Grafik över uppkopplade enheter.

Network”. Grafik av: Jeferrb. Licens: CC0.

I och med att det skapas allt fler apparater inom IoT, till exempelvis smarta hem, bildas det fler produkter som är sårbara för olika typer av attacker. Hur sårbara produkterna är beror på både tillverkaren och användaren. Här gäller inte heller ”men det kommer ju inte hända mig, jag är ointressant”, eftersom sårbarheterna utnyttjas av automatiserade hot. Detta kan du läsa mer om längre ned i inlägget.

Till att börja med vill jag säga att jag upplyser om eventuella sårbarheter som kan utnyttjas. Jag uppmuntrar på inget sätt till brottsligt agerande. Blogginlägget är menat till för läsaren att ta nödvändiga steg till att säkra sina egna uppkopplade enheter/prylar. Genom detta uppmuntrar jag till proaktivt agerande från läsarens sida.

Bakgrund

Svenska YLE (en del av ett finländskt public service-bolag) skrev redan 2016 om problemet. I artikeln kan man dels läsa om ett finländskt bolags äldre automatiseringssystem som fortfarande används för värme och ventilation. Många av dessa system skall enligt artikeln använda sig utav standardlösenord och användarnamn. I artikeln nämndes även en bostadsrättsförening i Linköping som hade blivit offer för en attack. Attacken gjorde att varmvattnet stängdes av för samtliga boende i föreningen.

För några år sedan kunde säkerhetsforskare styra bilen genom uppkopplade laptops, skrev cbc.ca. År 2016 visade ett kinesiskt forskningsteam hur de kunde ta över kontrollen över en Tesla. Enligt artikeln skall Tesla ha fått kännedom på detta i förhand och därefter åtgärdat säkerhetshålen innan publicering.

Men jag bör väl inte vara intressant?

Som jag tidigare skrev, så används automatiserade system för att hitta sårbarheter. Systemen kan vara del av botnät, som skickar ut automatiserade förfrågningar. Därefter vid träff kan ”ägaren” av botnäten gå vidare med mer detaljerade attacker. Även om man inte är intressant som person , enligt sig själv, så kan ens enheter vara måltavlor för att användas i botnät.

Har du hört talas om Mirai? Det är en mjukvara som har använts för DDoS-attacker via IoT-prylar. Programvaran riktade sig in på sådant som fortfarande hade standardanvändarnamn och -lösenord satta från fabrik. Dessa enheter användes sedan för att utföra DDoS-attacker mot olika mål som ondsinta hackers kunde ha.

Skydda smarta hem (och bilar)

Vad gäller smarta bilar…

En sak som är viktig att peka ut i sammanhanget med smarta bilar, som Scientific American skriver, är att det inte är enkelt att utnyttja sårbarheter i moderna bilar. Det har tagit tid och mycket arbete för forskare att undersöka nämnda fel. Om samtliga bilmodeller som var sårbara har uppdaterats med de senaste uppdateringarna bör alltså forskarna inte kunna återskapa sina undersökningar. Det samma gäller förstås ondsinta hackers.

…och smarta hem

Vad gäller ens smarta hem så finns det viktiga steg man själv kan göra som användare. Till att börja med kan man fråga sig om man verkligen behöver den uppkopplade funktionaliteten? Om inte, så är det bättre att låta bli att koppla upp enheten mot internet.

Om du nu skulle behöva ha funktionalitet, kan det vara en bra idé att skapa ett ytterligare nätverk för enheterna. Inom nätverk kallas detta för en ”demilitariserad zon”, DMZ. Detta nätverk bör inte ha någon åtkomst till ditt huvudnätverk. Hur man kan åstadkomma separata nätverk kan ske på två sätt; dels genom ett gästnätverk om routern stödjer det, eller genom att använda en ytterligare router.

Det är förstås bra (och viktigt) att alltid ändra lösenordet på samtliga sina IoT-enheter efter att man köpt dessa.