Lyskryds kan åbne døre til offentlige it-systemer

Illustration: yuniorperez/Bigstock
Lygtepæle og lyskryds får statiske IP-adresser, som gør dem nemme at finde og angribe. Og så står døren åben til andre offentlige it-systemer. Sådan lyder advarslen fra teleselskab.

Lygtepæle og lyskryds landet over kommer i stigende grad online, og det gør dem i mange tilfælde langt mere sårbare over for ondsindet malware fra cyberkriminelle.

For er man først logget på en lysmast, kan man potentielt enten regulere lyset eller hoppe videre ind i kommunens eller forsyningens it-systemer, advarer teleselskabet Net1.

I dag optimeres mange lysmaster for at kunne fjernstyres og måle alt fra antal lynnedslag til, hvor ofte en fodgænger går forbi. Dermed er de koblet op på et netværk, der potentielt kan angribes af ondsindet malware.

Og har en hacker først fået adgang til en lysmast, kan han ikke kun styre dem enkeltvis, men potentielt også få direkte adgang til kommunens eller forsyningens it-systemer.

Læs også: Eugene Kaspersky: Internet of Things kræver nyt immunt sikkerhedssystem

Det forklarer tele- og sikkerhedsselskabet Net1, der driver et mobil bredbåndsnetværk, der især bruges til opkoblinger af Internet of Things-enheder.

Netværket er det oprindelige og første mobilnetværk NMT, der blev etableret tilbage i 1982 på 450 Mhz-frekvensen. I dag bruges det kun til datatransmission og ikke til talekommunikation.

»I vores arbejde med at beskytte det stigende antal udendørs online enheder har vi kunnet konstatere, at lysmaster og lyskryds sjældent er beskyttede, og man derfor nemt kan logge på dem, hvis man vil lave skade. Mange kobler lysstyringen på et åbent mobilt bredbånd med et sim-kort. For bekvemmelighedens skyld bliver mange lysmaster tildelt en statisk IP-adresse, altså et unikt id-nummer, som i mange tilfælde administreres ret lemfældigt. Det betyder, at det er forholdsvis nemt at finde og bruge til at sikre sig adgang til lysmasten, hvis man har lidt teknisk it-snilde. Det kan potentielt bruges til at komme videre ind i kommunale it-systemer, hvor skaden kan blive endnu større,« siger René Kappelgård, administrerende direktør i Net1.

Læs også: Not so smart city: Ingen vil købe data på markedsplads

Søgemaskiner leder efter huller

Der findes i dag flere søgemaskiner online, f.eks. Shodan, som kan bruges til at lede efter sårbarheder i internetopkoblede enheder, f.eks. overvågningskameraer, industrielle anlæg og smart city-løsninger inden for trafikstyring, og forsyningsnettet.

»Vi har været rigtig dygtige til at digitalisere i Danmark, men it-sikkerheden har ikke fulgt med. Der sker en eksplosion i antallet af online enheder rundt omkring, og det er en kæmpe sikkerhedsrisiko, hvis de er koblet op på et netværk for kritisk infrastruktur, uden at sikkerhed er tænkt ind. Vi har i dag teknologi til bedre at beskytte infrastruktur digital, uden at det er en kæmpe økonomisk meromkostning, men der mangler en bevidsthed om den risiko, man reelt eksponerer slutbrugerne for, i det her tilfælde trafikanter,« siger René Kappelgård.

Kritisk infrastruktur er eksempelvis systemer til el, vand og varme. Det er tidligere set, at hackere er gået efter at ramme kritisk infrastruktur og sætte den ud af kraft.

»For tredive år siden var det ikke specielt comme il faut at køre med sikkerhedssele, og først i 1990 blev det lovpligtigt at bruge sikkerhedsseler for bagsædepassagerer. Jeg tror, det er det samme med sikkerhed på internettet i dag – at i takt med, at vi indser faren ved ikke at være beskyttede, vil der komme en modenhed, hvor man som en selvfølgelighed forlanger, at løsningen også skal være sikker. På samme måde, som vi i dag ikke kunne drømme om at køre en tur i bil uden at være spændt fast,« siger Rene Kappelgård.

Læs også: It-sikkerheden i biler sejler: De kan tvangsstoppes, overtages, piftes og hackes

Alarmsirener hylede i fire timer

I Danmark er der endnu ikke registreret tilfælde, hvor trafikstyring er blevet angrebet.

I Dallas i USA havde hackere sidste år held til at infiltrere og sætte gang i 156 fysiske alarmsirener i storbyen, hvilket skabte en del panik. Alarmcentralen fik omkring 4.400 opkald i løbet af de næsten fire timer, alarmsirenerne hylede, før myndighederne fik genetableret kontrollen over dem.

»Man kan godt frygte, at der skal et grimt eksempel til, før der bliver reageret i de danske kommuner,« siger Rene Kappelgaard.

Men hvad kan man så gøre for at beskytte lysmasterne?

»Man skal kryptere forbindelsen til lysmasten og gerne tage den væk fra internettet og ud på sit eget isolerede netværk. Samtidig skal man have konstant opdateret firmware, hvis beskyttelsen skal være i top. Så det kræver en specialiseret router, i modsætning til det vi ofte ser derude,« siger René Kappelgård fra Net1.

Læs også: Ph.d. og sikkerhedsekspert: Avancerede IoT-angreb er en ren hyldevare

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"I vores arbejde med at beskytte det stigende antal udendørs online enheder har vi kunnet konstatere, at lysmaster og lyskryds sjældent er beskyttede, og man derfor nemt kan logge på dem, hvis man vil lave skade. Mange kobler lysstyringen på et åbent mobilt bredbånd med et sim-kort. For bekvemmelighedens skyld bliver mange lysmaster tildelt en statisk IP-adresse, altså et unikt id-nummer, som i mange tilfælde administreres ret lemfældigt. Det betyder at det er forholdsvist nemt at finde, og bruge til at sikre sig adgang til lysmasten, hvis man har lidt teknisk it-snilde. Det kan potentielt bruges til at komme videre ind i kommunale it-systemer, hvor skaden kan blive endnu større,"

Hvordan kan disse historier blive ved, samtidig med at vi dagligt hører vore ansvarshavende politikere og embedsmænd lovprise sikkerheden i det offentlige system under mantraet "Giv os dine data, du kan være helt tryg". "Giv os dine data, du kan være helt tryg". "Giv os dine data, du kan være helt tryg". "Giv os dine data, du kan være helt tryg". "Giv os ........"?

  • 15
  • 0
Ditlev Petersen

Tilsyneladende ser politikerne for mange hollywoodfilm, hvor det jo altid er sådan, at alt kan hackes på 24 sekunder. Det skal jo åbenbart være sådan.

Men det er jo ikke noget problem, for man skal gøre noget ulovligt, før der sker noget! Og man kan jo altid give russerne skylden, ikke en selv.

  • 7
  • 0
Flemming Riis

Så enten har de insider viden om hvordan netværket er bygget op , bare fordi en enhed har en fast ip addresse er det vel ikke implicit at der er L3 routning til deres domain controller

Det virker mest som om de er sure over kommunen ikke har købt deres løsning

Kunne det ikke være en opfølgning værd ?

  • 0
  • 0
Log ind eller Opret konto for at kommentere