Smarta Hem – den digitala nyckeln till ditt hem

Att smarta hem kan vara en säkerhetsrisk är inget nytt. IoT (och smarta hem) har varit på tapeten i ganska många år vid det här laget och antalet IoT-produkter har ökat lavinartat och det är nästan svårt att hitta prylar som inte är uppkopplade idag. I och med att det förekommer ett ökande antal IoT-lösningar i ett “smart hem” så finns det anledning att vilja styra allt från ett ställe – och det är det som är temat för dagens blogg.

Hemautomatisering – Styr allt från ett ställe.

Slutanvändaren vill såklart inte ha 10 olika appar för att styra sina lås och larm, lampor, väderstation, tv, tvättmaskin utan för bekvämligheten skull använda en sak för att styra allt. Det finns både kommersiella lösningar och open source lösningar, som vi kan kalla hemautomatiseringslösningar, som kan tillhandahålla en sådan “allt i ett”-lösning.

Några av de större open sourcelösningarna för hemautomatisering är:

• https://www.home-assistant.io/
• https://www.openhab.org/
• https://www.domoticz.com/
• https://homebridge.io/

Exempel på saker som kan styras genom dessa lösningar är:

• Övervakning av vädersensorer
• Övervakning av inomhusmiljösensorer
• Styra el och värme
• Styra lampor
• Styra och övervaka hemövervakningsystem – inom- och utomhuskameror, dörrklockor, larmsystem
• Skicka kommandon till bilen – öppna/låsa, tuta 
• …och allt annat som finns som IoT lösningar – dörrlås, tv, tvättmaskin, spis etc

Vad kan vi hitta på internet?

På exempelvis Shodan.io kan vi söka efter internet-exponerade hemautomatiseringslösningar. En sökning på produkten ”Home Assistant” ger oss 165970 träffar i skrivande stund, varav 2713 av dessa finns i Sverige.

OpenHab däremot, är inte alls lika vanligt förekommande globalt, men lösningen är populär i Sverige som ligger på 3e plats i ”top countries” med nästan lika många exponerade mot internet som Home Assistant:

Det är således relativt många som konfigurerat sin hemautomatiseringslösning för att vara tillgänglig på internet. I de flesta fall krävs det särskild handpåläggning för att möjliggöra detta i hemnätverket, eftersom det krävs att man tillåter inkommande trafik. Många av de exponerade lösningarna är konfigurerade med inloggning – men det finns inga krav på komplexitet. Eftersom det är väldigt enkelt att hitta dessa på internet, t.ex. via shodan, finns det en ökad risk för intrång i dessa lösningar.

Hemautomatiseringslöningen behöver exempelvis autentiseringsuppgifter och api-nycklar för att kunna styra individuella IoT-lösningar. Det har exempelvis funnits sårbarheter i integrationer som möjliggjort stöld av godtyckliga filer utan inloggning i Home Assistant vilket exempelvis kan vara filer som innehåller autentiseringsuppgifter till tjänster som Home Assistant använder sig av. En antagonist skulle således komma över en mängd uppgifter på en gång genom att endast komma åt informationen i (i detta fall) Home Assistant och inte de enskilda tjänsterna. Det kan det snabbt bli ett ”alla ägg i en korg”-scenario för den som inte tänker efter hur de konfigurerat sin hemautomatiseringsmiljö.

Även de enskilda IoT-produkterna kan såklart också ha sårbarheter – och om de i sin tur är exponerade mot internet av olika anledningar, så är det ytterligare en attackyta. I nederländerna hade en forskare möjlighet att ta över en miljon solcellsanläggningar som användes av privatpersoner då leverantören av lösningen hade publicerat lösenordet på internet. Just solceller kanske inte är någonting som man i första taget tänker är sårbart. Och när det kommer till IoT-lösningar så kan det även i vissa fall vara så att slutanvändaren inte ens tänker på att det är en IoT-lösning man har att göra med!

Slutsatser

Det viktiga är att tänka på hur och vad du använder lösningen till. Behöver den verkligen vara öppen på internet? Den som använder en open source-lösning har sannolikt ett större behov att konfigurera lösningen och göra det på ett säkert sätt – den kommer inte med en viss säkerhetsnivå “out of the box” som kanske en kommersiell produkt kan göra*.

Den som implementerar kanske tänker att ”det gör inget om någon kan slå på eller av mina lampor”  – men din bil eller dörrlåset då? Ta en tankeställare på vilken typ av IoT lösningar som används. Det finns en del som kanske kan anses vara harmlösa, men andra som verkligen kan utnyttjas av antagonister. Du kanske inte vill någon får åtkomst till din babymonitor eller övervakningskamera inomhus för att skydda din och din familjs integritet. Andra IoT-lösningar kanske får helt andra konsekvenser – ditt fjärrstyrda bastuaggregat kan leda till en brandrisk.

Tips för att säkra upp ditt smarta hem

Det finns såklart en mängd saker du kan göra för att göra det hela säkrare, nedan följer några exempel:

• För det första – exponera inte lösningen mot internet
  • Om du verkligen, verkligen behöver komma åt det utifrån, använd i så fall VPN för att nå ditt hemnätverk – öppna inte tjänsten mot internet.
• Förhindra att ditt hemnätverk blir hackat genom att säkra upp det! Använd starka lösenord på ditt WiFi och se till att din router är uppdaterad.
• Sätt starka lösenord och aktivera tvåfaktorsautentisering om det går överallt – även i hemautomatiseringen.
• Kontrollera hur din hemautomatisering hanterar autentiseringsuppgifter och följ leverantörens rekommendationer till hur du skyddar dem på rätt sätt. Se exempelvis till att lösningen inte lagrar autentiseringsuppgifter i klartext.
• Se till att hålla dina IoT lösningar uppdaterade.

Smarta hem är framtiden och det blir svårare att hitta lösningar som är helt offline. Se till att fundera på vad dina IoT-lösningar kan göra. Konfigurera ditt hemnätverk och lösningarna  på säkert sätt för att minska risken för att antagonist utnyttjar dem. Skadlig kod är en annan risk, som jag inte berört här, men ytterligare en sak att ha i åtanke.

Andra lästips från Simovits Bloggen:

1. Min kollega Tomas tidigare blogg om smarta hem https://simovits.com/smarta-hem-och-sakerhet/
2. Mer om WiFi hacking, skriven av Mikael: https://simovits.com/nu-har-tradlosa-nat-blivit-annu-osakrare/

* med det sagt är open source är inte likställt med “osäkert” liksom kommersiellt inte är likställt med “säkert”