Ett av de största hoten gällande Internet of Things under de senaste två åren har varit botnätet Mirai, som infekterade tusentals smarta enheter och utlöste ddos-attacker hos dessa genom att använda förinställda inloggningsuppgifter. Billiga produkter som till exempel webbkameror förvärrade problemet. De tillhör de mest sårbara IoT-enheterna.
Efter att källkoden till Mirai publicerades kan i princip alla med tillräcklig kunskap driva sitt eget IoT-botnät eller skriva programkoden, vilket har lett till att åtskilliga mutationer av Miraiviruset har uppstått. Andra metoder som kan användas för att infektera IoT-enheter är krångligare och dyrare – och därför ovanligare. Rekonstruktion av fasta program eller operationssystem, till exempel, kräver stor teknisk kunskap och mycket tid.
Vad kan man göra åt det?
En effektiv lösning skulle vara att göra det möjligt för användare att enkelt ändra inloggningsuppgifterna på sina smarta enheter. Det skulle bara hjälpa mot cyberbrottslingarnas enklaste metoder, men det är just de som är vanligast. Till exempel skulle tillverkare kunna “tvinga” sina kunder att ändra inloggningsuppgifterna på sina enheter genom att göra det obligatoriskt att ange ett unikt och säkert lösenord när enheten startas för första gången.
Detta skulle minska antalet sårbara enheter kraftigt. Alternativt skulle tillverkare av IoT-enheter kunna ge varje enhet ett unikt, slumpmässigt framtaget lösenord som levererades till kunden ihop med enheten.
Problemet med krypteringsnycklar
Att göra enheter säkra är en utmaning för tillverkare. Detta gäller IoT-enheter för såväl privatkunder som företag. Ett exempel på det är kryptering. Det är möjligt att kryptera data som en IoT-enhet samlar in och överför. Det finns många rekommendationer för vilka krypteringsalgoritmer som är lämpliga och hur långa krypteringsnycklarna bör vara. Dessutom finns det ett antal krypteringslösningar som använder öppen källkod.
Men det är svårt att skydda och hantera krypteringsnycklar, och om de inte hanteras på rätt sätt förlorar hela krypteringsprocessen sitt värde. Om en krypteringsnyckel hanteras på fel sätt kan den data som krypterats bli oanvändbar, till exempel om det inte går att få fram nyckeln som använts för krypteringen genom en äkthetskontroll. Bara själva mängden IoT-enheter gör att utmaningarna med kryptering och nycklar växer exponentiellt.
Den ljusa sidan
Många IoT-enheter är fortfarande för svaga för att kunna kryptera något ordentligt. En bra SSL-implementering är oftast inte möjlig om enheten har för lite utrymme. Tillverkare av IoT-enheter kommer troligtvis att fortsätta att producera enheter med bristande säkerhet. Detta gäller särskilt enheter för privatpersoner. Det är bara så det är för tillfället.
Men medvetenheten ökar. En liten men växande grupp konsumenter är djupt oroade över de här produkternas säkerhet. I och med att medvetenheten ökar, ökar även trycket på tillverkarna och allt fler kräver bättre åtgärder för säkerhet och dataskydd.
Håll alltid ett öga på dina IoT-enheters nät så att du snabbt kan uppmärksamma säkerhetsproblem. Klicka här för att få reda på hur ett program som PRTG Network Monitor kan hjälpa dig med det.
