IT-sikkerhetsekspert Lucas Lundgren.
IT-sikkerhetsekspert Lucas Lundgren. (Bilde: Version2.dk)

Advarer mot populær IoT-protokoll: Både bilbremser, fengselsdører og fly kan hackes

IT-sikkerhetsekspert Lucas Lundgren har funnet et alarmerende problem med IoT-protokollen MQTT, men til tross for uoverskuelige konsekvenser ser det ikke ut til at verden går under.

Hvis du som Jokeren fra i Batman bare vil lage kaos og se verden brenne, er Internet of Things-revolusjonen en kjærkommen gave som sørger for at du kan fikse dette fra hjemmekontoret.

IT-sikkerhetsekspert Lucas Lundgren fra FortConsult i København har nylig oppdaget noe han helst ikke ville sett. Han har nemlig funnet en svakhet i den populære nettverksprotokollen MQTT, som kobler sammen milliarder av IoT-enheter.

Det er ikke bare potteplanter og termostater i hjemmet som kommuniserer via MQTT-protokollen. Den brukes også til å åpne og stenge fengselsdører, slå på bilbremser og regulere trykket i oljeledninger.

Dansk rapport: DDoS utgjør den alvorligste trussel mot teletjenester (Version2.dk)

Men feilen ligger egentlig ikke i selve MQTT-protokollen, som ble utviklet i 1998 for energieffektiv lettvektskommunikasjon.

Late brukere

Ansvaret ligger hos brukerne, mener Lucas Lundgren – de som konfigurerer alt fra dingser til hjemmebruk til viktig offentlig infrastruktur.

– Det er veldig lett å feilkonfigurere dette. Alle bruker instruksjonsfilmer på nettet, og ingen leser MQTT-manualen. Dermed får brukeren den raskeste måten å sette opp sakene, uten å tenke på om det er gjort riktig, forteller Lucas Lundgren, som i mai skal innlede it-sikkerhetsarrangementet Infosecurity i Øksnehallen i København.

Ifølge Lucas Lundgrens egen undersøkelser blir dette ofte ikke gjort riktig. Brukerne glemmer i stor grad å legge inn brukernavn og passord. Og når det heller ikke er noen form for kryptering, er det ingen ting som beskyttet enhetene mot data utenfra.

57 000 åpne servere

Shodan er en søkemotor for IoT-enheter.
Shodan er en søkemotor for IoT-enheter. Foto: Skjermbilde

Da Lucas Lundgren fant feilen, begynte han å skanne internett med IoT-søkemotoren Shodan for å granske omfanget av problemet.

– Jeg ville skanne hele internett for å se om jeg kunne finne flere servere. Og ikke bare det: Jeg ville skanne internett mens det samlet data i ti sekunder. Så alle servere som den kunne finne lyttet jeg til i ti sekunder, sier han og forsetter:

– Det var her jeg begynte å finne alle de farlige tingene. Mange brukte MQTT til skikkelige utviklingsoppgaver, som for eksempel fly, kraftverksensorer og selv pacemakere og medisinsk utstyr.

Etter å ha funnet 57 000 ubeskyttede servere som kan være tilkoblet mer enn 100 000 enheter, er Lucas Lundgren ikke i tvil. Dette er et enormt problem.

– Det er alt fra fengselsdører, strålingssensorer og jordskjelvsystemer. Alt dette har jeg sett. Og det er ikke vrient. Når du får forbindelse og ser dataene, er det ikke som en hackerkode. Du kan se det i klartekst. GPS-koordinater, fly og deres destinasjon og høyde. Alt det kan du påvirke, sier han.

Falsk alarm i Japan

Lucas Lundgren har vanskelig for å skjønne hvorfor mediene ikke har videreformidlet denne historien. Men enda mer overrasket ble han da han i august la fram funnene sine på Defcon-konferansen i Las Vegas.

Det var overhodet ingen reaksjon, forteller han. Og dette til tross for at spesielt de japanske tilhørerne kunne merke problemene på kroppen.

– Vi fikk en skikkelig påminnelse. Det siste jeg nevner i mitt innlegg er jordskjelvsystemer, og at Japan er landet med flest IoT-enheter. 20 minutter etter var det et jordskjelv i Japan som viste seg å være var falsk alarm. Det kan selvfølgelig være en tilfeldighet, men det kan altså skje, sier Lucas Lundgren.

– Kanskje er problemet ganske enkelt for uoversiktlig til at folk tør å gjøre noe med det, antyder Lucas Lundgren. Men i det minste bør vi endre vår omgang med MQTT-protokollen i framtiden. Og det skjer bare hvis det blir obligatorisk for brukerne legge inn passord og brukernavn under konfigurasjonen. Men det bør ikke stoppe der:

– Forhåpentlig vil vi en eller annen en dag utvikle en standard for hvordan dette skal bygges opp. OWASP har en IoT-standard, men den kan forhåpentlig videreutvikles. Det vil jeg gjerne oppleve.

Les også: Det ble utbetalt 1,4 mrd. kroner for ransomware i 2016 (version2.dk)

Artikkelen er levert av version2.dk

Kommentarer (10)

Kommentarer (10)
Til toppen