IOT-Idioti

26 februari, 2020

Måste vi koppla in och upp allting?

Jamen självklart ska man ha en klocka på armen som visar vad som finns i mobiltelefonen. Den är ju så långt bort. Det är ju faktisk 10 centimeter till fickan där den ligger.

Jag har tjatat om detta ett antal gånger. Faktum är att ett av de första poddavsnitten handlade till stor del om attackerande brödrostar och annat iot-skräp. Och jag har nuddat vid ämnet här i bloggen ett antal gånger förut, så det är inget nytt. Och jag är långt ifrån ensam att klaga på iOT-enheter. Det verkar dock inte hjälpa särskilt mycket. Vi sitter i ett läge där det tjatas om att hålla allt säkert och med andra handen öser vi in möjligheten att koppla upp allt och överallt.

Jag har en radio hemma som jag lyssnar på. Den är internetuppkopplad och jag upptäckte snabbt att man kunde gå in på apparatens kontrollpanel via en webbläsare och ställa om inställningar och även ladda upp filer direkt till dess firmware. Alltså. Om jag sitter på samma nät som den, är den helt vidöppen. Inget lösenord och ingen kryptering. Jag skulle våga påstå att detta troligen är rätt vanligt på många enheter som vi gladeligen kopplar in på nätet.

Chromecast-donglar sitter ofta på företagsnät för att låta anställda visa saker på skärmar i konferensrum. Dessa enheter sitter då ofta på samma nät som resten av personalen.

Sen är det Raspberry pi-enheter som används för att generera statistik på skärmar. Dessa kan säkras rätt bra, men är det någon som ser till att övervaka, säkra, patcha och hantera dem eller sitter de bara där och kör år efter år länge efter att operativsystemet har slutat supporteras?

För några månader sedan köpte jag en ny tvättmaskin. En inbyggd WIFI-enhet som gjorde att man kunde koppla in den på nätet var ett krav för mig när jag letade efter en lämplig modell: alltså att den INTE hade någon sådan. Hade det gått att koppla in den, hade jag inte köpt den. Och jag struntar i om den inte kan koppla upp sig innan man konfigurerat den att göra så. Att den finns är illa nog.

Alla enheter som kan kopplas upp har normalt CPU, minne och lagring. Precis vad man behöver som hackare. En sådan enhet kan tas över för att sedan användas för att göra en lateral förflyttning eller som det också kallas att ”pivotera”. Detta innebär att man använder enheten som en bas för att attackera andra enheter på samma eller närliggande nät.

Förr var det skrivarna som var ”skomakarens barn”, nu har vi istället arméer av illa skötta enheter som kopplas in bara för att. Sen är det en myriad av appar som används för att styra dem och som också kan ställa till med problem.

Tidigare funderingar av mig på ämnet:

SNÄLLA – SLUTA KOPPLA IN SKRÄP PÅ NÄTET!!!! Vi har redan tillräckligt av detta mög som det är och det blir bara värre. –Erik

30 oktober, 2019

Den långa svansen

Jag får inte matematiken att fungera riktigt, men det är nog det som är meningen med detta skämt. Fungerar bättre om man tänker på ”server” som en teknisk pryl och inte en servitör.

Idag är ju en majoritet av systemen byggda med säkerhet som ett viktig mål. Det går inte att fortsätta använda uråldriga principer för att skapa nya program och ny hårdvara. Så allting borde ju vara på väg i rätt riktning. Och det är det nog faktiskt. Men… Om man nu skulle tro att det inte finns en stor del kvar av en svunnen tid, är det bara att titta runt.

ShodanHQ visar hur mycket gammalt skräp som fortfarande finns uppkopplat. Eller webbtjänster med sårbarheter man trodde vara borta sedan länge. Eller system som inte är patchade eller helt enkelt saknar krav på inloggning för att få användas. Det är snart ett år sedan Pewdiepie fick gratis reklam på tusentals osäkra skrivare uppkopplade till nätet. Riktigt bedrövligt att det fortfarande finns skrivare du kan koppla upp till över Internet. Vem kopplar i dessa tider överhuvudtaget in saker utan en brandvägg? Alltså utan en teknologi som folk började använda på bred skala när bredbanden blev populära.

Jag talar både om saker som borde försvunnit för 15 år sedan, men lika mycket om saker som är moderna men inte klarar av att stå på nätet. Den stora massan av undermåliga system formar en lång svans av plattformar för hackare att ta över. På 2000-talet var en stor mängd av skräpet dåligt skyddade Windows-burkar som folk kopplade in utan någon brandvägg. Windows XP hade en riktigt värdelös brandvägg som inte blev användbar förrän man faktiskt fick ordning på den med service pack 2 år 2004.

En del saker var kanske någotsånär säkra när de var nya men har, som sagt, sedan länge övergetts av tillverkaren. Detta har vi pratat om i tidigare inlägg, men det är fortfarande värt att tänka på. För något år sedan fick jag en fråga av en kund vad man kunde göra med en Windows NT-server som måste vara kvar och kopplad till nätet. Hur skulle den skyddas om den var tvungen att vara nåbar över SMB-protokollet? De portarna är bland de farligaste att ha öppna på en gammal Windows server. Windows NT slutade utvecklas 1999 för att sätta saker i perspektiv. Det har ingen egen brandvägg och inget skydd mot nätverksbaserade attacker att tala om.

Sen har vi saker som är skrivna i sedan länge övergivna ramverk och programspråk. Webbapplikationer som saknar all typ av skydd mot de vanligaste attacktyperna på nätet.

Ibland är dessa system ett blödande skotthål i ett annars tätt pansar. En uråldrig enhet tillhörande ett nätverk av ordentligt skyddade servrar med välbyggda applikationer. Denna svaga punkt, kan negera allt annat skydd.

Varför finns denna lång svans av smitthärdar kvar i dessa dagar? Det är svårt att säga, men det är fortfarande ett stort problem, och visar inga tecken på att minska. Detta ska läggas till det faktum att det idag dessa dagar kopplas in allt fler och fler enheter till Internet. Hur blir det med IPV6? Kommer det blir ännu värre? Framtiden ser inte ljus ut här.

24 april, 2019

När man säger för mycket

Det är en allt mer ovanlig syn: felmeddelandet som säger allt.

Kommer ni ihåg när man kunde gå till en hemsida och se följande meddelande?

”Microsoft OLE DB Provider for ODBC Drivers error ’80040e14’

[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ’46’.

/webapp.php, line 12″

Detta förekommer fortfarande, men just detta meddelande är idag nästan ett museiföremål. Meddelandet ovan kommer från en sårbar webbapplikation som råkat ut för någon som testat att lägga till en apostrof i ett indatafält. Detta är en indikator att man kan göra en SQL-injektion. Meddelandet avslöjar även vilken databasmotor man använder.

Att säga att det inte sker längre är dessvärre att tro för väl om säkerheten på Internet. Det finns stora mängder exempel på system som berättar vilken version de är eller läcker ut annan känslig information. Det finns många ställen där man kan demonstrera detta. En av de mest användbara är ”Google Hacking Database” som innehåller en lista på sökord som kan användas för att hitta sårbara applikationer eller intressanta saker att titta djupare på. Den bygger på att applikationer ofta läcker ut konfigurationer, lösenord eller loggar på nätet, som Googles sökmotor snappar upp när den indexerar sidorna. Ett exempel ur den digra listan: prova följande länk för att hitta applikationer på Github som hårdkodar sina lösenord i konfigurationsfiler. Många av dessa är troligen av rätt begränsad användning. Men det finns anledning att fundera på om det är så lämpligt att skriva en applikation på detta sätt. Kan man använda denna information för att hacka? Svaret är att det beror på ens fantasi.

Sen finns ShodanHQ som låter dig söka efter enheter som är nåbara från Internet. Detta verktyg har vi pratat om på podden, så det enda jag kan säga här är att det avslöjar mycket. Det ska noteras att sökningen är helt laglig. Den gör absolut ingen skada. Däremot ska du inte göra något för att ta över systemen. Vi avråder starkt från att faktiskt försöka hacka system utan tillstånd. Vi tar inget ansvar för vad som händer om du försöker dig på något sådant. Håll dig på den lagliga sidan!

Vad finns det att lära av detta? Det jag ser är att det är viktigt att inte ge ut någon information annat än den mest absolut nödvändiga. All information kan komma att användas av någon som har oärliga avsikter.

4 april, 2019

Säkerhetsäggen finns fortfarande

Det är riktigt gammalt nu och jag minns att det pratades om det redan när jag började min karriär inom säkerhetsområdet. Jag talar om de berömda ägget. Alltså den där säkerhetslösningen som fungerade som ett enda hårt skal. Tog man sig igenom det, kom man åt det goda innanför utan hinder. Istället förordade man löken. Denna fantastiska ätbara tingest som hade lager på lager som måste tas bort innan man kunde komma någon vart. Precis så skulle säkerheten vara. Lösning på lösning där varje lager skyddade det nästa. Halleluja! Jag var på en föreläsning där man släppte ett riktigt ägg på en utvikt sopsäck och sedan släppte man en lök på samma sätt. Inga poäng om du lyckas gissa vilket som gick sönder och vilket som höll! Pedagogiskt och något effektsökande. Men idag är det väl inte så längre?

Kanske inte. I alla fall inte huvudsakligen. Men ändå på något sätt ska jag säga. En kompis till mig ringde för några dagar sedan och var överlycklig över att han hackat en Chromecast. Denna tingest, menade han på, var lätt att ta kontroll över. Huvudsakligen för att de har tjänster som är öppna och bjuder på lite motstånd till den som vill ta över dem. Själv roade jag mig med att hacka mitt eget Netgear NAS en kväll jag hade tråkigt. Så dessa enheter finns ju alltid. Och vad skyddar sådana tingestar?. Dörren till huset. I övrigt kan man ta sin dator och koppla in den på nätet och prata direkt med dem. Många ägg finns bland skrivare, scanners och TV-apparater som man kopplat in bland kontor-PCs på arbetsplatser. Ingen löksäkerhet så långt ögat kan nå. Men webbapplikationerna har brandväggar, reverse proxys och nås enbart via ett VPN med multifaktorautentisering. En riktig lök!

Sen hur ser det ut inne i applikationerna? Bland många organisationer jag varit ute på ser man samma mönster: numera får man inte ut så mycket data ur en katalogtjänst som Active Directory utan att autentisera sig. Men om du autentiserar dig med ett helt vanliga användarkonto är det mesta tillgängligt. De flesta attributen är läsbara du kan tömma hela personalkatalogen med några enkla LDAP-frågor från en dator med Kali-Linux på. Den webb-baserade personalkatalogen är skyddad av Kerberos och släpper bara ut utvald information, så där har du katalogtjänstens ägg mot personalkatalogens lök. En låst ytterdörr och en öppen bakdörr som ger dig både äggvita och ägg-gula. Ok, jag ska sluta prata ägg nu. Påsken är i instundande, så det kanske är rätt tid för det, men jag tror att jag lyckats få fram min poäng med denna diskussion.

21 mars, 2019

Problemet med gamla prylar

Har du en router hemma som är 10 år gammal? Eller en trådlös accesspunkt från 2015 som du kör ditt nätverk genom? Detta kan visa sig vara ett problem. Första gången jag stötte på problemet var 2006 när jag läste om att en person hade klagat på en populär tillverkare av nätverksutrustning avsedd för hemmabruk. Han hade nämligen klagat på att han tidigare rapporterat ett allvarlig säkerhetshål i en av deras produkter och att de hade inte svarat eller gjort något åt detta problem trots att det gått flera månader sedan han hörde av sig. Detta verkar tyvärr vara ganska vanligt, men vad som är värre är när det överhuvudtaget inte kommer någon säkerhetsfix.

Din billiga hemrouter kan vara så gammal att tillverkaren helt enkelt inte skapar rättningar för den längre. De rekommenderar istället att man köper en ny modell och kör den istället. En del tillverkare av enheter man kopplar till nätet lägger in gamla versioner av Linux-kärnan som aldrig uppdaterats trots att det finns nya versioner.

Om man kollar efter uppdateringar eller nya versioner av firmware får man bara veta att ”du har den senaste versionen”, vilket gör det lätt att tro att allting är i sin ordning. Vi har diskuterat liknande problem med uppdateringar i tidigare inlägg på denna blogg. Men detta är ett separat problem och blir allt värre när mängden övergivna produkter blir kvar, uppkopplade på nätet.

Det finns idag ingen riktigt bra lösning på problemet, utom att möjligen välja produkter som har lite längre livslängd och byta ut dem när de inte längre underhålls. Detta kan innebära att du får köpa lite dyrare saker, men i längden blir både ditt hemmanätverk och Internet säkrare.

6 februari, 2019

Koevolution – spelets regler

Det är märkligt att se hur attacker och försvar utvecklas sida vid sida. Hur det börjar är ganska uppenbart: någon hittar på ett sätt att attackera ett system. Försvararna hittar på ett sätt att göra attacken omöjlig. Efter ett tag kommer attackerarna på en metod att överlista försvaret med en mer avancerad attack. På detta sätt höjs ribban och det blir svårare att göra attacker. Då och då hittas helt nya sätt att attackera ett system på och då börjar hela processen om igen. Man kallar detta för ko-evolution.

En gång i tidernas begynnelse ansågs Caesar-skiffer säkert nog. Det byggde på att man skiftade alfabetet tre steg. A blev D och B blev E och så vidare. Under många år var detta ett tillräcklig bra metod att försvara hemligheter. Men mekaniken gjorde detta oanvändbart. Och när vi gick in i den datoriserade eran blev det en snabb kapplöpning mellan de som skyddade system och de som knäckte dem. I Bletchley park avslöjades nazisternas hemligheter av ett gäng kodknäckare. Idag dyker det upp nya sätt att kryptera information. Samtidigt knäcks system och blir oanvändbara. Kapplöpningen är i full gång. Hashningsmetoder MD5 och kryptot DES är idag inte säkra att använda. Och bli inte förvånad om de metoder som idag är säkra kommer att bli knäckta imorgon. Vi har bara pratat om kryptografi här. Samma sak händer inom hela it-världen. När jag började lära mig säkerhet, kunde man ofta bryta sig in i system med så kallade SQL-injections. Dessa attacker tog sig in i databasen bakom en webbapplikation och kunde ibland ta över systemet bakom. Idag är denna typ av attacker i stort överspelade även om de fortfarande förekommer. Detta beror självklart på att alla produkter som finns är moderna har inbyggda skydd mot detta. Så numera är det istället webbläsarna som attackeras. Ge det några år och även detta har förändrats och attackerarna har antingen hittat nya mål eller överlistat de existerande skydden. Så länge vi har IT-system kommer det aldrig vara över…

17 januari, 2019

Problemet med eftersläntrarna

Nu för tiden bombarderas vi med säkerhetsfixar. De kommer varje vecka, varannan vecka eller varje månad. Vilken produkt du än har, kan du ge dig på att det kommer en säkerhetsfix till den när du minst anar. Även produkter som egentligen inte är direkt uppkopplade mot nätet eller tillgängliga för flera användare samtidigt drabbas. Och det har ingen betydelse om du är en stressad system administratör eller ägare av exakt en laptop: patcha måste du! Regelbundet.

Patchandet kan beskrivas med en normalfördelningskurva. Först en stor ”puckel” med de flesta systemägarna som lägger på de flesta patcharna. Sen en liten grupp av supernoggranna administratörer som aldrig missar en patch. Men vad finns på andra sidan av puckeln? Jo, systemen som antingen aldrig patchas eller som år efter år ligger långt efter i patcharna.

Det är dessa maskiner som blir botnet, används som instegsmaskiner in i andras nätverk eller används för att dölja attackernas ursprung. En del av dem går inte längre att patcha. De är gamla maskiner, routrar eller nätverksutrustning som getts upp av tillverkaren och nu bjuder in hackarna till dans.

En kund jag jobbade mot för några år sedan hade en stor mängd servrar som inte uppgraderats på årtionden. Den enda anledningen att vi kom på hur illa de hade det, var att de inte kunde uppgradera en specifik programvara till den senaste versionen. Detta eftersom den krävde att operativsystemet var en många år nyare version än vad de hade. Innan vi förklarade situationen för dem, insåg de inte ens att det var ett problem. Dessa system hade inte kunnat patchas på många år på grund av att tillverkaren lagt ner uppdateringarna av dem. Några av dem var dessutom nåbara från Internet. De lärde sig snabbt att det är mycket dyrare att försöka räta upp situationen och ”komma ikapp” med en stor mängd system än att kontinuerligt avsätta tid och pengar för att hålla systemen säkra.

Det är inte en ovanlig historia, men den illustrerar detta växande problem. Även i en tid av automatiska uppdateringar kan det vara en utmaning att hålla allting säkert. När du läser detta, har säkert någon av dina system just fått en ny patch som rättar ett allvarligt säkerhetshål. Så sluta läsa och börja patcha!

Scroll to top