JavaScript is currently disabled.Please enable it for a better experience of Jumi.

Esineiden internet lupaa avata yrityksille paljon uusia mahdollisuuksia uusien ja jännittävien palvelujen muodossa. Laitekirjon ja bisnessalaisuuksien liittyessä nettiin tarvitaan kuitenkin ankaraa ja luotettavaa tietoturvaa.

Artikkelin kirjoittaja Arlen Baker toimii Intelin omistaman Wind River Systemsin pääteknologikkona. Hän vastaa tietokoneiden ja
verkkojärjestelmien turvallisuustuotteista. Baker on aiemmin työskennellyt Mykotronxilla ja General Dynamicsilla. Hän on valmistunut Nebraskan yliopistosta.

Yksi pitkään käytössä ollut tietoturvamalli on CIA-malli. Tämän mallin (ks. kuva 1) keskeiset komponentit liittyvät luottamuksellisuuteen (confidentiality), eheyteen (integrity) ja saatavuuteen (availability).

IoT:n yhteydessä luottamuksellisuus viittaa IoT-laitteiden yksityisyyden suojaamiseen, eheys laitteessa säilytetyn datan varmistamiseen ja saatavuus siihen, miten laitteeseen päästään käsiksi (access). Tässä artikkelissa keskitytään datan eheyden säilyttämiseen.

Kuva 1. Luottamuksellisuus-, eheys- ja saatavuusmalli.

Kun ajattelemme IoT-laitteen dataa, meidän ei pitäisi ajatella vain laitteen generoimaa tai käyttämää dataa, vaan myös sen omaan ohjelmointidataa. Tämä kattaa kaikki ohjelmakoodin osat, konfigurointiparametrit ja käyttöjärjestelmän ohjelman. Eheysprosessin ohjaamista auttaa, jos ymmärtää datan kolme mahdollista tilaa: data liikkeessä, levossa ja prosessoitavana. Kuva 2 esittää eheyden periaatetta pilkottuna alaperiaatteisiin ja lopulta toteutuksiin, joita IoT-laitteessa voi olla datan eheyden suojaamiseksi.

Kuva 2. Datan eheys IoT-laitteessa.

Datan eheyden rikkoutuminen tarkoittaa, ettei IoT-laite voi toimia oikein, mutta se myös altistaa laitteen hyödynnettäväksi ja tekee laitteesta riskaabelin alustan, jolta muita hyökkäyksiä voidaan käynnistää.

Tavanomainen menetelmä datan eheyden varmistamiseksi on matemaattinen hajautuslgoritmi, joista turvattu SHA-algoritmi (secure hash algorithm) on suosituin.

Data-liikkeessä vaatii, että data suojataan muokkaamiselta sen matkalla anturista pilvisovellukseen. Vaikka käytettäisiin hash-tekniikkaa, hyökkääjä voi muuttaa viestiä ja uudelleenlaskea hajautusarvon. Vahvempi lähestymistapa on käyttää datan eheyden tarkistamiseen jaettua yksityistä avainta, kuten kuvassa 3 on esitetty. Tätä kutsutaan avaimelliseksi viestin hash-autentikointikoodiksi (HMAC, hash message authentication code), ja koska se vaatii jaetun yksityisen salausavaimen, pitää se suojata kuten mikä tahansa salausavain.

Kuva 3. HMAC-autentikointi.

Mitä tulee dataan-levossa, mahdollisuuksia on useita. Ensinnäkin tallennettu ohjelmakoodi pitää verifioida ja se tehdään käynnistysvaiheessa (ks. turvakäynnistys tämän artikkelin seuraavassa osiossa). Konfigurointidata ja kaikki muu tallennettu laitedata pitäisi aina verifioida ennen kuin IoT-laite prosessoi sitä. Ajastettuja eheystarkistuksia voidaan tehdä toiminnan aikana ja aina käynnistyksen ja sammuttamisen yhteydessä.

Eheystarkistuksia pitää tehdä myös prosessoitavalle datalle, jotta varmistutaan siitä, että dataan ja sen kulkuun voidaan luottaa. Käyttämällä ainutlaatuisia luetteloarvoja ohjelmiston läpi voidaan varmistaa, että rajapintoja kutsutaan vain ko. rajapintaan liittyvillä parametreilla.

Kuva 4. Käynnistys- eli boot-prosessi.

Käynnistysprosessivarmennus voidaan jakaa kahteen erilliseen osaan, kuten kuvassa 4 on esitetty. Ensiksi turvakäynnistys aloitetaan luotetulla alustalla ja se määrittelee alustavien kuvien luotettavuuden.

Verifiointi- tai varmennusprosessi toteutetaan parhaiten digitaalisten allekirjoitusten avulla. Digitaalisessa allekirjoituksessa yhdistetään hash-toiminto asymmetriseen yksityisen avaimen salaukseen tällä toiminnolla. Allekirjoitus verifioidaan laskemalla uudelleen viestikokonaisuus, puretaan tähän liittynyt digitaalinen allekirjoitus julkisella avaimella ja verrataan näitä viestejä. Mikäli viestit vastaavat, ohjelmiston eheys on varmennettu.

Toinen vaihe käynnistysprosessissa on luotettu käynnistys (trusted boot), jossa jäljellä olevat kuvat ja data verifioidaan aiemmin varmennetun ohjelmiston avulla. Parhaassa tapauksessa käynnistysprosessissa käytetään laitteistoa eheyden varmentamiseen, koska raudan muuttumattomat ominaisuudet (oli kyse sitten SoC-piiristä tai FPGA:sta) eliminoivat haitallisten muutosten riskin, mikä aiheuttaisi murtumisen verifioidussa käynnistysprosessissa. Prosessia, jossa yksi verifioitu kuva toimii toisen kuvan varmennuksen kontrollina, kutsutaan luottamuksen ketjuksi (ks. kuva 5). Tämä lähestymistapa varmistaa, että vain verifioituja ohjelmistoja voidaan ladata järjestelmään.

Kuva 5. Luottamuksen ketju.

Jos IoT-laitteella on luotettava, aina päällä oleva internet-liitäntä, voidaan käyttää etävarmennusta raportoimaan ja validoimaan käynnistyksen avainparametri turvakäynnistysten aikana fyysisesti erilliseltä palvelimelta. Näihin parametreihin kuuluu tyypillisesti käynnistysprosessin komponenttien (käynnistyslatain, sovellukset, jne.) hash-arvo. Palvelin vertaa näitä mittausarvoja ja määrittelee IoT-laitteen luotettavuuden. Mittausten siirto on salattu ja siihen täytyy sisältyä tieto IoT-laitteen identiteetistä.

Jokainen internetiin kytketty laite on riskin alainen, eivätkä IoT-laitteet muodosta mitään poikkeusta. Eheyden suojaaminen lisäkerros tulee ns. kolmen A:n kautta (AAA, authentication, authorization ja accounting). Sen tehtävä on määritellä minkä muiden verkossa olevien laitteiden kanssa IoT-laite voi viestiä ja mitä dataa niiden välillä voidaan siirtää. IoT-laitteen ja etälaitteen tai palvelimen välisen tietoliikenteen välille tarvitaan luotettu kumppani tai välittäjä. Tämä laitteiden välinen luottamus verkon yli voidaan muodostaa esimerkiksi hyvin vakiintunella Kerberos-protokollalla.

Autentikoinnin jälkeen seuraa auktorisointi, mikä tarkoittaa resurssille sallittua pääsytapaa (access) verkossa. Koko verkon laajuista turvakäytäntöä (policy) käytetään luetteloimaan resurssit, tietoliikenteen reitit resurssien välillä sekä mahdollisen pääsyn taso.

AAA:n viimeinen komponentti on selonteko eli IoT-laitteeseen liittyvien tietoturvatoimien tapahtumalokin generointi. Tapahtumalokit voidaan tallentaa IoT-laitteeseen tai – mikä on yleisempää – ulkoiselle palvelimelle. Tietoturvakäytäntö määrää, mitä tapahtumia pitää tallentaa. Lokia ja siihen liittyvää dataa tarkastelemalla voidaan päätellä, mikä johti hyökkäykseen, mistä se tuli ja mitä sen aikana tapahtui. Nämä tapahtumat on parasta tallentaa mahdollisimman reaaliaikaisesti, jotta minimoidaan hyökkäyksen mahdollisesti aiheuttama vahinko ja voidaan laatia tietoturvakäytöntöihin määriteltävä ensivastaus (front-line response).

Koska seurattavia IoT-laitteita ja lokitapahtumia on erittäin paljon, vaaditaan tallennukseen erikoispalvelin. Tämäntyyppistä laitetta kutsutaan SIEM-palvelimeksi eli turvainformaation ja tapahtumien hallinnan palvelimeksi (security information and event management server). SIEM-palvelin pystyy korreloimaan IoT-laitteista vastaanotettuja turvatapahtumaviestejä ja hyödyntämään ennustavaa analytiikkaa määritelläkseen, onko IoT-laite hyökkäysriskin kohteena.

Johtopäätöksenä voidaan sanoa, että tarvitaan tiukkaa ja luotettavaa lähestymistä tietoturvaan, jotta verkkoon liitettyjen IoT-laitteiden valtavasta potentiaalista saadaan kaikki hyöty irti. CIA-malli tarjoaa hyvin yksinkertaisen mallin IoT-laitteiden turvatarpeiden löytämiseen ja esittämiseen. Datan eheyden ylläpito on selvästi yksi tietuturvakäytäntöjen toteuttamisen avainkohtia, ja samaa lähestymistapaa pitää käyttää luottamuksellisuuden ja saatavuuden suhteen. Wind River tarjoaa laajan valikoimaan tuotteita ratkaisuja, jotka toteuttavat CIA-mallin eheyden vaatimukset asiakkaan IoT-tarpeissa.

Tiedätkö, mikä on pistotulppa?

Sikaa sanotaan usein töpselikärsäksi, vaikka sähköinsinöörille nimitys on kauhistus: sian kärsähän näyttää pistorasialta, ei töpseliltä. Puhekielessä töpselit ja pistorasiat menevätkin välillä sekaisin, mutta alan oppimateriaalissa, käyttöohjeissa ja toimitetussa mediassa tulisi pyrkiä oikeiden ja täsmällisten termien käyttöön. Pistokytkimiin liittyvistä termeistä on olemassa kansallinen standardi SFS 5805, joka uudistui toukokuussa. Edellinen standardi oli vuodelta 1996.

Lue lisää...

Kuinka älykellon tehopiiri kutistetaan?

Yleisin puettava laite on älykello tai fitnessranneke. Niiden arkkitehtuuriin kuuluu toiminnallisia lohkoja, kuten ympäristön ja biometrinen aistiminen, langaton yhteys ja mikro-ohjain. Tämä on johtanut uuden standardin tehokomponentin, microPMIC-piirin kehittämiseen, joka tuottaa anturien, radioiden ja prosessorin vaatimat erilaiset tehosyötöt. Se säästää aikaa, tilaa ja kustannuksia.

Lue lisää...
 
ETN_fi RT @Kwikman: World's first autonomous maritime ecosystem, Sauli Eloranta Rolls-Royce #ddayfi #RebootFinland https://t.co/DopdH7pzQ3
ETN_fi RT @Kwikman: Invitation to build world's first level 5 self driving system #ddayfi #RebootFinland https://t.co/CueAUztf0m
ETN_fi RT @AutomatedbusFI: Pekka Möttö , CEO of @Tuupapp is explaining how to build #Maas for customers #ddayfi #RebootFinland https://t.co/ZuBrx0
ETN_fi 4K-elokuvaa langattomasti. @latticesemi delivers first #4K UHD wireless video solution in the 60 GHz band. https://t.co/coXt8e30Ju
ETN_fi Ethernet is an old man :). 44 years old to be exact. https://t.co/bLmLWpHiWg