Sunnuntai 21.10.2018

Musta laatikko -yhtiö vastaa hakkereille: ”Silloin olet todennäköisesti varastanut sen auton”

Jaa artikkeli:
Luotu: 
17.1.2017 11:08
Päivitetty: 
17.1.2017 11:16
  • Kuva: Petteri Paalasmaa/Uusi Suomi
    Kuva
    Seurantalaitteet eli niin sanotut mustat laatikot ovat yksi, todennäköisesti vapaaehtoinen vaihtoehto kerätä tienkäyttömaksuja uudessa väyläjärjestelmässä.
|

Paikannus- ja maksujärjestelmiä myyvän Semel Oy:n toimitusjohtaja Börje Nummelin ei ole hakkereiden kanssa aivan samaa mieltä yhtiön ”mustan laatikon” tietosuojasta tehdyistä havainnoista.

Hakkeritapahtuma Disobey koetteli Semelin luvalla yhtiön jälleenmyymää autojen seurantalaitetta, jonka valmistaja on amerikkalainen WirelessLinks ja joka on ollut koekäytössä liikenteen turvallisuusvirasto Trafissa. Tapahtuman jälkeen Disobey tiedotti, että kun mustan laatikon saa fyysisesti haltuunsa, ”sen tekniikka on helposti manipuloitavissa vahingollisiin tarkoituksiin”. Disobey kuvasi haavoittuvuutta vakavaksi ja laitteen suojausta alkeelliseksi.

Semelin Nummelin myöntää Uudelle Suomelle, että jo se on ongelma, että hakkerit pääsivät laitteen sisälle ”sorkkimaan” sen ohjelmistoa. Hän korostaa kuitenkin, että päivän työstään huolimatta hakkerit pääsivät vain yhden, fyysisesti hallussaan olleen laitteen ohjelmiston kimppuun, eivätkä saaneet tästäkään laitteesta irti varsinaisia tietoja. Ylipäätään laitteessa ei ole merkittäviä tietoja, ei varsinkaan henkilötietoja, Nummelin painottaa.

– Henkilötietoja koko järjestelmässä ei ole. Paras tapa henkilötietojen saamiseksi autosta on ottaa rekisterinumero ylös, soittaa Fonectalle ja katsoa omistajat ja taustat. Tämähän on ollut avointa dataa kymmenen vuotta. Se, mitä tuosta järjestelmästä löytyy henkilötietoa, on juuri rekisterinumero. Taustajärjestelmissä on tietoja, mutta hetua ei ole tässä järjestelmässä, Nummelin kertoo.

Näin ollen on hänen mukaansa ”ihan höpöhöpöä”, että laitteen haltuunotolla voitaisiin tehdä identiteettivarkauksia.

– Siellä ei tässäkään vaiheessa ollut mitään identiteettitietoa.

Mikäli mustista laatikoista ryhdyttäisiin todella tekemään tienkäyttömaksujärjestelmää, itse seurantalaitteessa olisi Nummelinin mukaan vain auton rekisterinumero, ja muut tiedot olisivat Trafin järjestelmien takana. Tämäkin tieto voisi olla muodossa, jota ulkopuolinen käyttäjä ei helposti ymmärtäisi.

Entä jos hakkeri onnistuu yhdistämään nämä Trafin ja laitteen tiedot, muodostuuko tällöin uhka autoilijan paikka- ja muiden tietojen päätymisestä ulkopuolisen haltuun?

– En näe sitä mitenkään mahdollisena todellisuudessa, koska hallussa pitää silloin olla se fyysinen laite. Nythän ne hakkeroituivat siihen fyysiseen laitteeseen, ja jos sulla nyt on se laite kädessä, niin silloinhan sulla on jo paikkatietokin, Nummelin sanoo.

Hakkerin hallussa fyysisesti oleva musta laatikko ei Nummelinin mielestä ole erityisen oleellinen uhka järjestelmälle.

– Siinä vaiheessa olet todennäköisesti varastanut sen auton eli ollaan muutenkin vähän rikoksen polulla.

Nummelin huomauttaa, että vaikka laitteesta löytyikin heikkouksia, eivät hakkereiden saavutukset olleet valtavia poikkeuksellisiin olosuhteisiin eli siihen nähden, että itse laite oli fyysisesti heidän hallussaan. Hän kertoo olettaneensa, että hakkerit pyrkisivät laitteen avulla hakkeroimaan itse ”keskuspäätä” eli seurantajärjestelmää, mutta yritykset keskittyivät itse laitteeseen.

– Nythän otettiin vain yksi purkki. Se on sama kuin varastettaisiin yksi auto, otettaisiin purkki irti ja alettaisiin sitä sitten tutkia. Nyt sitten yksi yhteisö teki koko päivän töitä, että sai jotain siitä irti, hän sanoo.

Nummelin kiistää myös väitteet siitä, että mustaan laatikkoon olisi murron avulla kyetty asentamaan uutta, käyttäjälle haitallista ohjelmistoa. Tällainen ohjelmisto voisi esimerkiksi välittää laitteen keräämää tietoa ulkopuolisille.

”Henkilötietoja koko järjestelmässä ei ole. Paras tapa henkilötietojen saamiseksi autosta on ottaa rekisterinumero ylös, soittaa Fonectalle ja katsoa omistajat ja taustat”

– Se ei pidä paikkaansa. Jos sinne yrittäisi jotain ladata, se kyllä hylkisi sen homman.

– Mutta sitä he eivät päässeet kokeilemaan, koska aika loppui. Eli ei se loppujen lopuksi nyt niin surkea ole kuin julkisuudessa halutaan esittää, Nummelin jatkaa.

Hän kertoo laitteesta löytyneistä heikkouksista seuraavasti:

– Ne löysivät netistä tietoa, firman julkaisemaa, jota ei olisi ehkä pitänyt olla niin helposti saatavilla. Sitten ne pääsivät sinne väliin jotenkin sorkkimaan sitä ohjelmaa.

Nummelinin mukaan jo se, että hakkerit ”pääsivät noinkaan pitkälle”, on kaikesta huolimatta huomionarvoista ja valmistajalle hyödyllistä tietoa.

– Siinä oli hölmöys laitteessa, että laitteen sisällä oli salasana, mutta sarjaportin kautta menemällä pääsi suoraan [sisään]. Se olisi vakavaa loppuvaiheessa. Valmistaja on saanut raportin ja kiittänyt siitä, että korjaukset parantavat tuotetta, hän kertoo.

Nummelin huomauttaa, että hakkereiden tutkima laite on prototyyppi, joka ei tietoturvaltaan ole tarkoitettukaan valmiiksi seurantalaitteeksi tai maksujärjestelmän pohjaksi.

– Jos tämä olisi aito tienkäyttömaksupurkki, niin se olisi sinetöity, eli heti kun joku avaa sinetin niin se voi tuhota kaikki ohjelmat sieltä. Taksamittareissakin on sinettiruuvi, eli aina kun sinetti avataan, siitä lähtee tieto [järjestelmän haltijalle]. Ei se järjestelmä tollaisen [hakkerien kokeiltavana olleen] purkin ympärille todellisuudessa rakentuisi.

– Jos tästä tulisi tienkäyttömaksulaite, niin silloin nämä hommat pitäisi ottaa huomioon. Silloin laite olisi joka tapauksessa toinen ja OBD-kontakti jäisi harkittavaksi, koska se on heikoin lenkki tässä kokonaisuudessa, Nummelin sanoo.

OBD eli On-Board Diagnostics on autojen toimintaa ja vikoja valvoja, sisään rakennettu järjestelmä. Näihin järjestelmiin löytyy Nummelinin mukaan Kiinasta valmis hakkeriratkaisu jokaiselle automerkille.

– Auton järjestelmän kautta he todennäköisesti olisivat päässeet nopeammin sisään, koska siihen olisi valmiina joku kiinalaishakkerin lähtökohta. Jos tämä [laite] on yhteydessä autoon, niin se on ehkä vähän heikko lenkki, Nummelin sanoo.

Samaisesta Semelin mustasta laatikosta, jota Disobey koetteli, löytyi jo aiemmin tietoturvaongelma. Lue lisää: Suomalaisten autoihin mustat laatikot? – Yksinkertainen testi paljasti karmean tietoturvaongelman

Lue myös:

Suomalaishakkerit tutkivat mustan laatikon: ”Vakava haavoittuvuus – suojaus on alkeellinen”

”Nyt selvitetään, miten turvallinen auton musta laatikko on” – Pelottava havainto GPS-seurannasta herätti

Laitevalmistaja selittää mustien laatikkojen ongelmaa: ”Se oli suomeksi sanottuna moka”

Kokoomuslainen autojen mustista laatikoista: ”Täysin kestämätön ajatus”

Anne Berneriltä uusi linjaus: ”Autoilijoiden pakkoseurantaa ei suunnitella”

Musta laatikko tulee autoilijalle halvemmaksi? – 10 vastausta Bernerin väylähankkeesta

Henkilöt: 
Yritykset: 
Muut asiasanat: 
Jaa artikkeli:

Kommentit

Jorma Nordlin

Laite välittää yksilöivän tunnistetiedon "ID-tiedon", joko se menee salattuna, kun laitetta käytetään, voi yrittää lukea itse laitteen muistista tietoja talteen ja vertailla useiden laitteiden tietoja. Silloin saattaa onnistua paikallistamaan sen ID-tiedon. Näin voi olla mahdollista vaihtaa tunnistetieto ja siten tulee varsinaisen tunnisteen omistajalle mahdollisesti pyyntö vaihtamaan laite. Sinä aikana on jo ID-tunnistetta käytetty toisen auton kanssa.

Ehkä joku tämäntyyppinen hakkerointi voi tossa onnistua.

Juuso Hämäläinen

Toimitusjohtajan tietotekniikan tuntemus ei tunnu olevan korkealla tasolla. Laitteet ovat purkkeja, niiden sisällä on salasana ja niitä ei voida sorkkiä. OBD-systeemiinkin löytyy Kiinasta valmis hakkeriratkaisu . Järjestelmällä on keskuspää.

Julkishallinnon olisi syytä asioida yritysten kanssa, joiden johto on koulutettua väkeä. Enää ei eletä aikoja, jolloin laitteiden maahantuonti ja huolto on tietotekniikkafirman ainut lisäarvo, joka ilmenee korkeana myyntikatteena.

Ilkka Korkalainen

Jos näillä purkkeja halutaan käyttää liikenteen verotukseen niin siinähän ei ole mitään järkeä. Nykyiset verotusjärjestelmät ovat toimivat ja hoitavat homman hyvin. Mustat boksit ovat turha keksintö ja vain lisäkuluja autoilijoille.

Juuso Hämäläinen

Nykyinen polttonestevero on erittäin yksinkertainen ja halpa järjestelmä jakaa kustannuksia käytön mukaan. Mitään tarvetta sen tarkempaan jyvitykseen ei ole. Ajatukset maksuilla ohjata yksityisautoilua muulla tavoin ovat epärealistisia ja ne vain vaikeuttavat ihmisten elämää ja työntekoa. Ne eivät toimi edes Singaporessa puhumattakaan Suomesta.

Koko liikennöinti yksinkertaistuu, kun alan virkamiesten ja tutkijoiden määrää leikataan reippaasti. Suomessa ei ole missään muita liikenteeseen liittyviä ongelmia kuin viranomaisten aiheuttamia: autoilun kalleus, autokannan ikä, surkea tiestön kunto, laiskiaistahtiin etenevät tietyöt, liioiteltu liikenteenvalvonta ja kaupungeissa autoilun vaikeuttaminen mm. tekemällä pysäköinnistä vaikeaa ja kallista. Saasteongelmia ei ole eikä tällä väestöllä edes tule.

Suomalainen tarvitsee tässä ilmastossa ja pitkien välimatkojen takia autoa. Perheellisten elämä ilman autoa veisi iaiken ajan pysäkeillä seisomiseen ja kulkuvälineiden vaihtoihin. Monen ihmisen päivän ohjelma vaihtelee jatkuvasti ja ajoreitit samoin. Yli puolen tunnin työmatka on jo liian pitkä.

Nykyinen surkeus ei todellakaan kaipaa mitään autojen GPS-seurantaa ja seurantalaitteita. Sen sijaan yksityisautoilun kuluja tulee laskea ja autoilua helpottaa kaikin tavoin mm. vähentämällä sairaalloista kyttäystä. Vastaavaa ei ole nimittäin missään maailmassa.