Når talen falder på Internet of things og sikkerhed bliver det ofte forbundet med hackere, der kan tilgå eksempelvis køleskabet i hjemmet via internettet og i bedste fald bare fordærve mælken ved at slukke for det. Men som bekendt har de internetopkoblede køleskabe ikke tilnærmelsesvis fundet vej ind køkkenet. Til gengæld har smart-tv’er, netværksharddiske og lignende udstyr for længst invaderet vores hjem.
Og mens vi venter på internetkøleskabet, giver den gængse forbrugerelektronik al mulig grund til at tage it-sikkerheden i hjemmenetværket gravalvorligt. Det er i hvert fald indtrykket, som it-sikkerhedsekspert fra Kaspersky Lab David Jacoby efterlader efter over for Version2 at have gennemgået de tekniske detaljer i det hackerangreb, han udførte mod den forbrugerelektronik, han tilfældigvis selv havde stående. Blandt andet NAS-bokse og smart-tv.
Download Version2′s Insightmagasin: Privacy & Sikkerhed – Når alt er på nettet her.
Det overordnede problem med forbrugerelektronikken er, fortæller Jacoby, bare grundlæggende dårlig sikkerhed. Det er slet ikke tænkt ind i produkterne fra starten. Og skulle producenterne så endelig frigive en softwareopdatering til de internetopkoblede produkter, der lukker de værste huller, er den ofte bøvlet for almindelige mennesker at installere.
»Problemet med forbrugerprodukter er, at der kommer en ny enhed en gang om året eller hver sjette måned. Hele tiden nye enheder. Nye tv-apparater. Og hvor tit er det lige, man som forbruger skifter tv,« spørger David Jacoby og henviser til, at produkterne, eksempelvis et flere år gammelt tv, risikerer at ryge i producenternes glemmebog, hvad angår opdateringer.
Det lykkedes David Jacoby at afsløre adskillige svagheder i de to NAS-bokse, fra to forskellige producenter, han havde stående. Blandt andet korte standardkodeord i det underliggende Linux-system og en direkte adgang til en konfigurationsfil med systemindstillinger i boksene. Filen kunne alle med adgang til hjemmenetværket tilgå.
Opdateret software
Nogle tænker måske, at der er tale om håbløst forældede bokse, der aldrig er blevet opdateret, inden David Jacoby gik i gang med at hacke. Men det er ikke tilfældet, bedyrer han. Dels var udstyret ikke specielt gammelt, dels havde han sikret sig på møjsommelig vis, at udstyret var opdateret med seneste softwareopdatering.
»Sikkerhedsindustrien tager generelt ikke ansvaret for at tale om it-sårbarheder, løsninger og trusler, der er relevante for dig, mig, min mor, min nabo, min datter, min hund eller mine børnebørn,« siger David Jacoby.
Efter at have identificeret flere huller i boksene via adgang fra sit eget hjemmenetværk udviklede David Jacoby et javascript. Scriptet kører på en html-side med en sjov video. Mens det intetanende offer besøger siden, scanner scriptet lokale enheder på netværket i baggrunden for at se, om der skulle være en sårbar NAS-boks. Bliver boksen fundet, bliver den automatisk inficeret med en bagdør. Boksen ringer nu ud fra hjemmenetværket uden problemer, da outbound-forbindelser som regel er tilladt. Herefter opretter den en forbindelse til en IP-adresse angriberen har defineret, og boksen kan nu fjernstyres.
Det vil sige, den kan indgå i et botnet, indholdet på den kan tilgås, og den kan bruges som videre angrebspunkt ind i hjemmenetværket. Det sidste benyttede David Jacoby sig af til at få sit smart-tv til at køre vilkårlig javascript-kode.
Nærmere foregik det via ARP-spoofing, der fik tv’et til at koble op til NAS-boksen i stedet for tv-producentens hjemmeside i forbindelse med blandt andet widget-opdateringer.
Bange for at ødelægge tv
Jacoby gik ikke videre i udforskningen af tv’ets svagheder, fordi han simpelthen var bange for at ødelægge det.
»Hvis jeg ødelagde mit tv, så ville jeg blive ked af det. Og jeg ville ikke kunne forklare min datter, at hun ikke kunne se Scooby Doo, fordi far havde arbejdet for meget,« siger David Jacoby.
Han har været i kontakt med leverandøren af tv’et, som takker for informationerne og vil se på sagen. Et lille proof-of-koncept har Jacoby dog også lavet. Han har fået tv’ets kalender-widget til at anvende et billede af figuren Borat, spillet af Sasha Baron Cohen. Men apparatet henter også javascript, og det kan være noget mere problematisk end billederne.
»Det downloader også javascript. Det betyder, at det kører den javascript, jeg ønsker. Og med javascript kan man også læse lokale filer,« siger David Jacoby og henviser til, at han formentlig ville kunne hive endnu flere oplysninger ud af tv-apparatet, der kunne bruges til yderligere kompromittering.
Folk vil have funktionalitet i stedet for sikkerhed
Jørn Guldberg sidder i bestyrelsen for Rådet for Digital Sikkerhed og er derudover Ingeniørforeningen IDAs faglige ekspert på it-området. Han er helt enig i David Jacobys betragtninger i forhold til de sikkerhedsudfordringer, som helt almindeligt netopkoblet udstyr i hjemmet kan give.
»Folk går efter funktionalitet, og de regner med, at sådan noget udstyr er sikret. Det er det ikke. Det er en så ny verden, at behovet for sikkerhed endnu ikke er blevet ordentlig erkendt. Og det bliver endnu værre, når der også kommer køleskabe og andet på,« siger Jørn Guldberg og fortsætter:
»Hvis man ikke har styr på at opdatere eksempelvis sin router, så er der ikke styr på sikkerheden. Og jeg tror, det er de færreste, der kan sige, at deres router er helt opdateret.«
Ud over at de potentielle ofres tv, printer, router, NAS-boks eller andet risikerer at indgå i kriminelle netværk, hvor udstyret kan blive brugt af bagmænd og måske ligefrem indgå i de såkaldte botnets, forestiller Jørn Guldberg sig også, at et helt håndgribeligt scenarie kan blive resultatet af usikker forbrugerelektronik.
Ransomware
Ransomware er en særlig type malware, der findes i dag, og som bliver brugt til at gøre filer og harddiske utilgængelige, indtil offeret betaler en løsesum til bagmændene. Samme teknik vil i princippet kunne blive brugt mod et smart-tv eller andet underholdningsudstyr, forestiller Jørn Guldberg sig.
»Altså hvis man vil have tv’et til at fungere igen, så skal man indbetale nogle penge. Man kan lige høre ungerne, hvis ikke de kan få lov at se et bestemt tv-program. Så er det mit
gæt, at forældrene er villige til at betale,« siger han.
Indtil den generelle sikkerhed i internetopkoblet forbrugerelektronik som tv og NAS-bokse bliver bedre, mener David Jacoby, at en hurtig forbedring af sikkerheden i hjemmenetværket vil være simpelthen at fjerne internetadgang for udstyr, der ikke har behov for at kunne tilgå internettet.
Det er dog ikke nødvendigvis trivielt at sætte udstyret op, så det stadig kan tilgås via hjemmenetværket, men ikke koble ud på internettet, påpeger David Jacoby.
Han sender i stedet bolden videre til producenterne.
»Der er masser af løsninger, men jeg kan jo ikke ringe til min mor og bede hende fjerne gateway-adressen. Sikkerhed skal bygges ind fra starten. Og det skal eksperter og journalister gøre opmærksom på, så folk er klar over, at der ikke eksisterer nogen gode løsninger på nuværende tidspunkt,« siger David Jacoby.
Hent vores onlinemagasin Version2 Insight: Privacy & Sikkerhed – Når alt er på nettet og læs hele historien om sikkerhedsproblemerne med hjemmets enheder. Få råd til hvordan du øger sikkerheden, etablerer holdbare passwords og meget mere. Hent det gratis her.
Leave a Reply