Forskare har visat hur hackare enkelt kan ta kontroll över alla lampor i en stad. Björn Söland, expert på sakernas internet (internet of things, IoT) på identitets- och säkerhetsföretaget Nexus Group, förklarar hur forskarna lyckades göra fabriksåterställningar på distans och trådlöst ladda upp skadliga uppdateringar till lamporna.
För ett par dagar sedan landade ett dokument på mitt skrivbord: ”IoT Goes Nuclear: Creating a ZigBee Chain Reaction.” I dokumentet beskriver forskare hur IoT-enheter kan infektera varandra med skadlig programvara som kan sprida sig explosionsartat över ett stort område i vad som kan liknas vid en nukleär kedjereaktion, förutsatt att densiteten av kompatibla IoT-enheter ligger över en viss kritisk massa.
Forskarna använde den populära smartlampan Philips Hue i sitt experiment. De insåg att en attack kan påbörjas genom att koppla in en enda infekterad lampa någonstans i staden. Sedan kan den skadliga programvaran spridas över hela staden på bara ett par minuter, och göra det möjligt för angriparen att exempelvis slå på eller av alla lampor, förstöra dem permanent, eller utnyttja dem för en massiv samordnad överbelastningsattack (distributed denial of service, DDoS, attack).
Den skadliga programvaran sprids genom att hoppa direkt från en lampa och till dess grannar, endast med hjälp av deras inbyggda, trådlösa ZigBee-anslutning (en populär sensornätverksteknik som vardagsprylar använder för att ansluta till varandra) och deras fysiska närhet.
Något som gör det här experimentet ännu mer intressant är att forskarna även gjorde en spektakulär science fiction-lik YouTube-video som visar en fjärrstyrd drönare som flyger nära en byggnad och kapar alla dess lampor. Forskarna tvingade lamporna att sända ut SOS-signaler – hur coolt är det? Och hur oroande?
Genom att gräva djupare i dokumentet fann jag att attacken baserades på en stor bugg i Philips Hue-lamporna. Vilken ZigBee-sändare som helst kan initiera en procedur för fabriksinställning, vilket frikopplar lampor från deras styrenhet, och det här ska bara vara möjligt att göra på ett par centimeters avstånd – men buggen gjorde det möjligt att göra en fabriksåterställning från ett avstånd på 400 meter.
En drönare som flyger över en stad och framtvingar fram fabriksåterställning av miljoner lampor är så klart otrevligt och tidskrävande att åtgärda, men konsekvenserna är förmodligen inte katastrofala. Så forskarna började leta efter något mer, och upptäckte att alla lamporna använde samma hemlighet (nyckel) för att berättiga uppladdning av mjukvaruuppdateringar! Det här är verkligen ett ”en ring för att styra dem alla”-scenario.
På bara ett par dagar, med hjälp av utrustning som kostade ett par tusenlappar, kunde forskarna ta reda på de hemliga värden som krävdes för att ta fram ny firmware och ladda upp den till vilken Philips Hue-lampa som helst.
När forskarna nu hade möjlighet att göra fabriksåterställningar på distans och kryptera, signera och ladda upp skadliga uppdateringar trådlöst, så hade de allt som behövdes för att genomföra en attack med allvarliga konsekvenser för Philips och dess kunder. Det är även värt att nämna att allt det här sker i sensornätverket – utom räckhåll för vanliga nätverkskontroller och utan den traditionella nätverkssegmentering som kan begränsa spridningen av en infektion.
Lärdomar
Det finns en rad lärdomar att ta med sig från det här, men det är framför allt en av dem som jag vill framhålla: att basera en produkts säkerhet på en hemlighet som är densamma för alla instanser av produkten är alltid en DÅLIG idé. Att fundera ut vilken den här delade hemligheten är kanske inte är enkelt, men när det väl är gjort är belöningen för hackaren enorm.
Ett sätt för att göra det svårare för angripare är att använda olika nycklar för varje enhet. Då blir belöningen för en ta reda på en nyckel åtkomst till en enhet – inte flera miljoner.
Här på Nexus möter vi kunder som är medvetna om riskerna med IoT. Och med hjälp av våra kunder, standardiseringsorganisationer (exempelvis Internet Engineering Task Force, IETF) och forskningsorganisationer (exempelvis The Swedish Institute of Computer Science, SICS) arbetar vi för att höja ribban dramatiskt för förödande attacker. Vi tror helhjärtat att det bästa sättet att göra det här på är att anpassa befintlig säkerhetsteknik, som public key infrastructure (PKI) och stark autentisering, för att passa även sensornätverk.
Att inte göra något för att förbättra IoT-säkerheten är inte ett alternativ.
Bjørn Søland, expert på sakernas internet (internet of things, IoT) på Nexus Group.