IoT behöver forskning kring sårbarhet för att överleva

Security, Uppkopplat liv

Förra veckan medverkade F-Secures seniorkonsult Harry SintonenDisobey i Helsingfors där han gav en lektion i hur hackare utnyttjar osäkra enheter. Harry skapade sin presentation och demo efter att han upptäckt ett antal sårbarheter i en NAS (Network Attached Storage) från QNAP. För att styrka att sårbarheterna verkligen kunde användas för att hacka sig in på enheten, utvecklade han en proof-of-concept-lösning (en kodsnutt som utnyttjar sårbarheter) som mycket riktigt gav honom kontroll över drabbade enheter.

Jag ska inte gå in på de tekniska detaljerna (du kan se Harrys presentation nedanför för tekniska detaljer). Förenklat kan man säga att Harrys mjukvara manipulerade enheten i samband med att den försökte uppdatera den inbyggda programvaran. Den här processen var ett öppet mål för Harry på grund av bristerna i hur enheten uppdaterades (till exempel var trafiken inte krypterad).

Harrys lösning gjorde att han kunde ta full kontroll över enheten. Han försökte inte göra något mer än så. Annat är det med hackare. De hade fått full tillgång till all information som sparats på enheten, de hade kunnat stjäla lösenord eller köra kommandon på distans – till exempel installera skadlig mjukvara på systemet.

Låter det allvarligt? De goda nyheterna är att hackarna måste ta sig på nätverket, någonstans mellan enheten och uppdateringsservern, för att kunna kapa uppdateringsprocessen för att det ska fungera.

”Det extra steget är tillräckligt för att hindra de mest opportunistiska och minst avancerade attackerna, ”sa Janne Kauhanen, säkerhetsexpert på F-Secure.

De dåliga nyheterna är att den här typen av problem tillåts härja fritt i uppkopplade enheter. I det här fallet underrättade Harry Sintonen QNAP om säkerhetsproblemen redan i februari 2016 och så vitt Harry vet har de ännu inte släppt någon patch för att åtgärda dem (även om QNAP påstår att de jobbar på det).

Sårbarhetsforskning är en vital del om vi vill säkra IoT

Det här är inte första gången som Harry hittar säkerhetshål i en produkt. Förra sommaren upptäckte han sårbarheter i Intenos routers för hemmaanvändare som lämnade användarna helt blottade för hackare.

”Det är löjligt hur osäkra de produkter som säljs är, ”sa Janne då. ”Vi – och andra säkerhetsföretag – hittar sårbarheter i den här typen av enheter hela tiden. Den inbyggda programvaran som används i routers och andra uppkopplade enheter negligeras helt av tillverkare och konsumenter – egentligen av alla utom hackare som använder dessa sårbarheter för att kidnappa internettrafik, stjäla information och sprida skadlig mjukvara.”

Säkerhetsforskare bedriver denna typ av undersökningar eftersom tillverkare och utvecklare vanligtvis inte har resurser för att göra det på egen hand. Och med tanke på den globala bristen på kompetent cybersäkerhetspersonal borde inte detta komma som någon överraskning.

Det är därför företag (inte bara säkerhetsföretag) investerar i sårbarhetsforskning. Ett sätt som de gör detta på är så kallade ”bug bounty”-program. Microsoft, Facebook och många andra välkända IT-företag (inklusive F-Secure) erbjuder pengar till den som kan hitta sårbarheter i deras produkter. Faktum är att en tio-åring fick 10 000 dollar efter att ha hittat en sårbarhet i Instagram förra sommaren.

Men sorgligt nog ser verkligheten snarare ut som så att de allra flesta sårbarheter går oupptäckta fram till dess att en användare snubblar över dem – eller ännu värre, när en hackare som utnyttjat den för att ta sig in på en enhet eller ett system blir upptäckt.

IoT-enheter blir alltmer populära och med dem sprids även säkerhetsproblem. Det ställer stora krav på oss alla, om vi ska lyckas undvika nästa Mirai-attack, eller något ännu värre, så måste vi ta oss tid att hitta och peka ut säkerhetsproblem innan de utnyttjas.

 

 

Betygsätt den här artikeln

0 röster

0 kommentarer

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

Du kanske också gillar

%d bloggare gillar detta: