Sambandet mellan digital och fysisk säkerhet

Utmaningen med modern säkerhet påminner lite om gruppen Stargazers hit från 1955: “Close the door – they’re coming through the window” – så snart man har säkrat en svag punkt dyker det upp hot någon annanstans. Och det blir allt svårare att ligga steget före. Detta gäller såväl bostäder som stora datacentraler, där digital säkerhet är en förutsättning för fysisk säkerhet och vice versa. Det finns ett tydligt samband.

Program som knäcker lösenord är numera så avancerade att det krävs 55 tecken, inklusive siffror, gemener, versaler och utländska bokstäver, för att ett lösenord ska vara riktigt säkert. Och det får inte heller ha någon som helst innebörd.

Men den gamla hitlåten har ytterligare en koppling till dagens säkerhetsutmaningar: för optimal säkerhet i den digitala världen krävs det att även fönster och dörrar är ordentligt stängda och låsta.

Fysisk och digital säkerhet är med andra ord två sidor av samma mynt. Och nu när fysisk säkerhet ofta uppnås – åtminstone delvis – på digital väg, kommer dessa två sidor av myntet allt närmare varandra.

Säker ‘home automation’

När det gäller fysisk säkerhet i stora datacentraler och digital säkerhet inom ‘home automation’ eller hemautomationssystem, har vi en situation som påminner om texten i en annan låt, ”You can’t have one without the other”.

Daniel Crowley arbetar på SpiderLabs, en avdelning på säkerhetsbolaget Trustwave som arbetar med att testa fysiska och digitala säkerhetssystem. Han och hans kollegor skapade stora rubriker 2013, när de på säkerhetskonferenserna Def Con och Black Hat Hackers berättade om hur de hackat sig in i hemautomationssystem kopplade till trådlösa nätverk.

”Systemen vi testade var väldigt sårbara, säger han. I ett av fallen kunde vem som helst på internet få fullständig kontroll, eftersom det varken fanns användarnamn eller lösenord.”

Det är illa nog om någon utomstående kan höja volymen på din stereo, eller kanske spola på din nätverksanslutna toalett (ja, de testade faktiskt en sådan) medan du sitter på den. Men det blir riktigt allvarligt om även dina dörrlås och övervakningskameror är kopplade till nätverket. Det har till exempel hänt att någon ropat kränkande tillmälen till ett tvåårigt barn via en babymonitor med kamera och sedan även till föräldrarna som kom in i rummet för att se vad som stod på.

Crowley vill att hemautomationssystemen ska vara åtskilda från det övriga nätverket. De bör ha egna användarnamn och lösenord, så att de är skyddade även om någon tar sig in i nätverket.

– Alla delar av hemautomationssystemet måste vara säkra, även om det trådlösa nätverket inte är det.

Rätt säkerhetsnivå

Paul Williams, vice verksamhetschef för belysnings- och komfortprodukter på Control4, en ledande leverantör av hemautomation, säger att deras system fungerar exakt på det här viset: – Vårt system är överordnat det trådlösa nätverket och har sin egen säkerhet.

I ett blogginlägg från maj 2013 varnar han dock för säkerhetsriskerna i trådlösa nätverk. Han uppmanar återförsäljarna att vara försiktiga när de installerar nätverken, även om hemautomationssystemet inte påverkas. När allt kommer omkring installeras dessa system ofta samtidigt, och Control4 vill att båda jobben ska göras ordentligt.

Hans råd är att inte tillåta port forwarding om man inte vet vad man gör och undvika att sända ut routerns SSID. Och framför allt bör man inte använda för enkla lösenord!

– Folk är väldigt oförsiktiga, säger Williams. Om jag går in på min dator hemma får jag upp 12 eller 13 trådlösa nätverk, varav en tredjedel är helt vidöppna.

Blogginlägget var en reaktion på medierapporteringen om Shodan, en slags sökmotor för uppkopplade enheter. På samma sätt som Google söker efter webbplatser på internet, söker Shodan efter nätverksanslutna kameror, lås, termostater eller till och med dumpers – en hackare tog sig till exempel in i övervakningssystemet för en viss typ av dumpersfordon via ett lättgissat lösenord.

Nedan kan du se CNN-inslaget om sökmotorn Shodan som Williams refererar till. Shodan kan ge samvetslösa individer tillgång till nätverk och nätverksanslutna enheter med låg säkerhet.

Enligt Williams erbjuder hans bolag system med ”samma säkerhetsnivåer som används inom banksektorn”, med 256 bitars SSL-kryptering mellan de olika enheterna:

– I våra system är det omöjligt att komma åt information med hjälp av en nätverkssniffer.

Crowley säger att det gäller att hitta rätt säkerhetsnivå för rätt situation – inför intervjun med FutureLab behövde han till exempel inte ta på sig en skottsäker väst.

”Säkerhetsnivån måste sättas i relation till vad det är som ska skyddas, säger han, och påpekar samtidigt att tillverkarna av hemautomationssystem måste göra det enklare för användarna att ställa in högsta möjliga säkerhetsnivå i sina system.”

– Om du skapar en produkt för den breda allmänheten måste du vara medveten om att alla inte har samma kompetens.

Säkerhet för servrar och datacentraler

På ett bolag som 1&1 Hosting Germany, en del av United Internet och en av Europas största internetleverantörer, finns dock massor av kompetens. PR-chefen Michael d’Aguiar berättar att de använder sig av decentraliserade system.

– Vi har ingen fjärrstyrning, säger han. Tillgång till byggnadens styrsystem, med funktioner som exempelvis värme, medges endast inifrån själva byggnaden. De 190 kameror som övervakar bolagets största datacentral i Karlsruhe är kopplade i ett slutet system och kan inte nås utifrån.

I entrén till datacentralen finns en säkerhetsdörr som endast tillåter passage av en person åt gången. Här krävs kortavläsning, pinkod, ansiktsscanning och till och med viktkontroll. Endast ett fåtal personer har tillträde:

– Inte ens vår VD kan ta sig in utan att ansöka om tillstånd, säger d’Aguiar. Principen bygger på att systemet blir säkrare ju färre personer som har tillgång till det.

Pull quote:

”En hackare kan fortfarande fånga upp nätverkstrafiken och skicka den vidare – det krävs en tidsstämpel eller ett engångslösenord för att undvika detta.”

Enligt Crowley bör man noga överväga om man verkligen behöver nätverksanslutna lås. Även om nätverket skyddas av både användarnamn och lösenord, kan en hackare fortfarande fånga upp nätverkstrafiken och skicka den vidare – det krävs en tidsstämpel eller ett engångslösenord för att undvika detta. – Det kan orsaka problem, och för de allra flesta är det inte nödvändigt.

Det gäller alltså att hitta rätt säkerhetsnivå. Det finns en efterfrågan på integrering av säkerhet i den digitala världen, och tillverkarna av hemautomationssystem ansvarar för att minimera riskerna så mycket som möjligt.

Av Michael Lawton

---

Paul Williams är chef för belysnings- och komfortprodukter på Control4, en ledande leverantör av innovativa hemautomationssystem. Innan han kom till Control4 var Paul regionchef för SonicWall i Utah, efter att företaget där han var vice verksamhetsdirektör (Phobos) förvärvades av SonicWall år 2000. Dessförinnan var han verksamhetsdirektör på Harman Music Group (ett dotterbolag till Harman International), där han under sina 14 år även har innehaft en rad andra chefspositioner. Paul har över 25 års erfarenhet av verksamhetsstyrning inom högteknologiska företag och bidrar med kompetens och personligt engagemang till projekt på bolags-, partner- och branschnivå.