Hjemmets elektronik er ofte en åben dør for uønskede gæster

Illustration: leowolfert/Bigstock
Der er masser af almindelig elektronik i mange hjem, som aldrig bliver opdateret, og som i stigende grad kommer til at udgøre et it-sikkerhedsmæssigt problem.

Internet-of-things (IOT) er et af tidens buzzwordsog dækker, som navnet antyder, over en nært forestående fremtid, hvor alt fra køleskabet til loftsbe-lysningen kommunikerer og kan styres via internettet.

IOT bliver i den forbindelse ofte også kædet sammen med et it-sikkerhedsmæssigt mareridt, der i hvert fald af nogen formodes at følge med i kølvandet på det netopkoblede komfur, hvor en eller anden hacker pludselig
skruer op for blusset, mens familien ligger og sover.

Hvad der kommer til at ske, må fremtiden vise. Mens vi venter på den, så er rigtigt mange hjem allerede spækket med tv, spillekonsoller, routere, printere, NAS-bokse (netværksharddiske), mobiltelefoner og andet habengut, der i større eller mindre grad tilgår internettet. Og der har været eksempler på, hvordan dette udstyr –måske særligt NAS-boksene – har kunnet udgøre en sikkerhedsrisiko.

Problemet med den slags bokse og lignende udstyr er, at de sjældent bliver opdateret. Eksempelvis fordi det er noget, brugeren skal gøre manuelt, eller også har producenten simpelthen opgivet opdateringerne, fordi der er kommet en ny model af produktet på markedet.

Det er nogle af de konklusioner, sikkerhedsekspert David Jacoby fra virksomheden Kaspersky Labs er nået frem til. Og det er ikke bare løst gætværk. Han har nøje gennemgået sikkerheden i det udvalg af netopkoblede produkter, han tilfældigvis selv har stående – og som nok modsvarer en del af det udstyr, mange andre også har stående. Og Jacoby fandt flre sikkerhedshuller i hjemmenetværket, herunder både i tv-apparatet og i NAS-boksen.

Læs også: Så nemt er det at hacke et smart-tv via gennemhullet NAS-boks

NAS som angrebsplatform

Hullerne bevirkede, at han fra internettet kunne overtage kontrollen med NAS-boksen på det lokale netværk, hvor personlige eller følsomme oplysninger i princippet kan være backet op. Boksen brugte han som angrebsplatform videre ind i hjemmenetværket, hvor han endte med at få tv-apparatet til at downloade javascript-kode og billeder, som han havde genereret.

»Problemet med forbrugerprodukter er, at der kommer en ny enhed en gang om året eller hver sjette måned. Hele tiden nye enheder. Nye tv-apparater. Og hvor tit er det lige, man som forbruger skifter tv,« spørger David Jacoby og henviser til, at produkterne, eksempelvis et flere år gammelt tv, risikerer at ryge i producenternes glemmebog, hvad angår opdateringer.

I forhold til de sikkerhedshuller, han fandt i sit eget udstyr på hjemmenetværket, så har det ikke været David Jacobys oplevelse, at producenterne ligefrem står på nakken af hinanden for at komme til at lukke hullerne igen.

»Jeg rapporterede alle sårbarhederne til leverandørerne, fordi jeg er sådan en flink fyr. De sagde: 'Mange tak, men vi har ikke tænkt os at rette det, fordi det produkt, du har testet på, ikke er vores seneste'. Men det er ikke et gammelt produkt.«

Generelt efterlyser David Jacoby, at hans kollegaer i it-sikkerhedsbranchen fokuserer mere på reelle sikkerhedshuller i gængs it-udstyr frem for mulige it-problemer i køleskabe, termostater og biler, der kan gå på nettet, men som endnu ikke er særligt udbredte.

»Sikkerhedsindustrien tager generelt ikke ansvaret for at tale om it-sårbarheder, løsninger og trusler, der er relevante for dig, mig, min mor, min nabo, min datter, min hund eller mine børnebørn,« siger David Jacoby.

Funktionalitet frem for sikkerhed.

Jørn Guldberg sidder i bestyrelsen for Rådet for Digital Sikkerhed og er derudover Ingeniørforeningen IDA’s faglige ekspert på it-området. Han er helt enig i David Jacobys betragtninger i forhold til de sikkerhedsudfordringer, som helt almindeligt netopkoblet udstyr i hjemmet kan give.

»Folk går efter funktionalitet, og de regner med, at sådan noget udstyr er sikret. Det er det ikke. Det er en så ny verden, at behovet for sikkerhed endnu ikke er blevet ordentlig erkendt. Og det bliver endnu værre, når der også kommer køleskabe og andet på,« siger Jørn Guldberg og fortsætter:

»Hvis man ikke har styr på at opdatere eksempelvis sin router, så er der ikke styr på sikkerheden. Og jeg tror, det er de færreste, der kan sige, at deres router er helt opdateret.«

Ud over at de potentielle ofres tv, printer, router, NAS-boks eller andet risikerer at indgå i kriminelle netværk, hvor udstyret kan blive brugt af bagmænd og måske ligefrem indgå i de såkaldte botnets, så forestiller Jørn Guldberg sig også, at et helt håndgribeligt scenarie kan blive resultatet af usikker forbrugerelektronik.

Ransomware er en særlig type malware, der findes i dag, og som bliver brugt til at gøre filer og harddiske utilgængelige, indtil offeret betaler en løsesum til bagmændene. Samme teknik vil i princippet kunne blive brugt mod et smart-tv eller andet underholdningsudstyr, forestiller Jørn Guldberg sig.

»Altså hvis man vil have tv’et til at fungere igen, så skal man indbetale nogle penge. Man kan lige høre ungerne, hvis ikke de kan få lov at se et bestemt tv-program. Så er det mit gæt, at forældrene er villige til at betale,« siger han.

Både David Jacoby og Jørn Guldberg bemærker, at selv når producenterne faktisk frigiver opdateringer til eksempelvis NAS eller router, så kræver det ofte en del af brugeren, som manuelt skal finde frem til opdateringen på en given producents hjemmeside, downloade den og så finde ud af, hvordan den bliver indlæst i udstyret.

»En løsning kan være, at udstyret ikke bruger standardkodeord, og at det er opdateret. Og hvis det ikke har behov for en internetforbindelse, hvorfor skal det så være forbundet til internettet,« spørger David Jacoby. Internet-adgang ikke altid nødvendig.

Med andre ord, så behøver NAS-bokse, printere og andet udstyr ifølge sikkerhedseksperten ikke nødvendigvis internetadgang, men kan måske nøjes med at have adgang til det lokale hjemmenetværk. Men ligesom firmwareopdateringer er en segmentering af hjemmenetværket heller ikke videre triviel.

I stedet sender David Jacoby bolden videre til producenterne, der må sikre udstyret bedre fra fabrikken.

»Der er masser af løsninger, men jeg kan jo ikke ringe til min mor og bede hende fjerne gateway-adressen. Sikkerhed skal bygges ind fra starten. Og det skal eksperter og journalister gøre opmærksom på, så folk bliver klar over, at der ikke eksisterer nogen gode løsninger på nuværende tidspunkt.«

Ifølge en undersøgelse, foretaget af IDA blandt ca. 700 it-professionelle, så er sikring af internetstyret udstyr i hjemmet noget, som 47 pct. forholder sig til i høj eller meget høj grad, mens 34 pct. forholder sig til det i nogen grad, 11 pct. i ringe grad og 5 pct. slet ikke.

Det er her værd at bemærke, at respondenterne specifikt forholder sig til udstyr, der er styret fra internettet og ikke nødvendigvis udstyr, der har adgang til internettet, som det typisk vil være tilfældet med et smart-tv, en spillekonsol eller lignende forbrugerelektronik.

Jørn Guldberg mener, at sikring af internetstyret udstyr godt kunne ligge endnu højere i bevidstheden hos de it-professionelle.

»Det bliver taget lidt seriøst, men man gør sig ikke klart, hvor godt man skal sikre sig. Normalt sætter man lås på sin dør, men med nettet går der jo en ledning direkte ind. Hvis ikke vi har blokeret, hvad der kommer gennem den ledning, og hvis ikke vi har begrænset, hvad det kan ramme, når det nu alligevel kommer igennem, så er der jo åbnet en ladeport,« siger han.

Denne artikel blev første gang bragt i Version2s Insight-magasin: Privacy & Sikkerhed. Download hele pdf-magasinet her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ditlev Petersen

hvis jeg ikke er begejstret over, at mit komfur og min fryser "er på internettet"? Det er de så ikke, men en dag kan man nok ikke få en fryser, der ikke er det. At computeren er det, er mere nødvendigt og til at overskue. Om ikke andet forårsager et angreb ikke andet end besvær og ærgrelse, ikke en røgskade eller rådden mad.

Det er ikke alt nyt, der er smart. Og det er ikke alt, der er smart, der også er nyttigt. Vi savner nogle brokrøve der både er skeptiske og teknologibegejstrede.

  • 5
  • 0
Ove Andersen

Frygter det samme. Hvis man ser på følgende
http://www.version2.dk/artikel/hackere-oedelaegger-hoejovn-paa-tysk-staa...
http://www.elektronista.dk/headliner/intelligent-vaskemaskine
http://www.version2.dk/artikel/usikre-danske-webcams-hacket-og-udstillet...

så burde det være klart for enhver, at vi for alt i verden skal undgå at få vores vaskemaskiner, ovne, komfurer, osv. på Internettet. Hvad vil der ikke ske, hvis nogen fandt en fejl til en stor mængde frysere og slukkede for dem, eller værre i komfurer og tændte alle kogeplader i f.eks. 10.000 hjem.
Hvor mange brande ville man så få startet?

Nej tak Samsung, har ikke brug for min vaskemaskine er online!

  • 2
  • 0
Thomas Nielsen

Det kan måske virke meningsløst at køleskabet (f.eks.) er på internettet, men mange producenter bruger netop internet-hubs til at gøre kommunikation med mobiltelefonen mulig. I øjeblikket er der tilsyneladende ret få produkter som direkte kobler sig op på mobilen via f.eks. Bluetooth. Det er meget lettere at lave en webbaseret service, hvor man kobler sine enheder op via et simpelt og i særdeleshed ensartet lag. Dels er det lettere for producenten at vedligeholde, dels er det lettere at lave en glat opsætning. Dér er der mulighed for et utal af huller.

Jeg har ikke særligt interesse i at koble min ovn på internettet, men jeg kan sagtens se det interessante i at kunne have en multifunktionel timer i min telefon som kan kobles sammen med et stegetermometer, så ovnen kan reguleres på både tid og temperatur samtidig. At gøre redigeringen heraf mulig via en hjemmeside, er bare meget lettere end de små telefonskærme, plus at jeg jo kan dele timeren på flere enheder. Koblet sammen med den nye Mono-arduino-dims, er verden bare et endnu smukkere sted, og måske er jeg alligevel en lille bitte smule interesseret i at stikke et netværksstik bagi ovnen. Desværre åbner det så også potentielt for uvelkomne gæster.

  • 3
  • 0
Jesper Lund

Jeg har ikke særligt interesse i at koble min ovn på internettet, men jeg kan sagtens se det interessante i at kunne have en multifunktionel timer i min telefon som kan kobles sammen med et stegetermometer, så ovnen kan reguleres på både tid og temperatur samtidig. At gøre redigeringen heraf mulig via en hjemmeside, er bare meget lettere end de små telefonskærme, plus at jeg jo kan dele timeren på flere enheder.

Det er en udmærket idé. Det skal bare laves sikkert, og leverandøren skal have et ansvar for at det er sikkert.

Alt for ofte er formålet med disse smart-XYZ IoT tingester at overvåge dig og indsamle bigdata oplysninger, og når overvågning er producentens primære fokus, bliver sikkerheden derefter.

  • 3
  • 0
Mads Bendixen

hvis jeg ikke er begejstret over, at mit komfur og min fryser "er på internettet"?


Man kan heldigvis selv bestemme hvilke enheder der må gå på Internettet, istedet for ukritisk at tillade alt. Det ændrer ikke på at de er sårbare hvis først nogen er indenfor, men man kan starte med at begrænse antallet af services der kan angribes og så sørge for at de ikke kan sende trafik ud af vilkårlige porte.

  • 0
  • 1
Ditlev Petersen

Skal stegen stå i oven og lumre hele dagen, inden "timeren" (hvor den nu sidder) tænder for ovnen kl. 16? Er det lækkert? Rent bortset fra at den er sjov at hacke, så stegen er kremeret, når man kommer hjem. Selvfølgelig betyder det, at man kan spise kl. 18 i stedet for først kl. 19-20. Men er det noget stort problem? Er det besværet og risikoen værd?

Bortset fra det, så tiltror jeg hverken AEG eller NSA den store interesse for at overvåge, hvad jeg spiser og hvornår. Der må være måde med paranoiaen.

Jeg er ikke modstander af smart teknik. Men jeg vil gerne have noget ud af det (sparet energi f.eks.) i forhold til ulemperne. Mit gamle komfur havde en timer, så ovn og kogeplader kunne tændes på et indstillet tidspunkt. Med samme problem med den uhensigtsmæssige opbevaring af fødevarer ved stuetemperatur. Det havde så den bivirkning, at jeg ikke kunne bruge komfuret, før jeg havde stillet uret. Nu sidder jeg så og tænker på, om komfuret skal opdateres midt under madlavningen? Af sikkerhedshensyn, naturligvis.

  • 0
  • 2
Peter Mogensen

Man kan heldigvis selv bestemme hvilke enheder der må gå på Internettet, istedet for ukritisk at tillade alt.

Well... både ja og nej.
Det er f.eks. lidt en udfordring, der kræver at man har forstand på det for at finde en solcelle inverter med net-forbindelse, der ikke tror den skal have lov til at "phone home" og uploade sine data til "skyen" for at du kan læse dem.
Du kan selvfølgelig altid bare lade være med at sætte stikket i og undvære den mulighed.

Folk der taler drømmende om "the Internet of things" ... #$%#$@# ... rolig nu Peter

  • 5
  • 0
Ole Sanvig

Man kan heldigvis selv bestemme hvilke enheder der må gå på Internettet, istedet for ukritisk at tillade alt. Det ændrer ikke på at de er sårbare hvis først nogen er indenfor, men man kan starte med at begrænse antallet af services der kan angribes og så sørge for at de ikke kan sende trafik ud af vilkårlige porte.

Allerede der går det jo galt for A. Hansen, Herning. Hvis man skal til at læse 17 manualer og pløje dem igennem for, hvilke porte og med hvilke protokoller, de tilgår nettet, for så at sætte routeren op til kun at tillade de specifikke IP-adresser at kommunikere på de tilladte porte med de tilladte protokoller, så er det altså op ad bakke. Nok også for andre end A. Hansen, Herning.

Måske skal man bare lade være med at sætte alle de ting på det store internet og holde det lokalt med fx et Bluetooth PAN eller noget. Hvis man så ved fandens vold og magt vil kunne se på sin telefon fra lufthavnen, hvor langt vaskemaskinen er nået i programmet, så er det i det mindste kun ét centralt webinterface, der skal sikres og holdes opdateret (men som så selvfølgelig også åbner for hele pakken, hvis det bliver hacket ... det er lidt lose-lose).

  • 1
  • 0
Thomas Nielsen

Måske skal man bare lade være med at sætte alle de ting på det store internet og holde det lokalt med fx et Bluetooth PAN eller noget

Men problemet er jo netop, at der findes et utal af telefoner der skal understøttes og det i en verden hvor hver enkelt bruger betragter sin telefon som netop den eneste rigtige og derfor forventer at kunne kommunikere med køleskabet (eller led-pæren, eller fjernsynet, eller radiatorventilerne, eller hoveddørslåsen). For internetforbindelsen er netop ikke blot nødvendig for at kunne sætte en steg over per remote fra lufthavnens vip-lounge, men i praksis i dag nødvendig for at kommunikere bare de 2 meter fra køkkenbordet, fordi producenterne ikke kan blive enige om en fælles protokol abstraheret noget over PAN-laget. Det man så gør, er at koble sit apparat på en webservice og beder telefonisten om at gøre det samme via en app, og voila, der er forbindelse. Ydermere besværliggøres hele seancen af, at apps [tilsyneladende] ofte skrives af ikke-programmører og ligeså ofte [tilsyneladende] af meget små udviklergrupper, så slutresultatet ender i en meget snæver begratning af hvad der er muligt, i stedet for at flytte grænser. Når selve slutproduktudviklingen ikke tages alvorligt, men i grove træk overdrages til cheferns nevøer, så kan man næppe forvente en stort større seriøsitet på den komplicerede del, nemlig sikkerheden.

  • 0
  • 0
Klaus Slott

Efter flere gg gennem min tilværelse at have tømt en fryser efter et strømsvigt, kan jeg nu godt se idéen med at kunne få sendt en alarm lidt længere end bare bluetooth rækkevidde. Det er der vist alligevel ikke nogen af dagens modeller der kan klare ved strømsvigt, men lur mig om ikke snart en fabrikant tilbyder en "cloud service" der kan sende en alarm til mobilen, hvis køleslabet ikke længere svarer....
Spørgsmålet er, hvordan kan man lave et fornuftigt alarm system, som ikke it-kyndige kan sætte op, uden at blande resten af verden ind i det.

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize