Hacking av smarte hus

IHus med en jublende bygningsarbeider i front forrige uke gikk konferansen Fremtidens smarte bygg av stabelen i regi av Norsk Forening for Automatisering. I den anledning hadde jeg gleden av å gi de oppmøtte en liten innføring i noen av de sikkerhetsproblemene som følger med på lasset når husene blir stadig smartere. Her skal du få en liten smakebit av det som ble delt der.

Først må det innrømmes at tittelen er av det tabloide slaget, så jeg må herved advare om at du ikke kommer til å få noen oppskrift på hvordan du skal «hacke» smarte hus. Det vi derimot kan ta en kort titt på er at mange av de dingsene som markedsføres inn mot ditt hjem ikke nødvendigvis har den sikkerheten du skulle ønske.

Blant eksemplene som ble trukket frem var alarmsystemer som ikke varslet om innbrudd om innbruddstyven gjorde veldig enkle grep for å hindre å bli oppdaget og at selv noe så enkelt som en termostat kan medføre sterkt uønskede konsekvenser for beboere om ikke sikkerheten er adekvat ivaretatt.

Et annet moment er at enkle og billige løsninger fra produsenter som ikke nødvendigvis har tenkt på sikkerhet, vil kunne benytte til å angripe andre «viktigere» og bedre beskyttede systemer via disse enhetene. Når man først får satt opp teltet sitt og rullet ut soveposen i f.eks. en termostat, er det lite fare for at eieren vil komme til å oppdatere systemet (om produsenten i det hele tatt vedlikeholder det) eller beskytte det på noen aktiv måte. Om man da først får tilgang, vil man følgelig ha tilgang i lang tid.

Så har man momentet med å ivareta primærfunksjonen for det man digitaliserer. Ting som f.eks. smarte dørlåser kan være praktisk – og jeg er blitt fortalt at det finnes et element av skrytefaktor. Fra de første dørlåsene har vi hatt en utvikling (stort sett) i retning av at låsene blir sikrere og vanskeligere å åpne for uvedkommende. Dessverre ser det ut til at flere produsenter av såkalte smarte dørlåser enten ikke har tilstrekkelig sikkerhetskompetanse eller at de fokuserer mer på andre funksjoner ved låsene, slik at man i praksis har en redusert sikkerhet kontra de analoge dørlåsene. Det er her viktig å bemerke at dette ikke gjelder alle produsenter.

De oppmøtte ble, i tråd med vår tradisjon og overbevisning, oppfordret til å:

  • Alltid vurdere risikoen ved å koble nye enheter og løsninger på sine systemer og nett
  • Etterspørre og forvente god sikkerhet fra sine leverandører, men alltid verifiserer at sikkerheten stemmer overens med det som blir lovet
  • Innhente spesialkompetanse på sikkerhet der dette behøves, siden ingen av oss kan være spesialister på alt