Dammsug säkert

Antalet uppkopplade vardagsföremål blir allt fler i takt med att Internet of Things växer. Men det finns något som många missat när de kopplar upp sina bilar, dammsugare och kärnkraftverk: Säkerhet.

Dammsug_Stralfors_875.jpg

IT-säkerhetsexperten Lucas Lundgren.

Där låg de helt oskyddade, vidöppna att styra via internet – strålningsmätare i kärnkraftverk, jordbävningssystem, medicinsk utrustning, fängelsedörrar. Och en regering – vilken förblir osagt – som via bilars GPS-system följer namngivna personer. För att inte tala om 15 000 svenska uttagsautomater där det gick att se hur mycket pengar folk tog ut.

Allt detta hittade IT-säkerhetsexperten Lucas Lundgren genom att skanna internet efter ett låg-nivåprotokoll som styr hårdvara i sensorer. Protokollet är designat för att vara litet, snabbt, effektivt och strömsnålt. Men samtidigt var det helt vidöppet för inkräktare eftersom många inte besvärat sig med att sätta upp användarnamn och lösenord för protokollet i enheterna.

– Om jag velat hade jag kunnat styra dessa sensorer och till exempel öppnat alla fängelsedörrarna. Eller så hade jag kunnat ställa om strålningssensorerna i kärnkraftverket så att fläktarna inte satts igång vid förhöjd strålning – då hade de som jobbar där kunnat få strålningsskador, säger Lucas Lundgren, Senior security consultant på danska IT-säkerhetsbolaget Fortconsult och en ofta anlitad föreläsare som haft säkerhetsluckor som passion sedan sju års ålder.

– IoT-prylar är en skräck. Allt är tio gånger värre än du tror, det finns enormt många anslutna enheter helt utan säkerhet, fortsätter han.

Enkla enheter blir farliga

I grund och botten är alla smarta enheter små datorer. Det innebär att de är minst lika sårbara som en dator – om inte ännu sårbarare. Samtidigt finns det ett problem med dessa enheter: Deras sensorer är sällan kraftfulla nog för att hantera en stark kryptering och hög säkerhet. Eller så drivs de av batteri, vilket innebär att en hög inbyggd säkerhetslösning snabbt hade tömt batteriet på elektricitet.

Även om de flesta smarta enheter inte används i känslig verksamhet så kan hackers ta över och använda dem till överbelastningsattacker för att få ner en hemsida eller tjänst från internet.

På grund av säkerhetsriskerna tycker Lucas Lundgren att man alltid bör ställa sig frågan "Behövs den smarta prylen verkligen exponeras mot nätet?".

– Behöver du till exempel en pryl som håller koll på hur många ägg du har i kylen och skickar sms om de börjar ta slut? Och måste du verkligen få ett sms av robotdammsugaren när den dammsugit. Det är jätteroliga funktioner, men man måste vara medveten om konsekvenserna. Om du inte verkligen behöver koppla upp enheten – så koppla inte upp den.

I de fall där det finns ett värde av att koppla upp en smart pryl så finns det säkrare lösningar än en direkt lina rakt ut på internet.

– Då kan det vara bäst att segmentera enheten på ett enskilt privat nätverk. Det är extra viktigt på känsliga ställen, som exempelvis kärnkraftverk.

Installera säkerhet från början

Det är också viktigt att säkerställa att alla uppkopplade prylar får en lägsta nivå av säkerhet när de installeras – som ordentliga användarnamn och lösenord.

– Många gånger har jag sett exempel på hur företag tar in en tredje part som installerar produkter åt dem. Efteråt vinkar de bara hejdå och pratar inte med varandra igen. När jag sedan tar en titt upptäcker jag att man kan logga in med användarnamn "admin" och lösenord "admin". Kunden trodde att säkerheten ingick i installationen, medan leverantören säger att det inte fanns med i kontraktet. Hos en stor kund i finanssektorn kunde jag exempelvis logga in via deras larmdosor och sedan stänga av larmet och öppna dörren.