Berlingske Business

TV-hacker: Producenter er ligeglade med sikkerheden i forbrugerelektronik

USA CONSUMER ELECTRONICS SHOW
Foto:

Det er alt for let at hacke ind i selv nye smart-TV og routere, påpeger hacker, som dybest set mener, leverandørerne er flintrende ligeglade.

Smart-TV og netværksharddiske. Vores hjem er spækket med forbrugerelektronik, der er koblet på nettet, og som samtidig bliver dårligt vedligeholdt af leverandørerne.

Det skriver Version2.dk.

Og det er et problem, mener senior security researcher i Kaspersky Labs David Jacoby.

Enhederne er nemlig fulde af sikkerhedshuller, og alligevel står det sløjt til med patches fra leverandørerne, hvor opdateringerne måske slutter, efter produkterne har været på markedet i blot et år. Imens er TVet og harddisken stadig på hjemmenetværket, hvor enhederne udgør en stadig større sikkerhedstrussel, jo længere tid der går.

Det var hovedbudskabet, som David Jacoby havde med på IT-sikkerhedskonferencen Copenhagen Cybercrime Conference 2015, der fandt sted i Industriens Hus torsdag i sidste uge. Bag konferencen stod CSIS, DI ITEK og Erhvervs- og vækstministeriet.

Jacoby holdt et indlæg med titlen 'How I hacked my home'. Version2 mødte ham inden indlægget til en snak om udviklingen inden for IT-sikkerhed i forbrugerelektronik.

pix-Computervirus

Hvis navnet David Jacoby - eller emnet for den sags skyld - virker bekendt, så er det muligvis fordi, Version2 sidste år bragte et interview med netop David Jacoby, som havde begået en mindre rapport om alle de IT-sikkerhedsproblemer, han havde fundet - og udnyttet - i den gængse forbrugerelektronik, han har stående i sit hjem.

Siden er det gået stærkt. Jacoby blev nemlig mere eller mindre verdenskendt som ekspert på området, efter han udgav sin rapport med helt konkrete eksempler på, hvordan han for eksempel kunne få root-adgang til styresystemet, der ligger på en netværksharddisk. Vel at mærke uden at være koblet på hjemmenetværket, men udefra via internettet.

Root-adgang vil i denne sammenhæng sige, at en hacker kan få fuld kontrol over netværksharddisken, få adgang til al dens indhold, bruge den til at hacke videre ind på hjemmenetværket, indlemme harddisken som en del af et botnet. Og så videre.

Underholdningsbranchen

Omtalen har blandt andet bevirket, at en smart-tv-leverandør på eget initiativ har henvendt sig til Jacoby for at få ham til at teste netop deres produkt.

»Jeg vil ikke sige, det var fuld af sikkerhedshuller. Men der var sikkerhedshuller. Og det var deres seneste, store enhed. Problemet er ikke i operativsystemet, det er i alle de ekstra lag, som leverandørerne putter oven på,« siger David Jacoby og fortsætter:

»De er ikke i sikkerhedsbranchen, de er i underholdningsbranchen. Så de lægger alt muligt ind oven på, en app til Netflix, en app til Youtube, fotodeling, webcams, stemmeaktivering. Og hvis bare et af disse moduler er sårbare, så er det game over.«

Som tidligere ønsker Jacoby ikke at sætte navn på specifikke leverandører, men hans generelle billede baseret på flere af de - nye - produkter, han har testet siden sidste år, er, at det stadig står sløjt til med sikkerheden. Og at leverandørerne ikke er specielt omhyggelige med at få lukket sikkerhedshuller.

pix-Cybersikkerhed

Hvad værre er, så stopper opdateringerne til enhederne efter ganske kort tid, eksempelvis et år. Også selvom det nok er de færreste forbrugere, der smider deres TV til storskrald efter et år. Og jo længere tid skærmen hænger på væggen efter opdateringerne er stoppet, desto værre bliver sikkerhedsproblemerne.

»Hele underholdningsindustrien har et problem. Og det er livscyklussen ift. til support. Hvis du eksempelvis køber et spritnyt TV, så får det måske opdateringer i sådan noget som seks måneder. Måske - hvis du er heldig - et år,« David Jacoby.

Mere root-adgang

De største syndere på hjemmenetværket, som Jacoby i sin tid fandt frem til, er netværksharddiske. Her var standardkodeord, der kunne bruges til at opnå root-adgang og fuldstændigt kompromittere det underliggende styresystem, en af udfordringerne.

Ud over smart-TV har Jacoby koblet flere nyere enheder til sit hjemmenetværk for at se, hvordan det står til med sikkerhed. Og det hele er ikke lige slemt. Eksempelvis har han en printer, han ikke kunne knække. Og så har han kigget på yderligere en netværksharddisk.

»Jeg fandt noget, men jeg fik ikke root-adgang til printeren. Og det samme med en tredje storage-enhed. Jeg kiggede dog igen på den for et par dage siden med friske øjne, og den var fuldstændig broken. Det vil sige fuldstændig root-adgang,« siger David Jacoby.

Billet_Business

De tre storage-enheder, som han har hacket, kommer fra tre forskellige leverandører. Og David Jacoby hæfter sig i den forbindelse ved, at leverandører er traditionelle IT-hardwarespillere, og dermed har svært ved at dække sig ind under, at de er nye på markedet. De er altså ikke medlemmer af det, han ellers omtaler som underholdningsindustrien.

»De burde vide bedre. Det er deres kerneforretning,« siger han.

Hvorfor tror du så, sikkerheden alligevel er så dårlig?

»For at være helt ærlig? De er ligeglade. De er fuldstændigt ligeglade.«

Der er ting, man kan gøre som forbruger for at sikre hjemmenetværket, påpeger han. Eksempelvis at segmentere hjemmenetværket, så smart-tv og lignende kører på et segment for sig. Men det er meget at bede almindelige forbrugere om, medgiver Jacoby.

Svært med leverandør-kontakt

Og han er da heller ikke i tvivl om, at ansvaret for den ringe sikkerhed i forbruger-elektronikken i sidste ende tilfalder leverandørerne, og at det er deres ansvar at holde produkterne ved lige, også efter et år, så de er nogenlunde it-sikkerhedsmæssigt forsvarlige.

»Jeg har nævnt det til leverandørerne, jeg mødte to af dem til en konference i Tokyo. Og de sagde: Vi ved ikke, hvordan vi skal løse det. Vi har ingen idé om, hvordan vi skal opdatere så mange maskiner med så meget (forskellig) software,« siger han og tilføjer:

»Jeg siger ikke, de har ret. Det er bare deres undskyldning.«

pix-ryanair

Som det sig hør og bør blandt white hat-hackere, så rapporterer David Jacoby de svagheder, han finder i elektronikken til leverandørerne - også selvom det til tider kan være mere end almindeligt bøvlet at få hul igennem til dem. Det var eksempelvis tilfældet med den tredje netværksharddisk, som Jacoby kompromitterede kort inden sin deltagelse på konferencen i København.

»Det var et fuldstændigt mareridt bare at få fat på disse folk. Der er en supportlinje, og det er et tilfældigt callcenter et sted i verden. Det har ikke noget at gøre med de faktiske folk, der arbejder i virksomheden. Så jeg måtte lege detektiv på LinkedIn for at komme i kontakt med disse mennesker.«

Endelig lykkedes det David Jacoby at få hul igennem til de rette personer i virksomheden, som han kunne sende sine IT-sikkerhedsmæssige fund til, hvad deres netværksharddisk angår.

»Jeg sendte dem min rapport, de bekræftede sårbarhederne. Og det var det. Ikke engang et tak.«

David Jacoby er ret sikker på, at de samme sårbarheder ikke vil være at finde i den kommende udgave af softwaren til netværksharddisken. Blandt andet vil virksomheden bag lave ekstra input-validering. Sikkerhedseksperten er dog ikke videre fortrøstningsfuld i forhold til, at leverandøren dermed får bugt med grundlæggende sikkerhedsudfordringer i softwaren.

»Disse sårbarheder er så ekstremt simple og trivielle, at jeg vil anbefale, de laver et rigtigt kode-review i forhold til kommende produkter.«

Brancheforening: Vi diskuterer det

BFE, Brancheforeningen Forbrugerelektronik, har flere leverandører af smart-TV blandt medlemmerne. Her fortæller teknisk konsulent Gert Müller Svendsen, at vedligehold af software er noget, der er fokus på blandt BFEs medlemmer.

»Vi beskæftiger os jo med forbrugerelektronik, og det er helt klart noget, vi diskuterer internt.«

Hans umiddelbare vurdering er dog også, at leverandørerne gør, hvad de kan. Men traditionelt, fortæller han, har der nok været mere fokus på at vedligeholde og beskytte software på en almindelig computer, der jo bruges til eksempelvis netbank, end der har været fokus på softwaren i et fjernsyn.

»Når det er sagt, så er det relevant, at leverandørerne holder sig opdateret, fordi der kommer flere og flere tjenester på i form af apps og software,« siger Gert Müller Svendsen med henvisning til smart-TV.

I den forbindelse påpeger han også, at selvom smart-TVet i sig selv ikke bliver brugt til eksempelvis at gå i netbanken med, så kan apps på det i princippet bruges til at sniffe kreditkortoplysninger med, når brugerne indtaster dem for at kunne tilgå diverse streamingtjenester. Og det kan give et incitament til hackere til at bryde ind i TVet.

Og der er da også en løbende diskussion i branchen, forklarer Gert Müller Svendsen, i forhold til at opdatere softwaren i forbrugerelektronikken.

»Det er noget, vi også bruger tid på at diskutere. Altså hvordan sikrer man det. På den ene side sker der jo en masse teknisk udvikling med nye spændende ting, på den anden side så skal vi altså også have forbrugere, som er glade længere tid end det næste år.«

hacker

Deltag i debatten på Version2.dk.

Kære læser

Berlingske har skiftet det system, vi bruger til at håndtere kommentarer til de enkelte artikler. Det betyder, at tidligere kommentarer nu er slettet. For fremtiden kan artikler kun kommenteres og debateres med et log ind til Facebook.

Med venlig hilsen

Redaktionen

Forsiden lige nu

Til forsiden

Business anbefaler

 

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

Annonce

Venezuela har verdens største oliereserver – og en årlig inflation på 100.000 pct. Hvad er det lige, der sker?For en dansk investor var Venezuela frem til for få år siden interessant, fordi ØK havde s...

Kære læser. Velkommen til business.dk.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer. Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

Vi håber derfor, at du i din adblocker vil tillade visning af annoncer fra business.dk Det er nemt og tager kun et øjeblik: Se hvordan du gør her.

Med venlig hilsen
Berlingske Business

Tilbage til artiklen