Z-Wave-systemer er sårbare under parringen

Af Palle Vibe, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Pen Test Partners (et partnerskab af high-end penetration testers dvs. fagspecialister med særlig indsigt i hackingproblemer) har på baggrund af flere grundige test konstateret, at IoT-enheder, der fungerer efter Z-Wave-standarden for trådløs dataoverførsel, er sårbare under installation og parring.

I denne tilstand kan det nemlig ske, at programmerne nedgraderes for at være kompatible med tidligere versioner (downgrading) og som følge heraf bliver midlertidigt åbne for uautoriseret tilgang. Det drejer sig primært om IoT-enheder til smart-boliger.

Ikke lige efter bogen

Problemerne har rod i, at installationen og parringen af de første Z-Wave-enheder foregik efter en S0-standard, som det rådgivende sikkerhedsfirma SensePost desværre allerede i 2013 påviste havde et kritisk sikkerhedshul. Men dengang afviste Silicon Labs al snak med det argument, at en eventuel risiko kun var til stede i de få minutter, en parring normalt tager, og i øvrigt af firmaet blev anset for at være nærmest ikke eksisterende.

Men sandheden er ikke desto mindre, at enhederne under parring udveksler en slags sikkerhedsnøgler, og S0 omfatter kun en hardcoded (og dermed i praksis låst) 16-cifret krypteringsnøgle, som tillader angribere inden for rækkevidde at gå ind og tage kontrol over enhederne.

Fra Z-Wave til Z-Shave

Dette ikke-eksisterende problem er siden løst af firmaet Silicon Labs ved at introducere den forbedrede S2-standard, som er langt mere sikker, og som ifølge Pen Test Partners forhindrer, at det er praktisk muligt at hacke enheder under parring. Stort set alle nye Z-Wave-enheder leveres derfor nu med software under denne nye S2-standard.

Men problemet lurer stadig bare et skridt tilbage, for der er millioner af enheder i brug, der fortsat fungerer efter S0-standarden og for at gøre dagens nyeste Z-Wave-enheder bagudkompatible og i stand til at kommunikere med Z-Wave-enheder af ældre dato, tillader S2-standarden downgrading under parring og installation. Og det var denne sikkerhedsbrist, der faktisk tillader, at grundlæggende sikkerhedsinformation bliver overført uden kryptering eller krav om autentifikation, som Pen Test Partners har afdækket. En praktisk svipser, som nu sarkastisk går under betegnelsen ”Z-Shave”.

En mulig løsning er Bitdefender BOX, som du indsætter mellem din router og dine IoT-enheder, og som herefter sikrer Wi-Fi-trafikken, uden at du behøver at ændre router-indstillinger.

S2 standarden er dog ifølge Silicon Labs nu blevet modificeret, så Z-Wave-enheder kan udsende sikkerhedsadvarsler, der skal varsko brugere, hvis de foretager downgrading, idet de forbinder sig til hinanden og/eller et netværk. Det er dog tvivlsomt, om særligt mange producenter af IoT-enheder også udstyrer deres produkter med dyre displays eller lignende interfaces, der kan formidle disse advarsler, og hvis ikke, er brugerne lige så uvidende og udsatte som før.

Sikre råd fra sikkerhedsekspert

Zaruhi Aslanyan, der er ph.d. og sikkerheds-arkitekt i Alexandra Instituttet med domicil på IT-Universitetet, har nogle gode råd til hvilke sikkerhedsløsninger, du kan tage i brug for at sikre dig og dine IoT-enheder bedst muligt mod hackerangreb.

”IoT er et af de områder, hvor der sker rigtig meget, og hvor der også foregår intens udvikling af sikkerhedsløsninger,” forklarer hun. ”Først bør du dog lige undersøge, om den sikkerhedsløsning, du søger, ikke allerede er til stede i din bolig, i virksomheden eller i selve produktet i form af eksempelvis en firewall. Men ellers er det vigtig, at du gør dig klart, hvilke sikkerhedsudfordringer, du eventuelt vil kunne stå overfor, og hvilke løsninger, der bedst kan imødegå situationen,” fortsætter Zaruhi Aslanyan.

Som eksempler på velfungerende produkter, der giver sikkerhed for velfungerende IoT-systemer, anfører hun seks tilfældigt udvalgte, men der er flere. Det kan godt lønne sig at tjekke på nettet og måske endog rådføre sig med konsulenter fra erfarne sikkerhedsfirmaer:
Amazon AWS IoT forbinder opkoblede enheder med en særlig AWS Cloud, som sætter programmer i skyen i stand til at samarbejde og kommunikere med disse enheder, idet forbindelsen er sikret gennem X.509-certifikater. AWS IoT kan selv tilvejebringe et certifikat til dig, ligesom du kan lave et selv.

Amazon Greengrass er et softwareprogram, der lader dig køre med forskellig software lokalt på lokale enheder på en tryg og sikker måde. AWS Greengrass sørger for, at forbundne enheder kan afvikle AWS Lambda-funktioner, holde data synkroniseret og kommunikere sikkert med andre enheder. Og så uden nødvendigvis at være forbundet til internettet.
Gemalto IoT Security er et internationalt sikkerhedsfirma, der tilbyder såvel software som hardware-enheder samt tjenester med høj grad af sikkerhed. For eksempel er firmaet verdens største producent af simkort. Firmaet har flere sikkerhedsløsninger for dig, der har problemer med parringen af IoT-enheder. Gemalto sikrer data, autorisation og kryptering og sørger på denne måde for, at kommunikationen er sikker, når to Internet of Things-enheder ”snakker” sammen.

DigiCert Certificates tilbyder certifikater for IoT-devices, der kræver certificeret autorisation. Det betyder, at du for eksempel kan downloade et softwarecertificat til din mobil, der gør det muligt for den at snakke med en server, der genkender certifikatet i mobilen og tillader sikker kommunikation imellem dem.

Cloudfare er et amerikansk internetfirma, der med sit Orbit-produkt beskytter dit privatnetværk gennem et firewall-lignende ekstralag, der filtrerer uønskede installationsordrer (som downgrading) fra.

Bitdefender BOX er en fysisk boksforsats, som du indsætter mellem din router og dine IoT-enheder, og som herefter sikrer Wi-Fi-trafikken, uden at du behøver ændre routerindstillinger.