Jo flere dimser vi kobler på nettet, jo mere sårbare er vi over for hackere. F5 har spurgt en professionel hacker om, hvordan han ville bryde ind i din virksomhed
Om fem år vil der være flere maskiner på internettet, end der er mennesker, mener flere eksperter. Og kigger man på elektronikbranchen, ser den prognose ud til at holde stik.
På forbrugerelektronikmessen IFA, der løb af stablen i Berlin sidste uge, præsenterede SAMSUNG nemlig en vision om, at alle dine elektronikprodukter i dit hjem er internetforbundne og kommunikerer med hinanden i 2020. Systemet der skal understøtte dette kalder de for Smart Things Hub. I industrien har man i nogle år efterhånden også talt om erhvervspendanten til smarte hjem, nemlig industri 4.0, der kort fortalt dækker over, at vores industrirobotter taler sammen over det trådløse netværk. M2M (Maschine to maschine, red.)
Men hver gang en ny dims kommer på nettet, får potentielle hackere en ny mulighed for at bryde ind i dit system og bogstavelig talt låse dine døre op, åbne dine vinduer og tjekke din e-mail eller din kundedatabase. You name it.
Læs også: Analyse: Fællesskab trumfer ensomt geni
Hvordan bærer en hacker sig ad med at bryde ind i din virksomhed igennem alle de her dimser? Vi har spurgt Ulf Munkedal, der er sikkerhedspecialist og CEO i virksomheden Fortconsult. De hacker til dagligt store virksomheder for.. ja de store virksomheder selv. For tyve år siden var Ulf Munkedal med til at lægge grundstenene til internettet i Danmark, som han udtrykker det.
Hvilke dimser ville du gå efter først, hvis du skulle hacke dig ind i en virksomhed?
“Der er som regel nok at vælge imellem. Overalt i Danmark er der efterhånden dimser, der er internetopkoblede, har en protokol og er internetforberedte. Det er alt fra playstations, til fjernsyn, printere, trådløse netværk, vandpumper, kraftværker og relæstationer. Men det første jeg ville kigge efter, var nok om der var et trådøst netværk, og så ville jeg bruge nogle forskellige programmer for at se, hvad det er for en enhed og et system vi har med at gøre. Det hedder fingerprinting.
Hvor ville du gøre det?
Jamen, det kunne man gøre ude fra parkeringspladsen.
Hvornår hackede du dig første gang ind i en dims i en virksomhed?
Det er snart femten år siden. Det var dengang jeg selv sikkerhedstestede. Dér hackede jeg en printer. Jeg hackede firewallen og brød ind i virksomhedens system og printede et par sider på printeren og så, hvilke printjobs der lå på den.
Hvordan bryder man ind i en dims?
Når jeg ved hvilket system en enhed bruger, kan jeg tjekke hvilken version af systemet, der er installeret og finde ud af, om der er opdateringer af det system, som ikke er installeret på enheden. Og så ser jeg på, hvilke sårbarheder de seneste opdateringer skal beskytte imod. Manglende opdateringer er en af de typiske svagheder. Og så handler det om at sende nogle pakker, som systemet ikke kan tåle, så man bringer systemet i en fejltilstand. Der står rigtig mange routere ude i hjemmene, som tilhører internetudbyderne. De mangler ofte opdateringer, og så er de sårbare. Ofte er det jo praktisk umuligt for folk, at opdatere deres enheder hele tiden, og nogle gange, kan det slet ikke lade sig gøre at opdatere sit fjernsyn for eksempel.
Læs også: Din elpære kan være en it-trussel
Er der andre måder, at bryde ind på?
En anden typisk svaghed er, hvordan systemerne er sat op. Det kan sagtens være, at enheden er opdateret, men så slår brugerne en funktion til eller fra, så man for eksempel kan få adgang til administrationssiden af en router ude på internettet. Mange af de her internet of things-dimser har et website, hvor man kan logge på og indstille forskellige ting. tænde eller slukke for lyset, slå alarmer til og fra eller skrue op og ned for varmen. Men med trådløse netværk, kan det være svært at skjule de her sider fra udefrakommende, og man kan hurtigt komme til at lave en opsætningsfejl, der gør dit site offentligt tilgængeligt.
… og så er der passwords
Rigtig ofte er brugernavn og password ikke indstillet ordentligt, når de kommer fra fabrikken. Ofte er brugernavnet ‘admin’, og så er der ikke noget password, eller passwordet er ‘1234’ eller ‘0000’, der er standarden for bluetooth-produkter. Og det er der jo ikke nogen, der går ind og ændrer, når de får et nyt fjernsyn. Og det er svært for udbyderne at tvinge folk til det, fordi folk vil jo bare gerne bruge deres dims med det samme.
Har I en liste over typiske passwords?
Ja, vi har en liste, som vi altid prøver af. Koderne ‘1234’ og ‘password’ er ret populære. Og så kodeord, hvor bogstaverne står i rækkefølge på dit tastatur. For eksemepel ‘qwerty’ og ‘qwerty1234’.
Hvad er typisk det svageste punkt i en virksomhed?
Mennesker er stadig det svageste punkt, når det kommer til sikkerhed i en virksomhed. Hvis man vil teste sikkerheden, vil man typisk sende en mail til alle i virksomheden, med et link, som man får folk til at klikke på. Så kan man logge ind på deres computere og komme ind i systemet og på hjemmesiden. Det gør vi tit, for mange virksomheder er interesserede i at vide, om deres sikkerhedspolitiker rent faktisk bliver overholdt. I over 75 procent af tilfældene kommer vi ind i systemet efter få dages arbejde. Så det er den allerførste vej, jeg ville forsøge at komme ind. Men om tre til fem år ville jeg nok først gå igennem internetopkoblede ting.