Karmea tietoturvamoka mustissa laatikoissa: Suomalaisautot seurattavissa netissä

Viime aikoina mediassa on ollut keskustelua maanteiden yhtiöittämisestä ja suomalaisten autoihin pakolliseksi kaavaillusta ns. mustasta laatikosta. Itselläni heräsi huoli autoilijoiden yksityisyydensuojasta ja tietoturvasta. Kävi ilmi, että karmeasta tietoturvaongelmasta johtuen näitä mustia laatikoita sisältäviä autoja pystyi seuraamaan netin kautta reaaliajassa.

Kuinka seuranta onnistui?

Tämänhetkisen tiedon mukaan tietoturvaongelma löytyi nololla tavalla: Siihen riitti periaatteessa yksi Google-haku mustia laatikoita valmistavan yrityksen domainiin. Kun paljastuneella verkkosivulla valitsi mustan laatikon tyypin ja 6-numeroisen tunnisteen, sivu rupesi puskemaan auton koordinaatteja näkyviin:

Näitä koordinaatteja pystyy iskemään esim. Google Mapsiin ja katsomaan, missä autot ovat menossa. Kuvassa 1 on näkymä laatikkovalmistajan koordinaattisivulta ja kuvassa 2 sijaintietojen mäppäytyminen kartalle. Minkäänlaista varsinaista tietoturvaratkaisua sivulla ei ollut, mikäli generoitavissa olevaa 6-numeroista tunnistetta ei lasketa sellaiseksi.

Esimerkkiauton seuranta

Seurasin erästä autoa netissä sunnuntaina 8.1.2017. Auto lähti hämeenlinnalaiselta asuinalueelta klo 12.09. Auto poikkesi ensin paikallisessa S-marketissa ilmeisesti jonkinlaisten tarvikkeiden ostoa varten klo 12.12:

Marketista ajettiin ulos 12.23 ja suunnaksi otettin läheisen Kuohijärven itäpuolinen ranta-alue:

Paikalle saavuttiin klo 13.25. Kohde paljastui kesämökiksi Google Streetviewin perusteella:

Kesämökiltä lähdettiin kohti Hämeenlinnaa noin klo 14.15. Matkalla pysähdyttiin Kauppakeskus Tuulosen Hesburgerissa syömässä klo 14.45:

Takaisin lähtöpisteeseen auto saapui klo 15.39.

Laitevalmistaja paikasi alustavasti tietoturvaongelman klo 18.50.

Seuranta ja Suomi

Vaikka tässä tapauksessa seurannan alla oli vain yksi auto, todennäköisesti seurantaa olisi voinut suorittaa myös tuhansille muillekin autoille, joihon musta laatikko oli asennettu Suomessa. Mielenkiintoisena yksityiskohtana todettakoon, että kaikki projektin autoilijat eivät ole mukana koska ehdoin tahdoin pitäisivät seurannasta. Syyt voivat olla ihan talouspohjaisiakin. Esimerkiksi, mikäli haki työ- ja elinkeinoministeriön ns. energiatukea  sähköautolle, seurantalaite autossa oli pakollinen kolmen vuoden ajan.

Hämmentävää oli myös se, että autoilijan piti maksaa laitteesta vielä erikseen hankintahinta ja kuukausittaiset käyttökulut. Luulenpa, että lystin kustantajana olisivat autoilijat myös siinä tilanteessa, että järjestelmä olisi pakollinen kaikille autoille. Laitteiston kustannusten on julkisuudessa sanottu olevan halpoja, on puhuttu ”parista sadasta eurosta”. Testilaitteet ovat kuitenkin maksaneet jopa tuhat euroa…

Mustat laatikot ovat uhka autoilijan tietoturvalle ja yksityisyydensuojalle

Hallituksen kaavailemat mustat laatikot ovat vakava uhka autoilijan tietoturvalle ja yksityisyydensuojalle. Kuvitellaanpa tilannetta, jossa autojen mustien laatikoiden pakko olisi mennyt eduskunnassa läpi. Kuvitellaan edelleen, etä näitä asennuksia olisi tehty autoihin vaikkapa miljoona. Jos joku löytää tässä vaiheessa vastaavankaltaisen reijän, hän voi käyttää tietoja rikolliseen toimintaan todella tehokkaasti. Pahimmassa tapauksessa seurantaan ei tarvita kuin Internet-yhteys ja tietokone, mikä tekee potentiaalisten uhrien profiloinnin helpoksi. Mikäpä sen hauskempaa rikolliselle kuin katsoa koneelta, milloin kohde on miehittämättä ja helpointa tulla tyhjentämään.

On ymmärrettävää, että järjestelmät ovat kehitysvaiheessa ja bugeja ja ongelmia löytyy etenkin aluksi. Paljastunut tietoturvaongelma antaa kuitenkin erittäin piittamattoman kuvan autoihin mustia laatikoita haluavien tahojen suhtautumisesta autoilijoiden yksityisyydensuojaan ja tietoturvaan niin poliitikkojen kuin laitevalmistajienkin osalta. Jos haluaisin Suomeen lisää massiivista kansalaisten valvontaa, käyttäisin siihen ehdottomasti juuri näitä autojärjestelmiä. Toivon kuitenkin sydämeni pohjasta, että näitä vekottimia ei saada ikinä määrättyä pakollisiksi autoihin.

Janne Paalijärvi

Yksi vastaus artikkeliin “Karmea tietoturvamoka mustissa laatikoissa: Suomalaisautot seurattavissa netissä”

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *