Bra men överdriven TT-nyhet om smarta hem-virus

januari 22, 2017 — Kommentera

Säkerhet i IOT-produkter

Är säkerheten i IOT-produkter så dålig som TT-artikeln beskriver? (Bild: Del av System Lock av Yuri Samoilov under CC BY 2.0)

Under förra helgen skickade TT ut en nyhet vid namn ”Smarta hem öppnar upp för virus”. Artikeln publicerades av bland annat Dagens industri, Svenska dagbladet, Göteborgsposten, Ny teknik och Aftonbladet. Första delen av ingressen löd ”En till synes oskyldig pryl som en glödlampa kan ge andra tillgång till det trådlösa nätverket i ditt hem”.  Läs gärna hela artikeln där bland annat säkerhetskonsulten Joachim Strömbergson intervjuas (han är för övrigt väl värd att lägga till i ditt Twitterflöde också).

Jag har under veckan fått frågor om huruvida det som påstås i artikeln verkligen stämmer. Andemeningen i artikeln är korrekt och det är bra att dessa problem belyses. Vi måste bli försiktigare med vad vi ansluter till våra nätverk. Precis som artikeln nämner är uteblivna uppdateringar ett stort problem och förhoppningsvis kan artiklar som denna pressa produkttillverkarna till att bli bättre på att släppa uppdateringar.

Det är också viktigt att alla konsumenter tänker på att en internetuppkopplad produkt behöver kontinuerliga uppdateringar. Därför brukar jag avråda från att köpa/koppla in internetuppkopplade produkter från okända tillverkare. Sådana tillverkare har inte något gott rykte att skydda, så de kan sälja produkten och strunta i underhållet (de har ju redan fått sina pengar).

Orimligt dålig wifi-lampa

Med detta sagt finns det några märkliga påståenden i TT-nyheten. Det står exempelvis att en glödlampa med webbfunktioner kan fungera som en slags router och göra att vem som helst som står utanför huset kan komma in i nätverket via den. Jag vet inte vilken wifi-lampmodell som artikeln syftar på, men jag skulle inte säga att den beskrivna säkerhetsbristen är representativ för dagens IOT-produkter (Internet of Things). Den tar snarare priset som den värsta produkt jag har hört talas om!

Många IOT-produkter skapar inledningsvis ett temporärt krypterat konfigurationsnätverk (dåliga IOT-produkter skapar okrypterade konfigurationsnätverk). Det temporära konfigurationsnätverket används för att ställa in nätverksnamn (SSID) och lösenord för det trådlösa nätverket som IOT-produkten ska ansluta till. Efter konfigurationen bör det temporära konfigurationsnätverket inaktiveras per automatik (allt annat hade jag klassat som en bugg). När konfigurationsnätverket är inaktiverat beter IOT-produkten sig som vilken annan klient som helst på det trådlösa nätverket och utgör ingen risk för attacker från någon som är fysiskt närvarande. Däremot kan den, precis som våra datorer, fortfarande ha buggar i sig som gör att den öppnar för attackvägar över internet. Det är därför viktigt att mjukvaran är utvecklad av kompetenta programmerare och att mjukvaran uppdateras när buggar upptäcks. Läs gärna min artikel om hur bra Canary har byggt sin lösning för att få exempel på detta.

Betalningsuppgifter är inte i riskzonen

Den andra konstiga saken i artikeln är påståendet att en infekterad IOT-produkt skulle kunna fånga upp inloggnings- och betalningsuppgifter. En infekterad IOT-produkt kan fånga upp mycket data från det lokala nätverket, till exempel webbsurfvanor och lokalt utdelade filer utan lösenordsskydd (t.ex. filer som delas ut via DLNA). Den kan dock inte fånga upp just betalningsuppgifter. Sådan data skickas i krypterade tunnlar direkt från klientdatorns webbläsare till webbsidans server. En IOT-produkt kan inte dekryptera informationen i tunneln. Om den hade försökt utföra en så kallad ”man-in-the-middle-attack” (försökt lura webbläsaren att skicka betalningsuppgifterna till någon annan än den riktiga webbsidan), hade webbläsaren anmärkt på att certifikatet för webbsidan var ogiltigt. Samma sak gäller inloggningsuppgifter som nästintill alltid skickas krypterat mellan webbläsare och webbserver.

Jag kontaktade både TT-journalisten och Joachim Strömbergson för att höra varför artikeln påstår att en infekterad IOT-produkt skulle kunna fånga upp just inloggnings- och betalningsuppgifter. Artikeln syftar på att om en infekterad IOT-produkt finns i nätverket skulle den kunna infektera en dator med en trojan som i sin tur skulle kunna stjäla inloggnings- och betalningsuppgifter (om inte datorns säkerhetssvit upptäcker trojanen). Om datorn är infekterad är det nämligen inga problem för en spiontrojan att fånga in all data innan den krypteras. Detta gäller dock oavsett hur datorn har blivit infekterad. Att infektionen skulle komma genom just en IOT-produkt är enligt mig långsökt (notera att jag säger långsökt, inte orimligt).

Strömbergson tillägger en klok sak i sitt svar till mig: även om webbläsaren varnar för att en anslutning är kapad finns det risk att användaren klickar förbi varningen. Jag vill därför påminna alla om att aldrig gå förbi en varning. Om webbläsaren säger att något inte stämmer, så är det något som inte stämmer. Stäng sidan!

Bra avslutning

Jag gillar avslutningen på artikeln. Där uppmanas läsaren att alltid byta standardlösenordet på nätverksanslutna produkter och tänka igenom sina köp (alltså fundera över allt som jag nämnde inledningsvis).

Jag skulle vilja komplettera avslutningen med ett tips till alla som är lite mer tekniskt intresserade. I mitt smarta hem försöker jag hålla nere antalet saker som kommunicerar med varandra över internet. Det minimerar den digitala attackytan som annars hade blivit ganska stor i ett hem som mitt, med tanke på hur många uppkopplade saker jag har. I stället för att använda saker som ansluts till internet, använder jag saker som ansluts via Z-wave. Mina detektorer och fjärrströmbrytare har exempelvis ingen direktkontakt med internet utan kommunicerar enbart med resten av mitt smarta hem via min Z-wave-controller. Det innebär att det enbart är Z-wave-controllern som utgör en potentiell intrångsväg och därför behöver underhållas med uppdateringar. Det är betydligt enklare att hålla en controller uppdaterad än att hålla varenda enskild detektor och fjärrströmbrytare uppdaterad.

Skulle Z-wave-detektorerna eller -fjärrströmbrytarna behöva uppdateras kan uppdateringen dessutom göras från controllern. Den samlar alltså allt underhåll av det smarta hemmet på ett och samma ställe. Det förenklar underhållet, och enkelheten är säkerhetens bästa vän.

Karl Emil Nikka

Inlägg Twitter Facebook

Education Manager and Press Officer at Kjell & Company. I’m also a textbook author, tech-enthusiast and paranoid cybersecurity geek.