IoT - haavoittuvuudet ja tietoturva

Abstract

Tämän opinnäytetyön tilaaja oli Hämeen Ammattikorkeakoulun (HAMK) Älykkäät palvelut -tutkimusyksikkö. Opinnäytetyön päätarkoituksena on ollut HAMK:n lnternet of Things (IoT) -aihealueeseen liittyvän tiedon ja osaamisen kerryttäminen keskittyen laitteiden ja järjestelmien tietoturvallisuuteen. Yksi tavoitteista oli myös opinnäytetyön tekijän oman IoT-tietämyksen kartuttaminen.

Opinnäytetyössä käydään läpi tällä hetkellä (2017) tunnettuja IoT-tietoturvauhkia, kuten haittaohjelmia ja laitteiden haavoittuvuuksia. Tämän lisäksi käydään läpi sitä, mitä mahdollisuuksia on olemassa IoT-laitteiden turvallisuusuhkien löytämiseen. Näiden lisäksi esitellään erilaisia IoT-tietoturvalaitteita-, sekä ohjelmistoja, joilla usein turvattomien IoT-laitteiden tietoturvaa voi parantaa kotona ja yrityksissä. Opinnäytetyössä esitellään myös parhaita käytäntöjä siitä, mitä tulisi ottaa huomioon, jotta IoT-laite olisi turvassa mahdollisilta hyökkäyksiltä ja haittaoh-jelmilta. Lopuksi käydään läpi Thingworx IoT-alustan turvallisuusasetukset.

Tällä hetkellä näyttää siltä, että IoT-laitteita kohtaan tapahtuvat hyök-käykset ovat ainakin hetkellisesti vähentyneet, eikä vuoden 2016 syksyllä tapahtuneiden usean bottiverkon jälkeen suurempia massauhkia ole esiintynyt. Tämä voi olla seurausta siitä, että käyttäjät ja valmistajat ovat tulleet tietoisemmiksi laitteiden haavoittuvuuksista. Luultavasti kuitenkin tulevaisuudessa hyökkäykset IoT-laitteita kohtaan tulevat entistä vaaralli-semmiksi, viime vuosina on ollut kyse lähinnä avoimiin portteihin kohdistuneista hyökkäyksistä.

This thesis is made for Häme University of Applied Sciences - HAMK’s, Smart Services Research Unit. The main purpose of this thesis was to gather more information and knowledge about IoT for HAMK, concentrating on the information security of devices and systems. One of the goals has also been to gather more knowledge about IoT myself.

In this thesis I discuss some currently known IoT security threats, such as malware and device vulnerabilities. I also describe, what kind of possibilities there are to find vulnerabilities of IoT devices. And on top of this I’ve also tried to find devices and software that can help to prevent IoT threats at home and at the office. In the latter part of the thesis you will also find “golden rules” on what to do and what not to do, to make sure, that your IoT device is safe. In the last chapter, I present Thingworx IoT platform’s security settings.

At the moment it seems, as if the (major) attacks on IoT devices have at least temporarily been decreased. There has not been any news about major botnets since autumn 2016. This may be due to consumers and manufacturers becoming more aware of the device and software vulner-abilities. But most likely the attacks on IoT devices will become more dangerous in the future, lately there have been attacks on device’s open ports. It remains to be seen, how the situation will develop.