Efter IoT-DDoS: Hvad skal kaffemaskinen og støvsugeren med wifi?
Måske har din robotstøvsuger eller din kaffemaskine en internetopkobling? I den senere tid har der været flere store DDoS-angreb, som eksempelvis har nedlagt DNS-tjenesten Dyn og i den forbindelse en stribe populære websites.
I Dyn-angrebet deltog blandt andet hackede harddisk-optagere inficeret med Mirai-botnet-softwaren. Enhederne var via et standardkodeord og en telnetforbindelse på den måde blevet overtaget og indlemmet i et botnet.
Men en ting er harddisk-optagere. Hvad med alle de andre IoT-lignende med netopkobling? Har de overhovedet behov for at være på nettet, hvor de potentielt udgør et - nogle gange alt for let - mål for hackere?
Ikke nødvendigvis, mener Dave Lewis i et interview med Version2. Han er Global Security Advocate hos Content Delivery Network-virksomheden Akamai.
»I forhold til mange IoT-enheder så stiller folk aldrig spørgsmålet: Behøver den være på nettet?« siger han og fortsætter:
»Behøver din kaffemaskine en internetforbindelse? Behøver din brødrister en internetforbindelse? Hvis du hiver internetforbindelsen fra dit køleskab, holder det så op med at fungere? Det er alt sammen meget grundlæggende, men folk stiller ikke disse spørgsmål, og det bekymrer mig.«
Gamle sikkerhedsproblemer i nyt udstyr
I sig selv er det ikke noget problem med en internetopkobling, hvis ellers sikkerheden og patch-management-cyklussen fungerer. Men som flere Version2-læsere vil vide, er det langtfra altid tilfældet. Og det er nok særligt et problem i forhold til forbrugerelektronik, mener Dave Lewis.
»Det er alt sammen problemer, som vi sikkerhedsudøvere har løst for år tilbage, ikke? Vi har været der, vi har gjort det, vi fik T-shirten,« siger sikkerhedsmanden og fortsætter:
»Og nu kan vi se et goldrush (guldfeber, red.), som er Internet of Things. Vi kan se en masse mennesker, der laver de samme fejl, som vi lavede for 10-15 år siden. Og det er virkelig frustrerende, fordi de genintroducerer problemer som standardkodeord, usikre protokoller og sågar forældede biblioteker såsom gamle versioner af SSL-biblioteker, som beviseligt er modtagelige over for angreb.«
Men hvorfor skal alle disse enheder, som - i hvert fald nogle - producenter ikke gider vedligeholde så overhovedet have en internetforbindelse, kunne man måske med rette spørge.
Salg
Dave Lewis har et bud, og det handler om salg og marketing.
»Det er så her, jeg går tilbage til specifikt at anvende vendingen goldrush. For det virker vitterligt, som om producenter - især når det gælder forbruger-enheder - gør en ekstra indsats for at lave disse enheder med en internetforbindelse, alene så de kan sige, at det er en IoT-enhed.«
Hvad angår enheder, der af en eller anden grund er endt med at have en internetforbindelse, fortæller Version2's journalist under samtalen Dave Lewis en personlig historie om et mærke af robotstøvsugere, der ikke plejede at være på nettet - men nu kommer modellen med wifi.
»Det er sådan noget, der frustrerer mig. Hvorfor skal en støvsuger have en wifi-forbindelse?« siger Dave Lewis.
Han fortæller dernæst, at støvsuger-producenten nok vil svare, at wifi-forbindelsen er for at kunne opdatere enheden. Lewis er dog stadig skeptisk i forhold til nødvendigheden af at sætte en støvsuger på internettet.
Simpel sikkerhed
Det paradoksale i forhold til sikkerhedsproblemerne i IoT er, at det ofte er banale bommerter, der gør tingene usikre. Og i den sammenhæng er mange af sikkerhedsproblemerne, der plager forbruger-enheder, heller ikke særligt svære at gøre noget ved.
En start kunne være et setup, der tvinger forbrugeren til at skifte standardkodeordet på en enhed, når den bliver taget i brug, påpeger Dave Lewis.
Selvom det lyder simpelt, så forlader enheder alligevel producenters samlebånd med simple sikkerhedshuller, der kan ende med, at routeren eller harddiskoptageren pludselig er en del af et botnet, der tager dele af internettet ned.
»Helt ærligt? Det handler om time-to-market-problemer. Det kan det koges ned til. Du har de her enheder, som virksomheder gerne vil sende af sted og få hen til deres kunder. Uheldigvis bliver sikkerheden omgået, eller måske slet ikke overvejet, fordi de har så travlt med at få det på markedet, at få den indtægt. Deraf min terminologi med et goldrush.«
Generelt tvivler Dave Lewis på, at DDoS-angreb er noget, webtjenester får bugt med lige med det første, uanset om de kommer fra IoT-enheder eller andetsteds fra. I forhold til IoT så mener Dave Lewis, at de botnet-baserede DDoS-angreb, der nedlagde Dyn-tjenesten og også ramte sikkerhedsbloggeren Brian Krebs, på sin vis kunne være endt værre.
»De (bagmændene bag IoT-botnet-angrebene, red.) brændte deres platform ved at gå efter et individ og også et firma. Hvis de havde taget den tid, det tog at opbygge den platform, så kunne de have forårsaget alvorlig disruption, fordi den mængde trafik, der blev genereret, ikke var ubetydelig,« siger Dave Lewis og fortsætter:
»Jeg mener, de brændte deres mulighed som angribere. Jeg er glad for, at de gjorde det, fordi det tjente det formål at synliggøre problemet (med elendig IoT-sikkerhed, red.) for et større publikum - men som angriber, der missede de en mulighed.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
