Tietoturva & kyberhyökkäykset
- Keskustelun aloittaja fraatti
- Aloitettu
Vastaus antaa jonkinmoista luottamusta, että tuskinpa tuolta mitä tahansa putkahtaa esille, mutta virheitähän tekevällekin joskus saattaa sattua (joten nuolaisematta aina parempi). https://icannwiki.org/.gle toteaa mm.
Osaltaanhan tuo selvittää, miksi moinen epästandardi domain yleensäkään löytyy nimipalvelimilta (vaikka esimerkiksi whois.com vastaa
Tarvitseeko asiaa tarkastaa? Jos on niin et niitä pois saa. Aina kannattaa toimia olettaen että henkilötietojasi on väärissä paikoissa. Mitä se sitten tarkoittaakaan?
Eu-radiolaitedirektiivi-tietoturvavaatimukset voimaan 1.8.2025
dawn.fi
Uudet tietoturvavaatimukset otettu käyttöön: erilaiset langattomat laitteet entistä turvallisempia
Tietoturva paranee myös entisestään tulevina vuosina EU:n kyberkestävyyssäädöksen (Cyber Resilience Act, CRA) myötä.
dawn.fi
Harrastelija
Vakionaama
Vielä kun nostaisivat tieturvapäivitysten vaatimukseksi vähintään 10v.
Lukee kuin piru raamattua: Määräys koskee ainoastaan radiolaitteita, jolloin esim. langalliset routerit jää tuosta kokonaan ulos jos niissä ei ole WLAN samassa
Kyberturvallisuuskeskuksen sivulta lainattua:
EU:n kyberkestävyyssäädös (EU) 2024/2847 koskee laajaa joukkoa tuotteita. Säädöksen vaikutuksesta erityisesti ohjelmistojen sääntely täydentyy. Kyberkestävyyssäädös koskee digitaalisen elementin sisältäviä laitteita tai ohjelmistoja, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon.
HiTec
Eipä turhia höttyillä :)
Jällen iskee se pikku piru: Onko tuon perusteella esim. Microsoftilla oikeutta jättää Win10 käyttäjiä ns. oman onnensa nojaan tietoturvapäivitysten osalta, vaan heillekin on tarjottava ne samat korjaukset jatkossakin ihan siinä missä Win11
Windows ei taida sisältää radiota?
Toisaalta ennenkin Microsoft on korjannut tuen loppumisen jälkeen esiin tulleita virheitä verkkotoiminnoissa.
Lukematta vielä, niin tarjoaako tuo direktiivi valmistajille mahdollisuuden pakko ajaa tietoturvapäitykset laitteelle?
Jos näin on, niin näen todella suuren suljetun järjerjestelmän mörön huoneessa joka tietoturvaan perustuen sulkee paikalliset tai 3.osapuolen ohjausmahdollisuudet pois laitteista
Jos näin on, niin näen todella suuren suljetun järjerjestelmän mörön huoneessa joka tietoturvaan perustuen sulkee paikalliset tai 3.osapuolen ohjausmahdollisuudet pois laitteista
HiTec
Eipä turhia höttyillä :)
Nyt kyllä tässä toinen puhuu aidasta, toinen seipäistä.
Valmistaja pakkoajaa päivitykset laitteeseen, tarkoittaa käytännössä sitä että aina kun laite laitetaan päälle, sekä tietty säännöllisin väliajoin, tuo vehjes ns. "soittaa kotiin" ja tarkistaa onko niitä päivityksiä tarjolla vaiko eikö ja juuri tästä "kotiin soittelusta" moni vähänkään vakavammin tietoturva-asiat ottavalla nousee niskakarvat pystyyn. Toki ns. tuulipukukansalle, tavalliselle sukankuluttajalle tuo on nykytilannetta huomattavasti parempi, mutta...
Se että pystyykö laitteen sitten roottaamaan jollekin toiselle käyttikselle tms. onkin jo ihan kokonaan toinen juttu ja siihen ei tuo direktiivi ota mitään kantaa, miksi ottaisi. Toki roottaaminen voi olla jatkossa nykyistä hankalampaa, vaan eipä noita verkkorautoja muutoinkaan ihan hirveää määrä ole jolle noita omia käyttiksiä on tarjolla ylipäätään.
Et siis ole tutustunut koko CRA:n sisältöön? Tämähän on ihan ensimmäisiä vaatimuksia, täysin järkeenkäyvästi koska jos softa on vaihdettu, ei mitään turvallisuustakeita voi olla.
The EU Cyber Resilience Act (CRA) mandates that software with digital elements must protect the integrity of data and code. This includes ensuring that software, both stored and transmitted, is trustworthy and hasn't been improperly altered. Secure boot and robust integrity checks during software updates are key aspects of achieving this integrity.
Ikäviä keissejä on ollut esillä ”tietoturvaan” vedoten
Tässä just kuukauden sisään oli julkisuudessa case jossa älykotivalmistaja ajoi päivityksen heidän laitteisiin, mikä poisti paikallisen 3.osapuolen APIn käytöstä ja seuraavassa hetkessä asettivat vuosimaksun mitä ilman laite ei ole enää käytettävissä.
Bambu lab teki ”tietoturvaan” vedoten vastaavan, että 3D printterit ei ole ilman pilvipalvelua käytettävissä. Joskin yleisen paskamyrskyn jälkeen tarjosivat mahdollisuuden paikalliseen käyttöön. Ei kuitenkaan (vielä) kuukausi/vuosimaksua käytölle.
Pahoin pelkään että direktiivi voi ajaa tuollaiselle tielle
Tässä just kuukauden sisään oli julkisuudessa case jossa älykotivalmistaja ajoi päivityksen heidän laitteisiin, mikä poisti paikallisen 3.osapuolen APIn käytöstä ja seuraavassa hetkessä asettivat vuosimaksun mitä ilman laite ei ole enää käytettävissä.
Bambu lab teki ”tietoturvaan” vedoten vastaavan, että 3D printterit ei ole ilman pilvipalvelua käytettävissä. Joskin yleisen paskamyrskyn jälkeen tarjosivat mahdollisuuden paikalliseen käyttöön. Ei kuitenkaan (vielä) kuukausi/vuosimaksua käytölle.
Pahoin pelkään että direktiivi voi ajaa tuollaiselle tielle
Tuo nyt on taas aika monitulkintainen julkilausuma. Mikä lopulta on "improperly altered"? Olennaista on, lasketaanko sellaiseksi vain omistajan tietämättä ja pahat mielessä tapahtuva muokkaaminen (esim. haittaohjelman injektointi), vai kuuluuko myös omistajan vapaasta tahdosta tapahtuva kolmannen osapuolen laiteohjelmiston asennus tuohon määritelmään.
Sillä ei ole oikeastaan väliä, kun secure bootin tullessa pakolliseksi ei pysty tekemään laitteeseen asentuvaa softaa ilman kryptaus- ja allekirjoitusavaimia.
Ja vaikeuttaa ellei jopa tee mahdottomaksi vaihtaa laitteisiin open source softan/firmiksen valmistajan proprietary softan tilalle. Esimerkkinä OpenWRT asennus reitittimeen tai mikä tahansa parempi avoin firmis mikä korvaa valmistajan oman suljetun version
No, ei kai tuo kuitenkaan mikään hirveän paha ongelma ole. Kaupoista löytyy vaikka millaisia kompakteja PC-koneita, joista voi rakentaa reitittimen, kunhan sopivat softat löytyy. Itselläkin joskus takavuosina pyöri kotiverkon palomuuri PC:llä, tuli kokeiltua niin Linux-pohjainen IPCop kuin myös FreeBSD-pohjainen pfSense. Taisi olla jotain muitakin. Eiköhän tuo OpenWRT myös siirtyne sitten tulevaisuudessa käyttämään ihan PC-rautaa mahdollisine lisäkilkkeineen.
Tämä siis tietenkin koskee kaikkea laitteistoa jonka voidaan nähdä aiheuttavan haittaa mikäli sen tietoturva ei ole kunnossa. Siis käytännössä kaikkea mikä jotenkin kommunikoi muun maailman kanssa, eli nykymaailmassa lähes kaikkea. Ei pelkästään reitittimiä.
Autojen ECUja ei enää voi ohjelmoida uusiksi koska niiden osalta säännökset ovat jo voimassa, kaikki muu tulee parissa vuodessa CRA:n myötä.
Tuo lienee käytännössä taas sellainen EU-direktiivi, joka tekee kaikenlaisesta toiminnassa enstistä vaikeampaa, jäykempää ja kalliimpaa Euroopassa, eli kädenojennus muille kuin eurooppalaisille.
Toki, ja hyvä niin. Minusta ropelihattuilu pitää tehdä puhtaalta pöydältä, eikä niin että särjetään toimiva laite omilla virityksillä. Rakennetaan se vempele alusta lähtien itse sitten, hyvä niin.
Autojen ECU:n tapauksessa varsinkaan en näe mitään ongelmaa, kyllä autot tulevat tehtaalta valmiiksi toimivalla ECU:lla, joka on juuri siihen automalliin sovitettu. Ja jos ropellihattu tahtoo siihen omat softat, niin edellä mainittu pätee myös siihen. Kyllä sitä yleiskäyttöistä rautaa varmasti löytyy, jolla pystyy polttomoottoriakin ohjaamaan omilla softilla. Ei sen tarvitse olla se sama rauta, jonka autonvalmistaja on pellin alle pultannut.
... tosin mikään nykyauto ei enää ole lain silmissä tieliikennekelpoinen omilla softilla ohjattuna.
... Ja juuri tämän takia nämä tietoturvavaatimukset nyt on luotu.
Useat raudat on optimoitu esim reitittämiseen, jolloin PC raudan käyttö ei ole niin tehokasta kuin varsinaisen reittimen, jossa valmistaja on ryssinyt hyvän raudan surkealla softalla.
Toinen alue on nämä tilanteet jossa valmistaja käyttää suljettua softaa laitteissaan ja voi jopa lisätä kk-maksun, jolloin raudan SER jätteeseen dumppaamisen sijaan käyttöä pystyy jatkamaan open source softalla mikä portattu alustalle
Veikkaan että tämä ongelma ratkeaa sillä, että noita optimoituja rautoja alkaa joku myymään PC:n laajennuskorttina. Kenties jopa ihan SDN-valmiudella, jolloin data planen voi toteuttaa sillä kortilla ja control planen PC-raudan puolella.
Totta. Toisaalta ei nyt itsellä heti tule mieleen juuri mitään vempelettä omistushistoriasta, jolle olisin ainakaan tiennyt olevan jatkoaikaa tarjolla avoimella firmiksellä, paitsi Linksysin reititin + OpenWRT.
Tavallinen kuluttaja, joka ostaa tuotteen ja heittää sen menemään rikkoutuessa eikä esimerkiksi integroi tuotetta mihinkään ulkopuoliseen järjestelmään, hyötyy direktiivistä luotettavuusmielessä.
Mutta eurooppalaisia valmistajia direktiivi voi pahimmillaan ampua kaikkiin raajoihin jos CRA päätyy ottamaan autoteollisuuden standardeista suoraan mallia. Väitän että suuri osa kaikesta tällä hetkellä myynnissä olevasta tietojen siirtoa sisältävistä tuotteista menisi siinä tapauksessa kieltolistalle. Ja direktiivi on siis kokonaisuudessaan voimassa kahden vuoden kuluttua vaikka sen sisältöä ei vielä ole kokonaan laadittu - jos joudutaan suunnittelupöydän kautta lähtemään tuotelinjojen uusimiseen, niin aika (ja monilla myös osaaminen) ei tule riittämään.
Kiinnostavaa on myös nähdä, miten EU:n ulkopuolelta tulevien laitteiden kanssa valvova viranomainen tulee toimimaan.
Mutta eurooppalaisia valmistajia direktiivi voi pahimmillaan ampua kaikkiin raajoihin jos CRA päätyy ottamaan autoteollisuuden standardeista suoraan mallia. Väitän että suuri osa kaikesta tällä hetkellä myynnissä olevasta tietojen siirtoa sisältävistä tuotteista menisi siinä tapauksessa kieltolistalle. Ja direktiivi on siis kokonaisuudessaan voimassa kahden vuoden kuluttua vaikka sen sisältöä ei vielä ole kokonaan laadittu - jos joudutaan suunnittelupöydän kautta lähtemään tuotelinjojen uusimiseen, niin aika (ja monilla myös osaaminen) ei tule riittämään.
Kiinnostavaa on myös nähdä, miten EU:n ulkopuolelta tulevien laitteiden kanssa valvova viranomainen tulee toimimaan.
robotti imurit lienee yksi todella iso kohderyhmä johon pitää vaikuttaa. Ne lähettää talon pohjapiirustukset, kuvia ja kalenterin/käyttöaikataulun pilveen. Se suunnilleen kertoo milloin talossa ei olle kotona, miten kulkea ja pahimmillaan nuo videokuvat vielä sisältä.
Tällä hetkellä tuosta pääsee eroon vain flässäämällä custom firmiksen laitteeseen.
Toinen kohde on valvontakamerat, niihin ei taida olla custom softia sisään, mutta onneksi saa blokattua intterwebistä muutoin.
Valmistajat kun tarjoaisivat avoimet mutta suojatut paikalliset API rajapinnat ei näitä ongelmia isosti olisi.
Tällä hetkellä tuosta pääsee eroon vain flässäämällä custom firmiksen laitteeseen.
Toinen kohde on valvontakamerat, niihin ei taida olla custom softia sisään, mutta onneksi saa blokattua intterwebistä muutoin.
Valmistajat kun tarjoaisivat avoimet mutta suojatut paikalliset API rajapinnat ei näitä ongelmia isosti olisi.
Ai kauhia. Omissa robotti-imureissa ei ole WiFiä, olisiko ne pirulaiset piilottaneet sinne kumminkin GSM-yhteyden?
Autoissa ja etenkin lentokoneissa tiukkoja speksejä on helppo perustella, koska joka ikisessä tapauksessa nuo muodostavat henegvaarallisen riskin matkustajille ja ulkopuolisille. Onhan vastaavia tapauksia tietoliikenneliitäntöjenkin kohdalla, mutta peruskuluttajien tietoliikenneyhteyksien osalta ei edes kovin merkittäviä taloudellisia riskejä muille ole (osallistuminen palvelunestohyökkäykseen murrettuna alustana lukuisten muiden ohella ei sekään tuollainen ole eikä tietoliikenneliitännän miten hyvä oma turvataso hyvänsä todellisuudessa suojele kytketyn järjestelmän murtamiselta, jos ei aseteta rajoituksia sille, mitä tietokoneella tms. yleensäkään tehdään).
Kun on kyse hengen ja terveyden kannalta kriittisistä palveluista, löytyy vaihtoehtoisia ja turvallisuusmielessä riittävän luotettavia ratkaisuj, jossa kokonaisuus on toteutettu turvallisuus mielessä, mutta sittenpähän järjestelmän käyttöperiaatteitakin joutudaan rajoittamaan merkittävästi.
HiTec
Eipä turhia höttyillä :)
Vaan aivan täysin aukoton ja kaikille tunnetuillekaan scenarioille immuuni ei tuokaan ole, mutta ne riskit ollaan valmiita ottamaan, sillä sen toteutumisen scenario on kuitenkin jo niin minimaalinen vs. siihenkin vektoriin varautumisen vaikeus, hinta yms huomioiden.
Husky
Hyperaktiivi
Viime päivinä tullut solkenaan ilmiselviä kalastelumeilejä.
Hitsi kun uteliaisuudesta kiinnostaisi klikkailla linkkejä jotta näkisi mitä aukeaa esim että päätyykö kovinkin oikean näköiselle pankkitunnuksen syöttösivulle...voisikohan olla että yksi uhriluokka on uteliaat jotka menevät klikkauksen liian pitkälle.
Hitsi kun uteliaisuudesta kiinnostaisi klikkailla linkkejä jotta näkisi mitä aukeaa esim että päätyykö kovinkin oikean näköiselle pankkitunnuksen syöttösivulle...voisikohan olla että yksi uhriluokka on uteliaat jotka menevät klikkauksen liian pitkälle.
HiTec
Eipä turhia höttyillä :)
Tuota klikkausta jos rupeat uteliaisuuttasi kokeilemaan, niin avaa ne selaimen porno-moodissa (incognito window), jolloin on edes jonkinlainen lisäsuojakin päällänsä ettei sieltä klikkauksen takaa tule jotain haitaketta sille eniten käyttämällesi selaimelle samointein.
Reikä palomuuriin ei koskaan ole suurempi tietoturvariski, kuin sillatun yhteyden käyttäminen, siis suoraan sille nettiin kytkettävälle järjestelmälle. Mutta jos ideana on laittaa systeemi suoraan nettiin, ja jättää muu kodin laitteisto NAT:in taakse piiloon, niin silloin tietoturva on toki vielä parempi muuille kodin laitteille, kuin se reiän poraaminen natin takana olevaan järjestelmään. Mutta sillattu laitteisto jää tässä vaihtoehdossa taas täysin hakkerien armoille, verrattuna natin taakse piilottamiseen.
Itse en ole availlut mitään muita reikiä reitittimeen, kuin VPN-palvelimen (WireGuard) portin. VPN on ehdottomasti turvallisin ja kätevin ratkaisu, jos kodin systeemejä haluaa käytellä "maailmalta". Kun VPN-yhteys on avattu, olet laitteellasi kotiverkossa, vaikka olisit missäpäin maailmaa tahansa. Voit siis käyttää kaikkea kodin tekniikkaa aivan samalla tavalla, kuin kotiverkossa ollessasi. Käytettäviin järjestelmiin ei tarvitse avata pääsyä netistä lainkaan.
Itse käytän SSH:ta kaikkeen etäyhteyteen mitä harvoin tarvitsee. Vastaa tarpeellisin osin edellisessä viestissä mainittua VPN:ää mutta on yksinkertaisempi ottaa käyttöön, varsinkin jos tarvitsee SSH yhteyden laitteeseen muutenkin.
HA https-yhteyden käyttöönottoon saa hyvän ohjeistuksen esim ChatGPT:ltä..