Huawei: »Selvom du er landmand, kan du ikke sige, at cybersikkerhed er de andres problem«

Sorteper skal ikke udelukkende lande hos IoT-producenter, når usikre enheder i tusindvis pludselig udgør et omfattende sikkerhedsproblem, mener Huaweis europæiske sikkerhedschef.

Et botnetværk bestående af mindst 100.000 malwareinficerede IoT-enheder var for halvanden uge siden skyld i flere websites nedbrud, da enhederne blev rettet mod en af de centrale DNS-navneservere.

Mirai - som netværket er blevet døbt - er langt fra et udtryk for uhørt komplicerede hackerbedrifter. I stedet skanner malware-bagmænd konstant efter internetopkoblede kameraer, printere og routere, der er beskyttet udelukkende med med standard kodeord og brugernavn for at hverve dem til hæren af zombie-enheder.

Hos Trend Micro kalder man angrebet et wake-up call:

'Internet of things-økosystemet er helt igennem og fuldstændig i stykker,' skriver selskabet på en blog.

Læs også: Kinesisk firma tilbagekalder webcams efter enormt DDoS-angreb

Og for at løse problemet, skal man først finde ud af, hvem der har ansvaret, vurderer David Francis, der er europæisk chef for cybersikkerhed i Huawei.

»Det er ikke bare én part. Producenter og operatører har ansvar. Og dem der køber teknologien - kunderne - har også et ansvar,« siger han i et interview med Version2.

Læs også: It-gigant satser på Internet of Things: Vi vil nedbryde de geografiske barrierer for dataanvendelse

»Kunderne skal tænke over, hvad de vil, og det aftryk de sætter. Selvom du er en landmand, kan du ikke sige, at cybersikkerhed er de andres problem. Det er et samfundsproblem - ikke bare et teknisk problem. Hvis vi behandler det som et teknisk problem, så vil vi aldrig fikse det,« siger David Francis og fortsætter:

»Vi skal alle forstå, hvad din rolle er, når du lever i den moderne verden. Da jeg gik ind i it-industrien i 1980, havde jeg ingen ide om, at verden ville være så fantastisk, som den er i dag. Vi kommer alle til at nyde godt af alle fremskridt inden for sundhed, uddannelse, økonomisk vækst, lige muligheder mellem lande. Og guess what; hvis du nyder fordelene, så skal du også yde din del.«

Cybersaltbøsse

En kinesisk producent af flere af de kompromitterede IoT-enheder valgte i denne uge at tilbagekalde et webcam. Producenterne er da også de første David Francis nævner til spørgsmålet om ansvar.

»Hvis du ser på enhederne i sig selv, så ved vi, at de kommer til at have en lang levetid på måske 20 år. Vi ved, de har en meget lille processor og meget begrænset hukommelse. Når de først er ude, bliver de ikke opgraderet. Hvis du implementerer IoT i sæbebeholdere og rottefælder, så kommer du ikke ud til de fælder hver uge for at give dem en softwareopdatering. De kommer til at være der til batteriet dør.«

Læs også: Overraskende få enheder var kilde til DDoS-angrebet i fredags

»Så det vi har talt om i flere år, at sikkerhed skal være indbygget, er meget vigtigt. Og jeg forstår godt det er svært, hvis du har lavet saltbøsser i hundrede år, og nu pludselig laver en cybersaltbøsse, der måler mængden af salt - det er nok noget, du ikke har meget erfaring med. Du er nødt til at slå dig sammen med noget, der har erfaringen - frem for at bygge noget, der kan bruges til at angribe kritisk infrastruktur. Så producenterne er nødt til at anerkende deres begrænsninger,« siger David Francis.

Ingen undskyldning

I anden række kommer netværksoperatørene, der skal sørge for sikre netværkszoner, som holder IoT-enhederne adskilt fra traditionelle IT-enheder.

»Vi ønsker sandsynligvis ikke at have IoT-enheder, der måler køers temperatur, på det samme netværk som du har kritisk national infrastruktur. Og vi ønsker sandsynligvis at have en stærk segmentering af netværk - og det er netværksoperatørenes ansvar,« siger sikkerhedschefen.

»Hvis du ser på implementereing af smarte målere, der foregår i Europa for tiden, så vil mange af dem køre på 2G-netværk. Det betyder, at vi kommer til at have 2G i brug i hvert fald over de næste 20-30 år - velvidende de problemer teknologien har.«

Læs også: Amerikansk senator: Usikre Internet of Things-enheder bør klassificeres som ‘skadelige’

»Der er et fundamentalt problem i det faktum, at de fleste af vores netværk kører på legacyudstyr eller legacydesigns, der ikke havde sikkerhed som en kernefeature, da de blev skabt. Så vi er nødt til at være sikre på, at den nye teknologi, vi implementerer, har sikkerhed indbygget - det er helt fundamentalt. Tilbage i 1980'erne havde vi en undskyldning, men den har vi ikke længere,« siger David Francis og slutter:

»Lige nu venter alle på, at andre fikser problemet. Netværksoperatørerne ser på producenterne, producenterne ser på lovgivere og kunderne ser på alle, og siger 'I fikser det, det er ikke mit problem'. Men det er faktisk alles problem.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Valdemar Mørch

Producenterne er da også de første David Francis nævner til spørgsmålet om ansvar.

»Hvis du ser på enhederne i sig selv, så ved vi, at de kommer til at have en lang levetid på måske 20 år. Vi ved, de har en meget lille processor og meget begrænset hukommelse. Når de først er ude, bliver de ikke opgraderet. Hvis du implementerer IoT i sæbebeholdere og rottefælder, så kommer du ikke ud til de fælder hver uge for at give dem en softwareopdatering. De kommer til at være der til batteriet dør.«

Kan man overhovedet have sikkerhed hvis softwaren ikke kan opdateres? Både i den korte periode hvor producenten ser en interesse i det, og i den lange periode bagefter hvor producenten enten har opgivet interessen eller helt er gået konkurs?

  • 0
  • 0
Peter Valdemar Mørch

»Vi ønsker sandsynligvis ikke at have IoT-enheder, der måler køers temperatur, på det samme netværk som du har kritisk national infrastruktur. Og vi ønsker sandsynligvis at have en stærk segmentering af netværk - og det er netværksoperatørenes ansvar,«

Good luck with that.

Vil vi så acceptere et skod-netværk til IoT-enheder, og så er den potte ude? Det er da ikke seriøst....

Og hvad nu når producenten af XYZ-dims lige vil lave en app der kontrollerer IoT-enhederne, så skal der jo være forbindelse mellem de to netværk alligevel.

Jeg kan ikke se nogen vej uden om at om at de enkelte IoT-dimser enten ikke selv har forbindelse til internettet overhovedet (kun gennem en vel-sikret gateway), eller at deres software er opdatérbart. Kan du?

  • 2
  • 0
Henning Wangerin

Jeg kan ikke se nogen vej uden om at om at de enkelte IoT-dimser enten ikke selv har forbindelse til internettet overhovedet (kun gennem en vel-sikret gateway), eller at deres software er opdatérbart. Kan du?

Idet hele taget har jeg svært ved at have tillid til enheder som kobler op til en eller anden "tilfældig" server for at aflevere data, hvor jeg så skal hente data fra for at tilgå tingene.

At producenterne har en central server til at modtage formidle data er fint nok. Men hvis ikke jeg kan drive min egen server, og kommunikationene foregår med åbne/veldokumenterede protokoller, har jeg egentligt ikke særlgt meget lyst til at have de ting siddene.

/Henning

  • 0
  • 0
Henning Wangerin

Og hvad nu når producenten af XYZ-dims lige vil lave en app der kontrollerer IoT-enhederne, så skal der jo være forbindelse mellem de to netværk alligevel.

Det gør du jo ved at have tingene på et DMZ, så de ikke kan connecte ud.

Jeg har blandt andet et har netværkskameraer sidden på deres eget netværk, som JEG kan tilgå fra mit normale netværk, men ikke fra mine gærster på deres net. Jeg kan nemlig godt leve med at kameraerne ikke kan tilgåes udefra, med mindre det er via mit VPN.

Ja jeg er nok i kategoriern nørd, så jeg er ikke representativ, men ting kan sættes fornuftigt op, hvis man vil.

/Henning

  • 2
  • 0
Thomas Hedberg

Det er altid godt med gode råd og vejledning. Jeg ville dog blive langt mere glad, hvis jeg istedet for havde læst en artikel om, hvordan Huawei havde opdateret deres "Software Developement Life Cycle" model med et afsnit om vedligehold af firmwares på de enheder der sprøjter ud i en lind strøm.

  • 2
  • 0
Thomas Boysen-Ebler

Som ikke-sagkyndig med en forståelse for problematikken:

Er der nogen som kan bidrage med et link til, hvordan god praksis generelt er for at sætte en router op i en gennemsnitlig dansk husholdning med computere, telefoner, NAS og evt. IOT devices, så der skabes en hensigtsmæssig segmentering ?

Den konkrete fremgangsmåde vil naturligvis variere routerens fabrikat/model :-)

  • 0
  • 0
Log ind eller Opret konto for at kommentere