Norske kameraer åpne på nett

Computerworld har sett på en del videoovervåkingsløsninger som er vanlige i det norske markedet. Flere av de er svært lette å få tilgang til, bare man har brukernavn og passord. Og svært mange av de har standardpassord fra fabrilkken, som man ikke trenger å endre. Disse kameraene kan enkelt spores opp gjennom sikkerhetstjenesten Shodan.

Et søk gjennomShodan vil eksempelvis vise at en av verdens ledende leverandører av videoovervåkningsløsninger, Exacq, har hundrevis av netteksponerte systemer bare i Norge.

En grov opptelling fra Computerworlds side tyder på at om lag halvparten av disse kun er sikret ved hjelp av fabrikkens standardiserte brukernavn og passord, som er lett søkbart og tilgjengelig fra produsentens egne manualer.

Dette gir direkte tilgang til overvåkningsbilder fra en rekke norske butikk- og lagerlokaler, men også en betydelig mengde private hjem. Kamerautsnittene dekker alt fra oppkjørsler til soverom.

Fraråder å bytte passord

Selv om manualen fra produsenten Exacq i dette tilfellet tydelig råder brukeren til å velge et egendefinert passord for den ferdiginstallerte løsningen, kan budskapet lett forstås motsatt i den norske brukerveiledningen fra importøren Vicon:

- Kontoen benyttes ifm. automatisk pålogging til Windows og ExacqVision Server ved oppstart av systemet, og som en standardkonto for brukere som ikke skal ha administratorrettigheter til systemet. Brukernavn og passord på denne kontoen skal ikke endres, heter det under kapittelet "Standard brukernavn og passord i Windows og i exacqVision Server".

Vicon forklarer formuleringen med at passordbytte lokalt forvansker prosessen med autoinnlogging ved førstegangs oppstart av systemet, og at de aktivt råder både forhandlere og installatører til å endre passord dersom de vil ha løsningen tilkoblet internett.

Endrer brukermanualen

– Det som står i brukermanualen handler egentlig om når systemet er offline, men vi innser at det kan være uheldig. Vi vil gå inn og endre manualen til å presisere at dersom systemet skal ut på internett, bør standard brukernavn og passord endres, sier teknisk sjef for løsninger i Vicon, Thomas Murud Andersen.

Han understreker at det er en lang rekke forhandlere og elinstallatører/sikkerhetsfirmaer som jobber opp mot sluttkundene, og "forutsetter at forhandlerne forteller om farene", som han sier.

- Kundene selv er ansvarlige for sikkerheten, men vi ser at vi her kan ha påvirkningskraft. Det kan være at forhandleren ikke forteller alt til kunden, og at kunden henvises direkte til brukerveiledningen. Da innser vi at dette kan misforstås, sier Murud Andersen.

Private filer eksponert

Et kanskje enda mer graverende eksempel er problemene med Asus' bredbåndsrutere, som ble rapportert i PCWorld i januar:

De aktuelle ruterne tilbyr brukeren til å utnytte en usb-harddisk koblet til ruteren, blant annet via ftp-tjener. I en av oppsettveiledningene for ftp-tjeneren er standardforslaget til valgt konfigurasjon "åpen tilgang".

Asus var klar over problemet i et halvår før det ble gjort noe, men fortsatt må forbrukerne selv aktivt oppgradere egen firmware. Resultatet? Flere hundre nordmenn har fortsatt private dokumenter og bilder, samt data tilhørende arbeidsgiver, liggende åpent tilgjengelig på nettet.

Senere undersøkelser har også demonstrert at lignende problemer eksisterer for flere andre ruter- og NAS-produsenter, som Linksys og Iomega.

Pessimistisk

- At det ligger inne standardpassord ved utlevering av produktet er noe jeg vet Nextgentel, Telenor og Get har gjort endring på gjennom unik SSID og passord klistret på pakken. Hvorfor ikke globale giganter som Asus har greid å implementere dette, når i sammenhengen små norske aktører greier det, er vanskelig å forstå. Men det illustrerer problemet: Ringer du markedsavdelingene i disse selskapene, sier de at det er dette kundene vil ha – kjapt, enkelt og brukervennlig, sier sikkerhetsrådgiver Per Thorsheim.

Han rister på hodet over eksemplet der selv brukermanualen fraråder passordbytte.

- Trådløse krypteringer står i mange tilfeller for fall. Selv offlinevarianter av overvåkningssystemer burde ha akseptabel passordbeskyttelse. I min verden burde ikke noe produkt være tilgjengelig for bruk før brukeren har satt sitt eget passord, sier Thorsheim.

Han mener bransjens eksisterende problemer i møte med nye nettoppkoblede tjenester peker mot at det kommende Internet of Things vil bli ett av to: En flodbølge av dingser med grunnleggende dårlig sikkerhet ut av boksen, eller en bransje som vil rekke å ta lærdom av tidligere feil.

- Jeg er grunnleggende pessimist og er blitt 42 år gammel, og det finnes heller ingen realisme i at en eventuell norsk forbrukerlovgivning skal kunne bli effektiv i en global bransje. Sluttbruker vil derfor alltid ha et selvstendig ansvar. Men det bør i det minste kunne kreves en rimelig grad av sikkerhet ut av boksen, sier Thorsheim.

Forbrukerrådet: - Upløyd mark

Direktør for digitale tjenester i Forbrukerrådet, Finn Myrstad, bekrefter at å sikre forbrukerne digitale rettigheter er en komplisert affære.

- Feltet bærer preg av at det er i enorm utvikling, og jussen henger utvilsomt etter på digitale tjenester kontra produkter. Men nå ser vi så mange tilfeller av at produkt og tjeneste fleettes i hverandre at det blir ekstra synlig at tjenestesiden er dårlig ivaretatt, sier Myrstad.

Han sier Forbrukerrådet jobber med saken også i EU-systemet, og tror temaet kan komme høyere på agendaen i forbindelser med kommende utskiftinger av den politiske ledelsen.

- I lys av "Null Ctrl"-kampanjen og Snowden-avsløringene får vi en mer og mer sikkerhetsbevisst befolkning. Selskaper som iverater sikkerhet får dermed på sikt et konkurransefortrinn. Jeg tror det veldig fort kan komme sentrale krav dersom ikke bransjen ordner opp selv, men det ønskelige er at bransjen finner en egen norm selv, sier Myrstad.

Å lovfeste «passord skal være slik og sånn» overfor importører, forhandlere og installatørerblir uansett vanskelig, mener han.

- Forbrukerne må ta et ansvar, og vi trenger en holdningsendring bort fra der vi der på det digitale som noe annet enn "det andre" vi driver med. Vi trenger å tenke på digital sikkerhet på linje med å løse døra og trekke ut kontakten på kaffetrakteren, sier Finn Myrstad.