Kom bare indenfor: IP-adresser giver fri adgang til fjernstyrede computere i Danmark og udlandet

Screendump fra australsk vandværks VNC-server Illustration: Screendump
En database med 3.600 åbne VNC-servere verden over afslører en række danske IP-adresser. En åben VNC kan være en bagdør til et ellers lukket system, lyder det fra sikkerhedskonsulent.

Flere såkaldte VNC-servere (Virtual Network Computing) står åbne rundt omkring i Danmark. Det afslører en anonym internetaktivist, der har scannet hele det åbne internet for åbne VNC-servere, der tillader en computer eller en maskine at blive styret på afstand. For eksempel et pumpesystem eller en robot i en produktionshal, der styres fra kontrolrummet.

Når en VNC er 'åben', betyder det, at hvem som helst på internettet blot kan indtaste VNC'ens IP-adresse i søgefeltet i sin browser og på den måde oprette forbindelse til den fjernstyrede computer eller enhed, serveren styrer.

Når som helst, hvor som helst og forholdsvist anonymt, hvis man gør brug af en eller flere simple metoder, der helt eller delvist kan skjule ens identitet online.

Flere danske VNC'er

Også i Danmark er der flere åbne VNC'er. En gennemgang, Version2 har lavet af nogle af VNC'erne i den offentliggjorte database, viser blandt andet, at der er en åben VNC, der styrer noget, der ligner en tryktank og en tilhørende pumpe midt i København.

Hvad tanken indeholder, og hvad pumpen pumper rundt, vides ikke.

Indtil for nylig kunne pumpen styres direkte gennem en hvilken som helst browser. Nu skal der en kode til, før man kan styre VNC'en, men selve adgangen til serveren er stadig åben for alle.

Derudover tilhører mindst 16 VNC'er den store danske koncern Danfoss med IP-adresser i blandt andet Danmark og Finland.

En bagdør til systemet bag

Når man indtaster én af de 16 IP-adresser, åbnes et vindue, hvor man skal indtaste en kode for reelt at styre computeren i den anden ende.

Men det kan alligevel være problematisk:

»Medmindre man standses af et kodeord, der skal indtastes, inden man overhovedet får lov til at se et logo eller virksomhedens login-skærm inde på VNC-serveren, så er VNC'en reelt set åben. Når VNC'en er åben, er der en række tricks, man kan bruge til at omgås den kode, virksomheden måske selv har sat op,« fortæller sikkerhedskonsulent i it-sikkerhedsfirmaet CSIS Michael Bisbjerg.

Derfor kan VNC'er ifølge ham fungere som en it-sikkerhedsmæssig bagdør ind til et system, der måske ikke engang burde være på det åbne internet, men kun burde være koblet til et lokalt intranet.

Det farlige internet

For eksempel undlader flere forsyningsselskaber at koble deres vigtigste forsyningsfaciliteter på internettet.

I stedet kobler mange virksomheder deres computere, sensorer og produktionsmaskiner på et internt intranet, der ikke kan tilgås fra internettet, hvilket gør et digitalt hack udefra langt sværere.

Men hvis bare én af enhederne styres over en VNC-server, der er koblet til internettet, er et hack muligt, fortæller Michael Bisbjerg:

»Vi har hos kunder set åbne fjernstyringssystemer som VNC, som det har været muligt at komme videre gennem. De giver oftest adgang til ældre systemer, som kunden ikke længere har mulighed for at sikkerhedsopdatere.«

Åbent vandværk

Et helt skørt eksempel fra den offentliggjorte database er da også en åben VNC, der viser en samling af PLC'er på et vandværk i en specifik by i Australien. PLC står for programmerbar logik-kontrol og kan for eksempel være en fjernstyring af en sensor, pumpe eller anden mekanik.

Et screendump fra det australske vandværks åbne VNC. Illustration: Screendump

På den fuldkommen åbne VNC-server fremgår temperaturer forskellige steder i systemet og en lang række data, der beskriver, hvordan systemet fungerer, og hvad status er forskellige steder i vandværkets tekniske system.

Klikker man videre rundt i systemet, kan man muligvis også styre nogle af maskinerne.

Der er også flere computere rundt omkring i verden, der sågar var logget ind den dag, internetaktivisten scannede internettet. Den dag var de altså direkte tilgængelige med mus, ikoner og så videre.

Vær bevidst om risiko

Men på trods af risikoen vil Michael Bisbjerg ikke fraråde kunder at gøre brug af VNC-servere.

Hvis bare man er bevidst om risikoen, kan VNC sagtens være brugbart, blandt andet på grund af den lille båndbredde, servertypen bruger, når den holder forbindelsen til en fjernstyret enhed. Og fordi fjernstyring er effektivt, når man skal tilgå en computer, der er langt væk.

»Man bør aldrig sætte en fjernstyringsserver direkte på internettet, men altid beskytte den bag nogle IP-restriktioner eller VPN-forbindelser. Derudover skal man beskytte sin VNC server med en kode, der skal indtastes, før forbindelsen til VNC-serveren oprettes,« siger Michael Bisbjerg:

»På så mange tegn som muligt op til 40.«

Kan scanne for mange sikkerhedsbrister

Michael Bisbjerg fortæller også, at åbne VNC-servere kun er en af mange ting, man kan screene internettet for.

»Man ville kunne scanne for åbne IP-kameraer, da de oftest bruger en særlig port. Eller for åbne databaser, der ikke er på internettet, før en medarbejder et eller andet sted gør, at den pludselig kommer det,« siger Michael Bisbjerg der forklarer, at en almindelig computer godt ville kunne gøre fodarbejdet. Det ville bare tage sin tid.

Derfor mener han også, at personen bag offentliggørelsen af de mange åbne VNC'er har haft en del computerkraft til rådighed. Der skal dog ikke mere kraft til, end at man ifølge Michael Bisbjerg med de rette værktøjer og udstyr kan scanne hele internettet på nogle få timer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ken Poulsen

Problemet ligger også mange år tilbage, kan huske tilbage i 2004, hvor der en kedelig aften blev scannet på 5900-5903.
Og man fandt jo en del, de fleste uden kode.
Dengang turde man efterlade en besked på enheden med fejlen, idag får man pletter på papiret.

  • 4
  • 0
Bent Jensen

babyalarmer, telefoner, køleskabe, fjernsyn og alt andet, som en del af IoT melder sig jo gerne selv til :-(

Udsteder af IP og ISP burde forpligte bruger til at have en Routere, eller andet form for beskyttelse. Og routere burde, som default ud over lange adgangskoder, og ingen adgang fra WAN, kun give adgang til nettet, for de enheder som man aktiv vælger via en MAC. Så kun PC som default var sat til at kunne tilgå nettet, bør kunne det.

Hvis fjernsyn eller andet skulle ud i verden, så bør producenterne angive hvilken adr. og porte de tilgår og til hvad. Og det skulle så være nemt, kun at give de rettigheder i routeren.

Det er snart på tide, at der fra myndigheder bliver et krav om sikkerhed på ALLE enheder:
Som at alle producenten har den fulde og objektive ansvar, samt erstatningsansvar for alle de enheder de sælger i hele produktets levetid.
Samt kollektiv og tvungen indbetaling til forsikring for dette, som en del af tolden. Hvor producenter betaler efter deres historik, eller måske manglende.

At "professionelle" firma som Danfoss eller deres underlevendør tilsyendeladen ikke har styr på grundlæggende sikkerhed er jo ikke nyt. EL sektoren tror også de fuldstændigt har styr på sikkerheden. Men det er jo også rigtigt, til noget andet er bevist :-(
Så det er godt, at når det ikke viser sig at være tilfældet, at de kan få deres undertøj vasket i fuldt offenligthed på version2.
Det virker også som øjenåbner, og selvom det måske var "synd" for nogen af de netbutikker, som ikke have styr på deres sikkerhed. Så er det desværre nødvendigt med denne tilgang, for at stoppe slendrianer, tåber, og bare dårlige, uvidende mennesker, som ikke er deres arbejde voksen.

Da kun dårlige anmeldelser på trustpilot eller FB åbenbart er vigtige. Og sikkerhedshuller bare er noget, man ikke tager sig af. Hvis netbutikkerne som have skimmer softwaren installeret, selv skulle betale for udskiftning af alle de kort som er blevet komplimentere. Hvis det viste sig at de, eller deres leverandør ikke have arbejdet efter "Best practice", eller noget der ligner. Så skulle leverandøren, udbyderne og butikkerne have deres betalingsaftale lukket, eller sat i karantæne, indtil at der var styr på sikkerheden. Samt hvis firma eller leverandører gentagne gange viser at de ikke har styr på sikkerheden, så var det ud af vagten.

Har også haft maskiner hvor der er brugt VNC, men allerede i 90'er var det med Password og ikke standart bruger navn. Samt lige så snart produkterne var moden til det, også for SBB med VPN i starten af 00'erne.

  • 3
  • 0
Povl H. Pedersen

Virkeligheden er, at mange af disse systemer også kører et gammelt OS og gamle applikationer. Der er ingen der føler ansvar for at sikre dem.

Der var en der nævnte IoT (Internet of Trash). Disse ting sættes ofte op i hjmmet bag en router, så der er ikke direkte adgang. Men mit WiFi kamera vil gerne gør det let for mig at se video fra Internet så det laver en tunnel til en kinesisk server.
Dette er et helt andet skjult problem. Det ser man ikke ved en scanning. Men det er principielt en bagdør så den kinesiske regering, fabrikanten, hackere m.m. kan bruge IP kameraet som adgangspunkt til mit netværk derhjemme.

Hr og Fru Danmark kan ikke beskytte sig mod dette, og lave filtre routeren. Jeg kører OpenWRT, så jeg kan både finde og spærre for trafikken. Og selvom de kunne spærre for det, så ville de vel vælge convenience ved at kunne bruge en server på nettet. Selv bruger jeg VPN.

  • 6
  • 0
Kristian Sørensen

Det er snart på tide, at der fra myndigheder bliver et krav om sikkerhed på ALLE enheder:
Som at alle producenten har den fulde og objektive ansvar, samt erstatningsansvar for alle de enheder de sælger i hele produktets levetid.
Samt kollektiv og tvungen indbetaling til forsikring for dette, som en del af tolden. Hvor producenter betaler efter deres historik, eller måske manglende.

Nu er "myndighederne" ofte selv blandt synderne på det her område, så det er næppe der du skal regne med at finde den indsigt og den handlekraft der skal til for at rette op på problemet.

Problemet bunder i manglende forståelse for netværk og manglende forståelse på sikkerhed rundt i organisationerne private såvel som offentlige og et årtier langt efterslæb af beslutninger taget uden forståelse for netværk og sikkerhed.

Der sidder en teknikere her og der rundt om i organisationerne der har indsigten og overblikket. Vedkommende river sig frustreret i håret over at kunne se en lang række sikkerhedsproblemer i "sit netværk", men ikke kunne få organisationens opbakning til at gøre noget effektivt ved det.

Som regel ville det kræve:

  1. udskiftning af en masse udstyr, der bortset fra sikkerhedsproblemerne fungerer fint
  2. massiv uddannelse af medarbejderne, fra topchefen og nedefter
  3. opnormering af IT-drift og IT-sikkerhed i organisationen i al fremtid.

Ingen af punkterne er nemme at komme igennem med.Pkt. 1 kan være helt uoverstigeligt dyrt og risikabelt, hvis udstyret er en del af et større anlæg der er i drift.

  • 0
  • 0
Log ind eller Opret konto for at kommentere