När hemmets prylar byter sida

Mirai-attac­ker­na som ska­ka­de nätet i vec­kor bestod av 145 000 dåligt skyd­da­de och upp­kopp­la­de var­dags­pry­lar (Internet of things). Programvaran i des­sa pry­lar upp­da­te­ras säl­lan och pro­duk­ter­na är desig­na­de för att vara så enk­la som möj­ligt.

Allt från vide­o­spe­la­re till över­vak­nings­ka­me­ror ompro­gram­me­ra­des till ”botar” och använ­des för att över­be­las­ta före­tag, myn­dig­he­ter och medi­er.

Botnätverk

Vare sig det är en dator, över­vak­nings­ka­me­ra eller annan tek­nisk pryl så kal­las den för bot när den kapas. När tusen­tals botar sam­las i ett bot­nät­verk, ett så kal­lat bot­net kan de använ­das i en dis­tri­bu­e­rad över­be­last­ning­s­at­tack (DDoS-attack). Ett av de mer upp­märk­sam­ma­de DDoS-attac­ker­na i Sverige utför­des mot svens­ka Polisen den 1–2 juni 2006, tro­li­gen som en följd av att saj­ten The Pirate Bay stäng­des den 31 maj och orga­ni­sa­tio­nens serv­rar togs i beslag.

En kart­lägg­ning från data­sä­ker­hets­fö­re­ta­get Symantec visar att anta­let upp­kopp­la­de pry­lar som används i bot­nät­verk glo­balt upp­går till 6,7 mil­jo­ner.

Under Mirai drab­ba­des fram­förallt USA:s inter­net och soci­a­la medi­er som Twitter. I Sverige drab­ba­des främst före­tag men även rege­ring­ens hem­si­da fick sig en törn.

Lösenord med låg säkerhet

Mirai utnytt­jar en gans­ka sim­pel metod. Det scan­nar av nätet efter IoT-pro­duk­ter som leve­re­ras med enk­la stan­dard­lö­senord – likt ”lösenord”, ”admi­nist­ra­tör” eller ”1234” – och pro­var att log­ga in och instal­le­ra den skad­li­ga koden.

– Det är trå­kigt att vi inte kom­mit läng­re på lösenords­fron­ten, säger Jonas Lejon som i dag dri­ver IT-säker­hets­fö­re­ta­get Triop. Han har en bak­grund inom FRA och Försvarsmakten där han arbe­ta­de med cybe­rin­ci­den­ter och säker­hets­gransk­ning­ar.

Hackad konstsnömaskin

Jonas stö­ter dag­li­gen på pry­lar med dålig säker­het. Främst är det gräns­snit­ten för att admi­ni­stre­ra pry­lar­na som är det sår­ba­ra.

– Oftast lig­ger ope­ra­tör­spa­ne­len vidöp­pen mot inter­net. Ett exem­pel jag stöt­te på för ett tag sedan var någ­ra konst­snö­ma­ski­ner som hade hac­kats. Jag vet inte rik­tigt var­för de kapa­des, men orsa­ker­na kan vara många, säger Jonas och fort­sät­ter:

– Det kan vara bus­ung­ar som bara tes­tar om det går att hac­ka en pryl. Sedan kan det vara kri­mi­nel­la som hac­kar i utpress­nings­syf­te. Vi har varit rela­tivt för­sko­na­de mot det­ta, men jag tror att vi kom­mer se mer av det­ta i fram­ti­den.

Främmande makt och under­rät­tel­se­tjänst kan ock­så pene­tre­ra system för att i hän­del­se av krig stänga ner el, vat­ten- eller and­ra infra­struk­tur­sy­stem i utval­da områ­den.

Så står sig det smarta hemmet mot angrepp

Det mest veder­tag­na drift­sy­stem för att fjärr­sty­ra funk­tio­ner i det smar­ta hem­met är KNX. Systemet är oftast lokalt knu­tet utan upp­kopp­ling mot nätet. Det bety­der att det inte är lika enkelt att hac­ka ett KNX-system.

I Kina hac­ka­des ett lyx­ho­tell som kopp­lat upp sitt KNX-system mot inter­net. Hotellet vil­le helt enkelt göra det lät­ta­re för gäs­ter­na att sty­ra lju­set, tem­pe­ra­tu­ren och tv:n i sina rum. Jesus Molina, som arbe­tar för ett säker­hets­fö­re­tag i USA, tog sig in i hotel­lets system för att bevi­sa att det hade svag­he­ter. Utöver att han simul­tant kun­de byta tv-kana­ler­na i alla hotell­rum­men kun­de han ta sig vida­re till and­ra system utö­ver de som kon­trol­le­ra­de rum­men. Jesus rap­por­te­ra­de sedan pro­ble­men till hotel­lets säker­hets­av­del­ning som fick ompro­gram­me­ra syste­met.

– Ett pro­blem med det kine­sis­ka hotel­let var att KNX-syste­met var upp­kopp­lat mot nätet, vil­ket det inte ska vara. Att det var sam­man­kopp­lat med and­ra system var det egent­li­ga pro­ble­met. Det är så kri­mi­nel­la exem­pel­vis kan kom­ma åt betal­ter­mi­na­ler, säger Jonas.

Använder VPN

Björn Rudolfsson är pro­dukt­chef för fas­tig­hets­au­to­ma­tik på Hager som till­ver­kar system för smar­ta hem.

– Våra system består av KNX-lös­ning­ar och jag bru­kar säga att det inte finns någon anled­ning att hac­ka dem eftersom de gene­rellt inte är upp­kopp­la­de mot nätet. Vår app Domovea möj­lig­gör fjärr­styr­ning. Då skic­kas data kryp­te­rad via VPN. Men and­ra ord går det inte att kapa syste­met för att göra det till en bot, säger Björn.

”Var lagom paranoid”

Men det finns gott om and­ra pry­lar som är upp­kopp­la­de mot nätet. Av de 6,7 mil­jo­ner kapa­de pry­lar­na har många sin hem­vist i Europa. Koncentrationen är högst i Madrid, Istanbul och Moskva. Stockholm står för 56 pro­cent av de svens­ka botar­na men ham­nar på en för­hål­lan­de­vis blyg­sam 98:e plats bland de euro­pe­is­ka stä­der­na.

– I Sverige har vi gans­ka bra data­sä­ker­het. Jag tyc­ker att man ska ha en för­sik­tig inställ­ning och vara lagom para­noid. Mitt bäs­ta tips är att inte kopp­la upp de smar­ta pry­lar­na mot inter­net utan att ha en brand­vägg. Och glöm för all del inte att byta använ­dar­namn och lösenord, säger Jonas.