Fuzz Testing som skydd mot tilltagande säkerhetsrisk


TILLTAGANDE SÄKERHETSRISK MED IOT KAN MOTVERKAS MED ENKELT TEST

Uppkopplade prylar var en del i de överbelastningsattacker som sänkte dns-leverantören Dyn och stora delar av internet nyligen. Vi har bara sett början av den här typen av problem. Antalet produkter som kopplas upp i det så kallade Internet of Things (IoT) ökar explosionsartat och den bristande säkerheten i systemen är en tickande bomb. Det finns dock enkla sätt att validera IoT-system och möta detta säkerhetshot, men först måste vi börja se på sakernas internet med samma professionalism som på traditionella IT-system.

Inbyggda datorer i till exempel fordon, elmätare, larm- och övervakningssystem har tidigare varit fria från kopplingar och levt i sin egen slutna värld. I och med framväxandet av IoT blir allt fler enheter uppkopplade cellulärt och via internet.Det innebär ofta att redan befintliga system kopplas upp via nätet. Man har redan lagt en massa tid och pengar på att utveckla systemet och har inte resurserna att göra om allt från scratch. Man tänker inte gärna på vad som kan hända om någon obehörig tar sig in i elmätaren, bilen, övervakningskameran, det elektroniska låset eller den medicinska utrustningen. Problemet förstärks dessutom av att systemets hårdvara ofta utgörs av standardprodukter och inte sällan från början var utvecklad som hobbygrejer.

Om sakernas internet ska kunna bli den möjliggörare av morgondagens smarta hem, städer och arbetsplatser som vi idag förväntar oss måste både tillverkarna av smarta prylar och IoT-systemägarna börja ta ett större ansvar. Det finns inga ursäkter för att fortsätta blunda. Även om säkerheten är en utmaning så går den faktiskt att hantera. Det är inte heller för sent även om man redan dragit i gång ett IoT-projekt.

Det handlar helt enkelt om att man måste börja tänka på samma sätt som med vanliga IT-system när man designar och testar inbyggda system. De tekniska förutsättningarna för detta finns och det behöver inte heller fördyra uppbyggnaden av sakernas internet. Så kallad Fuzz testing är ett kostnadseffektivt sätt att testa att ett system är säkert, även om man har missat att tänka på det i början av projektet. Ett sådant test är det minsta man kan begära för en pryl som ska vara uppkopplad.

Normalt handlar systemtester om att koda ett antal testfall: Om x inträffar så ska y hända – fungerar det som det ska? Det här sättet att testa begränsas av hur många exempel man kan ställa upp. Fuzz testing använder i stället helt generella krav på vad som aldrig ska hända. Systemet ska inte krascha, vad som än händer. Förenklat går det till så att man börjar med de korrekta fallen och skapar sedan automatiskt slumpmässiga ändringar i indatat. Tio miljoner testfall kan på så sätt köras på en timme.

Fuzz testing som teknik är inte är nytt inom applikationsutveckling, däremot har det inte utnyttjats för inbyggda IT-system. I och med IoT-utvecklingen håller den inbyggda världen håller på att mogna. Detta medför högre krav på kvalitetssäkring, test och validering. Nu måste IoT-utvecklarna att ta klivet ut från lekstugan och ta säkerhetsfrågan på allvar. Att dra nytta av de erfarenheter som finns från IT-utveckling är ett naturligt första steg. Först då kan startskottet gå för den riktigt smarta uppkopplade verkligheten.

Åke Wernelind & Simon Elén