Säkerhet och internet of things

Diskussion i 'Smartprylar och det smarta hemmet' startad av Oceanic, 18 feb 2018.

  1. Oceanic

    Oceanic Android Veteran Medlem

    Blev medlem:
    26 dec 2010
    Inlägg:
    9 398
    Mottagna gillanden:
    4 146
    Operatör:
    FELLO
    Telefon:
    XIAOMI Mi 11 ULTRA

    MINA ENHETER

    Operatör:
    FELLO
    Telefon:
    XIAOMI Mi 11 ULTRA
    Jag är rätt intresserad av internet of things alltså uppkopplade apparater i hemmet, men det som får mig att tveka är säkerhten och hur man eventuellt blir sårbar för eventuella attacker. Jag är inte speciellt naiv när det kommer till säkerhet dvs jag litar inte blint på att allt är löst när det gäller säkerheten...

    Ni får gärna övertyga mig,
    Men denna podden övertygade mig iallafall DÅ att avakta med att hoppa på IOT tåget som annat verkar väldigt intressant för en som är tekniknörd och vill ligga i framkant.


    View: http://fsecure.libsyn.com/internet-of-things
     
  2. lassekongo

    lassekongo Android Apprentice Hedersmedlem

    Blev medlem:
    6 aug 2011
    Inlägg:
    3 609
    Mottagna gillanden:
    1 122
    Telefon:
    OnePlus 6

    MINA ENHETER

    Telefon:
    OnePlus 6
    I dagsläget skulle jag säga att man nästan hellre kan anta att säkerheten är dålig snarare än bra. Företag och organisationer som jobbar med operativsystem, tex Google, Microsoft, Apple och Linux, jobbar hela tiden väldigt aktivt för att hitta säkerhetsproblem och trots det upptäcks problem hela tiden. Skillnaden mot många företag som släpper IoT-enheter är att tex Google ofta är väldigt snabba på att åtgärda problem.

    Jag tror inte att företag som skapar tex glödlampor med wifi har ett speciellt stort intresse av att lägga en massa pengar på att patcha dem om det upptäcks problem. Det var något man kunde se under hösten 2016 vid DDoS-attacken mot några DNS-servrar där många av enheterna som deltog var skrivare, IP-kameror och babymonitorer (källa: 2016 Dyn cyberattack - Wikipedia)

    För något år sedan släpptes information där några hade undersökt säkerheten i babymonitorer. Det visade sig att typ alla hade allvarliga säkerhetsproblem och en del monitorer lade till och med upp filmklipp mer eller mindre publikt på internet om jag inte missminner mig.

    Så jag skulle säga att det nog kan vara värt ett vänta några år. Vill man absolut ha IoT-grejer skulle nog en god idé vara att samla dem alla på ett fysiskt separera nätverk än det man normalt använder
     
    bernard och Oceanic gillar detta.
  3. Oceanic

    Oceanic Android Veteran Medlem

    Blev medlem:
    26 dec 2010
    Inlägg:
    9 398
    Mottagna gillanden:
    4 146
    Operatör:
    FELLO
    Telefon:
    XIAOMI Mi 11 ULTRA

    MINA ENHETER

    Operatör:
    FELLO
    Telefon:
    XIAOMI Mi 11 ULTRA
    Ja.. Det är ungefär där jag står..

    Men är inte direkt insatt i protokollen som används.. Men som nämns i podddn är själva utbytet av nycklar fortfarande ett problem.
     
  4. lassekongo

    lassekongo Android Apprentice Hedersmedlem

    Blev medlem:
    6 aug 2011
    Inlägg:
    3 609
    Mottagna gillanden:
    1 122
    Telefon:
    OnePlus 6

    MINA ENHETER

    Telefon:
    OnePlus 6
    Jag har inte lyssnat på podden så jag vet inte riktigt vad den handlar om. Vilka protokoll och nycklar?
     
  5. bernard

    bernard Droidmin Moderator

    Blev medlem:
    14 maj 2009
    Inlägg:
    40 630
    Mottagna gillanden:
    44 568
    Operatör:
    Tre+Fello
    Telefon:
    Pixel 7 Pro+iPhone 13 mini

    MINA ENHETER

    Operatör:
    Tre+Fello
    Telefon:
    Pixel 7 Pro+iPhone 13 mini
    ROM:
    Stock
    Platta:
    Watch Series 7
    Övrigt:
    Huawei Watch GT (2019)
    För att göra IoT säkert skulle det behövas någon OS-kärna som är garanterad en lång supporttid/LTS (long term support) också. Jag tänker minst 10-15 år, om inte mer.

    I dag blir det mesta som bygger på Linux-kärnan i princip osäkert inom något år från att versionen som används når end of life (EOL). Få har resurser att backporta patchar från en nyare kernel till en gammal under många års tid och det finns bara en begränsad mängd utvecklare som kan underhålla gammalt samtidigt som det skall arbetas på nytt.

    Jag är rätt nyfiken på hur man skall gå tillväga för att lösa detta problem. Följden av detta idag är att vi har miljontals av uppkopplade enheter så som routers, skrivare, webbkameror och så vidare där tillverkare antingen för det saknas resurser att underhålla produkter från en 2-3+ år gammal produktportfölj inte längre patchar säkerhetshål, eller där det helt enkelt inte är praktiskt möjligt eftersom kärnan som används sedan länge ligger död och begraven. Även om viljan fanns vore det alltså hopplöst att lösa från tillverkarens håll.

    Problemet är förstås detsamma som för våra telefoner och när deras mjukvarustöd når EOL, men då vi byter telefon rätt ofta är det väl inte ett lika stort problem som för produkter vi sitter på längre, som låt säga en router eller dylikt.

    Kylskåp och många andra vitvaror har väl en livstid på minst 10 år? Inte helt vanligt att dessa kopplas upp idag, men de finns att köpa på marknaden. Hur många kan med handen på hjärtat säga att det kylskåpet kommer patchas under 10 års tid, långt efter att kärnan som används passerat sin livstid?

    TV-apparater är väl också ett bra exempel på något många äger i 5+ års tid och som efter något år eller två i princip inte patchas längre. Det är kanske speciellt illa då vissa modeller både är utrustade med kamera och mikrofon.
     
    Last edited: 18 feb 2018
    ingfre, lassekongo och Oceanic gillar detta.
  6. Oceanic

    Oceanic Android Veteran Medlem

    Blev medlem:
    26 dec 2010
    Inlägg:
    9 398
    Mottagna gillanden:
    4 146
    Operatör:
    FELLO
    Telefon:
    XIAOMI Mi 11 ULTRA

    MINA ENHETER

    Operatör:
    FELLO
    Telefon:
    XIAOMI Mi 11 ULTRA
    Tror detta kan leda till riktig cancer epidemi och stora problem om nu mer och mer folk börja koppla upp sina prylar som kan hackas... de kan användas för att skapa botnet till cyberattacker osv..

    Det känns som man borde tänka på säkerheten först...

    jag har inte heller någon bra lösning på detta.
    Ett annat problem är ju att ofta hårdvaran är väldigt svag på dessa enheter vilket gör det svårt att att använda alltför svår kryptering då det kräver rätt mkt beräknignskraft.