23-10-2018 05:35:41

»IoT-producenterne er fuldstændig ligeglade med sikkerhed«

Internet of things: Vi vælter os i elektroniske enheder, der er koblet på internettet. Men vores nye, smarte legetøj udgør en stigende risiko for vores it-sikkerhed
21. feb. 2017 Af Rene Pedersen - netværksredaktør

Sikkerhedshullerne i de internet of things-enheder, som vi i stigende grad omgiver os med, er enorme. Og hvad værre er: Vi kan praktisk talt ikke gøre noget som helst ved det.

Den svenske it-sikkerhedsekspert David Jacoby fra Kaspersky Lab er alt andet end positiv, når det kommer til hypen omkring internet of things og den parade af såkaldte smart devices, som er rykket ind i de fleste hjem. Blandt andet har han svært ved at forstå, hvorfor dumme enheder med en internetforbindelse bliver kaldt smart devices, altså smart-tv, smart printer, smart køleskab osv. Men primært er han bekymret for sikkerhedsniveauet i enhederne, som han kalder “a nightmare”, fordi producenterne ifølge David Jacoby ikke anser den svage sikkerhed for et problem.

“Producenterne af IoT-devices er fuldstændig ligeglade,” hævder han.

David Jacoby skabte støj i sikkerheds-communitiet, da han i 2014 valgte at hacke sit eget hjem.
Systematisk gik han i gang med at se, om han kunne bryde ind i sine egne enheder på netværket, og det gik noget lettere end forventet. Blandt andet tog det ham mindre end 20 minutter at hacke sig ind i sin egen netværksharddisk. Og det skræmmer ham stadig.

“Hvis du tænker over det, så er det på netværksharddisken, at alle de “juicy information” befinder sig. Det er her, du har alt fra feriebilleder til dokumenter. Og fordi sikkerhedsbranchen har hjernevasket alle til at tage backup, har mange nu købt en netværksharddisk, som i virkeligheden er meget mere sårbar end deres computer”, siger han.

Hackede hele maskineparken

Men det var langt fra bare netværksharddisken, som havde problemer. I alt hackede han i løbet af en måned mere eller mindre hele maskinparken.

“Hvert eneste device i huset, som jeg testede - undtagen min printer, hvor jeg ikke kunne finde noget ‘cool stuff’ - var sårbar på en eller anden måde. Det drejede sig om alt fra eksekvering af kode, omgåelse af autentifikation og indsprøjtning af andre data,” siger han og fortsætter.

“Nogle enheder var konfigureret på en sådan måde, at de tillod mig at spore netværkstrafik, så jeg fra et kompromitteret device kunne aflæse netværkstrafikken via et man in the middle-attack”.

Via et sådan angreb kan man f.eks. aflure kreditkortinformationer, passwords mm. Og kan du eksekvere kode, har du også mulighed for at udføre systemkommandoer på enheden, og så er helvede løs. Men det, der skræmte David Jacoby mest, var alligevel niveauet af adgang, som han hurtigt fik til de mange enheder i privaten.

Selv om der i hjemmet var installeret en firewall, og der ikke var åbne porte i den, fandt han svagheder, som kunne udnyttes blot ved at åbne et website. Fordi interne ip-adresser ofte er lette at gætte - routeren benytter f.eks. ofte 192.168.0.1 - kunne han skrive et simpelt script, der scannede hele det interne netværk, fandt alle smart-devices på det og sendte en stump ondsindet kode.

“Jeg kunne hacke mit eget hjem fra Berlin, hvis det skulle være. Det var muligt, selv om jeg havde en firewall, og det er temmelig slemt” siger han.

Selv om der nu er gået to år, mener han ikke, at der er sket noget som helst. Sikkerheden er stadig elendig, og nu har vi bare endnu flere enheder, som kompromitterer vores sikkerhed.

En af de seneste standarder, David Jacoby har fået øjnene op for, er letvægts-protokollen MQTT, som bliver brugt i mange små IoT-enheder, der typisk hverken har hukommelse eller CPU. Altså virkelig dumme enheder, som bruger MQTT-protokollen til at kommunikere de data, de finder. Det kan f.eks. være sensorerer, der registrerer og tracker alt fra vejr, lys, luftforurening, fugt og meget mere. Umiddelbart uskyldige enheder, men den manglende sikkerhed er alligevel et problem mener David Jacoby.

“Tænk på, at hvis du kan ændre værdierne, som f.eks. en jordskælvs-sensor sender til politiet, så vil de blive sendt, som om det er sket,” siger han.

I forbindelse med en præsentation nævnte David Jacoby blandt andet MQTT, og efterfølgende kom en producent, der havde hørt præsentationen op til ham.

“Han kom hen til mig efter præsentationen og sagde, ‘vi har implementeret denne protokol, og vi er f**ked”. Der er ingen mulighed for, at de kan implementere sikkerhed, og de havde ikke skænket det en tanke,” siger han.

Stopper opdateringerne

Ifølge sikkerhedseksperten ligger ansvaret fuldstændig hos producenterne. Primært fordi de ifølge David Jacoby ikke tager opgaven alvorlig. Det oplevede han især, da han henvendte sig til firmaerne i forbindelse med at have hacket sit eget hjem.

“Når du rapporter en sårbarhed til producenterne, er de fleste fuldstændig ligeglade. Der var en enkelt producent, der vendte tilbage til mig og sagde tak og lovede at fikse svagheden i deres fremtidige produkter,” siger han.

“Og det er det svar, jeg vil høre fra en producent. Jeg vil ikke høre, at det er et gammelt produkt, som vi ikke vil fikse, og jeg vil ikke opleve, at jeg ikke får noget svar. Men det er sådan, det er”.

Derudover mener han, at det blandt andet skyldes enhedernes korte livscyklus, at producenterne ikke gør mere. Ofte stopper producenterne med at lave sikkerhedsupdates efter seks måneder. Og med et stop for opdateringer så hurtigt, vil de fleste forbrugere slet ikke opleve, at der kommer opdateringer, fordi store elektronikkæder ofte sælger ældre produkter, som ikke længere bliver opdateret.

Og selv hvis der kommer sikkerheds-updates, mener David Jacoby ikke, at det er for almindelige mennesker at installere opdateringerne. Mange enheder kræver, at du selv er opmærksom på, at firmware er forældet, og at du henter den nye software på producentens hjemmeside. Og derefter skal den hentes, ofte pakkes ud og så igen uploades til enheden. Og her står mange almindelige brugere af.

“Nogle mennesker er bare pisse ligeglade. Og det er et problem,” siger han og fortsætter.

“For der er ikke nogle faste rutiner bygget ind. Producenterne håber bare, at du køber et nyt device. Men hvor ofte køber du f.eks. et nyt tv? Jeg tror ikke, at de fleste køber et nyt tv hvert femte år”.

Fælles standarder

En slags fælles standarder for implementeringen af it-sikkerhed i IoT-enhederne ville ifølge David Jacoby være et skridt på vejen. Men der er lang vej til en fremtid, hvor alle smart devices, der bliver sendt på markedet, som udgangspunkt er sikre.

“Lige nu er vi nødt til at starte forfra, for systemet er “broken by default,” siger han og sammenligner med en bil. Her findes der en række forskellige bilproducenter, som har hver deres små nicher. Men når det kommer til f.eks. at installere en airbag, er der nogle helt klare branche-standarder. Det findes ikke i it-branchen.

“Vi er nødt til at ændre på hele måden, folk forbruger elektronik samt hvordan producenterne implementerer netværk i deres devices. Hvis vi kan gøre det, så ja, så er der en løsning,” siger han og fortsætter.

“Hvis vi starter nu, kan vi måske om 10 år være der. Men kun hvis producenterne er åbne i forhold til at diskutere og lytte til, hvad sikkerhedseksperterne siger, og hvis forbrugerne samtidig presser dem ved at kræve sikkerhed i produkterne,” siger han.

Han peger på Sverige og slutningen af 90erne, hvor internetbrugerne gik fra modem til DSL-forbindelser, hvilket betød, at computerne altid var online. Som udgangspunkt havde hverken DSL-router eller computerne en firewall, og da Windows-computere som udgangspunkt delte mapper, var der næsten frit spil, hvis man ville bryde ind. Men i løbet af nogle få år fik både internetleverandørerne og Microsoft indbygget en firewall

“Forskellen på dengang og nu er, at internetleverandørerne og Microsoft så dette som et problem og gjorde noget ved det. Men hvis du taler med IoT-producenterne - især dem fra home entertainment-industrien - så ser de ikke sikkerheden som et problem. Det er ikke deres primære fokus,” siger han.

David Jacoby holder oplæg om huller i IoT-sikkerheden 18. maj


Deltag i debatten

IT - artikler og arrangementer

Nyeste IT-job fra Jobfinder

luk
close