Suomalaisten yksityisiä valvontakamerakuvia on julkisesti esillä netissä.
Insecam-niminen verkkosivu kerää avointen valvontakameroiden kuvaa ympäri maailmaa. Sivulla pyörii tälläkin hetkellä lähetys reilusta kahdesta tuhannesta valvontakamerasta.
Suomesta sivulla on 13 kameraa. Suurin osa niistä näyttää ulkokuvia rakennuksista ja pihoilta, mutta ainakin yksi kameroista kuvaa vaatekauppaa sisäpuolelta.
Suorassa videofeedissä näkyy sekä liikkeen asiakkaita että työntekijöitä.
Kysyimme kahdelta ammattihakkerilta, mistä on kyse.
Vain jäävuoren huippu
Insecam väittää näyttävänsä sivustollaan ainoastaan valvontakameroita, jotka ovat verkossa avoimesti kenen tahansa nähtävissä. Se ei siis omien sanojensa mukaan hakkeroi laitteita.
Käytännössä sivulle on päätynyt ainakin kameroita, jotka on liitetty nettiin, mutta joita ei ole suojattu salasanalla.
Ammattihakkeri Benjamin Särkälle Insecam-sivusto on tuttu. Se ei kuitenkaan ole ainoaa laatuaan, vaan vastaavanlaisia palveluita on netti pullollaan, hän kertoo.
– Insecam saa helppokäyttöisyytensä vuoksi muita enemmän huomiota, mutta verkosta löytyy avoimesti myös paljon arkaluontoisempaakin materiaalia, kuten yrityssalaisuuksia. Tässä mielessä Insecam on vain jäävuoren huippu, Särkkä kertoo.
Yksi tunnetuimmista palveluista on Shodan, joka kerää valvontakamerakuvien lisäksi muutakin avointa dataa, palvelimia ja kriittistä infrastruktuuria kassakoneista jäähallien jäähdytysjärjestelmiin.
Käytännössä nämä sivustot haravoivat internetistä avoimesti saatavilla olevia tietoja ja luovat löytämistään tiedoista käyttäjäystävällisiä tietokantoja ja hakukoneita.
Suora tietoturvariski
Insecamiin päätyneissä suomalaisissa kameroissa ei näy varsinaisesti mitään kriittistä eikä kuvissa tapahdu juuri mitään.
Toisaalta se, että ulkopuolinen pystyy katsomaan valvontakamerakuvaa, ei välttämättä olekaan itse ongelma, Särkkä toteaa.
Avoimeksi jäänyttä valvontakameraa voidaan nimittäin käyttää hyökkäysreittinä yrityksen tai kodin verkkoon, mikäli kamera on yhteydessä muihin laitteisiin.
Tällöin hyökkääjä voi varastaa tietoja tai aiheuttaa muuta vahinkoa haittaohjelmilla.
– Silloin se aiheuttaa suoran tietoturvariskin. Hyökkäysriski on merkittävästi suurempi, kun kamera on avoin ja kaikille nähtävissä.
Insecamin kaltaisten sivustojen eettisyyttä voi pitää kyseenalaisena. Särkkä on kuitenkin sitä mieltä, että sen olemassaolosta on enemmän hyötyä kuin haittaa.
– En näe, että se on tässä mitenkään paha toimija. Päinvastoin, tällaiset sivut mahdollistavat merkittävän hyvän palvelun tietoturvatutkijoille, Särkkä sanoo.
F-Securen tietoturva-asiantuntija ja ammattihakkeri Laura Kankaala on samoilla linjoilla. Hänen mukaansa sivut tekevät näkyväksi valtavan ongelman, joka piilee siinä, että laitteita laitetaan suojaamatta kiinni nettiin.
– Vaikka sivua ei olisi olemassa, nämä kamerat olisivat silti avoimena kaikkien nähtävillä.
Miten suojautua?
Kukaan tuskin silti haluaisi, että oman kameran kuvat päätyvät tällaisille sivuille kaikkien nähtäville.
Kankaalan sivistynyt veikkaus on, että Insecamiin päätyneet kamerat ovat luultavasti vanhoja malleja.
– Nykyään kameroissa on jokin sovellus tai nettisivu, jonka kautta kuvaa katsotaan, hän perustelee.
Kankaalan mukaan kodin älylaitteisto olisi syytä käydä huolella läpi. Kodit ovat täynnä laitteita, joita hakkerit voivat käyttää esimerkiksi palvelunestohyökkäyksiin.
Salasanan asettaminen on ensimmäinen vaihe omien laitteidensa suojaamiseksi, mutta se ei yksin riitä. Lisäksi olisi tarkistettava, onko laitteen ohjelmisto ajantasalla.
Ilman salasanaa toimivat kamerat Kankaala suosittelee vaihtamaan uusiin mahdollisimman nopeasti.
Jos ei ole varma, onko oma valvontakamera suojaamatta verkossa kiinni, asian voi selvittää pohtimalla, miten kameran kuvaa käy itse katsomassa.
– Eli menetkö suoraan jollekin nettisivulle, joka ei vaadi kirjautumista tai salasanaa.
Kamerat jäävät vahingossa julkisiksi
Ainakin jotkin Insecamiin päätyneistä valvontakameroista on voitu jättää tarkoituksella yleisön nähtäville.
Särkkä kuitenkin uskoo, että osa kameroista ei ole tarkoituksella julkisia, vaan ne on asennettu väärin joko huolimattomuutta tai ymmärtämättömyyttä.
– On ehkä haluttu ajatella, ettei kukaan ikinä arvaa valvontakamerakuvan verkko-osoitetta. Sitten joku onkin käynyt kaikki maailman osoitteet läpi, ja kamera on löytynyt.
Avoimeksi jääneiden kameroiden löytämiseen ei välttämättä tarvita syvällistä teknistä osaamista. Yksinkertaisimmillaan siihen riittää taitavasti muotoiltu Google-haku.
Insecam on ollut toiminnassa kymmenisen vuotta. Vaikka palvelussa näkyy tälläkin hetkellä suomalaisten pihoja ja taloja, tilanne on kuitenkin merkittävästi parempi tänä päivänä kuin sivuston perustamisen aikaan, Särkkä toteaa.
Vielä kymmenen vuotta sitten amerikkalainen CBS News kertoi, että sivulla oli kymmeniätuhansia kameroita. Tänä päivänä puhutaan muutamasta tuhannesta.
– Ymmärrys tietoturvasta on korkeampi, minkä lisäksi myös laitevalmistajat ovat vaikeuttaneet sitä, etteivät laitteet ole enää täysin salaamattomia.
