Støvsug sikkert

Antallet af opkoblede brugsgenstande bliver stadig flere i takt med, at Internet of Things vokser. Men der er noget, som mange overser, når de kobler deres biler,
støvsugere og kernekraftværker op: Sikkerhed.

Dammsug_Stralfors_875.jpg

It-sikkerhedsekspert Lucas Lundgren.

Der lå de helt ubeskyttede, vidtåbne for styring via internettet – strålingsmålere på kernekraftværker, jordskælvsovervågning, medicinsk udstyr, fængselsdøre. Og en regering – hvilken skal forblive usagt – som via bilers GPS-systemer følger navngivne personer. For ikke at tale om 15.000 svenske hæveautomater, hvor man kunne se, hvor mange penge folk hævede.

Alt dette fandt it-sikkerhedseksperten Lucas Lundgren ved at skanne internettet for en lavniveauprotokol, som styrer hardware i sensorer. Protokollen er designet til at være lille, hurtig, effektiv og strømbesparende. Men samtidig var den vidt åben for ubudne gæster, da mange ikke havde gjort sig den ulejlighed at oprette brugernavn og password for protokollen i enhederne.

– Hvis jeg havde villet, havde jeg kunnet styre disse sensorer og for eksempel åbne alle fængselsdørene. Eller jeg havde kunnet omstille strålingssensorerne i kernekraftværket, så ventilatorerne ikke gik i gang ved forhøjet stråling – så havde de, der arbejder der, kunnet få strålingsskader, siger Lucas Lundgren, Senior security consultant i det danske it-sikkerhedsbureau Fortconsult og en efterspurgt foredragsholder, som har haft huller i sikkerheden som passion siden syvårs alderen.

– IoT-ting er et mareridt. Alt er ti gange værre, end du tror; der findes enormt mange tilsluttede enheder helt uden sikkerhed, fortsætter han.

Simple enheder bliver farlige

I bund og grund er alle smarte enheder små computere. Det indebærer, at de er mindst lige så sårbare som en computer – hvis ikke endnu mere sårbare. Samtidig er der et problem ved disse enheder: Deres sensorer er sjældent kraftfulde nok til at kunne håndtere en stærk kryptering og høj sikkerhed. Eller de drives af batterier, hvilket indebærer, at en indbygget løsning med høj sikkerhed hurtigt havde tømt batteriet for elektricitet.

Selvom de fleste smarte enheder ikke benyttes til følsomme aktiviteter, kan hackere overtage og benytte dem til overbelastningsangreb for at få en internethjemmeside eller -tjeneste til at gå ned.

På grund af sikkerhedsrisiciene mener Lucas Lundgren, at man altid bør stille sig selv spørgsmålet: "Er det virkelig nødvendigt, at det smarte udstyr eksponeres mod nettet?".

– Har du for eksempel brug for udstyr, som holder tjek på, hvor mange æg du har i køleskabet, og sender en sms, hvis de er ved at være brugt? Og er det virkelig nødvendigt at få en sms fra robotstøvsugeren, når den har støvsuget. Det er vildt sjove funktioner, men man skal være bevidst om konsekvenserne. Hvis du ikke virkelig har behov for at koble enheden op – så lad være.

I de tilfælde, hvor der er en værdi i at koble smart grej op, så er der sikrere løsninger end en direkte linje lige ud på internettet.

– Så kan det være bedst at segmentere enheden på et særskilt privat netværk. Det er ekstra vigtigt i følsomme anlæg, som for eksempel kernekraftværker.

Installer sikkerhed fra starten

Det er også vigtigt at sikre, at alle opkoblede genstande får et mindste niveau af sikkerhed, når de installeres – som forsvarlige brugernavne og passwords.

– Jeg har mange gange set eksempler på, at virksomheder entrerer med en tredjemand, som installerer produkter for dem. Bagefter siger de så farvel og taler ikke med hinanden igen. Når jeg efterfølgende ser efter, opdager jeg, at man kan logge ind med brugernavn "admin" og password "admin". Kunden troede, at sikkerheden indgik i installationen, mens leverandøren siger, at det ikke er med i kontrakten. Hos en stor kunde i finanssektoren kunne jeg for eksempel logge mig ind via deres adgangskontrollæser, slå alarmen fra og derefter åbne døren.