Eugene Kaspersky: Internet of Things kræver nyt immunt sikkerhedssystem

Grundlægger og ejer af Kaspersky Lab, Eugene Kaspersky slog på Bosch Connected World fast, at det er muligt at sikre IoT-enheder Illustration: Laurids Hovgaard
Cybersikkerhedseksperten Eugene Kaspersky ruskede godt og grundigt op i de europæiske elektronikproducenter på Bosch Connected World i Berlin. Internet of Things-enheder bliver næste angrebsmål for ondsindet malware

Der er ikke mange IoT-enheder i Eugene Kasperskys eget hjem, men det nytter ikke noget at lade som om, de smarte enheder ikke findes.

Faktisk er der flere enheder koblet på internettet, end der er mennesker i verden, og det betyder, at der er behov for en ny såkaldt immun tilgang til IoT-sikkerhed.

Det fortalte ejer af Kaspersky Lab, Eugene Kaspersky på Bosch Connected World - Internet of Things Conference i Berlin i sidste uge.

»Internet of Things bliver det næste område, der udsættes for angreb i stor stil. Vi lever allerede i en smart verden, hvor der er flere IoT-enheder end mennesker,« fortæller Eugene Kaspersky.

Kaspersky Lab registrerede I 2013 bare 46 eksempler på malware målrettet IoT-enheder, mens de lokaliserede 7.242 malware-eksempler i 2017.

Læs også: Nyt botnet rammer IoT-enheder: Stort potentiale for at lave skade, siger DTU

Tænk sikkerhed som immunitet

Han foreslår, at man tænker IoT-sikkerhed som immunitet, som vi kender det fra menneskets immunforsvar

»Vi skal introducere begrebet immunitet i stedet for traditionel security til IoT-systemer, hvor der tænkes security-by-design helt fra starten.«

Kaspersky lancerede sidste år et styresystem, KasperskyOS, som er udviklet til IoT-systemer, hvor udgangspunktet er at man ikke kan udføre udokumenterede funktionaliteter.

»Når det koster mere for hackerne at bryde ind, end vi har udgifter til at forsvare os, så har vi immunitet,« siger Eugene Kaspersky.

Adspurgt om blockchain er den nye teknologi, der skal redde de mange sårbare IoT-systemer, der rulles ud verden over, trak Eugene Kaspersky lidt på skuldrene og svarede:

»Blockchain kan bruges til sikre netværksløsninger, men det giver ikke sikre IoT-enheder. Så blockchain alene nytter ikke så meget,« siger Eugene Kaspersky.

Kaspersky Lab er dog også hoppet med på blockchain-bølgen og har inden for de seneste måneder investeret i flere blockchain-virksomheder, blandt andet Polys, der skal udvikle et sikkert valgsystem med blockchain-teknologi.

Selvom flere milliarder enheder i dag er forbundet via internettet, så er det i følge Eugene Kaspersky ikke ensbetydende med, at det er for sent at udvikle sikre IoT-løsninger. Langt de fleste tilfælde forholdsvist simple løsninger. Derfor er der stadig tid til at indtænke cybersikkerhed i IoT-platforme og enheder.

»Det mest IoT er i dag ikke særligt kompliceret, men når det sker er det for sent at indbygge immunitet fra starten. Hvis industrien venter, så bliver det dyrere og I vil miste markedsandele.«

Hvordan den såkaldte immune IoT-sikkerhed mere præcist skal defineres og udvikles, kom Eugene Kaspersky dog ikke meget tættere på under de to oplæg han gav på Bosch Connected World, hvor temaet var industrielt IoT.

Læs også: Alvorlig sikkerhedsbrist fundet i sexlegetøj

Industrien rammes hårdere

IoT-malware er udgør dog fortsat en meget lille del af den samlede mængde malware. Kaspersky Lab opdager hver uge omkring 320.000 eksempler på ondsindet malware.

Malwaren rammer både de private IoT-enheder i hjemmet, og de store industrielle kontrolsystemer i industrien. Men rækkevidden af konsekvenser er langt større i industrien.

»Store virksomheder er udsat for mere specifikke angreb, som er sværere at gardere sig i mod. Industrial cybersikkerhed er kompliceret, fordi du skal beskytte operationel teknologi, der ikke er designet til at være online, eksempelvis de scada-systemer der styrer de logiske processer mellem PLC’erne«, siger Eugene Kaspersky.

Læs også: Kaspersky Lab klager over amerikansk forbud i domstol

»Jeg ser ikke tv«

Da han bliver spurgt hvor mange IoT-enheder han selv har derhjemme, lyder det karismatiske svar:

»Det ved jeg faktisk ikke, men det er ikke mange. Jeg har et alarmsystem, måske mit tv. Jeg gider ikke se tv derhjemme, og jeg har ikke en robotstøvsuger på grund af mine børn, men det er ikke ensbetydende med, at jeg er imod IoT-enheder, hverken derhjemme eller i produktionen.«

»Jeg støtter innovation og IoT er en realitet vi ikke kan se bort fra,« siger Eugene Kaspersky, inden han begynder at brokke sig højlydt over at det ikke er muligt at købe et tv uden indbygget mikrofon.

Kaspersky Lab lancerede sidste år en fri IoT-scanner til Android, så man kan teste, hvor sikre enhederne i hjemmet er.

Version2 var inviteret til Bosch Connected World i Berlin af Bosch.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Ole ørsted

Mig bekendt kan man nu stadig købe tv uden mikrofon, men i vores jubel over alle de ting der starter med Smart, Smartphone, Smart-tv etc. har vi nok glemt den dybere mening: "So we can watch You" og registrere alt hvad du foretager dig 24/7. På den ene side er det jo smart vi kan styre hvad-som-helst via nettet, wi-fi etc. men alt hvad vi kan styre, kan også styres af andre :-( Fint vi gerne vil lege foregangsland, men er det gået lidt rigeligt stærkt, inden vi har fået tid til at tænke os om en ekstra gang? Meget IT er blevet rullet alt for hurtigt ud i Danmark, med multi-milliardtab til følge. Er vi indstillet på den ekstreme sårbarhed det indebærer? Det er fint nok at få hesten i gallop ved at sætte sporene i, men den må også godt klappes en gang imellem:-)

  • 2
  • 0
#2 Carsten Kanstrup

På den ene side er det jo smart vi kan styre hvad-som-helst via nettet, wi-fi etc. men alt hvad vi kan styre, kan også styres af andre :-(

Nej, slet ikke. Det er udelukkende et spørgsmål om, hvordan systemerne udformes.

Hvis alt bare gjorde, hvad det forventes at gøre - og ikke andet, var der ikke de store problemer. Problemet kommer, når det f.eks. er muligt at omprogrammere en LED-pære til at blive en del af et botnet, eller en computer f.eks. begynder at eksekvere en .JPG fil som et program eller på anden måde kører ukendt kode uden tilladelse.

F.eks. er internettet baseret på, at man skal kunne klikke sig frem til ny information, så "ulovlige" klik eksisterer ikke! Hvis så bare en browser gjorde som forventet - nemlig at vise sidens indhold som grafik og lyd og intet andet - var der ingen problemer. Giv mig bare én eneste grund til at en hjemmeside, som jeg ikke kender, skal have lov til at eksekvere programmer på min computer uden min tilladelse og dermed f.eks, kryptere harddisken; men desværre er IT-branchen fuld af fjolser, der har gjort den slags muligt :-(

I et rent ledningsbaseret IoT system er der absolut ingen problemer. Det går over min forstand, hvorfor alt IoT med djævelens vold og magt skal gøres trådløst (WiFi, ZigBee etc.) og dermed stilles til rådighed for hvem som helst i nærheden. Når man alligevel skal have elektrisk effekt til at kunne styre og til f.eks. at drive lamper, kan man lige så godt bruge de samme kabler til også at styre over.

I de perioder, hvor et sådant IoT system ikke er forbundet til internettet, som f.eks. når man er hjemme, er der slet ingen problemer, for man skal have fysisk adgang til nettet for at kunne styre, og så er man jo allerede indenfor i bygningen, hvor man lige så godt bare kunne styre fra kontakterne på væggen eller gøre fysisk skade, hvis det er det, man vil.

Forbinder man systemet til internettet, er der heller ingen problemer, hvis man f.eks. bare lægger noget tilfældigt "salt" i telegrammerne, så de bliver forskellig fra gang til gang, laver en simpel 2-niveau kryptering, og så giver en tidsstraf på nogle sekunder, hvor internetforbindelsen er fuldstændig afbrudt for alle (også én selv), hvis nogen ikke kommer igennem det ene af niveauerne. En hacker kan så bare se, at han ikke får svar, men ved ikke, om det skyldes, at han har fået tidsstraf eller ej, og rent statistisk vil han derfor ikke leve længe nok til at kunne forsøge sig frem, hvis bare krypteringsnøglerne har en fornuftig længde - f.eks. 2 x 128 bit eller endog bare double DES. Samtidig kan han ikke lægge forbindelsen ned, med mindre han lige netop gætter nøglen til niveauet uden tidsstraf og så ikke ændrer den i sine efterfølgende forsøg, som så til gengæld alle (bortset fra ét ud af måske mange milliarder) vil få tidsstraf og derfor ikke kan scannes hurtigt. Det kræver selvfølgelig, at man ikke udveksler nøgler over nettet, så de kan opsnappes; men hvorfor skulle man også det? Man har jo afgang til både det net, man vil styre, og de enheder, som man vil kunne styre det fra, og kan så bare taste nøglerne ind.

IT-problemerne kommer først, når man inviterer IT-nørderne indenfor med deres cloud løsninger og lignende, som ikke tillader tidsstraf og derfor kan scannes hurtigt. Så bliver tingene så kompliceret, at ingen kan overskue noget som helst længere med talrige sikkerhedshuller til følge, og nøglerne må nødvendigvis udveksles over nettet og kan dermed opsnappes.

  • 4
  • 0
#3 Ole ørsted

Tak for fin kommentar fra Carsten Kanstrup, som jeg dog slet ikke er IT-kompetent nok til at kommentere, men er ganske enig i den meget sløsede omgang med følsomme data som hersker på nettet, og at vi ukritisk, og for "nemhedens skyld" lægger mere og mere i skyen, også meget personlige data og billeder. Nu er det så ikke længere vores egne private data, men også skyens, frit tilgængelig for dem der vil og kan.

Jeg kommer til at tænkte på Bluetooth. Her oprindeligt med kort rækkevidde på få meter, og dermed vel tænkt brugt indendørs el.a. nærkontakt mellem enhederne. Men vi vil hele tiden have mere, og jeg kan forstå de nyeste versioner snildt kan række 30-50 meter, altså også ud på vejen og ind til naboen - tjuhej hvor det kører. Når dit Applewatch for en sikkerheds skyld er koblet til Bluetooth, ja så skifter det da selv over til wifi hvis signalet er for svagt. Smart, tja det er vist som man ser det:-(

  • 4
  • 0
Log ind eller Opret konto for at kommentere