Du har hele sikkerhetsansvaret

Ti år tilbake hadde du laptop og trådløsruter.

I dag har du smarttelefon, nettbrett, NAS-disk (Network Attached Storage) med film- og bildearkivet ditt, minst én spillkonsoll, en såkalt Smart-TV – og om du er litt teknologiivrig kanskje en husalarm, en babymonitor med kamera og i noen tilfeller et "smart" kjøleskap eller en "smart" vaskemaskin – alle med utvidet funksjonalitet og et implisitt ønske fra produsentene om å være koblet til internett.

- Hvor ofte oppdaterer du firmwaren på TV-en eller ruteren din i dag? Hvordan blir det så om noen år, når kunder uten spesielle tekniske forkunnskaper skal måtte individuelt holde styr på potensielle kjente sårbarheter i flere titalls ulike devicer, som kaffetraktere og lyspærer? spør IT-konsulent Einar Otto Stangvik, kjent blant annet for tjenesten usikkert.no.

Angriper svakeste ledd

Også ei lyspære er et potensielt angrepspunkt for hele hjemmenettverket, understreker han.

- Det blir en helt håpløs situasjon. Om lyspæren eller kaffetrakteren har en kjent sårbarhet, kan hackeren bruke den som angrepsplattform opp mot deler av nettverket som kanskje ikke er like godt sikret fordi det aldri var tiltenkt å være eksponert mot nettet – som videoovervåkning og nettverkslagring, for eksempel, sier Stangvik.

Vi får gjentatte ganger servert fra bransjeanalytikere at utviklingen vil ha akselerert ytterligere om 5–10 år, og at vi vil kunne føye til sensorenheter i termostater, strømstyringssystemer, pacemakere, stereoanlegg, AMS-målere, blodtrykksmålere, kaffetraktere og lyspærer – for å nevne noe – til lista over nettilkoblet forbrukerelektronikk i et "vanlig" norsk hjem.

Til tross for at det luftigste "Internet of Things"-snakket ikke helt har materialisert seg ennå, er den sikkerhetsmessige baksiden på medaljen forlengst etablert: Brukerne vet ikke sitt eget beste, og minimumsløsninger for sikkerhet blir ikke implementert med mindre kundene tvinges til det av produsent eller installatør.

Problemet illustreres ved at bare ti prosent av foredragene under fjorårets Black Hat-konferanse handlet om tradisjonelle PC-systemer. I stedet lå fokus på sårbarheter i mobile enheter, hjemmeovervåkning, trafikkstyring, strømstyring, TV-er og helsesensorer.

Etterlyser minimumskrav

- Vi trenger noen til å pålegge minimumskrav til sluttbrukerelektronikk. En viss standard på manualer som ledsager produktet, et minstenivå av sikkerhet når produktet eksponeres mot nett som standard. Det bør ikke være mulig å sette opp et produkt til å fungere uten å måtte bytte passord – "alt" er bedre enn fabrikkpassordene, sier Stangvik.

Stangvik mener vi trenger et organ i skjæringspunktet mellom NorSIS og Forbrukerrådet til å informere om sårbarheter og belønne god bransjepraksis. Han mener støtet må settes inn mot importørene heller enn produsentene.

- Norske forbrukermyndigheter kan ikke pålegge utenlandske produsenter sikkerhetskrav, et eventuelt kontrollregime på linje med fysisk sikring og elmateriell ville være fryktelig ressurskrevende når det gjelder software. Heller ikke den tradisjonelle it-bransjen har lovpålagte krav om sikkerhetsoppdateringer utover helt spesielle nisjer, senest synliggjort gjennom at støtten for XP forsvinner. Da er det urealistisk å håpe på at små devicer av alle slag, gjerne produsert i Taiwan, skal måtte garantere for en god nok oppdateringsfrekvens på alt av firmware. Skal det komme krav, må det heller rette seg mot importører og installatører, og i noen tilfeller ISP-er, mener Stangvik.

Vi snakker om et uprøvd domene, understreker han.

- Vi har verken retningslinjer, erfaring eller har nedlagt nok arbeid i å imøtekomme den fremtiden vi helt klart er på vei mot. Dette er bare en teaser på det som kommer. Jeg er hellig overbevist om at vi vil se mange slike saker over tid, spår Stangvik.

Fluepapir for nysgjerrige

Hans egen nettjeneste usikkert.no, og ikke minst den prisvinnende Dagbladet-serien "Null Ctrl", har i så måte allerede eksponert tilstanden i kongeriket – allerede før den forventede eksplosjonen av devicer inntar norske hjem:

Videeovervåkingstjenester, skrivere og NAS-lagringsløsninger er blant en rekke produkter som av både installatører og privatpersoner settes opp uten passordbeskyttelse, eller der passordet er et felles standardpassord produsenten bruker på alle sine produkter.

Gjennom nettbaserte søketjenester som ShodanHQ er de eksponerte systemene tilgjengelig med få tastetrykk, og fungerer som fluepapir på nysgjerrige armert med standardpassord hentet rett fra produsentenes manualer.

"Byttet" deles etterpå på ulike anonyme nettsteder, blant annet i form av private nakenbilder som legges ut på diskusjonsforum med ønske om å identifisere personen på bildet.