Hoppa till huvudinnehåll

Många internetapparater är sårbara - varmvattnet kan försvinna och hissar kan skicka skräppost

Systempanel - bergvärme
Bergvärmeapparater har skickat skräppost. Många andra värmesystem är också sårbara. Systempanel - bergvärme Bild: Yle/Niklas Fagerström Bergvärme

Antalet uppkopplade apparater på internet växer snabbt. Men flera av dem använder enkla standardlösenord och riskerar därför att hackas. Det kan i värsta fall få riktigt allvarliga konsekvenser.

Allt från hushållsapparater till industriella maskiner och byggnadsteknik kan i dagens läge styras på distans via nätet. Fenomenet kallas internet of things (IoT), eller sakernas internet, och väntas gå om mobiltelefoner som den största kategorin av internetanslutna enheter redan om ett drygt år.

En stor del av de här apparaterna har ändå dålig säkerhet, påpekar säkerhetsanalytiker Leif Nixon.

– Jag brukar säga att admin och admin är användaruppgifterna till internet därför att det är så många enheter som bara har admin som användarnamn och lösenord.

På Cybersäkerhetscentret i Finland är informationssäkerhetsexpert Markus Lintula inne på samma linje.

– Det är nog tyvärr så att ganska många av de här systemen har dålig säkerhet. Det kan finnas sårbarheter på den webbplats de använder eller så används standardlösenord.

Markus Lintula
Markus Lintula bekräftar att det finns många sårbara IoT-prylar. Markus Lintula Bild: Yle/Niklas Fagerström kommunikationsverket

Med standardlösenord menas alltså att tillverkaren väljer ett visst identiskt lösenord till sina produkter - till exempel "admin" eller "123456".

Många uppkopplade apparater är sårbara trots att myndigheten under de senaste åren har varnat ägarna till många dåligt skyddade system och på flera sätt har försökt sprida säkerhetsmedvetenhet. Också Yle Nyheter har rapporterat om riskerna tidigare.

Kod på dataskärm i Hewlett Packards cybersäkerhetscenter i Tyskland 9.9.2014
Kod på dataskärm i Hewlett Packards cybersäkerhetscenter i Tyskland 9.9.2014 Bild: EPA/DANIEL NAUPOLD cyberkrig

Finländskt automationssystem sårbart

Till exempel det finländska företaget Ouman använder standardlösenord på sitt närmare tio år gamla automationssystem EH-net, som fortfarande säljs.

EH-net finns i hundratals finländska fastigheter, bland annat i många vanliga husbolag, och kan kontrollera värmen och ventilationen.

IP-adresser till en stor del av de här systemen hittas med hjälp av några enkla internetsökningar. Och enligt uppgifter till Yle Nyheter har flera av kunderna inte bytt lösenord, vilket innebär att någon obehörig lätt kan logga in.

Av juridiska skäl kan vi ändå inte kontrollera vilka alla ställen som använder standardlösenord, för då skulle vi göra oss skyldiga till dataintrång.

"Varmvattnet försvann"

Konkurrerande system i Sverige har råkat ut för dataintrång.

– I Linköping hade en bostadsrättsförening problem med att varmvattnet bara försvann i bostäderna, i föreningen. Och sedan till slut så upptäcktes det att de faktiskt hade haft intrång i sitt fastighetssystem och att någon på pin kiv hade stängt av varmvattnet, berättar Leif Nixon.

Dusch.
Dusch. Bild: Creative Commons / PublicDomainPictures dusch

Det är förstås extra problematiskt om det är vinter.

– Javisst, eller om man stänger av värmen i februari och saker börjar frysa kan man ju ställa till med stor skada, tillägger han.

Cybersäkerhetscentret varnar också för att det för tillfället finns flera såkallade botnets, alltså program som körs på grupper av kapade datorer. De specialiserar sig på att hitta sårbara internetuppkopplade apparater, så man kan inte räkna med att ett system förblir okänt om det är synligt på nätet.

Sådana här hackade IoT-apparater har på senare tid använts över hela världen för att utföra rekordstora överbelastningsattacker med datamängder på över 660 gigabit per sekund och över en terabit per sekund.

Bild: KONE Corporation hissgång

Bergvärmepumpar och hissar

Cybersäkerhetscentret berättar att flera öppna automationssystem i Finland har angripits och använts för att skicka skräppost eller för att utföra överbelastningsattacker (DDoS-attacker) mot webbsidor.

– Bergvärmepumpar har det varit, och så har vi haft exempel på hissar som har deltagit i DDoS-attacker, kommenterar Markus Lintula.

Myndigheten har dessutom uppdagat att en stor matbutik hade ett osäkert automationssystem, och att dess frysar i teorin kunde kontrolleras av vem som helst på distans.

– Om någon skulle ha kunnat komma in dit och stänga av frysarna på fredag kväll eller motsvarande så skulle det ha kunnat bli ganska stora skador för butiken.

Tillverkaren: "Inte vårt ansvar"

Tillverkaren Ouman tar ändå inte ansvar för att dess gamla automationssystem är sårbart. Vd:n Matti Lipsanen betonar att det står i bruksanvisningen att man ska byta lösenord och att det är installatörens ansvar att se till att så sker.

– Vi säljer de här produkterna bara till automationsföretag som vi utbildar, inte till sådana parter som inte har fått utbildning hur man programmerar det här, kommenterar Lipsanen.

Säkerhetsanalytiker Leif Nixon gillar inte att Ouman försöker tona ned sin egen roll.

– Sådant gör mig väldigt upprörd.

Porträtt på Leif Nixon.
Leif Nixon. Porträtt på Leif Nixon. leif nixon

Han menar att det är tillverkaren som är huvudansvarig när den gick inför att ge alla användare samma lösenord.

– Man ska ha ett slumpat lösenord som sattes på fabrik eller också ska det inte gå att ta dem i drift utan att ändra lösenordet.

Ouman lovar ändå att varna sina kunder för riskerna med att använda standardlösenord.

Myndigheten: Skippa standardlösenorden

Företaget har också modernare produkter som inte längre använder standardlösenord. Det är enligt Cybersäkerhetscentret en välkommen utveckling. Myndigheten uppmanar nu tillverkare av intenetuppkopplade apparater att frångå dem helt och hållet.

Man rekommenderar dessutom folk att använda säkrare automationssystem som inte lätt kan hittas av vem som helst.

– Systemen kan till exempel få högre säkerhet med hjälp av molntjänster och VPN-uppkopplingar, påpekar Lintula på Cybersäkerhetscentret.

Ett par timmar efter att vi intervjuade Lintula skickade myndigheten ut ett pressmeddelande i vilket de varnar för osäkra internetuppkopplade apparater. I texten rekommenderas användare också att frångå standardlösenord såsom admin och 123456.

Säkerhetstips för uppkopplade apparater

- Byt ut apparatens standardlösenord. Inte nödvändigt att göra om lösenordet är unikt för just den apparat det gäller.

- Koppla bort funktioner du vet att du inte alls behöver.

- Om IoT-apparaten startas på nytt försvinner ofta eventuella skadeprogram från den. Det här räcker ändå inte. Själva säkerhetsproblemet måste också fixas annars kan skadeprogrammet återkomma snart igen.

- Uppdatera dina internetuppkopplade apparater.

- Måste prylen vara kopplad direkt till internet? Om möjligt: Låt den inte styras via internet, utan endast via ett internt nätverk.

- Bekanta dig med tillverkaren via dess webbplats. Publicerar tillverkaren uppdateringar? Finns det bruksanvisningar?

Källa: Cybersäkerhetscentret

Läs också

Nyligen publicerat - Inrikes