VIDÅPEN: Termostaten fra Trane var vidåpen mot internett, viste forskningen fra Cisco.

VIDÅPEN: Termostaten fra Trane var vidåpen mot internett, viste forskningen fra Cisco.

Internett-ting med elendig sikkerhet

Brukte ett år på å fjerne hardkodete passord, og nesten to på å rette alle meldte feil.

Tingenes Internet (IoT – Internet of Things) lover smartere hjem, byer, veier, næringsbygg og industri, men samtidig utgjør milliarder av «nye» nettverksenheter i verden de kommende årene en betydelig sikkerhetsrisiko. Det gjør ikke saken bedre at mange av fabrikantene av produkter som kommer til å bli smartere verken har kultur, erfaring eller mekanismer på plass for å rette på feilene som uunngåelig vil vil bli gjort.

It-industrien er godt vant med å tette sikkerhetshull som oppdages i programvare, enten det er i applikasjoner, operativsystemer eller i fastvaren til maskinvare, men det er altså slett ikke tilfellet for de «nye» IoT-leverandørene. Dette demonstreres svært tydelig i en bloggpost fra Ciscos Talos sikkerhetsorganisasjon, der en smart termostat viste seg å ha svært alvorlige sikkerhetsbrister i programvaren sin.

Hardkodete passord

Det amerikanske selskapet Trane lager en smart termostat som heter ComfortLink II. Den ligner mest av alt på et nettbrett, med stor berøringsskjerm og trådløst nettverk. I 2014 testet sikkerhetsforskerne hos Cisco Talos denne enheten for sikkerhetssvakheter, og flere slike ble avdekket:

Systemet hadde to hardkodete passord, som tillater enhver som har passordene full tilgang via SSH. I tillegg fant forskerne to feil som tillot kjøring av ekstern kode ved å utnytte svakheter ved buffer overflow. I begge tilfeller vil en inntrenger klare å bruke termostaten som en hvilken som helst maskin, internt i nettverket der den befinner seg.

Feilene er alvorlige, men ikke ukjente, selv i it-verdenen. Vi har opplevd tilsvarende svakheter på verdens pc-operativsystemer også, men da har vi sett leverandører som handler svært raskt, og som kommer med oppdateringer bare timer etter at feilen ble kjent. Slik fungerer det altså ikke i alle industrier.

Svært langsom reaksjon

Ifølge Cisco-bloggen henvendte sikkerhetsforskerne seg første gang til fabrikanten av termostaten i april 2014. Da ble leverandøren informert, og fikk overbragt dokumentasjonen av feilene i produktet.

Etter dette skjedde det ikke stort. Trane lanserte ingen oppdateringer av koden, og sikkerhetsforskerne gjorde flere oppfølginger av saken, i juni, august og september i 2014. I september sendte forskerne underlagene nok en gang, og gjorde ikke flere forsøk på å varsle Trane.

I løpet av april 2015 slapp Trane en ny versjon av fastvaren til produktet, der de hardkodete passordene var fjernet. Selskapet opplyste ingen om at dette hadde skjedd, heller ikke kundene sine.

I mai i 2015 varslet Talos det amerikanske CERT (Computer Emergency Response Team) om saken, som forsøker å komme i kontakt med Trane uten å lykkes. I løpet av sommeren og høsten i fjor fortsatte Talos å følge opp leverandøren, men ingen oppdateringer var tilgjengelig.

Først ved utgangen av januar 2016 slapp endelig Trane en ny versjon av koden, der alle kjente svakheter var rettet opp. Likevel gjorde ikke Trane noe som helst med tanke på å informere sine kunder om feilrettingen. Selve oppdateringen er heller ikke triviell for en vanlig bruker, koden må lastes ned til et SD minnekort, som deretter må plugges inn i termostaten for å gjennomføre oppdateringen.

 

Denne historien viser hvor utsatte IoT-enheter kan være. Leverandørene av slike er kanskje ikke vant til å holde dem oppdatert, men likefullt er de tenkt å kobles til hjemmene våre, og til internett. Å sjekke leverandørens oppdateringsrutiner er kanskje et smart tiltak, før de nye dingsene kobles til hjemme.

Les om:

iot