– Google og Facebook vil utvikle sikkerhetsløsninger tilpasset sine behov. Det vil blant annet gå ut over personvernet, sier professor Geir Køien ved Universitetet i Agder.
Løsningen er å lage et system som tar hensyn til personvernet og samtidig lar mikroprosessoren oppdatere sikkerhetsinnstillingene sine uten at brukerne trenger å gjøre noe. Køien publiserte tidligere i år en studie der han beskriver ulike funksjoner og metoder for å gjøre nettopp dette.
Han påpeker at det ikke dreier seg om sikkerheten i mobiltelefoner og datamaskiner, den biten er langt på vei løst. Men det gjenstår å lage sikre systemer for alle andre elektriske apparater som gjerne er knyttet opp mot mobiltelefonen, som igjen er tilknyttet Internett.
Eksempler er alle typer smartløsninger i kjøleskap, fjernkontroller for lys, radioer, TV og andre elektriske dingser med innebygd mikroprosessor.
Tingenes internett
Elektriske apparater med mikroprosessorer blir nå kalt Internet of Things (IoT).
De fleste har i dag både smarttelefon, smartkjøleskap, smart-TV, smartstrøm og mye annet smart med mikroprosessorer som er knyttet opp mot Internett. Men disse produktene blir ofte levert med til dels svært dårlige sikkerhetssystemer, ifølge Køien. Systemene blir utdatert etter ganske kort tid og har ofte dårlige prosedyrer for oppdatering.
Alle disse dingsene inneholder sensorer og rapporterer forskjellig informasjon: Kjøleskapet rapporterer om temperatur, smartklokka om pulsen din og telefon og skritt-teller om hvor du er.
Sikkerhetssystemene kan derfor bli brukt til å overvåke den enkelte. Hovedproblemet er ifølge Køien at systemene på dagens duppeditter ikke er sikre nok. Derfor er de utsatt for hacking der uvedkommende kan lese av dine private data.
Oppdatering uten sporing
Køiens løsning er et sikkerhetssystem som blir automatisk oppdatert uten at brukeren kan spores unødvendig. Systemet må vite hvor du er lokalt, men informasjonen formidles ikke videre til de sentrale delene av systemet.
– Eksempelvis kan Samsung sentralt levere nye sikkerhetsoppdateringer, uten at de sporer deg der du er i en by i Norge, sier Køien.
Sporing og overvåking av den enkelte foregår på mange måter. Ofte er den knyttet til lovlig bruk, som for eksempel betaling via NFC (Near Gield Communications) og andre betalingsløsninger via telefon og kort i butikk. Slike betalingssystemer registrerer identiteten din via konto, sted, tidspunkt, mottakerkonto og sum.
– Så lenge informasjonen bare brukes som avtalt og ingen andre får se dem, er dette stort sett greit. Men i praksis er det vanskelig for den enkelte å vite hvordan dataene brukes og det er ofte vanskelig å vite hva avtalen om bruk egentlig innebærer, sier Køien.
Målet hans er å bidra til at systemene blir bedre sikret mot uvedkommende og å unngå at hjelpemidlene våre blir brukt mot oss og til å spionere ulovlig på oss.
– Her kan vi lett bli paranoide, men disse duppedittene må bli bedre og mindre sårbare om de skal bli til å stole på, sier Køien.
Stjeler identiteter
Køien viser til tilfeller der kjøleskap er hacket og IP-adressen brukt til å sende spam fra. Da er du i realiteten frastjålet identiteten din. Den typen hacking kan gjennomføres i alle ting som har mikroprosessor knyttet opp mot Internett.
Noen ting er mer utsatt enn andre. De mest vanlige dingsene vil lettere bli et mål enn de som er mer sjeldne. Kostbare ting kan framstå som mer attraktive mål for hackere. Det samme kan også personvernsensitive data.
De tingene som alltid er knyttet direkte mot Internett, uten noen beskyttende sikkerhetssystem foran, er mer eksponert for angrep. Det samme gjelder de som er enkle å programmere.
– Vi må få en europeisk standard for sikkerhetsoppdatering på plass så fort som mulig. Jo lenger vi venter med det, jo mer øker sjansen for at Google og Facebook lager en standard som bare er tilpasset dem selv, uten å ta hensyn til personvernet, sier Køien.
Køien presenterte sine ideer om sikkerhetssystemer på den internasjonale Securware-konferansen i Frankrike i juni, og presentasjonen ble kåret til konferansens «Best Paper».
Referanse
Geir Køien: Security Update and Incident Handling for IoT-devices; A Privacy-Aware Approach. Think Mind. 2016. ISBN: 978-1-61208-493-0