Robert Lagerström berättar om KTH:s nya metod för ökad IT-säkerhet.
Fastighetsbranschens digitalisering skapar många säkerhetsproblem. Men KTH håller på att ta fram en metod för att hitta bristerna innan hackarna gör det.
I takt med digitaliseringen ökar sårbarheten för cyberangrepp. Digitala lås, smarta hem med IoT-prylar (Internet of Things) och mjukvaror i datorer har ofta säkerhetsbrister.
Om inte bara ett utan flera bolag kopplar ihop sina system och mjukvaror med våra smarta hem blir bilden ännu mer komplex och extremt svår att hantera säkerhetsmässigt.
För att upptäcka och åtgärda brister i säkerheten har KTH tagit fram en modell för hotmodellering och attacksimulering. Robert Lagerström, docent i systemarkitektur och IT-säkerhet på KTH, berättade om detta på HBV-träffen ”Hållbara dagar” den 9 mars.
Studenter testar mjukvara
KTH har en kurs i hackning där studenterna får lära sig hur de ska hacka och tänka för att göra system säkrare. De får bland annat köpa uppkopplade prylar och försöka hacka dem. Av prylarna som studenterna köpte in förra året lyckades de knäcka oväntat många.
Robert Lagerström berättade att studenterna bland annat hackade en robot-dammsugare med videokamera och styrde den så att den kunde användas för att filma och spionera på dig i ditt hem. Även flera smarta digitala lås gick att hacka.
– Det finns databaser som är öppna på nätet och där sådana här sårbarheter publiceras. Så när vi till exempel har hackat en dammsugare berättar vi för tillverkaren vad vi har gjort. Sen inleder vi en dialog med dem så att de kan fixa problemet, om det inte görs inom rimlig tid, ofta 90 dagar, berättar vi för allmänheten om säkerhetsluckan, sa Robert Lagerström.
Bottar söker sårbarheter
För att se hur många som försöker ta över IoT-prylar gjorde KTH en så kallad ”honeypot-studie” och kopplade upp några prylar utan tillräckliga säkerhetsfunktioner. På fem dagar var det i vissa fall upp till 23 000 försök att koppla upp sig mot dessa.
– Det är bottar, det vill säga datorprogram som utför automatiska uppgifter, som bara ligger och skannar och försöker koppla upp sig mot de här prylarna. Det som händer när de hittar någon pryl som är helt öppen är antingen att de installerar skadliga program så att de senare kan försöka utnyttja det, eller så skickar de ett meddelande till en hackare och säger ”hej, jag hittade något intressant här”.
Två enkla lösningar
KTH testade två ganska enkla säkerhetsmekanismer. Den ena innebar att om någon försöker att logga in mer än två gånger inom 24 timmar så får de inte försöka igen. Den andra innebar att alla som inte befann sig i ett visst geografiskt område inte fick tillgång till prylen.
– Det gjorde jättestor skillnad. Det är två väldigt enkla och billiga saker som man kan göra, men som företag ändå inte använder, sa Robert Lagerström.
Han berättade också att KTH håller på att ta fram en modell för attacksimulering som snabbt kan hitta säkerhetsbrister i en smart fastighet. Denna forskning ingår i Viable Cities-projektet och görs tillsammans med Foreseeti, Stena Fastigheter, Coor och JM.
Attacksimulering
– I stället för att låta en student hacka varje pryl, vilket tar tid och ger ganska begränsad information, så försöker vi skapa modeller där vi i stället kan simulera 100 000 attacker på en gång på ett mycket större system.
Målet är att bygga en virtuell tvilling av fastigheten där attacksimuleringen kan göras.
– Då kan vi berätta att här, här och här har ni missat att införa rätt skydd, vilket innebär att en attackerare kan ta sig från punkt A till B på en viss tid. Sen kan man använda det som beslutsunderlag till var man vill säkra upp sina fastigheter.
Så kan modellen användas
Robert Lagerström jämförde modellen med ett CAD-verktyg som ingenjörer använder för att till exempel bygga hållfasta broar. Den nya modellen ska gå att använda för att i förväg räkna ut hur man kan bygga smarta fastigheter.
– Vi måste ju kunna fatta beslut innan vi har byggt systemet om vad som är bra och vad som inte är det. Vi bygger upp en modell, en IT-arkitektur. Sen simulerar vi attacker för att titta hur en attackerare kan ta sig från ett ställe till ett annat i den här givna arkitekturen, det vill säga IT-modellen. Utifrån det kan vi sedan ge ett riskbaserat-underlag, så att man kan fatta beslut innan man bygger sitt system.
Omöjligt att göra själv
Ett fastighetsbolag eller en smart fastighet kan ha 100 000 noder, det vill säga knutpunkter, som en attackerare kan hoppa vidare från.
– Det här kan ingen människa själv sitta och försöka rita upp eller resonera kring. Det tror många företag idag. De har anställda som ska sitta och göra det här för hand. Jag säger att det är helt omöjligt. Därför behöver det här vara datorbaserat, sa Robert Lagerström.
Räknar ut sannolikheten
Det nya CAD-verktyget innehåller information om vilka attacker som är möjliga, hur man kan försvara sig och hur allt hänger ihop.
Verktyget räknar också ut hur stor sannolikheten är för att drabbas av en attack om det till exempel finns en brandvägg, krypterad data eller om medarbetarna har gått en kurs i IT-säkerhet.
– Den datan samlar vi in. Sen stoppar vi in det i vårt CAD-verktyg, så att våra användare inte ska behöva göra det. De ritar bara upp sin arkitektur-karta, trycker på en knapp och så får de veta vad de har gjort för fel.
Gratis test av verktyg
En av de sakerna som är baserad på KTH:s simuleringsteknik har blivit en produkt, securiCAD från Foreseeti. Den finns i tre versioner där en bland annat används för att för att simulera attacker i Amazon-miljöer och visar var säkerhetsbristerna finns i just den infrastruktur man själv använder.
– Verktyget heter securiCAD Vanguard. Använder man Amazons molnlösning, AWS, och vill testa så kan man just nu göra det gratis. Det finns free trials där man kan logga in och köra simuleringar med bara några knapptryckningar.
Samarbeta med KTH
Robert Lagerström berättade att KTH vill samarbeta med fler bolag i fastighetsbranschen. Dels kan bolagen låta forskarna hacka saker för att upptäcka och åtgärda säkerhetsbrister. Dels kan man testa modellen för hotmodellering och attacksimulering.
– Vi kommer gärna och ritar en systemkarta över era fastigheter för att se vad ni har gjort för fel och om de går att attackera. Och sen kan ni få ett beslutsunderlag på vad ni borde göra. Är man intresserad av det kan man kontakta mig.
Text: Mats Cato
mats.cato@forvaltarforum.se
Kontaktuppgifter till Robert
Robert Lagerström
Docent i systemarkitektur och IT-säkerhet på KTH
Mejladress: robertl@kth.se
