Tysk sikkerhedsekspert: Harmløse gadgets kan spionere

Tysk it-sikkerhedsekspert advarer mod svagheder i skoven af smart-home-produkter.

Trådløse pærer, højttalere og termostater er smarte, og flere og flere af os tager med glæde de smarte trådløse teknologier til os og inviterer dem indenfor i vores hjem og på vores arbejdsplads.

Online-røgalarmer vinder frem, og smart-meters til energiaflæsning skal være installeret i alle hjem inden 2021. Men det er de færreste af os, der tænker over, hvad det betyder for vores it-sikkerhed.

Tyske Spiegel Online har bedt it-sikkerhedskonsulent Thorsten Schröder gennemgå en lejlighed fyldt med internetopkoblet teknologi og bedt ham give sit bud på, hvor usikre de trådløse fristelser er.

Thorsten Schröder er medejer af det schweiziske it-sikkerhedsfirma Modzero og arbejder til dagligt som professionel hacker i virksomheder for at teste sårbarheder i deres software- og hardwareprodukter. Thorsten Schröder har blandt andet den tyske forbundsdag blandt sine kunder.

»Begrebet Internet of Things har givet mig mange års arbejde - og mavesmerter,« fortæller han ifølge Spiegel.

Harmløse gadgets kan udnyttes

Noget af det første, Thorsten Schröder bemærker, er, at lejligheden udvalgt til forsøget indeholder produkter fra forskellige producenter. Hver producent benytter sin egen protokol, hvilket øger den potentielle angrebsflade og dermed gør det samlede netværk mere sårbart over for fejl og mindre sikkert.

Thorsten Schröder forklarer ifølge Spiegel, at selvom ingen kan forestille sig, at nogen gider hacke en elektrisk tandbørste, så udgør de mange gadgets, vi tilslutter et trådløst netværk, ofte et springbræt for hackere. En trådløs pære eller højttaler kan således udnyttes til at spionere for en hacker og afsløre interessante adresser på netværket, såsom et netværksdrev eller en computer.

Sparet på sikkerheden

Ved at kigge på indmaden i en Philips HUE-lampe og en WLAN-stikdåse i den tyske lejlighed var det tydeligt for Thorsten Schröder, at begge produkter indeholder billige kredsløb uden sikkerhedschip og derfor er nemme at hacke.

»Sandsynligheden for, at jeg kan læse data via disse produkter, og dermed i væsentlig grad fremskynde en sårbarhedsscanning, er høj. Har man først fundet svagheder, er det muligt at installere en bagdør og oprette permanent adgang til et netværk,« fastslår han ifølge Spiegel.

På den seneste Defcon-sikkerhedskonference i USA demonstrerede hackere, at næsten enhver 'smart' enhed kan angribes - også et køleskab.

Manglende gulerod redder private

Grunden til, at vi ikke oplever hackerangreb hos private, er ifølge Thorsten Schröder, at det typisk vil tage en hacker én til to uger at hacke sig vej til en enhed på et netværk. Arbejdet med at bryde ind hos private står derfor sjældent mål med udbyttet ved angrebet.

En måde at sikre sig mod hacking på er at lave et separat internt netværk til lamper, termostater og anden smart-home-teknologi. Ulempen ved denne løsning er dog, at en stor del af det smarte forsvinder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Benny Lyne Amorsen

De fleste af de der smarte cloud-baserede ting åbner forbindelser ud. Det gør de typisk med rimeligt tvivlsomme protokoller, hvor det er muligt for en angriber at komme på.

Der er også enheder som kan knækkes bare en bruger på samme netværk kommer til at hente den forkerte URL. Den kan man sende som email eller lægge ind på et website som brugeren kigger på.

Der er mange muligheder...

  • 0
  • 0
Henrik K. Jensen

Dvs. hackeren skal først hacke IoT serveren (Hvilket burde give adgang uden om evt. sikkerhed i enheden) eller kompromittere internet forbindelsen. I det andet tilfælde lyder det til at hackeren skal kende den lokale url på IoT enheden og vide hvad det er for en enhed og så få dig til at klikke en url i stil med http://Min_IoT_adresse/xx?hack_code

Jeg syntes umiddelbart ikke at nogen af disse hacks lyder særlig let at bruge.

  • 0
  • 0
Thomas Hedberg

Jeg så en demonstration af David Jacoby fra Kaspersky, så sent som i går hvor han demonstrede en netværksscanning udført via Javascript. Dvs. at folk skal lokkes ind på en webside under hans kontrol.

Imens man så besøger siden scanner Javascript i browseren for enheder der f.eks. svarer på port 80 på det lokale netværk. Dem der svarer testes så for diverse fejl i produkterne. Det lykkedes f.eks. at bryde ind i NAS enheder, blu-ray afspillere og TV apparater, så det er en reel trussel fordi masser af disse enheder reelt er små computere med en masse muligheder.

I hans Javascript udnyttede han at næsten alle kører med samme indstillinger - som f.eks. at alle ISP'er leverer deres router med et hjemmenet der hedder 192.168.0.x.

Han virker specielt utilfreds med at producenterne generelt er ligeglade med sikkerhed i consumer produkter og produkter har alt for kort en levetid og derefter nærmest glemmes af producenten. Et eksempel er et TV som meget ofte ikke modtager væsentlige ændringer bare 6 mdr. efter produktions dato.

  • 0
  • 0
Bent Jensen

Der er også enheder som kan knækkes bare en bruger på samme netværk

Det er nok det, det er jo ikke sikkert man kommer sådan en på det store stygge Internet :-) Men der er ikke alle der har sølvpapirshatte, eller en god firewall.

Så lad os håbe at et hus eller 2 brænder ned, uden nogen kommer til skade. Hvor synderen er en enhed der er blevet hacket, og hvor producenten bliver sat til at betale. Som med de nye hack af biler, producenter er nødt til at vågne op. (OGSÅ)

  • 0
  • 0
Thomas Hedberg

Producenterne er ligeglade fordi det ingen konsekvenser har for dem når de stopper med at vedligeholde produkter få måneder efter de har solgt dem.

Der er et kæmpe behov for lovgivning på området, så producenter og eventuelt distributører kan stilles til ansvar. Det er på tide der bliver ryddet op i den skov af useriøse producenter der findes i dag. Ikke mindst inden at IoT for alvor kommer igang.

  • 0
  • 0
Log ind eller Opret konto for at kommentere