Denne boligen ligger ifølge kartet ved Oslofjorden. Her vises en del sensordata og en bryter for å skru av og på båtlys.
Denne boligen ligger ifølge kartet ved Oslofjorden. Her vises en del sensordata og en bryter for å skru av og på båtlys. (Skjermbilde: digi.no)
EKSTRA

OpenHab

Med smarthuset vidåpent på nett

Mange glemmer tilsynelatende alt om IT-sikkerhet når de får seg nye leketøy.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

Mange har tatt i bruk smarthusteknologi og syns det er kjekt å kunne overvåke og styre temperatur, lys, brannvarslere og overvåkningskameraer via internett, når de selv ikke er hjemme. 

Dessverre kan det virke som at enkelte med temmelig omfattende smarthusløsninger, samtidig har null forhold til personvern og informasjonssikkerhet. De har rett og slett lagt hele systemet åpent ut på internett – i mange tilfeller helt uten krav om innlogging, og selvfølgelig fullstendig ukryptert. 

OpenHab

Det er John-André Bjørkhaug, penetrasjonstester hos NTT Security, som viser digi.no dette. Ved hjelp av søketjenesten Shodan har han funnet fram til nærmere 40 brukere av smarthusløsningen OpenHab i Norge, og rundt 4 500 globalt, som ligger åpent på nett. 

John-André Bjørkhaug er penetrasjonstester hos NTT Security.
John-André Bjørkhaug er penetrasjonstester hos NTT Security. Foto: Harald Brombach

 Det ene smarthuset tilhører et par som på sin OpenHab-side også offentliggjør posisjonen til sine respektive smartmobiler. Mye tyder på at de bor i Buskerud, og da digi.no snakket med Bjørkhaug for et par uker tilbake, kunne posisjonsanvisningene tyde på at paret var på en øy i det Karibiske hav. 

– Vi må ta en telefon til dem en dag, sa Bjørkhaug.

– Folk må begynne å tenke seg litt om før de putter tingene sine på nett. Men det blir mer og mer av dette.

Bjørkhaug mener det utelukkende er den som har satt opp OpenHab-installasjonen, som er skyld i dette.

OpenHab er nemlig ikke ment å bli eksponert mot det åpne internett. Det står klart og tydelig i sikkerhetsdelen av dokumentasjonen. Årsaken er at programvaren ikke har støtte for webbasert autentisering av brukere. 

Fjerntilgang kan derimot settes opp ved å ta i bruk en egen nettskyløsning, MyOpenHab

Les også:
De usikre tingenes nett. En varslet katastrofe

Koblet til Teslaen

En annen OpenHab-bruker uten sans for sikkerhet heter etter alt å dømme Kenneth. Ikke alle dataene på siden hans blir lenger oppdatert, men fram til i oktober i fjor var både Teslaen og garasjeporten hans koblet til den åpne OpenHab-siden. Ifølge Bjørkhaug var det mulig å åpne garasjeporten, låsene i bildørene og takluken, samt se posisjonen til bilen på et kart, via OpenHab-grensesnittet. Det var også mulig å skru på slik som klimaanlegg og batterivarmer.

En tredje OpenHab-bruker har offentliggjort dataene fra sine ni røykvarslere, en håndfull multisensorer og en widget som heter Sirene. Der er det en bryter som heter Sirene Switch. Det er uvisst hva denne egentlig gjør, men en viss idé får man nok av navnet.

Shodan-søket etter OpenHab i Norge gir mange treff.
Shodan-søket etter OpenHab i Norge gir mange treff. Skjermbilde: John-André Bjørkhaug

– Det er så fristende, innrømmet Bjørkhaug. 

– Dette ligger helt åpen på nett. Det er ingen autentisering eller noen ting. Dermed er det ikke noe forbud mot å gå inn på disse sidene, for du bryter ingen barriere. Det blir som å gå på VG.no, sier han. 

Mulighet for sabotasje

Bjørkhaug forteller at han også har funnet et hjemmebryggeri koblet opp på denne måten.

– Dette var en med litt over gjennomsnittlig interesse for ølbrygging. Han hadde mange tanker, sier han.

Det var mulig å justere termostatene til disse tankene via webgrensesnittet. 

Det neste eksempelet Bjørkhaug viste fram, var fra en hytte. Der var det blant annet mulig å justere temperaturen, skru av og på lamper og varmekabler. 

– Hvis noen fyrer opp alt av lys og varme i den hytta, med de strømprisene vi har nå i dag, vil jo eierne gå på en kostnad. Eventuelt, dersom noen slår av alt av varme, så vil jo ting fryse, sa han. 

OpenHab-grensesnittet til en bolig nær Oslofjorden.
Denne boligen ligger ifølge kartet ved Oslofjorden. Her vises en del sensordata og en bryter for å skru av og på båtlys. Skjermbilde: digi.no

Knyttet til domene

Bjørkhaug forteller også om enda et OpenHab-tilfelle som han og kollegene fant for en stund tilbake. 

– Der hadde en person lagt ut et kamera som overvåket bikkja inni huset. I tillegg var det to knapper, Åpne garasjeport 1 og Åpne garasjeport 2. Han hadde et eget domene som han hadde kjøpt et sertifikat til. Vi fant IP-adressen først, deretter sertifikatet han hadde. Fra dette fant vi domenet, som deretter ledet til navnet til personen og hvor han bodde. 

– Da kunne vi ha dratt ditt, åpnet garasjeporten og gått inn, sier Bjørkhaug. 

Han sier at det i de fleste av tilfellene ikke er mulig å spore opp hvem som eier de utsatte smarthusene.

Les også: – Jeg har lagd mitt eget smarthus. Det er det dummeste jeg har gjort

Kommentarer (2)

Kommentarer (2)
Til toppen