Först drabbades it-journalisten Brian Krebs webbplats Krebs on Security. Sedan var det franska hostingfirman OVH. Och slutligen DNS-leverantören Dyn. När säkerheten i våra uppkopplade prylar brister, drabbas det som är viktigt på riktigt. Det är hög tid att ta ansvar för prylarna som kopplas till nätet.
Överbelastningsattackerna har kommit slag i slag under hösten. Och med en styrka som vi aldrig tidigare sett. Det finns all anledning att reflektera över varför det blivit så här och vad som kan göras för att hantera problemen.
De tre attackerna har nämligen en gemensam nämnare: De har utförts med hjälp av ett botnät som fått namnet Mirai. Till skillnad från tidigare stora botnät består Mirai inte av persondatorer som rekryterats för att lyda order, utan av uppkopplade prylar. I stor utsträckning handlar det om webbanslutna övervakningskameror, men det finns också annan hårdvara i nätet.
Att jag väljer det bökigare ordet “persondatorer” istället för “datorer” är inte en slump. Också uppkopplade övervakningskameror är datorer. De ser bara inte ut som vad vi normalt sett tänker på när vi hör ordet “dator”. Men inte desto mindre är de datorer, om än med ett väldigt specifikt användningsområde.
Och precis som “vanliga” datorer kan en övervakningskamera också köra skadlig kod, bara någon lyckas ta kontrollen över den.
Problemet är att det är lätt att göra just det. Alldeles för lätt. Både utvecklare och användare måste därför börja tänka på de här prylarna som just “datorer”.
Säkerhetsbrister som standard
Mirai sprider sig som en mask, från enhet till enhet. Hur? Genom att testa att ansluta via telnet eller SSH och prova med några av det dryga sextiotalet användarnamn/lösenords-kombinationer som finns inlagda i mjukvaran.
Problemets kärna är nämligen, i just det här fallet, att prylarna som rekryteras till botnätet har dåliga standardlösenord, samma i varje pryl som lämnat fabriken. Dessutom är telnet och/eller SSH aktiverat. Väl uppkopplade till internet kan alltså vem som helst knacka på (testa om det finns någon server som svarar på anslutningsförsök via telnet eller SSH) och sen se om något av de kända lösenorden öppnar dörren.
Så här kan vi inte ha det.
I dagsläget saknas uppenbara incitament för både tillverkare och användare att bry sig. För tillverkarna finns givetvis risken att prylarna blir basen för nästa stora botnät, precis vad som drabbat det kinesiska företaget som nu “är” Mirai. Men den risken har diskuterats länge, och uppenbarligen inte räckt för att få företagen att höja priset något på sina prylar och lägga till funktioner som exempelvis gör det omöjligt att ansluta dem till internet innan standardlösenordet är ändrat.
Säkerhetsmärkning kan vara svar
Till skillnad från ransomware och annan skadlig kod som ger sig på persondatorer drabbas inte webbkamerans ägare. Sannolikt är de flesta av ägarna till de hundratusentals, kanske ännu fler, webbkameror som ingår i Mirai omedvetna om att just deras kameror varit en del i de attacker som fått stor uppmärksamhet de senaste veckorna.
Frågan om säkerhetsmärkning har lyfts, och diskuteras bland annat inom EU. Och det är inte ett orimligt sätt att ta sig an situationen. Vänd på valfri eldriven apparat i hemmet eller på jobbet, och den har en CE-märkning som ska garantera att den inte blir strömförande. Men någon liknande märkning som säkerställer informationssäkerheten saknas.
Bland dem som nu höjer rösten och vill se en sån finns den välkända säkerhetsexperten Bruce Schneier:
IoT will remain insecure unless government steps in and fixes the problem. When we have market failures, government is the only solution. The government could impose security regulations on IoT manufacturers, forcing them to make their devices secure even though their customers don't care. They could impose liabilities on manufacturers, allowing people like Brian Krebs to sue them. Any of these would raise the cost of insecurity and give companies incentives to spend money making their devices secure.
Drabbar samhällskritiska funktioner
Hur säkert är internet? Frågan ställdes i rubriken till en lång artikel som jag skrev för Kungliga Ingenjörsvetenskapsakademiens tidning hösten 2014. En av poängerna i texten är att det är skillnad på infrastrukturens säkerhet, och de uppkopplade prylarnas säkerhet. Till största delen ligger nätets intelligens i ändnoderna. Det är i servrar och uppkopplade prylar funktionerna vi vill ha finns – men det är också där vi hittar de stora säkerhetsproblemen.
När vi pratar om trafiksäkerhet är den en kombination av vägarnas tillstånd, men också säkerhetssystemen i fordonen som körs på dem. Och förarnas förmågor.
På samma sätt är säkerheten på nätet en kombination av flera olika aspekter. Och under de inledande höstmånaderna har vi tyvärr fått svart på vitt att det är lite si och så med säkerheten i de prylar som vi ansluter till nätet.
Internet är en infrastruktur där leksaker blandas med samhällskritiska funktioner. Och där brister i leksakerna slår ut det som är viktigt på riktigt.
Det måste bli lätt att göra rätt. Det måste bli uppenbart att mitt kylskåp kan bli ett vapen i händerna på andra. Det måste bli uppenbart för tillverkarna att jag inte vill att mitt kylskåp ska kunna användas så.
För allas vårt bästa. Annars kommer tjänster vi vill använda vara onåbara, och viktiga röster tystas. I det större sammanhanget finns en annan intressant text från Schneier som är värd att läsa: Someone Is Learning How to Take Down the Internet.
I förlängningen finns det också anledning att fundera på en annan sak: I dagsläget används de kapade prylarna i huvudsak för DDoS-attacker. Säkerhetsexperter jag pratat med säger att det sannolikt beror på att det är den lägst hängande frukten, som kan ge snabba pengar genom utpressning.
Men det finns också attacker där angreppet riktar sig direkt mot prylens funktion. Som ransomware för en uppkopplad termostat.
I väntan på lösning
Som utvecklare kan du välja öppna standarder istället för att utveckla egna protokoll. Du kan testa funktionerna i de kretsar ni köper från underleverantörer, så att exempelvis wifi-kretsarna inte bara kopplar upp din pryl till nätet utan också sätter upp en basstation som därmed öppnar en väg in i kundens nätverk. Och du kan läsa på, exempelvis OWASP:s lista med vanliga säkerhetsmisstag.
Vad du i användarledet kan göra i väntan på att den här röran förbättras? Läs till exempel Cert.se:s lista med råd. Och om du lagt hela organisationens DNS-hantering i en och samma korg, överväg att sprida den över flera leverantörer istället. Så att det som hände krisinformation.se inte händer er.
Om skribenten
Anders Thoresson har bevakat IT och telekom sedan 1999, först som reporter på Ny Teknik och sedan 2006 som frilans. Genom åren har hans texter bland annat publicerats i Dagens Nyheter, Dagens Industri, Forskning och Framsteg, IVA Aktuellt och Ny Teknik. Han har också skrivit flera Internetguider åt IIS och gör poddcasten Digitalsamtal. Du når Anders via hans webbplats.