När robotdammsugaren spionerar på dig

TEMA En mänskligare stad

Studenter vid KTH har bland annat lyckats hacka robotdammsugare och elscootrar. Foto: Peter Ardell

NYHET

Publicerad 2019-04-23

Morgondagens stad är grön och skön, men vilken datatjuv står först i kön? När framtidens städer nu börjar ta form är det tekniken som befinner sig i fokus. Den stora frågan är hur säkra vi kan känna oss i våra hem och bilar när robotdammsugaren kapas för att spionera på oss, dockorna kan börja prata med våra barn och bilen tas över av hackare. KTH-forskaren Robert Lagerström jobbar med att förhindra detta.

– Alla förslag om hur vi ska nå hållbarhetsmål och minskad energiförbrukning bygger på digitala lösningar. Sakernas internet och datormolnet möjliggör framtidsstaden. Få människor pratar om it-säkerhet. Vi kan läsa om olika attacker dagligen kring hackade vardagsprylar. I framtiden när sakernas internet breder ut sig och ännu fler prylar är uppkopplade kommer vi ligga risigt till om vi inte har säkerhet i åtanke.

Robert Lagerström vet. Han har arbetat med it-säkerhet i över tio år på olika nivåer och i flera branscher.

Robert Lagerström, forskare inom it-säkerhet vid KTH. Foto: Peter Ardell.

Varför har inte it-säkerheten prioriterats? Fenomenet med hackare har funnits i många decennier. Robert Lagerström berättar att problemet inte gäller exakt alla företag och branscher. Banker har till exempel nått en viss mognad på området.

– Det handlar om branscher som kommit igång sent med säkerhetsarbetet och som nu ska koppla upp sig mot internet. Energibolag och deras elnät är ett sådant verksamhetsområde. 

Till och med bilar hackas

Det handlar också om företag som utvecklar teknik som ingår i sakernas internet. Här återfinns elektroniska dörrlås, donglar som man kopplar in i bilar för att av olika skäl hämta ut data från fordonets dator, robotdammsugare och leksaker.

– Det finns klipp på Youtube där hackare tar över en modern bil av märket Jeep. De kan styra, gasa, stänga av bilen och reglera andra funktioner med hjälp av en inkopplad dongel. Det som är läskigt är att företagen har så bråttom ut på marknaden med sin grejer. Dessa byggs i lab där de fungerar, det är inte säkerheten ute i verkligheten som befinner sig i fokus. Snarare är det kostnad och funktionalitet som är viktigast.

Robert Lagerström berättar att det inte alltid är den tekniska prylen i sig som är problemet. Att den saknar tillräcklig säkerhet kan vara harmlöst. Det är när hackare använder sig av prylen för att nå annan teknik som problem uppstår. Visionen med sakernas internet är att alla prylar ska vara uppkopplade mot varandra.

– Bristerna återfinns i detaljerna. Man måste ner på prylnivå för att hitta dem, annars är risken stor att konsekvenserna blir mycket större än att bara prylen i sig hackas. Tänk dig solpaneler sammankopplade med energibolagets elnät. Risken för ett mardrömsscenario är överhängande.

Här är robotdammsugaren som KTH-studenterna lyckats hacka.

Patiensjournal grund för utpressning

Det finns fler exempel. För ett tag sedan var det någon eller några som hackade en ultraljudsmaskin på ett högteknologiskt sjukhus. Därmed fick hackarna tillgång till nätverket och patientjournaler. Data som idag har ett stort värde på den svarta marknaden och kan användas för att utpressa människor. Att kartlägga en person kan också användas till fler saken än bara utpressning. Informationen kan användas för högst personligt utformat nätfiske där människor luras att ge ut exempelvis bankuppgifter. Helt enkelt få dem att klicka på en webblänk.

– Många robotdammsugare är numera utrustade med kameror, och ibland uppkopplade på hemmanätverket. De skulle, efter att de har hackats, kunna filma dig i privata situationer. Ett annat exempel är den uppkopplade Barbiedockan. Barn kan prata med dockan, precis som med Siri i en Iphone. Dockan kan alltså föra en konversation med ditt barn. Vad händer om hackare tar över dockan?

Det är inte bara it-säkerheten i sig som är en utmaning. 

– Om en uppkopplad pryl hemma hos dig hackas och möjliggör en attack mot energibolaget för att den ingår i en komplex kedja som hänger ihop, vem är då ansvarig? Du? Elleverantören? Bredbandsbolaget? Den som tillverkat prylen? Vem ska se till att uppkopplade enheter som ingår i sakernas internet är säkra i det stora systemet av system?

Hur bråttom är det att komma till rätta med it-säkerheten?

– Det är en akut fråga. Företag måste ha tid på sig att ställa om för att kunna jobba rätt.

Text: Peter Ardell

För mer information, kontakta Robert Lagerström på 073 - 67 67 257 eller robertl@kth.se.

Faktaruta

  • Det är inte alltid det är framgångrikt att ikläda sig den vita hatten  och uppvakta företag med säkerhetsbrister. "Det finns gott om leverantörer som hotat med stämningar när människor påpekat säkerhetsbrister i deras produkter. I bästa fall möts den välvällige av budskapet att leverantören inte avser göra något åt säkerhetsluckan", säger Robert Lagerström.

  • Att nå en bil via en dongel som tillverkats av ett mindre noggräknat företag är ett sätt att utnyttja säkerhetsbrister. På senare tid har hackare lyckats framgångrikt med det omvända. Att hacka en Tesla för att nå kringutrustningen, i detta fall datormolnet.
  • Här är videoklippet när en JEEP hackas .
  • Robert Lagerströms forskning sker inom ramen för gigantiska Viable Citites, ett tolvårsprojekt om framtidens städer med en budget om nästan en miljard kronor. Han leder ett forskningsprojekt med syfte att göra morgondagens digitala städer inbrottssäkra när det kommer till it-tjuvar och databanditer.
  • TV4 gjorde nyligen ett inslag om KTH-studenter som lyckas hacka en robotdammsugare. Du kan se det här .