Tilaajan tarjoamassa vikailmoitus- ja varausjärjestelmässä havaittiin käy-tettävän suojaamattomia salasanoja ja käyttäjätunnuksia. Suosituksena https-protokollan käyttöönotto http-https-protokollan sijaan.
Tutkimuksen käytännön osuudessa havaittiin tilaajan laitetilassa tietokone, jota käytettiin tilaajan avaintenhallintaan. Kyseinen tietokone käytti vanhentu-nutta Microsoft Windows XP –käyttöjärjestelmää ja sillä ajettiin huomattavaa määrää palveluita. Suosituksena käyttöjärjestelmän päivitys sekä ajettavien palveluiden huolellinen läpikäynti.
7 JOHTOPÄÄTÖKSET JA POHDINTA
Tutkimusta lähdettiin tekemään alun perin yksittäisen havainnon herät-tämien kysymysten ja keskustelujen pohjalta. Keskusteluissa todettiin heti aluk-si tietoturvan tärkeys, mutta ei pystytty täyaluk-sin määrittelemään mitä tietoturval-la tarkoitettiin. Näin ollen asiaa olikin syytä tutkia tarkemmin sekä määritellä tietoturva tutkittavana olleen kiinteistöautomaatiojärjestelmän kannalta.
Tutkimusongelmana oli tilaajan kiinteistöautomaatioverkon kartoittami-nen mahdollisten tietoturvauhkien varalta sekä suositusten laatimikartoittami-nen tilanteen parantamiseksi. Tutkimusongelmaan oleellisesti liittyviä ongelmia olivat tieto-turvan määrittely sekä monimutkaisen järjestelmän osien selvittäminen ja arvi-ointi etenkin, kun järjestelmällä oli useita osatoimittajia.
Kiinteistöautomaatioverkosta pystyttiin tilaajan ja osajärjestelmien toimit-tajien materiaalien ja yhteyshenkilöiden haastattelujen perusteella muodosta-maan käsitys ja kokonaiskuva, joiden perusteella pystyttiin seuraamuodosta-maan kiin-teistödatan kulkua verkossa. Kaikkia haluttuja tietoja ei saatu, mikä toki oli tut-kimusta aloittaessakin jo odotettavissa, kun tiedettiin, että osajärjestelmien toi-mittajat tekevät toimittamiaan ratkaisuja liiketoimintana ja haluavat luonnolli-sesti suojata omaa toimintaansa. Avoimia kysymyksiä jäi yksittäisten laitteiden osalta, mutta kokonaisuutena selvitys oli onnistunut.
Tutkittavana olleen kiinteistöautomaatioverkon tietoturvauhkia saatiin kartoitettua laajasti. Varmaa kuitenkin on, että kaikkia järjestelmään kohdistu-via tietoturvauhkia ei löydetty, joten vastaakohdistu-via tutkimuksia tulisikin toteuttaa jatkossakin sekä kiinteistöautomaatiojärjestelmää että tilaajan muita järjestelmiä koskien. Yleisesti ottaen tietoturvan voitiin erityisesti tekniseltä kannalta todeta olevan hyvällä tasolla ja havaittujen haavoittuvuuksien olevan vaikeasti hyö-dynnettävissä. Hallinnollinen tietoturva havaittiin osajärjestelmien toimittajien osalta olevan pääsääntöisesti hyvin taattu, mutta järjestelmän kokonaisuuden kannalta lähes kokonaisuudessaan määrittelemättä. Yksittäisen osajärjestelmän toimittajan vastatessa vain omasta osastaan, on tilaajan huolehdittava
järjestel-mästä kokonaisuutena ja erityisesti osajärjestelmien toimittajien välisistä raja-pinnoista ja vastuista. Tutkimuksen tuloksissa tämä on huomioitu sijoittamalla tietoturvapolitiikan kirjoittaminen ensimmäiseksi suositukseksi.
Tietoturvapolitiikan kirjoittamisen, ohjeistamisen ja koulutuksen lisäksi tutkimuksessa löydettiin useita eritasoisia toimenpiteitä, joilla tutkitun järjes-telmän tietoturvatasoa voidaan parantaa. Suosituksissa pyrittiin huomioimaan myös haavoittuvuuteen liittyvä riski sekä suositellun toimenpiteen toteutetta-vuus käytännössä. On selvää, että lyhyen ajan kuluessa kaikkia suositeltuja toimenpiteitä ei voida kohtuudella toteuttaa ja tilaajan tuleekin yksityiskohtai-sesti arvioida suosituksia huomioiden kuhunkin suositukseen liittyvät riskit.
Tutkimuksen toteuttaminen osoittautui mielenkiintoiseksi ja haastavaksi.
Edellä mainittujen haasteiden lisäksi pakettidata-aineiston kerääminen verkois-ta osoitverkois-tautui hankalaksi, koska etukäteen oli vaikea tietää minkälaisverkois-ta liiken-nettä verkoissa oli. Aineiston keräämistä jouduttiin rajoittamaan eri osapuolien välisen koordinoinnin hankaluuden vuoksi ja näin ollen pakettikaappauksien ajallinen yhteispituus olikin kokonaisuudessaan vain hieman yli vuorokauden verran. Suhteellisen suuri osuus tutkimuksen tekemisestä kului järjestelyihin ja oli siten pois datan analysoinnista. Toisaalta, tämä oli odotettavissa, kun tutki-muksen luonne oli alusta alkaen käytännönläheinen.
Kokonaisuudessaan tutkimus antoi kiinteistöautomaatioverkon tietotur-vauhkien lisäksi käsityksen monimutkaisen tietojärjestelmän rakenteesta, eri toimijoiden välisen kommunikaation toiminnasta tietojärjestelmien rakentami-sen ja ylläpidon kannalta sekä erityisesti laajan, modernin ja monimutkairakentami-sen laajasti ulkoistetun järjestelmän ylläpidon ja dokumentoinnin haastavuudesta.
Jokainen näistä antaisi aihetta jatkotutkimuksille kuten myös tietoturvapolitii-kan laatiminen, tietoturvapolitiitietoturvapolitii-kan vieminen käytäntöön, tietoturvapolitiitietoturvapolitii-kan toteutumisen seuranta sekä käyttäjien kokemukset tietoturvakatsauksen suorit-tamisesta. Erityisen mielenkiintoista olisi kokeilla tutkimuksessa kehitettyjä hyökkäysmenetelmiä käytännössä ja kehittää näitä vastaan suojautumismeka-nismeja.
LÄHTEET
[1] M. Jung, C. Reinisch, ja W. Kastner, ”Integrating Building Automation Systems and IPv6 in the Internet of Things”, teoksessa 2012 Sixth Interna-tional Conference on Innovative Mobile and Internet Services in Ubiquitous Computing (IMIS), 2012, ss. 683–688.
[2] J. Li, Y. Zhang, ja F. Kuang, ”Intelligent Building Automation and Control Based on IndasIBMS”, teoksessa 2013 International Conference on Service Sciences (ICSS), 2013, ss. 266–270.
[3] P. Čeleda, R. Krejčí, ja V. Krmíček, ”Flow-Based Security Issue Detection in Building Automation and Control Networks”, teoksessa Information and Communication Technologies, vsk. 7479, R. Szabó ja A. Vidács, Toim. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012, ss. 64–75.
[4] A. A. Cárdenas, S. Amin, Z.-S. Lin, Y.-L. Huang, C.-Y. Huang, ja S.
Sastry, ”Attacks Against Process Control Systems: Risk Assessment, De-tection, and Response”, teoksessa Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security, New York, NY, USA, 2011, ss. 355–366.
[5] A. Antonini, A. Barenghi, G. Pelosi, ja S. Zonouz, ”Security challenges in building automation and SCADA”, teoksessa 2014 International Carnahan Conference on Security Technology (ICCST), 2014, ss. 1–6.
[6] B. Krebs, ”Target Hackers Broke in Via HVAC Company — Krebs on Se-curity”, helmi-2014. .
[7] D. L. Cooper, ”Data Security: Data Breaches”, teoksessa Proceedings of the 2015 Information Security Curriculum Development Conference, New York, NY, USA, 2015, s. 13:1–13:3.
[8] K. N. bin Baharin, N. M. Din, M. Z. Jamaludin, ja N. M. Tahir, ”Third par-ty securipar-ty audit procedure for network environment”, teoksessa 4th Na-tional Conference on Telecommunication Technology, 2003. NCTT 2003 Pro-ceedings, 2003, ss. 26–30.
[9] E. C. Lo ja M. Marchand, ”Security audit: a case study [information sys-tems]”, teoksessa Canadian Conference on Electrical and Computer Engineer-ing, 2004, 2004, vsk. 1, s. 193–196 Vol.1.
[10] L. Liu, W. Jiang, ja Q. Huang, ”A framework for business-oriented securi-ty audit”, teoksessa 2008 6th IEEE International Conference on Industrial In-formatics, 2008, ss. 141–146.
[11] J. Liu, X. Wang, D. Jiao, ja C. Wang, ”Research and design of security au-dit system for compliance”, teoksessa 2012 International Symposium on In-formation Technology in Medicine and Education (ITME), 2012, vsk. 2, ss.
905–909.
[12] J. Rajamäki, ”Challenges to a Smooth-Running Data Security Audits. Case:
A Finnish National Security Auditing Criteria KATAKRI”, teoksessa
Intel-240–243.
[13] Ulkoasianministeriö, ”Katakri – tietoturvallisuuden auditointityökalu vi-ranomaisille”. [Verkossa]. Saatavissa:
http://formin.finland.fi/public/default.aspx?nodeid=49575. [Viitattu: 01-kesä-2016].
[14] M. Kanatov, L. Atymtayeva, ja B. Yagaliyeva, ”Expert systems for infor-mation security management and audit. Implementation phase issues”, teoksessa 15th International Symposium on Soft Computing and Intelligent Systems (SCIS), 2014 Joint 7th International Conference on and Advanced Intel-ligent Systems (ISIS), 2014, ss. 896–900.
[15] Z. Han, X. Li, ja E. Stroulia, ”A Hierarchical Security-Auditing Methodol-ogy for Cloud Computing”, teoksessa 2015 IEEE International Conference on Services Computing (SCC), 2015, ss. 202–209.
[16] W. Granzer, F. Praus, ja W. Kastner, ”Security in Building Automation Systems”, IEEE Trans. Ind. Electron., vsk. 57, nro 11, ss. 3622–3630, marras 2010.
[17] A. Antonini, A. Barenghi, ja G. Pelosi, ”Security Analysis of Building Au-tomation Networks”, teoksessa Secure IT Systems, H. R. Nielson ja D.
Gollmann, Toim. Springer Berlin Heidelberg, 2013, ss. 199–214.
[18] J. H. Han, Y. Jeon, ja J. Kim, ”Security considerations for secure and trustworthy smart home system in the IoT environment”, teoksessa 2015 International Conference on Information and Communication Technology Con-vergence (ICTC), 2015, ss. 1116–1118.
[19] F. K. Santoso ja N. C. H. Vun, ”Securing IoT for smart home system”, teo-ksessa 2015 International Symposium on Consumer Electronics (ISCE), 2015, ss. 1–2.
[20] D. Kozlov, J. Veijalainen, ja Y. Ali, ”Security and Privacy Threats in IoT Architectures”, teoksessa Proceedings of the 7th International Conference on Body Area Networks, ICST, Brussels, Belgium, Belgium, 2012, ss. 256–262.
[21] H. Suo, J. Wan, C. Zou, ja J. Liu, ”Security in the Internet of Things: A Re-view”, teoksessa 2012 International Conference on Computer Science and Elec-tronics Engineering (ICCSEE), 2012, vsk. 3, ss. 648–651.
[22] T. Mundt ja P. Wickboldt, ”Security in building automation systems - a first analysis”, teoksessa 2016 International Conference On Cyber Security And Protection Of Digital Services (Cyber Security), 2016, ss. 1–8.
[23] I. N. Fovino, A. Carcano, T. D. L. Murel, A. Trombetta, ja M. Ma-sera, ”Modbus/DNP3 State-Based Intrusion Detection System”, teoksessa 2010 24th IEEE International Conference on Advanced Information Networking and Applications, 2010, ss. 729–736.
[24] B. A. Baalbaki, J. Pacheco, C. Tunc, S. Hariri, ja Y. Al-Nashif, ”Anomaly Behavior Analysis System for ZigBee in smart buildings”, teoksessa 2015 IEEE/ACS 12th International Conference of Computer Systems and Applications (AICCSA), 2015, ss. 1–4.
asian Information Security Conference-Volume 149, 2014, ss. 57–65.
[26] T. Novak ja A. Gerstinger, ”Safety- and Security-Critical Services in Build-ing Automation and Control Systems”, IEEE Trans. Ind. Electron., vsk. 57, nro 11, ss. 3614–3621, marras 2010.
[27] Edward Finch, ”Is IP everywhere the way ahead for building automa-tion?”, Facilities, vsk. 19, nro 11/12, ss. 396–403, marras 2001.
[28] J. Poikolainen, ”Authorized Authentication Evaluation Framework for Constrained Environments”. 2016.
[29] T. Radichel, ”Case Study: Critical Controls that Could Have Prevented Target Breach”. SANS Institute, 05-elo-2014.
[30] C. Barakat, P. Thiran, G. Iannaccone, C. Diot, ja P. Owezarski, ”A Flow-based Model for Internet Backbone Traffic”, teoksessa Proceedings of the 2Nd ACM SIGCOMM Workshop on Internet Measurment, New York, NY, USA, 2002, ss. 35–47.
[31] C. Barakat, P. Thiran, G. Iannaccone, C. Diot, ja P. Owezarski, ”Modeling Internet backbone traffic at the flow level”, IEEE Trans. Signal Process., vsk.
51, nro 8, ss. 2111–2124, elo 2003.
[32] A. Lakhina, K. Papagiannaki, M. Crovella, C. Diot, E. D. Kolaczyk, ja N.
Taft, ”Structural Analysis of Network Traffic Flows”, teoksessa Proceed-ings of the Joint International Conference on Measurement and Modeling of Computer Systems, New York, NY, USA, 2004, ss. 61–72.
[33] X. (George) Meng, S. H. Y. Wong, Y. Yuan, ja S. Lu, ”Characterizing Flows in Large Wireless Data Networks”, teoksessa Proceedings of the 10th Annu-al InternationAnnu-al Conference on Mobile Computing and Networking, New York, NY, USA, 2004, ss. 174–186.
[34] A. Sperotto, G. Schaffrath, R. Sadre, C. Morariu, A. Pras, ja B. Stiller, ”An Overview of IP Flow-Based Intrusion Detection”, IEEE Commun. Surv. Tu-tor., vsk. 12, nro 3, ss. 343–356, Third 2010.
[35] R. Krejčí, P. Čeleda, ja J. Dobrovolný, ”Traffic Measurement and Analysis of Building Automation and Control Networks”, teoksessa Dependable Networks and Services, R. Sadre, J. Novotný, P. Čeleda, M. Waldburger, ja B.
Stiller, Toim. Springer Berlin Heidelberg, 2012, ss. 62–73.
[36] J. Hizver ja T. Chiueh, ”Tracking Payment Card Data Flow Using Virtual Machine State Introspection”, teoksessa Proceedings of the 27th Annual Computer Security Applications Conference, New York, NY, USA, 2011, ss.
277–285.
[37] J. Hizver ja T. Chiueh, ”Automated Discovery of Credit Card Data Flow for PCI DSS Compliance”, 2011, ss. 51–58.
[38] N. Joukov, V. Shorokhov, ja D. Tantsuyev, ”Security audit of data flows across enterprise systems and networks”, teoksessa Internet Technology and Secured Transactions (ICITST), 2014 9th International Conference for, 2014, ss. 240–247.
ceedings of the 2001 Conference on Applications, Technologies, Architectures, and Protocols for Computer Communications, New York, NY, USA, 2001, ss.
111–122.
[40] S. Sarvotham, R. Riedi, ja R. Baraniuk, ”Connection-level Analysis and Modeling of Network Traffic”, teoksessa Proceedings of the 1st ACM SIGCOMM Workshop on Internet Measurement, New York, NY, USA, 2001, ss. 99–103.
[41] ”RFC 7011 - Specification of the IP Flow Information Export (IPFIX) Pro-tocol for the Exchange of Flow Information”. [Verkossa]. Saatavissa:
https://tools.ietf.org/html/rfc7011. [Viitattu: 09-heinä-2016].
[42] H. V. Ramasamy, C.-L. Tsao, B. Pfitzmann, N. Joukov, ja J. W. Mur-ray, ”Towards Automated Identification of Security Zone Classification in Enterprise Networks.”, teoksessa Hot-ICE, 2011.
[43] B. Lowekamp, D. O’Hallaron, ja T. Gross, ”Topology Discovery for Large Ethernet Networks”, teoksessa Proceedings of the 2001 Conference on Appli-cations, Technologies, Architectures, and Protocols for Computer Communica-tions, New York, NY, USA, 2001, ss. 237–248.
[44] ”Nmap: the Network Mapper - Free Security Scanner”. [Verkossa]. Saata-vissa: https://nmap.org/. [Viitattu: 03-kesä-2016].
[45] tcpdump, ”Tcpdump/Libpcap public repository”. [Verkossa]. Saatavissa:
http://www.tcpdump.org/. [Viitattu: 21-heinä-2016].
[46] ”Wireshark · Go Deep.” [Verkossa]. Saatavissa:
https://www.wireshark.org/. [Viitattu: 03-kesä-2016].
[47] ”CVE - Terminology”. [Verkossa]. Saatavissa:
http://www.cve.mitre.org/about/terminology.html. [Viitattu: 30-touko-2016].
[48] NIST, ”Guide for Applying the Risk Management Framework to Federal Information Systems”, NIST Spec. Publ., vsk. 800, s. 37, 2010.
[49] Viestintävirasto, ”Määräys 67 teletoiminnan tietoturvasta”. [Verkossa].
Saatavissa:
https://www.viestintavirasto.fi/ohjausjavalvonta/laitmaarayksetpaatok set/maaraykset/maarays67teletoiminnantietoturvasta.html. [Viitattu: 01-kesä-2016].
[50] FINLEX, ”Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestely-jen tietoturvallisuuden arvioinnista 1406/2011”. [Verkossa]. Saatavissa:
http://www.finlex.fi/fi/laki/alkup/2011/20111406. [Viitattu: 01-kesä-2016].
[51] FINLEX, ”Rikoslaki 39/1889”. [Verkossa]. Saatavissa:
http://www.finlex.fi/fi/laki/ajantasa/1889/18890039001. [Viitattu: 01-kesä-2016].
[52] ”Suomen kyberturvallisuusstrategia”. Valtioneuvoston periaatepäätös, 24-tammi-2013.
2”. [Verkossa]. Saatavissa: https://tools.ietf.org/html/rfc4949. [Viitattu:
23-huhti-2016].
[54] ”Valtioneuvoston asetus tietoturvallisuudesta… 681/2010”. [Ver-kossa]. Saatavissa: http://www.finlex.fi/fi/laki/ajantasa/2010/20100681.
[Viitattu: 03-kesä-2016].
[55] FINLEX, ”Tietoyhteiskuntakaari 917/2014”. [Verkossa]. Saatavissa:
http://www.finlex.fi/fi/laki/ajantasa/2014/20140917. [Viitattu: 01-kesä-2016].
[56] ”ISO/IEC 27005:2011(en), Information technology — Security tech-niques — Information security risk management”. [Verkossa]. Saatavissa:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27005:ed-2:v1:en. [Viitattu:
02-kesä-2016].
[57] ”OCTAVE | Cyber Risk and Resilience Management | The CERT Divi-sion”. [Verkossa]. Saatavissa: http://www.cert.org/resilience/products-services/octave/index.cfm. [Viitattu: 02-kesä-2016].
[58] Viestintävirasto, ”Välitystietojen käsittely”. [Verkossa]. Saatavissa:
https://www.viestintavirasto.fi/kyberturvallisuus/yhteisotilaajienoikeu detjavelvollisuudet/tunnistamistietojenkasittely.html. [Viitattu: 01-kesä-2016].
[59] S. Axelsson, ”Intrusion detection systems: A survey and taxonomy”, Technical report, 2000.
[60] V. Chandola, A. Banerjee, ja V. Kumar, ”Anomaly Detection: A Survey”, ACM Comput Surv, vsk. 41, nro 3, s. 15:1–15:58, heinä 2009.
[61] P. García-Teodoro, J. Díaz-Verdejo, G. Maciá-Fernández, ja E.
Vázquez, ”Anomaly-based Network Intrusion Detection: Techniques, Systems and Challenges”, Comput Secur, vsk. 28, nro 1–2, ss. 18–28, helmi 2009.
[62] P. V. Amoli ja T. Hämäläinen, ”A real time unsupervised NIDS for detect-ing unknown and encrypted network attacks in high speed network”, te-oksessa 2013 IEEE International Workshop on Measurements and Networking Proceedings (M N), 2013, ss. 149–154.
[63] D. Yang, A. Usynin, ja J. W. Hines, ”Anomaly-based intrusion detection for SCADA systems”, teoksessa 5th intl. topical meeting on nuclear plant in-strumentation, control and human machine interface technologies (npic&hmit 05), 2006, ss. 12–16.
[64] I. Garitano, R. Uribeetxeberria, ja U. Zurutuza, ”A review of SCADA anomaly detection systems”, teoksessa Soft Computing Models in Industrial and Environmental Applications, 6th International Conference SOCO 2011, 2011, ss. 357–366.
[65] Á. MacDermott, Q. Shi, M. Merabti, ja K. Kifayat, ”Intrusion Detection for Critical Infrastructure Protection”, teoksessa 13th Annual Postgraduate Symposium on Convergence of Telecommunications, Networking and Broadcast-ing (PGNet 2012), 2012.
2715–2729, 2013.
[67] D. Peraković, M. Periša, ja I. Cvitić, ”Analysis of the IoT impact on vol-ume of DDoS attacks”, teoksessa PosTel 2015, 2015.
[68] C. Zhang ja R. Green, ”Communication Security in Internet of Thing: Pre-ventive Measure and Avoid DDoS Attack over IoT Network”, teoksessa Proceedings of the 18th Symposium on Communications & Networking, San Di-ego, CA, USA, 2015, ss. 8–15.
[69] J. Mirkovic ja P. Reiher, ”A Taxonomy of DDoS Attack and DDoS Defense Mechanisms”, SIGCOMM Comput Commun Rev, vsk. 34, nro 2, ss. 39–53, huhti 2004.
[70] C. Douligeris ja A. Mitrokotsa, ”DDoS attacks and defense mechanisms:
classification and state-of-the-art”, Comput. Netw., vsk. 44, nro 5, ss. 643–
666, huhti 2004.
[71] ”Over 25,000 IoT CCTV Cameras Used In DDoS Attack”, Dark Reading.
[Verkossa]. Saatavissa: http://www.darkreading.com/vulnerabilities---
threats/over-25000-iot-cctv-cameras-used-in-ddos-attack/d/d-id/1326095. [Viitattu: 07-heinä-2016].
[72] M. Smith, ”IoT botnet: 25,513 CCTV cameras used in crushing DDoS at-tacks”, Network World, 28-kesä-2016. [Verkossa]. Saatavissa:
http://www.networkworld.com/article/3089298/security/iot-botnet-25-513-cctv-cameras-used-in-crushing-ddos-attacks.html. [Viitattu: 06-heinä-2016].
[73] ”Large CCTV Botnet Leveraged in DDoS Attacks”, Sucuri Blog, 27-kesä-2016. [Verkossa]. Saatavissa: https://blog.sucuri.net/2016/06/large-cctv-botnet-leveraged-ddos-attacks.html. [Viitattu: 06-heinä-2016].
[74] M. S. Bora ja A. Singh, ”Cyber Threats and Security for Wireless Devices”, J. Environ. Sci. Comput. Sci. Eng. Technol. JECET, vsk. 2, ss. 277–284, 2013.
[75] A. Jøsang, L. Miralabé, ja F. TazTag, ”It’s not a bug, it’sa feature: 25 years of mobile network insecurity”, teoksessa ECCWS2015-Proceedings of the 14th European Conference on Cyber Warfare and Security 2015: ECCWS 2015, 2015, s. 129.
[76] ”Endpoint Protection | Symantec Corporation”. [Verkossa]. Saatavissa:
https://www.symantec.com/products/threat-protection/endpoint-family/endpoint-protection. [Viitattu: 03-kesä-2016].
[77] ”What triggers a port scan detection in Symantec Endpoint Protection
(SEP)?” [Verkossa]. Saatavissa:
https://support.symantec.com/en_US/article.tech165237.html. [Viitattu:
03-kesä-2016].
[78] ”Symantec and Norton Security Products Contain Critical Vulnerabilities
| US-CERT”. [Verkossa]. Saatavissa: https://www.us-cert.gov/ncas/alerts/TA16-187A. [Viitattu: 11-heinä-2016].
[79] ”Security Advisories Relating to Symantec Products - Symantec Decom-poser Engine Multiple Parsing Vulnerabilities - 2016-06-28T00:03:00 PDT
https://www.symantec.com/security_response/securityupdates/detail.j sp?fid=security_advisory&pvid=security_advisory&year=&suid=2016062 8_00. [Viitattu: 11-heinä-2016].
[80] taviso, ”Project Zero: How to Compromise the Enterprise Endpoint”. . [81] ”NetBIOS Over TCP/IP”. [Verkossa]. Saatavissa:
https://technet.microsoft.com/en-us/library/cc940063.aspx. [Viitattu:
20-kesä-2016].
[82] ”Index of /pub/linux/kernel/v2.6”. [Verkossa]. Saatavissa:
https://www.kernel.org/pub/linux/kernel/v2.6/. [Viitattu: 03-heinä-2016].
[83] ”Boa 0.94.14rc21 Terminal privilege escalation”. [Verkossa]. Saatavissa:
https://vuldb.com/?id.51542. [Viitattu: 11-heinä-2016].
[84] evilaliv3, ”Exploit”. [Verkossa]. Saatavissa: https://www.exploit-db.com/exploits/33504/. [Viitattu: 11-heinä-2016].
[85] ”CVE - CVE-2009-4496”. [Verkossa]. Saatavissa: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4496. [Viitattu: 11-heinä-2016].
[86] ”SecurityFocus”. [Verkossa]. Saatavissa:
http://www.securityfocus.com/archive/1/508830. [Viitattu: 11-heinä-2016].
[87] ”Boa Webserver”. [Verkossa]. Saatavissa: http://www.boa.org/. [Viitattu:
11-heinä-2016].
[88] ”Pentesters (and Attackers) Love Internet Connected Security Cameras!”, SANS Internet Storm Center. [Verkossa]. Saatavissa:
https://isc.sans.edu/forums/diary/Pentesters+and+Attackers+Love+Int ernet+Connected+Security+Cameras/21231/. [Viitattu: 11-heinä-2016].
[89] ”Linux Linux Kernel version 2.6.32 : Security vulnerabilities”. [Verkossa].
Saatavissa: https://www.cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/version_id-123682/Linux-Linux-Kernel-2.6.32.html.
[Viitattu: 21-heinä-2016].
[90] ”CVE-2009-1298 : The ip_frag_reasm function in net/ipv4/ip_fragment.c in the Linux kernel 2.6.32-rc8, and 2.6.29 and later versions befor”. [Ver-kossa]. Saatavissa: https://www.cvedetails.com/cve/CVE-2009-1298/.
[Viitattu: 21-heinä-2016].
[91] ”CVE-2011-0709 : The br_mdb_ip_get function in net/bridge/br_multicast.c in the Linux kernel before 2.6.35-rc5 allows
remote attackers to”. [Verkossa]. Saatavissa:
https://www.cvedetails.com/cve/CVE-2011-0709/. [Viitattu: 21-heinä-2016].
[92] ”Windows XP End of Support”. [Verkossa]. Saatavissa:
https://www.microsoft.com/en-us/WindowsForBusiness/end-of-xp-support. [Viitattu: 21-heinä-2016].
[93] ”Microsoft Windows Xp : List of security vulnerabilities”. [Verkossa]. Saa-tavissa:
https://www.cvedetails.com/vulnerability-list/vendor_id-Windows-Xp.html. [Viitattu: 21-heinä-2016].
[94] ”Raspberry Pi 3 Model B”, Raspberry Pi. .
[95] ”USB 2.0 Ethernet Adapter”, Belkin. [Verkossa]. Saatavissa:
http://www.belkin.com/au/p/P-F4U047. [Viitattu: 21-heinä-2016].
[96] M. Maksimović, V. Vujović, N. Davidović, V. Milošević, ja B.
Perišić, ”Raspberry Pi as Internet of things hardware: performances and constraints”, Des. Issues, vsk. 3, s. 8, 2014.
[97] V. Vujović ja M. Maksimović, ”Raspberry Pi as a Wireless Sensor node:
Performances and constraints”, teoksessa 2014 37th International Conven-tion on InformaConven-tion and CommunicaConven-tion Technology, Electronics and Microelec-tronics (MIPRO), 2014, ss. 1013–1018.
[98] V. Vujović ja M. Maksimović, ”Raspberry Pi as a Sensor Web node for home automation”, Comput. Electr. Eng., vsk. 44, ss. 153–171, touko 2015.
[99] C. W. Zhao, J. Jegatheesan, ja S. C. Loon, ”Exploring IOT Application Us-ing Raspberry Pi”, Int. J. Comput. Netw. Appl., vsk. 2, nro 1, ss. 27–34, 2015.
[100] P. H. Patil ja A. A. Kokil, ”WiFiPi-Tracking at mass events”, teoksessa 2015 International Conference on Pervasive Computing (ICPC), 2015, ss. 1–4.
[101] ”Installing operating system images on Mac OS - Raspberry Pi
Documen-tation”. [Verkossa]. Saatavissa:
https://www.raspberrypi.org/documentation/installation/installing-images/mac.md. [Viitattu: 21-heinä-2016].
[102] ”FrontPage - Raspbian”. [Verkossa]. Saatavissa:
https://www.raspbian.org/. [Viitattu: 21-heinä-2016].
[103] ”Download Raspbian for Raspberry Pi”, Raspberry Pi. .
[104] ”Using your new Raspberry Pi 3 as a WiFi access point with hostapd”, Frillip’s Blog, 04-maalis-2016. [Verkossa]. Saatavissa:
https://frillip.com/using-your-raspberry-pi-3-as-a-wifi-access-point-with-hostapd/. [Viitattu: 16-heinä-2016].
[105] eLinux.org, ”RPI-Wireless-Hotspot - eLinux.org”, 06-kesä-2016. [Verkos-sa]. Saatavissa: http://elinux.org/RPI-Wireless-Hotspot. [Viitattu: 16-heinä-2016].
[106] P. Breuer, ”Linux Bridge+Firewall Mini-HOWTO version 1.2.0”,
19-joulu-1997. [Verkossa]. Saatavissa:
http://www.tldp.org/HOWTO/text/Bridge+Firewall. [Viitattu: 16-heinä-2016].
[107] C. Cole, ”Bridging mini-HOWTO”, maalis-2001. [Verkossa]. Saatavissa:
http://www.tldp.org/HOWTO/text/Bridge. [Viitattu: 16-heinä-2016].
[108] T. A. Limoncelli, ”Tricks You Can Do if Your Firewall is a Bridge”, teo-ksessa Proceedings of the 1st Conference on Conference on Network Administra-tion - Volume 1, Berkeley, CA, USA, 1999, ss. 6–6.
[109] J. Liu ja Y. Ma, ”Packet filtering in bridge”, teoksessa Internet Workshop, 1999. IWS 99, 1999, ss. 94–98.
[110] T. Y. James, ”Performance evaluation of Linux Bridge”, teoksessa Tele-communications System Management Conference, 2004.
http://www.tcpdump.org/tcpdump_man.html. [Viitattu: 21-heinä-2016].
[112] ”crontab(5): tables for driving cron - Linux man page”. [Verkossa]. Saata-vissa: http://linux.die.net/man/5/crontab. [Viitattu: 21-heinä-2016].
[113] ”crontab(1) - Linux man page”. [Verkossa]. Saatavissa:
http://linux.die.net/man/1/crontab. [Viitattu: 21-heinä-2016].
[114] C. L. Schuba, I. V. Krsul, M. G. Kuhn, E. H. Spafford, A. Sundaram, ja D.
Zamboni, ”Analysis of a denial of service attack on TCP”, teoksessa Secu-rity and Privacy, 1997. Proceedings., 1997 IEEE Symposium on, 1997, ss. 208–
223.
[115] A. D. Wood ja J. A. Stankovic, ”Denial of service in sensor networks”, Computer, vsk. 35, nro 10, ss. 54–62, loka 2002.
[116] R. Wagner, ”Address resolution protocol spoofing and man-in-the-middle attacks”, Inst., 2001.
[117] MODICON, Inc., ”Modbus Protocol Reference Guide”. kesä-1996.
[118] J. Jimenez Diaz, ”Using SNORT® for intrusion detection in MODBUS TCP/IP communications”. The SANS Institute, 2011.
[119] T. H. Morris, B. A. Jones, R. B. Vaughn, ja Y. S. Dandass, ”Deterministic Intrusion Detection Rules for MODBUS Protocols”, 2013, ss. 1773–1781.
[120] T. Ketola, ”Tietoturvaohjeiden ja työympäristön ristiriita”, 2016.
[121] R. R. R. Barbosa ja A. Pras, ”Intrusion Detection in SCADA Networks”, teoksessa Mechanisms for Autonomous Management of Networks and Services, B. Stiller ja F. D. Turck, Toim. Springer Berlin Heidelberg, 2010, ss. 163–
166.
[122] ”Snort - Network Intrusion Detection & Prevention System”. [Verkossa].
Saatavissa: https://www.snort.org/. [Viitattu: 09-heinä-2016].
Tutkimuslupapyyntö
Tutkimuksen aihe
TILAAJAn kiinteistöhallintajärjestelmien tietoturvakartoitus. Tutkimuksessa selvi-tetään TILAAJAn kiinteistöhallintajärjestelmiin liittyvien laitteiden, ohjelmistojen ja tietoliikenneyhteyksien tietoturvauhkia sekä kehitetään havaittuihin uhkiin suo-jaustoimenpiteitä.
Tutkimuksen tilaaja TILAAJA
Toimitusjohtaja N.N.
Tutkimuksen toteutus
Tutkimus tehdään pro gradu -tutkielmana. Tutkimuksen toteuttaa ohjelmistotek-niikan maisteriopiskelija Tuomas Tenkanen. Tutkimuksen ohjaajina toimivat pro-fessori Timo Hämäläinen ja lehtori Ari Viinikainen Jyväskylän Yliopiston Tietotek-niikan laitokselta.
Tutkimuksen toteuttajan taustaa
Tutkimuksen toteuttaja on suorittanut 120 opintopisteen verran tietotekniikan opintoja insinööri AMK -tutkinnon lisäksi Jyväskylän Yliopistossa syksystä 2014 alkaen. Tällä hetkellä tutkimuksen suorittaja työskentelee tutkimusavustajana Jy-väskylän Yliopiston IoT-laboratoriossa LaiTSo-hankkeessa pääasiallisina tehtävi-nään laboratorion verkon ylläpito ja kodin IoT-laitteiden tietoturvauhkien selvit-täminen.
Tutkimuksen toteutuksen päävaiheet - kirjallisuuskatsaus
- järjestelmien toteutuksen selvittäminen ja kuvaus * mitä laitteita
* minkälaiset tietoliikenneyhteydet * tietoliikenneyhteyksien rajakohdat * kuka valvoo, ylläpitää, kellä pääsy + dokumentaatio, käyttäjähaastattelut + tekninen havainnointi, yhteystestaus
- käytettyjen tietoliikenneprotokollien ja palveluiden kuvaus * mitkä protokollat, niiden ulkoinen ja sisäinen turvataso * mitä ohjelmia, palveluita käytössä
- riskianalyysit edellisistä
* miten vakavasti otettavia riskejä missäkin kohdassa + verkkokuvausten, pakettikaappausten analysointi
+ dokumentaation analysointi (esim. protokollakuvaukset) - mahdollinen penetraatiotestaus
* proof-of-concept -tasoinen hyökkäyssimulaatio
* käytännön esimerkki riskien realisoitumisen todennäköisyydestä + esim. kaapattujen kontrolliviestien toisintaminen
- ehdotukset suojausmenettelyiksi
* toimenpide-ehdotukset: käyttöoikeudet, suojauskeinot Tutkimusaineiston käsittely
Tutkimuksessa koottu aineistoa käsitellään huolellisesti ja anonyymisti ja se
Tutkimuksessa koottu aineistoa käsitellään huolellisesti ja anonyymisti ja se