Kom og hack vores bilbremser, fængselsdøre og flyvemaskiner

IT-sikkerhedsekspert Lucas Lundgren har fundet en alarmerende fejl i IoT-protokollen MQTT, men på trods af uoverskuelige konsekvenser lader verden stå til

Hvis man som Jokeren fra Batman bare vil have kaos, se verden brænde, så er Internet of Things-revolutionen en kærkommen gave til at ordne tingene fra hjemmekontoret.

IT-sikkerhedsekspert Lucas Lundgren fra FortConsult har for nylig gjort en opdagelse, han helst ville være foruden. Han har fundet en fejl i den populære forbindelsesprotokol MQTT, der binder milliarder af IoT-enheder sammen.

Det er ikke bare potteplanter og termostater i hjemmet, der kommunikerer via MQTT-protokollen. Den bruges også til at åbne og lukke fængselsdøre, klodse dine bremser og regulere tryk i olieforsyningslinjer.

Men fejlen ligger ikke i MQTT-protokollen, der er udviklet tilbage i 1998 til energieffektiv letvægterkommunikation.

Dovne brugere

Ansvaret ligger hos brugerne, mener Lucas Lundgren, dem der konfigurere alt fra hjemmedingenoter til vigtig offentlig infrastruktur.

»Den er meget nem at miskonfigurere. Alle følger online-tutorials og ingen læser MQTT-manualen. Så brugeren får den hurtigste måde at opsætte den uden at tænke på, om det er gjort rigtigt,« forklarer Lucas Lundgren, der til maj er keynote på it-sikkerhedseventet Infosecurity i Øksnehallen i København, som Version2 er medarrangør af.

Og ifølge Lucas Lundgrens egen undersøgelse er det ofte ikke gjort rigtigt. Brugerne glemmer i høj grad at tilknytte et brugernavn og kodeord, og når der heller ikke er nogen form for kryptering, så er der intet til at beskytte enhederne fra udefrakommende inputs.

57.000 åbne servere

Da Lucas Lundgren fandt fejlen, begyndte han at scanne internettet med IoT-søgemaskinen Shodan for at se omfanget af problemet.

»Jeg ville scanne hele internettet for at se om jeg kunne finde flere servere. Og ikke bare det. Jeg ville scanne internettet, mens det samlede data i ti sekunder. Så hver en server, den kunne finde lyttede jeg til i ti sekunder,« siger han og forsætter:

”Det var her, jeg begyndte at finde alle de farlige ting. Mange brugte det til rigtige udviklingsting, såsom flyvemaskiner, kraftværksensorer og selv pacemakere og medicinsk udstyr.”

Efter at have fundet 57.000 ubeskyttede servere, der kan være forbundet til mere end 100.000 enheder, er Lucas Lundgren ikke i tvivl. Det er et enormt problem.

»Det er alt fra fængselsdøre, strålingscensorer, jordskælvsystemer. Alt det har jeg set. Og det er ikke græsk. Når du får forbindelse og ser dataet, så er det ikke sådan en hackerkode. Du kan se det i klar tekst. Gps-koordinater, flyvemaskiner, dens destination, højde. Alt det kan du påvirke,« siger han.

Falsk alarm i Japan

Lucas Lundgren har svært ved at se, hvorfor medierne ikke har taget historien op. Men endnu mere overrasket var han, da han i august fremlagde sit fund på Defcon-konferencen i Las Vegas.

Det var ingen reaktion overhovedet, fortæller han. Også selvom særligt de japanske tilhører kunne mærke problemet helt tæt på.

»Vi fik en gedigen forskrækkelse. Det sidste jeg nævner på min talk er jordskælvsystemer, og at Japan er det land med flest IoT-enheder. 20 minutter efter var der et jordskælv i Japan. Falsk alarm. Det kan selvfølgelig være et tilfælde, men det kan ske!« siger Lucas Lundgren.

Måske, antyder Lucas Lundgren, er problemet simpelthen for uoverstigeligt til at folk tør gøre noget ved det. Men i det mindste bør vi ændre vores omgang med MQTT-protokollen fremover. Det gør vi kun, hvis det bliver gennemtvunget for brugere at tilknytte kodeord og brugernavn ved konfigurationen. Men det må ikke være endemålet:

»Forhåbentlig vil en eller anden en dag lave en standard for, hvordan det her skal bygges. OWASP har en IoT-standard, men den kan forhåbentlig udvikles. Det ville jeg gerne se.«

Annonce:
Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes i Danmark den 3. og 4. maj 2017. 60 udstillere, 5 konferencesale og mere end 80 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017