IT-giganter: Manglende Internet of Things-sikkerhed kan give kaos

Sikkerheden omkring internetopkoblede gadgets er for ringe og kan på sigt give store problemer. Det vurderer en sammenslutning af it-kæmper, der efterlyser gennemsigtighed.

Alt for mange internetopkoblede hverdags-gadgets er ikke designet til langsigtet sikkerhed, og svaghederne kan have kaotiske konsekvenser. Sådan lyder kritikken fra nonprofitorganisationen Online Trust Alliance (OTA), der er en sammenslutning af 100 it-selskaber og blandt andet tæller Microsoft og Symantec.

Det skriver ZDNet.

Læs også: Tv-hacker: Producenter er ligeglade med sikkerheden i forbrugerelektronik

Udbredelsen af Internet of Things har givet en lind strøm af forskning, der påpeger sikkerhedssvagheder ved produkterne. Og der er kun udsigt til, at problemet vokser, meddeler OTA.

Alt for mange IoT-produkter tager ikke højde for, hvordan data skal beskyttes efter endt garanti, lyder kritikken.

Læs også: Så nemt er det at hacke et smart-tv via gennemhullet NAS-boks

»Den hastige udbredelse af Internet of Things har sat fart på lanceringen af internetopkoblede produkter, men der er stadig vigtige mangler i forhold til sikkerhed og privacy, i takt med at de her enheder bliver mere almindelige,« forklarer Craig Spiezle, der er formand for OTA, i en meddelelse.

Dårlig vedligeholdelse af sikkerhed kan betyde, at produkter, som var sikre, da de blev købt, ikke er sikre efter nogen tids brug. Det kan ifølge OTA føre til, at hackere åbner garagedøren på afstand eller tænder babyalarmen, der ikke længere er patchet. Eller skaber kaos ved at sabotere internettilsluttede automatiske hjem.

Læs også: Ny Barbie-dukke optager børnenes stemmer og videregiver dem til tredjepart

Det er ifølge Craig Spiezle generelt chokerende, hvor lidt planlægning der er gået ind i at overveje, hvordan produkterne skal håndteres.

»Hvad hvis nogen for eksempel sælger et hus med en intelligent termostat eller garagedør? Hvordan sikrer man sig, at den gamle ejer ikke har adgang til de enheder, når den nye ejer flytter ind,« spørger han retorisk.

Læs også: Microsoft: Windows-sikkerhed kan gøre livet surt for Internet of Things-hackere

OTA-selskaber er nu gået sammen om at foreslå en praksis, der kan forbedre sikkerheden omkring Internet of Things. Anbefalingen går blandt andet ud på at sikre, at brugeren let kan gennemskue, hvad data bruges til.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jørgen A Thomsen

En ting er utilsigtede sikkerhedshuller, men hvad med bevidst anbragte bagdøre.

Jeg har netop afsløret en mulig bagdør i et stykke almindeligt forbrugerelektronik (TV boks), som kommunikerer på en mistænkelig måde med en kinesisk DNS. For mig at se kunne det være en sovende trojaner, som nogen kunne vække med et passende svar fra denne DNS.

Hvem, der står bag dette, vides ikke, men da der ikke er installeret nogen form for brugersoftware på boksen, så er det kommet med fra fabrikken.

Ole Jørgensen
Jørgen A Thomsen

Det drejer sig om denne smarte parabolmodtager, som samler både parabolkanaler og antennekanaler i samme enhed.
Titan III HD Combo

http://www.sabsatellite.nl/sab-titan-1-2/624/sab-titan-iii-hd-combo-s907
Den sælges på det danske marked.

Enheden kan forbindes til nettet og bl.a. vise Youtube film.

Nettet opsættes på sædvanlig vis med DHCP, der tildeler DNS.

Enheden blev opkoblet til en linux server, der fungerer som router.
En 'tcpdump port 53' på denne afslørede, at alle DNS opslag starter med et opslag til en kinesisk IP-adresse, hvor en server afviser opslaget. Derefter foretages de sædvanlige forventede DNS opslag gennem de DHCP tildelte DNSer.

Forhindres via firewall opslag på den kinesiske IP-adresse, så forsinkes alt med en timeoutværdi på 7 sekunder, før opslaget foretages på de tildelte DNSer.

Dette kinesiske opslag er ude af trit med sædvanlig DNS operation og burde heller ikke være nødvendig i en testopstilling hos producenten, som bare kunne opsætte en intern DHCP server til brug for test.

Man kan forestille sig mange grimme ting:
- der er i firmwaren indbygget kode, som aktiveres ved det rette svar fra DNSen
således at
- en medarbejder ved producenten kan tjene penge på udsendelse af SPAM eller DDoS
- den kinesiske regering kan udføre cyberwar med tusindvis af distribuerede enheder
osv

Der er i enheden et menupunkt, som kan bruges til opdateringer fra den hollandske producent, så det er ikke noget med automatisk opdatering.

HW Jensen

Er vi sikre på at den hollandske producent ikke er en front for den egentlige producent et vilkårligt sted i verden? Det er nemt at oprette et selskab. Desuden kan man da godt forestille sig at software opdateringer kan finde sted uden om menu punktet.

Jørgen A Thomsen

Det hollandske firma sælger efter eget udsagn OEM produkter, så det er ikke dem, der har udviklet softwaren.
I øvrigt svarer den pågældende DNS server ikke længere, men da det betyder 7 sekunders timeout for hvert DNS opslag, så bliver apparatet sløvet ned.

Log ind eller Opret konto for at kommentere