Når mannen med PC kan ta livet av deg

2017-06-22

IT-sikkerhetsbransjen heiser flagget: sammenkobling av The Internet of Things er flott, men ikke uten å starte hvert prosjekt med en idémyldring om hvordan dette skal sikres mot misbruk.

Thomas Tømmernes
Thomas Tømmernes IT-sikkerhetsekspert

The Internet of Things (IoT) er alle duppedippene med nettilgang. Vi hører stadig om sikkerhetsutfordringer med grobunn i IoT der all teknologi er designet for samhandling og tilgjengelighet. Kjøleskap og digitale kosedyr som er med på DDos-angrep kan skape store økonomiske konsekvenser for bedrifter og begrenset tilgjengelighet for tjenestetilbydere.

Men IoT er også hjørnestenene i smart grids, smart homes, intelligent transportation og smart cities. De er gode eksempler på teknologiens fremdrift i digitaliseringen, samtidig som enhetene også utgjør store utfordringer for oss i IT-sikkerhetsbransjen.

Amerikanske myndigheter fastslår at medisinsk utstyr «på nett» har farlige sikkerhetshull, skrev Dagens Næringsliv tidligere i år. ser for meg en rekke skrekkscenarioer som for eksempel at en hacker tar over kontrollen på hjertet ditt og stopper det, eller kanskje får tilgang til pacemakeren din og forlanger løsepenger for å IKKE stoppe den. Dette scenarioet vil nok gi kjappere og sikrere utbetaling enn å kidnappe alle filene til en bedrift.

Som sett på TV

Et snikmord i det stille er starten på enhver god Hollywood-historie der en eller annen etterforsker, gjerne en unik kombinasjon av politi, lege og mensamedlem, oppdager hva som har skjedd ved en tilfeldighet – dette er underholdende high-tech.

Eller en mafiafilm, med narkotikakarteller som bruker brutale dødsfall for å signalisere advarende til alle rundt, kan dette gjøres ved at man tar kontroll over en bil og kjører over i motgående fil. Kanskje med en drone som filmer det hele før videoen lastes opp på nettet.

YouTube-videolenken sendes fra en burner (engangstelefon) via SMS og vips er alle andre vitner tause som østers. Ikke tenk – åh nei, du har jo ikke el-bil, hva med bilene du møter i motgående kjørefil, har DU kontroll på disse?

Tull og fantasi?

Skulle ønske det. La meg gi deg noen eksempler fra virkeligheten:

Nils Roald, mannen bak IT-sikkerhetsbloggen Folkesky som til daglig jobber med advanced malware protection (AMD) i Cisco,  skrev allerede i 2014 om Tesla-hacking, en bil han har hatt flere modeller av siden han skrev dette innlegget.

I den senere tid har nordmenn både startet og «stjålet» Tesla med en PC, og kinesiske hackere avdekket svakheter som lar dem kontrollere deler av bilen i fart.

Jeg vil her rette en unnskyldning til både Tesla og Tesla-eiere (jeg kjenner mange) for Tesla-eksempelet, det finnes utallige eksempler med alle andre merker også.

I 2020 vil hvert tiende amerikanske hjem ha en forbrukerrobot. Det er ingen grunn til at dette ikke også vil skje i Norge, spår Computer World.

Fantastisk, tenker du kanskje, kan jeg få en robot i fremtiden til å gjøre husarbeidet for meg?
Selvfølgelig, i området jeg bor har allerede annenhver hage en selvgående gressklipper, og da jeg nylig var innom Elkjøp fortalte en selger at selvgående støvsugere er blant deres mest solgte varer.

Roboter kan vel ikke gjøre skade?

Da jeg i 2004 jobbet jeg for IT-sikkerhetsselskapet Watchcom, som arrangerte det årlige sikkerhetseventet Paranoia, holdt en italiensk hacker foredrag om hvordan man kan hacke store hjemmeroboter for å utføre attentater.

I mange land benytter man gasskomfyrer istedenfor elektrisk. Dette betyr at husene har større gasstanker installert. Han ville gjøre attentatet så enkelt som å få roboten til å løsne gassledningen og så fylle bo enheten med gass før han fikk roboten til å klikke på gassovnbryteren som ville sette i gang eksplosjonen.

Mission completed.

Roboter med rett til å drepe

Noen land tar i bruk roboter for å automatisere forsvaret. Roboter skal vokte grensene, oppdage, innhente og drepe inntrengere. Ubemannede robotbiler er allerede i bruk i Israel. Neste generasjon skal operere helt på egenhånd ved hjelp av sensorer, våpen, og kunstig intelligens.

Også på grensen mellom Nord- og Sør-Korea finner man en maskin, riktignok bemannet, men tatt rett ut av en science fiction-film – denne patruljerer grensene for Sør-Korea, proppfull av alskens high-tech som gjør det vanskelig å krysse grensen.

Hensikten er både å bli mer effektive og spare livet til egne soldater. Men de har samtidig fjernet den menneskelige vurderingen – kun binerkode avgjør om man skal skyte eller ikke. Ingen utfordringer rundt følelser eller medmenneskelighet. Her snakker vi terminator og Sarah Connor.

Rimelig trussel

Men det trenger hverken være avansert eller kostbart å benytte dagens teknologi til drepe.

For et år siden satte Norge ny rekord i hvor mye last en drone kunne løfte med 61 kilo, ikke medregnet maskinens egenvekt, over bakken i 37 sekunder. Da er 5 kilo i 5 minutter ikke noe problem for en enklere drone.

Hva kan man vel gjøre av ugagn med en med en drone? Selvfølgelig spionasje, og målrettede attentat, dette har man allerede gjort i krigføring i en årrekke. Både de selvkjørende som nå Israel bruker og ikke minst de flygende i alle varianter.

Eller, man kan også bruke en helt vanlig drone man får kjøpt for noen tusenlapper, som styres med en iPad eller iPhone til å gjøre attentat.

Scenario: 2 kilo TNT og 3 kilo klinkekuler flydd inn over en større menneske mengde og detonere denne i 20 meters høyde? Resultatet tør jeg ikke tenke på.

Illustrasjonene mine virker tatt ut av en science fiction-bok, men alt jeg tar opp her er faktisk en realitet. Det er mange muligheter for «mannen» med PC eller normal kompetanse innen digitalisering, samtids- og fremtidsrettet teknologi.

Men all verdens restriksjonener kan ikke utkonkurrere sunn fornuft og folkeskikk, med IT-sikkerhet som en av grunnsteinene i utviklingen av ethvert design uansett løsning eller duppeditt man skal koble til den store verdensveven.

Til skrivelysten tar meg igjen, følg med på Twitter @TTmmernes