It-fagmand: Dukker, løbeure og elpærer på nettet er et kæmpe problem for it-sikkerheden

Internetopkoblinger kommer ind i stort set alt, og de mange nye opkoblingspunkter er et mareridt for den it-sikkerhedsansvarlige. Men intelligent overvågning kan hjælpe på sikkerheden.

Barbie-dukker, tøjbamser, løbeure, MP3-spillere og elpærer er bare nogle af de produkter, der har fået indbygget internetadgang og dermed også potentielt er blevet udstyret med en sikkerhedsrisiko. Og det viser sig, at risikoen er reel.

På det seneste har der været flere eksempler på, hvordan tilsyneladende uskyldigt interaktivt legetøj med internetopkobling har været baseret på yderst tilfældig it-sikkerhed eller i værste fald direkte udstyret med bagdøre til brug for eventuelle hackere.

Selv om det lyder ufarligt med muligheden for at hacke et barns stemme gennem en bamse, dækker de hullede systemer over muligheden for at penetrere dybere ind i hjemmets eller virksomhedens it-netværk, forklarer sikkerhedsproduktchef i Arrow ESC Kim Due Andersen.

»Med Internet of Things har de it-ansvarlige fået en kæmpe udfordring, der bare vil vokse og vokse. Disse produkter er ikke udviklet med sikkerhed for øje og kan være fremstillet af enheder, der ikke er opdaterede eller slet ikke kan opdateres. Men frem for kun at se på, hvor farlige enhederne kan være, bør man som virksomhed også se på, hvad det er, man gerne vil beskytte og sørge for, at det så også er det, der sker,« siger Kim Due Andersen op til Version2 store it-sikkerhedsevent, Infosecurity Danmark, som afholdes i dag og i morgen i København.

Nettrafik skal overvåges

Kim Due Andersen rådgiver både kunder og forhandlere om blandt andet sikkerhed i netværk og sikker brug af devices.

»Der findes mange virksomheder, der anvender såkaldte mobile device management-systemer til overvågning af sikkerheden i virksomhedens devices, men disse systemer er slet ikke nok til at sikre, at enhederne også er opdaterede og ikke er blevet inficeret af ondsindet malware. Derfor er det nødvendigt med en meget mere intelligent tilgang til – og herunder overvågning af – eksempelvis trafikken på nettet eller omkring de enkelte enheder. Hvis du ikke ved, hvad det er, du skal beskytte dig imod, kan du heller ikke vide, hvordan du skal gøre det,« påpeger han.

Men det er ikke kun bamser, der er hacket. Langt alvorligere bliver det, når hackerne får mulighed for at overtage kontrollen af vores biler og på afstand kan bestemme, om bilen skal stoppe, eller gennemføre andre ændringer i bilens opsætning. Eller hvis det lykkes hackerne at trænge ind i doseringssystemer for diabetespatienter eller intelligente pacemakere. Så kan hackernes leg blive dødelig alvor.

Svimlende tal for forbundne enheder

Det er ikke småting, der finder vej til nettet. Ifølge en analyse fra Gartner vil der i 2016 være 6,4 milliarder forbundne enheder verden over, hvilket er en stigning i forhold til 2015 på 30 procent. I 2020 vil antallet af for¬bundne enheder være steget til over 20 milliarder. Det betyder, at der hver dag kobles 5 millioner nye ting på nettet.

Det er klart, at med disse tal er udfordringen for den it-sikkerhedsansvarlige ganske betydelig.

Den største udvikling vil dog i første omgang komme i privatforbruget, der vil stå for langt de fleste forbundne produkter.

»Udviklingen betyder, at der skal meget mere fokus på sikkerheden og skabes noget awareness blandt virksomhedernes ansatte, for det er stadig mennesker, der er den største risikofaktor,« påpeger Kim Due Andersen.
Intelligente firewalls

En særlig udfordring ved sikkerheden i opkoblede enheder er de mange forskellige protokoller, der anvendes i de forskellige enheder. Wifi er meget udbredt, men arver de samme sikkerhedsrisici, som der er i det almindelige trådede netværk.

Bluetooth og andre kortdistanceprotokoller er også meget populære, ikke mindst til at styre enheder tæt på eller trådløst forbundne enheder i hjemmet eller på ar¬bejdspladsen.

»Det, vi ser, er, at fokus i øjeblikket er betydeligt stigende på at opdage potentielle sikkerhedstrusler. Enten ved hjælp af mere intelligente firewalls og gatewayløsninger eller intelligent overvågning af trafikken, så mistænkelig adfærd hurtigt opdages og dæmmes ind. Det farlige er jo, at der kan gå måneder, fra et sikkerhedshul udnyttes af hackerne, og til det opdages i virksomhederne,« siger Kim Due Andersen.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark i dag, den 3. og i morgen 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Marie Krogsbøll

"....eller intelligent overvågning af trafikken...." Indebærer det ikke i sig selv yderligere risici - for privatlivet?

I øvrigt dumt amatørspørgsmål: Kan man anvende en app (eks. en pulsmåler-app) uden at være på nettet, når først app-en er hentet? Kunne man f.eks. anskaffe en gammel smartphone, som udelukkende anvendes til dette - dvs. man henter apps-ene, men kobler phonen af nettet, når der er hentet? Eller er app-funktionerne altid afhængige af nettet?

  • 0
  • 1
#2 Povl H. Pedersen

Der er mange problemer. Der var en IoT elkeddel der hoppede på det første det bedste AP, og sendte password som AP'et ville have det, altså med svag kryptering. Herefter var det trivielt at gå på det trådløse netværk.

Jeg har IP enablede webcams, som jeg bruger med en NAS server til videoovervågning. Det er umuligt at slå fra at de registrerer sig på den kinesiske server, så kineserne (og hele verden) kan se med. Dette kan man kun gøre ved at lave blokering i firewall.

Som hjemmeforbruger, så bør man altid lave et isoleret SSiD til dette skidt, og observere trafik så man kan lave passende filtrering. Problemet er bare, at det kan 99,9% eller flere ikke finde ud af.

Eneste løsning er, at man holder leverandører/fabrikanter ansvarlige, og med store bøder. Og så sørger for at alt kan opdateres. Et færdigloddet WiFi modul med CPU og flash koster $2-$3 når man køber et enkelt. Kan opdateres OTA. Så der er ingen undskyldning for ikke implementere det korrekt hvis prisen er $1-$2.

  • 1
  • 0
#4 Robert Winther

Man kan sagtens lave den type apps så de virker uden at skulle have forbindelse til nettet.

Men producenterne vælger ofte at indbygge funktionalitet der kræver forbindelse til nettet (så din pulsmåler kan vise hvor du har gået på et kort, poste dine resultater på Facebook, tage backup til din Dropboks-konto eller vise reklamer osv).

  • 2
  • 0
#5 Maciej Szeliga

Jeg har IP enablede webcams, som jeg bruger med en NAS server til videoovervågning. Det er umuligt at slå fra at de registrerer sig på den kinesiske server, så kineserne (og hele verden) kan se med.

Dem fra Harald Nyborg ?

Dette kan man kun gøre ved at lave blokering i firewall.

Det har man da i forvejen, en "halv" firewall er ingen sikkerhed nu om dage (og sådan har det været i de sidste min. 15 år).

  • 2
  • 0
#6 Anne-Marie Krogsbøll

Tak for svar, Robert og Uffe.

Næste spørgsmål: Er der noget vundet ved at gøre det, eller vil app-en blot sende de opsamlede data, næste gang man går på wifi f. eks. for at hente en ny app?

Og et forståelsesspørgsmål til artiklen: *"...eller intelligent overvågning af trafikken, så mistænkelig adfærd hurtigt opdages og dæmmes ind..."

Menes der her overvågning fra udbyder o.l. side, eller overvågning, som man selv installerer, står for og holder øje med på egne mobiler/pc-er/iot?

  • 0
  • 0
#7 Frithiof Andreas Jensen

Jeg vil godt vädde en del penge på at den virkelige profit i IoT skabes ved at sälge adgangen til funktionerne i kundernes "Smart" devices samt data som beskriver kundernes adfärd - helt ned på 1:1 niveau.

Tänk på hvad det er värd at kunne måle, direkte, om en specifik "Smart-TV"-reklame motiverer en specifik person til at hente en pose chips på lageret og en öl fra "Smart-Köleskabet". Det firma som knäkker koden med at udvälge reklamer som har en effekt på de personer som udsättes for reklamen på det tidspunkt og som kan monopolisere adgangen til "platformen" - det bliver Google + et par potenser i omsätning.

"Markedskräfterne" garanterer at sikkerhed får et kämpe fokus blandt "de store" IoT providere - fordi sikkerhed for dem er et värktöj som man kan anvende for at lukke konkurrenterne ude fra "platformen" og skabe sin egen "data-silo".

Tiltag der beskytter brugernes privatliv og data for brugernes egen skyld reducerer värdien af IoT-platformen, så disse bliver näppe indbygget frivilligt (eller implementeret korrekt som med regionskoden på DVD-spillere).

Et usikkert 3'rd-party produkt kan finde nicher uden for "data-siloerne" som man vil forsöge at etablere - data-minerne kan hacke det og dermed få en uofficiel adgang der kan sälges også.

"Markedet" går, M.A.O. imod minimal sikkerhed.

  • 4
  • 0
#8 Frithiof Andreas Jensen

Næste spørgsmål: Er der noget vundet ved at gøre det, eller vil app-en blot sende de opsamlede data, næste gang man går på wifi f. eks. for at hente en ny app?

Näh. "Runtastic", f.ex., vil synce alle löbeture så snart mobilen forbinder til et netvärk.

Hvis man anvender en smartphone så skal man regne med at alle data den genererer ender i "cloud". Det hjälper egentligt ikke at slå nettet fra - hvis "nogen" virkeligt vil have data, så kan de hacke baseband-processoren og suge det ud den vej (muligvis på de seneste iPhone kan selv baseband-processoren kun få fat i krypterede data).

Jeg selv bruger "Runtastic", "YNAB", "DB Navigator", "Skanetrafiken", "Parkster" og "Bluetooth" så "They", TLA'erne samt adskillige marketing og branding folk ved nok hvor jeg er, hvornår jeg tager på arbejde, hvor mange penge jeg bruger, hvad jeg bruger dem på og typisk hvor.

Jeg ser lidt på det som i Gamle Dage, med Echellon - Dengang var ordsproget at hvis alle har 2.3 börn, en Volvo samt en Golden Retriever så er det enklest at anskaffe disse ting hvis man vil skjule sig fordi der så er mere data for "They" at rode igennem.

  • 1
  • 0
#9 Robert Winther

Næste spørgsmål: Er der noget vundet ved at gøre det, eller vil app-en blot sende de opsamlede data, næste gang man går på wifi f. eks. for at hente en ny app?

Det kommer an på hvordan den er kodet. Nogle apps er programmeret til at sende data næste gang der er forbindelse, andre apps vil ikke sende data hvis de ikke kan få forbindelse, og andre apps igen vil simpelthen fejle hvis de ikke har forbindelse til nettet.

Som udgangspunkt kan du vist godt gå ud fra, at dem der er meget interesseret i dine data nok også har sørger for at programmere applikationen til at gemme data og levere dem når der er forbindelse næste gang.

Men hvis du har blokeret for Appens adgang til Nettet har du ikke blokeret for opdateringer af appen via Google eller Apple - det er normalt en Google eller Apple 'app' der sørger for opdateringen af alle dine apps på din smartphone, ikke de enkelte apps selv.

  • 2
  • 0
#14 Frithiof Andreas Jensen

Jeg er bare utroligt vred over udviklingen, og vil gerne være "på tværs",

Ja, men det er anstrengende at väre vred hele tiden. Samtidigt med at jeg er knotten over masseovervågning og sikkerheds-idiotiet så synes jeg også at vi har adgang til nogle fantastiske ting.

Hvis man rigtigt vil väre på tvärs, så kan man bede om en kopi af sine data sådan som man har ret til i fölge loven. De fleste IT-lösninger har ikke designet "compliance" ind, så alt imens det går helt automatisk og er nästen gratis med at få indsamlet, gemt, og analyseret alt muligt crap så er udlevering / sletning / rettelser af kundernes data som regel en manuel proces.

  • 2
  • 0
#15 Anne-Marie Krogsbøll

Du har ret Frithiof Jensen - det er møgirriterende og træls at skulle bruge energi på at forsvare, hvad man synes er basale privatlivsrettigheder.

Tak for tipsene - som jo desværre også kræver en vis energisk indsats, som jeg lige nu ikke tiltror mig selv - så hellere undvære de funktioner, hvor spændende de end ser ud. Men på sigt skal jeg huske tipsene med at bede om kopier af kundedata.

  • 0
  • 0
Log ind eller Opret konto for at kommentere