Kontrolpanel på fodringsrobot lå åbent tilgængelig på internettet

Illustration: Screendump v. digi.no
Det har vist sig at være vanskeligt at finde ejeren.

Det at kunne kontrollere sådan noget som smart homes, biler og forskellige slags maskiner via internettet kan være praktisk. Man behøver ikke at bevæge sig fysisk for at kunne foretage ændringer eller igangsætte processer. Problemet er ofte, at det er nytteværdien, som får det meste af opmærksomheden, mens it-sikkerheden i bedste fald kommer i anden række.

VNC

For nylig fik digi.no (Version2s norske søstermedie, red.) et læsertip om, at de burde foretage en søgning via søgetjenesten Shodan efter norske computere, som eksponerer deres VNC-tjenester på internettet.

VNC (Virtual Network Computing) er som mange bekendt et system, der giver brugere fjernadgang til computere. Det allermeste sendes ukrypteret, hvilket gør, at VNC ikke egner sig til brug direkte på det åbne internet. Det forhindrer ikke, at flere hundredetusinde computere globalt tilbyder VNC på denne måde. Mindst 1.600 af dem har norsk IP-adresse ifølge Shodan.

I Shodan kan man indsætte mange forskellige søgeparametre. Blandt andet er det muligt at søge efter computere, som ikke bare eksponerer tjenesten, men hvor Shodan også kan registrere, at der modtages et screendump. Dette er kun muligt, hvis VNC-tjenesten er opsat således, at den ikke kræver indlogning.

Shodan finder i skrivende stund cirka 4.700 sådanne tilfælde, hvoraf kun nogle få befinder sig i Norge.

Fodringsmaskine på nettet

Et af disse norske systemer er en fodringsmaskine, altså en maskine, som bruges i landbruget til at automatisere fodringen af kvæg og får. Her får vi adgang til et kontrolpanel med en række indstillinger, som vi potentielt har mulighed for at justere, inklusive tidspunkter for, hvornår fodringen skal ske.

Ud over VNC-porten er der flere andre porte, som er åbne i den tilknyttede bredbåndsrouter, inklusive port 81, som fører til et webinterface for Ubiquity airOS via en HTTPS-forbindelse uden godkendt root-certifikat.

Det er ikke muligt for os at se, hvem der ejer denne computer. IP-adressen kan tyde på, at maskinen befinder sig i Bodø-området, men sådan en stedsangivelse kan være meget unøjagtig. IP-adressen ejes af Signal Bredbånd, som leverer bredbånd i Nordnorge.

Til gengæld er kontrolpanelet mærket med logoet for det selskab, som har produceret systemet, T. Kverneland & Sønner (TKS).

Ikke meningen, det skal være på internettet

Daglig leder hos TKS Tønnes Helge Kverneland udtrykker overraskelse, da digi.no præsenterer ham for dette tilfælde. Samtidig mener han, at det er meget vigtigt for selskabet at få besked om dette.

»[...] det fortæller noget om sårbarhed, hvis udstyret eksponeres på en sådan måde, som det er sket her,« skriver Kverneland i en e-mail. Han slår fast, at det ikke er meningen, at systemet skal være koblet til internettet.

»Vi har leveret disse ‘FeedRobotter’ siden cirka 2006. I starten blev de leveret med industristandarden PLS, som havde USB og Ethernet-port som kommunikationsporte. Det vil sige, at kunden selv havde mulighed for eventuelt at koble sig til en router eller noget andet kommunikationsudstyr. Det var ikke noget, som vi hverken blev informeret om eller selv havde haft noget at gøre med,« skriver Kverneland.

Videoen herover viser en maskine som den, der er omtalt her i artiklen.

Ønske om fjernstyring

Senere udgaver af robotten er, efter forespørgsel fra kunder, blevet leveret med en trådløs router som standard.

»Så kunne man etablere et lokalt trådløst netværk, som kunden havde adgang til med enten en mobiltelefon, tablet eller pc,« fortæller Kverneland.

Han tilføjer, at de fleste bønder har et kontor/planlægningsrum, hvor de ønsker at sidde og indlægge styringsparametre for fodringsmaskinen, og her kommunikerede de ifølge Kverneland ved hjælp af Team Viewer og en VNC-protokol.

»Dette var tænkt udelukkende til lokal brug. Der har ikke været lagt op til, at maskinen i sig selv skal have adgang til internettet for nogen funktionalitet fra vores side,« understreger han.

»Vi har ikke informeret om noget i den retning i vores instruktionsmanualer, da brugen ikke har været tilsigtet på en sådan måde, at vi anså det som en risiko,« fortsætter Kverneland.

Begrænset skadepotentiale

På spørgsmålet om, hvilken skade ondsindede personer kan gøre, hvis de får adgang til denne maskine, fortæller Kverneland først, at den går på én eller to skinner i taget inde i driftsbygningen. Disse er sikre med endestopklodser. Derudover er maskinen udstyret med en række sikkerhedsfunktioner, som skal hindre påkørsel og andre uheld.

»Skaden, som kan opstå, er vel størst ved, at alle parametre kan ændres/slettes. Hver gang maskinen begynder at køre på den lukkede skinnebane, signalerer den, FØR den begynder at køre, med lyd og lyssignal, så dyr eller personer i nærheden bliver gjort opmærksomme på det. Den kører meget langsomt. En, som ved, hvad han gør, ville kunne hælde en masse kraftfoder ud, hvilket ville være et økonomisk tab for bonden (næppe meget stort, men sikkert irriterende …?),« skriver Kverneland.

Han bekræfter, at også TKS var i stand til at få adgang til maskinen, men ved ikke, hvem der ejer maskinen.

»Vores udstyr sælges gennem Felleskjøpet, som er vores forhandler, så vi har normalt ikke slutkunde-kontakt,« fortæller Kverneland.

Kontaktforsøg

I fodringsmaskinens kontrolpanel er det en mulighed at sende beskeder til dem, som betjener den. TKS har skrevet denne besked: ‘Hej, det er fra TKS. Din maskine er tilgængelig på et usikret netværk. Kontakt os venligst på telefon xxxxx’, men indtil videre er der intet, der tyder på, at ejeren af maskinerne har set meddelelsen.

Digi.no har været i kontakt med kundeserviceafdelingen i Signal Bredbånd, som lovede at varsle kunden, efter at vi oplyste den aktuelle IP-adresse. I mandags var fodringsmaskinen stadig tilgængelig.

Manglende fokus på sikkerhet

John-André Bjørkhaug er penetrationstester hos NTT Security. Han er ikke overrasket over sagen og antyder generelt, at usikre installationer kan skyldes en kombination af uvidenhed og manglende kompetence både hos brugere og teknikere.

»Vi ser det på alle mulige styringssystemer at de skal være praktiske, uden at sikkerhed får lige så meget opmærksomhed,« sier Bjørkhaug.

Han anbefaler alle som er usikre på om de er eksponererede mod angreb at taste deres IP-adresse ind i Shodan (https://www.shodan.io/host/IP-adresse) og se hvad der er kortlagt om denne.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize