Viime aikoina mediassa on ollut keskustelua maanteiden yhtiöittämisestä ja suomalaisten autoihin pakolliseksi kaavaillusta ns. mustasta laatikosta. Itselläni heräsi huoli autoilijoiden yksityisyydensuojasta ja tietoturvasta. Kävi ilmi, että karmeasta tietoturvaongelmasta johtuen näitä mustia laatikoita sisältäviä autoja pystyi seuraamaan netin kautta reaaliajassa.

Kuinka seuranta onnistui?

Tämänhetkisen tiedon mukaan tietoturvaongelma löytyi nololla tavalla: Siihen riitti yksi Google-haku mustia laatikoita valmistavan yrityksen domainiin. Kun paljastuneella verkkosivulla valitsi mustan laatikon tyypin ja 6-numeroisen tunnisteen, sivu rupesi puskemaan auton koordinaatteja näkyviin. Näitä koordinaatteja pystyy iskemään esim. Google Mapsiin ja katsomaan, missä autot ovat menossa. Kuvassa 1 on näkymä laatikkovalmistajan koordinaattisivulta ja kuvassa 2 sijaintietojen mäppäytyminen kartalle. Minkäänlaista varsinaista tietoturvaratkaisua sivulla ei ollut, mikäli generoitavissa olevaa 6-numeroista tunnistetta ei lasketa sellaiseksi.

Esimerkkiauton seuranta

Seurasin erästä autoa netissä sunnuntaina 8.1.2017. Auto lähti hämeenlinnalaiselta asuinalueelta klo 12.09. Auto poikkesi ensin paikallisessa S-marketissa ilmeisesti jonkinlaisten tarvikkeiden ostoa varten klo 12.12. Marketista ajettiin ulos 12.23 ja suunnaksi otettin läheisen Kuohijärven itäpuolinen ranta-alue. Paikalle saavuttiin klo 13.25. Kohde paljastui kesämökiksi Google Streetviewin perusteella (kuva 4).

Kesämökiltä lähdettiin kohti Hämeenlinnaa noin klo 14.15. Matkalla pysähdyttiin Kauppakeskus Tuulosen Hesburgerissa syömässä klo 14.45. Takaisin lähtöpisteeseen auto saapui klo 15.39.

Laitevalmistaja paikkasi alustavasti tietoturvaongelman klo 18.50.

Seuranta ja Suomi

Vaikka tässä tapauksessa seurannan alla oli vain yksi auto, todennäköisesti seurantaa olisi voinut suorittaa myös tuhansille muillekin autoille, joihon musta laatikko oli asennettu Suomessa. Mielenkiintoisena yksityiskohtana todettakoon, että kaikki projektin autoilijat eivät ole mukana koska ehdoin tahdoin pitäisivät seurannasta. Syyt voivat olla ihan talouspohjaisiakin. Esimerkiksi, mikäli haki työ- ja elinkeinoministeriön ns. energiatukea sähköautolle, seurantalaite autossa oli pakollinen kolmen vuoden ajan.

Hämmentävää oli myös se, että autoilijan piti maksaa laitteesta vielä erikseen hankintahinta ja kuukausittaiset käyttökulut. Luulenpa, että lystin kustantajana olisivat autoilijat myös siinä tilanteessa, että järjestelmä olisi pakollinen kaikille autoille. Laitteiston kustannusten on julkisuudessa sanottu olevan halpoja, on puhuttu "parista sadasta eurosta". Testilaitteet ovat kuitenkin maksaneet jopa tuhat euroa…

Mustat laatikot ovat uhka autoilijan tietoturvalle ja yksityisyydensuojalle

Hallituksen kaavailemat mustat laatikot ovat vakava uhka autoilijan tietoturvalle ja yksityisyydensuojalle. Kuvitellaanpa tilannetta, jossa autojen mustien laatikoiden pakko olisi mennyt eduskunnassa läpi. Kuvitellaan edelleen, että näitä asennuksia olisi tehty autoihin vaikkapa miljoona. Jos joku löytää tässä vaiheessa vastaavankaltaisen reiän, hän voi käyttää tietoja rikolliseen toimintaan todella tehokkaasti. Pahimmassa tapauksessa seurantaan ei tarvita kuin Internet-yhteys ja tietokone, mikä tekee potentiaalisten uhrien profiloinnin helpoksi. Monet rikolliset maksaisivat myös maltaita, mikäli saisivat tietoonsa reaaliaikaisesti kaikkien poliisiautojen liikkumiset. Todennäköisempi uhkakuva on kuitenkin tilanne, jossa murtomiehet seuraavat autojen liikkeitä netissä ja päättelevät, milloin on kannattavaa mennä murtokeikalle.

On ymmärrettävää, että järjestelmät ovat kehitysvaiheessa ja bugeja ja ongelmia löytyy etenkin aluksi. Paljastunut tietoturvaongelma antaa kuitenkin erittäin piittamattoman kuvan autoihin mustia laatikoita haluavien tahojen suhtautumisesta autoilijoiden yksityisyydensuojaan ja tietoturvaan niin poliitikkojen kuin laitevalmistajienkin osalta. Jos haluaisin Suomeen lisää massiivista kansalaisten valvontaa, käyttäisin siihen ehdottomasti juuri näitä autojärjestelmiä. Toivon kuitenkin sydämeni pohjasta, että näitä vekottimia ei saada ikinä määrättyä pakollisiksi autoihin.

Janne Paalijärvi – http://paalijarvi.fi/

Facebook: https://www.facebook.com/paalijarvi

Twitter: https://twitter.com/paalijarvi

Päivitys 2017-01-09 klo 10.35: Lisätty maininta todennäköisimmästä hyökkäysskenaariosta