Berlingske Business
17:53Tak for i dag

Når Internet-dimser bliver til net-angribende zombier

Topbillede

De mange usikre Internet of Things-devices er et markant sikkerhedsproblem.

Af Dan Mygind

”Jeg vil råde folk til ikke at købe IoT-devices, medmindre de fuldstændigt forstår risikoen. Det kan lyde drastisk, men i øjeblikket udsætter forbrugerne sig for store sårbarheder, der enten betyder, at de mister data eller services eller er medvirkende til, at det går ud over vigtig internet-infrastruktur og andres websites

Angreb fra ting med internetadgang
Udmeldingen kommer fra den britiske sikkerhedsekspert Ken Munro efter et efterår, som i sikkerhedskredse især vil blive husket for Mirai-botnettet. Hackere overtog kontrollen med webkameraer, set-top bokse, printere, baby-monitorer og andre ”ting” udstyret med internetforbindelse. De mange tusinde ting som blev internet-zombier kontrolleret af hackere, der sendte trafik i størrelsesordenen flere hundrede gigabits per sekund mod udvalgte websites, der kollapsede under den massive trafik.

Den slags Distributed Denial Of Service-angreb (DDOS) gik i første omgang ud over sikkerhedseksperten Brian Krebs, som øjensynligt havde påkaldt sig hackernes vrede, fordi han havde efterforsket og identificeret folk fra hacker-miljøet. Senere, den 21. oktober, blev en vigtig del af internettets infrastruktur ramt af et DDOS-angreb fra Mirai-botnettet. Virksomheden Dyn, som leverer DNS-services til omkring 80.000 websites, blev angrebet af Mirai-botnettet, hvilket gjorde Twitter, Reddit, Spotify, Amazon, CNN og en række andre populære websites utilgængelige.

IoT-sikkerhed ikke-eksisterende
Ken Munro er ikke en mand, der starter skræmmekampagner. Men den manglende sikkerhed i de forskellige IoT-enheder, han dagligt tester via sit arbejde i det britiske sikkerhedsfirma Pen Test Partners, får ham til at tage bladet fra munden. På spørgsmålet om, hvordan han vil beskrive det nuværende sikkerhed i diverse Internet-of-Things (IoT)- produkter, svarer han:
”Der er ingen. Det chokerer mig, hver gang vi køber en ny IoT-device. Vi tror, vi har set det værste, og så ser vi noget værre.

De fleste computer-brugere har efterhånden lært at beskytte sig nogenlunde med diverse anti-virus, firewalls og ved at anvende stærke passwords. Desuden udsender softwareproducenter løbende sikkerhedsopdateringer, så nyopdagede sårbarheder lukkes hurtigst muligt. De samme sikkerhedsmæssige foranstaltninger findes dog sjældent for IoT-produkter.

Skift password - hvis det er muligt
Hvis du trods Ken Munros advarsel eksempelvis vælger at købe en netopkoblet babymonitor, bør du som minimum prøve at ændre standard-passwordet, der giver adgang til monitoren. For nogle produkter er det muligt at ændre passwords via et webinterface, men selvom du ændrer standard-passwordet til et stærkt password, er du ikke sikker. Mirai-botnettet benyttede sig blandt andet af en række default user-id og passwords til at få adgang til de ”smarte” devices via telnet, en kommandolinje-baseret fjernadgang.

Telnet-passwordet er ikke nødvendigvis det samme som passwordet i web-interfacet. Desuden har nogle smart devices fået indkodet deres password i produktets firmware, hvilket gør det umuligt for almindelige brugere at ændre passwordet. Som Ken Munro formulerer det: ”Medmindre man som forbruger føler sig teknisk kompetent til at finde ud af ­hvilke passwords, der anvendes, ændre disse passwords, installere ny firmware og lukke telnet-porte på de smarte enheder, så bør man ikke installere IoT-udstyr.”

Produkttilbagekald uden stor virkning
Efter Mirai-botnettet slog til, fandt sikkerhedsforskere frem til, at blandt andre den kinesiske producent XiongMai Technologies havde leveret sårbare komponenter til en række producenter af web-kameraer og digitale set-top bokse. XiongMai Technologies lovede i en pressemeddelelse, at de ville tilbagekalde de sårbare produkter, men det har vist sig at være svært.

”Der er så mange produkter, der er baseret på XiongMai-komponenter, og XiongMai specificerede da heller ikke præcist hvilke produkter, der tilbagekaldes”, siger Ken Munro.

Det vil blive bedre – og værre
Efter Mirai-angrebet er der trods alt kommet mere fokus på sikkerhedsproblemerne i IoT, så Ken Munro er optimistisk for fremtiden – delvist.
”Det vil både være værre og bedre om et år”, mener Ken Munro og uddyber først, hvordan det vil blive værre:

”Vi vil se flere varianter af Mirai, og næste skridt efter telnet er remote code execution via webporten. Vi arbejder med smarte termostater i øjeblikket. De fleste af dem har sårbarheder, der giver mulighed for remote code execution via webinterfaces,” siger Ken og understreger, at de smarte termostater med sårbarheder indbefatter produkter fra velkendte firmaer.

Det er ikke begrænset til billige produkter fra Kina. Han tror dog samtidig, at mærkevareleverandørerne vil begynde at tage sikkerheden i IoT-produkter seriøst, hvilket vil forbedre IoT-sikkerheden.

”De store brands vil tage sikkerhed alvorligt. De er ved at vågne op og er begyndt at indtænke sikkerhed i deres design”, siger han.

De eksisterende millioner af IoT-enheder, som er installeret verden over, vil dog fortsat være et problem, ligesom fremtidige billige ”smarte” enheder fra mere eller mindre ukendte producenter vil bidrage til sikkerhedsproblemet.

Regulering af markedet
Derfor opfordrer Ken Munro til, at regeringer begynder at se nærmere på måder at regulere markedet på.

”Regulering er nødvendig. Det er nødvendigt med en form for minimumsstandard ellers bliver det en meget besværlig kamp”, vurderer Ken Munro.

Mirai er japansk og betyder fremtid. Var efterårets IoT-baserede DDOS-angreb et glimt af fremtiden?

Forsiden lige nu

Til forsiden

Business anbefaler

Gratis breaking news på mobilen

Send BUSINESS BREAK til 1929 og modtag en SMS med en bekræftelse. Det er gratis - tilmelding koster kun almindelig takst. Du kan til hver en tid afmelde tjenesten igen.

Afmeld: sms BUSINESS BREAK STOP til 1929

Tilmeld Afmeld

Business Nyhedsbrev

Få breaking news og det bedste overblik fra Business.dk morgen og eftermiddag - eller modtag hver uge et prioriteret overblik over investorstof, privatøkonomi, ejendomme, digtal, karriere, media og vækst.

Se alle nyhedsbreve
 

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

<p>Henrik Olejasz Larsen, investeringsdirektør i Sampension</p>
Sponseret

Aktiemarkederne ligger historisk set forholdsvis højt. Det afspejler, at det går rigtig godt i den underliggende økonomi, forklarer investeringsdirektør.Arbejdsløsheden er rekordlav i både Japan og US...

Business Events Se alle

Business.dk anvender cookies til at huske dine indstillinger, statistik og at målrette annoncer. Denne information deles med tredjepart. Læs mere

Kære læser. Velkommen til business.dk.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer. Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

Vi håber derfor, at du i din adblocker vil tillade visning af annoncer fra business.dk Det er nemt og tager kun et øjeblik: Se hvordan du gør her.

Med venlig hilsen
Berlingske Business

Tilbage til artiklen