Efter IoT-DDoS: Hvad skal kaffemaskinen og støvsugeren med wifi?

Internet-i-alting er udtryk for et producent-goldrush, der i sidste ende kan skade it-sikkerheden, mener ekspert.

Måske har din robotstøvsuger eller din kaffemaskine en internetopkobling? I den senere tid har der været flere store DDoS-angreb, som eksempelvis har nedlagt DNS-tjenesten Dyn og i den forbindelse en stribe populære websites.

I Dyn-angrebet deltog blandt andet hackede harddisk-optagere inficeret med Mirai-botnet-softwaren. Enhederne var via et standardkodeord og en telnetforbindelse på den måde blevet overtaget og indlemmet i et botnet.

Men en ting er harddisk-optagere. Hvad med alle de andre IoT-lignende med netopkobling? Har de overhovedet behov for at være på nettet, hvor de potentielt udgør et - nogle gange alt for let - mål for hackere?

Ikke nødvendigvis, mener Dave Lewis i et interview med Version2. Han er Global Security Advocate hos Content Delivery Network-virksomheden Akamai.

»I forhold til mange IoT-enheder så stiller folk aldrig spørgsmålet: Behøver den være på nettet?« siger han og fortsætter:

»Behøver din kaffemaskine en internetforbindelse? Behøver din brødrister en internetforbindelse? Hvis du hiver internetforbindelsen fra dit køleskab, holder det så op med at fungere? Det er alt sammen meget grundlæggende, men folk stiller ikke disse spørgsmål, og det bekymrer mig.«

Gamle sikkerhedsproblemer i nyt udstyr

I sig selv er det ikke noget problem med en internetopkobling, hvis ellers sikkerheden og patch-management-cyklussen fungerer. Men som flere Version2-læsere vil vide, er det langtfra altid tilfældet. Og det er nok særligt et problem i forhold til forbrugerelektronik, mener Dave Lewis.

»Det er alt sammen problemer, som vi sikkerhedsudøvere har løst for år tilbage, ikke? Vi har været der, vi har gjort det, vi fik T-shirten,« siger sikkerhedsmanden og fortsætter:

»Og nu kan vi se et goldrush (guldfeber, red.), som er Internet of Things. Vi kan se en masse mennesker, der laver de samme fejl, som vi lavede for 10-15 år siden. Og det er virkelig frustrerende, fordi de genintroducerer problemer som standardkodeord, usikre protokoller og sågar forældede biblioteker såsom gamle versioner af SSL-biblioteker, som beviseligt er modtagelige over for angreb.«

Men hvorfor skal alle disse enheder, som - i hvert fald nogle - producenter ikke gider vedligeholde så overhovedet have en internetforbindelse, kunne man måske med rette spørge.

Salg

Dave Lewis har et bud, og det handler om salg og marketing.

»Det er så her, jeg går tilbage til specifikt at anvende vendingen goldrush. For det virker vitterligt, som om producenter - især når det gælder forbruger-enheder - gør en ekstra indsats for at lave disse enheder med en internetforbindelse, alene så de kan sige, at det er en IoT-enhed.«

Hvad angår enheder, der af en eller anden grund er endt med at have en internetforbindelse, fortæller Version2's journalist under samtalen Dave Lewis en personlig historie om et mærke af robotstøvsugere, der ikke plejede at være på nettet - men nu kommer modellen med wifi.

»Det er sådan noget, der frustrerer mig. Hvorfor skal en støvsuger have en wifi-forbindelse?« siger Dave Lewis.

Han fortæller dernæst, at støvsuger-producenten nok vil svare, at wifi-forbindelsen er for at kunne opdatere enheden. Lewis er dog stadig skeptisk i forhold til nødvendigheden af at sætte en støvsuger på internettet.

Simpel sikkerhed

Det paradoksale i forhold til sikkerhedsproblemerne i IoT er, at det ofte er banale bommerter, der gør tingene usikre. Og i den sammenhæng er mange af sikkerhedsproblemerne, der plager forbruger-enheder, heller ikke særligt svære at gøre noget ved.

En start kunne være et setup, der tvinger forbrugeren til at skifte standardkodeordet på en enhed, når den bliver taget i brug, påpeger Dave Lewis.

Selvom det lyder simpelt, så forlader enheder alligevel producenters samlebånd med simple sikkerhedshuller, der kan ende med, at routeren eller harddiskoptageren pludselig er en del af et botnet, der tager dele af internettet ned.

»Helt ærligt? Det handler om time-to-market-problemer. Det kan det koges ned til. Du har de her enheder, som virksomheder gerne vil sende af sted og få hen til deres kunder. Uheldigvis bliver sikkerheden omgået, eller måske slet ikke overvejet, fordi de har så travlt med at få det på markedet, at få den indtægt. Deraf min terminologi med et goldrush.«

Generelt tvivler Dave Lewis på, at DDoS-angreb er noget, webtjenester får bugt med lige med det første, uanset om de kommer fra IoT-enheder eller andetsteds fra. I forhold til IoT så mener Dave Lewis, at de botnet-baserede DDoS-angreb, der nedlagde Dyn-tjenesten og også ramte sikkerhedsbloggeren Brian Krebs, på sin vis kunne være endt værre.

»De (bagmændene bag IoT-botnet-angrebene, red.) brændte deres platform ved at gå efter et individ og også et firma. Hvis de havde taget den tid, det tog at opbygge den platform, så kunne de have forårsaget alvorlig disruption, fordi den mængde trafik, der blev genereret, ikke var ubetydelig,« siger Dave Lewis og fortsætter:

»Jeg mener, de brændte deres mulighed som angribere. Jeg er glad for, at de gjorde det, fordi det tjente det formål at synliggøre problemet (med elendig IoT-sikkerhed, red.) for et større publikum - men som angriber, der missede de en mulighed.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Selvfølgelig skal man kunne starte kafemaskinen og ovnen remote.
Køleskabet skal bruge WiFi når det også får en barcodescanner og ved hvad der er i det.

Jeg ser det dog som et større problem at vores målere (el, vand, vamre) ikke er internetenablet pr. default. At vi ikke har adgang til strømforbrug pr fase. Vi mangler internetenabling de steder hvor det gør en forskel.
Nogle målerdata er der adgang til på internet via den anden vej, men for at tracke strømforbruget på de enkelte devices skal man logge hvert sekund på hver fase, så man kan identificere og opbygge en database med de forskellige apparaterts mønstre. Jeg tror et sådant system vil kunne hjælpe med at få sænket folks energiforbrug - Hvis de dermed kan se den enkelte komponents omkostning. I dag ved folk ikke helt hvor strømmen forsvinder hen.

  • 5
  • 3
Rune Poulsen

Kunne artiklen i stedet hedde: "Ekspert udtaler: Husk at lave dit eget password."?
Producenterne bliver tilskrevet grådighed, fordi de producerer i forhold til efterspørgsel; kunderne er ofre i IoT-gate og hvad skal vi i øvrigt med IoT?

Ny teknologi skaber nye problemer og så tilpasser vi os. Vent eventuelt med sølvpapirshatten og udskyd udgravning af atomsikret bunker.

Internet of Shit kommer til at fylde meget - men giv ikke producenterne skylden - det er trods alt kunderne der bestemmer.
Alle protokoller arbejder målrettet på forbedring af sikkerhed, og hackere arbejder formodentlig målrettet på at imødekomme forbedringerne. Sådan er spillet, og sådan har det været længe.

Så snart der er en god IoT-kaffemaskine med vandtilkobling og integreret kaffekværn, så skal jeg have den. Hele mit hjem skal automatiseres, så jeg i stedet kan foretage mig andet end daglige manuelle rutiner.

At jeg foretrækker Z-wave frem for Wi-Fi, er en anden sag.

  • 0
  • 6
Claus Nedergaard Jacobsen

Jeg tænkte blot på udbud og efterspørgsel. Hvis ikke produktet sælger, så hives det vel hurtigt af markedet igen. Og hvorfor kunder køber, som de køber, vil jeg ikke gøre mig til herre over. De er jo tænkende ansvarlige væsner og dermed antager jeg, at de bedst selv ved, hvad de har brug for.


Jo, du har fat i noget af det rigtige: De producenter, der forsyner deres produkter med internet opkobling opnår en vis markedsfordel ("competitive edge") over dem, der ikke har, og den producent, der sjusker mest med sikkerheden, er også den, der kan sælge sit produkt billigst. Og det er os kunder, der giver dem lov til det i vores evige jagt på mest mulig funktionalitet for færrest mulige penge. Ja vi opfordrer dem faktisk til det.

Jeg er ikke meget for regulering, men spørgsmålet er, om ikke der her er et område, hvor de hellige markedsmekanismer simpelthen ikke slår til, og hvor regulering er nødvendig. Ligesom det er nødvendigt med regulering for at sikre sikkerheden i biler, bygninger, broer, veje osv.

  • 3
  • 0
Thomas Nielsen

Se, det er jo det vi har Google Fit og Apple Health til (og hvad der ellers er af konkurrerende produkter). Hvis dit armbåndsur mener du er skidt tilpas eller på anden måde forhindret, sørger den selvfølgelig for at meddele din kaffemaskine, at bønnerne skal omdirigeres til havegødning og måske endda bede støvsugeren om at tage det med ud. Dét er jo snildt.

  • 6
  • 0
Henning Wangerin

Selvfølgelig skal man kunne starte kafemaskinen og ovnen remote.
Køleskabet skal bruge WiFi når det også får en barcodescanner og ved hvad der er i det.

Ja, men hvorfor SKAL den have internetforbindelse for at gøre det?

Jeg har ikke lyst til at de afleverer diverse informationer til en eller anden tilfældig server. Hvis ikke jeg kan sætte min egen server op til at håndtere de data kommer det ikke til at ske hos mig.

Jeg har et par net-dimser siddende, men de sidder på en DMZ, så de kan ikke larme ud af hytten. At det så er lidt op af bakke at lave alle de sjove online-ting er så en helt anden sag. Men det har jeg jo valgt at gøre på den måde ;-)

/Henning

  • 1
  • 0
Simon Lodal

Producenten skal have det fulde lifecycle ansvar.

De skal udsende opdateringer når der findes nye problemer, minimum i garantiperioden.

Og den dag opdateringer stopper, skal de give brugeren besked om, at enheden ikke længere må tilsluttes internet og bør kasseres.

  • 0
  • 0
Rune Poulsen

Min bekymring er, at vi med regulering / lovgivning forsøger at beskytte forbrugeren fra forbrugeren selv. Dermed vurderer vi, at vi ved bedre, og at vi derfor er bedre egnede til at træffe beslutninger på andres vegne. Det er efter min overbevisning et skråplan. Så støtter jeg hellere at vi lægger en indsats for at uddanne forbrugeren. Den helt oplagte start er i dette tilfælde, at folk skal lave deres egne passwords, for i det mindste at skabe et minimum besvær for forbryderen.
Langt de fleste Smart Home / IoT-systemer har kun en HUB koblet på internettet mhp. remote access, mens resten af enhederne er tilknyttet hubben under anden protokol.
Hvis det udelukkende handler om Wi-Fi / internet devices, så har jeg måske været for hurtig på aftrækkeren. Jeg er enig i, at man bør begrænse, hvor mange direkte opkoblede enheder man har. Hvis det handler om, at vi agerer smagsdommere ift. hvilke produkter der skal kunne betjenes på afstand, så vil jeg kalde det regressivt.

  • 1
  • 1
Anne-Marie Krogsbøll

Hvis det handler om, at vi agerer smagsdommere ift. hvilke produkter der skal kunne betjenes på afstand, så vil jeg kalde det regressivt.


Det er vel ikke regressivt at gøre opmærksom på, at disse "gadgets" på sigt udgør en trussel mod privatlivet, og derved mod den demokratiske retsstats grundprincipper - i det lys er det vel berettiget af tage debatten, om det virkeligt er det værd? Har folk gjort sig det klart? Går de ind i denne udvikling med åbne øjne, eller i helt uberettiget blind tillid til vore myndigheder, magthavere og verden i det hele taget?

Debat er jo ikke det samme som smagsdommeri.

  • 4
  • 0
Rune Poulsen

”I forhold til mange IoT-enheder så stiller folk aldrig spørgsmålet: Behøver den være på nettet?” Det gør de aldrig.
”Behøver din kaffemaskine en internetforbindelse? Behøver din brødrister en internetforbindelse? Hvis du hiver internetforbindelsen fra dit køleskab, holder det så op med at fungere? Det er alt sammen meget grundlæggende, men folk stiller ikke disse spørgsmål, og det bekymrer mig.”
Det gør folk ikke.
”Det er sådan noget, der frustrerer mig. Hvorfor skal en støvsuger have en wifi-forbindelse?” Hvorfor er en hest ikke nok? Hvad skal vi med biler?

Det er i den kontekst jeg mener regressivt - jeg ser det ikke som debat, jeg ser det som smagsdommeri. Og muligvis tager jeg helt fejl - men jeg synes forbrugeren bliver fremstillet i en fordummet offerrolle, hvor kun den onde grådige producent har mulighed for at redde verden ved at stoppe udvikling.

"Går de ind i denne udvikling med åbne øjne, eller i helt uberettiget blind tillid til vore myndigheder, magthavere og verden i det hele taget?"

"Uberettiget blind tillid" - På den ene side, skal der forbydes produktion af whatnot, og hvis ikke det forbydes, så er det med blind tillid til dem, der ellers skulle forbyde det? :)

Ift. datasikkerhed bliver der lovgivet løbende og det er jeg som sådan tryg ved. Men myndigheder og magthavere skal ikke bestemme hvorvidt min brændeovn skal være online. De kan lave retninglinjer for hvordan, hvis de absolut skal blande sig.
Jeg er enig i, at debatten skal foregå - men den skal ikke være baseret på frygt. Hellere en "hvordan gør vi det bedre"- end en "det er alt for dårligt"-baseret debat.

  • 0
  • 0
Claus Nedergaard Jacobsen

Hellere en "hvordan gør vi det bedre"- end en "det er alt for dårligt"-baseret debat.


Jeg ved ikke, om jeg har forstået dig, Rune, men jeg har også en stærk aversion mod lovgivning, hvor andre fortæller mig, at kun de ved, hvad der er godt for mig og nægter mig retten til at tage ansvar for mit eget liv. I den forståelse er jeg helt med på, at det er bedre at uddanne/oplyse brugerne end at opdrage dem til at tro, at staten beskytter dem.

Men som min gamle skoleforstander engang sagde: "Din frihed går lige til min næsetip". Hvis du ved at hævde din ret til at gøre tingene på din måde, skader mit liv, så er grænsen nået. Det er der, hvor jeg ser problemet: Ikke ved den skade, som den enkelte borger kan påføre sig selv, men der hvor millioner af inficerede IOT enheder kan lægge et helt lands infrastruktur ned. Uanset, hvor meget vi uddanner/oplyser, så vil der garanteret være 20% af borgerne tilbage, som ikke kan finde ud af at beskytte deres enheder, og det er rigeligt til at sende alt i sort ved et koordineret angreb.

Så jeg lægger op til, at vi må skelne mellem det, der kun kan ramme den enkelte borger, og det, der potentielt kan skade andre borgere.

  • 2
  • 0
Gert Madsen

men jeg synes forbrugeren bliver fremstillet i en fordummet offerrolle, hvor kun den onde grådige producent har mulighed for at redde verden ved at stoppe udvikling.


Jeg synes ikke det er et fordummet offer, som ikke kan gennemskue konsekvenserne af det, som står i 70+ sider - ofte amerikansk - juristkaudervelsk. Ofte krydres det med at dokumentet opdateres hver 2. måned - og hvis ikke du accepterer, så kan du ikke bruge dit produkt.

  • 3
  • 0
Claus Vaaning

Jeg mener, at man burde indføre et "kørekort" - en prøve i fundamentale sikkerhedsprocedurer på nettet.

Hvis man gerne vil køre bil, skal man som bekendt først bestå en teoretisk, og så en praktisk prøve. Hvorfor ? Fordi bilkørsel medfører fare, endda livsfare, for både fører og andre trafikanter, hvis man ikke har styr på begreberne. Læg mærke til, at her skal man også f.x. kende til en del tekniske begreber når det kommer til bremser og styretøj.

Derfor mener jeg at (også) internetadgang burde gøres betinget af en vis viden og rutine hos den enkelte bruger. Hvis man kvajer sig på nettet, og ens maskine derfor bliver hijacket af et zombie-netværk, er de mulige konsekvenser lige så store, eller endda større end ved bilkørsel. Tænk f.x. hvis et sådant zombie-netværk lykkes med at blokere vitale infrastrukturer.

Og ligesom med bilkørekort kunne man lave et "klip" system. 3 klip i dit internet-kørekort, og din forbindelse bliver kappet.

At man så også godt kunne bruge en "udvidet køreprøve" for medarbejdere og virksomheder er en helt anden sag ...

  • 0
  • 5
Log ind eller Opret konto for at kommentere