Är internet redo för IoT?

Det var oundvikligt egentligen. Den dagen brödrostar och övervakningskameror hade kapacitet att förstöra internet så skulle de förr eller senare göra det. Vi såg de första tecknen på hur osäkra uppkopplade enheter var för ett par år sedan, och vi var många som pekade på de problem de skulle kunna orsaka i framtiden, skriver F-Secures cybersäkerhetsexpert Erka Koivunen.

Författare: F-Secure Business Security Insider
Datum: 09.11.2016
Lästid: 4 Minuter

År 2010 var it-säkerhetsvärlden rörande överens om att kroniskt opatchade Windows XP-datorer utgjorde ett reellt hot mot internets hela existens.

”XP borde inte få vara på internet”, brukade vi säga.

Och under tiden som vi himlade med ögonen började konsumentelektronikbranschen prata om ”smarta” tv-apparater. Biltillverkare började diskret leverera bilar med SIM kort monterade innanför instrumentbrädan. Det blev alltmer tydligt att internet snart skulle befolkas av mer än datorer och mobila enheter.

Det skulle bli en plats för ”saker”. Sakernas internet, Internet of Things.

IoT borde inte få vara på internet…

År 2012 var vi många i it-säkerhetsbranschen som roades av projektet Internet Census of 2012. I princip gjorde det här projektet det möjligt för hackare att göra miljontals sårbara uppkopplade tv-apparater att bli slavar på jakt efter andra sårbara enheter. Det var dock inte lika roligt när en internetleverantör i Finland behövde genomföra en rejäl storstädning av sina system efter att ett botnet bestående av tusentals set-top-boxar började skanna igenom deras nätverk (PDF-länk).

Men det skakade de flesta av sig ganska snabbt. Ingen skadades och internet som helhet verkade fullt kapabelt att hantera den typen av bus och lek.

Samtidigt bekräftade händelsen idéerna att ”saker” inte har på internet att göra, att de inte var byggda för dem. Vi tänkte att internet på något sätt skulle lära dem en läxa.

Sedan dess har vi sett oerhört klumpiga försök från den gamla erans teknik- och pryltillverkare att omvandla sina varor till sådant som går att komma åt på distans. Vi fick ännu ett antal goda skratt när allt från hockeyrinkar till kaviarfabriker visat sig ligga öppet åtkomliga på internet. Den typen av affärsbeslut hade varit otänkbara för tio år sedan. Och även om det säkert inte var medvetna affärsbeslut då heller, så var det tydliga tecken på grov misskötsel och försummelse på området.

Vi har fått se elbolag leverera mätare som går att avläsa på distans. Men det är inte många som tänker på att de faktiskt går att hantera på distans.

Vad är skillnaden, tänker du kanske? Svaret är enkelt ”avläsbar på distans” betyder sårbar; ”hanterbar på distans” betyder ännu mer sårbar.

Vid millenieskiftet mätte vi den beräknade ”livslängden” för en uppkopplad Windowsdator utan brandvägg i minuter. Maskar som Sasser, Code Red och Bugbear låg bakom globala utbrott i sådan skala att internetleverantörer fick kämpa för att hålla igång sina system. En del kanske kommer att tänka på när Morris Worm i allt väsentligt fick stopp på den tidiga grunden till det som idag är internet år 1988.

När jag tittar närmare på det vi idag kallar ”Internet of Things” har jag svårt att inte tänka att vi faktiskt inte lärt oss någonting av vår historia av att skapa sårbara, osäkra enheter och mjukvara.

För oss i cybersäkerhetsvärlden så är själva tanken med att bygga ett Industrial Devices Internet of Things samma sak som att bygga något som helt saknar förmågan att skydda sig mot något hot överhuvudtaget. Vi har till och med svårt att komma på en lämplig förkortning som beskriver exakt hur illa situationen ser ut…

…eller är det kanske så att internet inte är redo för IoT?

Den amerikanska journalisten Brian Krebs utsattes nyligen för vad som för ett kort tag var världens kraftigaste DDoS-attack. Hans leverantör var tvungen att lyfta bort hans hemsida från nätet för att kunna hålla liv i sina andra kunders sajter.

Det som verkligen är anmärkningsvärt här är att tjänsteleverantören i fråga var Amazon Web Services, världens största leverantör av molntjänster. DDoS-attacker är enkla att genomföra, att få omkull en jätte som AWS är det inte. Om AWS hade gått ner så hade hela internet med säkerhet påverkats. Eftersom de flesta såg det här som ett misslyckande, förutom möjligen Brian Krebs, så var det ingenting som man la särskilt stor vikt vid.

Anmärkningsvärt var också att det var hundratusentals – kanske till och med miljontals – IoT-enheter som deltog i attackerna som slavar som skickade ut attacktrafiken i överbelastningsattacken. Vem hade kunnat gissa att IoT skulle användas på det här sättet?

Det senaste exemplet är den kortvariga kollapsen hos Dyn, när deras tjänst gick ner på grund av en massiv flod av DDoS-trafik, och som resulterade i att populära tjänster som Twitter och Netflix slutade fungera. De indirekta skadorna påverkade miljontals människor.

Återigen var det stora mängder dåligt säkrade IoT-enheter som deltog i attacken.

Kanske är det här tecken på att någonting försöker säga oss något. Kanske är det så att alla som tror att det är IoT-området som kommer att bli lidande av den undermåliga säkerheten som har fel. Baserat på vad jag ser så tror jag att det är resten av internet (människorna, företagen och tjänsterna) som kommer att få betala för ett internet fullt av dåligt skyddade uppkopplade prylar.

Så om vi inte klarar av att fixa IoT-problemet så kanske vi borde tänka på hur vi ska göra för att fixa resten av internet.

//Erka Koivunen

[Foto: DAVID BURILLO | Flickr]