Når huset ditt sladrer på deg
Nylig kunne vi lese at google-høytalere kan brukes til avlytting. Sikkerhetshull i smart-enhetene våre er krevende å oppdage. Går det an å automatisere jakten på svakhetene? Forskere ved NTNU i Gjøvik er på saken.
Stadig flere av gjenstandene vi omgir oss med i det daglige knyttes opp mot internettet. Det gjør dem ikke bare smarte, men også sårbare for dataangrep og kriminelle handlinger.
Hva forteller wifi-termostaten om deg?
Om en stund har vi kanskje smartkjøleskap som hjelper oss med å holde styr på hva som går ut på dato og når vi skal handle. Dette må da være harmløst? For hvem er vel interessert i utløpsdatoen på melka di eller å overvåke matvarebeholdningen din?
Ved nærmere ettertanke behandler helt dagligdagse gjenstander i et moderne smarthus en hel del data som du neppe er interessert i å dele med alle og enhver.
Termostaten din kan for eksempel si noe om når du er bortreist. Treningsutstyret ditt lagrer gjerne helseinformasjon om deg og familien din.
Om ikke veldig lenge har vi kanskje kjøleskap som forteller hva du mangler og hva som bør benyttes først. Når vi ikke fyller kjøleskapet så betyr det nok at vi er bortreist. Denne infoen kan komme kriminelle tilgode, om teknologien har sikkerhetshull. Illfoto: Shutterstock
Og som en amerikansk programvareutvikler nylig demonstrerte – smarthøyttaleren din kan ha sikkerhetshull gjør det mulig å tyvlytte på dine private samtaler.
I feil hender er dette informasjon som kan misbrukes i alt fra innbrudd til identitetstyveri og utpressing. Smartenheter finner i stadig større grad veien inn i store bedrifter og statlige institusjoner. Det gjør ikke akkurat situasjonen mindre alvorlig.
Nærmere å automatisere etisk hacking
Arbeidet med å avdekke sikkerhetshull i datasystemer utføres i dag stort sett manuelt av såkalte penetrasjonstestere eller etiske hackere. Dette er et tidkrevende og kostbart arbeid. Kvaliteten er helt avhengig av den individuelle testerens ferdigheter.
Mange har derfor ønsket å automatisere denne prosessen. Det har vist seg å være en langt vanskeligere oppgave enn man så for seg – spesielt i forbindelse med smartenheter.
I en nylig publisert artikkel i fagtidsskriftet Sensors kan forskere fra NTNU i Gjøvik ikke bare rapportere om fremsteg i arbeidet med å automatisere sikkerhetstesting på smartenheter. De har også avdekket at kritiske enheter i sjøfarten fremdeles produseres med velkjente sikkerhetshull.
Mange typer smartenheter kompliserer
Å sikkerhetsteste smartenheter er i prinsippet ikke annerledes enn å teste et hvilket som helst annet datasystem. Problemet med de smarte enhetene er bare at de er så forskjellige. De har til dels store variasjoner i teknologien, og ikke sjelden har de svært ulike bruksområder.
– En smarthøyttaler er utviklet med helt andre oppgaver enn en smarttermostat i tankene. Den kan dermed ha svakheter knyttet til sine helt særegne funksjoner, sensorer eller andre komponenter som en smarttermostat ikke har, forklarer førsteamanuensis Basel Katt. Han arbeider ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU i Gjøvik.
– Smartenhetene benytter seg av mange ulike protokoller, sier forskeren, altså mange sett med bestemte regler for å få til kommunikasjon mellom datasystemene.
Verktøyene man hittil har utviklet for automatisk å teste sikkerheten, har derfor hatt begrenset nytte på smartenheter. De har helst blitt brukt til helt spesifikke oppgaver, kun som en del av en ellers manuell prosess, og har på ingen måte prestert like bra som menneskelige testere.
– En smarthøyttaler er utviklet med helt andre oppgaver enn en smarttermostat i tankene.
Systemet som NTNU-forskerne har utviklet, drar veksler på flere av de eksisterende verktøyene og bringer dem sammen i koordinerte angrep på smartenheter.
For å få til det har de utviklet en selvstendig programvareagent. Den er basert på tidligere arbeid av Fartein Lemjan Færøy, post.doc. Muhammad Mudassar Yamin og Basel Katt.
En selvstendig programvareagent er en programvare som reagerer på forandringer og hendelser i miljøet den befinner seg i, helt uavhengig av direkte instrukser fra mennesker. I stedet handler den etter en forhåndsbestemt beslutningsmodell. Modellen det i dette tilfellet dreier seg om, ble utviklet av Yamin og Katt for å spesifisere en programvareagents atferd spesielt i såkalte cyber ranger. La oss forklare:
Cyber range – for å trene
En cyber range er en arena som gir brukere og systemer muligheten til å bryne seg på simulerte dataangrep under kontrollerte forhold, ikke ulikt et militært øvingsfelt.
Katt forklarer at et automatisert testsystem vil kunne bekle opptil flere roller i en cyber range og muligens gjøre slike øvelser mindre tids- og ressurskrevende.
Han mener videre at et slikt system vil kunne være til stor nytte både i utviklingen og produksjonen av nye smartenheter, men også innenfor undervisning og forskning.
– Testsystemet kan demonstrere forskjellige måter å hacke på og hvordan svakheter kan utnyttes, forklarer Katt. Det vil dessuten kunne brukes til å vise studenter konsekvensene av ulike sårbarheter.
Satte viktig enhet ut av spill
I den nylig publiserte fagartikkelen beskriver forskerne hvordan de prøver ut det automatiserte testsystemet på en AIS-enhet. AIS står for «automatisk identifikasjonssystem». Dette er en mye brukt teknologi i sjøfarten som kommuniserer viktig informasjon om fartøy både til Kystverket og andre skip og havner i nærheten.
Mange norske fritidsbåter er utstyrt med AIS-sendere, og teknologien er påbudt ombord i større fartøy, som yachter, cruise- og lasteskip. Den skal dessuten være operativ til enhver tid.
– Så at det automatiserte testsystemet forholdsvis lett kunne sette en kostbar og mye brukt AIS-enhet ut av spill, var et alvorlig nok funn i seg selv, forklarer Katt.
Da forskerne fant ut at tilkoblingen også kunne «spoofes», økte imidlertid alvorlighetsgraden betraktelig.
Spoofing er når en person eller et dataprogram utgir seg for å være noen andre ved å bruke forfalsket data. I sjøfartssammenheng kan dette for eksempel ta form av at noen sender ut falske GPS-signaler via AIS-systemet. Det kan i verste fall føre til både grunnstøting og kollisjon med andre skip eller havner.
Hadde produsenten av det aktuelle AIS-systemet hatt tilgang på et lignende testsystem i utviklings- og produksjonsfasen, ville svakheten sannsynligvis vært fanget opp og utbedret for lengst.
Fremdeles en vei å gå
Til tross for de lovende resultatene understreker Katt at arbeidet med å automatisere etisk hacking i smartenheter på langt nær er i mål.
– Skal man utvikle et fullgodt system som kan avdekke sikkerhetshull i smartgjenstander med minimal menneskelig innblanding, må det betydelige fremskritt til i arbeidet med informasjonsutveksling på tvers av ulike protokoller, forklarer Katt.
Kilder:
Færøy FL, Yamin MM, Shukla A, Katt B. Automatic Verification and Execution of Cyber Attack on IoT Devices. Sensors. 2023; 23(2):733.
https://doi.org/10.3390/s23020733
Yamin MM, Katt B, Gkioulos V. Cyber ranges and security testbeds: Scenarios, functions, tools and architecture. Computers & Security. 2020; 101636. https://doi.org/10.1016/j.cose.2019.101636.
