IoT er her… På tide å bli paranoid?

4 min read

IoT – en fin trebokstavsforkortelse. Men er det noen som kan gjette hva “S”en står for?

S står for Sikkerhet ja.

I sin iver etter å levere salgbare produkter til IoT så er det tydelig et generelt fravær av fokus på nettopp sikkerhet. Få dingser som kan snakke med andre dingser via internett på markedet fortest mulig!

Dette ser vi tydelige eksempler på straffer seg. Ta for eksempel DDOS-angrepet på bloggen «Krebbs on Security» i september 2016. Angrepet var på 620 Gigabits per sekund.

Kilden til angrepet var et botnet med ca. 1 million infiserte IoT enheter som internett-tilkoblede overvåkingskamera og personlige opptaksenheter (PVR).

Dette er ofte billige enheter med lite til ingen innebygget sikkerhet.

I et testforsøk på vinteren 2016 kjøpte en sikkerhetsblogger et internett-tilkoblet overvåkingskamera fra Amazon (19USD, så et lavpriskamera) for å teste hvor raskt kameraet ville bli infisert.

Det tok 90 sekunder.

Fra han skrudde på kamerat og koblet det på internet, så tok det 90 sekunder for ormen Miraj – som sprer seg via telnet – å finne enheten og ta den over.

En litt sårere historie kom også nå i fjor, en produsent hadde laget kosebamser med mikrofon og kamera slik at barn kunne sende hilsener og hviske hemmeligheter til foreldrene sine.

Disse dypt personlige dataene ble liggende ukryptert på produsentens servere. Uten tilgangskontroll.

 

Fra en intim sfære til en annen – sexbransjen har lenge vært blant de første til å ta i bruk ny teknologi.

Et slikt produkt er et webkamera.

Montert på tuppen av en dildo.

Og webkameraet er jo selvsagt utstyrt med WiFi-tilkobling.

Og en webserver med hardkodet brukernavn og passord…

Så en hacker kan altså få root access og ta over kontrollen på dildoen.

 

Moralen i disse historiene er altså:

Sikre enhetene dine! Kan du velge mellom ulike nye produkter, kjøp de enhetene som tar sikkerhet på alvor.

Sitter du med legacy-enheter som enten trenger hjelp til å koble seg på nett, eller i allefall ikke har sikkerhet innebygget så er det opp til deg å sikre. Ute i felt kan du for eksempel sette opp feltportaler (field gatweays) som både har den funksjonen at den kan gjøre enhetene dine tilgjengelig på internett men som også kan settes opp som en brannmur og et ekstra sikkerhetslag.

Men IoT gir jo også store muligheter til innsamling av data, og hvor mange her tenker egentlig over hva leverandørene henter inn av data fra deg?

Roomba-støvsugerne som kartla alle rom I alle hus og sendte disse kartene tilbake til produsenten.

Vi var fryktelig skeptiske når Microsoft lanserte Xbox Kinect for noen år siden. Men når Amazon Echo nå kommer ut med små og søte personlige assistenter med høytalere og kamera, så blir de en hit. Det siste fra den kanten er en vekkerklokke – for så vidt en ganske kul vekkerklokke – med kamera som alltid er på, og en mikrofon som alltid er på – den skal jo lytte etter neste stemmekommand. Og dette plasseres ut i soverommene til folk. Tett på.

Så har vi Vizio smart-tv fra 2014 – denne tv’en sporet bruksmønsteret ditt og seervanene dine. Ved å samle inn utvalgte pixel-punkter på skjermen hvert sekund, og analysere mot en stor database av tv-program, filmer, bilder av skuespillere etc så fikk de god match. Og dette ble solgt videre til reklameprodusenter, uten brukernes samtykke eller kjennskap.

 

Og hvor mange her bruker Strava? Var jo en artikkel om hvor bra Strava er i Aftenposten her forleden.

Bruker den selv, den er en av få treningsapper som kun sporer deg når du ber om det. Og så kan du konkurrere mot andre om plassering på gitte strekninger. Alltid gøy.

Men dette kan gjøres fordi disse dataene er tilgjengelig offentlig.

Og da kan andre få tak i disse dataene.

Strava-tyveri er et begrep som er kjent hos en del, tyvebander som profilerer Strava-brukere og velger seg ut ofre med tanke på raske og aktive syklister har som regel veldig dyre sykler.

I Bergen for kort tid siden ble en sykkel til ca 50000 stjålet. Den stod ikke nede i portrommet sammen med alle de andre syklene, den stod derimot oppe i 5. etasje. Tyvene hadde gått rett forbi og på den ene sykkelen.

En nabo av meg i Hølen fikk en tilsvarende dyr sykkel stjålet ut av en slitt gammel kassebil som stod på gårdsplassen. Ingen vinduer i bilen heller.

Så må vi jo ha med en litt intim variant her også…

We-Vibe – en vibrator/sexleketøy som ble solgt med en mobilapp, så partneren din kunne styre fart, intensitet etc. samlet data fra alle enhetene. Kjernetemperatur i enheten, vibrasjonsmønster, vibrasjonsintensitet og tidsstempel (dato og tid for start og stop – og da varighet) og sendte disse dataene tilbake til produsenten.

Og fordi appen krevde innlogging med epostadresse, så ble selvsagt dette også koblet opp mot resten av dataene.

Det er sant som markedsførerne sier, mengden data som skapes i verden blir bare større – og en del av disse dataene vi bidrar med – bidrar vi ikke med bevisst eller frivillig.

Fikk jeg dere til å bli ørlite paranoide nå?

Takk for meg.

About Johan Ludvig Brattas

Johan Ludvig Brattås er sjefskonsulent i Capgemini. Til daglig får han lov å leke med ny Microsoft teknologi, og en dag hvor man lærer noe nytt er en god dag. Når Johan Ludvig ikke leker med spennende teknologi tilbringer han tiden med kone og barn, eller lærer cøliakere hvordan de kan bake glutenfritt.