Sikkerhed i et IoT-hjem kan afhjælpes af en helt ny slags router

Nortons Core-router koster omkring 300 dollar og kan endnu ikke købes i Danmark. Illustration: Norton
De enkelte IoT-enheder har ikke processorkraft til at vurdere den den trafik, der passerer gennem dem. derfor er en specialdesignet IoT-router måske løsningen, lyder det fra Norton.

Norton har netop lanceret en router, der udover at route trafikken rundt i dit hjem løbende overvåger trafikken til og fra de enkelte enheder for at se, om der er mistænkelig trafik til og fra dem.

Og det kan meget vel være, det er den vej, man skal gå, hvis man vil sikre sine IoT-enheder i hjemmet. Det skriver The Verge.

Læs også: Sikkerheden i vores IoT-enheder skal strammes op

For IoT-enheder i sig selv har ofte kun begrænset processorkraft, og kan derfor ikke selv gennemgå trafikken. Samtidig kræver deres praktiske funktion ofte, at der er direkte forbindelse fra dem til netop det åbne internet. Og det er en dårlig kombination.

Sårbarheden af IoT-enheder er blandt andet kommet til udtryk ved flere angreb fra botnets bestående af IoT-enheder.

Læs også: Efter IoT-DDoS: Hvad skal kaffemaskinen og støvsugeren med wifi?

Det er Nortons håb, at man med en router som Core, som produktet hedder, kan scanne trafikken mellem IoT-enheder og internettet. På den måde håber sikkerhedsfirmaet at optrevle botnets og forhindre, at dit overvågningskamera bidrager til at lægge Folketingets hjemmeside ned med et DDoS-angreb.

Kraftig hardware

Udover at love de samme trådløse resultater, som andre high-end routere er Nortons router udstyret med en processor, der giver den kraft til at granske de pakker, der sendes til og fra enhederne.

Din IoT-thermostat har næppe den processorkraft, det kræves at køre robuste malware-undersøgelser, men det har routeren med sin dual-core processor, og fordi den både er i stand til at scanne og er et mellemled mellem internettet og enheden, kan den i teorien både finde et problem og gøre noget ved det, hvis den finder et problem.

Læs også: Gigantisk cybercrime-infrastruktur pillet ned af internationalt samarbejde

Nortons router scanner ikke bare internetpakkernes overfladiske metadata, men laver en såkaldt ‘deep packet inspection’, der også scanner indholdet af pakkerne, der passerer gennem routeren.

Adskiller netværk

Routeren giver også mulighed for at adskille dit IoT-netværk fra dit generelle WiFi-netværk. På den måde håber Norton at undgå, at en hacket babyalarm kan bruges som spydspids til dit private netværk.

Læs også: Sikkerhedsfirma: IoT-baserede DDoS-angreb og SCADA-episoder kommer til at trække overskrifter i 2017

Derudover tillader routeren gennem en nem brugerflade at se, hvilke enheder, der logger på routeren, skriver The Verge. Interfacet er så godt, at det ligefrem opfordrer til, hvad The Verge beskriver som ‘ond far-overvågning’ af husets enheder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

1) Hvad erfaring har Norton med hardware sikkerhedsprodukter? De laver Antivirus, men er de dygtige nok til at lave en router? Stoler mere på hardware fra Cisco eller egen opensource baseret router, end på den her black box.

2) Og af samme karakter som det problem der rammer NSA's overvågning. Alt trafik er idag krypteret, mere eller mindre, især hvis man har nået at skjule (malware). De kan kigge på IP adresser og domænerne, og det er omtrent det. Det er selvfølgelig også noget, men DPI hjælper ikke meget mod SSL eller "hjemmerullet" kryptering.

Som jeg ser det kan de ikke meget mere end at sælge mig en dyr uprøvet boks af hardware der egentlig ikke tilbyder mig meget mere end at holde øje med nogle kendte hostnames / IP adresser og advare/blackliste, samt måske kigge på lidt traffic patterns. Det er da også bedre end en TDC router der sender dine egne Wifi kodeord i klartekst til dem, men det er stadig langt fra en gylden kugle til at løse alle verdens problemer med IoT.

Jeg forstår ikke argumentet med det er svært at sikre IoT pga. processorkraft. Dedikeret kryptohardware er bestemt muligt. Rent teknisk set er en esp8266 jo i stand til at udføre (relativt stærk) kryptografi når den kobler sig til WPA2 netværk, så hvorfor kan anden hardware ikke gøre det i "daglig brug"? (Hint: Det kan det godt). Problemet er nærmere manglende opdateringer og ligeglade producenter...

  • 1
  • 1
Martin Jensen

Problemstillingen er holdning ved producenter og leverandører, skødesløs opsætning, prioritering af 'first to market' og 'ease of use', helt nye anvendelsesområder og metoder, og meget andet, som kræver omtanke.

Det at tro man kan sælge noget automagisk ids/ips og det så løser problemet, er som at begynde at levere/sælge skudsikre veste til borgere i banderamte områder, og mene det er den rigtige vej frem.

Det er en ny grundlæggende problemstilling, som ikke kan løses med en tryllekasse, og slet ikke en med et relativt traditionelt approach. IoT-Webcammet skal jo sende et billede ud over internettet, så boksen spotter nok ikke hvis en uønsket/ikke-autentificeret ser med, osv.

Som ovenfor nævns kryptografi, som bliver mere og mere udbredt, hvor routeren ikke kan snage med.

Det er ikke direkte forkert, det skader ikke, der er en ting eller to som routeren kan forhindre, men at kalde det 'så er IoT hjem sikkert' og 'en løsning' er nok en tilsnigelse af karakter.

https://xkcd.com/463/

  • 2
  • 0
Sune Marcher

Alt trafik er idag krypteret, mere eller mindre, især hvis man har nået at skjule (malware). De kan kigge på IP adresser og domænerne, og det er omtrent det. Det er selvfølgelig også noget, men DPI hjælper ikke meget mod SSL eller "hjemmerullet" kryptering.

Antivirusproducenter mener at det er helt OK både at injecte kode i browser-processer samt at lave MITM TLS proxy'er "for great justice"... Så Norton har da helt sikkert også en "løsning" til at DPI'e din TLS traffik ;-)

  • 2
  • 0
Henrik Pedersen

Som bare ikke virker på IoT devices, fordi de ikke har adgang til selve enheden, og en hver "ondsindet" kommunikation desuden nok er smart nok til at pinne sine nøgler/certifikater, enten via hardcoding, eget "scheme" eller almindelig cert pinning. Ellers ville de sikkert sælge "løsninger" til producenter/consumers i form af egne hardware patches... Som probably ville bricke devicen.

Din humor er dog ikke tabt på mig trods mit seriøse svar. :)

  • 1
  • 1
Finn Thøgersen

For det første kræver det at IoT crappet faktisk bruger dit wifi og ikke fx naboen åbne AP eller (for dyrere udstyr) har egen GSM-on-a-chip

Og som allerede nævnt kan en router/fw da hindre visse typer angreb såsom ICMP (fx DNS) eller SYN flooding, og kan køre blacklisting (formodentligt via en rimelig konservativ blackliste, eller tager Norton ansvaret når det "forkerte" site ryger i filtret ?) Whitelisting ville være bedre men kræver enten at forbrugeren skal sætte det op (ha!), at udstyret selv skal kunne fortælle hvem det må snakke med med de huller det medfører, eller at IoT producenter skal tilmelde sig/"certificeres" hos fw producenten med de risici det giver for kreativ markedsdominans og fejl når noget ikke bliver opdateret i whitelisten.

En bedre vinkel ville være at kræve pr lov at IoT produkter SKAL deles op i en basis del der pinedød skal kunne fungere uanset om der nogensinde er netforbindelse og en IoT del der så ikke må kunne forstyrre basisdelen, og at IoT delen SKAL kunne disables i HW (kontakt/sikring/jumper/modul fjernes...) uden at forstyrre basisdelen.

Skal det virke skal der tænder i lovgivningen, især ved systematisk eller planlagt overtrædelse, således at der er ubegrænset erstatningsansvar for alle skader og omkostninger til afhjælpning, og i de hårde sager bøder på mange % af (koncern) bruttoomsætnnigen, og at kravet kan forfølges gennem diverse holding selskaver osv

Der vil nok være produkter (fx el pærer) hvor det ikke giver mening at skille produktet i to dele internt men istedet er enklere at have to forskellige profukter - så er kravet bare at basisproduktet ikke må være dyerre og at det SKAL være generelt tilgængeligt på markedet

Det er en af de få ting EU systemet faktisk kan bruges til selv om det er en tung og langsommelig process at sparke igang, det kræver "bare" at tilstrækkeligt mange politikere bliver sparket et vist sted igen og igen...

Man kunne ved samme lejlighed så lave tilsvarende regler for alt udstyr der benytter biometriske data, dvs at mikrofon, kamera, fingeraftrykslæser SKAL kunne disables i HW

  • 0
  • 0
Log ind eller Opret konto for at kommentere