Tingenes iboende faenskap – del 1: routere

av thore
0 kommentar

Det skåles enda i champagne for nye idéer om å få flere ting på nett. Tingenes internett (IoT = Internet of Things) er fortsatt popord. Mye godt fordi alt skal bli så mye bedre bare disse duppedittene kan snakke med hverandre og med deg. Og dine tjenesteleverandører. Toalettet som analyserer dine leveranser og varsler både helsevesen, apotek og myndigheter er like rundt neste hjørne. Robotklipperen som ikke bare klipper plenen din, men som også legger ut bilder fra jobben på sosiale medier på vegne av deg er sikkert heller ikke langt borte. Og alle disse tusen tingene som skal inn i helsevesen og eldreomsorg for å spare utgifter til ansatte. Og som skal gi pårørende mindre gunn til å bekymre seg eller involvere seg. Det jubles over en lav sko så snart noen har lansert en ny duppeditt som skal på nett. Eller en gammel duppeditt som kan kobles til nett.

Teknologioptimistene og de applauderende kunne kanskje hatt mer rett i at alt ville blitt så mye bedre dersom vi levde i en perfekt verden. Dessverre så gjør vi ikke det. De som skapte e-post grublet svært lite over mulighetene til at noen kunne bruke dette til kriminelle formål. Men selv i Torbjørn Egners Kardemomme By fantes det personer som ikke bare hadde gode hensikter. Og hvis f.eks. pacemakere skal ha nett-tilkobling så kan du banne på at det vil finnes de kriminelle som ønsker å se om det ikke er mulig å få ikke-autorisert tilgang til slike enheter.

Datatilsynet har av og til uttrykt bekymring for personvernet når stadig mer av tingene rundt oss skal være tilkoblet nett, som f.eks. strømmålere. Jeg synes de skulle vært mer på hugget når det gjelder en lang rekke andre ting på nett. Men det skal jeg la ligge foreløpig.

Og jeg skal heller ikke vandre for mye rundt i nye gadgets på nett i denne omgang. Jeg skal ta for meg noe så enkelt som routere: denne boksen som sørger for at du i det hele tatt er på nett dersom du benytter kablet nett til hjem, jobb, hytte osv.

Hackede routere

Så langt tilbake som i 2014 ble det konstatert at omkring 12 millioner routere på verdensbasis var sårbare og kunne f.eks. bli angrepet av Misfortune Cookie. Siden den tid har det rent mye vann i havet. Nye routere er kommet til. Og mange av disse sårbare er døde og borte. Men hundretusener, kanskje millioner finnes der ute fortsatt. Og det finnes nyere routere med nye sikkerhetsfeil.

Sannsynligheten for at din router levert fra en norsk ISP er sårbar er ganske liten. Derfor tror du kanskje at dette er slett ikke noe å bry seg om fordi det rammer vel bare de som har sårbare og infiserte routere? Der tar du grundig feil. Hackede routere er en av de viktige brohodene for de kriminelles virksomhet som også rammer deg, dine nettsteder, din e-post osv. daglig. For det er ikke slik at hackede routere først og fremst brukes for å skade den som eier routeren og det datautstyret som befinner seg bak den. Nei, routerne brukes først og fremst til å gjøre angrep ut fra router og mot andre enheter på nett. Og da snakker vi både om spam, BFA (Brute Force Attack), phishing og alle mulige andre morsomheter.

Å benytte andres identitet og IP-adresse er en av kjerneprinsippene i kriminell hackervirksomhet.

Derfor er det litt naivt når presseoppslag og all mulig omtale av kriminell hackervirksomhet peker på syndere etter bare to sekunders studie av IP-adressen der angrepet kom fra. Mest sannsynlig er ikke angrepet styrt fra den aktuelle adressen, men fra noen som utenfra har brukt IP-adressen som brohode. F.eks. gjennom en hacket router. Derfor bør enhver sårbarhetsanalyse og gjennomgang av angrep være mer grundig. Og man må iverksette beskyttelsesmetoder som fungerer best mulig. Ingenting av slikt kan bli 100% sikkert. Men alt kan forbedres.

Hackerne tilpasser seg hele tiden nye sikkerhetsopplegg.

Hackerne er jo ikke steindumme. De vet selvfølgelig hva som er industristandard innen sikkerhetsløsninger. Og de vet hva som er vel etablerte rutiner. Ta for eks. noe så enkelt som Brute Force Attack (BFA). Dette er altså sammenlignbart med å hamre på døra inn til en tjeneste gjennom å gjette på brukernavn- og passord-kombinasjon for innlogging. Gjetter man bare mange nok ganger så kan man lykkes med å finne riktig nøkkel. Derfor er de fleste tjenester i dag satt opp med begrensing i antall ganger slik feil inntasting av brukernavn/passord kan finne sted fra en enkelt IP. La oss si at du får fem forsøk. Bommer du alle fem gangene så lukkes døren og du må vente en periode før du igjen kan prøve å logge inn. Hvor lenge du må vente avhenger av rutinene og de valgene som er gjort hos de som drifter tjenesten du vil benytte deg av. Den alminnelige bruker finner det kanskje irriterende at man stenges ute på denne måten bare fordi man har glemt passordet sitt. Men de fleste skjønner sunnheten i dette prinsippet når de får det forklart. Når man så i tillegg legger opp til at så lenge brukeren husker e-postadressen sin så kan han/hun få automatisk hjelp til å sette opp nytt passord. Dermed kan de fleste brukere si seg fornøyd

Men dette vet selvfølgelig også hackerne. Derfor lar de ikke angrep bare gå fra den ene IP-adressen. Nei, de sprer belastningen utover alle de routerne, og derved IP-adressene, de har fått inn i sitt nettverk av leveransepunkter.

Hackerne vet selvfølgelig også at man ikke må bruke samme agent for ofte.

En IP-adresse som havner i filter på bakgrunn av angrep vil bli liggende der i en kortere eller lengre karantene-periode der all trafikk fra adressen avvises. Etter karantene-perioden vil man som oftest igjen godta trafikk fra denne adressen. Men IP-adressen ligger fortsatt i tabeller (oversikter) over adresser som man har registrert angrep fra. Og kommer det nytt angrep vil karantene-perioden ofte forlenges. Men også dette vet hackerne. Angrep fra disse routernettverkene står derfor ofte bare på i noen små timer. Deretter lar man systemet hvile en lang periode. I vår har hvileperioden ofte vært omkring en måned.

Ransomware – noe av det verste som finnes

Disse nettverkene med infiserte routere brukes også til å spre ransomware, altså programvare som tar datamaskinen din som gissel. Man krypterer innholdet på maskinen din og varsler deg at om du ikke betaler så får du ikke åpnet maskinen igjen. Vårens storslager innen dette var utvilsomt Petya. Denne rammet hardt, bredt og solid. Men igjen kan man trekke en enkel lærdom: oppdaterte maskiner er mindre utsatt for faenskap enn gamle maskiner med gammelt operativsystem osv.

Ja, oppgradering av utstyr koster kroner og timeressurser. Men det kan fort bli svært lønnsomt å holde ting vedlike.

Finnes det noen løsning?

Hvis det er slik at det er så mange slike hackede og sårbare routere der ute, hvorfor gjøres det ikke noe med det? Noe av svaret kan ligge i at det ikke er noen enkel og etablert metode for plassering av ansvar og ansvarliggjøring av de ulike partene i dette spillet. Det ene er å løpe etter de kriminelle som starter angrepet. Men kanskje må man også vurdere om ikke produsenter av utstyr i større grad skal skal ta ansvar for hvordan produktene deres kan misbrukes? Og bør ikke også tjenestetilbyderne som benytter slikt utstyr ta ansvar for at deres kunder er sikret best mulig? Det finnes dessverre ikke noe slikt regelverk. Som oftest pekes det bare mot sluttbrukeren som sitter der med verktøyet de kriminelle har brukt. Flere burde ta inn over seg etikkspørsmål i tingenes internett og tilliggende herligheter. En start kan være å lese en høyst interessant artikkel i The Atlantic fra i vår.

You may also like

Annonseblokkering funnet

Vennligst støtt oss ved å slå av AdBlocker-tillegg i nettleseren din for vårt nettsted.