Det gör du naturligtvis inte men ändå, bjuder du in okända, ovälkomna in i ditt hem? Det handlar nu inte om verkliga, fysiska personer utan ”gäster som tar sig in via alla de prylar som vi kopplar upp i våra hem.

I så fall är svaret på frågan ja, många, alldeles för många gör det. Via kopplar upp kylskåp, termometrar, väderstationer, elmätare, termostater, vågar, lamport och en massa andra prylar. Lyckliga över att de fungerar, att vi kan se dem och använda dem så funderar vi inte så mycket över säkerheten – vilket vi borde om vi inte vill få in ovälkomna gäster i våra hem.

Det finns prylar som du låser upp med bluetooth – har du funderat hur säkra det låset är?
Det finns prylar som du enkelt ansluter till ditt lokala nätverk – har du funderat över hur säkert det är?

– Vi har inga krav på produkter när det gäller it-säkerhet.  Vi behöver en ny lagstiftning och bättre konsumentupplysning. Vi måste ha säkra produkter. Det är ett stort säkerhetsproblem i dag.

Det är inte jag som säger det utan det är Ås Schwarz och hon vet, som expert på den här typen av säkerhet.

SVT.se

IoT

Prylarna kallas The Internet of Things med ett samlingsnamn. Det är ett eget Internet som består av, just det, prylar. Saker som vi kopplar upp, lyckliga över att kunna se och använda dem på distans. Det kan vara termostaten ute i stugan som vi kan startar på distans och få upp värmen i kåken innan vi anländer. Det är lamporna som vi kan slå på och av, kaffebryggaren, en övervakningskamera och massor av andra saker. De löser problem men de skapar också nya – säkerhetsproblem.

  • Prylarna kan kapas.
  • Prylarna kan användas för att kartlägga det du gör in i minsta detalj.
  • Prylarna kan användas för att attackera andra.

För att inte låta som pojken som hela tiden ropar på vargen så låt mig plocka fram lite historia händelser styrker det jag påstår – saker som faktiskt har hänt.

Mirai används i attacker mot Liberia

Mirai är en mjukvara som kan användas för att kapa och ta över uppkopplade prylar och sedan använda dem i en samlad överbelastningsattack. Liberia förlorade hela sin Internetkapacitet vid en attack 2016.

Den fantastiska historien om casinot som hackades via en uppkopplad akvarie-termometer

Tjuvarna stals bland annat en databas med de spelare som var VIP. D mest värdefulla spelarna för just detta casino.

Det är bara två exempel, av en lång rad exempel där Mirai är det allvarligaste exemplet. Mjukvaran användes för en rad stora omfattande attacker riktade mot medier, enskilda webbplatser och länder. Mirai visade att om du kapar ett tillräckligt stort antal enheter, samordnar dem i en attack så kan du slå ut delar av Internet.

HomeKit

Tyvärr på kan du inte lita på leverantörerna, inte ens på stora, etablerade leverantörer. Det här är en ny marknad, en relativt ny teknik i konsumentledet och det finns dessvärre exempel på dåligt implementerade lösningar där säkerheten kommit långt ned på listan över prioriteringar. Nu får du förlåta mig om det låter som att jag talar i egen sak, eller i Apples sak, men det är en väg att ta om du vill koppla upp saker – lita på en plattform.

Apples HomeKit ställer krav på hårdvara, kommunikation och mjukvara. Det är en plattform, en komplett lösning för att koppla upp saker, hemma. Det är också en lösning där säkerhet hela tiden har funnits med vilket betyder att de prylar som kan kopplas upp via HomeKit måste uppfylla visa krav. Det är krav på att kommunikationen inte enkelt kan läsas av. Krav på att prylarna inte enkelt kan kapas och tas över av obehöriga (under förutsättning att du inte valt ABC 123 som lösenord eller något liknande).

Det gör att du åtminstone kan lita på att HomeKit-godkända prylar uppfyller Apples högt ställda krav. Det är naturligtvis ingen 100–procentig garanti men det är långt mycket bättre än att köpa en billig pryl från en okänd kinesiska tillverkare på nätet.

Det gör också att prylarna i allmänhet kostar lite mer. Kvalitet, kontroller och säkerhet kostar pengar. Krav på viss hårdvara, kryptering vid all kommunikation kostar också pengar. Säkerhet kostar pengar.

Låt mig slippa

Låt mig nu slippa invändningar av typen ”men du vet jag köpte den däringa grunkan, ställde en gammal dator med OpenBSD som brandvägg som skydd och kopplade upp allt med protokoll XYZ”.

Du är nörd, tekniskt kunnig och i ett konsumentsammanhang så räknas du inte därför du inte är en del av problemet. Du vet vad du sysslar med (förhoppningsvis) men det du pysslar med är inget som en vanlig enkel konsument kan eller ska ge sig på. Jo, jag vet att ”din farmor kan köra Linux” – hälsa och gratulera din tekniskt kompetenta farmor så gott men du och hon utgör ett undantag.

För oss vanliga konsumenter är detta inte en lösning, inget alternativ. Det är där Åsa Schwarz förslag och krav är ett alldeles utmärkt viktigt första steg – ställ krav och märk prylarna. Idag kan en konsument enkelt se om en elektrisk pryl är godkänd med ett SE-märke (heter det så fortfarande?). Vi har myndigheter som ställer krav och som sätter upp olika märkningar.

Det borde finnas en sådan märkning även för de prylar som vi tänker koppla upp hemma.

Länkar

Här hackar KTH-studenten elsparkcykeln i farten och låser den

Cyberexperten: ”Smarta” it-produkter i hemmen bör säkerhetsmärkas för att stoppa cyberangrepp

Så hackas dina grejer: ”Då kan man ta över de här objekten helt och hållet”

 

Mackens Fråga: Ska Facebook delas upp?
Share This