Möller Insights – ”Telia-konspirationen och taskig säkerhet i hemmaroutern”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om mystisk aktivitet i Telia Smart-routern och dålig säkerhet i hemmaroutern.

Telia-konspirationen och bristfällig säkerhet i hemmaroutern
I veckan uppmärksammade finansbloggaren Cornucopia ett suspekt beteende i hans Telia Smart-router. Varje dag så laddade hans router upp ungefär två GB med information till Telias telestation. Cornucopia säkerställde att det just handlade om Telia Smart då alla andra enheter i nätverket togs bort. Vad det är för information som laddas upp är mer oklart. Bloggaren spekulerar att det kan handla om vilka aktiviteter på det interna nätet likväl som det externa. Alltså att Telia spårar aktiviteter på det privata nätverket – vilket är fullt möjligt då routern blir hubben som all trafik går igenom när olika enheter i nätverket kommunicerar med varandra. Rent teoretiskt så skulle denna typ av ”avlyssning” kunna leverera information om vilken specifik användare och enhet som har gjort vilken aktivitet.

Telia svarade bloggaren där de även försäkrar att de inte utför avlyssning av sina användare – varken för egen räkning eller för andras (läs: FRA). Diskussionen om vad det är för data som förflyttats ville de dock diskutera via telefon snarare än via e-post. Telia Smart innefattar en hel del funktioner för fjärrstyrning för att Telia ska ha möjlighet att utföra supportärenden och uppdatera mjukvara på routern.

Jag tycker personligen att Cornucopia kanske borde ta av sig foliehatten – men man är onekligen nyfiken på vad det är för information som förflyttas och jag kommer följa utvecklingen med spänning.

Routrar verkar vara ett hett samtalsämne på säkerhetsfronten. I slutet av förra veckan uppmärksammade BBC svagheterna i Linksys- och Asus-routrar. Svagheterna har funnits en längre tid men antalet attacker som nyttjar svagheterna börjar nu även bli allt fler och avsevärt mycket mer sofistikerade.  I artikeln uppmärksammas The Moon som tar sig in via routern och när den väl fått fäste så söker den efter andra system som den kan spridas till.

Eftersom en router sammankopplar de olika enheterna i ett hem och är den sista dörren mot internet så är den förstås ett logiskt och lukrativt mål för riktade attacker, då samtlig information passerar där innan den går vidare till internet. All trafik utåt kan övervakas och känslig information som bankinloggsuppgifter kan enkelt plockas upp.

Några forskare från Liverpool skapade nyligen ett liknande program som just infekterar routrar i nätverk. Den här versionen nyttjade det faktum att de flesta inte ändrar inloggsuppgifterna till en router utan det förblir ofta tillverkarens standard. Ett vanligt exempel är att användarnamn och lösenord är ”admin”. Efter att den skadliga programvaran väl tagit sig in i routern så kan den därifrån ändra allt från specifika inställningar till firmware-uppdateringar.

Jag kan tycka att det är provocerande att teknik för hemmet oftast är så undermålig utifrån ett säkerhetsperspektiv, och så enkel att manipulera. Majoriteten av dem som äger en router har låga kunskaper om hur den ”bör” konfigureras och använder vanligtvis bara medföljande installations-wizard som hjälp. Mot den bakgrunden så kanske det trots allt inte är så dumt att Telia med hjälp av fjärrstyrning kan installera nya säkerhetsprotokoll utan att kunden behöver vara IT-specialist – så länge de inte använder sin tillgång för att snoka.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik