I dag er IoT Internet of Things uden tvivl blandt de mest populære buzz words i IT-branchen. Og der er ingen tvivl om, at vi kunne udarbejde nogle relevante business cases, hvis det pludselig lykkedes os at få alt til at blive lige så easy and connected, som vi fx er blevet vant til med vores smartphones.
Enheder, vi tidligere ikke har kunnet fået data fra – eller i hver til fald kun i meget begrænset omfang, kan allerede nu – eller inden længe – give os faktiske, detaljerede og realtids informationer.
Det vil komme til at give os både et enormt indblik og overblik i vores forretning og ud fra disse data, vil virksomheder fx komme til at implementere helt nye og optimerede forretningsgange.
Et eksempel kunne være nogle af de danske byers Smart City-projekter. Her benytter man fx registrerede data via WiFi Beacons til at konstatere, hvor mange biler der er på motorveje, indfaldsveje og ringveje. Eller man benytter realtidsdata fra diverse målere til varme, el, regnvand, temperatur osv. til energioptimering af fjernvarmeforsyningens produktion.
Hvorfor Internet of Trouble
Her i 2018 er vi efterhånden nået så langt med IoT, at nærmest alle nye elektroniske enheder og dimser kan blive koblet på netværket via trådløse netværk – og det er så her, Internet of Trouble begynder.
På trådløse netværk går vi nemlig meget op i sikkerhed med standarder som fx dot1x, WPA2 og Cisco ISE – bare for at nævne nogle. Men lige netop sikkerhed på netværket er ikke nødvendigvis et emne, der på nogen måde interesserer The Producent of The Thing.
For lige netop dén wifi-chip og tilhørende driver, producenten har købt, er nemlig købt hos den underleverandør, som kunne levere billigst. Og dét giver udfordringer, da stort set alle enheder jeg er stødt på, udelukkende kan godkendemod det trådløse netværk som OPEN, Statisk WEP eller WPA2-PSK. Den samme PSK-nøgle til potentielt hundredvis eller tusindvis af enheder, er nemlig den oplagte opskrift på en rigtig dårlig ide!
Det skal dog nævnes, at vi med Cisco ISE i dag har lidt mere styr på et sådanne PSK IoT-netværk, ved at kunne tildele hver enkel enhed sin egen PSK-nøgle på samme SSID. Denne metode giver fx sådanne nogle som mig en lille smule mere ro i Wi-Fi-sjælen, men det medfører samtidig også en enorm administrativ arbejdsbyrde at administrere alle disse nøgler og enheder. Men udfordringerne stopper desværre ikke her.
Der går Gouda i Wi-Fi´en
Ikke nok med at den dims, man gerne vil have forbundet, ikke understøtter nogle moderne godkendelsesmetoder overhovedet, så er også selve metoderne til implementering ofte mere eller mindre mangelfulde. I praksis betyder det, at alt det vi faktisk havde sikret os, var sikkert, pludselig er gennemhullet som en goudaost. Dette gælder desværre også ofte for de professionelle dimser og ikke kun for de dimser vi vil koble på netværket hjemme i privaten. Og det har jeg et par rigtigt slemme – og meget klassiske eksempler på, som jeg selv har overværet live.
- Infosecurity Europe 2015: Wifi Kettle SSID Hack Demo (YouTube)
- Infosecurity Europe 2015: WiFi SSID Security Camera Demo (YouTube)
- Hacking the Wi-Fi IoT Coffee Machine (YouTube)
Kidnapning eller sabotage
Man skal ligeledes være opmærksom på, at kompromittering ikke nødvendigvis kun kan foregå hjemme i den private elkedel. Det kan nemlig også meget let ske på én af de enheder, der er integrereret i produktionens netværk og TA-DA. Nu har forbryderen lige pludselig fået nøglen til det trådløse produktionssystem. Eller måske endnu værre – nu har forbryderen kontrol over en ting på produktionsnetværket, der måske endda udfører en vigtig funktion. En funktion der nu kan ændres, hvormed sabotage, der medfører produktionsfejl, kan blive en realitet.
Hvis man konstaterer, man er blevet hacket, og koden er stjålet, er det nødvendigt at ændre PSK-nøglen i ALLE sine enheder øjeblikkeligt.
Det andet scenarie er, at den trådløse enhed bliver ”kidnappet” (som ovenstående elkedel), og tappet for alle vigtige data. Hvornår opdager du, den har været væk? Opdager du det overhovedet – og er overvågning af alle enhederne overhovedet inkluderet i dit IoT-projekt? Det kan blive et rent mareridt, da jeg endnu ikke har set noget MDM – Mobile Device Management – eller IoTDM til nogle af disse systemer, der vil kunne gøre det nemt.
What to do!
1: Stil krav til leverandørens sikkerhed på de trådløse IoT-klienter
Dot1x med WPA2 (EAP) er reelt ikke en voldsom moderne godkendelsesmetode. Det har eksisteret i MANGE år og er derfor et must have men ikke optional.
Management Frame Protection 802.11w er væsentlig mere moderne og bliver derfor muligvis ikke understøttet af selv de nyeste dimser. Skal jeg i dag købe helt nyt udstyr, står denne feature højt på min kravsliste.
2: Sikring af IoT-netværket
Med de usikkerheder vi ser i 1. generations IoT-produkter, kommer vi ikke til at sætte IoT-enheder direkte på produktionsnetværket.
Jeg kan næsten ikke anbefale det nok, at de skal ud på et segment for sig selv, og herfra benytte alle de tricks vi overhovedet har i den store sikkerhedsbog/værktøjskasse til at sikre resten af netværket som fx Firewalls, Firepower, ISE, Netflow, SGT. Det vil sige: Ud på et isoleret netværk med dimsen!
Tilføj ISE og Netflow for at profilere udstyret og vurder, om der pludselig kommer ny anderledes trafik fra sådanne enheder. Dog kan profiling også hurtigt blive skruen uden ende, hvis man har mange forskellige enheder.
3: Vent til generation 2!
Ofte er det attraktivt at være first mover. Og med al den opmærksomhed, der er omkring IoT, kan ingen sidde helt overhørig. Men lige netop i dette tilfælde kan det både være farligt og fatalt at være den første med det fedeste.
Hvis vi ser på, hvad de store softwarehuse har i støbeskeen, kan vi blandt andet se Microsoft med deres Windows 10 Core til Raspberry: https://www.raspberrypi.org/blog/windows-10-core-iot-starter-pack/ Eller Googles Brillo projekt: https://developers.google.com/brillo/
Begge operativsystemer er fra softwarehuse, vi alt andet lige har mere tillid til end en elkedel fra Aldi. Vi kan jo håbe, udviklingen af disse OS går i retning af smartphonen, og vi derfor får muligheder for ”MDM” og andre muligheder for kontrol og styring.
Det værste i den sammenligning er dog måden, hvorpå disse enheder egentlig kom ind i forretningen til at starte med – hvis det overhovedet er nogen, der kan huske.Et hint: Chefen får en ny dims, der bare er smart, og som bare SKAL på nettet. Og den SKAL naturligvis kunne ses OG styres fra hans laptop.
- Trane thermostat is a hot spot for viruses on home networks (www.theregister.com)
- We’re going to use your toothbrush to snoop on you, says US spy boss (www.theregister.com)
Og her starter den virkelige morskab – the fun really begins.
Bare vent til vi får IPv6, hvor alt pludselig har en rigtig IP!