IoT-säkerhet ur konsumentens perspektiv

(1)

IoT-säkerhet ur konsumentens perspektiv

Peter Falkman Niklas Petersson

Datornätverk, högskoleexamen 2020

Luleå tekniska universitet Institutionen för system- och rymdteknik

(2)

IoT-säkerhet ur

konsumentens perspektiv

Niklas Petersson & Peter Falkman

2020-06-12

Examensarbete D0032D | Datornätverk

Istutitionen för System- och Rymdteknik | Luleå tekniska universitet I samarbete med TietoEVRY Skellefteå

(3)

SAMMANFATTNING

Vi lever i en snabbt utvecklande teknologisk värld och mängden internetuppkopplade enheter ökar hastigt. År 2025 förväntas mängden IoT-enheter öka till 41.6 miljarder. En generell säkerhetsbrist bland dessa enheter har medfört att de blivit favoriserade mål och medel för nätverksattacker.

Syftet med denna rapport är att undersöka kunskapen hos privatpersoner gällande säkerhet i IoT-enheter, vilka åtgärder de tagit för att säkra sina hemnätverk samt var de anser ansvaret ligga när det kommer till säkerhet i de enheter de köper.

Rapporten undersöker även återförsäljares kunskap när det gäller säkerhet i IoT- enheter, tillverkares synpunkt samt vad lagen säger gällande ansvarsskyldighet.

I vår undersökning fann vi att kunskapen om säkerhet och åtgärder för säkerhet är bristfällig. Samtidigt så finns ett stort förtroende till tillverkare att säkerheten i IoT- enheter på marknaden har en tillräckligt god implementerad säkerhet.

Denna rapport visar att detta inte alltid är sant. Säkerhet kommer ofta i andra hand vid tillverkning och en stor efterfrågan har påskyndat utvecklingsarbetet av IoT- enheter vilket har skadat säkerhetstänket. Ett stort problem är användandet av fabriksinställda användarnamn och lösenord utan krav på konsumenten att åtgärda detta vid uppstart av en ny enhet. Dessa enheter blir lättåtkomliga offer för cyberattacker och möjligheterna för angripare växer hastigt.

Krav måste ställas på tillverkare att hålla en minimum standard av säkerhetsimplementation och IoT som begrepp måste definieras med tydliga riktlinjer om vilka enheter som omfattas av begreppet. Svenska lagar som omfattar nätverksattacker är bristfälliga och reflekterar inte de möjligheter som finns idag för angripare. Fler funktioner i privatpersoners hem blir uppkopplade och kan manipuleras på nya sätt men det finns inga tydliga lagar som reflekterar detta problem.

(4)

ABSTRACT

We are living in a fast evolving technological world and the amount of internet connected devices is rapidly growing. By 2025, the amount of IoT-devices in the world is expected to increase to 41.6 billion devices. These devices have general security flaws which makes them favored targets for network attacks.

The purpose of this report is to investigate the consumers' knowledge concerning security in IoT-devices, what actions they have taken to secure their own home network as well as who they consider responsible for the security in IoT-devices they buy.

This report also investigated retailers' knowledge about security in IoT-devices, manufacturers' view on the problem as well as what the law says about accountability.

In our research we found that the knowledge about security and actions taken by consumers to increase security is flawed. However, there is a great trust in manufacturers of IoT-devices to have adequate implemented security.

This report shows that this is not always true. Security is often a second thought in the manufacturing process and demand has accelerated the design process of IoT- devices which has damaged the safety thinking. One of the biggest concerns is the use of factory default usernames and passwords without any demand on the consumer to change these on first start up. These devices become easy targets for cyber attacks and the possibilities for attackers increase rapidly.

Demand has to be put on manufacturers to keep a minimum standard for security implementation and IoT as a concept has to be defined with clear guidelines of which devices are included in the concept. Swedish laws which comprise network attacks are flawed and do not reflect the possibilities attackers possess today. More functions in individuals' houses are becoming connected and digitized which opens up more opportunities for manipulation in different ways but there are no clear laws to handle these issues.

(5)

NYCKELORD

IoT – Internet of things - innefattar alla enheter med en nätverksuppkoppling som har åtkomst till internet.

DDoS – Distributed denial of service - en attack mot en internetbaserad tjänst från flera noder samtidig med syfte att överbelasta den utsatta tjänsten.

Malware – Malicious Software – skadlig mjukvara med mål att infektera enheter för att kunna utföra icke-auktoriserad aktivitet.

Mjukvara - Datorprogram med specifik uppgift i ett datorsystem. Även kallat programvara.

Skript – Ett program skrivet på ett programeringsspråk.

Botnet – En samling av infektierade enheter som kan styras på distans för otillåten nätverksaktivitet.

IP-adress – Internet Protocol adress. Ett nummer som används som adress på internet.

IPv6 – Internet protocol version 6 – Den senaste versionen internetprotokoll utvecklat av Internet Engineering Task Force (IETF). Tänkt att ersätta det nuvarande IPv4 och möjliggör unika adresser för alla internetenheter.

Cyberattack – Attack på it-system IT-brott – Brott där it-teknik använts

VPN – Vitual Private Network – teknik som används för att skapa en säker förbindelse mellan två punkter över, till exempel, internet

Telnet – Textbaserad fjärrinloggning på internetenhet

(6)

Innehållsförteckning

1. INTRODUKTION... 1

1.1 BAKGRUND... 1

1.2 SYFTE... 1

1.3 TEORI... 2

1.4 AVGRÄNSNINGAR...2

2. IDENTIFIERING AV PROBLEMET...2

2.1 FÖRETAGS SÄKERHETSIMPLEMENTATIONER...2

2.2 LAGSTIFTNING... 3

2.3 VAD KAN HÄNDA PRIVATPERSONER...3

3. MIRAI BOTNET... 4

3.1 HUR FUNGERAR ETT MIRAI BOTNET...4

3.1.1 BOTNET... 4

3.1.2 MIRAIS KÄLLKOD...5

3.2 ATTACKER... 6

4. AKTUELLA ÅTGÄRDER...7

4.1 LAGÄNDRINGAR I VÄRLDEN...7

4.2 TILLVERKARES ÅTGÄRDER...8

4.3 TILLGÄNGLIGA ÅTGÄRDER FÖR PRIVATPERSONER...9

5. UNDERSÖKNINGAR... 9

5.1 UNDERSÖKNING MOT PRIVATPERSONER...9

(7)

5.2 UNDERSÖKNING MOT ÅTERFÖRSÄLJARE...10

6. RESULTAT... 10

6.1 ENKÄTSVAR FRÅN PRIVATPERSONER...10

6.2 INTERVJUSVAR FRÅN ÅTERFÖRSÄLJARE...15

7. DISKUSSION... 18

7.1 ANALYS AV RESULTAT - PRIVATPERSONER...18

7.2 ANALYS AV RESULTAT – ÅTERFÖRSÄLJARE...19

7.3 VAD BÖR GÖRAS... 19

7.4 IOT SOM BEGREPP...20

8. REFERENSER... 21

(8)

1. INTRODUKTION

Tekniken utvecklas snabbt i världen och antalet internetuppkopplade enheter, även kallade IoT-enheter, ökar exponentiellt. Smartahem-lösningar har blivit populära de senaste åren vilket bidrar till stor efterfrågan på smarta enheter som kan kopplas upp mot internet och styras via applikationer.

År 2018 fanns det 7 miljarder IoT-enheter, 2019 var siffran uppe i 26.66 miljarder och mängden förväntas öka till 41.6 miljarder år 2025 [1][2]. Tillverkare har fått utveckla enheter i en allt snabbare takt vilket medfört att säkerheten i enheterna fått mindre prioritet.

1.1 BAKGRUND

En stor mängd av de IoT-enheter som finns på marknaden idag kommer med fabriksinställda lösenord som implementerad säkerhet. Det finns sällan några krav på att ändra lösenord eller instruktioner för hur konsumenter ska gå till väga för att genomföra ändringar. Det finns även enheter som har hårdkodad mjukvara, där det helt enkelt är omöjligt att ändra dessa säkerhetsdetaljer eller uppdatera mjukvara för att skydda sig mot nya attacker. Ett av de stora problemen med fabriksinställda lösenord är att dessa, i många fall, går att hitta på internet och kan användas av cyberbrottslingar för att ta över enheter [3][4].

Det stora antalet osäkra IoT-enheter på internet har blivit ett lätt mål för cyberattacker. Till en början så utnyttjades dessa säkerhetsbrister till att värva IoT- enheter till botnets för att använda i DDoS-attacker, men med tiden har fler tekniker utvecklats för att utnyttja IoT-enheter till fler typer av attacker. Detta medför ett problem för privatpersoner som inte har kunskap om säkerhetsrisker eller möjlighet att åtgärda dem [5].

1.2 SYFTE

Syftet med denna rapport är att undersöka kunskapen hos privatpersoner gällande säkerhet i IoT-enheter, vilka åtgärder de tagit för att säkra sina hemnätverk samt var de anser ansvaret ligga när det kommer till säkerhet i de enheter de köper.

Rapporten undersöker även återförsäljares kunskap när det gäller säkerhet i IoT- enheter, tillverkares synpunkt samt vad lagen säger gällande ansvarsskyldighet.

(9)

1.3 TEORI

Efterfrågan på smarta IoT-enheter har accelererat tillverkningen vilket har skadat säkerhetstänket. Idag så utvecklas skadliga program som riktar sig mot dessa enheter snabbare än vad tillverkare kan åtgärda säkerhetsbrister. Ett stort antal IoT-enheter som säljs har hårdkodad mjukvara vilket gör de svåra eller i vissa fall omöjliga att uppdatera. Fabriksinställda lösenord är lättåtkomliga och det saknas tillräckliga instruktioner till konsumenter för att byta dessa. Detta bidrar till att IoT- enheter världen över är känsliga för attacker som utförs med hjälp av skript som utnyttjar dessa fabriksinställningar [6][7][8].

1.4 AVGRÄNSNINGAR

Detta arbete utfördes i samband med Covid-19 pandemin vilket försvårade undersökningar i arbetet. Samtliga undersökningar presenterade i denna rapport gick via teknologiska medel vilket kan ha begränsat den demografiska spridningen och kan därmed påverkat respondenternas mångfald. Situationen med Covid-19 medförde även att majoriteten av arbetet skett på distans med begränsade resurser gentemot om arbetet hade utförts på plats hos TietoEVRY eller Luleå tekniska universitet. På grund av Covid-19 begränsades undersökningen till privatpersoner och återförsäljare i Skellefteå kommun. Undantaget är den spridning via Facebook som kan bidragit till en större geografisk spridning.

2. IDENTIFIERING AV PROBLEMET

Ett stort problem gällande säkerhet i IoT-enheter är användandet av fabriks- inställda användarnamn och lösenord. Tillverkare använder ofta samma inloggningskriterier för flera enheter [4][9][10]. Instruktioner för hur användare kan ändra dessa kriterier är ofta otydliga eller icke existerande. Eftersom det inte finns något regelverk över vilken säkerhetsimplementation som ska finnas i enheter på marknaden så är det ett område där tillverkare ofta väljer att spara in pengar.

2.1 FÖRETAGS SÄKERHETSIMPLEMENTATIONER

Många konsumenter litar på säkerheten som kommer inbyggd i de enheter de köper, vilket undersökningen längre ner i denna rapport påvisar. Flera tillverkare av IoT-enheter har börjat begära att användare ställer in unika lösenord på sina nya enheter vid installation [10]. Detta gäller endast för nyproducerade enheter.

2

(10)

2.2 LAGSTIFTNING

Vad har vi svenskar för lagligt ansvar gällande våra internetuppkopplade enheter?

Om en privatperson sätter upp en IP-kamera på en global IP-adress helt utan lösenord och denna skulle användas till olaglig aktivitet, har privatpersonen då gjort sig skyldig till brott? Polisens hemsida [11] besriver följande:

”Hackers går under dataintrångslagen, om den är uppsåtlig och medför skada i de angripna systemen.”

Enligt dataintrångslagen (BrB 4 kap.9 c §) [12] medför detta att en angripare kan bli skyldig till brott vid otillåten åtkomst till ett system. Detta är den enda lag som behandlar nätverksbrott. Det finns inte någon lag gällande minsta säkerhet en privatperson är skyldig att upprätthålla för sina internetuppkopplade enheter.

IPRED-lagen som behandlar fildelning av upphovsrättsskyddat material [13]

innebär att om fildelning av upphovsrättsskyddat material sker från en privatpersons registrerade IP-adress så kan denne bli skyldig till brott. Lagen omfattar inte annan skadlig trafik som vid en DDoS-attack

I syfte att undersöka vilka riktlinjer jurister, som arbetar med IT-brott, arbetar efter så skickades en förfrågan ut till ett antal advokatbyråer specialiserade inom IT- brott. Itadvokaterna.se svarade på förfrågan men avstod att svara på frågorna då de inte besatt kunskap nog att göra det. Detta tyder på att det finns svårigheter att ge raka svar i rättsliga frågor om IT-brott där IoT-enheter varit inblandade.

I en artikel i den engelska tidskriften Wired beskrivs internetuppkopplade sexleksaker som visat sig vara känsliga mot attacker [14]. Detta innebär att säkerheten i ett flertal av dessa enheter kan äventyras och en angripare kan ta över kontrollen av dem på distans. Den Australiska nyhetsbyrån 10daily beskriver i en artikel ett sådant scenario där de fann att advokater ogärna kommenterar ämnet då denna typen av fall är för nya för att de ska kunna veta eller ens spekulera i huruvida en anmälan kan leda till dom [15].

I lagstiftningen om sexualbrott finns ingen konkret text som hänvisar till sexualbrott över digitala medier [16].

2.3 VAD KAN HÄNDA PRIVATPERSONER

Förutom att enheter i hemmet kan bli värvade till ett botnet i syfte att utföra DDoS- attack mot andra mål, så kan finnas andra risker med osäkra enheter. Om en enhet som ligger på ett hemnätverk blir övertagen så kan angriparen komma åt känslig

(11)

information på andra enheter inom samma nätverk [17]. Detta beror på att utvecklingen av skadliga program som riktar sig mot känsliga IoT-enheter gått fort fram och tillverkare har svårt att åtgärda problemet då många enheter inte har någon möjlighet att uppdateras på distans.

Det finns även en risk att enheter såsom IP-kameror kan bli äventyrade utan användarens vetskap och användas av av angripare för övervakning. Det finns även tillfällen då användares smartahem-lösningar blivit äventyrade och angripare fått tillgång till funktioner i hemmen. Ett par exempel på detta skriver Business Insider om, där bland annat ett par fått sitt Google nest system hackat vilket resulterade i att angriparen kunde styra deras termostat och tala till dem samt övervaka dem via deras kameror [18].

Charles Dardaman och INIT_6 har även utfört en laboration på Zipato Smarthubs [19]. De lyckades få åtkomst till systemet vilket resulterade i att de kunde låsa upp det smarta låset på ytterdörren.

Dessa exempel påvisar att det finns fler risker för privatpersoner gällande IoT- enheter än risken att en enhet används till en DDoS attack.

3. MIRAI BOTNET

Mirai botnet är ett exempel på hur osäkra IoT-enheter är ett problem i samhället.

Ett Mirai botnet kan bestå av hundratusentals IoT-enheter som blivit infekterade av Mirai malware. De infekterade enheterna skannar hela tiden efter andra känsliga IoT-enheter de kan sprida den skadliga koden vidare till [4].

3.1 HUR FUNGERAR ETT MIRAI BOTNET

Ett Mirai botnet skapas genom att Mirai malware skannar internet efter IoT- enheter. När en enhet hittats, testar Mirai en samling fabriksinställda användarnamn och lösenord. Lyckas Mirai med detta blir enheten värvad till botnet.

3.1.1 BOTNET

Ett botnet innebär en samling av infekterade enheter som kan styras av en person.

Ett botnet kan vara allt från ett fåtal enheter till flera hundratusentals. Genom att infektera enheter och värva dessa till ett botnet så behöver aktören endast skicka ut instruktioner till de infekterade enheterna och kan få en exponentiell ökning i

4

(12)

bandbredd när denne utför DDoS-attacker. En enhet i hemmet kan bli infekterad och värvad till ett botnet utan att användaren någonsin märker detta. Enheten ligger sedan i väntan på instruktioner och fungerar i övrigt som vanligt för användaren [9].

3.1.2 MIRAIS KÄLLKOD

Källkoden till Mirai är uppbyggd på en samling äldre kod som använts till att infektera enheter över internet [20]. Det som gör Mirais källkod intressant i detta arbete är sättet det arbetar på. Mirai riktar sig specifikt mot IoT enheter. Bild 1 visar de överrepresenterade enheter infekterade av Mirai.

Koden skannar internet efter IoT-enheter av specifika märken och modeller och testar sedan att logga in med hjälp av fabriksinställda användarnamn och lösenord.

Om användaren inte har ändrat dessa kriterier så loggar programmet in och installerar mjukvara som tillåter angriparen att använda enheten till olaglig aktivitet Bild 1: Fördelning av infekterade enheter

(13)

vid ett senare tillfälle. Enheten är därefter värvad till botnet och skannar nätverket efter fler IoT-enheter att infektera med Mirai [21].

3.2 ATTACKER

Den 19 september 2016 skedde den första kända attacken där Mirai botnet användes, se bild 2. Attacken riktades mot den franska molntjänstleverantören OVH. Bara tre dagar senare skedde en andra attack. Denna gång var målet krebsonsecurity.com, en blogg om internetsäkerhet. En vecka senare släppte de ansvariga för attackerna källkoden på internet vilket resulterade i flera dussin varianter av Mirai botnet [4][21].

I oktober 2016 utfördes en stor DDoS-attack mot DYN, en DNS-leverantör med flera stora företag som kunder. Attacken översteg 1 TBPs och är än idag den näst största kända DDoS-attacken i historien [22].

Gemensamt för dessa attacker var att de utnyttjade hundratusentals förslavade IoT-enheter varav majoriteten förslavats genom användande av fabriksinställda lösenord. Bild 3 visar hur antalet telnetskanningar utförda av Mirai ökade under de första dagarna i förhållande till telnetskanningar utförda av andra.

6 Bild 2: Mirais tidslinje

(14)

4. AKTUELLA ÅTGÄRDER

Den snabba konsumtionsökningen av IoT-enheter runt om i världen har fått nationer att öppna ögonen för de risker och problem som detta medför.

4.1 LAGÄNDRINGAR I VÄRLDEN

I Storbritannien diskuterades 2019 ett lagförslag för IoT-enheter [23]. Kärnan i detta lagförslag bestod av tre punkter för att stärka säkerheten i IoT-enheter:

 Lösenord i IoT-enheter måste vara unika och ej kunna återställas till fabriksinställning

 Tillverkare av IoT-enheter måste tillhandahålla kontaktmöjligheter som del av en policy för avslöjande av sårbarhet

 Tillverkare skall uttryckligen ange minsta tidsperiod som enheten får säkerhetsuppdateringar samt produktens livslängd

Bild 3: Ökning av telnetskanningar utfört av Mirai

(15)

Detta förslag följde den standard som ETSI, European Telecommunications Standards Institute, släppte i februari 2019. Technical Specification 103 645 är en global standard som specificerar att samtliga IoT-enheter ska ha unika lösenord som ej ska gå att återställa till fabriksinställning samt att tillverkare ska tillhandahålla kontaktmöjligheter som en del av en policy för avslöjande av sårbarhet [24].

“The potential benefits of the IoT will be achieved only if products and services are designed with trust, privacy and security built in, so consumers feel they are secure and safe to use. We are pleased to have contributed to a standard which focuses on the technical and organizational controls that matter most in addressing significant and widespread security-shortcomings. It should be a landmark specification for consumers and industry alike” enligt Stephen Russell, Generalsekreterare för ANEC.

I Kalifornien finns sedan första januari 2020 en lag för att skydda både IoT-enheter och den information som finns på dessa. Lagen specificerar att en enhet anses ha tillräcklig säkerhet om en av följande villkor uppfylls:

 Det förprogrammerade lösenordet är unikt för varje producerad enhet

 Enheten innehåller en säkerhetsfunktion som kräver att användaren skapar ny identifiering (användarnamn, lösenord) innan enheten får tas i bruk för första gången

Lagen definierar dessutom alla enheter eller andra fysiska objekt som direkt, eller indirekt, kan ansluta till internet och som använder sig av en IP-adress eller Bluetooth-adress. Detta innebär att det inte endast är konsumentenheter som lagen täcker utan även enheter inom industri, handel och sjukvård täcks av denna lag. Undantaget är enheter som innefattas av annan statlig lag [25][26].

Samtliga lagändringar ovan hänvisar till nyproducerade IoT-enheter och omfattar inte enheter som var i bruk före respektive lag.

4.2 TILLVERKARES ÅTGÄRDER

Det finns väldigt ont om information gällande vad tillverkare har gjort och för närvarande gör för att förbättra säkerheten i sina IoT-enheter. Frågor om detta skickades ut i samband med arbetet till ett par större tillverkare. De som blev förfrågade var LG, Samsung, Sony och Bosch. Ingen av de förfrågade tillverkarna svarade på frågorna.

8

(16)

4.3 TILLGÄNGLIGA ÅTGÄRDER FÖR PRIVATPERSONER

Lösningar som riktar sig mot privatpersoner som vill förbättra säkerheten till sina enheter är svårfunna. Få företag erbjuder riktad hjälp om nätverkssäkerhet, det som förknippas med säkerhet och internet landar oftast på hemlarm.

Internetsäkerhetsföretaget Norton har skrivit en artikel som kan hjälpa privatpersoner att förbättra sin nätverkssäkerhet hemma på egen hand [27], men erbjuder inte hjälpen som en tjänst.

5. UNDERSÖKNINGAR

I detta stycke redovisas metod för utformning av enkät och distributionssätt samt utformning av intervjufrågor till återförsäljare.

5.1 UNDERSÖKNING MOT PRIVATPERSONER

Metoden för undersökningen var en enkät med elva frågor i syfte att belysa privatpersoners kunskap, känsla av trygghet, samt tillit gällande säkerhet i IoT- enheter.

Frågorna till enkäten valdes för att få en så bred statistisk bild som möjligt. Enkäten delades upp i två delar. Första delen var en fråga gällande respondentens ålder och en fråga där respondenten blev testad i sin kännedom om vad begreppet IoT innefattar.

Efter att ha svarat på denna del kunde respondenten gå vidare till del två. I denna del lyftes frågor gällande typ och mängd av IoT-enheter i hemmet, trygghetskänslan gällande säkerheten i både IoT-enheter och i respondentens hemmanätverk, vilka steg respondenten vidtagit för att säkra sitt nätverk, samt vem respondenten anser vara ansvarig för att enheter hen köper är säkra och hur hen går tillväga för att säkerställa att de enheter hen köper har tillräcklig säkerhet.

Distributionen av denna enkät gick dels via utskick från Luleå tekniska universitet till studenter i Skellefteå, dels genom förmedling av enkät via TietoEVRY till deras personal samt delande av enkäten på Facebook.

(17)

5.2 UNDERSÖKNING MOT ÅTERFÖRSÄLJARE

Metoden för undersökningen mot återförsäljare bestod av besök hos återförsäljare med några korta frågor samt en enkät som skickades ut via e-post till de återförsäljare som ville förmedla denna vidare till sina medarbetare.

6. RESULTAT

I detta stycke redovisas resultat från enkät riktad till privatpersoner samt resultat från intervjuer av återförsäljare.

6.1 ENKÄTSVAR FRÅN PRIVATPERSONER

10

(18)

(19)

12

(20)

(21)

14

(22)

6.2 INTERVJUSVAR FRÅN ÅTERFÖRSÄLJARE

(23)

16

(24)

(25)

7. DISKUSSION

I detta stycke analyseras de resultat som undersökningen gett samt de slutsatser som författarna kommit fram till.

7.1 ANALYS AV RESULTAT - PRIVATPERSONER

Mångfalden bland respondenternas ålder ser bra fördelad ut. I utpekandet av IoT- enheter på fråga 2 ser vi att en majoritet har kryssat rätt på samtliga IoT-enheter.

Intressant är att Bluetooth högtalare i detta fall har blivit identifierat som IoT-enhet av 34.8% av respondenterna. Eftersom en Bluetooth-uppkopplad enhet inte har någon direkt koppling till internet så finns det inget som klassificerar den som en IoT-enhet. Detta tyder på en tendens att Bluetooth-uppkoppling har förknippats med IP protokollet. Samtidigt så kan vi se att det som ofta kallas “smarta enheter”

har en större svarsstatistik än datorer och mobiltelefoner.

Endast två respondenter (0,9%) svarande att de inte hade några IoT-enheter i sitt hem. Majoriteten på 38.3% har mellan 6-10 enheter i sitt hem. Detta tyder på att IoT-enheter är en del av vår vardag.

I frågan om hur trygga de känner sig gällande säkerheten i deras IoT-enheter så har en majoritet svarat tre på en skala ett till fem. Fördelningen har därefter en tydligt uppåtstigande tendens där de flesta känner sig över medel trygga i säkerheten i deras enheter. I frågan om hur trygga de känner sig gällande säkerheten i sitt hemnätverk så ser genomsnittliga tryggheten betydligt högre ut.

Detta tyder på att personer litar mer på sitt hemnätverk än den implementerade säkerheten i deras enheter, vilket innebär att de lägger sitt förtroende i sin router.

Som vi visat i vårt stycke om Mirai botnet så var routrar en stor del av den botnet armé som användes mot DYN. Detta beroende på fabriksinställda lösenord som aldrig ändrats och som lämnat routern känslig mot Mirai skriptet. Vidare på frågan om respondenten har vidtagit någon åtgärd för att säkra sitt hemnätverk så ser vi att hela 29,5% har svarat “Inga åtgärder”. Detta innebär att deras router fortfarande använder fabriksinställda lösenord.

I denna aspekt har mycket förtroende lagts på tillverkaren där konsumenten känner sig trygg med sin produkt men en viktigt säkerhetsåtgärd har missats. Detta är ett återkommande problem med IoT-enheter då fabriksinställda lösenord sällan har ett krav på att ändras vid uppstart av enheten. Vissa IoT-enheter levereras med slumpmässiga lösenord som är svårare att ta över med hjälp av ett skript som Mirai, dock finns även de tillverkare som använder samma kombination för alla enheter av samma modell. Dessa IoT-enheter skiljs inte åt på marknaden och som vi visat i vår undersökning av återförsäljare finns inte den kunskapen i butik heller.

18

(26)

I frågan om vem som bär ansvar för att säkerheten i enheter man köper är säkra, så har vi en betydande majoritet på 47,6 % som anser att tillverkaren bär det största ansvaret. Detta tyder än en gång på att man som konsument förlitar sig på att de IoT-enheter man köper har tillräcklig säkerhet inbyggd och kräver inte konfiguration av konsumenten. Vi har visat på att alla enheter på marknaden inte är säkra vid inköp och att hitta information om vilken säkerhetsimplementation olika enheter har kan vara svårt. I frågan om hur respondenten söker information på säkerheten i enheter de köper så svarar en majoritet på 52% att de söker information på nätet. Som vi visat i vår undersökning offentliggörs inte alltid enheters säkerhetsimplementationer. Eftersom det inte finns någon lag som specificerar en lägsta säkerhetsnivå i IoT-enheter så kan man inte förvänta sig att alla enheter man köper är säkra från fabrik.

7.2 ANALYS AV RESULTAT – ÅTERFÖRSÄLJARE

I arbetet besökte vi sju återförsäljare där vi bad om att få dela ut en enkät till samtliga medarbetare på arbetsplatsen. Samtliga sju återförsäljare delade med sig av mailadresser för detta ändamål, men endast sex personers svarade på våran online-enkät. Vi hade förväntat oss runt 50 svar från medarbetare på de olika arbetsplatserna, så resultaten från vår undersökning av återförsäljare ses som otillräcklig för att svara på de frågor som vi sökte. Detta medför att vi inte kan skapa en generell bild om vår frågeställning då vi ser mängden svar som otillräckliga.

7.3 VAD BÖR GÖRAS

Då tekniken går framåt och fler saker kopplas till internet behövs lagstiftning som riktar sig mot brott över internet.

Dataintrångslagen som vi tar upp i kapitel 2.2 har som avsikt att fälla de som otillåtet får tillgång till system och data över internet. Vi anser att denna lag är otillräcklig för de möjligheter som en angripare har idag.

I en digital värld där allt fler vardagsfunktioner underlättas med hjälp av digital uppkoppling för app-styrning så ökar även möjligheterna för all olaglig aktivitet. En del av dessa möjligheter beskrivs i kap 2.3. Detta höjer ett flertal frågor inom lagstiftning och hur mångfalden bland vardagliga brott kan förändras. Om ditt smarta hem blir äventyrat och angriparen övervakar dig genom dina egna säkerhetskameror, kan detta då rubriceras som hemfridsbrott? Om denna angripare väljer att låsa dina dörrar och stänga dig ute ur ditt eget hem, vad kan denne ha gjort sig skyldig till?

(27)

Lagen är bristfällig i denna aspekt då nätverksattacker oftast kopplas till angrepp mot företag i mål att stjäla pengar, information eller utföra utpressning. Vi måste vara förberedda på IT-brott i en bredare utsträckning.

I kap 4.1 talar vi om de lagändringar som sker i världen för att åtgärda säkerhetsbrister i IoT-enheter. Det förslag som vi ser som återkommande bland både lagändringar och i diskussioner om förbättringar är krav på att ändra fabriksinställda lösenord i enheter till slumpmässiga, eller sätta krav på konsumenten att ändra lösenord vid första uppstart. Detta bör vara ett krav på tillverkare då vi sett att fabriksinställda användarnamn och lösenord är det absolut enklaste sättet för en angripare att komma åt enheter. Mer arbete inom detta område krävs för att säkra upp internet och med tanke på den exponentiella ökningen vi talat om i kap 1 så bör dessa ändringar göras snart. I takt med att osäkra enheter kopplas upp mot internet så ökar cyber brottslingars möjligheter att utföra nätverksattacker.

Samtidigt som de lagändringar vi talat om i kap 4.1 följer de riktlinjer som vi förespråkar, så gäller de i samtliga fall endast för nyproducerade enheter. Det finns redan idag hundratusentals osäkra enheter på internet och vi har inte funnit någon hållbar lösning för att åtgärda dem. Detta lägger ett ansvar på konsumenter att se över sina egna enheter och försäkra sig att dessa inte kan äventyras på ett enkelt sätt av en angripare. Ett ansvar, som vi anser, inte kommer upprätthållas i stor grad.

7.4 IOT SOM BEGREPP

IoT används brett som begrepp inom IT-branschen, men bland konsumenter som inte har ett IT-intresse så är IoT inte ett allmänt känt begrepp.

Vi anser att begreppet IoT är för löst definierat. IoT är inte ett standardiserat begrepp med tydliga riktlinjer om vad som innefattas inom begreppet. Detta medför en problematik där IoT används för att hänvisa till olika enheter i olika sammanhang. Diskussioner kring säkerhet i IoT-enheter pågår inom både samhället och statsmyndigheter, trots detta så har inget fast beslut om vilka enheter som ingår i begreppet fastslagits. Vi anser att IoT som begrepp måste standardiseras av en oberoende internationell organisation.

20

(28)

8. REFERENSER

[1] “IoT Statistics and Trends to Know in 2020,” Tech Jobs, Oct. 08, 2019.

https://leftronic.com/internet-of-things-statistics/ (accessed May 20, 2020).

[2] “The Growth in Connected IoT Devices Is Expected to Generate 79.4ZB of Data in 2025, According to a New IDC Forecast,” IDC: The premier global market intelligence company. https://www.idc.com/getdoc.jsp?

containerId=prUS45213219 (accessed Jun. 01, 2020).

[3] “danielmiessler/SecLists,” GitHub. https://github.com/danielmiessler/SecLists (accessed May 21, 2020).

[4] “Mirai botnet — Krebs on Security.” https://krebsonsecurity.com/tag/mirai- botnet/ (accessed May 20, 2020).

[5] “Unsecured IoT: 8 Ways Hackers Exploit Firmware Vulnerabilities,” Dark Reading. https://www.darkreading.com/risk/unsecured-iot-8-ways-hackers- exploit-firmware-vulnerabilities/a/d-id/1335564 (accessed May 22, 2020).

[6] Redaktionen, “Över hälften av alla IoT-enheter sårbara för intrång,” IT-Kanalen, Mar. 16, 2020. https://it-kanalen.se/over-halften-av-alla-iot-enheter-sarbara-for- intrang/ (accessed May 20, 2020).

[7] “2018KS_Gloukhovtsev-

IoT_Security_Challenges_Solutions_and_Future_Prospects.pdf.” Accessed: May 22, 2020. [Online]. Available: https://education.dellemc.com/content/dam/dellemc/documents/en-us/2018KS_Gloukhovtsev-

IoT_Security_Challenges_Solutions_and_Future_Prospects.pdf.

[8] “IoT role in Dyn cyberattack.” https://www.kaspersky.com/blog/attack-on-dyn- explained/13325/ (accessed May 26, 2020).

[9] J. Fruhlinger, “The Mirai botnet explained: How IoT devices almost brought down the internet,” CSO Online, Mar. 09, 2018.

https://www.csoonline.com/article/3258748/the-mirai-botnet-explained-how- teen-scammers-and-cctv-cameras-almost-brought-down-the-internet.html (accessed May 25, 2020).

[10] ipvideomarket, “IP Cameras Default Passwords Directory,” IPVM, 33:48 500.

https://ipvm.com/reports/ip-cameras-default-passwords-directory (accessed May 26, 2020).

[11] “It-relaterade brott | Polismyndigheten,” polisen.se.

https://polisen.se/link/3d78c588b9d74348999fb80cad27d9ea (accessed Jun. 04, 2020).

[12] Riksdagsförvaltningen, “Brottsbalk (1962:700) Svensk författningssamling 1962:1962:700 t.o.m. SFS 2020:373 - Riksdagen.”

https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-

(29)

forfattningssamling/brottsbalk-1962700_sfs-1962-700#K4 (accessed Jun. 04, 2020).

[13] “Utvärdering av IPRED-lagstiftningen | lagen.nu.”

https://lagen.nu/sou/2012:51 (accessed Jun. 04, 2020).

[14] M. Burgess, “Smart dildos and vibrators keep getting hacked – but Tor could be the answer to safer connected sex,” Wired UK, Feb. 03, 2018.

[15] “Is It Assault If Your Sex Toys Are Hacked?,” 10 daily, Aug. 27, 2019.

https://10daily.com.au/views/a190822evkwl/is-it-assault-if-your-sex-toys-are- hacked-20190827 (accessed May 27, 2020).

[16] “Brottsbalk (1962:700).” https://www.lagboken.se/Lagboken/lagar-och- forordningar/lagar-och-forordningar/rattsvasende/Brott-och-brottsutredning/

Straffbestammelser/Gallande/d_903-brottsbalk-1962_700?search=sexuellt

%20ofredande#K6 (accessed May 27, 2020).

[17] “Insecure Home IoT Devices a Clear and Present Danger to Corporate Security,” Dark Reading. https://www.darkreading.com/iot/insecure-home-iot- devices-a-clear-and-present-danger-to-corporate-security/d/d-id/1335002 (accessed May 26, 2020).

[18] H. Peterson, “Wisconsin couple describe the chilling moment that a hacker cranked up their heat and started talking to them through a Google Nest camera in their kitchen,” Business Insider. https://www.businessinsider.com/hacker- breaks-into-smart-home-google-nest-devices-terrorizes-couple-2019-9 (accessed Jun. 01, 2020).

[19] “Breaking & Entering with Zipato SmartHubs,” BlackMarble, Jul. 02, 2019.

https://blackmarble.sh/zipato-smart-hub/ (accessed Jun. 01, 2020).

[20] “Who is Anna-Senpai, the Mirai Worm Author? — Krebs on Security.”

https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/

(accessed May 25, 2020).

[21] E. Bursztein, “Inside Mirai the infamous IoT Botnet: A Retrospective Analysis,”

Elie Bursztein’s site. https://www.elie.net/blog/security/inside-mirai-the- infamous-iot-botnet-a-retrospective-analysis (accessed May 26, 2020).

[22] “Famous DDoS Attacks,” Cloudflare.

https://www.cloudflare.com/learning/ddos/famous-ddos-attacks/ (accessed May 22, 2020).

[23] “Plans announced to introduce new laws for internet connected devices,”

GOV.UK. https://www.gov.uk/government/news/plans-announced-to-introduce- new-laws-for-internet-connected-devices (accessed May 26, 2020).

[24] E. C. TEAM, “ETSI - ETSI releases first globally applicable standard for consumer IoT security,” ETSI.

https://www.etsi.org/newsroom/press-releases/1549-2019-02-etsi-releases-first- globally-applicable-standard-for-consumer-iot-security (accessed May 26, 2020).

22

(30)

[25] “California to Regulate Security of IoT Devices.”

https://www.jonesday.com/en/insights/2018/10/california-to-regulate-security-of- iot-devices (accessed May 27, 2020).

[26] “California IoT Security Law Cheat Sheet,” JD Supra.

https://www.jdsupra.com/legalnews/california-iot-security-law-cheat-sheet- 75568/ (accessed May 27, 2020).

[27] “12 tips to secure your smart home and IoT devices.”

https://us.norton.com/internetsecurity-iot-smart-home-security-core.html (accessed May 27, 2020).