Gulvvarmen, højtaleren, støvsugeren, lyset: Pludselig endte mit hjem på nettet
Tanken er, at dette er første indlæg i en fortælling, der tager afsæt i, at en hel masse ting i mit hjem nu er kommet på nettet.
Og det var egentlig ikke et mål i sig selv, men sådan er det gået.
I starten fandt jeg det lidt kuriøst, at sådan noget som højtalere og senere robotstøvsugeren kunne kobles til wifi-forbindelsen og styres fra mobilen. Nu har jeg så mange enheder på hjemme- og internettet, at jeg knap kan bevare overblikket.
Forleden faldt jeg eksempelvis over en dims i min DHCP-lease-oversigt, jeg skal have opklaret præcist hvor hører til. Jeg mener, dimsen optrådte med et producentnavn på en virksomhed, der ser ud til at lave chip til video-dekomprimering. Måske en Chromecast eller et tv? Dimsen er væk igen i skrivende stund.
I udgangspunktet synes jeg, det er spændende med opkoblede enheder set fra et nørd-perspektiv. Jeg kan godt lide at rode med teknik. Og så er det altså også praktisk at kunne fjernstyre sådan noget som lys, musik og varme fra en smartphone eller via et API.
Angstfremkaldende
Men det er også angstfremkaldende, at alt fra gulvvarme til støvsuger er mere eller mindre online. It-sikkerhed ligger mig en del på sinde, hvilket nok kan tilskrives både en arbejdsskade og almindelig skepsis.
For hvad nu, hvis støvsugeren, gulvvarmen, højtaleren, den såkaldt intelligente lysstyring, hjemmeserveren, routeren - både min egen og den fra internetudbyderen - stemmestyrings-assistenten, tv'et, Chromecasten, mobilen, laptoppen eller desktoppen bliver udsat for et tilfældigt eller målrettet hackerangreb?
Ja, så vil det da i udgangspunktet være supertræls. Eksempelvis hvis gulvvarmen ikke kan kontaktes, fordi den indgår i et DDoS-angreb.
For at undgå sådan en situation har jeg forsøgt mig med nogle forbehold, både i forhold til netværksopsætning og i forhold til, hvem der har lavet de enheder, der kommer på netværket.
Forbeholdene tager afsæt i en overordnet og foreløbig tro på, at software-patching, netværk-design og den føromtalte skepsis er et bedre forsvar mod alskens utøj end antivirus og diverse tilsvarende sikkerhedsprodukter.
Netværk
Hvad netværket angår, så har jeg til at starte med - og på baggrund af flere fortællinger på Version2 - sat min egen wifi-router-switch foran det router/modem, der kommer fra min internetudbyder.
Det er ikke usædvanligt, at internetudbyderen har forholdsvis fri adgang til det, der retteligt er deres udstyr. Det vil eksempelvis sige, at det ikke er uhørt, at sådan noget som wifi-kodeord ligger back'et up i klartekst hos udbyderen.
Og helt principielt har jeg det skidt med, at det, der på sin vis er hjertet i hjemmenetværket - altså routeren - bliver fjernkontrolleret af internetudbyderen. Det kan måske være fint nok i support-øjemed for nogle kundegrupper - jeg vil helst være fri.
Heldigvis har min internetudbyders udstyr uden større problemer kunnet sættes i bridge-mode, så jeg foreløbig uden videre har kunnet anvende mit eget udstyr bagved.
Segmentering
Jeg vil gerne lave netværkssegmentering, så enheder kan adskilles i netværket og alting ikke har adgang til det hele.
Foreløbigt er det blevet til et wifi-netværk sat op til gæster. Dette netværk giver under den nuværende opsætning i udgangspunktet kun adgang til internettet - og ikke mine enheder - og det har jeg det fint med.
En del af det udstyr, der er på det primære netværk, er godt nok sikret med credentials, i det omfang det er muligt med credentials, men jeg synes ikke, der er nogen grund til at sprede wifi-kodeord og netværksadgang mere end højst nødvendigt.
Gæste-wifi'et er sat op i open source-router-softwaren, Projekt Lede (nu OpenWRT), på det udstyr, der står lige bag router-modemet fra min ISP. Der er flere opskrifter på nettet til, hvordan det gøres. Derudover har jeg en selvstændig Access Point-enhed, som resten af husstanden bruger.
Jeg har ikke så meget fritid, som jeg havde, og samtidig har jeg flere enheder på nettet end nogensinde før. Blandt andet derfor er jeg ved at udskifte min egen, nuværende router med en semi-professionel router/firewall-løsning.
Min forhåbning er, at netværkssegmentering og vedligehold af router-software bliver lidt enklere.
Næste større punkt på netværksdagsordenen er at segmentere netværket i virtuelle lans. Jeg har absolut ingen erfaring på området, men den nye router/firewall skulle kunne det, og det virker som en god idé.
Som jeg forstår det, vil Virtual LAN sige, at selvom enhederne er på samme fysiske netværk, så er de adskilt i virtuelle netværkssegmenter. På den måde er der ikke adgang direkte fra en gennemhacket robotstøvsuger på et segment til eksempelvis gulvvarme-styringen på et andet segment.
Internet-of …
Speaking of robotstøvsuger, så har jeg i det omfang, det har været økonomisk og praktisk meningsfuldt, været kræsen i forhold til, hvorfra det udstyr, der er koblet på hjemmenettet, kommer fra.
Nogen kalder det Internet of Things, når alting er koblet op. Andre har fundet på at kalde det Internet of Shit med en henvisning til de mange sikkerhedsproblemer, der kan være i netopkoblede produkter.
I min optik giver det ikke mening at tale om Internet of Shit generelt set, bare fordi nogle produkter er usikre og dårligt vedligeholdte. I udgangspunktet er der en verden til forskel på det softwaremæssige vedligehold, producenter yder til deres produkter.
Nogle er superflinke til at opdatere løbende, andre udsender aldrig en opdatering til et produkt, der måske tilmed er sikkerhedsmæssigt dårligt sat op fra starten.
Så vidt jeg lige kan komme i tanke om, kommer det meste at mit Internet-of-not-so-Shit fra større og kendte producenter. Og jeg kan se, de generelt udsender softwareopdateringer og sikkerhedsrettelser.
Det er såmænd ikke, fordi jeg forestiller mig, at de pågældende leverandører kærer sig synderligt om min it-sikkerhed. Men jeg bilder mig ind, de tænker på bundlinjen, og det ville se dumt ud, hvis en hel masse højtalere ender op i et botnet, fordi en højtalerproducent ikke gad patche en 6 måneder gammel sårbarhed.
I den forbindelse kan jeg se, at producenten af husstandens højtalere faktisk har patched for wifi-sårbarheden KRACK. Det er jeg til gengæld ret sikker på, at producenten af robotstøvsugeren ikke har.
Støvsugeren - der i øvrigt også har en besværlig opdateringsprocedure - kandiderer til eget VLAN.
Gulvvarmen
Og så er der gulvvarmen. Henover weekenden har jeg udskiftet dele af systemet (en central controller plus batteri-termostater på væggen), så varmen kan reguleres og tidsmæssigt programmeres via en app.
Foreløbig er det dog kun noget af varmen, der kan styres på den måde. Det er en anden historie.
Noget af det, jeg har kigget på i forhold til gulvvarme-system er, om softwareopdateringer overhovedet er en ting hos producenten. Det involverer trods alt også pumpestyring.
Egentlig startede jeg bare med at se på, hvornår mobil-app’en sidst var opdateret, for at få en føling af, om softwareudvikling overhovedet er en ting. App’en er fra sommeren 2017. Det kunne være værre, kan jeg se.
Men derudover kan jeg se, at producenten at dømme ud fra hjemmesiden virker bekendt med KRACK-sårbarheder og andre sikkerhedsrelaterede emner.
Så lidt fokus ser der ud til at være på det sikkerhedsmæssige, men jeg tvivler nu på, at softwaren i gulvvarme-controlleren er blevet opdateret i nyere tid. Og jeg er også i tvivl om, hvorvidt der overhovedet er en procedure for dette. Den kommunikerer dog ikke direkte med det almindelige netværk, men via en anden enhed.
Hvorvidt denne enhed modtager opdateringer, må jeg få undersøgt nærmere ved lejlighed
Lys
Det bringer mig til smart-belysningen, som tager afsæt i Philips Hue. Blandt andet, fordi andre - og billigere - produkter ser ud til at kunne integreres med denne løsning.
Hvad softwareopdateringer angår, så er der blevet udrullet adskillige opdateringer til både pærer og bridge - dimsen, som pærerne kobler til - siden installationen. Og en del af disse opdateringer har også lukket sikkerhedshuller, kan jeg se. Så det er godt nok.
Hvad der er mindre godt, er software-vedligeholdet i de tredjepartspærer, jeg også har investeret i. De fungerer foreløbigt upåklageligt med Philips-systemet, men tredjeparts-pærerne lader ikke til at kunne opdateres via dette system. Jeg ved ikke lige, hvad jeg skal gøre ved det, og jeg ved faktisk heller ikke, om der overhovedet er opdateret software til disse pærer.
Så hvis politibetjenten en dag banker på døren, sender en mail, eller hvordan det nu foregår - hvis det foregår - og spørger, hvorfor min internetforbindelse indgår i et DDoS-angreb mod et eller andet ministeriums hjemmeside, så tænker jeg, at et bebrejdende blik sendt i retning af belysningen på badeværelset, robotstøvsugeren eller muligvis gulvvarmen kan være på sin plads.
Stemmestyring
Eller måske kan jeg spørge Amazons Alexa, om den ved, hvad der foregår. Det er i hvert fald meningen, at de tre Echo Dots, jeg har fået fat på, lige om lidt bliver koblet på det hele, så gulvvarme, musik, lys og indkøbssedlen kan kommanderes med stemmen.
Jeg forestiller mig, det både bliver sjovt og praktisk at kunne sige: »Computer (det bliver trigger-ordet), add olive oil to shopping list.« Men jeg forsøger også at forberede mig på, at det bliver en privacy- og sikkerhedsmæssig udfordring med den evigt lyttende, hackbare assistent, som enhver tilfældig gæst i udgangspunktet kan udstede stemmekommandoer til. På den anden side, så er det jo ikke så forskelligt fra en almindelig mobiltelefon.
