[Innan du börjar läsa: jag tycker den här bloggen är klart bättre på engelska. Överväg att läsa den versionen istället.]
När jag för en tid sedan satt och skrollade igenom Twitter stötte jag på en intressant tweet:
Fritt översatt, Hyppönens lag: När en apparat beskrivs som ”smart”, är den sårbar.
Under mina år inom det akademiska har jag läst ett större antal lagar, teorier och hypoteser. Jag var alltså mycket medveten om den oskrivna regeln att dylika kräver tiotals sidor att beskriva, det skall göras så svårbegripligt som möjligt, och slutresultatet ska helst ha möjligast lite praktisk relevans. Hyppönen verkade inte ha någon som helst koll.
Eller hade han? Jag kontaktade honom för att få höra lite mera om hans lag. Det här är vad jag lärde mig.
Internet brinner (och din tvättmaskin mår inte så bra, heller)
Under den tidiga vintern 2014 höll Mikko Hyppönen på att förbereda ett tal. Han hade blivit ombedd att ge en presentation på TEDx i Bryssel, och hoppades få den att bli en ovanligt bra presentation. Det var kring samma tid som ”sakernas internet”, eller Internet of Things (IoT), höll på att bli allt vanligare.
Det verkade inte finnas en enda manick som var för stor eller för liten för någon tillverkare att stoppa in en dator i den och koppla upp den till nätet. När man gjort det får manicken i fråga rätten att kalla sig ”smart”.
Användningen av prefixet smart är inte lika vanligt i svenskspråkiga produktbeskrivningar (smart TV verkar vara den vanligaste) som i de engelska versionerna av samma produkt. Men fenomenet sprider sig likaväl, oberoende av terminologin. Allt från bilar och tvättmaskiner till TV:n, lampor och brödrostar får en liten dator i sig och kopplas till nätet.
Hyppönen är forskningschef på F-Secure, ett finskt cybersäkerhetsföretag. Så det är förståeligt att han ser på saker ur ett lite annat perspektiv. Medan vi andra satt och undersökte våra nya smart-manickers egenskaper (”Hörru, tvättmaskinen ringde medan du var borta – dina kalsonger är klara.”) så satt Hyppönen och undersökte säkerhetsaspekterna i manickerna.
Och resultatet var inte lovande: vilken smart apparat han än tittade närmare på visade sig ha allvarliga sårbarheter. Den här poängen – att smart är sårbart – tog Hyppönen upp för första gången i sin TEDx presentation The Internet is on fire (eng. för ”Internet brinner”) i Bryssel i december 2014. (Talet, vilket Hyppönen anser vara sitt bästa hittills, kan hittas t.ex. på Youtube eller på Hyppönens hemsida.)
Mikko Hyppönen (bild: TED)
Nåh… hur illa kan det nu vara?
Rätt så illa, visar det sig. Ett av de mera imponerande praktiska exemplen på Hyppönen’s lag kom fram under hösten och vintern 2016 i och med ett botnet som kom att kallas Mirai.
Termen botnet hänvisar vanligen till en samling internet-uppkopplade datorer som kan styras av en tredje part (eller vad min sexåriga son sku kalla ”dummisarna”). Ursprungligen var det bara vi själva som kunde besluta om våra egna datorer. Men sedan klickade vi på någon länk vi inte borde ha klickat på, eller öppnade en fil vi inte borde ha öppnat, eller kanske vi fick en bilaga per epost och sedan klickade på ”enable content” (Hyppönen: ”klicka aldrig på enable content!”). Och nu, utan att vi vet något alls om saken, så skickar vår dator spam och deltar i diverse digifanskap.
Det som gjorde Mirai botnetet unikt var att det bestod enbart av IoT apparater. Ett skadeprogram hade programmerats att surfa genom internet sökandes efter IoT prylar. När det hittade en sån pryl så körde programmet igenom flera dussin standard (eng. default) användarnamn och lösenord i ett försök att komma åt, och sedan ta kontroll över, apparaten i fråga. Vem som helst som hade tagit sig tiden att ändra på sin IoT apparats ursprungliga, fabriksinställda lösenord var trygg från attacken. Men, som det visade sig, var det inte så många av oss som hade gjort det.
Över hundratusen IoT prylar hamnade med i Mirai botnetet (bland dem kring 16.000 apparater i Finland, läs mera på Kommunikationsverkets sida). IoT apparaterna användes sedan för att utföra så kallade Distributed Denial of Service attacker. Kortfattat, en sådan attack skickar så mycket trafik till en internetsida att sidan inte klarar av belastningen och kraschar. Det är jämförbart med att man sku skicka så många människor till en fysisk butik att ingen annan kunde komma in.
Målen för Mirai botnet anfallen sträckte sig från en enskild säkerhetsjournalist till ett antal sajter av kritisk vikt för stora delar av (närmast) USAs internet infrastruktur. Våra IoT manicker hade lyckats få en märkbar del av internetet att (tillfälligt) klappa ihop.
Den svagaste länken (eller, Jag vet vad din vattenkokare gjorde förra sommaren)
Vissa av oss kanske inte bryr sig ifall våra IoT prylar extraknäcker som ondskefulla minions så länge de lämnar oss ifred. Beklagligt nog så visar det sig finnas många sätt på vilka IoT sårbarheter direkt kan påverka även oss. ”En IoT apparat är ofta den svagaste länken i ett nätverk”, noterar Hyppönen.
För att nämna några exempel: IoT lampor har använts för att komma åt de nätverk lamporna är kopplade till (som en så kallad gateway). IoT vattenkokare här utnyttjats för att komma åt WiFi lösenord. Smart TV:n och bilar har blivit infekterade med ransomware – en slags skadeprogram som håller ens dator (och data) gisslan och sedan kräver en lösensumma av användaren.
Men det behöver inte vara fråga om endast en dator eller en manick. Som ett exempel på en worst-case scenario nämner Hyppönen att en IoT sårbarhet kan leda till att alla datorer som är sammankopplade med en användares dator kan bli utsatta för ransomware. Och på arbetsplatsen kan en sårbar IoT apparat utsätta alla sammankopplade datorer – och deras data – för risk, utan att företagets IT avdelning ens får vera att en sådan apparat har hämtats till arbetsplatsen.
Varför är smart sårbart?
En stor orsak till varför situationen är så dålig som den är, konstaterar Hyppönen, är att vi helt enkelt inte lär oss av våra misstag.
En av de sakerna människor lärde sig för länge sedan om datorer var att föråldrade system är sårbara. Och en av de sakerna människor lärde sig för länge sedan om människor var att vi inte är speciellt ivriga på att självmant kolla på nätet ifall det finns några nya uppdateringar för våra program.
För att hanskas med det här problemet har det blivit vanligt att program kan uppdateras automatiskt. Så är det inte med IoT manicker. Mjukvaran som snurrar på din splitter nya IoT apparat kan mycket väl vara farligt föråldrad redan innan du fått ut den ur förpackningen.
Och för att göra situationen ännu sämre så har vi ännu problemet med de fabriksinställda lösenorden som så få av oss tar oss tid att ändra på. Sådana lösenord möjliggjorde Mirai botnetet, och har varit ett populärt mål även för andra internet-baserade attacker.
En annan viktig lärdom har kommit i och med spridningen av internet: behändiga alternativ som att kunna använda okrypterad kommunikation för att logga in i och styra din dator från långt borta verkar klart mindre behändiga då man upptäcker att alla andra på internetet också kan logga in och styra din dator.
Den sårbarheten har att göra med säkerhetsbrister i ett kommunikationsprotokoll som kallas Telnet. Att ha Telnet aktiverat på en internet-ansluten dator har, sedan sena 90-talet, ansetts vara en Mycket Dålig Idé. Och vem vill gissa sig på vilket kommunikationsprotokoll IoT apparater ofta har i bruk? (Hint: det börjar på ”Telne”.)
Skämtreklam för ett sårbart IoT kylskåp (bild: Disobey.fi)
Jag ser sårbara manicker
Grundorsaken till varför det är så svårt att lösa problemet med IoT sårbarheter, berättar Hyppönen, är att ”när en konsument går till butiken för att köpa en ny diskmaskin så är säkerhet inte ett viktigt kriterium.” Hyppönen går igenom en vanlig lista av kriterier, och konstaterar att pris kommer först. Färg finns antagligen med på listan. Och människor kan tänkas fråga hur mycket byke man kan tvätta på en gång. ”Men konsumenter frågar inte: Kommer den här tvättmaskinen med en brandvägg?”
Tillverkare, å andra sidan, vet att de först och främst tävlar på basis av pris. Eftersom ingen frågar om säkerhet, och eftersom de inte kan höja priset utan att förlora i konkurrenskraft, kommer de inte att investera i att förbättra säkerheten på deras varor.
Men tappa inte hoppet. Åtminstone inte ännu – för det blir värre.
Vintern IoT kommer
Efterhand som hårdvaran som behövs för att koppla en apparat till nätet blir billigare kommer vi att omringas av en växande mängd nya smart apparater. Och för de läsare som tänker för sig själv, OK – då köper jag helt enkelt inte några IoT manicker, så har Hyppönen ett obekvämt svar: ”Jo, det kommer du att göra.” När det blir tillräckligt billigt att sätta till IoT egenskaper, fortsätter han, så kommer tillverkare att göra det – ”vare sig de berättar om det för oss eller inte.”
Nuförtiden är IoT egenskaper vanligen designade att erbjuda mervärde för användaren men det behöver inte nödvändigtvis alltid vara så. Du kanske inte ser ett värde i att din brödrost är uppkopplad till nätet. Men tillverkaren kommer att se värde i att samla data om användningen av deras produkter. De kanske vill veta hur många exemplar av en viss modell som är i bruk. Eller hur ofta de används. Eller så kanske de vill veta vilken mängd av deras produkter som finns i vilka länder eller städer för att veta var de skall fokusera sin marknadsföring.
Även om det bara är fråga om en brödrost. Även om det inte står någonting om att den sku vara uppkopplad till nätet. När det blir tillräckligt billigt att samla data så kommer företag att vilja göra det. ”IoT revolutionen är på kommande, vare sig vi gillar det eller inte.”
Gör IoT smart igen
Efter mitt samtal med Hyppönen ville jag plocka isär varenda apparat i mitt hem för att kunna försäkra mig om att det inte fanns några odokumenterade internet-uppkopplande bitar i dem. (Fast jag nog inte sku ha kunnat känna igen sådana bitar ändå.) Men lyckligtvis är Hyppönens syn på IoTs framtid klart ljusare.
”Jag hoppas att vi om 10 år kan titta tillbaka på IoT revolutionen och konstatera att den påminde om internet revolutionen: jo, den kom med en del dåliga sidor. Men överlag så hämtade den mera gott med sig än ont.”
En stor del av ansvaret för att det faktiskt ska gå så verkar ligga hos oss, konsumenterna. Efterhand som allt flera saker kopplas upp till nätet så måste vi låta tillverkarna veta att vi bryr oss om säkerheten hos våra IoT manicker. Som JFK skulle ha sagt, ifall han levat länge nog att uppleva IoT revolutionen: Fråga inte Har du några IoT dörrklockor; fråga Har du några brandvägg-försedda, automatiskt uppdaterande, Telnet-frånkopplade dörrklockor.
Och så får vi hoppas att om tio år är ”smart men sårbar” hur vi beskriver hjälten i vår favorit film, inte hur vi beskriver vår brödrost.