Innovation
Han ska göra uppkopplade prylar säkrare
Mindre företag som tillverkar uppkopplade saker kan sakna resurser för att täppa till säkerhetshål. Ett svenskt forskningsprojekt utvecklar ett verktyg som håller koll på säkerheten.
Varje år hittas tusentals säkerhetshål i de öppna kodbibliotek som används som byggstenar i många iot-projekt. Forskningsprojektet Seconds vill skapa ett verktyg som gör det möjligt för mindre företag att hålla koll på vilka hål som påverkar bolagets produkter.
– Stora företag har resurser att klara det på egen hand. Vi vill hjälpa de små som inte har samma förutsättningar, säger projektledaren Martin Hell.
Uppkopplade prylar köps som hårdvara, men drivs av mjukvara. Men många prylar utvecklas inte från grunden av företagen. I stället för att företagets programmerare ska bygga egna lösningar för exempelvis kontohantering, inloggningsfunktioner och lagring av användaruppgifter, så finns det färdiga kodpaket att bygga vidare på.
Läs mer:
Det här är ett sätt att snabba på utvecklingen – men också ett sätt att bygga säkrare produkter. De kodbibliotek som får många användare har också många ögon på sig, ögon som bland annat hittar säkerhetshål.
För de företag som använder extern kod i sina projekt gäller det därför att hålla koll på de säkerhetshål som dyker upp, ta ställning till om de är relevanta för produkterna där de används, avgöra hur kritiska de är och till slut bestämma hur snabbt en uppdatering ska skickas ut till företagets kunder.
– Det här är inte helt enkelt. Sårbarheterna kan bland annat bero på vilka andra kodbibliotek som används, och i vilka versioner. Vilka konsekvenser en sårbarhet kan ha beror på var kodbiblioteket används, vilka protokoll och algoritmer man använder, hur man har konfigurerat sin produkt, och så vidare, säger Martin Hell.
Han är universitetslektor på Lunds tekniska högskola och leder det Vinnova-finansierade forskningsprojektet Seconds, där bland annat Ericsson, Sony och Axis deltar från näringslivet.
– Många av de mindre företag som vi pratar med väljer öppen källkod-komponenter av resursskäl, men också för att det i grund och botten gör det möjligt att bygga säkrare produkter. Problemet är att de saknar resurser att följa upp sina val, säger Martin Hell.
Läs mer:
Målet med Seconds är ett webbverktyg som hämtar in information om de säkerhetshål som rapporteras via befintliga databaser och matcha den mot information om projekten där de används. Och att det i så stor utsträckning som möjligt ska ske automatiskt, för att göra det kostnadseffektivt att hålla koll på säkerheten i företagets produkter.
– Som användare ska man skapa ett konto, fylla i uppgifter om de kodbibliotek man använder i sin produkt. Sedan håller systemet koll på nya sårbarheter som rapporteras in och skickar ut sammanställningar om vilka konsekvenser det faktiskt får för företagets tillämpningar, säger Martin Hell.
Hans förhoppning är att Seconds ska korta tiden från det att någon upptäcker ett säkerhetshål och det blir offentligt till dess att ett företag fattar ett övervägt beslut om hur det ska hanteras. Resultatet ska bli ett säkrare internet för alla, oavsett om de själva har prylar med säkerhetshål eller inte.
– Eftersom det kan vara både dyrt och svårt att uppdatera hundratusentals iot-prylar gäller det att göra det på rätt sätt. Vissa gånger kan ett säkerhetshål vara väldigt allvarligt, och då gäller det att få ut en uppdatering så fort som möjligt. Andra gånger är de potentiella konsekvenserna inte alls lika allvarliga, och då kan uppdateringen vänta tills den planerade releasen om ett halvår.