Støvsug trygt

Tingenes internett (IoT) vokser, og stadig flere hverdagsgjenstander blir oppkoblet. Det er imidlertid én sak mange glemmer idet de kobler bilene, støvsugerne og kjerne-kraftverkene sine til nettet: sikkerheten.

Dammsug_Stralfors_875.jpg

IT-sikkerhetseksperten Lucas Lundgren.

De lå der helt ubeskyttet og var vidåpne for kontroll via internett: strålingsmålere i kjernekraftverk, jordskjelvstasjoner, medisinsk utstyr og fengselsdører. Dessuten en regjering – hvilken skal være usagt – som ved hjelp av bilenes GPS-system fulgte med på navngitte personer. For ikke å snakke om 15 000 svenske minibanker der det gikk an å se hvor mye penger folk tok ut.

Alt dette oppdaget IT-sikkerhetseksperten Lucas Lundgren ved å tråle internett etter en lavnivå-protokoll som styrer maskinvaren i sensorer. Protokollen ble laget for å være liten, rask, effektiv og strømbesparende. Samtidig var den 
imidlertid helt åpen for inntrengere siden mange ikke hadde tatt seg bryet med å sette opp brukernavn og passord for protokollen i enhetene.

– Hvis jeg hadde villet, kunne jeg ha styrt sensorene og for eksempel åpnet alle fengselsdørene. Jeg kunne også ha stilt om strålingsmålerne i kjernekraftverket slik at viftene ikke ble startet når strålingen økte. Da kunne de ansatte ha fått stråle-skader. Dette forteller Lucas Lundgren, Senior Security Consultant i det danske IT-sikkerhetsselskapet Fortconsult. Han er en mye brukt foreleser som har vært opptatt av sikkerhetshull siden sjuårsalderen.

– IoT-gjenstander er uhyggelige. Alt er ti ganger verre enn du tror, og det finnes enormt mange opp-koblede enheter uten noen form for sikkerhet, fortsetter han.

 

Enkle enheter blir farlige

I bunn og grunn er alle smarte enheter små datamaskiner. Det vil si at de er minst like sårbare som datamaskiner, om ikke enda mer. Samtidig har disse enhetene et problem: Sensorene er sjelden kraftige nok til å håndtere sterk kryptering og høy sikkerhet. Eventuelt drives de av batterier, og dermed ville en god innebygd sikkerhetsløsning raskt ha tappet batteriene for strøm.

Selv om få smarte enheter blir brukt til sårbare oppgaver, kan hackere ta over og bruke dem til overbelastningsangrep for å tvinge i kne en hjemmeside eller tjeneste på internett.
På grunn av sikkerhetsrisikoene mener Lucas Lundgren at man alltid bør stille seg spørsmålet: "Må den smarte gjenstanden være eksponert mot nettet?"

– Trenger du for eksempel en gjenstand som holder orden på hvor mange egg du har i kjøleskapet og tekster deg når det begynner å gå tomt? Og må du få tekstmelding fra robotstøvsugeren når den har støvsugd? Det er morsomme funksjoner, men det er viktig å være bevisst på konsekvensene. Hvis du ikke virkelig må koble opp enheten – så la være.

I tilfeller der det kan ha noe for seg å koble opp den smarte gjen-standen, finnes det tryggere løsninger enn en direktelinje ut på internett.

– Da kan det være lurt å segmentere enheten på et eget, privat nettverk. Det er ekstra viktig på utsatte steder, for eksempel et kjernekraftverk.

Installer sikkerhet 
fra begynnelsen av

Det er også viktig å sikre at alle oppkoblede gjenstander får et minimumsnivå av sikkerhet når de blir installert – som fornuftige brukernavn og passord.

– Jeg har sett mange eksempler på at bedrifter henter inn en tredjepart som installerer produkter for dem. Etterpå vinker de bare ha det og snakker aldri med hverandre igjen. Når jeg så tar en titt, oppdager jeg at man kan logge på med brukernavnet "admin" og passordet "admin". Kunden regnet med at sikkerheten inngikk i installa-sjonen, mens leverandøren sier at det ikke var med i kontrakten. Hos en stor kunde i finanssektoren kunne jeg for eksempel logge meg på via de elektroniske nøklene og deretter slå av alarmen og åpne døren.