Komprometterade kameror: Hur IoT kan sabotera din konkurrenskraft

I en ny rapport beskriver F-Secure flera allvarliga säkerhetsluckor i Foscam-tillverkade IP-kameror. Men problemet är större än en tillverkare och en modell - det är ett systemfel som kan orsaka stora bekymmer.

Författare: F-Secure Business Security Insider
Datum: 07.06.2017
Lästid: 5 Minuter

Internet of Things är här. Och med IoT kommer spännande affärsmöjligheter, smarta besparingar och höjd effektivitet. Men det finns en mörk sida av myntet också – en mörk sida som enkelt kan sammanfattas i det vi kallar Hyppönens lag: Om den är smart, så är den också sårbar.

F-Secure och andra företag i den här branschen upptäcker sårbarheter i internetuppkopplade prylar hela tiden. Och vi har nyligen fått se ytterligare ett bevis på Hyppönens lag i och med upptäckten av flera allvarliga sårbarheter i IP-kameror från kinesiska tillverkaren Foscam. F-Secure har hittat 18 nya sårbarheter i två kameramodeller som, om de utnyttjas, ger en angripare total kontroll över kameran och tillgång till den film som spelas in.

DOWNLOAD REPORT

Det här är inget nytt i sig – vi vet att webbkameror kan hackas. Vi har alla hört berättelser om hur voyeuristiska hackare spionerar på ovetande måltavlor. Men vi ska inte glömma bort att de här enheterna inte bara är kameror – de är också servrar. En sårbar server som ger angriparen ett stadigt första fotfäste för att arbeta sig vidare in på nätverket.

Om en av dessa enheter är uppkopplad mot ett företagsnätverk och en angripare får tillgång till nätverket så är det ofta en smal sak för dem att infektera kameran med skadlig kod som ger tillgång till ytterligare resurser.

En viktig sak att ha i åtanke här är att nätverket idag inte längre är vad det en gång var – tydligt definierat och avgränsat. I och med molntjänsternas intåg och en alltmer mobil arbetsstyrka som i allt större utsträckning kopplar upp sina egna enheter så är data, enheter och resurser som tidigare befann sig på utsidan nu på insidan. Internet of Things är ytterligare ett steg i den här utvecklingen i och med att dessa ”smarta” prylar bygger ut nätverket långt bortom arbetsstationer, bärbara datorer, smarta mobiltelefoner och surfplattor.

”IoT innebär fler enheter på nätverket som du kanske inte tänker på som nätverksenheter”, säger Janne Kauhanen, säkerhetsexpert på F-Secure. ”Det resulterar i det vi brukar kalla ’skugg-IT’, där företaget inte har koll på alla enheter på deras nät. Och om du inte har koll på något så kan du inte heller se till att det är säkert.”

Harry Sintonen, säkerhetskonsult på F-Secure och den som hittade sårbarheterna i Foscam-kamerorna, säger att han aldrig sett en enhet som varit så dåligt konstruerad. ”De här sårbarheterna är så allvarliga de kan bli”, säger han. ”De gör det möjligt för en angripare att göra i princip vad han eller hon vill. En angripare kan utnyttja dem en och en, eller välja ut de luckor som passar bäst för att på så sätt få ännu större rättigheter, både på enheten och på det nätverk kameran är uppkopplad på.”

Många av sårbarheterna handlar om att man helt enkelt inte brytt sig om att fundera på dem. Man har inte brytt sig om att sätta slumpmässiga default-lösenord, inte brytt sig om att stänga ute användare som matar in felaktiga lösenord för många gånger, inte brytt sig om att begränsa tillgång till systemkritiska filer och mappar. Andra sårbarheter handlar om funktioner och egenskaper som helt enkelt inte borde finnas på den här typen av enhet – till exempel dold möjlighet att ansluta via notoriskt osäkra Telnet-protokoll och hårdkodade inloggningsuppgifter som låter en angripare helt kringgå användarens egna lösenord.

De pekar alla i samma riktning: Tillverkaren bryr sig inte om säkerhet. Problemet är, dessvärre, något som genomsyrar en stor del av Internet of Things i allmänhet. Säkerhet är ingenting som säljer enheter och följaktligen är det inte heller något som tillverkarna satsar på eller investerar i. Det har lett till att vi har mängder av osäkra kameror, routrar, termostater, vattenkokare, bilar…ja allt möjligt…och det har blivit ett problem, inte bara för de som äger dessa enheter utan för hela internet. Förra hösten såg vi en DDoS-attack som utnyttjade just den kraft som finns i oskyddade IoT-enheter för att sänka stora delar av internet. Det om något borde påvisa att det finns en hel del att jobba på här, och att det är viktigt: om vi inte får till säkerheten inom IoT så är hela internet utsatt för risk.

Att hitta och infektera dessa enheter är inget större problem för angripare där ute, bland annat för att tillverkarna har gjort det lätt för dem att göra det. ”Om du har en av dessa enheter på ditt nätverk så vågar jag garantera att en angripare kommer att hitta den”, säger Janne Kauhanen.

Lösningen

Det kanske ser oerhört dystert ut, men enligt F-Secures säkerhetsexperter finns det hopp. Reglering är kanske aldrig en ideallösning, men i det här fallet skulle det definitivt hjälpa till för att tillverkarna ska börja bry sig om säkerhet.

”Många branscher går igenom den här processen, när vi inser att det finns säkerhetsproblem att lösa”, säger Sean Sullivan, säkerhetsrådgivare på F-Secure. ”Ta bilar som exempel. Det tog ett tag, men till slut insåg vi att säkerhetsbälten var en smart idé. IoT går igenom samma process. Om tio år kommer problemen att vara lösta. Frågan vi måste ställa oss nu är – vill du att de här problemen ska förstöra din konkurrenskraft under tiden?”

För företag som vill vara proaktiva handlar det om att säkerställa att de här enheterna befinner sig på separata nätverk, utan anslutning till internet. Och det handlar om att ta ett helhetsgrepp på säkerhetsarbetet, och arbeta med säkerhet i flera lager. Man måste första hur man är sårbar, hur attackytan för ens organisation ser ut – och göra allt för att minimera den.

När det gäller företag som bygger IoT-enheter så borde det vara ett enkelt beslut – att fokusera på säkerhet redan nu ger dig ett viktigt försprång när regleringarna väl träder i kraft. Så om du bygger smarta prylar, konstruera dem med säkerhet redan från start. Att ha rätt säkerhetsprocesser på plats och genom i sammanhanget ganska begränsade investeringar i säkerhet kommer att göra att du skiljer ut dig från mängden.

Ladda ner hela rapporten om sårbarheterna, med omfattande och tydliga rekommendationer för hantering av problemen för företag, organisationer – och tillverkare – nedan:

DOWNLOAD REPORT


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s