Möller Insights - "Hur hackerproffsen hittade hockeyhallen"

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på McAfee, en del av Intel Security, i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om nya experiment som visar hur enkelt det är att hacka såväl företag som smarta hem.

Från Vegas till Eskilstuna
Säkerhetsriskerna i en komplett uppkopplad omvärld är något jag varit inne på flera gånger tidigare, men den här veckan finns det extra goda anledningar att ta upp ämnet igen. Strax innan helgen kunde man nämligen läsa en udda nyhet i DN om att hackare tagit sig in i Eskilstuna Ishall.  Beviset bestod av en skärmdump publicerad på Twitter av säkerhetsforskaren Dan Tentler som tillsammans med en kollega på hackarkonferensen Defcon genomförde en livedemo när man på cirka en timme tog sig in i cirka 30 000 datorer, tog skärmdumpar av allt – och sedan twittrade ut dumparna. Från enskilda porrsurfare över pågående skypesamtal och feeds från övervakningskameror, till driftsystem av olika slag.

Så hur leder en livedemo på en konferens i Las Vegas raka vägen in i en relativt oansenlig ishall på andra sidan Atlanten? Svaret är via skärmdelningsverktyget VNC som både privatpersoner och företag använder för att styra datorer på distans. Problemet med VNC är att det är enkelt att med rätt sökalgoritm hitta anslutna datorer via en vanlig internetsökning.

Är inte VNC skyddat då, kan man undra. Jodå, det är lösenordsskyddat, men de 30 000 datorer som kapades hade en sak gemensamt – administratören hade inte lagt in något lösenord. Samtliga använde också standardporten 5900.  I ishallens fall hade det räckt med ett musklick för att stänga av kylsystemet. Nu går knappast världen under om någon IT-kunnig supporter till någon av Lindens eller Eskilstuna HC:s seriekonkurrenter vill spoliera en försäsongsträning, men exemplet blir smärtsamt tydligt.

Den svenska sajten Array har gått igenom samtliga skärmdumpar i Dan Tentlers twitterfeed och hittat ett ventilationssystem i Botkyrka, en råvattenstation, och drifts- och kylsystem för bostadsfastigheter.

Det finns en skrämmande naivitet i resultatet av Defcon-experimentet, och den understryks ytterligare av en studie från Aalto-universitetet i Finland som avslöjade att tusentals finska automationssystem – däribland kraftverk, sjukhus och fängelser – fanns exponerade på nätet. Det här var tredje gången undersökningen genomfördes och trots att både forskare och myndigheter varnat för säkerhetshålen, tycks utvecklingen snarare ha gått bakåt än framåt. Min kollega Jarno Limnéll har också diskuterat resultaten och de potentiella konsekvenserna för samhällsskyddet.

En annan av de svenska skärmdumparna som väckte uppmärksamhet var ett kylsystem där man i övre högra hörnet kunde se en Kalles Kaviar-logga. Det utlöste febril aktivitet hos Orkla Foods, som driver varumärket, tills det kunde slås fast att vad systemet än bestod av hade det ingenting med Orkla att göra.

”Även om det inte är vårt system får det oss förstås att tänka över våra egna säkerhetsstandarder”, sade Eva Berglie, pressansvarig på Orkla Foods, i en Twitterkonversation med Dan Tentler. Det är en väldigt sund inställning.

Tv:n tittar på dig
Det handlar förstås också lika mycket om ett personligt plan. Denna vecka kan vi också läsa om ett fascinerande och skrämmande experiment som BBC genomfört tillsammans med sju brittiska säkerhetsproffs. BBC utrustade ett hus med det allra senaste inom digitala hem – och släppte lös experterna. Inom några minuter styrde man övervakningskamerorna och musiksystemet, och avlyssnade vardagsrummet genom den smarta tv:ns mikrofon och den wifi-anslutna babymonitorn.

Idag, med en yrvaken inställning till Sakernas Internets möjligheter och en väldigt begränsad bild av dess utmaningar är det egentligen bara hackarnas fantasi som sätter gränserna för vilken oreda man kan ställa till med. Det måste vara säkerhetssystemen som sätter gränserna. Det vi kallar ”Security by design” – att säkerheten är en integrerad del av produkten snarare än ett lager som läggs dit i efterhand – är en ödesfråga för att inte den pågående digitala revolutionen ska utmynna i ”julafton året runt” för cyberkriminella. Ju fler gånger vi påminns om det desto bättre.

Fredrik Möller är vd på McAfee, en del av Intel Security, i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik