Efter fund af kæmpe IoT-fejl: Sådan beskytter du dine data på nettet

Dansk it-sikkerhedsfirma har fundet en stor sikkerhedsbrist i Internet of Things-netværkskommunikationen. Læs her, hvordan du sikrer dine IoT-enheder bedst muligt.

Alt for mange personer og organisationer sikrer ikke deres Internet of Things-enheder ordentligt på nettet, som det danske sikkerhedsselskab FortConsult for nyligt har beskrevet over for Computerworld.

Det kan du læse mere om her: Dansk sikkerhedsfirma slår alarm: "Jeg har fundet et atomkraftværk, hvor man kunne hæve strålingsniveauet og et fængsel, hvor fængselsdørene kan åbnes fra en server."

Og der er ellers nok at sikre.

For det forventes, at der inden for de næste fem års tid vil være op mod 100 milliarder enheder som eksempelvis sensorer i biler, skraldespande og lygtepæle, der alle kontrolleres af hver deres dedikerede server.

Hvis kommunikationen fra enheden/sensoren/lygtepælen til de dedikere kontrolservere ikke er krypteret, kan det lade sig gøre at opsnappe data og i værste fald manipulere med disse data.

Sikkerhedseksperten Lucas Lundgren fra FortConsult er manden bag fundet af en decideret svaghed i opsætningen af IoT-protokollen MQTT på minimum 45.000 servere i verden, som hver især kan kontrollere op mod tusindvis af sensorer og enheder.

Her fortæller han, hvordan du bedst muligt kan dæmme op for at få uønsket besøg på din kontrolserver af en hacker, som har lagt sig imellem din enhed/sensor og din kontrolserver.

Er det kritisk?
Først og fremmest skal du gøre op med dig selv, om kommunikationen mellem enhed og server er kritisk.

"Du skal gøre dig klart, hvad det egentlig er, du lægger ud på nettet. Drejer det sig om automatisk fodring af fisk, kan du måske nøjes med et brugernavn og password, som enheden kan autentificere sig med hos kontrolserveren," forklarer Lucas Lundgren.

Han erkender, at hvis nogen gætter brugernavn og password, kan disse folk overtage ens fodringsmaskine og dermed slå Nemo hjemme i akvariet ihjel, da fisk har en tendens til at blive ved med at spise uden at mærke mæthed.

Er ens enheder og sensorer derimod tilknyttet et kraftværk eller et andet sikkerhedskritisk anlæg, anbefaler Lucas Lundgren på det kraftigste, at der udover brugernavn og password også skal tilknyttes datakryptering mellem sensor/IoT-enhed og kontrolserveren.

"For at styrke sikkerheden yderligere kan du tilføje en IoT-gateway, som kan håndtere krypteringen og kommunikationen mellem forskellige enheder. En sådan gateway vil også virke som en firewall, hvor du kan konfigurere en IP-adresse-whitelistning," forklarer Lucas Lundgren.

Med en IP-adresse-whitelistening mener han, at man kan sætte sin IoT-gateway op til, at den kun tillader bestemte IP-adresser adgang til ens sensor/enhed og kontrolserveren.

Flere dilemmaer i spil
Årsagen til denne IP-adresse-whitelisting er, at ligeså snart en enhed kobler sig op på nettet, kan den findes ved hjælp af scannere.

Det betyder så, at ingen sensorer eller IoT-enheder kan gemme sig, men du kan altså selv i høj grad styre, hvem der har adgang til data.

Samtidig opstiller den kommende IoT-æra ifølge Lucas Lundgren en række dilemmaer angående sikring af ens IoT-netværk.

"Mange sensorer i dag er så små, at de ikke har CPU-kraft til at kunne håndtere kryptering. Derfor må man nøjes med brugernavn og password som adgangskontrol. Samtidig kan det i mange tilfælde slet ikke betale sig at sætte en dyr gateway op foran en billig sensor," lyder det fra it-sikkerhedseksperten.

Lucas Lundgren forklarer, at han har set denne problemstilling fikset i et laboratorium ved, at man opdeler kommunikationen i klartekst og kryptering, så kun de mest vitale data i en kommunikation bliver krypteret.

"Der ligger afgjort et marked for at producere små chips, der er intelligente nok til at kunne håndtere kryptering og de samme funktioner som IoT-gatewayen med eksempelvis IP-adresse-whitelisting, da enhver sensor med en IP-adresse jo også er eksponeret for DDoS-angreb," siger han.

Læs også: 
[b]Gør det selv-IoT, del 1: Sådan bygger du en dims, der kan aktivere andre dimser over internettet[/b]

[b]Dansk sikkerhedsfirma slår alarm: "Jeg har fundet et atomkraftværk, hvor man kunne hæve strålingsniveauet og et fængsel, hvor fængselsdørene kan åbnes fra en server"[/b]




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital How To: Data og AI er fremtiden – men kan man overhovedet lykkes i det nye data-univers uden den rette dataplatform?

Det er svært at spå om fremtiden, men vi kan være sikre på, at den indeholder meget mere data og en langt større anvendelse af kunstig intelligens. På dette webinar sætter vi derfor fokus på, hvordan du som organisation får styr på alle data, og bliver klar til fremtiden.

30. oktober 2020 | Læs mere


Dell Talk: Cybersikkerhed skal gentænkes for at kunne imødegå fremtidige avancerede cybertrusler

Danske virksomheder er nødt til at gentænke cybersikkerheden for at kunne imødegå fremtidige cybertrusler, som vi hele tiden gøres opmærksomme på. I denne talk får du et indspark i, hvordan du som virksomhed kan gentænke cybersikkerheden ud fra både et operationelt og sikkerhedsmæssigt perspektiv.

30. oktober 2020 | Læs mere


IT Security 2020

Strategic IT Security 2020 will focus on the never-ending story about security and cyber-defense, and how you can defend your business and your customer’s data and information. Together with several leading experts and digital executives from all over the Nordic countries, this conference seeks to give you the best input to focus even more on cyber security in the future.

03. november 2020 | Læs mere






Premium
Visma samler Visma Dataløn og Proløn under samme ledelse: Proløn-direktør Finn Conradsen fratræder som CEO
Godt et år efter opkøbet af Randers-selskabet Proløn, samler moderselskabet Visma nu Visma Dataløn og Proløn under samme ledelse og samme it-platform. Proløn-direktør Finn Conradsen fratræder som CEO for selskabet.
Computerworld
TDC ruller gratis fiber ud til 5.100 danske husstande - se adresserne her
TDC går i gang med at udruller fiber til tusindvis af danske husstande i Odens, Nordsjælland og Storkøbenhavn. Se hvor TDC’s gravemaskiner kommer forbi med tilbud om gratis fiber-opkobling.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Hybrid infrastruktur giver Jutlander Banks medarbejdere mere tid til kunderne
Hos Jutlander Bank sørger den nye, hybride infrastruktur fra HPE for, at bankens kunderådgivere i dag kan bruge væsentlig mere tid hos den enkelte kunde. I denne kundecase kan du få indsigt i hvordan IT-chef Kim Meling Christensen har oplevet samarbejdet med Atea og HPE – samt hvilke kundevendte fordele og muligheder for automatisering som det har givet.