KTH-student lyckades enkelt hacka smarta lås

[Ur Säkerhetsinstallatören #2 2022]
Den här artikeln är reviderad för webben. Du kan ta del av den i sin helhet i #2/22 av Säkerhetsinstallatören. Denna utgåva har tema smarta digitala lås. Länk till e-publikationen hittar du längre ner.

Vissa smarta lås har säkerhetsbrister. Det visar ett examensarbete vid Tekniska Högskolan i Stockholm (KTH). Tillsammans med sin handledare, professor Pontus Johnson, lyckades teknologen Arvid Viderberg hacka elektroniska dörrlås med molnbaserade användarkonton. KTH informerade låstillverkarna om sårbarheten så att bristerna kunde åtgärdas.

Vid hackningen hittades sårbarheter för så kallade brute force-angrepp. Då testar ett dataprogram automatiskt kombinationer av stora mängder siffror, ord och bokstäver för att hitta lösenordet genom "trial and error".

– Låsen som fick underkänt hade för enkla återställningskoder. Det var därför möjligt att snabbt gissa sig fram till återställningskoden. Då kunde vi byta lösenord och ta över kontrollen över låset. Säkerhetsbristen hos ett annat smart lås gällde hanteringen av gästkonton, utan access till internet, berättar Pontus Johnson, vars professur är inriktad mot nätverk och systemteknik.

"Välj välrenommerad tillverkare"
Risken för säkerhetsbrister minskar om köparen väljer smarta lås från en väletablerad tillverkare.

– Det är klokt att välja ett lås som testats av ett kompetent och oberoende testinstitut som gjort penetrationstester (hackning) utan att finna några säkerhetsbrister. Det är också bra om tillverkaren har ett så kallat bug bounty-program. Då får den som hittar en sårbarhet, och berättar om den för tillverkaren, betalt för det, säger Pontus Johnson.

Europeiska unionens cybersäkerhetsbyrå (ENISA) har nyligen infört cybercertifiering av digitala produkter och tjänster. De är, liksom smarta lås, allt oftare en del av "sakernas internt" (IoT), vilket möjliggör fler angreppsytor.

– För konsumenterna innebär en cybercertifiering ökad trygghet, säger Pontus Johnson.

Skrupelfria hackare anlitas av kriminella nätverk. Men de jagas både av forskare och så kallade cybersoldater med datorn som vapen och expertkunskap som ammunition.

– Jag är ansvarig för Försvarsmaktens forskningscentrum för cyberförsvar och informationssäkerhet (CDIS), som bildades år 2020. KTH har hittills utbildat ett stort antal cybersoldater, berättar Pontus Johnson.

Sverige ligger på tolfte plats enligt National Cyber Security Index (NCSI), som Internationella teleunionen svarar för. För några år sedan låg Sverige på plats 39 och har således gjort en rejäl uppryckning men har ändå drabbats av cyberattacker.

Utslaget elnät mardrömsscenariot
Det som oroar Pontus Johnson mest, och som även borde ge politikerna skrämselhicka, är om en illasinnad främmande makt stänger ner elnätet i Sverige. Det skulle få ytterst kännbara konsekvenser för samhället, där det mesta är digitaliserat idag.

– Landets tåg- och flygtrafik skulle lamslås. Det skulle bli kallt i husen och kylda och frysta matvaror skulle efter en tid bli oätliga. Larm och passersystem skulle sluta att fungera och butikerna måste stänga eftersom de digitala betalsystemen är beroende av el. 

******************************

Text: Claes-Göran Hanberg

Klicka här för att läsa artikeln och hela nummer 2/22 av Säkerhetsinstallatören