17-12-2018 06:22:45

Den 18. april 2018 satte vi fokus på mulighederne i embeddede teknologier. 

»Vi bør ikke tillade, at vores embeddede systemer kan hackes«

Embedded Everywhere: Sikkerheden i Internet of Things har et forfærdeligt ry. En del af løsningen kan være at tænke lidt på sikkerhed som open source-kode. Alt er som udgangspunkt åbent og derved hacket, men på trods af det kan vi godt sikre vores embeddede systemer.
14. mar. 2018 Af Rene Pedersen - netværksredaktør

2018 var blot få dage gammel, da årets første store it-sikkerheds-udfordringer meldte sig. Sårbarhederne fik navnene Meltdown og Spectre og satte igen fokus på, at det tenderer en sisyfosopgave at sikre vores it-systemer.

Det interessante ved Meltdown og Spectre er, at de går direkte i kødet på de processorer, der sidder i alle computere og embeddede systemer. Med dem i hånden kan ondsindede brugere hente oplysninger fra computerens hukommelse, der som udgangspunkt ikke burde være adgang til. Det kan for eksempel være kodeord.

Martin Milter er Security Solutions Engineer hos elektronik- og komponentdistributøren Avnet Silica, og han mener, at Meltdown og Spectre meget fint illustrerer en generel problematik i sikringen af alle de enheder, vi kobler på nettet og kalder Internet of Things - eller IoT. 

“Lad os bare antage, at alle har adgang til vores CPU og alle kan køre kode på CPU’en. Vi antager at alt er helt åbent - det er hacket - og man kan se alt. Så vi anbefaler, at man på intet tidspunkt i applikation stoler på, at sikkerheden i de kommunikationsprotokoller er gode nok,” siger han.

Derfor mener Martin Milter, at vi bør tænke IoT-sikkerhed på samme måde som open source-kode.

Når vi bruger open source, er det blandt andet fordi, alle kender koden, og der ikke er noget hemmeligt. Det, der giver sikkerheden i open source-produkter, er de nøgler, man lægger ovenpå. Derfor spiller det ingen rolle for sikkerheden, om folk har kildekoden eller ej.

“Hvis du sørger for at holde nøgler hemmelige, så kan lækager af source kode eller passwords i mange tilfælde være irrelevante i forhold til at bryde sikkerheden i produktet. En hacker sidder måske med kildekoden til produktet, men så længe du ikke har den rigtige nøgle eller det rigtige certifikat, kan du ikke komme ind,” siger han.

Kunder vil fritages for at opbevare nøgler og certifikater

Er du producent af IoT-enheder, er det absolut kritisk, at kommunikation fungerer fra en server eller en mobiltelefon til fx den termostat, du sælger. Derfor er det vigtigt, at enhederne kan identificere hinanden, så man er sikker på, at det er den rigtige termostat, man kommunikerer med. Men det er lige så vigtigt, at termostaten kan være sikker på, at det er den rigtige server eller mobiltelefon, den kommunikerer med. Det sker ved hjælp af nøgler i enhederne og certifikater, der garanterer, at nøglerne er rigtige. 

Hos Avnet Silica oplever Martin Milter, at kunderne, hardwareproducenterne, henvender sig for at få hjælp til sikkerheden, når de skaber IoT-enheder. Nogle kunder har behov for at blive fritaget for selv at holde opbevaring af nøgler og certifikater i i embeddede produkter koblet på internettet.

Det er forståeligt, mener han og på. at sikkerheden hos mange producenter har en lav prioritet. Som eksempel nævner han virksomheder, der sender en mail med Excel-ark med nøgler, der skal lægges i produkterne hos produktionsvirksomheden i Kina eller Taiwan.

“Hvis nogen får fat på den email, er det ikke bare et produkt, du har ødelagt. Det er hele dit produktsortiment, der kan hackes ret let,” siger Martin Milter.

Derfor mener han, at det er vigtigt, at nøglerne ikke kun holdes hemmelige for potentielle hackere og andre ondsindede personer. De skal også være hemmelige for produktionen og ingeniørerne selv og i så høj grad som muligt tilføjes af andre.

“Når ingeniørerne arbejder med produkterne, gør de arbejdsprocessen nemmere for dem selv ved fx at lægge 1234 som kode i deres produkt under udviklingsfasen, og så glemmer de at ændre det senere,” siger han og fortsætter.

“Og når man hører om tv’et på hotellet, der bliver hacket, så er det fordi Linux-koden fortsat bare er “root”. Det kan man grine af, men reelt set er det et kæmpe problem”.

Ifølge Martin Milter viser de fleste hackersager, at det svageste led er det menneskelige. En ting er menneskelige fejl, dumhed og dovenskab. Men det kan også være en person i produktlivscyklussen, der har udleveret informationer, kildekode eller nøgler til tredjepart.

Alt er som udgangspunkt åbent

Meltdown og Spectre vedrører også den ARM-processor, som sidder i mange embeddede systemer. Derfor anbefaler Martin Milter og Avnet Silica, at du flytter den essentielle del af sikkerheden ud af CPU’en og over i særskilt hardware. En TPM (Trusted Platform Module), der er en lille flashkreds ved siden af produktet, som kan håndtere nøglerne.

En TPM sikrer, at al kommunikationen fra node til server er sikret hele vejen. Præcis som hvis du bruger https i din browser, når du går på webbank. Derfor vil det også være ligegyldigt, om det embeddede system er placeret på et åbent wi-fi, for kommunikationen er sikret på samme måde, som den er mellem din pc og webbanken.

“Det, vi kan tilbyde, er at programmere nøgler ind i kundernes produkt. Og det kan vi gøre, så kunden ikke er klar over, hvad nøglerne er. Vi kan også gøre det, hvis kunderne vil have specifikke nøgler lagt ind i produkterne,” fortæller han.

Al kommunikation ligger altså fortsat i systemets CPU, men så snart det kommer til verifikation af serveren eller en node, vil den sende en forespørgsel til TPM og bede om at få et certifikat.

Sikkerhed er ikke en feature du kan sælge

TPM-løsningen kræver ekstra hardware, og det øger prisen - alt efter hvilke features du skal bruge - omkring en-to dollar. Det kan være en stor ekstraomkostning, hvis du produceret en sensor, der skal måle luftfugtighed, og som koster nogle få dollars. Men for et embedded system af en vis størrelse bør det ikke være en stor økonomisk hurdle. Det interessante ved sikkerhed inden for IoT er dog, at det ikke tilføjer en oplevet værdi for de fleste kunder og deres slutkunder, mener Martin Milter.

“Hvis jeg sælger en termostat til en kunde, så antager kunden, at det produkt er sikret, hvis det er forbundet til internettet. Især hvis det kommer fra en dansk producent,” siger han.

Oven i det er de fleste forbrugere totalt ligeglade med sikkerheden, selv hvis de ved, at enheden er usikker. For hvad så, hvis smart-tv’et eller dine internetopkoblede lamper er hackede?

Men den ligegyldighed over for emnet betyder også, at producenterne står med et ansvar. Martin Milter vil endda gå så langt som at sige, at danske og europæiske producenter har et større ansvar, fordi vi har en tradition for kvalitet i vores produkter.

“Vi bør ikke tillade, at vores embeddede systemer kan hackes. Vi skal i hvert fald gøre, hvad vi kan for at sikre det,” mener han.

Plads til forbedringer

Men hvordan går det så med sikkerheden for danske producenter af IoT? Fremad, men med god plads til forbedringer, mener Martin Milter.

“Mange produkter lider under, at sikkerhed ikke har været tænkt ind fra starten, og i stedet har man lagt det ovenpå. Det er lidt som med dit hus, hvor du sætter en ekstra lås på eller alarm og håber, at tyven går videre til det næste hus, fordi det er lidt for besværligt. Det er der, vi er med mange danske produkter. Der er installeret sikkerhed, men den er ikke god nok,” siger han.

Fitnesstrackere er ikke de virkelige udfordringer

Martin Milter beskriver sig selv som værende bekymret for den generelle sikkerhed i IoT. En ting er kinesiske producenter, der producerer billige fitnesstrackere, legetøj, højtalere eller andre internetopkoblede enheder med ringe - hældende mod ikke-eksisterende - sikkerhed. Det må de selv ligge og rode med, mener han. Det skræmmende er enhederne på næste niveau, som bliver koblet sammen med samfundskritisk infrastruktur, og som på den måde udgør en reel trussel.

Han nævner som eksempel hele smart grid-tankegangen. Skal den for alvor give mening, skal vi om 10-20 år alle have solpaneller på tagene og køre i elbiler. For så kan alle verdens solpaneler tale sammen og sørge for, at produktionen af strøm kun foregår, når der er behov for det.

“Det er skide smart indtil, der er en, der kommer ind i systemet. For så kan du vælte elnettet på sekunder. Det er et krav for, at det intelligente elnet kan fungere, at de skal kunne kommunikere. Og skal de det, er der også en vej ind, og der har vi virkelig en udfordring i at sikre vejen ind,” siger han.

Det stiller ekstremt store krav til producenter.

“Der, synes jeg, udfordringerne ligger for mange danske virksomheder frem for fitnesstrackere og lignende,” siger han.

Embedded Everywhere

Martin Milter holder oplæg om EFFEKTIV EMBEDDED END-TO-END SECURITY til konferencen Embedded Everywhere 2018. 


Deltag i debatten

luk
close