Tv og NAS-boks kan give adgang til dit hjemmenetværk

Gængse forbruger-elektronikprodukter er så dårligt beskyttede, at alle med en smule teknisk snilde kan udnytte dem til at kompromittere hele hjemmenetværket.

Når talen falder på Internet of things og sikkerhed bliver det ofte forbundet med hackere, der kan tilgå eksempelvis køleskabet i hjemmet via internettet og i bedste fald bare fordærve mælken ved at slukke for det. Men som bekendt har de internetopkoblede køleskabe ikke tilnærmelsesvis fundet vej ind køkkenet. Til gengæld har smart-tv'er, netværksharddiske og lignende udstyr for længst invaderet vores hjem.

Og mens vi venter på internetkøleskabet, giver den gængse forbrugerelektronik al mulig grund til at tage it-sikkerheden i hjemmenetværket gravalvorligt. Det er i hvert fald indtrykket, som it-sikkerhedsekspert fra Kaspersky Lab David Jacoby efterlader efter over for Version2 at have gennemgået de tekniske detaljer i det hackerangreb, han udførte mod den forbrugerelektronik, han tilfældigvis selv havde stående. Blandt andet NAS-bokse og smart-tv.

Download Version2's Insightmagasin: Privacy & Sikkerhed - Når alt er på nettet her.

Det overordnede problem med forbrugerelektronikken er, fortæller Jacoby, bare grundlæggende dårlig sikkerhed. Det er slet ikke tænkt ind i produkterne fra starten. Og skulle producenterne så endelig frigive en softwareopdatering til de internetopkoblede produkter, der lukker de værste huller, er den ofte bøvlet for almindelige mennesker at installere.

»Problemet med forbrugerprodukter er, at der kommer en ny enhed en gang om året eller hver sjette måned. Hele tiden nye enheder. Nye tv-apparater. Og hvor tit er det lige, man som forbruger skifter tv,« spørger David Jacoby og henviser til, at produkterne, eksempelvis et flere år gammelt tv, risikerer at ryge i producenternes glemmebog, hvad angår opdateringer.

Det lykkedes David Jacoby at afsløre adskillige svagheder i de to NAS-bokse, fra to forskellige producenter, han havde stående. Blandt andet korte standardkodeord i det underliggende Linux-system og en direkte adgang til en konfigurationsfil med systemindstillinger i boksene. Filen kunne alle med adgang til hjemmenetværket tilgå.

Opdateret software

Nogle tænker måske, at der er tale om håbløst forældede bokse, der aldrig er blevet opdateret, inden David Jacoby gik i gang med at hacke. Men det er ikke tilfældet, bedyrer han. Dels var udstyret ikke specielt gammelt, dels havde han sikret sig på møjsommelig vis, at udstyret var opdateret med seneste softwareopdatering.

»Sikkerhedsindustrien tager generelt ikke ansvaret for at tale om it-sårbarheder, løsninger og trusler, der er relevante for dig, mig, min mor, min nabo, min datter, min hund eller mine børnebørn,« siger David Jacoby.

Efter at have identificeret flere huller i boksene via adgang fra sit eget hjemmenetværk udviklede David Jacoby et javascript. Scriptet kører på en html-side med en sjov video. Mens det intetanende offer besøger siden, scanner scriptet lokale enheder på netværket i baggrunden for at se, om der skulle være en sårbar NAS-boks. Bliver boksen fundet, bliver den automatisk inficeret med en bagdør. Boksen ringer nu ud fra hjemmenetværket uden problemer, da outbound-forbindelser som regel er tilladt. Herefter opretter den en forbindelse til en IP-adresse angriberen har defineret, og boksen kan nu fjernstyres.

Det vil sige, den kan indgå i et botnet, indholdet på den kan tilgås, og den kan bruges som videre angrebspunkt ind i hjemmenetværket. Det sidste benyttede David Jacoby sig af til at få sit smart-tv til at køre vilkårlig javascript-kode.

Nærmere foregik det via ARP-spoofing, der fik tv'et til at koble op til NAS-boksen i stedet for tv-producentens hjemmeside i forbindelse med blandt andet widget-opdateringer.

Bange for at ødelægge tv

Jacoby gik ikke videre i udforskningen af tv’ets svagheder, fordi han simpelthen var bange for at ødelægge det.

»Hvis jeg ødelagde mit tv, så ville jeg blive ked af det. Og jeg ville ikke kunne forklare min datter, at hun ikke kunne se Scooby Doo, fordi far havde arbejdet for meget,« siger David Jacoby.

Han har været i kontakt med leverandøren af tv’et, som takker for informationerne og vil se på sagen. Et lille proof-of-koncept har Jacoby dog også lavet. Han har fået tv’ets kalender-widget til at anvende et billede af figuren Borat, spillet af Sasha Baron Cohen. Men apparatet henter også javascript, og det kan være noget mere problematisk end billederne.

»Det downloader også javascript. Det betyder, at det kører den javascript, jeg ønsker. Og med javascript kan man også læse lokale filer,« siger David Jacoby og henviser til, at han formentlig ville kunne hive endnu flere oplysninger ud af tv-apparatet, der kunne bruges til yderligere kompromittering.

Folk vil have funktionalitet i stedet for sikkerhed

Jørn Guldberg sidder i bestyrelsen for Rådet for Digital Sikkerhed og er derudover Ingeniørforeningen IDAs faglige ekspert på it-området. Han er helt enig i David Jacobys betragtninger i forhold til de sikkerhedsudfordringer, som helt almindeligt netopkoblet udstyr i hjemmet kan give.

»Folk går efter funktionalitet, og de regner med, at sådan noget udstyr er sikret. Det er det ikke. Det er en så ny verden, at behovet for sikkerhed endnu ikke er blevet ordentlig erkendt. Og det bliver endnu værre, når der også kommer køleskabe og andet på,« siger Jørn Guldberg og fortsætter:

»Hvis man ikke har styr på at opdatere eksempelvis sin router, så er der ikke styr på sikkerheden. Og jeg tror, det er de færreste, der kan sige, at deres router er helt opdateret.«

Ud over at de potentielle ofres tv, printer, router, NAS-boks eller andet risikerer at indgå i kriminelle netværk, hvor udstyret kan blive brugt af bagmænd og måske ligefrem indgå i de såkaldte botnets, forestiller Jørn Guldberg sig også, at et helt håndgribeligt scenarie kan blive resultatet af usikker forbrugerelektronik.

Ransomware

Ransomware er en særlig type malware, der findes i dag, og som bliver brugt til at gøre filer og harddiske utilgængelige, indtil offeret betaler en løsesum til bagmændene. Samme teknik vil i princippet kunne blive brugt mod et smart-tv eller andet underholdningsudstyr, forestiller Jørn Guldberg sig.

»Altså hvis man vil have tv’et til at fungere igen, så skal man indbetale nogle penge. Man kan lige høre ungerne, hvis ikke de kan få lov at se et bestemt tv-program. Så er det mit
gæt, at forældrene er villige til at betale,« siger han.

Indtil den generelle sikkerhed i internetopkoblet forbrugerelektronik som tv og NAS-bokse bliver bedre, mener David Jacoby, at en hurtig forbedring af sikkerheden i hjemmenetværket vil være simpelthen at fjerne internetadgang for udstyr, der ikke har behov for at kunne tilgå internettet.

Det er dog ikke nødvendigvis trivielt at sætte udstyret op, så det stadig kan tilgås via hjemmenetværket, men ikke koble ud på internettet, påpeger David Jacoby.

Han sender i stedet bolden videre til producenterne.

»Der er masser af løsninger, men jeg kan jo ikke ringe til min mor og bede hende fjerne gateway-adressen. Sikkerhed skal bygges ind fra starten. Og det skal eksperter og journalister gøre opmærksom på, så folk er klar over, at der ikke eksisterer nogen gode løsninger på nuværende tidspunkt,« siger David Jacoby.

Hent vores onlinemagasin Version2 Insight: Privacy & Sikkerhed - Når alt er på nettet og læs hele historien om sikkerhedsproblemerne med hjemmets enheder. Få råd til hvordan du øger sikkerheden, etablerer holdbare passwords og meget mere. Hent det gratis her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Morten Refsgaard

Alt tilgang til internettet, går jo igennem min router, som jeg har lånt at TDC, burde det så ikke være nok at den er opdateret, mit wireless er der jo kode på?. Og hvis det er nok at opdatere ens router, burde det så ikke være TDC´s ansvar at den er opdateret, det er jo deres router?. Der er også en risiko for at jeg misforstår det hele...

  • 6
  • 1
#3 Brian Hansen

Routeren vil typisk ikke betyde noget, hvis den er sat op som 99,9% af hjemmeroutere er. Som Jacoby skriver så kan du blive guidet ind på en side der, via et exploit i din browser (eller mere sansynligt, Java eller Flash) angriber din NAS, TV eller kaffemaskine. Kaffemaskinen slår dig derefter ihjel ved at brygge skoldhed kaffe, der får din tunge til at hæve så meget at du bliver kvalt / drukner i dit eget spyt! Jeg har muligvis også fået for meget koffein idag...

  • 3
  • 0
#4 Morten Grouleff

Mange af problemerne opstår, fordi man opfatter "lokalnettet" som sikrere end internettet. Det er ofte ikke tilfældet i praksis, da bare een usikker enhed "indenfor" helt kan kortslutte den forskel.

Jeg mener den rigtige måde at tænke sikkerhed i netværket er, at gå ud fra, at alle kan sende vilkårlige pakker til ens netværks-enheder, som om alle ens devices var frit tilgængelige på internettet. Hvert eneste device skal i sig selv være sikret. Begrebet "firewall" skal man lade være med at bruge som sikkerhedbegrundelse, da det er falsk tryghed. Men i praksis vil jeg gerne have en dims (firewall) til at holde øje med, hvilken trafik, der faktisk foregår.

Det er bare ikke sådan, producenterne ser på det: Meget hjemme-elektronik kommer med en opsætning, hvor det gladeligt tager imod alt muligt, bare afsenderen er på samme broadcast-net :(

Kan an så ikke opdele sig hjem i 117 subnets? Tjo, det ville måske hjælpe lidt, men ud over at være besværligt, så gør det også dimserne ubrugelige: Chromecast virker kun, hvis den er på samme broadcast-net som telefonen, printeren er ikke meget værd, hvis min laptop ikke kan finde den via broadcast, osv...

  • 2
  • 0
#6 carsten guldhammer

nu lige med tv

jeg er selv ejer af et samsung 42 tommer tv (det hvor der medfulgte 2 sæt 3d briller)

jeg forsøgte skam efeter at have pakket det ud osv osv og have sat det til osv og kørt opsætning, der forsøgte jeg at søge, med tv'ets egen online opdaterings tjeneste, at søge efter en nyere opdatering, men der var den seneste opdatering på det (påstod software tjenesten) efter et halvt års tid får jeg problemer med billedet / led panelet, ringer til samsungs topaurogante kundeservice der fortæller mig at jeg skal smide den senste sofware ind på tv'et jeg forklare så den auropgante stodder fra samsung at jeg HAR søgt op til flere gange efter opdateringer via den opdaterings tjeneste som ligger på tv'et, men får så at vide at den tjeneste IKKE virkerog at man skal hente software opdateringen manualt og køre den fra en usb klods.

når nu jeg køber et tv som eksembelvis samsungs, så bliver man tilbudt at registrere det med mail og fandes pumpestok, men med alle de oplysninger GIDDER samsung ikke engang at sende en servivce mail ud, hvor i der står "der er problemer med vores opdaterings tjeneste, for at være sikker på du har den nyeste softwar så tjeck dennee sidde www.*******.com (bare et eksembel det med stjernerne )

hvad jeg vil sige med forklaringen er:

det hjælper ikke os forbrugere at søge efter den seneste software eller at lukke huller hvis vi ikke engang kan stole på de opdaterings tjenester der ligger i produkterne OG DA SLET IKKE hvis producenterne ikke gidder informere om eventuelle problemer med de tjenester de stillerm til rådighed

  • 11
  • 0
#7 Jan Gundtofte-Bruun

Din frustration lyser ud af dit indlæg, Carsten: ikke nok med, at fundamental funktionalitet er fejlbehæftet, man får også dybt fornærmende behandling når man henvender sig personligt. Jeg har selv været ude for helt samme kunde"service", og derfor er al indkøb af Samsung udstyr bandlyst for mig, min familie, og alle der vil lytte til mig. Deres produkter ser endog meget flotte ud i butikker og reklamer, men når man kommer tæt nok på viser sandheden sig at være noget anderledes.

  • 7
  • 0
#8 Kenneth Schack Banner

Det der med automatiske opdateringer er en meget stor ulempe kontra manuel. Hvorfor? 1. Hvordan ved du at det tvet henter er det rigtige? Hvis en hacker kan modificere ting på tvet kan han vel os ændre automatisk opdaterings kilden? - Det bedste er en mail service hvor man fÅr besked om ny firmware.

  1. Dette gælder os computer BIOS og drivere mange folk ved ikke hvad BIOS er eller at det skal opdateres.. Dette er der visse producenter der gør over netter også fra bios, men igen vidst ikke automatisk og hvad med kilden? (Hvis det er så kritisk som jacoby anviser)
  • 0
  • 0
#9 Jimmy Selgen Nielsen

Firewall i anførselstegn fordi med NAT-PMP, uPNP o.s.v. er den jo ikke meget værd. 90% af de hjemmeroutere jeg har set har uPNP slået til som default. (XBox kræver det vist endda for at virke)

Personligt har jeg en router stående til at håndtere NAT/firewall/geo ip blocking, og bag den ligger så en pfSense med Snort kørende.

pfSense kunne sikkert håndtere det hele hvis jeg havde kastet hardware nok efter den.

Og så selvfølgelig firewall på alting på indersiden.

  • 1
  • 0
#10 Morten Refsgaard

Hehe, jeg havde engang en windows ME, fra AMD. Der opdaterede jeg bios fra AMD´s hjemmeside og kunne efterfølgende ikke geninstallere windows, da BIOS var ændret, kunne dog betale og få dem til at downgrade min BIOS. når et lille sidespring :)

  • 1
  • 2
#11 Knud Jensen

Umiddelbart vil jeg sige overskriften er misvisende i forhold til indholdet i artiklen.

Det er hverken TV eller NAS som giver adgangen til netværket. Det er en PC på netværket som giver mulighed for at misbruge NAS/TV, efter at brugeren har besøgt skumle sider.

Man kunne passende løse dette problem ved at indtaste IP'er på NAS/TV og andet gøgl i ens HOSTS fil.

  • 0
  • 4
#12 Kjeld Flarup Christensen

Scriptet kører på en html-side med en sjov video. Mens det intetanende offer besøger siden, scanner scriptet lokale enheder på netværket i baggrunden for at se, om der skulle være en sårbar NAS-boks.

Det der kunne browseren vel ret simpelt lukke for, ved at se hvilket lokalnet computeren er på. Hvis den side som er loaded ikke er fra lokalnettet, så vil den ikke åbne en socket på lokalnettet.

  • 1
  • 0
Log ind eller Opret konto for at kommentere