Artikel top billede

(Foto: Computerworld)

Dit internetstik er en åben hacker-hoveddør

En ekspert fra sikkerhedsfirmaet Kaspersky har som eksperiment prøvet at hacke sig ind i sin egen bolig gennem internetstikket og Wi-Fi-routeren. Det gik overraskende nemt. Men du kan heldigvis forholdsvis nemt gøre livet surt for eventuelle ubudne ”IT-gæster”.

Af Palle Vibe, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Cyberkriminelle bliver stadigt mere aggressive og hittepåsomme. Vi hører jævnligt om tilfælde, hvor hackere har krævet løsepenge af både private og organisationer for at låse hacket udstyr op igen.

[irp]

Det kan være surt nok for os almindelige forbrugere, men det kan være katastrofalt for eksempelvis hospitaler, der får låst livsvigtige journaler eller for elforsyningsselskaber, der oplever, at indtrængere har infiltreret deres forsyningscentral. Angrebene, der både kan have berigelse og terror som formål, udføres gennem internetforbindelsen ved hjælp af ransomware. Og ældre software er hackernes allerbedste allierede i deres evige jagt efter både magt og lettjente penge.

En dataingeniør hacker sig selv

Sikkerheden ved brug af smarte apparater i og omkring vore boliger i hjemmet og udenfor er et af tidens varme emner. Mange har i dag – ud over mobil og computer, trådløs printer, satellitmodtager og musikstreaming – intelligente fjernsyn, kloge robotstøvsugere, lysstyringer og alarmanlæg. Ude i indkørslen har vi måske opsat et app-forbundet kamera, og græsplænen bliver vedligeholdt af en automatisk plæneklipper, der også kan styres af en app.

Læs også: Gratis program finder sikkerhedshuller i dit hjemmenetværk

Et typisk moderne hjem har måske op til små ti apparater, der er forbundet til boligens lokale netværk og Wi-Fi direkte eller via apps. Foruden naturligvis den centrale trådløse router, der er tilsluttet husets faste internetforbindelse i væggen. Og hvis sikkerheden ikke er god nok, er der i princippet ingen, der hindrer hackere i at bryde ind i og overtage kontrollen af enhederne.

Sikkerhedsspecialisten David Jacoby besluttede sig for at finde ud af, om hans eget hjem var ”hackable”. Han arbejder til daglig som seniorforsker inden for datasikkerhed i den nordiske afdeling af security-firmaet Kaspersky Labs, der udvikler antivirus- og anti-spyware programmer samt spamfiltre og mange andre sikkerhedsprodukter til it-beskyttelse.

Kaspersky Labs security-ekspertens bedste råd mod hacking

1) Først og fremmest er det vigtigt, at du altid har installeret seneste firmware og sikkerhedsopdateringer. Hvis du ikke kan finde opdateringer til dine apparater, er de hårdt og brutalt sagt forældede, og du kan ikke rigtigt gøre noget for at sikre dem yderligere.

2) Dernæst er det en rigtig god ide at ændre det fabriksvalgte brugernavn og password, for det er selvsagt det første en hacker vil prøve at finde ud af for at skaffe sig adgang. Brug kryptering, når du kan, og det gælder også de filer, du lagrer på f.eks. NAS (Network-attached Storage) eller anden netforbundet lagerenhed. Har du ikke et krypteringsværktøj inden for rækkevidde og erfaring i at bruge kryptering, kan du gemme dine filer i en password-beskyttet zip-fil. Det er måske ikke helt så sikkert, men det er bedre end slet ikke at gøre noget.

3) De fleste private routere har mulighed for at opsætte forskellige lokale DMZ eller VLAN netværk. Med et DMZ (DeMilitarized Zone) netværk eller et VLAN (Virtual Loacal Area Network) kan du oprette små selvstændige netværk for dine netforbundne enheder, hvilket vil begrænse adgangen til og fra enhederne. Du kan ofte finde vejledning for den aktuelle opsætning på producenternes hjemmesider.

4) Hvis du er tilstrækkeligt teknisk kyndig og virkelig vil gardere dig, kan du oprette softwareovervågning af datatrafikken fra enhederne ud på nettet og fra nettet til enhederne. På den måde kan du opdage, om der foregår mistænkelige dataoverførsler frem eller tilbage. På samme måde kan du også afskære enhederne fra at hente andre data end opdateringer fra producenten på nettet. Men den største fare i forbindelse med hacking af hjemmeudstyr er faktisk, at de fleste slet ikke tænker særlig meget over en eventuel risiko og rask væk lader alle deres netforbundne apparater helt åbne og ubeskyttede.

Og den udfordring, han gav sig selv, var at finde ud af, hvor let eller svært det ville det være at hacke sig ind i en almindelig bolig med almindelige opkoblede apparater, og hvad ville en hacker reelt kunne gøre, hvis det lykkedes ham eller hende?

”Jeg var temmelig sikker på, at mit hjem var temmelig sikkert beskyttet,” fortæller David Jacoby.” Og desuden er mit hjem måske ikke engang særlig udsat, for jeg har faktisk ikke særligt mange hackbare gadgets,” afslører han.

Men når det kom til stykket havde David Jacoby – selv med hans computerudstyr undtaget – en overraskende stor flok af apparater og enheder, der alle stod i forbindelse med nettet. Og med en forskningsbaggrund på 15 år inden for datasikkerhed er han naturligvis også fuldt ud klar over muligheden eller risikoen for hacking.

”Jeg tog kontakt med et lokalt sikkerhedsfirma,” fortæller han, ”og de anbefalede mig at anskaffe et af de allernyeste nettilsluttede alarmsystemer, der kan fjernstyres fra en mobilapp! Men efter mit lille eksperiment synes jeg måske ikke, at dette længere er så god en ide.”
Allerførst lagde Jacoby ud med at definere en hacking.

For at en enhed kan siges at være blevet hacket, skal i hvert fald en af følgende tre betingelser være opfyldt: 1) Der skal være skabt fri adgang til enheden (inklusive de filer, der eventuelt måtte ligge på den). 2) Der skal være opnået administrative rettigheder til enheden. 3) Eller adgangen har gjort det muligt at ændre eller modificere enheden efter ønske og hensigt.”Derpå satte jeg mig ned og opdaterede alt mit udstyr med seneste

firmware-version, ”fortsætter han. ”Det burde sådan set på moderne apparater ske automatisk, men det var langt fra alle enheder, der var forsynet med automatisk opdatering, og det gjorde kun processen ekstra besværlig. En anden forstemmende opdagelse var, at mange af mine enheder faktisk var taget af markedet for over et år siden, og der var ikke skrevet opdateringer til dem siden.”

I undersøgelsens forløb stødte Jacoby yderligere på den ejendommelighed, at nogle af hans enheder havde skjulte funktioner. ”Eksempelvis min DSL-router, der viste sig at have den ene feature efter den anden, som bl.a. Web Cameras, Telephony Expert Configure, Access Control og WAN-Sensing.

En anden af de mange muligheder var at slutte forbindelse til enhver anden ønsket enhed på nettet. Hensigten var formentlig at give udbyderen mulighed for at udføre support på forskellig vis. Selv gav den mig ikke adgang, men tænk, hvis det lykkedes forkerte personer at skaffe sig den?”

Efter at Jacoby havde gennemgået alle sine nettilsluttede apparater og behørigt opdateret de af dem, han kunne, fandt han i alt 14 sårbarheder, der ville give en hacker administrative rettigheder og på god og sikker kujonafstand tillade vedkommende at oprette nye systemkommandoer mv.

To af enhederne viste sig ikke bare at have et sårbart webinterface, men også svage passwords, og en hel del af konfigurationsfilerne havde fejlagtige programlinjer, som for det ikke skulle være løgn også angav kodeordene i klar tekst.

Hvad ville en hacker, der netop havde hacket sig ind i boligens lokale netværk og den trådløse router nu mest oplagt gøre? ”Jo, tv’et hentede jo sikkert en del information fra nettet via routeren, og ganske rigtigt fandt jeg her en gedigen sikkerhedsbrist,” erkender David Jacoby.

Det viste sig faktisk, at alle ikoner mv., der blev vist under opsætningen af tv’et, blev downloadet fra producenten undervejs. ”Men tv’et brugte ingen former for autentificering eller kryptering, hvilket tillod en eventuelt hacker at modificere billederne så let som ingenting. Og endnu værre ville det også være muligt at hente enhver mulig Java-fil, hvilket ikke er godt.” David Jacoby forklarer, at en hacker kan på den måde udnytte eksempelvis JavaScript til at læse lokale filer fra tv’et og udnytte indholdet i disse filer til at finde endnu flere sikkerhedshuller.

Der vil nok altid kunne findes nogle fejl og sikkerhedssvagheder i netforbundet hjemmeudstyr, indrømmer David Jacoby. ”Men det er ikke det samme som, at vi som forbrugere blot skal acceptere sådanne skavanker. Når hackere kan (og derfor også før eller senere vil) skaffe sig adgang til boligens IoT-udstyr, er det derfor vigtigt at vide, hvad du som forbruger selv kan gøre for at smække døren i.

Du må ikke bare tro, at det er nok at have et stærkt password og lidt antivirus,” advarer Jacoby, ”for producenterne af ikke mindst netforbundet hjemmeunderholdningsudstyr tænker måske ikke særlig meget over sikkerheden i de mange smarte funktioner, de ofte tilbyder.

Hvem overvåger overvågningskameraet?

Overvågningskameraer er i dag en almindelig foreteelse i Danmark. Der bliver opsat flere og flere sådanne kameraer i det offentlige rum til angivelig beskyttelse af vores helbred og interesser. Mange installerer også overvågningskamera i og omkring deres hjem. Problemet er, at disse kameraer for langt de flestes vedkommende er tilsluttet nettet og streamer trådløst til en vagtcentral eller til en mobil-app.

Og uden tilstrækkelig omtanke i opsætningen, kan det meget vel resultere i, at andre også kan se med. Hjemmesiden insecam.org bringer life-streams fra såvel alle offentlige overvågningkameraer i verden som private, der ikke er specielt sikrede af et personligt password, men udelukkende forlader sig på det fabriksindstillede brugernavn og kodeord.

Det er ikke imod international lovgivning som sådan at viderestreame fuldt tilgængelige kamerabilleder, mens lokal lovgivning som regel sætter visse begrænsninger. Det kan f.eks. dreje sig om overvågning af private firmaers p-pladser, elevatorer og lagerbygninger og meget andet, men det kan altså også dreje sig om private hjem, og hvad der måtte foregå her.

Mange af disse kameraer er højst sandsynligt installeret af almindelige forbrugere, som ikke er bekendt med, hvordan deres kameraer skal sikres ordentligt. Og ofte siger vejledningen heller intet om indstilling af password for at sikre mod uvedkommende ”kik-med” .

Det udsætter måske ikke brugeren for direkte fare eller manipulation, men det er ikke behageligt og heldigvis noget, som i langt de fleste tilfælde kan klares med fornuftige indstillinger i opsætningen og et godt password.

Du køber flere og flere sikkerhedshuller

I takt med at flere og flere husholdningsappa-rater som køleskabe og robotstøvsugere mv. lanceres med smarte funktioner og mulighed for appstyring og opkobling via stik eller Wi-Fi, opstår også flere og flere potentielle sikkerhedshuller, som drevne hackere kan udnytte til at finde vej ind til resten af dine opkoblede apparater.

Og her er det vigtigt at huske, at den indbyggede software (i modsætning til resten af apparatet), ikke er omfattet af nogen garantier eller ansvar. Det er helt op til producenterne at bestemme, hvornår og i hvilket omfang softwaren eventuelt skal opdateres, eller om det overhovedet skal ske. Det kan betyde tab af funktioner, men langt værre også tab af sikkerhed.

Grædende engel lytter med gennem dit tv

Wikileaks har offentliggjort oplysninger, der angiver, at Embedded Devices Branch (der er en underafdeling af CIA), har udviklet et softwareprogram, der kan fifle med et Samsung-tv, så det ser ud som om, det er slukket, mens det i virkeligheden er tændt. Herefter kan programmet aflytte rummet, som tv-apparatet er opstillet i, via den indbyggede mikrofon.

Programmet hedder ”Weeping Angel” og er udformet som en app, der minder så meget om en standard Samsung-app, at det er let at tage fejl. Weeping Angel blokerer tilmed for den funktion, der ellers henter sikkerhedsmæssige opdateringer til tv’et.

På den anden side er der også praktiske grænser for, hvor længe du realistisk bør kunne forvente at modtage softwareopdateringer for et givet produkt. Langt de fleste elektroniske apparater holder sjældent længere end 4-5 år. Måske ikke fordi de slides, men simpelthen fordi de bliver teknisk forældede og skiftes ud til nyt og endnu smartere.

Flere analysefirmaer har tillige peget på, at hvis lovgiverne indfører en masse regler på området, vil det netop spænde ben for udvikling og nytænkning. Vi forbrugere må derfor nok bare vænne os til, at vores it-produkter har en medfødt ”sidste opdateringsdato”, som producenterne så til gengæld også skal blive lidt bedre til at oplyse om i forvejen.

Pas på - børnenes legetøj lytter gerne med

Der er i dag adskillige mulige mål for hacking og muligheder for, at uvedkommende kan snage i dit privatliv. Selvom du sætter tape hen over kameraet i din bærbare eller ligefrem afmonterer den indbyggede mikrofon, er der desværre andre lumske spionagemetoder. I Tyskland er legetøjsdukken Cayla, der også kan købes i danske butikker, blevet stemplet som et ulovligt overvågningsapparat af det tyske netværksagentur.

Cayla er en interaktiv dukke med indbygget Bluetooth og mikrofon og kan svare på en masse spørgsmål via onlineforbindelse til ”skyen” og en tilhørende app. Men Cayla-dukken og lignende produkter, der rummer kamera og mikrofon, kan transmittere data, uden du opdager det. Under et forsøg er det eksempelvis lykkedes at gå ind og rette i dukkens software, så den bander på det forfærdeligste.

Langt værre er det dog, at det er muligt for indtrængende hackere at vende højttalere om, så de bliver til mikrofoner, der kan optage (og dermed gøre dem til et effektivt overvågningsudstyr). Israelske forskere har skrevet et malwareprogram, der kan klare det digitalt uden at fifle med selve hardwaren. Og det kan tilmed ske, selv når apparaterne er slukkede.

Malwaren kaldes Speake(a)r og virker også på eventuelle tilsluttede øretelefoner. Under et forsøg hackede forskerne en computer, hvori der sad et sæt billige ørepropper, og kunne uden problemer optage alle lyde op til seks meter væk. Forskerne brugte dog en forholdsvis ukendt funktion i RealTek audio code chips, der kan lave en output-kanal om til en input-kanal, hvilket vil sige, at høretelefonerne kan optage lyd, selvom de sidder i en output-kanal.

Men disse chips er indbygget i langt de fleste almindelige computere uanset styresystem. Forskerne har ikke undersøgt andre lydchips, men har en vis mistanke om, at det samme vil være tilfældet med chips af andre mærker.