Många internetapparater är sårbara - varmvattnet kan försvinna och hissar kan skicka skräppost

Antalet uppkopplade apparater på internet växer snabbt. Men flera av dem använder enkla standardlösenord och riskerar därför att hackas. Det kan i värsta fall få riktigt allvarliga konsekvenser.

Allt från hushållsapparater till industriella maskiner och byggnadsteknik kan i dagens läge styras på distans via nätet. Fenomenet kallas internet of things (IoT), eller sakernas internet, och väntas gå om mobiltelefoner som den största kategorin av internetanslutna enheter redan om ett drygt år.

En stor del av de här apparaterna har ändå dålig säkerhet, påpekar säkerhetsanalytiker Leif Nixon.

– Jag brukar säga att admin och admin är användaruppgifterna till internet därför att det är så många enheter som bara har admin som användarnamn och lösenord.

På Cybersäkerhetscentret i Finland är informationssäkerhetsexpert Markus Lintula inne på samma linje.

– Det är nog tyvärr så att ganska många av de här systemen har dålig säkerhet. Det kan finnas sårbarheter på den webbplats de använder eller så används standardlösenord.

Med standardlösenord menas alltså att tillverkaren väljer ett visst identiskt lösenord till sina produkter - till exempel "admin" eller "123456".

Många uppkopplade apparater är sårbara trots att myndigheten under de senaste åren har varnat ägarna till många dåligt skyddade system och på flera sätt har försökt sprida säkerhetsmedvetenhet. Också Yle Nyheter har rapporterat om riskerna tidigare.

Finländskt automationssystem sårbart

Till exempel det finländska företaget Ouman använder standardlösenord på sitt närmare tio år gamla automationssystem EH-net, som fortfarande säljs.

EH-net finns i hundratals finländska fastigheter, bland annat i många vanliga husbolag, och kan kontrollera värmen och ventilationen.

IP-adresser till en stor del av de här systemen hittas med hjälp av några enkla internetsökningar. Och enligt uppgifter till Yle Nyheter har flera av kunderna inte bytt lösenord, vilket innebär att någon obehörig lätt kan logga in.

Av juridiska skäl kan vi ändå inte kontrollera vilka alla ställen som använder standardlösenord, för då skulle vi göra oss skyldiga till dataintrång.

"Varmvattnet försvann"

Konkurrerande system i Sverige har råkat ut för dataintrång.

– I Linköping hade en bostadsrättsförening problem med att varmvattnet bara försvann i bostäderna, i föreningen. Och sedan till slut så upptäcktes det att de faktiskt hade haft intrång i sitt fastighetssystem och att någon på pin kiv hade stängt av varmvattnet, berättar Leif Nixon.

Det är förstås extra problematiskt om det är vinter.

– Javisst, eller om man stänger av värmen i februari och saker börjar frysa kan man ju ställa till med stor skada, tillägger han.

Cybersäkerhetscentret varnar också för att det för tillfället finns flera såkallade botnets, alltså program som körs på grupper av kapade datorer. De specialiserar sig på att hitta sårbara internetuppkopplade apparater, så man kan inte räkna med att ett system förblir okänt om det är synligt på nätet.

Sådana här hackade IoT-apparater har på senare tid använts över hela världen för att utföra rekordstora överbelastningsattacker med datamängder på över 660 gigabit per sekund och över en terabit per sekund.

Bergvärmepumpar och hissar

Cybersäkerhetscentret berättar att flera öppna automationssystem i Finland har angripits och använts för att skicka skräppost eller för att utföra överbelastningsattacker (DDoS-attacker) mot webbsidor.

– Bergvärmepumpar har det varit, och så har vi haft exempel på hissar som har deltagit i DDoS-attacker, kommenterar Markus Lintula.

Myndigheten har dessutom uppdagat att en stor matbutik hade ett osäkert automationssystem, och att dess frysar i teorin kunde kontrolleras av vem som helst på distans.

– Om någon skulle ha kunnat komma in dit och stänga av frysarna på fredag kväll eller motsvarande så skulle det ha kunnat bli ganska stora skador för butiken.

Tillverkaren: "Inte vårt ansvar"

Tillverkaren Ouman tar ändå inte ansvar för att dess gamla automationssystem är sårbart. Vd:n Matti Lipsanen betonar att det står i bruksanvisningen att man ska byta lösenord och att det är installatörens ansvar att se till att så sker.

– Vi säljer de här produkterna bara till automationsföretag som vi utbildar, inte till sådana parter som inte har fått utbildning hur man programmerar det här, kommenterar Lipsanen.

Säkerhetsanalytiker Leif Nixon gillar inte att Ouman försöker tona ned sin egen roll.

– Sådant gör mig väldigt upprörd.

Han menar att det är tillverkaren som är huvudansvarig när den gick inför att ge alla användare samma lösenord.

– Man ska ha ett slumpat lösenord som sattes på fabrik eller också ska det inte gå att ta dem i drift utan att ändra lösenordet.

Ouman lovar ändå att varna sina kunder för riskerna med att använda standardlösenord.

Myndigheten: Skippa standardlösenorden

Företaget har också modernare produkter som inte längre använder standardlösenord. Det är enligt Cybersäkerhetscentret en välkommen utveckling. Myndigheten uppmanar nu tillverkare av intenetuppkopplade apparater att frångå dem helt och hållet.

Man rekommenderar dessutom folk att använda säkrare automationssystem som inte lätt kan hittas av vem som helst.

– Systemen kan till exempel få högre säkerhet med hjälp av molntjänster och VPN-uppkopplingar, påpekar Lintula på Cybersäkerhetscentret.

Ett par timmar efter att vi intervjuade Lintula skickade myndigheten ut ett pressmeddelande i vilket de varnar för osäkra internetuppkopplade apparater. I texten rekommenderas användare också att frångå standardlösenord såsom admin och 123456.