Hackerne sniger sig ind gennem det smarte hjem

Af Aksel Brinck, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Det smarte hjem har været længe undervejs, meget længe. Men nu indtager den elektroniske intelligens vores hjem bord for bord, hjørne for hjørne. Lyttende og talende højttalere med digitale assistenter, overvågningskameraer, der selv giver alarm, trådløse printere og app-styrede termostater er blot nogle af eksemplerne. Alt er imidlertid ikke lutter glæde.

For alle disse nye enheder bruger i større eller mindre grad nettet, og nogle af dem kan endda kommunikere med hinanden trods vidt forskellige funktioner. Det har alverdens it-kriminelle for længst opdaget. De ligger hele tiden på lur efter en ny, god ”forretningsmulighed”. Også mere hæderlige folk – digitale købmænd fra for eksempel Google og Amazon – er blevet opmærksomme på de værdier, der kan skabes, når alting går på nettet.

Endnu er det komplet forbundne smarte hjem dog langt fra en realitet. Men hvor omfattende det kan blive, kan man få en fornemmelse for, hvis man ser på de såkaldte bygningsautomatiseringssystemer (BAS), hvor man for et eller flere ejendomskomplekser har en central, netbaseret kontrol af indemiljø og sikkerhed – herunder ventilation, køling, opvarmning, sprinklere, alarmer, strøm osv.

Betal inden 24 timer!

Sikkerhedsfirmaet ESET er begyndt at interessere sig stærkere for netsikkerheden i byggeri, og herfra skrev researcheren Stephen Cobb i februar om en ejendomsadministrator, som overvågede en ejendom for lægeklinikker med et sådant BAS. Her fik de et chokerende telefonopkald:

”Vi har hacket alle kontrolsystemer i jeres bygning på Main Street 400, og vil lukke bygningen ned i tre dage, hvis I ikke betaler 50.000 dollar i Bitcoins inden for 24 timer.”

Sådan er altså nutiden i ejendomme med mange internetforbundne enheder. Det er selvfølgelig ikke nutiden i private hjem, men helt sikkert fremtiden – og dermed et godt eksempel på, hvad der venter os almindelige danskere om ikke så længe.

Åbner helt nye bagdøre

Det er dog ikke helt rigtig, at der ikke allerede sker egentlige hackerangreb på smarte hjem i dag. For eksempel er det påvist, at kommunikationen mellem sikkerhedskameraer i private hjem og mobiltelefoner ofte ikke er krypteret, hvorfor ip-adresser, det streamede indhold og kamerainformationer er frit tilgængelige for ferme it-kriminelle.

Helt tilbage i 2016 inficerede trojaneren Mirai Botnet tusindvis af computere og fik dem til at søge efter sårbare IoT-enheder som digitalkameraer og harddiskoptagere og derefter inficere dem med malware. Også webkameraerne SecurView fra Trendnet har kunnet aflyttes, hvilket fik den amerikanske stat til at gribe ind over for firmaet. Og der dukker hele tiden nye eksempler op i pressen.

Så hvor sikre er vi, når det kommer til stykket?

Ifølge channel director Leif Jensen fra ESET Nordics er det dog ikke så meget traditionel hacking, der er udfordringen lige nu. Antallet af smarte enheder i hjemmene er endnu ret begrænset, og de ”taler” ikke sammen i særlig høj grad. Men hver enkelt enhed har den – for de it-kriminelle – særlige fordel, at de er koblet på hjemmets trådløse router og dermed befinder sig bag den firewall, der normalt gør det svært for hackere at få adgang til dine personlige data.

”De fleste hjem i Danmark har en firewall til internettet. Der kan man som hacker ikke komme igennem. Man må have et eller andet inde bagved, og det er IoT-devices gode til, for de er bag firewallen. Er denne enheds sikkerhed så svag, at hackeren kan få adgang til at overtage den, kan han også gå ind og ændre oplysningerne i routeren, så den ikke går på nettet gennem din dns-server, men hackerens server. Det kan bruges til for eksempel at sende dig målrettede reklamer,” siger Leif Jensen.

Svag i koderne

”En termostat er som sådan ikke særlig interessant. Men alle de nye enheder i hjemmene giver langt flere indgange til at finde din mest almindelige adgangskode,” forklarer han.

De fleste mennesker gider ikke huske på 100 forskellige passwords, men sælger ofte den samme kode på tværs af mange tjenester. Mest sløsede er vi, når vi tilmelder os en tjeneste via mobilen, viser ESETs erfaring. Og hvis hackerne først har opsnuset en enkelt adgangskode, bliver den solgt sammen med andre koder på distribuerede lister.

”Det er heller ikke alle tjenester, der har de samme muskler som de store aktører inden for smarte devices, for eksempel Amazon og Google, så er de her cloudtjenester sikre nok? De bliver ind imellem hacket,” siger Leif Jensen – og det kan føre til, at tjenesternes brugere ikke blot udsættes for reklame, men også for afpresning. Det er privatlivets sikkerhed, der er på spil, advarer han.

Leif Jensen advarer også mod apps, der lover at fungere som bindeled mellem hjemmets forskellige smarte enheder og samle dem i et samlet netværk eller en fælles brugerflade. Det gælder især i Google Play.

”Sådan en app kan være styrede af kriminelle, så man skal være kritisk og undersøge på nettet, om appen er kendt som usikker. Denne type apps kan måske nok stoppes af sikkerhedssoftware, men når det handler om mobiltelefoner, har langt under halvdelen af forbrugerne en beskyttelse. Man har et mere afslappet forhold til sin mobil, og det er risikabelt,” forklarer Leif Jensen.

Han vurderer, at sikkerhedsproblemerne vil vokse de kommende år – i takt med at hjemmene bliver mere og mere smarte. ”Det vil se helt anderledes kritisk ud om tre til fem år, når smarte devices er blevet en integreret del af hjemmet. Men det er godt at øve sig nu,” råder Leif Jensen.