3. DEFINITION
“En föreslagen utveckling av Internet, där
vardagsföremål har nätverksanslutning, så att de kan
skicka och ta emot data.”
- Oxford Dictionary
”Gränssnittet mellan den fysiska och digitala världen som
gör att man kan samla in information från- samt
kontrollera vardagsföremål.”
- ”Någon som sa det bättre ”
4. INTERNET OF THINGS ?
1 + 1 = 5
• Nätverk
• Applikation
• Enhet
• Moln
• Internet of Things
Fler IoT enheter = Ökad attackvektor =
Ökad attackyta
Personlig information färdas genom alla
lager
5. VÄXANDE OMRÅDE
• Gartner tror att antalet enheter 2015 når:
• ~ 4,9 000 000 000 enheter
• År 2020 beräknar Gartner att det kan finnas så
mycket som:
• ~ 25 000 000 000 enheter
• http://www.gartner.com/newsroom/id/2905717
• Cisco tror på ~ 15 000 000 000 enheter 2015…
• …och ~ 50 000 000 000 enheter år 2020!!!
• http://blogs.cisco.com/news/cisco-connections-counter
6. PROBLEMEN
• Gamla system
• Bortglömda ingångar till systemet (MODEM)
• Gammal mjukvara (kända sårbarheter)
• Osäker konfiguration
• Kända användarnamn/lösenord
• Nya System
• Time To Market
• Storlek och funktionalitet
• Ska vara billigt
• Väldigt komplext
7. UPPHANDLING
• Missar i kravställning rörande säkerhet
• ”Ej IT system”
• IT endast en liten del
• Svårt att kravställa ”rätt” säkerhet
• Inga krav = ingen säkerhet
• Fel krav = ingen eller låg säkerhet
• För höga krav = dyrt
• Många inblandade
• Komplext
• Kräver samarbete
8. OT - ”EJ IT SYSTEM”
• Har tidigare klassats som drift
• IT säkerhetskraven gäller inte
• Security vs Safety
• Safety – övervakar tillstånd i system
• Security – övervakar förändringar i system
• Olika standarder ISO 27000 vs ISO13849
• Problem uppstår när..
• ..kopplas mot Kontorsnätverk
• ..kopplas mot Internet
Har inget med IT
att göra
Rör inte mitt
drift system
10. ICS-ANGREPP
• Worldwide SCADA attacks increase:
• 91,676 in January 2012
• 163,228 in January 2013
• 675,186 in January 2014
• Inget rapporteringskrav vid intrång.
https://software.dell.com/docs/2015-dell-security-
annual-threat-report-white-paper-15657.pdf
11. IOT-ANGREPP
• Dåligt med rapporter än så länge
• Attacker mot hushållsprodukter ökar
• Thingbots attackerar kylskåp, brödrostar
mm
• Proofpoint rapporterade
• Thingbots skickade 750 000 phishing och
Spam (2013)
• ~100 000 enheter deltog i botnätet
http://investors.proofpoint.com/releasedetail.cfm?releaseid=819799
12. MALWARE
• SCADA
• Stuxnet – Mask
• Havex/Dragonfly – Remote Access Trojan
för ICS
• Black energy – APT Malware riktat mot ICS
• Övriga Internet of Things
• Thingbots
• Mayday – DDoS / Bakdörr
• SSHB – Enkel bakdörr
• DARLLOZ – Mask. Attackerar bl a
säkerhetskameror
13. BIOGASPUMPAR
• Kopplade mot internet
• Admin gränssnittet tillgängligt
• S7comm gränssnittet tillgängligt
• Användarnamn och lösenord i HTML källkoden
/*the following code checkes whether the entered userid and password
are matching*/
if(form.userid.value == "aga" && form.pswrd.value == "1234")
{
window.open('index2.html')/*opens the target page while Id &
password matches*/
}
http://www.nixon-security.se/advisories
14. TRAFIKLJUS
• Inspirerad av filmer ville Cesar
testa att hacka trafikljus
• “Regarding one of the
vulnerabilities, the vendor said
that the devices were designed
that way on purpose”
• “Regarding another vulnerability,
the vendor said that it's already
fixed on newer versions. But, you
need to get a new device and
replace the old”
http://blog.ioactive.com/2014/04/hacking-us-and-uk-
australia-france-etc.html
15. BABY MONITOR
Rapid 7 rapport
• Barnövervakningsutrustning är det
mest personliga man kan tänka sig
• Många jobbar hemifrån när de har
småbarn
• “The web site ibabycloud.com has
a vulnerability by which any
authenticated user to the
ibabycloud.com service is able to
view camera details for any other
user, including video recording
details, due to a direct object
reference vulnerability. ”
https://www.rapid7.com/resources/iot/index.jsp
16. LÖSNINGEN?!?
Det finns inte någon patentlösning som funkar
för allt
• Förstå de olika attackytorna
• Undvik de vanligaste misstagen under
utveckling
• Testa varje yta för de största svagheterna
• Använd teknologin på ett säkert sätt
• OWASP – IoT Top Ten Project
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project#tab=Main
17. FRAMTIDEN
• Område på uppgång
• Finns stora problemområden
• Säkerhetsinitiativ på gång
• Fokus på IT-säkerhet
• “Dela upp elefanten”
• IoT är inte ETT system