Usikre ting på internett

Det har skjedd en utvikling i saken etter at den ble publisert. Dette er beskrevet i den siste avsnittet.

Det å kunne kontrollere slik som smarthjem, biler og ulike typer maskiner via internett, kan være praktisk. Da trenger en ikke å bevege seg fysisk for å kunne gjøre endringer eller sette i gang prosesser. Problemet er ofte at det er nytteverdien som får det meste av oppmerksomheten, mens IT-sikkerheten i beste fall kommer i annen rekke. 

VNC

Nylig fikk digi.no et tips fra en leser om at vi burde gjøre et søk i søketjenesten Shodan etter norske datamaskiner som eksponerer VNC-tjenesten sin ut på internett.

VNC (Virtual Network Computing) er et system for å gi brukere fjerntilgang til datamaskiner. Det aller meste sendes ukryptert, noe som gjør at VNC ikke egner seg for bruk direkte på det åpne internettet. Dette hindrer ikke at flere hundre tusen datamaskiner globalt tilbyr VNC på denne måten. Minst 1600 av disse maskinene har norsk IP-adresse, ifølge Shodan.

I Shodan kan en sette inn mange ulike søkeparametre. Blant annet er det mulig å søke etter datamaskiner som ikke bare eksponerer tjenesten, men hvor Shodan også kan registrere at det mottas et skjermbilde. Dette er kun mulig dersom VNC-tjenesten er satt opp slik at den ikke krever innlogging. 

Shodan finner i skrivende stund drøyt 4700 slike tilfeller, hvorav bare noen få befinner seg i Norge. 

Fôringsmaskin på nett

Ett av disse norske systemene  er en fôringsmaskin, altså en maskin som brukes i landbruket til å automatisere fôringen av storfe og småfe. Her får vi tilgang til et kontrollpanel med en rekke innstillinger som vi potensielt har mulighet til å justere, inkludert tidspunkter for når fôringen skal skje. 

I tillegg til VNC-porten, er det også flere andre porter som er åpne i den tilknyttede bredbåndsruteren, inkludert port 81 som leder til et webgrensesnitt for Ubiquity airOS, via en HTTPS-forbindelse uten klarert rotsertifikat.

Det er ikke mulig for oss å se hvem som eier denne maskinen. IP-adressen kan tyde på at maskinen befinner seg i Bodø-område, men slik stedsangivelse kan være svært unøyaktig. IP-adressen eies av Signal Bredbånd, som leverer bredbånd i Nord-Norge.

Til gjengjeld er kontrollpanelet merket med logoen til selskapet som har produsert systemet, T. Kverneland & Sønner (TKS). 

Ikke ment å være på internett

Daglig leder hos TKS, Tønnes Helge Kverneland, uttrykker overraskelse når digi.no presenterer ham for dette tilfellet. Samtidig mener han at det er veldig viktig for selskapet å få vite om dette. 

– [...] det forteller noe om sårbarhet dersom utstyret eksponeres på en slik måte at det som er skjedd her, skriver Kverneland i en epost. Der er han tydelig på at systemet ikke er ment å være knyttet til internett. 

– Vi har levert disse «FeedRobotene» siden cirka 2006. I starten ble den levert med en industristandard PLS, som hadde USB og Ethernet-port som kommunikasjonsporter. Det vil si at kunden selv hadde mulighet til eventuelt å koble til en ruter eller noe annet kommunikasjonsutstyr. Det var ikke noe som da ble hverken informert om eller lagt til rette for fra vår side, skriver Kverneland. 

Videoen over viser en tilsvarende maskin som den som er omtalt i saken.

Ønske om fjernstyring

Sammen med senere utgaver av roboten har det, etter forespørsel fra kunder, blitt levert med en trådløs ruter som standard. 

– Da skulle man kunne etablere et lokalt, trådløst nettverk som kunden kunne aksessere med enten en mobiltelefon, nettbrett eller PC, forteller Kverneland. 

Han legger til at de fleste bønder har et kontor/planleggingsrom hvor de ønsket å sitte for å legge inn styringsparameter for fôringsmaskinen, og da kommuniserte de ifølge Kverneland ved hjelp av Team Viewer og en VNC-protokoll.

– Dette var tenkt utelukkende for bruk lokalt. Maskinen i seg selv har ikke vært lagt opp til at den skal ha tilgang til internett for noen funksjonalitet fra vår side, understreker han. 

– Vi har ikke informert noe om slike ting i våre instruksjonsmanualer, da bruk ikke har vært tilsiktet på en slik måte at vi anså det som en risiko, fortsetter Kverneland. 

Begrenset skadepotensial

På spørsmål om hvilken skade ondsinnede kan gjøre dersom de får tilgang til denne maskinen, forteller Kverneland først at den går på én eller to skinner i taket inne i driftsbygningen. Disse er sikre med endestopper. I tillegg er maskinen utstyrt med en rekke sikkerhetsfunksjoner som skal hindre påkjørsel og andre uhell. 

– Skaden som kan oppstå, er vel kanskje størst ved at alle parametre kan endres/slettes. Hver gang maskinen starter å kjøre på den lukkede skinnebanen, signaliserer den FØR den begynner å kjøre med lyd og lyssignal, slik at dyr eller folk i nærheten blir gjort oppmerksomme på det. Den kjører veldig seint. En som visste hva han gjorde, kunne pøst ut masse silo/kraftfôr som hadde blitt et økonomisk tap for bonden (neppe veldig stort, men sikkert irriterende …?), skriver Kverneland. 

Han bekrefter at også TKS var i stand til å aksessere maskinen, men har ingen kjennskap til hvem som eier maskinen. 

– Utstyret vårt er solgt igjennom Felleskjøpet, som er vår forhandler, så vi har normalt ikke sluttkunde-kontakt, forteller Kverneland. 

Kontaktforsøk

I kontrollpanelet til fôringsmaskinen er det en mulighet til å sende beskjeder til de som betjener den. TKS har skrevet inn denne beskjeden: «Hei, det er fra TKS. Maskinen din er tilgjengelig på et usikret nettverk. Vennligst kontakt oss på nr.xxxxx», men så langt tyder ingenting på at eieren av maskinene har sett meldingen.

Digi.no tok fredag ettermiddag kontakt med kundeserviceavdelingen til Signal Bredbånd, som lovet å varsle kunden, etter at vi oppga den aktuelle IP-adressen. Mandag morgen er fôringsmaskinen fortsatt tilgjengelig.

Manglende fokus på sikkerhet

John-André Bjørkhaug er penetrasjonstester hos NTT Security. Han forteller til digi.no at han ikke er overrasket over dette tilfellet og at han har vært borti lignende også tidligere. 

Han antyder på generelt grunnlag at slike usikre installasjoner kan skyldes en kombinasjon av uvitenhet og manglende kompetanse, både hos brukere og installatører. 

– Vi ser det på alle mulige styringssystemer at de skal være praktiske, uten at sikkerhet får like mye oppmerksomhet, sier Bjørkhaug. 

Lite omtalt tema

– Alle store gårder rundt her jeg bor begynner å bygge slike automatiske fjøs. Men jeg har aldri sett noe om sikkerhet i fjøssystemer. Jeg har derimot hørt om folk som har fått virus på PC-en som styrer fjøsroboten. Den måtte reinstalleres, forteller han. 

– Det som er litt interessant, er at det ikke er noe lovforbud å koble seg opp mot noe sånt. Det er ingen autentisering. Det blir som å besøke et vanlig nettsted, sier han, før han understreker at det er stor forskjell på å besøke en slik tjeneste og å gjøre bevisst hærverk gjennom det som tilbys der.

Bjørkhaugs anbefaling til bønder og andre som ikke er sikre på om de eksponerer mer mot internett enn andre, er å finne ut hvilken IP-adresse de benytter, taste denne inn i Shodan (https://www.shodan.io/host/IP-adresse) og se hva som er kartlagt om denne. 

– Det faller dem ikke inn at det er mulig å koble seg til, når systemene bare er tilgjengelige via en IP-adresse. For den er det jo «ingen» som vet om, avslutter Bjørkhaug.

Oppdatering

Tirsdag 4. juni mottok digi.no en oppdatering fra Tønnes Helge Kverneland i TKS med siste nytt om saken. Han forteller at selskapet nå har fått kontakt med kunden, som har fortalt at de har koblet til alt utstyret selv. 

– Ruteren på vår maskin var tilkoblet en annen ruter som hadde usikret nett-tilgang. Her var det også koblet til diverse kamera og annet som de hadde mulighet for å fjernovervåke. Kameraene var satt opp med passord, skriver Kverneland. 

Kunden skal ha oppgitt at fôringsroboten nå skal sikres mot tilgang fra uvedkommende. 

– Vi har sendt ut info til våre forhandlere om at de bør gi generell info rundt dette med sikkerhet og passordbeskyttelse på maskiner og utstyr som kobles til nett. De skulle ta tak i det, forteller Kverneland videre. 

– Vi vil også gi generell informasjon rundt dette, hvor det er aktuelt, avslutter han.

Les også: Med smarthuset vidåpent på nett (Digi ekstra)