Artikel top billede

Dansk sikkerhedsfirma slår alarm: "Jeg har fundet et atomkraftværk, hvor man kunne hæve strålingsniveauet og et fængsel, hvor fængselsdørene kan åbnes fra en server"

Dansk sikkerhedsfirma finder hidtil ukendt fejl, der kan udløse en katastrofe, hvis data havner i de forkerte hænder. Men der findes en løsning.

Hæveautomater, el-forsyning og trafiklys skulle helst gerne virke uden problemer i vores nuværende og fremtidige samfund.

Men det sikre fremtidssamfund sår en it-ekspert fra det danske sikkerhedsfirma FortConsult nu tvivl ved.

For han har fundet en grel fejl i en forbindelsesprotokol ved navn MQTT, der binder milliarder af enheder sammen i Internet of Things-netværket (IoT). 

Sikkerhedseksperten er svenske Lucas Lundgren fra FortConsult, og han siger, at fejlen snarere er opsætningen af MQTT end selve protokollen. 

Han forklarer til Computerworld, at MQTT-protokollen fra 1998 er en protokol til letvægter-kommunikationen.

Dermed er den ret god til at lade sensorer og andre små enheder kommunikere ubesværet over internetværket.

Det knap så gode er dog opsætningen af MQTT, som kan skabe enorme sårbarheder.

Sådan opstår katastrofen

Grundlæggende handler fejlopsætningen i MQTT ifølge Lucas Lundgren om, at kommunikationen kan opfanges, ændres og sendes videre til andre - eventuelt i en manipuleret form.

Det betyder altså, at milliarder af enheders kommunikation potentielt er sårbar, hvis kommunikationen bliver tilgået af onde sjæle.

"Fordi protokollen er udviklet med henblik på at være effektiv, og dermed har en lav båndbredde og lav CPU-kraft, er det meget nemt at manipulere med data og skabe katastrofer, hvis man ikke har beskyttet sig," fortæller Lucas Lundgren fra FortConsult, som er ejet af britiske NCC Group

Han forklarer, at alle med en computer under armen kan skabe katastrofale handlinger med opsætningsfejlen.

"Jeg fandt fejlen i slutningen af juni, fordi jeg har en stor interesse for Internet of Things og så for at hacke ting. Jeg læste derfor MQTT-manualen, hvor der står, at man ikke må bruge protokollen uden kryptering. 20 minutter efter jeg havde læst manualen, fandt jeg den første sårbare server uden kryptering," siger han.

Lucas Lundgren forklarer, at alle enheder - det vil sige alle 'things' i begrebet Internet of Things - typisk bliver styret af en server.

Og det er denne kommunikation mellem enheden og serveren, som er den farlige del af ligningen.

For hvis du eksempelvis opstiller et netværk med 100 gadelamper, der skal slukkes, når der ikke er mennesker på gaden, kan en ondsindet person tilgå serveren ved at udgive sig for at være en lampe.

"Når serveren er online, kan folk tro, at alt er godt og dejligt. Men de skal vide, at når serveren er online, kan enhver med den rette autentifikation også forbinde sig til serveren. Og når de først er forbundet, kan de læse og manipulere alle former for data, der er på den server," siger Lucas Lundgren.

Slip fængselsfangerne løs

Han fortæller, at manipulationen af data foregår ved, at man på ukrypterede servere abonnerer på datastrømmen ved at benytte hashtags. Herefter vil alle data til og fra serveren blive sendt i ens retning.

"Du kan kopiere data fra strømmen og ændre data, som det passer dig. I eksemplet fra før kan man tilkoble sig samme server som lamperne og sige til systemet, at der overhovedet ikke er mennesker på gaden. Så vil alle lamperne slukke på én gang. Men manipulation af gadelamper er altså et rosenrødt eksempel."

Lucas Lundgren forklarer, at han via Internet of Things-søgemaskinen Shodan på verdensplan har fundet 45.000 ukrypterede servere.

Hver af disse 45.000 servere kan have tusindvis af enheder tilkoblet til sig via port 1883.

"Jeg har set et atomkraftværk, hvor man kunne hæve strålingsniveauet og et fængsel, hvor fængselsdørene kan åbnes fra en server. Det er jo stærkt bekymrende, hvis der altså ikke er tale om test-cases. Der er så meget data derude, at det er svært at overskue," forklarer it-sikkerhedseksperten.

Han fortæller også, at han har set en direkte GPS-tracking af en bil, der kommunikerede med en satellit.

"Det lignede regeringsovervågning, da jeg så en kørende bil koblet op til en satellit i realtid, men jeg kan altså ikke gå i detaljer med den slags uden at komme i problemer," fortæller Lucas Lundgren.

Læs også: Efter fund af kæmpe IoT-fejl: Sådan beskytter du dine data på nettet

Kryptering er løsningen 

Hans fund er for nyligt blevet demonstreret på hackerkonferencen Defcon.

Her fandt svenskerens fund dog hverken bundklang hos de tilmeldte top-sikkerhedseksperter udi digitalisering eller hos it-pressefolkene på den store hackerkonference.

"Det undrer mig virkelig, for der er tale om et kæmpe problem med opsætningen," lyder det fra Lucas Lundgren.

Han siger dog, at alle disse sikkerhedshovedpiner kan løses ved at kryptere kommunikationen fra enheden - eksempelvis en gadelampe - og hjem til kontrolserveren.

For på den måde kan ingen opsnappe de legitimationsoplysninger, som enheden (gadelampen) sender til serveren for at komme ind for at modtage instrukser.

"Internet of Things-enhederne benytter ikke kun MQTT-protokollen, selvom den er stærkt udbredt. De andre protokoller har dog samme "høje" sikkerhedsniveau. Og ja, det var sarkastisk ment," siger Lucas Lundgren.

Han anbefaler derfor alle med IoT på menukortet om at benytte kryptering i kommunikationen mellem enheder og servere, hvis ikke de ønsker ubudne gæster, der vil have alt andet end kaffe.

Inden de næste fem års tid forventes det, at et sted mellem 50 og 100 milliarder enheder er koblet på internet of things. 

Læs også: 
Gør det selv-IoT: Sådan bygger du et smartere hjem med billig hardware