Internet-of-things (IOT) er et af tidens buzzwordsog dækker, som navnet antyder, over en nært forestående fremtid, hvor alt fra køleskabet til loftsbe-lysningen kommunikerer og kan styres via internettet.
IOT bliver i den forbindelse ofte også kædet sammen med et it-sikkerhedsmæssigt mareridt, der i hvert fald af nogen formodes at følge med i kølvandet på det netopkoblede komfur, hvor en eller anden hacker pludselig
skruer op for blusset, mens familien ligger og sover.
Hvad der kommer til at ske, må fremtiden vise. Mens vi venter på den, så er rigtigt mange hjem allerede spækket med tv, spillekonsoller, routere, printere, NAS-bokse (netværksharddiske), mobiltelefoner og andet habengut, der i større eller mindre grad tilgår internettet. Og der har været eksempler på, hvordan dette udstyr –måske særligt NAS-boksene – har kunnet udgøre en sikkerhedsrisiko.
Problemet med den slags bokse og lignende udstyr er, at de sjældent bliver opdateret. Eksempelvis fordi det er noget, brugeren skal gøre manuelt, eller også har producenten simpelthen opgivet opdateringerne, fordi der er kommet en ny model af produktet på markedet.
Det er nogle af de konklusioner, sikkerhedsekspert David Jacoby fra virksomheden Kaspersky Labs er nået frem til. Og det er ikke bare løst gætværk. Han har nøje gennemgået sikkerheden i det udvalg af netopkoblede produkter, han tilfældigvis selv har stående – og som nok modsvarer en del af det udstyr, mange andre også har stående. Og Jacoby fandt flre sikkerhedshuller i hjemmenetværket, herunder både i tv-apparatet og i NAS-boksen.
NAS som angrebsplatform
Hullerne bevirkede, at han fra internettet kunne overtage kontrollen med NAS-boksen på det lokale netværk, hvor personlige eller følsomme oplysninger i princippet kan være backet op. Boksen brugte han som angrebsplatform videre ind i hjemmenetværket, hvor han endte med at få tv-apparatet til at downloade javascript-kode og billeder, som han havde genereret.
»Problemet med forbrugerprodukter er, at der kommer en ny enhed en gang om året eller hver sjette måned. Hele tiden nye enheder. Nye tv-apparater. Og hvor tit er det lige, man som forbruger skifter tv,« spørger David Jacoby og henviser til, at produkterne, eksempelvis et flere år gammelt tv, risikerer at ryge i producenternes glemmebog, hvad angår opdateringer.
I forhold til de sikkerhedshuller, han fandt i sit eget udstyr på hjemmenetværket, så har det ikke været David Jacobys oplevelse, at producenterne ligefrem står på nakken af hinanden for at komme til at lukke hullerne igen.
»Jeg rapporterede alle sårbarhederne til leverandørerne, fordi jeg er sådan en flink fyr. De sagde: 'Mange tak, men vi har ikke tænkt os at rette det, fordi det produkt, du har testet på, ikke er vores seneste'. Men det er ikke et gammelt produkt.«
Generelt efterlyser David Jacoby, at hans kollegaer i it-sikkerhedsbranchen fokuserer mere på reelle sikkerhedshuller i gængs it-udstyr frem for mulige it-problemer i køleskabe, termostater og biler, der kan gå på nettet, men som endnu ikke er særligt udbredte.
»Sikkerhedsindustrien tager generelt ikke ansvaret for at tale om it-sårbarheder, løsninger og trusler, der er relevante for dig, mig, min mor, min nabo, min datter, min hund eller mine børnebørn,« siger David Jacoby.
Funktionalitet frem for sikkerhed.
Jørn Guldberg sidder i bestyrelsen for Rådet for Digital Sikkerhed og er derudover Ingeniørforeningen IDA’s faglige ekspert på it-området. Han er helt enig i David Jacobys betragtninger i forhold til de sikkerhedsudfordringer, som helt almindeligt netopkoblet udstyr i hjemmet kan give.
»Folk går efter funktionalitet, og de regner med, at sådan noget udstyr er sikret. Det er det ikke. Det er en så ny verden, at behovet for sikkerhed endnu ikke er blevet ordentlig erkendt. Og det bliver endnu værre, når der også kommer køleskabe og andet på,« siger Jørn Guldberg og fortsætter:
»Hvis man ikke har styr på at opdatere eksempelvis sin router, så er der ikke styr på sikkerheden. Og jeg tror, det er de færreste, der kan sige, at deres router er helt opdateret.«
Ud over at de potentielle ofres tv, printer, router, NAS-boks eller andet risikerer at indgå i kriminelle netværk, hvor udstyret kan blive brugt af bagmænd og måske ligefrem indgå i de såkaldte botnets, så forestiller Jørn Guldberg sig også, at et helt håndgribeligt scenarie kan blive resultatet af usikker forbrugerelektronik.
Ransomware er en særlig type malware, der findes i dag, og som bliver brugt til at gøre filer og harddiske utilgængelige, indtil offeret betaler en løsesum til bagmændene. Samme teknik vil i princippet kunne blive brugt mod et smart-tv eller andet underholdningsudstyr, forestiller Jørn Guldberg sig.
»Altså hvis man vil have tv’et til at fungere igen, så skal man indbetale nogle penge. Man kan lige høre ungerne, hvis ikke de kan få lov at se et bestemt tv-program. Så er det mit gæt, at forældrene er villige til at betale,« siger han.
Både David Jacoby og Jørn Guldberg bemærker, at selv når producenterne faktisk frigiver opdateringer til eksempelvis NAS eller router, så kræver det ofte en del af brugeren, som manuelt skal finde frem til opdateringen på en given producents hjemmeside, downloade den og så finde ud af, hvordan den bliver indlæst i udstyret.
»En løsning kan være, at udstyret ikke bruger standardkodeord, og at det er opdateret. Og hvis det ikke har behov for en internetforbindelse, hvorfor skal det så være forbundet til internettet,« spørger David Jacoby. Internet-adgang ikke altid nødvendig.
Med andre ord, så behøver NAS-bokse, printere og andet udstyr ifølge sikkerhedseksperten ikke nødvendigvis internetadgang, men kan måske nøjes med at have adgang til det lokale hjemmenetværk. Men ligesom firmwareopdateringer er en segmentering af hjemmenetværket heller ikke videre triviel.
I stedet sender David Jacoby bolden videre til producenterne, der må sikre udstyret bedre fra fabrikken.
»Der er masser af løsninger, men jeg kan jo ikke ringe til min mor og bede hende fjerne gateway-adressen. Sikkerhed skal bygges ind fra starten. Og det skal eksperter og journalister gøre opmærksom på, så folk bliver klar over, at der ikke eksisterer nogen gode løsninger på nuværende tidspunkt.«
Ifølge en undersøgelse, foretaget af IDA blandt ca. 700 it-professionelle, så er sikring af internetstyret udstyr i hjemmet noget, som 47 pct. forholder sig til i høj eller meget høj grad, mens 34 pct. forholder sig til det i nogen grad, 11 pct. i ringe grad og 5 pct. slet ikke.
Det er her værd at bemærke, at respondenterne specifikt forholder sig til udstyr, der er styret fra internettet og ikke nødvendigvis udstyr, der har adgang til internettet, som det typisk vil være tilfældet med et smart-tv, en spillekonsol eller lignende forbrugerelektronik.
Jørn Guldberg mener, at sikring af internetstyret udstyr godt kunne ligge endnu højere i bevidstheden hos de it-professionelle.
»Det bliver taget lidt seriøst, men man gør sig ikke klart, hvor godt man skal sikre sig. Normalt sætter man lås på sin dør, men med nettet går der jo en ledning direkte ind. Hvis ikke vi har blokeret, hvad der kommer gennem den ledning, og hvis ikke vi har begrænset, hvad det kan ramme, når det nu alligevel kommer igennem, så er der jo åbnet en ladeport,« siger han.
Denne artikel blev første gang bragt i Version2s Insight-magasin: Privacy & Sikkerhed. Download hele pdf-magasinet her.