IT-säkerhet

Internet of Things eller Internet of Threats?

Internet of Things är vår digitala verklighet. Allt är kopplat till allt – och därför är säkerheten ett problem.

När datoranvändningen tog fart tänkte man bara på att de skulle vara funktionella, man tänkte inte på yttre hot. Det fanns ingen anledning till det. Då var hackare helt enkelt människor som kände till systemen utan och innan och inte var rädda för att använda sin kunskap. Men ändå med goda avsikter.

Senare, när crackers hittade sätt att utnyttja sårbarheter, uppstod behovet av säkerhet. Det var inte lätt, eftersom säkerheten inte var inbyggd i systemen utan snarare hanterades som ett tillägg. Få först systemet att fungera, sedan – förhoppningsvis – säkerställ det. Tyvärr var det här ett mycket dåligt tillvägagångssätt fullt av fallgropar. Säkerhet måste vävas in inte bara i designen utan också i implementeringen av ett datorsystem! Varje utvecklare måste vara medveten om vilka konsekvenser ett litet misstag kan medföra och vilka portar det kan öppna för skurkarna att marschera in.

Men vi har lärt oss av våra misstag.

Eller har vi det?

Smart är inte nödvändigtvis säkert

För 50 år sedan fanns det inga krockkuddar i bilar. Inget ABS, inget ASR, inga multimediasystem, ingen automatisk parkering, inga däcktrycksmätare. Inga datorer att hacka. När datorer introducerades var säkerheten det viktigaste, säkerheten spelade ingen avgörande roll. När allt kommer omkring, ”vem skulle vilja äventyra säkerhetssystemen i en bil”. Sedan dess har bilar förvandlats till datorer på hjul och har därmed blivit ett nytt mål för de dåliga människorna.

Och samma sak händer med Internet of Things.

Det är väldigt bekvämt att ha små mikrodatorer som försöker tillfredsställa dina behov som små tjänare. Vill du veta vädret? Fråga bara din smarta högtalare. Vill du göra mer för din hälsa? Bär en smart klocka. Vill du vara säker på att du inte lämnade lamporna tända när du gick hemifrån? Installera smarta lampor. Vill du komma hem till ett mysigt och varmt hus? Använd smarta termostater som aviseras av din telefon när du nästan är hemma. Och vi kunde fortsätta och fortsätta…

Det vanliga med dessa enheter är att de kör kod. Således har de buggar. Och därför också sårbarheter. Inte bara enheterna utan även backend.

Utvecklarna som skapar koden för enheterna och backend är kanske inte säkerhetsspecialister. Och det här är bra. Men de måste börja lyssna på specialisterna och försöka skaffa sig ett säkerhetstänkande genom att gå specialiserad rollbaserad utbildning från professionella.

Internet of things som kan bli ännu värre

Låt oss ge dig några exempel:

En glödlampa… vad kan gå fel, eller hur? Men idag är det mer en smart ljusnod än bara en glödlampa. Vad kan angriparna uppnå med det?

Tänk på det. Det är Internet of Things. Glödlampor är anslutna till ett nätverk. En angripare kan använda krigskörning eller till och med krigsflygning med en drönare för att hacka de smarta lampornas kommunikationsprotokoll. Eftersom styrenheten är ansluten till det lokala nätverket är det trivialt att gå längre och äventyra vilken dator som helst som är ansluten till samma nätverk.

Och lampor är inte de enda Internet of Things-enheterna som blev smarta. Medan vissa människor klagar över att de inte kan stänga av kamerans inspelningsindikatorlampor från inställningarna, finns det en uppenbar säkerhetsavvägning bakom det. Förståeligt nog vill du inte att en inkräktare ska se när de spelas in. Å andra sidan är detta det enda sättet att garantera att en kapare inte kommer att kunna använda kameran utan att du märker det. Detta är ett korrekt beslut som säkerställer rätt balans mellan säkerhet och integritet.

Dessutom finns det smarta lås. Ja, det är betryggande att på vägen till jobbet kunna kolla om man glömt att låsa dörren – det är också bekvämt att släppa in sina vänner medan man fastnat i trafiken på väg hem. Men vad du kan göra, kan en väl förberedd gärningsman också göra. Och du skulle inte vilja att inbrottstjuvar skulle låta sig själva använda en sårbarhet i programvaran, eller hur?

Men det finns fall då det inte ens finns något behov av utnyttjande och hacking. Att använda en enhet som utformad kan också ge tillräckligt med anledning till oro. Som att Apples AirTags är idealiska för stalking – att i hemlighet spionera på någons privatliv via sin enhet. De är små, kan lätt gömmas på alla offer och till skillnad från någon annan liknande produkt garanterar Apples ekosystem framgångsrik stalking.

Även RFID-chips inbyggda i pass kan missbrukas t.ex. av terrorister att detonera en bomb i närvaro av en given nationalitet. Eller så var det fallet när soldater avslöjade kärnvapenhemligheter genom att använda inlärningsappar med data tillgänglig för vem som helst.

Och på tal om stalking, visste du att man kan spåra en bil via däcktryckssensorerna (TPMS)? För att göra saken värre är detta obligatorisk utrustning på nya bilar som säljs i USA och många andra länder.

Och vad kan vi göra åt det

Kom ihåg att säkerhet inte är något du bara kan slå på din produkt precis innan du släpper den. Det ska inte bara vara en eftertanke, det måste byggas in från början av mjukvaruutvecklingens livscykel.

Som Murphys lag om kodning säger: Varje icke-trivialt program har minst en variabel, en gren, en loop och en bugg. För att minimera antalet buggar måste utvecklare och arkitekter följa bästa praxis. Det minimerar inte bara sannolikheten för buggar, utan också konsekvenserna av dem. Security by design är viktigt, men kom ihåg: även det bäst designade systemet kan vara sårbart om det innehåller ett enda exploateringsbart implementeringsmisstag. Ett kryp.

I linje med ovanstående är inte bara en Internet of Things-enhet, utan också vilket system som helst lika säkert som dess svagaste länk. Och det finns en uppenbar konsekvens av detta: det är den genomsnittliga beredskapen hos alla utvecklare som räknas. De måste alla förstå orsakerna till säker kodning och konsekvenserna av att inte göra det. Säker kodning är en lagsport.

Men oroa dig inte, vi är här för att hjälpa dig. Specifikt för Internet of Things finns det en praktisk kurs i säker kodning i C och C++, du kan läsa mer om den här

Vill du prata utbildning med någon av våra kursrådgivare? Du når dem på 08 587 116 10, info@informator.se eller i chatten till höger här på hemsidan.