Bruce Schneier: Internet of Things vil dræbe i fremtiden

Illustration: leowolfert/Bigstock
Sikkerhedsspecialisten Bruce Schneier opfordrer regeringer til at tage kontrol over en ekspolsion i Internet of Things produkter. Han mener, at de kan skabe 'stor-skala katastrofer' i fremtiden, hvis ikke der tages hånd om deres sårbarhed over for hacking.

Chefteknolog i IBM og bestyrelsesmedlem i Electronic Frontier Foundation Bruce Schneier sender nu et råb ud i verden om en voksende fare ved Internet of Things (IoT). Han mener, at regeringerne er nødt til at træde i karakter og lave regler for at beskytte befolkningen.

»Regeringer er nødt til at spille en større rolle: sætte standarder, håndhæve lovkravene og implementere løsninger på tværs af firmaer og netværk,« skriver han i en artikel på Motherboard.

»Den næste præsident kommer til at håndtere internet katastrofer der dræber«

Om ikke andet vil regeringer alligevel i fremtiden blive tvunget til at tage stilling ifølge Bruce Schneier:

»Den næste præsident vil sandsynligvis blive tvunget til at håndtere stor-skala internet katastrofer, som dræber flere mennesker,« skriver han.

Et hack af IoT kan være alt fra en automatisk lås i éns hjem, som en tyv kan hacke åben til dødbringende hack af for eksempel hospitalsudstyr så som en respirator, eller autopiloten i et fly, så det styrter i havet.

»Vi har givet internettet hænder og fødder: muligheden for direkte at påvirke den fysiske verden,« forklarer Bruce Scheiner.

IoT fungerer ikke med patches

Ifølge ham er det en tendens, som ’eksploderer’, og hænderne og fødderne gives uden ordentlige sikkerhedsforanstaltninger, simpelthen fordi det er dyrt og besværligt.

»Som flere ting bliver software kontrolleret, bliver de sårbare over for angreb vi har set mod computere. Men fordi de fleste ting både er billige og langtidsholdbare, vil patch og updates, som fungerer med computere og smartphones, ikke virke. Lige nu er den eneste måde at patche de fleste hjemme-routere at smide dem ud og købe nye. Og sikkerheden som kommer ved at skifte computer og telefon efter et par år, vil ikke virke med dit køleskab og termostat,« skriver Bruce Scheiner.

I en tidligere artikel talte Version2 med Peter Kruse, fra CSIS, som testede 15 IoT produkter, og fandt sårbarheder hos alle. Derudover kan han tilføje, at et andet patch-problem er, når IoT bygger på open-source:

»De enheder, vi har testet, har alle indeholdt forskellige sårbarheder. Enten fordi producenterne ikke har været bekendt med, hvordan man laver designet rigtigt, eller fordi de simpelthen ikke bliver opdateret korrekt. Og det bliver besværliggjort af, at der findes masser af forskellige afskygninger, fordi det er open source, som er nemt at ændre i,« sagde han til Version2.

En nylig undersøgelse fra Princeton fandt 500.000 usikre enheder på internettet.

Et hack kan påvirke flere tusind systemer

Men udover flere ting ”går online”, påpeger Bruce Scheiner, at vi også forbinder flere ting med hinanden, samt gør dem mere autonome.

Begge dele gør os mere sårbare. For det første betyder øget interaktion, at når en IoT enhed rammes, kan den påvirke et stigende antal systemer.

»Det er simpel matematik. Hvis 100 systemer alle interagerer med hinanden, er det omring 5.000 interaktioner og 5.000 potentielle sårbarheder, der opstår af de interaktioner,« skriver Bruce Scheiner, og peger på, denne form for stigende sårbarhed er set ved smart-køleskabe, der gav adgang til G-mail konti.

Det betyder også, at et hackerangreb hurtigere får en større effekt, siger Bruce Scheiner:

»Autonomitet er en god ting af mange årsager, men fra et sikkerhedsperspektiv betyder det, at et angreb har øjeblikkelig, automatisk effekt og kan være allestedsværende.«

Virksomheder har ikke samme interesser som borgere

Sikkerhedsteknikerne arbejder på at mindske risici, men:

»Mange løsninger vil ikke blive sat i værk uden regeringers involvering,« skriver Bruce Scheiner og understreger, at regeringerne skal beskytte borgerne.

»Det her er ikke noget, som markedet kan løse[…] firmaer er motiveret til at skjule usikkerheder i deres systemer for deres kunder […] virksomheders interesser matcher ofte ikke borgernes,« skriver han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Erik Andersen

Det, som fremgår af artiklen, er selvindlysende. Kun lalle-optimister er begejstret for IoT. Sikkerheden er et uoverskuelig problem, som måske slet ikke kan løses. Tør vi sætte os ind i en bil, som kan hackes udefra. Tør vi lade vigtige infrastrukturer være en del af IoT , osv. Mange naive mennesker tror, at bare man følger ISO/IEC 27000 serien, så er man på sikker grund.

  • 5
  • 0
Thomas Hedberg

Det ses overalt og ikke kun indenfor IoT. Patch Management er i den grad en undervurderet disciplin.

Lige nu kigger jeg efter en ny switch til hjemmebrug. Jeg ønsker noget som er i den lidt bedre ende af skalaen med management, VLAN osv. Siden den er til hjemmebrug skal den ikke koste en million og/eller kræve certificeringer for at få lov til at downloade opgraderinger.

Jeg spurgte derfor en producent som selv mener de er en af de førende på verdensplan om hvad end-of-life var på deres switche. Det første svar fik på at de ikke rigtigt vidste hvor lang tid de blev produceret. Jeg præciserede og spurgte mere specifikt til hvordan og hvor længe de holder softwaren opdateret – ikke mindst fordi mange af deres enheder indeholder en masse open source hvor sikkerheds fejl dokumenteres rigtigt godt og en switch er et pænt centralt produkt i ens netværk.

For at korte en lang dialog ned, så kunne de ikke fortælle hvor lang tid de holder produkterne opdateret og jeg tolker lidt på dialogen, men det virkede ikke til at de automatisk sørger for nye firmwares med opdaterede open source komponenter hvis der bliver fundet sikkerheds brister i dem.

Jeg har fravalgt dem for nu.

  • 5
  • 0
Knud Jensen

Et hack af IoT kan være alt fra en automatisk lås i éns hjem, som en tyv kan hacke åben til dødbringende hack af for eksempel hospitalsudstyr så som en respirator, eller autopiloten i et fly, så det styrter i havet.

»Vi har givet internettet hænder og fødder: muligheden for direkte at påvirke den fysiske verden,« forklarer Bruce Scheiner.

Ingen af de eksempler vil jeg dog mene har nogen som helst grund til at være på internettet.

  • 2
  • 0
Mogens Hansen

Ingen af de eksempler vil jeg dog mene har nogen som helst grund til at være på internettet.


At der ikke er nogen grund er ikke ensbetydende med, at folk ikke vil synes det er smart.
Dørlås: Så kan jeg lade håndværkeren og kattepasseren lukke sig selv ind ved først at godkende deres mobile devices, noget nfc-gymnastik mv.
Hospitalsudstyr: Tror nok mange hjertepatienter vil sætte pris på at deres pacemaker bliver overvåget og en alarm sendt til centralen allerede inden det går rigtig galt.
Autopilot: Hvis vi kan spare piloten væk, vil privatfly kunne blive meget mere udbredt.

At vi "ikke behøver" at gøre noget er lidt ligesom at høre folk i 90erne sige at en masse ting ikke behøvede komme på WWW. Men det gjorde de alligevel, og i dag er der vist mange ting vi ikke kunne forestille os ikke var tilgængelige på den måde.

  • 2
  • 0
kenneth krabat

Ingen kommentarer til det strålingshav, vi vil leve i, hvis alt omkring os - ikke blot enheder i hjemmet og i firmaet og skolen og butikken og på gaden, der kommunikerer med centrale servere, men også disse serveres kommunikation med mobiltårne, og dertil mobile genstande og mennesker på farten og målere alle steder i by og på land og i luften og til vands, der også forbinder sig med nettet?

Betyder det virkelig INTET?

  • 1
  • 4
Jens Jönsson

Betyder det virkelig INTET?

Hvad mener du da forskellen er , fra i dag og så ud i fremtiden ?
Stort set alle frekvenser fra de lave til de høje er i brug i dag og har været det i mange år.

Der er >masser< af stråling fra >alt muligt< udstyr og har været det lige siden radar, radio, TV, Walkie Talkie osv. blev opfundet.

Spørgsmålet er om strålingen er så farlig som nogen påstår. Et land som Sverige har lavet rigtigt meget forskning på området, men endnu ikke kommet til en konklusion, hvor det er direkte farligt.

Der er mange andre ting, som man i dag vurderer væsentligt farligere end radiostråler.
F.eks. bare det at gå på gaden.....

  • 2
  • 2
Knud Jensen

Som manden i artiklen skriver:
"Han mener, at regeringerne er nødt til at træde i karakter og lave regler for at beskytte befolkningen."

Lige netop hvad angår strålingen for/imod helbredet er vi vel godt med allerede, hvad angår forbud og tilladelser.

Det man så kan frygte er at alt det her IoT vil øge strålingen så markant at er at politikerne på et tidspunkt begynder at forbyde en hel del uskyldige objekter som blokere for signalerne.

  • 0
  • 0
Log ind eller Opret konto for at kommentere