Turvallisena pidetty salaus murtui – tutkijat haluavat parantaa Internet of Things -laitteiden tietoturvaa
Turun yliopiston tutkijat pyrkivät parantamaan Internet of Things -laitteiden kykyä torjua tietoturvahyökkäyksiä ja kehittävät laitteissa olevien mikropiirien tietoturvaa.
Tietoturvahyökkäyksissä käytetään menetelmiä, joiden avulla hakkeri voi löytää IoT-laitteen mikropiirin salausavaimen. Näin hakkeri pääsee käsiksi kaikkeen mikropiirin avulla salattuun tietoon ja voi ohjata IoT-laitetta. Arkaluontoisten tietojen levityksellä tai esimerkiksi tehtaan prosessien ohjaamisella voidaan aikaansaada suurta vahinkoa. IoT-laitteen salausavaimen löytäminen voi mahdollistaa myös anonyymit hyökkäykset Internet-verkkoon.
– Nykyaikaisiin hyökkäysmenetelmiin kuuluu esimerkiksi sivukanavahyökkäys, joka hyödyntää IoT-laitteen mikropiiristä saatavia fyysisiä tietoja, kuten virrankulutusta tai sähkömagneettista säteilyä. Sivukanavahyökkäyksiä voidaan torjua integroimalla IoT-laitteen mikropiiriin estokeinoja, sanoo Mika Naula, joka johtaa Turun yliopiston tulevaisuuden teknologioiden laitoksella syyskuussa alkavaa uutta tietoturvan tutkimushanketta.
Ilman estokeinoja IoT-laitteen mikropiiri on avoin sivukanavahyökkäykselle, jolloin hakkeri voi löytää pitkätkin salausavaimet nopeasti. IoT-laitteen ohjelmisto on usein mahdollista vaihtaa pienin kustannuksin, mutta laitteiston vaihto tietoturvasyistä tulee erittäin kalliiksi.
– Tutkimuksemme päätavoite on kehittää tietoturvallinen mikropiiri. Hankkeeseen osallistuu 14 Suomessa toimivaa yritystä ja organisaatiota. Hankkeen yhteydessä Turun ammattikorkeakoulu kehittää Salon IoT-kampuksen kyberturvallisuuslaboratorioon sivukanavahyökkäyksien testausmenetelmiä, Naula kertoo.
– Turun yliopiston tutkimushanke on jatkoa monivuotiselle mikropiirien tietoturvatutkimukselle yhdessä Suomen puolustusvoimien kanssa. Edellisessä yhteisessä hankkeessa tutkijat löysivät muun muassa kaupallisen salausmoduulin AES-256 salausavaimen sähkömagneettisen sivukanavahyökkäyksen avulla, joka tehtiin itse tehdyillä työkaluilla. Hankkeen avulla halusimme tutkia kaupallisten salausmoduulien tietoturvan tasoa, sanoo Mika Kaustinen, joka osallistui projektiin teknisenä asiantuntijana.
JV
Kuva: Lauri Koskinen