08 joulukuuta, 2015

Voihan päivitys! IoT päivittää itsensä

Tietokirjailija Petteri Järvinen lähetti Facebook sivuillensa kuvan kahvinkeittimen päivitysruudusta joka ilmoitti uudesta päivityksestä. Ilmeisesti hänkin on lähtenyt muoti-ilmiöön mukaan ja naureskelee "turhalle" päivitykselle?


Tulin mielestäni kiteyttäneeksi melko hyvin päivityksen kommenttiin sen mitä mieltä olen tästä nykyisestä trendistä mormottaa IoT-laitteiden päivitystarpeesta, "yyh kahvinkeittimeni päivittää itsensä".

Tässä kommenttini kokonaisuudessaan:

"Mielestäni päivitykset ovat vain hyvä asia.

tietotekniikkaa on laitteisiin tuotu jo aikaa sitten mutta ilman mahdollisuutta korjata niiden virheitä. Ihmiset ovat sitten tyytyväisenä käytelleet telkkareitaan ja pesukoneitaan kiroillen ja potkien vuosikausia. nyt softabugi voidaan korjata, tehdä käyttökokemuksesta parempi ja nopeasti, ilman että laite tarvitsee kantaa huoltoon jossa ei siltikään voitu tehdä asialle mitään (tyyppivika). 

Nythän puhutaan jatkuvasti tietoturvasta, että IoT ei ole turvallista ja se on totta, ongelma johtuukin siitä miten asiat on teollisuudessa totuttu tekemään, ihan sama onko koodissa mahdollinen tietoturva-aukko kun ei sitä voi hyödyntää ja nyt ykskaks voikin."

Kyseinen kahvinkeitin on melko edistyksellinen myös, nimittäin esimerkiksi televisiot kun päivittävät nykyisin itsensä, ei missään ole tietoa mitä uusi päivitys tuo mukanaan ja mitä se korjaa, ei edes valmistajien verkkosivuilla (ainakaan kovin usein), tässä tapauksessa taas valmistaja ymmärtää kertoa päivityksen sisällön joka on erityisen hyvä asia, vaikka toki se voisi astetta tarkempaa tietoa olla, ehkä verkkosivuilta löytyykin?

Ja miksen olisi iloinen kun 300euroa maksanut kahvinkeittimeni saa uuden päivityksen jonka ansiosta säästän vaikka sähkö- tai vesilaskussa joskus?

Tietoturva on IoT-laitteiden ongelma vielä pitkän aikaa, vaikka esimerkiksi F-Secure lupaa tähän helpostusta omalla laitteellaan joka suojaa näitä härveleitä suurimmalta osalta uhkia, mutta vain silloin kun laitteet ovat F-Securen härvelin kanssa samassa verkossa.

Kuten kommentissani sanoin, teollisuudessa ei ole juuri ollut merkitystä sillä onko koodi tietoturvaltaan kunnossa koska laitteeseen ei ole minkäänlaista pääsyä tehdasolojen jälkeen.

Nyt kun laitteisiin ollaan tehty verkkoyhteys, ei valmistuskulttuuri ole seurannut tarpeeksi nopeasti perässä ja vasta nyt tietoturvaan aletaan keskittyä entistä enemmän, hyviä esimerkkejä ovat älytalojen lukot joiden paneeleihin pääsee yksinkertaisesti sisään, syöttämällä admin salasanaksi 1234, mutta tärkeää oli saada lukkojärjestelmä nettin ennen kuin huolehdittiin siitä aidosta tietoturvasta :)

Toinen hyvä esimerkki on jääkaappi jossa on verkkoyhteys ja kamera jolla voi seurata kaupassa ollessaan mitä jääkaapista uupuu, hakkerin ei tarvinnut kuin tietää jääkaapin IP-osoite ja käydä tiirailemaan samaa kameraa, jos nyt jääkaapin sisältö kiinnosti, ei kysytty salasanaa verkkoselaimella mutta kylläkin puhelinsovelluksessa.

Sitten on oma lukunsa huonosti koodatut tai paikkaamattomat www-palvelimet joita näissä laitteissa on, haavoittuvuuksien avulla hakkerit voivat pyörittää omia ohjelmiaan näissä härveleissä, pesukoneet ja jääkaapit saattavat toimia bitcoin mainareina ja niin edes päin... "Jääkaappini lähetti roskapostia..."

Teollisuus alkaa pikkuhiljaa heräämään näihin ongelmiin ja päivityksiä tulee vauhdilla, ongelma tässä on kuitenkin se että ensimmäisen sukupolven IoT-laitteet, ne joita ongelmat eniten koskevat meinaavat jäädä päivitysten ulkopuolelle.