Ny virus med navnet Silex ødelægger IoT-enheder

Det er lidt som at sammenligne med de der 20kr cykellåse som alle deler de samme 10 nøgler.

Jeg forstår godt din pointe, og det fritager selvfølgelig ikke brugerne af IoT systemer, for at beskytte sig mod hacking.

Desværre er det en meget udbredt misforståelse, at jo mere primitivt et hacking angreb er, desto mere er angrebet selvforskyldt. Og det mener jeg faktisk ikke det er, og din cykellås analogi holder ikke helt.

I det beskrevede tilfælde er der anvendt standard passwords - det svarer til at nøglen sidder i låsen - ikke at der er 10 forskellige nøgler. Så ok, du glemte nøglen i dørlåsen da du forlod bilen foran supermarkedet - dumt.

Nu kommer en hacker forbi din bil. Han har den opfattelse, at din bil er meget nem at lave hærværk på, fordi du har været dum. Så han hopper ind og pacther softwaren, ud fra moralen om, at det er din skyld at han er i stand til at gør det.

Tilbage fra indkøb møder du din bil med nøglen i låsen. Du starter, kører 100 meter og får kørt en forgænger ihjæl fordi patchen disablede bremserne.

Nuvel, du bliver sur og mister kørekortet, og når det er sket igen nogle uger efter at du har erhvervet et nyt kørekort, så kan det være at du lærer at lade være med at glemme nøglen i dørlåsen, så din bil ikke ender i de forkerte hænder.

Din indvending: Jamen det er jo meget mere alvorlligt at afbryde bremsen i en bil. Ja, men som hacker ved du intet om, hvad den IoT enhed du hacker bruges til. Tænk lige over, at den måske sidder i et hospitalsudstyr som giver alarm hvis en infussionspumpe fejler, så man forhindre at patienten lider overlast hvis pumpen går amok.

Så nej, hacking er ikke i orden - uanset hvor dumt en bruger opfører sig.

Jo jo, det er ulovligt og alt, og knægten får nok desværre en træls dom.

Men det er lige før at det burde være lovligt at "hacke" noget hvis alt man har gjort er at gætte et brugernavn og et password.

Det er lidt som at sammenligne med de der 20kr cykellåse som alle deler de samme 10 nøgler.

Er det ok at stjæle cyklen? Sikkert ikke.

Men hvad nu hvis den cykel var et omvandrende våben som hvem som helst som bare havde 10 nøgler med sig, kunne bruge til at udføre terror aktioner? Ville det så være ok hvis en 14 årig kom forbi med 10 nøgler, og gjorde cyklerne ukampdygtige? Jeg hælder nok til at det ville være at gøre samfundet en tjeneste på den lange bane.

Nu vel, ejeren af den nu ødelagte cykel ville blive sur. Og køber hun en ny dårlig cykel som også bliver ødelagt inden for en uge, så kan det være hun vil begynde at undersøge årsagen, og til sidst ville vi alle have mere sikkert udstyr, som ikke ender i de forkerte hænder.

/Daniel

Det hack forudsætter at IoT enheden kører et operativsystem som understøtter fdisk (se ZDN artiklen), og at IoT enheden er koblet på Intrenettet, og at der kan etableres adgang til den, og at der er båndbredde nok, at den har en public IP adresse og benytter et "kendt default login".

Der findes sikkert "IoT" enheder som opfylder ovenstående kriterier, men de udgør næppe mere end ganske få promiller i forhold til hvad der normalt anvendes.

En NB-IoT / M1 / LoRaWAN / SigFox opkoblet enhed vil ikke være mål på et sådant "angreb".

Et angreb mod en ikke beskyttet, direkte opkoblet enhed, men masser af båndbredde er vist set før - mildt sagt. At lave at hack som fyrer en fdisk af mod et ubeskyttet operativsystem er - undskyld mig - nok lige præcis havd en 14-årig kan finde på. Er det interessant - næppe.

Der er nok nogen der har været ved numerolog.