi teha. 

Enne seadme ostu vaata kindlasti tootja kodulehte. Kui sellel kodulehte pole või see pole saadaval keeles, mida mõistad, tuleks see ostmata jätta. Kodulehel peaks olema informatsioon saadaolevate tarkvarauuenduste kohta. 

Lisaks tasub googeldada seadme ning selle tootja nime. Kui seadmetel on teadaolevaid haavatavusi tulevad need otsingus välja.

Vältima peaks seadmeid, mis pakuvad Peer-to-peer (P2P) andmevahetust. Enamik peer-to-peer andmevahetuse protokolle on oma olemuselt haavatavad. Miljonid Hiinas toodetud kaamerad kasutavad iLinkP2p protokolli, mis on haavatav isegi tulemüüri taga. Pikemalt saad iLinkP2p haavatavusest lugeda maailma ühest juhtivast turvablogist Kerb on Security. Ühtegi seda protokolli kasutavat seadet ei tohiks osta – isegi, kui need konkurentidest märgatavalt odavamad on. Tihti ei pruugi toote leht veebipoes või isegi tootja koduleht otseselt öelda, et seade kasutab P2P andmevahetust. Seetõttu tasub iga seadme kohta uurida rohkem, kui ainult tootekirjeldust poes. 

Eelista nutikodu seadmeid, mis ei ühendu otse internetti

Mitte iga nutikas seade ei pea ühenduma otse internetti. Paljud neist kasutavad spetsiaalseid nutiseadmete kommunikatsiooniprotokolle nagu ZigBee ja Z-wave. ZigBee ja Z-wave on juhtmeta andmeside protokollid nagu WiFi, mis on mõeldud just asjade interneti jaoks. Neid protokolle kasutavad seadmed ei ühendu otse internetti, vaid nutikodu keskusesse nagu Samsung Smartthings, Philips Hue või Amazon Echo (PS! ainult uuematel Amazon Echo’del on sisseehitatud nutikodu keskus). 

ZigBee või Z-wave tehnoloogiat kasutavad seadmeid ei ühendu otse internetti. Ainuke internetti ühendatud seade nende puhul on nutikodu keskus. Mida vähem on su nutikodus otse internetti ühendatud seadmeid seda vähem on potentsiaalseid rünnakukohti! Samuti ei pea siis pidevalt kontrollima iga seadme tarkvara versiooni – oluline on ainult, et nutikodu keskus oleks pidevalt uuendatud.

ZigBee eelistamiseks WiFile on ka praktilised põhjused. See levib märgatavalt kaugemale (kuni 300 meetrit) ning ühe keskusega saab ühendada kuni 65000 seadet. Seadete arv, mille saab ühendada kodukasutuseks mõeldud WiFi ruuteriga, on märgatavalt kesisem. 

Lisaks on kõik nutikodu keskusega ühendatud seadmed kontrollitavad ühest nutitelefoni rakendusest. See on mugav ning turvaline. On ebatõenäoline, et tuntud ettevõtete, nagu Philips ja Samsung, rakendused pahavara sisaldaks. Seda ei saa paraku öelda tundmatute tootjate kohta, kelle seadme kontrollimiseks on vaja spetsiaalset nutirakendus. Soovitatav on vältida seadmeid, mille kasutamiseks pead alla laadima uue rakenduse. 

Kui lased siiski alla seadme kontrollimiseks mõeldud rakenduse, ära anna sellele ebavajalike õigusi. Näiteks nutipirnil pole mingit vajadust ligi pääseda su telefonis olevatele fotodele, SMSidele või mikrofonile. Tänapäeval saab nii Android kui iOS nutitelefonides iga rakenduse õigusi piirata. Ohtlikest nutitelefoni õigustest saad pikemalt lugeda artiklist “Sinu andmete turvalisus nutitelefonis”.

Mira ussviirus

Mira ussviiruse teeb ohtlikuks selle lai levik. Kuna selle lähtekood on avalik, liigub sellest palju erinevaid tüvesid. Iga Mira viiruse alamliik üritab end levitada skanneerides IP aadresse ja otsides sealt haavatavaid seadmeid. Seetõttu piisab nakatumiseks ainult seadme internetti ühendamisest. Pole välistatud, et üks seade võib nakatuda mitme Mira viirusega korraga!

Mira kasutab ära nii haavatavusi nutikodu seadmete tarkvaras kui vaikimisi paroole. Muuhulgas ei ründa ainult tundmatute tootjate seadmeid. Näiteks avastati aastal 2017 versioon Mira ussviirusest, mis ründas Huawei ruutereid senitundmata turvaauku kasutades. 

Uusi versioone Mira ussviirusest on oodata ka 2020. aastal. Tegemist on pidevalt areneva ohuga, mille eest saab kaitset pakkuda ainult teadlik seadmete valik, tarkvara õigeaegne uuendamine ning tugevad paroolid. 

Veendu, et nutikodu seadmetel on alati uusim tarkvara

Enne, kui uue seadme kasutusele võtad, uuri tootja kodulehelt kas sellel on uusim tarkvara. See pole tihti kahjuks väga lihtne – nutikodu seadmete uuendamine ei pruugi toimida sama automaatselt nagu su telefoni või arvuti operatsioonisüsteemil. 

Riistvara kontrollivat tarkvara nimetatakse inglise keelest “firmware” ning selle versiooninumber on tihti pikk jada numbreid. Oma tarkvara versiooni näed enamasti seadme kontrollpaneelist. 

Kuidas pääseda ligi seadme kontrollpaneelile on reeglina kirjas manuaalis. Paremate seadmete tarkvara saab uuendada otse kontrollpaneelist. 

Mida teha, kui tarkvarauuenduse võimalust kontrollpaneelis pole? Sellisel juhul tuleks sealt leida seadme tarkvara (“firmware”) versioon ning kontrollida tootja kodulehelt, kas sellele on uuendusi saadaval. Tarkvarauuenduse installeerimise juhendi leiad samuti tootja kodulehelt. Tõenäoline on, et selleks tuleb kasutada spetsiaalset tarkvara. Kui tootja kodulehel pole informatsiooni seadme tarkvara või selle versiooni kohta tuleks see ostmata jätta. 

Tarkvarauuendusi tohib alla laadida ainult tootja ametlikult kodulehelt. Vastasel juhul võid õngitsuse otsa sattuda ning oma seadme uuenduse asemel ise pahavaraga nakatada. Tootja ei saa vastutada kolmanda osapoole serveris majutatud tarkvara eest. 

Peale tarkvarauuenduste installeerimist tuleb vahetada kõik vaikimisi paroolid. Vaikimisi paroolide muutmata jätmine on kõige levinum turvaviga internetinseadmete kasutamisel. Vaikimisi parooli kasutamine on sama hea, kui jätta seade kõigile avalikult ligipääsetavaks. Võid kindel olla, et ühel hetkel leiab selle Mira või mõni teine internetis ringi kolav ussviirus. Kindlast vali turvaline parool!

Kui seade end ise automaatselt ei uuenda (enamik seda ei tee!) tuleb perioodiliselt kontrollida, ega sellele tarkvarauuendusi saadaval pole. Soovitatavalt tee seda vähemalt korra kuus. Hea mõte on panna omale kalendrisse igakuine meeldetuletus, et kindlal kuupäeval kõigi seadmete tarkvara versioone kontrollida.

Peale tarkvarauuendust veendu, et kontrollpaneeli paroolid pole tagasi vaikimisi väärtusteks muutunud! Seda kontrolli kindlasti ka siis, kui elekter peaks kaduma või seade muul põhjusel taaskäivituma.

Kui seadmel pole kontrollpaneeli leiab tarkvaraversiooni manuaalist või toote karbilt. Tootja kodulehel peaks sellest hoolimata olema juhend firmware uuendamiseks. 

Hoia nutikodu seadmed eraldi Wifi võrgus

Nutikodu seadmete eraldi WiFi võrgus hoidmine garanteerib, et haavatav seade ei ava su arvutit/tutitelefoni häkkerile. Samuti ei ole nii võimalik pealt kuulata su internetiliiklust. Nutikodu seadmetele mõeldud WiFi võrku ei tohiks kasutada tavapäraseks internetis surfamiseks. 

Juhised mitme WiFi võrgu üles seadmiseks saad oma internetiteenuse pakkujalt. Neilt saad soovi korral selle jaoks ka tehniku ning vajalikud lisaseadmed tellida. Enamik tänapäevaseid WiFi ruutereid võimaldab luua mitu võrku ilma, et peaksid selleks lisaseadmeid kasutama. 

PS! Ka ainult nutikodu seadmete jaoks mõeldud WiFi võrk peab olema turvatud. WiFi võrgu turvalisusest olen pikemalt kirjutanud artiklis “WiFi võrgu turvamine”.

Tühjeneda seade enne müümist

Kui otsustad mõne oma nutikodu seadme maha müüa, taasta enne selle tehase seaded. Vastasel juhul võib sinna jääda isikliku informatsiooni, näiteks su WiFi võrgu parool. Seadme ostja ei pruugi olla pahatahtlik, kuid tema võrk võib olla nakatunud viirusega, mis üleskorjatud andmeid ära kasutada oskab. Taasta tehaseseaded ka siis, kui arvad, et seadmes pole mingit isikliku informatsiooni.

Nutikõlaritega seotud müüdid ja soovitused

Erinevalt tavapärasest kõlarist on nutikõlaris ka mikrofon, millega saab sellele anda häälkäsklusi. Nutikõlar saadab saadud käsu tootja pilve, mis tuvastab käsu sisu ning aktiveerib kõlari või seotud seadme funktsiooni. Nii saab häälkäsklusega vahetada lugu, kontrollida palju on väljas sooja ja kontrollida nutikodu seadmeid. Nutikõlarid on näiteks Amazon Echo ja Google Home/Google Nest. 

Internetist võib lugeda põhjendamatuid hirmulugusid, et nutikõlar kuulab pealt kõike kodus toimuvat ning saadab selle tootjale. Päris nii see pole. Kõlarid, täpselt nagu Siri või Google Now su telefonis, kuulavad pidevalt ainult aktiveerimis-sõna. Amazon Echo’l vaikimisi aktiveerimissõna on “Alexa”. Google Home kasutab sarnaselt Google Now nutitelefoni rakendusega terminit “Hey Google”. 

Öeldes kogemata aktiveerimissõna võib nutikõlar hakata salvestama hetkel, kui seda ei soovi. See võib juhtuda ka siis, kui nutikõlar arvab ekslikult, et oled ta aktiveerinud. Selle vältimiseks saab kõlari mikrofoni alati kinni keerata. Samuti võimaldavad nii Google kui ka Amazon vaadata logi kõigist lausetest, mis on kõlari poolt serverisse saadetud. Ameerikas on kogemata aktiveeritud nutikõlari poolt salvestatud klippe kasutatud tõestusmaterjalina kohtus. 

Nutikõlarid pole oma olemuselt suuremad privaatsus- ega turvariskid kui nutitelefonid. Siiski on laboritingimustes suudetud nutikõlareid rünnata ning muuta need pealtkuulamisseadmeteks. Sellest ei tasu paanikasse sattuda – demonstreeritud rünnakud ei ole olnud praktikas kasutatavad – näiteks kasutas üks kontseptsioon laserit, mis eeldab takistusteta vaatevälja kõlarini. 

Kokkuvõte

Asjade internet muudab kodu nutikamaks, kuid vajab seejuures turvamist. Õnneks pole nutikodu turvamine keeruline, kui jälgid järgnevaid printsiipe:

  • Enne seadme ostmist tee selle kohta taustauuring. Veendu, et sellel ei oleks paikamata turvaauke.
  • Eelista tuntud tootjaid.
  • Ära osta P2P protokolle kasutavaid seadmeid. 
  • Eelista ZigBee/Z-wave protokolli kasutavaid seadmeid otse internetti ühenduvatele. 
  • Veendu, et seadmetel on uusim tarkvara (firmware). 
  • Kontrolli tarkvara uuendusi regulaarselt, mitte ainult peale seadme ostmist. 
  • Muuda ära kõik vaikimisi paroolid.
  • Ära anna seadmete kontroll-rakendustele ebavajalike õigusi nutitelefonis. 
  • Hoia nutikodu seadmed eraldi WiFI võrgus.
  • Tühjenda seade tehaseseadete taastamisega enne müümist või äraviskamist.