Jag har tjatat om detta ett antal gånger. Faktum är att ett av de första poddavsnitten handlade till stor del om attackerande brödrostar och annat iot-skräp. Och jag har nuddat vid ämnet här i bloggen ett antal gånger förut, så det är inget nytt. Och jag är långt ifrån ensam att klaga på iOT-enheter. Det verkar dock inte hjälpa särskilt mycket. Vi sitter i ett läge där det tjatas om att hålla allt säkert och med andra handen öser vi in möjligheten att koppla upp allt och överallt.

Jag har en radio hemma som jag lyssnar på. Den är internetuppkopplad och jag upptäckte snabbt att man kunde gå in på apparatens kontrollpanel via en webbläsare och ställa om inställningar och även ladda upp filer direkt till dess firmware. Alltså. Om jag sitter på samma nät som den, är den helt vidöppen. Inget lösenord och ingen kryptering. Jag skulle våga påstå att detta troligen är rätt vanligt på många enheter som vi gladeligen kopplar in på nätet.

Chromecast-donglar sitter ofta på företagsnät för att låta anställda visa saker på skärmar i konferensrum. Dessa enheter sitter då ofta på samma nät som resten av personalen.

Sen är det Raspberry pi-enheter som används för att generera statistik på skärmar. Dessa kan säkras rätt bra, men är det någon som ser till att övervaka, säkra, patcha och hantera dem eller sitter de bara där och kör år efter år länge efter att operativsystemet har slutat supporteras?

För några månader sedan köpte jag en ny tvättmaskin. En inbyggd WIFI-enhet som gjorde att man kunde koppla in den på nätet var ett krav för mig när jag letade efter en lämplig modell: alltså att den INTE hade någon sådan. Hade det gått att koppla in den, hade jag inte köpt den. Och jag struntar i om den inte kan koppla upp sig innan man konfigurerat den att göra så. Att den finns är illa nog.

Alla enheter som kan kopplas upp har normalt CPU, minne och lagring. Precis vad man behöver som hackare. En sådan enhet kan tas över för att sedan användas för att göra en lateral förflyttning eller som det också kallas att ”pivotera”. Detta innebär att man använder enheten som en bas för att attackera andra enheter på samma eller närliggande nät.

Förr var det skrivarna som var ”skomakarens barn”, nu har vi istället arméer av illa skötta enheter som kopplas in bara för att. Sen är det en myriad av appar som används för att styra dem och som också kan ställa till med problem.

Tidigare funderingar av mig på ämnet:

• Enheterna får sitta kvar i all evighet.
• De läcker information.
• De är inte byggda för att stå emot attacker.
• De slutar vara säkra när tillverkaren lägger ner produkten.
• Eftersom de normalt inte utvecklas blir deras säkerhet värdelös.
• Sa jag att de slutar vara säkra när de läggs ner? Jepp! En core!

SNÄLLA – SLUTA KOPPLA IN SKRÄP PÅ NÄTET!!!! Vi har redan tillräckligt av detta mög som det är och det blir bara värre. –Erik