IT-giganter: Manglende Internet of Things-sikkerhed kan give kaos

12. august 2015 kl. 16:035
Sikkerheden omkring internetopkoblede gadgets er for ringe og kan på sigt give store problemer. Det vurderer en sammenslutning af it-kæmper, der efterlyser gennemsigtighed.
person
Magnus Boye
Journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Magnus Boye
Journalist

Alt for mange internetopkoblede hverdags-gadgets er ikke designet til langsigtet sikkerhed, og svaghederne kan have kaotiske konsekvenser. Sådan lyder kritikken fra nonprofitorganisationen Online Trust Alliance (OTA), der er en sammenslutning af 100 it-selskaber og blandt andet tæller Microsoft og Symantec.

Det skriver ZDNet.

Udbredelsen af Internet of Things har givet en lind strøm af forskning, der påpeger sikkerhedssvagheder ved produkterne. Og der er kun udsigt til, at problemet vokser, meddeler OTA.

Alt for mange IoT-produkter tager ikke højde for, hvordan data skal beskyttes efter endt garanti, lyder kritikken.

Artiklen fortsætter efter annoncen

»Den hastige udbredelse af Internet of Things har sat fart på lanceringen af internetopkoblede produkter, men der er stadig vigtige mangler i forhold til sikkerhed og privacy, i takt med at de her enheder bliver mere almindelige,« forklarer Craig Spiezle, der er formand for OTA, i en meddelelse.

Dårlig vedligeholdelse af sikkerhed kan betyde, at produkter, som var sikre, da de blev købt, ikke er sikre efter nogen tids brug. Det kan ifølge OTA føre til, at hackere åbner garagedøren på afstand eller tænder babyalarmen, der ikke længere er patchet. Eller skaber kaos ved at sabotere internettilsluttede automatiske hjem.

Det er ifølge Craig Spiezle generelt chokerende, hvor lidt planlægning der er gået ind i at overveje, hvordan produkterne skal håndteres.

»Hvad hvis nogen for eksempel sælger et hus med en intelligent termostat eller garagedør? Hvordan sikrer man sig, at den gamle ejer ikke har adgang til de enheder, når den nye ejer flytter ind,« spørger han retorisk.

OTA-selskaber er nu gået sammen om at foreslå en praksis, der kan forbedre sikkerheden omkring Internet of Things. Anbefalingen går blandt andet ud på at sikre, at brugeren let kan gennemskue, hvad data bruges til.

Emner
5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
Jørgen A Thomsen
25. august 2015 kl. 11:54

Det hollandske firma sælger efter eget udsagn OEM produkter, så det er ikke dem, der har udviklet softwaren. I øvrigt svarer den pågældende DNS server ikke længere, men da det betyder 7 sekunders timeout for hvert DNS opslag, så bliver apparatet sløvet ned.

  • more_vert
    • insert_linkKopier link
4
Henrik Winther Jensen
25. august 2015 kl. 09:21

Er vi sikre på at den hollandske producent ikke er en front for den egentlige producent et vilkårligt sted i verden? Det er nemt at oprette et selskab. Desuden kan man da godt forestille sig at software opdateringer kan finde sted uden om menu punktet.

  • more_vert
    • insert_linkKopier link
3
Jørgen A Thomsen
14. august 2015 kl. 09:57

Det drejer sig om denne smarte parabolmodtager, som samler både parabolkanaler og antennekanaler i samme enhed. Titan III HD Combo

https://www.sabsatellite.nl/sab-titan-1-2/624/sab-titan-iii-hd-combo-s907Den sælges på det danske marked.

Enheden kan forbindes til nettet og bl.a. vise Youtube film.

Nettet opsættes på sædvanlig vis med DHCP, der tildeler DNS.

Enheden blev opkoblet til en linux server, der fungerer som router. En 'tcpdump port 53' på denne afslørede, at alle DNS opslag starter med et opslag til en kinesisk IP-adresse, hvor en server afviser opslaget. Derefter foretages de sædvanlige forventede DNS opslag gennem de DHCP tildelte DNSer.

Forhindres via firewall opslag på den kinesiske IP-adresse, så forsinkes alt med en timeoutværdi på 7 sekunder, før opslaget foretages på de tildelte DNSer.

Dette kinesiske opslag er ude af trit med sædvanlig DNS operation og burde heller ikke være nødvendig i en testopstilling hos producenten, som bare kunne opsætte en intern DHCP server til brug for test.

Man kan forestille sig mange grimme ting:

  • der er i firmwaren indbygget kode, som aktiveres ved det rette svar fra DNSen således at
  • en medarbejder ved producenten kan tjene penge på udsendelse af SPAM eller DDoS
  • den kinesiske regering kan udføre cyberwar med tusindvis af distribuerede enheder osv

Der er i enheden et menupunkt, som kan bruges til opdateringer fra den hollandske producent, så det er ikke noget med automatisk opdatering.

  • more_vert
    • insert_linkKopier link
1
Jørgen A Thomsen
12. august 2015 kl. 16:20

En ting er utilsigtede sikkerhedshuller, men hvad med bevidst anbragte bagdøre.

Jeg har netop afsløret en mulig bagdør i et stykke almindeligt forbrugerelektronik (TV boks), som kommunikerer på en mistænkelig måde med en kinesisk DNS. For mig at se kunne det være en sovende trojaner, som nogen kunne vække med et passende svar fra denne DNS.

Hvem, der står bag dette, vides ikke, men da der ikke er installeret nogen form for brugersoftware på boksen, så er det kommet med fra fabrikken.

  • more_vert
    • insert_linkKopier link