29-06-2017 02:28:58

»Det er ikke en overdrivelse at kalde IoT en sikkerheds-katastrofe«

Internet of things: Milliarder af IoT-devices lider under, at sikkerheden er næsten ikke-eksisterende. Bedre uddannelse er vejen frem, mener DTU-professor.
Ajourført den 27. mar. 2017 Af Rene Pedersen - netværksredaktør
<p>" />

"Vi har ikke brug for teknologisk innovation. Vi bør i stedet prioritere undervisning, for det, vi faktisk mangler i forhold til at skabe en effektiv sikkerhedskultur, er at øge bevidstheden og forståelsen for de sikkerhedsrisici, vi har i vores hverdag,” mener Nicola Dragoni

“Alt der, kan forbindes til internettet, kan hackes. Det er ikke en overdrivelse at tale om en sikkerheds- og privacy-katastrofe”.

Sådan beskriver Nicola Dragoni, der er professor på DTU Compute en fremtid med milliarder af IoT-devices, hvis vi ikke gør noget ved sikkerheden. For antallet af internetopkoblede devices stiger med rekordfart, men det gør vores anstrengelser for at beskytte dem ikke.

Omfanget af problemet er svært at definere, for som i så mange andre af livets forhold er det et spørgsmål om opgørelsesmetode. Tæller smart phones f.eks. med som et IoT-device? Men uanset om det gør eller ej, og om man anslår, at der i 2025 bliver brugt 4 eller 11 billion dollars, kommer antallet af IoT-enheder til at stige kraftigt i de kommende år, og det betyder også, at flere kriminelle vil droppe det klassiske indbrud og i stedet angribe angribe digitalt. For sikkerheden, når vi taler internet of Things, er i bedste fald mangelfuld.

“Fra et sikkerheds- og privacy-perspektiv udgør denne tsunami af opkoblinger en potentiel katastrofe, fordi det er muligt at hacke alle disse enheder uafhængigt af hinanden, så de kan blive kontrolleret af ondsindede aktører,” siger Nicola Dragoni.

Han peger på en analyse lavet af HP Security Research i 2014, hvor de analyserede 10 af de mest populære IoT-devices. Analysen var skræmmende læsning og pegede blandt meget andet på, at 90 procent af enhederne indsamlede informationer, 80 procent krævede ikke et stærkt password, 70 procent manglede basal kryptering. Og listen af svagheder fortsætter blot.

Smart Home = Usikkert hjem

Ifølge Nicola Dragoni er det hele vejen rundt, at der er udfordringer med sikkerheden i IoT-enhederne. Men især forbrugerelektronikken og de mange enheder, der i dag får stemplet “smart home”, er fyldt med potentielle risici. Som eksempel nævner han “smarte” elpærer, som giver dig mulighed for at tilpasse lysstyrke via en app eller et webinterface.

“Nogle af disse pærer, f.eks. de populære Philips Hues, er blevet kompromiteret, og forskere har vist, hvor let det er at tilpasse en bil eller en drone, så den kan bevæge sig i et boligområde med det formål at inficere så mange elpærer som muligt med malware. Denne malware er i stand til at lukke ned for pæren eller få dem til at flimre on/off med en bestemt hastighed,” siger han.

En anden type internetopkoblet device, der er solgt millioner af de seneste år, er smart tv’er. Funktionaliteten bliver mærkbart øget, når dagens tv’er bliver koblet på nettet, men mange tænker ikke over, at mange varianter i dag har både mikrofoner og webcam installeret til brug for styring af apparaterne. Og at de også kan overtages af hackere, som på den måde får adgang til at følge med i, hvad der sker i dit hjem. Det samme gælder moderne baby-alarmer, som i dag kan fås med internetopkobling og webcam, og som ifølge Nicola Dragoni som oftest er udstyret med et standard password, som admin eller 000, og derfor skræmmende lette at lytte med på eller bruge til f.eks. man in the middle-angreb. Og heller ikke dyre hjemmealarm-systemer, fitness-trackers eller termostater er sikre.

Når de mange hjemme-gadgets er interessante for hackere, er det fordi, de kan bruges til en stribe af klassiske angreb. De kan f.eks. blive del af gigantiske DDoS Botnet, som i stigende grad bruges til at lægge store hjemmesider ned ved at dirigere massive trafikmængder ind på dem. Men også Man-In-The-Middle-angreb, hvor de sårbare enheder bliver brugt til at opsnappe brugernavne og passwords, er blevet populære. Samtidig tager hackerne nye metoder i brug.

“En Nest-termostat kan hackes på mindre end 15 sekunder, hvis der er fysisk adgang for en hacker. Fornyligt har forskere lavet et proof-of-concept for ransomware, der på afstand kunne inficere den førnævnte termostat og lukke ned for varmen, indtil offeret giver efter for afpresning," siger Nicola Dragoni.

Sundhedsdata mere værd end kreditkort

Eksemplet med løsesum er langt fra enestående for Nest. Alene det østrigske hotel The Seehotel Jägerwirt er blevet hacket mindst fire gange. Her har hackere overtaget kontrollen over bygningens låsesystem, og hotellet har derfor været nødt til at betale hackerne for at lade gæsterne komme ind på eller ud fra deres værelser.

“Det slår mig, at vi har med enorme mængder data at gøre, som er dårligt beskyttet, lettilgængeligt og meget værdifuldt for ondsindede tredjeparter. Folk har en tendens til at linke sikkerhed til penge i en bankboks, men vi ser et radikalt skift i forhold til, hvad der er værdifuldt på det sorte marked. Det seneste årti har hackere ikke bare gået efter vores kreditkort. De går efter mønstre i vores liv,” siger Nicola Dragoni.

Som eksempel nævner han, at kriminelle på diverse “dark web” foraer betaler op til 500 dollars for sundhedsdata, hvilket er 10 gange mere end for et kreditkort. Pointen er, at hvis de kriminelle har dine elektroniske sundhedsdata, har de dit cpr-nummer, din adresse, information om dine børn, dit job etc., så kan de også udgive sig for at være dig. I USA har der også været eksempler på folk, der har modtaget behandling på hospitalet i et falsk navn, og herefter er regningen sendt til personen, som de har stjålet oplysninger fra.

“Dette er ved at nå epidemiske proportioner. Bare for at nævne et eksempel blev 78.800.000 af Anthems (amerikansk leverandør af sundhedsforsikringer) kunder hacket i februar 2015. Det var det største tyveri af sundhedsdata nogensinde, og det åbnede for sluserne. Mere end 113 millioner journaler blev kompromitteret i 2015, og for nylig har hackeren kendt som "TheDarkOverlord" sat over 650.000 patientjournalser til salg på “The dark web”. Hackeren udnyttede en sårbarhed i remote desktop-protokollerne for at få adgang til de medicinske databaser,” siger Nicola Dragoni.

Tidligere på året kom det f.eks. frem, at knap 1000 computere alene på Hovedstadens hospitaler kører Windows XP og derfor er sårbare for hacker-angreb. Men det er langtfra de eneste udfordringer for sundhedsvæsenet.

“Medtronic, en af verdens største producenter af medicinske teknologier, serviceydelser og løsninger, producerer en insulin-pumpe, som kan kontrollere patienters blodglukoseniveau automatisk. Desværre er systemet ikke krypteret, ligesom det ikke kræver godkendelse af brugeren,” siger han og forklarer.

“Et sådant ukontrolleret system betyder, at ikke-autoriserede tredjeparter kan opsnappe en legitim kommando og udskifte den med en ny, som i stedet leverer en dødelig insulindosis til patienten”.

Uddannelse er vejen frem

Ifølge Nicola Dragoni handler det ikke om uvilje fra den enkelte producent. Det handler om tid og økonomi. Og hvorfor gøre en indsats, når ingen andre gør en indsats, og når enhederne ofte har en meget kort levetid, før vi skifter dem ud?

“Firmaerne har ofte travlt, og de fleste af dem ignorerer ganske simpelt sikkerheden eller udskyder det så meget som muligt. Kun 48 procent af firmaerne fokuserer på sikkerhed i deres enheder allerede i udviklingsfasen, siger han og henviser til en undersøgelse lavet af Capgemini Consulting i 2015.

Undersøgelsen viste også, at blot 49 procent af virksomhederne, der producerer IoT-enheder, leverer opdateringer, små 35 procent inviterer hackere til at angribe og finde svagheder i deres produkter, og kun 20 procent har selv ansat sikkerhedseksperter. Og det er langt fra tilstrækkeligt i en tid, hvor de kriminelle opruster og bliver dygtigere.

“Hackere tilbyder i visse tilfælde 24/7 callcentre, hvis deres ofre løber ind i tekniske problemer. Chokerende nok er den support, ofrene får fra hackerne, nogle gange bedre end den support, de får fra deres egen internetudbyder,” siger Nicola Dragoni.

Men hvordan kommer virksomhederne up to speed? Hvordan stopper vi den udvikling, som ifølge Nicola Dragoni allerede er på vej ud af kontrol?

“Før vi kan levere svaret, er vi nødt til at tage et skridt tilbage og stille det basale spø’rgsmål: Hvad er det grundlæggende problem? Er det teknologisk? Eller omformuleret, har vi den rigtige teknologi til at beskytte vores IoT-enheder? Eller har vi brug for nye sikkerhedsløsninger,” spørger Nicola Dragoni og svarer selv.

“Vores - måske provokerende - svar er nej. Vi har ikke brug for teknologisk innovation. Eller ideelt set har vi naturligvis, men det er ikke nødvendigt. Vi bør i stedet prioritere undervisning, for det, vi faktisk mangler i forhold til at skabe en effektiv sikkerhedskultur, er at øge bevidstheden og forståelsen for de sikkerhedsrisici, vi har i vores hverdag,”

Han peger på, at svaghederne i IoT-enhederne alle har den samme karakteristika: De er alle mulige på grund af en naiv tilgang allerede i designfasen, hvor sikkerhed ikke er prioriteret. For der er ikke noget naturstridigt i at beskytte Internet of Things-enheder.

“Følger vi basale og afprøvede sikkerhedsmetoder, vil det være muligt at beskytte disse enheder mod cyber-angreb. Måske vil hackere opfinde mere sofistikerede måder at angribe vores IoT-enheder, men i øjeblikket gør vi livet alt for nemt for dem. Det er vigtigt at forstå,” siger han.

Producenterne bør ifølge Nicola Dragoni tænke sikkerhed ind som en essentiel del af hele produktets livscyklus og ikke blot som et “one-time issue”. Derudover mener han, at alle enheder bør udsættes for ganske standardiserede angreb som at scanne netværket via network sniffers, brute attack-angreb på de ofte simple web interfaces, ligesom producenterne skal holde op med at bruge simple passwords til autorisation. På alle måder en tilgang, som forbrugerne egentlig burde forvente var standard - men som vi alligevel ikke efterspørger i en tilstrækkelig grad.
“Det primære problem i forhold til IoT-sikkerhed er, at sikkerhedskulturen er næsten ikke-eksisterende i vores samfund. Det vil være logisk, at jo mere teknologien udvikler sig og bliver en vigtig del af vores liv, jo mere bør fokus på sikkerhed også øges. Men det sker ikke, eller det sker meget langsomt,” siger han og forklarer at børn i dag uden problemer bruger computere, tablets, mobiltelefoner og andet it-grej. Men de er spejlblanke, når det kommer til både it-sikkerhed og privacy.

“Vi er overbeviste om, at uddannelse er nøglen til at håndtere en betydelig del af dagens IoT-sikkerhedsproblemer. Hvis vi kan højne forståelsen for sikkerhed i både virksomheder og hos slutbrugerne, vil fremtiden måske ikke se så skræmmende ud som nu. Vi opfordrer forskningsverdenen til at komme på banen for at løse denne nye og spændende udfordring,” siger han.

Nicola Dragoni holder oplæg i maj 


Deltag i debatten

luk
close